מבקר המדינה פרסם היום (שלישי) אחר הצהריים דוח מיוחד העוסק בהגנה על מאגרי המידע שיש על אזרחי ישראל, בפרק שעוסק באיומי הסייבר על תחבורה, אנגלמן מדגיש כי ככל שתשתית מסוימת חיונית יותר לחיי היום-יום של התושבים, כך היא מושכת יותר את התוקפים. פגיעות כאלו עלולות לגרום לשיבושים בתפקודה התקין ואף להשבתתה המלאה, לפגיעה כלכלית ניכרת ולפגיעה בחיי אדם.

המבקר הוסיף כי בשנים האחרונות קיימת עלייה חדה במספרם ובחומרתם של אירועי סייבר המשבשים את פעילותם התקינה של ארגונים בארץ ובעולם. למרות העלייה הניכרת ולמרות הסכנות הרבות - אנגלמן מציין כי ישראל לא ערוכה לאיומי סייבר במגזר התחבורה.

כך למשל, בשנת 2021 ביצע משרד התחבורה ביקורות כדי לבחון את מידת עמידת חלק מהגופים בדרישות הסייבר. בביקורות נמצאו שורה של ליקויים רוחביים המחייבים טיפול מערכתי, אך המשרד לא ביצע מעקב אחר תיקון הליקויים שמצא בביקורות אלו.

בנוסף, משאבי כוח האדם והתקציב אינם מספיקים, כך שאין אפשרות לתת מענה לחלק מהאיומים. בשל היעדר המשאבים נמצאו משימות של אגף הסייבר שלא בוצעו, ובהן בניית יכולת התערבות באירועי סייבר, הרחבת הביקורות בגופי המגזר וליווי הגופים בתיקון ליקויים חמורים. לדברי מבקר המדינה, ממצאי דוח זה משקפים בעיה מבנית ותפקודית יסודית בכל הנוגע להערכות של מדינת ישראל לאיומי הסייבר במגזר התחבורה.

המבקר אנגלמן כתב כי ממצאי פרק זה משקפים בעיה מבנית ותפקודית יסודית בכל הנוגע להיערכות של מדינת ישראל לאיומי הסייבר במגזר התחבורה.
בביקורת נמצא כי חסרה הסדרת תחומי האחריות והסמכות של מערך הסייבר ומשרד התחבורה בכל הנוגע לגופים שאינם תשתית מדינה קריטיות (תמ"ק); משרד התחבורה אחראי לפעילויות המגזר אולם אין בידיו תמונה מלאה של מצב ההגנה של הגופים בו; אין הלימה בין האיומים והמענים להם במגזר כולו לבין המשאבים של משרד התחבורה; חסרות דרישות סייבר בהתקשרויות בחלק ניכר מהפעילויות וחסרה הקצאת המשאבים הנדרשים לכך על ידי הגופים.
המבקר העיר כי הבעיה התפקודית והמבנית שהועלתה בדוח זה עשויה להיות רלוונטית למגזרים גדולים נוספים, ולכן טיפול מערכתי בנושאים אלו עשוי לשפר את מוכנות המשק והמגזרים הגדולים הפועלים בו להתמודד עם אירועי סייבר.

בדוח נכתב עוד כי במסגרת הביקורת בוצע מבדק חדירה על ידי צוות הביקורת במערכות בתחום התחבורה בעירייה מסוימת. המבקר הדגיש כי חשיבותה של פעולה חדשנית זו, שיושמה לראשונה בדוח ביקורת של משרד מבקר המדינה, בכך שהיא מאפשרת להעריך את מוכנותו האמיתית של הגוף לעמוד בפני התקפות סייבר, באמצעות שימוש בכלים החושפים חולשות אבטחה בסביבת העבודה התפעולית של הגוף ולסייע בכך באופן מעשי וממשי לשיפור רמת ההגנה של הגופים המבוקרים.

במהלך מבדק החדירה והתשאול, שהתבצעו בעירייה ששמה לא פורסם, זוהו 16 ממצאים משמעותיים בתחומים הבאים: ניהול משתמשים והרשאות; תיעוד וניטור; בקרת גישה לרשת; הגנת עמדות ושרתים; סגמנטציה ובקרת זרימה; עדכניות התכנה; ואבטחת הגישה. 11 מהממצאים היו ברמה המוגדרת חמורה מאוד ושלושה בדרגה חמורה. המבקר כתב כי ממצאים אלו הוצגו לעירייה כבר בדצמבר 2021 לצורך תיקון וטיפול בהם וחלקם תוקנו עד מועד סיום הביקורת.

בסוף הפרק, כתב המבקר כי על משרד התחבורה ועל מערך הסייבר לוודא כי תשתיות התחבורה, ובפרט התשתיות הקריטיות, מבצעות הערכת סיכונים באופן שוטף ומשפרות את מידת עמידתן בפני מתקפות סייבר אפשריות.

ממשרד התחבורה נמסר בתגובה: משרד התחבורה עשה קפיצת מדרגה משמעותית בתחום הגנת הסייבר. לראשונה, הוקם מרכז לניטור אירועי אבטחת מידע בענף התחבורה (SOC מגזרי), לקבלת תמונת מצב ענפית. המרכז כולל חיבור של כל הגורמים המרכזיים הפועלים בענף, לרבות המשרד, חברות התשתית הממשלתיות, נמלים, רכבת, מפעילי התחבורה הציבורית, חברות זכייניות, ספקים ועוד. רוב הגופים כבר בשלבי התחברות, ומזרימים מידע ל-SOC. כך מתאפשר לזהות ניסיונות תקיפה פוטנציאליים, ולהתריע מפני חשיפה אפשרית לגופים דומים, שתסייע להם להיערך ולהתגונן.
בנוסף, הוביל המשרד בשנה החולפת חקיקה מהפכנית לרכב האוטונומי, המאפשרת לבצע ניסויים ברכב ללא נהג והסעת נוסעים. בחוק שולבו דרישות סייבר מחמירות וסמכויות אכיפה ובקרה משרד.
יתר על כן, הוקם בבאר שבע מרכז סייבר לאומי לתחבורה חכמה, בשיתוף מערך הסייבר הלאומי וחברות מובילות במשק. המרכז יאפשר למשרד לבצע בדיקות ולבחון את רמת הגנת הסייבר ברכבים, ברכבות, ברמזורים חכמים ועוד.

המשרד מקצה משאבים חסרי-תקדים בפיתוח יכולות הגנת סייבר, הכוללות תשתיות טכנולוגיות, ביצוע בדיקות ובקרות, הון אנושי (עובדי משרד ומומחים חיצוניים), ופיתוח תהליכים ותו"ל במקרי מתקפות סייבר.

בנוגע לביקורת על מרכזי ניהול ובקרת תנועה המופעלים ומתוקצבים על ידי הרשויות המקומיות - נבקש להדגיש, כי למשרד אין סמכות הנחייה בנושא סייבר על המרכזים הללו, מאחר שסמכות רשות התמרור המקומית הואצלה לרשויות המקומיות.