המידע על האזרחים בסיכון: ליקויי אבטחה ופרטיות ברבות מהערים בארץ

הרשות להגנת הפרטיות: בכל 70 הרשויות שנבדקו נמצאו ליקויים הדורשים תיקון ● במחצית מהרשויות – רמה נמוכה של אבטחת מידע

מישהו במיקרוסופט פתח, בטעות, את הברז.

הרשות להגנת הפרטיות מפרסמת הבוקר (ב') דו"ח פיקוח של 70 רשויות מקומיות בישראל, המנהלות מידע אישי על יותר מ-5 מיליון תושבים, ועלה ממנו' כי "בכל הרשויות שנבדקו נמצאו ליקויים הדורשים תיקון. הרשויות המקומיות מחזיקות במידע אישי רגיש בהיקף רחב, וחשיבות התחום מתחדדת במיוחד לאור אירועי האבטחה מהעת האחרונה, המדגישים את החובה לוודא כי המידע שנאסף נשמר ומאובטח כנדרש", נכתב בדו"ח.

הרשות בחנה חמישה קריטריונים עיקריים: אבטחת מידע, בקרה ארגונית, העברת מידע בין גופים ציבוריים, ניהול מאגרי מידע, עיבוד מידע אישי במיקור חוץ, וניהול מאגרי מצלמות מעקב במרחב הציבורי.

קרוב למחצית הרשויות שנבדקו, 48% מהן, עמדו ברמה נמוכה בהוראות חוק הגנת הפרטיות ותקנותיו בנושא אבטחת מידע. 27% מהרשויות המקומיות עמדו ברמה בינונית בתחום. על פי הרשות, "קיים יחס ישר בין גודל הרשות המקומית לבין רמת עמידתה באבטחת המידע". רמת העמידה של כרבע מהרשויות המקומיות הגדולות בהוראות החוק והתקנות הייתה נמוכה. ב-60% מהרשויות הבינוניות נמצאה רמת עמידה נמוכה, ובקרב הרשויות הקטנות 63% עמדו ברמה נמוכה. "רק 25% מכלל הרשויות המקומיות עמדו ברמה גבוהה בדרישות אבטחת המידע".

הליקויים

בין הליקויים שנמצאו בתחומי אבטחת מידע: אי יישומה של מדיניות התואמת את הוראות החוק ותקנותיו באופן מלא. כמו כן, נמצאו מקרים שבהם רשויות לא עשו שימוש באמצעי פיזי הנתון לשליטתו של בעל המאגר, עשו שימוש במדיניות סיסמאות לא תקינה, ואף לא ביצעו סקרי סיכונים ומבדקי חדירה בהתאם לדרישת התקנות. "ניכר היעדרן של בקרות לזיהוי משתמשים ולניהול הרשאות בהתאם לבעלי תפקידים רלוונטיים, ולצורך שלהם בגישה למידע, וכן היעדר תיעוד של אירועי אבטחת מידע". עוד ציינו ברשות, כי "בכל הקשור למאגרי מידע של מצלמות מעקב במרחב הציבורי נמצא, כי רשויות רבות אינן מקפידות על אופן יידוע הציבור בדבר המצלמות, לא מגדירות מורשי גישה למידע ולא מחזיקות בנהלים ברורים לשימוש בהן". כך, רק כמחצית, 54%, מהרשויות המקומיות העושות שימוש במצלמות מעקב במרחב הציבורי מציבות שלטי יידוע בסמוך למצלמות באופן קריא וברור, בנוסף למיפוי מלא של פריסת המצלמות באתר העירייה, כנדרש על פי הנחיית הרשות.

רבע מהרשויות יידעו את הציבור על קיומן של מצלמות מעקב באמצעות הצבת שלטי יידוע, אך אלה לא היו קריאים וברורים, או שלא פורסמה רשימה מרוכזת של מיקומי המצלמות באתר האינטרנט של הרשות המקומית. ב-21% מהרשויות לא הוצגו שלטים בסמוך למקום שבו מותקנת המצלמה. עוד נמצא, כי חלק מהרשויות הגדולות והקטנות לא עורכות שימוע ציבורי פומבי לצורך קבלת עמדת הציבור בדבר הצבת המצלמות ואף אינן מתייעצות עם בעלי עניין הנוגעים בדבר, לא קובעות רשימה מוגבלת של מורשי גישה לחומר המצולם ושומרות את הצילומים לאחר שאינם נחוצים עוד. בנוסף, לא היו ברשותן נהלים כתובים לשימוש במצלמות מעקב.

74% מהרשויות עמדו באופן בינוני או נמוך בהוראות החוק בנושא בקרה ארגונית. 26% בלבד מהרשויות עמדו בהוראות אלו ברמה גבוהה. מחצית מהרשויות הבינוניות עמדו ברמה נמוכה במילוי אחר הוראות החוק בנושא. אף רשות מקומית בינונית לא מילאה אחר הוראות החוק והתקנות בנושא ברמה גבוהה. בין הליקויים שנמצאו: נוהלי אבטחת מידע שלא תואמים את הוראות החוק בנושא, אי עריכה של סקרי סיכונים וביקורות תקופתיות בנושא אבטחת מידע, הליך מיון עובדים שאינו תואם את דרישות התקנות והיעדר של תוכנית עבודה שנתית לבקרה שוטפת בתחום אבטחת המידע והגנת הפרטיות.

