האם ישראל ערוכה לסייבר?
מדו"ח מבקר המדינה עולה כי למרות חוק הסייבר, בישראל של היום קיימים ליקויי סייבר רבים בגופים קריטיים לכולנו.
ב2015 החליטה הממשלה על הקמת מערך הסייבר הלאומי. אחת ממשימות המערך היא לבנות ולתחזק את חוסנו את כלל המשק הישראלי להתמודדות עם התקפות סייבר, ובעיקר קבלת האחריות להנחיית גופים המוגדרים כתשתית מחשוב קריטית (תמ"ק).
בשנת 2019 בחן מבקר המדינה גופי תמ"ק (כגון: בנק ישראל, בתי הזיקוק ועוד) את מערך הסייבר הלאומי וכן את היחידה להגנה בסייבר (יה"ב) הלאומית.
נכון לדו"ח זה, מערך הסייבר וגופי תמ"ק אינם עומדים בהנחיות הנדרשות בהתאם לתורת הלחימה וההתמודדות עם התקפות סייבר.
רוב הדו"ח מושחר ומוסתר מטעמי "שמירה על ביטחון המדינה" וללא אזכור שמות הגופים שנסקרו ובהם נמצאו הליקויים.
על אחד מהגופים כתב המבקר "על אף שהגוף מונחה מזה שנים, המצב עדיין אינו משביע רצון. טיוטת מיפוי שהכין הגוף לא כללה רכיבים הנדרשים בתו"ל והמיפוי לא היה עדכני ולא שיקף את תמונת המערכות בצורה מהמנה". נמצאו גם פערים בדיווחים למערך על אירועי סייבר."
כמו כן, נקבע כי יה"ב (היחידה להגנת סייבר בממשלה) ומערך הסייבר יקימו מרכז שליטה ובקרה לאיומי סייבר וחמ"ל סייבר (SOC), אלא שמנתונים שהתקבלו מיה"ב עולה כי לא כל היחידות מינו מנהל הגנת סייבר, רק משרדי הממשלה הוסמכו לתקן אבטחת המידע (ISO 27001), לחלק ממשרדי הממשלה אין מסמך מדיניות אבטחת סייבר, חלק ממשרדי הממשלה טרם השלימו סקר סיכונים וחלק ממשרדי הממשלה לא חוברו ל-SOC הממשלתי.
הדו"ח מתייחס גם לחוסר היערכות ל משרדי הממשלה ל"הכוונה מגזרית" בתחום הסייבר ואי השלמת חקיקת חוק הסייבר.
המבקר סיכם והדגיש את אחריות הממשלה ואחריות הגופים כאחד להגנת הסייבר: "נוכח האיומים המתגברים בתחום הסייבר, והחשש לפגיעה קשה במשק בגינם, אם יתרחש אירוע חמור, על הממשלה לוודא ביתר שאת כי התשתיות הקריטיות ערוכות ומעדכנות כל העת בנוגע למידת עמידתן במתקפות אפשריות, וכי תמונת המצב שלה בדבר התשתיות הקריטיות עדכנית ומשקפת באופן מלא את פגיעותן של מערכותיה".
ממערך הסייבר נמסר בתגובה: "בשנה האחרונה השלים המערך תהליך מיפוי ויצירת תמונת מצב עדכנית של הגופים אשר מוגדרים כתשתית מדינה קריטית, תוך הטמעת שיטות הנחייה וכלים טכנולוגיים מתקדמים וחדשניים. המערך פועל לחיזוק יה"ב והיחידות המגזריות, לסיוע בהגדלת המשאבים המוקצים להם ובשיפור תהליכים, וכן להעלאת מודעות לאחריות של הנהלות משרדי הממשלה לבקרה על הנושא. בין היתר, יה"ב והמערך הקימו באחרונה מרכז שליטה ובקרה על איומי סייבר הקשורים למשרדי ממשלה".
למידע נוסף ראו מקור:
0 תגובות