מאמרים:

2025 - עיר ללא סיכונים?

27 מרץ 2019

רו"ח עדי יונגר-נוה, מנהלת תחום ביקורת פנימית ברשויות המקומיות |
אילן אנג'ל , ראש קבוצת בקרה, BDO Consulting |
בקצרה

2025 מעבר לפינה, הרובוטים כבר כאן ומתכוונים להישאר, אנחנו המבקרים צריכים להתעורר. חזון העיר החכמה אשר יוביל אורבניות מתחדשת, רובוטיקה, קידמה וטכנולוגיה חושף את הרשויות המקומיות לעולם סיכונים דינאמי, מגוון ומתחדש. אנחנו המבקרים צריכים לשנות את גישת הביקורת הפנימית ואת הבקרות המוטמעות בתהליכי העבודה וליישם בקרות חכמות ומתוחכמות על מנת על מנת לבלום את המועלים ולהקדים תרופה למכה. בעזרת כלי ביקורת מתוחכמים, כלי בינה מלאכותית (BI), כלי הגנת סייבר, הנדסת אנוש ועוד נוכל להיערך בהתאם.  

2025 כבר נמצאת מעבר לפינה, ותהליך העיור בעולם כולו הגיע לשיאים חסרי תקדים. על פי הערכות האו"ם, בשנת 2050, 66% מאוכלוסיית העולם צפויה להתגורר בערים. עובדה זו, ביחד עם שינויים טכנולוגיים, חברתיים וסביבתיים, מביאה לפתחן של רשויות מקומיות אתגרים חדשים רבים ומורכבים.  העיר של העתיד נדרשת לבחון מחדש את תפקידה בעולם דינאמי זה ולהתאים את עצמה לצרכים המשתנים של תושביה. כחלק מתהליך זה, עיריות רבות מאמצות את מודל העיר החכמה כחזון לשנים הקרובות, וחלקן כבר התחילו ליישמו בפועל.

בבסיסו של מודל העיר החכמה נמצא העיקרון של שימוש בכלים ופתרונות טכנולוגיים, לרבות טכנולוגיות מידע, לצורך ייעול השירותים העירוניים, ובאותה העת שיפור השירות, הנגשת מידע לתושבים ושיתוף פעולה בין הרשות לתושבים באמצעות פלטפורמות טכנולוגיות לצד הרחבת המפגשים והשיח הבלתי אמצעי.

אך לצד יתרונותיהן, ערים עתידניות שמאמצות את מודל העיר החכמה חשופות לסיכונים מורכבים חדשים ומרובים, עם פוטנציאל נזק הרבה יותר גבוה מבעבר. לאור זאת, לרשויות מקומיות, כישויות המספקות שירותים מהותיים לציבור, קיימת מחויבות מוגברת לבצע תהליך מתמיד של ניהול סיכונים.

בקרות פנימיות הינן חלק ממערך ההגנה  של הרשויות המקומיות לגידור סיכונים והן מהוות חלק בלתי נפרד מניהול הסיכונים של הארגון.

במסגרת מאמר זה נסקור כמה מהסיכונים המרכזיים אליהן חשופות רשויות מקומית ונתייחס לבקרות שיכולות לסייע במיגורם.

 

מתקפות סייבר ופריצה לתשתיות

מטבען, הרבה מהתשתיות והשירותים בערים חכמות מרושתות ומבוססות על מנגנונים טכנולוגיים שונים. עובדה זו הופכת את העיר לפגיעה במיוחד לפריצות ומתקפות סייבר. תחבורה, אנרגיה, חשמל, מים, מערכות בריאות – תשתיות אלו בעיר החכמה מרושתות כולן, ופוטנציאל הנזק ממתקפת סייבר על תשתיות קריטיות כאלו הוא עצום. לדוגמה, בשנת 2016 האקרים הצליחו לחדור לתשתיות החשמל באוקראינה, והובילו להחשכה שהשפיעה על כ-225,000 תושבים.

