הגנת הסייבר במגזר התחבורה

משרד התחבורה והבטיחות בדרכים ממונה על קביעת המדיניות בענף התחבורה וכן על שירותי מערכות התחבורה בים, באוויר וביבשה. מגזר התחבורה כולל גופים מסוגים שונים - ממשלתיים, ציבוריים ופרטיים, הפועלים במגוון תחומים: התחבורה הימית, התחבורה היבשתית, התחבורה האווירית, התחבורה הציבורית, התשתיות התחבורתיות והתחבורה החכמה.

בשנים האחרונות קיימת עלייה חדה במספרם ובחומרתם של אירועי סייבר המשבשים את פעילותם התקינה של ארגונים בארץ ובעולם. בתחום התחבורה קיימים סיכונים רבים שעלולים להתממש כתוצאה מפגיעות במרחב הסייבר: פגיעה בתשתיות התחבורה ובאמצעי תחבורה המוניים שעשויה לגרום לפגיעה בחיי אדם, להפסקת תהליכי ייצור, לנזק כלכלי כבד, לדלף מידע אישי, לפגיעה במוניטין של הארגון הנפגע ובמקרים מסוימים אף להשלכות פוטנציאליות במישור הביטחוני.

החלטת ממשלה 2443 משנת 2015 הטילה על משרדי הממשלה, ובכללם משרד התחבורה, לקדם את הטיפול בהיערכות לאיומי סייבר במגזר שבו הם פועלים. במסגרת זו הוקם אגף הסייבר במשרד התחבורה שמנחה את הגופים במגזר, למעט גופים שמוגדרים כתשתיות מדינה קריטיות (תמ"ק) שמונחים ישירות על ידי מערך הסייבר. 

מאסדרים מגזריים יכולים לחייב גופים שמונחים על ידם לעמוד בדרישות סייבר בכמה אופנים: חוקים, תקנות, התניית מתן רישיון בעמידה בדרישות סייבר, מתן הנחיות והכללת דרישות סייבר במסגרת ההתקשרויות. משרד התחבורה הנחה את הגופים במגזר לעמוד בדרישות הסייבר שנכללו במסגרת המדיניות להגנת הסייבר. 

בחודשים מרץ 2021 עד אפריל 2022 בדק משרד מבקר המדינה את הגנת הסייבר במגזר התחבורה. הביקורת נעשתה במשרד התחבורה - באגף הסייבר ובמחלקת הייעוץ המשפטי; במערך הסייבר הלאומי במשרד ראש הממשלה - באגף להכוונה מגזרית וביחידה להנחיית גופי תמ"ק (אגף תמ"ק); וברשות להגנת הפרטיות במשרד המשפטים. בדיקות השלמה נעשו בכמה חברות ממשלתיות, וביחידות הגנת הסייבר המגזריות במשרד האנרגיה, במשרד להגנת הסביבה, במשרד התקשורת ובמשרד הבריאות.

במסגרת הביקורת, משרד מבקר המדינה ביצע בשיתוף עירייה א' מהלך חדשני - מבדק חדירה במערכות בתחום התחבורה שלה כדי לבחון היבטים בהגנת הסייבר.

כמו כן המשרד הפיץ בקרב עשר עיריות ושתי חברות ממשלתיות שאלון הבודק את היבטי הגנת הסייבר בנוגע למערכות בתחום התחבורה כדי לבחון את הנושאים ברמה המערכתית.

הדוח שבנדון הומצא לראש הממשלה ביום 31/7/22 והוטל עליו חיסיון עד לדיון בוועדת המשנה של הוועדה לענייני ביקורת המדינה. מתוקף הסמכות הנתונה למבקר המדינה בסעיף 17(ג) לחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב], ובשים לב לנימוקי הממשלה, לאחר היוועצות עם הגופים האמונים על אבטחת המידע הביטחוני ובתיאום עם יו"ר הכנסת, משלא התכנסה ועדת המשנה האמורה, הוחלט לפרסם דוח זה תוך הטלת חיסיון על חלקים ממנו. חלקים אלה לא יונחו על שולחן הכנסת ולא יפורסמו. 

ממצאי דוח הביקורת והמלצותיו נכונים למועד המצאתו האמור לעיל.

תשתיות התחבורה נועדו להבטיח את הבטיחות והיעילות של התחבורה הימית, התחבורה האווירית והתחבורה היבשתית עבור כל משתמשי הדרך. ככל שתשתית מסוימת חיונית יותר לחיי היום-יום של התושבים, כך היא מושכת יותר את התוקפים, וככל שהיא תלויה יותר בממד הסייבר, כך היא פגיעה יותר לתקיפות שעשויות לגרום לשיבושים בתפקודה התקין ואף להשבתתה המלאה, לפגיעה כלכלית ניכרת ולפגיעה בחיי אדם.

ממצאי דוח זה משקפים בעיה מבנית ותפקודית יסודית בכל הנוגע להיערכות של מדינת ישראל לאיומי הסייבר במגזר התחבורה. במהלך הביקורת חל שיפור בכמה תחומים שבהם פועל אגף הסייבר במשרד התחבורה, ובהם: הקמת SOC מגזרי לקבלת תמונת מצב ענפית מלאה, שתאפשר זיהוי מכנה משותף בעת תקיפה וכן תאפשר התרעה מפני חשיפה אפשרית לגופים דומים, שתסייע להם להיערך ולהתגונן; פרסום מדיניות וביצוע ביקורות בחלק מהגופים המונחים לבחינת עמידת הגופים בה; קידום אסדרת תחום הרכב האוטונומי, לרבות תיקון החוק, פרסום נוהל והקמת מרכז הניסויים בבאר שבע. עם זאת עדיין קיימות כמה בעיות יסודיות:

חסרה הסדרת תחומי האחריות והסמכות של מערך הסייבר ומשרד התחבורה בכל הנוגע לגופים שאינם תשתית מדינה קריטיות (תמ"ק); משרד התחבורה אחראי לפעילויות המגזר אולם אין בידיו תמונה מלאה של מצב ההגנה של הגופים בו; היעדר הלימה בין האיומים והמענים להם במגזר כולו לבין המשאבים של משרד התחבורה; היעדר דרישות סייבר בהתקשרויות בחלק ניכר מהפעילויות במגזר והיעדר הקצאת המשאבים הנדרשים לכך על ידי הגופים.

הבעיה התפקודית והמבנית שהועלתה בדוח זה אפשר כי היא רלוונטית למגזרים גדולים נוספים, ולכן טיפול מערכתי בנושאים אלו עשוי לשפר את מוכנות המשק והמגזרים הגדולים הפועלים בו להתמודד עם אירועי סייבר.

במסגרת ביקורת זו בוצע מבדק חדירה על ידי צוות הביקורת במערכות בתחום התחבורה בעירייה א'. חשיבותה של פעולה חדשנית זו, שיושמה לראשונה בדוח ביקורת של משרד מבקר המדינה, הינה בכך שהיא מאפשרת להעריך את מוכנותו האמיתית של הגוף לעמוד בפני התקפות סייבר, באמצעות שימוש בכלים החושפים חולשות אבטחה בסביבת העבודה התפעולית של הגוף ולסייע בכך באופן מעשי וממשי לשיפור רמת ההגנה של הגופים המבוקרים. 

על משרד התחבורה ועל מערך הסייבר לוודא כי תשתיות התחבורה, ובפרט התשתיות הקריטיות, מבצעות הערכת סיכונים באופן שוטף ומשפרות את מידת עמידתן בפני מתקפות סייבר אפשריות.