הכנסת העשרים

מושב שלישי

פרוטוקול מס' 346

מישיבת ועדת החוקה, חוק ומשפט

יום שלישי, ב' באדר התשע"ז (28 בפברואר 2017), שעה 10:00

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016

חברי הוועדה: רויטל סויד – מ"מ היו"ר

ענת ברקו

אורי מקלב

אוסאמה סעדי

ליאת בן מאיר שלום - משפטנית, משרד המשפטים

אייל זנדברג - משרד המשפטים

עומר פרידמן - יועץ אבטחת מידע, משרד המשפטים

אלון בכר - ראש הרשות למשפט טכנולוגיה ומדע, משרד המשפטים

ניר יעקב גרסון - משרד המשפטים

גילי בסמן-ריינגולד - רמו"ט, משרד המשפטים

רפאל פרנקו - ר אגף בכיר לאסדרת המשק, משרד ראש הממשלה

פיני שחר - עוזר לממונה על שוק ההון הביטוח והחיסכון, משרד האוצר

אלי טובול - מחלקת ביקורת נותני שירותי מטבע אגף שוק ה, משרד האוצר

איה שוורץ - עו"ד באגף השכר והסכמי עבודה, משרד האוצר

מאיר גופשטיין - מנהל אגף, משרד הפנים

אודליה אדרי - לשכה משפטית, משרד הפנים

מרגלית לוי - מנהלת מחלקה בכירה עוזרת משפטית תיאום תכ, משרד הפנים

טלי מסיקה - ראש תחום הסדרה ביטחונית, משרד הביטחון

אנפה כרמלי - רמ"ד חקיקה, משרד הביטחון

רחל יעקובי - פיקוח על הבנקים - סייבר, בנק ישראל

חן פליישר - יועצת משפטית, בנק ישראל

שירלי אבנר - עו"ד, בנק ישראל

יורם ביטון - מנהל הסייבר, המוסד לביטוח לאומי

בובי פנדריך - מנהל היחידה לאבטחת מידע, המוסד לביטוח לאומי

לביא אובנת - מנהל מחלקת אכיפה, הרשות למשפט, טכנולוגיה ומידע

לימור שמרלינג מגזניק - מנהלת מחלקה, הרשות למשפט, טכנולוגיה ומידע

ניר יוגב - מנהל מחלקת קשרי ממשל, חברות סלולריות

מירה סלומון - מנהלת מח' משפט, מרכז השלטון המקומי

אמיר צפנת - מנהל אבטחת מידע, עיריית באר-שבע, מרכז השלטון המקומי

דן חי - פורום הגנת הפרטיות, לשכת עורכי הדין

יהונתן קלינגר - עו"ד

חניתה חפץ - שדלן/ית (פוליסי בע"מ), מייצג/ת את סלקום (לקוחות קבועים נוספים שנושא הישיבה נוגע אליהם באופן ישיר: פרטנר)

צח בורוביץ - שדלן/ית (ח.ב. הקבניט ישראל בע"מ), מייצג/ת את סלקום

אלעזר שטרן

אסף פרידמן

יפעת קדם

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016

אנחנו ממשיכים את הישיבה בנושא תקנות הגנת הפרטיות (אבטחת מידע). בדיון האחרון, לאחר שכל אחד הביע את עמדתו, התחלנו בקריאת התקנות. סיימנו את תקנת ההגדרות, את הסעיף הראשון.

בכפוף לכך שאמרנו שיש שתי הגדרות שנחזור אליהן בהמשך.

2. מסמך הגדרות המאגר. (א) בעל מאגר מידע יגדיר במסמך הגדרות מאגר (להלן – מסמך הגדרות המאגר), את כל העניינים האלה לפחות: (1) תיאור כללי של פעולות האיסור והשימוש במידע; (2) תיאור מטרות השימוש במידע; (3) סוגי המידע השונים הכלולים במאגר המידע, בשים לב לרשימת סוגי המידע שבפרט 1(3) בתוספת הראשונה; (4) פרטים על העברת מאגר המידע, או חלק מהותי ממנו אל מחוץ לגבולות המדינה או שימוש במידע מחוץ לגבולות המדינה, מטרת העברה, ארץ היעד, אופן העברה וזהות הנעבר; (5) עיבוד מידע באמצעות מחזיק; (6) הסיכונים העיקריים של פגיעה באבטחת המידע, ואופן ההתמודדות עמם; (7) שמו של מנהל מאגר המידע, של מחזיק המאגר ושל הממונה על אבטחת מידע בו, אם מונה כזה. (ב) בעל מאגר מידע יעדכן את מסמך הגדרות המאגר בכל עת שנעשה שינוי משמעותי בנושאים המפורטים בתקנת משנה (א), ויבחן את הצורך בעדכון כאמור, בשל שינויים טכנולוגיים ארגונים או אירועי אבטחה כאמור בתקנה 11, בכל שנה עד ה-31 בדצמבר. (ג) בעל מאגר מידע יבחן, אחת לשנה, אם אין המידע שהוא שומר במאגר רב מן הנדרש למטרות המאגר.

