מבקר המדינה: ליקויי אבטחת מידע והגנת פרטיות חמורים ברשויות המקומיות

ברשויות המקומיות בישראל קיימים ליקויים רבים, חלקם חמורים, בהיבטי אבטחת מידע והגנת הפרטיות – כך קובע מבקר המדינה, השופט בדימוס מיכה לינדנשטראוס, בדו"ח הביקורת השנתי מספר 62 שלו, שפורסם היום (ג') וכלל טיפול נרחב בהיבטי מיחשוב בארגוני ממשלה שונים.

המבקר בדק את היבטי אבטחת המידע וההגנה על הפרטיות בשבע רשויות מקומיות: בעיריות אשקלון, יהוד-מונוסון, בני ברק, טירה ויקנעם עילית, ובשתי מועצות מקומיות – בני עי"ש ורמת ישי. המבקר התמקד בעיקר ביחידות הממונות על תחומי המיחשוב, הארנונה, הרווחה והחינוך, לרבות בתי ספר והשירות הפסיכולוגי החינוכי. בנוסף, בדק המבקר את משרדי המשפטים והרווחה, החינוך, ומינהל השלטון המקומי במשרד הפנים.

במשך שנים, קובע המבקר, "משרד הפנים לא קבע מדיניות אבטחת מידע והגנת הפרטיות ברשויות המקומיות. הוא לא הניח תשתיות לטיפול בנושא. משרד הפנים לא פעל לקביעת הנחיות בתחומים אלה, אף שכבר ב-1996 החוק להגנת הפרקטיות תוקן ונוספו לו סעיפים הנוגעים להגנה על הפרטיות במאגרי המידע".

הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, קובע המבקר, "לא קיימה מאז שהוקמה פעולות פיקוח ואכיפה על רישום מאגרי מידע. כמו כן היא לא קבעה נהלים והנחיות ולא הטילה קנסות על רשויות מקומיות שלא קיימו את חובותיהן בתחומים אלה".

בכל הרשויות שנבדקו, למעט אשקלון, קובע המבקר, "לא מונה ממונה אבטחת מידע. בעיריית אשקלון, קבע המבקר, "קיים ממונה אבטחת מידע החסר הכשרה בתחום". המבקר מציין, כי בעקבות הביקורת מונה ממונה על אבטחת מידע גם בעיריית בני ברק.

בחמש מתוך שבע הרשויות שנבדקו, נכתב בדו"ח, לא נקבעו נוהלי אבטחת מידע. באשר לרשויות שבהן כן נקבעו נהלי אבטחת מידע – באחת הם מיושמים באופן חלקי ובאחת כלל לא. רק חמש משבע הרשויות עמדו בחוק הגנת הרטיות ומאגרי המידע שלהן היו רשומים ברשות למשפט טכנולוגיה ומידע, כפי שנדרש בחוק.

למעט עיריית אשקלון, בכל הרשויות שנבדקו לא נקבעו נהלי אבטחת מידע לשימוש ברכיבים נתיקים (USB) ונהלים לאבטחת מידע במחשבים המנותקים מהרשת. לשש משבע הרשויות שנבדקו, קובע המבקר, אין תוכניות לשיקום מאסון (DRP) ותוכניות המשכיות עסקית (BCP). רק בעיריית אשקלון יש תכנית המשכיות עסקית, אך ההפעלה שלה טרם הסתיימה.

עוד מציין המבקר, כי למעט עיריית אשקלון, בשאר הרשויות לא היו הוראות ונהלים תקפים לאבטחת רשומות דיגיטליות.

מידע אישי חשוף לעין כל
עוד מצא המבקר, כי ברשויות שנבדקו, מידע אישי הנוגע לבריאותם או למצבם הכלכלי או האישי של התושבים, הוחזק בארונות פתוחים ובמגירות לא נעולות. "מצב זה אינו עולה בקנה אחד עם הדרישות הבסיסיות להגנה על מידע רגיש הנוגע לתושבים", נכתב. באגפי החינוך של שתיים מהרשויות המקומיות, על חלק מהארונות ובהם מידע רגיש, לא היו מנעולים. ואלה מהארונות שניתן היה לנעול – לא היו נעולים.

על פי המבקר, מפקחים של משרד הרווחה לא ערכו ביקורות על מנת לוודא שהתיקים המצויים ברשויות, ובהם מידע רגיש, אכן מאובטחים כנדרש על פי תקנון המשרד. המבקר ציין, כי הרשויות המקומיות לא חתמו על הסכמים מול החברה המחזיקה במאגרי המידע שלהן, בדבר התחייבותה לקיים נהלי אבטחת מידע למאגרי המידע הללו שברשותה. "בכל הרשויות שנבדקו, למעט עיריית אשקלון, לא התקיימו פעולות הסברה והדרכה לתחום אבטחת המידע", מציין המבקר. עוד נמצא, כי בתכנית הביקור של רואי החשבון העורכים ביקורות ברשויות המקומיות, נושאי אבטחת מידע וההגנה על הפרטיות אינם כלולים בתכניות אלה.

"מסתמן כי לרשויות המקומיות עדיין חסרה התשתית לטיפול בנושאי אבטחת מידע וההגנה על הפרטיות", מסכם המבקר.