הכנסת העשרים
מושב שני
פרוטוקול מס' 104
מישיבת ועדת החוץ והביטחון
יום רביעי, י"ד בתמוז התשע"ו (20 ביולי 2016), שעה 9:00
ישיבת ועדה של הכנסת ה-20 מתאריך 20/07/2016
חוק להסדרת הביטחון בגופים ציבוריים (תיקון מס' 9), התשע"ו-2016
ח"כים נוכחים
פרוטוקול
סדר היום
הצעת חוק להסדרת הביטחון בגופים ציבוריים (תיקון מס' 7) (נציג הרשות הלאומית להגנת הסייבר - קצין מוסמך לעניין גופים המנויים בתוספת הרביעית), התשע"ו-2016
מוזמנים
¶
טלי מסיקה - עו"ד, ראש תחום חקיקה ואמנות, משרד הביטחון
אילת לוי - עו"ד, הלשכה המשפטית, המשרד לביטחון פנים
אילן יום טוב - ראש תחום סייבר, המשרד לביטחון פנים
משה כהן - מנהל תחום יישום, המשרד לביטחון פנים
ד"ר אביתר מתניה - ראש מערך הסייבר הלאומי
ברוך (בוקי) כרמלי - ראש הרשות הלאומית לסייבר
שני שרביט - ראש אגף בכיר, מדיניות וארגון, מטה הסייבר הלאומי
עמית אשכנזי - עו"ד, היועץ המשפטי, מערך הסייבר הלאומי
בן אביגולד - יועץ בכיר לראש מערך הסייבר הלאומי
תובל צ'סלר - עוזר בכיר לראש רשות הסייבר הלאומית
ר. - משרד ראש הממשלה
גבריאלה פיסמן - עו"ד, משרד המשפטים
שרון רוברטס מלצר - עו"ד, משרד המשפטים
ענת אסיף - עו"ד, משרד המשפטים
עידית אנגלברג טלר - מתמחה, משרד המשפטים
לרשימת השדלנים שנכחו בדיון – ראו בקישור זה.
רישום פרלמנטרי
¶
אהובה שרון, חבר המתרגמים
הצעת חוק להסדרת הביטחון בגופים ציבוריים (תיקון מס' 7) (נציג הרשות הלאומית להגנת הסייבר - קצין מוסמך לעניין גופים המנויים בתוספת הרביעית), התשע"ו-2016
היו"ר אברהם דיכטר
¶
בוקר טוב לכולם. אנחנו מתחילים את הדיון בהכנה לקריאה שנייה ושלישית של הצעת חוק להסדרת הביטחון בגופים ציבוריים (תיקון מס' 7) (נציג הרשות הלאומית להגנת הסייבר - קצין מוסמך לעניין גופים המנויים בתוספת הרביעית), התשע"ו-2016. נמצא כאן גם ראש הרשות וגם ראש המערך.
לטובת הפרוטוקול, כל מי שמדבר, יציג את עצמו, שם ותפקיד כדי שהדורות הבאים ידעו מי אמר את הדברים החשובים.
אביתר מתניה
¶
בוקר טוב. ראש מערך הסייבר הלאומי. ברשותך היושב ראש, אני אפתח במשך חמש דקות הצגה קצרה של הרקע להצעת החוק.
ב-2002 השכילה ממשלת ישראל לקבל החלטה בעקבותיה הוספה התוספת הרביעית לחוק משרד הביטחון לגבי הנחיה של מערכות מחשב חיוניות. זה היה חלוצי בעולם, ההבנה שיש אינטרסים בארגונים חשובים כאלה שאפשר דרך פגיעה במערכות הממוחשבות שלהם לפגוע פגיעה של ממש ביכולת של מערכות ותשתיות קריטיות לעבוד כמו שנדרש. הדוגמאות הידועות בעולם הן נושאים כמו מה שנקרא גריט של חברת חשמל, מאגרי מידע מאוד מיוחדים, בורסה וכדומה.
במשך כעשר שנים השכיל שירות הביטחון הכללי באמצעות החטיבה שלו להוביל את הבנייה של התורה וההנחיה של התשתיות האלה. אני חייב לומר שכאשר מסתכלים על זה, אף אחד לא בא לומר שהדברים הם מושלמים. אין דבר שהוא מושלם, אין הגנה מושלמת ובוודאי שקורים דברים וקרו דברים גם בתשתיות הקריטיות אז וגם היום, אבל בהסתכלות ובהשוואה על שאר העולם כולו ועל רמת ההגנה של מערכות מהסוג הזה בעולם, נוצרה כאן תורה שלמה ורמת הנחיה שהן מהטובות ומהמובילות, ועל כך צריך לברך.
ב-2012, עשור אחרי ההחלטה הזאת של הממשלה, הובן שהדבר אינו מספיק, שעל אף חשיבותן של מערכות קריטיות, הן רק חלק קטן בים של מרחב הסייבר וצריך להבין שיש הבדל בין מה שהיה בשנת 2002 ל-2012. מאחר וסייבר הוא מרחב שנוצר כל הזמן והוא הולך וגדל. זה לא שאנחנו חיים במרחב מסוים והשתנו התובנות. מה שהיה נכון בשנת 1990, לא היה נכון בשנת 2000 ולא נכון בשנת 2010. הווה אומר שאנחנו חיים במרחב הסייבר שהולך וגדל והחשיבות שלו לרציפות התפעולית של כלל הגופים, של המערכות, של המדינה ובכלל לחייהם של האזרחים הולכת וגדלה.
נוצרה ההבנה שלא די להנחות ולהגן על מספר עשרות בודדות של מערכות קריטיות בגופים משום שיכול להיווצר נזק לאומי רחב היקף - ולא רק נזק לאומי אלא גם נזקים אחרים – מאוסף של פגיעות במה שנקרא סאב-סיסטם שאף אחת מהן לא קריטיות מפגיעה בתהליכים שעל אף שהתשתיות, חלק מהתשתיות, מוגנות אבל עדיין יש תהליך שלם שצריך להיווצר שבחלקו הוא עובר דרך מערכות שונות קריטיות, נושא שרשרת הערך ועוד הרבה מאוד דברים אחרים, וצריך תורה שהיא הרבה יותר גדולה ומקיפה שבאה להגן על מרחב סייבר של מדינה ולא מסתפקת רק בהגנה על מספר מצומצם של מערכות קריטיות.
כל זה לא בא לומר שעדיין אין חשיבות גבוהה מאוד להגנה על המערכות הקריטיות עצמן, אבל היא חייבת להיות חלק מתורה מאוד גדולה.
כתוצאה מזה בעצם מדינת ישראל הייתה מהראשונות בעולם שפיתחה תורת הגנה שלמה של איך נכון לבנות הגנה על מרחב הסייבר של מדינה כאשר חלק מזה כמובן הוא הנושא של התשתיות הקריטיות אבל לא רק אלא גם תהליכים קריטיים, גם הנושא של הפעולה של תשתיות קריטיות האלה בתוך המרחב כולו וגם הסתכלות על הרבה מאוד דברים וארגונים אחרים שגם אם הם לא קריטיים, הן עדיין חיוניים וחשובים וכמערכת יכולים ליצור נזק ברמה הלאומית.
אותה תורת הגנה שלמה היא זאת שאושרה לבסוף על ידי הממשלה ב-2015 כחלק מהסתכלות כוללת איך מדינת ישראל תגן על עצמה והיא גם הביאה בין השאר, לא רק תורה אלא גם אימפלימנטציה שלה, להחלטות לגבי איך נכון להוביל את העמידות במדינת ישראל, את החוסן ולהקמתה של הרשות הלאומית להגנת הסייבר שבוקי כרמלי שיושב כאן לשמאלי מונה לעמוד בראשה לפני כחצי שנה.
כחלק מהתפיסה הזאת, כחלק מהחלטת הממשלה, סוכם שכדי לממש אותה, את כולה, חייבים להעביר את ההנחיה של אותן תשתיות קריטיות משירות הביטחון הכללי לגוף שאמור בעצם ליישם את כלל תורת ההגנה, שזאת הרשות הלאומית, ואני צריך לציין כאן שיש כאן מה שנקרא – וזו נקודה מאוד חשובה היושב ראש – דו כיווני. התפיסה הבסיסית אומרת שלא ניתן להפריד את ההגנה על מערכות מסוימות מכל השאר, צריך להסתכל על זה כמכלול כי יש ממשקים גדולים מאוד בין מערכות קריטיות לבין שאר המערכות בארגון לבין ארגונים אחרים, ולכן לא ניתן להגן עליהם בצורה טובה בלי שזה חלק מהתורה, והצד שני של המתרס הוא שגם לא ניתן להגן על שאר המדינה בלי שאתה מגן עליהם כחלק מתפיסה שלמה.
כתוצאה מכך, הממשלה אישרה את העברת הנחיית התשתיות הקריטיות וההגנה עליהן משירות הביטחון הכללי לרשות החדשה שנוצרת והטילה עלינו לבנות מתווה ביחד עם שירות הביטחון הכללי להעברת ההנחיה. בעצם אנחנו עומדים היום במצב שבו נבנה מתווה שלם להעברת התשתיות הקריטיות משירות הביטחון הכללי לרשות. המתווה הוא חלק מהסדרה כוללת בכלל שלא קשורה לנושא הזה ואיך עובדים בהגנה בארץ, הסדרות שקיימות היום בין הרשות לבין כל גופי הביטחון ובראשם השב"כ, עבודה עם צה"ל, המוסד, משרד הביטחון ואחרים. המתווה הזה מדבר על הרבה מאוד נושאים. תכף אני אתן לבוקי לפרט, אבל הוא מדבר על הכול, החל מאיך בונים את התהליך באופן מדורג, איך הוא נבנה ומפוקח נכון, הנושא של החפיפה, ניהול הסיכונים וכך הלאה.
היות שהנושא של הנחיית רשויות קריטיות אינו רק החלטת ממשלה אלא מופיע גם בחוק להסדרת הביטחון, חלק מהנושא הזה נדרש לתיקון בחוק על מנת שנוכל להעביר את זה כראוי לרשות.
אני רוצה לסיים בנקודה אחת. אני יושב כאן גם כמי שבעצם מוביל את החלטת הממשלה כראש המטה, כראש המערך שממונה על הכול, אבל גם עוד נקודה אחת מאוד חשובה שאני רוצה לשים על השולחן, כראש ועדה ב/84. למי שלא מכיר, אותה ועדה היא ועדה שמונתה כחלק מהתהליך של הנחיית תשתיות קריטיות. המשימה הוטלה על השב"כ אבל הוקמה ועדה בראשות ראש המל"ל ולאחר שהוקם מטה הסייבר הלאומי, אותה ועדה מובלת על ידי כראש מטה הסייבר הלאומי.
הוועדה הזאת היא הוועדה שבאחריותה המלאה לפקח על התהליכים שמבצע השירות, לבדוק שהתורה היא תורה נכונה ומבוצעת כראוי, לעקוב אחרי הסטטוס של התשתיות, להבין היכן הבעיות ולראות היכן צריך להתערב. היא הוועדה שאחראית בכלל לאשר את הכנסתן של תשתיות חדשות כדי שלא הגוף המבצע הוא זה שיחליט את מי להכניס ואת מי לא. היא זאת שאחראית לראות שעושים את המיפויים הנכונים. זאת אומרת, יש כאן תהליך שלם, ועדה שלמה, בה יושבים נציגים של גופי ביטחון ושל עוד גופים אחרים, שמנהל אותה כאמור אני כראש מערך הסייבר הלאומי, שהיא הגוף המפקח והיא בעצם נושאת באחריות העליונה. אם מסתכלים על החלטת הממשלה, הוועדה הזאת היא הוועדה שנושאת באחריות העליונה לכלל התהליכים של ההגנה על תשתיות קריטיות. אני אומר את זה כי כאשר אני מסתכל על כלל התהליכים, אני מסתכל על זה לא רק כמי שעכשיו היה אחראי על החלטת הממשלה אלא כראש הוועדה, ההסתכלות על המתווה הכולל, אנחנו גם מציגים אותו בוועדה הזאת ונתנו את דעתנו לראות שאכן המתווה הזה הוא מתווה נכון, מבוקר וכזה שמבוצע כראוי על מנת שהתשתיות ימשיכו להיות מונחות ומוגנות בצורה הנכונה. הוועדה היא הגוף – נקרא לזה במירכאות, ותסלחו לי, אני לא משפטן – הריבוני שאחראי על הפיקוח ועל ההגנה הזאת ונושאת באחריות. אפילו בדוח מבקר המדינה האחרון, הוא הסתכל על פעולתה של הוועדה כאחראית על התהליכים האלה.
היו"ר אברהם דיכטר
¶
לוועדה יש אחריות גוברת אם נניח הגוף מחליט שלצורך אבטחת סייבר או מידע בגוף קריטי נדרש אמצעי מסוים שהוא ורק הוא יכול לתת את המענה הנדרש? הוועדה יכולה לומר שיתכן שהם צודקים, אבל זה יקר מדי ולכן לכו ל-סקונד בסט?
אביתר מתניה
¶
האחריות המלאה כלפי הגופים היא של הגוף המבצע, השב"כ עד היום או הרשות מחר בבוקר. הם קובעים את התו"ל, הם קובעים את ההנחיה, הסמכות והאחריות המלאה היא עליהם. אבל – כאן אני חייב לציין אבל – הוועדה היא גורם שאם מחר תפנה אליו חברה מסוימת ותגיד שאנחנו בבעיה, היא תתערב. היא לא יכולה להיות גורם גובר על אותה הנחיה מקצועית אבל היא תתערב במובן למשל שיח, פשרה, דירקטוריון או אמירות מהסוג האחר. היא לא יכולה להיות גורם גובר על הגורם המקצועי אבל היא תיכנס לאירוע. הדוגמה שאני אתן לך היא דווקא כאשר מקבלים חברה חדשה, אז אנחנו מקפידים לשמוע את המנכ"ל של החברה, ההסכמה של החברה, האמירות שלה לגבי האם היא כן או לא חושבת שנכון שהיא תפוקח ותהיה תשתית קריטית. תהליך שלם שעובר. דרך אגב, אחרי כן, אני רוצה להזכיר, הוא עובר ומגיע עד הכנסת אחרי אישור שרים להוספה לתוספת הרביעית. הכנסת עצמה צריכה לאשר. לכן הוועדה כגורם מפקח ומקצועי עליון מסתכלת על כלל ההליך הזה. אם מחר ירצו להכניס איזשהו גוף שאנחנו חושבים שזה לא נכון או שיש הרבה בעיות אתו או שנכון להכניס אותו רק באופן זמני, אנחנו נטפל בזה.
אביתר מתניה
¶
היא קובעת מי. היא יכולה להכניס, היא יכולה להוציא והיא אחראית על כלל התהליך. זאת אומרת, אם מחר הגוף האחראי, השירות או הרשות, אינו מבצע את העובדה נאמנה, אנחנו שואלים אותו איך יכול להיות במה שאתה מציג לי שעדיין כולם ברמה נמוכה ולא ברמה גבוהה. הוועדה אחראית על זה. אם אנחנו נחשוב בתהליך מסוים שהדברים לא מבוצעים כראוי, אנחנו נלך לממשלה כי אני מדווח מדי שנה לממשלה, בסוף השנה, על מה היה באותה שנה, מה סטטוס כל התשתיות הקריטיות. יש ניירות כאלה כבר כמה שנים. מה הסטטוס, מה בוצע השנה, איפה הבעיות, לאן זה הולך. זאת אומרת, אני מחויב לממשלה בדיווח שהדברים מתבצעים כראוי.
אביתר מתניה
¶
אבל היא קובעת רק מי. אנחנו אחראים על כלל התהליך כל הזמן. זאת אומרת, זה לא מספיק שאני קבעתי מי. נציג שירות הביטחון הכללי במהלך הוועדה אומר שזה סטטוס, אלה עברו לדירוג הזה, כאן יש לי בעיות, כאן אני לא מסתדר, זה קרה, זה לא קרה. אנחנו מסתכלים על זה, מפקחים, נותנים תעדוף של למשל תשקיעו עכשיו בעולם הזה ולא בעולם הזה משום שהוא יותר חשוב בראייה כוללת, מקבלים סקירות מודיעין וכאמור אני מחויב לדיווח לממשלה שהתהליכים מבוצעים כראוי. זאת אומרת, אני לא יכול לעמוד במצב שבו אנחנו נראה הנחיה לא ברמה או שאין התקדמות בסטטוס או שיש חברות שעכשיו אין צורך יותר שיהיו בפנים וצריך להוציא אותן. אנחנו הגורם העליון. לא מתערבים בעבודה בין הגוף המפקח, מה שנקרא הרגולטור, השב"כ או הרשות, לבין החברה אלא אם כן הדברים צפים ועולים.
