לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור
facebook linkedin telegram instagram tiktok threads

היבטים באסדרה ובפיקוח בנוגע לספקי המים המקומיים בתחום הגנת הסייבר

לדו"ח המלא:
/sites/DigitalLibrary/Documents/2022/Cyber/2022.Cyber-105-Sapakey-HaMaim.docx /sites/DigitalLibrary/Documents/2022/Cyber/2022.Cyber-105-Sapakey-HaMaim.pdf
 
לתקציר
/sites/DigitalLibrary/Documents/2022/Cyber/2022.Cyber-105-Sapakey-HaMaim-Taktzir.docx /sites/DigitalLibrary/Documents/2022/Cyber/2022.Cyber-105-Sapakey-HaMaim-Taktzir.pdf
הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
 

רקע

​מרחב הסייבר כולל מחשבים, מערכות ממוכנות ורשתות, תוכנות, מידע ממוחשב, תוכן דיגיטלי, נתוני תעבורה ובקרה. תקיפת סייבר היא רצף הפעולות שמבצע יריב במרחב הסייבר. איומי הסייבר הולכים ומתעצמים עם צמיחתו של מרחב הסייבר, ועלולים להוביל לפגיעה הן בתוך המרחב והן בעולם הפיזי, כגון במתקני התפלה, בספקי מים ובתשתיות. לפי מסמכי רשות המים, בשנים האחרונות חלה החמרה באיומי הסייבר על מערכות המחשוב של משק המים והביוב בישראל. קיימת חשיבות רבה להגנת סייבר עבור כלל הגורמים במשק המים, ובכלל זאת הספקים הרבים. 


נתוני מפתח

  • נמצא פער

    בתקן כוח האדם ביחידה המגזרית ברשות המים לעומת תקן המשרות על פי טיוטת התקן ליחידת המגזרית שגיבש מס"ל

  • חלק

    מכלל ספקי המים שלדעת רשות המים יש לחברם, חוברו למק"ם משרד האנרגייה עד מאי 2022

  • חלק

    מתאגידי המים שנבדקו בידי רשות המים בשנת 2021 קיבלו ציון נמוך על מוכנותם למתקפות סייבר

פעולות הביקורת

בחודשים יוני עד דצמבר 2021 בדק משרד מבקר המדינה כמה היבטים באסדרה ופיקוח בנוגע לספקי המים המקומיים בתחום הגנת הסייבר. הבדיקות נעשו ברשות המים ובמערך הסייבר הלאומי (מס"ל). בדיקות השלמה נעשו במשרד האנרגייה ובחברת מקורות.

הדוח שבנדון הומצא לראש הממשלה ביום 31.7.2022 והוטל עליו חיסיון עד לדיון בוועדת המשנה של הוועדה לענייני ביקורת המדינה.

מתוקף הסמכות הנתונה למבקר המדינה בסעיף 17(ג) לחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב], ובשים לב לנימוקי הממשלה, לאחר היוועצות עם הגופים האמונים על אבטחת המידע הביטחוני ובתיאום עם יו"ר הכנסת, משלא התכנסה ועדת המשנה האמורה, הוחלט לפרסם דוח זה תוך הטלת חיסיון על חלקים ממנו. חלקים אלה לא הונחו על שולחן הכנסת ולא יפורסמו.

ממצאי דוח הביקורת והמלצותיו נכונים למועד המצאתו האמור לעיל.


