המסקנה מדו"ח המבקר: הגיע הזמן למחשוב מלא של הבחירות

מבקר המדינה, מתניהו אנגלמן, פרסם אתמול (ד') ביקורת חמורה וחריפה מאוד על ליקויי אבטחה וסייבר שהוא גילה במהלך מערכת הבחירות לרשויות המקומיות, שהיו בפברואר אשתקד. המסקנה העיקרית וגם ההמלצה של המבקר היא ללכת, סוף סוף, למחשוב מלא של תהליך הבחירות – המוניציפליות והכלליות – ולא להמשיך עם השילוב הבלתי אפשרי בין תהליכים ידניים ופתקים למיכון לא מושלם.

הבחירות לרשויות המקומיות נחשבות לפחות חשובות מהבחירות הכלליות, אבל הן לא פחות גדולות מהן. כל אזרח יכול לבחור בהן מי ינהל עבורו תחומים חשובים ויומיומיים בחייו: חינוך, רווחה, ניקיון הרשות ועוד. אנחנו אמנם עדיין מצביעים, גם בבחירות אלה, על ידי שלשול של מעטפה עם פתק לתיבת הקלפי, אבל התהליך שעומד מאחוריהן הוא בחלקו ממוחשב.

מבקר המדינה, מתניהו אנגלמן. צילום: ניב קנטור

הבחירות לכנסת מנוהלות על ידי ועדת הבחירות המרכזית, ואילו על הבחירות לרשויות המקומיות אחראי משרד הפנים. מבקר המדינה מצא שבחוסר יעילות אופייני לפעילות המגזר הציבורי, כמעט שאין סנכרון בין הגופים הללו, וכל אחד מהם פועל באופן כמעט עצמאי, עם לא מעט כפילויות במשאבים. תארו לעצמכם שהבחירות היו ממוחשבות והכפילויות האלה היו נחסכות – זה היה מאפשר צמצום של ההוצאות. הבחירות לרשויות המקומיות האחרונות עלו למשלם המיסים מעל מיליארד שקלים.

מדינת ישראל מסרבת אפילו לבצע ניסוי רחב של מחשוב מלא של מערכת הבחירות, כאשר אחד התירוצים הוא הגנה ואבטחת מידע. הכלים קיימים, ומה שחסר הוא אנשים שלא מפחדים לקבל החלטות, מסיבות פופוליסטיות ואישיות – עד שיקרה אסון, שבעקבותיו הם יאשימו את כל העולם ואשתו, ורק לא את עצמם

המבקר מצא ליקויים בתהליכי הבחירות לרשויות שהם כן ממוחשבים, דוגמת מיכון הטפסים הידניים שמהווים חלק מתהליכי ההכנה אליהן, שמוזנים למערכת מחשוב מרכזית. המקור של אותם ליקויים הוא בכך שהממשלה מסרבת לעבור לשיטת בחירות ממוחשבת, דיגיטלית, בטענות שונות, כגון אבטחת מידע וסייבר. אלא שהטענה המרכזית של המבקר היא שכעת, עם המיכון החלקי, המערכות לא מספיק מוגנות מפני דליפות מידע, מתקפות סייבר ועוד צרות צרורות. אנגלמן מצא הרבה מאוד חורים בהגנה על מערכת הבחירות, וזה מעלה תהיות עד כמה ראשי משרד הפנים באמת מבינים במה המדובר, והאם הם מנסים פשוט להתעלם ולקוות שאם וכאשר יקרו דליפות, מתקפות ושאר אירועים חמורים – זה לא יהיה במשמרת שלהם.

לדברי המבקר, "ביצועם של תהליכים ידניים בבחירות לרשויות המקומיות עלול לפגום ביעילות הבחירות ובטוהרן. מומלץ כי שר הפנים יקדם את הדיגיטציה ואת מיכון תהליכי הבחירות שהם בעלי פוטנציאל מחשובי, כמו זיהוי הבוחרים באמצעים ביומטריים, הצבעה ממוחשבת, מיכון של טפסי הגשת מועמדות ופרוטוקולים של מזכירי קלפי, וכן הקמת מערכת ניהול של רשימת מצביעים".

