הכנסת העשרים

מושב שני

פרוטוקול מס' 345

מישיבת ועדת הכספים

יום שלישי, ט"ז באייר התשע"ו (24 במאי 2016), שעה 11:30

תקנות הפיקוח על שירותים פיננסיים (קופות גמל) (איסוף גישה ובקרה בעת איחוד חשבונות) (הוראת שעה), התשע"ו-2016

חברי הוועדה: משה גפני – היו"ר

מיכל בירן

יצחק וקנין

מיקי לוי

אורלי לוי אבקסיס

רחל עזריה

מיקי רוזנטל

רו"ח הראל שרעבי - סגן בכיר לממונה על שוק ההון ביטוח וחסכון, משרד האוצר

שלי סבן - מנהלת מחלקת הפנסיה, אגף שוק ההון, משרד האוצר

עו"ד דודי קופל - הלשכה המשפטית, משרד האוצר

אריה סיקסק - מנהל תחום אבטחת מידע וסייבר, משרד האוצר

עו"ד ליאת בן מאיר שלום - מחלקת ייעוץ וחקיקה, משרד המשפטים

עו"ד נופר אשקלוני - מחלקת ייעוץ וחקיקה, משרד המשפטים

רפאל (רפי) דורפמן - סמנכ"ל ביטוח חיים וחסכון ארוך טווח, איגוד והתאחדות חברות הביטוח

לרשימת השדלנים שנכחו בדיון – ראו בקישור זה.

שגית אפיק

אייל לב ארי

עדי עמיתי (מתמחה)

טמיר כהן

אירית שלהבת

תקנות הפיקוח על שירותים פיננסיים (קופות גמל) (איסוף גישה ובקרה בעת איחוד חשבונות) (הוראת שעה), התשע"ו-2016

אני פותח את ישיבת ועדת הכספים. אני מודה לחבר הכנסת יצחק וקנין שמילא את מקומי בישיבה הראשונה. אני מודה לך על ההתנהלות, תודה רבה. אנחנו עוברים לתקנות הפיקוח על שירותים פיננסיים (קופות גמל) (איסוף גישה ובקרה בעת איחוד חשבונות) (הוראת שעה), התשע"ו-2016.

העברנו את החוק על איחוד חשבונות כאשר יש חשבונות רדומים וזה עובר לחשבון פעיל אחד. זה חוסך כסף למי שמשלם סתם עלות על קופות שאינן פעילות. אגב, לאחרונה בכנס קיסריה דורית סלינגר השתבחה בחוק הזה. בסדר, אנחנו תמיד עומדים לשירותכם.

ביקשנו שיהיו התקנות מכיוון שיש בעיה גדולה – גם בחוק עצמו הכנסנו את זה – שבמטרה הטובה שבאיחוד החשבונות לא תהיה זליגת מידע. אנחנו בוועדה רגישים לזה מאוד, שלא יותר מדי אנשים יהיו מעורבים בזה, שיוכלו אחרי כן בדרך אגב או אפילו לפעמים שלא בדרך אגב להוציא מידע. זה חופש הפרטיות של מי שהוא בעל הקרנות הללו. המטרה החשובה כאן לעשות הכול על מנת שלא תהיה פגיעה בפרטיות. אלה התקנות שאנחנו דנים עליהן עכשיו. מי מציג אותן?

אני מהלשכה המשפטית במשרד האוצר. כפי שהיושב-ראש ציין, מדובר בתקנות שמסדירות עניינים שקשורים לאבטחת המידע, לשמירת המידע, למורשי גישה למידע. אני צריך לציין שהתקנות האלה נעשו בשיתוף פעולה עם מחלקת ייעוץ וחקיקה ועם הרשות למידע וטכנולוגיה במשרד המשפטים.

אפשר לפנות להקראת התקנות עצמן. אני יכול להסביר בכמה מילים.

הוא שאל אם נעבור להקראה. אנחנו רוצים קודם כול לדון אם יש סעיפים בעייתיים.

בסדר, אפשר לעבור להקראה ולציין את הסעיפים הבעייתיים.

אין בעיה עם זה. כל האיחוד הזה הוא לטובת הציבור.

אבל יש פה חשש לפגיעה בפרטיות.

הבעיה היא שלא תהיה פגיעה בפרטיות, לצמצם את הנזק הזה.

יש לי שאלה. שוב אנחנו נותנים שיק פתוח, שהממונה על אבטחת המידע יקבע את הכללים. למה אתם לא מביאים את זה לפה? המטרה שלנו שנעשה פיקוח פרלמנטרי.

את מדברת על הנוהל. עוד נגיע לסעיף הזה.

שוב אנחנו נותנים שיק פתוח.

צריך להוסיף את זה, חייבים להוסיף את זה. זו הערה חשובה מאוד.

אז בואו נראה סעיף-סעיף.

רק רוצים לוודא שזה יהיה "תפור" כפי שצריך.

אלה תקנות באישור הוועדה שבעצם נובעות מן החוק. הכנסנו בחוק הרבה הגנות בעניין הפרטיות. יש פה באמת איזשהו נוהל. נגיע לסעיף ותראו אם אתם רוצים לתקן אותו.

תקנות הפיקוח על שירותים פיננסיים (קופות גמל) (איסוף, גישה ובקרה בעת איחוד חשבונות) (הוראת שעה), התשע"ו-2016

"בתוקף סמכותי לפי סעיפים 24א(ב)(9) ו-60 לחוק הפיקוח על שירותים פיננסיים (קופות גמל), התשס"ה-2005 (להלן – החוק) ובאישור ועדת הכספים של הכנסת, אני מתקין תקנות אלה:

הגדרות

1.

