לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור

הגנה בתחום הסייבר: היבטי אסדרה והגנה על המידע ומערכות המחשוב ברפאל מערכות לחימה מתקדמות בע"מ

הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
 

רקע

בהחלטת הממשלה מאוגוסט 2011 נקבע כי מרחב הסייבר האזרחי הישראלי כולל את כלל הגורמים הממלכתיים והפרטיים במדינת ישראל, למעט הגופים המיוחדים. דהיינו, מרחב הסייבר הישראלי כולל את המרחב האזרחי, הממשלתי והביטחוני. הפעילות הגוברת במרחב הרשתי מאפשרת חדשנות טכנולוגית ופיתוחים לאדם ולסביבתו. ואולם לצד היתרונות שמאפשרות מערכות ממוחשבות במרחב הרשתי, הן יצרו גם איום חדש ההולך ומתעצם: איום הסייבר. אירוע סייבר הוא התרחשות אשר מעידה על פגיעה אפשרית בפעילותה התקינה של מערכת מחשוב. רפאל מערכות לחימה מתקדמות בע"מ (רפאל) היא מרכיב משמעותי בבניית עוצמתה הצבאית וחוסנה של המדינה. החברה כפופה בין היתר להוראות חוק החברות הממשלתיות, התשל"ה-1975, והחוק להסדרת הבטחון בגופים ציבוריים, התשנ"ח-1998 (החוק להסדרת הביטחון). הממונה על הביטחון במערכת הביטחון (מלמ"ב) מנחה את מפעלי מערכת הביטחון ומפעלים המייצרים מוצרים עבור מערכת הביטחון. רשות החברות הממשלתיות מפיצה חוזרים לחברות הממשלתיות ולחברות בנות ממשלתיות בנושאים שונים בהתאם לסמכותה בחוק החברות הממשלתיות, התשל"ה-1975, ובכלל זה לגבי ניהול הסיכונים התאגידי. 

בשנת 2022 דווחו למערך הסייבר הלאומי (מס"ל) על ידי כלל הגורמים במדינה 9,108 אירועי סייבר. כ-31% מהם נבעו ממתקפות דיוג. 


נתוני מפתח

  • 10%

    בשנת 2022: התקציב של מחלקת אבטחת טכנולוגיות והגנה בסייבר ברפאל מתוך התקציב בנושא מחשוב של מינהל טכנולוגיות מידע ותהליכים ברפאל

  • 12 שנים

    לא יישמו מס"ל ומלמ"ב את החלטת הממשלה בנושא קידום היכולת הלאומית במרחב הקיברנטי, בכל הנוגע לקביעת הסדרים מיוחדים לקידום ההגנה במרחב הסייבר

  • 31%

    שיעור אירועי הסייבר מסוג דיוג שדווחו למערך הסייבר הלאומי (מס"ל) בשנת 2022 מתוך כלל אירועי הסייבר

פעולות הביקורת

בתקופה נובמבר 2022 עד יולי 2023 ביצע משרד מבקר המדינה ביקורת בנושא ההגנה בסייבר בכמה היבטים הנוגעים לאסדרה ולהגנה על מידע ומערכות המחשוב ברפאל. בביקורת נבדקו הנושאים האלה: הסדרת יחסי העבודה בין מס"ל למלמ"ב; סמכויות ההנחיה והפיקוח של מלמ"ב; תפיסת ההגנה בסייבר במלמ"ב; מדיניות אבטחת המידע ברפאל; ניהול הסיכונים הארגוני ברפאל; תוכניות העבודה ותקציב ההגנה בסייבר של רפאל; ההגנה על רשת מחשוב מסוימת ומערכות מידע מסוימות ברפאל ובקרות על אבטחת המידע המיושמות בהן; ומיגון תשתיות מסוימות ברפאל. הביקורת נערכה במלמ"ב וברפאל. בדיקות השלמה נערכו בתעשייה האווירית לישראל בע"מ (התע"א), בחברת החשמל לישראל בע"מ ובמס"ל.

ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח על שולחן הכנסת ולא לפרסם נתונים מפרק זה לשם שמירה על ביטחון המדינה ועל יחסי מסחר בין-לאומיים של המדינה, בהתאם לסעיף 17 לחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב]. 


