תשתיות תקשוב לאומיות: היבטים פיזיים, סביבתיים ורציפות תפקודית

מערכות המידע בארגון הן נכס חיוני, ותפקודן התקין נדרש לצורך ביצוע תהליכי ליבה של הארגון. גופי תשתיות מדינה קריטיות (גופי תמ"ק ) וגופי תשתיות חיוניות (גופים חיוניים ) כוללים משרדי ממשלה, גופים ציבוריים וגופים פרטיים שפגיעה בפעילותם עלולה להביא לפגיעה בחיי אדם, לפגיעה באספקת שירות ציבורי חיוני או לנזק פיזי או כלכלי ניכר. 

בגופים אלו נדרשת הגנה מוגברת על מערכות המידע מפני איומים פיזיים וסביבתיים, כדי לשמור על פעילותן התקינה ולמנוע פגיעה בהן העלולה לגרום להשבתת פעילות הארגון או לפגיעה באבטחת המידע שלו (זמינות, מהימנות וסודיות). 

1. ההגנה הפיזית על חדרי שרתים ותקשורת נועדה למנוע מגורמים לא מורשים גישה (כניסה) אליהם, והיא כוללת בקרת גישה, ניטור הגישה באמצעים טכנולוגיים, תיעוד הגישה ושמירה על הלוגים (תיעוד הפעולות) של מנגנוני בקרה אלו במשך זמן. 
2. ההגנה הסביבתית כוללת מנגנונים המאפשרים למערכות המידע לפעול בסביבה מיטבית (כגון, אספקת חשמל יציבה ורציפה, טמפרטורה ולחות תקינות), וכן מאפשרים לזהות נזקים סביבתיים (למשל, נפילת חשמל, נזילת מים או דליקה), להגיב עליהם באופן מיידי ולמנוע או לצמצם את הפגיעה במערכות המידע. 
3. מעטפת ההגנה של הארגון אינה מונעת לחלוטין את קיומם של אירועים חריגים, ולכן חיוני לשמור על הרציפות התפקודית של הגוף כדי שיוכל להמשיך לספק את השירותים החיוניים בשעת משבר ולמזער את הנזקים שייגרמו לו עקב אירוע חריג. לצורך כך על הארגון להיערך למשבר בעוד מועד, ובכלל זה לגבש, מדיניות המשכיות עסקית הכוללת הגדרת יעדים ומטרות של שרידות והתאוששות במצבי חירום. כמו כן, על הארגון לגבש לתקף ולתרגל תוכנית המשכיות עסקית (BCP - Business Continuity Plan), הכוללת תוכנית התאוששות מאסון (DRP) לחידוש פעילות טכנולוגית ומערכות מידע התומכות בתהליכים הקריטיים בארגון.

​פערים בכל אחד משלושת התחומים האלה - הגנה פיזית, הגנה סביבתית ורציפות תפקודית - עלולים להביא בעת התממשות תרחישי אסון לפגיעה בתפקוד חדרי השרתים וחדרי התקשורת של ארגון, וכפועל יוצא מכך לפגיעה ביכולתו לספק שירותים חיוניים.

בחודשים אפריל 2024 עד אפריל 2025 בדק משרד מבקר המדינה את ההגנה הפיזית והסביבתית על חדרי שרתים ותקשורת בגופי תמ"ק ובגופים חיוניים והיבטים ברציפות התפקודית של גופים אלה. בדיקות השלמה בוצעו בחלק מהגופים בנושאים מסוימים עד אוגוסט 2025. בכלל זה נבדקו הנושאים האלה: הנורמות המקובלות והאסדרה המחייבת בתחומים אלה; ההנחיה והפיקוח של הגופים האסדרתיים המדינתיים והמגזריים בתחומים אלה; רמת ההגנה הפיזית והסביבתית בפועל על חדרי שרתים וחדרי תקשורת ב-12 גופי תמ"ק וגופים חיוניים; הטיפול בנושא הרציפות התפקודית בגופים אלה; היבטים ברציפות התפקודית של משרדי ממשלה ויחידות סמך בעקבות פגיעה בחדרי שרתים; ונושא ממונה הביטחון בגופים ציבוריים. 

הביקורת נעשתה בגופים אסדרתיים מדינתיים בתחום הסייבר בהיבטי הנחיה ופיקוח: במשרד ראש הממשלה - במערך הסייבר הלאומי (מערך הסייבר), במטה לביטחון לאומי (המל"ל) ובשירות הביטחון הכללי (השב"כ); במשרד המשפטים - ברשות להגנת הפרטיות; במשרד הכלכלה והתעשייה - במערך הדיגיטל הלאומי (מערך הדיגיטל), לרבות ביחידה להגנת הסייבר בממשלה (יה"ב); במשרד הביטחון - ברשות החירום הלאומית (רח"ל); במשרד האוצר - במינהל הרכש הממשלתי ובמינהל הדיור הממשלתי; במשטרת ישראל וביחידות סייבר מגזריות.

במסגרת הביקורת נבדקו פעולות האסדרה והפיקוח של הגופים האסדרתיים המדינתיים בנוגע לרציפות התפקודית ולהגנה הפיזית והסביבתית על חדרי שרתים ותקשורת בגופי תמ"ק וגופים חיוניים. הבדיקה נעשתה על בסיס נורמות שנקבעו לגבי חדרי שרתים המכילים חומר בלתי מסווג ביטחונית (בלמ"ס). רמת ההגנה על חדרי שרתים וחדרי תקשורת נבדקה ב-12 גופי תמ"ק וגופים חיוניים באמצעות פגישות בשטח ותצפית הכוללת את בחינת עמידתם של הגופים בבקרות שהוגדרו מראש . בסך הכול נבדקו 26 חדרי שרתים וחדרי תקשורת. הבדיקה לא כללה את כל חדרי השרתים וחדרי התקשורת בכל גוף, והיא אינה מדגם מייצג לגבי כלל החדרים בגופים שנבדקו.

ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח דוח זה במלואו על שולחן הכנסת אלא לפרסם רק חלקים ממנו, לשם שמירה על ביטחון המדינה, בהתאם לסעיף 17 לחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב].

גופי התמ"ק וגופים חיוניים כוללים משרדי ממשלה, גופים ציבוריים וגופים פרטיים שפגיעה בפעילותם עלולה להביא לפגיעה בחיי אדם, לפגיעה באספקת שירות ציבורי חיוני ולנזק פיזי או כלכלי ניכר. מערכות המידע בגופי תמ"ק ובגופים חיוניים הן נכס ראשון במעלה בחשיבותו, ותפקודן התקין נדרש לצורך ביצוע תהליכי ליבה של הגופים בעיתות שגרה ובעיתות חירום. בשל ההשפעות החמורות שיש לפגיעה בתפקודן של מערכות המידע בגופים אלה, נדרשת הגנה מוגברת עליהן מפני איומים פיזיים וסביבתיים, לצד שמירה על הרציפות התפקודית של גופים אלה. 

הפערים שנמצאו בנושאים שנבדקו בביקורת זו ב-12 גופי תמ"ק וגופים חיוניים מחייבים נקיטת פעולות מיידיות מצד הגופים האסדרתיים המדינתיים בהיבטים האלה: 

1. אסדרה ופיקוח - האסדרה המחייבת בהיבטי הרציפות התפקודית ובהיבטי ההגנה הפיזית והסביבתית על חדרי שרתים ותקשורת חסרה, הן ברמה המדינתית והן ברמה המגזרית, וגם הפיקוח של הגופים האסדרתיים המדינתיים על עמידת גופי תמ"ק וגופים חיוניים בהנחיות הקיימות בהיבטים אלה טעון שיפור. כמו כן, קיימים בפועל פערים בהיבטי רציפות תפקודית ובהיבטי הגנה פיזית וסביבתית על חדרי שרתים ותקשורת בגופים שנבדקו בביקורת. 
2. רציפות תפקודית - דוח זה חושף פערים בתחום הרציפות התפקודית במשרדי ממשלה ויחידות סמך. תמונת המצב שבידי רח"ל, האמונה על הצגת תמונת מצב לממשלה בנושא מוכנות העורף בתחומים השונים במצבי משבר וחירום, אינה משקפת את הפער האמור.
3. הכשרה - קיימים פערים בהכשרה שמקיים מערך הסייבר לממוני הביטחון בגופי תמ"ק אף שהנושא נמצא בתחום אחריותם. כמו כן נמצאו פערים בהכשרת המנחים של גופי תמ"ק במערך הסייבר בתחומי ההגנה הפיזית על חדרי שרתים.

על הגופים האסדרתיים המדינתיים בתחום הגנת הסייבר והגנת הפרטיות (מערך הסייבר הלאומי, השב"כ, הרשות להגנת הפרטיות ויחידות הסייבר המגזריות) להשלים את האסדרה המדינתית והמגזרית בהיבטי רציפות תפקודית והגנה פיזית וסביבתית על חדרי שרתים ותקשורת. מומלץ כי הגופים האסדרתיים המדינתיים יקבעו לגופים שהם מנחים הנחיות ייעודיות מחייבות בנושאים אלה, בהתאם לנורמות המקובלות, ויבחנו ויתקפו אותן באופן עיתי. זאת באופן שיחייב את הגופים המונחים לפעול על פיהן ויאפשר לגופים האסדרתיים המדינתיים לפקח על כך. כמו כן, על הגופים האסדרתיים המדינתיים לפעול להכשרת בעלי התפקידים האחראים לנושאים אלה. 

מומלץ כי מערך הדיגיטל, בשיתוף הגופים האסדרתיים המדינתיים (מערך הסייבר, השב"כ ורח"ל) ובשיתוף המל"ל, יגבש תוכנית פעולה שתיתן מענה מערכתי לפערים בהיבטי רציפות תפקודית. עוד מומלץ כי מערך הדיגיטל יפעל באופן מיידי ובהתאם ללוחות זמנים מוגדרים לטיפול בפערים הקיימים במשרדי הממשלה ויחידות הסמך בנושא הרציפות התפקודית, ויקדם את ההיבט התקציבי מול כלל הגורמים הרלוונטיים. 

נוסף על כך, מומלץ כי בשל חשיבות הרציפות התפקודית של משרדי הממשלה ויחידות הסמך למשק האזרחי בחירום, מערך הדיגיטל ומערך הסייבר יוודאו כי תמונת המצב שבידי רח"ל תואמת את המצב בפועל של הגופים המונחים בעת חירום. כמו כן מומלץ כי רח"ל והגופים האסדרתיים המדינתיים יציפו פערים בין גופים ומגזרים שמשפיעים זה על זה ויפעלו לצמצום הפערים.

ממצאיו של דוח זה אמורים להוות בסיס לתוכנית תיקון משמעותית שיובילו ראש מערך הסייבר הלאומי, ראש רח"ל, ראש מערך הדיגיטל, ראש הרשות להגנת הפרטיות ומנכ"לי משרדי הממשלה, גופי התמ"ק והגופים החיוניים - כל אחד על פי תחום תפקידו ואחריותו. ​