"איומי הסייבר מחייבים כל מנמ"ר לעורר את ראש הרשות המקומית"

ההיערכות הלקויה ברשויות המקומיות לתקיפות סייבר כבר זכתה לביקורת בפורומים שונים. בדו"ח מבקר המדינה, שפורסם בשנה שעברה ובדק את מערכות המידע ברשויות, 67% מ-130 הרשויות שנערכו בהן מבדקי סייבר קיבלו ציון נמוך מ-60. המנמ"רים ברשויות מתריעים על כך כבר כמה שנים. בעקבות זאת יזם ירון ריבו, מנמ"ר עיריית נתניה, בשיתוף הנהגת איגוד המנמ"רים ברשויות המקומיות, קיום שורה של תרגולי סייבר ברשויות, על מנת להעלות את המודעות ו-"לגרום למנכ"לים ולשאר בעלי התפקידים להזיע". וכך אמנם קרה לאחר שהתרגילים הללו נערכו.

אתמול (ב'), בוועידת הטכנולוגיה של הרשויות המקומיות, שנערכת השבוע באילת, התקיים פאנל בהשתתפות מנכ"לי ומנמ"רי רשויות שלקחו חלק בתרגילים הללו והוצגו תובנות שעלו מהם. השתתפו בו, לצד ריבו: אילן הררי, מנכ"ל עיריית ראש העין; איציק אשכנזי, מנכ"ל המועצה המקומית רמת ישי; צחי שלום, ראש מינהל טכנולוגיות ומידע במרכז השלטון המקומי; ויובב יהב, מנמ"ר עיריית ראש העין ויו"ר איגוד המנמ"רים ברשויות המקומיות.

הררי אמר שהמסקנה המרכזית מהתרגיל היא שיש להעלות מודעות לאיומי הסייבר ברשויות המקומיות. "כולנו מבינים שהסייבר הוא בעיה של כולנו. הבנו מהתרגול שהשתתפנו בו שתקיפת סייבר שתגרום לתקלות היא לא רק בעיה פנימית, אלא אתגר מול התושבים, הלקוחות שלנו. כשמערכות כמו אלה של המוקד העירוני יחדלו מלעבוד, זה יעורר מיד בקשות לתשובות וחשיפה בתקשורת. למדנו שמה שלא עובד טוב בתרגיל ולא נערכים אליו – לא יעבוד גם בחירום", ציין.

הוא הוסיף כי בעקבות מסקנות התרגיל, בתוך שלושה חודשים לאחר שהוא הסתיים נכתבו נהלים מחייבים לכל המנהלים והעובדים, לרבות אודות איוש כוח האדם במקרים של מתקפות סייבר והגדרת תפקידים מדויקים מרגע שהאירוע מתחיל.
לדברי הררי, "עוד דבר שהתרגיל לימד אותנו הוא שעלינו ללמוד מאירועים דומים שקרו במוסדות אחרים, לדוגמה מתקפת הסייבר על בית החולים הלל יפה, שהשפיעה ישירות על תפקוד בית החולים".

"המסקנה המרכזית שלי מהתרגיל היא קריאה לכל אחד מהמנמ"רים ברשויות המקומיות לדפוק בדלת של המנכ"ל ולגרום לכך שייזום תרגיל מיידית, כי הסכנה היא מיידית, והמתקפה יכולה לקרות בכל רגע", סיכם.

יובב יהב, מנמ"ר עיריית ראש העין ויו"ר איגוד המנמ"רים ברשויות המקומיות. צילום: אודי פורטל

יהב ציין ש-"כפי שצפיתי לפני תחילת התרגיל, חלק ממשתתפיו לקו בתחושה של אדישות. ככל שהתקדמנו והומחש למשתתפים שהיערכות לסייבר היא לא רק עניין טכנולוגי, האסימון נפל אצל מקבלי ההחלטות. הם הבינו שסייבר זה קודם כל אירוע שלהם".

גם הוא קרא לעשרות המנמ"רים שהגיעו לוועידה לא לפחד ולדרוש מהמנהלים שלהם להיכנס לנושא, להסביר להם שמתקפת סייבר היא סכנת חיים של ממש, לערוך תרגילים ולדרוש מהם להפוך אותם לחלק מצוות הניהול הבכיר ברשות המקומית.

איציק אשכנזי, מנכ"ל המועצה המקומית רמת ישי. צילום: אודי פורטל

אשכנזי העיד שגם במועצה האזורית רמת ישי גרם התרגיל להעלאת מודעות בקרב מקבלי ההחלטות. "הבנו שיש לזה השפעה על הציבור, ושזה לא רק עניין פנימי. שאיומי הסייבר מסכנים אנשים. מהר מאוד הבנו שיש פער גדול בין מה שצריך להיות לבין מה שיש בשטח, והגזברית שלנו הבינה שהמשמעות הכספית של נזק מכופרה או מכל מתקפת סייבר אחרת הוא גדול. לכן, היא החליטה שכבר בתקציב הבא היא תתעדף הקצאת משאבים כדי להיערך להתמודדות עם איומים אלה".

צחי שלום, ראש מינהל טכנולוגיות ומידע במרכז השלטון המקומי. צילום: אודי פורטל

לדברי שלום, היתרון הגדול של התרגיל נעוץ בהצלחה להטמיע את חשיבות העניין בקרב ראשי הרשויות והמנכ"לים. הוא הזכיר את המכרז שמרכז השלטון המקומי מקיים בימים אלה לבחירת פתרונות שיתנו מענה להגנות סייבר ברשויות המקומיות. "המשימה שלנו בשנה הקרובה היא להעלות מודעות בקרב ראשי הרשויות. אנחנו חיים בסרט וצריכים להתחיל להיערך באופן מיידי".

ירון ריבו, מנמ"ר עיריית נתניה. צילום: אודי פורטל

ריבו ציין ש-"יש צורך במסגרת רחבה יותר של אנשים שיבצעו את תרגילי הסייבר בכל הרשויות. כעת זה נעשה על ידי צוותים של האיגוד ואנשי מקצוע, בצורה וולונטרית". עוד אמר ריבו שבקרוב יוכנסו לרשויות מערכות סימולציה, שיתרגלו את כלל הגורמים בארגון להיערכות לסייבר.

נושא אחר שהוועידה עסקה בו הוא השלכות מהפכת ה-BI וה-AI על הרשויות המקומיות ועל דרך עבודת המנמ"רים בהן. במסגרת זו שמעו המשתתפים הרצאה של מני ברזילי, מומחה אבטחת מידע וסייבר, שעוסק רבות בפעילות מחקרית. כמו כן, המנמ"רים השתתפו בסדנאות שעסקו בבינה מלאכותית ושמעו הרצאה על המגמות המרכזיות בתחום מפי עידו רון מ-KPMG. גם פרויקט הענן הממשלתי נימבוס עלה על סדר היום של הוועידה, במסגרת הרצאה של דרור אבולוף, ארכיטקט בכיר לעולמות הענן בנס קלאוד.

דיווחים נוספים מהוועידה – בהמשך השבוע.