מטביעות האצבע של החיילים ועד חייבי המס: הגנת הסייבר בישראל פושטת רגל
הממצאים הקשים שהופיעו בדו"ח המבקר על הגנת הסייבר מעידים על בורות קשה ביחס לחשיבות הסוגיה ומספקים תזכורת להיעדר תמריצים ומקלות ליצירת מנגנוני הגנה מפני המתקפות הבאות.
ב-20 השנים האחרונות עבר המשק תהליך דיגיטציה מואץ, שכלל מחשוב של מערכות המידע. כולנו נהנים מהקדמה, אלא שדווקא בשל הדיגיטציה אנחנו חשופים יותר למתקפות סייבר שיכולות לגרום פגיעה בתשתיות חשמל ומים, לשתק מערכי תחבורה, וגם לגרום לדליפה של מידע אישי שמשמש לגניבת זהות וכרטיסי אשראי, ואפילו להטיית תוצאות בחירות. רוחב המתקפות, מספר הגופים שנגדן הן מכוונות והנזק הכלכלי, יחד עם רמת המיסוד של ארגוני הפשע המאורגן או המדינות העוינות שמאחוריהן, הולכים ועולים בחומרתם. למרבה הצער, פעם אחר פעם מתברר שההגנה על המערך הדיגיטלי כולו היא שערורייתית.
דו"ח המבקר שהתפרסם בשבוע שעבר מצביע על ממצאים קשים מאוד. הקשה מכולם נוגע למערכות המידע של צה"ל, שנועדו בין היתר לזיהוי חללים, ושבהן מוחזק מידע רגיש של כל מי שמשרתים או שירתו בצה"ל. מדובר במאגרים ביומטריים הרגישים ביותר שיש – טביעות אצבע, כף יד, תצלומי שיניים, דגימות דנ"א. מתברר שבצבא, הגוף שאמור להיות אמון בצורה הטובה ביותר על אבטחת מידע, וכשמדובר במידע הכי רגיש שיש, אין טיפול מסודר בהגנה על המידע. הצבא איננו מקיים את הדרישות הבסיסיות של תקנות אבטחת מידע שהתקבלו בכנסת ב-2017, פקודות מטכ"ל בנושא הגנת המידע הפרטי לא עודכנו זה 26 שנים. מידע עודף איננו נמחק ואין גוף מתכלל שמסתכל על כלל המאגרים האלה ועל ההגנה שלהם.
ואם בארזי הסייבר נפלה שלהבת, מה יעשו אזובי הקיר מרשות המים, ממשרד החינוך, ממשרד התחבורה ומרשות המסים?
חברת "מקורות" נחשבת ל"תשתית מדינה קריטית" ולכן מערך הסייבר הלאומי דואג לה באופן ישיר. אך מה בנוגע ליתר הגופים במשק המים? אין בכלל אסדרה בכללים של חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מפני אירועי סייבר. אם אין כללים כאלה, ברור שאין גם תוכניות לאבטחת מידע שמוגשות לאישור רשות המים או חיבור של מערכות המחשוב למרכז השליטה הארצי של מערך הסייבר. מי אמור לתת להם הנחיות ולקבוע תקנים? מי אמור לפקח על ביצוע ההנחיות? לכולם יש זמן וחלק מתאגידי המים המקומיים, כפי שציין המבקר, "קיבלו ציון נמוך על מוכנותם להגנת סייבר".
הידעתם שבמשך חודשים ארוכים תפקיד הממונה על הגנת הסייבר במשרד החינוך בכלל לא אויש? הידעתם שרשת מרכזית של ניהול מידע במשרד החינוך מוגנת על ידי גרסה מיושנת של מערכת הגנה שהיצרן הפסיק לתמוך בה עוד ב-2019? חשבו על כך בפעם הבאה שמבקשים מכם מידע על המצב הרפואי, הלימודי, החינוכי, הרגשי והפסיכולוגי של הילדים.
