דו"ח המבקר: הממשלה לא הייתה ערוכה להתמודד עם מתקפות הסייבר במלחמה

מאות אירועי הסייבר שהתרחשו בישראל בחצי השנה שבין פרוץ מלחמת חרבות ברזל ועד 30.4.24, היו בעלי פוטנציאל נזק משמעותי. למול זאת, חלק מגופי הממשלה היו ברמה נמוכה של יכולת התמודדות עם מתקפת מסוג זה לפני פרוץ המלחמה. כך עולה מדו"ח מבקר המדינה בעניין היערכות הסייבר במלחמת חרבות ברזל שהתפרסם היום (שלישי).

על פי הדו"ח, רק במהלך המלחמה החל מערך הסייבר ליישם תהליך מדידה של רמת ההגנה באמצעות סקר ששלח לגופים. בנובמבר 2024 הייתה בידי המערך תמונת מצב חלקית. ניתוח הסקר של יתר המגזרים תוכנן להסתיים עד סוף שנת 2024 אך לא הושלם. ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח דו"ח זה במלואו על שולחן הכנסת אלא לפרסם רק חלקים ממנו, לשם שמירה על ביטחון המדינה.

12 מיליארד שקלים בשנה משלם המשק הישראלי על נזקי מתקפות סייבר. למרות זאת, במשך שש שנים לפני פרוץ מלחמת חרבות ברזל, לא התקיים תרגיל סייבר לאומי מסוג כלשהו. ממד הסייבר הוא אחד ממעגלי האיום המשמעותיים המשפיעים על החוסן הלאומי. כבר בהחלטת ועדת שרים מדצמבר 2007 נקבע כי אחד הגורמים שעלולים להביא לידי מצב חירום במשק הוא טרור סייבר - שיבוש מערכות מידע שיכול לגרום לסיכון בנפש או לנזק לתשתיות.

במהלך מלחמת חרבות ברזל חל גידול בהיקף ובעוצמה של מתקפות הסייבר נגד גופים במשק הישראלי שנועדו לפגוע בביטחון המדינה, בביטחון הציבור ובחוסן הלאומי, ולאסוף מידע לצרכי מודיעין. ככל שהלחימה התמשכה, התעוזה והיצירתיות של התוקפים גברו: בתחילת המלחמה אירועי הסייבר התמקדו באירועי השפעה ומניעת גישה, בהמשך במתקפות לגרימת נזק (כגון מחיקת מידע) ובשנת 2024 זוהה מיקוד באיסוף מידע על יעדי איש, אזרחים ותהליכים בישראל. לפי הערכת מערך הסייבר הלאומי, האיום ממתקפות הסייבר ימשיך ויתעצם.

מלחמת חרבות ברזל הדגישה שמדינת ישראל מוכרחה להיערך להתמודד עם אירוע חירום רב-זירתי. הסייבר הוא זירה משמעותית מולו נדרשת המדינה להיערך ולפעול, בדומה לאויבים החיצוניים שלה. לכן רמת המוכנות וההיערכות של המדינה היא נדבך משמעותי בהיערכות הביטחונית הכוללת של ישראל ובחוסן הלאומי. הנתונים שהציגו מערך הסייבר ושב"כ לפני המלחמה ובמהלכה שיקפו רמת הגנה שאינה מספקת של חלק מהמגזרים והגופים.

כמו כן, ראשי הממשלה לא יזמו או קיימו בקבינט דיונים ייעודיים בנושא סייבר למעט פגישה אחת שהתקיימה בשנת 2018. עם זאת, נושא הסייבר הוזכר במסגרת דיונים שהנושאים שלהם היו רחבים יותר: הערכות מודיעין שנתיות ובחלק מהדיונים בנושא תמונת מצב רב-זירתית ובדיון אחד שהתקיים אחרי פרוץ המלחמה בנושא מסוים. כתוצאה מכך הקבינט לא נחשף למכלול הסיכונים בתחום הסייבר, לרמת ההיערכות ולנזקים הפוטנציאליים. 

מספר גופים התמודדו עם מתקפת סייבר משמעותית לפני המלחמה ובמהלכה. כך לדוגמא הטכניון בחיפה בפברואר 2023, אז התרחשה פריצה חמורה שהובילה להשבתת מערכות המחשוב ולדרישת כופר של מיליוני שקלים. האוניברסיטה הסתייעה במערך הסייבר הלאומי לניהול האירוע. אתר הטכניון לא היה זמין, והגישה לחשבונות של עובדים נשלטה על ידי גורם חיצוני. התוקפים אף ניסו להתחזות לנשיא הטכניון וכתבו שהוא מתפטר מתפקידו. המתקפה גרמה לשיבוש ניכר בפעילותו הסדירה של הטכניון.