במקרה אחר, פריצה לרשת מחשבים במערכת החינוך של המועצה המקומית חוף אשקלון הובילה לתשלום של עשרות אלפי שקלים שנדרשו ככופר לצורך שחרור הרשת על ידי האקר. 

אחד מהפתחים הנוחים ביותר לניצול על ידי האקרים לצורך פריצה לתשתיות ציבוריות הינו חולשה בבקרות סייבר כגון היעדר הצפנה או אימות זהות, אבטחת סיסמאות חלשה ועוד. לאור פוטנציאל הנזק, אבטחת סייבר הינה מהאתגרים הגדולים ביותר הניצבים בפני רשויות מקומיות כיום, והרשויות המקומיות נדרשות לבצע פעולות לחיזוק ההגנה שלה מפני איומי סייבר, כגון סקר סיכוני סייבר ומבדקי חדירה תקופתיים, העסקת מומחים להגנת סייבר, שימוש באלגוריתמים ואמצעים טכנולוגיים מתקדמים לחשיפת חולשות סייבר ועוד.

הנהלת הרשות המקומית נדרשת למפות את תשתיות המידע (מאגרים, מערכות) המהווים את הנכסים העירוניים, לדרגם ולהשקיע את המשאבים הנדרשים במניעה / צמצום הסיכונים לפגיעה בראש ובראשונה בהם.

 

ניהול יעיל של העיר החכמה

עם התפתחות השימוש באמצעים טכנולוגיים כחלק מפעילותן של הרשויות המקומיות, כך גם עולה המורכבות בתפעול הרשות וגוברים הסיכונים הכרוכים בפעילות זו. לכן, ניהול הרשות המקומית נדרש להיות אפקטיבי ומיומן יותר במודל העיר החכמה. התפקוד של הרשות המקומית נסמך במידה רבה על טיב ניהול התשתיות והמערכות העירוניות, ולא רק על הביצועים של מערכות אלו. סקרים מראים כי 85% מהפרויקטים בתחום מערכות מידע נכשלים כתוצאה מחוסר יכולת להתמודד עם אתגרים לא טכנולוגיים שקשורים בפרויקט ובעיקר אתגרים שקשורים למדיניות, הנהלה וסוגיות ארגוניות.

כמו כן, האתגרים של עובדי הרשות המקומית הופכים גם הם להיות מורכבים יותר ככל שגובר השימוש באמצעים טכנולוגיים וכך גוברת החשיפה לסיכוני כוח אדם וטעויות אנוש. לאור זאת, גובר הצורך בשימוש במנגנוני בקרה יזומים ואוטומטיים כחלק מתהליכי העבודה ברשות המקומית, כגון בקרות ממוחשבות, הטמעת נהלי עבודה מסודרים, שימוש בדוחות ניהוליים, הפרדת תפקידים ובקרות הדדיות, ביקורות תקופתיות לפי נושאים ועוד.

 

הגנה על פרטיות המידע

אחד מהמאפיינים של העיר החכמה הוא איסוף וניהול מידע, שיתופו עם הציבור ושימוש בו לצורך למידה על דפוסי התנהגות והתאמת השירותים העירוניים לצרכי הציבור. ערים רבות כבר מנהלות בסיסי מידע עצומים של נתונים שנאספים באמצעות מערכות המידע העירוניות, רשתות של מצלמות אבטחה, חיישנים (חניה, אשפה, זיהום אוויר ורעש ועוד). נושא זה הינו שינוי במחלוקת בשיח הציבורי בעולם כולו, שכן מעבר לניהול מידע לצורך שיפור יעילות השירותים העירוניים, תשתיות איסוף וניהול המידע מאפשרות לרשויות לבצע מעקב של ממש אחר הפרט.

במקביל לסיכון הישיר של פריצות באבטחת המידע, קיים סיכון רגולטורי נלווה הנובע מהרגולציה החדשה שנקבעה בשנים האחרונות בעניין שמירה על פרטיות המידע. בשל מאגרי המידע הרבים שהן מנהלות, הכוללים גם מידע פרטי, הרשויות העירוניות נדרשות להקפיד על ציות לרגולציה החדשה באמצעות אימוץ נהלי עבודה רלוונטיים והיעזרות ביועצים משפטיים עם מומחיות בתחום. 

