דו"ח מבקר המדינה על היערכות המדינה להגנה בסייבר

מבקר המדינה פירסם היום תמצית של דו"ח חריף על היערכות ישראל להגנה מאיומי סייבר ("היבטים בהיערכות המדינה
להגנת המרחב הקיברנטי", פרק 2 בדו"ח 67א של המבקר). בין מסקנותיו -
  • התמשכות ההליך של הסדרת האחריות לטיפול בתחום הקיברנטי במשך שנים ואי-העמידה בלוח הזמנים שקבעה הממשלה בשנת 2011 לגיבוש תפיסת ההגנה הכוללת אינן עולות בקנה אחד עם התגברות האיום על מדינת ישראל.
  • מטה הסייבר לא הציג לרה"מ, את המתווה להעברת שטח הפעולה בתחום הפעולות לאבטחת מערכות ממוחשבות חיוניות כהגדרתן בחוק להסדרת הביטחון בגופים ציבוריים מהשב"כ לרשות הסייבר הלאומית, על אף שהיה אמור לעשות זאת עד אוגוסט 2015.
  • עד תחילת 2016 לא הושלמה הכנת תזכיר חוק הגנת הסייבר, שלפי החלטת ממשלה היה צריך להיות מוגש לרה"מ עד אוגוסט 2015.
  • סקר תקני אבטחת מידע וסייבר בחו"ל בוצע באיחור משמעותי מלוחות הזמנים שנקבעו לכך. גם בחינה וקידום של מיסוד מנגנונים לאישור ולהסמכה של מוצרי הגנת הסייבר בישראל בהתאם לתקינה בין-לאומית למוצרי אבטחת מידע ומחשוב נמצאים בפיגור לעומת לוח הזמנים המקורי.
  • עד מועד סיום הביקורת לא עמד המטה במשימה של הגדרת מנגנון למדרוג שירותי הגנת הסייבר.
  • תהליך המיפוי של המרחב הקיברנטי הישראלי לא הסתיים וגם לא נקבעה תכנית עבודה ולוח זמנים לסיומו. לפיכך לא היה בידי מטה הסייבר מיפוי שיאפשר לקבוע מי הם הגופים במרחב הקיברנטי האזרחי הטעונים הגנה.
  • כמה גופים מונחים אינם עומדים בקצב הראוי ביישום התכנית הרב-שנתית להטמעת דרישות האבטחה של השב"כ, ביניהם גם גופים הנמצאים זמן ממושך יחסית בהנחיית השב"כ.
המבקר לא נמנע גם מהמלצות ובהן -
  • על השב"כ לבחון את הצורך בדיווח למועצות המנהלים של התאגידים שיש בהם תשתיות מחשוב קריטיות על אי-עמידה בהנחיותיו המציבה בסיכון תשתית מדינה חיונית או את הפעילות העסקית של אותו תאגיד.
  • על המטה הקיברנטי והשב"כ, בשיתוף משרד המשפטים וגורמים ממשלתיים נוספים הנוגעים בדבר, לבחון דרכים לאכוף על הגופים הציבוריים כהגדרתם בחוק להסדרת הביטחון, המוגדרים תשתיות מדינה קריטיות, את מילוי הנחיות השב"כ, ולשקול את עיגונן של דרכי האכיפה בדין.
ברק רביד מעיר בהארץ כי דו"ח המבקר המלא הוגדר סודי ביותר ולא פורסם. לדבריו, מקריאת הדו"ח הבלתי מסווג מתקבל הרושם כי פרטים רבים נותרו מסווגים כדי לא לחשוף את המידה שבה ישראל חשופה למתקפות סייבר.