כשלים בניהול מערכות מידע ברשויות המקומיות
משרד הפנים ומערך הסייבר לא השלימו את הסדרת הסמכויות החסרות בכל הנוגע לרגולציה ולהנחיה מקצועית של הרשויות המקומיות בתחומי אבטחת מידע והגנת הפרטיות. שני שלישים מהרשויות קיבלו ציון הנמוך מ-60 ואילו רק 8% קיבלו ציון הגבוה מ-80 במוכנות לאירועי סייבר.
השימוש במערכות מידע לניהול ענייני הרשויות המקומיות הפך עם השנים לצורך בסיסי ומחויב המציאות.
בביקורת של מבקר המדינה עלה כי רמת אבטחת המידע והמוכנות של מרבית הרשויות המקומיות לאיומי סייבר היא נמוכה, וכי הרשויות השונות שבחן משרד הפנים נבדלות זו מזו במידה רבה מבחינת מוכנותן לאירועי סייבר: אגף הסייבר במשרד הפנים השלים מבדק בסיסי ב-130 מ-257 רשויות, נכון לאוגוסט 2021 . עלה כי 87 (כ-67%) מ-130 הרשויות קיבלו ציון הנמוך מ-60, ואילו רק 11( כ-8%) מהרשויות קיבלו ציון הגבוה מ-80, והציון הממוצע היה 48.
מנתוני מערך הסייבר בנוגע לפניות של רשויות מקומיות למרכז לניהול אירועי סייבר עלה כי בשנת 2019 פנו למרכז 14 רשויות ב-32 פניות, בשנת 2020 פנו למרכז 25 רשויות ב-40 פניות, ובשנת 2021 פנו למרכז 19 רשויות ב- 36 פניות. בסך הכול בשנים 2019 - 2021 פנו במצטבר 32 רשויות מקומיות (מתוך 257) ב-108 פניות.
בביקורת נמצא כי משרד הפנים ומערך הסייבר לא השלימו את הסדרת הסמכויות החסרות בכל הנוגע לרגולציה ולהנחיה מקצועית של הרשויות המקומיות בתחומי אבטחת מידע והגנת הפרטיות. בתוך כך, משרד הפנים לא פעל להכנת נוהל שמטרתו להנחות את הרשויות המקומיות כיצד לפעול בנושא. כפועל יוצא, נכון למועד סיום הביקורת אין לרשויות המקומיות גורם מאסדר בתחום אבטחת המידע והגנה מאיומי סייבר, ומזה שנים הרשויות המקומיות פועלות ללא הנחיות מקצועיות ברורות בנושא וכל רשות מקומית פועלת בעניין לפי ראות עיניה.
עוד עלה כי הרשויות המקומיות גדרה, יוקנעם, מטה בנימין, נתיבות, עין מאהל ושפרעם לא הכינו תוכניות עבודה אסטרטגיות רב-שנתיות בנושא מערכות המידע, ולא הכינו תוכניות עבודה שנתיות מקושרות תקציב בהתאם ליעדי הרשות המקומית לטווח הארוך. בנוסף, עיריות חיפה וראש העין, אשר גיבשו תוכניות אסטרטגיות בנושא מערכות המידע, לא תקצבו אותן ומשכך התוכניות לא יושמו.
בביקורת נמצא כי 36 (61%) מהרשויות המקומיות שהשיבו על השאלה בנושא קיום תוכנית להתאוששות מאסון ציינו כי אין מנגנון מוסדר להמשכיות של פעילות המחשוב ברשות בהתרחש אירוע סייבר . הרשויות שנבדקו - גדרה, חיפה, יוקנעם, מטה בנימין, עין מאהל, ראש העין ושפרעם - לא הכינו כלל תוכנית להתאוששות מאסון. עיריית נתיבות הכינה טיוטת תוכנית כאמור , ובמועד סיום הביקורת היא טרם אושרה.
המועצה האזורית מטה בנימין ביצעה סקר לאיתור סיכוני אבטחת מידע בשנת 2020 ולא ביצעה מבדקי חדירה במערכות המאגר. עיריית נתיבות ביצעה סקר סיכונים בשנת 2019 ולא ביצעה מבדקי חדירה. עיריות יוקנעם ושפרעם והמועצה המקומית עין מאהל, שאינן מחויבות בביצוע מבדקי חדירה, לא ביצעו כלל סקרי סיכונים או ביקורות תקופתיות. עוד הועלה כי המועצה המקומית גדרה לא ביצעה בעצמה מבדק חדירה או סקר סיכונים אלא הסתמכה בעניין זה על החברה הפרטית המספקת למועצה שירותי מחשוב.
המבקר אנגלמן המליץ שמשרד הפנים ומערך הסייבר יפעלו במשותף, תוך התחשבות בייחודיות של מגזר השלטון המקומי, לחלוקת הסמכויות ביניהם לשם יישום החלטת הממשלה 2443 בנוגע למגזר זה, באופן שיוסמך רגולטור מוביל להסדרת ההיערכות של הרשויות המקומיות לאיומי סייבר ולקביעת נהלים מתאימים שיסדירו את פעילות הרשויות המקומיות בנושא. עוד מומלץ למערך הסייבר לפעול בשיתוף אגף הסייבר במשרד הפנים להעלאת המודעות של הרשויות המקומיות לחשיבות הדיווח למרכז לניהול אירועי סייבר על אירועי סייבר שהן נחשפו להם ולאפשרות ההיוועצות עם מערך הסייבר.
