הרשויות המקומיות מפקירות אותנו

החוק קובע אחריות אישית של מנהלי ארגונים על הפרתו ■ האם צריך להכניס ראש עיר או מנכ"ל עירייה לכלא כדי שהמידע שלנו לא יהיה הפקר?

עו"ד דן חי
דן חי
קורס הגנת סייבר ברמת גן
קורס הגנת סייבר ברמת גןצילום: אלון רון
עו"ד דן חי
דן חי

דו"ח מבקר המדינה על הרשויות המקומיות, שפורסם ב–21 בנובמבר, חשף כשלים חמורים בכל הקשור לאבטחת מידע. הדו"ח מצא כי הרשויות מחזיקות עשרות מאגרי מידע רגישים בלתי־מדווחים ובלתי־מאובטחים, ושקיימת היתכנות ממשית לכך שכל המידע המצוי באותם מאגרים ידלוף לרשת. בנוסף, נמצא כי אותן רשויות אף היו נתונות בשנה האחרונה למתקפות סייבר, שבעקבותיהן אכן דלף לרשת מידע שהיה מצוי במערכות שלהן.

בידי הרשויות המקומיות מידע רב על תושביהן בנושאים חשובים ורגישים כמו חינוך, רווחה, כספים, תכנון ובנייה ורישוי עסקים, לצד תברואה, חניה, אכיפה וכוח אדם. יותר מכך, רשויות רבות מחזיקות כיום בתוצריהן של מצלמות האבטחה המפוזרות ברחבי העיר. כל המידע הזה יכול להפוך יום אחד נגיש לכל דורש. הרשויות שנבדקו, כך עולה מדו"ח המבקר, לא טורחות לשמור על המידע שלנו.

במארס אישרה הכנסת תקנות אבטחת מידע חדשות, שייכנסו לתוקף במאי 2018. על פי תקנות אלה, נדרש כל גורם המחזיק במידע רגיש לבצע שורה ארוכה של פעולות כדי להבטיח את ההגנה על המידע; כל גורם — החל בבנקים ובתי השקעות ועד לעסקים קטנים. בעת הדיונים בכנסת לקראת אישור התקנות דיברו אפילו על הקוסמטיקאית השכונתית, שגם לה יש מאגר מידע רגיש שחייב בקיום הוראות האבטחה.

התקנות לא נכתבו בחלל ריק. בחוק הגנת הפרטיות יש תקנה הקובעת חובה לאבטח את המידע, והיו הוראות גם במסגרת תקנות ישנות יותר. כך, בעוד כל הגופים בישראל טורחים על התאמתם לתקנות החדשות לקראת מאי, אנו למדים מדו"ח המבקר כי הרשויות המקומיות אינן מתרגשות מהאקלים המשתנה.

חמור מכך, ברשויות רבות מדברים כיום על עיר חכמה ועל כריות מידע חוצות מאגרים. כל זה, טוענות הרשויות, למען רווחת האזרח. אבל מה יהיה אם כל הקדמה הזאת תדלוף לרשת או תשותק במתקפת סייבר? זהו מצב של אובדן שליטה.

המצב ברשויות צריך להדאיג כל אחד מאזרחי ישראל. החוק קובע אחריות אישית של מנהלי ארגונים על הפרתו. האם צריך להכניס ראש עיר או מנכ"ל עירייה לכלא כדי שהמידע שלנו לא יהיה הפקר?

חמורה לא פחות היא תגובת משרד הפנים לממצאים: "הפיקוח בנושא הוא לא האחריות שלנו", טוענים שם. במשרד הפנים מטילים את האחריות על הרשות להגנת הפרטיות במשרד המשפטים, שכוח האדם שלה כולל 40–50 עובדים, אשר עושים נפלאות לקידום ההגנה על הפרטיות בארץ, בצנעה ובתקציב מצומצם. כמה עובדים יש במשרד הפנים? אין לדעת. הנתון לא פורסם מעולם, כנראה כמה מאות. מה התקציב של משרד הפנים? לפי הפרסומים, מדובר בתקציב עצום.

פיקוח על הרשויות המקומיות הוא אחד מתפקידיו הרשמיים של משרד הפנים. איך יש לאנשי משרד הפנים חוצפה לטעון שזה לא תפקידם לפקח על הרשויות בנושא כל כך חשוב כמו אבטחת מידע? יותר מכך, משרד הפנים הוא גם זה שמחזיק בכל המידע הביומטרי שלנו. אם אנשי המשרד לא יודעים לפקח על אבטחת המידע ברשויות המקומיות, מפחיד לחשוב מה קורה להם בבית, במערכות שלהם עצמם.

הכותב עומד בראש משרד עורכי הדין דן חי ושות', המתמחה בטכנולוגיה, תקשורת, אבטחת מידע וסייבר

תגובות

הזינו שם שיוצג כמחבר התגובה
בשליחת תגובה זו הנני מצהיר שהינני מסכים/ה עם תנאי השימוש של אתר הארץ