סחבת ישראלית: לרשויות המקומיות עדיין אין הגנה ממתקפות סייבר

257 הרשויות המקומיות בישראל אינן מוגנות בפני מתקפות סייבר ולא עומדות בדרישות תקנות הגנת הפרטיות שייכנסו לתוקף במאי הקרוב. רשויות מקומיות מחזיקות במסדי נתונים גדולים ובהם מידע על כל תושב - נכסים, מגורים, בריאות, ילדים ועוד; ולטענת מרכז השלטון המקומי, המידע הזה חשוף למתקפות רשת בשל סחבת ישראלית טיפוסית.  

המחדל החמור הוא המשך ישיר לטענות שהועלו כבר בנובמבר שעבר על ידי מבקר המדינה במסגרת בדיקה שערך בנושא. על פי המבקר "המינהל לשלטון מקומי במשרד הפנים, ורשות הפרטיות שבמשרד המשפטים מטילים את האחריות לאסדרת הנושא האחד על השני והם לא פעלו לתיקון הליקויים". במרכז השלטון המקומי מאשרים כי "המצב עדיין כפי שהיה".

צילום: Google Chrome Fans

בעקבות הדו"ח המבקר, החל משרד הפנים לבצע בדיקה מקיפה של רמת אבטחת המידע ברשויות השונות. לטענת מרכז השלטון המקומי, מדובר במהלך שאינו עומד בדרישות המינימליות. "עד היום (חצי שנה, ר"ק) בדק משרד הפנים כ-10 רשויות מתוך 257", אמר ל"כלכליסט" שחר ברק, מנהל מערכות המידע במרכז השלטון המקומי. "התקציב השנתי לטובת הסקר המקדים שאמור למפות את הדרישות הייחודיות בתחום אבטחת המידע של כל רשות תוקצב בכ-6 מיליון שקל בשנה. בקצב הזה את הבדיקה הזו הם עשויים לסיים מתישהו ב-2040", הסביר.

שר הפנים דרעי. מי ייקח אחריות | צילום: דוברות הכנסת

כדי לאפיין את הדרישות של כל רשות, נדרש ממנה לעבור בדיקה שתקבע את הצרכים שלה. מדובר בתנאי סף שמאפשר לאנשי המקצוע להטמיע את כלי האבטחה הנדרשים. "היינו בדיון בוועדת המדע והטכנולוגיה לפני כשבועיים וגם במשרד הפנים מלינים שהתקציב שניתן להם אינו מאפשר להם לבצע את הבדיקה מהר יותר", אמר ברק.

בעיה נוספת היא תקנות האבטחה החדשות, שמטילות אחריות פלילית אישית על אנשים שלא מצייתים להן. "מעבר לכך גם לא ממש ברור מי האחראי על מאגרי המידע במסגרת הרשויות" הוסיף. "כיום מדובר בראשי עיריות והמנכ"לים, אך בפועל מי שאמור להיות אחראי הוא מנהל מאגר וממונה אבטחת המידע. זה תפקיד חשוב בכל ארגון, אבל בספר התקציב של משרד הפנים מדובר במשרה שמתוגמלת בכ-6,000 שקל בחודש. אתה מכיר הרבה שיסכימו לקחת אחריות עבור 6,000 שקל לחודש?".

תקנות ההגנה על הפרטיות נכתבו בהתאם לתקנות ה-GDPR האירופיות שייכנסו לתוקף אף הן במאי השנה. במרכז השלטון המקומי אומרים שיש להם פתרון אפשרי בדמות מערכת ענן שתספק שירותי מחשוב לכל הרשויות, אך מדובר במערכת שעודנה בהתהוות ולא תהיה זמינה לפני 2019.  

170 מתקפות בכל יום

מנתוני המרכז הלאומי להתמודדות עם איומי סייבר, שמצטט המבקר, עולה כי בכל יום מתבצעים בממוצע כ-170 ניסיונות תקיפה בישראל. למשל, השרת של מחלקת ההנדסה של עיריית נצרת עילית הותקף ב-2016 על ידי נוזקה, מה שגרם שחלק גדול מהמידע בשרתים, כולל תמונות שתיעדו עבירות בנייה, נחסמו בפני העירייה והיא לא הגישה כתבי אישום נגד עברייני הבנייה. בשנה שעברה התברר שהאקרים פלסטינים הצליחו לפרוץ לשרתי עיריית קריית אונו ולגנוב שמות משתמש וסיסמאות של עובדיה. ואלה רק הדוגמאות שנחשפו, כשלפי הערכות, ישנו מספר גדול מאוד של מתקפות שלא דווחו בשל היעדר רגולציה.

במהלך כנס Muni Expo שנערך השבוע התלוננו מספר נציגי רשויות על מצב האבטחה: "כל יום יש לנו מתקפה. המתקפות הידועות ביותר הן מבפנים ולא מבחוץ", אמר ירון ריבו, מנהל המחשוב של עיריית נתניה. "בעיר חכמה - זה העיר עצמה, הרשת שם, כל ה-IoT יביא לנו יותר איומי סייבר. אם לוקחים רמזורים ומשנים את כולם לירוק יהיו תאונות. אם תשנו את איסוף הזבל, תהיה מגיפה". אורן מזרחי, מנהל המחשוב של עיריית רעננה, סיפר שהמתקפות העיקריות הן על מערכת החינוך בעיר, ואפילו בעיריית ת"א המתוקצבת היטב נרשמו פערים ביכולות בדיקת חסינות הרשתות.   

"שום רשות מקומית לא מוכנה ומסוגלת להגן על המערכות מידע שלה ברמה כזו או אחרת. רשויות עשירות יותר מצבן הרבה יותר טוב כמובן, אבל יש הרבה רשויות שאפילו לא מודעות לסכנות שמאיימות עליהן", הוסיף שחר.

ממשרד הפנים נמסר כי "האחריות על ההתגוננות מפני איומי הסייבר בכל רשויות השלטון היא בידי הרשות הלאומית לסייבר. יחד עם זאת, מתוך אחריות, הוקם במשרד הפנים אגף לטיפול באיומי הסייבר, המסייע לרשויות מקומיות במוכנות לאיומים".