המבקר קבע כי במשרד החינוך כ-50 מאגרי מידע אך אף לא תוכנית מוסדרת אחת למיפוי המאגרים והצרכים האבטחתיים של כל אחד מהם. באופן ספציפי בדק המבקר את המערכות התומכות בניהול בחינות הבגרות. גם שם הממצאים מטרידים: מערכות רגישות, כמו זו שיש בה את קובצי הבחינות הסרוקות, נגישות לאלפי בודקי בחינות חיצוניים דרך המחשבים הביתיים והלא-מאובטחים שלהם. רוצים לזייף את הציון? אפשר. להדליף את הנתונים? גם אפשר. מהגנת הפרטיות של קטינים ועד לטוהר הבחינות – הכל פרוץ.
ברור שפריצות סייבר לתשתיות ואמצעי תחבורה יכולות לחולל נזקים עצומים, משיתוק הנמלים ופקקי תנועה ועד תאונות רבות נפגעים. ובכן, מתברר שבמשרד התחבורה הוקם אגף סייבר שאמור להנחות את אלפי הגופים הרלוונטיים, אבל מאז (שבע שנים, כן?) לא הושלמה עבודת המטה. במשרד התחבורה חיכו לחקיקת חוק סייבר ולא יצרו לעצמם ארגז כלי אכיפה. כמה נוח. בשנת 2021 אמנם בוצעו ביקורות כדי לבחון את מידת עמידת חלק מהגופים (למשל חברות תחבורה ציבורית, חברות תשתיות כבישים) בדרישות הסייבר ונמצאו ליקויים. אך האם המשרד ניהל מעקב אחר תיקונם? התשובה שלילית, קובע המבקר בצער ומוסיף: המשרד אינו רואה את התמונה המגזרית כולה על תתי-המגזרים שבה (למשל תחום התחבורה האווירית וגופי תשתיות הקריטיות); הוא אינו רואה את מפת הסיכונים בכל גוף; והוא אינו מקבל מידע חיוני מהגופים על פעילויות שהם עצמם ביצעו או דיווחים על אירועי סייבר שהתרחשו.
אם כל זה לא מספיק, המבקר מוסיף כי מערכת התחבורה העירונית היא זו שאחראית על התחבורה בתחום השיפוט של העיר שבה היא פועלת. בסקר שערך המבקר בעשר עיריות עלו פערים מהותיים בין מצב הגנת הסייבר של המערכות לבין דרישות הסייבר של משרד התחבורה, לא מתבצעים בהן מבדקי חדירה ולא סקרי סיכונים. בקיצור, בעיית תפקוד יסודית בכל הנוגע להערכות מדינת ישראל באיומי סייבר במגזר התחבורה.
אם זה לא הספיק, אפשר לעסוק גם בשע"ם, מערך המחשוב של רשות המיסים, שמחזיק במערכותיו מידע על אזרחים, נישומים, עוסקים. גם כאן אין מיפוי של נכסי המידע ולכן גם אין תוכנית אבטחה מתאימה לכל אחד מהם. אין מערך ניהול סיכונים, ואין שום חובה לדווח לגורמים רלבנטיים במקרה של אירוע פריצת סייבר. ושוב אומר המבקר, בשפה נקייה, "הועלו ממצאים אשר מסכנים מהבחינה העסקית את המידע ואת מוניטין הארגון".
הדו"ח הנוכחי של המבקר מצטרף לדו"חות מן השנה האחרונה שעסקו בכשלי הגנת סייבר בחברת החשמל ובוועדת הבחירות המרכזית. כשמדובר בבתי חולים, כבר לא היה צריך דו"ח. מספיק היה לצפות בבעתה במתקפת הסייבר על בית החולים הלל יפה בחדרה, שגרמה לנזקים בנפש ובגוף ולא רק לנזקי ממון. כמה גופים מדגמיים צריך המבקר לדגום כדי שנבין שמדובר בבעיה מערכתית?
חשוב להדגיש כי רוב הפערים שהמבקר מזהה בכל מערכות המחשוב אינם חולשות נדירות שצריך להיות גאון סייבר כדי להבחין בהן, אלא נובעות, בפשטות, מרשלנות: היעדר תיכנון של מערכות הגנה, היעדר שליטה במאגרי המידע (מהם המאגרים הקיימים, מה יש בהם, מהי רמת ההגנה הנדרשת עליהם), היעדר עדכון של מערכות הפעלה ושל תוכנות, סיסמאות לא חזקות, בלגן במתן הרשאות גישה למערכת, אי יצירה של מערכי גיבוי למידע שמנותקים מהמערכת הרגילה במקרה של אסון.
