ידיעון חודש אוגוסט
אבטחת מידע והאחריות לפעילות במיקור חוץ
הרשויות המקומיות, נשענות בעבודתן על עשרות תוכנות מחשב: תוכנות לניהול השכר, תוכנות לניהול תיקי כח אדם, תוכנות לניהול תיקי הרווחה, תוכנות החתמת נוכחות, תוכנות CRM לניהול פניות במוקד העירוני, שירותי תשלום וסליקה, GIS, תכנון ובניה, תביעה עירונית, אנליטיקת וידאו של מצלמות אבטחה, תוכנות רישוי עסקים, וטרינריה, רציפות תפקודית בחירום, ועוד. גם האכסון של אותן התוכנות מתבסס על שרתים (שבמרבית המקרים מצויות בענן). אבל האחריות החוקית לאבטחת המידע איננה חיצונית – היא נשארת ברשות המקומית.
מימוש האחריות ברשות המקומית בתחום אבטחת מידע – פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים. מבקר המדינה, והרשות להגנת המידע והפרטיות במשרד המשפטים, התריעו, מספר פעמים, כי הרשויות המקומיות אינן ערוכות להתמודד עם איומי סייבר.
לפיכך, כיצד על הרשות לממש את האחריות?
ראשית, מומולץ לרשות המקומית, לתכנן את פעילות הבדיקה והביקורת, במגרת תכניות העבודה השנתיות. שנית, מומלץ למפות את ההתקשרויות שמקיימת הרשות המקומית עם ספקים חיצוניים, הכרוכות בשימוש במאגרי מידע. יש לבחון את ההסכמים והחוזים, ובאופן ספציפי – את ההוראות בתחום אבטחת המידע והגנת הפרטיות. עוד מומלץ לעיין בדיווחי הספקים החיצוניים (ככל שהעבירו), בתצהירים לשמירת סודיות שהועברו לידי הרשות, ועוד. ככל שנמצאו פערים, מומלץ לדרוש את תיקונם. בכך, לכל הפחות, תחל הרשות המקומית לממש את חובתה בחוק.
עיבוד במיקור חוץ
פעולות עיבוד המידע המבוצעות ברשויות המקומיות מחייבות, כמעט בכל המקרים, שימוש בתוכנה ובחומרה, השייכות לצד ג’. אלא שהניסיון מראה כי היקף הפיקוח שמפעילות הרשויות המקומיות, על פעולות הפעולות שמבוצע על ידי צד ג’, נמוך וכמעט ולא קיים: מעטות הרשויות המקומיות, הדורשות, מפקחות, בודקות ואוכפות את ההגנה ואת השימוש, במידע השייך להן. אלא שהאחריות והחובות המוטלות על בעל המאגר, על מנהל המאגר ועל מחזיק המאגר, ממשיכות לחול, כאילו ביצעו בעצמם (או לא ביצעו, במחדל) את הפעילות שביצע צד ג’.
עיבוד מידע במיקור חוץ
מיקור חוץ, או שימוש בצד ג’ לעיבוד מידע, מוסדר בתקנות הגנת הפרטיות (אבטחת מידע). התקנות מטילות מספר חובות על בעלי מאגרי מידע, לצורך התקשרות עם גורם חיצוני לקבלת שירות, ככל שקבלת השירות כרוכה במתן גישה למאגר המידע. התקנות כוללות מספר פעולות שעל הרשות המקומית לנקוט, ובכלל זאת:
- טרם ההתקשרות, על גורמי המקצוע ברשות המקומית ועל בעל המאגר, לבחון את סיכוני אבטחת המידע הכרוכים בהתקשרות ולהבטיח כי סיכונים אלה מקבלים מענה.
- ניסוח הגדרת המידע שהספק החיצוני רשאי לעבד, ומטרות השימוש המותרות בו במסגרת ההתקשרות.
- סוגי המערכות והמאגרים, אליהן הספק החיצוני יהיה רשאי לגשת.
- סוגי העיבוד וסוגי הפעולות שהספק החיצוני יהיה רשאי לעשות (וכן מיקום הביצוע של אותן הפעולות).
- תקופת ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות, ודרישת השמדתו מרשות הספק החיצוני בסיום ההתקשרות.
- אופן יישום החובות בתחום אבטחת המידע שהמחזיק חייב בהן לפי התקנות.
- חובת הספק להחתמת בעלי ההרשאות אצלו על התחייבות לשמירת סודיות המידע ויישומם של אמצעי אבטחה, בהתאם להגדרת המאגר.
- דיווח הספק, אחת לשנה לפחות, על אודות אופן ביצוע חובותיו לפי התקנות והסכם ההתקשרות, וחובת ההודעה במקרה של אירוע אבטחה.
- במקרים בהם התיר בעל מאגר מידע לספק החיצוני לתת את השירות באמצעות גורם נוסף – חובתו של הספק החיצוני לכלול בהסכם עם הגורם הנוסף את כל הנושאים המפורטים בתקנה 15 לתקנות הגנת הפרטיות.