«  העיתונאי אלי לנדאו נפטר – מייסד אתר זה – READ IT NOW

הערות ראש הממשלה לדו”ח מבקר המדינה (67א): היבטים בהיערכות המדינה להגנת המרחב הקיברנטי

15:45 04.12.2016

קטגוריות: אבטחת מידע/סייבר

תגים: ,

כמידי שנה, עם פרסום הדו”ח השנתי של מבקר המדינה, פירסם במקביל משרד ראש הממשלה את “הערות ראש הממשלה לדו”ח מבקר המדינה”.

כאן אביא את עיקרי ההערות בכל הקשור לפרק העוסק ב”היבטים בהיערכות המדינה להגנת המרחב הקיברנטי“. הגופים המבוקרים בפרק זה הם המטה הקיברנטי הלאומי (מטה הסייבר הלאומי) במשרד ראש הממשלה, שירות ביטחון כללי (שב”כ), נציבות שירות המדינה (נש”מ) ומשרד המשפטים.

ליקוי: הממשלה אישרה את הסדרת האחריות לטיפול בתחום הקיברנטי בחלוף כשלוש שנים ממועד קבלת ההחלטה מ-2011. עובדה זו עיכבה את קידום השינויים בחקיקה ומרבית השינויים הארגוניים האחרים החיוניים לצורך מתן הסמכות, האחריות והמשאבים הנחוצים להעמקת הפעילות בתחום הגנת הסייבר ולהרחבתה לחלקים נוספים במרחב הקיברנטי האזרחי בישראל. התמשכות ההליך של הסדרת האחריות לטיפול בתחום הקיברנטי במשך שנים ואי-העמידה בלוח הזמנים שקבעה הממשלה בשנת 2011 לגיבוש תפיסת ההגנה הכוללת אינן עולות בקנה אחד עם התגברות האיום על מדינת ישראל.

תגובת מערך הסייבר הלאומי – משרד ראש הממשלה: ממשלת ישראל ביצעה עבודת מטה חסרת תקדים, שכללה בחינה מעמיקה, ממושכת ויסודית במיוחד של יותר מחלופה אחת, כפי שראוי לקראת קבלת החלטות בסדר גודל זה. לאור זאת, ובהשוואה לתהליכים דומים במדינות שונות, לא התארכה עבודת המטה מעבר לפרק זמן סביר.

ליקוי: בעבודת המטה ובתהליך קבלת ההחלטות הנוגעים להסדרת האחריות לטיפול בתחום הקיברנטי במדינת ישראל נפלו כמה ליקויים, בין היתר בהליך גיבוש ואישור מסמך תפיסת ההגנה. כן נמצאו הליקויים הבאים: במסמכים שהוגשו לשרי הממשלה, טרם ישיבת הממשלה, לא הוצגה חלופה נוספת. ב. בעבודת המטה לא פורטה העלות של החלופות באשר לגורם שיישא באחריות להגנה על המרחב הקיברנטי של מדינת ישראל. ג. בהצעות ההחלטה לממשלה ובדברי ההסבר להן לא פורטו מלוא ההוצאה התקציבית הכרוכה ביישומן והמשמעויות של היישום על משק המדינה.

תגובת מערך הסייבר הלאומי – משרד ראש הממשלה: בעבודת המטה, לרבות בחינת החלופות הרלוונטיות, היו מעורבים מספר רב של גורמים ובהם כמה משרדי ממשלה. מעבר לכך, רשומות הדיון מוכיחות כי החלופות היו ידועות היטב לכל הנוכחים. לבסוף, חילוקי דעות שקדמו להחלטה מצאו ביטוי ברור ומפורש בחוות הדעת המשפטית אשר צורפה להצעת ההחלטה. שיקולי העלות הובאו בחשבון והופיעו במסמכים שונים שהוחלפו במסגרת עבודת המטה שבוצעה בטרם קבלת החלטות הממשלה. באשר להחלטות הממשלה עצמן, הרי שהן הסדירו את התקציב ותקני כוח האדם ההתחלתיים והותירה את המשך ההתנהלות התקציבית בנוגע להחלטות לדיאלוג שיתקיים בין הגורמים הרלבנטיים.