אני אשמח אם בוקי יוכל להרחיב בכמה מלים.
ברוך (בוקי) כרמלי
¶
אני ראש הרשות הלאומית להגנת הסייבר. אני מבקש לפתוח באותה נקודה שאביתר עצר ולדבר על הרשות הלאומית ומה המשמעות של להקים רשות לאומית כזאת במדינת ישראל בקונטקסט של הפגישה שלנו כאן היום.
הייתי אומר שיש שלושה מרכיבים עיקריים והם מיד יתקשרו להצעה לתיקון החוק בה אנחנו דנים.
האחד זה הנושא של תורת הגנה מאוד מעשית שמלמדת את הגופים – גם את הרשות וגם את הגופים המונחים – איך מנהלים את המלחמה הזאת שנקראת אירועי סייבר. זאת תורה שמביאה בחשבון סינרגיה עם גופים מונחים, מביאה בחשבון סינרגיה עם שכנים בקהילייה, היא מביאה בחשבון גם שיתופי פעולה אחרים בינלאומיים וכן הלאה והתורה הזאת בסוף מתורגמת לפעולות מעשיות שאותם גופים צריכים ליישם. באופן לא מפתיע היא מאוד מאוד מאוד דומה לאותה תורה שגם נוקטים ארגונים אחרים שהם עוסקים בתחום אחריותם בהגנה ויש לזה הסבר. כולנו באים מאותו בית ספר, כולנו גם באים מאותה תורה שבסופו של דבר היא תורה טכנולוגית מבצעית וכולנו נשענים על אותם יסודות.
הדבר השני כאשר אתה ניגש להקים רשות זה לגייס כוח אדם איכותי מאוד והתהליך הזה הוא תהליך מאוד מהותי. במדינת ישראל, מדינת הסטרטאפים, איכות כוח האדם היא מאוד ידועה, מצד שני גם התחרות על אנשים היא מאוד קשה. לגייס אנשים לתעשיית ההייטק, להביא אנשים מכל הגופים, שזה חלק מהפלורליזם שאנחנו מנסים לייצר, להביא אנשים שהם פורשי צבא או גופים אחרים וכן הלאה וכן הלאה, זה אתגר לא טריביאלי לחלוטין. אני מבקש להדגיש את הדבר הזה כי הרבה מאוד פעמים אתם תשמעו אנשים מדברים בהקשרים אחרים על בעיות שכר ואני אומר שיש לנו כאן הזדמנות, שעת כושר, לגייס אנשים טובים למאמץ לאומי שהוא גם בשיא העשייה, הוא גם אתגר גדול, וזה בשילוב עם מנהיגות מאפשר לנו למשוך הרבה מאוד אנשים להמשיך ולעשות למען המדינה ולא להישאר רק במגזרים אחרים.
בהקשר הזה אני אומר שאחד המאמצים הגדולים ביותר הוא לגייס מנהלים בכירים מתוך התעשייה, לשכנע אותם להצטרף למאמץ הזה של הקמת רשות להגנת הסייבר.
אל מול זה אני רוצה לומר מה זה נקרא להנחות גופים, להנחות גופים באופן כללי. זה אומר להכיר את תיקי המתקן שלהם, זה אומר להכיר את המערכות שלהם, זה אומר לתרגל אותם, זה לבנות אתם תרגילים, זה אומר להכיר את האנשים כי בסוף – אני רוצה למען הסדר להגיד – כל גוף מנחה לעומת גוף מונחה, היחס בדרך כלל הוא אחד לחמש עד אחד לעשר. זאת אומרת, בגוף מנחה יכולים להיות חמישה אנשים וממול יהיו עשרים, שלושים או ארבעים אנשים שהם אלה שמכירים את הגוף והם אלה שעושים את העבודה בפנים, הם אלה שבעצם פועלים על פי הנחיות הגוף המונחה.
כל התהליך הזה, תהליכי הבנייה האלה, הם תהליכים מאוד משמעותיים. הם לא נעשים ביום אחד, יש הם הרבה מאוד אספקטים וכבר הזכרתי קודם של אתגר ומנהיגות אבל יש גם אספקטים של יציבות. אתה לא מייצר תהליך כזה וסוגר אותו אחרי חצי שנה או שנה אלא אתה בונה משהו לטווח ארוך.
בהקשר הזה אני מבקש לצורך דברי הפתיחה – אני מניח שעוד תהיה לי הזדמנות לדבר במהלך הדיון הזה – לומר משהו לגבי אותה סוגיה שעלתה בדיון מקדים ושאני קורא לה ארעיות כנבואה שמגשימה את עצמה. יש הרבה מאוד פעמים תהליכים שהם תהליכים זמניים רק שלפעמים התהליך הזמני גורם לזה שבעצם אתה לא מצליח למצות את המסה הקריטית, להגיע למסה קריטית שמאפשרת לך להניע את כל המערכת. בדיון בו עלתה סוגיית הוראת השעה, ואני זכיתי לעיין, נחת על שולחני רק לפני יום או יומיים הדוח של ועדת החוץ והביטחון, הספקתי לעיין בו ואני חייב להודות, אדוני היושב ראש, שרוח מאוד אוהדת נושבת מהדפים שלו ולמרות זאת ארעיות שעולה מהאפשרות להגדיר את תיקון החוק כהוראת שעה, היא איום אמיתי על היכולת שלנו לבנות את המהלך הזה. בשלב הזה שאנחנו בריצה על ה-RUN WAY, מאוד חשוב לנו לייצר מסה קריטית, יציבות, לאנשים שאנחנו רוצים לגייס. כשאני רוצה לפנות למנהלים בכירים בתעשיית ההייטק או להשאיל אנשים מגופים או לבקש מאנשים להצטרף אלינו ולהשלים את מחזור הפנסיה שלהם דרכנו, כי אלה דברים שמותר לעשות, אני צריך להבטיח להם יציבות. כשאני הולך לגופים מונחים ואני אומר להם, חברים, אנחנו לוקחים את התורה ששירות ביטחון כללי יישם עד היום ואנחנו ממשיכים אותה, אנחנו עכשיו מתחילים לתרגל אתכם, כל הדברים האלה מחייבים איזה מהלך של לונג שוט. אי אפשר לייצר תחושה של חוסר יציבות.
אני חייב להגיד עוד דבר אחד כמי שקצת מכיר את העבודה מול המערכות. גם עבודה מול הגופים האחרים במדינת ישראל מחייבת לשדר יציבות. אווירה מהסוג של ארעיות, גם אם אין כוונה כזאת אבל היא משדרת כך, מאוד מסוכנת לתהליך שאנחנו יוצאים אליו עכשיו לדרך.
לאור זאת, אדוני היושב ראש, אני אסכם את הפתיחה ואני אומר שארעיות מזכירה רעיון שאתה רוצה להביא לארץ איזה מומחה שהוא מומחה תוכן מאוד גדול ואתה רוצה לשכנע אותו לבוא לישראל לכמה שנים ולהיות כאן, אבל כל שנה אתה מבקש ממנו לחדש את האשרה. אנחנו לא יכולים כך להביא את המומחים. אנחנו חייבים לייצר להם אופק ויציבות.
אני מבקש לסכם את הפתיח הזה, היושב ראש, ולומר שאני מבקש שחברי הוועדה ישקלו שוב את כל האמירות שהיו לגבי הוראת שעה. אני ער לרוח האוהדת אבל אני חושב שיש כאן איום מאוד גדול על היכולת שלנו למלא את תפקידנו או לפחות לרוץ עכשיו אל ה-RUN WAY ולהתרומם. תודה.
היו"ר אברהם דיכטר
¶
תודה. לפני שאנחנו נכנסים להצעה, לנוסח ולפרטים, מי מחברי הכנסת רוצה לשאול את אביתר או את בוקי ברמה היותר מערכתית?
איל בן ראובן (המחנה הציוני)
¶
רק שאלה אחת לאביתר, לגבי סוגיית הוועדה שאתה כרגע עומד בראשה. אני מבין שהיא מדווחת לממשלה.
איל בן ראובן (המחנה הציוני)
¶
כפופה לממשלה. לאחר החוק, לאחר שאנחנו בונים את המערך, תן לי להבין יותר מה תפקידה של הוועדה הזאת בהמשך הדרך ומה עוצמתה. אני מבין לעניין הכוח את התפקיד ואת הרעיון עד עכשיו, אבל כאשר המבנים מתחילים להיבנות והדברים מתחילים להיבנות, אני תוהה מה תפקידה בהמשך הדרך.
אביתר מתניה
¶
תפקיד הוועדה נשאר קבוע כל הזמן, גם כאשר היו החלטות ממשלה חדשות, גם כשהיה מתווה וגם לאור החקיקה. הוועדה ממשיכה למלא את תפקידה בדיוק באותה מידה וכל ההבדל היה במהלך השנים שבמקום ראש המל"ל, זה הוטל על ראש מטה הסייבר שקם והתחלף הרכב הוועדה והכנסנו גם יותר גופים ביטחוניים ואחרים שאחראים על ההגנה ברמה הלאומית. אבל הוועדה ממשיכה בדיוק באותם תפקידים. ההחלטה על מי יהיו התשתיות הקריטיות, עצם האישור, הפיקוח על מי שמבצע את זה, ההסתכלות הכוללת שהתהליכים מתבצעים נכון. אתן לך דוגמה. גם מחר נניח רוצים להכניס – הרי ההצעה שלנו כאן אומרת שכלל ההנחיה עוברת למעט תשתיות תקשורת – ונניח יהיה עניין לטפל באחת מתשתיות התקשורת ולהגיד שנמצאת כאן חברה חדשה והיא צריכה תשתית קריטית, או עיסוק בתשתיות האלה בכלל, הוועדה הזאת מפקחת על זה. זה לא משנה אם עוסקת בזה הרשות, זה לא משנה אם ממשיך לעסוק בזה השירות במקומות שהוא ממשיך לעסוק בזה, הוועדה היא זאת שקובעת מי ייכנס. היא ממליצה כמובן כי בסוף זה אישור כנסת אבל ההיא הגוף שאי אפשר להגיע בלי שהיא ממליצה והשרים אחרי כן מאשרים והכנסת מאשרת. היא זאת שמפקחת על כלל העבודה ובוחנת את הסטטוס בדיוק כמו שהיה עד עתה. אין שום הבדל בתפקידה והיא ממשיכה להיות הגוף שמסתכל מלמעלה ורואה שכלל התהליכים רצים נכון ושהתורות מבוצעות.
אתן לך דוגמה לנושא שהעיר מבקר המדינה. הוא אמר שיש קושי בחלק מהחברות מול חברה, אתם צריכים לפנות יותר מהר לוועדה כי יכול להיות שהיא יכולה להתערב למשל מול דירקטוריון. זאת אומרת, יש כאן תהליכים שלמים שאנחנו מבצעים והיום יותר ויותר עם בקרה, עם דיונים יותר עמוקים שדנים בתו"ל, שדנים בסטטוס, שואלים שאלות כבדות למה חברות מסוימות לא הצלחנו להנחות אותן יותר טוב ולמה כן, מסתכלים על הערכת מודיעין וצריך להגיד היכן התעדוף של הדברים בוועדה הזאת. הוועדה היא גוף מבקר, מפקח ושומר ואחריותו היא כלפי הממשלה. זאת אומרת, מדי שנה אני שם על שולחנה של הממשלה דוח. אותי יבקרו אם אני פתאום אראה שהדברים הם כאלה שהתהליכים לא מבוצעים כראוי, יורדת רמת ההגנה בחברות, יש תלונות של חברות, הגופים אומרים שיש כאן בעיה. זה התפקיד שלך. אתה לא מתערב ביחסים בין הגוף המנחה לבין החברה באופן ישיר כי זאת אחריותו המקצועית וסמכותו באופן טוטלי.
כדאי לשים לב לעוד משהו אחד. הוועדה נוצרה כדי לחזק כמה דברים. האחד, שלא הגוף - מה שנקרא אותו רגולטור שעובד מול הגופים – הוא זה שגם יהיה הגוף שבסופו של דבר אומר מי צריך להיות, מי לא צריך להיות, מבקר את עצמו ולא חייב דיווח לאף אחד. יש גוף מעליו, מישהו שהוא בלתי תלוי. גם כדי למנוע ניגוד עניינים. זאת אומרת, לפעמים, לא במובן הרע של המילה אלא במובן החיובי, יכול להיות שיש ויתורים מסוימים בין המפקח לבין החברות בכל מיני עוצמות כי הוא מבין לליבן יותר מדי, כי קשה להן תקציבית, כי יש בעיות. הוועדה נמצאת במקום ותאמר רגע, זה לא יכול לקרות, אנחנו לא רואים שהוא מתרומם, אבל אתה סומך לחלוטין על הדיווחים של הגופים. אלה בסוף גופים שהם גופים במדינת ישראל ואתה מסתכל על הדיווחים שלהם. אתה לא עושה להם בקרה במובן שאני שולח משהו לשם.
ענת ברקו (הליכוד)
¶
אולי שאלה כללית. זאת שאלה שהיא קצת נוקבת ואולי צריכה להישאל בארבע עיניים. האם אתם באמת חושבים שהיום במצב שאתם נמצאים בו יש לכם את היכולת להרים את הכפפה במובן הזה שמעבירים כל כך הרבה דברים וכל כך הרבה סמכויות והגוף הוא בסך הכול תינוק שאך נולד?
ברוך (בוקי) כרמלי
¶
התשובה היא כן, חד משמעית. ראשית, צריך להבין שנבנתה תכנית מאוד מאוד זהירה וראויה. זאת תכנית שכוללת גם השאלה של אנשים מאותו גוף ביטחוני שנקרא שב"כ, גם הבאה של אנשים, אנשי מקצוע, מהתעשייה – ועל כך דיברתי בדברי הפתיחה שלי – וגם אנשים מגופים אחרים בעלי רקע ביטחוני וטכנולוגי וסייברי בעסק הזה. בנוסף לזה יש תהליך העברת מקל מאוד מדורגת. לא סתם הגדרנו את זה כשתי פעימות. יש סמכות לראש הרשות לדחות חלק מהפעימות לאור העובדה שאולי חלק מהתהליכים מתעכבים מסיבות לא צפויות.
צריך לזכור דבר אחד. מעבר להעברת הידע משירות ביטחון כללי, שזה תיקי מתקן וכולי, ציינתי בדברי הפתיחה שלי שההגנה היא מאוד אחידה, גם במלמ"פ, גם בשירות ביטחון כללי וגם בגופים אחרים, כי זה נשען על אותם יסודות טכנולוגיים ומבצעיים.
צריך לזכור משהו מאוד מהותי. רוב האנשים שמכירים את המערכות ועוסקים בפועל בתוך העשייה, הם אנשי הארגונים. ציינתי קודם יחס בין אנשי הנחיה לבין אנשים בגופים. אני לא אתן פרטים לגופים מסוימים אבל באופן כללי זה בין אחד לחמישה לאחד לעשרה. על כל מנחה יש בין חמישה לעשרה אנשים שעוסקים בעשייה הזאת בתוך הגופים והם אלה שהם המומחים, הם אלה שעושים את העבודה, הם אלה שבעצם פועלים. מנחים אותם כמובן להגיע לתמורות מסוימות.
ענת ברקו (הליכוד)
¶
אני מדברת על הרשות. האם אתם הולכים לשכור אנשים שאתם מצוותים אותם ומעבירים אותם את כל הכללים הקפדניים שנדרשים בגופי הביטחון?
ברוך (בוקי) כרמלי
¶
ודאי. הקדמתי ואמרתי שאנחנו גם שואלים אנשים משירות הביטחון הכללי, אנשים שעסקו בזה, גם מביאים אנשים מהגופים האחרים שעוסקים בעולם הסייבר וגם מביאים אנשים מהעולם הטכנולוגי, מעולם ההייטק.
