לשיחה עם מומחה

בלוג

מבקר המדינה, חיפה ואבטחת מידע ברשויות המקומיות

הפרסומים האחרונים סביב דוח מבקר המדינה ועיריית חיפה מציפים מחדש את האתגר של הרשויות המקומיות: ניהול מידע, פרטיות, סיכוני סייבר, ספקים ותוכניות עבודה מסודרות.
תמונה של NISO The CISO
NISO The CISO

חיפה, מבקר המדינה והמסר לכל הרשויות המקומיות בנושא בטחון התושבים ואבטחת מידע.

הפרסומים האחרונים סביב דוח מבקר המדינה ועיריית חיפה מחזירים לשולחן נושא שרשויות מקומיות כבר לא יכולות להתייחס אליו כאל עניין טכנולוגי בלבד: ניהול מערכות מידע, אבטחת מידע והגנת פרטיות הם חלק בלתי נפרד מניהול עירוני תקין.

לפי הסיקור שפורסם בימים האחרונים, דוח הביקורת על השלטון המקומי מציג תמונה מורכבת ביחס לעיריית חיפה:
מצד אחד, צעדים חיוביים ותיקון ליקויים מהותיים.
מצד שני, כשלים בתחומי פרטיות, מערכות מידע וניהול סיכונים.

בין היתר דווח כי העירייה מינתה ממונה על הגנת הפרטיות באמצעות מיקור חוץ, אך עלה צורך בבחינה ברורה יותר של מנגנונים למניעת ניגודי עניינים.

בפרסום נוסף צוין כי הביקורת בחנה את תחום טכנולוגיית אבטחת המידע בעירייה, לרבות ממשל תאגידי, ניהול סיכונים, אבטחת מידע, התאוששות מאסון, שימוש בענן ציבורי ומיקור חוץ. לפי אותו פרסום, נמצאו ליקויים בניהול הרשאות, בתוכנית התאוששות מאסון, בכיסוי מערכות קריטיות ובפיקוח על ספקים חיצוניים.

הבעיה אינה רק חיפה

חשוב לומר בצורה ברורה: חיפה אינה הסיפור היחיד. היא רק דוגמה עדכנית ומוכרת לאתגר הרבה יותר רחב.

כבר בדוח מבקר המדינה בנושא ניהול מערכות מידע ברשויות המקומיות, צוין כי ברשויות מצטבר מידע אישי רב על תושבים, כולל פרטים מזהים, מידע רפואי, מידע רווחה, אמצעי תשלום, נתוני מיקום והרגלי תנועה. המבקר הדגיש כי מערכות המידע של הרשויות הפכו למוקד עניין עבור האקרים ופושעי סייבר, ולכן נדרש להגן עליהן כדי למנוע פגיעה ברציפות השירותים ודליפת מידע.

הנתונים מאותו דוח חיזקו את התמונה: 67% מהרשויות שנבדקו קיבלו ציון חוסן קיברנטי נמוך מ-60; 61% מהרשויות שהשיבו ציינו שאין להן תוכנית DRP/BCP; 34% לא העסיקו ממונה אבטחת מידע; ו-49% לא ביצעו מבדקי חדירה בשנים שנבדקו.

אבטחת מידע ברשות מקומית היא סוגיה ניהולית

רשות מקומית מנהלת היום מידע ותהליכים ברמה של ארגון גדול: גבייה, חינוך, רווחה, רישוי, מצלמות, פיקוח עירוני, מוקדים, ספקים, פורטלים, מערכות ענן ושירותים דיגיטליים לתושב.

כאשר אין תוכנית עבודה מסודרת, אין מיפוי נכסים ומידע רגיש, אין בקרה על הרשאות, אין נוהלי ספקים ואין תרגול התאוששות מאסון, הסיכון אינו נשאר במחלקת המחשוב. הוא עובר לשירות לתושב, לאמון הציבור, לרציפות העירונית ולחשיפה משפטית ורגולטורית.

זו בדיוק הסיבה שהשיח סביב חיפה חשוב לכל רשות מקומית. הוא מזכיר שהשאלה אינה האם קיימת מערכת אבטחה כזו או אחרת, אלא האם קיימת יכולת ניהולית כוללת: מי אחראי, מה נבדק, מה מתועד, איך מתעדפים סיכונים, איך מפקחים על ספקים, ואיך יודעים שהבקרות באמת עובדות.

מה רשויות צריכות לעשות עכשיו

הצעד הראשון אינו רכישת עוד מוצר. הצעד הראשון הוא יצירת תמונת מצב אמיתית.

רשות מקומית צריכה לדעת אילו מערכות קריטיות היא מפעילה, איזה מידע אישי ורגיש נשמר בהן, אילו ספקים נוגעים במידע, מי מחזיק בהרשאות גישה, אילו מערכות חשופות לאינטרנט, האם קיימת תוכנית התאוששות מאסון, ומתי בפעם האחרונה בוצע סקר סיכונים או מבדק חדירה.

