פרשנות | השלטון המקומי אינו ערוך למתקפות סייבר
לימור גרוסמן, מומחית סייבר וסמנכ"לית השיווק בסלסטיה טוענת כי השלטון המקומי אינו ערוך למתקפות סייבר | 64% מהרשויות המקומיות אין להן נוהל אבטחת מידע, 49% מהרשויות המקומיות לא ביצעו מבדקי חדירה בשנים 2019-2021
ישראל דיפנס
| 30/03/2023
לימור גרוסמן | צילום: דני שביט
נדמה שבשנת 2022 נכנס מגזר העיריות והרשויות המקומיות בישראל אל תוך הכוונת של פצחני העולם. אירוע רדף אירוע, ולהלן רשימה חלקית: ביוני אשתקד מתקפת סייבר, איראנית על פי החשד, הפעילה מערכות חירום של עיריות ירושלים ואילת אשר גרמו לאזעקות שווא בשטחיהן;
ביולי הצליחה קבוצת האקרים להשבית את אתרי עיריות תל אביב וירושלים; עוד ביולי – קבוצת האקרים חשפה שממשק השליטה והבקרה במערכת הביוב של עיריית אור עקיבא הייתה חשופה לחלוטין ברשת.
אם לא היה די לנו במקרים שפורסמו בתקשורת, אז הגיע דו"ח מבקר המדינה, שהתפרסם שנה שעברה, והראה תמונת מצב עגומה בכול הנוגע להגנת הסייבר של השלטון המקומי. בדו"ח נכתב בצורה חד משמעית כי "מערכות המידע שלהן הפכו למוקד של עניין עבור פצחנים (האקרים) ופושעי סייבר".
בדו"ח נמצא כי 64% מהרשויות המקומיות אין להן נוהל אבטחת מידע, 49% מהרשויות המקומיות לא ביצעו מבדקי חדירה בשנים 2019-2021, 41% מהרשויות המקומיות חוו אירועי סייבר בשנים 2019-2021 (כאלה שצלחו או לא צלחו), וכי ל-34% מהרשויות אין מנהל או ממונה אבטחת מידע. ללא ספק, תמרור האזהרה מהבהב מעל תחום שמירת הסייבר והפרטיות בשלטון המקומי.
אחד הנושאים עליהם נתן את הדעת מבקר המדינה הוא הנושא של תרגול העובדים בשלטון המקומי מפני סכנות הסייבר. בדו"ח הביקורת נכתב בצורה מפורשת כי "משרד מבקר המדינה מציין לחיוב את רשות ב' ורשות ז' (כך במקור, על מנת לא לחשוף את שמות הרשויות – ל"ג) על שביצעו עבור העובדים תרגילים שוטפים בנושא אבטחת מידע באופן המעלה את מודעותם לנושא ומשפר את אבטחת המידע ברשות" – בבחינת יוצא מהכלל אשר מעיד על הכלל.
על כך הוסיף משרד מבקר המדינה כי "על הרשויות המקומיות לקבוע תכנית הדרכה בנושא אבטחת מידע וההוראות והכללים החלים בנושא ולתעד את קיום ההדרכות באופן שיאפשר מעקב אחר ביצוען ובקרה בנושא".
הסיבה לדגש אותו שם משרד מבקר המדינה בנושא מודעות העובדים לנושא אבטחת המידע נוגע בעיקר בשיעור הגבוה של מתקפות הנובעות בתקיפה של המימד האנושי. כך לדוגמא, עולה מהנתונים הנמסרים בדו"ח כי בין השנים 2019 ועד 2021 שיעור המתקפות שדווח על ידי עיריות שמקורן בדיוג (פישינג) עמד על 19% מכלל התקיפות שדווחו, וכי זהו וקטור התקיפה הנפוץ ביותר כנגד עיריות ומועצות בישראל.
הנה שלוש הנחות יסוד: הראשונה, מספר העובדים ברשויות המקומיות מוערך בלמעלה מ-100 אלף עובדים, וכיום רבים מהם מחוברים באמצעות מחשב או טלפון חכם לרשת הארגונית; השנייה, וקטור התקיפה המועדף על הפצחנים בתקיפת השלטון המקומי הוא באמצעות פישינג;
והשלישית, אין מספיק מודעות בקרב העובדים בשלטון המקומי, כמו גם אין מספיק פעילות הסברה המאורגנת על ידי הרשות המקומית. התוצאה היא אחת – שטח פעולה נרחב ביותר עבור הפצחנים לתקיפה של סקטור העיריות והמועצות בישראל.
חשוב לזכור, מתקפת סייבר כנגד רשויות מקומיות יכולה לפגוע ולחשוף במאגרי מידע המנוהלים על ידי הרשות המכילים מידע אישי, מידע רפואי, מידע פיננסי, ועוד. מוטלת על הרשויות המקומיות החובה למנוע את דליפתם של נתונים ומידע ממאגרי המידע, למנוע חשיפתם לגורמים שאינם מורשים, ולמנוע פגיעה ביכולת של הרשות המקומית לקיים רציפות תפקודית של פעילותה השוטפת – בשגרה ובחירום.
מסיבה זו ראוי שיתקיים מהלך אסטרטגי כולל לסגור את הפרצות הקיימות היום בקרב עובדי הרשויות המקומיות. זו צריכה להיות תכנית לאומית, לגישור פערי ידע בקרב העובדים בכול הנוגע לסכנות הקיימות במרחב הוירטואלי-קיברנטי.
המאמץ הזה חייב לכלול סימולציות של מתקפות אמת, תכנית עבודה שנתית, ומדידה תקנית של התוצאות. המהלך הזה ראוי שיקיף את כלל הרשויות המקומיות בארץ, והוא צריך להיות מתוקצב על ידי המדינה בצורה נאותה, כפי שפועלים במסגרת של מאמץ לאומי כולל.
חייבים לשנות כאן דיסקט – שיפור התנהלות העובדים במרחב הסייבר אינו מותרות, אלא מדובר על אקט הכרחי בשנות ה-20 של המאה ה-21. אחרת, נמשיך לשמוע חדשות מעת לעת על פריצות סייבר לעיריות ורשויות מקומיות, ומעבר לכך – חס וחלילה נוכל גם להגיע למצבים בהם נחזה בפגיעה בחוסנו של העורף וביכולתו לתפקד בשעת חירום.
לימור גרוסמן, מומחית סייבר וסמנכ"לית השיווק בסלסטיה (Celestya), מפתחת ומשווקת של סוויטת Q-Log וHuman SIEM- לניתוח אירועי סייבר ברמת הגורם האנושי, ושיפור התנהלות עובדים במרחב הקיברנטי
לימור גרוסמן, מומחית סייבר וסמנכ"לית השיווק בסלסטיה טוענת כי השלטון המקומי אינו ערוך למתקפות סייבר | 64% מהרשויות המקומיות אין להן נוהל אבטחת מידע, 49% מהרשויות המקומיות לא ביצעו מבדקי חדירה בשנים 2019-2021
לימור גרוסמן | צילום: דני שביט
נדמה שבשנת 2022 נכנס מגזר העיריות והרשויות המקומיות בישראל אל תוך הכוונת של פצחני העולם. אירוע רדף אירוע, ולהלן רשימה חלקית: ביוני אשתקד מתקפת סייבר, איראנית על פי החשד, הפעילה מערכות חירום של עיריות ירושלים ואילת אשר גרמו לאזעקות שווא בשטחיהן;
ביולי הצליחה קבוצת האקרים להשבית את אתרי עיריות תל אביב וירושלים; עוד ביולי – קבוצת האקרים חשפה שממשק השליטה והבקרה במערכת הביוב של עיריית אור עקיבא הייתה חשופה לחלוטין ברשת.
אם לא היה די לנו במקרים שפורסמו בתקשורת, אז הגיע דו"ח מבקר המדינה, שהתפרסם שנה שעברה, והראה תמונת מצב עגומה בכול הנוגע להגנת הסייבר של השלטון המקומי. בדו"ח נכתב בצורה חד משמעית כי "מערכות המידע שלהן הפכו למוקד של עניין עבור פצחנים (האקרים) ופושעי סייבר".
בדו"ח נמצא כי 64% מהרשויות המקומיות אין להן נוהל אבטחת מידע, 49% מהרשויות המקומיות לא ביצעו מבדקי חדירה בשנים 2019-2021, 41% מהרשויות המקומיות חוו אירועי סייבר בשנים 2019-2021 (כאלה שצלחו או לא צלחו), וכי ל-34% מהרשויות אין מנהל או ממונה אבטחת מידע. ללא ספק, תמרור האזהרה מהבהב מעל תחום שמירת הסייבר והפרטיות בשלטון המקומי.
אחד הנושאים עליהם נתן את הדעת מבקר המדינה הוא הנושא של תרגול העובדים בשלטון המקומי מפני סכנות הסייבר. בדו"ח הביקורת נכתב בצורה מפורשת כי "משרד מבקר המדינה מציין לחיוב את רשות ב' ורשות ז' (כך במקור, על מנת לא לחשוף את שמות הרשויות – ל"ג) על שביצעו עבור העובדים תרגילים שוטפים בנושא אבטחת מידע באופן המעלה את מודעותם לנושא ומשפר את אבטחת המידע ברשות" – בבחינת יוצא מהכלל אשר מעיד על הכלל.
על כך הוסיף משרד מבקר המדינה כי "על הרשויות המקומיות לקבוע תכנית הדרכה בנושא אבטחת מידע וההוראות והכללים החלים בנושא ולתעד את קיום ההדרכות באופן שיאפשר מעקב אחר ביצוען ובקרה בנושא".
הסיבה לדגש אותו שם משרד מבקר המדינה בנושא מודעות העובדים לנושא אבטחת המידע נוגע בעיקר בשיעור הגבוה של מתקפות הנובעות בתקיפה של המימד האנושי. כך לדוגמא, עולה מהנתונים הנמסרים בדו"ח כי בין השנים 2019 ועד 2021 שיעור המתקפות שדווח על ידי עיריות שמקורן בדיוג (פישינג) עמד על 19% מכלל התקיפות שדווחו, וכי זהו וקטור התקיפה הנפוץ ביותר כנגד עיריות ומועצות בישראל.
הנה שלוש הנחות יסוד: הראשונה, מספר העובדים ברשויות המקומיות מוערך בלמעלה מ-100 אלף עובדים, וכיום רבים מהם מחוברים באמצעות מחשב או טלפון חכם לרשת הארגונית; השנייה, וקטור התקיפה המועדף על הפצחנים בתקיפת השלטון המקומי הוא באמצעות פישינג;
והשלישית, אין מספיק מודעות בקרב העובדים בשלטון המקומי, כמו גם אין מספיק פעילות הסברה המאורגנת על ידי הרשות המקומית. התוצאה היא אחת – שטח פעולה נרחב ביותר עבור הפצחנים לתקיפה של סקטור העיריות והמועצות בישראל.
חשוב לזכור, מתקפת סייבר כנגד רשויות מקומיות יכולה לפגוע ולחשוף במאגרי מידע המנוהלים על ידי הרשות המכילים מידע אישי, מידע רפואי, מידע פיננסי, ועוד. מוטלת על הרשויות המקומיות החובה למנוע את דליפתם של נתונים ומידע ממאגרי המידע, למנוע חשיפתם לגורמים שאינם מורשים, ולמנוע פגיעה ביכולת של הרשות המקומית לקיים רציפות תפקודית של פעילותה השוטפת – בשגרה ובחירום.
מסיבה זו ראוי שיתקיים מהלך אסטרטגי כולל לסגור את הפרצות הקיימות היום בקרב עובדי הרשויות המקומיות. זו צריכה להיות תכנית לאומית, לגישור פערי ידע בקרב העובדים בכול הנוגע לסכנות הקיימות במרחב הוירטואלי-קיברנטי.
המאמץ הזה חייב לכלול סימולציות של מתקפות אמת, תכנית עבודה שנתית, ומדידה תקנית של התוצאות. המהלך הזה ראוי שיקיף את כלל הרשויות המקומיות בארץ, והוא צריך להיות מתוקצב על ידי המדינה בצורה נאותה, כפי שפועלים במסגרת של מאמץ לאומי כולל.
חייבים לשנות כאן דיסקט – שיפור התנהלות העובדים במרחב הסייבר אינו מותרות, אלא מדובר על אקט הכרחי בשנות ה-20 של המאה ה-21. אחרת, נמשיך לשמוע חדשות מעת לעת על פריצות סייבר לעיריות ורשויות מקומיות, ומעבר לכך – חס וחלילה נוכל גם להגיע למצבים בהם נחזה בפגיעה בחוסנו של העורף וביכולתו לתפקד בשעת חירום.
לימור גרוסמן, מומחית סייבר וסמנכ"לית השיווק בסלסטיה (Celestya), מפתחת ומשווקת של סוויטת Q-Log וHuman SIEM- לניתוח אירועי סייבר ברמת הגורם האנושי, ושיפור התנהלות עובדים במרחב הקיברנטי
