החלטת הממשלה משנת 2015 על חקיקת חוק הסייבר טרם מומשה, למעלה משבע שנים לאחר שנתקבלה - אומר (6.12.22)
מבקר המדינה,
מתניהו אנגלמן. בשל כך נדרש כל מאסדר לפעול באופן עצמאי ולבצע תיקונים בחוקים ובתקנות שלו כדי ליישם את דרישות הסייבר במגזר שלו.
אנגלמן התמקד בתחום התחבורה, בו מצויים 20% (שישה מתוך 30) מהגופים שמוגדרים כתשתיות מדינה קריטיות ומחזיקים במערכות ממוחשבות חיוניות. הרשות להגנת הפרטיות אף קבעה, כי האיום על הפרטיות במגזר זה הוא בדרגה ארבע מתוך חמש דרגות.
משרד התחבורה ממתין לחקיקת חוק הסייבר, ובשל כך חסרים לו כלים לאכוף על הגופים במגזר (בהם מפעילי תחבורה ציבורית, נמלי ים וחברות תעופה) את דרישות הסייבר שקבע במסגרת המדיניות להגנת הסייבר במגזר.
משרד התחבורה החל בספטמבר 2021 בהכנסת נספחי סייבר מחייבים בהתקשרויות חדשות בתחומי התשתיות היבשתיות, אולם עדיין ישנם תחומים בהם אין חובה כזאת. חלק מההסכמים בתחום אחריותו של המשרד נחתמים לתקופה ארוכה, כאשר בהסכמים שנחתמו בעבר אין דרישות סייבר. למשל: נמלים - זיכיון ל-25 שנים; הפעלת אשכולות תחבורה ציבורית - עשר שנים. קיים סיכון שגם ההתקשרויות שצפויות להסתיים בשנים הקרובות יוארכו, מבלי שיתווספו להן דרישות סייבר במסגרת הארכתן וחידושן.
בשנת 2021 ביצע המשרד ביקורות כדי לבחון את מידת עמידתם של חלק מהגופים בדרישות הסייבר שפרסם. מדובר בין היתר בחברות תחבורה ציבורית, חברות תשתיות כבישים, ונמלי ים. בביקורות נמצאו שורה של ליקויים רוחביים המחייבים טיפול מערכתי, אך המשרד לא ביצע מעקב אחר תיקון הליקויים.
משאבי אגף הסייבר - משאבי כוח האדם והתקציב הדרושים למימוש אחריות של משרד התחבורה בתחום הסייבר במגזר אינם מספיקים. באגף הסייבר מועסקים שלושה עובדים במקום חמישה, ואושרו לו רק 21% (6.3 מיליון שקל) מהתקציב שביקש למימוש תפקידו, כך שהוא אינו יכול לתת מענה לחלק מהאיומים הניצבים בפניו. בשל העדר המשאבים לא בוצעו משימות, ובהן: בניית יכולת התערבות באירועי סייבר; פעילויות להעלאת החוסן; הרחבת הביקורות; וליווי הגופים בתיקון ליקויים חמורים.
משרד התחבורה אחראי לקדם את הטיפול בהיערכות לאיומי הסייבר של כל המגזר, אולם הוא מתקשה במילוי תפקידו מהסיבות האלו: הוא אינו רואה את התמונה המגזרית כולה על תתי-המגזרים שבה; הוא אינו רואה את מפת הסיכונים ואת הפערים הקיימים בכל גוף; והוא אינו מקבל מידע חיוני מהגופים על פעילויות שביצעו, כמו מבדקי חדירות, תוכניות עבודה לתיקון הליקויים, דיווח על אירועי סייבר ותחקירים עליהם שביצע הגוף.
המשרד הקים מרכז לניטור אירועי אבטחת מידע מגזרי (SOC), אך 21 מתוך 35 מהגופים שמתוכננים להיות מחוברים אליו לא חוברו אליו עד סיום הביקורת ולא נקבעה תוכנית עבודה מפורטת לחיבור כל הגופים. ההתקשרות הנוכחית של משרד התחבורה עם רשות שדות התעופה להפעלת ה-SOC נחתמה לשנה אחת בלבד ואינה נותנת מענה מלא לארגונים גדולים.
מערכת תחבורה עירונית אחראית על התחבורה בתחום השיפוט של העיר שבה היא פועלת. בסקר שערך משרד מבקר המדינה בעשר עיריות ובשתי חברות עלו פערים מהותיים בין מצב הגנת הסייבר של המערכות לבין דרישות הסייבר של משרד התחבורה. כן עלה כי כל המערכות בתחום התחבורה (למעט המערכות המופעלות על-ידי חברות התשתית ואחת העיריות) אינן מונחות על-ידי משרד הפנים או משרד התחבורה, אף שיש כאלו שפגיעה בהן עלולה לגרום לפגיעה כלכלית ניכרת ואף לפגיעה בחיי אדם.