מחדל אי מוכנות הרשויות המקומיות לסייבר – ועדת החקירה הבאה?

אחד הנושאים שעלו בדו"ח מבקר המדינה, שפורסם היום (ב') אחר הצהריים, הוא חוסר המוכנות של רשויות מקומיות רבות בישראל להגנה מפני מתקפות סייבר. הדו"ח מצביע על שורה של ליקויים, שלא לומר מחדל מתמשך, שגם המבקר הקודם, יוסף שפירא, התריע עליו, נערכו לגביו דיונים בכנסת, בשתי ועדות – בוועדת המדע ובוועדת החוץ והביטחון, והכתובת לגמרי על הקיר מזה זמן. אלא שנראה שלא ממש רואים אותה: למרות כל זאת, קובע המקר הנוכחי, מתניהו אנגלמן, רשויות רבות לא ערוכות להגנה מפני סייבר.

יש לכך לא מעט סיבות, שגם הן צוינו בדו"חות קודמים: סיבה אחת היא שלמרבה האבסורד, אין כל גוף מרכזי שאחראי על מערך הסייבר של 255 הרשויות המקומיות בישראל, שמגלגלות תקציבים של יותר מ-80 מיליארד שקלים בשנה מכספי משלם המסים.

מערך הסייבר הלאומי, הפועל במשרד ראש הממשלה, הוא אמנם הגוף האחראי על כלל הגנת הסייבר ועובד מול משרד הפנים, הרגולטור של השלטון המקומי (שגם לו יש אגף סייבר), אבל אין למערך כל סמכות אכיפה על הרשויות המוניציפליות. הוא רק גוף מכוון ומדריך, ולא פעם נציגיו נשלחים הביתה בנימוס, אחרי שהציגו את ההמלצות שלהם, לאחר שראש העיר שואל אותם: הבאתם תקציב לכל זה?, והם משיבים בשלילה.

יש גם את משרד המשפטים, עם הרשות להגנה על הפרטיות, שפועלת על פי חוק שחל גם על הרשויות המקומיות. אלא שהגנה על פרטיות היא לא ההיבט היחיד של הגנת הסייבר וגם היא נופלת אך ורק על כתפיהם של ראשי הרשויות, שבמידה רבה הם כמו חיילים שהמפקדים שלהם הפקירו אותם בשטח.

למה ה-CERT הלאומי לא מטפל גם ברשויות המקומיות?

אין גוף בישראל שמחזיק בכל כך הרבה מאגרי מידע עלינו כמו הרשויות המקומיות. אפילו לא השב"כ. ולמרות זאת, עד היום, מתריע המבקר, לא הוקם מערך בקרה ואכיפה לאומי שכל הרשויות יהיו כפופות לו. לא צריך להמציא את הגלגל – יש מערך מעולה כזה בתקשוב הממשלתי, ה-CERT הלאומי, שפועל כבר כמה שנים בהצלחה יתרה. מדוע הוא לא מטפל גם ברשויות המקומיות? האם הן לא דומות בפעילותן לממשלה? האם הן לא הזרוע הכי יציבה וממשית המקשרת בין האזרח לשלטון?

התשובה לשאלות אלה טמונה בהקשר רחב יותר של מבנה השלטון בישראל: זהו מבנה ריכוזי, שאינו מבזר סמכויות, לא רק בתחום של השלטון המקומי אלא בכל אחד מתחומי החיים. את הנזקים של זה אנחנו רואים בימים אלה של מגפת ומשבר הקורונה, שחשפו עד כמה משרד הבריאות ומשרדים ממשלתיים אחרים חוששים מהאצלת סמכויות, שקיפות ושיתוף הציבור.

מבקר המדינה, מתניהו אנגלמן. צילום: ניב קנטור צילום: ניב קנטור

המבקר פחות מוטרד ממתקפות סייבר שיכולות להיות על רשויות שמפעילות יישומי עיר חכמה, אלא יותר מהפקרות מוחלטת בכל מה קשור להגנה על הפרטיות בהן. אין מי שיגן על התושב בעירו – הרשות המקומית שלו יודעת עליו פרטים רבים מאוד והוא בכלל לא יכול להתגונן.

המנמ"רים צועקים ואיש לא שומע

עוד כשל בולט מצוי בשמירה על המידע שהתושב מספק לרשות במילוי שאלונים, או כשהוא מתחבר לאפליקציה שלה. על פי חוק, הפרטים האלה אמורים להיות מוגנים, ולממונים על המאגרים יש אינטרס מובהק לשמור עליהם: כל דליפה עלולה לעמת אותם עם החוק. אבל מי בודק שהרשויות אמנם שומרות על המידע בהתאם לכללים? מי ערב לכך שכל הנהלים שמערך הסייבר מעביר לרשות אכן מיושמים? התשובה היא: אף אחד.

לא צריך ללכת רחוק. המנמ"רים של הרשויות המקומיות צועקים כבר שנים מעל כל במה שמזדמנת להם שהם לא יכולים להיות ערבים לביטחון המידע של התושבים. במרבית הרשויות, הסיבה היא הכי טריוויאלית: עד היום משרד הפנים לא מצא לנכון לאשר תקן של מנהל אבטחת מידע ברשות. פשוט לא קיים תפקיד כזה. בפועל, עושים זאת מנהלים אחרים ברשויות, לרוב המנמ"רים, אבל הם לא מסוגלים למלא את כל ההנחיות, כי אין לרשותם את האנשים המתאימים והם לא יכולים לגייס אותם.

השינוי צריך לבוא מלמעלה – מהשרים הממונים ומראש הממשלה, שאחראי על מערך הסייבר, שפועל במסגרת משרדו. הם צריכים לוודא שיקום גוף מתכלל, מפקח על כל הרשויות, על פי חוק, ולא לזרוק את האחריות על ראשי הערים והמוצעות. יש לקוות שגם בתקופה זו, של פוסט קורונה והעדר ממשלה יציבה, יימצא מי שיקרא את הדו"ח של המבקר וישנה את המציאות, רגע לפני הקמת ועדת החקירה הבאה, שתדון בחדירה או פריצה המונית למאגרי מידע של רשויות, או משבר סייבר שבצידו תשלום כופר – דבר שכבר קרה במספר רשויות בישראל.