מבקר המדינה: ליקויים ניכרים באבטחת המידע והגנת הפרטיות ברשויות המקומיות

הרשויות המקומיות לא פעלו לתיקון ליקויי אבטחת מידע והגנת הפרטיות שהתגלו בדו"ח הביקורת לפני חמש שנים, כך מצא דו"ח הביקורת על השלטון המקומי שפרסם מבקר המדינה. ממצאי הדו"ח מגלים כי באופן גורף כל הרשויות המקומיות  –

  • לא מנטרות את השימוש במערכות מידע, על מנת לזהות פעולות שבוצעו בחריגה מהרשאה;
  • לא מנהלות רישום של הרשאות הגישה למאגרי המידע שניתנו לכל אחד מעובדיהן;
  • לא קבעו תכנית הדרכה והסברה שנתית לעובדים בתחום אבטחת המידע והגנת הפרטיות.

על אף הגידול במתקפות הסייבר, אין בידי אף גורם תמונת מצב עדכנית אודות היקף אירועי אבטחת המידע שארעו ברשויות המקומיות. הסיבה לכך נעוצה בהיעדר חובת דיווח על אירועי אבטחת מידע. למשל, בעיריית נצרת עילית נפגע שרת במחלקת ההנדסה ממתקפת Ransomware (מתקפת כופרה). בדיקה העלתה כי הגיבוי האחרון של המידע בשרת בוצע בסוף שנת 2015, וכי לא ניתן היה לשחזר את המידע שאוחסן בשרת, שכלל, בין היתר, תמונות שתיעדו עבירות בנייה בעיר. בכך נפגעה יכולת העירייה להגיש כתבי אישום נגד עברייני בנייה. נכון למועד סיום עריכת הביקורת, הקבצים השמורים בשרת נשארו מוצפנים ולעירייה לא הייתה גישה אליהם.

דו"ח הביקורת התייחס גם להיעדר רישום מאגרי מידע על-ידי חלק מהרשויות המקומיות. בעיון במרשם מאגרי המידע נמצא כי רק 60% מהרשויות המקומיות רשמו מאגרי מידע (153 רשויות). רשות הגנת הפרטיות (לשעבר רמו"ט) הגיבה לממצא זה וטענה כי "אין בידיה משאבים שיאפשרו לה לוודא כי בוצע רישום של כלל מאגרי המידע בישראל וכל שכן לאכוף את חובת הרישום של מאגרים אלה". דו"ח הביקורת קבע כי על רשות הגנת הפרטיות ליזום, אם בעצמה ואם באמצעות משרד הפנים, פנייה לרשויות המקומיות לצורך רישום מאגרי המידע ותשלום האגרות, לפי החוק והתקנות (law.co.il מעיר כי חובת תשלום אגרת רישום מאגר מידע בוטלה לאחרונה אבל בעיקר הוא לא מבין את הערת הדו"ח בענין זה לאחר שמבקר המדינה עצמו מצא בעבר שאין תועלת להגנת הפרטיות בחובת הרישום).

דו"ח הביקורת מצא כי משרד המשפטים ומשרד הפנים מטילים זה על זה את האחריות לאסדרת אבטחת המידע ברשויות המקומיות. כתוצאה מכך, כל רשות מקומית מתמודדת עם נושא אבטחת המידע והגנת הפרטיות כמיטב הבנתה ולפי התקציב שהקצתה לנושא, ובעקבות כך חלק מהרשויות המקומיות אינן מטפלות כראוי בנושא. מבקר המדינה קבע כי על מנכ"ל משרד הפנים ומנכ"לית משרד המשפטים לגבש מתכונת ברורה של חלוקת תחומי האחריות והסמכויות בין משרדיהם בכל הנוגע לאבטחת המידע והגנת הפרטיות ברשויות המקומיות.

מבקר המדינה קבע כי על משרד הפנים לפרסם קובץ הנחיות מחייב בנושא אבטחת מידע והגנת הפרטיות, ולוודא כי הרשויות המקומיות מטמיעות ומיישמות את הוראותיו.