לאחר מכן צריך לבנות תוכנית עבודה רשותית: מדיניות אבטחת מידע, נוהלי פרטיות, ניהול הרשאות, בקרה על ספקים, תרגול אירועי סייבר, בדיקות חדירה תקופתיות, הדרכות עובדים, ותהליך Governance שמחבר בין הנהלה, מנמ"ר, יועץ משפטי, ממונה פרטיות ומחזיקי המערכות.

איך אנחנו באינפוגארד יכולים לסייע

אינפוגארד מלווה רשויות, ארגונים ציבוריים וגופים מוניציפליים בבניית תשתית ניהולית ומעשית לאבטחת מידע, פרטיות וציות. המטרה אינה רק לעבור ביקורת, אלא לבנות יכולת שמחזיקה לאורך זמן.

שירותים המקצועיים שלנו:

מבקר המדינה, חיפה והאתגר הרחב של אבטחת מידע ברשויות המקומיות

הפרסומים סביב חיפה אינם רק סיפור מקומי. הם תזכורת לכך שרשויות מקומיות מחזיקות מידע רגיש, מפעילות שירותים חיוניים ונדרשות לעמוד ברף ניהולי גבוה יותר מבעבר.

בעולם שבו שירותים עירוניים הופכים לדיגיטליים, ספקים מחוברים למערכות ליבה, ואיומי סייבר משפיעים גם על שירות לתושב, אבטחת מידע ברשות מקומית היא כבר לא נושא IT.
זו אחריות ניהולית, ציבורית וארגונית.

רוצים לשפר את בטחון התושבים שלכם? דברו איתנו

המידע המוצג במאמר זה נועד למטרות מידע והעשרה בלבד ואינו מהווה ייעוץ מקצועי, רגולטורי, משפטי או טכנולוגי. כל ארגון נדרש לבחון את צרכיו, הסיכונים והדרישות החלות עליו באמצעות אנשי מקצוע מתאימים.
המאמר נכתב בשיתוף מומחי אבטחת המידע והסייבר של Infoguard מקבוצת IDOR, ונערך על ידי ROY KISCH, חובב אבטחת מידע, סייבר ומנהל השיווק של קבוצת חברות עידור (Messagent, Infoguard, Idornext).

Share

/ 5.

בלוג

הישארו תמיד צעד קדימה

בעולם דיגיטלי שמשתנה בקצב מהיר, ידע הוא שכבת ההגנה הראשונה. בבלוג של Infoguard תמצאו ניתוחים עדכניים, מדריכים פרקטיים ותובנות מקצועיות – כדי לעזור לכם ולארגון שלכם להיערך, להגן ולהוביל בבטחה.

  • אבטחת מידע, כל המאמרים

5 דק׳ קריאה

מבקר המדינה, חיפה ואבטחת מידע ברשויות המקומיות

הפרסומים האחרונים סביב דוח מבקר המדינה ועיריית חיפה מציפים מחדש את האתגר של הרשויות המקומיות: ניהול מידע, פרטיות, סיכוני סייבר, ספקים ותוכניות עבודה מסודרות.
קראו עוד
  • אבטחת מידע, כל המאמרים

5 דק׳ קריאה

הסיכון הכי לא מוערך בארגון שלכם כנראה לא נמצא רק ב-AI

ה-AI אינו בהכרח הסיכון הגדול ביותר. הבעיה האמיתית היא הפער בין קצב השינוי הטכנולוגי לבין יכולת הארגון להסתגל אליו.
קראו עוד
  • אבטחת מידע, כל המאמרים

5 דק׳ קריאה

כולם מזהירים מאותו דבר: האם התחום הפיננסי מוכן לעידן ה-AI?

ה-ECB, קרן המטבע, בנק ישראל ו-GFXC מצביעים על אותה מגמה: ה-AI משנה את כללי המשחק ומחייב ארגונים לבחון מחדש את ניהול הסיכונים שלהם.
קראו עוד
לכל המאמרים

לקבלת ייעוץ מקצועי, השאירו פרטים
ומומחי הסייבר שלנו יצרו איתכם קשר

ביטחון המידע שלכם מתחיל בשיחה אחת. אנחנו כאן כדי לתת מענה מקצועי, מהיר ואישי לכל שאלה, ייעוץ או פרויקט. משירותי CISO במיקור חוץ, דרך ניהול סיכונים ותקינה, ועד הדרכות עובדים ומבדקי חדירה. אנחנו מגיעים עם גישה פרואקטיבית של שותפים ונכנסים לעומק הארגון והמערכות, מבינים את האתגרים והרגולציה הרלוונטית, ובונים יחד תהליך הגנה שנותנים שליטה, מאפשרים שקיפות ויוצרים סביבה בטוחה יותר לאורך זמן.

אנו זמינים עבורכם לייעוץ מקצועי גם ב-Zoom

לקבלת ייעוץ מקצועי, השאירו פרטים
ומומחי הסייבר שלנו יצרו איתכם קשר

דברו איתנו

077-9011117

בקרו אותנו

השחם 1 פתח תקווה, 4951701 ת.ד 11058 בסר סיטי בניין C קומה 11

תכתבו לנו

sales@infoguard.co.il

לשיחה עם מומחה