מדובר במסמך היסודי. זו החשיבה של בעל המאגר על מה הוא אוסף, לאיזה מטרות, מה הן הפעולות המרכזיות שהוא הולך לעשות עם המאגר. אם אמרנו בישיבת הפתיחה שהתקנות האלו מסדירות היבטים פיזיים, היבטים לוגיים וגם היבטים של תהליכים בתוך הארגון, אז זה תהליך יסודי של גיבוש איזה שהוא תהליך עבודה של בעל מאגר המידע על מה הוא אוסף, לאלו תכליות, מה הסיכונים שנגזרים מזה. זה אחר כך בסיס למסמך האבטחה וליתר הפעולות שלו בהמשך לפי התקנות.

את המסמך הזה אתם רוצים להחיל על כל המאגרים? כל בעל מאגר בכל אחת מרמות האבטחה חייב להכין את המסמך הזה?

נכון, כי אנחנו חושבים שזאת חשיבה בסיסית שצריכה להתקיים.

בואו ניקח כדוגמה קוסמטיקאית, עורך דין, רואה חשבון. הם צריכים להכין את המסמך ולהשאיר אותו במגירה אצלם?

נכון. זה תהליך חשיבה שממנו נגזרת פעולה בהתאם לתקנות וגיבוש מסמך האבטחה.

המסמך הוא רק תוצר. הוא מחייב אותו לבדוק, לראות מה הוא עושה.

למה לא ליצור תקינת אבטחה?

אלו תקנות אבטחת מידע.

זה המסמך הבסיסי, כדי להבין לאיזו תקנה הוא צריך להיות מחויב. הוא צריך לשבת ולראות מה בכלל הוא עושה, למה הוא אוסף, אם צריך או לא צריך, ואיך הוא שומר את זה. כמו שאמרה חברת הכנסת סויד, יש מי שישים את זה במגירה. ככל שהמאגר מורכב יותר, כך השימוש של המסמך הזה יהיה אחר, עם השלכות אחרות.

באיזה אופן ייבדק היישום?

זה יכול להיבדק בפעולות פיקוח של רמו"ט. כרגע אנחנו מדברים על הסדרה וניהול עצמי.

אין ספק שכשאנחנו באים ומדברים על תקנות, על התמודדות ראשונה עם נושא של אבטחת מידע, צריך ליצור סטנדרטים. הסטנדרטים האלה, כמו שאתם אומרים, זה חשיבה של כל אחד עם עצמו לגבי מה הוא עושה עם המאגר, איזה עקרונות הוא מציב לעצמו, מה הסטנדרטים וכיוצא בזה. זה חשוב מאוד. השאלה מה המשמעות של זה על מאגרי יחיד, בעיקר אצל אנשים שזה המחשב שלהם, הבית שלהם, לפעמים גם חדר השינה שלהם. איזו חובה אנחנו מטילים עליהם? החובה היא חובה, אבל אם חס וחלילה קורה משהו, מה תהיה ההשלכה לכך שהמסמך היה תקין ואם כן בחנו את הכל, לא בחנו את הכל?

בעל מאגר יחיד לא ידע מה לכתוב בהרבה מאוד מהמקרים. אדם שזה לא תחום הפעילות שלו, יתקשה מאוד לדעת מה הוא צריך לכתוב. הוא יצטרך לפנות למומחים.

גם אין יכולת בקרה.

יש דברים שהוא יוכל לכתוב. מרבית בעלי המקצוע הפרטיים שאין להם מומחיות באבטחת מידע לא ידעו מה לכתוב שם, מה הם צריכים לעשות עם זה.

בהקשר הזה צריך לקרוא את התקנה עם ההקלות הרבות שנעשו על בעל מאגר יחיד, כולל ההגדרה של בעל מאגר יחיד שהורחבה.

לאיזו תקנה את מפנה?

