תשתיות מדינה קריטיות אינן ערוכות למתקפת סייבר

יום ג', 7 במאי 2019
הגופים המרכזיים שמופקדים על תשתיות קריטיות במדינה לא ערוכים כראוי להתמודדות עם מתקפת סייבר - כך קובע דו"ח מבקר המדינה החדש. ביקורת שנערכה בין יולי 2017 ליולי 2018, כללה את בדיקת היערכותם של גופי תמ"ק (תשתית מדינה קריטית), משרדי ממשלה ויחידות סמך, במקביל לבדיקת פעילות מערך הסייבר. מטעמי ביטחון המדינה, הותר לפרסום רק חלק מפרק זה בדו"ח.
 
לפי המבקר, עד למועד סיום הביקורת הסמיך מערך הסייבר רק חלק מגופי התמ"ק כעומדים בהנחיות הנדרשות. "תמונת המצב שהייתה בידי המערך לא שיקפה את רמת מוכנות הגופים להתמודד עם התקפות סייבר", הוסיף המבקר. "לאחר מועד סיום הביקורת הציג המערך בפני משרד מבקר המדינה תמונת מצב מקיפה ועדכנית".
 
המבקר בחן גם לעומק את פעילותם של שלושה גופי תמ"ק. שמותיהם של הגופים ומרבית הממצאים לגביהם אמנם חסויים, אך התמונה שבכל זאת מצטיירת אינה מעודדת. לגבי הגוף הראשון, שמכונה "גוף תמ"ק א'" כתב המבקר שאף שמדובר בגוף מונחה זה כמה שנים "המצב עדיין אינו משביע רצון". המבקר הוסיף: "טיוטת מיפוי שהכין גוף תמ"ק א' ב-2015 לא כללה רכיבים נדרשים. המיפוי שנעשה לא היה עדכני ולא שיקף את תמונת המערכות בצורה מהימנה. נמצאו פערים בין הנהלים הקיימים ובין הדרישות. חלק מפקודות המבצע לא עודכנו כנדרש. בביקורת נמצאו פערים, בין היתר, בדיווחים למערך על אירועים ובנושאים נוספים. בשנת 2016 נעשתה ביקורת מקיפה של שירות הביטחון הכללי בגוף תמ"ק א'. עד מועד סיום הביקורת לא השלים הגוף את תיקון חלק מהליקויים".
על גוף השני כתב המבקר: "מסמך המדיניות ופק"ם (תוכנית לניהול אבטחה, ע"כ) חירום לא תוקפו כנדרש. עד מועד סיום הביקורת לא הוטמע רכיב הגנה מסוים". לגבי הגוף השלישי נכתב: "חלק מהנהלים הנדרשים אינם קיימים בגוף תמ"ק ג'. פק"ם החירום בגוף תמ"ק ג' לא תוקף, על פי המועדים הנדרשים. עוד נמצא כי אין בגוף תמ"ק ג' פק"ם התאוששות".
 
לגבי היערכות של משרדי הממשלה מצא המבקר בין השאר שלא כל היחידות מינו מנהל הגנת סייבר; לחלק ממשרדי הממשלה ויחידות הסמך אין מסמך מדיניות אבטחת מידע וסייבר; חלק ממשרדי הממשלה ויחידות הסמך טרם השלימו את תהליך סקר הסיכונים; וחלק ממשרדי הממשלה ויחידות הסמך חוברו למרכז השליטה והבקרה של מערך הסייבר.
 
המבקר ממליץ, בין השאר, לגופי התמ"ק ולמערך הסייבר לבחון את הצורך בהשלמת תהליך המיפוי, כדי שלממשלה תהיה תמונת מצב עדכנית ומדויקת יותר בנושא רמת מוכנותם להתמודדות עם איומים מקוונים. כמו כן, מתבקש מערך הסייבר לעדכן את רשימת הגופים שהוא מנחה ולפעול להנחייתם ובמקביל לפעול ביתר שאת להשלמת היערכות הסייבר של משרדי הממשלה.
 
"מרחב הסייבר הוא גורם משמעותי בשגרת החיים השוטפת של המשק", סיכם המבקר חלק זה של הדו"ח. "בשנים האחרונות אנו עדים להתקפות סייבר מסוגים שונים, אירועי כופר ונוזקה, הונאות, מעילות וגניבת מידע עסקי. זירת הסייבר אף הפכה לזירת לוחמה בין ארגוני טרור ופשיעה למדינות ואף בין מדינות. בשנים הבאות צפוי גידול ניכר בחדירת מרחב הסייבר לשגרת היום-יום, לנוכח התפתחותם של מוצרי IoT, מכוניות אוטונומיות ועוד, ובהתאם צפויה עלייה ניכרת בשכיחותם של איומי סייבר ובמידת חומרתם". 
 
"למרות מאמצים שנעשו בשנים האחרונות לקידום הנושא, עדיין קיימים פערים בהגנת הסייבר של גופים מסוימים של הממשלה ואף של המשק. ממצאי הדו"ח מעידים כי דווקא משרדי הממשלה ויחידות הסמך, אשר נדרשו לתת דוגמה לציבור ולמשק, שלפעולתם התקינה חשיבות רבה הן מבחינת הציבור והן מבחינת המשק, אינם מיישמים כראוי את החלטות הממשלה ואת הנחיות מערך הסייבר בתחום הגנת הסייבר".
 
ממערך הסייבר נמסר בתגובה: "בשנה האחרונה השלים מערך הסייבר תהליך מיפוי ויצירת תמונת מצב הגנה עדכנית של גופים שמוגדרים כתשתית מדינה קריטית, תוך הטמעת שיטות הנחייה וכלים טכנולוגיים מתקדמים וחדשניים. כמו כן, המערך פועל לחיזוק יה"ב (היחידה להגנת סייבר בממשלה, ע"כ) והיחידות המגזריות, לסיוע בהגדלת המשאבים המוקצים להם ובשיפור תהליכים, וכן להעלאת מודעות לאחריות של הנהלות משרדי הממשלה לבקרה על הנושא. בין היתר, יה"ב והמערך הקימו באחרונה מרכז שליטה ובקרה על איומי סייבר הקשורים למשרדי ממשלה".