דו"ח המבקר: ליקויים באבטחת הסייבר של תשתיות לאומיות קריטיות

דו"ח מבקר המדינה שהתפרסם היום (ג') קבע כי ליקויים נמצאו בהגנה הפיזית, הסביבתית ובמעטפת האבטחה של ה-IT, התקשורת וחוות השרתים של גופי תשתיות מדינה קריטיות (תמ"ק) וגופי תשתיות חיוניות – משרדי ממשלה, גופים ציבוריים ופרטיים.

"פגיעה בפעילותם עלולה להביא לפגיעה בחיי אדם, לפגיעה באספקת שירות ציבורי חיוני, או לנזק פיזי או כלכלי ניכר. פערים אלה עלולים להביא לפגיעה בתפקוד חדרי השרתים וחדרי התקשורת של הגופים וכפועל יוצא מכך – לפגיעה בעת תרחישי אסון שיפגעו באספקת שירותים חיוניים", כך קבע מתניהו אנגלמן, מבקר המדינה.

המבקר פרסם היום אחה"צ עשרה דו"חות, שאחד מהם הוא הדו"ח בנושא "הגנת תשתיות תקשוב לאומיות: היבטים פיזיים, סביבתיים ורציפות תפקודית".

"יש לשמור על פעילותן התקינה של מערכות ה-IT ולמנוע פגיעה בהן, העלולה לגרום להשבתת פעילות הארגון או לפגיעה באבטחת המידע שלו – זמינות, מהימנות וסודיות", כתב המבקר. "יש להביא לרציפות התפקודית של הגופים, כדי שיוכלו להמשיך לספק את השירותים החיוניים בשעת משבר ולמזער את הנזקים שייגרמו עקב אירוע חריג. על הארגונים להיערך למשבר בעוד מועד, ובכלל זה לגבש מדיניות המשכיות עסקית הכוללת הגדרת יעדים ומטרות של שרידות והתאוששות במצבי חירום. על הארגונים לגבש, לתקף ולתרגל תוכנית המשכיות עסקית (BCP), הכוללת תוכנית התאוששות מאסון (DRP) לחידוש פעילות המערכות התומכות בתהליכים הקריטים בארגון".

ליקויים בהנחיה, בפיקוח ובמוכנות לשעת חירום

הביקורת נעשתה בגופי האסדרה בסייבר, במערך הסייבר הלאומי, במטה לביטחון לאומי (המל"ל) ובשירות הביטחון הכללי (השב"כ), ברשות להגנת הפרטיות, במערך הדיגיטל הלאומי, לרבות ביחידה להגנת הסייבר בממשלה (יה"ב), ברשות החירום הלאומית (רח"ל), במינהל הרכש הממשלתי ובמינהל הדיור הממשלתי, במשטרת ישראל וביחידות סייבר מגזריות.

בסך הכל נבדקו 26 חדרי שרתים וחדרי תקשורת, בבדיקה שאיננה מדגם מייצג. ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה לפרסם רק חלקים מהדו"ח, מטעמי ביטחון המדינה.

"מערך הסייבר והשב"כ, שאחראים להנחיה של גופי תמ"ק, הוציאו להם הנחיות חלקיות ונמצאו פערים: הם לא הוציאו הנחיות לגופי התמ"ק בהיבטי הגנה סביבתית על חדרי שרתים ותקשורת; הוציאו הנחיות חלקיות בנושא הגנה פיזית ובהיבטי רציפות תפקודית. נמצאו פערים באופן הפצת ההנחיה של מערך הסייבר שעסקה בנושא רציפות תפקודית ובפעולות המערך לבדיקת אופן יישומה", נכתב. עוד נמצא כי "בחלק מהגופים הקריטיים קיימים פערים בהיבטים של רציפות תפקודית ושל הגנה פיזית וסביבתית על חדרי שרתים ותקשורת".

