גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  בארץ

דוח מבקר המדינה: "תשתיות הסייבר רעועות. היערכות המשק להתקפות אינה מספקת"

המבקר יוסף שפירא בדק את היערכות הסייבר של משרדי הממשלה ושל גופי תשתיות קריטיות וגילה ממצאים עגומים: "משרדי הממשלה מתקשים לקדם מהלכים אפקטיביים. המגזר האזרחי יתקשה לעמוד באתגר הגנת הסייבר ללא הנחיה והכוונה"

פורסם בתאריך: 06.05.2019, 12:00 מאת: אורי ברקוביץ'
בתי הזיקוק בחיפה. חשופים למתקפה? / צילום: תמר מצפי
בתי הזיקוק בחיפה. חשופים למתקפה? / צילום: תמר מצפי

מבקר המדינה, יוסף שפירא, עוסק בהיערכות של משרדי הממשלה להתקפת סייבר. מדובר בשדה הקרב העתידי, שבו המושגים עורף וחזית נעלמים לחלוטין. בשדה הסייבר, כל מכשיר בכולם - ממקרר ועד תחנת כוח - חשוף לפגיעה, גם אם אינו מחובר לרשת.

הבדיקות של מבקר המדינה התקיימו מיולי 2017 ועד יולי 2018. המבקר בחן את היערכות הסייבר של גופי תשתיות מדינה קריטיות (בהם בנק ישראל ובתי הזיקוק, דרך הרכבת, רשות שדות התעופה, חברת חשמל, הנמלים, רשות המסים ועד איגוד האינטרנט והבורסה לניירות ערך), משרדי ממשלה, יחידות סמך ויחידות הכוונה מגזריות במשרדי ממשלה. בנוסף, נבדקו פעולות מערך הסייבר והיחידה להגנת סייבר בממשלה, כאשר בדיקות השלמה נערכו בשב"כ.

הביקורת עדינה ובדוח מצוין כי הוא אינו כולל את כל המידע שאסף המבקר, משיקולי אבטחה. על פי הדוח, "ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח על שולחן הכנסת ולא לפרסם חלקים מפרק ביקורת זה לשם שמירה על ביטחון המדינה" - אך בין השורות בולטת קריאת השכמה למערכת.

הפרק הרלוונטי בדוח מבקר המדינה שפורסם היום פותח בסקירת של החלטות ממשלה, יישומן ודוחות קודמים של המבקר, כמו גם האבולוציה של הגופים עליהם הוטלה ההתמודדות עם האתגרים החדשים. הטיפול בהגנה על מערכות ממוחשבות חיוניות מפני תקיפות סייבר הוסדר אי אז ב-2002, בהחלטת הקבינט שהעניקה את הסמכות לשב"כ. סמכות זו מצויה כיום בידי מערך הסייבר הלאומי, אליו הועברה בפועל רק לפני שנתיים, ב-2017, מכוח החלטת ממשלה מ-2015 להקמת המערך באמצעות איחודם לגוף אחד של מטה ורשות הסייבר.

עיקרי הממצאים נוגעים למוכנות הגופים הנבדקים, ובראשם כמובן תשתיות קריטיות, ולהיערכות הגופים האחראים עליהם, ובהם המערך. בשורה התחתונה, על פי הדוח - בעת סיום הביקורת רק חלק מהתשתיות הקריטיות במדינה עמדו בהנחיות בהתאם לתורת הלחימה. תמונת המצב שהייתה בידי המערך "לא שיקפה את רמת מוכנות הגופים להתמודד עם התקפות סייבר". ואולם, לאחר מועד סיום הביקורת הציג המערך בפני משרד מבקר המדינה תמונת מצב מקיפה ועדכנית. דהיינו, מערך הסייבר השלים פערים והצליח להציג תמונה מלאה בפני המבקר. עם זאת, לא נכתב כי חל שיפור בעמידת גופי התשתית בהנחיות.

