דו"ח המבקר: המידע שלכם ברשויות לא מוגן

בסרט משימה בלתי אפשרית נתלה טום קרוז באוויר ובסצינה מותחת תפס אגל זיעה, שמא ייפול על החיישנים המתוחכמים שבחדר המחשב, בשביל לפרוץ למחשב. רוברט רדפורד התאמץ פחות בשביל להגיע לחדר נעול ומוגן בסרט סניקרס, ופשוט בעט בדלת.

בשביל לצפות במידע אישי על תלמידים ודו"חות שכר של עובדי בית ספר בחלק מהרשויות המקומיות, צריך להתאמץ אפילו פחות מזה: מספיק להיכנס לחדר הנכון ולשלוף את המידע בתדפיסים או במדיה אלקטרונית. כך עולה מדו"ח מבקר המדינה האחרון שמתפרסם היום (ג') בפרק על הרשויות המקומיות. בחמישה חדרי מחשב שנבדקו "אין דלת פלדלת ובשלושה אין סורגים", לפי הדו"ח.

הגיבוי נמצא בתיק ולא נעול

משרד מבקר המדינה בדק את סוגיית אבטחת המידע והגנת הפרטיות באגפי החינוך בשתי רשויות מקומיות ובתשעה בתי ספר בשלוש רשויות (יהוד-מונוסון, יקנעם עילית ואשקלון), ומצא שהרבה מהמידע האישי והרגיש הזה וכן הגיבויים שלו, אינו מוגן באמצעים פיזיים כנדרש בחוק הגנת הפרטיות. "האמצעי שעליו מגובה המידע אינו נשמר בכספת, באחד מבתי הספר המזכירה שומרת אמצעי זה בתיקה האישי", נכתב בדו"ח. עוד קובע הדו"ח כי משרד החינוך לא אכף את ההנחיות שלו, וכי בי הספר לא עמדו בדרישות החוזר והחוק להגנה על המידע ורישום המאגרים אצל רשם מאגרי המידע. מהדו"ח עולה גם כי לא עודכנו תוכנות אנטי וירוס, וסיסמאות למערכות ממוחשבות לא הוחלפו כלל, למרות שיש הוראה בחוזר מנכ"ל להחליפן פעמיים בשנה. 

לפי דו"ח המבקר, משרד החינוך השיב באוקטובר האחרון כי "הוראות חוק הגנת הפרטיות, התשמ"א-1981, אינן חלות על מידע או על מאגרי מידע שאינם ממוחשבים" ועוד הגיב למבקר כי "מכיוון שהתבקש להעביר את הדיווחים (למשרד המשפטים - א.ק.) בפורמט אלקטרוני ולא בדיווחים ידניים, הוא נאלץ לפתח מערכת, ופיתוחה הסתיים לפני כחצי שנה (כלומר באפריל 2011 - א.ק.)".

בנוגע לאבטחה הפיזית, משרד החינוך העביר את האחריות לרשויות המקומיות וכתב שהן אחראיות "לרכישה, תחזוקה ובדיקה של מבנים וציוד פיזי בבתי הספר, לרבות אבטחתם הפיזית".

במגירות שאי אפשר לנעול

בעיות האבטחה לא נוגעות רק לבתי הספר, אלא גם לרשויות המקומיות ולכלל התושבים. "מידע אישי הנוגע לבריאותם של תושבים או למצבם הכלכלי או האישי מוחזק בארונות פתוחים, בכונניות ובמגירות שאינן ניתנות לנעילה", קובע הדו"ח. כלומר אם פניתם פעם לעיריה בענייני רווחה או עניינים אחרים ופרטיכם נכתבו, הודפסו או נשמרו - ניתן לגשת אליהם בקלות. כך דו"חות פרטיים של עובדים סוציאלים ושל פסיכולוגים למעשה חשופים. הבדיקה כללה את הרשויות המקומיות של אשקלון, יהוד-מונוסון, בני ברק, טירה, יקנעם עילית, בני עי"ש ורמת ישי.

 "במשך שנים לא קבע משרד הפנים מדיניות לאבטחת המידע ולהגנת הפרטיות ברשויות המקומיות", נכתב בדו"ח, "לא הניח את התשתית לטיפול בנושא; ולא פעל לקביעת הנחיות בתחום זה, אף שכבר בשנת 1996 תוקן חוק הגנת הפרטיות". הרשות למשפט, טכנולוגיה ומידע שבמשרד המשפטים לא הטילה קנסות על רשויות מקומיות ולא ביצעה את תפקידה באכיפה, על פי המבקר.

המשרד מצידו, גלגל את האחריות אל הרשות לטכנולוגיה ומידע ובתגובה מטעם המשרד נכתב כי הוא "אינו הגוף המקצועי בעל הידע והמומחיות הנדרשים לצורך קביעת נהלים בנושא אבטחת מידע". מדוע, אם כך, משרד הפנים לא פנה מיוזמתו לרשות וביקש סיוע? מבקר המדינה תוהה גם על כך.

מבקר המדינה ממליץ לרשויות המקומיות "לקיים פעולות בקרה בעניין אבטחת המידע והגנת הפרטיות, כדי לזהות פעולות חריגות או ניסיונות של גורמים בלתי מורשים לעשות פעולות כאלה; למנות לאלתר ממונים על אבטחת מידע כמתחייב מחוק הגנת הפרטיות; לגבש מסמך מדיניות בנושא אבטחת מידע, ולקבוע בו את תדירות ביצועם של סקרי סיכונים ומבחני חדירה".