בקרוב: מדד חוסן סייבר לרשויות מקומיות בישראל
אל"מ (מיל') אלי רגב, ראש מנהל החירום במשרד הפנים, מסביר איך המשרד פועל בתחום הסייבר, למה צריך לעבור לאשכולות ומדוע אין רגולטור סייבר לרשויות מקומיות. מיוחד
עמי רוחקס דומבה
| 02/11/2020
אלי רגב. צילום: יח"צ ירכא
מנהל החירום במשרד הפנים אחראי, בין היתר, גם על אבטחת הסייבר של המשרד ושל 257 הרשויות המקומיות הכפופות אליו. על מנהל החירום אחראי אל"מ (מיל') אלי רגב, המשמש גם כיו"ר הועדה הקרואה בירכא. המשרד אינו מוגדר דה-פקטו כרגולטור סייבר של הרשויות המקומיות היות ועדיין אין חקיקה תומכת (חוק הסייבר). עם זאת, המשרד נוקט במספר פעולות לתמוך ככל הניתן ברשויות בהיבט זה.
החשש: מתקפת סייבר שתשתק רשות מקומית
"מנהל החירום הוא אחד מארבעה מנהלים במשרד הפנים. שלטון מקומי, פיתוח, חירום ותכנון (שחזר לאחרונה מהאוצר לפנים)", מסביר רגב בראיון מיוחד לאתר ישראל דיפנס. "המנהל אמון על הכנת רשויות מקומיות לחירום לכל התרחישים. החל ממגיפה, עימות צבאי, רעידות אדמה. לטפל במתן קורת גג להומלסים בעת אסון. הכנה למאות אלפי אנשים כולל מחסנים, תשתיות ותורת הפעלה מול רשויות מקומיות.
"המנהל עובד בשיתוף פעולה עם רח"ל, פקע"ר והממשלה. המנהל אחראי מקצועית על הקב"טים ברשויות מקומיות. ההכשרה שלהם, ועדות המינוי שלהם, בניה של מחלקות חירום ברשויות מקומיות ועוד. ישנו אגף נוסף שעסוק ברגולציה של מפעלים ביטחוניים בישראל. מפעל לא יכול לייצר כלום אלא אם יש לו רישוי עסק. אנחנו מפקחים עליו בהיבטים של רעידות אדמה ועוד."
כחלק מתרחישי הייחוס, המנהל מתכונן גם למתקפת סייבר שתשתק רשות מקומית, או תשתית קריטית שפועלת ברשות מקומית. "לפני כשלוש שנים הוקם אגף סייבר חדש במנהל שנותן שירות בניין כוח לרשויות המקומיות. הכנה של הרשויות. הגדרנו מדדי חוסן לכל רשות, מיפינו פערים בסייבר לכל רשות, עובדים עם המנמ"רים של כל הרשויות, מכוונים אותם לכתיבת מכרזים בתחום. אנחנו גם מתקצבים את בניין הכוח בסייבר במליוני ש"ח בשנה", אומר רגב.
אחת השאלות בהקשר רכש היא האם רשות מקומית כפופה למחירי חשכ"ל? ובכן, רגב מסביר כי הרשויות המקומיות אינן כפופות לחשכ"ל. "אנחנו מכוונים את הרשות למה היא צריכה לקנות. איננו קובעים לה את המוצר או היצרן, אלא את האיפיון של מה המוצר צריך לעשות. הרשות רוכשת לפי המאפיינים שלנו. רשויות מקומיות אינן כפופות לחשכ"ל כמו משרדי ממשלה, לכן ייתכן ותראה מחירים דיפרנציאלים של אותו מוצר לרשות ולמשרד ממשלתי.", מסביר רגב.
"המנהל גם מאמן את הרשויות המקומיות בהקשר הסייבר. שנה שעברה היה תרגיל סייבר ארצי אליו הצטרפו 35 רשויות מקומיות בישראל. לבחון את רמת המוכנות שלהן. המנהל מורכב מארבעה אנשים במיקור חוץ, כולם מהנדסים בתחום התוכנה. אני מתקצב את הפעילות שלהם, את השכר ואת תכנית העבודה. הידע המקצועי שלהם."
