גלובס - עיתון העסקים של ישראלאתר נגיש

לאתר הרגיל | פורטל פיננסי | | |

דוח מבקר המדינה: "תשתיות הסייבר רעועות. היערכות המשק להתקפות אינה מספקת"

המבקר יוסף שפירא בדק את היערכות הסייבר של משרדי הממשלה ושל גופי תשתיות קריטיות וגילה ממצאים עגומים: "משרדי הממשלה מתקשים לקדם מהלכים אפקטיביים. המגזר האזרחי יתקשה לעמוד באתגר הגנת הסייבר ללא הנחיה והכוונה"

פורסם בתאריך: 06.05.2019, 12:00 מאת: אורי ברקוביץ'

בתי הזיקוק בחיפה. חשופים למתקפה? / צילום: תמר מצפי

מבקר המדינה, יוסף שפירא, עוסק בהיערכות של משרדי הממשלה להתקפת סייבר. מדובר בשדה הקרב העתידי, שבו המושגים עורף וחזית נעלמים לחלוטין. בשדה הסייבר, כל מכשיר בכולם - ממקרר ועד תחנת כוח - חשוף לפגיעה, גם אם אינו מחובר לרשת.

הבדיקות של מבקר המדינה התקיימו מיולי 2017 ועד יולי 2018. המבקר בחן את היערכות הסייבר של גופי תשתיות מדינה קריטיות (בהם בנק ישראל ובתי הזיקוק, דרך הרכבת, רשות שדות התעופה, חברת חשמל, הנמלים, רשות המסים ועד איגוד האינטרנט והבורסה לניירות ערך), משרדי ממשלה, יחידות סמך ויחידות הכוונה מגזריות במשרדי ממשלה. בנוסף, נבדקו פעולות מערך הסייבר והיחידה להגנת סייבר בממשלה, כאשר בדיקות השלמה נערכו בשב"כ.

הביקורת עדינה ובדוח מצוין כי הוא אינו כולל את כל המידע שאסף המבקר, משיקולי אבטחה. על פי הדוח, "ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח על שולחן הכנסת ולא לפרסם חלקים מפרק ביקורת זה לשם שמירה על ביטחון המדינה" - אך בין השורות בולטת קריאת השכמה למערכת.

הפרק הרלוונטי בדוח מבקר המדינה שפורסם היום פותח בסקירת של החלטות ממשלה, יישומן ודוחות קודמים של המבקר, כמו גם האבולוציה של הגופים עליהם הוטלה ההתמודדות עם האתגרים החדשים. הטיפול בהגנה על מערכות ממוחשבות חיוניות מפני תקיפות סייבר הוסדר אי אז ב-2002, בהחלטת הקבינט שהעניקה את הסמכות לשב"כ. סמכות זו מצויה כיום בידי מערך הסייבר הלאומי, אליו הועברה בפועל רק לפני שנתיים, ב-2017, מכוח החלטת ממשלה מ-2015 להקמת המערך באמצעות איחודם לגוף אחד של מטה ורשות הסייבר.

עיקרי הממצאים נוגעים למוכנות הגופים הנבדקים, ובראשם כמובן תשתיות קריטיות, ולהיערכות הגופים האחראים עליהם, ובהם המערך. בשורה התחתונה, על פי הדוח - בעת סיום הביקורת רק חלק מהתשתיות הקריטיות במדינה עמדו בהנחיות בהתאם לתורת הלחימה. תמונת המצב שהייתה בידי המערך "לא שיקפה את רמת מוכנות הגופים להתמודד עם התקפות סייבר". ואולם, לאחר מועד סיום הביקורת הציג המערך בפני משרד מבקר המדינה תמונת מצב מקיפה ועדכנית. דהיינו, מערך הסייבר השלים פערים והצליח להציג תמונה מלאה בפני המבקר. עם זאת, לא נכתב כי חל שיפור בעמידת גופי התשתית בהנחיות.

"טרם הושלם גיבוש נוסח חוק הסייבר"

מערך הסייבר, יש לציין, הוא גוף בבנייה. רק בסוף השבוע שעבר חשפנו ב"גלובס" מערכת חדשה שנבנית במערך במטרה לאפשר מיפוי ודירוג הפגיעויות של גופי תשתית קריטית ולצדה מערכת "אזרחית" שתאפשר יכולת דומה גם למגזר העסקי הפרטי, על בסיס וולונטרי. במערך מתכוונים להשלים את בניית המערכות בשנתיים הקרובות.

