מבחנים לחלוקת כספים לצורך תמיכה של משרד הבריאות בקופות החולים אשר פועלות לקידום ולשיפור החוסן בהגנת הסייבר
בהתאם לסעיף 3א לחוק יסודות התקציב, התשמ"ה-1985[1] ובהתייעצות עם היועץ המשפטי לממשלה מתפרסמים בזה מבחנים לחלוקת כספים לצורך תמיכה של משרד הבריאות (להלן – המשרד), בקופות החולים אשר פועלות לקידום ולשיפור החוסן בהגנת הסייבר כמפורט להלן:
תקנה – 24200320 מרכז קרנות – 24001901
1. כללי
(א) ועדת התמיכות של המשרד (להלן – הוועדה) תדון במתן תמיכות מתקציב המשרד בהתאם לנוהל לתמיכות מתקציב המדינה במוסדות ציבור[2] (להלן – הנוהל).
(ב) התמיכה עצמה צריך שתינתן, אם אכן נכון וראוי לתתה, על פי עקרונות של סבירות ושוויון בין מקבלי התמיכה השונים.
(ג) בבואה לדון ולהחליט בכל בקשה לתמיכה, תשקול הוועדה את כל נסיבותיו של העניין, תוך יישום שוויוני, אחיד וענייני של המבחנים שנקבעו.
(ד) כל שיקוליה של הוועדה יהיו ענייניים, תוך הפעלת אמות מידה מקצועיות, ככל שיידרש לפי נסיבות העניין; הוועדה תנמק החלטותיה.
2. הגדרות
"הטמעת טכנולוגיה הגנה" – הטמעה של טכנולוגיה שמטרתה מוכנות להתמודד עם איומי הסייבר ותפעול שוטף של מערך הגנה טכנולוגי: רכש, הטמעה ורכישת ידע שוטפת להפעלת הטכנולוגיה;
"מבדק סקר סיכונים" – מבדק סקר סיכונים שבוצע על ידי משרד הבריאות במטרה לאמוד את מוכנות קופת החולים להתמודדות עם איומי הסייבר ושיפור מערך ההגנה בארגון;
"קופת חולים" – כהגדרתה בחוק ביטוח בריאות ממלכתי, התשנ"ד-1994[3];
"רכש טכנולוגיות" – ביצוע התקשרות והוצאת הזמנה לספק או יצרן;
"תפעול ותחזוקה שוטפת" – יכולת ניטור, תחזוקה שוטפת והוספת חוקי הגנה באמצעות הטכנולוגיה.
"Identity Threat Protection (Accounts)" – כלי אבטחה שמטרתו למנוע גישה לא מורשית לחשבונות המקוונים של הארגון על ידי זיהוי פעילויות חשודות והוספת שכבות של אימות.
3. הגופים הנתמכים
הגופים הנתמכים לפי מבחנים אלה הם קופות החולים.
4. מטרת התמיכה
התמיכה לפי מבחנים אלו נועדה לעודד את קופות החולים לקדם ולשפר את חוסן הגנת הסייבר בארגון.
5. תנאי סף לתמיכה
התמיכה לפי מבחנים אלה תינתן לקופת חולים שנתקיימו לגביה כל התנאים האלה:
(א) הקופה הגישה בתוך שלושה שבועות מיום פרסום המבחנים בקשה לקבלת תמיכה.
(ב) הקופה הוציאה הזמנת רכש עבור הרישוי ועבור שעות עבודה לטובת הטמעת מערכת (במידה ונדרש), שיבוצע מול ההתקשרות של המשרד או של הקופה בתוך שלושה שבועות מיום אישור הבקשה לקבלת התמיכה.
(ג) קופת החולים הסכימה להתקין סנסור ניטור מערך הסייבר לזיהוי אנומליות של התקפות ברשת בהתאם לדרישת המשרד טרם תחילת ביצוע המבחן, והסנסור הוטמע לפני מועד קיום הדיון בוועדת התמיכה
(ד) קיים חיבור של מערכות האבטחה של קופת החולים למרכז הסייבר של משרד הבריאות, בהתאם לרשימת המערכות המינימליות שנדרש שיחוברו, שהעביר משרד הבריאות לקופה.
(ה) הקופה הציגה התחייבות בחתימת מנכ"ל קופת החולים לביצוע כלל תחומי התמיכה הכלולים במבחנים אלה.
(ו) הקופה פעלה בהתאם לכלל תחומי התמיכה הכלולים במבחנים אלה והשלימה את כלל הנדרש לפי כל תחום פעילות.
