דוח חריף במיוחד של מבקר המדינה פותח צוהר נדיר אל מאחורי הקלעים של הבחירות לרשויות המקומיות שהתקיימו בצל מלחמת "חרבות ברזל" בשנת 2024. חלק מממצאי הדוח כה חמורים עד כדי כך שלא הותרו לפרסום ולא הונחו על שולחן הכנסת כמקובל עקב סכנה ממשית לביטחון המדינה. כחלק מתהליך הבחירות מעובד מידע אישי רב, ובין היתר מידע בעל רגישות מיוחדת.
הדוח שפורסם החודש, מציג תמונת מצב מדאיגה בנוגע להיערכות מערכות המידע והגנת הסייבר ולתפעולן בתקופת בחירות. הביקורת, שהתבצעה בזמן אמת, חושפת שורת ליקויים חמורים המעוררים חשש לפגיעה בטוהר הבחירות ובאמון הציבור במוסדות הדמוקרטיים.
אחד הממצאים המרכזיים הוא היעדר תכנון סדור וניטור בזמן אמת של מערכות המידע הקריטיות ביום הבחירות. יחידת המפקח במשרד הפנים עשתה שימוש במערכות שלא נכללו בניתוח איומים וסיכונים, ללא מעטפת הגנה מתאימה וללא ניטור שוטף לזיהוי אירועי סייבר. יתרה מכך, לא הופעל מרכז שליטה ובקרה (SOC) מתכלל, מה שמנע קבלת תמונת מצב כוללת על אירועים חריגים שהתרחשו במערכות השונות.
הדוח מצביע גם על ליקויים חמורים בקשר להגנת פרטיות הבוחרים. הרשות להגנת הפרטיות לא ביצעה פעולות הסברה ואכיפה בקרב מקבלי פנקס הבוחרים, אף שמידע זה הופץ למספר רב יותר של מועמדים וסיעות בבחירות המקומיות, מה שמגביר את הסיכון לשימוש לרעה במידע האישי. הרשות הסבירה את מחדלה במגבלות המשאבים שברשותה בתקופת המלחמה. המבקר מדגיש כי דווקא בתקופה זו גובר הצורך בהגנה על המידע האישי ועל פרטיות הבוחרים.
ליקויים נוספים שזוהו, כוללים בין היתר, ניהול לקוי של הרשאות וסיסמאות, הגנה לא מספקת על תשתיות המחשוב, והשארת מחשבים וחומרים רגישים ללא השגחה במרכזי קליטה. בנוסף לכך, נעשה שימוש במערכת לניהול בחירות מיושנת, ללא בדיקה מוקדמת, למרות ידיעה על בעיות משמעותיות בה, מה שהוביל לתקלות ולעיכובים בהזנת תוצאות הבחירות ובפרסומן.
המבקר מציין גם את היעדר שיתוף הפעולה בין ועדת הבחירות המרכזית לכנסת לבין ועדת הבחירות לרשויות המקומיות, מה שהוביל לבזבוז משאבים ולכפילות בפיתוח ותחזוקת מערכות מידע דומות. הוא עוד ממליץ על שיתוף פעולה בין הגורמים שתתרום ללימוד הדדי, שיפור תהליכים וצמצום סיכונים לפגיעה בטוהר הבחירות.
הדוח מדגיש את הצורך הדחוף בהקמת גורם הסדרתי שימונה על ידי המדינה ותפקידו להנחות את הרשויות המפוקחות בתהליך הבחירות לרשויות המקומיות בתחומי אבטחת המידע והגנת הסייבר, ולוודא עמידה ברמת אבטחת מידע ראויה. ללא צעדים משמעותיים לשיפור ההיערכות לאבטחת המידע, קיים חשש ממשי לפגיעה בזכות הדמוקרטית לבחור ולהיבחר, ולערעור האמון הציבורי בתהליך הבחירות.
נוכח הממצאים החמורים שהועלו בדוח המבקר, קיים צורך בהטמעה אפקטיבית של החובה למנות ממונה על הגנת הפרטיות (DPO) בכל רשות ציבורית, ובכלל זה ברשויות המקומיות ובשורת גופים ציבוריים המעורבים בניהול הבחירות, וזאת בהתאם לתיקון 13 לחוק הגנת הפרטיות. תפקידו של ה-DPO הוא פיקוח ואבטחת עמידה בהוראות חוק הגנת הפרטיות והתקנות מכוחו (לרבות תקנות אבטחת מידע), לרבות בבחינת תהליכי איסוף, עיבוד, העברה ושמירה של מידע אישי. החוק מחייב שהממונה יהיה בעל ידע מקצועי וניסיון רלוונטיים בתחומי הפרטיות ואבטחת המידע, ובעל הכשרה בתחום הגנת המידע. מינוי DPO ראוי, עצמאי ובעל הכשרה מתאימה הוא תנאי יסוד לקיומם של מנגנוני בקרה פנימיים אפקטיביים שיכולים למנוע את הליקויים שהמבקר מצביע עליהם במערכת השלטון המקומי וברשויות המקומיות גם יחד, ולהבטיח שמירה נאותה על פרטיות האזרחים גם בעת מערכות בחירות.
