מבקר המדינה: נשקף סיכון ממשי לגופי תשתיות מדינה באירועי סייבר

86% מ-43 הארגונים שהשיבו על השאלון שהפיץ משרד מבקר המדינה ציינו כי תקיפה באמצעות שרשרת האספקה היא איום ייחוס שלהם. כ-30% מהארגונים שהשיבו על השאלון דיווחו שחוו אירוע סייבר בשנתיים האחרונות (2021 - 2022) שמקורו בשרשרת האספקה.

המבקר מצא כי כשש שנים לאחר שמערך הסייבר גיבש את המתודולוגיה בנושא שרשרת האספקה - היא לא מוטמעת בקרב הגופים הציבוריים, ויש ארגונים שטוענים שאי אפשר ליישמה. נמצא כי 55% ממשרדי הממשלה וגופי תמ"ק שהשיבו על השאלון אינם עובדים לפי מתודולוגיית שרשרת האספקה, ונוכח זאת חלק גדול מהספקים של הארגונים אינם נבדקים בצורה אחודה ובהתאם לבקרות שהגדיר מערך הסייבר.

מינהל הרכש אינו מונחה על ידי שום גוף אסדרתי בתחום הסייבר. במכרזים המרכזיים אין דרישה של מינהל הרכש מהספקים שעימם הוא מתקשר ליישם את מתודולוגיית שרשרת האספקה ודרישות אבטחה נוספות שגופי האסדרה דורשים מהמשרדים, אף שההיקף הכספי של התקשרויות אלו הוא בממוצע כ-57% מכלל ההתקשרויות של המשרדים בתחום התקשוב והסייבר. נוסף על כך, שום גורם אינו מבצע ביקורות על רמת הגנת הסייבר של הספקים שזכו במכרזים מרכזיים.

נמצא כי הממונה על הגנת הסייבר במשרדי הממשלה ובגופי התמ"ק אינו מעורב בתהליכי הרכש בתחום התקשוב והסייבר בארגון ובכלל זה אינו מעורב בתהליך סיום ההתקשרות עם הספק כדי לוודא שהספק ממלא את חובותיו בנושא סיום ההתקשרות (מחיקת המידע, החזרת האמצעים, ניתוק גישה מרחוק ועוד). משרדים וגופי תמ"ק דיווחו שחוו אירוע סייבר בשנתיים האחרונות (בשנים 2021 - 2022) שמקורו בשרשרת האספקה, ואולם הם לא קיבלו עדכון על כך מהספק עצמו אלא מגורמים אחרים (כגון מערך הסייבר או אמצעי תקשורת). כמו כן, מינהל הרכש אינו מחייב את הספקים שזכו במכרזים מרכזיים לדווח על אירועי סייבר גם למערך הסייבר.

המבקר אנגלמן ממליץ למערך הסייבר, לגופים האסדרתיים בתחום הסייבר ולמינהל הרכש לפעול לקיום הערכת מצב לגבי המענה המתודולוגי הקיים ודרך מימושו. על כלל משרדי הממשלה וגופי התמ"ק שנבדקו לפעול, כל אחד על פי תחום אחריותו, לתיקון הליקויים שהועלו בדוח זה על מנת להבטיח שיפור ברמת ההגנה של הספקים ושל המשק כולו.