אבא עשיר, אבא עני
כאמור, בישראל יש 257 רשויות מקומיות. לא כולן עשירות באותה מידה. למה זה חשוב? מכיוון שהאיתנות הפיננסית מכתיבה לעיתים את אפקטיביות מערך הסייבר של הרשות. מנמ"ר טוב, עם ניסיון ואמביציה, שרוצים להביא מהשוק העסקי - עולה בהתאם. לא כל רשות יכולה לממן אחד כזה. גם ציוד הגנה בסייבר (חומרה, תוכנה, שירותי ענן) עולה כסף. הרבה ממנו.
"אנחנו במנהל מתקצבים את רכש ציוד ההגנה לרשות. אם לרשות יש כסף, היא יכולה להוסיף על המימון שלנו כאוות נפשה", מסביר רגב. "רשות עשירה בונה יכולות עצמיות. אך נעזרת בנו איפה שניתן. הנחיות, הבהרות, סיוע. אנחנו הכתובת כמוקד ידע מקצועי. ראש הרשות יכול לקבל החלטה לרכוש מה שהוא רוצה לפי התקציב שלו. הרשות עצמה, כולל ראש הרשות, משתתפים בתרגילים שלנו. גם מערך הסייבר נשען עלינו בטיפול ברשויות מקומיות", מסביר רגב.
מדוע לא הקמתם חמ"ל סייבר ייעודי לשלטון המקומי?
"רצינו להקים על מנת לנטר את הרשויות בזמן אמת בהליך מניעתי. ביקשנו להקים כזה. עם זאת, בחנו את המציאות, וראינו כי כ-80 אחוזים מהתעבורה לאינטרנט של כלל הרשויות עוברת בין ארבע חברות מובילות שנותנות להן שירותי ענן. למשל, החברה לאוטומציה. כלומר, אם אני מנטר הגופים האלו, אני מנטר למעשה כמעט את כל התעבורה. היום התשתית הזו קיימת, אך אינה מנוטרת. אנחנו בדין ודברים יחד עם השלטון המקומי. ממתינים לתקציב 2021. מאישור התקציב, יקח כשנה עבודה ליישם זאת בפועל", אומר רגב.
מה לגבי התאוששות מאסון של הרשות?
"האחריות הזו אצל ראש הרשות. אנחנו מכתיבים נהלים, הוא מבצע. במשרד הפנים, לפני כשנתיים, עשינו תכנית BCP למערכות המשרד. אנחנו עדיין לא רגולטור היות וממתינים לחקיקה מתאימה. במציאות, אין גורם אוכף בהיבטי סייבר על ראשי רשויות, פרט לנושאים המעוגנים בחקיקה כמו הגנת פרטיות", מוסיף רגב.
שבוע מודעות סייבר
הראיון עם רגב מתנהל כאשר ברקע מערך הסייבר עם גורמים נוספים, כולל משרד הפנים, מריצים שבוע מודעות להגנה בסייבר. "עשינו במהלך השנתיים האחרונות הכשרות וכנסים בתחום הסייבר לרשויות", אומר רגב. "בנוסף, לקחנו אלפי כתובות מייל ויצרנו תרגילי פישינג. הפקנו סרטוני הדרכה ומודעות. במקרים אמיתיים שארעו ברשויות, כולל כופר ודליפות מידע, אנו חוקרים ומלמדים את המסקנות. בשבוע המודעות משתתפות כ70 רשויות גדולות שרצו להשתתף יחד איתנו. יש כאלו שעושות זאת באופן עצמאי באמצעות עלונים ופרסומים."
מראה, מראה שעל הקיר: מדד חוסן בסייבר
אחד היעדים של משרד הפנים, באמצעות מנהל החירום, הוא לבנות מדד חוסן-סייבר לכלל הרשויות המקומיות בישראל. רגב חושף כי עד היום נבנה מדד כזה ל-120 רשויות בארץ. עם זאת, לאחרונה שינו בו מספר פרמטרים, ולכן המדד טרם נחשף ציבורית. "שינינו לאחרונה את סרגל המדידה. המטרה להגיע ל150 רשויות. אני יכול לגלות שאחת הערים הטובות ביותר במדינת ישראל בהקשר הסייבר זו נצרת. יש בעירייה מנמ"ר עם שיגעון להגנה בסייבר. הוא מוביל את זה. אנחנו מובילים אותם עכשיו למבדקי ISO רלוונטים", אומר רגב.