חלק מרכזי בתהליך בניית המערך כגוף בטחוני חדש בישראל לצד צה"ל, השב"כ והמוסד, הוא חקיקת חוק שיסדיר את פעולתו. תזכיר החוק פורסם לפני קרוב לשנה, לצורך קבלת הערות הציבור, אך, על פי הדוח, "במועד סיום הביקורת, כשלוש שנים לאחר קבלתה של החלטת הממשלה, ועל אף החשיבות הלאומית שבהסדרת ההגנה על המרחב האזרחי, טרם הושלמו התהליכים הנדרשים לגיבוש נוסח חוק הסייבר".

יש לציין כי העיכובים בהליך החקיקה נבעו במידה רבה מהרצון לנהל דיון מעמיק ומקיף עם כל הגופים הנוגעים בדבר, כולל מומחי משפט וארגוני חברה אזרחי שבראש מעינם הרצון למנוע ניצול לרעה עתידי של סמכויות הגוף, שפועל תחת משרד ראש הממשלה. הן מנסחי תזכיר החוק מטעם המערך, ובראשם היועץ המשפטי עמית אשכנזי, והן אנשי מחלקת יעוץ וחקיקה במשרד המשפטים אפשרו את המשך הדיון הרבה מעבר לסד הזמנים הקצר שמחייב החוק. עיכוב נוסף נגרם בשל הקדמת הבחירות.

עם זאת, מתריע המבקר כי בשל העובדה שסמכויות הארגון עדיין לא הוסדרו בחקיקה ראשית, "היעדר מקור נורמטיבי לסמכות עובדי המערך עלול להקשות את שיתוף הפעולה עם הגופים ולגרום להימנעותם של עובדי המערך מביצוע פעולות מסוימות (כגון לקיחת מחשבים לצורך בדיקה וביצוע בדיקות פורנזיות)".

דוח המבקר מציג גם את השורות התחתונות בבדיקת שלושה גופי תשתית קריטית, מבלי לנקוב בשמם. את עיקר הביקורת ניתן לסכם בגרירת רגליים. כך נאמר על היערכות "גוף תמ"ק א'" כי אף על פי ש"בשנת 2016 נעשתה ביקורת מקיפה של שירות הביטחון הכללי בגוף תמ"ק א'", עדיין, בביקורת הנוכחית "נמצאו פערים, בין היתר, בדיווחים למערך על אירועים ובנושאים נוספים". וכי "עד מועד סיום הביקורת לא השלים הגוף את תיקון חלק מהליקויים". על גוף שמכונה גוף תמ"ק ב' נכתב כי "עד מועד סיום הביקורת לא הוטמע רכיב הגנה מסוים" ואילו על גוף תמ"ק ג'" נכתב כי אין בנמצא בו "פק"ם התאוששות".

למשרדי הממשלה אין מסמך מדיניות אבטחת מידע וסייבר

גוף נוסף שנמצא בעין הביקורת הוא יה"ב. גוף שהוקם על סמך החלטת ממשלה מ-2015 במטרה לפעול לשיפור רמת הגנת הסייבר, לכוון ולהנחות את משרדי הממשלה ואת יחידות הסמך. ואולם, על פי הדו"ח נתונים שהתקבלו מיה"ב מצביעים על כך שלא כל היחידות מינו מנהל הגנת סייבר, לחלק ממשרדי הממשלה ויחידות הסמך אין בכלל מסמך מדיניות אבטחת מידע וסייבר וחלק ממשרדי הממשלה ויחידות הסמך טרם השלימו את תהליך סקר הסיכונים.

הגורם המבוקר השלישי הוא משרדי הממשלה שהחלטת ממשלה מ-2015 הסמיכה אותם לסדר את המרחב האזרחי באמצעות "יחידות להכוונה מגזרית והכנת עבודת מטה לבחינת התיקונים והשינויים המשפטיים הנדרשים". בהחלטה נקבע כי "היחידה תהיה כפופה למשרד הממשלתי שהיא שייכת אליו, בהתאם לסמכויות הרגולציה שלו, ותפעל על פי הנחיה מקצועית של המערך".