זה עדיין בשלבי גיבוש. בעקבות ההערות שקיבלנו בדיון הקודם בוועדה עשינו שינויים נוספים. הם עדיין בליבון מול הלשכה המשפטית של הוועדה. אנחנו בהחלט מודעים. צמצמנו את החובות שחלות על בעל מאגר יחיד. התהליך המחשבתי הזה הוא תהליך יסודי שאנחנו חושבים שהוא מאוד מאוד חשוב, כדי להעלות למודעות מה אני בכלל עושה כאן, מה אני אוסף, לאיזה צורך אני אוסף את המידע הזה, מה אני עושה איתו.

הסיכון במאגר יחיד הוא דליפה של מידע. הסעיף הזה הוא אחד הסעיפים היותר ברורים בתקנות. אותו בעל מאגר יחיד צריך לשבת ולעשות את עבודת החשיבה הזאת. זו עבודה מאוד בסיסית. הוא צריך לדעת מה יש לו, מה הוא עושה עם זה, האם הוא מעביר את זה הלאה, לא מעביר את זה הלאה. הוא צריך להבין שהוא מתעסק במידע. הוא צריך להבין שיש לזה רגישות.

רמו"ט יוציאו מסמך של סוגי סיכונים עיקריים.

אנחנו נוציא הנחיות לציבור, במיוחד לאותו ציבור פחות מקצוען שפחות נעזר בבעלי מקצוע, כדי להבין מה השינוי התפישתי שהוא צריך לחוות עכשיו בעקבות התקנות החדשות.

יש הרבה אנשים שמבינים שזה עלול לפגוע בפרטיותם של אנשים אחרים. כשאני מדברת על תקינה, אני מדברת על רף מינימום שנדרש כדי לאבטח את המידע, את המאגר. השאלה אם יש דרך לבקר את זה, האם יש איזו שהיא דרך לוודא שזה קורה. אם לא תהיה דרך כזו, זה לא יקרה.

בשביל זה לרגולטור יש סמכויות פיקוח.

זה יבוא לידי ביטוי בתקנות?

בחוק הגנת הפרטיות.

תקינה מטילה יותר מעמסה על היחיד, היא מחייבת אותו לקבל הסמכה.

יש את זה בהמשך.

אני לא יודעת אם התקן אינו מחייב אותו לקבל יותר הסדרה. כמו שכעצמאי אתה צריך להיעזר במנהל חשבונות או ברואה חשבון, כך אני חושבת שלהפיל את זה על הקוסמטיקאית נראה לי לא רציני. זה לא יקרה. אם אנחנו רוצים להבטיח שהמאגר לא ידלוף, צריך באיזה שהוא אופן ייעוץ של גורמים מקצועיים שיגידו שהמאגר נבנה כמשהו בטוח. אני לא מדברת על משהו ברמה עליונה, אבל לפחות משהו סביר, משהו שלא כל אחד יוכל להיכנס ולשלוף נתונים.

יהיו הנחיות של רמו"ט בהקשר הזה.

מעבר למה שדיברנו עכשיו על הנושא של יחיד, יש חוסר בהירות לגבי כל הנושא של העברה לחו"ל. מה המשמעות של זה? ניקח את הקוסמטיקאית שיש לה את מאגר הלקוחות שלה. המידע יושב על ענן שהשרתים שלו נמצאים בקליפורניה. האם זו העברה לחו"ל? בגלל שחלק מהאמצעים המחשוביים הם כאלה שהם חוצים גבול, המונחים פה הם עמומים. השאלה מה נחשב העברה לחו"ל, מתי משהו נחשב שהוא פה בארץ.

היא שומרת את זה על קובץ אקסל בג'י-מייל שלה.

האם זה נחשב העברה לחו"ל?

יש תקנות שעוסקות בזה. יש תקנות העברת מידע לחו"ל. אם ההגדרה לא ברורה, שם צריך לתקן.

למה אתם התכוונתם?

התכוונו לחוק הגנת הפרטיות. בסעיף 9 לחוק הגנת הפרטיות כתוב שבקשה לרישום מאגר מידע תפרט, בין היתר, פרטים בדבר העברת מידע מחוץ לגבולות המדינה.

התקנות פה עושות סדר, הן לאו דווקא קובעות מחדש.

אבל פה אתה בא ומחיל את זה על גורמים פרטיים וקטנים.

היום זה מוחל גם על גורמים פרטיים. גם הבקשה לרישום מאגר מידע חלה.

מה קורה עם זה?

