אזעקת שווא? זאת אזעקת אמת לגורמים האחראיים!

האזעקות שנשמעו אמש (א') בירושלים ובאילת, שעל פי החשד נגרמו כתוצאה ממתקפת סייבר איראנית, היו אזעקות שווא. אלא שבכל הנוגע להיערכות של הרשויות המקומיות מפני סייבר הן רחוקות מלהיות כאלה, אלא מדובר באזעקות אמת לכל דבר ועניין.

ההאקרים האיראנים חדרו למערכות הכריזה של עיריות ירושלים ואילת (ולא של פיקוד העורף). הנה כי כן, שוב קיבלנו הוכחה לתופעה שרבים מתריעים עליה כבר שנים: מערכות ההגנה מפני סייבר בשלטון המקומי הן מחוררות. לא צריך להיות מומחה סייבר כדי להבין את גודל המחדל. בנוסף, השוואה למערך ההגנה מפני סייבר על משרדי הממשלה ומערכות קריטיות אחרות מראה שהפערים בלתי נתפסים ולא מובנים. האם הרשויות המקומיות הן לא חלק ממדינת ישראל? האם דליפה של המידע הרגיש ביותר שיש במערכות המידע של הערים לא מסכנת את תושבי ישראל לא פחות ואולי יותר מזו של המידע שקיים במשרדי הממשלה? הלוא רוב אירועי הסייבר הם לא חדירות למערכות שמפעילות צופרי אזעקה, שיכולים לגרום בעיקר בהלה, אבל לא נזק חמור כמו דליפת מידע אישי של תושבים.

הנה אחת הסיבות למחדל, גם אם זו סיבה עקיפה: בישראל יש 257 רשויות מקומיות ורק ב-90 מהן יש מנמ"ר. לעתים, אותו מנמ"ר הוא עובד קבלן. תשאלו כמה מנהלי סייבר יש? התשובה היא אפס. קראתם נכון. לרוב, התפקיד מוטל על המנמ"ר – ברשויות שיש, והוא בדרך כלל לא מגיע מהרקע של אבטחת מידע וסייבר, גם אם הוא עושה את הכי טוב שהוא יודע. השאלה הנשאלת היא מדוע ראשי ערים לא ממנים אנשי סייבר? הם בוודאי מודעים לאחריות המוטלת על כתפיהם. התשובה היא שעד היום משרד הפנים לא אישר תקן למנהל אבטחת מידע או סייבר ברשויות המקומיות. למה? ככה. אין לזה הסבר אחר.

שוב לא שומעים למבקר המדינה

כמה דו"חות של מבקר המדינה שפורסמו בשנים האחרונות התריעו על המצב החמור של ההגנה – או, יותר נכון, היעדרה – מפני מתקפות סייבר ברשויות המקומיות. המבקר ידע להצביע על אחת הסיבות המרכזיות למצב: אין מי שאחראי על הנושא באופן ישיר על פי חוק. יש "הורים", שהם הרגולטור, משרד הפנים, ויש את השלטון מקומי על מוסדותיו, אבל אף אחד מהם לא נמדד או נותן דין וחשבון על אירועי סייבר. זה שונה ב-180 מעלות ממה שקורה בממשלה, שלה יש את מערך הסייבר הלאומי ורגולטורים מגזריים. ומה יש לשלטון המקומי? התשובה היא: ברמה הלאומית, אין. נאדה. מה שיש, בחלק מהמקרים, הוא מרכזי שליטה ובקרה, שהוקמו כתוצאה מיוזמות מקומיות של ראשי ערים.

לנוכח האירוע, קשה שלא להעלות את השאלה: האם להאקרים האיראניים יש יכולת לפרוץ גם למערכות החירום? הם כבר הוכיחו שביכולתם לפרוץ למערכות הכריזה של הרשויות המקומיות. מי יתקע לנו כף שהם לא יפרצו למערכות של פיקוד העורף וימנעו מהן חלילה, מלהתריע על התקפת טילים על ישראל?