"טרם הושלם גיבוש נוסח חוק הסייבר"

מערך הסייבר, יש לציין, הוא גוף בבנייה. רק בסוף השבוע שעבר חשפנו ב"גלובס" מערכת חדשה שנבנית במערך במטרה לאפשר מיפוי ודירוג הפגיעויות של גופי תשתית קריטית ולצדה מערכת "אזרחית" שתאפשר יכולת דומה גם למגזר העסקי הפרטי, על בסיס וולונטרי. במערך מתכוונים להשלים את בניית המערכות בשנתיים הקרובות.

חלק מרכזי בתהליך בניית המערך כגוף בטחוני חדש בישראל לצד צה"ל, השב"כ והמוסד, הוא חקיקת חוק שיסדיר את פעולתו. תזכיר החוק פורסם לפני קרוב לשנה, לצורך קבלת הערות הציבור, אך, על פי הדוח, "במועד סיום הביקורת, כשלוש שנים לאחר קבלתה של החלטת הממשלה, ועל אף החשיבות הלאומית שבהסדרת ההגנה על המרחב האזרחי, טרם הושלמו התהליכים הנדרשים לגיבוש נוסח חוק הסייבר".

יש לציין כי העיכובים בהליך החקיקה נבעו במידה רבה מהרצון לנהל דיון מעמיק ומקיף עם כל הגופים הנוגעים בדבר, כולל מומחי משפט וארגוני חברה אזרחי שבראש מעינם הרצון למנוע ניצול לרעה עתידי של סמכויות הגוף, שפועל תחת משרד ראש הממשלה. הן מנסחי תזכיר החוק מטעם המערך, ובראשם היועץ המשפטי עמית אשכנזי, והן אנשי מחלקת יעוץ וחקיקה במשרד המשפטים אפשרו את המשך הדיון הרבה מעבר לסד הזמנים הקצר שמחייב החוק. עיכוב נוסף נגרם בשל הקדמת הבחירות.

עם זאת, מתריע המבקר כי בשל העובדה שסמכויות הארגון עדיין לא הוסדרו בחקיקה ראשית, "היעדר מקור נורמטיבי לסמכות עובדי המערך עלול להקשות את שיתוף הפעולה עם הגופים ולגרום להימנעותם של עובדי המערך מביצוע פעולות מסוימות (כגון לקיחת מחשבים לצורך בדיקה וביצוע בדיקות פורנזיות)".

דוח המבקר מציג גם את השורות התחתונות בבדיקת שלושה גופי תשתית קריטית, מבלי לנקוב בשמם. את עיקר הביקורת ניתן לסכם בגרירת רגליים. כך נאמר על היערכות "גוף תמ"ק א'" כי אף על פי ש"בשנת 2016 נעשתה ביקורת מקיפה של שירות הביטחון הכללי בגוף תמ"ק א'", עדיין, בביקורת הנוכחית "נמצאו פערים, בין היתר, בדיווחים למערך על אירועים ובנושאים נוספים". וכי "עד מועד סיום הביקורת לא השלים הגוף את תיקון חלק מהליקויים". על גוף שמכונה גוף תמ"ק ב' נכתב כי "עד מועד סיום הביקורת לא הוטמע רכיב הגנה מסוים" ואילו על גוף תמ"ק ג'" נכתב כי אין בנמצא בו "פק"ם התאוששות".

למשרדי הממשלה אין מסמך מדיניות אבטחת מידע וסייבר

גוף נוסף שנמצא בעין הביקורת הוא יה"ב. גוף שהוקם על סמך החלטת ממשלה מ-2015 במטרה לפעול לשיפור רמת הגנת הסייבר, לכוון ולהנחות את משרדי הממשלה ואת יחידות הסמך. ואולם, על פי הדו"ח נתונים שהתקבלו מיה"ב מצביעים על כך שלא כל היחידות מינו מנהל הגנת סייבר, לחלק ממשרדי הממשלה ויחידות הסמך אין בכלל מסמך מדיניות אבטחת מידע וסייבר וחלק ממשרדי הממשלה ויחידות הסמך טרם השלימו את תהליך סקר הסיכונים.