אני חושב שיש הבדל בין חובה כללית בחוק, לבין מצב שאתה פורט את הדברים לפרוטות. גם היום יש חובת אבטחת מידע מכוח סעיף 17 לחוק. אני מנסה להבין מה אני אמור לכתוב בתור בעל מאגר. נניח שהדברים שלי נמצאים בענן, האם זה נחשב העברת מידע?

זה קודם כל אמור לעורר לך את המחשבה שיש לך מידע לא מאוחסן.

מה התשובה שאני אמור לתת?

אתה אמור לאחסן אותו במקום מספיק מאובטח, במקום שיהיה בהתאם להנחיות של רמו"ט.

אולי צריך לציין את זה.

מה אני צריך לכתוב? אני לא יודע מה לכתוב.

אתה קודם כל צריך לדעת ולבדוק לאן אתה מעביר את המידע שלך. אחרי שתדע באיזו מדינה המידע שלך נמצא, תוכל לגשת לאתר של רמו"ט, לראות את ההנחיות שרמו"ט הוציאה, ואולי לבחור בספק אחר שמאחסן במדינה אחרת שדיני הגנת הפרטיות בה יותר מתאימים.

בהנחה שאני קוסמטיקאית, עורכת דין, רואת חשבון, אני אמורה לבדוק איפה הענן שלי יושב, איפה השרת? אין לי שום יכולת לעשות את זה.

אנחנו לא מצפים שתלכי לבדוק. את תראי באיזה ספק שירותים את משתמשת. רמו"ט תפרסם עם איזה ספקים לפי דעתה ניתן לעבוד, עם איזה ספקים הגיעו להסדרים, איזה ספקים מיישמים את התקנות. אנחנו קופצים לתקנה 20, ששם אנחנו יכולים להגדיר כמסמכי ייחוס מחזיקים שעומדים בתקנים או בתקנות שאנחנו דורשים. זה חלק מההתפתחות שתהיה. תידרש קפיצת מדרגה וקפיצת מחשבה ממי שמחזיק מידע אישי. זו המטרה של התקנות האלו.

אל תחשבו רק על קוסמטיקאית. התקנות האלו חלות לגבי כלל המאגרים.

יכול להיות שצריך לסייג את הנקודה הספציפית הזאת לגבי מאגרי יחיד.

כבר היום יש תקנות העברת מידע לחו"ל שמתייחסות לכל המאגרים ולכל המידעים. נורא קל לתת את הדוגמה של הקוסמטיקאית, אבל יש גם פסיכיאטר שמחזיק מידע מאוד מאוד רגיש.

פסיכיאטר לא מוגדר מאגר יחיד לפי ההגדרות.

במהות הוא אותו יחיד.

זה נכון, יש היום חובה בחוק לאבטחת מידע ותקנות על העברת מידע לחו"ל, אבל אנחנו לא יכולים להתעלם מכך שאל"ף, הרוב המכריע של הגורמים שהם מאגרי מידע לפי החוק לא רשום, ובי"ת, ספק אם הם מודעים לזה שהם צריכים להיות רשומים. זה נכון שיש היום חובה כללית, אבל זה נראה שברובה המכריע היא לא מיושמת.

כל המאגרים הרשומים מודעים לזה.

הרשומים כן, אבל כמה לא רשומים?

הרישום הוא רק חובה אחת פרוצדוראלית. גם מי שלא מקיים אותה חייב בחובת אבטחת מידע. גם מי שלא מכיר את המונח "חוק הגנת הפרטיות" יודע שהוא צריך לאבטח את המידע שלו, יודע שיש עליו חובה.

זה קל מאוד להיתלות בעובדה שמבחינה נורמטיבית קיים חיקוק. הוועדה לא יכולה להתעלם ממציאות שבה הרוב המכריע של המאגרים לא רשום. אם אנשים לא מודעים לזה שהם צריכים להירשם, ספק אם הם יהיו מודעים לעובדה שחלים עליהם סטנדרטים כאלה ואחרים.

דווקא התקנה הספציפית הזאת אמורה להעלות את הדבר לרמת מודעות. הוועדה לא יכולה להתעלם מזה שברגע שיש העברת מידע למחזיק שנמצא בחו"ל יש סיכון של אבטחה. גם מזה אי אפשר להתעלם.

מה המענה? האם המענה הוא לא להחיל את הנורמה הזאת על מאגרים כאלה?

ההנחה שלכם היא שיהיה אפשר לקיים את התקנה הזאת רק אחרי שרמו"ט יוציאו הנחיות?

לא. לא כל גורם בהכרח עושה את הפעולות.

איך אנשים ידעו מזה?

