2,469 התרעות: דוח מבקר המדינה על מוכנות מערכות הסייבר ערב המלחמה

מבקר המדינה מתניהו אנגלמן פרסם היום (ג') דוח חשוב עם התייחסות למספר כשלים שזוהו עוד בטרם מתקפת ה-7 באוקטובר שביצע חמאס. בין השאר התייחס המבקר גם להגנה מפני איומי סייבר על מערכת השליטה והבקרה של פיקוד העורף (שוע"ל).

מערכות שוע"ל תחת איום סייבר: ממצאי הביקורת על ההגנה על העורף

מערכת שוע"ל (שליטה ובקרה לאומית לעורף) הופעלה לראשונה בשנת 2016 על ידי פיקוד העורף. המערכת נועדה לנהל את הפעילות בעורף בשגרה ובחירום. היא נחלקת לשתי מערכות מידע נפרדות – צבאית ואזרחית.

• המערכת הצבאית משמשת את פקע"ר לניהול כוחותיו, להעברת מידע בין דרגים ולשליטה בתהליכים מבצעיים.
• המערכת האזרחית משרתת את הרשויות המקומיות. המערכת מאפשרת להן לנהל אירועים, כוחות ומשימות תוך חיבור למידע מגורמים חיצוניים כמו פקע"ר, גופי חירום ונתיבי ישראל.

2,469 התרעות על ניסיונות תקיפה

נכון למועד סיום הביקורת, הייתה מערכת שוע"ל האזרחית פרוסה ב-251 מתוך 258 רשויות מקומיות. אך לצד הפריסה הנרחבת, הביקורת העלתה חשש ממשי מיכולת עמידתה של המערכת בפני איומי סייבר. במהלך חמשת החודשים הראשונים של 2023 התקבלו לא פחות מ-2,469 התרעות על ניסיונות תקיפה במערכות הניטור של מרכז הסייבר של פקע"ר (SOC).

איום הסייבר עלול לפגוע בזמינות ורציפות מערכות השליטה והבקרה, ובאמינות המידע שמוצג למשתמשים. לפיכך מחייב מערך הגנתי יעיל, כולל ניטור שוטף, מניעת חדירות וטיפול מהיר בפגיעות אפשריות. נוכח תפקידה הקריטי של מערכת שוע"ל בתיאום בין צה"ל לרשויות האזרחיות בעת חירום, ובעיקר מאז פרוץ המלחמה, הביקורת מדגישה את החשיבות המוגברת של הגנה אפקטיבית מפני תקיפות סייבר.

נציין כי הביקורת נערכה בין נובמבר 2022 ליולי 2023, בדיקות השלמה נעשו עד לאוגוסט 2023. הביקורת נעשתה בצה"ל: פקע"ר; באגף התקשוב: בחטיבת ההגנה בסייבר ובחטיבת לוטם (תוכנית התקשוב לעורף), ועוד. במסגרת הביקורת נפגש צוות הביקורת עם נציגים של חברה העוסקת בפיתוח של מערכות שוע"ל צבאי ושוע"ל אזרחי ועם נציגים של שתי חברות המספקות לפקע"ר שירותי ניטור.

עיקרי הליקויים שנמצאו בהגנה על מערכת שוע"ל ונקודה חיובית אחת:

• היעדר תרחישי ייחוס וניהול סיכונים. פקע"ר לא הגדיר תרחישי ייחוס בתחום הסייבר, לא ביצע זיהוי וניתוח של סוגי האיומים, ולא קיים תהליך סדור של ניהול סיכונים – אף שזיהה פערי אבטחה.

• היעדר דיונים בוועדות הגנה מטכ"ליות. מאז 2015 לא התקיים דיון מטכ"לי במערכת שוע"ל האזרחית, למרות שמבצועה החל ב-2017 – בניגוד לדרישות אגף התקשוב. גם מערכת שוע"ל הצבאית לא נדונה כנדרש. העדר דיון פוגע ביכולת הבקרה והפיקוח.

• חוסר מימוש תקני סייבר מול חברות אזרחיות. אגף התקשוב וחטיבת ההגנה בסייבר לא קבעו סטנדרט הגנה מחייב לחברות אזרחיות העובדות מול צה"ל, ולא עיגנו אותו בחוזים.

• אי היכרות עם תקן צה"ל למערכות מידע. פקע"ר אינו מכיר את התקן הצה"לי הרלוונטי – אף שמדובר בתקן מחייב, במיוחד בכל הנוגע לחיבור בין מערכות.

• תפעול לא מוסדר של מרכז הסייבר (SOC). חטיבת ההגנה בסייבר לא הנחתה את פקע"ר בהקמת מרכז הסייבר (SOC), ולא גיבשה נהלים לתפעולו. הפעלה ללא תשתית מקצועית מקדימה פוגעת ביעילות הניטור והתגובה.

• ליקויים חוזרים במבדקי חדירות. ליקויים שהתגלו במבדקי חוסן וסייבר חזרו על עצמם לאורך זמן, ללא תיקון מלא. הפקע"ר גם לא מתעד כראוי את הליקויים, וקיים רק מעקב חלקי אחר הטיפול בהם.

• פערים במנגנוני הבקרה. הביקורת העלתה ליקויים נוספים בתחום הבקרה הפנימית על ההגנה במערכות שוע"ל.

• הקמת SOC פקע"ר. משרד מבקר המדינה מציין לחיוב את פקע"ר על הקמת SOC פקע"ר כהחלטה עצמאית וכמענה לצורך מבצעי להגנת המערכות והרשתות שבאחריותו.

נציין כי מבקר המדינה קבע כי על אגף התקשוב ופקע"ר לפעול במשותף לתיקון הליקויים שעלו בדוח, כדי לשפר את ההגנה על מערכות שוע"ל צבאי ושוע"ל אזרחי.

נציין כי ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח דוח זה במלואו על שולחן הכנסת אלא לפרסם רק חלקים ממנו, לשם שמירה על ביטחון המדינה.