הגורם המבוקר השלישי הוא משרדי הממשלה שהחלטת ממשלה מ-2015 הסמיכה אותם לסדר את המרחב האזרחי באמצעות "יחידות להכוונה מגזרית והכנת עבודת מטה לבחינת התיקונים והשינויים המשפטיים הנדרשים". בהחלטה נקבע כי "היחידה תהיה כפופה למשרד הממשלתי שהיא שייכת אליו, בהתאם לסמכויות הרגולציה שלו, ותפעל על פי הנחיה מקצועית של המערך".

המבקר קובע כי "משרדי הממשלה מתקשים לעמוד בקצב הנדרש ולקדם מהלכים אפקטיביים להתמודדות. המגזר האזרחי יתקשה לעמוד באתגר הגנת הסייבר ללא הנחיה והכוונה. יש חשש כי ללא הובלה ממשלתית ראויה ייוותר המשק חשוף להתקפות סייבר".

עוד כתבות

כפר ערב אל-עראמשה / צילום: איל יצהר

הותר לפרסום: 6 לוחמים נפצעו קשה בגליל, 8 נוספים במצב בינוני וקל

אדם נפצע אנוש, שניים נפצעו קשה, ארבעה במצב בינוני והשאר קל בפגיעה ישירה בערב אל-עראמשה ● דיווח: בארה"ב מעריכים שישראל תבצע תקיפה מצומצמת בשטח איראן • איראן: "כל תקיפה של ישראל בשטחנו תיענה בתגובה חזקה ונחרצת" • בגליל המערבי: נפילות בשטחים פתוחים אחרי כ-5 שיגורים מלבנון, לא ידוע על נזק או על נפגעים • הפעילות במרכז הרצועה: כוחות הנח"ל חיסלו מחבל באמצעות רחפן • עדכונים שוטפים

מסילות רכבת בחדרה, באזור מתחם 27 / צילום: תמר מצפי

המאבק שתוקע הכפלת מסילת הרכבת ופיתוח קרקע ביותר ממיליארד שקל

הוועדה לתשתיות לאומיות רוצה להפקיע כ-400 דונם במערב חדרה ● בעלי הקרקעות עתרו לבג"ץ והזהירו: ההפקעה, הפיצויים וביטול אזור התעסוקה יגרמו נזק של יותר ממיליארד שקל

איך עובד מדד הפחד והאם אפשר להרוויח ממנו? / עיצוב: טלי בוגדנובסקי (נוצר בעזרת adobe firefly)

לאמיצים בלבד: איך עובד מדד הפחד והאם אפשר להרוויח ממנו?

המתיחות בין איראן לישראל הביאה את מדדי הפחד בארץ ובחו"ל להיסחר סביב שיא של חמישה חודשים ● ממה מורכבים מדד הפחד הישראלי והאמריקאי? איך משקיעים בהם? ואיזה פרדוקס גלום בתוכם? ● גלובס עושה סדר

סניף של ביטוח לאומי בבאר שבע / צילום: טלי בוגדנובסקי

אלפי עסקים עלולים לגלות בקרוב שהם חייבים לביטוח לאומי מיליוני שקלים

אלפי מעסיקים קיבלו לאחרונה מכתב מהמוסד לביטוח לאומי, שממליץ להם לדווח מרצון על ניכוי הוצאות עובדיהם השכירים מהברוטו לצורכי תשלום דמי הביטוח הלאומי ● הדיווח יהיה רטרואקטיבי, משנת 2017 ואילך ● מעסיק שלא יעשה זאת חשוף לביקורת ולקנסות

מארק קיובן / צילום: ap, Mark Schiefelbein

המיליארדר שהתחיל כמוכר שקיות אשפה חושף כמה מסים שילם ואומר: "אני שמח"

"אני משלם את מה שאני צריך. ארה"ב עשתה הרבה בשבילי, ואני גאה להחזיר לה במסים כל שנה", אומר המיליארדר מארק קיובן, שצפוי שלם מס של 275.9 מיליון דולר על הרווחים שלו ב-2023

הפגנה של פרו-פלסטינים נגד גוגל, 2022 / צילום: ap, Eric Risberg

הפגנות ומעצרים: פרויקט נימבוס הישראלי מעורר סערה בארה"ב

מספר עובדי גוגל פתחו בשביתת מחאה נגד העבודה של החברה עם ממשלת ישראל במסגרת פרויקט נימבוס להעברת המחשוב הממשלתי לענן ● באתר Wired דווח כי עשרות עובדים התבצרו במשרדי החברה בניו יורק ובקליפורניה, ואחרי מספר שעות, האבטחה של גוגל האשימה אותם ב"הסגת גבול"

