המבקר: מאגרי מידע ברשויות המקומיות חשופים למתקפות סייבר

ברשויות המקומיות בישראל נעשה שימוש רב במאגרי מידע, שכוללים נתונים אישיים רבים על התושבים. ככל שהן מרבות להשתמש במאגרי מידע, גוברת הסכנה למתקפות סייבר שיחשפו את המידע ברבים ויפגעו בפרטיותם של התושבים – כך קובע מבקר המדינה, השופט בדימוס יוסף שפירא, בדו"ח מיוחד שהנפיק היום (ג') על הרשויות המקומיות.

"מאגרי מידע רבים משמשים בסיס לעבודתן של הרשויות המקומיות, בעתות רגיעה וחירום, בין היתר בתחומים האלה: כספים, תכנון ובנייה, חינוך, רווחה, כוח אדם, רישוי עסקים, תחבורה וחנייה, ותברואה", נכתב בדו"ח. "בשנים האחרונות", מציין המבקר, "אף גדל מספר הערים החכמות. מגמה זו מביאה לגידול חד בכמות הנתונים שבידי הרשויות המקומיות ובמספר מאגרי המידע שבבעלותן. פגיעה במערכות ה-IT ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים, כמו פגיעה בשירותים הניתנים לתושב ובצנעת הפרט, ולכן מוטלת עליהן החובה להגן על המידע".

"היערכות משרד הפנים לסייבר – רק בראשית דרכה"

המבקר מציין כי זו אינה הפעם הראשונה שהנושא נבדק: בדו"ח על אבטחת המידע והגנת הפרטיות ברשויות המקומיות שפורסם במאי 2012 "הועלו ליקויים רבים הן במישור המאסדרים (רגולטורים – י"ה) בתחום זה – הרשות למשפט, טכנולוגיה ומידע (רמו"ט) והמנהל לשלטון מקומי במשרד הפנים, והן במישור הרשויות המקומיות".

בין הליקויים העיקריים מציין המבקר את אסדרת הטיפול בנושא אבטחת המידע והגנת הפרטיות: "הצוותים לתיקון הליקויים של משרד הפנים ושל משרד המשפטים לא דנו בממצאי הביקורת הקודמת ולא פעלו לתיקון הליקויים שהועלו בה. היערכות משרד הפנים לאיומי סייבר נמצאת רק בראשית דרכה, וטרם הוקם גוף שיפקח על היערכותן של הרשויות המקומיות לאיומי סייבר וינחה את הרשויות בתחום זה כמתחייב מהחלטת ממשלה בנושא. פעילות הרשויות המקומיות בתחום אבטחת המידע והגנת הפרטיות עדיין אינה מאוסדרת על ידי השלטון המרכזי. המנהל לשלטון מקומי במשרד הפנים ורמו"ט שבמשרד המשפטים ממשיכים להטיל זה על זה את האחריות לאסדרת הנושא. כך, כל רשות מקומית מתמודדת עם נושא אבטחת המידע והגנת הפרטיות כמיטב הבנתה ולפי התקציב שהקצתה לנושא, ובעקבות כך חלק מהרשויות המקומיות אינן מטפלות כראוי בנושא".

בסעיף בקרה ופיקוח לוגיים, קובע המבקר כי "כל הרשויות המקומיות שנבדקו אינן מבצעות ניטור יזום של יומני השימוש על מנת לזהות פעולות חריגות, שגורמים בלתי מורשים ביצעו, או ניסו לבצע". עוד נמצא ש-"חלק מהרשויות שנבדקו לא ביצעו מעולם סקרי סיכונים ומבחני חדירה להערכת הנזק העלול להיגרם למערכות המידע שלהן".

אין תמונת מצב עדכנית על היקף המתקפות

"אף שבשנים האחרונות גדל היקף המתקפות, אין בידי שום גורם תמונת מצב עדכנית על היקף התופעה ברשויות המקומיות. זאת, בשל היעדר חובת דיווח על פגיעות מסוג זה. למשל, עיריות יהוד-מונוסון, יקנעם עילית, כרמיאל ונצרת עילית הותקפו לפחות פעם אחת על ידי כופרה. בעיריית נצרת עילית נפגע השרת במחלקת ההנדסה, הקבצים השמורים בשרת נשארו מוצפנים – ולעירייה לא הייתה גישה אליהם", כותב השופט בדימוס שפירא.

עוד הוא קובע ש-"רשם מאגרי המידע ברמו"ט אינו אוכף על חברות פרטיות המחזיקות במאגרי מידע של רשויות מקומיות את חובת הדיווח השנתי על מאגרי המידע שהן מחזיקות בהם – כנדרש בחוק".

"כל הרשויות המקומיות שנבדקו לא קבעו תכנית הדרכה והסברה שנתית לעובדים בתחום אבטחת המידע והגנת הפרטיות", מציין המבקר. "האגף לביקורת ברשויות המקומיות של משרד הפנים אינו מבצע ביקורת בנושא אבטחת מידע והגנת הפרטיות במסגרת הביקורת השנתית של רואי החשבון המבקרים".