אביתר מתניה
¶
אני רוצה להוסיף שני דברים. האחד, אמרתי בהתחלה שיש כאן הדדיות. העברה של הנחיית התמ"ק לרשות היא חלק מתפיסה כוללת שנבנתה משום שהייתה הבנה במדינת ישראל שלא מספיק להנחות רק תשתיות קריטיות אלא יש גם תהליכים ויש דברים שלמים. ההעברה שלהם וההסתכלות הכוללת חיונית לכלל מאמצי ההגנה. אי אפשר לבצע אותם בלי שאתה מסתכל על הכול ביחד וזה משולב והיא חיונית גם לגביהם בגלל המון אפשרויות של סאב-סיסטם שיכולות לקרות או דברים כאלה. זאת אומרת, זה שלם אחד. לכן זה מבוצע כבר בשלב הזה, בוודאי אחרי שנבחנה המוכנות.
אני אעיר משהו נוסף. ציינתי שאני כראש הוועדה ב/84 אחראי לראות. כשאנחנו באנו ומסיימים את תיקון החוק עכשיו, התהליך שנבנה, אני אומר לך כראש ועדה ב/84, לא היינו נותנים שייבנה תהליך שהוא לא תהליך מה שנקרא מסודר עם חפיפות כמו שצריך, עם פעימות ומפוקח בגלל שאני נושא כראש הוועדה, וכל חברי הוועדה, באחריות הכוללת לזה שהתהליכים יהיו נכונים בתשתיות קריטיות. לכן יש כאן תהליך שהוא מאוד מסודר, מורכב ומפוקח ברמה הזאת שהוא מתבצע כנדרש עם פעימות, כך שבכל מקום אפשר לסדר ולתקן.
היו"ר אברהם דיכטר
¶
כן. אנחנו עכשיו עוברים לעסוק בהצעת החוק. עד עכשיו ניתנה סקירה מקדמית של אביתר ובוקי ונשאלו כאן כמה שאלות. אנחנו רוצים לעבור להצעת החוק צמה.
רועי שליים
¶
הצעת חוק להסדרת הביטחון בגופים ציבוריים (תיקון מס' 7) (נציג הרשות הלאומית להגנת הסייבר - קצין מוסמך לעניין גופים המנויים בתוספת הרביעית), התשע"ו-2016
תיקון סעיף 1
בחוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-1998 (להלן – החוק העיקרי), בסעיף 1, בהגדרה "קצין מוסמך" במקום ""קצין מוסמך", יבוא ""קצין מוסמך" – כמפורט להלן, לפי העניין, בכפוף להוראות סעיף 21".
עמית אשכנזי
¶
אני אשמח להסביר. בהמשך לסקירות המקצועיות שניתנו כאן, האסטרטגיה המשפטית שלנו בחוק הזה ממשיכה את האסטרטגיה המשפטית שאנחנו מקדמים כחלק ממכלול האסטרטגיה הלאומית בסייבר של בניין כוח מקבילי. יש גם גיוס של אנשים, יש גם בניין של טכנולוגיות, יש בניין שלם של עוצמה מדינתית. בממד הזה אנחנו כבר פועלים מאז הממשלה החליטה ב-15 בפברואר את מה שהחליטה. מה שאפשר לעשות בתוך הממשלה, אנחנו עושים ואנחנו פורסים את הדברים האלה הלאה.
בהמשך לזה, מגיעה אליכם הצעת החוק הזאת שגבולות הגזרה שלה והאופק שלה הוא הגופים שנקראים תשתיות קריטיות ובהתאם לכך, ומאחר שמדובר כאן בתיקון בתוך מסגת חקיקתית שלמה, אנחנו בעצם מתחברים לטרמינולוגיה, וכאן אני עונה לאדוני, של החוק הזה באופן שאנחנו עושים את מינימום – זאת הייתה המגמה שהנחתה אותנו – התיקונים המשפטיים הנדרשים בחוק הזה על מנת לממש את ההסדרה שהוצגה כאן של בניין הכוח. זאת אומרת, הדבר הזה מלווה את בניין הכוח. לכן התוצאה של השינוי של ההגדרה היא שיש שורה של קצינים מוסמכים בחוק, וכאן המומחית, בוודאי היועצת המשפטית של הוועדה, וקצין המוסמך הוא בעצם הגורם שנותן את ההנחיות לגופים הפרטיים שמנויים בתוספות לחוק וגם הציבוריים, ובהקשר הזה אנחנו בעצם מוסיפים עוד קצין מוסמך אחד מסוג מיוחד שהוא ראש הרשות הלאומית להגנת הסייבר או מי שהוא מינה, שגבולות הגזרה של אחריותו הם כמוגדר שם ביחס לאותם נדמה לי עשרים גופים שהם היום מנויים בתוספת הרביעית.
אראל מרגלית (המחנה הציוני)
¶
כרגע הוא מתייחס לא לכלל חלוקת הסמכויות וכולי אלא למזכר ההבנה בין הרשות לשב"כ לגבי התשתיות הקריטיות.
היו"ר אברהם דיכטר
¶
אתה מתייחס לדיון שהיה אצלנו. אין קריאה טרומית אבל לפני הקריאה הראשונה עשינו כאן דיון ואז נולד נושא הוראת השעה שבוקי דיבר עליה קודם והעברנו אותה.
היו"ר אברהם דיכטר
¶
כן. עוד לא הגענו לכך. למי שלא הגיע בהתחלה ופספס את התחילה, בסופו של דבר הצעת החוק שעולה היום להכנה לקריאה שנייה ושלישית, היא ההצעה ההיא. לא שינינו את זה אז מפני שאי אפשר היה לשנות את זה מבלי לקחת בחשבון שנצטרך להמתין 45 ימים. אם היינו משנים את ההצעה כבר אז בהמשך לדיון וכותבים הוראת שעה, היינו נדרשים להמתין 45 ימים ובכנסת כמו אתה יודע, ביולי 45 ימים נגמר בנובמבר בגלל הפגרה. לכן השר או השרה שהציעה את הצעת החוק במליאה, לבקשתנו כוועדה אמרה בשולי הדברים שהיא מבינה שהוועדה חושבת לדון בנושא הוראת שעה וככל שהוועדה תחליט על הוראת שעה, לממשלה לא תהיה התנגדות. זה אפשר להעביר את הצעת החוק בקריאה ראשונה בצורה חלקה ועכשיו אנחנו יושבים בהכנה לקריאה שנייה ושלישית בתקווה שנצליח לגשר על כל הפערים ולהגיש את זה לפני היציאה לפגרה.
אראל מרגלית (המחנה הציוני)
¶
כשאנחנו משרטטים, לפני שאנחנו מגיעים ללשון החוק, אנחנו בעצם נותנים לראש הממשלה, לפני החוק הגדול, את האפשרות להסמיך אדם אחר, במקרה זה את ראש הרשות, לקחת ולעמוד בראש הוועדה - יחד עם השב"כ ואחרים - של ההגנה על התשתיות הקריטיות ובעניין הזה, לפי מה שאנחנו קבענו, יכול למנות כל אדם. עכשיו אנחנו אומרים שזה ראש הרשות אבל מחר זה יכול להיות גם מישהו אחר.
אראל מרגלית (המחנה הציוני)
¶
אני רוצה שיהיה ברור. עמית הוא היועץ המשפטי של מטה הסייבר ומייצג את מטה הסייבר וכיועץ המשפטי של מטה הסייבר הוא מעוניין בכך שמטה הסייבר יקבל כמה שיותר סמכויות כי זה תפקידו. הוא היועץ המשפטי של מטה הסייבר. מירי, את היועצת המשפטית של הוועדה ואני אשמח לשמוע גם אותך אבל אני רוצה לשמוע אותך כי את מייצגת את הדברים שאנחנו הבענו, את החשש שלנו.
היו"ר אברהם דיכטר
¶
עמית, בבקשה. הזמנו אותו בדיוק בגלל שהוא יועץ משפטי של מטה הסייבר. את היועץ המשפטי שלנו יש לנו בבית ולא צריך להזמין. עמית, אתה רוצה להתייחס או אתה רוצה שמירי תתייחס?
מירי פרנקל-שור
¶
התשובה שלנו תהיה אותה תשובה. אני אשיב. אראל, אני מפנה אותך לסעיף 3 להצעת החוק, זה הסעיף המדובר, והתיקון הוא לסעיף 21.
מירי פרנקל-שור
¶
בסעיף 3 להצעת החוק כתוב: תיקון סעיף 21. סעיף 3 להצעת החוק מתייחס לסעיף 21 לחוק להסדרת הביטחון בגופים ציבוריים. אומרת פסקה (1) שראש הממשלה רשאי להורות כי קצין מוסמך לעניין גוף מהגופים המנויים בתוספת הרביעית, אלו גופי התשתיות הקריטיות, למעט גופי התקשורת – ואני מפנה אותך לסקירה שלי בעמוד 4: גופים המנויים בתוספת הרביעית, אתה רואה את החלוקה. השב"כ ינחה את גופי התקשורת וכל הגופים האחרים שלהם יש תשתיות קריטיות שהיום מצויים בתוספת הרביעית, יהיו מונחי רשות הסייבר. זאת אומרת, אלה הגופים המנויים בתוספת הרביעית למעט גוף תקשורת.
מירי פרנקל-שור
¶
שוב. רשאי ראש הממשלה להורות כי קצין מוסמך – מי יהיה הקצין המנחה – לעניין גוף מהגופים המנויים בתוספת הרביעית למעט גוף תקשורת יהיה ראש הרשות הלאומית להגנת הסייבר.
אראל מרגלית (המחנה הציוני)
¶
אני מבין, אבל קצין מוסמך יכול להיות גם ראש רשות הסייבר, וזה כרגע מה שאנחנו מבינים, וזה גם יכול להיות מישהו אחר.
אביתר מתניה
¶
לא. כתוב כאן רק ראש רשות הסייבר. תראה את המשך המשפט. היום זה ראש השב"כ והוא יכול להורות שבמקום ראש השב"כ בגופים שאינם תקשורת, זה יהיה ראש הרשות להגנת הסייבר.
מירי פרנקל-שור
¶
אנחנו ממשיכים: הורה ראש הממשלה כאמור – כלומר, הוא הסמיך את ראש הרשות הלאומית להגנת הסייבר – רשאי ראש הרשות הלאומית להגנת הסייבר להסמיך עובד מעובדי הרשות הלאומית להגנת הסייבר לשמש קצין מוסמך לעניין הגוף שלגביו הורה ראש הממשלה כאמור.
למיטב הבנתי, הסמיך ראש הממשלה את ראש הרשות, רשאי ראש הרשות להסמיך מישהו אחר שהוא יהיה הקצין המוסמך.
נחמן שי (המחנה הציוני)
¶
האם הוא יכול להסמיך שר אחר להיות מופקד על המערכת הזאת מטעמו או שזה תמיד יהיה ראש הממשלה?
נחמן שי (המחנה הציוני)
¶
אם הוא ירצה להטיל את זה על מישהו אחר, מה שהוא עושה מדי פעם, הוא צריך לעשות שינוי בחוק. הוא לא יכול בהסכם הקואליציוני הבא לעשות זאת.
איל בן ראובן (המחנה הציוני)
¶
אני שואל מה הרציונל - כאשר הקצין המוסמך, הבנתי שהוא ראש רשותו זה בסדר – בצורך להוריד את האחריות הזאת למישהו אחר? יש ראש רשות, יש אדם שאנחנו סומכים עליו, זה מעודף עבודה? למה לא ראש רשות הוא הקצין המוסמך. נקודה. ראש הממשלה הסמיך אותו.
אראל מרגלית (המחנה הציוני)
¶
אני מחדד בעוד משפט. זה שלב שאנחנו מאוד חרדים לגביו, אני בטוח שכך גם אתם, בו אנחנו בעצם לוקחים את הסמכויות שהיו של השב"כ במשך הרבה מאוד זמן ומעבירים אותן. כלומר, מאשרים לראש הממשלה להעביר אותן לגוף אחר שבראשו עומד ראש הרשות. זה לכשעצמו כולנו מאוד עצבנים, אבל אנחנו מבינים. דיברנו על זה, שאלנו ואנחנו עוד נשאל, אבל אנחנו כנראה הולכים לקראת המתווה הזה ואלה גם תשתיות אזרחיות קריטיות שעל זה הסכמנו שזה הגיוני. אנחנו לא רוצים שזה יברח לנו. כלומר, מירי, אנחנו לא רוצים שתהיה כאן אפשרות שזה יברח לנו.
אראל מרגלית (המחנה הציוני)
¶
אנחנו רוצים שזה יעבור מהשב"כ למקום אחר שהוא מוגדר, ידוע, ברור, יש כאן חלוקה ברורה בין מה שנשאר אצל השב"כ שתכף נקרא את זה בקול רם, שזאת התקשורת וכולי, לבין מה שעובר לרשות. אנחנו מבינים, יש לנו חששות לגבי זה אבל זה הדבר שהתמודדנו אתו. אם עכשיו אומרים לנו שפתאום זה יכול לעבור לעוד גורם, אנחנו לא מבינים ואנחנו מאבדים שליטה מוחלטת.
ענת ברקו (הליכוד)
¶
במיוחד אם אפשר להתייחס למעבר משגרה לחירום, נקודת המעבר, קבלת האחריות ואי פיזור אחריות כדי שהנקודה הזאת תהיה מאוד ברורה.
מירי פרנקל-שור
¶
חילקנו לחברי הכנסת גם נוסח משולב של הצעת החוק. זאת אומרת, לקחנו את החוק להסדרת הביטחון בגופים ציבוריים ואנחנו שילבנו לכם בחוק בצבעים כדי לראות איך משתלבת הצעת החוק ואיך אנחנו נראה את המכלול. אני מפנה אתכם להגדרת קצין מוסמך בחוק. קצין מוסמך בחוק, גם לגבי השב"כ וגם לגבי המשטרה, לא נאמר ראש השב"כ או המפכ"ל אלא נאמר נציג השב"כ או נציג המשטרה. זאת אומרת, באותה רוח שהיום מעוגנת ההגדרה של קצין מוסמך, לשם משתלבת הרשות.
אראל מרגלית (המחנה הציוני)
¶
תראו מה מדאיג אותנו. אנחנו מבינים שהשב"כ היה אחראי קודם על כל הנושא הזה. ראש השב"כ מבחינתנו היה אקאונטבל עם היחידה הרלוונטית. אנחנו רוצים לדעת מי ה-אקאונטבל כי אנחנו יודעים שזה גוף מקצועי ואי אפשר להכניס בו איזה שהם שיקולים פוליטיים או אחרים על מי לבדוק, מה לעשות, איך להיכנס וכולי. זה גוף מקצועי. ראש השב"כ היה אחראי. עכשיו בסדר, אנחנו מקימים גוף חדש, סטטוטורי.
מירי פרנקל-שור
¶
מה שמונח בפני חברי הכנסת הוא בעצם תרגום של מזכר ההבנות שהיה בין השב"כ לבין הרשות לעניין התשתיות הקריטיות שיש לו גם זנב נוסף שנגיע אליו בהמשך. זאת אומרת, ברגע שהושגה ההסכמה בין השב"כ לבין רשות הסייבר להעביר את ההנחיה על התשתיות הקריטיות, כך באה לעולם הצעת החוק. זה השלב הבא. זאת הפעימה הבאה, למיטב הבנתנו. אין כאן עיגון סטטוטורי לא של רשות הסייבר, לא של מטה הסייבר ולא של מערך הסייבר.
היו"ר אברהם דיכטר
¶
ברמה הפרקטית של חקיקה, אין שום הבדל בין ראש ארגון, גם בחוק השב"כ לא מוזכר אף תפקיד זולת ראש השב"כ וראש השב"כ הוא זה שמסמיך מישהו. אגב, יש שם עוד פונקציה אחת שמוזכרת, מבקר השירות.