 

כשלים טכנולוגיים

על מנת לאפשר את מימוש חזון העיר החכמה, יש צורך בפיתוח תוכנה ותשתיות טכנולוגיות מתאימות. עם זאת, בתהליכי פיתוח תכנה, קיים סיכון אינהרנטי שלא ניתן להביא למניעתו המוחלטת, והוא אפשרות קיומן של כשלים ותקלות . כאשר התשתיות העירוניות מבוססות על מערכות מידע, הרשות המקומית חשופה תמיד במידה כזו או אחרת לכשלים בלתי צפויים במערכות המידע שעלולים להוביל להשבתת פעילותה בתחום מסוים.

אתגר נוסף בהקשר זה כרוך בהתמודדות עם הופעתם של כשלים ותקלות. עם התרחשותו של כשל בלתי מוסבר במערכת, יש צורך לזהות את התקלות על מנת לאפשר איתור פתרון וחזרה לעבודה תקינה של המערכת. אך לא תמיד אפשרי לזהות את התקלות, ונדרשות לפעמים בדיקות אינטנסיביות על מנת להבין את רצף הפעולות שמובילות להתרחשותו של הכשל. 

כך למשל, בשנת 2003, באג בתוכנה בחברת חשמל בארה"ב הוביל להחשכה שהשפיעה על 45 מיליון אנשים בשמונה מדינות שונות בארה"ב ועוד כעשרה מיליון אנשים בקנדה. חוסר היכולת להביא לפתרון מידי של הבאג הוביל להימשכות ההחשכה במרבית המקומות לפרק זמן של יומיים שלמים, ובמקומות אחרים לתקופה של עד שבועיים ללא חשמל. ההחשכה הובילה לבעיות חמורות בתשתיות נוספות שנסמכו על אספקת חשמל, וכ-100 מקרים של מוות נגרמו כתוצאה מהאירוע.

בנוסף, ריבוי מערכות מידע, תוכנות ואפליקציות למחלקות השונות ברשויות המקומיות דורשים קיומם של ממשקים רבים. קיימים מקרים רבים בהם הממשקים אינם מיטביים ועלולים לחשוף את בעלי התפקידים וגורמי הנהלה להסתמכות על נתונים שאינם מהימנים ולקבלת החלטות שגוייה כפועל יוצא. כך לדוגמה, בעקבות ממשקים שאינם מיטביים בין מערכות מידע יכולים להיווצר מספר מסדי נתונים שאינם מסונכרנים באופן חד ערכי, מערכות מידע מדורות שונים שאינן יודעות לתקשר זו עם זו ועוד.

מבקרים פנימיים נדרשים להתייחס במסגרת תוכנית העבודה למיפוי מערכות מידע, תוכנות ואפליקציות קיימות ומיפוי ממשקים שאינם מיטביים ולשים דגש על שלמות הנתונים, סנכרון הנתונים, רצף של תהליכי עבודה ועוד.

 

מסקנות

רשויות מקומיות בעידן המודרני נהנות מיתרונותיה הרבים של הקדמה הטכנולוגית, כפי שבא לידי ביטוי במודל העיר החכמה העושה שימוש בטכנולוגיה לצורך שיפור השירותים העירוניים והפיכתם לאישיים יותר ורלוונטיים יותר בעבור תושביהן. יחד עם זאת, רשויות מקומיות חשופות לסיכונים מורכבים הכרוכים בין היתר באימוץ מודל העיר החכמה. המבקר הפנימי נדרש לכוון את תוכנית העבודה שלו, בין היתר, בהתבסס על בחינת תכנון אסטרטגי ותוכניות העבודה של הרשות המקומית לרבות התייחסות לנכסי מידע, מערכות מידע, סייבר וכן להטמיע בקרות פנימיות המתייחסות להיבטים של טכנולוגיה, משאבי אנוש, תרבות ארגונית ועוד.