המבקר: "פערים בין עוצמת איום הסייבר לקצב ההתארגנות"

מבקר המדינה: "בעבודת המטה ובתהליך קבלת ההחלטות הנוגעים להסדרת האחריות לטיפול בתחום הקיברנטי בישראל נפלו כמה ליקויים, בין היתר בהליך גיבוש ואישור מסמך תפיסת ההגנה"

מתקפת סייבר/צילום:  Shutterstock/ א.ס.א.פ קרייטיב
מתקפת סייבר/צילום: Shutterstock/ א.ס.א.פ קרייטיב

"הממשלה אישרה את הסדרת האחריות לטיפול בתחום הקיברנטי (מרחב הסייבר) בחלוף כשלוש שנים ממועד קבלת ההחלטה מ-2011. עובדה זו עיכבה את קידום השינויים בחקיקה ומרבית השינויים הארגוניים האחרים החיוניים לצורך מתן הסמכות, האחריות והמשאבים הנחוצים להעמקת הפעילות בתחום הגנת הסייבר ולהרחבתה לחלקים נוספים במרחב הקיברנטי האזרחי בישראל. התמשכות ההליך של הסדרת האחריות לטיפול בתחום הקיברנטי במשך שנים ואי העמידה בלוח הזמנים שקבעה הממשלה בשנת 2011 לגיבוש תפיסת ההגנה הכוללת, אינן עולות בקנה אחד עם התגברות האיום על מדינת ישראל" - כך נכתב בדוח מבקר המדינה השנתי בפרק מיוחד שהוקדש ל"היבטים בהיערכות המדינה להגנת מרחב הסייבר" על רקע הגידול העקבי בהתקפות סייבר - ולא רק בישראל - והפוטנציאל לנזק כלכלי וביטחוני משמעותיים שטמון בהן.

לכן, טוען המבקר כי "קיימים פערים בין עצמת האיום על כלל המרחב הקיברנטי האזרחי ובין קצב ההתארגנות והמענה מבחינת ההיערכות המדינתית להגנתו, להוציא תחומים ומגזרים מעטים כמו תשתיות מדינתיות קריטיות".

כזכור, בשנת 2011 החליטה הממשלה להקים מטה קיברנטי לאומי במשרד ראש הממשלה שימליץ על מדיניות לאומית בתחום הקיברנטי ויקדם את יישומה. בהמשך להחלטה זו קיבלה הממשלה בפברואר 2015 שתי החלטות: קידום רגולציה לאומית והובלה ממשלתית בהגנת הסייבר וקידום ההיערכות הלאומית להגנת מרחב הסייבר. בהחלטות אלו הוחלט על הקמת רשות לאומית להגנת הסייבר וגופים נוספים המיועדים לטיפול ברגולציה של שוק הסייבר ושל הארגונים הפועלים במרחב הסייבר האזרחי.

מבקר המדינה טוען בדוח כי "בעבודת המטה ובתהליך קבלת ההחלטות הנוגעים להסדרת האחריות לטיפול בתחום הקיברנטי בישראל נפלו כמה ליקויים, בין היתר בהליך גיבוש ואישור מסמך תפיסת ההגנה. כמו כן נמצאו הליקויים הבאים: במסמכים שהוגשו לשרי הממשלה, טרם ישיבת הממשלה, לא הוצגה חלופה נוספת; בעבודת המטה לא פורטה העלות של החלופות באשר לגורם שיישא באחריות להגנה על המרחב הקיברנטי של ישראל; בהצעות ההחלטה לממשלה ובדברי ההסבר להן לא פורטו מלוא ההוצאה התקציבית הכרוכה ביישומן והמשמעויות של היישום על משק המדינה".

עוד נטען בדוח כי "סקר תקני אבטחת מידע וסייבר בחו"ל בוצע באיחור משמעותי מלוחות הזמנים שנקבעו לכך. גם בחינה וקידום של מיסוד מנגנונים לאישור ולהסמכה של מוצרי הגנת הסייבר בישראל בהתאם לתקינה בינלאומית למוצרי אבטחת מידע ומחשוב נמצאים בפיגור לעומת לוח הזמנים המקורי". עוד טוען המבקר כי "נמצא כי עד מועד סיום הביקורת לא עמד המטה במשימה של הגדרת מנגנון למדרוג שירותי הגנת הסייבר. במצב דברים זה, חל עיכוב באסדרת מקצועות הסייבר והעוסקים בתחום זה. כמו כן, טרם אוישו

כמו כן, נטען בדוח כי "תהליך המיפוי של מרחב הסייבר הישראלי לא הסתיים וגם לא נקבעה תכנית עבודה ולוח זמנים לסיומו. לפיכך לא היה בידי מטה הסייבר מיפוי שיאפשר לקבוע מי הם הגופים במרחב הסייבר האזרחי הטעונים הגנה בהתאם להיררכיה פירמידלית של כלל הגופים במדינה ועל פי רמות הסיכון שלהם וסוגי המערכות הממוחשבות שבהם".

על רקע ליקויים אלו שנמצאו, ממליץ המבקר "שאיוש המשרות ברשות הלאומית להגנת הסייבר ייעשה, ככל הניתן, באמצעות תהליכים תחרותיים ושוויוניים שיגשימו את עקרון שוויון ההזדמנויות לכל הקבוע בחוק שירות המדינה. תהליכים אלה יגדילו את האוכלוסייה שממנה יהיה אפשר לגייס את המועמדים המתאימים ביותר".

עוד מסיק המבקר כי "מתוקף אחריותו של המטה היה עליו לוודא כי יוגדר היקף הבעיה שעמה יש להתמודד בתחום ההגנה על מרחב הסייבר האזרחי, ייקבע מה הם התחומים והגופים במשק שיש להגן עליהם, מה המענה שצריך להינתן ואילו משאבים יושקעו בכך. לצורך כך על המטה להחיש את פעילותו בנושא ולפעול, בעצמו או באמצעות אחרים, לקידום מיפוי מלא של המרחב".