לעגן בחוק את מעמדו של מנהל אבטחת המידע הממשלתי

בין יתר העיסוקים המרכזיים של מנהל אבטחת המידע, מאז הגיח לעולם תפקיד זה, הוא מאבק מתמיד על מקומו, מעמדו ומיצובו בארגון. חוסר האחידות בנושא זה בכל מגזרי המשק, היא הדבר המשותף לכל אלו שעוסקים במקצוע המדובר. בחלק מהארגונים ה-CISO כפוף למנמ"ר, בארגונים אחרים הוא חלק ממערך האבטחה הפיזי של הארגון.

הנהלות ארגונים מבינות את תפקידו של ה-CISO, אבל לא עושות יותר מדי כדי לאפשר לו למלא את תפקידו. כאשר מערך המידע בארגון נפרץ או קורס, חלילה, הרי שממילא מנהל אבטחת המידע הוא האחרון בשרשרת שיילך הביתה – אחרי המנכ"ל, המנמ"ר ויתר חברי הנהלה בכירה.

כל עוד מציאות זו מתחרשת במגזרים עסקיים ופרטיים, אפשר עוד לחיות עם זה. הנחת היסוד היא שבעלי החברה או בעלי המניות מודעים לסיכונים שיש בהפקרת מערך מידע, והם עלולים לשלם עליהם ביוקר – עד כדי איבוד הנכס היקר להם, העסק שלהם, אם ינהגו בחוסר אחריות מוחלט.

אבל כאשר מדברים על אבטחת מידע בממשלה ובגופים ציבוריים, שחלקם מחזיקים במידע הכי רגיש שקיים אודות אזרחי המדינה, אפשר היה לצפות מהגורמים הרלוונטים, כמו השרים והמנכ"לים האחראים על הנושא, שיתייחסו קצת יותר ברצינות. יתרה מכך: הממשלה צריכה להיות הסמל והדוגמה לתפקוד נכון של מנהל אבטחת המידע, פעילותו וסמכויותיו. היא צריכה להיות שקופה בביצועים שלה, שיבהירו לכל אזרח ואזרח שהמידע שהמדינה מנהלת באמצעות ממשל זמין אכן מוגן ומנוהל כהלכה.

למרבה הצער, לא זו התמונה העולה מדו"ח מבקר המדינה, שפורסם היום (ד'). כך, הפרק הסוקר את משרד האוצר (26 עמודים) וניהול אבטחת המידע ושרידות של תשתיות אינטרנט ומיחשוב עבור משרדי הממשלה, כולל ממצאים חמורים מאוד – ובעיקר מדאיגים. השורה החשובה ביותר בדו"ח, מעבר לכל ההמלצות הברורות, היא שיש לעגן בצורה חוקית את מעמדו של מנהל אבטחת המידע בממשלה, לנתק אותו לחלוטין מכפיפות למנהל ממשל זמין, ואולי בכלל להפרידו ממטה התיקשוב.

כל עוד מציאות זו תתקיים, כך אנחנו נמשיך לקבל דו"חות על ליקויים בניהול מערך אבטחת המידע הממשלתי. ההערה החמורה ביותר היא כמובן שעד היום, למרות כל הדיבורים, האזהרות ואין ספור כנסים וכתבות על איומי הסייבר – שחלקם מקורם בממשלה עצמה – עדיין אין לממשלת ישראל מדיניות ברורה ומעשית בכל מה שקשור ל-BCP ו-DRP. יש החלטות ממשלה, קיימות תוכניות שתוכננו על ידי הנהלת ממשל זמין – אבל בפועל אין היום שום הערכות מסודרת מגובה בנהלים ברורים, שקובעת מה קורה אם אתר זה או אחר של הממשלה קורס מכל סיבה שלא תהיה.

ה-BCP הוא אחד הדברים המרכזיים בתפקוד העורף בישראל. הוא חלק מתורת ההיערכות הלאומית לשעת חירום, הקובעת כי בזמן מלחמה יש לעשות כל מאמץ שהחיים של האזרחים ימשכו כרגיל ככל שניתן. מקריאת הדו"ח של המבקר אי אפשר שלא לחוש הרגשה של חוסר נחת ואף דאגה – מה יקרה אם אתר של משרד חיוני כמו משרד בריאות יקרוס, או אתר של הביטוח הלאומי?

צריך לזכור שממשל זמין, שבזמנו הוקם כפרויקט תהי"לה, משרת לא פחות מ-50 אלף משתמשים ב-300 אתרים ממשלתיים. אתרים אלו אחראים על מידע רגיש, הן ברמה אישית של האזרחים והן ברמת המידע החיוני לשעת חירום. היעדר תוכנית התאוששות לא תאפשר לקיים את הדבר החשוב של חיי שגרה בעורף. האם זה תפקידו של ה-CISO? של המנמ"ר? או אולי של מנהל המשרד הממשלתי ומנהל ממשל זמין? נכון להיום אין בממשלה הגדרות לתפקידים אלו. לכן, המסקנה האופרטיבית ביותר שמנהלת התיקשוב הממשלתי צריכה לקחת היא קיבוע מעמדו של מנהל אבטחת המידע הממשלתי, הגדרת סמכויות ובעיקר היכולת לאכוף אותו.

השורה התחתונה: חרף העובדה שמערך האבטחה הממשלתי מצליח להדוף ניסיונות התקפה מסוגים שונים, הרי שדו"ח מבקר המדינה חושף ליקויים חמורים בניהול מערך אבטחת המידע. זאת, לצד היעדר נהלים מחייבים, שכולם ביחד מתחברים למסקנה החשובה: היעדר הגדרה מדויקת של מנהל האבטחה. יש לקוות שהממשלה תתייחס ברצינות הראויה לממצאים חשובים אלו, הנוגעים בסופו של דבר לכל אחד ואחד מאיתנו.