איך יודעים על כל חקיקה חדשה? איך אני יודעת שבתור אזרחית אמריקאית אני צריכה למלא טפסי מס כי החליטו שבארצות הברית אני צריכה לשלם מיסים?

זה לא אותו. כשאני צריכה לשלם משהו אני עושה איזו שהיא פעולה. פה את מטילה חובה על אדם שהיא בינו לבין לעצמו. המסמך הזה נשאר אצלי במגירה.

זה לא מדויק.

אם את פונה אלי לבקשת מידע לפי סעיף 11, את חייבת להודיע לי אם יש חובה חוקית למסור לך את המידע, מה השימושים שייעשו במידע.

אני לא מדברת על המאגרים הגדולים, אני מדברת על מאגרי היחיד הקטנים.

סעיף 11 חל גם על מאגר יחיד. את מתקשרת אלי בתור סוכן ביטוח. את אומרת לי: יהונתן, אני רוצה לתת לך הצעה, תגיד לי מה גודל הדירה שלך. אני אומר לך שאני אתן לך את המידע, רק תגידי למי את מעבירה, מה את עושה עם המידע. את פשוט מוציאה את המסמך הזה.

אני מצטערת שאני הולכת לדוגמה של הקוסמטיקאית. זה אפילו לא עורך דין ולא רואה חשבון. לסוכן ביטוח יש יותר מידע, יש יותר מודעות. איך הקוסמטיקאית אמורה לדעת?

התפישה הנכונה צריכה להיות שהקוסמטיקאית, גם אם היא מאגר יחיד, תלך לשירותי צד ג', היא לא תאחסן אצלה. היא תדע שיש "כספות" שמספקות שירותי מאגר מידע ליחיד ומאבטחות את זה במחיר סמלי. זה האופטימאלי. ברור לי שזה לא יקרה, כי אצל רוב הקוסמטיקאיות - -

היא לא לוקחת היום טכנאי מחשבים בשביל להתקין? מה חדש בזה? היא לא לוקחת מנהל חשבונות?

זה עולם שבו צריך לקבל שירותים.

גם היום היא צריכה לעשות את זה לפי התקנות הקיימות. התקנות האלו מחדדות, הן נותנות משהו מאוד מאוד בסיסי שחל על היחיד.

הקוסמטיקאית צריכה מודעות. הייתי שמח אם רשות משפט וטכנולוגיה תכין מסמך המלצות לבעל מאגר יחיד.

אני חושב שהתקנה הזאת מאוד נכונה וחשובה. אם מדברים על בנקים וחברות ביטוח, אז הדברים מסודרים, הם לא צריכים את התקנה כדי לעשות מסמך כזה. ככל שיורדים לגופים יותר קטנים, למשל הקוסמטיקאית, רואים חוסר סדר, אפילו הפקרות בכל מה שקשור למידע האישי. צריכה להיות הסדרה מאוד ברורה. אני לקוסמטיקאית יכול להגיד אם היו לי ניתוחים פלסטיים, אם אני רגיש באיזה מקום, או אם באיזה מקום אני רוצה כך ולא אחרת. זה מידע שאני לא רוצה שידלוף החוצה. אם אצלה תהיה הפקרות, אז יכול לבוא חבר כנסת ולספר לה דברים שיגחכו עליהם בכל מיני מקומות. אני רוצה שהיא תעשה לעצמה סדר, שהיא תשב ותחשוב מה יש לה במאגר, מה היא עושה בו, איפה היא שומרת אותו. היא צריכה להיות מודעת לזה. אם היא לא יכולה להיות מודעת, שתלך ליועץ אבטחת מידע שיסביר לה. המסמך הזה מאוד חשוב בהליכים משפטיים, לא רק בפיקוח של רמו"ט. אם מחר יתבעו אותה, היא תוכל להראות את המסמך שהיא הגדירה לעצמה.

והפוך.

למה הפוך?

כי התביעה הזאת יכולה להיות גם במידה והיא לא הבינה.

אם יגידו לה שהיא בכוונה עשתה 1,2, ו-3, אז היא תגיד שזה לא היה בכוונה. אני חושב שבתובענות ייצוגיות זה יכול להיות מאוד רלוונטי לחברות. אני חושב שזאת תקנה מאוד חשובה. בעל מאגר מידע צריך לעשות לעצמו סדר, אפילו אם מדובר בקוסמטיקאית. היא צריכה להבין שזה שהיא שומרת מידע, לפעמים מידע שהוא מאוד רגיש, זה דורש ממנה. אם לא, שתשמור רק את השם והטלפון כך שזה לא יהיה מאגר מידע.

