בגלל הפוליטיקאים: תשתיות התחבורה חשופות לתקיפות סייבר

העדר חקיקת חוק הסייבר מונע ממשרד התחבורה כלים לאכיפת הנושא על הגופים שעליהם הוא ממונה, קובע אנגלמן ● הוא מזהיר כי "פגיעה בתשתיות ובאמצעי תחבורה עלולה לגרום לפגיעה בחיי אדם"

הח"כים לא ממלאים את אולם המליאה כדי להעביר את חוק הסייבר.

חוק הסייבר תקוע בכנסת כבר כמה שנים. אם בעבר אפשר היה לתרץ את זה בממשלת המעבר האינסופית, הרי שהיו בשנים האחרונות שתי ממשלות שתפקדו למשך שנה פלוס כל אחת: זו של נתניהו וגנץ וזו של בנט ולפיד. ועדיין, החוק הזה לא עבר. על פי מבקר המדינה, מתניהו אנגלמן, העובדה הזאת חושפת את תשתיות אחד התחומים הקריטיים במדינה – התחבורה – למתקפות סייבר.

אנגלמן חושף את אי המוכנות של תשתיות התחבורה למתקפות בדו"ח שפרסם היום (ג') בנושא, כחלק משישה דו"חות אודות אבטחת מידע וסייבר. הוא מציין בו כי במשרד התחבורה אין היערכות להמשכיות תפקודית במקרים של מתקפות. המבקר קורא למערך הסייבר לפעול להשלמת התהליכים הנדרשים, שרלוונטיים למגזרים השונים במשק, ובמיוחד לתחום התחבורה, שעליו מופקד המשרד

בדו"ח נכתב כי למשרד התחבורה אין תמונת מצב כוללת על ההיערכות לסייבר, בכל התחומים שהוא אחראי עליהם, שכאמור, בחלקם הם מגזרי תשתיות קריטיים למדינת ישראל. אנגלמן ממליץ למשרד "ליזום תיקון לחוקים ולתקנות, ולהגדיר סדר עדיפות להתחלת הפעילות בתחום, תוך מתן עדיפות לתחומים שבהם מוקמים פרויקטים חדשים רחבי היקף, ולתחומים שבהם יש סיכוני סייבר רבים ושמצב ההגנה הנוכחי שלהם לא מספק מענה הולם".

בהקדמה לדו"ח מציין המבקר כי בשנים האחרונות קיימת עלייה חדה במספרם ובחומרתם של אירועי סייבר שמשבשים את פעילותם התקינה של ארגונים בארץ, ושבתחום התחבורה קיימים סיכונים רבים שעלולים להתממש כתוצאה מפגיעות במרחב הסייבר. הוא ציין כי "פגיעה בתשתיות התחבורה ובאמצעי תחבורה המוניים עשויה לגרום לפגיעה בחיי אדם, להפסקת תהליכי ייצור, לנזק כלכלי כבד, לדלף מידע אישי, לפגיעה במוניטין של הארגונים הנפגעים ובמקרים מסוימים אף להשלכות פוטנציאליות במישור הביטחוני".

הממשלה החליטה; אז מה?

המבקר מצא כי החלטת ממשלה מ-2015, שהטילה על משרד התחבורה לבצע את הטיפול בהיערכות לאיומי סייבר, לא מומשה עד היום. "במשך יותר משבע שנים לא השלים משרד התחבורה את עבודת המטה לבחינת התיקונים והשינויים הנדרשים לאסדרה בתחומי פעילותו, למימוש אפקטיבי של האחריות להגנת הסייבר על מגזר זה", כותב אנגלמן. הוא מוסיף כי "משרד התחבורה בחר להמתין לאסדרה במסגרת חוק הסייבר, למעט בתחום הרכב האוטונומי, שהוא נושא אחד מני רבים. זאת, שעה שעלו עיכובים בחקיקתו. במצב זה חסרים למשרד התחבורה כלים לאכוף על הגופים במגזר זה".

כמו כן, המבקר מצא ליקויים באכיפת סיכוני סייבר בהתקשרות עם חברות תשתיות תחבורה. הוא העיר שאמנם, ב-2021 החלו בתהליך זה, אבל הפערים עדיין עצומים.

גם מצב הגנת הסייבר על תשתיות התחבורה לא טוב.

גם מצב הגנת הסייבר על תשתיות התחבורה לא טוב. צילום: BigStock

סיבות חלקיות למצב החמור

בחלק אחר של הדו"ח מוצא המבקר סיבות חלקיות למצב החמור של הגנת הסייבר על מערכות התחבורה במדינה. אחד מהם הוא התקציב. נכון למועד הביקורת, באגף הסייבר במשרד התחבורה מועסקים רק שלושה אנשים, מתוך תקן של שישה אנשים, בתקציב מאושר של 6.3 מיליון שקלים – עובדה שאינה מאפשרת לאגף לממש את היעדים שלו.

ליקויים נוספים שאנגלמן מעיר עליהם: רק 21 מתוך 35 הגופים המפוקחים על ידי המשרד חוברו למרכז ניטור אירועי אבטחה (SOC) ואין תוכנית עבודה מפורטת. עוד הוא מציין בהקשר זה כי ההסכם בין המשרד לרשות שדות התעופה למתן שירותי SOC הוא לתקופה של שנה ולא נותן מענה לאתגרים שמאפיינים ארגונים גדולים. זאת ועוד, הוא העלה שבחלק מהארגונים שנבדקו בתחום התחבורה, לא הייתה קיימת תוכנית להתאוששות עסקית להתמודדות עם אירועי אסון, כולל סייבר.

תגובה

תגובת משרד התחבורה: "ביצענו קפיצת מדרגה משמעותית בתחום הגנת הסייבר. בפעם הראשונה הוקם מרכז לניטור אירועי אבטחת מידע בענף התחבורה (SOC מגזרי), לקבלת תמונת מצב ענפית. המרכז כולל חיבור של כל הגורמים המרכזיים הפועלים בענף, לרבות המשרד, חברות התשתית הממשלתיות, הנמלים, הרכבת, מפעילי התחבורה הציבורית, החברות הזכייניות, הספקים ועוד. רוב הגופים כבר נמצאים בשלבי התחברות, ומזרימים מידע ל-SOC. כך מתאפשר לזהות ניסיונות תקיפה פוטנציאליים ולהתריע מפני חשיפה אפשרית לגופים דומים, שתסייע להם להיערך ולהתגונן.

בנוסף, הוביל המשרד בשנה החולפת חקיקה מהפכנית לרכב האוטונומי, המאפשרת לבצע ניסויים ברכב ללא נהג והסעת נוסעים. בחוק שולבו דרישות סייבר מחמירות וסמכויות אכיפה ובקרה משרד.

יתר על כן, הוקם בבאר שבע מרכז סייבר לאומי לתחבורה חכמה, בשיתוף מערך הסייבר הלאומי וחברות מובילות במשק. המרכז יאפשר למשרד לבצע בדיקות ולבחון את רמת הגנת הסייבר ברכבים, ברכבות, ברמזורים חכמים ועוד.

המשרד מקצה משאבים חסרי תקדים לפיתוח יכולות הגנת סייבר, הכוללות תשתיות טכנולוגיות, ביצוע בדיקות ובקרות, הון אנושי – עובדי משרד ומומחים חיצוניים, ופיתוח תהליכים ותורות לחימה במקרי מתקפות סייבר".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים