סכנת הסייבר: נשקף סיכון ממשי לגופי תשתיות מדינה קריטיות | דוח מבקר המדינה

דוח מבקר המדינה: כ-30% ממשרדי הממשלה ומגופי תשתיות המדינה הקריטיות חוו בשנתיים האחרונות אירוע סייבר, שמקורו בשרשרת האספקה. מתריע משרד מבקר המדינה בדו"ח הביקורת על ניהול סיכוני סייבר. מהביקורת עולה, כי 55% מהגופים אינם עובדים לפי המתודולוגיה של מערך הסייבר ואף גורם אינו מבצע ביקורות על רמת הגנת הסייבר של הספקים שזכו במכרזים מרכזיים.

ממצאי הביקורת מלמדים כי נשקף סיכון ממשי לגופי תשתיות מדינה קריטיות, למשרדי ממשלה ולמגזרים מצד שרשרת האספקה בתחום התקשוב", מתריע מבקר המדינה – "למשרדי הממשלה יש 18 ספקים עיקריים בתחום התקשוב והסייבר, מתוכם חמישה ספקים נותנים שירות ליותר מ-49 משרדים ושלושה ספקים נותנים שירות בהיקף כספי שנתי של יותר מ-327 מיליוני שקלים. לכן, פגיעה בהם עלולה לפגוע פגיעה נרחבת ברציפות התפקודית של הממשלה והמשק".

86% מ-43 הארגונים שהשיבו על השאלון שהפיץ משרד מבקר המדינה, ציינו כי תקיפה באמצעות שרשרת האספקה היא איום ייחוס שלהם.  כ-30% מהארגונים שהשיבו על השאלון דיווחו שחוו אירוע סייבר בשנתיים האחרונות(2021 -2022) שמקורו בשרשרת האספקה. מבקר המדינה טוען, כי כשש שנים לאחר שמערך הסייבר גיבש את המתודולוגיה בנושא שרשרת האספקה - היא לא מוטמעת בקרב הגופים הציבוריים וישנם ארגונים שטוענים שאי אפשר ליישמה. 

"נמצא כי 55% ממשרדי הממשלה וגופי תמ"ק שהשיבו על השאלון אינם עובדים לפי מתודולוגיית שרשרת האספקה, ונוכח זאת חלק גדול מהספקים של הארגונים אינם נבדקים בצורה אחודה ובהתאם לבקרות שהגדיר מערך הסייבר", מצויין עוד בדו"ח הנוקב – "מינהל הרכש אינו מונחה על ידי שום גוף אסדרתי בתחום הסייבר. במכרזים המרכזיים אין דרישה של מינהל הרכש מהספקים שעימם הוא מתקשר ליישם את מתודולוגיית שרשרת האספקה ודרישות אבטחה נוספות שגופי האסדרה דורשים מהמשרדים, אף שההיקף הכספי של התקשרויות אלו הוא בממוצע כ-57% מכלל ההתקשרויות של המשרדים בתחום התקשוב והסייבר".

אנגלמן ממליץ למערך הסייבר, לגופים האסדרתיים בתחום הסייבר ולמינהל הרכש לפעול לקיום הערכת מצב לגבי המענה המתודולוגי הקיים ודרך מימושו.