היו"ר אברהם דיכטר
¶
רק מבקר. ראש הרשות במקרה הזה מסמיך כמו ראש המוסד, כמו שהרמטכ"ל מסמיך, כמו שראש השב"כ מסמיך, כמו שהמפכ"ל מסמיך או ראש מלמ"ב מסמיך ולכן מכאן זה נגזר. אתה לא מפרט מעבר לזה.
אראל מרגלית (המחנה הציוני)
¶
מצוין. את זה אנחנו מבינים. גם אם זה עדיין לא גוף סטטוטורי, אנחנו מבינים שזה הולך לקראת היותו גוף סטטוטורי שזה קצת בעייתי. אני אומר איפה מדאיג אותנו משהו.
אראל מרגלית (המחנה הציוני)
¶
יש כאן דאגה עמוקה כי כאן יכול להיות מצב בתוך תרשים הזרימה שאני יכול לצייר לך שראש הממשלה יכול להורות למישהו אחר ולא לראש הרשות שיבוא ויטפל בעניינים כאלה, נגיד בשדה התעופה, נגיד על כבש המטוס, נגיד על 15 שעות האחרונות שהיו בחקירה. הוא יכול להעביר את זה למישהו אחר. אנחנו כרגע לא רוצים שזה יהיה.
מירי פרנקל-שור
¶
רשאי ראש הממשלה. אני שוב מפנה אותך לפסקה (1) בהצעת החוק ובוא נקרא אותה ביחד. "רשאי ראש הממשלה להורות כי קצין מוסמך לעניין גוף מהגופים המנויים בתוספת הרביעית, יהיה ראש הרשות הלאומית להגנת הסייבר". הוא אומר לראש הממשלה שאתה יכול להסמיך. לא החוק מסמיך את ראש הרשות אלא אנחנו נותנים את הסמכות, החוק נותן את הסמכות לראש הממשלה להסמיך למקרה הספציפי הזה לעניין התשתיות הקריטיות רק את ראש הרשות. אם הוא לא מסמיך, ממשיך השב"כ להיות המנחה המקצועי.
ראש הרשות הוא האחראי הכולל אבל פעולת קצין מוסמך, יש להם פעולות ביצועיות. הוא צריך להנחות את הגופים, הוא צריך להיות בקשר עם הגופים, הוא הסמכות המנחה.
מירי פרנקל-שור
¶
רגע. לכן הוא צריך להסמיך אדם נוסף שיבצע את פעולות ההנחיה האופרטיביות בשטח. הוא נשאר הסמכות המקצועית שמפקחת עם האחריות והסמכות שתכף נראה.
מירי פרנקל-שור
¶
לא. הוא לא יכול. למה? הוא אחראי. זה כמו כאשר אתה ראש ארגון מסוים והחוק מאפשר לך שלא אתה תצטרך לעשות את הפעולות.
מירי פרנקל-שור
¶
הנה, זה מה שאומרים. בוא נקרא את זה עוד פעם: "רשאי ראש הממשלה להורות כי קצין מוסמך לעניין גוף מהגופים המנויים בתוספת הרביעית יהיה ראש הרשות הלאומית להגנת הסייבר". זאת ההסמכה של ראש הממשלה את ראש הרשות.
היו"ר אברהם דיכטר
¶
אי אפשר לקרוא שלוש פעמים את אותו משפט. הוא לא השתנה מהפעם הראשונה שהיא קראה אותו.
מירי פרנקל-שור
¶
אחר כך אומרים: "הורה ראש הממשלה כאמור", ברגע שהוא הסמיך את ראש הרשות, "רשאי ראש הרשות הלאומית להגנת הסייבר להסמיך עובד מעובדי הרשות הלאומית להגנת הסייבר", עובד שלו שהוא עובד הרשות. לא נציגו אלא עובדו שהוא עובד הרשות הלאומית להגנת הסייבר "לשמש קצין מוסמך לעניין הגוף שלגביו הורה ראש הממשלה כאמור".
הוא יכול להסמיך את עובד הרשות שיש לו את הכישורים הנאותים להיות הקצין המוסמך.
רועי שליים
¶
תיקון סעיף 17
בסעיף 17(ב) לחוק העיקרי, במקום "כאמור בסעיף 21", יבוא "כאמור בסעיף 21(א)".
תיקון סעיף 21
בסעיף 21 לחוק העיקרי, האמור בו יסומן "(א)" ואחריו יבוא:
"(ב) (1) על אף האמור בסעיף 1, רשאי ראש הממשלה להורות כי קצין מוסמך
לעניין גוף מהגופים המנויים בתוספת הרביעית, למעט גוף תקשורת, יהיה ראש הרשות הלאומית להגנת הסייבר. הורה ראש הממשלה כאמור, רשאי ראש הרשות הלאומית להגנת הסייבר להסמיך עובד מעובדי הרשות הלאומית להגנת הסייבר לשמש קצין מוסמך לעניין הגוף שלגביו הורה ראש הממשלה כאמור.
(2) הורה ראש הממשלה כאמור בפסקה (1), יחולו לעניין הגוף שלגביו הורה ראש הממשלה כאמור הוראות חוק זה, בשינויים אלה:
בוועדת ערר כאמור בסעיף 7 לעניין החלטות הנוגעות לגוף כאמור, יהיה חבר הוועדה עובד מעובדי הרשות הלאומית להגנת הסייבר שקבע לעניין זה ראש הרשות האמורה, במקום נציג של שירות הביטחון הכללי כאמור בסעיף 7(3).
בקשה כאמור בסעיף 10א לעיון חוזר בהנחיות מקצועיות שניתנו בידי נציג הרשות הלאומית להגנת הסייבר תוגש למי שקבע לעניין זה ראש הרשות האמורה.
מירי פרנקל-שור
¶
אני רוצה לומר שכאן בעצם מסתיים – זה חלק אחד לעמדתי של הצעת החוק - ההסדר המוצע לעניין העברת הסמכות לעניין התשתיות הקריטיות. הסמכת ראש הרשות והשינויים הנדרשים כתוצאה מהעברת הסמכות לעניין התשתיות הקריטיות מהשב"כ לרשות.
אראל מרגלית (המחנה הציוני)
¶
וזה לפני שהרשות היא גוף סטטוטורי. מה זה בעצם אומר? תסבירי לנו מה הבעיה או חוסר הבעיה בזה.
מירי פרנקל-שור
¶
בהחלט בפגישות המקדימות בינינו לבין הממשלה הערנו ושאלנו מדוע כאשר מסדירים את תפיסת הסייבר בהתנהלות אחרת, במדינה לא נכון להקים באופן סדור את רשות הסייבר, מטה הסייבר, מערך הסייבר, ולשאול האם אין מקום לעגן סטטוטורית כיוון שמה שנעשה כאן, בעצם לקחו את המודל של המלמ"ב שמנחה את מערכת הביטחון, שזאת בהחלט לעמדתי רעה חולה.
מירי פרנקל-שור
¶
המלמ"ב, בדרך בה הוא מעגן, בדרך בה הוא מנחה, האוכלוסייה שהוא מנחה. בהחלט אני חושבת שצריך להידרש לעניין והשאלה אם נכון לקחת את המודל הרע לעמדתי ולשכפל אותו .
מירי פרנקל-שור
¶
אני אסביר לך בדרך שלי. אין ספק לעמדתי שלו היינו הולכים במהלך הדרכים הרגיל, בהחלט היה מקום לשקול באופן מאוד רציני לעגן את מערך הסייבר על נגזרותיו עם הסמכתו בחוק אבל כנראה החיים חזקים יותר והתגלעה מחלוקת בין שב"כ לבין הרשות לגבי העברת הסמכות להנחיית התשתיות הקריטיות וברגע שהגיעו להסכמה, אין מניעה משפטית אבסולוטית להעביר את ההסמכה. לעמדתי יש מחלוקת עם היועץ המשפטי של רשות הסייבר אבל אין מניעה משפטית להעביר את הסמכות בחוק להסדרת הביטחון בגופים ציבוריים מהשב"כ לרשות. אנחנו נראה בהמשך שהרשות מקבלת סמכויות נוספות ושם לעמדתי אנחנו קצת נכנסים ליותר מורכבות אבל אין מניעה משפטית.
אני בדעתך שהיה מקום לעגן באופן סדור יותר, אבל בהחלט אפשר ללכת במתווה הזה.
אראל מרגלית (המחנה הציוני)
¶
אבי, יש לי הערה. אני מוטרד. אני מוטרד מסוג של סדקים במעמד המשפטי, ואולי גם במעמד הביטחוני, אבל כאן אני דווקא סומך על בוקי שיבנה את רשות הסייבר בצורה שתהיה מספיק חזקה.
הדאגה שלי היא כזאת. אנחנו מעבירים כאן סמכות. בחוק השב"כ מעוגנים דברים שהם מאוד עמוקים וחלק מהם לא היה פשוט לציבור לעכל אותם אבל במשך שנים יש את הפרקטיקה ויש את הניסיון ואנחנו מדברים כאן על תשתיות קריטיות. עכשיו אנחנו מעבירים את זה לגוף חדש שאנחנו בעד הקמתו ואנחנו נותנים לראש הממשלה סמכות להנחות את ראש אותו גוף. זה שזה לא גוף סטטוטורי, ואני לא משפטן דגול, זה לא העניין, אבל אני מודאג מהדבר הבא. אני מודאג מזה שהמדינה ניהלה את מערך ההגנה על הסייבר על התשתיות הקריטיות שלה בצורה מסוימת ועכשיו היא משנה את זה והגוף החדש, המעמד שלו עוד לא לגמרי ברור ברמה הסטטוטורית וראש הממשלה עומד מולו.
זה לא סוד שחלק מהדברים האלה שמתנהלים כאן בימינו, תראה, יש לך ראש ממשלה שהוא תחת חקירה, יש לך כל מיני גישות לכל מיני סוגי אינפורמציה, יש לך כאן תהליכים שיכולים לצאת לנו מכלל שליטה.
אראל מרגלית (המחנה הציוני)
¶
אנחנו יושבים כאן כבר כמעט שנה ומתעסקים בתוך התהליך הזה של החוק הכולל של העברת הסמכויות. לפני שאנחנו מגיעים לחוק הכולל, פתאום עושים לנו איזשהו הסדר בין השב"כ לבין הרשות. הרשות עוד לא מעוגנת ברמה הסטטוטורית. אנחנו מאוד מודאגים ברמה הכוללת על עוד דברים. כאן זה החלק הקל יותר של התשתיות אבל בתוך העברת המקל הזה - - -
היו"ר אברהם דיכטר
¶
תרשה לי לקטוע אותך מהסיבה הפשוטה. תראה, יש הליך סביר של חקיקה ואתה מכיר אותו כמו כולנו. אנחנו עברנו דיון. לו היינו חושבים כמוך כוועדה, היינו מצביעים נגד הקריאה הראשונה בגלל הסיבות שאתה מעלה.. החלטנו אז שאנחנו לא מצביעים נגד אלא מצביעים בעד. למיטב זיכרוני זה היה ברוב קולות. אני לא יודע אם אתה היית והצבעת בעד או לא, אבל אני לא זוכר שמישהו הצביע נגד. אנחנו עכשיו בשלב השני וכבר נמצאים בתוך הסיפור. אנחנו לא עוסקים עכשיו בבחינה. או-קיי, אמרת את ההערה, התחלת מוטרד, סיימת מודאג, אני לא יודע בדיוק במדרג אצלך מה יותר חמור.
היו"ר אברהם דיכטר
¶
אני נולדתי מודאג, אז אי אפשר להדאיג אותי יותר מזה, אבל זה בהרבה מאוד נושאים ולאו דווקא בזה. אנחנו עכשיו נמצאים בהכנה לקריאה שנייה שלישית של הצעת חוק שעברה כאן בוועדה ולמיטב זיכרוני הפורום שיושב כאן פלוס נוספים אישרו אותה ולכן אנחנו לא יכולים כל פעם לחזור ל-א' אלא אם קרה משהו דרמטי בפרק הזמן הזה. לא זיהיתי, לא בדבריך ולא במציאות שאני מכיר, משהו דרמטי ולכן אנחנו רוצים להמשיך.
אראל מרגלית (המחנה הציוני)
¶
אני אומר לך איזה דברים דרמטיים קרו בפעם האחרונה. האחד, אנחנו דיברנו כאן על כך שתהיה הוראת שעה.
אראל מרגלית (המחנה הציוני)
¶
בסדר. זה עלה מתוך אמון - כי אחרת זה היה צריך לחכות 45 ימים – בינך לבין שאר חברי הוועדה שזה יגיע ויהיה בהוראת שעה.
היו"ר אברהם דיכטר
¶
היא אמרה את מה שהיא אמרה, לא בגלל שמישהו אחר ביקש את זה ממנה זולת עבדך הנאמן כיושב ראש הוועדה. בהמשך להסכמה של הוועדה. אנחנו יודעים לחבר בין פרקטיקה לאידיאולוגיה.
עוד לא הגענו לדיון על הנושא הזה.
אראל מרגלית (המחנה הציוני)
¶
אבל הדבר השני היה שנעבור על החוק, וזאת הייתה רק קריאה ראשונה, ואנחנו בתוך החוק, נסתכל על הפרטים.
היו"ר אברהם דיכטר
¶
מה לעשות, יש כאן מישהו שנותן את רשות הדיבור. אתה לא יכול לקחת את רשות הדיבור אם אני לא נותן לך.
היו"ר אברהם דיכטר
¶
לא, אתה תקשיב לי. אחת משתיים: או שתקשיב או שתצא מהחדר. אל תביא את המצב למצב שאף פעם לא עשינו אותו ואני מקווה שלא נעשה אותו. אנחנו נמצאים עכשיו בקריאת הצעת החוק. ההתייחסות תהיה לסעיפים. שמענו את ההערה שלך, כל אחד לקח את זה לתשומת לבו, ייקח את זה לכאן או ייקח את זה לשם, אנחנו עכשיו ממשיכים בקריאת הסעיפים. ההתייחסות תהיה לסעיפים. אנחנו לא עוסקים עכשיו במה שעסקנו לפני ההצבעה בקריאה הראשונה. אני מבקש להמשיך.
אראל מרגלית (המחנה הציוני)
¶
אבל אחד הסעיפים אומר שאין לזה מעמד סטטוטורי וכאן אנחנו מודאגים וכאן אנחנו רוצים לשמוע את ההסבר. אנחנו מעבירים את הסמכויות לגבי התשתיות הקריטיות במדינת ישראל לגוף שאין לו מעמד סטטוטורי.
רועי שליים
¶
(3) הורה ראש הממשלה כאמור בפסקה (1) לעניין גוף המנוי גם בתוספת הרביעית וגם בתוספת השנייה, יחולו לעניין הגוף כאמור, נוסף על האמור בפסקה (2), גם הוראות אלה:
נציג הרשות הלאומית להגנת הסייבר יפעל, בכל הנוגע לפעולות לאבטחת מידע באותו גוף, בהתאם להוראות שירות הביטחון הכללי בעניין שמירה על מידע מסווג.
על אף הוראות סעיף 4(א) סיפה, מינוי ממונה ביטחון בגוף כאמור טעון אישור של קצין משטרה ושל נציג הרשות הלאומית להגנת הסייבר.
על אף הוראות סעיף 5(ג)(2), מסלול ההכשרה המקצועית של מועמד לשמש ממונה ביטחון בגוף כאמור, יאושר בידי קצין משטרה ונציג הרשות הלאומית להגנת הסייבר.
מירי פרנקל-שור
¶
אני אתן איזושהי סקירה של החוק להסדרת הביטחון בגופים ציבוריים. יש לכם את זה בסקירה. החוק קובע הנחיה של שני גופים, הנחיה של השב"כ לעניין אבטחת מידע והנחיה של המשטרה לעניין אבטחה פיזית.
החוק מחלק את כל הגופים הציבוריים המונחים לארבע תוספות. הגופים המופיעים בתוספת הראשונה מונחים גם לעניין אבטחה פיזית וגם לעניין אבטחת מידע על ידי השב"כ. הגופים המופיעים בתוספת השנייה, מונחים לעניין אבטחת המידע על ידי השב"כ ולעניין האבטחה הפיזית על ידי המשטרה. הגופים המופיעים בתוספת השלישית מונחים לעניין האבטחה הפיזית על ידי המשטרה והגופים שמופיעים בתוספת הרביעית, זאת התוספת של התשתיות הקריטיות, מונחים על ידי השב"כ. הגופים שעוברים מהנחיית השב"כ להנחיית הרשות, הגופים המופיעים בתוספת הרביעית, למעט גופי התקשורת. זה היה הפרק הראשון שעכשיו סיימנו לקרוא.