"לצורך השוואה, נצרת ורעננה, על אף השוני בממד הפיננסי, שוות ערך במדד החוסן בסייבר. צריך לזכור כי תפיסת הסייבר ברשויות המקומיות שונה מגופים עסקיים. בטח מכאלו בעולם הפיננסי. ברשות מקומית בדרך כלל מטפלים בנושא אחרי שחוטפים מתקפה או אם יש מישהו משוגע לדבר.
"עוד נקודה שצריך לזכור, כי בעיני המדינה לא כל הרשויות עם אותו מדד סיכון. רשות מקומית המארחת תשתית קריטית, נחשבת בעצמה לתשתית קריטית. אם הרשות לא מתפקדת, התשתית הקריטית נפגעת. עם זאת, הרשויות הרלוונטיות עדיין לא הוכנסו תחת חקיקה להוראת השעה הרלוונטית כתשתיות קריטית. עם זאת, מול המערך אנחנו פועלים כאילו הרשות הוגדרה כתשתית קריטית. בהקשר זה יש שיתוף פעולה עם פיקוד העורף ורח"ל."
בעתיד: מעבר לאשכולות ושיפור המיקוד בסייבר
לקראת סיום הראיון, אני שואל את רגב מה האתגרים שלו, ושל משרד הפנים, לעתיד, בתחום הסייבר. ובכן, רגב מציין כי ראשית צריך להגדיר רגולטור סייבר לשלטון המקומי. "עם רגולטור תהיה הדרכה, הכוונה ואכיפה", אומר רגב. "עוד שינוי צריך להיות בכוח האדם שמטפל בסייבר. אנו נדרשים לעבור לתפיסה אזורית דרך אשכול רשויות, ולאו דווקא לתלות תקוות ברשות עצמה.
"האתגר הוא להטמיע את הסייבר ברשויות המקומיות. להעלות את המודעות של ראשי הרשויות. להקצות משאבים מתאימים ולגרום לקשב הניהולי הנדרש. באשכול יכולות להיות הרבה רשויות קטנות ועניות. יחד, האשכול הוא היבט אזורי. יש כבר פיילוט בגליל מערבי. רובד האשכולות צפוי להניב פירות. כיום ישנם 16 אשכולות המכסים כ40 אחוזים מהמדינה. אנחנו רוצים כ25 אשכולות שיאגדו את כלל הרשויות המקומיות. זה יהיה רובד נוסף בין השלטון המקומי לבין השלטון המרכזי. יש גם תכנית לחלק את האשכולות לחמישה מטרופולינים. כלומר מבנה שכבות - רשות, אשכול, מטרופולין, שלטון מרכזי.
"עוד היבט הוא אופרציונליזציה של מחוזות הממשלה. חוץ מפיקוד העורף ששייך לצה"ל, אף מחוז אינו אופרטיבי. באיטליה, כאשר יש רעידת אדמה, מושל המחוז לוקח אחריות, מקבל תחת פיקודו את נציגי הממשלה והוא מנהל את האירוע מהתחלה ועד הסוף, כולל השיקום. כל יתר המדינה ממשיכה לעבוד רגיל. זה המודל שצריך ללכת אליו.
"בקורונה מבינים שראשי הרשות הם הפתרון. הם מנהלים את האירוע. בעצמי התמודדתי בירכא והבאתי אותה להיות ירוקה. פעמיים. אפשר לעשות זאת. במסגרת הפיילוט באשכול גליל מערבי הקימו מחלקת תיאום עליה אמון קב"ט שאחראי על 13 קב"טים של הרשויות באשכול. לכל רשות יש קב"ט, והאשכול מקים יכולות אופרטיביות. ברמת הגולן לדוגמא, יש במסעדה כ60 רופאים ויש יישובים בהם יש לתושבים ג'יפים. אלו משאבים שהאשכול משקיע בהם לאורך השנה. רוכשים ציוד, תחזוקה, אימונים. וכאשר יש אירוע - האשכול עצמאי."
אל"מ (מיל') אלי רגב, ראש מנהל החירום במשרד הפנים, מסביר איך המשרד פועל בתחום הסייבר, למה צריך לעבור לאשכולות ומדוע אין רגולטור סייבר לרשויות מקומיות. מיוחד
אלי רגב. צילום: יח"צ ירכא
מנהל החירום במשרד הפנים אחראי, בין היתר, גם על אבטחת הסייבר של המשרד ושל 257 הרשויות המקומיות הכפופות אליו. על מנהל החירום אחראי אל"מ (מיל') אלי רגב, המשמש גם כיו"ר הועדה הקרואה בירכא. המשרד אינו מוגדר דה-פקטו כרגולטור סייבר של הרשויות המקומיות היות ועדיין אין חקיקה תומכת (חוק הסייבר). עם זאת, המשרד נוקט במספר פעולות לתמוך ככל הניתן ברשויות בהיבט זה.
החשש: מתקפת סייבר שתשתק רשות מקומית
"מנהל החירום הוא אחד מארבעה מנהלים במשרד הפנים. שלטון מקומי, פיתוח, חירום ותכנון (שחזר לאחרונה מהאוצר לפנים)", מסביר רגב בראיון מיוחד לאתר ישראל דיפנס. "המנהל אמון על הכנת רשויות מקומיות לחירום לכל התרחישים. החל ממגיפה, עימות צבאי, רעידות אדמה. לטפל במתן קורת גג להומלסים בעת אסון. הכנה למאות אלפי אנשים כולל מחסנים, תשתיות ותורת הפעלה מול רשויות מקומיות.
"המנהל עובד בשיתוף פעולה עם רח"ל, פקע"ר והממשלה. המנהל אחראי מקצועית על הקב"טים ברשויות מקומיות. ההכשרה שלהם, ועדות המינוי שלהם, בניה של מחלקות חירום ברשויות מקומיות ועוד. ישנו אגף נוסף שעסוק ברגולציה של מפעלים ביטחוניים בישראל. מפעל לא יכול לייצר כלום אלא אם יש לו רישוי עסק. אנחנו מפקחים עליו בהיבטים של רעידות אדמה ועוד."
כחלק מתרחישי הייחוס, המנהל מתכונן גם למתקפת סייבר שתשתק רשות מקומית, או תשתית קריטית שפועלת ברשות מקומית. "לפני כשלוש שנים הוקם אגף סייבר חדש במנהל שנותן שירות בניין כוח לרשויות המקומיות. הכנה של הרשויות. הגדרנו מדדי חוסן לכל רשות, מיפינו פערים בסייבר לכל רשות, עובדים עם המנמ"רים של כל הרשויות, מכוונים אותם לכתיבת מכרזים בתחום. אנחנו גם מתקצבים את בניין הכוח בסייבר במליוני ש"ח בשנה", אומר רגב.
אחת השאלות בהקשר רכש היא האם רשות מקומית כפופה למחירי חשכ"ל? ובכן, רגב מסביר כי הרשויות המקומיות אינן כפופות לחשכ"ל. "אנחנו מכוונים את הרשות למה היא צריכה לקנות. איננו קובעים לה את המוצר או היצרן, אלא את האיפיון של מה המוצר צריך לעשות. הרשות רוכשת לפי המאפיינים שלנו. רשויות מקומיות אינן כפופות לחשכ"ל כמו משרדי ממשלה, לכן ייתכן ותראה מחירים דיפרנציאלים של אותו מוצר לרשות ולמשרד ממשלתי.", מסביר רגב.
"המנהל גם מאמן את הרשויות המקומיות בהקשר הסייבר. שנה שעברה היה תרגיל סייבר ארצי אליו הצטרפו 35 רשויות מקומיות בישראל. לבחון את רמת המוכנות שלהן. המנהל מורכב מארבעה אנשים במיקור חוץ, כולם מהנדסים בתחום התוכנה. אני מתקצב את הפעילות שלהם, את השכר ואת תכנית העבודה. הידע המקצועי שלהם."
אבא עשיר, אבא עני
כאמור, בישראל יש 257 רשויות מקומיות. לא כולן עשירות באותה מידה. למה זה חשוב? מכיוון שהאיתנות הפיננסית מכתיבה לעיתים את אפקטיביות מערך הסייבר של הרשות. מנמ"ר טוב, עם ניסיון ואמביציה, שרוצים להביא מהשוק העסקי - עולה בהתאם. לא כל רשות יכולה לממן אחד כזה. גם ציוד הגנה בסייבר (חומרה, תוכנה, שירותי ענן) עולה כסף. הרבה ממנו.
"אנחנו במנהל מתקצבים את רכש ציוד ההגנה לרשות. אם לרשות יש כסף, היא יכולה להוסיף על המימון שלנו כאוות נפשה", מסביר רגב. "רשות עשירה בונה יכולות עצמיות. אך נעזרת בנו איפה שניתן. הנחיות, הבהרות, סיוע. אנחנו הכתובת כמוקד ידע מקצועי. ראש הרשות יכול לקבל החלטה לרכוש מה שהוא רוצה לפי התקציב שלו. הרשות עצמה, כולל ראש הרשות, משתתפים בתרגילים שלנו. גם מערך הסייבר נשען עלינו בטיפול ברשויות מקומיות", מסביר רגב.
מדוע לא הקמתם חמ"ל סייבר ייעודי לשלטון המקומי?
"רצינו להקים על מנת לנטר את הרשויות בזמן אמת בהליך מניעתי. ביקשנו להקים כזה. עם זאת, בחנו את המציאות, וראינו כי כ-80 אחוזים מהתעבורה לאינטרנט של כלל הרשויות עוברת בין ארבע חברות מובילות שנותנות להן שירותי ענן. למשל, החברה לאוטומציה. כלומר, אם אני מנטר הגופים האלו, אני מנטר למעשה כמעט את כל התעבורה. היום התשתית הזו קיימת, אך אינה מנוטרת. אנחנו בדין ודברים יחד עם השלטון המקומי. ממתינים לתקציב 2021. מאישור התקציב, יקח כשנה עבודה ליישם זאת בפועל", אומר רגב.
מה לגבי התאוששות מאסון של הרשות?
"האחריות הזו אצל ראש הרשות. אנחנו מכתיבים נהלים, הוא מבצע. במשרד הפנים, לפני כשנתיים, עשינו תכנית BCP למערכות המשרד. אנחנו עדיין לא רגולטור היות וממתינים לחקיקה מתאימה. במציאות, אין גורם אוכף בהיבטי סייבר על ראשי רשויות, פרט לנושאים המעוגנים בחקיקה כמו הגנת פרטיות", מוסיף רגב.
שבוע מודעות סייבר
הראיון עם רגב מתנהל כאשר ברקע מערך הסייבר עם גורמים נוספים, כולל משרד הפנים, מריצים שבוע מודעות להגנה בסייבר. "עשינו במהלך השנתיים האחרונות הכשרות וכנסים בתחום הסייבר לרשויות", אומר רגב. "בנוסף, לקחנו אלפי כתובות מייל ויצרנו תרגילי פישינג. הפקנו סרטוני הדרכה ומודעות. במקרים אמיתיים שארעו ברשויות, כולל כופר ודליפות מידע, אנו חוקרים ומלמדים את המסקנות. בשבוע המודעות משתתפות כ70 רשויות גדולות שרצו להשתתף יחד איתנו. יש כאלו שעושות זאת באופן עצמאי באמצעות עלונים ופרסומים."
מראה, מראה שעל הקיר: מדד חוסן בסייבר
אחד היעדים של משרד הפנים, באמצעות מנהל החירום, הוא לבנות מדד חוסן-סייבר לכלל הרשויות המקומיות בישראל. רגב חושף כי עד היום נבנה מדד כזה ל-120 רשויות בארץ. עם זאת, לאחרונה שינו בו מספר פרמטרים, ולכן המדד טרם נחשף ציבורית. "שינינו לאחרונה את סרגל המדידה. המטרה להגיע ל150 רשויות. אני יכול לגלות שאחת הערים הטובות ביותר במדינת ישראל בהקשר הסייבר זו נצרת. יש בעירייה מנמ"ר עם שיגעון להגנה בסייבר. הוא מוביל את זה. אנחנו מובילים אותם עכשיו למבדקי ISO רלוונטים", אומר רגב.
"לצורך השוואה, נצרת ורעננה, על אף השוני בממד הפיננסי, שוות ערך במדד החוסן בסייבר. צריך לזכור כי תפיסת הסייבר ברשויות המקומיות שונה מגופים עסקיים. בטח מכאלו בעולם הפיננסי. ברשות מקומית בדרך כלל מטפלים בנושא אחרי שחוטפים מתקפה או אם יש מישהו משוגע לדבר.
"עוד נקודה שצריך לזכור, כי בעיני המדינה לא כל הרשויות עם אותו מדד סיכון. רשות מקומית המארחת תשתית קריטית, נחשבת בעצמה לתשתית קריטית. אם הרשות לא מתפקדת, התשתית הקריטית נפגעת. עם זאת, הרשויות הרלוונטיות עדיין לא הוכנסו תחת חקיקה להוראת השעה הרלוונטית כתשתיות קריטית. עם זאת, מול המערך אנחנו פועלים כאילו הרשות הוגדרה כתשתית קריטית. בהקשר זה יש שיתוף פעולה עם פיקוד העורף ורח"ל."
בעתיד: מעבר לאשכולות ושיפור המיקוד בסייבר
לקראת סיום הראיון, אני שואל את רגב מה האתגרים שלו, ושל משרד הפנים, לעתיד, בתחום הסייבר. ובכן, רגב מציין כי ראשית צריך להגדיר רגולטור סייבר לשלטון המקומי. "עם רגולטור תהיה הדרכה, הכוונה ואכיפה", אומר רגב. "עוד שינוי צריך להיות בכוח האדם שמטפל בסייבר. אנו נדרשים לעבור לתפיסה אזורית דרך אשכול רשויות, ולאו דווקא לתלות תקוות ברשות עצמה.
"האתגר הוא להטמיע את הסייבר ברשויות המקומיות. להעלות את המודעות של ראשי הרשויות. להקצות משאבים מתאימים ולגרום לקשב הניהולי הנדרש. באשכול יכולות להיות הרבה רשויות קטנות ועניות. יחד, האשכול הוא היבט אזורי. יש כבר פיילוט בגליל מערבי. רובד האשכולות צפוי להניב פירות. כיום ישנם 16 אשכולות המכסים כ40 אחוזים מהמדינה. אנחנו רוצים כ25 אשכולות שיאגדו את כלל הרשויות המקומיות. זה יהיה רובד נוסף בין השלטון המקומי לבין השלטון המרכזי. יש גם תכנית לחלק את האשכולות לחמישה מטרופולינים. כלומר מבנה שכבות - רשות, אשכול, מטרופולין, שלטון מרכזי.
"עוד היבט הוא אופרציונליזציה של מחוזות הממשלה. חוץ מפיקוד העורף ששייך לצה"ל, אף מחוז אינו אופרטיבי. באיטליה, כאשר יש רעידת אדמה, מושל המחוז לוקח אחריות, מקבל תחת פיקודו את נציגי הממשלה והוא מנהל את האירוע מהתחלה ועד הסוף, כולל השיקום. כל יתר המדינה ממשיכה לעבוד רגיל. זה המודל שצריך ללכת אליו.
"בקורונה מבינים שראשי הרשות הם הפתרון. הם מנהלים את האירוע. בעצמי התמודדתי בירכא והבאתי אותה להיות ירוקה. פעמיים. אפשר לעשות זאת. במסגרת הפיילוט באשכול גליל מערבי הקימו מחלקת תיאום עליה אמון קב"ט שאחראי על 13 קב"טים של הרשויות באשכול. לכל רשות יש קב"ט, והאשכול מקים יכולות אופרטיביות. ברמת הגולן לדוגמא, יש במסעדה כ60 רופאים ויש יישובים בהם יש לתושבים ג'יפים. אלו משאבים שהאשכול משקיע בהם לאורך השנה. רוכשים ציוד, תחזוקה, אימונים. וכאשר יש אירוע - האשכול עצמאי."
