סייבר ברשויות המקומיות: בין הפטיש לסדן – והתושבים מופקרים

בנובמבר האחרון פרסם מבקר המדינה דו"ח חמור על הרשויות המקומיות בישראל, ובין היתר התריע על מחדלים חמורים בכל מה שקשור להגנה על הפרטיות והמידע הרגיש, שנמצא בכל רשות ורשות. המבקר ציין כי הרשויות חשופות יותר ויותר לאירועי סייבר, במיוחד על רקע מגמת המעבר לערים חכמות. אחד העוגנים של תהליכי עיר חכמה הוא שיתוף מידע עם הציבור, כלומר: קבלה והעברה הדדיות של מידע, וכל הנתונים הללו נצברים במערכות המחשוב המרכזיות של הרשות, או בענן שלהן. הפתיחות הזו, אם אינה מלווה במעטפת חזקה ביותר של אבטחה, היא פרצה קלה יחסית עבור כל האקר ממוצע.

אין צורך לציין שרשות מקומית מחזיקה במאגרים שלה מידע רגיש ביותר על כל אחד ואחד מתושבי המדינה. פגיעה במערכות ה-IT של הרשויות המקומיות עלול לגרום לנזקים כבדים, כמו חבלה בשירותים ובעיקר בצנעת הפרט, ולכן מוטלת עליהן החובה להגן על המידע. בדו"ח צוין כי המבקר בדק את הנושא עוד ב-2012, אבל מאז לא השתנה הרבה.

המבקר קבע שמשרד הפנים הוא הרגולטור של הרשויות ומחובתו לבצע רגולציה של הטיפול בסייבר – לצד גופים נוספים, כמו הרשות למשפט וטכנולוגיה. השופט בדימוס יוסף שפירא מתח בדו"ח ביקורת חריפה על משרדי הפנים והמשפטים, על שלא יישמו את ממצאי הביקורת מ-2012 ולא פעלו לתיקון הליקויים. הוא קבע שמה שמשרד הפנים כבר עושה בתחום הוא מעט מדי ושטרם הוקם גוף על המפקח על היערכות הרשויות לסייבר.

העמדה המדהימה של משרד הפנים

אתמול (ב') ערכה ועדת המדע והטכנולוגיה של הכנסת דיון בממצאים של דו"ח זה. נציג משרד הפנים, אלי רגב, שנכח בדיון, התבקש לספר לוועדה מה השתנה מאז הדו"חות – ב-2012 וב-2017. התשובה העגומה היא ששום דבר לא השתנה. משרד הפנים, למרבה ההפתעה, מתנער מאחריותו הרגולטורית על הרשויות המקומיות בכל מה שקשור להיערכות להגנה מפני מתקפות סייבר. רגב לא היסס לומר שהמשרד דוחה את קביעת המבקר שהוא הגוף שאמון על כך וציין שורה של גורמים שהם, לדעתו, האחראים. עם זאת, הוא ציין שעל אף שמשרד הפנים לא רואה את עצמו אחראי, הוא ביצע ויבצע פעולות על מנת לסייע לרשויות להיערך כהלכה למתקפות סייבר.

רבים מהמשתתפים בדיון אתמול לא הצליחו להסתיר את תדהמתם מעמדה זו של המשרד. יו"ר הוועדה, ח"כ אורי מקלב, אמר שהפעולות של המשרד הן בכיוון הנכון, אבל מדובר במעט מדי ובפעולות שמנסות לאכוף סמכות ללא שום אחריות – דבר שלא מתקבל על הדעת.

בהמשך הדיון צוינו שני חסמים עיקריים שמונעים מהרשויות המקומיות ליישם נהלים ולהטמיע כלים למניעת מתקפות סייבר: מחסור בתקציבים ובכוח אדם. רגב אמר שיש בהן מחסור בתקנים של אנשי אבטחת מידע ומנהלי רשת, וצחי שלום, מנמ"ר מרכז השלטון המקומי, אמר שהשכר שמוקצב למנמ"ר ברשות מקומית, שנע סביב ה-6000 שקלים, מקשה עליהן לגייס אנשים טובים, כי מדובר בבערך שליש ממה שהוא יכול לקבל במקומות אחרים.

תקני כוח האדם הטכנולוגי ברשויות המקומיות אינם מוסדרים באופן רשמי. פורום המנמ"רים בשלטון המקומי מנהל מאבקים של שנים מול משרד הפנים כדי להכניס את תפקידי המנמ"ר ומנהלי האבטחה כתפקידים מנדטוריים, כלומר – כאלה שראש הרשות חייב לאייש בתקן זה, ולא לשחק עם התקנים ולשים במקומם בעלי תפקידים אחרים. מי שאמון על תקני כוח האדם ברשויות המקומיות הוא משרד הפנים, אבל גם פה מיהר נציג המשרד לגלגל את האחריות הלאה – למשרד האוצר, שלדבריו לא מאשר תקנים. לא זכורים לנו מאבקים פומביים שניהל משרד הפנים מול האוצר על הוספת תקנים ולא שמענו את השר אריה דרעי מאיים להתפטר על רקע זה.

המשתתפים יצאו מהדיון מודאגים ומבולבלים

עוד עלתה בדיון העובדה שבחלק מהרשויות, האחריות בתחום המחשוב מוטלת על גורם חיצוני, כמו אוטומציה החדשה (לשעבר החברה לאוטומציה). כאן עלתה סוגיה מורכבת נוספת: רמת האבטחה של מחשבי חברה זו, שייעודה הוא אספקת שירותים לרשויות המקומיות, ואיך החוק מגדיר זאת. נציג החברה, יורם אסולין, הבהיר שהיא מספקת שירותי תשתית ויישום לרשויות ולא אחראית על התוכן, וכל מידע שיש במחשבי הרשות המקומית צריך להיות מאובטח כפי שמצופה.

הנה כי כן, עולה מהדיון שנציגי הגופים השונים מטילים את האחריות זה על זה, והתושבים מוצאים את עצמם בין הפטיש לסדן, מבלי שתהיה להם כתובת לסמוך עליה. לא פלא, אפוא, שמשתתפי הדיון האחרים יצאו ממנו מבולבלים ומודאגים. גם יו"ר הוועדה, ח"כ מקלב, לא הסתיר את דאגתו ואמר שהוא מבין ששם המשחק הוא כסף. לדבריו, קיים צורך בכך שגורם אחד יהיה אחראי על ההגנה מפני מתקפות סייבר על הרשויות המקומיות. כך (אולי) תימנע הטלת אחריות של גוף אחד על משנהו, ויימנעו דו"חות עתידיים וחמורים של מבקר המדינה.