בקרוב יתקבל פטור
מדינת ישראל נחשבת בעולם למעצמת סייבר, אבל מתברר שלעיתים "הסנדלר הולך יחף". ארגונים ומוסדות ציבוריים חשופים לא אחת לתקיפות הכרוכות בשיבוש הפעילות, אם במתכונת של דרישת כופר ואם בהעתקת מידע, הפצתו או שימוש זדוני בו. הרשויות המקומיות, החולשות על מאגרי מידע רגיש נרחבים, בקשר לתושביהם – מחינוך עד רווחה, מרישוי עסקים עד כרטיסי אשראי – עלולות להיות יעד להתנכלות סייבר. פירצה הקוראת להאקר לחדור לשבש את הפעילות ולדלות מידע רגיש. חלק מהרשויות המקומיות אכן התמודדו בשנה האחרונה עם פריצות וניסיונות פריצה למרחב הדיגיטלי שלהן, וניסיונות מעין אלו מתרחשים בתדירות גבוהה למדי . אף פעם לא ניתן לדאוג להגנה של מאה אחוז, אך אפשר בהחלט למזער את הסיכון. שרון היימן, מנהל הטכנולוגיות של מכרז המחשוב במשכ"ל, מונה מספר עקרונות יסוד בדרך לשם.
נקודת התורפה המשמעותית ביותר כלל לא נמצאת במחשב או ברשת – היא נטועה אצל כל אחד מאיתנו, בגורם האנושי. הדרך הקלאסית לחדור לארגון היא באמצעות משלוח של קישור זדוני לעובדים. מרגע שהפישינג (Fishing, או בעברית: דיוּג) צלח, מרגע שהלינק נפתח, התוקף כבר בפנים. הוא יכול להיות שם באופן פסיבי, לדלות את המידע הפנימי במשך שנים, או לנקוט פעולה זדונית אקטיבית. אומנם מערכות מתקדמות, שמחייבות השקעה מרובה, יודעות לאתר ולהתריע על ניסיונות חשודים, אבל רק עד גבול מסוים. בסופו של דבר, חומת האש היעילה ביותר היא מודעות, מודעות ושוב מודעות. היימן מדבר על הדרכות צמודות של צוות אבטחת המידע בקרב עובדי הרשות, השתלמויות, קמפיינים גלויים וסמויים ועל ניסיונות פריצה מבוימים (Penetration tests, מבדקי חדירוּת) כחלק משגרה קבועה אשר תעלה את המודעות ואת הצעדים הנדרשים למניעה.
כיום, הרגולציה מחויבת כל רשות מקומית לבצע סקר סיכונים אחת ל-18 חודשים. זהו כלי חיוני שנועד לחשוף פערים בתחום אבטחת המידע והאיומים בסייבר. עורך הסקר בוחן את האפקטיביות של כלי ההגנה, את איכות הבקרה השוטפת, את התרבות הארגונית, תהליכי העבודה ואת אופן שימור הנכסים בארגון, הן הדיגיטליים והן הפיזיים (לדוגמא: מה לא אמור להימצא חשוף ונגיש במחשב ואף על השולחן). בסיכומו של סקר הסיכונים מקבלת הרשות המקומית, ספר המלצות לתיקון הפערים שאותרו, לרבות העזרים הטכנולוגיים הנדרשים כדי למקסם את אבטחת המידע. הכלי הזה יכול גם לשמש את אנשי המפתח ברשות לבניית תכנית עבודה טכנולוגית ותקציבית מול מקבלי ההחלטות.
