מבקר המדינה מתריע: "גופי חירום ומשרדי ממשלה רגישים אינם ערוכים כנדרש למתקפות סייבר"

החדשות בקצרה:

• מבקר המדינה פרסם דוח המתריע מפני חוסר המוכנות למתקפות סייבר.
• הדוח מעלה כי גופי חירום ומשרדי ממשלה אינם ערוכים כנדרש
• במשרד החוץ נרשם זינוק של 500% באירועי הגנת מידע במהלך המלחמה.
• המבקר מצא כי מדיניות הגנת הסייבר במשרד החוץ לא עודכנה מאז 2018.
• "ממשלת ישראל חייבת להיות ערוכה היטב למתקפות", כתב אנגלמן.
• למה זה חשוב: הליקויים עלולים להוביל לשיתוק העורף ולחשיפת מידע רגיש.

מבקר המדינה מתניהו אנגלמן פרסם היום (שלישי) דוח המתריע מפני המוכנות של ישראל למתקפות סייבר. כך, בעוד שבנתיים וחצי האחרונות מתמודדת המדינה עם איומים גוברים מצד איראן, חיזבאללה וחמאס - הדוח מעלה כי גופי חירום ומשרדי ממשלה רגישים אינם ערוכים כנדרש למתקפות סייבר. מתקפות שעל פי הדוח, עלולות לשתק את העורף הישראלי ולחשוף מידע רגיש על אזרחים.

"ליקויים חמורים המשקפים תרבות ארגונית לקויה במשרד החוץ"

במהלך מלחמת חרבות ברזל במשרד החוץ נרשם זינוק של 500% באירועי הגנת מידע בנציגויות ישראל בעולם, כך עולה מהדוח. אנגלמן כתב כי המשרד, המהווה יעד אסטרטגי לאיראן ולשלוחותיה, סובל מפער טכנולוגי מתמשך וממערכות מחשוב מיושנות שאינן עומדות בדרישות האבטחה.

הוא מצא כי מאז שנת 2018 לא עודכן מסמך מדיניות הגנת הסייבר ואבטחת המידע במשרד החוץ. זאת, למרות שינויים מהותיים שחלו במפת האיומים על מערך התקשוב במשרד, ובפרט איומים שגברו מאז פרוץ מלחמת חרבות ברזל.

"בהיעדר מדיניות הגנת סייבר מקיפה ועדכנית גוברת החשיפה של משרד החוץ לתקיפות סייבר ולדליפת מידע רגיש, וכן גובר הסיכון הכרוך בכך", כתב אנגלמן. חלק מהדוח של המבקר לא פורסם לציבור בעניין הזה בשל ענייני ביטחון, אך עם זאת הוא ציין כי חלק מהממצאים לגבי אבטחת הסייבר במשרד החוץ היו ברמת סיכון גבוהה ביותר, גבוהה ובינונית.

כמו כן, המבקר מצא "ליקויים חמורים המשקפים תרבות ארגונית לקויה במשרד החוץ בכל הנוגע לשמירה על מידע רגיש ופרטי". ליקויים אלה, לדבריו, מעלים את הסיכון לדלף מידע - דבר שיכול להביא לחשיפה של זהותם של עובדי המשרד.

בהיעדר מדיניות הגנת סייבר מקיפה ועדכנית גוברת החשיפה של משרד החוץ לתקיפות סייבר ולדליפת מידע רגיש

מבקר המדינה, מתניהו אנגלמן

בין הליקויים שמצא המבקר נמצא כי לא קיים נוהל המסדיר את סיווג נכסי המידע ואת מעטפת ההגנה הנדרשת להם. בנוסף, ניתנה גישה לכונן שהיה פתוח לכלל משתמשי רשת מסוימת, שהכיל עשרות אלפי מסמכים - חלקם כוללים מידע רגיש כמו מידע אישי-פרטי.

"נוכח האיומים מאיראן, ממשלת ישראל חייבת להיות ערוכה היטב גם למתקפות סייבר"

מעבר להערות למשרד החוץ לפעול לתיקון הליקויים, אנגלמן גם העיר לשב"כ: "להידרש לממצאי דוח זה ולעקוב אחר הטיפול בפערים שהועלו בו, כדי לשפר את רמת ההגנה על המידע במשרד החוץ ולהבטיח שרמת ההגנה תהיה בהלימה לאיום הייחוס של המשרד".

המבקר התייחס גם לאיומים הגוברים מצד איראן וכתב כי "נוכח האיומים מאיראן, ממשלת ישראל חייבת להיות ערוכה היטב גם למתקפות סייבר. הדוחות העלו ליקויים משמעותיים ויש לתקנם באופן מיידי". הוא מצא כי "גופי חירום לא נערכו כנדרש למצבי חירום ושהסיכון לחשיפה למתקפות סייבר בגופי חירום לא נבדק דיו".

הוא הוסיף כי "לאחר 7 באוקטובר מרכז הסייבר הלאומי כתב הנחיות היערכות נגד מתקפות סייבר, אך אלו לא הועברו לחלק מגופי החירום. רוב גדול של משרדי הממשלה השתמשו במשך חודשים בכלי דיגיטלי חשוף למתקפות סייבר". אנגלמן קרא לגופים הרלוונטיים ליישם את המלצות הדוח בהקדם.

התייחסות מערך הסייבר לדוח מבקר המדינה: "הממצאים העולים מדוח מבקר המדינה מדגימים בצורה ברורה את מה שמערך הסייבר הלאומי מקדם בחוק הגנת הסייבר: בתקופה שבה איומי הסייבר הפכו לאיום יום-יומי על רציפות תפקודית, שירותים ציבוריים ומידע רגיש, לא ניתן להסתמך על גישה שבה כל גוף קובע לעצמו מהי רמת ההגנה הנדרשת, אילו סיכונים לנהל ובאילו תחומים להשקיע.

זו בדיוק מטרתו של חוק הגנת הסייבר, שאושר אמש בממשלה כהכנה לקריאה ראשונה: לקבוע מסגרת לאומית אחידה, ברורה ומחייבת, המבוססת על סטנדרטים מקובלים בעולם המערבי, בדומה לרגולציות מתקדמות הנהוגות במדינות מערביות".

הם הוסיפו: "זו בדיוק מטרתו של חוק הגנת הסייבר, שאושר אמש בממשלה כהכנה לקריאה ראשונה: לקבוע מסגרת לאומית אחידה, ברורה ומחייבת, המבוססת על סטנדרטים מקובלים בעולם המערבי, בדומה לרגולציות מתקדמות הנהוגות במדינות מערביות.

החוק נועד לייצר שפה מקצועית אחידה, לקבוע רף בסיסי מחייב לניהול סיכוני סייבר, לחזק מוכנות ודיווח על אירועים, ולהבטיח שרמת ההגנה על שירותים ותשתיות חיוניות לא תהיה תלויה רק בשיקול דעת מקומי או בפערי משאבים וידע בין ארגונים".

ממשרד החוץ נמסר: "משרד החוץ מודה למבקר המדינה וצוות הביקורת על הדוח המפורט ומשתמש בו ככלי משמעותי לאיתור פערים ולשיפור בתחום הסייבר ומערכות המידע. חלק מהליקויים שעלו בדוח כבר טופלו, ולצידם גובשה תכנית עבודה רב-שנתית לשנים 2028-2026, לטיפול בשאר הליקויים, הכוללת צעדים אופרטיביים והקצאת משאבים לחיזוק מערך התקשוב וההגנה בסייבר במטה משרד החוץ וב-109 נציגויות ישראל בעולם".