דו"ח המבקר
הממשלה לא קידמה חוק סייבר - גופים חיוניים היו חשופים למתקפות לפני 7.10
מהדו"ח עולה שהאשמה מוטלת לפחות באופן חלקי על ראש הממשלה, בנימין נתניהו, והדרג המדיני, שלא דאגו לשים את הגנת הסייבר בראש סדר העדיפויות; "בעשור לפני המלחמה ועד יוני 2025, ראשי הממשלה לא יזמו ולא קיימו בקבינט דיונים ייעודיים בנושא סייבר למעט פגישה ייעודית אחת שהתקיימה ב-2018"
גופים קריטיים וחיוניים במשק לא היו ערוכים למתקפת סייבר לפני ה-7 באוקטובר, וגם שנה אחרי פרוץ המלחמה רמת ההגנה שלהם לקתה בחסר ולא ערוכה להתמודד עם אתגרים מורכבים – כך לפי דו"ח מיוחד של מבקר המדינה, שבוחן את היערכות המדינה לאירועי סייבר ותפקודה במהלך מלחמת ה-7 באוקטובר.
מהדו"ח עולה שהאשמה מוטלת לפחות באופן חלקי על ראש הממשלה, בנימין נתניהו, והדרג המדיני, שלא דאגו לשים את הגנת הסייבר בראש סדר העדיפויות ולא קידמו חוק סייבר במשך כעשור. "על כלל הגורמים האמורים לראות בליקויים התרעה כוללת ומשמעותית המחייבת נקיטת פעולות, חלקן דחופות, ולפעול בהקדם לתיקונם", התריע המבקר.
פעולת הביקורת החלה בפברואר 2023, והושלמה ביוני שעבר. אחד הממצאים המרכזיים של הדו"ח נוגע למוכנות למתקפת סייבר של גופי תשתיות מדינה קריטיים (תמ"ק), כמה עשרות גופי ממשלה או גופים פרטיים, שמנהלים מערכות ממוחשבות שפגיעה בהן עלולה לגרום לנזק פיזי או כלכלי משמעותי מאוד, לפגיעה בחיי אדם או לפגיעה באספקת שירות ציבורי חיוני. לפי המבקר, לפני המלחמה חלק מגופים אלו היו בעלי רמות הגנה שמשקפות יכולת התמודדות מוגבלת מול תוקפים.
בנוסף, מערך הסייבר כשל בעדכון הדרג המדיני והמקצועי על מצב ההגנה של גופי תמ"ק, ומ-2020 עד יוני 2025 לא העביר לראש הממשלה, לראש השב"כ, לראש המל"ל וליו"ר ועדת החוץ והביטחון של הכנסת דוחות חצי-שנתיים על מצב הגנת הסייבר של גופי תמ"ק ומערכות ממוחשבות אחרות, כנדרש בהחלטת ממשלה. ועדת היגוי שעוסקת בנושאים אלו לא התכנסה ב-2021 ובשנה וחודשיים שאחרי פרוץ מלחמת ה-7 באוקטובר.
לפי מערך הסייבר עצמו, לצד גופי תמ"ק גם רמת הגנת הסייבר של מגזרים מסוימים במשק לא היתה מספקת לפני המלחמה. חמור לא פחות, לדברי המערך גם באוקטובר 2024 רמת ההגנה היתה לא מספקת ועלולה שלא לעמוד בפני אתגרי העתיד. "אומנם מאז פרוץ מלחמת חרבות ברזל ועד יוני 2025 מדינת ישראל לא חוותה אירוע סייבר שפגע באופן משמעותי בתהליכים עסקיים קריטיים שהשפיעו באופן מהותי על המשק", נכתב בדו"ח. "יחד עם זאת, באוקטובר 2024 דיווח ראש מערך הסייבר דאז כי מצב בשלות הגנת הסייבר במשק אינה מספקת, וכי השיפור הדרמטי בקצב וביכולות התקיפה מחייב נקיטת פעולות לחיזוק קו ההגנה ולהבטחת רציפות התפקוד ברמה המשקית והביטחונית. נוכח זאת ציין ראש המערך דאז כי יש חובה לפעול כדי להבטיח שמדינת ישראל תשמר כמעצמת סייבר עולמית ותתמודד עם האיומים המתגברים".
