בחמש השנים האחרונות לא קיימה הרשות להגנת הפרטיות במשרדי הממשלה שום פעילות פיקוח במשרדים - כך עולה מן הפרק על תשתיות תקשוב לאומיות בדוח המבקר שמתפרסם היום (ג'); 60% מיחידות הסייבר הממשלתיות שנבדקו על-ידי אנשי משרדו (שלוש מתוך חמש יחידות) אינן בודקות אם הגופים המונחים על-ידן עומדים בהנחיות.
דוח המבקר, עוד כותרות:
ליקויים שלא דווחו, מערכות שלא נבדקו
אף שמערך הסייבר והשב"כ אחראים על ההנחיה והפיקוח של תשתיות המדינה הקריטיות (תמ"ק) - חברת החשמל, רשות שדות התעופה, ספקי מים, מערכות תקשורת, בנקים ומוסדות פיננסיים וגופים האחראים על תחבורה - נמצאו פערים וחוסר מידע בפעולות שלהם בנושא הגנה פיזית על חדרי שרתים ותקשורת. בגופים שכן נבדקו לא נמצאו משום מה ה"פערים" שנמצאו על-ידי אנשי המבקר. הליקויים לא דווחו למנהלים.
הרשות להגנת הפרטיות, מצידה, לא פרסמה למשק המלצות לאבטחת מאגרי המידע אזרחיים, ובמהלך חמש שנים לא ביצעה כלל פעילות פיקוח רוחבי בכל משרדי הממשלה ובחלק מגופי התמ"ק, כדי לבדוק את ההגנה הקיימת על השלימות והסודיות של המידע המצוי במאגרים.
ומערך הסייבר, מצידו, הסתפק ב"המלצה" לא מחייבת בלבד ליחידות הסייבר בכל תחום ליישם את תורת ההגנה הפיזית על חדרי שרתים ותקשורת ולגבי רציפות תפקודית.
בפועל, בביקורת "נמצאו פערים" (כלומר נתגלו ליקויים) בהגנה הפיזית ובהגנה הסביבתית על חדרי שרתים וחדרי תקשורת, וברציפות התפקודית של גופים שמונחים על ידי יחידות הסייבר המגזריות שנבדקו.
שלוש (60%) מחמש יחידות הסייבר המגזריות שנבדקו נדרשות לקבל דיווחים מהגופים המונחים על-ידן, אך בפועל אינן מבצעות בקרה על הדיווח.
ליקויים של מערך הדיגיטל ומערך הסייבר
במקביל, מערך הדיגיטל ריכז נתונים לגבי 50 משרדים בסקר שערך בתקופת מלחמת חרבות ברזל, במטרה לקדם תוכנית פעולה לצמצום הפערים. ואולם התוכנית אינה נותנת מענה מלא לפערים, ויישומה הוא מורכב: בין השאר נדרשים משאבים רבים ולא הוסדר בעניינה מקור תקציבי.
כמו כן, מערך הדיגיטל לא קבע לוחות זמנים לטיפול בפערים שמצא ברציפות התפקודית של המשרדים שנבדקו, ולא קיים דיוני המשך ייעודיים לצורך טיפול מערכתי בפערים בהשתתפות הגופים האסדרתיים המדינתיים, ובהם מערך הסייבר, השב"כ, רח"ל והמל"ל, ובפועל הנושא לא תוקצב.
ראש מערך הדיגיטל, תא"ל (מיל') נתי כהן
(צילום: אביגיל עוזי)
המבקר מתייחס גם לליקויים בהכשרה שמקיים מערך הסייבר לממוני ביטחון מידע בגופים הקריטיים. הוא מוצא ליקויים כאלה גם בהכשרת המנחים במערך הסייבר שאחראים להנחיית הגופים המונחים בתחומי ההגנה הפיזית על חדרי שרתים.
מערך הדיגיטל גם לא קבע לוחות זמנים לטיפול בפערים שמצא ברציפות התפקודית של המשרדים שנבדקו, ולא קיים דיוני המשך ייעודיים לצורך טיפול מערכתי בפערים בהשתתפות הגופים האסדרתיים של המדינה, בהם מערך הסייבר, השב"כ, רח"ל והמל"ל. הנושא אף לא תוקצב.
אנגלמן קובע, כי על מערך הסייבר הלאומי, מערך הדיגיטל, השב"כ, הרשות להגנת הפרטיות ויחידות הסייבר המגזריות להשלים את האסדרה המדינתית והמגזרית בהיבטי רציפות תפקודית והגנה פיזית וסביבתית על חדרי שרתים ותקשורת.
לדבריו, מומלץ כי הגופים האסדרתיים המדינתיים הללו יקבעו לגופים שהם מנחים הנחיות ייעודיות מחייבות בנושאים אלה, בהתאם לנורמות המקובלות, ויבחנו ויתקפו אותן מעת לעת. זאת באופן שיחייב את הגופים המונחים לפעול על פיהן ויאפשר לגופים האסדרתיים המדינתיים לפקח על כך. כמו כן, על הגופים האסדרתיים המדינתיים לפעול להכשרת בעלי התפקידים האחראים לנושאים אלה.
