בתי הזיקוק בחיפה. חשופים למתקפה? / צילום: תמר מצפי
מבקר המדינה, יוסף שפירא, עוסק בהיערכות של משרדי הממשלה להתקפת סייבר. מדובר בשדה הקרב העתידי, שבו המושגים עורף וחזית נעלמים לחלוטין. בשדה הסייבר, כל מכשיר בכולם - ממקרר ועד תחנת כוח - חשוף לפגיעה, גם אם אינו מחובר לרשת.
הבדיקות של מבקר המדינה התקיימו מיולי 2017 ועד יולי 2018. המבקר בחן את היערכות הסייבר של גופי תשתיות מדינה קריטיות (בהם בנק ישראל ובתי הזיקוק, דרך הרכבת, רשות שדות התעופה, חברת חשמל, הנמלים, רשות המסים ועד איגוד האינטרנט והבורסה לניירות ערך), משרדי ממשלה, יחידות סמך ויחידות הכוונה מגזריות במשרדי ממשלה. בנוסף, נבדקו פעולות מערך הסייבר והיחידה להגנת סייבר בממשלה, כאשר בדיקות השלמה נערכו בשב"כ.
הביקורת עדינה ובדוח מצוין כי הוא אינו כולל את כל המידע שאסף המבקר, משיקולי אבטחה. על פי הדוח, "ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח על שולחן הכנסת ולא לפרסם חלקים מפרק ביקורת זה לשם שמירה על ביטחון המדינה" - אך בין השורות בולטת קריאת השכמה למערכת.
הפרק הרלוונטי בדוח מבקר המדינה שפורסם היום פותח בסקירת של החלטות ממשלה, יישומן ודוחות קודמים של המבקר, כמו גם האבולוציה של הגופים עליהם הוטלה ההתמודדות עם האתגרים החדשים. הטיפול בהגנה על מערכות ממוחשבות חיוניות מפני תקיפות סייבר הוסדר אי אז ב-2002, בהחלטת הקבינט שהעניקה את הסמכות לשב"כ. סמכות זו מצויה כיום בידי מערך הסייבר הלאומי, אליו הועברה בפועל רק לפני שנתיים, ב-2017, מכוח החלטת ממשלה מ-2015 להקמת המערך באמצעות איחודם לגוף אחד של מטה ורשות הסייבר.
עיקרי הממצאים נוגעים למוכנות הגופים הנבדקים, ובראשם כמובן תשתיות קריטיות, ולהיערכות הגופים האחראים עליהם, ובהם המערך. בשורה התחתונה, על פי הדוח - בעת סיום הביקורת רק חלק מהתשתיות הקריטיות במדינה עמדו בהנחיות בהתאם לתורת הלחימה. תמונת המצב שהייתה בידי המערך "לא שיקפה את רמת מוכנות הגופים להתמודד עם התקפות סייבר". ואולם, לאחר מועד סיום הביקורת הציג המערך בפני משרד מבקר המדינה תמונת מצב מקיפה ועדכנית. דהיינו, מערך הסייבר השלים פערים והצליח להציג תמונה מלאה בפני המבקר. עם זאת, לא נכתב כי חל שיפור בעמידת גופי התשתית בהנחיות.
"טרם הושלם גיבוש נוסח חוק הסייבר"
מערך הסייבר, יש לציין, הוא גוף בבנייה. רק בסוף השבוע שעבר חשפנו ב"גלובס" מערכת חדשה שנבנית במערך במטרה לאפשר מיפוי ודירוג הפגיעויות של גופי תשתית קריטית ולצדה מערכת "אזרחית" שתאפשר יכולת דומה גם למגזר העסקי הפרטי, על בסיס וולונטרי. במערך מתכוונים להשלים את בניית המערכות בשנתיים הקרובות.
חלק מרכזי בתהליך בניית המערך כגוף בטחוני חדש בישראל לצד צה"ל, השב"כ והמוסד, הוא חקיקת חוק שיסדיר את פעולתו. תזכיר החוק פורסם לפני קרוב לשנה, לצורך קבלת הערות הציבור, אך, על פי הדוח, "במועד סיום הביקורת, כשלוש שנים לאחר קבלתה של החלטת הממשלה, ועל אף החשיבות הלאומית שבהסדרת ההגנה על המרחב האזרחי, טרם הושלמו התהליכים הנדרשים לגיבוש נוסח חוק הסייבר".
