המבקר מזהיר מסייבר: מאגרי המידע ברשויות המקומיות לא מוגנים כראוי
חמש שנים מאז הביקורת הקודמת קובע הדו"ח שתחום אבטחת המידע עדיין פרוץ. לרשויות אין נהלים קבועים, משרדי הפנים והמשפטים לא החליטו של מי האחריות לנושא, ומרכז הסייבר הארצי נותן שירות לפחות מעשירית מהיישובים
דו"ח מבקר המדינה העוסק ברשויות המקומיות ומפורסם היום (ג') מצביע על כך שמשרדי הפנים והמשפטים עדיין מטילים זה על זה את האחריות להסדרת נושא אבטחת המידע הממוחשב – וזאת אף שחלפו חמש שנים מאז שהביקורת הקודמת העלתה שורת ליקויים בטיפול בנושא.
כחלק מפעילותן של הרשויות נעשה שימוש רב במאגרי מידע הכוללים נתונים אישיים רבים על התושבים כמו כספים, תכנון ובנייה, חינוך, רווחה, כוח אדם, רישוי עסקים, תחבורה וחניה, תברואה ועוד.
לפרק עבירות בנייה של רשויות מקומיות ותאגידים עירוניים - לחצו כאן
לדו"ח העוסק בעיריית בית שמש - לחצו כאן
לפרק עבירות בנייה של רשויות מקומיות ותאגידים עירוניים - לחצו כאן
לפרק על אבטחת מידע והגנת הפרטיות ברשויות המקומיות - לחצו כאן
לפרק על דירקטוריונים של תאגידים עירוניים - לחצו כאן
לפרק על מתקני שירותים ציבוריים ברשויות המקומיות - לחצו כאן
הדו"ח מעלה ליקויים שונים הנוגעים לאבטחת מידע במועצות שונות. כך למשל, עיריות כרמיאל ונצרת עילית והמועצה המקומית תל מונד לא קבעו נהלים, הנחיות וכללים מחייבים לאבטחת המידע. כל הרשויות המקומיות שנבדקו לא מנהלות רישום מעודכן של הרשאות גישה למאגרי המידע שניתנו לכל אחד מעובדיהן ולא מבצעות ניטור יזום של יומני השימוש על מנת לזהות פעולות חריגות אשר גורמים בלתי מורשים ביצעו או ניסו לבצע.
עוד בדו"ח המבקר:
בקיצור: 14 סיפורים מעצבנים מהדו"ח
כך זינק תקציב מרכז המבקרים שהפך למסוכן
שירותים ציבוריים חסרים - דווקא בערי תיירות
מאות אלפי השקלים והעמותות הקשורות לח"כ סמוטריץ'
מעבר לכך, עיריות כרמיאל ונצרת עילית, המועצה המקומית תל מונד והמועצה האזורית הגליל התחתון לא ביצעו מעולם סקרי סיכונים ומבחני חדירה כדי להעריך את הסיכונים הנשקפים למאגרי המידע שברשותן ואת הנזק העלול להיגרם למערכות המידע שלהן.
בעייתיות נוספת שעלתה מהביקורת היא היעדר פרוטוקול ואסדרה לגבי הנוהל בתחום. היערכות משרד הפנים לאיומי סייבר נמצאת רק בראשית דרכה, וטרם הוקם גוף שיפקח על היערכותן של הרשויות המקומיות לאיומים. בעקבות זאת חלק מהרשויות המקומיות לא מטפלות כראוי באבטחת המידע שלהן ובהגנה על הפרטיות של תושביהן.
אף שבשנים האחרונות גדל היקף התקיפות באמצעות נוזקות (malware), ו"פשיעת המידע" גוברת, אין בידי שום גורם תמונת מצב עדכנית על היקף התופעה ברשויות המקומיות, זאת בשל היעדר חובת דיווח על פגיעות מסוג זה.
מדו"ח המבקר עולה שגם המרכז הלאומי להתמודדות עם איומי סייבר, שהחל לפעול ב-2016 ונועד לשרת את כלל הארגונים במדינת ישראל, לא פועל כראוי . בביקורת נמצא כי המרכז נותן שירות רק ל-20 מכלל הרשויות המקומיות בישראל (כ-8%). מדובר ברשויות שפנו אליו ונרשמו לקבלת שירותיו, והן מקבלות ממנו באופן שוטף התרעות על נוזקות חדשות וכן דוחות על תקיפות סייבר כנגד אתרים וארגונים בישראל.
עוד נמצא כי המרכז לא פנה ביוזמתו ובאופן מסודר לכל הרשויות המקומיות בהצעה למתן השירותים האמורים, וכי גם משרד הפנים, כמאסדר השלטון המקומי, לא פעל למיסוד הקשר ושיתוף הפעולה בין הרשויות המקומיות ובין המרכז ולהעלאת המודעות לשירותים שהוא מספק בקרב הרשויות המקומיות.