נקודות תורפה בהליך הבחירות לרשויות המקומיות

מבקר המדינה אנגלמן בדוח שעוסק בעניין הבחירות ברשויות המקומיות, מציג בין היתר מכלול ליקויים בהגנת הסייבר ובהגנה על מידע רגיש בפנקס הבחורים, משרד הפנים לא הגדיר תהליך עבודה וסדר פעולות לביצוע בעת זיהוי אירוע שחשוד כאירוע סייבר, הפערים שהועלו בביקורת זו משקפים נקודות תורפה משמעותיות בניהול הליך הבחירות לרשויות המקומיות, שמחייבות מתן מענה.

07.05.2025 מאת: פורטל הכרמל והצפון

נקודות תורפה בהליך הבחירות לרשויות המקומיות

מבקר המדינה מציין כי בחודשים יולי 2023 עד יולי 2024 בדק משרד מבקר המדינה את מערכות המידע והגנת הסייבר הנוגעות לבחירות לרשויות המקומיות. הביקורת בוצעה גם בזמן אמת והחלה עוד בשלב ההיערכות למערכת הבחירות. במהלך הביקורת העביר משרד מבקר המדינה חלק מהממצאים לגופים המבוקרים לצורך שיפור היערכותם לבחירות, וחלקם תוקנו לפני יום הבחירות.

ביום הבחירות, בליל הבחירות ובימים שלאחר מכן ביצעו צוותים מטעם משרד מבקר המדינה ביקורת במרכז השליטה והבקרה שהפעילה יחידת המפקח, במרכז המיון של המעטפות החיצוניות ובמרכזי קליטה של 13 רשויות מקומיות ברחבי הארץ שהיו באחריותם של מנהלי הבחירות שהועסקו מטעם יחידת המפקח (ברשויות נקלטו חומרי הבחירות מהקלפיות והוזנו תוצאות הבחירות למערכות הממוחשבות). בדוח מצוין כי, ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח על שולחן הכנסת ולא לפרסם חלקים מפרק זה לשם שמירה על ביטחון המדינה.

המבקר מציין כי, בפנקס הבוחרים מידע על אודות מיליוני בעלי זכות בחירה. זהו מידע רגיש אשר מופץ לקראת הבחירות לגורמים רבים, ובהם מאות מועמדים ואלפי רשימות. הרשות להגנת הפרטיות פרסמה הנחיות רק בספטמבר 2023, וכן הנחתה את יחידת המפקח להעביר הנחיות אלו למקבלי הפנקס באיחור שכן הדבר נעשה יותר מחודשיים לאחר המועד שמועמדים היו רשאים לקבל את פנקס הבוחרים, כך שממילא מידת הרלוונטיות שלהן הייתה מוגבלת משום שייתכן שבמועד זה כבר נעשה שימוש במידע שלא בהתאם לתקנות.

כמו כן, הרשות לא ביצעה בקרב מקבלי הפנקס פעולות אקטיביות חיוניות של הסברה ואכיפה אשר ביצעה בבחירות הכלליות לכנסת. זאת אף, שפעולות הרשות נדרשות ביתר שאת בבחירות לרשויות המקומות בהן המידע (פנקס הבוחרים) מופץ למספר רב יותר של מועמדים וסיעות ולפיכך הסיכון לפגיעה בו גדול יותר, ואף שבעת מלחמה חל גידול באירועי אבטחת מידע. לענין זה מסרה הרשות להגנת הפרטיות כי היא לא נקטה בפעולות בין היתר בשל מגבלות משאבים בתקופת המלחמה, שכן חלק ממשאביה הופנו לטיפול באירועי אבטחת מידע חמורים במשק.