עוד מצא המבקר שחסר מידע מהותי בניתוח של מאות אירועים עם פוטנציאל נזק משמעותי שהתרחשו בזמן המלחמה. "בפירוט שיש בידי מערך הסייבר על האירועים חסר מידע חיוני הנדרש כדי לגבש תמונת מצב וסטטוס של האירועים, לתחקר אותם ולהפיק לקחים ותובנות מערכתיים כדי למנוע את הישנותם ולשפר תהליכים", נכתב.
לצד הביקורת ערך המבקר סקר בקרב 21 גופים בעלי חשיבות למשק, להבין את היערכותם לאירועי סייבר לפני ובמהלך המלחמה. 33% מהגופים שנסקרו קיבלו ציון 60 ומטה במדד שמשקף הפעלה של הכלים הדרושים להתמודדות עם אירוע סייבר, דוגמת מינוי ממונה סייבר וצוות לניהול משבר סייבר. ל-38% מהגופים לא היו תמונת מצב ותשתיות מידע נחוצות לטיפול באירוע סייבר (כמו תוכנית התאוששות או הפקת לקחים מתרגולים). 86% מהגופים דיווחו שלפני ה-7 באוקטובר היה אצלם פער בנושא ניתוח איומים וסיכונים.
חלק מהאחריות למצב זה מטיל המבקר, באופן מרומז, על הדרג המדיני שלא שם את הנושא בראש סדר העדיפויות שלו: "בעשור לפני המלחמה ועד יוני 2025, ראשי הממשלה לא יזמו ולא קיימו בקבינט דיונים ייעודיים בנושא סייבר למעט פגישה ייעודית אחת שהתקיימה בשנת 2018". לדבריו, נושא הסייבר הוזכר רק כחלק מדיונים בנושאים רחבים יותר. "כתוצאה מכך בתקופת הביקורת הקבינט לא נחשף למכלול הסיכונים בתחום הסייבר, לרמת ההיערכות ולנזקים הפוטנציאליים", נכתב. בנוסף, מעלה הדו"ח שעד פרוץ המלחמה לא ביצע מערך הסייבר מדידה של רמת ההגנה במגזרים שונים ולא עקב אחרי מגמות ושינויים.
רמות ההגנה הלא מספקות הן תוצאה ישירה של פערים בפעולות גופי הרגולציה הרלוונטיים, ובתשתית החוקית שמאפשרת להם לפעול. ובפרט, היעדרו של חוק סייבר, שיסדיר את מעמד מערך הסייבר, ויחייב גופים חיוניים בסטנדרט של הגנת סייבר ודיווח. "במשך יותר מעשור לא השלים משרד רה"מ את הפעולות לצורך חקיקה בכנסת של חוק ייעודי", נכתב "בשנים 2022 עד 2025 פעל מערך הסייבר עם גופים נוספים לגיבוש טיוטת חוק סייבר חדש. לאחר פרוץ המלחמה, בינואר 2024, הנחה אותו ראש הממשלה, בנימין נתניהו, להגיש לאישור ועדת השרים לענייני חקיקה תזכיר חוק סייבר בתוך שלושה חודשים (עד אפריל 2024). למרות הפעולות הרבות שביצע מערך הסייבר יחד עם גופים נוספים לקידום החוק, נכון ליוני 2025, טרם הסתיים הליך גיבוש הצעת החוק, טרם לובנו כלל המחלוקות שעלו על ידי המשרדים השונים ואף לא נקבעו לוחות זמנים להגשת הצעת החוק".
