מבקר המדינה האמריקאי: ממשלת ארה"ב מפסידה להאקרים בענק
לפי דו"ח מפורט של משרד הניהול והתקציב האמריקאי, לסוכנויות הממשלתיות אין מושג מי פרץ אליהן, מה גנב וכיצד ניתן למנוע פריצות נוספות. רבות מהן לא מסוגלות לנטר פעולות רשת חשודות ולא מקצות לכך תקציבים, למרות שארה"ב היא היעד מס' 1 בעולם למתקפות סייבר למיניהן
משרד הניהול והתקציב של הממשלה הפדרלית, המקביל האמריקאי למבקר המדינה בישראל, מצא שמשרדי וסוכנויות הממשל הפדרלי נמצאים בכאוס מוחלט בכל הנוגע להתמודדות עם מתקפות סייבר.
- ה-FBI מזהירה מפני מתקפת סייבר רוסית, קוראת לאפס ראוטרים
- טראמפ נותן לאחרים לצייץ בשמו, מסתובב עם מכשירים לא מאובטחים
- וורן באפט: לאף אחד אין מושג איך בונים ביטוח נגד סייבר
"המצב הנוכחי בלתי נסבל", נכתב בדו"ח שמפרט את הליקויים. בין היתר, האשים המשרד את הממשל בכך שכ-3 מתוך 4 משרדים או סוכנויות פדרליות נתונים בסיכון גבוה לאיומי רשת, בשל חוסר מוכנות, חוסר מודעות ורצף כשלים. לפי הדו"ח, לסוכנויות אין את ההבנה והמשאבים להתמודד עם האיומים בסביבה כיום; מתוך כ-31 אלף תקיפות מוצלחות שזוהו ב-2016, כ-11 אלף נותרו ללא מעקב, זיהוי או מענה. במילים אחרות בכ-38% מהמקרים לא ברור מי או מה פרץ למערכות הממשלתיות.
המבקר מצא כי אין תהליכי IT ואבטחת מידע מוסדרים וחוצי ארגונים בממשל הפדרלי. לכל סוכנות יש את התהליכים או סדר עבודה משלה ואפילו תהליכי דיווח או ניהול סיכונים אינם מוסדרים באופן רוחבי. לרובם אין שום דרך לדעת מה קורה בסביבת העבודה שלהם ולרוב אין גם מהלך מוסדר של חשיפת מידע למשתמשים במקרה וזוהתה פריצה. במקרה מסוים נמצא שסוכנות השתמשה בכ-62 שירותי מייל מנוהלים מרחוק (כגון ג'ימייל או הוטמייל), מה שהופך את המעקב אחריהם לבלתי אפשרי.
עוד בעיה שעלתה היא חוסר היכולת של הסוכנויות לבצע מעקב יעיל על מה שקורה בתוך הרשת הארגונית. רק לכ-27% מהסוכנויות יש את הכלים למעקב אחרי פעילות חשודה או לניהול הרשאות גישה ברמה מערכתית.
להערכת המבקר, האבטחה מיושמת בידי אנשי המחשוב אך המנהלים וקובעי המדיניות מתעלמים ממנה מתוך חוסר עניין, הבנה או חוסר בתקציב. דוגמה מובהקת היא הדרישה כיום מצד ארגוני פרטיות ומשרד התקציב (GAO) הממשלתי להצפין נתונים מאוחסנים. רק כ-16% מהיעדים להצפנה הושגו ואפילו לא מדובר בנתונים שנמצאים בשימוש שוטף.
ארה"ב היא היעד מס' 1 בעולם לתקיפות סייבר מגורמים פליליים, מדינתיים או פוליטיים. תשתיות קריטיות או רשתות צבאיות אכן מוגנות, אך במקרה של מאגרי מידע אזרחיים המצב גרוע מאוד במקרים רבים אף גובל בהתעלמות מחוקי הסייבר שארה"ב עצמה חוקקה.
בישראל המצב טוב יותר, משום שאצלנו ישנו גוף מרכזי שמיישם את המדיניות הממשלתית. אך גם כאן המחסור בתקציבים והערכת חסר של עלויות יישום גורמים לכך שרשויות מקומיות ומשרדי ממשלה שאינם בקו ראשון נזנחים. הדוגמה הטובה ביותר היא המחסור החריף במנהלי אבטחת מידע בעיריות ורשויות מקומיות, שנובע בין היתר מכך שהשכר המתוקצב עבורם על ידי משרד הפנים - כ-10 אלף שקל בחודש - אינו מגיע אפילו ל-40% מהשכר הממוצע לתפקיד זה בשוק הפרטי.