פיילוט מוצלח – ופיתוח מערכת שהופסק ללא סיבה

בחלק אחר בדו"ח מציין המבקר שב-2007, לפני כמעט 20 שנה (!), קיים המפקח הארצי על הבחירות לרשויות המקומיות דאז פיילוט של בחירות ממוחשבות, שהוגדר כהצלחה. הייתה כוונה לקיים בחירות ממוחשבות בשמונה רשויות, ולצורך כך אף הוגשה ב-2009 הצעת חוק שתאפשר לעשות זאת. מאחר שהצעת חוק זו לא קודמה, הוגשה עשור לאחר מכן, ב-2019, הצעת חוק חדשה – שהפעם אושרה. לאחר האישור החל משרד הפנים לפתח מערכת מחשוב חדשה לניהול הבחירות ברשויות, שהייתה אמורה כבר לעבוד בבחירות האחרונות, שכאמור, התקיימו בשנה שעברה. אבל חצי שנה לפני המועד המקורי של הבחירות הללו (שמאוחר יותר נדחו בכמה חודשים עקב המלחמה), העבודה על פיתוח המערכת הופסקה מסיבות לא ברורות, ולא ידוע מה יעלה בגורלה. מה שעוד לא ברור הוא כמה כסף נשפך שם והאם יתברר, בסופו של דבר, שהוא נשפך לריק.

כרגע, כאמור, הבחירות המוניציפליות ממוחשבות באופן חלקי בלבד. המבקר מסביר כיצד מחשוב מלא של תהליך הבחירות ושימוש בכלי בינה מלאכותית יכול להביא לדיוק רב יותר בתוצאותיהן. מאחר שזה אמור היה לקרות אבל לא קרה בבחירות האחרונות, ולאור הליקויים שהמבקר פירט בהיבטי אבטחת המידע והגנת הסייבר, עולות שאלות לגבי טוהר הבחירות ואמינות התוצאות.

קפיצה במספר מתקפות הסייבר על המגזר המוניציפלי

מי שעוקב אחר נושא האבטחה והסייבר בשלטון המקומי לא צריך להתפלא מממצאי הדו"ח. מבקר המדינה עסק בליקויי האבטחה ברשויות כמה פעמים בשנים האחרונות, אבל לא הרבה השתנה מאז. כך, למשל, ביולי אשתקד, אנגלמן פרסם דו"ח מיוחד על פעילות הרשויות המקומיות במלחמה, מאז ה-7 באוקטובר, ומצא כי היא חשפה את ההגנה הלקויה על מערכות המידע שלהן, ועד כמה הן חשופות למתקפות סייבר. הוא אף חשף שבשנים 2021-2022 היו 9,108 תקיפות סייבר על מערכות ה-IT של הרשויות המקומיות, ואילו ב-2023 המספר קפץ ל-13,040. כל זה עלה לרשויות המקומיות – ובעצם לנו, משלמי הארנונה – מיליונים רבים של שקלים.

שר הפנים, משה ארבל. צילום: ניב מוסמן, לע"מ

המנמ"רים בערים ובמועצות מודעים לבעיה, ובפורומים שונים אף מביעים דאגה ומזהירים מפני מה שעלול לקרות. אלא שזה לא תלוי רק בהם, כי אם גם בראשי הרשויות ובמנכ"לים שלהן, ובעיקר בממשלה. זה מתחיל בכך שבחלק גדול מהרשויות עדיין אין איוש מלא של תקני מנהלי אבטחת מידע וסייבר – בעיקר באלה שלא נמנות על פורום 15 הערים הגדולות. יש ניסיונות להקים מרכזי סייבר שיתנו מענה לכמה רשויות כל אחד, אבל הם קרמו עור וגידים באופן חלקי בלבד. כך או כך, תמונת המצב עגומה ומדאיגה, במיוחד בכל מה שקשור לשמירה על הפרטיות של תושבי הרשויות.

השורה התחתונה: מדינת ישראל מסרבת אפילו לבצע ניסוי רחב של מחשוב מלא של מערכת הבחירות, כאשר אחד התירוצים הוא הגנה ואבטחת מידע. הכלים קיימים, ומה שחסר הוא אנשים שלא מפחדים לקבל החלטות, מסיבות פופוליסטיות ואישיות – עד שיקרה אסון, שבעקבותיו הם יאשימו את כל העולם ואשתו, ורק לא את עצמם. שהרי אם זה קורה כשמדובר בטבח החמור בתולדות המדינה – למה שזה לא יקרה גם כאן?

כנס Smart Cities 3.0 של אנשים ומחשבים, שייערך ביום א', ה-18 במאי, יכלול פאנל של מנהלי סייבר ברשויות המקומיות, בהובלת ירון ריבו, מנמ"ר עיריית נתניה. לפרטים נוספים ולהרשמה לכנס לחצו כאן.