6. הפעילות הנתמכת ואופן חלוקת התמיכה
כל קופה תיתמך עבור תחומי התמיכה הבאים, בהתאם להוראות והסכום לחלוקה בכל תחום:
(א) ביצוע תכנית לתיקון ליקויי אבטחת מידע: קופת חולים שהציגה ליחידת הסייבר במשרד הבריאות וביצעה תוכנית עבודה לתיקון ליקויי אבטחת מידע בקופה – תיתמך בסכום של750,000 שקלים חדשים כולל מע"מ לכל קופה, אם עמדה בתנאים הבאים:
(1) התוכנית כוללת תיקון ליקויי אבטחת המידע שנמצאו בסקר שביצע המשרד לקופה ליקויי אבטחת מידע ושהקופה נדרשת לתקן כחלק מתוכנית עבודה לשנת התמיכה.
(2) התוכנית הוגשה בתוך 21 יום ממועד תחילת המבחן, ואושרה בתוך 30 יום ממועד הגשתה.
(ב) ביצוע תכנית הטמעת טכנולוגיות הגנה: קופת חולים שהציגה ליחידת הסייבר במשרד הבריאות תוכנית להטמעת טכנולוגיה לשיפור החוסן בהגנת סייבר תיתמך בסכום של 450,000 שקלים כולל מע"מ, אם עמדה בתנאים הבאים:
(1) התוכנית כוללת טכנולוגיות שבחרה הקופה בהתאם לצורך בשיפור יעילות המערכת והחוסן בהגנת סייבר;
(2) התוכנית הוגשה בתוך 21 יום ממועד תחילת המבחן, ואושרה בתוך 30 יום ממועד הגשתה;
(3) הקופה פתחה הזמנה רכש לספק בתוך 10 ימים מאישור התוכנית ע"י המשרד.
(ג) ביצוע הטמעה של טכנולוגיית Identity Threat Protection (Accounts) :
(1) קופת חולים שהגישה ליחידת הסייבר במשרד הבריאות תכנית לביצוע הטמעה של טכנולוגיית Identity Threat Protection (Accounts) בתוך 21 יום ממועד תחילת המבחן תיתמך בסכום של 26.54 ₪ למשתמש, בהתאם לדיווח של הקופה על כמות משתמשים בשנת התמיכה.
(2) אישור תוכנית עבודה ע"י המשרד בתוך 30 יום מתחילת המבחן.
(3) פתיחת הזמנה רכש לספק בתוך 10 מאישור התוכנית ע"י המשרד.
(ד) תקצוב בעד ביצוע הכשרות למיישמי סייבר
קופה ששלחה שלושה עובדים לפחות לקורס מיישמי סייבר שאושר על ידי מערך הסייבר, והעובדים השלימו את הקורס בהצלחה בשנת התמיכה, תיתמך בסכום של של 30,000 שקל כולל מע"מ.
(ה) תקצוב בעד ביצוע סקר סיכונים מסכם
קופה שהשלימה את כלל הפעילויות הכלולות במבחן זה במלואן, ועברה סקר סיכונים מסכם על ידי ספק המשרד, בציון מינימלי של 75 – תיתמך בסכום של 70,200 שקלים חדשים כולל מע"מ.
7. נהלים
(א) במסגרת הבקשה לתמיכה בעד הפעילות הנתמכת לפי מבחנים אלה, לא תינתן תמיכה בעד הוצאות שהוצאו במסגרת תחום פעילות אחר והקופות לא ייתמכו בעד פעילות שלא פורטה בבקשת התמיכה;
(ב) לא תינתן תמיכה לקופת חולים שאינה משתף פעולה עם ביקורת מטעם המשרד;
(ג) מבלי לגרוע מן האמור בנוהל, קופת חולים אשר עשתה שימוש בלתי נאות בכספי התמיכה, השתמש בהם שלא בעד הפעילות שלשמה ניתנו, לא השלימה את הפעילות בזמן הנתון למבחן, שימשה כעמותת צינור לשם העברת הכספים לגוף אחר או הגישה דיווחים כוזבים לגבי כספי התמיכה שאושרו לו, משרד הבריאות יהיה רשאי לשלול את אפשרותה לקבל תמיכה מן המשרד בשנתיים שלאחר מכן או לקזז את סכום התמיכה של המבחן מתמיכות אחרות בשנים הבאות;
(ד) קופה שביצעה בשנת התמיכה חלק מתחומי התמיכה הנכללים במבחנים אלה בלבד – תקוזז ממנה כל תמיכה ששולמה לה בעבור אותה שנת תמיכה.
8. תחילה
תחילתם של מבחנים אלה ביום כ' בטבת התשפ"ד (1 בינואר 2024).