הנה שני נתונים שציין המבקר: בין השנים 2015 ל-2018, המשרד לפיתוח הפריפריה, הנגב והגליל היקצה 50 מיליון שקלים לרשויות המקומיות, בין היתר להצטיידות מפני סייבר, ומטה ישראל דיגיטלית השקיע לא פחות מ-211 מיליון שקלים במענקים לרשויות לטובת חדשנות טכנולוגית. אם חלק מספיק מתקציבים אלה היו מופנים לשיפור ההגנה מפני סייבר, מצבנו היה היום הרבה יותר טוב.

ועוד נתון: השנה, תקציב הרשויות המקומיות עומד על כ-6.3 מיליארד שקלים. לכל הדעות, זה סכום נכבד, שאמור להספיק על מנת להגביר את ההגנה על מערכות המידע של הרשויות. אבל בהעדר אחריות ישירה וחוקים ברורים, הגיוני שראשי ערים ינצלו את הכסף למטרות שבעיניהם הן דחופות יותר.

ירון ריבו, מנמ"ר עיריית נתניה. צילום: ניב קנטור

האבסורד שהכי זועק לשמיים

בוועידה השנתית של המנמ"רים בשלטון המקומי, שנערכה באילת בסוף 2019, סיכם ירון ריבו, מנמ"ר עיריית נתניה, שולחן עגול שניהל בנושא סייבר באומרו כי "הדבר המרכזי שעלה בדיונים הוא שהמנמ"רים ברשויות חסרי משאבים וכוח אדם מתאימים לטפל בהגנת הסייבר. האבסורד הכי זועק לשמיים הוא שבמרבית הרשויות כלל לא קיים תקן למנהל אבטחת מידע, ולכן אין בהן תפקיד כזה". הוא ציין כי "החולייה החלשה היא חוסר המודעות של ראשי הערים והמנכ"לים לנושא, וחוסר המודעות שלהם לאחריותם האישית".

הוועידה ההיא נערכה ערב פרוץ מגפת הקורונה, שגם היא המחישה למי שהטיל ספק בכך עד כמה מערכות המידע בחלק מהרשויות המקומיות מחוררות ולא מגנות מספיק – לא על הרשות עצמה ובעיקר לא על המידע הרגיש של התושבים שיש במערכות שלה.

בשנתיים האחרונות, כמה רשויות מקומיות בישראל סבלו ממתקפות כופר. לא כל האירועים האלה נחשפו – מסיבות שונות, חלקן לא ענייניות. אם היו תכלול של הנושא וגורם אחד שעליו אפשר להטיל את האחריות, ייתכן שהדברים היו נראים אחרת.

הערה נוספת: מערך הסייבר הלאומי הבהיר, כאמור, שהמערכות שנפרצו הן לא מערכות החירום של פיקוד העורף, אלא מערכות כריזה שבאחריות עיריות ירושלים ואילת. אמנם, יש יותר רגולציה על מערכת הביטחון, גם בנוגע להיבטי סייבר. אבל לנוכח האירוע, קשה שלא להעלות את השאלה: האם להאקרים האיראניים יש יכולת לפרוץ גם למערכות החירום? הם כבר הוכיחו שביכולתם לפרוץ למערכות הכריזה של הרשויות המקומיות. מי יתקע לנו כף שהם לא יפרצו למערכות של פיקוד העורף וימנעו מהן חלילה, מלהתריע על התקפת טילים על ישראל? אלה שאלות מפחידות, אבל כאלה שהכרחי להעלות אותן.

השורה התחתונה: אזעקות השווא שנשמעו אתמול הן בבחינת אזעקות אמת לגורמים האחראים על הנושא, כדי שייצאו מהשאננות הבלתי נסבלת שלהם, רגע לפני שתקרה מתקפה הרבה יותר חריפה מזו שההאקרים האיראניים גרמו לה הפעם.