ידיעון חודש יולי
אבטחת המידע והגנת הפרטיות ברשויות המקומיות ובתאגידים העירונים
ברשויות המקומיות מאגרי מידע רבים המשמשים בסיס לעבודתן, בעתות רגיעה וחירום, בין היתר בתחומים האלה: כספים, גביה, ביטוח, תכנון ובנייה, פיקוח, חינוך, רווחה, כוח אדם, רישוי עסקים, תחבורה, תמרור וחניה, ביטחון ובטיחות, תברואה ואיכות הסביבה. בשנים האחרונות אף גדל מספר "הערים החכמות" – ערים המשתמשות בטכנולוגיות מידע ותקשורת לשיפור ניהול נכסיהן ואיכות החיים של תושביהן (דוגמת אפליקציות רשותית, מערך המצלמות העירוניות, שירותים ותשלומים מקוונים, הליכי שיתוף ציבור, ועוד).
המידע הרב שאוגרות הרשויות, וההצטיידות בכלים דיגיטליים ובטכנולוגיות מתקדמות, גורמים לגידול חד בכמות הנתונים שבידי הרשויות המקומיות, במספר מאגרי המידע שבבעלותן. בנוסף, הם מאפשרים גם יכולת גבוהה לאסוף, לעבד ולנתח מידע אישי, פרטי ורגיש, ובהיקפים רבים יותר. אלא שתהליכים וכלים אלה, גם הופכים את הרשות המקומית לפגיעה אף יותר, ואת פרטיותם של תושבי הרשות – לחשופה גם היא לפגיעה קשה. פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים. לא בכדי הצביע מבקר המדינה (דו"ח ביקורת שנתי (62)2012) "אבטחת מידע והגנת הפרטיות ברשויות מקומיות", ושוב בדו"ח שפורסם בשנת 2020, כי חלק מהרשויות המקומיות אינן מטפלות כראוי בנושא, וכי הרשויות המקומיות אינן ערוכות להתמודד עם איומי סייבר.
גם התאגידים העירוניים, הנם אחד מהגורמים האוספים, מקבלים ומעבדים מידע, במסגרת השירותים שהם מספקים. כך לדוגמה, תחומי החינוך הבלתי פורמאלי, קייטנות, חוגי ספורט ואירועי תרבות למיניהם, השכרת נכסים, מצריכים כולם איסוף נתונים אישיים (לרבות של קטינים, ולרבות תושבים המחזיקים באזרחות נוספת), מספרי טלפון, כתובות דואר אלקטרוני, צילומים, מספרי כרטיסי אשראי וחשבונות בנק, וכיוצ"ב. הסיכונים של התאגידים העירוניים, זהה לאלו של הרשויות המקומיות.
חוק הגנת הפרטיות, התשמ"א – 1981, ותקנות הגנת הפרטיות (אבטחת מידע), מחילים חובות על הרשויות המקומיות ועל התאגידים העירוניים, להגן על פרטיותם של האנשים שמידע עליהם קיים במאגרי המידע, כדי למנוע חשיפה, שימוש או העתקה של המידע על ידי גורמים שאינם מורשים לכך. אי עמידה בהוראות הדין – עלולות להביא לחשיפה לתביעות אזרחיות, להגדלת הוצאותיה הישירות והעקיפות של הרשות, להליכי אכיפה מינהלית, ואפשר שאף להליכים אישיים כנגד נושאי המשרה ברשויות או בתאגידים העירוניים.
דו"ח: חצי מהרשויות המקומיות כושלות בהגנה על המידע הפרטי של האזרחים
רשות הפרטיות בחנה 70 רשויות מקומיות המנהלות את המידע של כ-5 מיליון תושבים: "על רקע התגברות תקיפות סייבר, אירועי אבטחה ודליפות מידע על אזרחים במאגרי מידע רגישים, ניצב בפני המדינה תמרור אזהרה". כמחצית מהרשויות המקומיות בישראל לא עומדות בדרישות החוק להגנת הפרטיות, כך עולה ממחקר מעמיק שביצעה רשות הפרטיות של משרד המשפטים, האחראית על יישום החוק.