בתקנות אלה –

"הליך איחוד חשבונות" – העברת פרטי עמית ושמות קרנות פנסיה מחברה מנהלת לממונה ומהממונה לחברה מנהלת כאמור בסעיף 24א(א)(3) ו-(4) לחוק;

"הממונה על אבטחת המידע" – הממונה על אבטחת המידע במשרד האוצר שמונה לפי סעיף 17ב(א) לחוק הגנת הפרטיות;

"חברה מנהלת" – כמשמעותה בסעיף 24א(א)(1) לחוק;"

הכוונה לחברה מנהלת של קרן פנסיה חדשה.

""חוק הגנת הפרטיות" – חוק הגנת הפרטיות, התשמ"א-1981;

"מורשה הגישה למידע" – עובד בכיר באגף שוק ההון, ביטוח וחיסכון במשרד האוצר שהממונה הסמיך אותו להיות מורשה גישה למידע במערכת לפי סעיף 24א(ב)(3) לחוק;

"מורשה גישה למערכת" – עובד הכפוף לממונה על אבטחת המידע או מי שפועל מטעמו, שהממונה הסמיך להיות מורשה גישה למערכת, ושאינו מורשה גישה למידע;

"המערכת" – המערכת הטכנולוגית כמשמעותה בסעיף 24א(ב)(4) לחוק;

"פרטי העמית" – כהגדרתם בסעיף 24א(ג) לחוק."

תסביר את ההבדל בין כל מורשי הגישה. בחוק התייחסנו רק ל"מורשה הגישה למידע" ואתם הוספתם כאן "מורשה גישה למערכת", שהוא אדם שלא דיברנו עליו בחוק.

נכון. החוק מגביל את הגישה. אנחנו עושים פה הפרדה בין האינפורמציה- - -

ביקשתי בדיון שיהיה האיש הבכיר ביותר שאפשר לשים, לא אנשים זוטרים.

זו הכוונה. הראל שרעבי יושב כאן לשמאלי. הכוונה למנות סגן בכיר לממונה על שוק ההון ולא פחות מכך.

הראל שרעבי יהיה אחראי על זה?

כן, אנחנו מייעדים אותו לזה.

בחרו את זה שלא יודע לגשת למידע...

זה אומר שלא תהיה זליגה...

אז מה זה "מורשה גישה למידע" ו"מורשה גישה למערכת"? אחד אנחנו כבר יודעים, זה הראל שרעבי. מי זה השני?

אסביר את העיקרון. יש לנו את האינפורמציה עצמה, את הפרטים אודות העמיתים שמצויים בתוך המערכת. זה המידע; יש את המנוע של המערכת, איך הדבר הזה עובד, בעצם מה שמתפעל את כל הפעילות הזאת. זה לא האינפורמציה עצמה אלא זה המנוע של המערכת הזאת. את הגישה לגבי המנוע הזה החוק לא הגביל והיא כמובן נחוצה לשם שיפוץ.

זה עובד זוטר.

אבל לאותו עובד אין ולא יכולה להיות גישה למידע. יש לו גישה אך ורק למנוע של המערכת.

תסביר מה עושים שני האנשים, מה עושה הראשון ומה עושה השני.

הראשון מורשה לגשת למידע, לפרטי העמיתים עצמם. זה הבכיר. השני הוא עובד שהוא המתכנת, הוא המתפעל של המערכת הזאת. הוא לא יכול לגשת למידע עצמו.

אז מה הוא עושה?

למערכת הזאת יש את המנוע שמפעיל את כל התהליך הזה. הוא בונה את זה, הוא מתפעל ומתחזק את זה. הוא איש טכני.

מה פירוש שהוא לא יכול להגיע למידע? הוא הרי יושב על המחשב הזה.

אבל אין לו הרשאות גישה.

אז מה הוא עושה? רק את החלקים הטכניים?

כן.

אחזקה, מה שנקרא.

הרי כל המידע פה עובר אלינו לצורך הצלבה בין פרטי מידע, איפה שעמית פעיל ואיפה שהוא לא פעיל. כדי לעשות את ההצלבה הזאת לא צריך שמישהו יראה את הפרטים אלא מספיק שהוא ייתן פקודה למערכת להצליב בין פרטים, גם אם הוא לא רואה אותם הדבר הזה יכול להתבצע. כל הפעילות הטכנית מתבצעת אוטומטית בלי מעורבות של אדם. לכן אין צורך שאדם יראה את פרטי המידע, שזה מה שאנחנו רוצים להגן עליו, כדי שהתהליך הזה יקרה.

ההגדרה לא אומרת את זה. אפשר להוסיף כמה מילים שיגידו את הדבר הזה?

כתוב בהגדרה במפורש: "להיות מורשה גישה למערכת, ושאינו מורשה גישה למידע". ההגדרה מחדדת גם את זה. כדי להוציא מההבנה האפשרית שמי שניגש למערכת גם יש לו גישה למידע, ההגדרה אומרת במפורש שהוא לא יכול לגשת למידע אלא רק למערכת.

גם הסעיף המסמיך דיבר על אופן גישה למערכת.

בסדר.

זה גישה טכנית. אם הבת שלי עבדה ב"אל על", עבדה ב"הילטון" ועבדה בפרקליטות. זה מרכז את כל מקומות העבודה שלה אוטומטית, במקום שאני עכשיו אתחיל לבלבל לה את המוח שהיא מוציאה אותי מן הכלים.

כל החשבונות הלא פעילים בקרנות הפנסיה החדשות יאוחדו לחשבון הפעיל שלה. אלא אם כן היא תעצור את התהליך.

זה החוק.

הדוגמה שהצגתי אז, כי באמת פגשתי גם אנשים שלא רוצים את זה, נניח מישהו עבדה במקום כלשהו, הייתה לה עסקה טובה מאוד, ועכשיו היא עובדת במקום אחר שבו יש לה דמי ניהול טובים פחות והיא רוצה שהכסף יישאר במקום הראשון. מה שרצינו כל הזמן בעת חקיקת החוק, לוודא שהיא תדע, שזה לא יקרה ללא ידיעתה.

אם היא לא מתערבת, אוטומטית זה יעבור.