תמונת מצב העולה מן הביקורת

dislike
  • dislike
    הסדרת יחסי העבודה בין מס"ל למלמ"ב - אף שעברו כ-12 שנים ממועד החלטת הממשלה מאוגוסט 2011 בעניין קידום היכולת הלאומית במרחב הקיברנטי, מס"ל ומלמ"ב לא קבעו הסדרים מיוחדים הנוגעים לקידום ההגנה על המרחב הקיברנטי ולקידום המחקר והפיתוח בתחום המרחב הקיברנטי כנדר...
  • dislike
    סמכויות ההנחיה והפיקוח של מלמ"ב - בחוק להסדרת הביטחון משנת 1998 לא הוקנו למלמ"ב סמכויות ברורות בכל הנוגע לביצוע פעילות טכנולוגית אופרטיבית ולא הוקנתה למלמ"ב סמכות הנחיה מקצועית לגבי רשתות מסוימות.
  • dislike
    תפיסת ההגנה בסייבר במלמ"ב - תורת ההגנה בסייבר שהכינה חטיבת תורה והגנה (תוה"ג) ביחידה הטכנולוגית במלמ"ב אינה כוללת תקן למרכז ניטור של ארגון, על אף היותו של מרכז ניטור כזה אחד ממרכיבי ההגנה החשובים ביותר של ארגון. כמו כן חטיבת תוה"ג לא פרסמה לגופים המונח...
  • dislike
    ניהול הסיכונים הארגוני ברפאל - במאי 2023, בעת הביקורת, כשלוש שנים וחצי לאחר פרסום חוזר רשות החברות הממשלתיות בנושא ניהול סיכונים תאגידי מינואר 2020, אישרה הוועדה הארגונית לניהול סיכונים ברפאל מסמך אסטרטגיית סיכון כוללת לחברה ומדיניות לניהול סיכונים. וא...
  • dislike
    מיגון פיזי של תשתיות מסוימות - עלו פערים בתחום זה.
  • dislike
    ביטוח מפני אירועי סייבר - ביולי 2023, בעת הביקורת, לחברת החשמל לישראל בע"מ היו שתי פוליסות ביטוח המכסות נזקים לרכוש ותביעות צד ג' בגין אירועי סייבר, ואילו לתעשייה האווירית לישראל בע"מ (התע"א) ולרפאל לא היו פוליסות ביטוח כאמור. רפאל לא רכשה ביטוח מפני...
  • dislike
    פערי דיווח ברפאל - רפאל לא דיווחה לדירקטוריון בישיבותיו על כמה אירועי סייבר כנדרש.
  • dislike
    תחקור אירועי סייבר - הנהלת רפאל לא תחקרה את ניהול אירועי הסייבר שהתרחשו בשנים 2020 - 2022 בהיבטים מסוימים הנוגעים לתפקוד הנדרש של רפאל.
  • dislike
    תוכנית מפורטת לניהול אירועי אבטחת מידע - הוראת מטכ"ם מפברואר 2023 אינה מפרטת את תהליך ההתאוששות מאירוע סייבר מסוים או מפנה לתוכנית מסוימת ואינה כוללת הפניות למסמכים מסוימים.
  • dislike
    הפקת לקחים מאירועי סייבר מסוימים - כמה מסמכי תחקור אירועים לא התייחסו להפקת הלקחים הנדרשים.

    עיקרי המלצות הביקורת

    • [alt]
      על מס"ל ומלמ"ב לקיים את החלטות הממשלה בכל הנוגע להסדרת שיתוף הפעולה ביניהם באמצעות המנגנונים שנקבעו בהחלטות.
    • [alt]
      מומלץ כי מלמ"ב יפעל להסדיר ככל הנדרש את הסמכויות הנדרשות לצורך מימוש ייעודו.
    • [alt]
      מומלץ כי היחידה הטכנולוגית במלמ"ב תפעל להשלים את תורת ההגנה בסייבר, ובכלל זה להכין את התקן למרכז הניטור ואת ההנחיות הנדרשות לגבי היערכות לניהול אירועי סייבר ולניהול האירועים, תחקורם והפקת הלקחים בנושא.
    • [alt]
      על הנהלת רפאל לדווח לדירקטוריון כנדרש לגבי אירועי סייבר.
    • [alt]
      מומלץ כי הנהלת רפאל תמשיך לבחון מידי שנה בשנה את גודל התקציב הנדרש להגנת הסייבר בהתייחס לפוטנציאל הנזק, למחזור המכירות השנתי ולרווח התפעולי השנתי שלה.

    סיכום

    ​רפאל היא מרכיב משמעותי בבניית עוצמתה הצבאית וחוסנה של המדינה. בביקורת עלו ליקויים הנוגעים בין היתר לאי-הסדרת יחסי העבודה בין מערך הסייבר הלאומי (מס"ל) למלמ"ב ולהגנה על המידע ומערכות המחשוב ברפאל. על הנהלת רפאל ודירקטוריון רפאל לפעול לתיקון הליקויים ולוודא בשיתוף מלמ"ב כי רפאל מיישמת את הנחיות מלמ"ב כנדרש.