כלכליסט-טקדו"ח: חצי מהרשויות המקומיות כושלות בהגנה על המידע הפרטי של האזרחים
כלכליסט-טק
דו"ח: חצי מהרשויות המקומיות כושלות בהגנה על המידע הפרטי של האזרחים
רשות הפרטיות בחנה 70 רשויות מקומיות המנהלות את המידע של כ-5 מיליון תושבים: "על רקע התגברות תקיפות סייבר, אירועי אבטחה ודליפות מידע על אזרחים במאגרי מידע רגישים, ניצב בפני המדינה תמרור אזהרה"
כמחצית מהרשויות המקומיות בישראל לא עומדות בדרישות החוק להגנת הפרטיות, כך עולה ממחקר מעמיק שביצעה רשות הפרטיות של משרד המשפטים, האחראית על יישום החוק. על פי המידע שפרסמו חוקרי הרשות, כמחצית מהרשויות (48%) עמדו ברמה נמוכה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע, או במילים אחרות: הרשויות לא משקיעות מספיק באמצעי הגנת סייבר כדי להגן על המידע שלכם שהן שומרות במחשביהן.
הרשויות המקומיות מנהלות את המידע הפרטי של כל אזרחי המדינה. למעשה חוץ ממשרד הפנים, הרשויות המקומיות, שכוללות עיריות ומועצות מקומיות, מחזיקות בהיקף המידע הפרטי הגדול והמפורט ביותר שניתן למצוא, בין אם בפרטי הארנונה, חשבונות המים (תאגידי המים שייכים לרוב לרשויות המקומיות) ובין אם במידע על ילדים הרשומים במערכות החינוך המקומיות. למעשה מידע של רשות מקומית כולל כמעט את כל הנתונים של תושב המקום, מהלידה עד המוות.
הליך הפיקוח של רשות הפרטיות בדק כ-70 רשויות בישראל, שמנהלות את המידע של למעלה מ-5 מיליון תושבים. כשלים אלה נהפכו למאוד נפוצים בשנים האחרונות והביאו לכמה מאירועי הסייבר החמורים במדינה מאז ומעולם. לדברי ד"ר שלומית ווגמן, מ"מ ראש הרשות להגנת הפרטיות, "בעת הזו, על רקע התגברותם של תקיפות סייבר, אירועי אבטחה ודליפות מידע על אזרחים במאגרי מידע רגישים, ניצב בפני המדינה תמרור אזהרה".
הרשויות מחזיקות במידע רחב היקף ורגיש על תושביהן, כולל מידע ממרשם האוכלוסין הכולל מידע אישי כגון מספרי תעודת זהות, כתובת מגורים, דרכי יצירת קשר, מצב הנכסים ובעליהם, לרבות שווי הנכס, קיומה של משכנתא, נתונים על גבייה ואכיפתה, מידע על תלמידים, מידע על הטיפול בלשכות הרווחה, ואף מידע על ייעוץ פסיכולוגי וסוציאלי שמקבלים התושבים.
בנוסף לכך הרשויות מחזיקות במאגרי מידע רבים מתחומים שונים כגון רווחה, חינוך, דיור ועוד, המאפשרים הצלבה של פרטי מידע, דבר המגביר את החשש לשימוש במידע הקיים לצרכים החורגים ממטרת איסופו המקורית. העובדה כי הרשויות אף נעזרות לעתים קרובות בנותני שירותים חיצוניים מאפשרת, במצבים מסוימים, חשיפה של גורמים נוספים למידע רגיש הקיים במאגרי הרשות המקומית.
בין אם מדובר בפריצה לשרתי חברת הביטוח שירביט, פריצה לגופים כגון תע''א או המתקפה האחרונה על בית החולים הלל יפה, שבמסגרתה קרס מערך המחשוב של בית החולים ונגנב מידע על המטופלים - פריצות סייבר הפכו לבעיה רוחבית שחשפה מידע ופרטים של מאות אלפי ישראלים, בין היתר לגורמים עוינים ולעברייני סייבר. חוסר העמידה של הרשויות בדרישות אבטחת המידע הבסיסיות ביותר כדי להגן על מאגרי המידע שבידיהן מוסיף עוד סיכון שהמשק הישראלי לא באמת זקוק לו כיום.
ממצאי המחקר מקיפים כ-33 רשויות גדולות, שבהן למעלה מ-42 אלף תושבים; עשר רשויות בינוניות של 42-30 אלף תושבים; ו-27 רשויות קטנות יותר הכוללות בין 3,000 ל-30 אלף תושבים. "בכל הרשויות שנבדקו נמצאו ליקויים משמעותיים המצריכים תיקון", ציינו ברשות.
הליך הפיקוח כלל חמישה קריטריונים עיקריים בתחומי הגנת הפרטיות: אבטחת מידע, בקרה ארגונית, העברת מידע בין גופים ציבוריים, ניהול מאגרי מידע, עיבוד מידע אישי במיקור חוץ, במקביל לבחינה של ניהול מאגרי מצלמות מעקב במרחב הציבורי על ידי הרשויות. אגב, לגבי הנקודה האחרונה, הממצאים אפילו מדאיגים יותר: רק כמחצית (54%) מהרשויות המקומיות שעושות שימוש במצלמות מעקב במרחב הציבורי עומדות בדרישות החוק.
אולם ברשויות המקומיות לא ממהרים להכיר באחריות, ואף מאשימים את המדינה בכך שהיא לא מסייעת להן לעמוד בדרישות. על פי מרכז השלטון המקומי, המייצג את כל הרשויות המקומיות בישראל, "אירועי הסייבר האחרונים הבהירו שאין במדינה גוף מאורגן שנותן הנחיות מדויקות בנושא, לרבות תשתית הגנתית רחבה. פריצות למאגרי מידע באוניברסיטאות, בתי חולים ועמותות מחייבות התייחסות באמצעות כלים תקציבים ותשתיתיים והפעלת מערך סדור. מרכז השלטון המקומי מתריע כבר שנים על נושא אבטחת המידע ברשויות המקומיות ודורש התייחסות ממשלתית, שלצערנו עד היום לא ניתנה כראוי".
"כיום ישנו צורך מהותי במערך הגנה אחיד עבור כלל הרשויות בישראל בהיבטי הגנת הפרטיות והסייבר. מרכז השלטון המקומי, כמי שמייצג את הרשויות, מוכן לקחת על עצמו הקמת מערך הגנה שיתכלל לרשויות ויוביל תוכנית כוללת להקמת מערכת הגנה מלאה בשיתוף המדינה, כך שכל הרשויות, ללא קשר לגודלן, יקבלו את ההגנה המיטבית.
"אנו כבר פועלים בשיתוף פיקוד העורף ומערך הסייבר, ואנו מצפים שגופי הממשלה יצטרפו וייקחו חלק על ידי ריכוז משאבי ההגנה על הנתונים של התושבים ברשויות במקום אחד, באמצעות צוות מקצועי. אנחנו קוראים למשרדי הפנים והמשפטים לפעול איתנו כדי שהרשויות יקבלו את אותה הגנה שמקבלים משרדי הממשלה. כפי שאין צבא לכל רשות בנפרד, גם במקרה הזה יש להקים באמצעותנו מערך סדור אחד לכלל הרשויות".