top image

הוראת תכ”ם 7.3.1.6 – אבטחת מידע והגנות סייבר במכרזים

סייבר משרדי ממשלה הוראות חשכל מכרזים תכ

החשב הכללי במשרד האוצר, פרסם בימים האחרונים לעיון הציבור, טיוטה להוראת תכ”ם (תקנון כספים ומשק) מס’ 7.3.1 שעניינה אחריות לאבטחת מידע והגנות סייבר במכרזי הממשלה. ביום 25/5/2023, עידכן החשכ”ל את הוראת תכ”מ 7.3.1.6 אחריות לאבטחת מידע וסייבר של ספקי הממשלה (מהדורה 14), שתהיה בתוקף החל מיום 23/01/2024. בכך, לראשונה, מטמיעה המדינה מתודה של ניהול סיכונים בתחום הסייבר והגנת המידע, במכרזים שהיא מפרסמת. קראו כאן את עיקרי ההוראה, ואת הביקורת עליה.

 

מהן הוראות תכ”ם?

החשב הכללי במשרד האוצר הוא הגוף האחראי לכתיבה ולפרסום תקנון כספים ומשק (תכ”ם) של מדינת ישראל, מתוקף חוק נכסי המדינה, התשי”א-1951. תקנות אלה (שמעמדן הנחיות מנהליות בלבד), כוללות הנחיות אופרטיביות, מקצועיות ועדכניות המחייבות את משרדי הממשלה ואת יחידות הסמך השונות של משרדים אלו. הן אינן מחייבות את יתר הגופים הציבוריים, אולם על גופים אלה לנהוג בתשומת לב אליהן, ככל שאין נוהל פנימי אחר. לאור זאת, ישנם גופים ציבוריים שאימצו את הוראות התכ”ם כחלק מהתקנון או הנוהל הפנימי שלהם. תשומת הלב כי הוראות התכ”מ מוגבלות לפרשנות, להסבר וליישום של ההסדרים הנורמטיביים הקבועים בחוק ובתקנות, בלבד.

 

סיכוני שרשרת האספקה

תוקפי סייבר מזהים את המידע האצור בשרשרת אספקה כאוצר של ממש, בין אם המידע מצוי אצל ספק ובין אם אצל היעד המרכזי לתקיפה. קצב ביצוע תקיפות הסייבר, אירועי אבטחת מידע ופגיעה בפרטיות, הולך וגובר בשנים האחרונות. גורמים שונים מנצלים פרצות אבטחה במאגרי המידע של ארגונים על מנת לחדור אליהם ולהשיג שליטה על מידע שהוא קריטי לפעילותם. פעמים רבות מטרתם של גורמים אלה היא להשיג רווח כלכלי מהיר באמצעות שימוש במידע המסחרי, הפרטי והרגיש אודות הלקוחות ובכך הם מבקשים לבצע סחיטה מקוונת באמצעות תוכנת כופר. תפיסת מערך הסייבר הלאומי היא ששרשרת אספקה, מאפשרת לארגון להתמקד בפעילות הליבה, ולהוציא לצד ג’ את הפעילויות (מוצרים ושירותים), בהם אין לו יתרון תחרותי לדוגמה, רכש של תכנות ייעודיות, קבלת שירותי ייעוץ ושירותי תמיכה, רכש של פתרונות אחסון ועוד. שרשרת האספקה נחשבת מסיבות רבות, כחוליה החלשה בארגון, וכאחד הווקטורים המבטיחים לתקיפת סייבר.

 

ניהול סיכוני סייבר

על פי תורת ההגנה המקובלת, על הארגון חלה אחריות לוודא כי הוא מנהל את הסיכונים אליהם הוא חשוף מצד נותני השירות שלו, גם במימד הסייבר. לפיכך, על הארגון להתייחס בכובד ראש לתהליך ניהול סיכוני סייבר להגנה על שרשרת האספקה תוך בחינת סיכוני סייבר פוטנציאליים הנובעים מהתקשרות עם ספק ספציפי. זאת, בין היתר, על ידי הגדרת תהליכי עבודה מאובטחים ויישום והטמעת בקרות להפחתת חשיפת הארגון לסיכוני סייבר. טיוטת הוראת התכ”ם החדשה, מאמצת תורה זו, הלכה למעשה, וקובעת כי ניתוח סיכונים בתחום הסייבר הנו חלק בלתי נפרד מהכנת המכרז, ומההתקשרות שתבוא בעקבותיה. לצורך קביעת תניות הגנת מידע ואבטחת סייבר, על עורך המכרז לבצע ניתוח של סיכונים ביחס למהות וכמות המידע של המשרד המועבר אל הספק, המידע הנוצר אצל הספק במסגרת ההתקשרות או שהוא נחשף אליו, וכן הגנות סייבר נדרשות למערכות המופעלות על ידי הספק הרלוונטיות לאותה התקשרות.

 

קביעת רמת רגישות המכרז בתחום הסייבר

הנוהל קובע כי ברמות הרגישות הנמוכות, וככל שלא נכלל אחד מנספחי אבטחת מידע במסמכי המכרז, יש לכלול סעיף בנוסח הבא: “הספק יהיה האחראי הבלעדי על אבטחת המידע שהועבר או נצבר אצלו במסגרת ההתקשרות. בנוסף, הספק יהיה אחראי על אבטחת המערכות, התוכנות והחומרה המשמשת אותו לצורך אספקת השירותים או המוצרים למזמין, על תקינותם, אמינותם (integrity) ועל תפקודם השוטף והתקין. לצורך עמידת הספק בחובות אלו יתפעל הספק ויעדכן את אמצעי האבטחה באופן שוטף, ויוודא כי האמצעים הטכנולוגיים והתהליכיים המשמשים לאבטחת המידע הם חדישים ועומדים בסטנדרטים המקובלים בתחום.”

החשב הכללי אף מונה מספר השאלות הבאות, על מנת להכריע באשר לרמת הרגישות, והטופס הרלוונטי. כך, בין היתר, ייבחנו השאלות האם כחלק מההתקשרות נדרש הספק להפעיל מערכות מידע ייעודיות? והאם מערכות אלו פועלות גם על תשתיות המשרד? איזה מידע של המשרד או של עובדי המשרד מועבר לספק או נצבר אצלו, מה היקף המידע שנצבר אצלו וכיצד הספק מאכסן ומגן על מידע זה? האם כחלק ממתן השירותים מועבר לספק מידע על אודות אזרחים או תושבים של מדינת ישראל? מה הרגישות של השירותים הניתנים על ידי הספק, ובמסגרת כך חשש לפגיעה במשק, פגיעה בחיי אדם, ופגיעה באופן התפעול של המשרד? מה משמעות של אירוע אבטחת מידע על אספקת שירותים אלו ועל עבודת המשרד? כגון הדלפת מידע, חסימת גישה למערכת, אי זמינות של המערכת וכיוצא בזה.

 

בעיות בטיוטא

לצד המחמאות על יצירת מתודולוגיה, ועליית הרמה בתחום הסייבר במכרזים שיערכו משרדי הממשלה, עדיין קיימות בהוראה כשלים. לדוגמה –

  • היעדר תנאי סף בתחום הגנת סייבר. הטיוטא אינה קובעת, כי בכל התקשרות, תנאי סף יהיה אחד או יותר מהבאים: רישום מאגר מידע אצל הספק, בהתאם להוראות הדין; עמידה בתקינה בתחום אבטחת מידע ISO/IEC 27001:2013 , ISO/IEC 27017:2015 , ISO/IEC 27032:2012, רישום במאגר הספקים של רמו”ט; וכדומה.
  • זהות הגורם המכריע בנושא הסייבר. למרבית הגורמים עורכי המכרזים, אם לא לכולם, אין הכשרה ו/או ניסיון בתחום הסייבר. במילים אחרות, הגורם המכריע והמסווג, אינו בעל מומחיות מקצועית בתחום.
  • סיווג דרגת הרגישות. הטיוטא מתייחסת ל”פיתוח, אספקה, תחזוקה או תפעול של מערכות מידע”, לצורך סיווג דרגת הרגישות. היא אינה מתייחס לאפשרות הגישה/ צפיה של הזוכה, למידע האצור במשרד, ולשימוש במידע זה. היא אינה מתייחסת לאופן שילובן של מערכות, לכרייה או להצלבה של נתונים בין מערכות, ועוד.
  • הגדרה חלקית של “מידע רגיש”. “מידע רגיש” הוגדר באופן מצומצם ביותר, באופן שאינו עולה בקנה אחד עם הפרקטיקה המקצועית או בחוק הגנת הפרטיות, התשמ”א – 1981.
  • נהלי עבודה. נהלי העבודה וההתנהלות השוטפת, לצורך אבטחת המידע או בעת אירוע סייבר, אינם מתאימים למציאות, ולמהירות בה מתרחשים אירועי סייבר. כך לדוגמה, ככל שנתגלו ליקויים בתחום אבטחת המידע, יהווה הדבר הפרה יסודית של ההסכם, ויהווה עילה להפסקת התקשרות, בכפוף לשימוע. בינתיים, אירוע הסייבר הסתיים.
  • ברירת המחדל – רמת רגישות גבוהה מאד. רמת רגישות גבוהה מאד מוגדרת ככזו הכרוכה ברכישת שירותי ענן או רכישת שירותים הניתנים על גבי תשתיות ענן. מאחר ומרבית השירותים ניתנים כיום, באמצעות ו/או בשימוש, חלקי או מלא, בענן (לרבות דוא”ל ולרבות תוכנות ברשיון של צד ג’), הרי שברירת המחדל הנה סיווגן של מרבית התקשרות הממשלה, בדמת רגישות גבוהה מאד.
  • הטיוטא אינה עורכת הבחנה בין מאגרי מידע הנמצאים בישראל, לבין מאגרי מידע הנמצאים בחו”ל, לצורך סיווג רמת הרגישות, ובהתייחס לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס”א-2001.

 

האם מדובר בהרחבת הרגולציה?

האם מדובר בהרחבת הרגולציה הקיימת? אנו סבורים כי התשובה לכך חיובית. ונסביר: עצם חובת הדיווח, כאמור בסעיף 3 למסמך הנוהל וההגדרות של האירועים שבגינם הספק חייב בדיווח כגון ניסיון תקיפת סייבר, אבטחת מידע ומידע רגיש בנוהל המוצע כאן מוסיף נטלים על הספק. כך למשל, ספק שאינו מוגדר כבעל מאגר מידע ברמת אבטחת בינונית או גבוהה כאמור בתקנות הגנת הפרטיות (אבטחת מידע) התשע”ז – 2017 ואינו חייב בדיווח אירוע אבטחה חמור יהא חייב בדיווח כאן על כל המשמעויות.

 

עדכון: החלת הוראת תכ”מ מספר 7.3.1- מסמכי מכרז

עדכון: הטיוטא שפרסם החשב הכללי, הפכה להנחיה מחייבת למשרדי הממשלה וליחידות הסמך. לפיכך, בהתאם להוראת תכ”מ 7.3.1, מכרזים שיפורסמו החל מיום 1 בינואר 2024, יכללו, במסגרת מסמכי המכרז, תניה בדבר אחריות הספק לאבטחת המידע של הממשלה והגנות סייבר למערכות, באמצעותם הוא מספק שירותים לממשלה או שומר מידע ממשלתי שהועבר או נצבר אצלו במסגרת ההתקשרות. במכרזים שיפורסמו קודם למועד זה, ניתן (אך לא חובה) לכלול תניה כאמור.

להוראת התכ”מ צורפו שני טפסי אבטחת מידע בהתאם לרמות הסיכון בקשר להתקשרות – רמה רגילה או רמה מוגברת (כאן). נספחים אלו נועדו להוות דרישות בסיס, כאשר דרישות אבטחת מידע והגנת סייבר נוספות עבור מערכת קונקרטית, ייקבעו על ידי משרדי הממשלה לפי הצורך, ובהתאם לאופי ההתקשרות.

 

לסיכום

הוראת התכ”מ מציפה פערים רבים, בהגדרת ובאופן יישום הוראת התכ”ם לגבי אבטחת מידע והגנות סייבר במכרזי הממשלה, ועוד יותר – לגבי ההתקשרויות שייכרתו מכוחם. ניתן לאמץ, לטעמנו, בשלב הראשון, הוראות בדבר קיומם של תנאי סף, הנשענות על מתודות מסודרות ומוכחות. לאחר מכן, מומלץ לאמץ גישה סדורה לאיפיון וסיווג רמת הרגישות במכרזים, ולקבוע הוראות מתאימות, ברורות וישימות.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים