מי יגן בסייבר על הרשויות המקומיות – ברבע מיליארד שקלים בשנה?
ארבע חברות זכו במכרז של החברה למשק ולכלכלה, שחולשת על 257 הרשויות המקומיות בישראל ● בשוק מעריכים שהפתרונות שהזוכות יציעו לרשויות יעברו שינוי - בגלל משבר הקורונה והמעבר לעבודה מרחוק
סילטק פתרונות תקשורת, מטריקס, וואן ובינת תקשורת זכו במכרז למתן שירותי הגנת סייבר לחברה למשק ולכלכלה של השלטון המקומי, שחולשת על 257 הרשויות המקומיות במדינה. נפח השוק הפוטנציאלי לפתרונות אלה בקרב כלל הרשויות נאמד ב-250 מיליון שקלים בשנה.
המכרז כולל כמה פרקים, ביניהם אספקת מוצרי מדף של מוצרי הגנת סייבר, שירותי ייעוץ, שירותי אבטחת מידע מנוהלים והפעלת אבטחת מידע ברישוי מסורתי, בענן ובמערכי מחשוב היברידיים. במסגרת ההסכם תספקנה ארבע הזוכות ייעוץ, שירות, פתרונות אבטחת מידע, מוצרים והנדסת סייבר לכלל הרשויות המוניציפליות בישראל.
גורם המעורה במכרז אמר לאנשים ומחשבים כי בשל מגפת הקורונה, שהביאה לשינוי במודל העבודה של כלל העובדים במשק הישראלי, ובתוכם עובדי הרשויות המקומיות – הפתרונות שהזוכות יציעו לרשויות המקומיות יעברו שינוי. זאת, כי בנוסף להגנה ההיקפית, יידרשו הרשויות לפתרונות אבטחת מידע והגנת סייבר גם לעובדי הרשויות העובדים מרחוק – מהבית או מבית הקפה (כשאלה פתוחים). בשל כך, בנוסף לפתרונות בקרת גישה לרשת, הרשויות יזדקקו, בין השאר, לפתרונות לניהול ואימות זהויות.
מוטי סילגי, הבעלים והמנכ"ל של סילטק, אמר לאנשים ומחשבים כי "הנכסים זזו ותהליך ההגנה המסורתי קרס ביחד עם שינוי מבנה העבודה. אם עד היום העבודה נעשתה ממתקני הרשות המאובטחים, הרי שכיום הם, העובדים, בבית – והמתקנים של הרשות כבר לא שומרים עליהם, כך שהם נותרו חסרי הגנה. סילטק סימנה לעצמה כמטרה להתאים את מודל אבטחת המידע של הרשויות למציאות החדשה". לדבריו, "הזכייה במכרז תגדיל את נפח הפעילות שלנו בשוק הישראלי בכלל והמוניציפלי בפרט. אני רואה בה הזדמנות לשיפור המודעות וכושר ההגנה של הרשויות המוניציפאליות בישראל. בימים אלה מגייסת סילטק מנהל מקצועי, שיופקד על הטיפול באבטחת המידע ברשויות ועל טיפוחה".
התוצאות – על רקע דו"ח מבקר המדינה
פרסום תוצאות הזוכות במכרז בא על רקע דו"ח של מבקר המדינה מחודש מאי השנה, שבו הוא מתריע על היערכות לקויה של המגזר המוניציפאלי בתחום הסייבר. "חלק מהרשויות המקומיות בישראל לא ערוכות להתמודד עם מתקפות סייבר. הרשות להגנת הפרטיות, מערך הסייבר ומשרד הפנים נוקטים בפעולות, אך אין בכך כדי לסייע או מענה מספק למכלול הסיכונים", כותב מתניהו אנגלמן בפרק שהקדיש בדו"ח לערים חכמות ולרשויות מקומיות. המבקר ציין כי "האחריות להתמודד עם איומי סייבר מוטלת על הרשויות, אולם כל אחת מהן מתמודדת עם האירועים בהתאם ליכולותיה ולמודעותה בדבר חשיבות הנושא". בהמלצותיו הוא מציע לשכפל את המודל של מרכז בקרת סייבר שקיים במגזר הממשלתי ומעיר שלמרות הקריטיות של הנושא ברשויות המקומיות, הדבר לא נעשה.
המבקר מתריע גם על חשש לפגיעה בפרטיות. "הטכנולוגיות החדשות מאפשרות איסוף של סוגי מידע שלא היה אפשר לאסוף קודם, את הצלבת המידע עם מקורות מידע אחרים בתוך הרשות או מחוצה לה, את עיבודו לשם זיהוי מגמות כלליות ולשם יצירת פרופילים אישיים של תושבים ושימוש בו באופן שאינו מבוקר ואינו מוסדר", מזהיר אנגלמן. הוא העיר כי הערות על כך היו בדו"חות של קודמו בתפקיד, השופט בדימוס יוסף שפירא, מ-2017, אולם הן לא יושמו במלואן.
בדו"ח צוינו דבריה של ליאורה שכטר, אז מנמ"רית עיריית תל אביב-יפו ויו"רית פורום המנמ"רים ברשויות המקומיות, שלפיהם בחלק ניכר מהן אין מנמ"רים. על פי נתוני משרד הפנים, מתוך 257 רשויות, רק ב-95 רשויות יש מנהל.ת מערכות מידע, חלקם במיקור-חוץ. "מחסור זה מהווה מכשול אמיתי בהכנסת טכנולוגיות לרשות המקומית", אמרה שכטר. "חשוב לציין כי לא בכל רשות מקומית נדרש אדם במשרה מלאה, יש בהחלט רשויות קטנות שבהן ניתן להגדיר שירות משותף/אזורי. אולם, הן מעמד האיש הטכנולוגי ברשות והן השכר שניתן להעניק לו מהווים מכשול אמיתי בהשגת כוח אדם איכותי". לגבי נושא הגנת הפרטיות היא ציינה שעל אף שהוגדרו סטנדרטים בתחום, "אין לרשויות יכולת לממש את ההנחיות ואין כל תמיכה ממשלתית וסיוע למימוש, ומתן תקציב לרשות קטנה ובינונית שאין לה איש טכנולוגי אינו אפקטיבי".
ומה הגדרת הפעילות של הרשויות שאינן ב 95 המעסיקות מנמ"ר ? מי אחראי לבטחון המידע ולהגנה על מאגרי המידע, כאשר הבעלות על המאגר היא של הרשות, והמחזיקים במאגרים הינם ספקי שירותים, רטבם במערך SAAS ? אז מי מגדיר לרשויות מה הן דרישות ההגנה הנדרשת מאותם ספקי שירותים ? מעוניין לדעת מה היא הגדרת תחומי האחריות במקרים אלו .....