אומת ההיי-טק נכשלת בהגנת סייבר על תשתיות קריטיות - TechNation - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן
דו"ח המבקר

אומת ההיי-טק נכשלת בהגנת סייבר על תשתיות קריטיות

משרדי ממשלה לא הכינו מסמך מדיניות אבטחת סייבר ואחרים לא חוברו לחמ"ל הממשלתי ■ מדו"ח מבקר המדינה עולה כי אומת ההיי-טק צריכה לתקן ליקויים רבים

חיילים בבית ספר לסייבר
דובר צה"ל

מבקר המדינה בדק את היערכות ההגנה על מרחב הסייבר בישראל והתייחס למצבה. בדו"ח שפירסם הוא שפך אור על הנקודה הרגישה ביותר במרחב: "היערכות גופים חיונים להגנת הסייבר".

המבקר חקר את הערכות הסייבר בגופים שהוגדרו בחוק בתור תמ"ק - תשתית מחשוב קריטית (קריטית לתפקוד התקין של המדינה והמשק). למרות חשיבותם, המבקר מצא בעיות בהיערכות חלק מגופים אלה, ובעיות בפיקוח עליהם מצד הגוף האחראי: מערך הסייבר הלאומי.

עד 2015 מי שהיה מופקד על התשתיות הקריטיות בסייבר היה השב"כ, אך "ב-2015 החליטה הממשלה על הקמת מערך הסייבר הלאומי. על המערך הוטל בין היתר לבנות ולתחזק את חוסנו של כלל המשק להתמודדות עם התקפות סייבר. עוד נקבע בהחלטה כי המערך יקבל את האחריות להנחיית גופי תמ"ק", נכתב בדו"ח. נכון לסוף 2017, ברשות הסייבר היו 220 עובדים והוצאותיה הסתכמו ב-220 מיליון שקל.

מערך הסייבר

הדו"ח הנוכחי מושחר בחלקו הגדול מטעמים של "שמירה על ביטחון המדינה" כפי שמוסבר, ולכן הוא קצר במיוחד, 10 עמודים בלבד, וללא אזכור שמות הגופים שנסקרו ושנמצאו בהם ליקויים. המבקר אף לא ציין את שמות הגופים שמוגדרים כתשתית מחשוב קריטית, אבל בדו"ח עבר של מרכז המחקר והמידע של הכנסת הם הוזכרו, וניתן למנות את חלקם: ממשל זמין, קצא"א, מד"א, מקורות, נתג"ז, רכבת ישראל, רת"א, הבורסה, חיפה כימקלים, דשנים וחומרים כימיים, מאגרי הנפט למניהם, נמלים, נת"ע, חברת החשמל ועוד. באחרונה נוסף לרשימה גם איגוד האינטרנט הישראלי (ועדת הבחירות המרכזית אינה ברשימה מסיבות של הפרדת רשויות).

מהדו"ח עולה כי מערך הסייבר הלאומי מתמהמה בלקיחת אחריות על התשתיות הקריטיות: "עד סיום הביקורת, רק חלק מגופי תמ"ק עומדים בהנחיות הנדרשות בהתאם לתורת הלחימה. תמונת המצב שהיתה ביידי המערך לא שיקפה את רמת מוכנות הגופים להתמודדות עם התקפות סייבר".

המבקר כותב על 4 גופים מונחים, אותם הוא מכנה תמ"ק א,ב,ג ו-ד. על גוף א' כתב כי "על אף שהגוף מונחה מזה שנים, המצב עדיין אינו משביע רצון. טיוטת מיפוי שהכין הגוף לא כללה רכיבים הנדרשים בתו"ל והמיפוי לא היה עדכני ולא שיקף את תמונת המערכות בצורה מיהמנה". נמצאו גם פערים בדיווחים למערך על אירועים.

האקר
KACPER PEMPEL/רויטרס

במקביל להעברת האחריות על גופי התמ"ק למערך הסייבר, הוקמה ברשות התקשוב יחידת יה"ב, היחידה להגנת סייבר בממשלה. יה"ב אחראית להנחיית התנהלות הסייבר במשרדי הממשלה וביחידות הסמך. "נקבע כי יה"ב והמערך יקימו מרכז שליטה ובקרה לאיומי סייבר וחמ"ל סייבר (SOC), אלא שמנתונים שהתקבלו מיה"ב עולה כי לא כל היחידות מינו מנהל הגנת סייבר, רק משרדי הממשלה הוסמכו לתקן אבטחת המידע (ISO 27001), לחלק ממשרדי הממשלה אין מסמך מדיניות אבטחת סייבר, חלק ממשרדי הממשלה טרם השלימו סקר סיכונים וחלק ממשרדי הממשלה לא חוברו ל-SOC הממשלתי", כותב המבקר.

חלק אחר בדו"ח נוגע בהיערכות חסר של משרדי הממשלה ל"הכוונה מגזרית" בתחום הסייבר, כפי שמחויב מהחלטת הממשלה. נכתב גם ביקורת על אי השלמת חקיקת חוק הסייבר. המבקר מסכם: "נוכח האיומים המתגברים בתחום הסייבר, והחשש לפגיעה קשה במשק בגינם, אם יתרחש אירוע חמור או יתרחשו אירועים בכמה תשתיות קריטיות, על הממשלה לוודא ביתר שאת כי התשתיות הקריטיות ערוכות ומעדכנות כל העת בנוגע למידת עמידתן במתקפות אפשריות, וכי תמונת המצב שלה בדבר התשתיות הקריטיות עדכנית ומשקפת באופן מלא את פגיעותן של מערכותיה".

בעבר פירסם המבקר כבר דו"חות לגבי הערכות חסר בשלטון המקומי, בעיות בהתמודדות עם פשיעת הסייבר במשטרת ישראל ועוד דו"חות בנושא.

ממערך הסייבר נמסר בתגובה: "בשנה האחרונה השלים המערך תהליך מיפוי ויצירת תמונת מצב עדכנית של הגופים אשר מוגדרים כתשתית מדינה קריטית, תוך הטמעת שיטות הנחייה וכלים טכנולוגיים מתקדמים וחדשניים. המערך פועל לחיזוק יה"ב והיחידות המגזריות, לסיוע בהגדלת המשאבים המוקצים להם ובשיפור תהליכים, וכן להעלאת מודעות לאחריות של הנהלות משרדי הממשלה לבקרה על הנושא. בין היתר, יה"ב והמערך הקימו באחרונה מרכז שליטה ובקרה על איומי סייבר הקשורים למשרדי ממשלה".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#