המבקר: ליקויים, פערים והגנה לא מספקת בסייבר ביחידות וגופי ממשל
דו"ח מבקר המדינה חושף תמונה עגומה של מוכנות הסייבר בישראל במהלך מלחמת "חרבות ברזל" ● המבקר קבע כי ליקויים מהותיים בגופי ממשל, אי-הסדרה חוקית וחולשה תפקודית - מאיימים על החוסן הלאומי
בקרב רבים מגופי ממשל ויחידות סמך ממשלתיות נמצאו ליקויים בעולם הגנת הסייבר, פערים שונים, אי-עמידה בנהלים ורגולציות, תפקוד חלקי והגנת סייבר לא מספקת, כך קבע מתניהו אנגלמן, מבקר המדינה.
בדו"ח שהתפרסם היום (ג') בנושא "היערכות המדינה לאירועי סייבר ותפקודה במהלך מלחמת חרבות ברזל", כתב המבקר: "המלחמה הדגישה את ההכרח בהיערכותה ובמוכנותה של מדינת ישראל להתמודד עם אירוע חירום רב-זירתי. ממד הסייבר הוא אחד ממעגלי האיום שמולו נדרשת המדינה להיערך. רמת מוכנותה בממד זה היא נדבך משמעותי בהיערכות הביטחונית הכוללת של ישראל ובחוסנה הלאומי".
נזכיר כי זהו אחד הדו"חות האחרונים של אנגלמן כמבקר המדינה- הוא צפוי להיות מוחלף בחודש הבא על ידי עו"ד מיכאל ראבילו.
על פי המבקר, "במהלך המלחמה חל גידול בהיקף ובעוצמת מתקפות הסייבר נגד גופים במשק, שנועדו לפגוע בביטחון המדינה, הציבור ובחוסן הלאומי, ולאסוף מידע מודיעיני. ככל שהלחימה התמשכה, התעוזה והיצירתיות של התוקפים גברו, והם עברו מאירועי השפעה ומניעת גישה, למתקפות לגרימת נזק ולאיסוף מידע על אזרחים ותהליכים בישראל. לפי מערך הסייבר, האיום ממתקפות הסייבר ימשיך ויתעצם".
ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה לפרסם רק חלקים מהדו"ח, מטעמי שמירה על ביטחון המדינה.
המבקר ציין לחיוב כי לאחר פרוץ המלחמה הרגולטורים נקטו בפעולות שונות להעלאת החוסן של גופים שונים ושל המשק כולו. "לפי מערך הסייבר הלאומי והשב"כ, מפרוץ המלחמה ועד סיום הביקורת ביוני 2025, ישראל לא חוותה אירוע סייבר שפגע משמעותית במשק, אך לדברי ראש המערך 'לא לעולם חוסן'. אירוע סייבר הוא סיכון מהותי לתפקודו התקין והרציף של ארגון… כל ארגון נדרש לייצר מעטפת הגנה ויכולות התמודדות עם תרחישי האיום והסיכונים".
פערים חמורים במוכנות הלאומית ובתפקוד הדרג המדיני
לפי המבקר, "לפני המלחמה, חלק מגופי התמ"ק (גופים להם תשתיות מידע קריטיות), היו בעלי רמות הסמכה המשקפות יכולת התמודדות מוגבלת למול תוקפים. ביוני 2025 חל שיפור בציוני ההסמכה, אולם עדיין היה קיים פער".
לדבריו, "לפני פרוץ המלחמה לא התקיים תרגיל סייבר לאומי. רק שנה לאחר פרוץ המלחמה התקיים תרגיל סייבר לאומי במתווה שולחני, ובמרץ 2025 התקיים תרגיל לאומי שכלל תרחיש מלחמה ותרחיש סייבר… בתרגילים לא השתתפו נציגים מהדרג המדיני – ראש הממשלה וחברי הקבינט".
"מ-2020 עד 2025, מערך הסייבר לא העביר לראש ממשלה, למזכיר הממשלה, לראש המל"ל, לראש השב"כ וליו"ר ועדת חוץ וביטחון בכנסת דיווחים חצי-שנתיים של מצב ההגנה של המערכות הממוחשבות במדינת ישראל לרבות בגופי תמ"ק – כנדרש. ועדת ההיגוי שמטפלת במערכות IT בגופי תמ"ק – לא התכנסה ב-2021 ולא התכנסה משך שנה וחודשיים אחרי פרוץ המלחמה, עד דצמבר 2024… לפי מערך הסייבר רמת ההגנה של חלק מהמגזרים במשק לפני המלחמה הייתה לא מספקת… מערך הסייבר הציג לשרים (ופעם אחת לראש הממשלה נתניהו) תמונת מצב, ולפיה רמות ההגנה בתחום הסייבר בחלק מסוים מהמגזרים (לא כולל גופי התמ"ק) אינן מספקות".
