מבקר המדינה: סקטור התחבורה ומשק המים חשופים למתקפות סייבר
מבקר המדינה: סקטור התחבורה ומשק המים חשופים למתקפות סייבר
המבקר מצא כשלים בעבודת משרד התחבורה בכל הנוגע לעדכון שוטף של דרישות סייבר בתקנים ובחוקים הקשורים למגזר. כתוצאה מכך, טען, המשרד לאר מודע לתמונת המצב של כלל האיומים שתחת אחריותו. במשק המים, ציין המבקר כי רשות המים לא הגישה לספקים כללים הדורשים מהם להפעיל מערך ניטור ובקרה
המידע שחושף דוח מבקר המדינה בנושא "סייבר ומערכות מידע" מעלה חשש בנוגע למוכנותן של התשתיות הלאומיות והציבוריות למתקפות סייבר. שתיים מהן - התחבורה והמים - נמצאו פגיעות במיוחד לחדירות מסוכנות של גורמים זדוניים למערכותיהן, בעיקר נוכח היעדר ההתייחסות שלהן לנושא וכשלים מבניים באופן הטיפול בו.
לכתבות נוספות מדו"ח המבקר בנושא סייבר ומערכות מידע:
פרק שלם בדוח הוקדש להגנת סייבר בתחבורה. לפי המבקר, תחום התחבורה פגיע למתקפות סייבר באופן ספציפי ובדוח מצוין כי בתחום קיימים "סיכונים רבים שעלולים להתממש כתוצאה מפגיעות במרחב הסייבר: פגיעה בתשתיות התחבורה ובאמצעי תחבורה המוניים שעשויה לגרום לפגיעה בחיי אדם, להפסקת תהליכי ייצור, לנזק כלכלי כבד, לדליפת מידע אישי, לפגיעה במוניטין של הארגון הנפגע ובמקרים מסוימים אף להשלכות פוטנציאליות במישור הביטחוני".
בדוח מצוין עוד כי קיימת מורכבות רבה בהגנה על סקטור התחבורה - זאת, מפני שישנם 28,000 גופים שונים הפועלים בתחום. בנוסף, 20% מהגופים שמוגדרים כ"תשתיות מדינה קריטיות" שייכים למגזר התחבורה. בעקבות רגישות הנושא, על חלק מהדוח הוטל חיסיון.
הדוח מצא כשלים בעבודת המשרד בכל הקשור להוספת דרישות סייבר לתקנות ולחוקים במגזר התחבורה, כמו גם לצירוף דרישות דומות בהתקשרויות עם מפעילים בתחום התחבורה – בין עם מדובר במפעילי תחבורה ציבורית ובין אם מדובר בגופים כמו הנמלים הפרטיים החדשים. חלק ניכר מהביקורת מוקדש לכך שהמשרד לא מודע לתמונת המצב של כלל האיומים שתחת אחריותו ושגם כשמתגלים ליקויים הוא מתקשה לתקן אותם.
בהקשר זה, יש לציין כי בתחילת השנה החל לפעול חמ"ל SOC (Security Operating Center) של משרד התחבורה בנתב"ג שאמור לאחד ולרכז פעולות הגנה, ניטור ומניעה של מתקפות סייבר על גופי תחבורה. ואולם, לפי המבקר, 21 מתוך 35 מהגופים שמתוכננים להיות מחוברים ל-SOC המגזרי שהקים המשרד לא חוברו אליו עד מועד סיום הביקורת. עוד עלה כי ההתקשרות הנוכחית של משרד התחבורה עם רש"ת בנוגע להפעלת ה-SOC נחתמה לשנה אחת בלבד ואינה נותנת מענה מלא לארגונים גדולים.
הדוח לא מבקר אך ורק את התנהלות משרד התחבורה, ומוצא כי עצם העובדה שלא הושלמה חקיקה ראשית של חוק הסייבר פגעה במוכנותו. כמו כן, המבקר רומז גם על אחריות האוצר וטוען כי דרישות התקציב שמשרד התחבורה הגיש במסגרת דיוני התקציב האחרון עמדו על 30 מיליון שקל ומתוכם אושרו לו רק 6.3 מיליון שקל.