הצעתי שבין היתר גם ישלחו אס-אם-אס והצגתי את זה שוב, כדי שאנשים יידעו.

מה באמת תעשו בהקשר הזה? אתם תשלחו מכתבים?

ההסדר הוא בחקיקה הראשית.

היא יכולה לעצור את זה. יש שני מנגנונים של אופט-אאוט, גם לפני מסירת המידע וגם לפני- - -

זה קורה רק בקופות הפנסיה?

רק בקרנות הפנסיה החדשות.

אתם יודעים שלחלק מן האנשים יש כל מיני קופות שפתחו כשהיו עצמאים בצורה כזו אחרת, הכספים האבודים. למה לא נעשה שם משהו כזה?

למעשה זה בשביל זה.

זה נושא אחר.

אני יודעת, לא סתם העליתי את זה. היום אני רודפת להתחיל לחפש- - -

על מה את מדברת?

גם בזה אתם תטפלו.

הנושא הזה טופל. העברנו כאן תקנות.

עדיין צריך לרדוף אחרי הכסף.

אורלי לוי עשתה את קרן הפנסיה וכסף אחר היה- - -

באתר של משרד האוצר את יכולה למצוא את כל המידע.

העברנו בוועדה פה בינואר- - -

תדבר על המסלקה.

יש לא מעט צעדים שנעשים בהקשר של חשבונות רדומים, קטנים, אבודים, לא משנה איך נקרא להם, לא פעילים. בתחילת השנה האזרחית העברנו פה תקנות למשיכת סכומים עד 8,000 שקל. זה גם המטרה של התקנות האלה.

הגדלנו מ-7,000 שקל ל-8,000 שקל והארכנו.

הוועדה ביקשה להגדיל מ-7,000 שקל ל-8,000 שקל והסכום הוגדל. זה נועד גם לטפל בכל אותם כספים זניחים וקטנים שעלולים להיות אבודים בעתיד.

מה שאורלי לוי העלתה, אמרתם שאתם מתכוונים לטפל בזה. נכון?

בחשבונות רדומים במקומות אחרים יש הסדרות קיימות. יש את אתר "הר הכסף", יש את תקנות איתור עמיתים ומוטבים.

אמרתם שאתם מתכננים לפעול גם בזה.

כבר לפני שנה איתרתי את הכסף ואני לא מצליחה ליישם אותו.

ההגדלה ל-8,000 שקל אמורה לטפל גם בזה.

אם הרציונל שלכם בחוק הזה כל-כך נכון וכל-כך טוב, למה לא יישמתם אותו גם בנושא הכספים האבודים?

אני חושב שענינו על זה גם כשעשינו את החקיקה. בקרנות הפנסיה קל יותר להגיד באופן כמעט חד-משמעי שלטובת החוסך נכון לבצע לו את האיחוד הזה. במוצרים אחרים המובהקוּת של טובת החוסך היא לא באותה רמה. יכול להיות שנעשה ספציפיקציה וירידה לפרטים של מוצרים מסוימים ונגלה שגם שם אפשר. כשהמהלך הזה יצליח, בסופו נראה מה השלב הבא ולאן הולכים. המטרות ברורות.

אתם בודקים את זה?

אני סמנכ"ל התאחדות חברות הביטוח. רציתי לחדד בתחילת הדיון הזה את החשיבות של כל נושא אבטחת המידע.

התחלף אתמול המנכ"ל, הלא כך? סליחה שאני מפריע.

פורמלית המנכ"ל החדש, ד"ר גיא רוטקופף, אמור להיכנס לתפקידו ב-1 ביוני.

מנכ"ל משרד המשפטים לשעבר הלך להיות מנכ"ל חברות הביטוח, עם שכר נאה.

אין תקופות צינון...

שיהיה לכם בשעה טובה. אנשי משרד האוצר, יהיה לכם קשה מאוד להתווכח עם גיא רוטקופף. הוא נעים הליכות, לא כמוני, שאני צועק ואתם עושים מה שאתם רוצים. הוא ידבר בשקט ויעשה מה שהוא רוצה.

לדעתי הדיון התחיל להתפתח למקום הנכון. אנחנו מוטרדים מנושא אבטחת המידע. בלי להיות מומחה גדול, לגבי גופים מוסדיים לאחרונה יצאה טיוטת חוזר שמדברת על אבטחת מידע, והיא כללה למיטב זיכרוני כ-23 עמודים, לעומת 6-7 סעיפים שאני רואה כאן.

יש גם בחקיקה הראשית הרבה סעיפים שטיפלנו בהם בחקיקה.

יכול להיות. אני עדיין תוהה ביני לביני אם אנחנו ערים לגודל האחריות בעניין הזה. אני מצטרף גם לאמירה לגבי ממשק המעסיקים, שהוא נושא שהתחיל בקול תרועה רמה וכיום אנחנו קצת נאבקים.

אני רוצה להציע, על מנת להבטיח שיוצאת עוגה אפויה כהלכתה, לצאת לעניין הזה, ראשית, לאחר שבאמת ווידאנו שכל נושא אבטחת המידע נעשה בצורה המיטבית, ושנית, שהוכח על-ידי איזה פיילוט לפני שיוצאים לאיזו סדרה כי אנחנו יודעים לאן אנחנו נכנסים וממש לא יודעים איך ממשיכים ומה יהיו התוצאות שלה.

תודה. קודם כול, אני מזדהה עם הדברים שלך. הוועדה ערה לדברים האלה. אבקש בסוף התקנות שתגידו לנו איך המידע יאובטח אחרי החוק ואחרי התקנות, איך התהליך. יש לי 5 חשבונות, 4 רדומים ואחד פעיל. איך את המידע לגבי החשבונות שלי אתם מאבטחים כך שהוא לא זולג החוצה? אחרי החוק והתקנות. ההערה שלו נכונה. אנחנו מודאגים מזה. אבל זה בסוף.

"אופן איסוף המידע, העברתו ושמירתו

2.

הממונה וחברה מנהלת יעבירו מידע ביניהם במסגרת הליך איחוד חשבונות רק באמצעות נתיב העברה מוצפן ומאובטח שאישר הממונה על אבטחת המידע; הממונה על אבטחת המידע יוודא כי מנגנון ההעברה לא יאפשר גישה למידע למי שאינו מורשה לכך וכי המנגנון ינטר את הגישה למידע."

אעיר שכבר פה יש התייחסות. לא רק המערכת שמחזיקה את המידע מאובטחת אלא גם הנתיב שדרכו עובר המידע מהחברה המנהלת אל הממונה ולהיפך מאובטח. זה חשוב.

"

הממונה ישמור מידע שהגיע אליו כאמור בתקנת משנה (א) באופן מוצפן ומאובטח במערכת באמצעי הצפנה מקובל.

הממונה על אבטחת המידע יוודא כי עיבוד או שמירה ממוחשבת של מידע שהגיע לממונה במסגרת הליך איחוד חשבונות ייעשו באופן שאינו מאפשר למי שאינו מורשה, גישה למידע, ובכלל כך יוודא כי המערכת מופרדת ממערכות מחשוב אחרות, וכי כל ניסיון גישה של מי שאינו מורשה גישה למידע כאמור, יתועד באופן שניתן יהיה לזהות את המבצע.

הממונה על אבטחת המידע יוודא כי המידע של המערכת, ובכלל זה מידע לגבי אופן הגישה למערכת והפעלתה ונוהלי ההמשכיות, מגובה, לפי הרשאות הגישה והשימוש שבתקנות אלה, וישתמש באמצעים שיבטיחו את שלמות המידע ואת אפשרות שחזורו במקרה של אבדן או הרס.

חברה מנהלת תמנה ממונה על הפרטיות ואבטחת המידע שיהיה אחראי על העברת מידע לפי תקנות אלה.
אוטומציה, אמצעי זיהוי וגישה למערכת הטכנולוגית

3.

הליך איחוד החשבונות ייעשה באמצעות המערכת באופן אוטומטי, ללא צורך בגישה למידע."

זו תקנה משמעותית ביותר. כלומר, הליך ההצלבה של המידע בין החשבונות הפעילים ללא פעילים נעשה באופן אוטומטי. המערכת מתוכננת כך שזה ייעשה באופן אוטומטי ללא התערבות חיצונית של אדם כזה או אחר.

"

הממונה על אבטחת המידע, בהתייעצות עם הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, יערוך נוהל אבטחת מידע לעניין אמצעי הזיהוי ומורשה הגישה למידע (להלן – נוהל האבטחה) לפי תקנות אלה.

נוהל האבטחה יחייב את מורשה הגישה למידע ואת מורשה הגישה למערכת.

נוהל האבטחה יכלול, בין השאר, את כל אלה:

הוראות בדבר אופן אימות זהותו של מורשה הגישה למידע ואופן הטיפול בתקלות באימות זהות;

הוראות למורשה הגישה למידע, לגבי אופן השימוש במערכת תוך אבטחת המידע;

הוראות בדבר אבטחה פיזית וסביבתית של מיתקני המערכת;

הוראות בדבר אופן אחסונו ועיבודו של המידע בצורה מאובטחת;

אופן הבקרה על השימוש במידע, לרבות עריכת רישום בדבר גישה למערכת ומניעת הוספה או גריעה של מסמכים למערכת באופן בלתי מתועד;

הוראות בדבר אופן גיבוי מידע, שחזורו ואופן התמודדות עם אירוע אבטחת מידע;

הוראות בדבר חובת דיווח לממונה על אבטחת המידע על אירועי אבטחה ועל פעולות שננקטו בעקבותיהם."

מיכל בירן, זה נוהל שלא מגיע אלינו. אני לא בטוח שזה יכול להגיע אלינו בגלל שאלה נושאים מקצועיים. כל הדברים האלה, נכון, אנחנו רוצים את זה, את אופן הבקרה וכל היתר, הכול בסדר. השאלה הגדולה היא כמה כסף הם ישקיעו בזה. הם יכולים להשקיע בזה 10 שקלים או 10 מיליון שקלים. זה ישנה את האבטחה.

כתיבת נוהל אבטחה, מי שאחראי לה זה לא אגף שוק ההון אלא מי שממונה על אבטחת המידע בכלל במשרד האוצר, בהתייעצות עם הרשות למשפט וטכנולוגיה (רמו"ט) במשרד המשפטים.

מישהו מהם נמצא כאן?

לפני שאנחנו מדברים על החלק המקצועי, אף אחד פה לא מבין ממש באבטחת מידע.

אנחנו לא מבינים בחלק הטכני.

אנחנו כן מבינים בתוצאות שלה. לכן אני חושב שצריך לכוון לדבר הבא: אנחנו לא יכולים להתעסק בשאלה איך יעשו את זה.

כמה פריצות היו.

אבל אנחנו כן צריכים לקבל מידי תקופה פירוט האם היו ניסיונות לפרוץ, האם צלחו. דוח שאנחנו יכולים להבין אותו. זה הסיפור. ואז נוכל להבין האם זה היה אפקטיבי או לא אפקטיבי. אם צריך לתקן, נתקן. זה הפיקוח שאנחנו יכולים להשית על הדבר הזה.

אני רוצה להגיד שבוועדת הכלכלה בחוק נתוני אשראי הביאו ממש את הכול.

נכון, כי שם הייתה דרמה גדולה מאוד.

זאת אומרת שאפשר.

אני מזכיר שמדובר פה על הוראת שעה.

פה זה עד 2018.

כל החוק חל לשנתיים. זה אירוע חד-פעמי, לא מתמשך.

לא הבנתי, בחוק נתוני אשראי- - -

עשו שם את כל הפירוט.

למה? למה היה צריך?

