מבקר המדינה מתניהו אנגלמן פרסם היום (שלישי) דוח ביקורת על ההגנה מפני איומים סייבר. הדוח כולל ממצאים חמורים שצריכים להטריד כל אחד מאתנו - מחיילים שמידע עליהם שמור במאגרי מידע של הצבא, ועד נוסעים בתחבורה הציבורית שאיומי סייבר בתחום התחבורה עלולים להיות מסכני חיים.
הגנת הסייבר במגזר התחבורה - הדוח המלא
כשלים באבטחת מאגרים ביומטריים בצה"ל - הדוח המלא
"חשש לגניבת זהויות"
המבקר מציג כשלים באבטחת הסייבר על מאגרים ביומטריים בצה"ל - שעלולים להיות בעלי השלכות חמורות. הדוח מתמקד בנתונים שנאספו בשרשרת החיול. מכל חייל המתגייס לצה"ל אוספים טביעות אצבעות ותצלומי שיניים. בנוסף, בהסכמת המתגייס, נלקחים ממנו גם כתבי דם המשמשים להפקת דנ"א במידת הצורך.
בדוח עלה כי קיים מידע עודף, כמו מידע ביומטרי על חיילים שהלכו לעולמם. כאמור, במידע כזה יש פוטנציאל נזק גבוה, שכן אין מי שיתלונן על השימוש שנעשה בו. אנגלמן מתריע מפני תרחיש שהאקרים ישתמשו בכך לצורך התחזות וגנבת זהויות.
בדוח עלה גם כי מערכות שנדרשו לעמוד ברמת אבטחה גבוהה לפי התקנות, הוגדרו בסיווג סודי עם חסינות בינונית בלבד, זאת למרות הנזק הרב שעלול להיגרם מדליפת מידע ביומטרי. כמו כן, נמצאו פערים ברמת ההגנה בין היתר בנושאי הזדהות, הרשאות גישה, בקרה על ביצוע פעולות לא מורשות ומנגנוני הצפנה.
"תקיפות עלולות לפגוע בחיי אדם"
בפרק שעוסק באיומי הסייבר על תחבורה, אנגלמן מדגיש כי ככל שתשתית מסוימת חיונית יותר לחיי היום-יום של התושבים, כך היא מושכת יותר את התוקפים. פגיעות כאלו עלולות לגרום לשיבושים בתפקודה התקין ואף להשבתתה המלאה, לפגיעה כלכלית ניכרת ולפגיעה בחיי אדם.
המבקר הוסיף כי בשנים האחרונות קיימת עלייה חדה במספרם ובחומרתם של אירועי סייבר המשבשים את פעילותם התקינה של ארגונים בארץ ובעולם. למרות העלייה הניכרת ולמרות הסכנות הרבות - אנגלמן מציין כי ישראל לא ערוכה לאיומי סייבר במגזר התחבורה.
כך למשל, בשנת 2021 ביצע משרד התחבורה ביקורות כדי לבחון את מידת עמידת חלק מהגופים בדרישות הסייבר. בביקורות נמצאו שורה של ליקויים רוחביים המחייבים טיפול מערכתי, אך המשרד לא ביצע מעקב אחר תיקון הליקויים שמצא בביקורות אלו.
בנוסף, משאבי כוח האדם והתקציב אינם מספיקים, כך שאין אפשרות לתת מענה לחלק מהאיומים. בשל היעדר המשאבים נמצאו משימות של אגף הסייבר שלא בוצעו, ובהן בניית יכולת התערבות באירועי סייבר, הרחבת הביקורות בגופי המגזר וליווי הגופים בתיקון ליקויים חמורים. לדברי מבקר המדינה, ממצאי דוח זה משקפים בעיה מבנית ותפקודית יסודית בכל הנוגע להערכות של מדינת ישראל לאיומי הסייבר במגזר התחבורה.
מדובר צה"ל נמסר בתגובה לדוח המבקר כי "צה"ל מודה למבקר המדינה על ביקורת זו ומתייחס בכובד ראש לממצאיה. מרבית ההמלצות בנושא ניהול ואבטחת המידע הביומטרי התקבלו ונבחנו בצה"ל והגופים הרלוונטיים החלו ביישומן.
"מאגר המידע הצבאי והמערכות המצוינות בדוח נמצאים בתוך הרשת הצה"לית המסווגת ואינם נגישים לגורמים חיצוניים או חשופים לגורמי שאינם מורשים לכך בתוך צה"ל. עם קבלת ממצאי הדוח, הותנעו מספר תהליכים לשיפור אבטחת מאגר המידע הביומטרי והשימוש בו".
ממשרד התחבורה נמסר בתגובה: המשרד עשה קפיצת מדרגה משמעותית בתחום הגנת הסייבר. לראשונה, הוקם מרכז לניטור אירועי אבטחת מידע בענף התחבורה (SOC מגזרי), לקבלת תמונת מצב ענפית. המרכז כולל חיבור של כל הגורמים המרכזיים הפועלים בענף, לרבות המשרד, חברות התשתית הממשלתיות, נמלים, רכבת, מפעילי התחבורה הציבורית, חברות זכייניות, ספקים ועוד. רוב הגופים כבר בשלבי התחברות, ומזרימים מידע ל-SOC. כך מתאפשר לזהות ניסיונות תקיפה פוטנציאליים, ולהתריע מפני חשיפה אפשרית לגופים דומים, שתסייע להם להיערך ולהתגונן.
בנוסף, הוביל המשרד בשנה החולפת חקיקה מהפכנית לרכב האוטונומי, המאפשרת לבצע ניסויים ברכב ללא נהג והסעת נוסעים. בחוק שולבו דרישות סייבר מחמירות וסמכויות אכיפה ובקרה משרד. יתר על כן, הוקם בבאר שבע מרכז סייבר לאומי לתחבורה חכמה, בשיתוף מערך הסייבר הלאומי וחברות מובילות במשק. המרכז יאפשר למשרד לבצע בדיקות ולבחון את רמת הגנת הסייבר ברכבים, ברכבות, ברמזורים חכמים ועוד. המשרד מקצה משאבים חסרי-תקדים בפיתוח יכולות הגנת סייבר, הכוללות תשתיות טכנולוגיות, ביצוע בדיקות ובקרות, הון אנושי (עובדי משרד ומומחים חיצוניים), ופיתוח תהליכים ותו"ל במקרי מתקפות סייבר.
בנוגע לביקורת על מרכזי ניהול ובקרת תנועה המופעלים ומתוקצבים על ידי הרשויות המקומיות - נבקש להדגיש, כי למשרד אין סמכות הנחייה בנושא סייבר על המרכזים הללו, מאחר שסמכות רשות התמרור המקומית הואצלה לרשויות המקומיות.