לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור
facebook linkedin telegram instagram tiktok threads

אבטחת מידע והגנת הפרטיות ברשויות המקומיות (מעקב מורחב)

הדוח המלא /sites/DigitalLibrary/Documents/2017-Shilton-104-avtacha.docx /sites/DigitalLibrary/Documents/2017-Shilton-104-avtacha.pdf
הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
מאגרי מידע; סייבר; סקר סיכונים; אבטחת מידע

תקציר

 רקע כללי

הזכות לפרטיות וחובת השמירה על צנעת הפרט עוגנו בחקיקה - הזכות לפרטיות היא זכות חוקתית מוגנת על פי סעיף 7 לחוק-יסוד: כבוד האדם וחירותו, הקובע כי "כל אדם זכאי לפרטיות ולצנעת חייו"; חוק הגנת הפרטיות, התשמ"א-1981 (להלן - חוק הגנת הפרטיות או החוק), קובע כי "לא יפגע אדם בפרטיות של זולתו ללא הסכמתו". החוק מגדיר, בין היתר, "מידע" כ"נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו", ו"מאגר מידע" כ"אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב". עוד קובע החוק כי "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע".

ברשויות המקומיות מאגרי מידע רבים המשמשים בסיס לעבודתן בעתות רגיעה וחירום, בין היתר בתחומים האלה: כספים, תכנון ובנייה, חינוך, רווחה, כוח אדם, רישוי עסקים, תחבורה וחניה, תברואה. בשנים האחרונות אף גדל מספר הערים החכמות - ערים המשתמשות בטכנולוגיות מידע ותקשורת לשיפור ניהול נכסיהן ואיכות החיים של תושביהן. מגמה זו מביאה לגידול חד בכמות הנתונים שבידי הרשויות המקומיות ובמספר מאגרי המידע שבבעלותן. פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים, כמו פגיעה בשירותים הניתנים לתושב ובצנעת הפרט, ולכן מוטלת עליהן החובה להגן על המידע.

בדוח בנושא אבטחת מידע והגנת הפרטיות ברשויות המקומיות שפרסם מבקר המדינה במאי 2012  (להלן - הביקורת הקודמת) הועלו ליקויים רבים הן במישור המאסדרים בתחום זה - הרשות למשפט, טכנולוגיה ומידע (להלן - רמו"ט), שהוקמה במשרד המשפטים בספטמבר 2006 כרשות להגנת מידע אישי בישראל, והמינהל לשלטון מקומי במשרד הפנים - והן במישור הרשויות המקומיות.

פעולות הביקורת

בחודשים אוקטובר 2016 - ינואר 2017 עשה מבקר המדינה ביקורת בנושא אבטחת המידע והגנת הפרטיות ברשויות המקומיות (להלן - הביקורת הנוכחית). הביקורת הנוכחית כללה גם מעקב אחר אופן תיקון הליקויים שהועלו בביקורת הקודמת בפעולותיהם של עיריות יהוד-מונוסון ויקנעם עילית, רמו"ט ומשרד הפנים בנושא האמור. כמו כן נבדקו פעולותיהן בנושא של חמש רשויות מקומיות נוספות שלא נכללו בביקורת הקודמת - עיריות באר שבע, כרמיאל ונצרת עילית, המועצה המקומית תל מונד והמועצה האזורית הגליל התחתון (להלן - הרשויות המקומיות הנוספות שנבדקו). בדיקות השלמה נעשו ברשות הלאומית להגנת הסייבר במשרד ראש הממשלה.

הליקויים העיקריים

אסדרת הטיפול בנושא אבטחת מידע והגנת הפרטיות

הצוותים לתיקון הליקויים של משרד הפנים ושל משרד המשפטים לא דנו בממצאי הביקורת הקודמת על פעולות המינהל לשלטון מקומי ורמו"ט, בהתאמה, שלא כנדרש בחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב], ולא פעלו לתיקון הליקויים שהועלו בה.

היערכות משרד הפנים לאיומי סייבר  נמצאת רק בראשית דרכה, וטרם הוקם גוף שיפקח על היערכותן של הרשויות המקומיות לאיומי סייבר וינחה את הרשויות בתחום זה כמתחייב מהחלטת ממשלה 2443 מפברואר 2015 בה נקבע כי משרדי הממשלה, שבמסגרתם מופעלות סמכויות רגולציה כלפי גופים או פעילויות החשופים לאיומי סייבר, יקדמו את הטיפול בהיערכות לאיומי סייבר במסגרת המגזר שבו הם פועלים.