מדובר בתקנות שדיברו עליהן בשנת 2010, אחר כך בשנת 2012. ב-5 השנים האחרונות לא התקיים איזה שהוא דיאלוג, לפחות לא איתנו, בנושא הזה. 5 שנים בעולם אבטחת מידע ומערכות מידע זה המון זמן. חברות רוכשות חברות, מערכות יורדות, מערכות מוספות. אנחנו חושבים שהיה נכון, עוד לפני שמעלים את הנושא להצבעה פה בוועדה, לקיים סבב נוסף, לנער את האבק מעל הנושא הזה ,להבין אם מה שכתוב נכון, אם אפשר ליישם אותו.

זה מה שאנחנו עושים עכשיו.

יש חברות תקשורת וגופים נוספים במשק שכפופים להנחיות של רא"ם. רא"ם מיישמים תכנית הגנה על תשתיות קריטיות. הם אומרים לנו מה לעשות, איך לעשות, מתי לעשות. הם מבקרים את הביצוע של מה שהם מגדירים. תכנית העבודה שאנחנו מייצרים בכל מה שקשור לאבטחת מידע עם רא"ם נקבעת על בסיס הערכות האיומים הקונקרטיים כפי שרא"ם רואים אותם. הם נפגשים עם הארגונים, הם מכירים את הארגונים ואת המערכות שיש לנו ולאחרים באופן מעמיק. הם מייצרים סדרי עדיפויות. גם הם מבינים שהמשאבים שיש לפיתוח של ההנחיות שלהם הם משאבים מוגבלים. התקנות שמובאות לפה לא נעשות על בסיס ההיכרות של רמו"ט עם כל חברה וחברה בשוק הישראלי. גם אי אפשר לצפות שזה מה שיקרה. יש איזו שהיא התנגשות בהיבט של סדרי העדיפויות, כי רא"ם באים ואומרים לנו לעשות א', ב', ג', ופתאום אנחנו מקבלים תקנות שמדברות על לעשות דברים אחרים, עם לוחות זמנים אחרים. אנחנו חושבים שבעניין הזה נכון היה לקבוע שגופים שכפופים לרא"ם, שפועלים על פי הנחיותיהם, לא יהיו כפופים לתקנות האלו.

דבר נוסף, וזו טענה חלופית, שהתקנות האלו, כמו שאנחנו רואים אותן על גוף כמו חברת תקשורת גדולה, הן הנחיות שמחייבות השקעת משאבים עצומה.

התקנות הבאות מתייחסות לכך.

זו סוגיית רוחב שהזכרנו בדיון הקודם, היא לא קשורה רק אליכם. בדיון הקודם היו גורמים נוספים שהעלו את זה. זה סביב תקנה 20, ששם יש סמכויות לרשם לפטור או לא לפטור. שם זה המקום המתאים יותר לדון בשאלת הרגולציות המקבילות לרגולציה הזאת.

אני רוצה להתייחס לעניין הסמכויות. יש איזו שהיא בעייתיות בתקנות בהיבט של הסמכויות, כאשר אני מדברת על המאגר הביומטרי שנמצא אצלנו. אנחנו מדברים על כך שאת ההנחיות לעניין אבטחת מידע אנחנו מקבלים מרא"ם, מרשות הסייבר. הם הרגולטור לעניין מאגר המידע הביומטרי, לרבות הסיכונים, הדיווחים וכל מה שנדרש.

איך זה קשור לתקנה 2?

לאורך כל התקנות יש הנחיות שאתם מחילים עלינו. יש הנחיות שהרשם צריך להחיל עלינו. יש סעיפים שאנחנו לא רואים מקום להכניס בתקנות האלו. לנו יש את החוק הפרטי שלנו. הוא די מפורט, הוא די מביא לידי ביטוי את כל הנושא של אבטחת המידע והגנת הפרטיות.

כפי שאלעזר אמר, הנושאים האלה יידונו במסגרת הדיון בתקנה 20. איך מה שאת אומרת קשור לתקנה 2?

אני מניחה שאתם מבינים שכאשר מדובר במאגר מידע , הסיכונים והתמודדות עימם לא נמצאים באותו מסמך, הם נמצאים מסווגים במקום אחר, נפרד מהמסמך הזה. הם לא נמצאים בתוך הדיווח הזה.

מה את מציעה?

אנחנו לא יכולים להיות כפופים להנחיות האלו. לנו יש הנחיות מפורטות.

בהנחה שאתם כפופים, מה את מציעה לניסוח?

