משרד מבקר המדינה מתיר לפרסם היום (שלישי) את דו"ח הביקורת שנערך על מערכות הסייבר של פיקוד העורף, חודשים ספורים לפני מתקפת 7 באוקטובר. מדובר בדו"ח אחד מתוך סדרת ביקורות שעסקו בהיערכות מערכת הביטחון במגוון תחומים. הדו"ח מתמקד בכשלים החמורים שנמצאו במערכות המידע והשליטה של פיקוד העורף.
הדו"חות המלאים נאסרו לפרסום מטעמי ביטחון מידע, אך הממצאים שהותרו לפרסום מציגים תמונה מדאיגה של הקלות שבה גורמים עוינים היו יכולים לחשוף מידע רגיש וחיוני במערכות צבאיות ואזרחיות של פיקוד העורף. התמונה מטרידה במיוחד בשל העובדה שישראל נחשבת לאחת ממעצמות הסייבר הגדולות בעולם, שנייה רק לארצות הברית.
בביקורת שערך מבקר המדינה מנובמבר 2022 עד יולי 2023 על מערכת השליטה והבקרה הלאומית לעורף (שוע"ל) של פיקוד העורף עלו ליקויים מהותיים בתחום אבטחת המידע, שעלולים להשפיע על יכולת ההתגוננות מפני טילים, על ביטחון מידע של חיילים ושל מערכות צבאיות, ובהן מערכת "מסר לאומי" שמפיצה התרעות על ירי רקטות וטילים.
שוע"ל בודד: ליקויים במערכות המידע של פיקוד העורף
מערכת שוע"ל פועלת מ-2016, ומחולקת למערכת מידע צבאית ואזרחית. המערכת הצבאית משמשת לניהול המידע והכוחות בפיקוד העורף בזמני שגרה וחירום; והמערכת האזרחית משמשת את הרשויות המקומיות וגורמים אזרחיים נוספים ומספקת מידע בשגרה ובחירום, ופועלת ב-251 מ-258 הרשויות המקומיות בישראל.
במערכת הצבאית נמצא סיכון למידע מבצעי צבאי רגיש, מאחר שבמערכת יש מידע על פרישת כוחות, תנועות בזמן אמת, התרעות על שיגורים ומידע מבצעי חיוני. דליפת מידע מסווג או חדירה למערכת יכולות להביא לשיבוש תפקוד כוחות ופגיעה בביטחונם בשטח.
במערכת האזרחית נמצאו סיכונים לשיבוש ניהול העורף בחירום במקרה של חדירה למערכת, דליפת מידע של אזרחים שנעזרים בפיקוד העורף או ברשויות אחרות במצבי חירום, ודליפת מידע קריטי על מערכות תשתית כמו מים, חשמל ותחבורה. הסיכון גובר מאחר שהמערכת נמצאת בממשק עם מערכות אזרחיות אחרות, שדרכן אפשר לגשת אליה גם בלי לתקוף ישירות את מערכת שוע"ל.
2,469 ליקויים, 0 דיונים בוועדות הגנה מטכ"ליות
במחצית הראשונה של 2023 התקבלו 2,469 התרעות במערכת אבטחת הסייבר של פיקוד העורף. נוסף על כך, נמצא כי שישה מתוך עשרה ארגונים פרטיים שעובדים בשיתוף מערכת שוע"ל פועלים ללא מסמך התקשרות המסדיר את התחייבות הצדדים המעורבים בממשק, לרבות בנושאי הגנת סייבר – מה שמגביר את הסיכון לפריצה למערכת הצבאית דרך צד שלישי. בפיקוד העורף אפילו לא הכירו את התקן לחיבור בין מערכות מידע בצה"ל.
בתחום הליקויים במערכות שוע"ל, ל-139 מתוך 283 הליקויים שנמצאו, כמעט מחציתם, לא נעשתה בדיקת איכות לתיקון. נוסף על כך, ארבעה ליקויים חזרו על עצמם בבדיקות שנעשו בהפרש של שנה. למרות הליקויים החמורים שהתגלו, אף ועדה מטכ"לית לנושא הגנת סייבר לא דנה במערכת.
הביקורת העלתה כי פיקוד העורף לא הגדיר תרחישי ייחוס לאיומים בתחום הסייבר ולא ביצע הליכים של ניתוח סיכונים, ואף הקים מרכז ניטור אבטחה (SOC) ללא הנחיות מקצועיות מחטיבת ההגנה בסייבר בצה"ל.
מאז 2015 לא התקיים דיון בוועדת הגנה מטכ"לית בנוגע למערכת שוע"ל האזרחית או הצבאית, אף שהחובה לכך נקבעה בפקודות צה"ל. היעדר הדיונים פגע בבקרה על דרישות ההגנה והגביר את הסיכון לאיומי סייבר.
הכשל, הסיכון – וההמלצה לתיקון
הדו"ח קובע כי היעדר מנגנוני פיקוח וליקויים חוזרים במערכת שוע"ל חשפו את פיקוד העורף והמערכת האזרחית לסיכוני סייבר גדולים. בין היתר, המבקר מציין כי לא בוצע ניהול סיכונים מסודר, לא נקבעו מדדי כשירות ולא התקיימו דיונים מחייבים בוועדות ההגנה בצה"ל. נוסף על כך, לא עוגנו בהסכמים עם גופים אזרחיים הוראות מחייבות להגנת סייבר. המבקר המליץ להשלים את הליכי ניהול הסיכונים, להסדיר את מנגנוני הפיקוח ולעגן את החובות בתחום ההגנה בסייבר בהתקשרויות עם גופים אזרחיים.
דובר צה"ל: "צה"ל רואה חשיבות רבה בביקורת מבקר המדינה ופועל באופן עקבי לשיפור וייעול תהליכי העבודה, גם בתחום ההגנה בסייבר. מרבית ההמלצות בנושא התקבלו ונבחנו מייד בסיום הביקורת, והגופים החלו ביישומן.
"מערכת השוע"ל היא מערכת מבצעית אשר צה"ל משקיע מאמצים מתמשכים בשדרוגה ובהתאמתה לאיומים המשתנים, ובבניית מענה הגנה בהתאם לתרחישי הייחוס המשתנים.
פיקוד העורף מבצע ניהול סיכונים באופן שוטף אל מול התפתחות המערכות. בתהליך בניין הכוח, מתקיימות ועדות הגנה בהן מוצגים האיומים הקיימים והערכות מצב טרם מבצוע המערכת.
"פיקוד העורף בשיתוף פעולה עם חטיבת ההגנה מבצעים ביקורות ובקרות במסגרתן הוטמעו מערכות מתקדמות ופותחו מערכות בסטנדרט אבטחת מידע מחמיר תוך עמידה בתקן המטכ"לי, וגיבשו מתודולגיה עדכנית להערכת איומי הייחוס בסייבר וההתמודדות עמם.
"הביקורת בוצעה לפני יותר משנתיים, ומאז בוצעו תהליכים רבים והתקדמות משמעותית בתחום ההגנה בסייבר, המודעות לאבטחה והטמעת מערכות".
