לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור
facebook linkedin telegram instagram tiktok threads

הגנת הסייבר בחברת החשמל לישראל בע"מ

לדו"ח המלא:
/sites/DigitalLibrary/Documents/2022/2022.3/2022.3-401-Cyber-Hashmal.docx /sites/DigitalLibrary/Documents/2022/2022.3/2022.3-401-Cyber-Hashmal.pdf
 
לתקציר
/sites/DigitalLibrary/Documents/2022/2022.3/2022.3-401-Cyber-Hashmal-Taktzir.docx /sites/DigitalLibrary/Documents/2022/2022.3/2022.3-401-Cyber-Hashmal-Taktzir.pdf
הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
 

רקע

​מרחב הסייבר כולל מחשבים, מערכות ממוכנות ורשתות, תוכנות, מידע ממוחשב, תוכן דיגיטלי, נתוני תעבורה ובקרה. תקיפת סייבר היא רצף הפעולות שמבצע יריב במרחב הסייבר. איומי הסייבר הולכים ומתעצמים עם צמיחתו של מרחב הסייבר, ועלולים להוביל לפגיעה הן בתוך המרחב והן בעולם הפיזי, כגון בתחנות כוח ובפסי ייצור. פגיעות אלה עלולות לגרום לפגיעה כלכלית ואף לפגיעות בגוף ובנפש. בשנים האחרונות מסתמנת עלייה הדרגתית ברמת האיום האמור, במספר האירועים המתרחשים בפועל ובחומרתם, בארץ ובעולם. חברת החשמל לישראל בע"מ (חח"י) מייצרת, מוליכה ומספקת חשמל. החברה מופקדת על כמה מהתשתיות הקריטיות ביותר במדינה. פגיעה במערך התקשוב התומך בתהליכי הייצור, ההשנאה, ההולכה והחלוקה עלולה להשבית תהליכים אלה ולמנוע אספקת חשמל סדירה לפרקי זמן העלולים להיות קריטיים למשק, בייחוד בעיתות חירום. 


נתוני מפתח

  • 100 מיליון דולר

    גבול כיסוי ביטוח מפני נזקי סייבר של החברה בשנת 2021, בהשתתפות עצמית של מיליוני דולר

  • 527 מיליון ש"ח

    ביצוע תקציב IT בחברת החשמל בשנת 2019. בשנת 2018 ביצוע התקציב הסתכם ב-521 מיליון ש"ח

  • 19%

    צמצום במצבת העובדים בחטיבת התקשוב בשנים 2015 - 2019

פעולות הביקורת

בחודשים מאי עד דצמבר 2020 בדק משרד מבקר המדינה את הגנת הסייבר בחח"י ואת הפעולות שנקטו חח"י ומערך הסייבר הלאומי (מס"ל) לצורך שיפור הגנת הסייבר על תהליכים ומערכות קריטיים בחברת החשמל. הבדיקות נעשו בחח"י, במס"ל ובמשרד האנרגייה.

הדוח שבנדון הומצא לראש הממשלה ולעדה לענייני ביקורת המדינה של הכנסת ביום 29/07/2021 והוטל עליו חיסיון עד לדיון בוועדת המשנה של הוועדה לענייני ביקורת המדינה. 

מתוקף הסמכות הנתונה למשרד מבקר המדינה בסעיף 17(ג) לחוק מבקר המדינה, התשי"ח 1958 [נוסח משולב] ובשים לב לנימוקי הממשלה, לאחר היוועצות עם הגופים האמונים על אבטחת המידע הביטחוני ובתיאום עם יו"ר הכנסת, משלא התכנסה ועדת המשנה האמורה, הוחלט לפרסם דוח זה תוך הטלת חיסיון על חלקים ממנו. חלקים אלה לא יונחו על שולחן הכנסת ולא יפורסמו. 

ממצאי דוח הביקורת והמלצותיו נכונים למועד סיום הביקורת האמור לעיל. 


