מתפרסם מאז שנת 1999
הממשלה תצביע בראשון (4.1.2015) בנושא קידום אסדרה לאומית והובלה ממשלתית בהגנת הסייבר – הקמת יחידה להגנת הסייבר בממשלה (יה”ב)
בישיבת הממשלה שתתקיים ביום ראשון (4.1.2015) תיערך הצבעה על הצעת החלטה של ראש הממשלה בנימין נתניהו בנושא ‘קידום אסדרה לאומית והובלה ממשלתית בהגנת הסייבר’ כחלק מיישום האסדרה הלאומית וכמהלך של דוגמה לציבור ולמשק.
אסדרת היערכות הארגונים במשק בתחום הגנת הסייבר תיעשה מתוך כוונה שלא להוסיף למשק עוד רגולטורים אלא באמצעות העצמה של הרגולטורים הקיימים, וזאת באמצעות מגוון הכלים העומדים לרשותם וחיזוק כלים אלה ככל הנדרש, על-מנת להעלות את רמת החוסן של המגזר האזרחי לאיומי סייבר ובכלל זה באמצעות היערכות וכשירות.
בתחום האסדרה הלאומית בהגנת הסייבר מדובר בין היתר על כך שהמטה הקיברנטי הלאומי יקים יחידה [במסגרת הרשות הלאומית להגנת הסייבר שעתידה לקום במשרד ראש הממשלה] שייעודה להסדיר את שוק שירותי הגנת הסייבר לרבות אנשי מקצוע, שירותים ומוצרים וכן יבחן בניית תשתית לבדיקות ולאישור מוצרי הגנת הסייבר לרבות בחינת הקמה והפעלה של מעבדה לצורך כך. משרד הכלכלה בתיאום המטה הקיברנטי הלאומי ומשרד האוצר יציג לממשלה בתוך 120 יום תוכנית להפעלת מנגנוני סיוע ותמרוץ לארגונים במשק שיפעלו להעלאת רמת המוכנות לאיומי סייבר.
פעילות האסדרה הלאומית עוסקת בעיקר בשכבה הראשונה בתפיסה הלאומית להגנת הסייבר והיא לוקחת בחשבון שורה של היבטים ובהם: אימוץ, ככל האפשר, רעיונות, תוכניות ופעילויות מוצלחות שנעשו בעולם תוך התאמתם למציאות הישראלית; האסדרה תסתמך, במידה רבה, על תקינה בינלאומית; האסדרה תקיים שותפות והתעדכנות בתהליכי פיתוח רגולציה בעולם; האסדרה תגדיר רמות שונות של הגנה והסמכה ותיצור מנגנונים להתאמה והלימה ביניהן (לדוגמה: בארגונים בהם נדרשת הגנה ברמה גבוהה יועסקו חברות הנותנות שירותי הגנת סייבר שהוסמכו לרמה זו).
בתחום ההובלה הממשלתית בהגנת הסייבר: “ההובלה הממשלתית בהגנת הסייבר תהווה קטר למשק ותשמש גורם ראשון למוביל ביישום האסדרה הלאומית בסייבר. זאת, הן כמהלך של דוגמה לציבור והן מכיוון שהפעילות במגזר זה (בזכות גודלו ומרכזיותו) צפוייה להניע פעילויות נוספות במשק ולגרור אחריה גורמים נוספים במגזר הציבורי והפרטי.
“משרדי הממשלה שונים זה מזה ברמת המענה הניתן בהם כיום לתחום הגנת הסייבר. יש משרדים שהתהליך אצלם, בהיבטי תקינה ארגונית לדוגמה, כבר בעיצומו. מנגד יש משרדים שעדיין לא הניעו פעילות משמעותית בהיבט ההיערכות לאיומי הסייבר. כדי לקדם את ההובלה הממשלתית בהגנת הסייבר יש לטפל בהעלאה ובחיזוק רמת ההגנת הסייבר במשרדי הממשלה השונים”.
מדובר בין היתר בהקמת יחידה להגנת הסייבר בממשלה (יה”ב). ייעודה: גוף הכוונה והנחייה מקצועית בתחום הגנת הסייבר עבור כלל משרדי הממשלה ויחידות הסמך [לרבות מיפוי מושאי ההגנה; ניהול סיכונים; הכנת תוכנית להגנת הסייבר והקצאת משאבים למימושה; גיבוש מדיניות ארגונית, נהלים ושיטות עבודה; היערכות להתמודדות וניהול אירועים ותהליכי התאוששות ושיקום].
תפקידים נוספים של יה”ב: בקרת ביצוע הדרישות המקצועיות בהתאם להכוונה ולהנחייה; בניית תהליכי שיתוף מידע בתוך הממשלה לרבות דיווח ל- CERT הלאומי; ייזום פעילות רוחבית ומימושה; מעקב אחר קיום הדרישות לעניין ההובלה הממשלתית בהגנת הסייבר ודיווח לוועדת ההיגוי הממשלתית.
