המבקר: "ליקויי אבטחה עלולים לחשוף הרשויות המקומיות לאירועי סייבר"

בעקבות מלחמת 'חרבות ברזל' התגברו הסיכונים להתרחשות אירועי סייבר בכלל הגופים במדינה, לרבות ברשויות המקומיות. ברבות מהרשויות המקומיות בארץ נמצאו ליקויי אבטחת מידע והגנת הפרטיות – ביישום הדרישות, החוקים, התקנות ובהנחיות מערך הסייבר הלאומי. 

"ליקויים אלה עלולים לחשוף את הרשויות המקומיות לאירועי סייבר", כך קבע מבקר המדינה, מתניהו אנגלמן, בדו"ח הביקורת השנתי שלו על השלטון המקומי, שהתפרסם היום (ג').

מבקר המדינה, מתניהו אנגלמן. צילום: דוברות מבקר המדינה

לקויים באבטחת מידע במערכות הגבייה ברשויות מקומיות

בפרק הדן באבטחת מידע של מערכות גבייה ברשויות מקומיות, כותב המבקר כי "מערכת הגבייה של הרשות המקומית הינה מערכת מרכזית, באמצעותה הרשות גובה תשלומים מהתושבים. ברשויות המקומיות מצטבר מידע אישי על תושביהן, ודבר זה מחייב אותן לנקוט פעולות לשמירה על המידע שנאסף בידיהן ולאבטחתו".

ב-2022, דווח על 9,108 אירועי סייבר ל-מערך הסייבר הלאומי, וב-2023 קיבל המערך דיווחים על 13,040 אירועי סייבר, מתוכם, בשלוש השנים האחרונות, היו דיווחים על 164 תקיפות בסייבר ברשויות. בישראל, העלות הכלכלית השנתית מוערכת בלפחות 12 מיליארד שקל בשנה. "בעקבות מלחמת 'חרבות ברזל' התגברו הסיכונים להתרחשות אירועי סייבר בכלל הגופים במדינה, לרבות ברשויות המקומיות: בין אוקטובר לסוף דצמבר 2023 התרחשו 96 אירועי סייבר ברשויות המקומיות", ציין המבקר.

מבקר המדינה בדק את אבטחת המידע של מערכת הגבייה בעיריות אור עקיבא, ראשון לציון, רהט, רחובות, במועצה המקומית אבן יהודה ובמועצה האזורית עמק חפר. המבקר מצא ליקויים ביישום הדרישות שחלקן מופיע בחוק הגנת הפרטיות, בתקנות על פיו ובהנחיות מערך הסייבר הלאומי. "ליקויים אלה עלולים לחשוף את הרשויות המקומיות לאירועי סייבר", כתב המבקר בדו"ח.

אין גוף מנחה להתמודדות עם אירועי סייבר

בין הליקויים שעלו בביקורת: היעדר גוף המשמש יחידה מגזרית של הרשויות המקומיות, המנחה אותן מהבחינה המקצועית בהיבטי הגנת הסייבר. כך צוין בדו"ח כי "בסוף 2023, עדיין לא סוכם על מתווה בין משרד הפנים לבין מערך הסייבר הלאומי לגבי המשך הפעילות של היחידה המגזרית במשרד הפנים, שהוקמה בעקבות החלטת הממשלה מ-2015 במטרה להנחות את הרשויות המקומיות בתחום הגנת הסייבר – והיחידה הפסיקה להנחות את מגזר הרשויות המקומיות. אי לכך אין גוף המשמש יחידה מגזרית של הרשויות המקומיות, האחראי להנחות אותן במסגרת היערכותן להתמודדות עם אירועי סייבר.

בהיעדר גורם רשמי לא יתאפשרו ליווי, הנחייה ובקרה בעניין ההיערכות לקרות אירוע סייבר ובעניין המוכנות להתמודדות עם אירוע סייבר, במיוחד נוכח העלייה בהתקפות סייבר שהתרחשו כנגד גופים שונים במדינה במהלך מלחמת 'חרבות ברזל' ופינוי הרשויות המקומיות בדרום ובצפון הארץ שעלול לחשוף את מערכות המחשוב שלהן לסיכוני אבטחת מידע".

עוד עלו בביקורת גם ליקויים בניהול מאגר המידע של מערכת הגבייה על ידי הרשויות המקומיות. כמו כן נמצא כי הרשויות המקומיות לא ביצעו סקרי סיכונים ומבדקי חדירה למערכת הגבייה שלהן, ואינן מבצעות בקרה שוטפת על ספקי השירות המחזיקים במאגרי המידע שלהן. הן גם לא קיבלו מספקי השירות דיווחים תקופתיים על מידת עמידתן בחובותיהן, לפי תקנות הגנת הפרטיות.

המבקר אנגלמן ציין כי הוא "ממליץ למשרד הפנים ולמערך הסייבר הלאומי לפעול לקביעת הגורם שישמש יחידה מגזרית עבור הרשויות המקומיות. בנוסף, על הרשויות המקומיות לפעול לתיקון הליקויים שהועלו בדו"ח".