מחדלי אבטחת המידע ברשויות: מי יתפוס את השועל?
קול קורא ראשון להקמת מערכת שועל, מערכת שו"ב לרשויות המקומיות, יצא לפני חמש שנים אבל דבר לא נעשה ● על נושא זה ובעיות נוספות במחשוב של המגזר המוניציפאלי ובקשר שבינו לבין הממשלה דיבר צחי שלום, מנמ"ר המרכז לשלטון מקומי
דו"ח של מבקר המדינה, שפורסם לפני כחודשיים, התריע על חוסר תיאום וכפילויות בפעולות של משרדי ממשלה בכל מה שקשור למחשוב ואבטחת מידע ברשויות המקומיות, ולמחשוב בכלל. זה לא היה הדו"ח היחיד: צחי שלום, מנמ"ר המרכז לשלטון מקומי, שהשתתף בכנס הווירטואלי Infosec של אנשים ומחשבים, שנערך היום (ד'), ציין כי לא פחות משמונה (!) דו"חות של מבקר המדינה התריעו על מחדלי האבטחה ברשויות המוניציפאליות, אבל שום דבר לא השתנה.
שלום המחיש זאת בדוגמה המקוממת הבאה: "ב-2015 פרסם המשרד לביטחון פנים קול קורא למערכת שו"ב לרשויות המקומיות בשם שועל. ב-2018 פרסם גם המשרד לשוויון חברתי, שהפעיל אז את ישראל דיגיטלית, קול קורא בנושא זה, ושנה לאחר מכן נכנס משרד הפנים לתמונה, כדי לסייע בפרויקט. בפועל, אין כיום מערכת שו"ב מרכזית שמגנה על הרשויות". בעקבות זאת, הוא סיפר על כוונת מרכז השלטון המקומי להקים ענן ייעודי לאבטחת מידע וסייבר עבור כל הרשויות המקומיות. עוד הוא יקיים מכרז גדול יותר, לענן היברידי לרשויות, שיהיה מקביל למכרז נימבוס הממשלתי, שהממשלה לא מוכנה שהרשויות המקומיות יהיו חלק ממנו.
"השלטון המקומי לקח על עצמו את הרצון והיכולת לתת מענה לעובדה שאין גורם אחד שמטפל בבעיות האבטחה של הרשויות המקומיות. אנחנו נהיה המטריה המרכזית שלהן לטיפול באבטחת מידע", אמר שלום. "בפועל, הכוונה היא להציע את שירותי אחסון ושו"ב לכל נושא האבטחה דרך החברה שתזכה, במתכונת תוכנה כשירות (SaaS). ניתן מענה למשרדים הקבועים של הרשויות המוניציפאליות, לשלוחות שלהם ולמשתמשים". הוא ציין כי המרכז החליט לבצע את המהלך עקב היכרותו הרוחבית עם הרשויות המקומיות.
איפה הממשלה?
שלום התייחס בדבריו לליקויים נוספים שהמבקר הצביע עליהם: מתוך 257 רשויות מקומיות, רק ל-95 יש מנמ"רים. כלומר, ברוב גדול של הרשויות אין מנהל שאחראי על נושא המחשוב. שלום ציטט גם מהדו"ח של המבקר שקבע שלא פחות מ-14 משרדים מתקצבים ופועלים בנושא של מחשוב הרשויות, "ואין מי שמתאם ומתכלל, אין זרוע ביצועית, כל משרד בפני עצמו ואין מדיניות שחוצה משרדים וגופים". יש לציין שהדו"ח יצא עוד לפני שקמה הממשלה הנוכחית, שבה נוספו שרים ומשרדים לעומת הממשלות הקודמות.
כמו כן, שלום התריע ש-"איומי הסייבר והגנת הפרטיות על הרשויות המקומיות לא מקבלים מענה, וגם פה אין מרכז שיכול לתכלל ולסייע להן".
לסיום, מה עם הכסף שהקציבה ישראל דיגיטלית לדיגיטציה של הרשויות המקומיות – תקציב של 44 מיליון שקלים? שלום ציין כי 231 רשויות עמדו בקריטריונים לקבלת התקציב, אבל רק 49 מהן קיבלו את הכסף.
על פי חוק הגנת הפרטיות, רשות מקומית כגוף צבורי, חייבת למנות ממונה אבטחת מידע. בכמה רשויות קיים מינוי כזה ??