"אין מספיק מודעות לסייבר במגזר המוניציפלי – כולל בערים גדולות"

"לא כל הערים מוכנות לעיר חכמה ואין מספיק מודעות לסייבר במגזר המוניציפלי, כולל לא בחלק מהערים הגדולות", כך אמר עופר גנוד, יועץ סייבר למנהל החירום במשרד הפנים – המשרד שהוא הרגולטור של הרשויות המקומיות.

גנוד אמר את הדברים בכנס הערים החכמות Smart Cities 2023 של אנשים ומחשבים, שהתקיים לפני ימים אחדים במרכז האירועים והכנסים לאגו בראשון לציון. הוא השתתף בפאנל שעסק באתגרי אבטחת המידע והסייבר ברשויות המקומיות, בהנחייתו של ירון ריבו, מנמ"ר עיריית נתניה.

לדברי גנוד, "אתגרי העיר החכמה והסייבר הם אותם אתגרים בין אם מדובר ברשות מקומית קטנה ובין אם בעיר גדולה. בשני המקרים, על אנשי הטכנולוגיה ברשות לרכוש פתרונות ולבצע תהליכים, ולהבהיר להנהלתה שסייבר זה לא רק טכנולוגיה, אלא גם תפעול. אם הם לא יעשו את זה, הרשות המקומית לא תוכל להתקדם לעבר העיר החכמה, ואם היא כן תוכל ותעשה זאת – היא תסבול. גם השלטון המקומי צריך להבין שעליו להתעסק בסייבר. עירייה שלא מבינה שנדרשים תהליכים בתחום עלולה לרכוש כלי ששימוש בו יחשוף אותה ליותר ויותר פגיעויות".

מלכי גלעדי, מנהל אבטחת המידע בעיריית רעננה. צילום: ניב קנטור

לצד גנוד והמנחה, ריבו, השתתפו בפאנל צחי שלום, ראש מינהל טכנולוגיות דיגיטליות ומידע ראשי במרכז השלטון המקומי; מוטי לייסט, מנמ"ר עיריית בת ים; ומלכי גלעדי, מנהל אבטחת המידע בעיריית רעננה. גלעדי אמר כי "להיות מנהל אבטחת מידע זה אתגר גדול, עם המון סיכונים – על אחת כמה וכמה ברשות מקומית, שיש בה המון מערכות מחשוב. בעיריית רעננה יש 80 מערכות".

כיצד מתמודדים עם האתגר הזה? לדבריו, "הדבר הכי חשוב הוא העלאת מודעות – הן של העובדים והן של ההנהלה. העובדים צריכים לדעת את הסיכונים בעבודה שלהם, כגון פישינג והנדסה חברתית. בנוסף, עדיף להעביר את ניהול המערכות לספק חיצוני, ולנטר אותן. הדבר האחרון הוא שהנהלת הרשות המקומית צריכה להבין שאירוע סייבר לא תחום לאנשי הטכנולוגיה בה בלבד, אלא שהוא עובר לכל המחלקות בעירייה. עליה להבין שהיא צריכה להוביל את האירוע ולא להיות מנוהלת על ידו".

מוטי לייסט, מנמ"ר עיריית בת ים. צילום: ניב קנטור

בנוגע להמלצת גלעדי להעביר את המערכות לספק חיצוני, לייסט ציין ש-"מרגע שעברנו להיות צרכן שירותים חיצוניים, כל מה שהיה אצלנו, בתוך הבית, דורש מאתנו מבט הרבה יותר רחב ומקיף על מה שקורה בו. בעודנו יושבים כאן כנראה שיש עוד מתקפת סייבר או כלי תקיפה חדש, ואנחנו צריכים להיות כל הזמן עם האצבע על הדופק. מהרגע שקונים שירותים חיצוניים צריכים להיות ערים מה קורה אצל הספקים, לערוך בדיקות תקופתיות, לעשות מבדקי חדירות ולוודא שהם עומדים בדרישות הסייבר".