דו"ח המבקר, יחד עם הקודמים לו, מלמד על שתי תופעות. ראשית, בורות דיגיטלית נוראית ביחס לחשיבות של הגנת סייבר. לו מישהו היה מבין, באמת, מה יקרה כשידלוף מידע על קטינים, כשמערך התנועה בעיר שלמה ישותק, כשלא יגיעו מים אל הברזים, כשהסינים יוכלו ליצור בנק דנ"א של אזרחי ישראל – לא היינו רואים גרירת רגליים כזאת בנושא ההגנה. כמובן שהבורות הדיגיטלית ביחס להגנת הסייבר מגיעה יחד עם תיאבון יתר לאיסוף מידע ולשמירה שלו, גם מידע עודף או רגיש, שלא כדאי לשמור.
שנית, היעדר תמריצים ומקלות לגבי יצירת מנגנוני ההגנה מפני מתקפות סייבר. לפני כשנה פרסם מערך הסייבר הלאומי, שהוקם ב-2015 ונהנה מתקציב של רבע מיליארד שקל בשנה, מסמך בשם "תורת ההגנה בסייבר לארגון". מדובר במדריך יישומי שאמור לסייע למנהלי חברות וארגונים לבנות תוכנית הגנת סייבר. על פי המדריך, תוכנית ההגנה צריכה להתבסס על תרחישי התקיפה הרלוונטיים לארגון ועל ראיית היריב התוקף; ובעיקר - על השקעה בהתאם לפוטנציאל הנזק שייגרם לארגון כתוצאה מתקיפה, מה שמכונה בשפה עסקית: ניהול סיכונים. אבל למרבה הצער, המציאות היא שלמדריך גדוש האינפורמציה של מערך הסייבר יש ערך של עלון פרסומי. הוא אמור להגן על הנכסים הציבוריים, על התעשיה וכמובן על האזרחים, אבל, כפי שקובע גם המבקר, בהיעדר מסגרת חקיקה, אין למערך שום סמכויות אכיפה. ובינתיים, בשנים האחרונות כל גוף במשק שנתפס עם המכנסיים למטה באירוע סייבר כי לא דאג לאבטחת סייבר נורמלית, מפרסם, בעזות מצח, שהוא נמצא "בקשר שוטף עם מערך הסייבר הלאומי". אבל, כל המנכ"לים של משרדי הממשלה, החברות הממשלתיות, וגם בכירי המגזר הפרטי, יודעים שלא יאונה להם כל רע גם אם יתגלו הכשלים הנוראיים שהם אחראים עליהם.
אבטחת הסייבר בישראל היא פצצה מתקתקת שאין לדעת מהיכן ולגבי איזה גוף תתפרץ. אבל ברור שהדבר יקרה וברור שהנזקים יהיו קשים ומסוכנים. לכן, צודק המבקר בכך שיש חשיבות עליונה בחקיקת חוק סייבר שיקבע מסגרת פיקוח ואכיפה. העניין הוא, שכשסוגרים את הפרצה הזאת לא צריך לתת את הסמכויות האלה לגוף ביטחוני דמוי שב"כ, כדי לא להפוך אותו לאח גדול יודע כל כשמדובר בחברות תחבורה, נעליים, אשראי או בתי חולים. הפיקוח על הסייבר צריך להיות בידי רשות ממשלתית חזקה ובעלת סמכויות ובד בבד, חובה לפתח אוריינות, מודעות ומומחיות בתחום הגנת סייבר בכל משרד ממשלתי. אין גם טעם בחיזוק מערך הסייבר ללא תיקונים משמעותיים בחוק הגנת הפרטיות וחיזוק הרשות לפרטיות, שיאפשרו, כאמור, לבוא חשבון עם מי שצריכים לשמור על המידע הפרטי שלנו ונכון לעכשיו מתרשלים בתפקידם.