מה אומרת הפסקה השנייה. יש גופים שמופיעים לעניין אבטחת מידע בתוספת השנייה אבל הם גם תשתיות קריטיות ומופיעים בתוספת הרביעית. מה שמבקשת הצעת החוק לעגן זה שהגופים שמופיעים בתוספת הרביעית ובתוספת השנייה, יהיו מונחים לעניין התשתיות הקריטיות על ידי רשות הסייבר וגם לעניין אבטחת המידע על ידי רשות הסייבר. זאת נקודה חשובה שאני רוצה להעלות.
אני מפנה אתכם לעמוד 4 בסקירה שלי. אם תתקבל הצעת החוק - אתם רואים בסעיף 18, יש לכם טבלה - מה תהיה חלוקת הגופים בין רשות הסייבר לבין השב"כ.
מירי פרנקל-שור
¶
לעניין אבטחה פיזית שזה שמירה על רכושו של אדם, שמירה על אדם, המשטרה היא הגורם המנחה.
מירי פרנקל-שור
¶
אנחנו נרד אחר כך לפרטים אבל אני רוצה להעלות נקודה. ההסדרה של חוק הביטחון בגופים ציבוריים עוגנה ב-1998. בשנת 2002 חוקק חוק השב"כ וחוק השב"כ קבע שאבטחת סודות מדינה תהיה באחריות השב"כ, אחד מתפקידי השב"כ. כאשר ראיתי את הסעיף שמבקשת הממשלה לעגן לעניין אבטחת המידע, הופניתי למזכר ההבנות שניתן לחברי ועדת המשנה לסייבר, מזכר ההבנות שבין השב"כ לבין הרשות, וכאן לעמדתי יש סוגיה שאני מבקשת מהוועדה להתייחס אליה.
בעצם מה מבקשת הצעת החוק לעגן. היא מבקשת לעגן שסוגיית אבטחת המידע תעבור מהשב"כ לרשות לגופים מסוימים. עכשיו נשאלת השאלה כיצד זה עולה בקנה אחד עם הסמכת השב"כ בחוק השב"כ שהוא אחראי על אבטחת המידע. במזכר ההבנות, אפשר לצטט, נאמר שאבטחת סודות מדינה בגופי התמ"ק, שהרשות תיטול על עצמה את האחריות לאבטחת סודות מדינה בגופי התמ"ק בהתאם למתווה הבא: האחריות לביטחון מערכות מידע שסיווגה הוא בלמ"ס או שמור – ומבחינתי שמור זה כבר מידע מסווג, אמנם ברמה נמוכה אבל זה מידע מסווג – תוטל על הרשות וזאת תפעל על פי מיטב שיקוליה המקצועיים וסמכותה על מנת לממש אחריות זאת.
לגבי סודי, האחריות על ביטחון מערכות מידע שסיווגה סודי ומעלה תוטל על הרשות וזאת תפעל על פי תו"ל שב"כ ובתיאום עם שב"כ לעניין אבטחת סודות מדינה בסיווג סודי ומעלה.
ההסדר לא מובן לי. באופן עקרוני על פי חוק, הסמכות והאחריות לאבטחת סודות מדינה מוטלת על השב"כ. עיגון הסדר מסוים שמעביר סמכויות מסוימות לרשות לעניין אבטחת מידע, צריך להבין מה ההסדר שנרקם כאן כי מה הרציונל? אם הרצון להעביר את הטיפול באבטחת סודות מדינה ואבטחת מידע לגוף אחר על מנת למנוע רגולטור נוסף, צריך להסדיר את זה לעומת חוק השב"כ. אם הרצון הוא להעביר את הסמכות לאבטחת מידע מכל בחינה אחרת, אנחנו לא יכולים להתעלם מכך שבאופן עקרוני התו"ל יהיה תו"ל שב"כ, יהיה כאן צינור, ואיך תתבצע ההנחיה של הדבר הזה?
ענת ברקו (הליכוד)
¶
לצד האמירה שזה לא גוף ביטחוני וזאת לא עוד סוכנות. זאת הנקודה. צריך להדגיש את זה. זאת הבעיה.
אביתר מתניה
¶
אני אפתח ואסביר ואני אשתדל לעשות את זה מאוד פשוט. מה שקורה זה שבתוך תשתיות קריטיות יש הרבה פעמים, המידע שקשור לארכיטקטורה של מערכות, המידע שקשור לאופן ההגנה, נשמר ברשתות נפרדות, הוא מידע שמור והרבה פעמים הוא נשמר ברשתות שמורות. הוא חלק מהותי מההגנה עליהם. הכוונה הייתה שבסוף, כשאתה מגן על גוף, אתה מסתכל באופן כולל כי המידע השמור שם הוא לא מידע שהגיע ממערכת הביטחון אלא הוא סווג כי זאת השיטה היחידה היום במדינת ישראל שבה אתה יכול להפריד רשת ולעשות עליה כללים מסוימים ואתה לא יכול למשל שמידע על איך אני מגן על הרשת תהיה הרשת או ברשת בלמ"סית אחרת. זאת הסיבה בעצם שיש לך הרבה מערכות שמורות בתוך התשתיות הקריטיות.
לכן זה חלק מתורה שלמה של איך אתה מגן על המערכות. כמו שאתה אומר מה לעשות מבחינת איזה אמצעים לשים, איזו פלדלת ומה הצד הלוגי והכול, חלק מהתורה, חלק מהתו"ל שפותח גם אומר מהמידע אתה חייב לשמור מחוץ למערכות כדי שאותו תוקף לא יוכל לראות איך הן מוגנות. לכן זאת הסתכלות שלמה.
בשיחה שהייתה עם השב"כ ועם ראש השירות, הוא בפירוש בידל לחלוטין בין הנושא של מידע עד שמור ומה שמעל, בתמ"ק, משום שאכן עד שמור, ההסתכלות הכוללת היא שהתורה היא חלק מתורה שבין כה וכה נבנית מה שנקרא בהגנה על מערכות קריטיות ואחרות ואבטחת מידע היא חלק מההגנה בסייבר. הרי בסוף בסייבר אתה מגן על מידע, לפעמים ברשתות בלמ"סיות ולפעמים ברשתות שמורות. לכן הוא ראה את זה כמשהו כולל שזה צריך להיות כך שהרשות מטפלת ואחראית וזה חלק מהשלם הכולל.
אם במקרה יש בתוך התשתיות האלה גם מידע שהוא מעל לזה וזה נובע בגלל שיש להם סיבות להחזיק מידע ביטחוני, הוא אומר שאני השירות ממשיך להיות אחראי על זה בתוקף החוק ואני מטפל בזה אבל כמו שאני הרבה פעמים מנחה, הרי אני גם מנחה הרבה פעמים משרדי ממשלה, כאלה שמשם הם אלה שמנחים מתחת, ואני אחראי, ומבחינתי עכשיו ראש הרשות, אני מנחה אותו, אני קובע לו את התו"ל, אני אומר לו מה לעשות, כמו שאני אומר מחר לממונה ביטחון במשרד ראש הממשלה או לאחרים. זאת אומרת, אני לא מסיר, לא מוכן להסיר מאחריותי וסמכותי. דרך אגב, אני חושב שהוא צודק. הרשות לא צריכה לקבל את האחריות אלא את סמכות הביצוע בהתאם להנחיה ולתו"ל המלא של השירות.
זאת הלוגיקה שעומדת מאחורי הסעיף הזה. כלומר, שלמות, קופרהנסיב, בהסתכלות התשתיות הקריטיות ומידע שלפעמים הוא צריך להיות שמור בגלל ההגנה עליהם והארכיטקטורה, ואם במקרה יש אצלו מידע שהוא יותר מסווג, תחת תו"ל והנחיית שב"כ באופן מלא ובהתאם לזה גם כל מה שנעשה, כמו שהוא עושה מול כל גוף אחר שיש לי צינורות אחרים. אין כאן לקיחת אחריות או סמכות מהשב"כ אלא נהפוך הוא.
מירי פרנקל-שור
¶
אני מבקשת להבדיל בין פעולת ביצוע בשטח לבין כאשר מבקשים לעגן את זה בחקיקה בהערה נורמטיבית וערכית. חוק השב"כ לא הבדיל בין סיווגי מידע שונים. חוק השב"כ אומר באופן מפורש שהשב"כ אחראי על סודות מדינה וכאן נוצרה לנו איזושהי הנחיית כלאיים. ברור שהתו"ל נשאר בשב"כ אבל אז ברור גם שהתו"ל, לפי מה שאני מבינה לגבי שמור, תפתח הרשות ידע עצמאי. זאת אומרת, כן יש כרסום באחריות השב"כ על אבטחת סודות מדינה.
מירי פרנקל-שור
¶
הרשות תהיה צינור, אז ייפנו לנציג הרשות והוא ייפנה לנציג השב"כ? לא יודעת. לדעתי זה בלגן. סליחה שאני אומרת אבל אני רוצה להטיל ספק ומחשבה נוספת, האם יש חובה להעביר את אבטחת המידע גם כאשר יש תשתית קריטית לסמכות הרשות. אני חושבת שכן יש מקום שהרשות תנחה בעניין התשתיות הקריטיות והשב"כ ימשיך במסגרת תפקידו על פי חוק השב"כ להנחות בסוגיית אבטחת מידע.
אם תחליט הוועדה לקבל את הצעת הממשלה, אני מבקשת שכן תהיה אמירה לגבי חוק השב"כ מכיוון שלדעתי האמירה כאן אינה עולה בקנה אחד עם חוק השב"כ.
אביתר מתניה
¶
שתי הערות בעקבות מה שאמרת ולסיים את דבריי. האחת, בפירוש אין כאן בידול בין שמור לסודי בחוק וזאת החלטתו של שב"כ מה הוא עושה.
אביתר מתניה
¶
את אמרת שבצד הנורמטיבי בחקיקה אכן אין בידול וזה איך שהשב"כ תופס. אני רוצה להגיד עוד משהו אחד, ונמצא כאן גם יושב ראש הוועדה, הוא לא מנחה ישירות את האדם האחרון או את המערכת האחרונה. ההנחיה שלו היא תמיד בהתאם לזה שיש תחתיו צינורות שעושים את זה, בין אם זה קב"ט, בין אם זה ממונה על ביטחון והם מנחים הלאה. מה שנאמר כאן זה שכמו שכל אחד ממוני ביטחון משרד ממשלתי אחר, הרשות תעבוד תחת הנחייתו המלאה והתורה של השב"כ. הוא יכול גם לפסול אותה, הוא יכול גם לעקר אותה, הוא יכול גם לפעול מולה כמו שהוא יכול לעשות מול כל ממונה ביטחון אחר. הכוונה היא לא לקחת את סמכותו ואחריותו אלא לתת לו אותם כלפי הרשות כשהיא באה לעסוק במידע מסווג. זה מאוד חשוב. אנחנו כמו שאחרים מקבלים.
מירי פרנקל-שור
¶
יש שני גופים שלהם הסמכות והאחריות. הסמכות והאחריות, אין חולק על כך, ממשיכה להיות של השב"כ.
מירי פרנקל-שור
¶
זה לא אותו הדבר כאשר יש לנו ממונה ביטחון בגוף שאחראי על אבטחת המידע והשב"כ מנחה אותו. הוא רק עושה מה שאומרים לו. כאן מתרקם לנו גוף אחר. כאן נוצר בתווך גורם משמעותי מקצועי שכנראה צריך לפתח גם משל עצמו. בסופו של דבר שני גופים בעלי אחריות וסמכות בנושא של אבטחת מידע.
ברוך (בוקי) כרמלי
¶
לו הרשתות או המערכות של הגופים בתשתית הקריטית היו באמת סוד מדינה, כל האנשים שם היו צריכים לעבור תחקיר ביטחוני ולהעלות אותם לרמות האלה של סודי ביותר או מעל כך, כל הרמות שאתם מכירים. זה לא המצב כי זה בלתי אפשרי. כל התשתיות הקריטיות במדינת ישראל, אם היו רוצים להגדיר אותן כסוד, יספר לכם מה זה אומר להעביר את כל עובדי התשתיות הקריטיות במדינת ישראל לדבר הזה. זה לא סוד במובן של סוד.
ברוך (בוקי) כרמלי
¶
אני לא שם. אני רוצה לתת לכם את האספקט הפרקטי של מה זה נקרא אותן רשתות בסיווג בלמ"ס. למה כתבנו בלמ"ס? על בלמ"ס לכאורה לא צריך להיות דיון. רוב התשתיות הטכנולוגיות בגופים הקריטיים, קחו חברה כמו נובל אנרג'י ואחרות, הן בלמ"סיות במהות שלהן. עצם הטכנולוגיה, במה משתמשים, איך זה בנוי וכולי, זה סוג הסוד, אבל העוסקים שם אינם עוסקים בסודות ביטחוניים ולכן מטבע הדברים הם גם לא עולים לרמת התאמה ביטחונית גבוהה.
אראל מרגלית (המחנה הציוני)
¶
למה אנחנו שזאת תשתית קריטית? לא המידע. בתשתית קריטית מישהו מכבה או מדליק את החשמל בחדרה, זה לא מסווג. מה שמסווג שם זה לא הרבה מאוד מהמידע בתוך התשתית הקריטית עצמה אלא איך שומרים על התשתית הקריטית שלא תיפגע.
ברוך (בוקי) כרמלי
¶
לו היו שם סודות מדינה, הם היו בסיווג גבוה ואז נשאר באחריות שב"כ. אין כאן שום מחלוקת בעניין הזה.
אביתר מתניה
¶
לגבי ההנחיה, אני שוב אציין, בדיוק כמו שקב"ט או כל האחרים פועלים לפי הנחית שירות ביטחון כללי, הרשות כאן, בכל מה שקשור במידע שהוא מסווג, פועלת לפי הנחיות שירות ביטחון כללי לחלוטין ובאופן מלא. היא לא יכולה ליצור תו"ל בעצמה.
מירי פרנקל-שור
¶
מה ליישם. מה הסיבה שלא יכולה להיות הנחיה ישירה כמו שהיה עד היום בין השב"כ לבין הגופים?
ברוך (בוקי) כרמלי
¶
גם במשרד ראש הממשלה יש יחידת ביטחון והיא מונה מספר מאוד גדול של אנשים והיא אחראית ליישם את התו"ל שקבע שב"כ אבל היא מיישמת. לצורך העניין, אני יחידת הביטחון לאותם גופי תמ"ג.
עמית אשכנזי
¶
אני רוצה להשלים נקודה יחסית פשוטה. הדיון המקצועי הוא דיון מקצועי חשוב. הנקודה הפשוטה היא שהחוק הזה בסוף מייצר סמכות לקצין המוסמך כלפי הגוף המונחה. הרעיון היה, בסוף יש לנו בין עשרים לעשרים ואחד גופים שיעברו לאחריות הרשות כתוצאה מהמהלך הזה. הרעיון היה שהם רואים מנחה אחד בהקשר הזה וזה המנחה של הרשות הלאומית וזאת המשמעות של הסעיף.
עמית אשכנזי
¶
אני רק מבקש שוב לחזור על מה שאמרתי כדי שהנקודה תהיה ברורה ואז השאלה שלך בעינה עומדת. יש לנו כאן גוף שמייצר תו"ל, להלן השב"כ. הוא מייצר את התו"ל הזה בין מכוח חוק שב"כ ובין מכוח החוק הזה. לאחר מכן יש גוף שמיישם את התו"ל והגוף הזה בסוף פוגש את אותם גופים שמנויים גם ברביעית וגם בשנייה. הרציונל של הסעיף הזה היה רציונל של אחדות המנחים. לא הגיוני שיבואו לאותו גוף שני מנחים על אותו נושא עצמו ויעסקו בזה.
אביתר מתניה
¶
מבחינה מקצועית, אבטחת מידע היא חלק מהגנה בסייבר. פעם קראו לזה אבטחת מידע. הנקודה שאת מתכוונת היא סודות המדינה, אותו אקסטנשן של מערכת הביטחון.
