האם הרשויות המקומיות ערוכות להגנה מפני מתקפות סייבר?
הנושא עלה לדיון בכנס המנמ"רים בשלטון המקומי, שנערך באחרונה באילת ● המסקנות עגומות, אבל יש גם המלצות מה לעשות
מתקפות הסייבר והניסיונות לגנוב מידע לא פוסחים על הרשויות המקומיות, שמהוות בין צמתי המידע הרגישים במדינה, שכן המאגרים שלהן כוללים פרטים אישיים של כל אחד ואחת מאתנו. מעבר לזה, הרשויות מפעילות תשתיות קריטיות, שכל פגיעה בהן יכולה לשתק את אורח החיים הסדיר ברשות שבה היא נמצאת ובמקומות נוספים במדינה.
אולם, בניגוד למגזר הממשלתי – שם יש תשתית, כוח אדם ומשאבים להגנה מפני סייבר, הרי שהמצב ברשויות המקומיות רחוק מאוד מכך. מרביתן לא ערוכות להתקפות סייבר, מה שאומר שהמאגרים שלהן חשופים לפריצות.
דברים אלה עלו בכנס המנמ"רים בשלטון המקומי, שנערך באחרונה באילת. שאלת היערכות הרשויות הללו לסייבר הייתה בין הנושאים המרכזיים שנידונו בו. היטיב לתאר את המצב ירון ריבו, מנמ"ר עיריית נתניה, שהוביל שולחן עגול שעסק בסייבר.
ברשויות רבות אין בכלל מנהלי אבטחת מידע
בתום סיעור מוחות ודיון של שעתיים, סיכם ריבו את המסקנות: "הדבר המרכזי שעלה בדיונים הוא שהמנמ"רים ברשויות חסרי משאבים וכוח אדם מתאימים לטפל בהגנת הסייבר. האבסורד הכי זועק לשמיים הוא שבמרבית הרשויות כלל לא קיים תקן למנהל אבטחת מידע, ולכן אין בהן תפקיד כזה". הוא ציין כי "החוליה החלשה היא חוסר המודעות של ראשי הערים והמנכ"לים לנושא, וחוסר המודעות לאחריות האישית שלהם".
המשתתפים בדיון גיבשו שורת המלצות לשיפור המצב וקראו ליישם אותן מהר ככל האפשר. בין היתר, קראו המנמ"רים למרכז השלטון המקומי להעלות לדיון את נושא הסייבר בכנסים שבהם משתתפים בכירים ברשויות המקומיות, מתפקידים שונים, כדי שיהיו מודעים לחשיבות ולסכנות. ריבו קרא לאגף הסייבר במשרד הפנים ולרשות להגנת הפרטיות לממן כנסים כאלה כחלק מפעילותם השוטפת.
המלצות נוספות שגיבש הצוות בראשות ריבו הן השתת חובה להתייחס לאבטחת מידע בכל מכרז וקול קורא של הרשות המקומית; לאפשר למנמ"רים שערוכים לכך להשתמש במכרזי החשכ"ל (החשב הכללי במשרד האוצר); להקים SIEM-SOC – צוות תגובה ראשוני לאירוע סייבר ברשויות המקומיות, שיהיה זמין 24/7, כשירות מרכזי שהעיריות ישתמשו בו; ולהקים צוות מאשכולות אזוריים לסיוע במקרה של מתקפה על אחד החברים. כמו כן, חברי הפאנל ציינו כי אחד מאתגרי הסייבר ברשויות הוא העדר נהלי משמעת ברורים, ובעיקר העדר הגדרות מדויקות מי אחראי למה.
חוק הסייבר – עוד חוק שמעוכב בגלל הפגרה הארוכה של הכנסת
בהמשך הכנס הוצגו בפני המנמ"רים פתרונות שונים שמערך הסייבר הלאומי וגופים ממשלתיים נוספים מפעילים או מתכננים לטובת הרשויות המקומיות. רפאל רחמימוב, מנהל אגף הסייבר במשרד הפנים, הציג את תכניות האגף ואת החסמים, שמונעים פעילות נרחבת יותר. האגף הוקם ב-2017 כיחידה מגזרית, שאחראית על כלל היבטי הגנת הסייבר במרחב האזרחי, בגופים שתחת משרד הפנים – החל מגיבוש מדיניות ובניין כוח טכנולוגי ועד להגנה מבצעית.
רחמימוב אמר כי העובדה שחוק הסייבר לא אושר בכנסת, בגלל הפגרה הממושכת, מקשה על האגף לסייע למנמ"רים ואינה מאפשרת אכיפה חזקה יותר על הרשויות. בהמשך הוא פירט שורה של פעולות שנעשו עד כה ברשויות, בהם כנסים ותרגולים שונים, וכן את התכניות לעתיד, שמטרתן להכניס את המגזר המוניציפלי למסגרת סדורה של טיפול והיערכות נכונה לסייבר.
בעקבות דבריו של רחמימוב התפתח דיון סוער בקרב המנמ"רים, שחזרו וטענו כי יש פער אדיר בין התכניות היפות של המשרד בכל מה שקשור להגנה על מערכות המחשוב של הרשויות לבין מה שקורה בשטח. התחושה הייתה שמדובר בבעיה עמוקה, שקשורה למקבלי החלטות בדרגים ממשלתיים גבוהים יותר, שלא מעמידים את נושא הסייבר ברשויות במקום נכון בסדרי העדיפויות שלהם. המנמ"רים ונציגי גופי הסייבר הממשלתיים סיכמו להמשיך ולהיפגש, ולשתף פעולה כדי לשפר את המצב.
תגובות
(0)