יש שלושה הבדלים מהותיים: ראשית, ההיקף – שם זה חוק וכאן זה הוראת שעה; שנית, שהדבר הזה מסתיים ב-2018 ושם זה לכל החיים; ודבר שלישי, ההיקפים שם הם כל חשבון בנק של כל אדם במדינה הזאת, לכן ה"שלייקעס" צריך להיות יותר חזק.

אני מזכיר שאין פה שום מידע כספי.

אני מקבל את ההצעה הזאת. השאלה רק איך עושים את זה טכנית, אם אתם מסכימים.

דיווח לוועדה במקרים שבהם היה ניסיון גישה למידע? ברמה העקרונית אין התנגדות אבל צריך לראות שזה ישים.

אם הייתה דליפת מידע, אם הייתה טעות, כל הדברים שאנחנו רוצים לדעת.

על כל תפעול המערכת, על כל האבטחה שלה.

מי הכתובת המרכזית?

אני ראש תחום אבטחת מידע וסייבר במשרד האוצר. נתבקשנו לסייע לאגף שוק ההון בהתאם לדרישות התקנות לכתוב נוהל אבטחת מידע. כתבנו נוהל, שכרגע הוא נוהל כללי, אבל יש בו סעיפים ספציפיים, כיצד אנחנו באמת הולכים לשמור על המידע. אם אתם מעוניינים, אוכל לפרט.

יש לנו בעיה לדווח על- - -

לגבי הנוהל אני בטוחה שיש מדרג של תוכנות שאמורות לשמור. בדיוק כפי שאמרת, יכולים להשקיע 10 שקלים באבטחת מידע ויכולים להשקיע 10 מיליון שקלים. השאלה איפה אנחנו נמצאים מבחינת האיכות של אבטחת המידע.

בעיקרון, כל מערכת שאנחנו מעלים במשרד האוצר היא מערכת מנוטרת, כלומר ברגע שיש פעילות שאינה מורשית אנחנו מקבלים דיווחים. יש מקרים טריוויאליים של ניסיונות גישה, אז אנחנו מקבלים את ההתרעות האלה. וכמובן שהמערכת הזאת, שתיכלל במסגרת המערכות שלנו, תקבל את אותה חבילת אבטחה כמו כל המערכות.

אפשר שיירשם בפרוטוקול שבעוד 6 חודשים נקבל דיווח ישירות, אפילו לא צריך שתבואו, במכתב ליושב-ראש הוועדה, כדי שנהיה רגועים?

שיבואו, בחצי השנה הראשונה שיבואו. אחרי זה אם נראה שהכול בסדר אז אפשר במכתב.

כמובן אין שום בעיה.

אנחנו אומרים שאתם עושים את העבודה, אתם אנשים מקצועיים, בסדר. אנחנו רוצים שבעוד חצי שנה תבואו לכאן – ושזה יהיה כתוב בתקנות – ותגידו לנו מה קרה בחצי השנה הזאת, אילו ניסיונות גישה היו למערכת. אגיד לך מה אנחנו רוצים.

חשוב לי שמשרד המשפטים יתייחס לנקודה הזאת כי הם מעלים נקודה שיכול להיות שהוועדה לא תרצה להיקלע אליה. אני מציע שתצייני את הנקודה הזאת.

אני ממחלקת ייעוץ וחקיקה במשרד המשפטים. באופן כללי אני רוצה להזכיר שנכון שיש כאן העברת מידע משמעותית אודות אותם מבוטחים. אבל מעבר לכך שהתכלית מובהקת, תכלית לטובת אותם מבוטחים, החקיקה הראשית עצמה, שהוועדה דנה בה ואישרה אותה, קבעה הרבה הגנות, גם ברמת המהות וגם ברמת הפרוצדורה, להבטיח שאכן הזכויות של נושאי המידע יישמרו.

יש שני מנגנונים של אופט-אאוט. יש הוראה של סודיות, הוראה של אבטחת מידע. יש הוראה ייחודית שלא קיימת בהרבה דברי חקיקה, של עיצוב לפרטיות של המערכת. יש הוראות לגבי מחיקה. כמובן מדובר בהוראת שעה. ויש הסמכה לתקנות.

התקנות שהכין משרד האוצר, שמובאות היום לאישורכם, ותואמו גם עם רמו"ט וגם אתנו, בעצם מלוות את כל התהליך משלב העברת המידע מהחברות ואחר-כך גם עיבודו במשרד האוצר וגם מה קורה בחברות עצמן. משרד האוצר, שהכין את התקנות, מן הסתם יסביר, אבל יש התייחסות גם לנתיב, גם מה קורה במשרד האוצר. אני מזכירה כמובן שמשרד האוצר כגוף ציבורי חייב כבר היום בחובת אבטחת מידע. אנחנו מכניסים כאן מעטפת נוספת של הגנה והסדרה בחקיקת משנה פרטנית לעניין הזה. אבל גם לולא חקיקת המשנה- - -

זה בסדר, אני שמח שאת אומרת, אבל למה את אומרת את כל זה? תפקידנו ככנסת לפקח על עבודת הממשלה. משרד האוצר הוא משרד חשוב מאוד אבל אותו משרד האוצר נמצא בוועדת החוקה, חוק ומשפט ושם הוא הולך לפרוץ את כל עניין המידע. למה שאסמוך עליו כל-כך? התפקיד שלנו לפקח.

יש לך בעיה עם דיווח לוועדה?

קודם כול, אנחנו שמחים על זה. יש כאן שאלה מקצועית לאנשי אבטחת מידע. אנסה לקבל מענה גם אצלנו מרמו"ט. לא כל-כך הבנתי את המענה של משרד האוצר. אני רוצה להגיד מה אני כן יודעת כאמירה כללית. כאשר יש חובת הודעה על כשל אבטחת מידע בחקיקה, גם בחקיקה זרה, גם משהו שכללנו בטיוטת תקנות כללית בנושא אבטחת מידע שמונחת על שולחנה של ועדת החוקה, חוק ומשפט, חובת ההודעה היא בדרך כלל לרגולטור, כלומר לרמו"ט (הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים), ואחר-כך לרגולטור יש שיקול דעת אם יש מקום להודיע לנושאי המידע או אם לאו. לכן יש כאן שאלה מקצועית, האם בכל מקרה זה נכון.

