נדרש חוק שיגדיר כמה גופים ציבוריים צריכים להשקיע בסייבר

אחד המשלים המפורסמים של איזופוס מספר על הילד שצעק "זאב זאב", כהתרעה לתושבי כפרו מפני זאב שכביכול מתקרב לצאן שלו. אלא שבכל פעם הסתבר שהוא עבד עליהם. תושבי הכפר הבינו את זה, מה שגרם לכך שביום אחד, כשבאמת הגיע זאב ותקף את צאנו של הילד, והוא צעק "זאב זאב" – אף אחד לא הגיע לעזור לו. סופם של הצאן והרועה היה מוות.

כמעט בכל יום מופיעים בתקשורת, הישראלית והעולמית, דיווחים על אירועי סייבר כאלה ואחרים, ונראה שבארץ לפחות, כמעט אף אחד לא מתרגש, למעט מנהלי אבטחת המידע, שכוססים ציפורניים בכל אירוע. את ההנהלות זה פחות מעניין – על כל פנים, פחות ממה שכדאי שיעניין אותן, ונראה שהן מתייחסות לאותם דיווחים כאל קריאות "זאב זאב". בהתאם, הן מקצות להגנת הסייבר, ברוב המקרים, תקציב זעום.

אלא שבסוף יקרה באמת אירוע שיזעזע את אמות הסיפים – ברמה הארגונית ואפילו במדינה כולה. אז, כולם יגידו: איפה היינו ולמה לא נערכנו לנושא כמו שצריך?

ניתן היה לחשוב שהיו בשנים האחרונות כמה אירועי סייבר בולטים שבאמת זעזעו את המדינה. את המדינה אולי כן, אבל לא את מקבלי ההחלטות. האירועים שקרו בשירביט, בבית החולים הלל יפה, במקורות ובעוד כמה ארגונים כבר ירדו מזמן מהכותרות, ואף אחד לא התעורר. בפרט לא החברים בממשלה ובכנסת, שבניגוד למה שהיה צריך להיות, לא חוקקו חוק או תקנות שיחייבו ארגונים, ולפחות את החברות הציבוריות, להגדיל דרמטית את ההשקעות שלהם בסייבר.

בצד החיובי, יש כמה מגזרים שבהם כן חל שיפור ניכר בתקציב שמוקצה להגנת סייבר. כוונתי היא בעיקר לעולמות הבנקאות, הביטוח והפארמה. אבל בשאר הארגונים, או לפחות במרביתם, כשסמנכ"ל אבטחת המידע בא למנמ"ר ולמנכ"ל, כמקבץ נדבות, ומבקש תגבור כספי בנושא הגנת הסייבר, הם מנענעים בראשם ואומרים לו שזה חשוב, אבל בפועל, תקציבי הגנת הסייבר נשארים בעינם. ניתן להגדיר את אותם תקציבים כשאריות שנשארו מתקציב המחשוב הארגוני.

על המנכ"לים ובכלל ההנהלות של החברות הציבוריות, הרשויות המקומיות ובעצם של כל גוף במדינה להתעורר ולחזק את אבטחת המידע ואת מי שאחראי, או אחראיים, עליה בארגון, כדי שהם לא יתעוררו יום אחד לאירוע דרמטי באמת, שהם לא מוכנים אליו

כיו"ר פורום המנמ"רים והמנכ"לים C3 מבית אנשים ומחשבים, אני מגיע לביקורים רבים בחברות ונחשף להיקף ההשקעה הזניח בהגנת הסייבר. זה בא לידי ביטוי עד כדי כך שיש ארגונים שבהם בעל התפקיד הרלוונטי מתפקד כמנהל אבטחת המידע יום בשבוע (!). בנוסף, אני רואה בארגונים מוצרי הגנה עם גרסאות עתיקות, שלא שודרגו מזמן, סקרים מיושנים שלא מביאים באמת ערך וסימון "וי" על רשימת ההגנות שכביכול בוצעו – ותו לא. ולא זו בלבד, בהרבה מקרים נאלץ מנהל האבטחה לראות בעיניים כלות איך הפער בין הצרכים שלו, שהם צרכי האבטחה של הארגון, לבין התקציב שמוקצה לו בפועל הולך וגדל. כיצד האיומים הולכים ומתגברים, אבל אין לו הגנה אפקטיבית באמת.

מה קורה ברשויות המקומיות?

אחד המגזרים שבהם מה שכתבתי כאן זועק לשמיים הוא זה המוניציפלי. רק באחרונה אמר אילן הררי, מנכ"ל עיריית ראשון לציון, כי "איומי הסייבר מחייבים כל מנמ"ר ברשות מקומית לעורר את ראש הרשות". זאת אמירה יפה, שלא מתרחשת במציאות. כלומר, לא התוצאה שלה. המנמ"ר אולי מעורר את ראש הרשות, אבל תקציב לפתרונות הגנת סייבר הוא ברוב המקרים לא מקבל.

זה קורה בין היתר מאחר שבהרבה רשויות מקומיות, התקציבים הכלליים לא גבוהים, ותקציבי המחשוב נמוכים. באחת העיריות שליוויתי לפני כמה שנים מצאתי שתקציב ההשקעות החדשות במחשוב היה רק 800 אלף שקלים (!) בשנה. בעירייה (!!). בתקציב הזה צריך לבצע פרויקטים חדשים, לרכוש פתרונות סייבר ועוד ועוד.

על המנכ"לים ובכלל ההנהלות של החברות הציבוריות, הרשויות המקומיות ובעצם של כל גוף במדינה להתעורר ולחזק את אבטחת המידע ואת מי שאחראי, או אחראיים, עליה בארגון, כדי שהם לא יתעוררו יום אחד לאירוע דרמטי באמת, שהם לא מוכנים אליו.

הכותב הינו יועץ אסטרטגי-טכנולוגי-עסקי, יו"ר פורום המנמ"רים והמנכ"לים C3 מבית אנשים ומחשבים, ומנכ"ל BSD-IT Consulting.