עוד מצטט המבקר את מערך הסייבר: "רמת ההגנה של המשק באוקטובר 2024, שנה לאחר פרוץ המלחמה, הייתה לא מספקת ועלולה לא לעמוד בפני אתגרי העתיד. באוקטובר 2024 דיווח ראש מערך הסייבר אז כי מצב בשלות הגנת הסייבר במשק אינו מספק, וכי השיפור הדרמטי בקצב וביכולות התקיפה מחייב נקיטת פעולות לחיזוק קו ההגנה ולהבטחת רציפות התפקוד ברמה המשקית והביטחונית".
"בעשור לפני המלחמה ועד יוני 2025, ראשי הממשלה לא יזמו ולא קיימו בקבינט דיונים ייעודיים בנושא סייבר למעט פעם אחת ב-2018… הקבינט לא נחשף למכלול הסיכונים בתחום הסייבר".
"עד פרוץ המלחמה, מערך הסייבר לא ביצע מדידה סדורה ועקבית של רמת ההגנה במגזרים השונים ולא עקב לאורך שנים אחר מגמות ושינויים בה, אף שזה נדרש ממנו בהחלטת הממשלה. רק במהלך המלחמה המערך החל ליישם תהליך מדידה".
"חלק ממערך יחידות הסייבר המגזריות מתאפיין בחולשה תפקודית משמעותית", קבע.
הגבירה את איומי הסייבר, שלא זכו במענה הולם. מלחמת ישראל-חמאס. צילום: אילוסטרציה. Shutterstock
כשל מתמשך בחקיקה, בהסדרה ובמוכנות הארגונית
"זה שנים רבות קיימת הסכמה מקצועית במערכת הממשלתית ולפיה הטיפול בתחום הגנת הסייבר וההתמודדות עם האיומים הנשקפים לישראל מממד זה מחייבים הסדרה בחוק ייעודי", נכתב. "אולם במשך יותר מעשור לא השלים משרד רה"מ את הפעולות לצורך חקיקה בכנסת של חוק שכזה. ישראל נמצאת בפיגור ניכר באסדרת הסייבר, למרות הפעולות הרבות שביצע מערך הסייבר יחד עם גופים נוספים לקידום החוק".
"במהלך השנים מערך הסייבר לא תיקף את איום הייחוס הלאומי, כמתחייב בהחלטת ממשלה", ציין. "בהחלטת ממשלה נקבע שאחד מתפקידי המערך הוא לגבש תפישה לאומית לטיפול במצבי חירום בממד הסייבר. מערך הסייבר לא עדכן שנים רבות את מסמך 'התפישה הלאומית לניהול משבר סייבר' ותכולתה חסרה בכמה היבטים… מערך הסייבר לא הנחה את היחידות המגזריות לפעול לפי התפישה, גם לא בתקופת המלחמה. נמצאו פערים בשיתוף הפעולה בין גופים רלוונטיים להתמודדות עם פשיעת סייבר ומתקפות סייבר ממניעים כלכליים… לפני המלחמה המערך לא קיים ליחידות סקירות מודיעין, הועלו פערים הנוגעים לאופן שבו מערך הסייבר משתף מידע מודיעיני עם יחידות הסייבר המגזריות, המערך לא הקים פורום לשיתוף מידע ביניהן ולא שיתף אותן באופן מספק בתכנון הכלים שהוא מפתח בין היתר עבורן".
לפי המבקר, לפני המלחמה, שבעה משניים מהגופים שנבדקו קיבלו ציון 60 ומטה במדד ההפעלה של מסגרות ארגוניות וכלים להתמודדות עם אירוע סייבר משמעותי ולטיפול בו… זה מלמד על רמת מוכנות ארגונית נמוכה שלהם לאירוע משברי משמעותי. נמצאו פערים רוחביים: לארבעה מהגופים אין צוות פנימי או חיצוני, ב-48% מהגופים ועדת היגוי סייבר לא התכנסה כנדרש בשנה וחצי שלפני המלחמה, ב-38% מהגופים לא הוקם צוות הנהלה לניהול משבר סייבר ול-90.5% מהגופים אין ביטוח סייבר".
