top image

דו”ח ביקורת ניהול מערכות מידע ברשויות המקומיות

תמונה תלת-ממדית של מגן דיגיטלי מוקף באייקונים שונים המייצגים תחומים בהגנת סייבר – מצלמת אבטחה, מערכות מידע, הגנת הפרטיות, מערכות מידע, שרשרת אספקה, מחשב, דוח ניתוח, טביעת אצבע ונתוני תקציב

מבקר המדינה פרסם ביום 4/7/2022, דו”ח ביקורת בנושא ניהול מערכות המידע ברשויות המקומיות (כאן קישור ישיר). דו”ח זה, שתקציר ממנו יובא בהמשך, מציג תמונת מצב מדאיגה באשר לניהול מערכות מידע ברשויות המקומיות. ככלל, ברשויות המקומיות קיימים ליקויים שונים בתחום הגנת הסייבר ואבטחת המידע. מקור הליקויים, בין היתר, בהיעדר אסטרטגיה והכוונה מצד הגורמים האחראים בתחום.

עצם הביקורות הרבות (כפי שנסקרו בפוסטים קודמים כאן וכאן), ועיסוק מבקר המדינה, מביע את הדאגה מאופן ומצורת ניהול מערכות המידע ברשויות המקומיות. השימוש במערכות מידע לניהול ענייני הרשויות המקומיות. הפך עם השנים לצורך בסיסי ומחויב המציאות, והוא חשוף לאיומי סייבר. נוסף על כך, במאגרי המידע של הרשויות המקומיות שמורים, בין היתר, נתונים אישיים על התושבים ועל הגורמים הבאים בקשר עם הרשויות במגוון תחומים, דבר המחייב נקיטת אמצעים לאבטחת המאגרים, גם לשם הגנה על הפרטיות.

 

עיקרי הליקויים

  • היעדר תכניות עבודה אסטרטגיות: תכניות עבודה לטווח ארוך אמורות להוות בסיס ליעדי ההנהלה ולתעדוף תקציבי. בהיעדרן, פעילות המערכות נעשית באופן תגובתי, בלתי מתוכנן, ותוך הישענות יתר על יוזמות אד-הוק.
  • איוש חלקי או חסר של תפקידי מפתח: חרף החובה החוקית, לא בכל רשות קיים ממונה אבטחת מידע (CISO) פעיל או ממונה הגנת פרטיות (DPO), ולעיתים מי שממלא את התפקיד עושה זאת “על הדרך”, ללא הכשרה מתאימה או סמכויות.
  • היעדר נהלים כתובים ומחייבים: ארגז הכלים הנדרש – הכולל מדיניות פרטיות, נוהלי הרשאות, מדיניות גיבוי, מענה לאירועי סייבר והנחיות לעובדים – חסר בחלק ניכר מהרשויות.
  • חוסר בהיערכות להתאוששות מאסון (Disaster Recovery): רשויות רבות לא פיתחו תרחישים להתאוששות ממקרים של תקיפת מערכות, השחתת מידע או קריסת מערכות קריטיות.
  • נוהלי גיבוי לקויים: ברשויות רבות מתבצעים גיבויים בתדירות שאינה תואמת את הסיכון, ללא בדיקות תקינות שוטפות או מערך שחזור ראוי.
  • היעדר סקרי סיכונים: אין הערכת סיכונים שנתית בתחום אבטחת המידע, כפי שנדרש לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז–2017.
  • היעדר פיקוח על ספקים: מיקור חוץ נרחב אינו מלווה בבקרות משפטיות וטכנולוגיות הולמות, והתקשרויות אינן כוללות התחייבויות מספקות להגנה על מידע.

 

האתגרים האופייניים בניהול מערכות מידע בשלטון המקומי

הרשויות המקומיות בישראל נבדלות זו מזו בגודל, ברמת הדיגיטציה, וביכולות התקציביות והניהוליות שלהן. חלקן ערים עתירות משאבים עם תשתיות מתקדמות, בעוד אחרות מתמודדות עם מחסור בכוח אדם מקצועי ותקציבי מחשוב מצומצם. השונות הזו יוצרת קושי לקביעת סטנדרט אחיד, אך אין בכך כדי לפטור מרגולציה. החוק מחייב כל רשות לנקוט אמצעי הגנה מינימליים ביחס למידע שהיא מחזיקה, ולתכנן את תהליכי ניהול המידע על בסיס ניהול סיכונים ותפיסת אחריות תאגידית.

בנוסף, בעידן “העיר החכמה” – מערכות המידע של הרשויות מתרחבות לא רק לשירותי הליבה, אלא גם לשירותים מבוססי דאטה, אפליקציות עירוניות, מצלמות חכמות, שירותים מרחוק ושיתופי פעולה עם חברות טכנולוגיה. בכך גדל החשיפה לאיומים, ומעמיק הצורך בגיבוש מדיניות פרטיות ובקרה על שימושי המידע.

 

עדכון: תיקון מס’ 13 לחוק הגנת הפרטיות

מליאת הכנסת אישרה את נוסחו הסופי של תיקון מס’ 13  לחוק הגנת הפרטיות, והוא ייכנס לתוקף ביום 15/8/2025. התיקון יוצר מסגרת מעודכנת להגנה על מידע אישי ומחזק את הזכות לפרטיות בישראל, ובתוך כך מחולל את הרפורמה המשמעותית ביותר בדיני הפרטיות מאז שחוקק לראשונה בשנת 1981. במסגרת תיקון זה, הורחבו חובות הרשויות המקומיות באופן משמעותי. להלן עיקרי ההשלכות:

  • חובת מינוי ממונה הגנת הפרטיות (DPO): על כל רשות למנות גורם ייעודי, עצמאי ואפקטיבי, שיהיה אמון על ניהול הפרטיות, כתיבת מדיניות, ביצוע ביקורות, מענה לאירועים ועוד.

  • אחריות נושאי משרה: מנכ”ל הרשות יישא באחריות אישית לעמידה בדרישות החוק, לרבות הבטחת משאבים נאותים וכוח אדם מתאים.

  • הסמכת הרשות להגנת הפרטיות: לרשות סמכויות פיקוח, אכיפה, מתן קנסות, פרסום דוחות פומביים ואזהרות לציבור.

  • שינויים פרוצדורליים: ביטול הדרישה לרישום מרבית מאגרי המידע, והחלפתה בדרישות מהותיות לעמידה בסטנדרטים של שקיפות, אבטחה, מינימיזציה, בקרה והסכמה.

הרשויות המקומיות מחויבות להיערך כבר עתה, לקראת כניסתו לתוקף של התיקון, תוך עדכון נהלים, מיפוי מאגרים, ביצוע סקרי סיכונים וטיוב מערך ההגנה המידעית הכוללת.

 

עורך דין אבטחת מידע ברשויות מקומיות

משרד עורכי דין וולר ושות’ מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. זאת, בשילוב הערך המוסף – ניסיון ארוך שנים והתמחות בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, המוביל את התחום, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, צרו קשר.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign