לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור
הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
מערכות מידע; סייבר; גבייה; רשויות מקומיות; אבטחת מידע

רקע

​ההתפתחות הטכנולוגית המהירה השפיעה כמעט על כל תחומי החיים של הפרט והמגזרים במשק, לרבות המגזר הציבורי, ובייחוד על הרשויות המקומיות. הרשויות המקומיות משתמשות במערכות דיגיטליות ובאתרים במרשתת (באינטרנט) המאפשרים להן לנהל את ענייניהן ולקיים אינטראקציה עם התושבים באופן מקוון, וחלקן אף מספקות שירותים מקוונים שונים המאפשרים לתושבים, בין היתר, לבצע תשלומים ובפרט לשלם ארנונה ולקבל מידע ושירותים שונים באמצעות המרשתת. ברשויות המקומיות מצטבר מידע אישי על תושביהן, כמו שם, כתובת, מספר זהות, מספר טלפון, מידע רפואי, מידע בתחומי הרווחה ונתונים על אמצעי התשלום שהם בוחרים לשלם באמצעותם. דבר זה מחייב את הרשויות המקומיות לנקוט פעולות לשמירה על המידע שנאסף בידיהן ולאבטחתו. תהליך הגבייה מבוצע במערכת הגבייה ברשויות המקומיות, המנוהלת ומתופעלת על ידי הרשויות המקומיות וספקי השירות של מערכת הגבייה, והם בעלי גישה לנתונים במערכת. מערכת הגבייה של הרשות המקומית הינה מערכת מרכזית שבאמצעותה הרשות גובה תשלומים מהתושבים, המאפשרים לה לבצע את פעילותה השוטפת. נכון לסוף שנת 2021 היו בתחומן של כלל הרשויות המקומיות במדינה כ-9.4 מיליון תושבים, והכנסותיהן העצמיות הסתכמו בכ-44 מיליארדי ש"ח. בשנת 2023, 13,040 אירועי סייבר דווחו למערך הסייבר הלאומי. בשנת 2021 עלות נזקי הסייבר בעולם הייתה 6 טריליון דולר ובישראל העלות הכלכלית השנתית מוערכת בלפחות 12 מיליארד ש"ח בשנה.


נתוני מפתח

  • 13,040

    אירועי סייבר דווחו למערך הסייבר הלאומי (מרכז 119) בשנת 2023

  • 96

    אירועי סייבר התרחשו ברשויות מקומיות בתקופת מלחמת "חרבות ברזל" עד סוף דצמבר 2023

  • 164

    אירועי סייבר ברשויות מקומיות דווחו למערך הסייבר הלאומי בחודשים ינואר 2021 עד אוקטובר 2023

  • 4

    מהרשויות המקומיות שנבדקו: רשויות מקומיות א', ב', ה' ו-ו' לא הקצו תקציב ייעודי לאבטחת מידע

  • 2

    מהרשויות המקומיות שנבדקו: רשויות מקומיות ב' ו-ה' לא רשמו את מאגרי המידע בפנקס מאגרי המידע כנדרש בחוק הגנת הפרטיות, התשמ"א-1981

  • 1

    מהרשויות המקומיות שנבדקו: ברשות מקומית ב' לא אויש תפקיד המנמ"ר

  • 5

    מהרשויות המקומיות שנבדקו: רשויות מקומיות ב', ג', ד', ה' ו-ו', אינן בעלות ביטוח סייבר

  • 2

    מספר הרשויות המקומיות שנבדקו שלא בוצע בהן שחזור מידע על ידי ספק שירות מערכת הגבייה שלהן - רשויות מקומיות א' ו-ה'

פעולות הביקורת

​בחודשים מאי-דצמבר 2023 בדק משרד מבקר המדינה את נושא אבטחת המידע של מערכת הגבייה ברשויות המקומיות. הבדיקה כללה את הנושאים שלהלן: הנחיה מקצועית של הרשויות המקומיות בתחום הגנת הסייבר; ניהול מאגרי מידע של מערכת הגבייה; מדיניות ונהלים בתחום אבטחת המידע; תוכנית עבודה להתמודדות עם אירועי סייבר; הסמכה לפי תקן 27001ISO; התאוששות מאסון; אבטחה פיזית של מערכות גבייה; ניטור של פעולות במערכת הגבייה והבקרה בנושא; אירועי סייבר; זיהוי ואימות של משתמשים במערכת הגבייה; ניהול הרשאות גישה למערכת הגבייה; עריכת סקרי סיכונים; ביצוע מבדקי חדירה; דיווח ובקרה על ספקי שירות של מערכת הגבייה. הביקורת נעשתה בשש רשויות מקומיות: בעיריית אור עקיבא, בעיריית ראשון לציון, בעיריית רהט, בעיריית רחובות, במועצה המקומית אבן יהודה ובמועצה האזורית עמק חפר, וכן במשרד הפנים. בדיקות השלמה בוצעו ברשות להגנת הפרטיות ובמערך הסייבר הלאומי. השלמות נוספות בוצעו אצל ספקי שירות חיצוניים של מערכות גבייה של רשויות מקומיות שנבדקו. נוכח רגישות הנושאים שנבדקו בביקורת, הרשויות המקומיות יכונו בדוח בשמות חלופיים מקוצרים (למשל רשות מקומית א') שנבחרו באופן אקראי ולא לפי סדר כלשהו.