פעילות הרשויות המקומיות בתחום אבטחת מידע והגנת הפרטיות עדיין אינה מאוסדרת על ידי השלטון המרכזי. המינהל לשלטון מקומי במשרד הפנים ורמו"ט שבמשרד המשפטים ממשיכים להטיל זה על זה את האחריות לאסדרת הנושא. כתוצאה, כל רשות מקומית מתמודדת עם נושא אבטחת המידע והגנת הפרטיות כמיטב הבנתה ולפי התקציב שהקצתה לנושא, ובעקבות כך חלק מהרשויות המקומיות אינן מטפלות כראוי בנושא.

אבטחת המידע הממוחשב ברשויות המקומיות

רישום מאגרי מידע: עיריית כרמיאל והמועצה המקומית תל מונד לא רשמו את מאגרי המידע שלהן אצל רשם מאגרי המידע ברמו"ט; עיריות יקנעם עילית ונצרת עילית רשמו רק חלק ממאגרי המידע שלהן; וועדים מקומיים  במועצה האזורית הגליל התחתון לא רשמו את מאגרי המידע שלהם.

מינוי ממונה על אבטחת מידע: משרד הפנים לא בחן אם יש להחיל על הרשויות המקומיות את הוראות החוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-1998, ולפיהן ממוני הביטחון מופקדים על הפעולות לאבטחת מידע ומערכות המידע, אף שנדרש לעשות כן בביקורת הקודמת; בקובץ תיאורי התפקיד  שפרסם משרד הפנים נקבע, שלא בדומה להמלצות למשרדי הממשלה המפורטות בנוהלי המסגרת לאבטחת מידע  (להלן - נוהלי המסגרת), כי מנהל אבטחת המידע ברשות מקומית יהיה כפוף למנהל מערכות המידע הראשי שלה.

נהלים והנחיות לאבטחת מידע: עיריות כרמיאל ונצרת עילית והמועצה המקומית תל מונד לא קבעו נהלים, הנחיות וכללים מחייבים לאבטחת המידע. כל הרשויות המקומיות שנבדקו אינן מנהלות רישום מעודכן של הרשאות הגישה למאגרי המידע שניתנו לכל אחד מעובדיהן.

בקרה ופיקוח לוגיים: כל הרשויות המקומיות שנבדקו אינן מבצעות ניטור יזום של יומני השימוש על מנת לזהות פעולות חריגות אשר גורמים בלתי מורשים ביצעו או ניסו לבצע.

אבטחת חומרה: חדרי המחשב של עיריות יהוד-מונוסון, כרמיאל ונצרת עילית, המועצה המקומית תל מונד והמועצה האזורית הגליל התחתון אינם עומדים בדרישות התקן הישראלי בנושא בטיחות אש של מחשבים וציוד היקפי.

סקרי סיכונים ובדיקות חדירה: עיריות כרמיאל ונצרת עילית, המועצה המקומית תל מונד והמועצה האזורית הגליל התחתון לא ביצעו מעולם סקרי סיכונים ומבחני חדירה כדי להעריך את הסיכונים הנשקפים למאגרי המידע שברשותן ואת הנזק העלול להיגרם למערכות המידע שלהן.

אירועי אבטחת מידע: אף שבשנים האחרונות גדל היקף התקיפות באמצעות נוזקות (malware)  שונות, והפרות החוק ו"פשיעת המידע" הולכות ומתרבות, אין בידי שום גורם תמונת מצב עדכנית על היקף התופעה ברשויות המקומיות, זאת בשל היעדר חובת דיווח על פגיעות מסוג זה. למשל, עיריות יהוד-מונוסון, יקנעם עילית, כרמיאל ונצרת עילית הותקפו לפחות פעם אחת על ידי נוזקה מסוג כופרה (ransomware). בעיריית נצרת עילית נפגע השרת במחלקת ההנדסה, ולמועד סיום הביקורת, ינואר 2017, הקבצים השמורים בשרת נשארו מוצפנים ולעירייה לא הייתה גישה אליהם.

התקשרויות עם חברות פרטיות המחזיקות במאגרי מידע של הרשות המקומית

רשם מאגרי המידע ברמו"ט אינו אוכף על חברות פרטיות המחזיקות במאגרי מידע של רשויות מקומיות את חובת הדיווח השנתי על מאגרי המידע שהן מחזיקות בהם כנדרש בחוק.

לעיריית כרמיאל אין חוזים למתן שירותים עם כל החברות הפרטיות המחזיקות במאגרי המידע שלה.

הדרכה וביקורת בתחום אבטחת מידע והגנת הפרטיות ברשויות המקומיות

כל הרשויות המקומיות שנבדקו לא קבעו תכנית הדרכה והסברה שנתית לעובדים בתחום אבטחת המידע והגנת הפרטיות.

בשנים 2016-2006 לא בוצעו ביקורות פנימיות בנושא אבטחת מידע והגנת הפרטיות בעיריית כרמיאל, במועצה המקומית תל מונד ובמועצה האזורית גליל תחתון.

האגף לביקורת ברשויות המקומיות של משרד הפנים אינו מבצע ביקורת בנושא אבטחת מידע והגנת הפרטיות במסגרת הביקורת השנתית של רואי החשבון המבקרים.

ההמלצות העיקריות

על משרד הפנים לפרסם בקרב הרשויות המקומיות קובץ הנחיות מחייב בנושא אבטחת מידע והגנת הפרטיות. על ההנחיות לעסוק בחובת הרישום של מאגרי מידע - ובכלל זה בחובת הרישום החלה על ועדים מקומיים, ובנושאי האבטחה הלוגית והפיזית, בחובת הדיווח על אירועי אבטחת מידע ועל הפעולות שננקטו בעקבותיהם ובחובה לקיים פעולות הדרכה והסברה בתחום אבטחת המידע, בדומה להמלצות המפורטות בנוהלי המסגרת. על המשרד להקים בהקדם גוף מנחה ומפקח בתחום ההיערכות לאיומי סייבר מול הרשויות המקומיות כמתחייב מהחלטת ממשלה 2443 מפברואר 2015.

נוכח מספרם הרב של מאגרי מידע בבעלות רשויות מקומיות שאינם רשומים אצל רשם מאגרי המידע, על רמו"ט לבחון את הפעולות הנדרשות לאסדרת הנושא ולאכוף את הוראות החוק.

על הרשויות המקומיות לרשום את כל מאגרי המידע שלהן; לבצע סקרי סיכונים ובדיקות חדירות; לבצע בקרה ופיקוח לוגיים על הפעולות המתבצעות במאגרי המידע שבבעלותן; לאבטח את חדרי המחשב שלהן ולהתאימם לדרישות התקן הישראלי בנושא בטיחות אש של מחשבים וציוד היקפי; לגבש וליישם תכנית הדרכה והסברה לעובדים; ולכלול בתכניות הביקורת של מבקרי הפנים שלהן ביקורת בנושא אבטחת מידע והגנת הפרטיות.

סיכום

במסגרת פעילותן השוטפת של הרשויות המקומיות נעשה שימוש רב במאגרי מידע הכוללים נתונים אישיים רבים על התושבים. ככל שהן מרבות להשתמש במאגרי מידע גוברת הסכנה שהמידע ייחשף ברבים ותיפגע פרטיותם של התושבים. לכן מוטלת על הרשויות המקומיות החובה להגן על מידע זה ולהגביר את חסינותן הן בפני דליפת מידע והן לצורכי הגנה על רציפות תפקודית לטובת השירות לציבור.

בשנים האחרונות גדל היקף התקיפות של מערכות המחשוב של גופים רבים באמצעות כופרות המגבילות גישה למערכות המחשב, שנועדו לסחוט מהמשתמש תשלום כסף (דמי כופר) על מנת שתוסר מגבלת הגישה או באמצעות נוזקות המאפשרות לאדם שאינו מוסמך לכך להעתיק את הנתונים השמורים בהן. ההיקף הכולל של התופעה ברשויות מקומיות אינו ידוע, בהיעדר חובה לדווח על תקיפות מסוג זה.

ממצאי הביקורת מלמדים כי במועד סיום הביקורת הנוכחית, כחמש שנים לאחר שבוצעה הביקורת הקודמת, משרד הפנים ומשרד המשפטים עדיין מטילים זה על זה את האחריות לאסדרת הנושא, ולמותר לציין שהם לא פעלו לתיקון הליקויים שהועלו בביקורת הקודמת, והדבר פוגע ברמת אבטחת המידע בשלטון המקומי. עוד מעידים ממצאי הביקורת כי כל רשות מקומית עדיין מתמודדת עם נושא אבטחת המידע והגנת הפרטיות כמיטב הבנתה ולפי התקציב שהקצתה לנושא, ובעקבות כך חלק מהרשויות המקומיות אינן מטפלות כראוי באבטחת המידע שלהן ובהגנה על הפרטיות של תושביהן.

נוכח האמור לעיל, על מנכ"ל משרד הפנים ומנכ"לית משרד המשפטים לגבש מתכונת ברורה של חלוקת תחומי האחריות והסמכויות בין משרדיהם בכל הנוגע לאבטחת המידע והגנת הפרטיות ברשויות המקומיות, ולפעול למימושה של מתכונת זו.

על הרשויות המקומיות לתקן את הליקויים שהועלו בדוח בנוגע לפעולותיהן בתחום אבטחת המידע והגנת הפרטיות, לפעול להעלאת המודעות בקרב עובדיהן לחשיבות הנושא ולהעמיד לרשות העובדים את האמצעים למילוי חובותיהם בתחום זה.