בנוסף גם מדובר על הקמת מרכז שליטה ובקרה ממשלתי למול איומי סייבר (SOC ממשלתי) אשר יעסוק בגיבוש תמונת מצב ממשלתית שוטפת בהיבטי הגנת הסייבר ומתן מענה לטיפול באירועי סייבר. ה- SOC הממשלתי יוקם במסגרת ה- CERT הלאומי על-בסיס תשתיותיו הטכנולוגיות והאופרטיביות ותוך בניית יכולות ייעודיות לממשלה. משרדי הממשלה ובכללם מימשל זמין יעבירו ל- SOC הממשלתי דיווחים הקשורים בהגנת הסייבר לרבות אירועים, איומים, חולשות, פוגענים ונוזקות. תקצוב ה- SOC הממשלתי יסוכם בין המטה, רשות התקשוב הממשלתי ומשרד האוצר.
יה”ב תפעל בכפיפות לממונה על התקשוב הממשלתי ותפעל בהנחייה מקצועית של הרשות הלאומית להגנת הסייבר (המתוכננת לקום במסגרת משרד ראש הממשלה).
לשם הקמת היחידה תקצה רשות התקשוב הממשלתי שני תקנים בשנת 2015 ממקורותיה ומשרד האוצר יקצה שני תקנים בשנת 2015 ושלושה תקנים בשנת 2016 בהתאם לסיכום עם משרד ראש הממשלה.
משרד האוצר יקצה ליחידה תקציב של 1.5 מיליון ₪ לשנת 2015, תקציב של 2 מיליון ₪ לשנת 2016, תקציב של 0.5 מיליון ₪ לשנת 2017 ותקציב שוטף של 4 מיליון ₪ משנת 2017 ואילך.
עוד מדובר במינוי ממונה הגנת הסייבר במשרד ממשלתי ע”י מנכ”ל של כ”א ממשרדי הממשלה במשרדו-שלו. הממונה יגבש מדיניות הגנת סייבר במשרד בהתאם לתהליך ניהול סיכונים ארגוני; בניית תוכנית עבודה להגנת הסייבר עפ”י המדיניות; ניתוח והערכה שוטפים של תוכנית הגנת הסייבר והמדיניות בהתאם לצרכים, לאיומים ולמענים; ועוד.
משרדי הממשלה ימנו אחראי על הגנת הסייבר ביחידת מערכות המידע שיעמוד בדרישות של ‘מגן קיברנטי בכיר‘. בנוסף תוקם וועדת היגוי משרדית בראשות מנכ”ל המשרד שתתכנס באופן עיתי ותהווה את הסמכות הגבוהה ביותר במשרד הממשלתי המבקרת את הפעילות הנעשית בתחום הגנת הסייבר במשרד.
הקצאת תקציב ייעודי להגנת הסייבר במסגרת התקציב הקיים של משרדי הממשלה: “לא ניתן לקיים הגנה יעילה בסייבר ללא הקצאת תקציב הולמת. נדרש כי חלק מוגדר משיעור התקציב המוקצה לפעילות ה- IT הארגוני יוקצה עבור אבטחת המידע והגנת הסייבר. ללא הקצאה סבירה ומתאימה לנושא קיים תמיד הסיכון כי הארגון לא יממש פתרונות IT הולמים לאיומי הסייבר עקב תעדוף פנימי בתחומי ה- IT השונים (…) במסגרת התקציב המשוריין לנושא זה הכוונה היא לכלול את כל ההשקעה הישירה והעקיפה שיש בה כדי לתרום להגנת הסייבר ובכלל זה העסקת יועצים לצורך הסמכה ארגונית, ביצוע ביקורות אבטחת מידע וכדומה בין אם מדובר ברכש IT ובין אם באמצעים משלימים“.
מנכ”לי משרדי הממשלה ומנהלי יחידות הסמך יסדירו את מבנה התקציב השנתי של משרדם כך שלכל הפחות 8% מתקציב תחום טכנולוגיית המידע יופנה להגנת הסייבר. בנסיבות מיוחדות ניתן יהיה לאשר הפחתה משיעור זה בהחלטה מנומקת ומפורטת שתועבר לוועדת ההיגוי הממשלתית ובלבד שלפחות 6% מתקציב תחום טכנולוגיית המידע יופנה להגנת הסייבר. בתום שנתיים ממועד החלטה זו תבחן וועדת ההיגוי הממשלתית את הצורך בהעלאת אחוז התקציב הייעודי להגנת הסייבר.
קשיים משפטיים, ככל שישנם, ודרכי פתרונם (החלטה לאחר חוק ההתפזרות): “הצעת ההחלטה מוגשת לאחר שהתקבל בכנסת חוק התפזרות הכנסת ה- 19, התשע”ה – 2014. הצעת ההחלטה נבחנה בהתאם למסגרת המשפטית החלה על קבלת החלטות ממשלה לאחר קבלת חוק ההתפזרות. במסגרת זו נדרשת הממשלה לאיפוק הראוי לממשלה יוצאת אולם עליה להבטיח יציבות והמשכיות. יש לאזן איזון כולל – בהתחשב במכלול הנסיבות – האם נדרשים איפוק או עשייה. במכלול הנסיבות הקשורות בצורך הדחוף בקידום הנושא, בפערים הידועים בטיפול במרחב הסייבר האזרחי ולנוכח היקפה של עבודת המטה שקדמה להצעת ההחלטה, נראה כי מכלול הנסיבות מניעות לעשייה וכי הממשלה מוסמכת ויכולה לקבל את ההחלטה בעת הזו (…) ההחלטה נדרשת כעת על-מנת להמשיך את רצף הפעילות הממשלתי ולכוונו ולא לקטוע אותו”.