תמונת מצב העולה מן הביקורת

dislike
  • dislike
    הנחיה מקצועית של הרשויות המקומיות בתחום הגנת סייבר - בדוח מבקר המדינה משנת 2022 צוין כי משרד הפנים מסר כי הוא יסכם את מתווה המשך הפעילות של היחידה המגזרית שהקים בעקבות החלטת ממשלה משנת 2015 להנחיית הרשויות המקומיות בתחום הגנת הסייבר, תוך תיאום עם מערך...
  • dislike
    מדיניות ונהלים בתחום אבטחת המידע - אף שמערך הסייבר הלאומי העלה ביוני 2021 את חשיבות הכנתו של מסמך מדיניות הגנת מידע וסייבר, כפי שנקבע גם בתקן 27001ISO, נמצא כי לשלוש מהרשויות המקומיות שנבדקו, רשויות מקומיות ב', ג' ו-ה' אין מסמכי מדיניות בנושא אבטחת מי...
  • dislike
    קביעת רמת האבטחה של מאגרי המידע - לפי תקנות הגנת הפרטיות, על כל רשות מקומית להגדיר מהי רמת האבטחה החלה על כל אחד מן המאגרים שבבעלותה - בינונית או גבוהה. נמצא כי רשויות מקומיות א' ו-ג' הגדירו את רמת האבטחה הנדרשת למאגרי המידע של מערכת הגבייה שלהן כגבוהה...
  • dislike
    ניהול מאגרי מידע של מערכת הגבייה - על אף שבחוק הגנת הפרטיות, התשמ"א-1981 (חוק הגנת הפרטיות), נקבע כי אדם המנהל מאגר מידע או המחזיק בו מחויב לבצע רישום שלו בפנקס של רשם מאגרי המידע, נמצא כי שתיים מהרשויות המקומיות שנבדקו - רשויות מקומיות ב' ו-ה' לא רשמו...
  • dislike
    מינוי בעלי תפקידים - ברשויות מקומיות א' ו-ה' ממונה אבטחת המידע משמש גם בתפקיד מנמ"ר הרשות המקומית, ועל פי עמדת הרשות להגנת הפרטיות הדבר עלול להעמיד בעלי תפקידים אלה בחשש לניגוד עניינים מבני. ברשות מקומית ב' לא אויש תפקיד המנמ"ר.
  • dislike
    תוכניות עבודה להתמודדות עם אירועי סייבר - על אף שבתורת ההגנה בסייבר של מערך הסייבר הלאומי צוין הצורך בהכנת תוכנית עבודה להתמודדות עם אירועי סייבר, לרשויות מקומיות ב', ג' ו-ה' אין תוכנית עבודה שנתית להתמודדות עם אירועי סייבר. על אף היתרונות שבתוכנית עבו...
  • dislike
    הסמכה לפי תקן 27001ISO - על אף שאין חובה ליישום תקן 27001ISO, הוא יכול לסייע לרשויות המקומיות להעריך את עמידתן בדרישות אבטחת המידע שלו. רשויות מקומיות א', ב', ג', ד', ה' ו-ו' אינן מוסמכות לפי תקן 27001ISO. עוד נמצא כי בהסכמים של רשויות מקומיות א' ו-ב'...
  • dislike
    התאוששות מאסון - בתורת ההגנה בסייבר נקבע שיש לוודא כי יש לארגון יכולת התאוששות בעקבות נפילת אתר, מחיקת מידע או נעילת קבצים, וכי בפרט יש לוודא שיש לארגון גיבוי אפקטיבי. עוד צוין כי יש לבצע שחזור יזום בתדירות קבועה ולהגדיר את תדירות הגיבוי ואת סוג הגיבוי...
  • dislike
    אבטחה פיזית של מערכת גבייה - בתקנות הגנת הפרטיות נקבע בין היתר כי בעל מאגר מידע יכלול בנוהל אבטחת מידע את ההוראות בעניין האבטחה הפיזית והסביבתית של אתרי המאגר. לרשויות מקומיות ב' ו-ה' אין כלל נהלים לתחום אבטחת מידע, ובכללם נהלים לאבטחה פיזית. עם זאת, ל...
  • dislike
    ניטור של פעולות במערכת הגבייה והבקרה בנושא - בתקנות הגנת הפרטיות נקבע כי בעל מאגר מידע אחראי לתיעוד כל אירוע המעורר חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה; במידת האפשר יבוסס התיעוד האמור על רישום אוטומטי. רשויות מקומיות א', ג', ה...

