מבקר המדינה מתניהו אנגלמן פרסם היום (שלישי) דוח ביקורת על ההגנה מפני איומים סייבר. הדוח כולל ממצאים חמורים שצריכים להטריד כל אחד מאתנו - מחיילים שמידע עליהם שמור במאגרי מידע של הצבא, ועד נוסעים בתחבורה הציבורית שאיומי סייבר בתחום התחבורה עלולים להיות מסכני חיים.הגנת הסייבר במגזר התחבורה - הדוח המלאכשלים באבטחת מאגרים ביומטריים בצהל - הדוח המלאחשש לגניבת זהויותהמבקר מציג כשלים באבטחת הסייבר על מאגרים ביומטריים בצהל - שעלולים להיות בעלי השלכות חמורות. הדוח מתמקד בנתונים שנאספו בשרשרת החיול. מכל חייל המתגייס לצהל אוספים טביעות אצבעות ותצלומי שיניים. בנוסף, בהסכמת המתגייס, נלקחים ממנו גם כתבי דם המשמשים להפקת דנא במידת הצורך.בדוח עלה כי קיים מידע עודף, כמו מידע ביומטרי על חיילים שהלכו לעולמם. כאמור, במידע כזה יש פוטנציאל נזק גבוה, שכן אין מי שיתלונן על השימוש שנעשה בו. אנגלמן מתריע מפני תרחיש שהאקרים ישתמשו בכך לצורך התחזות וגנבת זהויות.בדוח עלה גם כי מערכות שנדרשו לעמוד ברמת אבטחה גבוהה לפי התקנות, הוגדרו בסיווג סודי עם חסינות בינונית בלבד, זאת למרות הנזק הרב שעלול להיגרם מדליפת מידע ביומטרי. כמו כן, נמצאו פערים ברמת ההגנה בין היתר בנושאי הזדהות, הרשאות גישה, בקרה על ביצוע פעולות לא מורשות ומנגנוני הצפנה.תקיפות עלולות לפגוע בחיי אדםבפרק שעוסק באיומי הסייבר על תחבורה, אנגלמן מדגיש כי ככל שתשתית מסוימת חיונית יותר לחיי היום-יום של התושבים, כך היא מושכת יותר את התוקפים. פגיעות כאלו עלולות לגרום לשיבושים בתפקודה התקין ואף להשבתתה המלאה, לפגיעה כלכלית ניכרת ולפגיעה בחיי אדם.המבקר הוסיף כי בשנים האחרונות קיימת עלייה חדה במספרם ובחומרתם של אירועי סייבר המשבשים את פעילותם התקינה של ארגונים בארץ ובעולם. למרות העלייה הניכרת ולמרות הסכנות הרבות - אנגלמן מציין כי ישראל לא ערוכה לאיומי סייבר במגזר התחבורה.כך למשל, בשנת 2021 ביצע משרד התחבורה ביקורות כדי לבחון את מידת עמידת חלק מהגופים בדרישות הסייבר. בביקורות נמצאו שורה של ליקויים רוחביים המחייבים טיפול מערכתי, אך המשרד לא ביצע מעקב אחר תיקון הליקויים שמצא בביקורות אלו.בנוסף, משאבי כוח האדם והתקציב אינם מספיקים, כך שאין אפשרות לתת מענה לחלק מהאיומים. בשל היעדר המשאבים נמצאו משימות של אגף הסייבר שלא בוצעו, ובהן בניית יכולת התערבות באירועי סייבר, הרחבת הביקורות בגופי המגזר וליווי הגופים בתיקון ליקויים חמורים. לדברי מבקר המדינה, ממצאי דוח זה משקפים בעיה מבנית ותפקודית יסודית בכל הנוגע להערכות של מדינת ישראל לאיומי הסייבר במגזר התחבורה.מדובר צהל נמסר בתגובה לדוח המבקר כי צהל מודה למבקר המדינה על ביקורת זו ומתייחס בכובד ראש לממצאיה. מרבית ההמלצות בנושא ניהול ואבטחת המידע הביומטרי התקבלו ונבחנו בצהל והגופים הרלוונטיים החלו ביישומן.מאגר המידע הצבאי והמערכות המצוינות בדוח נמצאים בתוך הרשת הצהלית המסווגת ואינם נגישים לגורמים חיצוניים או חשופים לגורמי שאינם מורשים לכך בתוך צהל. עם קבלת ממצאי הדוח, הותנעו מספר תהליכים לשיפור אבטחת מאגר המידע הביומטרי והשימוש בו.ממשרד התחבורה נמסר בתגובה: המשרד עשה קפיצת מדרגה משמעותית בתחום הגנת הסייבר. לראשונה, הוקם מרכז לניטור אירועי אבטחת מידע בענף התחבורה (SOC מגזרי), לקבלת תמונת מצב ענפית. המרכז כולל חיבור של כל הגורמים המרכזיים הפועלים בענף, לרבות המשרד, חברות התשתית הממשלתיות, נמלים, רכבת, מפעילי התחבורה הציבורית, חברות זכייניות, ספקים ועוד. רוב הגופים כבר בשלבי התחברות, ומזרימים מידע ל-SOC. כך מתאפשר לזהות ניסיונות תקיפה פוטנציאליים, ולהתריע מפני חשיפה אפשרית לגופים דומים, שתסייע להם להיערך ולהתגונן.בנוסף, הוביל המשרד בשנה החולפת חקיקה מהפכנית לרכב האוטונומי, המאפשרת לבצע ניסויים ברכב ללא נהג והסעת נוסעים. בחוק שולבו דרישות סייבר מחמירות וסמכויות אכיפה ובקרה משרד. יתר על כן, הוקם בבאר שבע מרכז סייבר לאומי לתחבורה חכמה, בשיתוף מערך הסייבר הלאומי וחברות מובילות במשק. המרכז יאפשר למשרד לבצע בדיקות ולבחון את רמת הגנת הסייבר ברכבים, ברכבות, ברמזורים חכמים ועוד. המשרד מקצה משאבים חסרי-תקדים בפיתוח יכולות הגנת סייבר, הכוללות תשתיות טכנולוגיות, ביצוע בדיקות ובקרות, הון אנושי (עובדי משרד ומומחים חיצוניים), ופיתוח תהליכים ותול במקרי מתקפות סייבר.בנוגע לביקורת על מרכזי ניהול ובקרת תנועה המופעלים ומתוקצבים על ידי הרשויות המקומיות - נבקש להדגיש, כי למשרד אין סמכות הנחייה בנושא סייבר על המרכזים הללו, מאחר שסמכות רשות התמרור המקומית הואצלה לרשויות המקומיות.