יש סעיפים שאנחנו חייבים להחריג.

האם ההפרדה בין מסמך הסיכונים למסמך בדבר אופן ההתמודדות זה משהו שיכול לתת את המענה ואת הפתרון לחשש הדי הגיוני שאת מעלה?

צריך להכיר בזה שיש מאגרי מידע שמונחים על ידי גופים אחרים. הם אלה שמנחים איך לנהל את מאגרי המידע. אם יש הנחיות של גוף אחר, אנחנו לא יכולים להיות כפופים לשני גופים בו זמנית.

ההנחיות של גופי הביטחון גוברות על הכל.

אם אנחנו מסתכלים על ההנחיות וההוראות שמוסדרת בחוק להסדרת הביטחון, ששם יש את ההנחיות שלנו מכוח הרגולטור, איך אנחנו עומדים בהנחיות הסותרות האלו? חוק המאגר הביומטרי הוא אחד החוקים המפורטים ביותר.

אני לא חושבת שאת רוצה לפתוח את נושא הביומטרי, בטח לא איתי. דוגמה רעה מאוד.

הסמכות שלנו לא השתנתה בעקבות התקנות האלו, רק מפורט בהן הסטנדרט באופן שיהיה יותר קל לגורמים להבין מה הם צריכים לעשות. גם בנושא של רא"ם והרשות הלאומית להגנת הסייבר אין שום שינוי. גם היום יש גוף שמנחה את הגופים בתשתיות קריטיות. הוא עובד במקביל לרמו"ט, אין התנגשויות. כל אחד אחראי על התחום שלו. רמו"ט מנחה, אוכפת וקובעת את הסטנדרט במקום של הניהול האישי, של השימושים בו. אבטחה זה רק אחד מהדברים. יש הרבה מאוד דברים נוספים שקשורים למידע אישי שרמו"ט אמונה עליהם. בהקשר הזה לא השתנה שום דבר.

אני לא מסכימה איתך.

מה שהיה נשאר אותו דבר בדיוק. זה שסמכות הועברה משירות ביטחון כללי לרשות הלאומית להגנת הסייבר עדיין לא אומר שאנחנו לא עובדים איתם בשיתוף פעולה הדוק. אני יכול להגיד שאנחנו עובדים איתם בשיתוף פעולה אפילו יותר הדוק, כיוון שאנחנו בדין ודברים יום יומי על הסטנדרטים החדשים שנקבעים במקומות אחרים. חוץ מאשר לנסות לעשות מקצה שיפורים בלהוריד רגולציה של הזכות להגנה על מידע אישי ופרטיות, אני לא רואה פה שום דבר אחר. גם אם יגידו את הדברים 10 פעמים, אני מציע שאף אחד מאיתנו לא יתבלבל. רמו"ט לא מגינה על תשתיות קריטיות, היא לא נכנסת לסמכויות של גופי הביטחון. מצד שני, יש הרבה מאוד דברים שרמו"ט אמונה עליהם שגופי הביטחון בכלל לא נכנסים אליהם. גם על זה אין ויכוח.

מה יקרה כשתהיה סתירה בין החובות שמוטלות עליהם היום לחובות שבתקנות?

אין סתירות. אנחנו עושים כל מה שאנחנו יכולים כדי שלא יהיו סתירות. גם היום הגופים מקבלים הנחיות משירות ביטחון כללי - תיכף הם יקבלו את ההנחיות מגוף חדש - וביקורת והנחיות מרמו"ט. אנחנו פועלים כבר 10 שנים במקביל. יש תיאום הדוק. אף אחד מאיתנו גם לא רוצה לתת הנחיות סותרות. רמו"ט רוצה לתת הנחיה שסותרת הנחיה של גוף אחר? לא. אנחנו יושבים איתם, אנחנו מתואמים איתם. התחייבנו זה לזה שלא ניתן שתהיה רגולציה הפוכה. זה לא האינטרס שלנו, שלהם ושל אף אחד אחר. אין סיבה להעלות איזה חשש תיאורטי כדי להוריד מעצמך איזה עול רגולטורי שבנוי על זכות יסוד חוקתית. אני מציע שנזכור שעל זה אנחנו מדברים. הרבה מאוד מהדברים יידונו בתקנה 20. תקנה 20 באה להסדיר את המקומות שבהם לא תהיה סתירה תיאורטית שלא מתממשת, או רגולציה שתהיה עודפת על מה שכתוב ברגולציה הכללית הזאת. ברור שאם אתה מקבל רגולציה מחמירה יותר, רמו"ט לא תגיד לך: תעשה את הרגולציה שכתבתי בתקנות. לא יהיה כזה דבר.