"בשלוש השנים שלפני הביקורת", נכתב, "נמצאו פערים בפעולות ההנחיה והפיקוח שקיים מערך הסייבר בנושא הגנה פיזית על חדרי שרתים ותקשורת בגופי התמ"ק שנבדקו; חסר מידע בנוגע לפעולות הבקרה שנעשו לגבי עמידת הגוף המונחה בדרישות התו"ל הייעודי; לא נכללו בקובצי הבקרה פערים מסוימים שמצא משרד מבקר המדינה בהיבטי הגנה פיזית בחלק מגופי התמ"ק שנבדקו; וכן לא דווח להנהלה בגוף המונחה הרלוונטי על ליקויים בנושא ההגנה הפיזית".

"הרשות להגנת הפרטיות לא ביצעה כלל פעילות פיקוח רוחב במשרדי הממשלה" 

"בהיעדר תקנות בהיבטי הגנה סביבתית ורציפות תפקודית, הרשות להגנת הפרטיות המאסדרת בתחום אבטחת המידע בכלל מאגרי המידע המנוהלים בתשתיות ממוחשבות וכוללים מידע אישי בישראל – לא פרסמה לכלל המשק הנחיות או המלצות לאבטחת מאגרי המידע בהיבטים אלה לצורך הגנה על שלמות המידע וסודיותו, זאת אף עבור מאגרי המידע ברמת אבטחה גבוהה. בנוגע להגנה פיזית, למעט הוראה חלקית, הרשות לא פרסמה הנחיות בנושאים הכלולים בנורמות מקובלות. משך חמש שנים, הרשות להגנת הפרטיות לא ביצעה כלל פעילות פיקוח רוחב בכל משרדי הממשלה (100%) ובחלק מגופי התמ"ק. זאת למרות שחלק ממאגרי המידע הם מאגרי מידע גדולים ומשמעותיים ובהם מצוי מידע אישי בעל רגישות מיוחדת על כלל תושבי המדינה. כשהרשות פיקחה, היא לא כללה היבטי הגנה פיזית, בהתאם לתקנות".

"למרות שלפי החלטת ממשלה, מערך הסייבר הוא המנחה המקצועי של יחידות הסייבר המגזריות, המערך הסתפק בהמלצה בלבד ליחידות הסייבר המגזריות ליישם את תורת ההגנה… חמש (83%) משש יחידות הסייבר המגזריות הוציאו הנחיות חלקיות בלבד בנוגע לאבטחת חדרי שרתים ותקשורת… נמצאו פערים בהגנה הפיזית והסביבתית על חדרי שרתים ותקשורת וברציפות התפקודית של גופים שמונחים על ידי יחידות הסייבר המגזריות… נמצאו פערים בכל הנושאים – בחלק מהגופים שמונחים… חלק מיחידות הסייבר המגזריות לא ערכו בקרה על הדיווח, וייתכנו פערים בין תמונת המצב שבידי יחידות הסייבר המגזריות למצב בפועל".

"קיימים פערים בהיבטי רציפות תפקודית של משרדי ממשלה… רק במלחמת חרבות ברזל, מערך הדיגיטל קידם תוכנית פעולה לצמצום הפערים. ואולם התוכנית אינה נותנת מענה מלא לפערים, ויישומה מורכב, לא מוסדר ודורש משאבים רבים".

"תמונת המצב שבידי רח"ל, האמונה על הצגת תמונת מצב לממשלה בנוגע למוכנות העורף במצבי משבר וחירום – אינה משקפת את הפערים הקיימים בהיבטי רציפות תפקודית במשרדי ממשלה. מערך הדיגיטל ומערך הסייבר אינם מנחים את משרדי ויחידות הממשלה לכלול את היעדים הלאומיים שרח"ל הגדירה".

"קיימים פערים בהכשרה שמקיים מערך הסייבר לממוני הביטחון בגופי תמ"ק בנושא אבטחת מערכות ממוחשבות חיוניות בחלק מההבטים הנוגעים לביקורת".

"בשל ההשפעות החמורות שיש לפגיעה בתפקודן של מערכות המידע בגופי תשתיות קריטיות", סיכם המבקר, "נדרשת הגנה מוגברת עליהן מפני איומים פיזיים וסביבתיים, לצד שמירה על הרציפות התפקודית של גופים אלה".