ראש הממשלה אוהב להתגאות כי ישראל הפכה למעצמת סייבר, אך מבקר המדינה מאשים, בדו"ח שרובו הגדול נשאר חסוי, כי חרף האיום המשמעותי, ישראל לא ערוכה להגן על המגזר האזרחי ממתקפות סייבר

במקרה של מתקפת סייבר על ידי ארגוני טרור או גורמים אחרים על ישראל, מרבית הגופים האזרחיים לא מוגנים. כך קובע מבקר המדינה יוסף שפירא בדו"ח שפרסם היום.

הקטע בדו"ח העוסק בסייבר, נשאר חסוי. רק תקציר בן שישה עמודים שוחררו לעיון הציבור. יצוין כי ראש הממשלה בנימין נתניהו התגאה פעמים רבות בשנים האחרונות בכך שישראל הפכה למעצמת סייבר.

הביקורת ממוקדת באיטיות בה עדיין מתבצע תהליך חלוקת האחריות בין מטה הסייבר הלאומי ורשות הגנת הסייבר הלאומית החדשה שלהקמתם דחף ראש הממשלה נתניהו, לבין שירות הביטחון הכללי (שב"כ) וכן לגבי אי יישומן באופן מלא של שלוש החלטות ממשלה בנושא.

בתהליך חלוקת האחריות הוחלט כי שירות הביטחון הכללי ימשיך להחזיק באחריות להגנת סייבר של מערכת הביטחון וכן של מה שמוגדר "תשתיות קריטיות", לדוגמה – חברת החשמל, שדות תעופה ונמלי ים, מערכות תחבורה לאומיות כמו רכבת ישראל ועוד. האחריות על הגנת "המרחב האזרחי" – בעיקר חברות כלכליות ומפעלים במגזר הפרטי – הועברה לרשות הלאומית להגנת סייבר.

המבקר קבע כי עיקר הכשלים נמצאים בתחום האחריות שבידי מטה הסייבר הלאומי והרשות הלאומית להגנת סייבר. "קיימים פערים בין עוצמת האיום על כלל המרחב הקיברנטי האזרחי ובין קצב ההתארגנות והמענה מבחינת ההיערכות המדינתית להגנתו, להוציא תחומים ומגזרים מעטים כמו תשתיות מדינתיות קריטיות", נכתב בדו"ח.

בדו"ח נחשף עוד כי כמה גופים במדינה שמוגדרים כ"תשתיות קריטיות" לא יישמו עדיין באופן מלא את דרישות אבטחת המחשבים של השב"כ, דבר שלמעשה חושף אותם למתקפות סייבר. מבקר המדינה המליץ לשב"כ לדווח למועצות המנהלים של התאגידים בהם קיימות תשתיות מחשוב קריטיות על אי העמידה בהנחיותיו, "המציבה בסיכון תשתית מדינה חיונית או את הפעילות העסקית של אותו תאגיד". המבקר אף המליץ לבחון דרכים משפטיות לכפות על גופים שמוגדרים "תשתיות קריטיות" ליישם את הנחיות השב"כ.

המבקר קבע כי שלוש שנים שלמות עברו בין החלטת הממשלה המקורית ב-2011 עד לסיום תהליך חלוקת האחריות בין מטה הסייבר הלאומי לבין שירות הביטחון הכללי. לפי המבקר, התהליך האיטי עיכב קידומם של שינויי חקיקה ושינויים ארגוניים וכן העברת משאבים שהיו חיוניים ונחוצים להרחבת הגנת הסייבר במרחב האזרחי בישראל. "אי העמידה בלוח הזמנים שקבעה הממשלה ב-2011 לגיבוש תפיסת ההגנה הכוללת אינה עולה בקנה אחד עם התגברות האיום על מדינת ישראל", כתב המבקר.

המבקר קבע עוד כי בעבודת המטה ובתהליך קבלת ההחלטות שנגעו לחלוקת האחריות בין מטה הסייבר הלאומי לבין השב"כ נפלו ליקויים דוגמת אי הצגת כל חלופה אחרת לשרי הממשלה מלבד זו שעליה הצביעו. כמו כן, לא פורטו העלויות של העברת האחריות מהשב"כ למטה הסייבר הלאומי ולא הוסברו לשרים המשמעויות של יישום ההחלטה על המשק הישראלי.

אחד הכשלים החמורים ביותר שעליהם התריע המבקר נגע לתהליך אותו היה אמור לבצע מטה הסייבר הלאומי במשרד ראש הממשלה שבו ייערך "מיפוי" של מרחב הסייבר הישראלי. זאת, כדי לקבוע מיהם הגופים האזרחיים שעליהם יש להגן בהתחשב בסוג המערכות הממוחשבות שהוא מפעיל ומידת הסיכון של פגיעה בו והנזק שייגרם כתוצאה מכך. המבקר קבע כי אחרי שנים בהם פועל מטה הסייבר הלאומי תהליך זה כלל לא הסתיים.

"מתוקף אחריותו של המטה היה עליו לוודא כי יוגדר היקף הבעיה שעמה יש להתמודד בתחום ההגנה על מרחב הסייבר האזרחי, ייקבע מה הם התחומים והגופים במשק שיש להגן עליהם, מה המענה שצריך להינתן ואילו משאבים יושקעו בכך", נכתב בדו"ח. "לצורך כך על המטה להחיש את פעילותו בנושא ולפעול, בעצמו או באמצעות אחרים, לקידום מיפוי מלא של המרחב".