מערך הסייבר ומערך הדיגיטל לא פעלו לקדם מול מינהל הרכש פרסום מכרז מרכזי לשירותי תגובה על אירוע סייבר (IR) ואין מכרז מרכזי בנושא.
מערך הסייבר: רמת ההגנה של מגזרים מסוימים במשק מחייבת פעולה דחופה
לפני המלחמה, כתב אנגלמן, "שמונה משני גופים בעלי חשיבות במשק דיווחו שהיה אצלם פער בניתוח האיומים והסיכונים. בחלקם נתגלו פערים בתכנון ויישום אמצעים טכנולוגיים לגילוי אירועי סייבר… שניים מהגופים דיווחו שכלל לא יושם בהם מערך ניטור אירועי סייבר וטיפול בהם (SoC או SIEM)… חלק מהגופים העידו על פער באופן היערכותם לביצוע פעילויות להתמודד עם אירועי סייבר משמעותיים. הם עלולים להתקשות להתמודד עם אירועי סייבר משמעותיים והנזק יגדל… חמישה מ-3 גופים בעלי החשיבות במשק שחוו אירועי סייבר – מיישמים באופן חלקי לקחים מאירועים אלה".
לפי המבקר, "היה חסר מידע מהותי בניתוח של מאות אירועים בעלי פוטנציאל נזק משמעותי שאירעו בתקופת המלחמה במגזרים שונים. המידע החיוני שחסר נדרש כדי לגבש תמונת מצב וסטטוס של האירועים, לתחקר אותם ולהפיק לקחים ותובנות מערכתיים כדי למנוע את הישנותם ולשפר תהליכים".
"לפני המלחמה רמת ההגנה בתחום הסייבר בחלק מסוים מהמגזרים (לא גופי תמ"ק) לא הייתה מספקת", נכתב. "הפערים התחדדו במלחמה. נדרשות פעולות נוספות רבות… על המערך לגבש מפת דרכים ותוכנית עבודה כוללת לפעילות שהוא אחראי לה. תמונת המצב שהציג מערך הסייבר בנוגע לרמת ההגנה הלא מספקת של מגזרים מסוימים במשק, מחייבת פעולה דחופה".
תגובות
ממערך הדיגיטל הלאומי נמסר בתגובה לדו"ח המבקר כי הוא "פועל באופן שוטף ומקצועי לחיזוק ההיערכות של המגזר הממשלתי לאירועי סייבר, מקצה לקצה, הן בשגרה והן בחירום. המערך מוביל פעולות מניעה, ליווי מקצועי, תרגול והיערכות של משרדי הממשלה, וכן מפעיל בעת הצורך צוותי IR של המערך וספקים מקצועיים למתן מענה לאירועי סייבר בזמן אמת. חשוב להדגיש כי ביחס למגזר הממשלתי שבאחריותו, המערך פעל ופועל באופן רציף, אחראי ומקצועי. ככל שעולות טענות בדו"ח שאינן משקפות את מלוא הפעילות שבוצעה, הדברים ייבחנו ויוצגו לגורמים הרלוונטיים שנית".
תגובת מערך הסייבר הלאומי לדו"ח מבקר המדינה בנושא "היערכות המדינה לאירועי סייבר": "חוק הגנת הסייבר הלאומית שאושר אמש בקריאה ראשונה ישפר את רמת ההגנה בסייבר של ארגונים חיוניים ושל ספקים דיגיטליים ויחזק את משרדי הממשלה הרגולטורים להוביל את ההגנה במגזרים השונים, בהנחייה מקצועית של מערך הסייבר לאומי.
חשוב לציין כי פעילות ההגנה האינטנסיבית של מערך הסייבר הלאומי בתקופת המלחמה, יחד עם שותפיו למשימה, הביאה למניעת הישגים משמעותיים מהאויבים אשר לא הצליחו לפגוע ברציפות התפקוד הלאומית או בחיי אדם, כפי שניסו שוב ושוב.
מערך הסייבר הלאומי למד את ממצאי הדו"ח לעומק, כפי שהוא עושה עם כל ביקורת מקצועית, טיפל כבר בחלק מהנושאים שהועלו וימשיך לפעול ליישום הלקחים".
תגובות
(0)