על פי המידע שפרסמו חוקרי הרשות, כמחצית מהרשויות (48%) עמדו ברמה נמוכה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע, או במילים אחרות: הרשויות לא משקיעות מספיק באמצעי הגנת סייבר כדי להגן על המידע שלכם שהן שומרות במחשביהן. הרשויות המקומיות מנהלות את המידע הפרטי של כל אזרחי המדינה. למעשה חוץ ממשרד הפנים, הרשויות המקומיות, שכוללות עיריות ומועצות מקומיות, מחזיקות בהיקף המידע הפרטי הגדול והמפורט ביותר שניתן למצוא, בין אם בפרטי הארנונה, חשבונות המים (תאגידי המים שייכים לרוב לרשויות המקומיות) ובין אם במידע על ילדים הרשומים במערכות החינוך המקומיות.
למעשה מידע של רשות מקומית כולל כמעט את כל הנתונים של תושב המקום, מהלידה עד המוות. הליך הפיקוח של רשות הפרטיות בדק כ-70 רשויות בישראל, שמנהלות את המידע של למעלה מ-5 מיליון תושבים. כשלים אלה נהפכו למאוד נפוצים בשנים האחרונות והביאו לכמה מאירועי הסייבר החמורים במדינה מאז ומעולם. לדברי ד"ר שלומית ווגמן, מ"מ ראש הרשות להגנת הפרטיות, "בעת הזו, על רקע התגברותם של תקיפות סייבר, אירועי אבטחה ודליפות מידע על אזרחים במאגרי מידע רגישים, ניצב בפני המדינה תמרור אזהרה". הרשויות מחזיקות במידע רחב היקף ורגיש על תושביהן, כולל מידע ממרשם האוכלוסין הכולל מידע אישי כגון מספרי תעודת זהות, כתובת מגורים, דרכי יצירת קשר, מצב הנכסים ובעליהם, לרבות שווי הנכס, קיומה של משכנתא, נתונים על גבייה ואכיפתה, מידע על תלמידים, מידע על הטיפול בלשכות הרווחה, ואף מידע על ייעוץ פסיכולוגי וסוציאלי שמקבלים התושבים. בנוסף לכך הרשויות מחזיקות במאגרי מידע רבים מתחומים שונים כגון רווחה, חינוך, דיור ועוד, המאפשרים הצלבה של פרטי מידע, דבר המגביר את החשש לשימוש במידע הקיים לצרכים החורגים ממטרת איסופו המקורית. העובדה כי הרשויות אף נעזרות לעתים קרובות בנותני שירותים חיצוניים מאפשרת, במצבים מסוימים, חשיפה של גורמים נוספים למידע רגיש הקיים במאגרי הרשות המקומית.
בין אם מדובר בפריצה לשרתי חברת הביטוח שירביט, פריצה לגופים כגון תע"א או המתקפה האחרונה על בית החולים הלל יפה, שבמסגרתה קרס מערך המחשוב של בית החולים ונגנב מידע על המטופלים – פריצות סייבר הפכו לבעיה רוחבית שחשפה מידע ופרטים של מאות אלפי ישראלים, בין היתר לגורמים עוינים ולעברייני סייבר. חוסר העמידה של הרשויות בדרישות אבטחת המידע הבסיסיות ביותר כדי להגן על מאגרי המידע שבידיהן מוסיף עוד סיכון שהמשק הישראלי לא באמת זקוק לו כיום. "בכל הרשויות שנבדקו נמצאו ליקויים משמעותיים המצריכים תיקון", ציינו ברשות. הליך הפיקוח כלל חמישה קריטריונים עיקריים בתחומי הגנת הפרטיות: אבטחת מידע, בקרה ארגונית, העברת מידע בין גופים ציבוריים, ניהול מאגרי מידע, עיבוד מידע אישי במיקור חוץ, במקביל לבחינה של ניהול מאגרי מצלמות מעקב במרחב הציבורי על ידי הרשויות.
אגב, לגבי הנקודה האחרונה, הממצאים אפילו מדאיגים יותר: רק כמחצית (54%) מהרשויות המקומיות שעושות שימוש במצלמות מעקב במרחב הציבורי עומדות בדרישות החוק. על פי מרכז השלטון המקומי, המייצג את כל הרשויות המקומיות בישראל, "אירועי הסייבר האחרונים הבהירו שאין במדינה גוף מאורגן שנותן הנחיות מדויקות בנושא, לרבות תשתית הגנתית רחבה. פריצות למאגרי מידע באוניברסיטאות, בתי חולים ועמותות מחייבות התייחסות באמצעות כלים תקציבים ותשתיתיים והפעלת מערך סדור. "כיום ישנו צורך מהותי במערך הגנה אחיד עבור כלל הרשויות בישראל בהיבטי הגנת הפרטיות והסייבר.