"נמצאה רמת עמידה נמוכה עד בינונית של הרשויות בכל הנוגע להוראות החוק בעניין העברת מידע בין גופים ציבוריים, החל מהיעדר ועדה ייעודית לנושא ואי רישום, או רישום שאינו משקף את היקף וסוג המידע שנמסר או מתקבל מגופים ציבוריים אחרים", ציינו אנשי הרשות, "71% מהרשויות המקומיות עמדו באופן נמוך-בינוני בהוראות חוק הגנת הפרטיות בנושא ניהול מאגרי מידע. פחות משליש, 29%, עמדו ברמה גבוהה בהוראות החוק בנושא עיבוד מידע אישי במיקור חוץ". הליקויים באו לידי ביטוי, בין היתר, באי ביצוע הפעולות הנדרשות לפי החוק והתקנות של ספק מיקור החוץ, המעניק שירותי עיבוד מידע אישי עבור הרשות המקומית, ובאי נקיטת פעולות על ידי הרשות על מנת לוודא שהספק החיצוני המעבד עבורה את המידע נוקט את האמצעים הנדרשים כדי להגן על מאגרי המידע כנדרש.

פוטנציאל סיכון גבוה במיוחד

"פוטנציאל הסיכון לפרטיות ברשויות המקומיות, גם בהשוואה למגזרים שונים במשק, גבוה במיוחד", נכתב בדו"ח הרשות. "הרשויות מנהלות ומחזיקות במידע רחב היקף ורגיש על תושביהן, לרבות מידע ממרשם האוכלוסין, הכולל מידע אישי, כגון מספרי תעודת זהות, כתובת מגורים, דרכי יצירת קשר, מצב הנכסים ובעליהם לרבות שווי הנכס, קיומה של משכנתא, נתונים על גבייה ואכיפתה, מידע אודות תלמידים, מידע על הטיפול בלשכות הרווחה, ואף מידע אודות ייעוץ פסיכולוגי וסוציאלי שמקבלים תושבי הרשויות. בנוסף, הרשויות מחזיקות במאגרי מידע רבים מתחומים שונים, כגון רווחה, חינוך, דיור ועוד, המאפשרים הצלבה של פרטי מידע, דבר המגביר את החשש לשימוש במידע הקיים לצרכים החורגים ממטרת איסופו המקורית. העובדה כי הרשויות אף נעזרות לעתים קרובות בנותני שירותים חיצוניים מאפשרת, במצבים מסוימים, חשיפה של גורמים נוספים למידע רגיש הקיים במאגרי הרשות המקומית".

לדברי מ"מ ראש הרשות להגנת הפרטיות, ד"ר שלומית ווגמן, "בעת הזאת, על רקע התגברותם של תקיפות סייבר ושל אירועי אבטחה ודליפות מידע על אזרחים במאגרי מידע רגישים, ניצב בפני המדינה תמרור אזהרה, המעצים את החשיבות הרבה בהקפדה על אבטחת מאגרי מידע ובקידום התיקון לחוק הגנת הפרטיות".

מרכז השלטון המקומי: "מוכנים להקים מערך הגנה בעצמנו"

ממרכז השלטון המקומי נמסר כי "אירועי הסייבר האחרונים הבהירו שאין במדינה גוף מאורגן שנותן הנחיות מדויקות בנושא, לרבות תשתית הגנתית רחבה. הפריצות למאגרי מידע באוניברסטאות, בתי חולים ועמותות מחייבות התייחסות באמצעות כלים תקציבים ותשתיתיים, והפעלת מערך סדור".

"מרכז השלטון המקומי מתריע כבר שנים על נושא אבטחת המידע ברשויות המקומיות ודורש התייחסות ממשלתית, שלצערנו עד היום לא ניתנה כראוי. כיום יש צורך מהותי במערך הגנה אחיד עבור כלל הרשויות בישראל בהיבטי הגנת הפרטיות והסייבר. מרכז השלטון המקומי, כמי שמייצג את הרשויות, מוכן לקחת על עצמו הקמת מערך הגנה, שיתכלל עבור הרשויות ויוביל תוכנית כוללת להקמת מערכת הגנה מלאה בשיתוף עם המדינה, כך שכל הרשויות המקומיות, ללא קשר לגודלן, יקבלו את ההגנה המיטבית", נמסר בתגובה.

עוד נכתב כי "אנחנו כבר פועלים בשיתוף פיקוד העורף ומערך הסייבר, ואנחנו מצפים שגופי הממשלה יצטרפו וייקחו חלק על ידי ריכוז משאבי ההגנה על הנתונים של התושבים ברשויות במקום אחד, באמצעות צוות מקצועי. אנחנו קוראים למשרדי הפנים והמשפטים לפעול איתנו כדי שהרשויות יקבלו את אותה ההגנה שמקבלים משרדי הממשלה. כפי שאין צבא לכל רשות בנפרד, גם במקרה הזה יש להקים, באמצעותנו, מערך סדור אחד לכלל הרשויות".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים