מלחמת חרבות ברזל לא התנהלה רק בעזה, בצפון ובזירה המדינית - היא התנהלה גם בשרתים, במערכות המידע, בשרשראות האספקה ובתשתיות הדיגיטליות של המדינה. אלא שלפי דוח מבקר המדינה, ישראל הגיעה אל המערכה הזו כשהיא רחוקה ממוכנות מלאה לאירועי סייבר רחבי היקף.
הדוח מצביע על פערים משמעותיים בהיערכות הלאומית, המגזרית והארגונית לאיומי סייבר לפני המלחמה ובמהלכה. לפי הנתונים שמביא המבקר, עלות נזקי מתקפות הסייבר למשק הישראלי מוערכת בכשנים עשר מיליארד שקלים בשנה. ומדובר בנזק כלכלי משמעותי למשק.
אחד הממצאים החריפים בדוח נוגע לדרג המדיני - קרי, הממשלה. בעשור שקדם למלחמה, ועד יוני 2025, לא התקיימו בקבינט המדיני ביטחוני דיונים ייעודיים בנושא הסייבר, למעט פגישה אחת בשנת 2018. המשמעות, לפי המבקר, היא שהקבינט לא נחשף באופן שיטתי למכלול הסיכונים, לפערי המוכנות ולנזקים האפשריים.
גם התשתית החוקית נותרה מאחור. במשך יותר מעשור לא קידם משרד ראש הממשלה חקיקה ייעודית להסדרת תחום הסייבר (זו נחקקה אגב רק השבוע...). במונחים של עולם הסייבר, עשור הוא לא עיכוב. מדובר בנצח של אי עשייה.
המבקר מצא גם כי במשך שש שנים, מ-2018 ועד נובמבר 2024, לא התקיים בישראל תרגיל סייבר לאומי. בתרגילים שכן נערכו לאחרונה, ראש הממשלה בנימין נתניהו והשרים כלל לא השתתפו. קשה להפריז בחשיבות הנתון הזה: מדינה שמתמודדת עם מתקפות סייבר גוברות, בזמן מלחמה, לא יכולה להרשות לעצמה שההנהגה המדינית תכיר את התחום בעיקר דרך מצגות ובדיעבד.
התמונה אינה טובה בהרבה גם בגופים מרכזיים במשק: בבדיקת 21 גופים בעלי חשיבות למשק נמצא כי שליש מהם קיבלו ציון של 60 ומטה במדד המוכנות הארגונית למשבר סייבר. בארבעה מהגופים לא היה צוות פנימי או חיצוני לטיפול באירועי סייבר, בכמעט מחצית מהם ועדת היגוי סייבר לא התכנסה כנדרש בשנה וחצי שלפני המלחמה, וביותר משליש לא הוקם צוות הנהלה לניהול משבר סייבר.
עוד קובע הדוח כי רוב הגופים שנבדקו לא ביצעו לפני המלחמה ניתוח יסודי של תרחישי איום כבסיס לתכנון מערך ההגנה שלהם. ברובם נמצאו פערים בתכנון דרכי הטיפול באירועי סייבר, ובחלקם גם בתהליכים אופרטיביים של מעקב אחר התרעות וקבלת החלטות.
גם בתחום התשתיות הקריטיות מצביע המבקר על פערים. לפני פרוץ המלחמה, חלק מגופי התשתיות המדינתיות הקריטיות היו ברמות הסמכה ששיקפו יכולת התמודדות מוגבלת. עד יוני 2025 חל שיפור, אך הפער לא נסגר. בנוסף, מערך הסייבר הלאומי לא העביר במשך שנים דיווחים חצי שנתיים על מצב ההגנה של המערכות הממוחשבות במדינה לגורמים הבכירים שנקבעו בהחלטת ממשלה, ובהם ראש הממשלה, מזכיר הממשלה, ראש המטה לביטחון לאומי, ראש שירות הביטחון הכללי ויושב ראש ועדת החוץ והביטחון.
לצד הביקורת החריפה, המבקר מציין לחיוב את פעילות מערך הסייבר הלאומי בתחילת המלחמה ובמהלכה. לפי הדו"ח, המערך פעל במהירות לצמצום פערים קריטיים, לחיזוק ההגנה על מרחב הסייבר ולטיפול בשרשרת האספקה הביטחונית- בין היתר באמצעות הוראות שעה מיוחדות. עם זאת, המבקר מדגיש כי צעדים אלה אינם תחליף לטיפול עומק בפערים שהצטברו במשך שנים.
ההמלצות בהתאם חדות: לגבש תוכנית פעולה לאומית וממשלתית לצמצום פערי הסייבר בטווח הקצר והארוך, לקדם מיד את חוק הסייבר שנחקק רק עכשיו, לקיים תרגילים לאומיים בשגרה, לעדכן את איום הייחוס הלאומי מול האיומים החדשים, ולחייב את ראש הממשלה והקבינט לעסוק בנושא באופן סדור. לא ככותרת, לא כנספח - אלא כחלק מליבת הביטחון הלאומי.
ובכמעט כהמשך טבעי לאותה בעיה, מופיע גם פרק על היערכות ישראל לבינה מלאכותית. גם שם התמונה מוכרת: מדינה עם תעשיית חדשנות חזקה, הון אנושי מצוין ויכולות מחקר ופיתוח מרשימות, אך בלי תוכנית לאומית ארוכת טווח ומקיפה שאושרה ומגדירה חזון, יעדים, אחריות, תקציב, לוחות זמנים ומנגנוני מדידה.
המבקר מכנה זאת פער החדשנות - האומה שנחשבת לאומת הסטארט אפ ונהנית מסביבה טכנולוגית מתקדמת והון אנושי טוב בתחום, נתפסת עם המכנסיים למטה ומדשדשת מאחור כשמדובר בקביעת מדיניות ממשלתית, גם בתחום הבינה המלאכותית.
תגובת מערך הסייבר הלאומי
ממערך הסייבר הלאומי נמסר בתגובה לדו"ח מבקר המדינה:
"חוק הגנת הסייבר הלאומית שאושר אמש בקריאה ראשונה ישפר את רמת ההגנה בסייבר של ארגונים חיוניים, ושל ספקים דיגיטליים ויחזק את משרדי הממשלה הרגולטורים להוביל את ההגנה במגזרים השונים, בהנחייה מקצועית של מערך הסייבר לאומי.
חשוב לציין כי פעילות ההגנה האינטנסיבית של מערך הסייבר הלאומי בתקופת המלחמה, יחד עם שותפיו למשימה, הביאה למניעת הישגים משמעותיים מהאויבים אשר לא הצליחו לפגוע ברציפות התפקוד הלאומית או בחיי אדם, כפי שניסו שוב ושוב.
מערך הסייבר הלאומי למד את ממצאי הדו"ח לעומק, כפי שהוא עושה עם כל ביקורת מקצועית, טיפל כבר בחלק מהנושאים שהועלו וימשיך לפעול ליישום הלקחים".