המבקר קובע כי "משרדי הממשלה מתקשים לעמוד בקצב הנדרש ולקדם מהלכים אפקטיביים להתמודדות. המגזר האזרחי יתקשה לעמוד באתגר הגנת הסייבר ללא הנחיה והכוונה. יש חשש כי ללא הובלה ממשלתית ראויה ייוותר המשק חשוף להתקפות סייבר".

עוד כתבות

דיון בבג''ץ / צילום: עמית שאבי, פול ידיעות אחרונות

בג"ץ בצו על-תנאי ללוין: נמק מדוע אינך מכנס את הוועדה לבחירת שופטים

לפי הצו, שר המשפטים ינמק עד 8 במרץ מדוע לא כינס את הוועדה לבחירת שופטים מאז ינואר 2025 לצורך איוש התקנים החסרים בכל ערכאות הרשות השופטת ● הצו ניתן בהמשך לדיון שנערך בנושא ביום חמישי האחרון, במסגרתו השופט אלכס שטיין סיפר בין היתר כי "נאלצתי אישית לשחרר שלושה אנשים בתיקי רצח" בשל המחסור בשופטים ● מנגד, לוין טען כי החוק נותן לו שיקול-דעת לפעול בהתאם לאידאולוגיה שלו

רשות התחרות תקנוס בכ-18 מיליון שקל את החברה המרכזית למשקאות

העיצומים פורסמו להערות הציבור לקראת ביצועם, והם יוטלו בגין הפרות שקשורות בין היתר להתערבות בקביעת מחירי המדף של מוצרי טרה, שנמצאים בשליטת החברה, וכן בשל חשד להתערבות במיקום המוצרים על המדפים ברשתות השיווק

מימין: רועי זיסאפל, שבתאי אדלרסברג, דורון בלשר / צילום: יח''צ, תמר מצפי, ניר סלקמן

הישראלית שנכנסה לרשימת המניות המומלצות של אופנהיימר

במדור השבועי של גלובס, בדקנו מה קרה למניות הישראליות הבולטות בוול סטריט בסוף השבוע ● רדוור קפצה לאחר שהחברה הודיעה על תוכנית לרכישה עצמית של מניות ● לאחר שמנייתה הגיעה לשיא לפני כשבועיים, על רקע ההאצה בביקוש לחשמל לתשתיות AI - אורמת נכנסה לרשימת המניות הישראליות המומלצות של אופנהיימר ● ואודיוקודס נסחרת סביב רמות שפל של שנתיים

נשיא ארה''ב דונלד טראמפ והמנהיג העליון של איראן עלי חמינאי / צילום: ap, Alex Brandon, khamenei.ir

באיראן פסימיים לגבי המו"מ, ומאיימים: "טראמפ ילמד לקח"

צה"ל תקף מחבלים מארגון הטרור הג'יהאד האיסלאמי במרחב מג'דל ענג'ר שבלבנון ● חוסלו שני מחבלים במרחב הקו הצהוב שביצעו פעולות חשודות בקרקע והתקרבו לכוחות צה"ל הפועלים בצפון הרצועה ● בנו של השאה האיראני הגולה: "מתקפה עשויה להאיץ את נפילת המשטר" ● עדכונים שוטפים

ויקטור וקרט, מנכ''ל לאומי פרטנרס / צילום: הגר בדר

ההשקעה החדשה של לאומי פרטנרס

לאומי פרטנרס ממשיכה בגל ההשקעות: רוכשת 17% מחברת הנדל"ן אבני דרך לפי שווי של 460 מיליון שקל אחרי הכסף

מדד המחירים לצרכן יורד / אילוסטרציה: Shutterstock

מה יעשה הנגיד: הסעיפים במדד שמסבכים את החלטת הריבית בשבוע הבא

ימים ספורים לפני החלטת הריבית של בנק ישראל, קצב האינפלציה השנתי הגיע ל-1.8%, הרמה הנמוכה ביותר מאז יוני 2021 ● בין הגורמים המשמעותיים ביותר בהחלטת בנק ישראל ניצב השקל, שהתחזק מאוד בחודשים האחרונים ואף שבר שיא של 30 שנה ביחס לדולר

טראמפ רוצה דולר חלש, ובנק ישראל לא צפוי להתערב / צילום: Shutterstock

כטריליון שקל עדיין חשופים לנפילת המט"ח. מומחים: הגנה מפני תרחישי קיצון גיאו-פוליטיים

ניתוח נתוני בנק ישראל חושף כי למרות מגמת ההיחלשות של הדולר, כטריליון שקל מחסכונות הציבור עדיין חשופים לתנודות מט"ח ● בשוק מסבירים שחשיפה מאוזנת עשויה לשמש "כרית הגנה" מפני תרחישי קיצון גיאו־פוליטיים שעלולים להפוך את המגמה בשווקים

דנה עזריאלי הופכת למנכ"לית הקבועה של הקבוצה ועוזבת את תפקיד היו"ר

כעבור חצי שנה כממלאת-מקום, מכריזה קבוצת עזריאלי על מינויה של דנה עזריאלי למנכ"לית הקבועה ● לצד זאת היא תפנה את תפקיד היו"ר אותו היא ממלאת מאז 2014, ובמקומה תמונה אירית סקלר-פילוסוף

נושאת המטוסים ג'רלד פורד, עמוסה במטוסי קרב ובכלי טיס אחרים / צילום: Reuters, Christopher Drost/ZUMA Press Wire

עם 75 מטוסים ו-4,500 חיילים: היכולות של כלי המלחמה היקר ביותר בעולם

במקביל להתנהלות המשא ומתן בין ארה"ב לאיראן, ספינת המלחמה ג'רלד פורד - שתג המחיר שלה עומד על 13.3 מיליארד דולר - עושה את דרכה למרחב הים התיכון ● גלובס עושה סדר בכל הקשור ליכולות, תפעול ועלויות נושאת המטוסים המתקדמת של ארה"ב

האתגרים הצפויים במכירת ענקית הספנות צים / צילום: Craig Cooper

העובדים והרגולציה: האתגרים הצפויים במכירת ענקית הספנות צים

קרן פימי והפג־לויד הגרמנית צפויות לרכוש את צים תמורת 3.7 מיליארד דולר, באופן שיותיר את חברת התובלה הימית תחת בעלות ישראליות ● ועד העובדים כבר הכריז על שביתה מחשש לפיטורים המוניים לאחר החתימה המסתמנת על העסקה ● כעת, הכדור צפוי לעבור לידיים של הממשלה שתבחן אותה

בעלים של רשת אופנה גדולה שם קץ לחייו

הרשת, בעלת עשרות סנפים ברחבי הארץ, נקלעה לקשיים כלכליים

אלי גליקמן, נשיא ומנכ''ל צים / צילום: don-monteaux-photography

בדרך לעסקת ענק בצים: אלה הזוכות במכרז

הפג לויד הגרמנית חברה לקרן פימי, והשתיים הגישו את ההצעה שזכתה במכרז ● ההצעה של הפג לויד נחשפה לראשונה בגלובס ● העסקה הייחודית תפצל את הפעילות של חברת הספנות לישראלית וזרה ● לחברה הגרמנית יש בעלים מקטאר וערב הסעודית ● צים תימחק מהמסחר בניו יורק באמצעות מיזוג משולש הופכי ● עובדי צים הופתעו מהעסקה ועשויים לפתוח בצעדי מחאה

מיכל מור, מנכ''לית ומייסדת סמארט שוטר / צילום: מאיה חבקין

הביטחונית החדשה שמגיעה לבורסה בת"א לפי שווי של 700 מיליון שקל

סמארט שוטר, המייצרת מערכות בקרת אש אלקטרו-אופטיות, תנסה לגייס 200 מיליון שקל במסגרת הנפקה ראשונית ● בין בעלי המניות: חברות הביטוח הפניקס והכשרה והאלוף במיל' ניצן אלון

ועד העובדים בצים הודיע על שביתה בעקבות מכירת החברה

על רקע המגעים למכירת השליטה לקרן פימי והפג לויד, ועד העובדים בצים הכריז על שביתת אזהרה והשבית את פעילות מטה החברה בישראל

לעבוד בהייטק / צילום: Shutterstock, dotshock

משבר הג'וניורים כבר כאן? מעל 16 אלף מובטלים בהייטק, והשכר עולה

בדוח חדש של שירות התעסוקה עולה כי מגמת העלייה בכמות דורשי העבודה בהייטק מתייצבת ● למרות שמספר המשרות הפנויות בתחומי ההייטק הולך ועולה, הן דורשות ניסיון שאין לרבים מדורשי העבודה בתחום ● פערי השכר בהייטק לעומת האוכלוסייה הכללית התרחב בכ-20% לעומת תחילת 2022