יש לציין כי העיכובים בהליך החקיקה נבעו במידה רבה מהרצון לנהל דיון מעמיק ומקיף עם כל הגופים הנוגעים בדבר, כולל מומחי משפט וארגוני חברה אזרחי שבראש מעינם הרצון למנוע ניצול לרעה עתידי של סמכויות הגוף, שפועל תחת משרד ראש הממשלה. הן מנסחי תזכיר החוק מטעם המערך, ובראשם היועץ המשפטי עמית אשכנזי, והן אנשי מחלקת יעוץ וחקיקה במשרד המשפטים אפשרו את המשך הדיון הרבה מעבר לסד הזמנים הקצר שמחייב החוק. עיכוב נוסף נגרם בשל הקדמת הבחירות.
עם זאת, מתריע המבקר כי בשל העובדה שסמכויות הארגון עדיין לא הוסדרו בחקיקה ראשית, "היעדר מקור נורמטיבי לסמכות עובדי המערך עלול להקשות את שיתוף הפעולה עם הגופים ולגרום להימנעותם של עובדי המערך מביצוע פעולות מסוימות (כגון לקיחת מחשבים לצורך בדיקה וביצוע בדיקות פורנזיות)".
דוח המבקר מציג גם את השורות התחתונות בבדיקת שלושה גופי תשתית קריטית, מבלי לנקוב בשמם. את עיקר הביקורת ניתן לסכם בגרירת רגליים. כך נאמר על היערכות "גוף תמ"ק א'" כי אף על פי ש"בשנת 2016 נעשתה ביקורת מקיפה של שירות הביטחון הכללי בגוף תמ"ק א'", עדיין, בביקורת הנוכחית "נמצאו פערים, בין היתר, בדיווחים למערך על אירועים ובנושאים נוספים". וכי "עד מועד סיום הביקורת לא השלים הגוף את תיקון חלק מהליקויים". על גוף שמכונה גוף תמ"ק ב' נכתב כי "עד מועד סיום הביקורת לא הוטמע רכיב הגנה מסוים" ואילו על גוף תמ"ק ג'" נכתב כי אין בנמצא בו "פק"ם התאוששות".
למשרדי הממשלה אין מסמך מדיניות אבטחת מידע וסייבר
גוף נוסף שנמצא בעין הביקורת הוא יה"ב. גוף שהוקם על סמך החלטת ממשלה מ-2015 במטרה לפעול לשיפור רמת הגנת הסייבר, לכוון ולהנחות את משרדי הממשלה ואת יחידות הסמך. ואולם, על פי הדו"ח נתונים שהתקבלו מיה"ב מצביעים על כך שלא כל היחידות מינו מנהל הגנת סייבר, לחלק ממשרדי הממשלה ויחידות הסמך אין בכלל מסמך מדיניות אבטחת מידע וסייבר וחלק ממשרדי הממשלה ויחידות הסמך טרם השלימו את תהליך סקר הסיכונים.
הגורם המבוקר השלישי הוא משרדי הממשלה שהחלטת ממשלה מ-2015 הסמיכה אותם לסדר את המרחב האזרחי באמצעות "יחידות להכוונה מגזרית והכנת עבודת מטה לבחינת התיקונים והשינויים המשפטיים הנדרשים". בהחלטה נקבע כי "היחידה תהיה כפופה למשרד הממשלתי שהיא שייכת אליו, בהתאם לסמכויות הרגולציה שלו, ותפעל על פי הנחיה מקצועית של המערך".
המבקר קובע כי "משרדי הממשלה מתקשים לעמוד בקצב הנדרש ולקדם מהלכים אפקטיביים להתמודדות. המגזר האזרחי יתקשה לעמוד באתגר הגנת הסייבר ללא הנחיה והכוונה. יש חשש כי ללא הובלה ממשלתית ראויה ייוותר המשק חשוף להתקפות סייבר".