דוח המבקר על מחדל הסייבר: "ניצלנו מאסון רק בזכות המזל"

ישראל נכנסה למלחמת חרבות ברזל כשהיא ערוכה רק בצורה חלקית לאיומי הסייבר - זו המסקנה העיקרית של דוח מבקר המדינה מתניהו אנגלמן שפורסם היום (שלישי). לפי הדוח, העלות הכלכלית השנתית של נזקי מתקפות הסייבר למשק הישראלי עומדת על 12 מיליארד שקלים. המבקר כותב בפירוש: ישראל לא חוותה אסון קטסטרופלי לא בזכות המוכנות, אלא בזכות המזל.

הממצא המטריד ביותר נוגע לדרג המדיני. במשך כעשור - עד יוני 2025 - לא קיימו ראשי הממשלה שכיהנו בתקופה זו, כולל ראש הממשלה בנימין נתניהו, אף דיון ייעודי בקבינט המדיני-ביטחוני בנושא הסייבר. יוצא דופן אחד בלבד: ישיבה בודדת שנערכה בשנת 2018. כתוצאה מכך, השרים ומקבלי ההחלטות לא נחשפו כלל למכלול הסיכונים ולרמת המוכנות האמיתית של המדינה.

צילום: נוצר באמצעות AI

גם מבחינה חקיקתית התמונה עגומה. במשך יותר מעשור לא קידם משרד ראש הממשלה חקיקה ייעודית להסדרת תחום הסייבר. בינואר 2024 הנחה נתניהו להגיש תזכיר חוק תוך שלושה חודשים - אך ההליך לא הסתיים בשל מחלוקות בין משרדי הממשלה, ולא נקבעו לוחות זמנים. חוק הגנת הסייבר הלאומי אושר בקריאה ראשונה רק ביום שלפני פרסום הדוח.

במשך שש שנים, מ-2018 ועד נובמבר 2024, לא התקיים בישראל אף תרגיל סייבר לאומי. רק כשנה לתוך המלחמה נערך תרגיל שולחני ראשון. חמור לא פחות: בשלושת התרגילים הלאומיים שנערכו - ב-2018, ב-2024 וב-2025 - לא השתתף אף נציג מהדרג המדיני. לא ראש הממשלה, לא שרי הקבינט.

המבקר בדק 21 גופים בעלי חשיבות עליונה לרציפות תפקוד המשק. התוצאות מדאיגות: שליש מהם קיבלו ציון של 60 ומטה במדד המוכנות הארגונית. ב-4 מהגופים לא היה כלל צוות לטיפול באירועי סייבר. במחצית מהגופים ועדת ההיגוי לא התכנסה כנדרש בשנה וחצי שקדמה למלחמה. ל-90.5% מהגופים אין ביטוח סייבר. ל-38% ממנכ"לי הגופים לא הוצגו מעולם סיכוני הסייבר של הארגון שלהם, ול-52% מהם לא הוצגה מעולם תוכנית התאוששות ממתקפה.

גם בתחום התשתיות הקריטיות - המכונות גופי תמ"ק - נמצאו פערים חמורים. ערב המלחמה, חלק מהגופים האחראים על מערכות שפגיעה בהן עלולה לפגוע בחיי אדם, החזיקו ביכולת התמודדות "מוגבלת" בלבד. מצב זה השתפר ביוני 2025, אך הפערים לא נסגרו לחלוטין. מערך הסייבר הלאומי גם לא העביר לראש הממשלה, למזכיר הממשלה, לראש המל"ל, לראש השב"כ וליושב ראש ועדת החוץ והביטחון את הדיווחים החצי-שנתיים על מצב ההגנה - כפי שנקבע בהחלטת ממשלה - משנת 2020 ועד יוני 2025.

במהלך המלחמה עצמה חל זינוק בהיקף ובעוצמה של מתקפות הסייבר. התוקפים, ובראשם איראן וחמאס, שינו אסטרטגיה לאורך הלחימה: בתחילה התמקדו בלוחמה פסיכולוגית ומניעת גישה, בהמשך עברו למתקפות שמחקו מידע וגרמו נזק, ובשנת 2024 הפוקוס עבר לאיסוף מידע ממוקד על אזרחים ויעדי איש. בין הגופים שספגו מתקפות ניתן למנות מוסד אקדמי גדול, חברות אחסון אתרים שהשפיעו גם על משרדי ממשלה, בית חולים שפעילותו שובשה, ועוד.

המבקר מציין לחיוב את פעילות מערך הסייבר הלאומי לאחר פרוץ המלחמה: המערך פעל במהירות, שינה סדרי עדיפויות וסגר פערים קריטיים. ממערך הסייבר נמסר בתגובה: "פעילות ההגנה האינטנסיבית בתקופת המלחמה הביאה למניעת הישגים משמעותיים מהאויבים, אשר לא הצליחו לפגוע ברציפות התפקוד הלאומית או בחיי אדם, כפי שניסו שוב ושוב". אולם המבקר מדגיש: פעולות אלו אינן תחליף לטיפול בפערים שהצטברו במשך שנים.

הדוח כולל גם ממצאים חריפים על בית הנשיא: המוסד פעל לחלוטין ללא גורם ממשלתי מנחה בתחום הסייבר, לא החיל על עצמו את כללי אבטחת המידע המחייבים משרדי ממשלה, ומאגר הנתונים של כ-100 אלף מבקשי חנינה נוהל שלא על פי חלק מהוראות הדין. רק בספטמבר 2024 אומצו רשמית הנחיות אבטחה.

המבקר קובע כי הדוח צריך לשמש "תמרור אזהרה והתרעה מחייבת". ההמלצות כוללות גיבוש תוכנית פעולה לאומית לצמצום פערי הסייבר, קיום דיונים סדורים בקבינט לפחות אחת לחצי שנה, תרגילים לאומיים בשגרה, ועדכון מסמך "התפיסה הלאומית לניהול משבר סייבר" שלא עודכן שנים רבות. חקיקת חוק הסייבר שעברה בקריאה ראשונה תיבחן בהמשך הליך החקיקה בכנסת.