אני חושב שאת מובילה את זה למקומות לא נכונים. אסביר לך מדוע. אין פה שום הפרה.

אנחנו לא מבקשים מספרים או תעודות זהות.

בדברים מן הסוג הזה במסגרת פיקוח סביר של הכנסת אנחנו רוצים לדעת האם הצליחו לחדור למערכת, כמה ניסו לחדור.

מבקשים מסמך כללי. לא צריך לכתוב דיווח מפורט.

יכול להיות שהכול נכון. כל מה שאמרתי הוא שיש כאן שאלה מקצועית של אבטחת מידע.

קודם כול, אני מתנצל שאמרתי על משרד האוצר, בגלל שמשרד האוצר הוא משרד גדול מאוד. כמו בין חברי הכנסת, יש טובים יותר וטובים פחות, אז ההכללה לא נכונה. אמרתי רק שיש חוק. נושא המידע אצלנו רגיש מאוד. בחוק ההסדרים כשהיה נושא של העברת מידע, משרד האוצר עמד עליו בתוקף אך לקחתי את הצעת החוק הזאת וזרקתי אותה לפח. אני חושב שאנחנו לא יכולים להפוך את המדינה שלנו למדינה שיש בה את "האח הגדול".

אנחנו מסכימים בעניין הזה.

מה שהציע חבר הכנסת מיקי רוזנטל, וכולנו הצטרפנו לזה, שהם יבואו כעבור חצי שנה – לא להיכנס לנושא הפרטני, לא את מי תפסו, לא על זה אנחנו מדברים. אנחנו רוצים שיבואו ואנחנו סומכים עליהם, שיבואו לכאן כעבור חצי שנה ויגידו: המערכת הצליחה במאה אחוז, זאת מערכת שבנינו אותה גם בחקיקה הראשית וגם בתקנות, לא הייתה שום תקלה, הכול בסדר, או שיגידו- - -

או שחלילה יגידו שהיו כמה ניסיונות פריצה.

בסדר גמור.

חשוב לי לחדד, אף אחד לא יודע מה צופן העתיד, אבל ככל- - -

התברר לי עכשיו שגם במשרד המשפטים יש אנשים טובים...

כל שאמרתי, אני התייחסתי לדיווחים פרטניים.

לא, אנחנו לא רוצים את זה. אסור לנו גם להיכנס לפרטים. אנחנו לא מבקשים את זה.

זה לא עולה על דעתנו.

ננסח את זה באופן כללי.

בסדר גמור, אז אין שום מחלוקת.

אני מהתאחדות חברות הביטוח. שתי נקודות שהייתי מבקש להדגיש. אחת, שמעתי כאן איזו התייחסות מעט מקלה בגלל שמדובר בהוראת שעה. אני רוצה לחדד, הוראת שעה מבחינתנו היא כמו המוצר הסופי. ברגע שמידע מתחיל לנוע ממקום למקום לא משנה אם מדובר בהוראת שעה.

לא הבנת מה אמרתי. לא התכוונתי להקל ראש חלילה. הסברתי רק את ההבדלים בין ההוראה הזאת להוראה ההיא.

היה חשוב לי שנהיה באותו דף.

הדבר השני, האם הוצגה בפני חברי הוועדה איזו חוות דעת מהוועדה להגנת הפרטיות? האם היא נתנה דעתה לעניין הזה? זאת שאלה.

מי זאת הוועדה הזאת?

במשרד המשפטים יש גוף שממונה על הדבר הזה. הוא אמון עלינו ואין לנו סיבה לא לקבל את עמדתו. כפי ששמעת בדיווח, הוא היה שותף לגיבוש ההמלצות.

אם אתה מערער על החוק, בגלל שאת השאלה הזאת היית צריך בחקיקה הראשית, זה זכותך, ואני גם מבין אותך. אנחנו רוצים את החוק הזה. למה אנחנו רוצים את החוק הזה? בגלל שאם לא יהיו תקלות, ועלולות להיות תקלות, אני לא אומר שלא, אבל החוק הזה במהותו טוב. למה הוא חוק טוב? מכיוון שבסופו של דבר הוא עוזר לאיש הקטן, כמו הבת של חבר הכנסת מיקי לוי.

אין בינינו חילוקי דעות.

הבת של חבר הכנסת מיקי לוי היא דוגמה, היא עבדה בכמה מקומות. זה היה לעיני משרד המשפטים בחקיקה הראשית, זה לא היה עובר אם לא הייתה חוות דעת שלהם. זאת המציאות בחקיקה הראשית.

ברגע שהדברים נאמרים בצורה כזאת – ביקשתי אחריות, שהדברים ייאמרו.

"

הרשאות גישה של העובדים למערכת במסגרת הליך איחוד חשבונות יהיו על בסיס הגדרת תפקיד; הרשאת גישה לכל תפקיד תהיה בהיקף ובמידה הנדרשים לביצועו בלבד; גישת מורשה גישה למערכת תיעשה לשם תחזוקה ותפעול בלבד, ולפי אישור הממונה על אבטחת המידע."

אנחנו רוצים להוסיף פה.

שיהיה גם עדכון של מורשי הגישה למידע, שתהיה גישה לצורך תחזוקה ותפעול, שגם מורשה הגישה למידע, הבכיר, יהיה מעודכן וייכנס לתהליך.

הם מסכימים.

"

גישת מורשה גישה למערכת ומורשה גישה למידע תעשה באמצעות שם המשתמש שלו והתקן פיזי אישי הנתון לשליטתו הבלעדית.

