יורם הכהן, רמו"ט: "אבטחת המידע אינה על סדר היום של מנכ"לי משרדי הממשלה"

"זה לא שאין אבטחת מידע במגזר הממשלתי, אלא שהיא לא נמצאת על סדר היום של מנכ"לי משרדי הממשלה. הנושא הזה תמיד נשאר בטיפול ברמת אנשי ה-IT וקצין הביטחון של המשרד. כדאי שהאזרחים יהיו מודאגים מכך", כך אמר עו"ד יורם הכהן, ראש רמו"ט (ר"ת הרשות למשפט, טכנולוגיה ומידע) במשרד המשפטים.

עו"ד הכהן דיבר בפאנל בנושא אבטחת מידע ותשתיות, אותו הנחה יהודה קונפורטס, העורך הראשי של אנשים ומחשבים. הפאנל נערך במסגרת כנס המיחשוב הממשלתי WORLD e-Gov Forum 2012, שהתקיים לפני ימים אחדים, בהפקת אנשים ומחשבים, במרכז הכנסים אבניו בקריית שדה התעופה. מנחי הכנס היו פלי הנמר, יזם ונשיא הקבוצה, וד"ר נחמן אורון, יועץ מיחשוב אסטרטגי למגזר הממשלתי.

לדברי עו"ד הכהן, "יש מידע שנאסף על ידי הממשלה ויש מידע הנאסף במגזר הפרטי. צריך להגן עליו כראוי. ככלל, הממשלה מגנה על המידע שברשותה בצורה טובה ולא עושה בו שימוש שלא למטרה למענה הוא נאסף. לעומת זאת, בנושא אבטחת המידע יש למגזר הממשלתי לאן להתקדם, כי נאסף במסגרתו מידע רב שנדרש להגן עליו אופן נכון. המגזר הפרטי מביט על המידע אותו הוא אוסף כעל נכס עסקי ומגן עליו לא בגלל פרטיות אלא משיקולים מסחריים".

"לעומת המגזר הפרטי, הממשלה לא רואה לנגד עיניה שיקול זה", ציין. "אנחנו רואים שינוי משמעותי בהקמת מטה התיקשוב הממשלתי, אותו אנחנו מחשיבים לשותף ברמה על-משרדית. התהליכים נעשים יחדיו, זו ההתחלה נכונה, אם כי יש עוד הרבה מה לעשות. אם תחומי אבטחת המידע וההגנה על הפרטיות יעלו לרמת מנכ"ל המשרד הממשלתי והוא יבין שהוא יכול להיתבע ולהינזק בשל עבירות בתחום, כמו אצל המנכ"ל במגזר הפרטי, הדברים יחלחלו למטה".

"כרגולטור להגנת הפרטיות, רמו"ט עשתה בשנים אחרונות מהלכים רבים שעניינם שיפור המודעות הציבורית וגם לגיטימיות השימוש במידע – האם מותר לך לאסוף אותו והאם קיבלת הסכמה לשימוש במידע", הוסיף עו"ד הכהן. "פעלנו גם בתחום שהוא יותר רלוונטי – היבט אבטחת המידע, איך אתה מגן על המידע".

"רמו"ט מנסה להגביר את המודעות לנושא הגנת הפרטיות בקרב הארגונים והציבור", ציין. "חל שיפור בתחום עקב העבודה שעשינו בשש שנות קיומנו".

אחד היעדים שרמו"ט הציבה לעצמה היא תיקון חוק הגנת הפרטיות, "אלא שהוא תקוע בכנסת", אמר עו"ד הכהן. "אנחנו מטפלים לתיקון הסוגיה כך שפקידי ציבור שיעברו עבירות בתחום ייקנסו או, במקרה הקיצוני, יועמדו לדין".

הוא סיכם באמרו, כי "לאור השימוש הבלתי נדלה במידע וב-IT יש לתת לאבטחת מידע משנה חשיבות. נדרשת פעילות בנושא, אחרת המנהלים במגזר הממשלתי ימצאו את עצמם בדו"ח מבקר המדינה, בעיתונות ובדו"חות של רמו"ט".

"נדרש להצטייד במהירות בכלים חדשים"
שוקי פלג, מנהל אבטחת מידע בממשל זמין, הסכים אף הוא ש-"אבטחת המידע לא נמצאת בראש מעייניהם של מנכל"י משרדי הממשלה". עוד הוא אמר, כי "הסייבר דורש תגובות מיידיות. נדרש להצטייד במהירות בכלים שאין לנו כיום".

"צורת ההתארגנות למימד החדש של הסייבר היא באמצעות שיתופי פעולה עם גופים חיצוניים, לצד הרחקת המתקפות כמה יותר מהאזור שלנו", הוסיף פלג. הוא ציין, כי "אנחנו נערכים למתקפות רבות יותר".

לדבריו, "רוב מתקפות הסייבר במהלך מבצע עמוד ענן היו מסוג מניעת שירות (DoS). הבעיה היא שאם אתה יורה על הטירה מספיק חצים – בסוף היא תיפול. נשתפר לקראת הפעם הבאה. צריכים להביא כלים חדשים. כמו שבמרחב הפיזי הביאו כלים דוגמת כיפת ברזל, שרביט קסמים וחץ – כך נדרשת הגנה לכל שכבות הסייבר".