למה לאגף הסייבר במשרד הפנים אין סמכויות אכיפה ברשויות המקומיות?

משרד הפנים הוא הרגולטור של הרשויות המקומיות, אבל הוא לא יכול לאכוף עליהן להיות מוכנות לאירועי סייבר. כלומר, הוא יכול לאכוף עליהן את הפעולות השונות שהן מבצעות, אבל לא הגנה מפני מתקפות סייבר, שיכולות לשבש או אף להשבית חלק מהן. האבסורד הזה זועק על רקע העובדה שיש במשרד הפנים אגף מוכנות לסייבר. אלא שכמו במקרה של מערך הסייבר הלאומי, שמשמש רק כגוף מייעץ למשרדי הממשלה, כך הוא יכול רק לייעץ לרשויות המקומיות ולהנחות את אנשיהן – אבל לא מעבר לכך.

הסיבות למצב הזה הן שתיים: האחת היא העדר חוק הסייבר, שהונח על שולחן הכנסת כבר לפני כמה שנים אבל עדיין לא נדון עד תום, ובוודאי שלא עבר, עקב מערכות הבחירות החוזרות ונשנות ומאחר שגם כשכבר הייתה ממשלה, השרים והח"כים לא טיפלו בכך. הסיבה השנייה היא שמתן סמכויות אכיפה על הרשויות המקומיות לאגף הסייבר במשרד הפנים מצריך להכניס סעיף רלוונטי בפקודת השלטון המקומי. לפיכך, ראשי הרשויות המקומיות לא חייבים להקצות משאבים ולא למנות מנהלי סייבר מקצועיים כדי להגן טוב יותר על המחשוב שנמצא אצלן.

אלי רגב, ראש מינהל החירום במשרד הפנים, שאגף הסייבר נמצא תחת אחריותו, אמר את הדברים בעצמו בכנס השנתי של איגוד המנמ"רים בשלטון המקומי, שנערך באחרונה באילת וחשף תמונה כאוטית של מצב הסייבר ברשויות המקומיות. גם מבקר המדינה התריע על כך ועל המצב הבעייתי של הגנת הסייבר ברשויות המקומיות, ויותר מפעם אחת, אלא שהדבר לא תוקן.

"רגולטור בשלל תחומים – אבל לא בסייבר"

"בשנים האחרונות היו לא מעט אירועי חדירה לרשתות של רשויות מקומיות, שחלקם הסתיימו בדרישות כופר מצד ההאקרים ובחלק מהמקרים, הרשויות נאלצו לשלם – וגם אז, לא תמיד הבעיה נפתרה. מבקר המדינה התייחס לזה. כך, ברשות אחת הצליחו פורצים למחוק את כל תיקי אגף הרווחה, ולא היה שם גיבוי הולם", אמר רגב.

הוא ציין כי "משרד הפנים הוא רגולטור על הרשויות המקומיות בשלל תחומים, אבל לא בסייבר, וזה סלע המחלוקת בין משרד הפנים ליתר הגופים הרלוונטיים בממשלה".

רגב הסביר שמאחר שחוק הסייבר טרם חוקק, הפעילות של מערך הסייבר הלאומי והגופים הסמוכים אליו היא מכוח החלטת ממשלה, שמחייבת את משרדי הממשלה בלבד – ולא את הרשויות המקומיות. "ההחלטה מחייבת אותי, כמשרד הפנים, אבל אין לי סמכות לחייב את הרשויות המקומיות. אנחנו מתמקדים במניעה, בתרגולים, בהנחיות ובהקצאת משאבים, ואם יש מקרי חירום – אנחנו עוזרים, אף על פי שגם זה לא נמצא בתחום המנדט שלנו", אמר.

"אנחנו עושים כמיטב יכולתנו – גם מעבר למנדט שניתן לנו"

אגף הסייבר במשרד הפנים הוקם ב-2017 והוא אחת מכמה יחידות שמינהל החירום במשרד אחראי עליהן. בין היחידות הנוספות נמצאת זו שעוסקת בהיערכות לטיפול בנפגעים כתוצאה מרעידות אדמה. "אין ספק שהתשתית החוקית של האגף היא בעייתית, ומקבלי ההחלטות מודעים לכך", ציין רגב. "אנחנו עושים כמיטב יכולתנו ומעבר למנדט שיש לנו, כי אני לא מוכן לוותר".

"בתחילת הפעילות של האגף היה צורך לבצע מיפוי של מצב הרשויות בתחום הסייבר, וגילינו שקיימת שונות בולטת ביניהן, שקשה למצוא ביניהן מכנה משותף. הסיבה היא שאין תקן אחיד לאיסוף ולשיקוף דטה ברשויות, וזה מקשה מאוד על לימוד המצב", אמר.

בהמשך דבריו הוא פירט את הפעולות שהאגף עושה באופן שוטף כדי למנוע מתקפות סייבר על הרשויות: תרגילי סייבר ב-35 רשויות, 400 הדרכות, כתיבת 70 נהלים ועוד. "אפשר לומר שב-22 רשויות מקומיות יישרנו קו", אמר רגב. "אנחנו מקצים לרשויות המוניציפאליות עשרות ולפעמים מאות מיליוני שקלים בשנה כדי לגרום לכך שתהיה להן רציפות תפקודית, אבל התקציב הוא לא בלתי מוגבל".

האם הלחץ יגיע מהשטח?

רגב אמר כי החסם שלא מאפשר לאגף הסייבר במשרד הפנים הוא משמעותי וטען שהפתרון לכך יכול לבוא מהשטח, מלחץ שיפעיל איגוד המנמ"רים בשלטון המקומי על הממשלה, כדי שיבינו שם שדרוש להסדיר את הנושא.

עם זאת, הוא ציין כי לא תמיד יש צורך באכיפה וכי בקרב מנהלי טכנולוגיה ומקבלי החלטות רבים ברשויות המקומיות יש הבנה שעליהם להיערך למתקפות סייבר ולהישמע להנחיות האגף לשם כך. "לא תמיד צריך את הפטיש – אפשר גם לשכנע, להסביר. מדובר באנשים שמבינים עניין", אמר.

נושא נוסף שרגב התייחס אליו הוא בעיית ההון האנושי הטכנולוגי בכלל וברשויות המקומיות בפרט. "אנחנו מודעים לבעיה הייחודית במגזר הציבורי בכלל ובמגזר המוניציפאלי בפרט, שנובעת מפערי השכר שיש בינם לבין השוק הפרטי. יש הבנה מצד כל הגורמים שצריך לטפל בזה, אבל הדבר כרוך בתקציב של מאות מיליוני שקלים".

עוד הוא התייחס לאתגרים של השלטון המקומי בהיבטים הדמוגרפיים, על רקע ההערכות של הלשכה המרכזית לסטטיסטיקה שלפיהן אוכלוסיית ישראל תגיע בתוך פחות מעשור ל-19 מיליון תושבים – כמעט פי שניים ממספרם כיום. "יש לזה השלכות רבות", אמר. "בין היתר, זה יחייב את הרשויות ליישם עוד שירותים מבוססי תהליכים דיגיטליים ולהכשיר את כוח האדם המתאים לכך. חייבים להתחיל בזה כעת".