מבקר המדינה: ציון נכשל לרשויות המקומיות בהגנת סייבר
"רמת אבטחת המידע והמוכנות של 67% מהרשויות המקומיות לאיומי סייבר - נמוכה", כותב מבקר המדינה, מתניהו אנגלמן, בפרק חריף בדו"ח שלו על המגזר המוניציפלי, ונותן להן את הציון 48
בשני שלישים (67%) מהרשויות המקומיות, רמת המוכנות מפני מתקפות סייבר – נמוכה; כך קובע מבקר המדינה, מתניהו אנגלמן, בדו"ח שפרסם היום (ב'). המבקר נותן לרשויות בהקשר זה את הציון 48.
בדו"ח כותב המבקר כי "קידום הגנת הסייבר בשלטון המקומי הוא יעד לאומי חשוב, וברשויות המקומיות יש ליקויים שונים בתחום הגנת הסייבר ואבטחת המידע, שמקורם, בין היתר, בהיעדר אסטרטגיה והכוונה מצד הגורמים האחראיים בתחום". הוא מציין כי "רשויות מקומיות מתמודדות עם מגוון סיכונים, ובכלל זה עם פרצות במערך אבטחת המידע ועם איומי סייבר, ומערכות המידע שלהן הפכו למוקד של עניין עבור האקרים ופושעי סייבר. הצורך לשמור על מערכות המידע נועד למניעת פגיעה ברציפות התפקודית של הרשויות המקומיות במתן שירותים, וכן למניעת דליפה של נתונים ומידע ממאגרי המידע שברשותן ולמניעת חשיפתם לגורמים שאינם מורשים לכך".
המבקר מציין שרוב הרשויות המקומיות קיבלו ציון חוסן קיברנטי נמוך מ-60 במבדק שביצע אגף הסייבר במשרד הפנים, ורק 8% קיבלו ציון הגבוה מ-80; ליותר ממחצית מהרשויות אין תוכנית להתאוששות מאסון בהתרחש אירוע סייבר (DRP/BCP); מחצית מהרשויות המקומיות חוו אירועי סייבר בשנים 2019-2021; לכשליש מהן אין ממונה או מנהל אבטחת מידע; ליותר ממחצית מהן אין נוהל אבטחת מידע; לכשישית מהן אין מנמ"ר; וכמחצית מהרשויות המקומיות לא ביצעו מבדקי חדירה בשנתיים האחרונות.
אנגלמן מצטט את נתוני מערך הסייבר הלאומי בנוגע לפניות של רשויות מקומיות למרכז לניהול אירועי סייבר: ב-2019 פנו למרכז 14 רשויות ב-32 פניות, ב-2020 פנו אליו 25 רשויות ב-40 פניות, וב-2021 – 19 רשויות ב-36 פניות. בסך הכול פנו, במצטבר, 32 רשויות מקומיות, מתוך 257, ב-108 פניות.
אין מנהלי IT ואבטחת מידע
בדו"ח נכתב כי הבדיקה של משרד הפנים העלתה "ליקויים שונים בתחום אבטחת המידע בחלק מהרשויות המקומיות, ובהם אי מינוי מנהל אבטחת מידע ובעלי תפקידים אחרים בתחום ה-IT; היעדר נוהל אבטחת מידע; אי רישום מאגרי המידע של הרשות; היעדר רשימת מצאי של רכיבי החומרה והתוכנה ברשות; אי קיום הדרכות במעמד קליטת העובדים לרשות; אי קיום הדרכות תקופתיות; שימוש בתוכנת אנטי וירוס ללא רישיון או שאינה עדכנית; שימוש במערכת הפעלה שאינה עדכנית או שאינה נתמכת; היעדר תוכנית להתאוששות מאסון וכן אי ביצוע בדיקת חוסן קיברנטי, לרבות אי ביצועם של סקרי סיכונים ומבדקי חדירה". "חלק מהרשויות אינן ערוכות לאירועי סייבר", קובע המבקר.