תמונת מצב העולה מן הביקורת

  • dislike
    אחידות בגורם המנחה ובהנחיה במשק האנרגייה - נמצא כי בהתאם לחלוקת העבודה בין מס"ל למשרד האנרגיה, תחנות כוח שהיו בידי חברת החשמל ונמכרו לגורמים פרטיים הועברו מהנחיית מס"ל להנחיה של משרד האנרגייה, על פי הרגולציה שקבע משרד האנרגייה (שמונחה מקצועית בידי מס"ל...
  • dislike
    הפיקוח והמעקב של מס"ל על ביצוע ההנחיות הניתנות לחברת החשמל - נמצא כי מס"ל לא הסדיר בכללים את האופן שבו חח"י צריכה לדווח לו כדי שיוכל לעקוב אחר ביצוע הנחיותיו ואחר תיקון הליקויים שמצא. נמצא כי מס"ל לא ביצע מעקב ופיקוח מלא בעניין ביצוע כל ההנחיות שנתן, ב...
  • dislike
    הכנת תוכניות עבודה רב-שנתיות ושנתיות ליישום הנחיות מס"ל (להלן - תוכניות הטמעה) - במועד סיום הביקורת חח"י טרם הגישה תוכנית רב-שנתית. עוד נמצא כי במועד סיום הביקורת תוכניות העבודה השנתיות שחח"י הציגה לשנים 2019 - 2021 אינן כוללות את מלוא הפירוט לגבי אופן...
  • dislike
    ביצוע סקרי סיכונים ומבדקי חדירה - ממסמכי חברת חשמל עולה כי ביולי 2019 היא לא גיבשה תוכנית עבודה רב-שנתית או שנתית לביצוע סקרי סיכונים ומבדקי חדירה. בפועל, עלו פערים בביצוע סקרי סיכונים ומבדקי חדירה. עם זאת, במאי 2020 הכינה חח"י תוכנית עבודה תלת-שנתית...
  • dislike
    היפרדות יחידת ניהול המערכת מחברת החשמל במסגרת הרפורמה - במועד סיום הביקורת חח"י לא השלימה תוכנית להפרדת יחידת ניהול המערכת מחח"י בהיבטי סייבר, ולא הגישה למס"ל תוכנית כאמור, וזאת אף שבמועד סיום הביקורת יחידת ניהול המערכת הייתה אמורה לעבור לחברת ניהול המ...
  • like
    הקמת מרכז קיברנטי (להלן - המק"ם) - משרד האנרגייה הקים את המרכז הקיברנטי המגזרי (המק"ם), המנטר את כלל תשתיות האנרגייה, מתכלל מידע המתקבל מהן ומשקף תמונת מצב בנושא הגנת סייבר על משק האנרגיה.
  • like
    בדוח זה נבדקו נושאים נוספים כגון רמת החוסן, מדיניות אבטחה פנים-ארגונית, תוכניות עבודה והטמעה רב-שנתיות ושנתיות, בקרות בהגנת סייבר ובאבטחת מידע והממצאים שוקפו לגורמים הרלבנטים.

עיקרי המלצות הביקורת

  • [alt]
    מומלץ כי מס"ל כמאסדר יפעל לאסדרה של סדרי הדיווח והבקרה שלו על חברת החשמל. בכלל זה, מומלץ לקבוע הוראות בדבר הדיווח בכתב שחח"י צריכה למסור לו בעניין אופן ביצוע הנחיותיו, בעניין תיקון ליקויים שנמצאו על ידו או על ידי גורמים אחרים בביקורות חיצוניות או פנימי...
  • [alt]
    מומלץ שהחברה תכין תוכנית עבודה רב-שנתית מפורטת יותר בתחום הסייבר בהתאם להוראת העבודה בנושא, הכוללת את מלוא הפירוט הנדרש. כמו כן, מומלץ שהחברה תכין תוכניות שנתיות מפורטות כאמור.

סיכום

​חברת החשמל מופקדת על תשתית לאומית קריטית. פגיעה בשרשרת החשמל עלולה לגרום נזק למשק בכללותו. בדוח נמצאו ליקויים בהגנת הסייבר של חברת החשמל. דוח זה הציג תמונת מצב בנושא הגנת סייבר בחברת חשמל ובפיקוח של של מס"ל על חברת חשמל. בין היתר נמצאו ליקויים במעקב של מס"ל אחר יישום הנחיותיו.


/sites/DigitalLibrary/Documents/2022/2022.3/2022.3-401-Cyber-Hashmal.pdf
בחזרה לתחילת העמוד
התקציר הקודם תפריט ראשי התקציר הבא
© משרד מבקר המדינה