ביום הבחירות השתמשה יחידת המפקח במערכות מידע נוספות שלא נכללו במסמך מיפוי המערכות ולא נכללו בניתוח האיומים והסיכונים. נוכח זאת, לא נבחנה ולא הוגדרה מעטפת הגנה מתאימה למערכות אלה, הן לא נבדקו מבחינת היבטי אבטחת מידע והגנת הסייבר לצורכי הבחירות והן לא נוטרו בזמן אמת כדי לזהות אירועי סייבר.

משרד הפנים לא הפעיל ביום הבחירות SOC מרכזי שמתכלל את ממצאי הניטור בכל רכיבי המערכות התומכות ביום הבחירות, ולכן לא היה גורם מתכלל שעמדה לרשותו תמונת המצב השלמה ויכל, בין היתר באמצעים ממוחשבים, לזהות קשרים בין אירועים חריגים המתרחשים במערכות השונות. נוסף על כך, הגדרת איומי הייחוס שגיבש משרד הפנים בשיתוף עם מערך הסייבר היתה חסרה ולא כללה התייחסות לכלל האיומים שעשויים להסב נזק חמור לתהליך הבחירות. כמו כן, נמצאו ליקויים במערכות נוספות ובניטור.

משרד הפנים לא הגדיר תהליך עבודה וסדר פעולות לביצוע בעת זיהוי אירוע שחשוד כאירוע סייבר (מלבד דיווח של מערך ה – SOC לגורמים באגף טד”ם), לרבות פעולות מנע לביצוע מיידי בעת זיהוי התקיפה. היעדר מתווה פעולה סדור וברור להפעלה מיידית בעת זיהוי התקיפה עלול להוביל להתארכות זמן התקיפה ולהחמרת הפגיעה.

מבקר המדינה מתניהו אנגלמן קבע כי הפערים שהועלו בביקורת זו משקפים נקודות תורפה משמעותיות בניהול הליך הבחירות לרשויות המקומיות, שמחייבות מתן מענה. יש לתת את הדעת על הצורך שעולה מממצאי הביקורת לליווי והנחיה שוטפים ומחייבים של גורם מדינתי, באופן שתינתן מעטפת הגנה הוליסטית על כלל המערכות והתשתיות המשולבות בפרויקט לאומי חשוב זה.

על מנכ”ל משרד הפנים והמפקח הארצי על הבחירות ברשויות המקומיות, בשיתוף עם הגופים האסדרתיים המדיניתיים (מערך הסייבר והרשות להגנת הפרטיות) ויתר הגופים המעורבים בהליך הבחירות (מערך הדיגיטל ורשות האוכלוסין), לנתח לעומק את מכלול הליקויים שהועלו בדוח זה ולפעול לתיקונם בלוח זמנים שיבטיח כי מערכת הבחירות הבאה תנוהל מהבחינה התקשובית באופן תקין ומשופר. לצורך כך יש להטמיע פעולות תיקון בתוכניות העבודה השנתיות של משרד הפנים ושל יחידת המפקח עד לקיום מערכת הבחירות הבאה.

המבקר מוסיף בסיום הדוח ומציג דוגמאות לתהליכים שאפשר למכן, אשר מקצתם יושמו בוועדת הבחירות המרכזית: זיהוי בוחרים באמצעים ביומטריים, מיכון של טופסי הגשת מועמדות (בעניין זה מקודמת הצעת חוק) ופרוטוקולים של מזכירי קלפי, הקמת מערכת ניהול של רשימת מצביעים, ניהול ממוחשב של תהליך לשיבוץ הרכב ועדות הקלפי ושימוש בטכנולוגיות של בינה מלאכותית. מחשוב תהליך הבחירות יאפשר לייעל משאבי זמן וכוח אדם; לנתח ולעבד מאגרי מידע גדולים; לשפר את אבטחת המידע בתהליך הבחירות, ובפרט מידע רגיש, ולהפחית את הצורך בשינועו; לנהל הליכי בקרה; להגביר שקיפות תהליכים והרתעה; להפחית את הסיכון לטעויות אנוש ולפגיעה בטוהר הבחירות.