אביתר מתניה
¶
שמירה על סוד של מדינה ושם אתה עובד לפי תו"ל אחד ויחיד שקיים ויש לה רק אחריות אחת מעבר למערכת הביטחון והוא של השב"כ. אבטחת מידע מקצועית היא חלק מההגנה בסייבר. כשאתה מגן בסוף על מאגר משרד התחבורה או כשאתה מגן מחר על מאגרים גדולים או על מרכבה או מחרתיים על מאגר האשראי או אחרים, ההגנה עליהם, אתה מגן על מידע. זאת אבטחת מידע ואבטחת מידע היא חלק מהגנה בסייבר. אתה מגן על מערכות כמו גנרטורים ואתה מגן על מאגרים. זה הכול ביחד. לכן אבטחת מידע עקרונית היא חלק מעולם ההגנה בסייבר. הנקודה שאת שמת שמופיע כאבטחת מידע בחוק מתייחסת לסודות מדינה. לכן זה בתוספת השנייה ולא ברביעית וזה נקרא אבטחת מידע ושם השב"כ ממשיך להיות הסמכות היחידה.
מירי פרנקל-שור
¶
בחוק השב"כ, יש לך את סעיף הייעוד ואת סעיף התפקיד. בסעיף 7(ב)(2) מדובר שלעניין סעיף זה ימלא השירות תפקידים אלה: אבטחת אנשים, מידע ומקומות. לא מדובר על אבטחת סודות מדינה.
עמית אשכנזי
¶
אני רוצה לקחת צעד אחורה כי לדעתי יש כאן אי הבנה בין המציאות לבין החוק. הביטוי אבטחת מידע, הוא ביטוי, כפי שבוקי הסביר, של דיסציפלינה, איך אני שומר על מערכות מידע באשר הן שם מפני תקיפות. בא החוק להסדרת הביטחון ולקח את הביטוי הזה שבחקיקה אחרת מוגדר יותר כללי. בחוק הגנת הפרטיות, אבטחת מידע מוגדרת בתור הדיסציפלינה באשר היא שם ובחיים זאת דיסציפלינה אחת. היא לא מורכבת לפי איך שאנחנו עושים תבניות חוקיות. בחוק להסדרת הביטחון יש אבטחת מידע לצורך מניעת נפילה של הגנרטור, זאת אבטחת מערכות ממוחשבות חיוניות, ויש אבטחת מידע לטובת מניעת דלף של מידע מסווג, אבל בחיים, וזה מה שאנחנו בעצם מנסים להגיד, יש את אותו צוות שעובד מול אותם מנחים והם מיישמים את אותה דיסציפלינה כדי למנוע תקיפות מידע ולוחמת מידע כנגד הארגון. על מנת לייצר את אחדות המנחה, בכפוף לדיסציפלינה כי אנחנו לא כופרים בסעיף שאמרת – אם היינו כופרים בסעיף שאמרת, היינו מתיימרים עכשיו להגיד שאנחנו המנחה הלאומי בנושא הסודות אבל נאמר כאן בצורה מאוד מאוד ברורה לא היא. אבל לחוק הזה יש שני מקטעים, יש את היחסים בינינו לבין שב"כ, שזה הסעיף שהקראנו כרגע שמסביר את הכפיפות הזאת, ויש את היחסים בינינו לבין הגוף המונחה, ובינינו לבין הגוף המונחה אנחנו מיישמים את הדיסציפלינה.
ענת ברקו (הליכוד)
¶
אבל יכולה להיות התנגשות בין שני הגופים. בעיקר מה שמדאיג אותי זה הקטע של חירום שבסופו של דבר יכולה להיות סיטואציה, וזה לא משהו שהוא לא מציאותי, שאתם לא תרצו לעשות את המעבר לחירום או תרצו לעשות אותו קודם והשב"כ אולי כדי לאתר את התוקף ירצה למשוך את זה עוד קצת, ואז מי הסמכות שתחליט כאן? אז נחכה לטריבונל? זאת הכול תשובה של מהירות שיא. יש כאן בעיה גם בקטע של מיקוד האחריות. אני מרגישה שאין איזושהי נקודה מאוד מאוד ברורה מי לוקח אחריות בנקודות קריטיות בזמן חירום. זאת הבעיה שלנו.
אביתר מתניה
¶
יש לזה תשובה. כל מה שנעשה כאן, לא קשור לחירום. אני מדגיש את זה. אני לא מזלזל בשאלה שלך אלא להפך, אני מסכים שחירום הוא נושא חשוב שצריך לטפל בו בצורות אחרות. כל מה שנעשה כאן, זה מעולם האופ-ליין. כלומר, עולם ההנחיה ובניית העמידות של הגופים האלה. זה לא קשור בכלל לפעולת חירום. אם מחר יש חירום וצה"ל אחראי על המון דברים במדינת ישראל כי זה חירום, זה לא קשור בכלל לנושא של מי מנחה ומי אומר מה התו"ל ומה צריך לעשות. אלה שני דברים שונים. לכן הדאגה שלך היא במקומה ואנחנו נתייחס אליה בעתיד במקום אחר. במקום הזה הכוונה רק לעולם ההנחיה, כך תבנה את המערכות שלך, כך תגן עליהן, כאן תשים דלתות, כאן תשים רב בריח, הנה הלוגיקה שאתה צריך לפעול, כאן תפריד בין מערכות, כאן תעשה כך.
אביתר מתניה
¶
לא יכול להיות כי זה נבנה בצורה שיהיה מאוד ברור. כדי שלא תהיה התנגשות סמכויות כשזה מגיע למערכות מסווגות, מי שקובע את השיטה ואת התורה ואת הכול, זה השב"כ. הוא מנחה והוא קובע בדיוק כדי שלא תהיה התנגשות. אותו אדם ברשות חייב לציית בתו"ל שם לשירות ביטחון כללי.
איל בן ראובן (המחנה הציוני)
¶
אם אני מבין נכון, נדמה לי שהוויכוח כאן הוא על הגדרת האחריות לנושא אבטחת המידע. כאשר זה בלתי מסווג, אז אין בעיה. כאשר זה מאוד מסווג, גם כאן אין בעיה בעניין הזה. יש כאן את סוגיית השמור.
איל בן ראובן (המחנה הציוני)
¶
אני מנסה לומר שאבטחת המידע, אם השמור, כולל שמור, נמצא בידי השב"כ על פי ההנחיה, בזה נפתרת הבעיה.
איל בן ראובן (המחנה הציוני)
¶
אם התו"ל המחייב של השב"כ הוא לגבי שמור ומעלה, זה ברור. כשזה לא מסווג, אין בעיה. הבעיה היא שיש כאן פער אמצע שהוא חצי-חצי. אגב, תמיד מתווכחים עליו כי הוא לא בדיוק ברור. את המקטע הזה, אם הוא עובר לרשות השב"כ על פי חוק השב"כ, נדמה לי שזה פותר את הנושא.
איל בן ראובן (המחנה הציוני)
¶
עכשיו אנחנו מדברים על מה יהיה מהיום בעניין הזה. אני אומר שמהיום, אם אנחנו מגדירים את מסווג מאוד שנשאר בידי השב"כ - - -
היו"ר אברהם דיכטר
¶
האם בהעברה משב"כ, כמו שמופיע כאן בסעיף הזה, "נציג הרשות הלאומית להגנת בסייבר יפעל בכל הנוגע לפעולות לאבטחת מידע באותו גוף בהתאם להוראות השב"כ בעניין שמירה על מידע מסווג". אומרת מירי, היועצת המשפטית של הוועדה, ואני מתרגם לשפה אופרטיבית, שיש שמור ויש כל השאר ובכל השאר השינוי הוא בכך שבין הגוף המבצע – ממונה הביטחון והגופים המונחים – לבין שב"כ נכנס גוף נוסף שהוא מנחה על פי ההנחיות של שב"כ. הוא לא גוף ביצוע אבל הוא גם לא גוף מנחה מקורי אלא הוא תת מנחה. אומרת מירי שהסיטואציה הזאת יוצרת לה בעיה כי היא לא מבהירה היכן חונה האחריות, בשב"כ או ברשות.
ר.
¶
אני אשיב לאדוני. קודם כל, העמדה המקצועית של שב"כ איננה סוד. אדוני יושב ראש הוועדה וחברי הוועדה מכירים אותה היטב והיא לא השתנתה אלא היא כפי שהייתה. יחד עם זאת, לאחר שהתקבלה החלטת ממשלה 244, אנחנו ישבנו יחד עם ראש הרשות והגענו למתווה הסדרה שצריך לומר שלא נוסח על ידי משפטנים ולא בכדי, כי אם משפטנים היו מנסחים אותו, לא היינו מגיעים לכדי נוסח מוסכם. סעיף הסל הוא סעיף 7 בהסדרה ואנחנו כמובן דבקים בו ומחויבים לו כלשונו.
יחד עם זאת צריך לומר שיש פער בין נוסח ההצעה כפי שמונחת בפני חברי הוועדה לבין ההסדרה כפי שהיא נחתמה ביוני שנה זו. יש פער. זאת אומרת, איך שהסעיף כתוב כיום בעצם שב"כ נותר אחראי על נושא אבטחת סודות מדינה כי כך נקבע בחוק השב"כ וכך גם נקבע בהסדרה ששירות הביטחון הכללי הוא המנחה על פי חוק לעניין.
היו"ר אברהם דיכטר
¶
תרשה לי לשאול אותך. הלכת קצת מסביב מבחינתנו כוועדה. אני שואל שאלה. בסוף תמיד את הבדיקה הכי טובה עושים בתקלה. שם הנקודה הכי טובה. עכשיו אני שואל. יש תקלה בגוף מונחה, תבחרו אתם את הגוף המונחה, ומסתבר שההנחיה לגבי אבטחת המידע לא הייתה נכונה ולא הייתה מספקת. זאת אומרת, הגוף המבצע ביצע את ההנחיה ולמרות הכול הייתה תקלה. מי נושא באחריות, שב"כ או הרשות שהייתה זרועו הארוכה של שב"כ לסוגיה הזאת?
ר.
¶
שוב, אדוני, אם קוראים את ההסדרה, ההסדרה מדברת על שני רבדים של אבטחת סודות מדינה. באבטחת סודות מדינה במדרג שמור, ראש הרשות יפעל בהתאם למיטב שיקול הדעת שלו וההנחיות המקצועיות שהוא יקבע לעצמו. האם הוא כפוף לכללי שב"כ לעניין אבטחת מידע? אני לא יודע. זאת שאלה מעניינת. אני מדבר עכשיו על שמור. מעל שמור הוא מחויב לתו"ל השב"כי. כך קובעת ההסדרה. אני מפנה את יושב ראש הוועדה לסעיף 7(ב) להסדרה שמונה את הדברים בצורה מאוד ברורה.
מירי פרנקל-שור
¶
יש לך גם מסמך נוסף. אני לא יודעת אם זה ההסכם שלכם. מתווה להעברת שטח הפעולה בתחום פעולות אבטחת מערכות ממוחשבות חיוניות. כאן בסעיף 4 גם כתוב שהרשות תיטול על עצמה את האחריות לאס"ם בגופי התמ"ק. "האחריות לביטחון מערכות שסיווגן בלמ"ס או שמור תוטל על הרשות וזאת תפעל על פי מיטב שיקוליה המקצועיים וסמכותה על מנת לממש אחריות זו.
האחריות לביטחון מערכות מידע וסיווגה הסודי ומעלה, תוטל על הרשות וזאת תפעל על פי תו"ל שב"כ ובתיאום עם השב"כ לעניין אבטחת מדינה בסיווג סודי ומעלה".
אפשר לקבל את זה, רק צריך להתאים את החקיקה בהתאם.
היו"ר אברהם דיכטר
¶
אני מצטער מאוד, שאלתי אותך שאלה מאוד ברורה ולא קיבלתי תשובה אלא קיבלתי סיפור. אנחנו רוצים כוועדה להבין. בתקלה שתיארתי לפני רגע, מי נושא באחריות, האם זה שב"כ או האם זו הרשות?
היו"ר אברהם דיכטר
¶
הגוף המונחה לא נושא באחריות מפני שהוא עשה בדיוק את מה שהוא הונחה לעשות. עכשיו האחריות חונה אצל אחד משני המנחים, מנחה האב או מנחה הבן, סליחה על ההיררכיה. השאלה שלי היא מבחינת שב"כ, איפה חונה האחריות.
ר.
¶
אדוני מבין שלעניין אס"ם בדרגת שמור אם ראש הרשות הפעיל את מיטב שיקול הדעת שלו ולצורך העניין החליט לרצף את הכניסה לגוף המונחה במידע בסיווג שמור כי כך הוא החליט, כי אז איזו אחריות יכולה להיות לראש השב"כ על פעולות שביצעה הרשות?
היו"ר אברהם דיכטר
¶
רוני, אנחנו אנשים שעובדים בשלבים. שלב ראשון אתה אומר שאם זה שמור, על פי שב"כ זאת אחריות הרשות.
היו"ר אברהם דיכטר
¶
אני רוצה להבין בקצב שלנו. סודי וצפונה, בתקלה הזאת האחריות חונה אצל השב"כ או אצל הרשות?
ר.
¶
אדוני היושב ראש היה ראש שב"כ ולכן הוא יודע היטב שראש שב"כ לא יברח מאחריות אלא ייקח את מלוא האחריות על האירוע.
ר.
¶
לרבות בשמור, כי מן הסתם בסופו של יום הוא יצטרך לעסוק ולוודא אבל האם הדבר עולה בקנה אחד עם ההסדרה?
היו"ר אברהם דיכטר
¶
חקיקה היא לא הסדרה. חקיקה היא חקיקה. לכן, כשאנחנו מדברים על אחריות, אנחנו רוצים להבין בדקירת סיכה.
היו"ר אברהם דיכטר
¶
הבנו היכן חונה האחריות. אגב, האם אתם מסכימים לאמירה הזאת שהאחריות חונה אצל ראש השב"כ?
ר.
¶
אדוני היושב ראש, כפי שאני קורא את חוק שב"כ, האחריות היא של שב"כ. יחד עם זאת, יש מסמך הסדרה שלו אני מחויב באופן מלא ואנחנו ננהג על פיו. שוב, אם ישאל אותי ראש השב"כ האם הוא מסיר מעליו את האחריות באופן מלא, תשובתי תהיה כנראה שלא.
מירי פרנקל-שור
¶
הוא לא יכול להסיר. אם אנחנו רוצים לעגן את ההסדרה שהשב"כ הגיע אליה, צריך לעשות תיקון חקיקה.
גבריאלה פיסמן
¶
משרד המשפטים. אני רוצה להבהיר. אין כאן שינוי מבחינת תפיסת האחריות של שב"כ. מה שיש כאן, יש כאן הצגה של מודל הנחיה שהוא שונה מהמודל המקובל היום שהוא בעצם מודל של הנחיה עקיפה. בעצם שב"כ דרך הגוף החדש ינחו לעניין מידע מסווג. הדבר הזה לא מוריד מאחריות ולא משנה ואין כאן גם אמירה - - -
ר.
¶
סליחה, חברתי. המודל הבסיסי ב-ב(84) היה בעיקר הנחיה עקיפה אבל בסופו של דבר ההנחיה בוצעה כהנחיה ישירה. מי שקורה את ב(84) המקורי.
גבריאלה פיסמן
¶
המודל הזה החדש שקיים כאן בחוק, קודם כל, זה מודל שאנחנו שוקלים אותו גם בהקשרים של גופים מנחים אחרים. יש לו תועלות משני הכיוונים, גם מכיוון הגוף המנחה וגם מכיוון הגוף המונחה. אם אנחנו חושבים בצורה הגיונית על זה שבאותה מטריה גוף מונחה יונחה בשני ראשים לעניין אבטחת מידע, יש כאן בעיה, יש כאן חוסר נוחות, יש כאן עבודה מול שני ראשים וזה יכול ליצור אי נוחות גם של הגוף המנחה וגם של הגוף המונחה. יש כאן כפילות. כל הדבר הזה נחסך באמצעות זה ששב"כ עומד בראש המערכת, ממשיך להחיל את האחריות המלאה שלו באותו אופן שהוא חל היום מכוח חוק השב"כ, רק עושה את זה באמצעות הרשות.
