מי אחראי על הסייבר ברשויות המקומיות?

מזה שנים מדובר על הליקויים באבטחת מידע וסייבר ברשויות המקומיות. מבקר המדינה הנוכחי, מתניהו אנגלמן, וגם זה הקודם, יוסף שפירא, התייחסו לכך בכמה דו"חות שהוציאו.

אבטחת המידע במגזר המקומי צריכה להטריד ולהדאיג כל אחת ואחד מאתנו: במערכות המידע של הרשויות המקומיות נמצאים נתונים רגישים ביותר עלינו. הן האחראיות על שירותים שרבים מאתנו צורכים בשגרה, לרבות בתחומי החינוך והרווחה, והן אלה שאנחנו משלמים להן ארנונה. לכן, ליקויי אבטחה במערכות ה-IT שלהן עלול להביא לדליפת לא מעט נתונים עלינו, שלא היינו רוצים שיגיעו לקבוצות האקרים כאלה ואחרות – איראניות, ולא רק.

אלא שבתקופה האחרונה יש שיפור ניכר ברמת אבטחת הסייבר – או מה שמכונה "חוסן הסייבר" – ברשויות המקומיות: בראיון שפרסמנו אתמול (ד') סיפר קובי מנשה, ראש מחלקת הנחיה מגזרית במערך הסייבר הלאומי, שעל פי מדדים שקבע המערך, אבטחת הסייבר ב-140 מתוך 259 הרשויות המקומיות נמצאת במצב טוב. שלא במפתיע, רוב הרשויות האלה הן העיריות הגדולות במדינה, וגם הבינוניות. יתר הרשויות, שמצב אבטחת הסייבר בהן בינוני ומטה, הן הרשויות הקטנות, החלשות, שנמצאות בפריפריה – הגיאוגרפית והחברתית כאחד.

קובי מנשה, ראש מחלקת הנחיה מגזרית במערך הסייבר הלאומי. צילום: ניב קנטור

מערך הסייבר פועל במגזר המוניציפלי על תקן של יועץ, חצי מתנדב. הסיבה היא שבישראל של שנת 2026 אין כל גוף מתכלל, רשמי – או, אם תרצו, רגולטור, שאחראי ומפקח על הסייבר ברשויות המקומיות. משרד הפנים אימץ כבר מזמן את העקרון העקום של סמכות בלי אחריות: המשרד הוא הרגולטור של השלטון המקומי, אבל מישהו שם החליט שהוא לא אחראי על אבטחת המידע והסייבר ברשויות המקומיות.

לא מדובר בסיפור חדש: עוד ב-2018, בישיבה של ועדת המדע והטכנולוגיה של הכנסת, הצליח נציג משרד הפנים להרגיז את המשתתפים כשאמר שהתחום לא נמצא באחריות המשרד. ח"כ אורי מקלב, אז יו"ר הוועדה, אמר בעקבות זאת כי "מתגלה פה תופעה מדאיגה, שבה אף אחד לא לוקח אחריות על אחד הנושאים החשובים ביותר, ואין גוף אחד שמוביל את נושא הסייבר ברשויות". בדיון נוסף שנערך בנושא בוועדת המדע באותה השנה, לקראת הבחירות לרשויות המקומיות, נחשף כי כל פיקוח על מה שהן עושות להגנת סייבר ועל המתקפות עליהן, והמסקנה של יו"ר הוועדה הייתה ש-"הרשויות הן החולייה החלשה בסייבר בישראל". כל זה לא הזיז לאף אחד בממשלה אז ובאלה שבאו לאחר מכן – כולל בממשלה הנוכחית, שלא עשתה כלום גם בשנתיים וחצי האחרונות, שבה ידענו מתיחות ביטחונית, שלוותה בשלל איומים ומתקפות על ביטחון הסייבר בישראל.

עוד תחום שמשרד הפנים אחראי עליו הוא הקצאת תקנים לתפקידים ברשויות המקומיות. גם כאן הוא לא ממהר לפעול, כשזה נוגע למנהלי אבטחת מידע במגזר המקומי, וגם לא למנמ"רים (בחלק גדול מהרשויות שבהן יש תפקיד מנמ"ר, הוא אחראי גם על אבטחת המידע). קבלו נתון עגום: מתוך 259 הרשויות המקומיות במדינת ישראל, רק ב-80 יש מנמ"ר. מספר מנהלי האבטחה בשלטון המקומי קטן עוד יותר – ובהרבה. וגם כשיש כבר תקנים, קשה לגייס אנשי סייבר לעבודה ברשות מקומית, בגלל השכר, שלא דומה בשום צורה לשכר שמשולם בשוק האזרחי.