הוא מביע ביקורת על כך ש-"משרד הפנים ומערך הסייבר לא השלימו את הסדרת הסמכויות החסרות בכל הנוגע לרגולציה ולהנחיה מקצועית של הרשויות המקומיות בתחומי אבטחת המידע והגנת הפרטיות. משרד הפנים לא פעל להכנת נוהל שמטרתו להנחות את הרשויות המקומיות כיצד לפעול בנושא. כפועל יוצא מכך, אין לרשויות המקומיות גורם מאסדר (רגולטור – י"ה) בתחום אבטחת המידע וההגנה מאיומי סייבר, ומזה שנים הן פועלות ללא הנחיות מקצועיות ברורות בנושא".
אין תוכניות ל-IT
"חלק מהרשויות", מציין אנגלמן, "לא הכינו תוכניות עבודה אסטרטגיות רב שנתיות בנושא מערכות המידע, ולא הכינו תוכניות עבודה שנתיות מקושרות תקציב, בהתאם ליעדי הרשות המקומית לטווח הארוך. חלק מהן, שגיבשו תוכניות אסטרטגיות בנושא מערכות המידע, לא תקצבו אותן – והתוכניות לא יושמו".
הוא מוסיף כי "לרוב הרשויות אין נוהל גיבויים כנדרש. יש כאלה שיש להן טיוטות נוהל גיבויים שטרם אושרו. בחלקן לא נמצאו רישומים המתעדים היסטוריית גיבויים תקינה ברשות. לחלקן אין כללים כתובים בנוגע למתן הרשאות גישה או לביטולן. לחלק מהרשויות יש טיוטות נוהל שלא אושרו".
"חלק מהרשויות לא ערכו סקרי סיכונים ומבדקי חדירה או ביקורות תקופתיות, ואחת מהן לא ביצעה בעצמה מבדק חדירה או סקר סיכונים, אלא הסתמכה בעניין זה על החברה הפרטית המספקת לרשות שירותי מחשוב", כותב אנגלמן.
ההמלצות
כדרכו, מבקר המדינה מסיים בכמה המלצות לגופים המבוקרים: "על משרד הפנים ומערך הסייבר לפעול לחלוקת הסמכויות ביניהם, שיוסמך רגולטור מוביל להסדרת ההיערכות של הרשויות המקומיות לאיומי סייבר ולקביעת נהלים מתאימים, שיסדירו את פעילותן בנושא. על מערך הסייבר לפעול בשיתוף אגף הסייבר במשרד הפנים להעלאת המודעות של הרשויות המקומיות לחשיבות הדיווח למרכז לניהול אירועי סייבר על אירועים שהן נחשפו להם ועל אפשרות ההיוועצות עם המערך".
לרשויות המקומיות שטרם עשו זאת הוא קורא "להכין תוכנית עבודה אסטרטגית, שתשמש בסיס לתוכניות עבודה שנתיות, ולהגישה להנהלת הרשות כדי שתדון בה, תבחן אם ניתן ליישמה במסגרת תקציבה ותפעל בהתאם ליישומה".
לכלל הרשויות קורא המבקר לאייש את תפקיד ממונה אבטחת המידע ברשות. "על משרד הפנים להנחות את הרשויות שלא מינו ממונה לעשות כן, ולהשלים, בשיתוף מרכז השלטון המקומי, את הגדרת התפקיד של מנמ"ר ותנאי העסקתו. על חלק מהרשויות להכין נוהל אבטחת מידע כנדרש, ועל חלקן לפעול לאישור נוהל אבטחת המידע שלהן. על חלק מהרשויות להשלים את אישור הנוהל ולציין בו את מועד כניסתו לתוקף. על חלקן לקבוע נוהל גיבויים תקף ולבצע גיבויים על פי הנקבע בו. על חלק מהרשויות לקבוע כללים למתן הרשאות ולביטולן, ועל אחרות – לאשר את טיוטות הנוהל שלהן ולפעול על פיו".
"נוכח החשיבות של הכנת תוכנית להתאוששות מאסון, מבקר המדינה ממליץ לכלל הרשויות המקומיות, לפעול להכנת תוכנית להתאוששות מאסון המתאימה לצרכי הרשות, בהתאם להנחיות מערך הסייבר", הוא מוסיף. "על חלק מהרשויות לבצע ביקורות תקופתיות, במסגרת סקרי סיכונים, על מנת למפות ולאתר את סיכוני אבטחת המידע ברשות, ולהיערך בהתאם לממצאים שיועלו. על חלק מהן לבצע מבדקי חדירה – גם אם מאגרי המידע שלהן כפופים לרמת אבטחה בינונית".
