דוח מבקר המדינה מתניהו אנגלמן לשנת 2024 כנראה לא ירעיד את המדינה, וספק אם יזכה ביותר מאייטם קטן במהדורות המרכזיות.
מבלי להפחית מחשיבותם של הנושאים שבהם בחר המבקר לעסוק, קשה להאמין שזו התוצאה שהצליח להפיק אחרי שנה של עבודה – היות ומדובר בדוח שנתי, כאשר עומד לרשותו משרד בעל אמצעם וסמכויות, ועל רקע העובדה שאיים של שחיתות קיימים היום בחברה הישראלית בכמויות ובהיקפים מדאיגים.
בכל אופן, בחלוף שנה של עבודה, ולמרות הנושאים האפורים, ישנם גם כמה ממצאים ששווים זרקור.
כך למשל, מבדיקת מבקר המדינה עולה סכנה אמיתית שגורמי סייבר יוכלו להשפיע על תוצאות הבחירות ברשויות המקומיות, במידה והפרצות שחשף המבקר לא יטופלו עד לבחירות הבאות.
עניין הסייבר חדש יחסית בהקשר של בחירות מקומיות, שכן התופעה היתה פחות נפוצה בבחירות הקודמות בשנת 2018, ובשנים האחרונות חלה התפתחת טכנולוגית משמעותית, שבעקבותיה גם אירועי הסייבר התרבו.
המבקר מצא ש"אין גורם הסדרתי מדינתי מתכלל בתחום אבטחת המידע והגנת הסייבר שתפקידו להנחות את תהליך הבחירות לרשויות המקומיות בכללותו, על כלל הגופים, המערכות, התשתיות והממשקים ביניהן, ולוודא כי הן עומדות ברמת הגנה ראויה".
זאת, לדברי המבקר, "על אף שמדובר בפרויקט לאומי בעל השפעה רבה על הציבור בכללותו, החברה והמשק, שכולל שימוש במערכות מידע שפגיעה בהן עלולה לגרום לדלף מידע רגיש על מיליוני אזרחים, לפגיעה באמינות המידע שבמערכות, לפגיעה ברציפות התפקודית של המערכות ומשכך גם לפגיעה תודעתית בסמלי המדינה ובדמוקרטיה".
פנקס הבוחרים
עניין הפרטיות ואבטחת המידע מגיע לאבסורד בכל הנוגע לפנקס הבוחרים. מתברר שהרשות להגנת הפרטיות פרסמה נהלים לגבי מותר ואסור בנוגע למאגר הנתונים בפנקס, אלא שהיא פרסמה אותם חודשיים לאחר שכבר הופצו לגורמים רבים.
"הרשות להגנת הפרטיות פרסמה הנחיות רק בספטמבר 2023, וכן הנחתה את יחידת המפקח להעביר הנחיות אלו למקבלי הפנקס באיחור, שכן הדבר נעשה יותר מחודשיים לאחר המועד שמועמדים היו רשאים לקבל את פנקס הבוחרים, כך שממילא מידת הרלוונטיות שלהן היתה מוגבלת משום שייתכן שבמועד זה כבר נעשה שימוש במידע שלא בהתאם לתקנות", כותב המבקר.
אשר ליום הבחירות עצמו, מתברר שיחידת המפקח השתמשה במערכות מידע מסוימות כדי לוודא שאין אירועי סייבר אלא ש"לא נבחנה ולא הוגדרה מעטפת הגנה מתאימה למערכות אלה, הן לא נבדקו מבחינת היבטי אבטחת מידע והגנת הסייבר לצורכי הבחירות והן לא נוטרו בזמן אמת כדי לזהות אירועי סייבר".
עוד מצא המבקר כי "לא היה גורם מתכלל שעמדה לרשותו תמונת המצב השלמה ויכל, בין היתר באמצעים ממוחשבים, לזהות קשרים בין אירועים חריגים המתרחשים במערכות השונות. נוסף על כך, הגדרת איומי הייחוס שגיבש משרד הפנים בשיתוף עם מערך הסייבר הייתה חסרה ולא כללה התייחסות לכלל האיומים שעשויים להסב נזק חמור לתהליך הבחירות. כמו כן, נמצאו ליקויים במערכות נוספות ובניטור".
בהתייחס לנושא הבחירות המקומיות, המבקר אנגלמן מדגיש שמצא כי "מערכות המידע של הבחירות המוניציפליות הינן מיושנות, פעולות מבוצעות באופן ידני והדבר מהווה נקודת תורפה משמעותית בשמירה על לטוהר הבחירות".
בינתיים ברמ"י
אולי בהשראת נושא הסייבר בבחירות לרשויות המקומיות, במשרד המבקר בדקו גם את אבטחת המידע ואבטחת הסייבר ברשות מקרקעי ישראל (רמ"י).
הרשות מחזיקה נתונים אישיים רבים וכן מידע רגיש על נכסי מקרקעין, אך השמירה עליהן היא ממש לא הרמטית, והתגלו פרצות משמעותיות שעלולות לגרום לדליפת מידע לגורמים שלא היו אמורים להיחשף אליו.
13 ליקויים התגלו במהלך הביקורת, שניים מהם הוגדרו "בינוניים" ו-11 "קלים".
על פניו, הפרק הזה בדוח המבקר קצר ודל במיוחד, אך במשרד הוסיפו הערה המדגישה כי לא כל הנתונים פורסמו בשל ענייני סודיות מתבקשת הנדרשת בנושאי ביטחון לאומי: "ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח על שולחן הכנסת ולא לפרסם חלקים מפרק זה לשם שמירה על ביטחון המדינה".
במשרד המבקר עשו גם מעקב אחר נושא שנבדק בשנת 2021 – היבטים בשירות לציבור ברשות מקרקעי ישראל. במשרד חזרו עתה לבדוק האם המלצות הביקורת באותו דו"ח יושמו.
הבדיקה החוזרת גילתה די כצפוי שחלק מהליקויים תוקנו וחלקם לא.
כך, למשל הרשות ספגה ביקורת קשה על כך שאין לה אמנת שירות. הכוונה ל"משך הזמן שהגוף הממשלתי מתחייב לו לסיום תהליכי הטיפול בפניות הלקוחות בנוגע לכל שירות". הביקורת החוזרת מצאה שעדיין אין אמנה כזאת. כלומר: הליקוי לא תוקן.
לגבי טפסים מקוונים, המבקר מצא בשנת 2021 כי רק ארבעה אחוז מהטפסים ניתנים לביצוע באופן מקוון. בביקורת הנוכחית נמצא ש"הליקוי תוקן בצורה מועטה", וכעת ניתן לבצע 22 פעולות באופן מקוון, מתוך 70 פעולות שניתן היה להמיר לטכנולוגיה כזאת.
מבחינת טיב השירות לציבור, המבקר מדרג את רמ"י במקום השביעי מתוך שמונה, ואף דואג להדגיש שהם "במקום הלפני אחרון".
בהודעה רשמית שהוציא משרד המבקר, הוא תוקף את התנהלות רמ"י באומרו: "רמ"י נותרה בתקופת האבן". הנתונים: "70 אחוז מהפעולות באתר אינן מקוונות ובמערכות מסוימות איומי הסייבר אינם מטופלים כנדרש למרות רגישות המידע על אזרחי ישראל המצויות בהן".
