משרד האוצר – מינהל הרכש הממשלתי פרסם לאחרונה טיוטא לעדכון הוראת תכ"ם בנושא אחריות לאבטחת מידע והגנת סייבר במכרזי ממשלה. הטיוטא פתוחה להערות הציבור עד ליום 2.5.23.
בהתאם לפרסום מינהל הרכש הממשלתי, משרדי הממשלה מבצעים התקשרויות מול ספקים רבים מדי שנה. בחלקן של התקשרויות אלה, ספקי הממשלה מקבלים ומייצרים מידע ממשלתי ואף מפעילים מערכות מידע שונות עבור הממשלה. לפי הפרסום, על מנת להגדיר את האחריות לאבטחת מידע וההגנה בסייבר בהתקשרויות הממשלה, ולהסדיר את סמכות הממשלה לבצע בקרות ולהתערב במצבי אירוע אבטחת מידע או סייבר, צפוי עדכון להוראת התכ"ם בנושא מסמכי המכרז.
הוראת התכ"מ המעודכנת צפויה, כפי הנראה, לחול על כל הליכי הרכש, ונועדה להנחות את משרדי הממשלה בדבר קביעת תניית הגנת מידע ואבטחת סייבר, בנוגע לאחריות הספק לאבטחת המידע של הממשלה והגנות סייבר למערכות באמצעותן הוא מספק שירותים לממשלה, בהתאם לניתוח סיכונים וביחס למידע הממשלתי הרלוונטי להתקשרות, במכרזים המפורסמים על ידי הממשלה.
להלן עיקרי העדכונים המוצעים על ידי מנהל הרכש הממשלתי:
1. ניתוח וניהול סיכונים לקביעת רמת דרישות אבטחת מידע ביחס להתקשרות – בהתאם למסמכים שפורסמו, תניות הגנת מידע ואבטחת סייבר, וסוג הדרישות שיחולו על הספק, ייקבעו על פי ניתוח סיכונים, ובין היתר לפי הפרמטרים הבאים:
סוג ההתקשרות והיקף ההתקשרות;
מהות והיקף המידע של המשרד המועבר במסגרת ההתקשרות אל הספק או המידע הנוצר אצל הספק (האם הספק מחזיק מידע ממשלתי רגיש, או מידע מוגן לפי דיני הפרטיות; האם כחלק מההתקשרות מועבר לספק מידע על אזרחים ישראלים או תושבים ישראלים);
האם מדובר בפיתוח, אספקה, תחזוקה או תפעול של מערכת תשתית טכנולוגית;
האם כחלק מההתקשרות נדרש הספק להפעיל מערכות מידע ייעודיות? והאם מערכות אלו פועלות גם על תשתיות המשרד הממשלתי? האם קיים קישור למערכות המשרד;
רגישות השירותים (בין היתר, האם קיים חשש לפגיעה במשק, בחיי אדם, או בתפעול המשרד הממשלתי);
פוטנציאל הנזק עקב פגיעה במערכות הספק, על אספקת השירותים ועל עבודת המשרד הממשלתי;
רכישת שירותי ענן או שירותים על גבי תשתיות ענן;
הגנות סייבר נדרשות למערכות המופעלות על ידי הספק הרלוונטיות לאותה התקשרות.
בהתאם לממצאי ניתוח הסיכונים, יש לכלול נספח ייעודי להסכם ההתקשרות, כמפורט בטבלה המצורפת לטיוטא (נספח ז' – אחריות לאבטחת מידע וסייבר של הממשלה, להלן: "הטיוטא"). טפסי אבטחת מידע יחולו על ספקי הממשלה, בהתאם לרמת הסיכון שתיקבע, וכן קיים טופס נפרד לעניין ספקי שירות בענן. בהתאם לטיוטא, ככל שיימצא כי השירותים במסגרת המכרז מתאימים ליותר מנספח אחד, יפעל המשרד לפי הדרישה של דרגת הרגישות הגבוהה יותר.
2. נספחי אבטחת המידע – כחלק מהמסמכים שפורסמו להערות הציבור, צורפו שני טפסי אבטחת מידע בהתאם לרמות הסיכון בקשר להתקשרות (רמה רגילה או רמה מוגברת). הנספחים נועדו להוות דרישות בסיס, כאשר דרישות אבטחת מידע והגנת סייבר נוספות עבור מערכת קונקרטית, ייקבעו על ידי משרדי הממשלה לפי הצורך, ובהתאם לאופי ההתקשרות.
ההבדלים העיקריים בין הנספחים, נוגעים לאופי הביקורת התקופתית על ידי המשרד הממשלתי המזמין (שהינה מקיפה יותר ברמה המוגברת), וכן לעניין חובות הדיווח (שהינן משמעותיות יותר ברמה המוגברת), בהתאמה לרמות הרגישות של המידע.
בוובינר שקיימו בימים האחרונים נציגי מנהל הרכש הממשלתי בנושא, הם ציינו כי הם מבקשים להגיע לאיזון הולם בין שמירה על האינטרס הציבורי בהגנה על מערכות המידע ומידע ממשלתי, ובין האינטרס שלא לפגוע בתהליכי רכש ולאפשר שוק רחב של ספקים. בשל ההשפעה הצפויה על ספקים, קראו לציבור להתייחס לדברים.
לפרסום מטעם משרד האוצר / מינהל הרכש הממשלתי:
https://survey.gov.il/he/aboutaa
המועד האחרון לקבלת הערות הציבור נקבע כאמור ליום 2.5.2023.
נשמח לעמוד לרשותכם בכל שאלה או הבהרה בנושא, ולסייע לפי הצורך, בליבון המשמעויות העולות מהמסמכים שפורסמו, כל ארגון לפי צרכיו ומאפייניו, ובהגשת הערות לטיוטא.
*הכותבת הינה ורד זליכה, שותפה וראשת תחום סייבר ואינטליגנציה מלאכותית (AI), בסיוע דניאל צימבלר ממשרדנו.