הממונה על אבטחת המידע ידאג לביטול הרשאות של עובד שסיים את תפקידו במשרד, לשינוי סיסמאות וקודי גישה למערכת שניתנו לו, ולהשבת כל המסמכים והציוד הנמצאים ברשותו, לרבות התקן פיזי, לא יאוחר מסיום תפקידו של העובד.

בקרה על המערכת הטכנולוגית

4.

הממונה על אבטחת המידע יערוך סקר סיכונים ובדיקות חדירות למערכת לפני הפעלתה לאיתור סיכוני אבטחת מידע במערכת, ואם נדרש גם לנתיב ההעברה כמשמעותו בתקנה 2; המערכת תופעל רק לאחר שכל ליקויי האבטחה יותקנו לשביעות רצונו של ממונה אבטחת המידע.

הממונה על אבטחת המידע אחראי על האבטחה הפיזית והסביבתית של המערכת, וינקוט באמצעים לבקרה על הגישה לאתרים שבהם מצויים רכיבי המערכת."

לא צריך שהוא יעשה גם את הסקר והבדיקות האלה תוך כדי? אתם כותבים שהוא יעשה את זה לפני, אבל מה תוך כדי שהמערכת פועלת? לא צריך? זה לא הוראה מקובלת?

זה קיים גם בנוהל שאנחנו כתבנו, שהממונה יערוך בדיקות לגבי הליקויים שאיתר. מנגנון התיעוד נועד גם ל- - -

איפה זה כתוב?

אצלם בנוהל. אבל אפשר להכניס את זה גם לרמה שלנו.

"כאמור בתקנת משנה (א)". יש התייחסות לנושא.

כלומר, אתם מפנים לתקנת משנה (א) הספציפית הזאת.

"

מערכת המחשוב בהליך איחוד החשבונות תתעד אירוע המעלה חשש לזליגה של מידע, לפגיעה בשלמות המידע או לשימוש בו בלא הרשאה; תיעוד כאמור יבוצע, ככל האפשר, באמצעות רישום אוטומטי."

מה עם הודעה בזמן אמת?

אמרנו שזה מקובל עלינו.

מקובל עליכם, תהיה הודעה בזמן אמת לממונה על אבטחת המידע ומורשה הגישה למידע. מצוין. נוסיף גם את זה.

"תיעוד גישה

5.

המערכת תכלול מנגנון אוטומטי לתיעוד גישה וניסיונות גישה אל המערכת, לרבות זהות מבצע הגישה או ניסיון הגישה, תאריך ושעה, רכיב המערכת נושא הגישה, סוג הגישה, היקפה, והאם אושרה או נדחתה; אם הגישה אושרה, יישמרו גם הנתונים המאפשרים זיהוי רכיב המערכת שאליו בוצעה הגישה; נתוני הרישום של מנגנון התיעוד יישמרו למשך 24 חודשים לפחות.

הממונה על אבטחת המידע יערוך בדיקות לגבי הליקויים שאיתר מנגנון התיעוד, יערוך דוח מידי של ליקויים חמורים שהתגלו והפעולות שננקטו בעקבותיהן ויעבירו לרשם כהגדרתו בסעיף 7 לחוק הגנת הפרטיות; לעניין תקנת משנה זו, "ליקוי חמור" – אירוע שנעשה בו שימוש במידע, לרבות אירוע שבו הייתה כניסה למערכת באופן שאיפשר גישה למידע בלא הרשאה או בחריגה מהרשאה."

זה למעשה הסעיף שלגביו אנחנו מציעים בעקבות הדיון שנערך קודם, שלגביו יינתן דיווח לוועדה.

אתם רוצים לדווח רק על הליקויים?

עדיף שיהיה דיווח כללי.

אני מציע שבעוד חצי שנה תגיעו לוועדה בכל מקרה, גם אם הכול מאה אחוז אנחנו מבקשים את הדיווח. בעוד חצי שנה יכול להיות שנגיד שהיות והכול בסדר אז בכל חצי שנה תשלחו מכתב לוועדה ונפיץ אותו בין חברי הוועדה, אלא אם כן נראה שיש כשל, אם תגידו שהתגלו בעיות ואז נבקש עוד דיון בעוד חצי שנה. אני רוצה להכניס את זה לנוסח התקנות באיזו צורה.

שיופיע בפרוטוקול.

לא אכפת לי איפה, אני לא הולך עם זה לפריימריז...

זה דיווח כללי.

אני רוצה שתבואו לוועדה בעוד חצי שנה. לא שיש לנו עודף זמן.

אנחנו שמחים לבוא לפה, שלא יובן אחרת.

אם הממשלה תחזיק מעמד אז בעוד חצי שנה הוועדה הזאת תהיה עמוסה עד מעל הראש. אני עוד לא יודע מה יהיה עם בנט, אבל בסדר. אתם צריכים לבוא לפה בעוד חצי שנה, גם להגיד שהכול בסדר.

מציע דודי קופל, ונראה לי שזה הגיוני, שנבוא אחרי שהמערכת מתחילה לעבוד ולא לפני. בעוד חצי שנה המערכת רק מתחילה לפעול. צריך לדווח חצי שנה אחרי המועד שהמערכת מתחילה לפעול.

חצי שנה מיום ההפעלה.

מיום ההפעלה. נכון, צודק, בסדר.

אני לא יודע, להכניס את זה בתקנות או לקבוע את זה באיזו צורה?

זה עניין משפטי. אנחנו לא נברח. נבוא לוועדה בין אם זה כתוב בפרוטוקול ובין אם זה כתוב בתקנות.

אפשר לכתוב בתקנות: כל עוד הראל שרעבי נמצא...

זה בחקיקה הראשית...

צריך לכתוב בתקנות שכעבור חצי שנה מיום ההפעלה אתם באים לכאן לדווח. אנחנו רושמים בפרוטוקול שחצי שנה מיום ההפעלה אתם תבואו לכאן ואז אנחנו נחליט. אם הכול יהיה בסדר נבקש מכם שיועבר אלינו מכתב פעם בחצי שנה או מתי שנחליט; אם יהיה כשל אז נבקש דיונים נוספים. את זה אני אומר לפרוטוקול.

