מבקר המדינה: ממשלת ישראל לא עודכנה 12 שנים בנוגע למצב ההגנה בסייבר של מערכות ממוחשבות חיוניות
"על אף האמור בהחלטה מ-2002, עד דצמבר 2014 לא דיווחו ראשי ועדת ההיגוי העליונה להגנה על מערכות ממוחשבות חיוניות לממשלה או לוועדת שרים על מצב ההגנה של המערכות הממוחשבות כנדרש בהחלטה.", נכתב בפרק הרלוונטי בדו"ח מבקר המדינה מספר 67א.
דו"ח המבקר גם מגלה כי ארגונים מפוקחים, כאלו שאמורים לעשות מה שהשב"כ אומר להם, לא עושים. "כמה גופים מונחים אינם עומדים בקצב הראוי ביישום התכנית הרב-שנתית להטמעת דרישות האבטחה של השב"כ, ביניהם גם גופים הנמצאים זמן ממושך יחסית בהנחיית השב"כ.", נכתב בדו"ח.
המבקר ממשיך ומעלה על הכתב גם את בעיית אי שיתוף הפעולה בין הארגונים האמונים על הגנת המדינה בסייבר. "המטה הקיברנטי והשב"כ קיימו, כל גוף בנפרד, פעילות של סיוע וחיזוק המאסדרים המגזריים. לא נמצא שהמטה תיאם עם השב"כ את הפעילות בתחום המאסדרים המגזריים והסתייע בו לקידום פעילות זו.", נכתב בדו"ח. אין ספק כי לאור זאת, ברורה ההחלטה להפוך את רשות הסייבר לישות מנהלת אחת, גם על הצבא וגם על הצד האזרחי.
על מי צריך להגן בסייבר? לא יודעים
הדעת מניחה כי כאשר רוצים להגן על מדינה בסייבר, צריך קודם כל לעשות מיפוי של הנכסים שפגיעה או שיבוש שלהם יכולה לפגוע בשגרת החיים במדינה. ובכן, לפי המבקר באמת חשבו על זה - אך מסתבר שמעולם לא כתבו תכנית ולא השלימו את המיפוי.
הנה מה שהמבקר אומר בנושא: "תהליך המיפוי של המרחב הקיברנטי הישראלי לא הסתיים וגם לא נקבעה תכנית עבודה ולוח זמנים לסיומו. לפיכך לא היה בידי מטה הסייבר מיפוי שיאפשר לקבוע מי הם הגופים במרחב הקיברנטי האזרחי הטעונים הגנה בהתאם להיררכיה פירמידלית של כלל הגופים במדינה ועל פי רמות הסיכון שלהם וסוגי המערכות הממוחשבות שבהם."
בהמלצות נכתב: "מתוקף אחריותו של המטה היה עליו לוודא כי יוגדר היקף הבעיה שעמה יש להתמודד בתחום ההגנה על מרחב הסייבר האזרחי, ייקבע מה הם התחומים והגופים במשק שיש להגן עליהם, מה המענה שצריך להינתן ואילו משאבים יושקעו בכך. לצורך כך על המטה להחיש את פעילותו בנושא ולפעול, בעצמו או באמצעות אחרים, לקידום מיפוי מלא של המרחב."
מינוי בעלי תפקידים ללא מכרז ברשות הסייבר
"ועדת השירות בנציבות שירות המדינה המליצה על מתן פטור ממכרז פומבי למשרות מקצועיות ברשות, בשל דחיפות האיוש והסיווג הביטחוני של בעלי התפקידים המיועדים לעבודה ברשות, והממשלה אישרה מתן פטור זה. בהחלטתה זו לא נתנה ועדת השירות משקל ראוי למאפיינים האזרחיים של הרשות ולמשך הזמן הארוך שנקבע לאיוש רוב המשרות ברשות.", נאמר בדו"ח.
אחר כך בהמלצות באותו נושא נכתב: "מן הראוי שאיוש המשרות ברשות ייעשה, ככל הניתן, באמצעות תהליכים תחרותיים ושוויוניים אשר יגשימו את עקרון שוויון ההזדמנויות לכל הקבוע בחוק שירות המדינה (מינויים), התשי"ט-1959. תהליכים אלה, גם יגדילו את האוכלוסייה שממנה יהיה אפשר לגייס את המועמדים המתאימים ביותר."
בקרה , בקרה , בקרה. ושוב - בקרה
בהמלצותיו בסוף הפרק על ההגנה בסייבר, מכוון המבקר בעיקר לבעיות של בקרה ואכיפה תהליכית על יישום ההגנה. "על ועדת ההיגוי העליונה להמשיך ולעקוב אחר התקדמות יישום דרישות האבטחה של השב"כ בגופים המוגדרים כתשתיות מדינה קריטיות ולבחון, בשיתוף השב"כ, דרכי פעולה לשיפור מהיר של המצב בתחום.", כותב המבקר.
"על ועדת ההיגוי העליונה לבחון מתכונת דיווח לממשלה על מצב ההגנה על המרחב הקיברנטי הישראלי בכלל, ועל תשתיות קריטיות בפרט, ובכלל זה על תהליכי המיפוי וההגדרה של גופים במשק כתשתיות מידע קריטיות. רצוי כי דיווח כזה יכלול מדדים כמותיים כך שיתאפשר לממשלה לבחון את מצב ההגנה גם על בסיס מדדי תפוקה ותוצאה רלוונטיים.
"על השב"כ לבחון את הצורך בדיווח למועצות המנהלים של התאגידים שיש בהם תשתיות מחשוב קריטיות על אי-עמידה בהנחיותיו המציבה בסיכון תשתית מדינה חיונית או את הפעילות העסקית של אותו תאגיד. על המטה הקיברנטי והשב"כ, בשיתוף משרד המשפטים וגורמים ממשלתיים נוספים הנוגעים בדבר, לבחון דרכים לאכוף על הגופים הציבוריים כהגדרתם בחוק להסדרת הביטחון, המוגדרים תשתיות מדינה קריטיות, את מילוי הנחיות השב"כ, ולשקול את עיגונן של דרכי האכיפה בדין."
ישראל מוגנת בסייבר?
לאור הליקויים שמצא המבקר (ואלו רק הבלתי מסווגים), נשאלת השאלה אם אנחנו מוגנים בסייבר. ובכן, זו שאלה פתוחה. לפרוץ למערכות ממוחשבות תמיד אפשר, מי שיגיד אחרת פשוט ישקר. העניין הוא לא בינארי - אם אפשר או אי אפשר - אלא עד כמה מדינת ישראל עושה כדי להגן על הנכסים החיוניים שלה בסייבר. התפישה היא שאם עושים הרבה, ההסתברות לכך שמישהו יפרוץ או ישבש נכסי מדינה - קטנה.
לפי מה שנכתב בדו"ח, נראה כי קיימת בישראל בעיה שורשית של העדר הגדרת הבעיה (מיפוי הנכסים), העדר אכיפת הפתרונות, והעדר בקרה ממשלתית בתחום ההגנה על המדינה בסייבר. אמנם נעשים מאמצים בכיוון ותעיד על כך תגובת מטה הסייבר בסוף הכתבה, אך נראה כי ראש הממשלה צריך לתקן את הבעיה התהליכית מהיסוד כדי למנוע דו"ח דומה בעוד שנה. וכדאי להתחיל במעורבות הממשלה בתהליך והכנסת בתהליך באמצעות ועדות רלוונטיות.
תגובת מטה הסייבר לדו"ח מבקר המדינה:
"מבקר המדינה סיים את הביקורת לפני למעלה משנה, מאז הבשילו מהלכי הממשלה להגנת המרחב האזרחי ובכלל זה, הקמת הרשות הלאומית להגנת הסייבר, הפעלת מתודולוגיות מבצעיות לניהול אירועי סייבר, הפעלת המרכז הלאומי להתמודדות עם איומי סייבר כחלק מהרשות, הקמת יחידה ייעודית להגנת משרדי הממשלה והקצאת תקציבים משמעותיים במשרדי הממשלה להגנת הסייבר וגיבוש תורת הגנה עדכנית ומעשית למגזרי המשק.
"בחמש השנים האחרונות נקטה הממשלה שורת מהלכים לגיבוש ולמימוש היערכות יסודית וסדורה, על מנת להתמודד כראוי עם האיומים המתפתחים בו. מהלכים אלה נועדו לייצר מענה שלם צופה פני עתיד. הם התבססו על בחינה מקצועית מקיפה וקבלת החלטות זהירה ושקולה, בשיתוף רציף של הגורמים הרלוונטיים בממשלה ובמשק, ובקבועי זמן קצרים בהשוואה לתהליכים דומים בהיקפם ובמורכבותם בעולם.
"מדיניותה של ישראל זוכה להערכה מקצועית עמוקה ממדינות וארגונים בינלאומיים רבים המבקשים ללמוד מגישתה החדשנית ומאופן יישומה, הן בבניין העוצמה המדינתית והן בבניין ההגנה הלאומית."
לכתבות נוספות באתר ISRAEL DEFENSE היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם