האם תוכנית הפעולה הקיברנטית של הממשלה מתאימה למטרה?

מאת פיל מונקסטר • 12 פבואר 2026

לא קורה לעתים קרובות שהממשלה מודה שהיא טעתה. ובכל זאת, בתחילת השנה, זכינו לאירוע נדיר מאה קולףהכרה בכך שיעד קודם, להפוך את וייטהול לעמידה בפני כל הפגיעויות ושיטות התקיפה הידועות, לא יהיה בר השגה עד 2030. הודאה זו נטמנה בטקסט של תוכנית הפעולה בסייבר (CAP), המאמץ האחרון של הממשל האחרון לשיפור מצב הביטחון של הממשלה המרכזית.

זוהי תוכנית מפורטת עם פוטנציאל רב, כזו שתהיה לה השפעה הרבה מעבר למגזר הציבורי. אבל האם זה מספיק?

למה הממשלה צריכה תוכנית

אין ספק בכך שהממשלה זקוקה לתוכנית לחיזוק חוסן הסייבר. הערכה של קבוצת אבטחת הממשלה (GSG) בשנים 2023-24 מצאה כי ב-58 מערכות IT קריטיות של מחלקות היו פערים אבטחתיים "משמעותיים", מה שיצר סיכון "גבוה ביותר". משרד ביקורת לאומי נפרד (NAO) לדווח בשנה שעברה נמצא כי 28% מתוך 228 מערכות IT מדור קודם היו בעלות סבירות גבוהה להתרחשות סיכונים תפעוליים ואבטחתיים. פערים במיומנויות ומחסור במימון החמירו את התמונה, נטען.

מאז, היו פרצות משמעותיות ב- סוכנות סיוע משפטי, תוכנית התיישבות אפגנית מה שעלול לעלות למשלם המסים מאות מיליוני ליש"ט, ולפחות שני אירועי אבטחה חמורים ב קבלני משרד הביטחוןבתקופה שבה כסף נמצא במחסור והשירותים הציבוריים בירידה, הממשלה בקושי יכולה להרשות לעצמה פרצות יקרות יותר, וכל דבר שמסכן את הטרנספורמציה הדיגיטלית הנחוצה כל כך.

ה-CAP מצביע על כשלים מרובים:

פיצול ממוסד
סיכון מתמשך של מורשת, אבטחת סייבר וחוסן
נתונים מבודדים
תת-דיגיטציה
מנהיגות לא עקבית
מחסור במיומנויות דיגיטליות
כוח קנייה מפוזר
מודלים של מימון מיושנים

מה יש ב-CAP?

ה-CAP מבטיח "גישה חזקה ומרכזית, עם כיוון ברור ומנהיגות פעילה", שתקבע ציפיות ברורות לגבי האופן שבו מחלקות צריכות לנהל את האבטחה והחוסן באמצעות יעדים ותוצאות מדידים יותר. המטרה הכוללת היא לשפר את הנראות של סיכוני הסייבר ולבצע פעולה מרכזית חזקה יותר באתגרים הקשים ביותר (שלא ניתן להתמודד איתם על ידי מחלקות בכוחות עצמן). היא מבטיחה לשפר את המהירות ואיכות התגובה לאירועים ולספק תמיכה מרכזית לתיקון בעיות מדור קודם.

כדי להשיג את מטרותיה, ה-CAP קובע שלושה שלבים ליישום:

שלב 1 (עד אפריל 2027): הקמת יחידת סייבר ממשלתית, יישום מסגרות של אחריות, השקת מקצוע סייבר חוצה ממשל למשיכת, שדרוג ושימור אנשי מקצוע בתחום הסייבר, ופרסום תוכנית תגובה ממשלתית לאירועי סייבר.

שלב 2 (אפריל 2027-2029): הרחבת ה-CAP באמצעות קבלת החלטות מונחות נתונים, כמו גם מתן שירותי תמיכה בסייבר והרחבת יכולות תגובה.

שלב 3 (אפריל 2029+): שיפור מתמיד באמצעות שיתוף תובנות נתונים מרכזיות, הצעת שירותים בקנה מידה גדול, מינוף מקצוע הסייבר לצורך טרנספורמציה, וודא שמחלקות מבטיחות באופן יזום את סיכוני הסייבר ברחבי שרשראות האספקה שלהן.

הממשלה טוענת כי על ידי מתן אפשרות לדיגיטציה מאובטחת של שירותים ציבוריים, ה-CAP יכול לחסוך עד 45 מיליארד ליש"ט בפריון. עם זאת, היא הקצתה רק 210 מיליון ליש"ט ליוזמה.

