סגור
מתכנת תכנות קוד מהנדס תוכנה מחשב מחשוב
היעדר תקצוב לתחום המחשוב ברשויות המקומיות (צילום: שאטרסטוק)

דו"ח המבקר
חוסר בתקצוב והיעדר תוכנית עבודה: הרשויות המקומיות לא ערוכות להתמודדות עם אירועי סייבר

על פי דו"ח המבקר, הגנת הסייבר של מערכי הגבייה של רשויות מקומיות רבות סובלת מפערים משמעותיים, ובהם היעדר תוכנית עבודה להתמודדות עם אירועי סייבר וחוסר בתקציב ייעודי לאבטחת מידע. עוד עולה, תחום המחשוב ברשויות מקומיות קטנות סובל מהיעדר אסדרה ותקצוב

הגנת הסייבר של מערכי הגבייה של רשויות מקומיות רבות סובלת מפערים משמעותיים, ובהם היעדר תוכנית עבודה להתמודדות עם אירועי סייבר וחוסר בתקציב ייעודי לאבטחת מידע – כך לפי הדו"ח השנתי של מבקר המדינה על השלטון המקומי, שמתפרסם היום (ג').
מערכי הגבייה המוניציפליים, שמשמשים לגביית תשלומי ארנונה ואגרות אחרות, מרכזים מידע אישי רב ובכלל כך שם, כתובת, מספר תעודת זהות, מספרי טלפון, ולעתים גם מידע רפואי ומידע בתחומי הרווחה. על מנת לבדוק את מוכנות מערכים אלו להתמודדות עם מתקפות סייבר, ערך המבקר ביקורת בין מאי לדצמבר 2023, שהתמקדה בשש רשויות מקומיות: אור עקיבא, ראשון לציון, רהט, רחובות, אבן יהודה ועמק חפר. בממצאי הדו"ח מזוהות הרשויות בשמות חלופיים מקוצרים, לנוכח רגישות הסוגיה.
לפי הדו"ח, לשלוש מהרשויות אין מסמכי מדיניות בנושא אבטחת מידע, ושתיים מהן לא הכינו נוהל אבטחת מידע. שתי רשויות לא רשמו את מאגרי המידע של מערכת הגבייה שלהן בפנקס מאגרי המידע, בניגוד לחוק הגנת הפרטיות. לשלוש רשויות אין תוכנית עבודה שנתית להתמודדות עם אירועי סייבר. לשתיים רשויות יש תוכנית שכזו, אך היא אינה מקושרת לתקציב. לארבע רשויות אין בכלל תקציב ייעודי לאבטחת מידע. "אם אין לרשות מקומית תוכנית עבודה להתמודדות עם אירועי סייבר, הכוללת בין היתר את מיפוי הסיכונים הרלוונטיים ברשות ואת המענה ההגנתי הנדרש בעניינם, הרי שבהתרחש אירועי סייבר עלולה להיפגע יכולתה של הרשות להתמודד איתם", נכתב בדוח. "תוכנית מקושרת תקציב תבטיח את המקור התקציבי להתמודדות עם הסיכונים".
רק לרשות אחת היה ביטוח סייבר, בהיקף של 2 מיליון דולר. לחמש רשויות לא היה ביטוח דומה, "כך שהן עלולות להידרש לשאת בכלל ההוצאות הכרוכות בהתמודדות עם אירוע הסייבר וההתאוששות ממנו, כגון הקמה מחדש של כל תשתיות המחשוב".

תחום המחשוב סובל מהיעדר אסדרה ותקצוב

עוד עולה, כי מערכי המחשוב של רשויות מקומיות קטנות סובלים מהעדר תכנון ומיפוי, מחסור בכוח אדם מתאים, תקצוב חסר ופערים בהגנת סייבר.
שירותי מחשוב הם כיום חלק מרכזי באינטראקציה של תושב עם הרשות המקומית, ומספקים שירותים כמו תשלומים, רישום למוסדות חינוך וקבלת מידע שוטף על הנעשה ברשות. בין ינואר לדצמבר 2023 בדק המבקר את הטיפול בתחום ברשויות קטנות שבהן פחות מ-15 אלף תושבים (122 מתוך 259 רשויות בישראל), כאשר הביקורת התמקדה בשש רשויות: אליכין, בית דגן, ג'לג'וליה, פרידיס, קריית יערים ומרחבים.
לפי ממצאי המבקר, תחום המחשוב ברשויות מקומיות, בכללו, סובל מהעדר אסדרה, ובפרט אין הנחיות מחייבות של משרד הפנים או סטנדרט של רמת המחשוב בהן. ברשויות הקטנות שנבדקו, ארבע לא ביצעו מיפוי של מערכות ותשתיות המחשוב שלהן (שלוש אף לא מחזיקות ברשימת עמדות הקצה שלהן). רק רשות אחת גיבשה תוכנית אסטרטגית לקידום דיגיטלי. אף אחת משש הרשויות שנבדקה לא מעסיקה מנהל מערכות מידע כעובד הרשות (ורק 31% מכלל הרשויות המקומיות מעסיקות מנמ"ר כעובד הרשות או במיקור חוץ). רק 12 רשויות קטנות (ו-27% מכלל הרשויות) השתתפו בתוכנית "מובילים דיגיטליים" של משרד הפנים לפיתוח הון אנושי דיגיטלי.
בעיה אחרת שזיהה המבקר היא חוסר תקצוב. פחות מ-1% מהתקציב של אליכין, בית דגן, ג'לג'וליה, פרידיס וקריית יערים הוקצה לתחום המחשוב ב-2021. הרשויות גם חרגו מהתקציבים השוטפים שנקבעו ל-2020 עד 2022, החל מאי-ניצול בסך 149 אלף שקל ועד חריגה של 234 אלף שקל. בנוסף, באליכין, בית דגן, פרידיס אין ממונה אבטחת מידע, ולאליכין, בית דגן, פרידיס, מרחבים וקריית יערים אין תוכניות לבקרה על אבטחת מידע במאגרי המידע.