האם הרשויות המקומיות צריכות לשלם כופר בעקבות תקיפות סייבר?
שאלת ההתמודדות עם דרישה לתשלום כופר נדונה לא מעט בהיבט של חברות עסקיות, אבל מה קורה כשמדובר במידע הרגיש ביותר על האזרחים, שיש במערכות המחשוב של כל רשות מקומית?
נושא תקיפות הסייבר ברשויות המקומיות, ובמיוחד המדיניות שיש או אין בהן בכל הנוגע לתשלומי כופר (Ransomware), יעלה מחר (ג') על שולחן ועדת המדע והטכנולוגיה של הכנסת. זוהי הפעם השנייה שבה דנה ועדת המדע בנושאי אבטחת מידע וסייבר בשלטון המקומי.
הדיון הקודם נערך בינואר השנה, אולם אז הוא התמקד בפיקוח הלקוי של משרד הפנים ורשויות שלטוניות אחרות על הגנת המידע בשלטון המקומי. הישיבה אז נערכה בעקבות דו"ח חמור שפרסם מבקר המדינה בנובמבר אשתקד על הרשויות המקומיות בישראל, ובו התריע על מחדלים חמורים בכל מה שקשור להגנה על הפרטיות והמידע הרגיש, שנמצא בכל רשות ורשות.
המבקר, השופט בדימוס יוסף שפירא, ציין בדו"ח שלו כי הרשויות חשופות יותר ויותר לאירועי סייבר, במיוחד על רקע מגמת הערים החכמות. אחד המנועים של מגמה זו הוא שיתוף הציבור, חשיפת ממשקים פנים ארגוניים לאזרחים והזמנה לבצע פעולות, כולל קבלת מידע מכל רכיב נייד שיש בידיו של כל תושב.
המציאות הזו יצרה כאב ראש אחד גדול למנמ"רים ולמנהלי אבטחת המידע ברשויות המקומיות, שבא לידי ביטוי באותה הישיבה לפני מספר חודשים. אלא שאחד הדברים המדאיגים באותו הדיון הוא ההתנערות של נציג משרד הפנים, אלי רגב, מאחריותו הרגולטורית של המשרד על נושא הסייבר ברשויות המקומיות. במקום זאת, הוא גלגל את תפוח האדמה הלוהט למערך הסייבר הלאומי ולגופים אחרים. רגב גם אמר שהוא דוחה את הביקורת של המבקר, אבל הודה ששום דבר לא השתנה ברמת אבטחת הסייבר של הרשויות מאז 2012 – הפעם הראשונה שבה התייחס מבקר המדינה לסוגיה זו.
דברים מטרידים נוספים
מאז ינואר קרו שני דברים: האחד, לפני כשלושה שבועות נכנסו לתוקף התקנות החדשות של רשות הגנת הפרטיות במשרד המשפטים, שבמידה רבה חופפות לתקנות ה-GDPR של האיחוד האירופי, שגם הן נכנסו לתוקף לא מכבר. הדבר השני הוא דו"ח של מרכז המחקר של הכנסת, שפורסם בראשית החודש ועוסק בחורים הרבים שיש בפרויקט מרכב"ה הממשלתי. החורים הללו מאפשרים גישה למידע הרגיש ביותר עלינו ל-30 אלף עובדים במוסדות ממשלתיים שאינם עובדי מדינה אלא מועסקים בקבלנות.
המצב חמור לא פחות ברשויות המקומיות, שם יש גישה למידע רגיש לשורה ארוכה של גורמים חיצוניים, שהם זרועות של הרשות, מבלי שמנגנון אוטומטי כלשהו יפקח על השימוש שעושים בו אותם גורמים. הסתבר אז שגם בממשלה וגם ברשויות אין מנגנון ממוחשב שיכול לפקח אחר פעילות אותם גורמים, גם ברמה של "הצצה" בלבד, למידע שהם לא מורשים לגשת אליו.
הדברים הללו הותירו את יו"ר הוועדה, ח"כ אורי מקלב, וחברי ועדה אחרים מוטרדים, בלשון המעטה, והוחלט להמשיך לעקוב אחרי הנושא, כדי לוודא שהדברים אכן מתקדמים.
הדיון מחר הוא אחד ממהלכי המעקב האלה, אלא שנוסף לו גם הדיון במדיניות תשלום הכופר של הרשויות המקומיות – דבר שעד היום לא כל כך דיברו עליו. האם רשות מקומית שנפגעה מסייבר שנדרשת לשלם כופר תמורת שחרור מאגרי המידע שלה מידיו של ההאקר צריכה לשלם? ואם כן – מתי? למה? וכמה? בשוק העסקי יש כבר מתודולוגיות מוכרות ומתורגלות כיצד לנהוג בזמן משבר סייבר, אילו מערכות צריכות לפעול, מתי מדווחים לציבור ואם יש צורך בתשלום – מי הגורם המוסמך לעשות זאת. כאשר מדובר ברשות מקומית, שהיא חלק מהממשל, העסק כנראה יותר מורכב.
בדיון מחר ישתתפו נציגים של מערך הסייבר הלאומי, כמו גם נציגי השלטון המקומי. אלה האחרונים לא יסתירו את העובדה שהמצב אינו טוב, שהרשויות לא מספיק ערוכות, כי הרגולטור שאחראי עליהן, משרד הפנים, עדיין לא הפנים את מלוא חומרת המצב. יש לקוות שהדיון מחר, ופעולות נוספות, יביאו לשיפור המצב, כדי שאזרחי המדינה יוכלו באמת לישון בשקט.
תגובות
(0)