מלחמת "חרבות ברזל" הוכיחה מעל לכל ספק כי ממד הסייבר הפך לזירת לחימה חמישית וקריטית לחוסן הלאומי של מדינת ישראל. אולם, דוח מקיף של מבקר המדינה חושף היום (ג') כי מאחורי התדמית של המדינה כמעצמת הייטק, מסתתר ואקום בחקיקה, היעדר תרגול לאומי ותפקוד לקוי של מוסדות השלטון הרגישים ביותר.
עם נזק כלכלי מצטבר למשק הישראלי המוערך ב-12 מיליארד שקלים בשנה, קו ההגנה הדיגיטלי של המדינה מתגלה כנקודת תורפה מדאיגה.
תעוזה גוברת של התוקפים, קיפאון של הדרג המדיני
מהדוח עולה כי במהלך הלחימה חל זינוק בעוצמת מתקפות הסייבר נגד גופים ישראליים. התוקפים הציגו יצירתיות ותעוזה שהשתכללו ככל שהזמן עבר: מלוחמה פסיכולוגית ומניעת גישה בתחילת המערכה, דרך מתקפות למחיקת מידע, גיוס משתפי פעולה ומרגלים ברשתות החברתיות ועד למיקוד אסטרטגי באיסוף מודיעין על אזרחים ותהליכים רגישים בישראל.
למרות איומים אלו, הדרג המדיני הפגין אדישות מדאיגה. בעשור שקדם למלחמה ועד לאמצע שנת 2025, ראשי הממשלה לא יזמו ולא קיימו בקבינט המדיני-ביטחוני דיונים ייעודיים בנושא הסייבר, למעט ישיבה בודדת בשנת 2018. כתוצאה מכך, הקבינט לא נחשף למכלול הסיכונים ולפוטנציאל הנזק.
יתרה מכך, במשך שש השנים שקדמו למלחמה לא התקיים שום תרגיל סייבר לאומי. רק כשנה לתוך הלחימה, בנובמבר 2024, נערך תרגיל שולחני ראשון, וגם בו - כמו בתרגילי העבר - לא השתתף אף נציג מהדרג המדיני.
פרשת בית הנשיא: 100,000 מאגרי מידע רגישים בסכנה
אחת מנקודות השפל של הדוח נוגעת להגנת המידע בבית הנשיא - סמל שלטוני מובהק. עד ספטמבר 2024, המוסד פעל ללא גורם מנחה בתחום הסייבר וללא ועדת היגוי. במערכות המחשוב של בית הנשיא אצור מידע רגיש ביותר, הכולל נתונים רפואיים, סוציאליים וכלכליים של קרוב ל-100,000 מבקשי חנינה.
הביקורת העלתה כי המאגר נוהל בניגוד לחוק: לא מונה ממונה אבטחת מידע, עובדים השתמשו בתיבות דוא"ל פרטיות לצורכי עבודה (פתח חמור לדלף מידע), ובקשות חנינה רגישות הועברו למשרד המשפטים ולפרקליטות הצבאית ברשת האינטרנט הפתוחה ללא כל הצפנה. בנוסף, תחנות קצה רבות פעלו עם גרסאות תוכנה שפג תוקפן, ומערכות ליבה הגיעו לסוף מחזור חייהן ללא תמיכת יצרן.
ישראל מובילה ב-AI, אך הממשלה מאחור
הדוח מציג גם ביקורת רב-לאומית, שנערכה בשיתוף ארגון מבקרי המדינה האירופי (EUROSAI) ב-12 מדינות, ובוחנת את המוכנות לעידן ה-AI. כאן מתגלה "פרדוקס החדשנות" של ישראל: בעוד שהמגזר הפרטי והאקו-סיסטם הטכנולוגי בארץ נמצאים בחזית העולמית, המגזר הציבורי מדדה מאחור. בהשוואה למדינות באירופה ובארה"ב, בישראל טרם אושרה תוכנית לאומית ארוכת טווח ומחייבת לבינה מלאכותית הכוללת תקציב ייעודי ומנגנוני בקרה.
נמצא פער עצום בין תקצוב למימוש, בעיקר בתחום קריטי: תשתיות מחשוב-על (Supercomputing) ותשתיות לאימון מודלי שפה גדולים. בעוד ארה"ב, סין ומדינות מובילות באירופה משקיעות מיליארדים בהקמת תשתיות מחשוב עצמאיות כדי לא להיות תלויות בספקים חיצוניים וכדי להגן על מידע ריבוני, בישראל חסמים בירוקרטיים, מערכות שאינן מתממשקות והיעדר אסטרטגיית נתונים ממשלתית מונעים את קפיצת המדרגה.
מסקר שנערך בקרב 70 גופים ציבוריים בישראל עולה כי ל-58% מהם כלל לא הוקצה תקציב ייעודי ל-AI, וכי מגבלות אבטחת מידע (65%) ומחסור בכוח אדם מיומן (51%) מהווים את החסמים המרכזיים ליישום הטכנולוגיה.
איך הגענו לכאן?
ארכיטקטורת הגנת הסייבר העולמית נשענת על שני אדנים מרכזיים: תקינת ISO27001 הבין-לאומית, שפותחה בתחילת שנות האלפיים, ומסגרת הגנת הסייבר של המכון הלאומי האמריקאי לתקנים וטכנולוגיה (NIST). מודלים אלו הגדירו מחדש את הגנת המידע, ממעטפת הגנה היקפית פסיבית ("חומת אש") למודל דינמי של ניהול סיכונים רציף, זיהוי אקטיבי של חדירות ותוכניות התאוששות מהירות מאסון (DRP).