בחודש נובמבר 2023, התרחשה מתקפת סייבר רחבה על חברת המסחר והאחסון Signeture-it. חברות מסחר רבות עושות שימוש בשירותי החברה, והמידע מתוכן דלף ואתריהן הושבתו. בין 2.5 ל-3 מיליון רשומות של פרטי לקוחות דלף מתוך מאגרי המידע. קבוצת ההאקרים טענה שבידיה מידע על חברות גדולות ומשרדים ממשלתיים רבות, ושביכולתה להדליף הכל.

בין החברות שאתריהן הושבתו בעקבות אותה מתקפת סייבר נמצאות הום סנטר, קרביץ, אתר המשלוחים של איקאה, שפע אונליין, Carter’s, אתר המנויים של רשות הטבע והגנים ואתר הבית של ארכיון המדינה שנמצא תחת אחריות משרד ראש הממשלה. הקבוצה איימה להמשיך ולהדליף מאגרי מידע של חברות וגורמים נוספים שנמצאים בידיה, בהם משרדים ממשלתיים כמו משרד העבודה והרווחה, משרד הבריאות, רשות החדשנות, מערכת התשלומים הממשלתית, וחברות מסחריות וטכנולוגיות, בהן אנבידיה, פיליפ מוריס, יונילוור, איקאה, שטראוס, אסם, טויוטה ישראל, קוקה קולה ועוד.

מתקפת סייבר נוספת על חברת אחסון אתרים ישראלית התרחשה על חברת אחסון האתרים "כתום", שבשרתיה נמצאים אתרי אינטרנט של חברות משמעותיות במשק הישראלי. מתקפת הסייבר השביתה את שרתיה. בין האתרים שנפלו כתוצאה מהאירוע הן מחירון לוי יצחק, המרכז למחקרים קליניים של בית החולים סורוקה, מכון המחקר שמיר, החברה הכלכלית לחיפה, חברת אשטרום, דלתות חמדיה, המפעל לבניה מתועשת של שיכון בינוי, חברת אלמנטק והמועצה לשימור אתרי מורשת בישראל (החנות).

בנובמבר 2023, בעיצומה של המלחמה, התרחשה גם מתקפת סייבר על בית החולים זיו בצפת, בניסיון לשבש את פעילות בית החולים. קבוצת סייבר של משרד המודיעין האיראני, במעורבות קבוצת סייבר של חיזבאללה, הן שעמדו מאחורי הניסיון למתקפת הסייבר. במאמצים משותפים של מערך הסייבר, צה"ל, שב"כ, וצוותי משרד הבריאות וביה"ח, נבלמה המתקפה, אך פעילות בית החולים שובשה במשך כמה ימים בעקבות פעילות לעצירת המתקפה ודליפת מידע פרטי של מטופלים. הקבוצה גנבה חלק מהמידע הרגיש המאוחסן במערכות בית החולים והחלו לפרסמם ברשתות החברתיות. במאמצים אדירים הוסרו הערוצים ברשתות החברתיות בהם פורסם המידע הרגיש.

מבקר המדינה, מתניה אנגלמן, מסביר: "מתקפת 7 באוקטובר המחישה את המחיר הכבד של היעדר היערכות מוקדמת וטיפול בסימני אזהרה. על ראש הממשלה, מערך הסייבר הלאומי ועל כלל הגורמים המעורבים לראות בביקורת בנושא היערכות המדינה לאירועי סייבר ותפקודה במהלך מלחמת חרבות ברזל ובליקויים המפורטים בה משום הרמת דגל. הליקויים המפורטים בדו"ח נוגעים בסופו של יום לחוסן הלאומי ולביטחון המדינה.לא ניתן להשלים עם מציאות שבה במשך כעשור הקבינט המדיני-ביטחוני אינו מקיים דיונים ייעודיים בנושא, ושבמהלך התקופה חוק הסייבר לא קודם. חובה לפעול ללא דיחוי לתיקון הפערים ולגיבוש תוכנית פעולה לאומית שתבטיח את הגנת המשק והמדינה מפני איומי הסייבר ההולכים וגוברים".