    עיקרי המלצות הביקורת

    • [alt]
      על משרד הפנים, שהוא הרגולטור של הרשויות המקומיות, לפעול בשיתוף מערך הסייבר הלאומי לקביעת הגורם אשר ישמש יחידה מגזרית עבור הרשויות המקומיות, ינחה אותן בעניין ההיערכות לאירועי סייבר ויפקח על יישום ההנחיות, כפי שהתחייב בדוח הביקורת משנת 2022.
    • [alt]
      מומלץ לרשויות מקומיות ב' ו-ה' להכין מסמך מדיניות אבטחת מידע ולהגישו לאישור הנהלת הרשות המקומית, כדי שישמש בסיס לכתיבת נוהלי אבטחת מידע. כמו כן, מומלץ לרשות מקומית ג' להשלים את הכנת מסמך המדיניות בנושא אבטחת מידע ולהגישו לאישור הנהלת הרשות המקומית. על ר...
    • [alt]
      על רשויות מקומיות ב', ד' ו-ה' לקיים בדיקה בדבר היקפם של מאגרי המידע שלהן על מנת שיוכלו לקבוע את רמת האבטחה הנדרשת של מאגריהן. אם יתברר לרשויות המקומיות כי הן מחויבות ברמת אבטחה גבוהה, עליהן לפעול בהתאם לדרישות האבטחה שנקבעו בתקנות לעניין רמת אבטחה זו.
    • [alt]
      על רשויות מקומיות ב' ו-ה' לרשום את מאגרי המידע של מערכת הגבייה שלהן בפנקס מאגרי המידע בהתאם להוראות חוק הגנת הפרטיות. על רשויות מקומיות ב', ג' ו-ה' להכין מסמך הגדרות מאגר מידע עבור מערכת הגבייה, שיכלול את כלל המידע הנדרש בהתאם לתקנות הגנת הפרטיות. על ר...
    • [alt]
      על רשויות מקומיות א' ו-ה' לפעול לכך שאת תפקיד ממונה אבטחת מידע ואת תפקיד מנמ"ר הרשות ימלאו נושאי משרה שונים, וזאת על מנת לקיים את ההוראות בתקנות הגנת הפרטיות. כמו כן, מומלץ כי רשות מקומית ב' תפעל לאייש את תפקיד המנמ"ר.

    סיכום

    ברשויות המקומיות מצטבר מידע אישי רב על תושביהן, ודבר זה מחייב אותן לנקוט פעולות לשמירה על המידע שנאסף בידיהן ולאבטחתו. רשויות מקומיות מתמודדות עם מגוון סיכונים, עם בעיות חוסן באבטחת המידע ועם איומי סייבר. התקפות סייבר ברשויות המקומיות עלולות לגרום נזקים להן ולכלל הציבור. יודגש כי בעקבות מלחמת "חרבות ברזל" התגברו הסיכונים להתרחשות אירועי סייבר בכלל הגופים במדינה לרבות ברשויות המקומיות.

    ממצאי דוח הביקורת מעלים ליקויים ביישום הדרישות שחלקן מופיע בחוק הגנת הפרטיות, בתקנות על פיו ובהנחיות מערך הסייבר הלאומי, וליקויים אלה עלולים לחשוף את הרשויות המקומיות לאירועי סייבר, ובהם: היעדר גוף המשמש יחידה מגזרית של הרשויות המקומיות המנחה אותן מהבחינה המקצועית בהיבטי הגנת הסייבר; ליקויים בניהול מאגר המידע של מערכת הגבייה על ידי הרשויות המקומיות. כמו כן נמצא כי הרשויות המקומיות לא ביצעו סקרי סיכונים ומבדקי חדירה למערכת הגבייה ואינן מבצעות בקרה שוטפת על ספקי השירות המחזיקים במאגרי המידע שלהן וכן לא קיבלו מספקי השירות דיווחים תקופתיים על מידת עמידתם בחובותיהם לפי תקנות הגנת הפרטיות.

    על מנת להפחית את החשיפה של הרשויות המקומיות לאירועי סייבר ולהבטיח שימוש יעיל באמצעי אבטחת מידע נאותים במערכות הגבייה שלהן ושמירה על המידע שבהם, על משרד הפנים ומערך הסייבר הלאומי לפעול לקביעת הגורם אשר ישמש יחידה מגזרית עבור הרשויות המקומיות. נוסף על כך על הרשויות המקומיות לפעול לתיקון הליקויים שהועלו בדוח על מנת לשפר את יכולות השלטון המקומי להתמודד עם איום התקפות סייבר והשפעותיו, ובמסגרת זו לבצע ביקורת אבטחת מידע אצל ספקי השירות החיצוניים כדי לבחון את נאותות אמצעי אבטחת המידע שהם צריכים לנקוט.