בעוד שמדינות המערב, ובראשן האיחוד האירופי (באמצעות דירקטיבות מחייבות כמו NIS2), הפכו את התקנים הללו לחקיקה מדינתית קשיחה המטילה סנקציות כבדות על גופים חיוניים שאינם עומדים בסטנדרט, מדינת ישראל קפואה מבחינה רגולטורית.
3 צפייה בגלריה
ראש מערך הסייבר הלאומי, יוסי כראדי. המלצות הארגון זכו להתעלמות של עשור
(מערך הסייבר הלאומי)
במשך למעלה מעשור, משרד ראש הממשלה לא הצליח להשלים את חקיקת "חוק הסייבר הלאומי". ההנחיות של מערך הסייבר ליחידות המגזריות נותרות ברובן בגדר "המלצה בלבד" ללא יכולות אכיפה משמעותיות, מה שמשאיר את המשק הישראלי חשוף, מבוזר ומפגר באופן ניכר אחר המתרחש בעולם המערבי.
באופן מפתיע, אתמול, יום לפני פרסום דוח המבקר בנושא, העבירה הכנסת בקריאה ראשונה את חוק הסייבר הלאומי בקריאה ראשונה בכנסת. זאת לאחר מאמצים של יותר מעשור לקידום הצעת החוק, ההצעה שאושרה אמש בהובלת מערך הסייבר הלאומי וללא מתנגדים. לא ברור אם עיתויי הפרסומים קשורים אחד לשני, אך אין ספק שהעברת החוק צפויה להקל על תיקוני הליקויים שפורטו על ידי המבקר.
תגובת מערך הסייבר הלאומי לפרסום הדוח: "חוק הגנת הסייבר הלאומית שאושר אמש בקריאה ראשונה ישפר את רמת ההגנה בסייבר של ארגונים חיוניים ושל ספקים דיגיטליים ויחזק את משרדי הממשלה הרגולטורים להוביל את ההגנה במגזרים השונים, בהנחייה מקצועית של מערך הסייבר לאומי.
"חשוב לציין כי פעילות ההגנה האינטנסיבית של מערך הסייבר הלאומי בתקופת המלחמה, יחד עם שותפיו למשימה, הביאה למניעת הישגים משמעותיים מהאויבים אשר לא הצליחו לפגוע ברציפות התפקוד הלאומית או בחיי אדם, כפי שניסו שוב ושוב.
"מערך הסייבר הלאומי למד את ממצאי הדוח לעומק, כפי שהוא עושה עם כל ביקורת מקצועית, טיפל כבר בחלק מהנושאים שהועלו וימשיך לפעול ליישום הלקחים".
במשך למעלה מעשור, משרד ראש הממשלה לא הצליח להשלים את חקיקת "חוק הסייבר הלאומי". ההנחיות של מערך הסייבר ליחידות המגזריות נותרות ברובן בגדר "המלצה בלבד"
ממערך הדיגיטל הלאומי נמסר: "מערך הדיגיטל הלאומי פועל באופן שוטף ומקצועי לחיזוק ההיערכות של המגזר הממשלתי לאירועי סייבר, מקצה לקצה, הן בשגרה והן בחירום. המערך מוביל פעולות מניעה, ליווי מקצועי, תרגול והיערכות של משרדי הממשלה, וכן מפעיל בעת הצורך צוותי IR של המערך וספקים מקצועיים למתן מענה לאירועי סייבר בזמן אמת.
"חשוב להדגיש כי ביחס למגזר הממשלתי שבאחריותו, המערך פעל ופועל באופן רציף, אחראי ומקצועי. ככל שעולות טענות בדוח שאינן משקפות את מלוא הפעילות שבוצעה, הדברים ייבחנו ויוצגו לגורמים הרלוונטיים שנית".
תגובת בית הנשיא: "עם קבלת הערת מבקר המדינה, הוחלט על הטמעת שכבת הגנה נוספת ומחמירה. הנושא נבחן וטופל באופן יסודי, והליקוי תוקן במלואו. יודגש כי לא נחשף מידע של אדם כלשהו ולא התרחש אירוע אבטחת מידע. בית הנשיא מייחס חשיבות עליונה להגנה על פרטיות ולשמירה קפדנית על אבטחת מידע, ופועל באופן שוטף לחיזוק מערכי ההגנה והבקרה.
"למרות שהחלטת הממשלה המסדירה את תחום הסייבר במגזר הציבורי אינה חלה על בית הנשיא, בית הנשיא פנה מיוזמתו, עוד בטרם החלה ביקורת מבקר המדינה, אל יחידת יה״ב - הגוף המנחה בתחום הגנת הסייבר במערכות המדינה, בבקשה לקבל הנחיה וליווי מקצועיים באופן וולונטרי.
"באשר לטיפול בחומר הקשור לבקשות חנינה - עמדתנו כפי שנמסרה למבקר היא כי בית הנשיא לא הפר את הוראות הדין שהתקיימו בהקשר זה. בית הנשיא ימשיך לפעול בהתאם לסטנדרטים הגבוהים ביותר של אבטחת מידע והגנת פרטיות, בשיתוף הגורמים המקצועיים המוסמכים".
