בשעת לילה מאוחרת של ה-21 במאי החלה מתקפת-נגד של גורמים איראנים, שפגעה בין היתר בספק אחסון אתרים גדול בישראל הכולל רשויות מקומיות, חברות ציבוריות, פיננסיות ועוד.

המתקפה המתוחכמת כללה שתילת קוד אקטיבי באתרים, זאת מעבר למתקפות חסרות המשמעות שאינן חורגות מהמרחב המקומי ומתאפיינות בד"כ בהשחתה טיפוסית של אתר עם דגל פלסטין. הפעולה המיוחסת לאיראן כללה הפעם גם מתקפה נגד מתקני מים וביוב. בישראל רואים במתקפות אלו הסלמה משמעותית מצד האיראנים וחציית קו אדום במיוחד, לנוכח העובדה שמדובר בניסיון לפגוע גם במתקני מים אזרחיים.

הפעולה המיוחסת לאיראן כללה הפעם גם מתקפה נגד מתקני מים וביוב. בישראל רואים במתקפות אלו הסלמה משמעותית מצד האיראנים וחציית קו אדום במיוחד, לנוכח הנסיון לפגוע גם במתקני מים אזרחיים

עולם הגנת הסייבר הינו מורכב ומצריך ידע רב-תחומי ועדכון תמידי. יש להכיר היטב את החוקים והתקנות, האיומים והחולשות, המערכות הטכנולוגיות, התהליכים העסקיים והסיכונים הגלומים בהם. נדרשת מיומנות מקצועית לביצוע מבדקי חדירה והיכרות לעומק עם האתגרים השונים, סביבת מערכות המידע וסוגי מאגרי המידע. איומי הסייבר אם כן, אינם בגדר תיאוריה. המתקפה האחרונה על תאגידי המים  ממחישה שהאיום כבר כאן ומחייבת נקיטת פעולות לאלתר.

ככל שהדבר נוגע לשלטון המקומי, הרי שבשנים האחרונות רשויות מקומיות רבות נענות לאתגר ומבצעות בחינת היערכות לאיומי הסייבר והפרטיות. תרומה רבה יש למבקרי הרשויות המבצעים סקרי סיכונים ומבדקי חדירה בנושא של אבטחת מידע והגנת הפרטיות, כולל עריכת סימולציה של מתקפת סייבר אשר באמצעותה ניתן לאתר חולשות מהותיות במערך אבטחת המידע של הרשות. מבקרים רבים מפרסמים דוחות ביקורת מקיפים שמוגשים להנהלת הרשות, אשר מעניקה להם חשיבות רבה ופועלת באופן נמרץ כדי לתקן את הליקויים העולים בהם.

מי שמצוי בדיני הרשויות המקומיות יודע כי הן מחויבות בהקמת ועדות שונות. כך יוצא שלצד ועדות רכש, כ"א ומכרזים – פועלות גם ועדות חובה כגון בטחון ומל"ח. אך יחד עם זאת, אף שלשתי אלה, בניגוד לאחרות, אין הגדרות ברורות של תפקידן בחוק, המסורת הארגונית עצבה את דרכי פעולתן והן מנהלות מרכזי הפעלה, מבצעות תרגילים והשתלמויות, עוברות ביקורות תדיר וכל זה תוך מוכנות לתרחישי מלחמה קונבנציונלית, מתקפות טילים, טרור ואף רעידות אדמה. וכשאיומי הסייבר כל כך מוחשיים, אין לנו אלא לשאול, מה עשינו עד כה כדי למנוע אותם?

מתקפות סייבר אינן שונות במהותן מאיומים אחרים. ניתן להתמודד איתן באמצעות העקרונות הקלאסיים של האסטרטגיה הצבאית, בשילוב בקרת החוסן ומבדקי חדירה לבחינת היערכות להתמודדות עם מתקפות. עקרונות אלה יספקו מענה לאיומים אסימטריים וקונבנציונליים אחרים, ובהחלט אפשר שיידרשו התאמות על פי האתגרים הספציפיים שמציבים איומי הסייבר.

מתקפות סייבר אינן שונות במהותן מאיומים אחרים. ניתן להתמודד איתן באמצעות העקרונות הקלאסיים של האסטרטגיה הצבאית, בשילוב בקרת החוסן ומבדקי חדירה לבחינת היערכות להתמודדות עם מתקפות

עם זאת, בתחומים שבהם הוכחה יעילותם של עקרונות אלה, אנו משוכנעים שנראה פיתוח של יכולות חדשות במהלך הזמן, כפי שקורה תמיד כאשר מתעוררים איומים חדשים.

בדוח מבקר המדינה שפורסם אך לאחרונה, מתריע המבקר על חוסר המוכנות של הרשויות להתמודד עם איומי הסייבר. נוכח הדברים הללו, ניתן היה לצפות להקמת ועדת חובה נוספת, יהא שמה אשר יהא, שתכליתה לבחון מוכנות הרשויות לעמידה בפני אירועי סייבר. ועדה מעין זו, אף אם תוסדר תחילה בהוראות נוהל ולא בחקיקה, תפתח מסורת ארגונית שתוכל לתרום רבות להגברת המודעות ובניית הכלים המתאימים להתמודדות מול אתגר זה. יש לדאוג לתקצוב מתאים המעוגן בחקיקה, אשר יאפשר לרשויות את המוכנות והמיגון לקראת הבאות.

ככל שמדובר ברשויות מקומיות, כדי לצפות מבעוד מועד ולאמוד את סיכוני סייבר שמאיימים על אסטרטגית פעילותן מומלץ לבצע סקרי סיכונים וביקורת אבטחת מידע וסייבר. פעולות אלה יסייעו להנהלה להעריך את הסיכון האמיתי, לבצע תיעדוף בהקצאת משאבים ולצמצם את ההשלכות ההרסניות של אירועי סייבר, ובעיקר את ההשלכות המשפטיות והכלכליות, הן הישירות והן העקיפות שאירועים מעין אלה טומנים בחובם.

עינב פרץ היא רו״ח ומשפטנית. היא יו”ר איגוד מבקרי הרשויות המקומיות בישראל משנת 2017, מבקרת עיריית עפולה בחמש עשרה שנים האחרונות, מומחית תוכן בתחום הביקורת הפנימית ובתחום השלטון המקומי, מקדמת רפורמות ופעילויות למען חיזוק שלטון החוק וטוהר המידות בשיתוף משרדי הממשלה, מבקר המדינה, מרכז שלטון מקומי, התנועה לאיכות השלטון ועוד (צילום: דוברות העיריה)