דו"ח רשמי חושף כישלון סייבר ישראלי רחב היקף ונזקים במיליארדי שקלים

דו"ח רשמי שפורסם על ידי מבקר המדינה הישראלי, מתניהו אנגלמן, חשף שורה של כשלים וליקויים חמורים במערך אבטחת הסייבר של הכיבוש, מה שהוביל להפסדים כספיים כבדים לכלכלה. הדו"ח הבהיר כי פערים אלו הותירו מוסדות חיוניים ומשרדי ממשלה חשופים למתקפות מתוחכמות מצד גורמים עוינים.

הדו"ח ציין במפורש כי הקבינט המדיני-ביטחוני נמנע מכינוס ישיבות ייעודיות לדיון באיומי הסייבר במשך עשור שלם. הזנחה פוליטית זו הובילה לכך שחוק הסייבר נותר תקוע שנים רבות, מה ששלל מהמדינה כלים רגולטוריים ומחייבים להתמודדות עם הסיכונים הגוברים.

ההערכות המופיעות בדו"ח מצביעות על כך שהעלות הכלכלית השנתית של מתקפות הסייבר על הכלכלה הישראלית הגיעה לכ-12 מיליארד שקלים. עם התגברות מורכבות המתקפות, נותרו הגופים החיוניים ברמות נמוכות של מוכנות, כפי שהתברר במהלך המבצעים הצבאיים שפרצו בשנת 2023 ואחריה.

מקורות עבריים אישרו כי מבצע 'מבול אל-אקצא' שבוצע על ידי ההתנגדות הפלסטינית שימש כפעמון אזהרה שחשף את המחיר היקר של התעלמות מאזהרות מוקדמות. למרות זאת, המבקר סבור כי הלקחים שנלמדו מכשל זה לא הופנמו מספיק בזירת אבטחת הסייבר, המהווה נדבך יסודי לחוסן הלאומי.

הדו"ח תיאר את המצב הנוכחי כמאופיין בהזנחה מתמשכת ובהתמהמהות פוליטית, מה שהותיר מערכות אסטרטגיות חשופות באופן מסוכן בתקופות לחימה. הוא הבהיר כי התוקפים, ובראשם איראן ותנועת חמאס, פיתחו את אסטרטגיותיהם ממלחמת פסיכולוגית בלבד לאיסוף מידע מודיעיני מדויק ורגיש.

בנוגע להיבט החקיקתי, הדו"ח ציין כי הצעת חוק הסייבר נותרה תקועה במסדרונות הממשלה למעלה מעשור בשל מחלוקות פנימיות. למרות הנחיות ראש הממשלה בנימין נתניהו בתחילת שנת 2024 בדבר הצורך בהשלמת החוק, ההליכים לא הושלמו עד אמצע שנת 2025.

מבקר המדינה מתח ביקורת על ההסתמכות על מערכות חירום וצווים זמניים במקום חקיקה קבועה ומקיפה שתגן על התשתיות. הוא ראה בהיעדר ישיבות ייעודיות לסייבר בקבינט ליקוי מבני הפוגע בביטחון הלאומי של ישראל וביכולתה לעמוד בפני איומים דיגיטליים הולכים וגוברים.

הבדיקה חשפה היעדר מוחלט של תרגילים מקיפים המדמים מתקפות סייבר גדולות בשש השנים שקדמו למלחמה. המדאיג הוא שהתרגילים המוגבלים שנערכו מאוחר יותר לא זכו להשתתפות כלשהי מהדרג הפוליטי או השרים האחראים על קבלת ההחלטות.

הנתונים הראו כי שליש מהגופים החיוניים במשק קיבלו ציונים נמוכים מאוד במדד המוכנות הארגונית. כמו כן, התברר כי למעלה מ-90% ממוסדות אלה חסרים כל כיסוי ביטוחי מפני סיכוני סייבר, מה שמכפיל את היקף ההפסדים הפוטנציאליים במקרה של פריצה.

בנוגע לניהול הפנימי, הדו"ח ציין כי לכמחצית מהמנהלים הבכירים במוסדות האסטרטגיים אין תפיסה ברורה לגבי הסיכונים העומדים בפניהם. כמו כן, אחוז ניכר מהם מעולם לא עיין בתוכניות התאוששות מאירועי סייבר חמורים, מה שמשקף תרבות ארגונית בלתי אחראית.

הדו"ח מתח ביקורת חריפה על מערך הסייבר הלאומי, והאשים אותו בכשל בפיתוח מנגנוני מדידה יעילים לרמת ההגנה לפני המלחמה. עוד צוין כי מסמכי ניהול המשברים הלאומיים לא עודכנו מזה שנים, ויישומם בשטח נותר מוגבל ביותר ובלתי יעיל.

המבקר המליץ על הצורך בהכנת תוכנית חירום ממשלתית מקיפה והצגתה לאישור מיידי לצמצום פערי האבטחה הקיימים. הוא הדגיש את החובה לשתף את ראש הממשלה והקבינט בישיבות תקופתיות כל שישה חודשים כדי להבטיח תמונה ברורה ומעודכנת של איומי הסייבר.

הדו"ח הזהיר כי 'פצצת הזמן הדיגיטלית' עלולה לעלות לכיבוש מחירים יקרים בכל עימות עתידי, שיעלו על ההפסדים הכספיים ויגיעו להפסדים בנפש. הוא הדגיש כי תגובה נקודתית לאירועים אינה יכולה להוות תחליף לאסטרטגיה לאומית משולבת ומוגנת בכוח החוק.

מצדו, מערך הסייבר הלאומי הגיב בטענה כי אישור חוק הגנת הסייבר בקריאה ראשונה יחזק את יכולות ההגנה. המערך טען כי פעילותו בתקופת המלחמה מנעה מהאויבים להשיג הישגים אסטרטגיים משמעותיים, והדגיש כי הוא פועל לטיפול בפערים שנחשפו בדו"ח.

אירועי השבעה באוקטובר הראו את המחיר היקר של התעלמות מסימני אזהרה מוקדמים והיעדר היערכות מוקדמת בזירת אבטחת הסייבר.