המבקר גם מוצא שמערך הסייבר לא קיים פעולות מספקות לשיפור הכשירות של יחידות סייבר מגזריות: "לפני המלחמה מערך הסייבר לא קיים ליחידות סקירות מודיעין, הועלו פערים הנוגעים לאופן שבו מערך הסייבר משתף מידע מודיעיני עם יחידות הסייבר המגזריות, המערך לא הקים פורום לשיתוף מידע ביניהן ולא שיתף אותן באופן מספק בתכנון הכלים שהוא מפתח בין היתר עבורן. יצוין לחיוב כי במהלך הביקורת החל מערך הסייבר לטפל בחלק מהפערים".
המבקר מסכם: "על מערך הסייבר לגבש תוכנית פעולה לאומית-ממשלתית שתבטיח צמצום פערים ברמת ההגנה. מומלץ כי ראש הממשלה ייזום ויקיים דיונים סדורים לצורך הצגת תמונת מצב היערכות המדינה לאירוע סייבר ופערים בה לצורך קבלת החלטות בקבינט המדיני-ביטחוני או בוועדת שרים ייעודית. כן מומלץ כי משרד ראש הממשלה והעומד בראשו יפעלו להשלמת חקיקת חוק הסייבר".
במקביל, פרסם המבקר דו"ח על הגנת המידע הממוחשב בבית הנשיא. הליקויים העיקריים שנמצאו בביקורת זו כוללים היעדר מדיניות הגנת סייבר ותוכנית התאוששות מאסון, ליקויים בניהול מאגרי מידע בהיבט ההגנה על הפרטיות, ליקויים בניהול אמצעי ההזדהות והחשבונות של המשתמשים ברשת, בקשות חנינה שכוללות מידע רגיש שהועברו ללא הצפנה, ושימוש במערכות שהגיעו לסוף מחזור החיים שלהן.
"על בית הנשיא כגוף ציבורי בעל חשיבות לאומית מהמעלה הראשונה, לפעול לתיקון הליקויים שעלו בביקורת, במטרה להבטיח את הסודיות, השלמות, הזמינות והשרידות של המידע המצוי ברשותו, למנוע פגיעה בצנעת הפרט של תושבי המדינה ולמנוע פגיעה בשם הטוב ובתדמית של בית הנשיא", כתב המבקר.
ממערך הדיגיטל הלאומי נמסר: "מערך הדיגיטל פועל באופן שוטף ומקצועי לחיזוק ההיערכות של המגזר הממשלתי לאירועי סייבר, מקצה לקצה, הן בשגרה והן בחירום. המערך מוביל פעולות מניעה, ליווי מקצועי, תרגול והיערכות של משרדי הממשלה, וכן מפעיל בעת הצורך צוותים וספקים מקצועיים למתן מענה לאירועי סייבר בזמן אמת. ביחס למגזר הממשלתי שבאחריותו, המערך פעל ופועל באופן רציף, אחראי ומקצועי. ככל שעולות טענות בדוח שאינן משקפות את מלוא הפעילות שבוצעה, הדברים ייבחנו ויוצגו לגורמים הרלוונטיים שנית".
ממערך הסייבר נמסר: "חוק הגנת הסייבר הלאומית שאושר אמש בקריאה ראשונה ישפר את רמת ההגנה בסייבר של ארגונים חיוניים ושל ספקים דיגיטליים ויחזק את משרדי הממשלה הרגולטורים להוביל את ההגנה במגזרים השונים, בהנחיה מקצועית של מערך הסייבר לאומי. פעילות ההגנה האינטנסיבית של מערך הסייבר הלאומי בתקופת המלחמה, עם שותפיו למשימה, הביאה למניעת הישגים משמעותיים מהאויבים אשר לא הצליחו לפגוע ברציפות התפקוד הלאומית או בחיי אדם, כפי שניסו שוב ושוב. מערך הסייבר הלאומי למד את ממצאי הדוח לעומק, כפי שהוא עושה עם כל ביקורת מקצועית, טיפל כבר בחלק מהנושאים שהועלו וימשיך לפעול ליישום הלקחים".