במרכז השלטון המקומי הבינו שהם צריכים להתגייס לנושא, והוא מציע יוזמות שונות כדי לפתור את הנושא, בהם מכרז שבו נבחרו שתי חברות שמעניקות שירותי SoC (מרכז לתפעול סייבר) לרשויות קטנות ובינוניות. אלא שכאמור, הפתרון לנושא לא צריך להיות ברמת מרכז השלטון המקומי, אלא ברמת הממשלה. דרוש גוף ממשלתי שיהיה רגולטור בתחום זה, בדיוק כשם שיש רגולטורים על המגזר הפיננסי, מגזר הבריאות ועוד.

מלחמת ה-7 באוקטובר רק החמירה את הבעיה: בפאנל שנערך בשנה שעברה בוועידת הערים החכמות של אנשים ומחשבים היטיב לסכם את הנושא רון ברזני, סמנכ"ל חדשנות ומערכות מידע בחברה למשק וכלכלה בשלטון המקומי, כשאמר כי "תפקידי המנמ"ר ומנהל האבטחה הם פריבילגיה ברשויות המקומיות".

איך סדנת בישול מסייעת להתכונן לחירום?

אתמול ערכנו את הוובינר השני של אנשים ומחשבים מאז פרוץ המלחמה הנוכחית עם איראן, והוא עסק בחוסן ומוכנות ארגונית לחירום. בין הדוברים הייתה ליאורה שכטר, מנכ"לית מתף – זרוע המחשוב של הבנק הבינלאומי. הבנק מכין את עצמו כל העת לתרחישי חירום, מקיים תרגילים ועוד. אבל שכטר בחרה להתייחס לפן נוסף, שלא תמיד מובן מאליו: העובדים של מתף. תפיסת העולם של המנכ"לית היא שהעובדים שתחתיה הם הנכס העיקרי של הארגון, שבעזרתם הוא מיישם את המוכנות שלו לחירום. הם אלה שמאפשרים לבנק לשרת את לקוחותיו בחירום, כפי שהוא עושה בשגרה.

שכטר הביאה דוגמאות לפעילויות שעשתה מתף עם העובדים וילדיהם מתחילת המלחמה, כמו סדנת בישול וקיום משחקים נושאי פרסים. למי שהרים גבה לרגע, היא מיהרה להבהיר שהפעילויות היו מחוץ לעבודה השוטפת, שמתף המשיכה בה מהיום הראשון של המלחמה.

ליאורה שכטר, מנכ"לית מתף – זרוע המחשוב של הבנק הבינלאומי. צילום: ניב קנטור

מעבר לתפיסה שההון האנושי הוא הדבר החשוב, יש כאן חשיבה מציאותית, שמתאימה למצב שנכפה עלינו מאז שבת לפני כמעט שבועיים: כולנו עוברים ימים לא פשוטים, עם אזעקות, חרדות ולילות ללא שינה. בסיטואציה הזו צריך להבין את העובדים ולשמור על המוטיבציה שלהם לעבוד, למרות המצב הקשה, והצורך לדאוג קודם כל ממש לחיים שלהם ושל בני המשפחות שלהם. פעילויות כפי ששכטר ואנשיה עשו במתף יוצרות אמון ותחושת מחויבות גדולה של העובדים.

בזמן חירום אנחנו מדברים הרבה על הרציפות התפקודית של הארגונים. אלא שאי אפשר לקיים את הרציפות התפקודית ללא עובדים. לכן, מן הראוי שארגונים אחרים יאמצו את התפיסה של מתף: להתכונן לחירום, לתסריטים הקיצוניים והגרועים ביותר – אבל לא לשכוח את האדם שמאחורי המכונה.

ממשיכים בסדרת הוובינרים

את סדרת הוובינרים התחלנו בשבוע שעבר, וההצלחה של שני המפגשים הווירטואליים הראשונים במלחמה הנוכחית הייתה מעבר למצופה. בשבועות הבאים, ככל שהמצב יימשך, נזמין אתכם, הקוראים, להשתתף במפגשי זום מקצועיים נוספים.

ביום ג' הקרוב, ה-17 במרץ, נקיים וובינר על חוסן ושרידות במגזר הממשלתי-ציבורי, בשיתוף מערך הדיגיטל הלאומי. למחרת נקיים, בשיתוף דלויט, מפגש זום שיעסוק בבינה מלאכותית, במסגרת פורום ה-GenAI של אנשים ומחשבים. בשבוע שלאחר מכן, רגע לפני פסח, נקיים עוד שני מפגשי זום: האחד בנושא שרשרת האספקה והשני יעסוק בשאלה כיצד ה-IT מסייע למגזר הבריאות לתפקד בתקופת המלחמה.

סדרת וובינרים בתקופת המלחמה. אתם מוזמנים להיכנס. צילום: New Africa, ShutterStock

כל המפגשים מועברים בשידור חי, בהשתתפות קהל שגם יכול להפנות שאלות למרצים, והרישום אליהם הוא ללא עלות. התקווה היא שבשבועות הקרובים תסתיים המלחמה, נחזור לשגרה ונשוב לכנסים הפיזיים, שקבוצת אנשים ומחשבים מקיימת בשוטף.

סוף שבוע שקט לכולנו.