זה מהות הבקשה.

"תוקף

6.

תוקפן של תקנות אלה עד יום ט"ו בניסן התשע"ח (31 במרס 2018)."

מישהו יכול לעשות סיכום, אחרי החוק ואחרי התקנות, אחרי כל מה שדיברנו, איך תהיה האבטחה למידע הזה? מישהו יודע לעשות סיכום? קודם בחקיקה ואחרי כן בתקנות.

החקיקה, מעבר להסמכה שמסמיכה את השר, באישור ועדת הכספים, להתקין את התקנות שלפנינו, גם קובעת כללים לגבי איזה מידע בכלל יכול לעבור. אני מדגיש, וזה חשוב בהקשר הזה, לא עובר מידע כספי על אף עמית. כל מה שעובר זה בסך הכול פרטים טכניים: תעודת זהות, תאריך לידה, מספר חשבון. לא כמה כסף. אין פרטים מהותיים בהקשר של הגנת הפרטיות. לכן למרות שאנחנו מתייחסים לזה מאוד ברצינות צריך לזכור שנתונים כספיים כפי שיש במקומות אחרים, פה אין. החקיקה דורשת באופן מפורש שהמידע הזה יימחק בסוף התהליך כדי שלא תתאפשר לאף אחד גישה אליו.

התקנות למעשה מסדירות את כל תהליך העברת המידע.

לפני כן, בחקיקה יש סעיף של הגבלת שימוש רק לשם ביצוע ההוראות. יש סעיף סודיות פרטני. יש סעיף מפורט לגבי האחריות לשמירת המידע והאבטחה שלו. יש סעיף לגבי עיצוב לפרטיות של המערכת. יש הוראות לגבי מחיקה.

נדמה לי שהחקיקה קובעת גם שמי שיהיה אחראי על זה הוא בכיר במערכת.

כן, במסגרת האחריות של הממונה על הגנת המידע כתוב במפורש.

זה חשוב מאוד כשלעצמו. מציעה חברת הכנסת רחל עזריה שבחקיקה נשנה ונכתוב שזה הראל שרעבי...

זה לא רעיון טוב, אמרתי כבר קודם.

יש עיצום כספי על החברות המנהלות, של חצי מיליון שקל, אם הן לא מוחקות את המידע. יש גם הוראה כללית על האבטחה, שהאבטחה תהיה באופן ש"ימזער ככל האפשר ... את הסיכון לפגיעה בפרטיותם של העמיתים".

זה העיצוב לפרטיות של המערכת הטכנולוגית.

יש הוראות חזקות בחוק.

בתקנות מה אנחנו עושים?

התקנות מתייחסות גם לאבטחת המידע בגוף המוסדי, לנתיב העברת המידע מהחברה המנהלת אל הממונה, ובעיקר לכל הקשור לאבטחת המערכת. הגישה למידע ולמערכת למעשה נמצאת אצל הממונה כדי להגן על המידע ועל המערכת.

מתי מתחילה ההפעלה, לפי דעתכם?

כשהוא עושה בדיקת סקר של הסיכונים. זה מופיע בתקנות.

כמה זמן זה?

אדוני שואל את זה בהקשר של אבטחת המידע או בהקשר לתהליך כולו?

מתי זה מתחיל? סיכמנו שהחצי שנה תהיה אחרי שהמערכת תתחיל לפעול.

ברגע שהתקנות עוברות אנחנו יכולים למעשה להמשיך בתהליך הטכני, להורות לחברות מתי להעביר את המידע. אנחנו צופים שהמידע יעבור אלינו בסביבות יוני או יולי השנה ומשם יתחיל התהליך להתגלגל. זה אומר שהמערכת צריכה לעמוד כבר בסוף חודש מאי או תחילת חודש יוני ומשם התהליך יתחיל. נבוא לוועדה בערך לקראת סוף השנה האזרחית.

בסדר.

אורלי לוי, אני רוצה להתייחס לשאלה שלך, שהטרידה גם אותי. לפי מה שיש פה באבטחת המידע, גם בחוק, הם יצטרכו להשקיע בזה כסף מפני שאבטחת המידע שיש כאן היא אבטחת מידע מאוד-מאוד משמעותית. אם אנחנו מוסיפים את העניין הזה, חשוב לנו לא כמה משקיעים אלא מה התוצאה. אם הם יבואו אלינו כעבור חצי שנה מרגע שהם מתחילים להפעיל את המערכת, אנחנו נדע. כתוב בתקנות שהם באים לפה כעבור חצי שנה. אנחנו נדע האם המערכת הצליחה והמידע נשמר כפי שצריך או שיש בעניין הזה כשלים ברמה לא סבירה, בגלל שכשלים ברמה סבירה יכולים להיות. כפי שאריה סיקסק אמר קודם, יכולים להיות דברים טריוויאליים. אבל אם יהיה כשל רציני נדע לעצור את התהליך הזה ולראות מה לעשות.

אם החברים מסכימים, נעבור להצבעה על תקנות הפיקוח על שירותים פיננסיים (קופות גמל) (איסוף גישה ובקרה בעת איחוד חשבונות) (הוראת שעה), התשע"ו-2016, עם כל השינויים שנעשו. מי בעד אישור התקנות עם השינויים שהוספנו? מי נגד? מי נמנע?

הצבעה

בעד – 6

נגד – אין

נמנעים – אין

תקנות הפיקוח על שירותים פיננסיים (קופות גמל) (איסוף גישה ובקרה בעת איחוד חשבונות) (הוראת שעה), התשע"ו-2016, עם התיקונים שהוכנסו בהן, נתקבלו.

6 בעד, אין מתנגדים ואין נמנעים. התקנות אושרו.

אני מודה לכם. תודה רבה.

הישיבה ננעלה בשעה 12:20.