ההמלצות

"על משרד הפנים לפרסם בקרב הרשויות המקומיות קובץ הנחיות מחייב בנושא אבטחת מידע והגנת הפרטיות", ממליץ מבקר המדינה. "על ההנחיות לעסוק בחובת הרישום של מאגרי מידע – ובכלל זה בחובת הרישום החלה על ועדים מקומיים, ובנושאי האבטחה הלוגית והפיזית – בחובת הדיווח על אירועי אבטחת מידע ועל הפעולות שננקטו בעקבותיהם ובחובה לקיים פעולות הדרכה והסברה בתחום אבטחת המידע". עוד הוא ממליץ ש-"על המשרד להקים בהקדם גוף מנחה ומפקח בתחום ההיערכות לאיומי סייבר מול הרשויות המקומיות, כמתחייב מהחלטת ממשלה".

"נוכח מספרם הרב של מאגרי מידע בבעלות רשויות מקומיות שאינם רשומים אצל רשם מאגרי המידע, על רמו"ט לבחון את הפעולות הנדרשות לאסדרת הנושא ולאכיפת הוראות החוק. על הרשויות המקומיות לרשום את כל מאגרי המידע שלהן; לבצע סקרי סיכונים ובדיקות חדירות; לבצע בקרה ופיקוח לוגיים על הפעולות המתבצעות במאגרי המידע שבבעלותן; לאבטח את חדרי המחשב שלהן ולהתאימם לדרישות התקן הישראלי בנושא בטיחות אש של מחשבים וציוד היקפי; לגבש וליישם תכנית הדרכה והסברה לעובדים; ולכלול בתכניות הביקורת של מבקרי הפנים שלהן ביקורת בנושא אבטחת מידע והגנת הפרטיות", הוסיף המבקר בהמלצותיו.

"מוטלת על הרשויות המקומיות החובה להגן על מידע זה ולהגביר את חסינותן – הן בפני דליפת מידע והן לצורכי הגנה על רציפות תפקודית לטובת השירות לציבור", מסכם המבקר. "בשנים האחרונות גדל היקף מתקפות הכופרה והרוגלה. ההיקף הכולל של התופעה ברשויות מקומיות אינו ידוע, בהיעדר חובה לדווח על תקיפות מסוג זה. כחמש שנים לאחר שבוצעה הביקורת הקודמת, משרד הפנים ומשרד המשפטים עדיין מטילים זה על זה את האחריות לאסדרת הנושא, והם לא פעלו לתיקון הליקויים שהועלו בביקורת הקודמת. הדבר פוגע ברמת אבטחת המידע בשלטון המקומי. חלק מהרשויות המקומיות אינן מטפלות כראוי באבטחת המידע שלהן ובהגנה על הפרטיות של תושביהן".

התגובות

משרד הפנים חזר בתגובה לדו"ח על הטענה שהעלה כבר בביקורת הקודמת, ולא הייתה מקובלת על מבקר המדינה, כי הוא "אינו הגוף המקצועי המוסמך לקבוע נהלים בנושא אבטחת מידע ואין לו הידע והמומחיות הנדרשים לצורך כך, ואף לא סמכות טיפול. הנושא אמור להיות מוסדר באמצעות רמו"ט, שבידיה הכלים המקצועיים לגיבוש הנחיות בנושא". עוד נמסר מהמשרד כי "הקמת אגף לסיוע לרשויות המקומיות בתחום הסייבר נמצאת בעיצומה, כי הגורמים המוסמכים לכך במשרד הפנים טרם השלימו את תהליכי אישור המועמדים, משום שאין תקן למנהל האגף וטרם הוסדרה סוגיית המשרד שבו ישכון הגוף שיוקם".

משרד המשפטים מסר כי "מבדיקה שעשינו עלה שהצוות לתיקון ליקויים אכן לא קיים דיונים בנושא".

בתגובת רמו"ט (כיום הרשות להגנת הפרטיות) נמסר שהיא "משקיעה את משאביה בעיקר באסדרת נושאים שהם בעלי השפעה רוחבית על כלל מפוקחיה ואינה מתמקדת במגזר מסוים. זאת, בייחוד כאשר פועל רגולטור מגזרי משיק – משרד הפנים – המסדיר את פעילות הרשויות המקומיות, מפקח עליהן ונמצא בקשר יום יומי עמן. כוח האדם העומד לרשות רמו"ט מצומצם, והדבר מקשה עליה לבצע פעולות פיקוח יזומות".

עוד אומרים ברשות כי "ב-2016, רמו"ט החלה תהליך של שינוי אסטרטגי משמעותי ורחב היקף, הבא לידי ביטוי הן בשינוי המבנה הארגוני שלה והן בשינוי הנושאים שבמוקד פעילותה. היא מתעתדת כבר ב-2017 להפעיל מערך פיקוח חדש, תוך הסתייעות בשירותיהם של ספקים חיצוניים – שעובדי מחלקת האכיפה של רמו"ט ינהלו ויכוונו פעילות זו וכן יבצעו בקרה עליה".