גם במשק המים, כאמור, נראה שהנושא לא ממש בראש סדר העדיפויות. חברת מקורות היא הגורם היחיד במשק המים שמוגדר כתשתית לאומית קריטית ולכן היא מקבלת הנחיות להגנה בתחום הסייבר ישירות ממערך הסייבר הלאומי. הדוח מדגיש כי טרם נעשתה בדיקה אם צריך לכלול גורמים נוספים בשוק המים כתשתיות קריטיות. יתר המתקנים, הכוללים ספקי מים, תאגידים ומתקני התפלה, מקבלים הנחיה מגזרית ממשרד האנרגיה. בנוסף, מציין המבקר כי רשות המים לא הגישה לספקי המים את הכללים המתאימים, הדורשים מהם להפעיל מערך ניטור ובקרה כנגד איומי סייבר.
כמו כן, הדוח מציין כי כל העובדים ביחידה האחראית על יצירת ההנחיות ברשות המים (נכון לדצמבר 2021) אינם עובדי מדינה אלא עובדים במיקור חוץ ומזכיר כי חלק מתאגידי המים בהם ביצעה הרשות בדיקה, קיבלו ציון נמוך במוכנותם למתקפת סייבר.
מרשות המים נמסר בתגובה לדוח: "משק המים הישראלי הוא משק בטוח, הערוך היטב לשעת חירום, כולל התמודדות עם נושא הסייבר על היבטיו השונים. מזה מספר שנים רשות המים נערכת להרחבת מערך ההגנה מפני מתקפות סייבר עתידיות על תשתיות המים בישראל ובתוך כך מנחה ומתרגלת את ספקי המים לעמידה באתגרים אלה. כחלק מההיערכות מתקיימת פעילות נרחבת בהובלת הרשות ובשיתוף עם רח"ל ופיקוד העורף להבטחת הגנה מרבית על מתקני המים ומערכות התפעול, לרבות שדרוג מערכות הבקרה הטכנולוגיות וכן הקמה ותפעול שולחן מים ייעודי במרכז הסייבר הלאומי בבאר שבע.
"חשוב לדעת כי השילוב בין חיזוק מערך ההגנה מפני התקפות סייבר, גיבוי המערכות, העובדה שמשק המים בישראל בנוי בצורה מבוזרת וריבוי מקורות מים מצמצמים את האפשרות להפרעה באספקת המים גם במקרה של פגיעות נקודתיות. עד היום, למרות מספר ניסיונות לפגוע במשק המים, לא הייתה הפרעה באספקת המים, איכות המים או סילוק הביוב. רשות המים תמשיך להיערך ולפתח את תחום הסייבר במטרה להבטיח לתושבי ישראל אספקת מים רציפה ובטוחה".
ממשרד התחבורה נמסר: "משרד התחבורה עשה קפיצת מדרגה משמעותית בתחום הגנת הסייבר. לראשונה, הוקם מרכז לניטור אירועי אבטחת מידע בענף התחבורה (SOC מגזרי), לקבלת תמונת מצב ענפית. המרכז כולל חיבור של כל הגורמים המרכזיים הפועלים בענף, לרבות המשרד, חברות התשתית הממשלתיות, נמלים, רכבת, מפעילי התחבורה הציבורית, חברות זכייניות, ספקים ועוד. רוב הגופים כבר בשלבי התחברות, ומזרימים מידע ל-SOC. כך מתאפשר לזהות ניסיונות תקיפה פוטנציאליים, ולהתריע מפני חשיפה אפשרית לגופים דומים, שתסייע להם להיערך ולהתגונן.
"בנוסף, הוביל המשרד בשנה החולפת חקיקה מהפכנית לרכב האוטונומי, המאפשרת לבצע ניסויים ברכב ללא נהג והסעת נוסעים. בחוק שולבו דרישות סייבר מחמירות וסמכויות אכיפה ובקרה משרד.
"יתר על כן, הוקם בבאר שבע מרכז סייבר לאומי לתחבורה חכמה, בשיתוף מערך הסייבר הלאומי וחברות מובילות במשק. המרכז יאפשר למשרד לבצע בדיקות ולבחון את רמת הגנת הסייבר ברכבים, ברכבות, ברמזורים חכמים ועוד. המשרד מקצה משאבים חסרי-תקדים בפיתוח יכולות הגנת סייבר, הכוללות תשתיות טכנולוגיות, ביצוע בדיקות ובקרות, הון אנושי (עובדי משרד ומומחים חיצוניים), ופיתוח תהליכים ותו"ל במקרי מתקפות סייבר.
"בנוגע לביקורת על מרכזי ניהול ובקרת תנועה המופעלים ומתוקצבים על ידי הרשויות המקומיות - נבקש להדגיש, כי למשרד אין סמכות הנחייה בנושא סייבר על המרכזים הללו, מאחר שסמכות רשות התמרור המקומית הואצלה לרשויות המקומיות".
