דו"ח מבקר המדינה השנתי ה-62

דו"ח המבקר: מי שומר על המידע שלכם?

דו"ח מבקר המדינה בנושא רשויות מקומיות חשף מספר רב של כשלים בהגנה על פרטיות האזרחים ושמירה על מידע אישי

דניס ויטצ'בסקי

דו"ח מבקר המדינה חושף היום (שלישי) מחדלים של רשויות מקומיות בכל הקשור לאבטחת מידע של הציבור, ביניהם גם היעדר רישום של מאגרי מידע, היעדר כללים לאבטחת מידע והיעדר מדיניות ברורה בנושא. וכך, "מידע אישי הנוגע לבריאותם של תושבים או למצבם הכלכלי או האישי מוחזק בארונות פתוחים, בכונניות ובמגירות שאינן ניתנות לנעילה... באגפי החינוך בשתי רשויות מקומיות שנבדקו לא היו מנעולים בחלק מהארונות ומהמגירות המכילים מידע רגיש; אלה שהיה אפשר לנעול אותם לא היו נעולים; בכונניות לא נעולות היה דואר ובו מידע רגיש. "

הדו"ח בדק את אבטחת המידע והגנת הפרטיות בשבע רשויות מקומיות: עיריות אשקלון, יהוד-מונוסון, בני ברק, טירה ויקנעם עילית, כמו גם מועצות מקומיות בני עי"ש ורמת ישי, בין ינואר ליולי 2011. מתוקף תפקידן, אוספות הרשויות המקומיות מידע על הציבור, וחלקו של מידע זה מוגדר בתקנות הגנת הפרטיות ככזה שאותו יש לאבטח. בשנת 1996, תוקן חוק הגנת הפרטיות עם סעיפים הנוגעים להגנה במאגר מידע.

עוד בוואלה!

הצלחה בפסיכומטרי בשיטה שמומלצת ע"י האוניברסיטאות

לכתבה המלאה

אין מדיניות, אין הגנה על המידע

דו"ח המבקר מעלה כי "במשך שנים לא קבע משרד הפנים מדיניות לאבטחת מידע ולהגנת הפרטיות, לא הניח תשתית לביצועה ולא פעל לקביעת הנחיות בתחום זה " משרד הפנים, האחראי על הרשויות המקומיות, השיב למבקר המדינה כי אין לו הידע המקצועי, וכי מדובר בנושא שאמור להיות מוסדר באמצעות הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים. על זה מעיר המבקר כי "מן הראוי ש[משרד הפנים] יפנה לרשות למשפט טכנולוגיה ומידע בבקשה שתסייע לו בנושא".

יש לציין גם כי חלק מהתפקידים של הרשות למשפט וטכנולוגיה, שהוקמה ב-2006, כוללים פיקוח על בעלי מאגרי מידע, רישום מאגרים וקביעת הנחיות לבעלי מאגרי מידע, כמו גם העלאת מודעות הציבור לזכות לפרטיות של מידע. משרד המבקר מטיל ביקורת על הרשות ש" לא קבעה נהלים והנחיות לרשויות המקומיות המחזיקות במאגרי מידע; לא קיימה פעולות פיקוח ואכיפה על רישום מאגרי מידע ברשויות המקומיות; ולא הטילה קנסות על רשויות מקומיות שלא קיימו את חובתן... ראוי שהרשות למשפט, טכנולוגיה ומידע תגבש תכנית למימוש אחריותה בתחום אבטחת המידע והגנת הפרטיות בשלטון המקומי. ". הרשות, מצידה, טוענת " כי היא מקדמת זה כמה שנים יזמת חקיקה לביטול חובת הרישום של מאגרי המידע, ובד בבד עם זאת היא משקיעה את משאביה באכיפה של חובות מהותיים בגופים שהיא מפקחת עליהם "

וכיוון שמשרד הפנים והרשות למשפט, טכנולוגיה ומידע לא קבעו נהלים, בחמש משבע הרשויות המקומיות שבדק מבקר המדינה כלל לא נקבעו נוהלי אבטחת מידע. רק באשקלון ובני ברק היו נהלים, אך אלה מומשו באופן חלקי בכלל באשקלון, ולא מומשו כלל בבני ברק כי הנהלת העיריה מעולם לא אישרה טיוטת מסמך שהוגש לה ב-2001 בנושא. רק עיריית אשקלון מינתה ממונה על אבטחת מידע, וגם זה קרה רק במאי 2011, כשהעובד הוא חסר הכשרה בנושא אבטחת מידע. בעקבות הביקורת, בספטמבר 2011 מונה גם בעיריית בני ברק ממונה לנושא.

מי שומר על המאגרים

דליפת מאגרי מידע וגישה לא מורשית אליהם עומדים בשנים האחרונות במרכז דיון ציבורי בעקבות הקמת המאגר הביומטרי. ממצאי דו"ח מבקר המדינה מראים כי הרשויות המקומיות, לכל הפחות, לא מאוד מודאגות מדליפת מידע. " ברשויות המקומיות שנבדקו לא נעשה ניטור יזום של יומן השימוש של המחשבים, אף שבאמצעותו ניתן ללמוד על פריצות למאגר המידע, על חריגות או על שימוש במידע בידי גורמים בלתי מורשים. ברשויות אלה לא ידוע על מקרים כאמור, ואולם בהיעדר ניטור יזום ושיטתי לא ניתן למנוע פעולות כאלה." נכתב בדו"ח.

גרוע מכך, "משרד מבקר המדינה העלה כי בחמש משבע הרשויות שנבדקו (רמת ישי, בני עי"ש, טירה, בני ברק ויהוד-מונוסון) לא נקבעו כללים מחייבים לאבטחה לוגית של המידע. לדוגמה, נמצא כי הפסיכולוגים והמזכירה העובדים בשירות הפסיכולוגי בעיריית יהוד-מונוסון משתמשים בשם משתמש ובססמה זהים, וכך לא ניתן לדעת מי השתמש במחשב, מתי ובאילו קבצים טיפל. בעיריית יקנעם עילית נמצא כי קצינת ביקור סדיר במחלקת החינוך מקלידה רק שלושה תווים בכניסתה למחשב. רק בעיריית אשקלון נקבעו הנחיות לגבי הרשאות גישה למחשבים, ונקבע שיש צורך בהחלפת ססמאות, אך במחשב באגף הגבייה שמחובר לרשת המחשבים של העירייה נמצא כי ססמת הכניסה מורכבת מרצף של מספרים עוקבים וללא שילוב אותיות".


ומה עם המידע הפיזי? "תיקים עם מידע על תשלומי התושבים ועל חובותיהם לרשות המקומית וכן בקשות ואישורים למיניהם נמצאו מאוחסנים בכונניות פתוחות במשרדי המחלקה; ארגזי קרטון ובהם מידע כזה נמצאו ללא השגחה במסדרון שבו עוברים מי שאינם מורשי גישה אליו; בחדרי העובדים שבהם מתקיימת קבלת קהל נמצאו ארונות שאי-אפשר לנעול אותם ובהם תיקים עם פרטים אישיים; נמצאו ארונות ללא מנעולים, והמידע המאוחסן בהם נגיש לכל מי שנמצא בחדר; תיקים של מחזיקים בנכסים, הכוללים דוחות מהביטוח הלאומי על מצב בריאותם, על הוראות קבע ועל בקשות להנחות - נשמרים בכונניות ללא דלתות וללא מנעולים; בעיריית אשקלון נמצאה עמדת מחשב המחוברת לרשת העירייה שהייתה נגישה לכול, בייחוד משום שהיה אפשר להפעיל את המחשב ולעיין בכל מאגרי המידע המוזנים בו בהקשה של ססמה פשוטה (רצף מספרים עולה) שאינה עומדת בדרישות התקן."

ממצאים: אין תשתית, אין הנחיות, אין פרטיות מידע

הדו"ח מונה כשלים רבים נוספים, ביניהם בעיות באבטחת מידע בבתי הספר, היעדר היערכות לשעת אסון ואי-רישום מאגרים. בסופו של הדו"ח, קובע המבקר כי " כי לרשויות המקומיות עדיין חסרה התשתית לטיפול בנושא אבטחת המידע והגנת הפרטיות. ברוב הרשויות שנבדקו אין הנחיות מפורטות לטיפול שוטף בנושא; רובן פועלות ללא ממונה על אבטחת מידע כנדרש בחוק; מאגרי המידע שבהן אינם רשומים כנדרש; היקף פעולותיהן בתחומי ההדרכה והביקורת מצומצם.

על הרשויות המקומיות: לקיים פעולות בקרה בעניין אבטחת המידע והגנת הפרטיות, כדי לזהות פעולות חריגות או ניסיונות של גורמים בלתי מורשים לעשות פעולות כאלה; למנות לאלתר ממונים על אבטחת מידע כמתחייב מחוק הגנת הפרטיות; לגבש מסמך מדיניות בנושא אבטחת מידע, ולקבוע בו את תדירות ביצועם של סקרי סיכונים ומבחני חדירה; להקפיד לרשום ולנהל את כל מאגרי המידע שברשותן כנדרש בחוק; להקים ועדות להעברת מידע ולהכין נהלים ייעודיים בנושא העברת מידע בין גופים ציבוריים כפי שנקבע בתקנות הגנת הפרטיות; לעשות ביקורות על אבטחת מידע ועל הגנת הפרטיות ברשויות המקומיות באמצעות מבקרי הרשויות."

תגובות:

ממשרד הפנים נמסר:


נהלים - משרד הפנים אינו הגוף המקצועי ואין לו את הידע והמומחיות הנדרשים לצורך קביעת נהלים בנושא אבטחת מידע.

נושא זה אמור להיות מוסדר באמצעות הרשות למשפט טכנולוגי ומידע במשרד המשפטים ואשר בידיהם הכלים המקצועיים לגיבוש הנחיות בנושא.

משרד הפנים מוכן לשתף פעולה עם גוף מקצועי זה ככל יתבקש.

ביקורת ברשויות בנושא – אגף בכיר לביקורת ברשויות המקומיות ישקול לשלב ביקורות בתחום אבטחת מידע והגנת הפרטיות במסגרת ביקורות האגף ככל שיעמוד לרשות האגף תקציב לנושא.

ממשרד המשפטים נמסר:

מזה מס' שנים, הרשות למשפט, טכנולוגיה ומידע (רמו"ט) תומכת בצמצום חובת רישום מאגרי המידע ואף ביטולה במקרים מסוימים. לכן, רמו"ט ממשיכה לקיים את חובת הרישום, אך לא מבצעת פעולות אכיפה אקטיביות בנושא זה בלבד.

טרם התפרסמו תגובות

הוסף תגובה חדשה

בשליחת תגובה אני מסכים/ה
    לוגו - פיקוד העורףפיקוד העורף

    התרעות פיקוד העורף

      walla_ssr_page_has_been_loaded_successfully