מבקר המדינה מציג: דו"ח שצריך להדאיג כל אזרח

דו"ח מבקר המדינה, שפורסם היום (ג'), צריך להדאיג את אזרחי ישראל ולהדיר שינה מאלה שמופקדים על ביטחון האזרחים בכלל ובמרחב הסייבר בפרט. לא פחות מזה. מספר פרקים בדו"ח של המבקר, מתניהו אנגלמן, מעלים באופן ברור שהמדינה מפקירה אותנו, האזרחים, בעולם הסייבר: היא לא מסוגלת להגן עלינו ממתקפות, לא מגנה היטב על מערכות המחשוב שלה, כולל הקריטיות שבהן – שמשרתות אותנו, ולא חוקרת (המשטרה) מספיק מתקפות סייבר.

והרי החדשות ועיקרן תחילה: קריאה בדו"ח מביאה למסקנה שכל האזהרות שאנשי המקצוע מזהירים במשך שנים לגבי הסיכון שיש בהעדר הגנה על מערכות ולגבי הטיפול הקלוקל של מוסדות המדינה בתחום הסייבר נופלות על אוזניים ערלות. זה נכון לגבי המשטרה, מערכת הבריאות ואפילו בבית שלה פנימה – המבקר מתריע על כישלון של הממשלה למנוע מעילות והונאות בתוך המשרדים שלה, שגם הם נעשים בעזרת כלים דיגיטליים, החשופים ברשת.

מערכת הבריאות

ולחדשות בהרחבה: דו"ח המבקר מגיע קצת יותר מחצי שנה לאחר מתקפת הסייבר על בית החולים הלל יפה בחדרה, שאירעה במהלך ביצוע דו"ח הביקורת. האירוע גרם לשיבוש מוחלט של העבודה בבית החולים, למעבר של חלק מהעבודה להתבצע ידנית, כאילו אנחנו בשנות ה-50 או ה-60, ולהפנייה של חולים למרכזים רפואיים אחרים.

מבקר המדינה, מתניהו אנגלמן. צילום: דוברות מבקר המדינה

אלא שזה לא רק בהלל יפה: אנגלמן גילה הזנחה מתמשכת של הקצאת משאבים להגנה על סייבר ברבים מבתי החולים ברחבי המדינה. זה כולל הגנה, או יותר נכון היעדרה, על מערכות רפואיות קריטיות כמו מכשירי CT ו-MRI. זאת, על אף החלטות שהממשלה קיבלה, שהורו למשרד הבריאות להסדיר את הטיפול באבטחת המידע בבתי החולים וליצור מסגרת תיאום מסודרת עם גורמים מוסמכים אחרים. לכן, אם מחר בבוקר תלכו לבצע בדיקה רפואית, בפרט בבית חולים, אל תתפלאו אם התוצאות שתקבלו תהיינה שגויות, כי מישהו פרץ למערכות של המוסד הרפואי ושינה נתונים. הפורץ לא יעבוד קשה, כי לפי המבקר, בחלק גדול מבתי החולים המערכות לא מוגנות כהלכה וחשופות לפריצות.

האירוע בהלל יפה גרם להנהלת משרד הבריאות ללחוץ על בתי החולים לטייב את הגנת הסייבר שלהם, ולהגביר את המודעות של הרופאים.ות, האחים.ות ושאר העובדים.ות לתחום. אבל עדיין חסרים משאבים, ולא רק בגלל תקציב, אלא גם כי חוסר המודעות מתחיל מההנהלות של בתי החולים. הנה ממצא של המבקר שצריך לקרוא פעמיים כדי לוודא שהבנו נכון: מערכות ה-SOC שהוקמו בחלק מבתי החולים מאוישות בתת תקן, ופועלות באופן מלא רק בימי חול. בשבת העובדים נחים, בניגוד לפורצים.

ליקויים רציניים בפעילות המשטרה נגד עבירות סייבר. לתשומת לב המפכ"ל, קובי שבתאי. צילום: משטרת ישראל

המשטרה

דבר אחר שהמבקר מתריע עליו מתיישב עם הסערות הציבוריות שמתחוללות כבר כמה שנים, והתחוללו במיוחד בשנה שעברה, סביב הביטחון האישי של הגולשים. כאמור, המבקר מצא שהמדינה לא יכולה להגן עלינו מפני מתקפות כופרה ושאר מרעין בישין בתחום הסייבר, שהמשטרה לא חוקרת מספיק את התלונות שהציבור מגיש על עבירות קיברנטיות ושאמון האזרחים בטיפול המשטרתי בנושא נמצא בתחתית של התחתית. האזרחים והארגונים חשופים באופן קבוע לפגיעות סייבר – והמשטרה פועלת בעצלתיים, וגם זה רק במקרה הטוב.

בגלל חוסר האמון של הציבור ב(אי) פעילות המשטרה בתחום הסייבר, נמנע מכולנו לדעת מהו היקף הפגיעות המקוונות באזרחים ומהי עוצמתן. כך, 200 אלף איש שנפגעו ממתקפות סייבר בשלוש השנים האחרונות כלל לא פנו למשטרה, כי הם הבינו שזה בזבוז זמן. ומה לגבי אלה שכבר פנו? אמנם, המשטרה פתחה תיקים, אבל הם נסגרו בקצב סיטונאי וברוב המקרים כלל לא הגיעו לבית המשפט. כלומר, חלק ניכר מהפורצים לא הועמדו לדין.

כאשר יש מצב שבו הוועדה לביקורת המדינה לא התכנסה מאז שהממשלה נבחרה, ויש חוסר יציבות פוליטית, יש סיכוי שגם הדו"ח הבא של המבקר יעסוק בחוסר טיפול ובאי מימוש ההמלצות שהוא נתן בדו"ח זה. לתשומת לב חברי הכנסת

הכישלון בהגנה מפני מתקפות סייבר נובע בין היתר ממחלה ישראלית טיפוסית: ריבוי גופים שאמורים לעסוק בזה. התוצאה: חוסר תיאום בין גופים כמו המשטרה ומערך הסייבר. המבקר טורח לציין שבמקרה של הלל יפה היה שיתוף פעולה של המשטרה, אבל השאלה הנשאלת היא למה אין שת"פ שכזה באופן קבוע.

הוא צריך להיות המודאג הראשי. ראש הממשלה, נפתלי בנט. צילום: נעם מושקוביץ, דוברות הכנסת (ארכיון)

השורה התחתונה: תמונת המצב העגומה שעולה מהדו"ח נובעת קודם כל מחוסר מודעות של מקבלי ההחלטות ואלה שממונים על התקציבים. הבעיה היא, כנראה, שעדיין לא חווינו בישראל אירוע סייבר ברמת נזק לאומית משמעותית, ברמה זהה, חלילה, לאירוע פיזי כמו פיגוע, ולכן גם טרם התחוללה סערה ציבורית מספקת. והרי סערות ציבוריות הן, במקרים רבים, מה שגורם לפוליטיקאים ולגופי הממשלה לפעול.

הכנסת, על ועדותיה השונות, שחזרו אתמול לעבודה, צריכה לטפל בדחיפות בממצאי הדו"ח, ולעקוב אחר יישומי המלצות. אבל כאשר יש מצב שבו הוועדה לביקורת המדינה לא התכנסה מאז שהממשלה נבחרה, ויש חוסר יציבות פוליטית, יש סיכוי שגם הדו"ח הבא של המבקר יעסוק בחוסר טיפול ובאי מימוש ההמלצות שהוא נתן בדו"ח זה.

ועוד דבר: הממשלה רוצה להעביר תקציב ל-2023 עוד לפני שהכנסת תצא לפגרת הקיץ הארוכה בעוד כחודשיים. אם זה אכן יקרה, וזה אם גדול לאור המשבר הפוליטי, מן הראוי שהיא תכלול בו את התקציבים הדרושים והמספיקים להגנה על אזרחי המדינה מפני מתקפות סייבר – אלה שמופנים למשטרה, למערכת הבריאות ולכל גוף רלוונטי אחר. לתשומת לב הקוראים נפתלי בנט, יאיר לפיד ואביגדור ליברמן.