ליקוי: המטה לא הציג לראש הממשלה את המתווה להעברת שטח הפעולה בתחום הפעולות לאבטחת מערכות ממוחשבות חיוניות כהגדרתן בחוק להסדרת הביטחון בגופים ציבוריים, התשנ”ח – 1998, מהשב”כ לרשות, אף שהיה אמור לעשות זאת עד אוגוסט 2015.

תגובת מערך הסייבר הלאומי – משרד ראש הממשלה: המתווה להעברת שטח הפעולה בתחום פעולות לאבטחת מערכות ממוחשבות חיוניות מהשב”כ לרשות הלאומית להגנת הסייבר הוצג לראש הממשלה ואושר על ידו בתאריך 13.3.2016. בהמשך לכך, בתאריך, 3.8.2016 אושר בקריאה שלישית בכנסת תיקון לחוק להסדרת הביטחון בגופים ציבוריים, התשנ”ח – 1998, המאפשר את העברת שטח הפעולה בהתאם למתווה.

ליקוי: עד תחילת 2016 לא הושלמה הכנת תזכיר חוק הגנת הסייבר, שלפי האמור בהחלטת הממשלה בעניין ההיערכות היה צריך להיות מוגש לרה”מ עד אוגוסט 2015. על המטה לסיים בהקדם את הכנת תזכיר חוק הגנת הסייבר בהתאם לנדרש בהחלטת הממשלה.

תגובת מערך הסייבר הלאומי – משרד ראש הממשלה: תזכיר חוק הגנת הסייבר נמצא בהכנה יסודית עם משרד המשפטים וגורמים נוספים בממשלה מאז פברואר 2016 ויפורסם עד מחצית שנת 2017. העבודה על התזכיר החלה בסמוך להחלטות הממשלה, אולם יש לתת את הדעת שראש הרשות הלאומית להגנת הסייבר, שהוא מושא מרכזי של חלקים נרחבים בחוק, מונה רק בינואר 2016.

ליקוי: וועדת השירות בנציבות שירות המדינה המליצה על מתן פטור ממכרז פומבי למשרות מקצועיות ברשות, בשל דחיפות האיוש והסיווג הביטחוני של בעלי התפקידים המיועדים לעבודה ברשות, והממשלה אישרה מתן פטור זה. בהחלטתה זו לא נתנה ועדת השירות משקל ראוי למאפיינים האזרחיים של הרשות ולמשך הזמן הארוך שנקבע לאיוש רוב המשרות ברשות. מן הראוי שאיוש המשרות ברשות ייעשה, ככל הניתן, באמצעות תהליכים תחרותיים ושוויוניים אשר יגשימו את עקרון שוויון ההזדמנויות לכל הקבוע בחוק שירות המדינה (מינויים), התשי”ט – 1959. תהליכים אלה, גם יגדילו את האוכלוסייה שממנה יהיה אפשר לגייס את המועמדים המתאימים ביותר

סקר תקני אבטחת מידע וסייבר בחו”ל בוצע באיחור משמעותי מלוחות הזמנים שנקבעו לכך. גם בחינה וקידום של מיסוד מנגנונים לאישור ולהסמכה של מוצרי הגנת הסייבר בישראל בהתאם לתקינה בין-לאומית למוצרי אבטחת מידע ומחשוב נמצאים בפיגור לעומת לוח הזמנים המקורי. השירותים המקצועיים בתחום הגנת הסייבר כוללים, בין היתר, ביצוע של סקרי סיכונים, מבדקי חדירה, סיוע בניהול אבטחת המידע בארגון והכנה לקראת הסמכה לתקני אבטחת מידע. נמצא כי עד מועד סיום הביקורת לא עמד המטה במשימה של הגדרת מנגנון למדרוג שירותי הגנת הסייבר. במצב דברים זה, חל עיכוב באסדרת מקצועות הסייבר והעוסקים בתחום זה.

תגובת מערך הסייבר הלאומי – משרד ראש הממשלה: כל התקנים שנבחרו במסגרת העבודה, אומצו ופורסמו עד סוף יוני 2116, כפי שתוכנן. מדיניות לאומית לאסדרת מוצרי הגנת הסייבר תגובש עד סוף שנת 2017. הרשות תפעיל מנגנון להסמכת אנשי מקצוע בהגנת הסייבר בחציון השני של שנת 2017. באשר לאסדרת השירותים המקצועיים, הוחלט כי מקצועית נכון יהיה להשלים תחילה את המהלך לאסדרת המקצועות, אשר ישליך באופן ישיר ומהותי על החברות שמהוות את מושא אסדרת השירותים המקצועיים.

ליקוי: נמצאו שני גופים, שהיה מקום ליזום את בחינת הגדרתם כגוף ציבורי כהגדרתו בחוק להסדרת הביטחון מבחינת מהות פעילותם וחשיבותה, אולם בחינתם לא נעשתה או שנעשתה בשלב מאוחר יחסית.

תהליך המיפוי של המרחב הקיברנטי הישראלי לא הסתיים וגם לא נקבעה תכנית עבודה ולוח זמנים לסיומו. לפיכך לא היה בידי מטה הסייבר מיפוי שיאפשר לקבוע מי הם הגופים במרחב הקיברנטי האזרחי הטעונים הגנה בהתאם להיררכיה פירמידלית של כלל הגופים במדינה ועל פי רמות הסיכון שלהם וסוגי המערכות הממוחשבות שבהם. על וועדת ההיגוי העליונה לבחון מתכונת דיווח לממשלה על מצב ההגנה על המרחב הקיברנטי הישראלי בכלל, ועל תשתיות קריטיות בפרט, ובכלל זה על תהליכי המיפוי וההגדרה של גופים במשק כתשתיות מידע קריטיות. רצוי כי דיווח כזה יכלול מדדים כמותיים כך שיתאפשר לממשלה לבחון את מצב ההגנה גם על בסיס מדדי תפוקה ותוצאה רלבנטיים.

תגובת מערך הסייבר הלאומי – משרד ראש הממשלה: איפיון מושאי ההגנה במרחב האזרחי הינו תהליך רציף הנדרש להביא בחשבון את ההתפתחויות המתמשכות באיומים, בגופים ובמערכותיהם, בתהליכי עבודה במשק ובממשקים ביניהם, ועוד. תהליך זה מבוצע ע”י הרשות בהתאם לתעדוף המתאים ובתיאום עם הרגולטורים המגזריים.

ליקוי: כמה גופים מונחים אינם עומדים בקצב הראוי ביישום התכנית הרב-שנתית להטמעת דרישות האבטחה של השב”כ, ביניהם גם גופים הנמצאים זמן ממושך יחסית בהנחיית השב”כ.

על אף האמור בהחלטה מ-2002, עד דצמבר 2014 לא דיווחו ראשי ועדת ההיגוי העליונה להגנה על מערכות ממוחשבות חיוניות לממשלה או לוועדת שרים על מצב ההגנה של המערכות הממוחשבות כנדרש בהחלטה.

תגובת מערך הסייבר הלאומי – משרד ראש הממשלה:  בשנים 2014 ו- 2015 דיווח ראש ועדת ההיגוי העליונה אודות פעילות הועדה כנדרש.

ליקוי: על השב”כ לבחון את הצורך בדיווח למועצות המנהלים של התאגידים שיש בהם תשתיות מחשוב קריטיות על אי-עמידה בהנחיותיו המציבה בסיכון תשתית מדינה חיונית או את הפעילות העסקית של אותו תאגיד.

תגובת שירות ביטחון כללי (שב”כ): השירות מקבל את המלצת הביקורת וכבר בוצע שימוש בדרך זו בתחילת 2016 מול אחד הגופים בעלי תשתית מחשוב קריטית ואכן כהמלצת הביקורת השירות נוכח שזו אופציה ראויה לשימוש במקרים שבהם ביצוע ההנחיות מצד הגוף לוקה בחסר.