דו"ח מבקר המדינה האחרון, חשף כשלים חמורים ברשויות המקומיות, בכל הקשור לשמירה על המידע שלנו. כשלים חמורים בשמירה על המידע, מאגרי מידע רגישים חשופים, התכנות ממשית לכך שכל המידע המצוי עלינו ברשויות ידלוף לרשת, ואף מקרים בהם האיום התממש ורשויות שמידע היה מצוי במערכות שלהן אכן מצא את דרכו לרשת. ממש כך.
בידי הרשויות המקומיות מידע רב על אזרחיהן. מאגרי המידע של הרשויות עוסקים בנושאים חשובים ורגישים כמו חינוך, רווחה, כספים, תכנון ובניה, רישוי עסקים ואף נושאים כמו תברואה, חניה, אכיפה וכוח אדם. יותר מכך, רשויות רבות מחזיקות היום את תוצרי הצילום פרי מצלמות האבטחה המפוזרות ברחבי העיר. כל זה יכול להפוך יום אחד נגיש לכל דורש. כך עולה מדוח המבקר. הרשויות שנבדקו, נטען שם, לא טורחות לשמור על המידע שלנו.
חמור מכך, דוח המבקר מתאר ריב רשויות תמוהה בשאלה, מי צריך לפקח על הרשויות – הרשות להגנת הפרטיות במשרד המשפטים, אשר הפיקוח על כל המדינה מוטל עליה, או משרד הפנים, האחראי על הרשויות המקומיות.
לפני פחות משנה, בחודש מרץ האחרון, קיבלה הכנסת תקנות אבטחת מידע חדשות, העתידות להיכנס לתוקף בראשית חודש מאי הקרוב. על פי תקנות אלה נדרש כל גורם המחזיק במידע רגיש, לערוך שורה ארוכה של פעולות על מנת להבטיח את ההגנה על המידע. כל גורם, החל מבנקים או בתי השקעות ועד עסק קטן. כך, למשל, בעת הדיונים בכנסת באישור התקנות דיברו על הקוסמטיקאית הקטנה שגם לה יש מאגר מידע רגיש החייב בקיום הוראות האבטחה.
הוראות התקנות החדשות לא נכנסו לתוך ואקום. יש הוראה ברורה בחוק הגנת הפרטיות הקובעת חובה לאבטח את המידע והיו הוראות גם במסגרת תקנות ישנות יותר. וכך, בעוד שכל הגופים בארץ טורחים על התאמתם לתקנות החדשות לקראת חודש מאי הקרוב, אנו למדים מדוח המבקר שהרשויות, לא רק שלא הולכות בראש המחנה ומפגינות דוגמה אישית לאזרח, הן פשוט עושות לנו אצבע משולשת ולא מתרגשות כלל מהאקלים החוקי המשתנה.
חמור מכך. ברשויות רבות מדברים היום על עיר חכמה, על עיבודי מידע חוצי מאגרים – דאטה מאינינג – על האזרח. והכל כדי להדביק את הקדמה בתחום – "לרווחת האזרח" – יאמרו לך. מה יהיה אם כל הקדמה הזאת תדלוף גם לרשת? איבוד שליטה.
אין ספק שהמצב ברשויות צריך, לכן, להדאיג כל אחד מאיתנו. החוק קובע אחריות אישית של מנהלי ארגונים על הפרתו. האם צריך להכניס ראש עיר או מנכ"ל עירייה לכלא, כדי שהמידע שלנו לא יהיה הפקר?
חמורה לא פחות תגובת משרד הפנים לממצאים. "הפיקוח בנושא הוא לא האחריות שלנו", טענו שם והפנו אצבע מאשימה לעבר הרשות להגנת הפרטיות במשרד המשפטים, רשות שהיקף כוח האדם שלה הוא בין 40 ל-50 עובדים ועושה נפלאות לקידום ההגנה על הפרטיות בארץ, בצנעה ובתקציב מצומצם.
כמה עובדים יש במשרד הפנים אין לדעת, הנתון לא פורסם מעולם. כמה מאות. מה התקציב של משרד הפנים? גם את זה לא קשה לנחש – תקציב עצום, קיבלו כמעט כל מה שביקשו ממשרד האוצר. אז איך אין שם את החוצפה לטעון, שזה לא התפקיד שלהם לפקח על הרשויות בנושא כל-כך חשוב כמו אבטחת מידע?
יותר מכך. משרד הפנים הוא גם זה שמחזיק בכל המידע הביומטרי שלנו, פרי התעודות הביומטריות המופקות כיום, דרכונים ותעודות זהות. אם לא יודעים שם לפקח על אבטחת המידע ברשויות המקומיות, מפחיד לחשוב מה קורה להם בבית, במערכות שלהם עצמם. שלא נמצא יום אחד גם את המידע הביומטרי שלנו פרוץ לרשת.