בנפרד, היא השיקה תוכנית חדשה תוכנית שגרירי אבטחת תוכנה לקדם את אימוץ קוד הנוהג לאבטחת תוכנה - יוזמה התנדבותית שמטרתה למזער את הסיכון והשיבוש בשרשרת האספקה של תוכנה. סיסקו, פאלו אלטו נטוורקס, סייג', סנטנדר, קבוצת NCC ואחרות הסכימו להפוך לשגרירים. הן יקדמו את הקוד בין מגזרים, "יציגו יישום מעשי ויספקו משוב שיעזור לשפר את מדיניות הפיתוח בעתיד".

ספקים באור הזרקורים

טריסטן ווטקינס, מנהל חדשנות שירותים בחברת שירותי ה-IT Advania UK, מברך באופן כללי על ה-CAP כ"נתמך על ידי הערכות ברורות של בעיות השורש הנוכחיות שלנו". הוא טוען כי יהיו לכך משמעות שונות עבור ספקים שונים.

"'הספקים האסטרטגיים' של הממשלה יכללו דרישות אבטחת סייבר וחוסן בהסכמים שלהם, שאנו צפויים להיכנס לתוקף עד מרץ 2027", הוא אומר ל-IO. "פרטים אלה עדיין לא סוכמו. עבור ספקים אחרים, אנו יכולים לצפות לקבל יותר בהירות לאחר אפריל 2027, שהוא אבן הדרך הראשונה להקמת יחידת הסייבר הממשלתית."

ניק דייר, סגן נשיא הנדסת פתרונות אזורי בארקטיק וולף, טוען כי לכל הפחות, ספקים יצטרכו לבצע בדיקות שנתיות של Cyber Essentials אם ברצונם להישאר תאימים. קירון שפרד, ארכיטקט הפתרונות הבכיר ב-F5, מסכים. "הספקים צריכים להיות מוכנים להערכות מעמיקות יותר ולציפיות דיווח מחמירות יותר", הוא אומר ל-IO. "מעבר זה לכיוון אבטחה מתמשכת הוא גישה חזקה יותר מאשר תאימות נקודתית בזמן הנוכחית."

עבודה בתהליך

עם זאת, אף אחד מהמומחים לא מאמין שהמימון שהוכרז יהיה מספיק. דייר מארקטיק וולף אומר שזה "בהחלט לא יספיק" כדי להשיג את התוצאות המקוות.

"השקעה מתמשכת והיצמדות למפת הדרכים שקבעה הממשלה יהיו קריטיים להצלחתה", הוא אומר ל-IO. "הגישה בת שלושת השלבים המוצעת לקראת יישום מלא עד תחילת 2027 היא גישה מעשית. עם זאת, הצלחתה תהיה תלויה במחויבות. סדרי עדיפויות יכולים להשתנות והנסיבות יכולות להשתנות תוך שנה, כלומר פיקוח מתמשך חיוני להבטחת שהתוכנית תספק את התוצאות המיועדות לה."

ישנם גם סימני שאלה לגבי תוכנית שגרירי אבטחת התוכנה. ווטקינס מאדוואניה בריטניה מברכת על היוזמה אך טוענת כי ארגונים לא צריכים לראות בכך סימן להקל על ניהול הסיכונים בשרשרת האספקה.

"בסופו של דבר, יש לראות את קוד הנוהג ואת התוכנית כמקבילות טובות ל-CAP החדש ולחוק אבטחת הסייבר והחוסן, תוך התייחסות לדאגה קשורה בזמן", הוא אומר. "אבל הייתי ממליץ לארגונים למקד את מאמצי האבטחה הפנימיים שלהם בדאגות של שרשרת האספקה של תוכנה, מכיוון שאנחנו לא יכולים להסתמך על קוד נוהג כדי לספק את הצרכים הללו."

דייר מארקטיק וולף הולך רחוק יותר ומזהיר כי כקוד התנדבותי, הוא עלול להוביל ל"אימוץ לא עקבי" בין ארגונים.

"מצד שני, חובה על אימוץ הקוד תגביר את עקביות האימוץ ותאפשר מדידה של האחריות", הוא מוסיף. "אכיפתו החוקית תבטיח שמפתחי תוכנה יעמדו בנוהלי אבטחה חיוניים, מה שהיה, ככל הנראה, דרך יעילה יותר להגן על מערכות ממשלתיות קריטיות."

שפרד מ-F5 מסכים. "התכנית בונה, אך אם השאיפה היא להפחית את הסיכון בכל שרשרת האספקה של התוכנה, צעדים וולונטריים בלבד לא ישיגו זאת", הוא מסכם. "בקרוב נגיע לנקודה שבה קביעת סטנדרטים בסגנון מאובטח מכוח התכנון תהיה הדרך היעילה ביותר להשיג עקביות ולסגור את הפערים."

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.