תמונת מצב העולה מן הביקורת

  • dislike
    הגדרת גופי תשתיות מדינה קריטיות (תמ"ק) במשק המים - חברת מקורות היא גוף התמ"ק היחיד במשק המים, והיא מונחה ישירות על ידי מס"ל. יתר הגופים במשק המים מונחים בהנחיה מגזרית. סוגיית הגדרת גופי תשתית גדולים נוספים במשק המים טרם נבחנה ונידונה בוועדת ההיגוי הייע...
  • dislike
    אסדרה של כללי ביטחון מים - במועד סיום הביקורת, דצמבר 2021, מועצת רשות המים לא אסדרה בכללים בהתאם לסמכותה על פי סעיף 18א לחוק המים את חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מפני אירועי סייבר; את חובותיהם להגיש תוכנית לאבטחת מידע לאישור רשות ה...
  • dislike
    היחידה המגזרית ברשות המים - עד מועד סיום הביקורת, דצמבר 2021, מערך הסייבר לא קבע תקן של יחידה מגזרית ברשות המים. נמצא פער בתקן כוח האדם ביחידה המגזרית ברשות המים לעומת תקן המשרות על פי טיוטת התקן ליחידת המגזרית שגיבש מס"ל. כמו כן עד מועד סיום הביקורת כ...
  • dislike
    בדיקות חדירה - נמצאו פערים בתחום זה.
  • dislike
    חיבור ספקי המים למרכז הקיברנטי (מק"ם) של משרד האנרגייה - רק חלק מכלל ספקי המים שלדעת רשות המים יש לחברם, חוברו למק"ם משרד האנרגייה עד מאי 2022.
  • dislike
    מוכנות להגנת סייבר בקרב תאגידי המים והביוב - בשנים האחרונות ועד מועד סיום הביקורת עשתה רשות המים ביקורות סייבר בחלק מכלל התאגידים. חלק מתאגידי המים שנבדקו בידי רשות המים בשנת 2021, קיבלו ציון נמוך על מוכנותם להגנת סייבר.
  • like
    הקמת מק"ם - משרד האנרגייה הקים מק"ם המנטר את כלל תשתיות האנרגייה, מתכלל מידע המתקבל מהן ומשקף תמונת מצב בנושא הגנת סייבר על משק האנרגייה.

עיקרי המלצות הביקורת

  • [alt]
    מומלץ כי מס"ל יבחן מפעם לפעם את הנתונים העדכניים של הגופים הגדולים והמרכזיים במשק המים והביוב, כדי לקבוע אילו מהם צריכים להידון בוועדת ההיגוי הייעודית לכך.
  • [alt]
    מומלץ שמועצת הרשות ורשות המים יפעלו לקידום של הליכי אסדרת חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מאירועי סייבר, להכין תוכניות לאבטחת מידע ולעגן בכללי ביטחון מים את סמכות רשות המים לתת לספקי המים הנחיות בתחום הסייבר.
  • [alt]
    מומלץ שמערך הסייבר ישלים את הליך קביעת תקן כוח אדם הנדרש ביחידה המגזרית לסייבר ברשות המים.
  • [alt]
    מומלץ שרשות המים תפעל לתיקון הפערים בתחום בדיקות החדירה. מומלץ שרשות המים תפעל לחיבורם של כל ספקי המים שנדרש לדעתה לחברם למק"ם.

סיכום

בשנים האחרונות חלה החמרה באיומי הסייבר על מערכות המחשוב של משק המים והביוב בישראל. מומלץ שמועצת הרשות ורשות המים יפעלו לקידום של הליכי אסדרת חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מאירועי סייבר, להכין תוכניות לאבטחת מידע ולעגן בכללי ביטחון מים את סמכות רשות המים לתת לספקי המים הנחיות בתחום הסייבר. כמו כן מומלץ כי הרשות תפעל לחיבורם של כל ספקי המים הנדרשים למק"ם. עוד מומלץ כי רשות המים תשלים את ביקורות הסייבר בתאגידים ובספקי מים אחרים שטרם נבדקו בשנתיים האחרונות, ותפעל להגברת מוכנותם של התאגידים למתקפות סייבר.


/sites/DigitalLibrary/Documents/2022/Cyber/2022.Cyber-105-Sapakey-HaMaim.pdf
בחזרה לתחילת העמוד
התקציר הקודם תפריט ראשי התקציר הבא
© משרד מבקר המדינה