לדבריו, "החוק מחייב כל רשות מקומית למנות ממונה על אבטחת מידע. אלא שבחלק מהן לא רק שאין ממונה כזה, אלא גם אין מנמ"ר. הנהלות של רשויות מקומיות רבות לא מבינות את המשמעויות של אירועי סייבר, הן רק רוצות שלא יתפרסם בתקשורת שקרה אצלן אירוע שכזה. עוד אתגר הוא שאנחנו, המנמ"רים ברשויות המקומיות, מטילים על המשתמשים מגבלות ולא מאפשרים להם להשתמש בכלים שונים, בשעה שזה לגיטימי לחלוטין שמפעילים את אותם אמצעים כשהם מקבלים, באופן פרטי, שירותים מקופת החולים או מהבנק".

"אתגר נוסף של פעילות הסייבר ברשויות המקומיות הוא המחסור שקיים בכוח אדם, בין היתר כי יש מגבלות שכר שהרשות יכולה לשלם", אמר לייסט. "לכן הן נאלצות לקנות את השירותים מבחוץ. בנוסף, אין רגולציה, אין מישהו שיש לו אחריות על הנושא, ומניחים את כל עשיית השיקולים מה להפעיל, איך לעשות זאת ומאיפה להביא את הפתרונות לסיכונים על המנמ"רים. כאמור, בחלק מהרשויות המקומיות אין מנמ"רים, ולכן גם אין מי שיניע את התהליכים האלה. המדינה צריכה להחליט האם הרשויות המקומיות הן נכס אסטרטגי, ואם כן – להתייחס אליהן בהתאם, גם בכל הנוגע לסייבר".

לייסט הוסיף כי "רק היגיון בריא וניסיון יצליחו להוביל אותנו להתמודדות נכונה עם אתגרי אבטחת המידע והסייבר ברשויות המקומיות".

צחי שלום, ראש מינהל טכנולוגיות דיגיטליות ומידע ראשי במרכז השלטון המקומי. צילום: ניב קנטור

נושא נוסף שעלה בפאנל הוא, איך לא, הבינה המלאכותית. לדברי שלום, "ה-AI הוא הזדמנות, אבל יש בו גם סיכונים רבים – של דליפת מידע, אבטחתו בשימוש פנימה והחוצה, ופרסום האירועים. כשיש דליפת נתונים, העירייה לא יודעת בדיוק איזה מידע נשאר בארגון, איזה נחשף לציבור ומה ההשפעה של המידע שנחשף על התפעול של העיר".

הוא ציין כי "יש בעיה של כוח אדם מקצועי ותקציבים בעולמות הטכנולוגיה ברשויות המקומיות, כולל אבטחת המידע והסייבר. לרשויות בינוניות ומטה קשה מאוד להביא מנהל אבטחת מידע או מנמ"ר. לכן הן מאלתרות".

ככלל, אמר שלום, "המנמ"ר הוא עמוד תווך ברשות המקומית, הוא חלק מתהליך קבלת ההחלטות ומההנהלה הבכירה, כי כל דבר בעיר מבוסס על תהליכים רוחביים ויגיע למנמ"ר. זה נכון על אחת כמה וכמה בעיר החכמה. אנחנו פועלים ליצור היקף ותוכן לתפקיד המנמ"ר בשלטון המקומי ולקדם את נושא אבטחת המידע, כדי להביא להבנה שיש צורך בתהליכים רוחביים-ממשלתיים שיכסו על הבורות שנפערו לאורך השנים במערכות הפנימיות של הרשויות".

לסיום, הוא דיבר על הצורך בשמירה על הפרטיות של התושבים ואמר כי "בנושא זה, אין הבדל בין תושב של עיר קטנה לתושב של עיר גדולה. לא משנה מה גודל הרשות, הידע שיזלוג הוא אותו מידע, וכל התושבים זכאים לקבל את אותה ההגנה".