מי יטפל בחורים בהגנה על תשתיות המיחשוב של ישראל?

מנכ"ל צ'ק פוינט, גיל שוויד, אמר היום בוועידת השלטון המקומי, כי תשתיות אזרחיות רבות במדינת ישראל אינן מוגנות מספיק, והן חשופות להתקפות סייבר שכבר קרו, ועל חלקן הוא לא יכול אפילו לדבר. חלק מהתשתיות הן באחריות הרשויות המקומיות, כגון רמזורים, או מצלמות, ואחרות באחריות משרדים אחרים.

שוויד לא הפתיע יותר מד אנשים שנכחו באולם שבו דיבר. ביום שלישי השבוע פרסם מבקר המדינה, מתניה אנגלמן, לא פחות משישה דו"חות בנושאי סייבר ואבטחת מידע, שחשפו מציאות די מדאיגה בכל אחד ממשרדי הממשלה שנבדקו. מדובר על מחדל מתמשך, שלא החל אתמול ולא שלשום, ובחלק מהמקרים שהמבקר בדק כבר פורסמו בעבר דו"חות בנושא, אבל שום דבר לא השתנה. הסיבה לדאגה היא, שרמת האיומים וההתקפות רק הולכת ומחמירה, ובחלק מהמקרים המבקר מזהיר, כי מעבר לנזק הכספי והתדמיתי, ההתקפות אף עלולות להביא לאובדן חיי אדם.

הדו"חות עסקו במחדלי אבטחה במערכות המחשוב של משק המים והביוב בישראל, שספגו כמה תקיפות בשנים האחרונות, ועדיין לא נעשה הרבה כדי לסתום את חורי האבטחה. תשתיות מים מוגדרות כתשתיות קריטיות, והן מפוקחות גם על ידי גורמי ביטחון, אולם היעדר ממשלה יציבה בשלוש השנים האחרונות גרם לשיתוק היכולת להדק את ההגנה על התשתיות, בעיקר בהיבט של הפיקוח והאכיפה. כך, למשל, בתחום התחבורה, אמר המבקר, כי בגלל היעדר חוק הסייבר, שעדיין לא אושר סופית בכנסת, אין אפשרות לאכוף תקנות הגנה מפני סיכוני סייבר על מפעילי תחבורה ושורה ארוכה של גופים שהמשרד אחראי להם. גם כאן המבקר מדגיש, כי לא מדובר רק בנזקי תקיפה פנים ארגוניים, אלא בסכנת חיים, כמו, למשל, שיבוש מערכת ניתוב רמזורים, שיבוש תכנון נסיעות של רכבות ומטוסים ותרחישים נוספים, שכל מי שיש לו קצת דמיון יכול להבין במה מדובר.

גם תשתיות המחשוב של משרד החינוך לא מוגנות היטב. חורים נמצאו במאגר המידע הרגיש של בחינות הבגרות, שמות הנבחנים ופרטיהם ובעיקר תוצאות המבחנים. בגלל היעדר יכולת אכיפה, וגם כנראה בגלל היעדר הקפדה על נהלים, תוצאות המבחנים, ואולי גם המבחנים עצמם, מגיעים לידי גורמים שאינם מורשים, שלא לדבר על פגיעה חמורה בפרטיות של הנבחנים. במקרה של משרד החינוך גילה המבקר, שלא נערכו תרגולי סייבר כפי שנדרש על פי הנהלים, ואם נעשו – לא הופקו לקחים כנדרש. מחדלים נמצאו בפרויקט רגיש מאוד של המכס ורשות המיסים. הפרויקט חוגג השנה 15 שנים להולדתו, והסוף טרם נראה. שמו של הפרויקט מעיד על חשיבותו "שער עולמי", והוא עוסק בכל ההיבטים של סחר חוץ.

למחדלים אלו יש כמה סיבות, עד כמה שניתן בכלל להסביר זאת. המרכזית ביותר היא היעדר גוף אחד מתכלל, שאחראי על הסייבר בארץ, לא רק ברמת מידע וסיוע בזמן חירום, מה שמערך הסייבר עושה, אלא גם סמכות אכיפה. זה לא רק בגלל העדר חוק סייבר, אלא גם בגלל שהאחריות מבוזרת בין מספר גורמים מגזריים. למשל, הפיקוח על סייבר בבנקים הוא תחת הפיקוח של שוק ההון באוצר. אמנם, מערך הסייבר מעורב ומנחה, אבל הוא לא אוכף. ברשויות המקומיות המצב הוא כאוטי לחלוטין. במשרד הפנים הוקם אגף סייבר, שהוא חלק מאגף מינהל חירום, הגוף הזה עובד עם הרשויות, מנחה ומבצע הדרכות, אבל הוא אינו הרגולטור של הרשויות בנושא זה, ולכן לא יכול לאכוף. מי שאחראי על כך הוא מערך הסייבר, אבל גם הוא לא יכול לאכוף, ונחשו למה? …כי אין חוק סייבר.

בסך הכל מתקבלת תמונה מאוד לא מעודדת, שצריכה להדאיג את הממשלה החדשה ובראשה ראש הממשלה נתניהו, שכידוע הוא זה שהקים את מערך הסייבר בגלגולים השונים שלו, אבל לא הספיק להעביר את חוק הסייבר רגע לפני שפירק את הממשלה בסוף 2018. אבל לבד מהחוק נדרשת מדיניות ממשלתית ברורה, חדה וחסרת פשרות, שתוודא שיש תקנות ונהלים ותעניש את מי שמרשה לעצמו לזלזל בהם.

שורה תחתונה: אם תרצו, אפשר לומר שאנגלמן הניח על שולחן הממשלה החדשה שיעורי בית לביצוע דחוף ביותר, רגע לפני שיצטרכו להקים ועדת חקירה על נזקים ממשיים בעקבות התקפה משמעותית, ולא בהכרח על רקע איומי צבאיים.