תחום הסייבר ברשויות המקומיות מצוי בעיצומו של תהליך אסדרה. הן בכל הקשור להקצאת משאבים ותקציבים והן בכל הקשור לחקיקה ותקינה. כיום הגופים האמונים על תהליכים אלו הינם משרד הפנים, מערך הסייבר הלאומי וגופים נוספים. היימן מזכיר מספר אירועי תקיפה גדולים שחוו באחרונה חברות מסחריות גדולות, ועשרות נוספים שמתרחשים כמעט מדי יום מבלי שהדבר מתפרסם בתקשורת. הוא מציין גם מספר פריצות שנרשמו בעבר הלא רחוק נגד רשויות מקומיות או חברות המספקות להן שירותים, ומביע תקווה שהאסדרה תושלם בהקדם כדי שניתן יהיה להיערך כראוי לאיומים ולמנוע נזקים ברמה המקומית והארצית .
כמו כמעט בכל תחומי חיינו, גם בסייבר, הקורונה היוותה ומהווה "GAME CHANGER". אם התגוננות מפני איומי סייבר בארגונים וברשויות מקומיות היוותה אתגר, הרי שהמעבר התקדימי לעבודה מהבית הכפיל אותו. כיום עובדים עושים שימוש במערכות המחשוב השונות מהמחשב הביתי, הטאבלט או הסמארטפון, כשלפחות חלק ממכשירים אלו לא עברו את ה"הקשחות" הנדרשות ולא צוידו ברכיבי האבטחה המצויים בדרך כלל במשרדים. במקרה כזה, ארגוני פשיעה או האקרים למיניהם לא נדרשים לחדור אפילו firewall בסיסי, אלא פשוט ל"טרגט" את העובד. גם כאן יש לא מעט דרכים לצמצם את הסיכון, והמודעות לכך היא קריטית.
שיטת מכרזי המסגרת של משכ"ל פוטרת את הרשויות המקומיות מפרסום מכרז עצמאי. מכרז המחשוב, המפורסם אחת לשנה ומתעדכן בשלל המרכיבים והצרכים אשר צצים כמעט מדי שעה בעולם הדינמי הזה, כולל שני פרקים: פרק ציוד והצטיידות, ופרק אבטחת מידע. בכל פרק נקבעים ארבעה זכיינים הנדרשים לעמוד בתנאי סף מחמירים, להפגין יכולות חדשניות בכל רוחב היריעה ולהיות מסוגלים לספק את כלל הפתרונות הנחוצים כיום. כשעירייה פונה למשכ"ל ומבקשת לרכוש שירות או ציוד, מתקיים הליך התמחרות בין ארבעת הזכיינים בגין הפריטים הספציפיים שדרשה הרשות.
השירות במסגרת מכרז משכ"ל יכול לכלול CISO (Chief Information Security Officer, מנהל אבטחת מידע) שיועסק על ידי הזכיין שייבחר, יכתוב עבור הרשות את הנהלים והמדיניות וילווה אותה ביישומה. כמו כן, במסגרת המכרז, אנו מציעים עריכת סקר סיכונים, מבדקי חדירות, ושרתי ענן מוגנים, אשר חוסכים מהרשות המקומית את ההתעסקות בשרתים משלה ובהגנה עליהם. גם בתחום אבטחת המידע, כמו ביתר תחומי הפעילות, משכ"ל מציעה לרשויות המקומיות מעטפת שירותי ניהול ופיקוח. רשויות מקומיות רבות, פונות אלינו בבקשה לליווי מתחילת הדרך ועד סופה", מציינת רויטל ליכטנפלד אלון, סמנכ"לית במשכ"ל, "אנחנו מבינים מהם הצרכים, מציגים את הפתרונות האפשריים, מצוותים מנהל פרויקט ומתקדמים יחד".
"ישראל היא מצד אחד הסטארט-אפ ניישן ובירת הסייבר העולמית, אבל מצד שני, אצלנו בתוך הבית, אנחנו מתקשים ליישם מדיניות אבטחת מידע סדורה עם תקצוב ברור", מסכם היימן. "יש פער ניכר בין היכולות והמוחות שיש לנו פה לבין הביצוע בפועל, ואותו אנחנו מנסים, ולשמחתי גם מצליחים, לסגור בהדרגה".