"הרשויות המקומיות חשופות לאיומי סייבר", מסכם אנגלמן. "במאגרי המידע של הרשויות שמורים נתונים אישיים על התושבים – דבר המחייב נקיטת אמצעים לאבטחת המאגרים, גם לשם הגנה על הפרטיות. על כלל הרשויות לנקוט את כל האמצעים העומדים לרשותן לניהול מיטבי של מערכות המידע שלהן, להגברת מוכנותן להגנה על המידע הרגיש הנמצא בבעלותן ולמניעת פגיעה ברציפות התפקודית שלהן".
תגובות
ממשרד הפנים נמסר כי "נדאג למלא את הנחיות המבקר בנושאים אלה. משרד הפנים הינו גורם מסייע ומייעץ בלבד בנושא הסייבר. הרגולטור לנושא אבטחת מידע הינו משרד המשפטים. השרה אילת שקד מקדמת בשנה האחרונה הליכים לקראת ביזור והאצלת סמכויות לרשויות המקומיות בתחום".
ממרכז השלטון המקומי נמסר כי "בשנים האחרונות אנחנו מתריעים בפני המדינה כי היעדר מערך להגנת סייבר לרשויות המקומיות מהווה פרצה חמורה בהגנה על תשתיות עירוניות ונתוני תושבים. בשנה האחרונה הקמנו את החברה לחדשנות, שבין השאר פועלת להקמת מערך הגנה אחוד, המנוהל על ידי מקצועני סייבר, לכלל הרשויות המקומיות. באמצעותו ניתן יהיה להגן על תשתיות ועל הפרט, ולפתח אמצעים מתקדמים לדיגיטציה, לרבות הקמת מרכז בקרה לרשויות בהכוונת מטה הסייבר הלאומי. המערך עתיד לפעול כבר בסוף השנה הנוכחית".
יובב יהב, יו"ר איגוד המנמ"רים בשלטון המקומי, אמר כי "עם ההתקדמות הטכנולוגית והצרכים הגוברים כתוצאה ממגפת הקורנה האיצו הרשויות המקומיות את חשיפת מערכות המידע שלהן לרשות הציבור, ומשום כך הפכו להיות פגיעות יותר ויותר. אירוע סייבר משמעותי כדוגמת האירוע בבית החולים הלל יפה הוא לא עוד שאלה של האם אלא מתי יתרחש ברשות מקומית. האיגוד מנסה כבר שנים לקדם את שיפור השכר של המנמ"רים. פנינו לא אחת לגורמים השונים במטרה להעלות את שכר המנמ"רים ולהגדיר את התפקיד מחדש, אך נותרנו ללא מענה, ומשכך, הרשויות נאלצות לנסות ולשכור חברות חיצוניות לטובת נושאי אבטחת מידע. אולם, רובן לא יכולות או מסוגלות לעמוד בעלויות הכספיות הגבוהות הנדרשות לטובת הנושא. מהצד השני, ממשלת ישראל מחוקקת חוקים ותקנות שאינם מגובים בתקצוב ממשלתי עבור הרשויות, בניגוד לתקצוב עצמי עבור משרדי הממשלה. לכן, כפי שהמבקר כותב, על הממשלה לתקצב באופן מלא את כוח האדם של הרשויות, על מנת להגן על האזרחים מפני תקיפות סייבר".
אם הבעיה היא באבטחת המידע למה לשפר את שכר המנמ"ר? למה לא להביא מנהל אבטחת מידע שיהיה מנהל ולא וטכנאי, שידווח למנכ"ל הרשות ולא למנמ"ר שנמצא בניגוד עניינים איתו? זה גם מתאים להנחיות הרשות להגנת הפרטיות.
התשובה פשוטה צמצום מספר הרשויות המקומיות ל-60 כך שכולן תהיינה בעלות יכולת כלכלית להתמודד עם נושאי בטחון הפנים סייבר וכו'. אין שום דרך אחרת להתמודד עם נושאי הביטחון השוטף במרחב העירוני.