אודי כהן, מנהל טכנולוגיות בחברת אבטחת המידע וירגונט: "אבטחת מידע ושמירה על פרטיות התושבים היא צורך קריטי עבור השלטון המקומי"
השבוע התקיים כנס המנמ"רים בשלטון המקומי בהשתתפות כ-130 מנמ"רים ובכירים בתחום מערכות המידע בשלטון המקומי. אחד הנושאים שנידונו בהרחבה היה הצורך לאבטח את מערכות המידע ברשויות המקומיות. בראיון עם אודי כהן, מנהל טכנולוגיות אבטחת מידע בחברת וירגונט, המתמחה בהטמעה של פתרונות תקשורת ואבטחת מידע, הוא מציג את האתגרים הייחודיים הניצבים בפני הרשויות המקומיות בתחומי אבטחת מידע ושמירה על פרטיות.
על מה צריכות רשויות מקומיות להגן כאשר מדובר באבטחת מידע ושמירה על פרטיות?
בישראל למעלה מ-250 רשויות מקומיות, שאחד הנכסים העיקריים שברשותן הוא מידע. מידע מפורט, ואף מסווג, אודות התושבים; מידע רגיש אודות תכנון מוניציפאלי ובנייה, שהוא בעל ערך רב לגורמים עסקיים; מידע אודות ארגונים עסקיים ועסקים המצויים בתחומיהן; ועוד. בנוסף, חלק נכבד מהמידע ברשות המקומית נחשב רגיש כהגדרתו בחוק הגנת הפרטיות, למשל: אבחונים פסיכולוגיים, חוות דעת של עובדים סוציאליים ועוד. מערכות המידע בשלטון המקומי כוללות נתונים רבים על התושבים – מעמד אישי, מצב בריאות, מצב כלכלי, הכשרה מקצועית, דעות ואמונות – שחשיפתם עלולה לפגוע בפרטיות התושבים. אולם, כיום אבטחת מידע בשלטון המקומי כוללת גם הגנה על המערכות התפעוליות, שמבטיחות תפעול של העירייה בשגרה ובחירום. כך לדוגמא, המצלמות העירוניות שמשמשות את הרשויות המקומיות להגביר את תחושת הביטחון האישי של התושבים מחייבות הגנה מפני השתלטות עליהן של גורמים זרים. דוגמא נוספת, רשתות התקשורת, החמ"ל העירוני ומערכות השליטה והבקרה של העירייה, שכולם מחייבים הגנה כדי להבטיח רציפות ותפקוד שלהן בכול תנאי ובכול מצב, בשגרה ובחירום.
מבקר המדינה בדק את אבטחת המידע בשלטון המקומי. מה היו הממצאים המרכזיים שלו ומה משמעותם?
מבקר המדינה בדו"ח השנתי, שהתפרסם במאי 2012, בדק את מצב אבטחת המידע ושמירת הפרטיות ברשויות המקומיות. המבקר מצא ליקויים בתחום אבטחת המידע, חלקם אף חמורים, וקבע ש"מסתמן כי לרשויות המקומיות עדיין חסרה התשתית לטיפול בנושאי אבטחת מידע וההגנה על הפרטיות". אחד המקורות לליקויים שקבע המבקר מצוי בעובדה שהרגולטור של השלטון המקומי, משרד הפנים, לא קבע מדיניות ברורה ומחייבת לאבטחת מידע בשלטון המקומי. המשמעות, שהברירה אם לבצע פעולות אבטחת מידע ניתן לבחירתן של העיריות עצמן. התוצאה היא שמרבית העיריות והרשויות המקומיות חסרות בגוף מערכות המידע שלהן פונקציה הממונה על אבטחת מידע. כזו המתמחה באיומים מצד אחד, ובפתרונות מצד שני, כדי להגן על המערכות העירוניות או על המידע הרגיש של הרשות המקומית.
אם כך, מה ניתן לעשות כדי להגביר את אבטחת המידע ברשות המקומית?
מה שניתן לעשות הוא שילוב של כמה גורמים. ראש עיר צריך לדעת שאבטחת מידע ושמירה על פרטיות התושבים היא צורך קריטי. על ראשי הערים והרשויות המקומיות להתאגד יחד, לדרוש ממשרד הפנים לספק לו מדיניות ברורה וסטנדרטית של אבטחת מידע, ולהוסיף דרישה לתקציב ייעודי למימוש המדיניות. אבל גם בתוך הבית יכולה וצריכה להיעשות עבודה רבה, וכאן נדרש ראש הרשות המקומית לעבוד במשותף עם מנהל מערכות המידע. ראשית, עליהם לבצע סקר סיכונים, לבנות תוכנית עבודה ייעודית לאבטחת מידע, ולאתר תקציב שיאפשר לקדם את נושאי אבטחת המידע ופרטיות התושבים. לצורך כך, ובהיעדרו של מנהל אבטחת מידע ברשות המקומית, מומלץ לראש הרשות המקומית ולמנמ"ר להיעזר בגופי ייעוץ המתמחים באבטחת מידע מצד אחד, אך גם בעלי ידע והיכרות עם המגזר הציבורי והמוניציפאלי מצד שני.
