אושרה התוכנית לאבטחת מידע בממשלה

הקבינט המדיני-ביטחוני אישר היום (ד') את תוכנית המועצה לביטחון לאומי בנושא אבטחת מידע ממוחשב. בעקבות זאת, תועבר האחריות על נושא אבטחת המידע הממוחשב לוועדת היגוי עליונה באחריות ראש המועצה לביטחון לאומי במשרד ראש הממשלה, אפרים הלוי ובהשתתפות השב"כ, נציגי המשרדים השונים, מומחים ואנשי מקצוע.
על פי התוכנית שגובשה במועצה לביטחון לאומי, ועדת ההיגוי תבחן את סיכוני אבטחת המידע למחשבים בשירות הממשלתי והציבורי, תופקד על גיבוש התורה האסטרטגית בתחום אבטחת המידע ותפרסם "תרחיש איום" שנתי, המפרט את היקף הסיכונים למערכות המידע הממשלתיות. כללי ועדת ההיגוי יחולו על מספר גופים ומוסדות שמערכות המידע שלהם הוגדרו קריטיות, בהם חברת החשמל, בנקים, משרדי ממשלה ובאופן רופף יותר – גם מערכות מידע במערכת הביטחון. וועדת ההיגוי מוסמכת להחליט על הוספת גופים חדשים תחת אחריותה, על פי הצורך.
בעקבות החלטת הקבינט, תוקם מינהלת ביצועית בעלת סמכויות מקפות בתחום אבטחת המידע בישראל ברשות לאבטחת מידע בשב"כ. המינהלת תתווה הנחיות מקצועית לפעולה על בסיס האיומים. הרשות לאבטחת המידע תזכה לתוספת תקציב של כמה מיליוני שקלים ולהגדלה של כ-12 עובדים במספר התקנים. האחריות לתחום אבטחת המידע בכל משרד ממשלתי או גוף ציבורי תופקד בידי קצין ביטחון, הכפוף להנחיות השב"כ.

הצורך באבטחת מידע

עם הגידול בתעשיית טכנולוגיות המידע והעלייה בשימוש באינטרנט ובמערכות אינטראנט בישראל, נוצרת בעיה קשה של אבטחת המידע. ארגונים שמשתמשים במערכות תקשוב חשופים לסכנה של פריצות לרשתות וגניבת מידע מתוך מאגרי המידע, כמו גם למתקפות שונות על מידע המועבר באמצעות רשתות התקשורת - ציתות, שיבוש ועוד.
בשנים האחרונות גוברת בארגונים רבות המודעוּת לסכנות של עבירות בתחום אבטחת המידה, ובכללן פריצה לרשתות וירטואליות פרטיות (VPN) וציתות למידע ברשת התקשורת. מוּדעוּת זו מביאה לכך שחלק מהארגונים חוששים להתחבר לרשתות חיצוניות ללא אמצעי אבטחת מידע נאותים ולכן מעכבים את התחברותם – דבר שפוגע בפעילותם ובעסקיהם.
במקביל, אצל ארגונים ממלכתיים אחרים קיימת תופעה של חשיפת מערכות מידע לרשתות תקשורת שונות והמודעות להיבטים השונים של נושא אבטחת המידע אינה מקבלת את המשקל הראוי.כתוצאה מכך, גופים ממשלתיים וציבוריים פעלו ללא תיאום בנושא אבטחת המידע, כאשר כל ארגון מגבש עבור עצמו את מדיניות האבטחה הרצויה לו.
"קיים איום על תשתיות קריטיות בישראל ויש לאבטח אותן מפני פגיעה חיצונית, כמו גם מפני סכנה של זליגת מידע", אומר עוזי דיין, סגן הרמטכ"ל וראש המועצה לביטחון לאומי לשעבר, והאיש שגיבש את התוכנית. "ישראל תלויה מאוד במערכות מחשב וכמו מדינות מפותחות אחרות, התשתיות הלאומיות מצויות בסכנה של סייבר טרור, התקפות מהאינטרנט ואיומים אחרים. באופן מעשי, התוכנית שאושרה מסכמת על מי מוטלת האחריות המקצועית בתחום אבטחת המידע ומי מוסמך לקבוע את הכללים בנוגע לאבטחת מערכות בישראל".

"איום על התשתיות הקריטיות"

"קיים איום מתמשך על התשתיות הקריטיות בישראל", אומר דורון שקמוני, לשעבר נשיא איגוד האינטרנט וארכיטקט אבטחת מידע במערכות ממשלתיות, "לא הרבה נעשה נגד האיום הזה בעבר, ואני מברך על החלטת הקבינט היום, גם אם התקבלה באיחור של שנתיים".
שקמוני סבור כי אחד האתגרים של וועדת ההיגוי החדשה, המופעלת, למעשה, על ידי השב"כ, היא לאזן בין הצרכים הביטחוניים לבין הצרכים של מוסדות ממשלה וציבור המפעילים מערכות מידע ציבוריות. "בגופים ביטחוניים נהוגה צורת חשיבה מסוימת שעלולה להתנגש עם האינטרסים של מערכות מידע אזרחיות, אבל אני סבור שהוועדה תגשר בין שתי התפישות האלה", הוא אומר.
דיין סבור כי אין ניגוד אינטרסים בהקשר זה. "יכולים להיות חילוקי דעות אך האינטרס העליון של כל המשתתפים בוועדת ההיגוי הוא לדאוג לביטחון הלאומי", הוא אומר, "האם יש גורם מסוים בוועדה שמטרה זו מנוגדת לאינטרסים שלו? ועדת ההיגוי לא תפעל נגד הקמת אתרי אינטרנט ומערכות שפועלות באינטרנט כל עוד אבטחת המידע תישמר".
התוכנית להקמת וועדת ההיגוי והרשות לאבטחת המידע בשב"כ שואבת השראה מסוימת מפעולת המרכז להגנה על תשתיות לאומיות (NIPC) שמופעל בארה"ב על ידי האף בי איי. ה-NIPC מספק התרעות תקופתיות בנושא סיכונים בינלאומיים בתחום אבטחת מידע ומספק ניתוחים וייעוץ לרשויות אכיפת החוק. מטרת המרכז היא לזהות פעולות בלתי חוקיות, וירטואליות ופיזיות, באמצעות מחשב וטכנולוגיות מידע ולהתריע מפניהן, לערוך חקירות בנושא פריצות למערכות מחשב ולסייע בפעולות הלוחמה בטרור של זרוע אכיפת החוק.