היו"ר אברהם דיכטר
¶
דווקא בגלל שהגענו לפינה המשפטית מבחינת החקיקה, אני שואל את מירי ומתכוון גם לכל מי שעוסק בניסוח המשפטי של הדברים, האם אנחנו יכולים לקחת את הסעיף הזה לעצב אותו בהתאם לדברים שנשמעו כאן גם מנציג השב"כ וגם מאחרים באופן שיבהיר באופן חד משמעי איפה נשארת האחריות גם אחרי שהחוק הזה יעבור.
מירי פרנקל-שור
¶
הוועדה צריכה לקבל החלטה האם לעגן את ההסדר שנחתם בין השב"כ לבין הרשות מכיוון שלמיטב הבנתי, וזו עמדתי, יש כאן כרסום בסמכות תפקיד השב"כ לעניין אבטחת המידע. צריך להבהיר את הדברים האלה. אפשר להחליט כל החלטה וכל החלטה היא לגיטימית. כאשר אנחנו מגיעים לחקיקה, הדברים חייבים להיות חד משמעיים.
עמית אשכנזי
¶
אדוני היושב ראש, אני מבקש להבהיר ואני אעשה זאת מאוד קצר. אנחנו לא מסכימים משפטית עם הניתוח של היועצת המשפטית מסיבה מאוד פשוטה. בעיני האחריות נגזרת מזה שהכנסת חוקקה סעיף ויצרה את מוסד ההנחיה העקיפה ובאותו רגע בדיוק ברור שהכנסת עצמה, בכך שהיא כתבה את זה, אנחנו לא כותבים אחריות של עובדי ציבור – סמכות אנחנו כותבים אבל אחריות נגזרת מהסמכות – וברגע שהסמכנו את הרשות לעשות את הדבר הזה, אתה בזה אמרת בצורה מאוד ברורה את מה שאמרת ואז, כשיקרה האירוע לא עלינו שיקרה, יצטרכו לנתח איפה הייתה התקלה. אם התקלה הייתה בתו"ל, התקלה היא של שב"כ. אם התקלה הייתה במימוש התו"ל, התקלה היא של מי שעשה את זה וזה לא שונה מכל סיטואציה אחרת שעכשיו יש מחדל אבטחה במשרד ממשלתי כלשהו.
היו"ר אברהם דיכטר
¶
החוק עוסק במי המנחה ומי המבצע את ההנחיות. אמר את זה כאן נציג השב"כ בצורה מאוד ברורה, האחריות חונה אצלם. הוא הבהיר את זה בצורה מאוד ברורה.
אביתר מתניה
¶
גם היום כאשר מנחים תשתיות קריטיות ומנחה היום השירות למשל את קב"ט משרד האוצר והוא זה שמנחה אחרי כן את הגופים מתחתיו, זאת הנחיה עקיפה. האחריות של ההנחיה והתו"ל נמצאת בשירות, הביצוע נמצא בגוף הסופי ויש באמצע מתווך. מאוד ברור מה האחריות של כל אחד. המתווך חייב לעמוד בתורה ובתו"ל שאמרו לו ובהנחיה ואם הוא לא עומד בהן, הוא אחראי. אבל אם הוא עמד בהן והנחה כראוי ומימש את הדברים כמו שאמרו לו לעשות לגבי ההנחיה, איזה תהליכי בקרה, איזה תהליכי הסדרה, מה לבדוק, כיצד, מה חשוב ומה לא חשוב והוא עובד, הוא זה שבסוף מבצע את העבודה – הוא ביצע את עבודתו כראוי. זה נמצא בהרבה מבנים במדינת ישראל. אין מישהו בשב"כ ישירות, גם בעולם האבטחה הפיזית. יש באמצע מתווכים שהם מתווכים חשובים מאוד עם אחריות ברורה מאוד.
לגבי ההערה על השמור. אני מבין שאת מודאגת מהבידול בין השמור לסודי.
אביתר מתניה
¶
הערה אחת לגבי הנושא הזה ואיך אני רואה את זה לא כמשפטן אלא בראייתי מבחינת הגיון פשוט. אין שינוי באחריות השב"כ הכוללת למידע מסווג משמור ומעלה. זה מה שאת מעירה. אין שינוי.
אביתר מתניה
¶
עזבי את מה שנחתם. אני אומר תכף איך אני רואה את זה. אין שינוי לא בחוק שב"כ וגם אין שינוי כאן בזה שהשב"כ אחראי על מידע מסווג. כך כתוב כאן. עכשיו בא השב"כ והוא קובע בהסדרה בינינו אילך הוא רוצה להנחות את הדברים והוא אומר אני, בעולם השמור, יש הרבה סוגי תו"לים, יש הרבה מאוד דברים, אני רואה ברשות כמי שיכול לבנות ולעשות תו"ל כזה. לעומת זאת, מעל זה אני לא מוכן שאף אחד ייגע. זאת אומרת, זאת כבר אחריותו כמנחה וכאחראי. יכול מחר השב"כ לומר, לא, אני לא מכיר בשמור שמישהו יכול אבל היום הוא אומר שהוא חשוב שזה בסדר כי הוא הולך להפריט את זה בהרבה מקומות. זאת ההנחיה המקצועית שלו בעולם השמור.
מירי פרנקל-שור
¶
חברים, החוק בחוק השב"כ אינו מבדיל בין שמור לבין סודי. נכון? הוא מדבר על אבטחת מידע.
מירי פרנקל-שור
¶
הוא מדבר על אבטחת מידע. בייעוד נדמה לי הוא מדבר על אבטחת סודות מדינה ובתפקיד האופרטיבי הוא מדבר על אבטחת מידע. אפשר לעגן את הכול. אני לא יודעת מה זה הנחיה עקיפה, אני יודעת מה זה פיקוח ובקרה. כאשר אתה אומר פיקוח ובקרה, זה אחרת מאשר כתיבת התו"ל. נכון? אותו ממונה ביטחון, ואני רוצה להתייחס לנושא של ריבוי הרגולטורים, זה נתון לכאן ולכאן. אם השב"כ כותב את התו"ל ואתה רק הצינור, אז להפך, עדיף שיהיה לו רגולטור שהוא בנושא של אבטחת מידע. נשאל אותו מה המשמעות.
מירי פרנקל-שור
¶
לא. אני לא אמרתי שאני מחליטה. נכון, אבל אנחנו שואלים מה המשמעות של הדברים שעומדים לעגן. זאת שאלה מקצועית למה שאביתר אמר שאני שואלת כאן את המומחים האם יש חובה שמעבירים את ההנחיה לעניין התשתיות הקריטיות גם להעביר את ההנחיה לגבי אבטחת מידע. אני לא יודעת. זאת לא שאלה משפטית אלא שאלה מקצועית שחברי הכנסת יצטרכו לתת את הדעת על כך.
לכן אני אומרת, בוקי, אם הנושא הוא פיקוח ובקרה, אז אנחנו יודעים איך להתמודד עם נושא פיקוח ובקרה וכתיבת התו"ל. אלה שתי פאזות. אם אנחנו מדברים על סמכות ואחריות ועל הנחיה ועל פיתוח תו"ל עצמאי, זה נכנס למגרש של השב"כ ועל זה גם צריך לתת את הדעת.
מה שתחליטו, אפשר לעגן אבל חייבים לקבל החלטה.
אראל מרגלית (המחנה הציוני)
¶
הערה. בסופו של דבר החוק הזה הוא חוק מקדים לחוק הרחב יותר. החוק הרחב יותר הרי הולך להיות מחוקק ואם אני מבין נכון, בחוק הרחב יותר כן ניתן לרשות מעמד סטטוטורי או לא?
אראל מרגלית (המחנה הציוני)
¶
הרעיון להקים כאן עוד גוף סטטוטורי שיש לו מעמד ברור במדינת ישראל והוא, כפי שאת אמרת, עוד גוף עם סמכויות.
אראל מרגלית (המחנה הציוני)
¶
לא, אלה לא המשפטנים. המשפטנים נותנים לנו את דעתם. אני מציע שבשלב זה ועד שיוסדרו הדברים ברמה הסטטוטורית, נשאיר את הדברים. ברמה האופרטיבית אנחנו מבינים. ברמה הסטטוטורית הדברים נשארים אצל השב"כ כאחריות עליונה והיה ואחר כך בחוק הכולל אנחנו נרצה לתת להם מעמד מיוחד סטטוטורי בחלק מהדברים ולהעביר את זה אליהם, נעשה זאת.
מירי פרנקל-שור
¶
מה זה ברמה האופרטיבית? אם יש רמה אופרטיבית ומשתנה המציאות, זה צריך לבוא לידי ביטוי בחוק.
היו"ר אברהם דיכטר
¶
אנחנו מתחילים להגיע לסוגיה הזאת ומירי שמה את הדילמה בצורה מאוד ברורה. האם אנחנו רוצים לשנות את הגוף שנושא באחריות, להעביר פלח מאחריות שב"כ לרשות – זה סיפור שאני לא רואה אותו כרגע קו רה.
ענת ברקו (הליכוד)
¶
גם ההגדרה לא נכונה כי משמור זה כבר מסווג. זאת אומרת, ההגדרה צריכה להיות מבלמ"ס ואז יש כאן בעיה.
היו"ר אברהם דיכטר
¶
אנחנו צריכים להיות גם פרקטיים. כשאתה קובע אחריות עוברת, זה דיון אחד וכשאתה קובע אחריות נשארת, זה דיון אחר. זאת אומרת, אם האחריות עוברת, המשפטנים יצטרכו לשבת ולנסח את הדברים האלה. אפשר לשחק עם הרבה דברים אבל לא עם אחריות וזה בדין ובצדק.
אני שואל אותך, מירי.
מירי פרנקל-שור
¶
אני מעולם לא משתמשת במילה תיאום מכיוון שתיאום סובל את המנעד בין הודעה לבין הסכמה. חקיקה חייבת, בטח בנושאים האלה, להיות מאוד מאוד ברורה וגם הסעיף מבחינתי מעורר שאלות. כאשר הכנסת מחליטה, לדעתי החוק לא צריך להיות נתון לפרשנויות מלכתחילה ולהיות מעורפל.
מירי פרנקל-שור
¶
עדיין לא הבנתי מה ההחלטה. ההחלטה אם לאמץ את עיגון ההסדר, בסדר, אז אני מבקשת זמן לבדוק ולהציע נוסח אחר.
היו"ר אברהם דיכטר
¶
לא. לפני שאת מעגנת, אנחנו רוצים להסביר מה אנחנו כוועדה רוצים להוביל. אם אני מבין נכון, עד עכשיו, אני אומר לחברי הוועדה כי אנחנו רוצים להצביע על הצעת החוק בסופה, אבל הסעיף הזה, לבודד אותו לעצמנו. אם אנחנו מסכמים את מה שהבנו כאן, בעצם אפילו גם מאנשי הרשות, אין כוונה לשנות או לגרוע או לכרסם באחריות שב"כ לנושא הזה של אבטחת מידע למעשה מרמת שמור ומעלה. כולל שמור?
היו"ר אברהם דיכטר
¶
אם הנושא הזה גם מובן לכולנו וגם מוסכם על כולנו, עכשיו אני מבקש ממירי שתוביל את הניסוח, איך הניסוח צריך להיות באופן שהוא יבהיר את זה בצורה שאינה משתמעת לשתי פנים.
היו"ר אברהם דיכטר
¶
אמרנו שאין שינוי באחריות. לגבי מידע מסווג הבהרנו את עמדת הוועדה. מכאן אנחנו כוועדה לא יודעים לנסח ואני חושב שזה בדיוק היתרון שלכם.
מירי פרנקל-שור
¶
זה לא רק עניין של ניסוח אלא זה גם עניין עקרוני. האם בסופו של דבר הוועדה מקבלת את ההסדרה שנחתמה בין השב"כ לבין הרשות. זאת אומרת, גם אם אנחנו אומרים שאין בהוראות סעיף זה כדי לפגוע בסעיף 7(ב)(2) לחוק השב"כ, השאלה שלי עדיין נשארת והיא איך זה עולה בקנה אחד עם ההסדרה לגבי השמור.
היו"ר אברהם דיכטר
¶
ההסדרה היא לא חוק. יכול שב"כ לקחת מחר את המלמ"ב ולומר לו, שמע, אני עמוס מאוד בלחימה בטרור בעזה, אנשי אבטחת המידע שלי לא יכולים להרים את הנושא הזה, נא תהיה צינור בינינו לבין הגופים המונחים במשרד התחבורה. לא כרסמת כהוא זה בסמכות שב"כ אלא נעזרת בגורם מקצועי מוסמך וכולי. כך גם הרשות.
אראל מרגלית (המחנה הציוני)
¶
זה לדעתי מצוין. למה? כי אנחנו בחוק הכולל, אם נרצה איזשהו מעמד סטטוטורי, נחוקק אותו. אם נרצה להעביר סמכויות מסוימות כאחריות על שלהם שנחשוב שצריך לעשות, נעשה את זה. אבל עד אז הם הגורם הפרקטי והשב"כ נשאר האחראי.
רועי שליים
¶
על אף הוראות סעיף 4(א) סיפה, מינוי ממונה ביטחון בגוף כאמור טעון אישור של קצין משטרה ו של נציג הרשות הלאומית להגנתה סייבר.
מירי פרנקל-שור
¶
מינוי ממונה ביטחון יש לנו גם בתשתית הקריטית. הערתי מקובלת עליכם, עמית. יש ממונה ביטחון שהוא רק אחראי על התשתיות הקריטיות ויש ממונה ביטחון שהוא אחראי גם על התשתיות הקריטיות וגם על אבטחת מידע. הוא נושא בשני כובעים. לכן לאחר שהובהר, אם השב"כ הוא הסמכות המקצועית העליונה, אני מציעה לפצל. מינוי ממונה ביטחון שממונה רק על הנושא של התשתיות הקריטיות יאושר על ידי רשות הסייבר, ואם הוא נושא בשני כובעים, מינויו יאושר על ידי השב"כ.
עמית אשכנזי
¶
אני מקבל לגמרי. אני מפנה את תשומת הלב כדי שלא נשכח בשלב הנסחות לסעיף 2א סיפה של החוק להסדרת הביטחון. בסעף 2א סיפה נאמר שגוף שהוא גם אחראי אבטחות מערכות ממוחשבות, שזה בעצם הממונה המוסמך של התוספת הרביעית, הכשירות שלו תיקבע בידי הקצין המוסמך לעניין התוספת הרביעית אבל היה ובגוף יש ממונה שמונה לפי התוספת השנייה, הרי שזה יכול להספיק לו להיות ממונה כאחראי מערכות ממוחשבות. ולכן אנחנו צריכים גם לבדוק אם אנחנו לא צריכים לתקן, אגב ההערה שלך, את הסיפה של סעיף 2א.
אראל מרגלית (המחנה הציוני)
¶
יש כאן מחשבה לשנות את האנשים שאחראים היום על הדברים האלה בתוך הגופים האלה?
מירי פרנקל-שור
¶
נבדוק את זה. אני לא יכולה תוך כדי.
לגבי סעיף קטן (ג), אותו הדבר. מדובר על מסלול ההכשרה. מסלול ההכשרה הוא בהתאם לתו"ל. מסלול ההכשרה יאושר על ידי, במקום נציג הרשות הלאומית להגנת הסייבר, השב"כ.
עמית אשכנזי
¶
אני שוב מבקש לחדד כי זה חשוב. יש הפניה הרבה יותר משמעותית של הממונה לעניין התוספת השנייה ולכן כשאנחנו באים להסמיך לעניין אבטחת מערכות ממוחשבות, שם מי שנושא באחריות ולכן צריך לוודא הלימה שלמה בין אחריות לבין מינוי האנשים.
היו"ר אברהם דיכטר
¶
מרגע שהסכמנו על השינוי בנוסח כאן, ההתאמות והנגזרות בסעיפים האחרים מובנים מאליהם ואני סומך עליכם בנושא הזה.
אנחנו ממשיכים.