חברת ארמיס / צילום: שלומי יוסף

ארמיס רוכשת חברת סייבר ישראלית ב-150 מיליון דולר

סילק מפתחת פלטפורמה המאפשרת למנהלי אבטחת מידע לזהות ולתעדף שלל חולשות ואף לתקן אותן ● לאחר הרכישה, ארמיס תטמיע את הפלטפורמה של החברה בתוך המערכות והפלטפורמה שלה

אווטאר של חברה וירטואלית ב־Replika / צילום: מתוך אתר החברה

לא רק ChatGPT: שישה כלי AI שכדאי להכיר

בשוק יש היום שורה של צ'אטבוטים ייעודיים למשימות נקודתיות ● אלה יכולים לסייע הן בחיים האישיים והן בחיים המקצועיים - מכתיבת קורות חיים, דרך חבר וירטואלי ועד שיווק

ד''ר משה כהן / צילום: תמונה פרטית

האם בקרוב יוקם בית ספר נוסף לרפואה במיקום מפתיע?

ד"ר משה כהן פועל בימים אלה מול המל"ג להגשמת החזון שלו -  בית ספר בינלאומי לרפואה באילת, בהשקעה של 250 מיליון שקל ● התוכנית כוללת שיתוף־פעולה הדוק עם אוניברסיטאות בעולם וחיזוק לבית החולים יוספטל ● האם יצליח היכן שרייכמן נתקל בהתנגדות, ומי המלונאי שרתם לגיוס הכסף?

המדינה מאפשרת יבוא הולך וגובר של חומרי מחצבה ממחצבות פלסטיניות / צילום: Shutterstock

"סכנה של ממש": מה נחשף בתביעה של מפעילת מחצבה ישראלית?

תביעה של מפעילת מחצבה באזור בית שאן חשפה כי היקף חומרי המחצבה שנכנסו לישראל דרך מעבר ג'למה שבצפון זינק בשנתיים האחרונות ● על פי ההערכות, 15% מכלל החצץ המשמש בישראל מגיע מהרשות - שיעור שצפוי עוד לגדול

יירוטים באשקלון מהתקיפה האיראנית / צילום: Reuters, Amir Cohen

המתקפה האיראנית ייקרה את עלויות גיוס החוב של ישראל

בתחילת החודש עמדה התשואה על אג"ח ממשלתי של ישראל לתקופה של עשר שנים על 140 נקודות אחוז מעל התשואה של אג"ח אמריקאי מקביל ● בעקבות ההתלקחות, זינקה התשואה על אגרות החוב של ישראל לפער של כ-180 נקודות בסיס מעל ארה"ב ● בהמשך השבוע נרגעה מעט ה"הסלמה" בתשואות האג"ח הישראלי

וול סטריט / צילום: Shutterstock

נעילה אדומה בוול סטריט; מחירי הנפט צללו בכ-3%

הנאסד"ק ירד ב-1.2% ● מדד הקאק עלה ב-0.6% ● ירידה במדד המחירים לצרכן בבריטניה, אך מעל הצפי ● יצרנית השבבים ההולנדית ASML יורדת ב-5% ●  ג'יי.פי. מורגן: "היסטורית, רכישת זהב לא מצדיקה את הסיכון" • מיקרוסופט תשקיע 1.5 מיליארד דולר בחברת ה-AI מאיחוד האמירויות • יו"ר הפד מודה: "אין התקדמות במאבק באינפלציה"

מטוס אל על / צילום: דני שדה

תזכורת מאל על: המניות שנכנסו בסערה למדדים המובילים בת"א, ואז בעיקר צנחו

השבוע תפרסם הבורסה את עדכוני המדדים שלה ולפי הערכות יצטרפו למדד 125 היוקרתי אל על ואלקטריון ● בפעם הקודמת ששתיהן נכנסו למדד אחרי זינוק חד במניות שלהן, הן צנחו בחדות ● "כך זה עובד בכל העולם", מסבירים בבורסה. אבל ספק אם ההיסטוריה תחזור על עצמה

