ועדת המדע והטכנולוגיה (יום ג', 29.5.18) דיון בנושא תקיפות סבר (סייבר) ברשויות המקומיות. יו"ר הוועדה ח"כ
אורי מקלב זימן את הישיבה בעקבות תשלומי כופר ששולמו לפצחנים ברשויות המקומיות. הישיבה נועדה לתת מדיניות חדה וברורה בנוגע לדרישות תשלומי הכופר ברשויות והדרך להימנע ממצבים אלו.
מקלב פתח את הדיון: "כבר במשנה נכתב כי אין פודים את השבויים יותר מכדי דמיהם... רשויות נדרשות לתקיפות כופר וחלקן אף משלמות. זו היא תמונה עגומה למדי, שמקום שמחזיק במאגרי המידע הכי אישיים וחסויים של האזרחים נתון לפריצה. כאשר נוסף על כך, תשלום כופר מכספי רשויות, עלינו להבין איך זה קרה ואיך מונעים את זה. חלק מהרשויות שכבר נפגעו, נושאות באחריות ושותפות לתהליך הנכון. אני לא אחשוף הרבה פרטים על כל רשות כי אנו רוצים את טובת העניין, אך בכל מקרה מברך את אלו שהגיעו לדיון בוועדה ומשתתפים בהצפת הסיפור, כדי שדברים אלו לא יישנו ברשויות מקומיות אחרות שאולי אדישות במעט להוראות האבטחה וההגנה הנדרשת".
ארז תדהר, ראש מחלקת הנחיות במערך הסייבר, אמר בדיון: "הוקמה יחידת הגנת סבר מיוחדת למעקב וטיפול מול הרשויות המקומיות. יש לנו חמישה אנשי מקצוע שפועלים לנושא זה. נבחרו תחילה 50 רשויות ראשונות איתן אנו עובדים. אנו מכירים יכולת יריב במספר מערכות אזוריות לשבש כדי לבצע יכולת חדירה מהגדר, ולכן יישובי סמוכי גדר ובטווח ק"מ קרוב, נכנסו תחת סל העיריות שמטפלים באופן אישי ומידי. היכולת לתקיפות הן רבות וגם פשוטות, לדוגמה, כל הכניסה למקלטים של התושבים היא ע"י הודעה מהרבש"ץ - תארו לעצמכם שיש הודעה להיכנס למקלטים ומיד אחר כך כשיש תקיפה, ההודעה קוראת לצאת מהם".
בהתייחסו לתשלום הכופר שניתן במועצה האזורית חוף אשקלון לתקיפת פצחן, אמר תדהר: "הצוות המיוחד הגיע גם אל המועצה האזורית חוף אשקלון לפני שנה והתבקש ליישם ולהתנהג לפני הנחיות והוראות של מערך הסייבר. לצערי הרב, הם לא הזיזו את העניינים מספיק ורק עכשיו לאחר התקיפה, הם זימנו באופן בהול אותנו לסייע להם".
רפ"ק שלום בן שמעון, קמ"ד טכנולוגיית סיגנט במשטרה, אמר בדיון כי "הנחיית המשטרה היא באותה המלצה הקיימת כמו שאר המשטרות בעולם - שלא לשלם דמי כופר לפורצים".
ליאור שחר, מנהל אגף בכיר לתכנון מדיניות במשרד הפנים: "הפרסום על דמי הכופר ששולמו ע"י רשויות הכניס לעניין את כל הרשויות שמבקשות להיעזר בהנחיות שיש דרכנו יחד עם מערך הסייבר".
צחי שלום, מנהל מערכות מידע במרכז שלטון מקומי: "יחידת הסייבר המשותפת לרשויות, מתוקצבת במיליון שקל - סכום מגוחך. אין סיכוי בעולם ככה שרשות מקומית תהיה מוכנה. חמישה אנשים שמכינים את הרשויות - זה ממש לא מספיק! גם אני אישית לפני ארבעה חודשים פתחתי קריאה לעזרה ממערך הסייבר, ואמרו לי שאסתדר לבד. הרשויות לא יכולות להתקדם ככה כי איש לא בא להיות מנהל אבטחת מידע בשכר של עשרת אלפים שקל. ועם זה אנו בהוראה של רשות הסייבר שמנהל מערכות מידע אינו יכול להיות גם ממונה אבטחת מידע - אז כיצד נוכל להמציא כאלו תפקידים אם אין תקציב?"
אורי איתן, מתאמת מערכות הנדסיות בעיריית נצרת, סיפרה בוועדה על מקרה תקיפת כופר שהתרחש בעירה: "נפגענו מווירוס כופר שנעל את כל נתוני התביעות המשפטיות של העירייה. נתקענו אז בלי כל גיבוי כי עברנו למערכת חדשה ושם פצחנים דרשו לשלם כופר. המלצתי לשלם את עשרת אלפים השקלים. ראש העירייה תהה אז כיצד מוציאים תשלום כופר מכספי ציבור, אבל התייעצנו משפטית עם המשטרה וככה עשינו בסוף. לא הייתה ברירה".
איריס אלפסי, מנהלת מערכות מידע בעיריית מעלה אדומים: "דואר אלקטרוני שהתקבל בקונסרבטוריון העירוני, התחזה לחברת מייקרוסופט וגרם לווירוס במחשבים. התייעצנו עם מערך הסייבר וקיבלנו הנחיות ברורות כיצד לפעול. אין לנו איך לפעול כנגד - איזה מנהל אבטחת מידע יבוא לעבוד אצלנו תמורת שכר של עשרת אלפים שקל. אני בשכר הזה ניסיתי לגייס מנהל רשת וצחקו עלי - כולם מקבלים 25 אלף שקל לחודש".
יו"ר הוועדה מקלב סיכם את הדיון: "אנו מדברים על נושא קריטי וחשוב ולא שומעים על הערכות תקציביות של המשרדים לכך. אני רוצה לפעול מול האוצר וועדת הכספים כדי לראות כיצד יש הנחיות שמערך הסייבר מפליג בחשיבות, אך מאידך-גיסא ממול זה לא רואים הכנות תקציביות. בנוסף, גם מול הרשויות המקומיות, מערך הסייבר הלאומי, צריך להיות מחייב ואף מתוקצב ולא רק גורם ממליץ".
מצ"ב קישור לסרטונים מהדיון
יעקב אליאך, דוברות הכנסת