רועי שליים
¶
(4) בסעיף זה -
"גוף תקשורת" – גוף מהגופים המנויים בפרטים 4, 15 או 20 עד 27 לתוספת הרביעית, או גוף אחר שהוא בעל רישיון כאמור בסעיף 13(א) לחוק התקשורת (בזק ושירותים), התשמ"ב-1982 ושניתנו לגביו הוראות כאמור בסעיף 13(ב) לחוק האמור.
"נציג הרשות הלאומית להגנת הסייבר" – ראש הרשות הלאומית להגנת הסייבר או מי שראש הרשות כאמור הסמיכו לשמש קצין מוסמך לפי הוראות פסקה (1).
"הרשות הלאומית להגנת הסייבר" – הרשות הלאומית להגנת הסייבר שייעודה הגנה על מרחב הסייבר, אשר הוקמה על פי החלטת הממשלה ופועלת בהתאם להחלטותיה".
הוספת סעיף 21ב
אחרי סעיף 21א לחוק העיקרי יבוא:
"21ב. תחולת החוק על מערך הסייבר הלאומי
חוק זה יחול על מערך הסייבר הלאומי, בשינויים אלה:
ראש הרשות הלאומית להגנת הסייבר או מי שהוא הסמיך לכך ישמש קצין מוסמך וימנה ממונה ביטחון ומאבטח במערך הסייבר הלאומי.
ממונה ביטחון במערך הסייבר הלאומי יהיה אחראי על ארגון וביצוע פעולות לאבטחת מידע ופעולות לאבטחת מערכות ממוחשבות חיוניות, ועל פעולות אבטחה פיזית ככל שהן נדרשות לצורך כך, וכן על הפיקוח על פעולות אלה.
הוראות סעיפים 8, 10א ו-15 לא יחולו על מערך הסייבר הלאומי.
בסעיף זה, "מערך הסייבר הלאומי" – מערך הסייבר הלאומי אשר הוקם על פי החלטת הממשלה ופועל בהתאם להחלטותיה, והכולל את הרשות הלאומית להגנת הסייבר ואת מטה הסייבר הלאומי".
מירי פרנקל-שור
¶
נתחיל מפסקה (3). אני מבקשת להשמיט את סעיף 8. אני אקדים משפט. עכשיו אנחנו מדברים איך רשות הסייבר תנחה את עצמה, מהבית פנימה. סעיף 8 לחוק להסדרת הביטחון מדבר על פסילת מועמד ומתן אפשרות למועמד לערער על פסילתו. אין שום סיבה להחריג את ההסדרה הזאת לעניין פסילת מועמד ברשות הסייבר ואני מבינה שההערה מקובלת עליכם.
עמית אשכנזי
¶
המחיקה מקובלת ואם אנחנו נוגעים בסעיף, אני רוצה לבקש עוד חידוד בסעיף הזה. אנחנו התכוונו שהוראות סעיף 15 שעוסקות בכניסה למקום, הן לא נדרשות כאן כחלק מהסמכויות של האבטחה העצמית שלנו, אבל צריך להבהיר שסעיף 15 נדרש גם נדרש ככל שהוא נדרש להפעלת הסמכות של הקצין המוסמך ביתר החוק. לכן נדמה לי שצריך לכתוב משהו כמו הוראות סעיפים 8, 10א ו-15 לא יחולו על מערך הסייבר הלאומי לעניין סמכויות לפי סעיף זה או משהו מסוג זה. סעיף 15 הוא סעיף מאוד משמעותי ליתר החוק כשאנחנו מעבירים את הסמכויות. זה משהו ששמנו לב אליו בקריאת הנוסח.
מירי פרנקל-שור
¶
הרשות בעצם מבקשת לאבטח את עצמה גם לעניין אבטחת מידע, גם לעניין אבטחה פיזית וגם לעניין אבטחת מערכות ממוחשבות חיוניות. אני לא יודעת אם יש לכם מערכות ממוחשבות חיוניות. הסוגיה שעולה כאן היא האם באמת יש מקום להסמיך את הרשות לעניין האבטחה הפיזית. אבטחה פיזית היא אבטחה לעניין שמירת המתקן. זאת בעצם הסמכה של המשטרה.
מירי פרנקל-שור
¶
נכון. אתה צודק. עכשיו השאלה מי ינחה באבטחה פיזית את רשות הסייבר. בעצם מה שנאמר כאן זה שהאבטחה הפיזית לא תהיה על ידי השב"כ אלא תהיה על ידי הרשות את עצמה. זאת הכוונה?
היו"ר אברהם דיכטר
¶
מי המנחה שלהם, לא מי עושה. את העבודה הם עושים לעצמם. מי מנחה אותם. האם זאת המשטרה, האם זה השב"כ, האם הם מנחים את עצמם.
אביתר מתניה
¶
נקודת המפתח כאן הייתה שהרשות כגוף שמנחה את כל הגופים האחרים, היא תנחה את עצמה כי היא מוקד הידע והיא לא יכולה לקבל הנחיות ממישהו אחר.
מירי פרנקל-שור
¶
זה לא רק שהיא מנחה. אם היא מנחה את עצמה, היא גם יכולה למנות מאבטחים. כלומר, יש לזה נגררות.
אביתר מתניה
¶
אני אסביר מדוע. אבטחה פיזית, לך בראש יש כרגע את הנושא של האבטחה על הבן אדם. רוב האבטחה הפיזית המעניינת היא איזה גלאים אתה שם, איך אתה מגן על החלונות כך שאי אפשר דרכם לעבור.
מירי פרנקל-שור
¶
אין לי הצעה. לגבי האבטחה הפיזית, במשמעות השגרתית, כפי שקובע החוק, לעמדתי יכול להיות שיש מקום שהשב"כ ימשיך להיות המנחה לעניין האבטחה הפיזית של הרשות עצמה, אבל בוקי העלה כאן שאלה שחשבתי עליה במהלך הדיון והיא האם אבטחת מידע כמנחה - - -
מירי פרנקל-שור
¶
אבטחה פיזית לטובת אבטחת מידע, אם היא מעוגנת בחקיקה, אני חושבת שלא. זאת אומרת, כאשר אנחנו מסתכלים על החוק לאבטחת ביטחון גופים ציבוריים, אנחנו רואים אבטחת מידע קלאסית ואבטחה פיזית ברעיון שלעתים זה עובר לשב"כ. העלה בוקי שאלה האם לצורך מינוי מבטחים לצורך אבטחת מידע, האם זה נכלל תחת אבטחה פיזית. לעמדתי לא. אם הוועדה תחליט שיש צורך בכך, צריך לומר אמירה ברורה.
ברוך (בוקי) כרמלי
¶
אני מבקש לומר משהו מקצועי. הגנת סייבר, חוץ מזה שמגינים עם טכנולוגיות של אבטחת מידע על הרשת ועל מקומות מידע, היא כוללת הרבה מאוד מרכיבים אחרים שהם בעולם הפיזי. אלה יכולים להיות גלאים, אלה יכולים להיות מעכבי גישה, אלה יכולים להיות כל מיני אינדיקטורים אחרים כי אנחנו יודעים איך עולם הסייבר מתפתח. הוא לא נגמר באיזה וירוס שרץ במחשב.
ברוך (בוקי) כרמלי
¶
ודומיהם. לכן יש כאן איזשהו סוג של עולמות חופפים בין אבטחה פיזית שאתה שם גדר כדי למנוע פגיעה ברכוש או בחיי אדם לבין זה שאתה שם גדר כדי לעכב אדם מלבצע איזושהי פעילות כנגד הרשת שלך או מערכת קריטית. בגופים בהם מי שאחראי גם על אבטחת הסייבר ואבטחת המידע וגם על אבטחה פיזית, נורא קל, הוא מביא את כל השיקולים ביחד. אני כמי שאחראי להגנת הסייבר ומכיר טוב את העולם הזה, אומר שיש כאן בעיה. אני צריך את הסמכות לתת את כל ההנחיות האלה לאבטחה פיזית לטובת אבטחת המידע.
ברוך (בוקי) כרמלי
¶
כן. אני נמצא ברגע זה עם המונח אבטחה פיזית שבלעדיו לא תהיה לי את הסמכות הזאת ואז הגנת הסייבר לא תהיה שלמה.
איל בן ראובן (המחנה הציוני)
¶
אני לא השתכנעתי מההסבר שלך. אם אנחנו מדברים על גדר, אם המטרה של הגדר היא להקשות על בן אדם להגיע לאיזושהי מערכת מחשב בפנים, זאת אבטחה פיזית כמו כל אבטחה פיזית וזאת לא המומחיות שלכם. אם הבעיה בגדר שמישהו יכול להתחבר לגדר ודרך הגדר להגיע למערכת המחשב, זה סיפור אחר. אבל אני לא חושב שזאת אבטחה פיזית.
אביתר מתניה
¶
אני חייב להגיד לך משהו. גם היום יש חברות – מירי, זאת הערה שלי כלא משפטן למשפטנים – וגופים שהם מופיעים רק בתוספת הרביעית ולא מופיעים בשום מקום אחר. כשהם מונחים, הם לא מונחים רק לגבי איזה תוכנות לשים במחשב אלא הם גם מונחים איזה פלדלת לשים על חדר המחשב ואיך צריך לסגור את ארונות התקשורת ואיזה גלאים לשים.
אביתר מתניה
¶
לא. הכוונה היא שבתוקף סייבר אתה נותן גם הוראות של איפה, כי הוא לא יכול לשים למשל את המערכת באמצע מגרש הגרוטאות ושכל אחד נגיש לה. חלק מההוראות הן איפה הוא שם את זה ואיך הוא נועל את זה ואיזה גלאים הוא שם כדי לדעת אם אדם חדר לתוכו או בא להטמין חומרה. זה חלק מהגנת סייבר. זה לא רק פיזי אלא זה חלק מהגנת סייבר.
מירי פרנקל-שור
¶
המחלוקת היא האם במסגרת האבטחה הפיזית הוא גם יכול לומר למנות מאבטח. אם כן, יכול להיות שיהיה צורך בזה אבל צריך לומר את זה בחוק.
גבריאלה פיסמן
¶
עולם של אבטחה פיזית הוא יותר רחב. מה שעושה היום המשטרה בהנחיה מכוח התוספת השנייה הוא יותר רחב מאותן פעולות שמתבצעות לצורך אבטחת מידע. יש גם פעולות פיזיות שמתבצעות לצורך אבטחת מידע אבל יש הרבה יותר פעולות שנדרשות לצורך אבטחת מידע.
מירי פרנקל-שור
¶
המשטרה היא מנחה. זה רק לעניין אבטחה פיזית. זה רק לעניין שמירת הרכוש. יכול להיות שיש מקום, אבל צריך לתקן את זה. זאת אומרת, ההגדרה אינה סובלת את הפרשנות הזאת ואם הוועדה תחליט, צריך לתת את האחריות ואת הסמכות.
מירי פרנקל-שור
¶
היו כאן שני נושאים. לגבי שאלתו של בוקי, ניתנה החלטה. השאלה עכשיו היא האם הוועדה תסמיך את הרשות להנחות את עצמה לעניין האבטחה הפיזית במובן הקלאסי של המילה.
אראל מרגלית (המחנה הציוני)
¶
גם לכם עדיף לא. זה לא דבר חשוב לכם. את כל הרעיונות שלכם תגידו, אבל לדעתי זה לא חשוב לכם. למה אתם מתעקשים על זה?
איל בן ראובן (המחנה הציוני)
¶
אבל אם אתם מחליטים שצריך שלושה שומרים שיסתובבו 24 שעות סביב מחשב, זה לא פשוט.
אביתר מתניה
¶
לא. זאת אחריותו של המנחה של הסייבר. האחריות לשים מאבטחים כדי שלא יפגעו בי נניח פיזית, זאת האחריות שאנחנו לא לוקחים אותה, אבל האחריות שלא יפגעו פיזית במערכת, במצפנה, זאת האחריות.
היו"ר אברהם דיכטר
¶
גבי אמרה בצדק שאבטחה פיזית הוא מושג מבצעי הרבה יותר רחב מאשר אבטחה של כלי הסייבר בתוך המכלול השלם של האבטחה הפיזית.
אביתר מתניה
¶
צריך להרחיב את המושג הזה כי הסמכות להציב מאבטח כדי לשמור על מכשיר צופן, היא אחריות שלי כי אם מישהו יפרוץ לצופן, זאת לא תהיה אחריות שב"כ אלא אחריות שלי. לכן אני צריך את הכלי הזה.
אביתר מתניה
¶
ההבנה היא שהאחריות שהרשות רוצה לגבי עצמה היא בדיוק אותה אחריות שיש לה כלפי הגופים שהיא מנחה כתוצאה מהגנת סייבר.
היו"ר אברהם דיכטר
¶
הדברים ברורים. אני אומר לנו כוועדה, לפני שאנחנו מעבירים את זה למירי לטיפול הייצוגי שלה, האבטחה הפיזית, ההנחיה על אבטחה פיזית של הרשות היא בידי שב"כ. זה לא השתנה. האבטחה הפיזית לצורך הגנת הסייבר, זו הסוגיה שהוועדה צריכה להביע את עמדתה, האם היא רואה את הרשות עושה את זה על עצמה כמו שהיא עושה את זה לגופים המונחים או שיש לנו איזה רעיון אחר.
איל בן ראובן (המחנה הציוני)
¶
חד משמעית. אני חושב שאנחנו צריכים להיות פרקטיים. אפשר להשאיר הכול בשב"כ, אבל אם הקמנו רשות לתחומים האלה, בעיני זה חייב להיות בידיה. אני חושב שזה חייב להישאר בידי הרשות. זה נראה לי דבר חד משמעי. יש הבחנה וההבחנה היא ברורה. בעניין הפיזי הזה, אם אנחנו ניתן כאן לכל דבר - - -
עמר בר-לב (המחנה הציוני)
¶
בסדר, אבל אם פיצוץ החדר של המחשב ימוטט את כל בניין חברת חשמל, זאת גם אחריות של השב"כ איך מונעים את פיצוץ בניין חברת חשמל. אלה דברים חופפים.
ר.
¶
בואו נבהיר כי בדברי ההסבר כתוב שאתם רוצים להיות בדומה למוסד למודיעין לתפקידים מיוחדים. המוסד, אנחנו לא מנחים אותו. אז בואו נבהיר את הנקודה הזאת. אם יש פער, יש פער לעניין אבטחה פיזית.
מירי פרנקל-שור
¶
לכן אני אומרת. האם האבטחה הפיזית שלכם את עצמכם כמו המוסד שהוא מנחה את עצמו לעניין אבטחה פיזית, האם אתם רוצים להידמות להם. אם כן, הוועדה צריכה לדעת.
היו"ר אברהם דיכטר
¶
יש עוד מישהו מחברי הוועדה שרוצה להתייחס לנקודה הזאת? אנחנו רוצים לעבור להוראת השעה.
ענת ברקו (הליכוד)
¶
מה שמדאיג אותי. אני חוזרת ולא נתנו את הדעת על זה. סעיף 3(ג), יאושר בידי קצין משטרה. פניתי וראיתי שזה סמ"צ ומעלה בלי הגדרת תפקיד ובלי שום דבר. זה פרוץ וזה לא נכון.
היו"ר אברהם דיכטר
¶
חרגנו ברבע שעה מהזמן שמוקצב לדיון כזה, לא בגלל שאין לנו זמן נוסף אלא בגלל שאנחנו בשעה 11:00 מחויבים להיות במליאת הכנסת וגם כך החריגה הזאת בעייתית. לעצם העניין, אנחנו חייבים לעצור את הדיון כאן. אני אומר לעצמנו שיש לנו עוד נקודה אחת בסוגיית הוראת השעה לקבע אותה, לתת התייחסות אחת לנושא של האבטחה הפיזית כפי שעלתה כאן לפני רגע, מי המנחה, באיזה נושא בדיוק.
אנחנו נקבע דיון לתחילת השבוע הבא כדי להמשיך את הדיון ובתקווה לסכם אותו ולהצביע על הצעת החוק.
מרדכי יוגב (הבית היהודי)
¶
אבי, משפט אחד.
מכיוון שהסייבר הוא באמת דבר חסוי מאוד עם יכולות מתפתחות שגם היום אפילו לא יודעים מה, אני חושב שהנורמות צריכות להיות נורמות מוסד ואז אתה יכול להעתיק מנורמות מוסדיות.