נשיא ארה''ב, ג'ו ביידן / צילום: Associated Press, Jacquelyn Martin

ביידן בקריאה לקונגרס במאמר מיוחד: "לאשר בדחיפות את הסיוע הביטחוני לישראל ולאוקראינה"

הנשיא האמריקני הבהיר: "זה לא הזמן לנטוש את ידידותינו, לא מתקבל על הדעת שנעמוד מנגד" • על המתקפה האיראנית אמר ביידן: "איראן רוצה למחוק את המדינה היהודית היחידה מעל המפה" • עוד הזהיר הנשיא: "ארה"ב עלולה להיגרר למלחמה, אסור שנניח להגנה של ישראל להיחלש"

הטרנד שמרוויח מהריבית / אילוסטרציה: Shutterstock

הקאמבק של הקרנות הכספיות: המשקיעים חוזרים לטרנד שמרוויח מהריבית

בסוף 2023 נראה היה שהקרנות הכספיות דועכות. אבל מאז, האפיק הסולידי הציג התאוששות מסחררת שהגיעה לשיא החודש עם גיוסי עתק של 3 מיליארד שקל בשבועיים - פי שניים מבכל פברואר ● מומחה: "המשקיעים הבינו שהריבית הגבוהה תישאר"

יצחק קרויזר, עוצמה יהודית / צילום: נועם מושקוביץ, דוברות הכנסת

האם שיעורי הגיוס באוכלוסייה הכללית נמצאים במגמת ירידה?

האם שיעורי הגיוס יורדים בחברה הכללית כפי שטוען ח"כ יצחק קרויזר? פירקנו לגורמים ● המשרוקית של גלובס

בנימינה / צילום: נעמה מצגר טבול

"משלמים שכר דירה של 7,000 שקל בחודש ולא מקבלים דירה": הפרויקט שהסתבך והעלויות

ב־2018 זכו 18 משפחות בהגרלה של מחיר למשתכן בבנימינה, אולם עד כה הפרויקט לא התקדם ● היזם מאשים את המועצה והוועדה המרחבית שלא מאפשרות להוציא היתר בנייה, והוועדה טוענת שההיתרים שהגיש היזם אינם תואמים את תוכנית הבינוי החדשה ותרמו לעיכוב

בית הנבחרים בוושינגטון / צילום: ap, Jacquelyn Martin

להשתמש בישראל כדי לדחוף את אוקראינה אל גרונו של העם האמריקאי

זה מה שאומר ציר בית הנבחרים הימני הקיצוני בארה"ב על תכסיס פרלמנטרי שנועד לאפשר סיוע צבאי לאוקראינה, לישראל ולטייוואן ● במקביל, הימין שוקל להדיח את יו"ר בית הנבחרים על נכונותו להתפשר ● "הם רוצים שהעולם יעלה בלהבות", אומר הציר הדמוקרטי

עיבוד: טלי בוגדנובסקי, צילומים: יח''צ, איל יצהר

בדיקת רשות ניירות ערך והשאלה: מה שמותר לנתן חץ ולדוד פורר אסור לאחים אמיר?

האחים יוסי ושלומי אמיר התקפלו השבוע בפני הרגולטור והחילו על עצמם "וולונטרית" את ההגבלות של בעלי שליטה ● אבל האחים אמיר הם לא היחידים שהתנהלו כמו בעלי שליטה ללא ההגבלות, אז מדוע דווקא הם תפסו את תשומת הלב של רשות ניירות ערך?

צוות המייסדים של מנטי רובוטיקס / צילום: Mentee Robotics

ישטוף כלים ויעשה כביסה? אמנון שעשוע משיק רובוט דמוי אדם

הרובוט המכונה "מנטיבוט", פותח במסגרת חברה שהקים שעשוע לפני כשנתיים עם פרופ' ליאור וולף, שבעבר היה חוקר בינה מלאכותית במטא ● מדובר ברובוט דמוי אדם המיועד לבצע מטלות בסיסיות במשקי הבית או במחסנים תעשייתיים