צריך לשים לב שמה שבנינו בתקנה 20 הוא מודל משוכלל. הסוגיה הזאת של כפילות רגולטורים קיימת כבר היום, היא לא רק בהגנת הפרטיות. בנינו כאן מודל שנותן לזה ביטוי. במקום להבין כמה זה מקדם אותנו, כמה זה מבהיר את העניינים, נתפסים לזה שזה מקור הבעיה. זה מציף קושי שיש לו פתרון אמיתי. אם היינו שומעים קודם את ההערות של משרד הפנים, שרת המשפטים יכולה הייתה להתייחס להערות.

אומרת כאן יועצת משפטית ממשרד הפנים שבמאגר הביומטרי הם לא מסוגלים לעמוד בהוראות הנחיית אבטחת המידע שמשרד המשפטים מציע למאגרים. צריך לזכור, המאגר שהם הולכים להקים הרבה יותר רגיש מכל מאגר שההוראות האלו אמורות לחול עליו. הם אומרים שהם לא יהיו מסוגלים לעמוד בהוראות האלו.

זה לא מה שאמרתי. אמרתי שיש סתירה.

הרשות הביומטרית לא רשמה את מאגר המידע במשרד המשפטים עד שנת 2015. היא איחרה ברישום, היא לא מינתה ממונה אבטחת מידע בתקופה מסוימת, היא לא עמדה בהנחיות. כל הדברים האלה הם סיבה דווקא למה כן להחיל עליהם את התקנות.

תקנה 2 היא תקנה מצוינת. כמובן שצריך לעשות את האיזונים בכל הנוגע למחזיק מאגר יחיד. בסעיף קטן (ג) צריך להוסיף את המילים "סוגי מידע". חברת תקשורת יכולה להחליט שלגבי הלקוחות שכבר אינם לקוחות שלה למעלה מ-7 שנים היא משמיטה את המידע. היא גם יכולה להחליט שהיא שומרת סוג מידע מסוים, למשל אם האדם הזה מבקר באופן תדיר במרכזי השירות שלה. מחר היא תעשה בחינה אם להשמיט לא רק את המידע, גם את סוג המידע - נתונים גיאוגרפים, נתונים דמוגרפיים, העדפה מינית. אני חושב שבחינת ההשמטה צריכה להיות למידע ולסוגי מידע.

הרשות הלאומית לסייבר, בשונה מרא"ם, מחילה את ההגנה מהאזרח ברחוב עד התשתיות הקריטיות. היא לא מסתכלת רק על תשתיות קריטיות. זו הבשורה שאני חושב שהרשות מביאה לאזרחי ישראל. כבר היום מתקבלות פניות מהאזרח הבודד, דרך חברות קטנות ובינוניות, על-מנת לקבל מענה. כשאתם שואלים איפה האזרח נפגש עם העולם הזה של ההגנה, אז זה מתחיל קודם כל באיך הוא שומר על הנכסים הפרטיים שלו, איך הוא מגבה את המידע על הפנסיה שלו, איך הוא מגבה את המידע על ביטוח החיים שלו, איך הוא מגבה את התעודות המקצועיות שהוא צבר במהלך החיים. רשות הסייבר נכנסת מהרמה הבסיסית הזאת של האזרח. אפשר להגיע לדברים יותר בנאליים וטריוויאליים – תמונות של סוף השבוע, חגיגת בר מצווה. כבר ברמה הזאת יש הנחיות שעברו טיוטה ראשונה, עברו בסיס של היוועצות. זה מתחיל שם ונגמר בתשתיות הקריטיות. 15 תשתיות קריטיות מתוך 25 של מדינת ישראל עוברות לאחריות אבטחתית והנחיית רשות הסייבר ב-1 במרץ.

רשות הסייבר רואה את עצמה אחראית על תחום הגנת הסייבר במדינת ישראל. ככל שאנחנו מדברים על פרטיות שמתממשקת לסייבר, כך אנחנו מנסים לייצר כמה דברים. אחד, שלא תהיה כפילות. שתיים, שלא יהיה כפל רגולציה ופיקוח על תשתיות מונחות. על זה אנחנו עובדים. כשאני אומר להטמיע כדוגמת firewall, ברור שאנחנו לא רוצים שיטמיעו שני firewall, ברור שאנחנו לא רוצים שיביאו שתי בקרות. על האירוע הזה אנחנו עובדים. כמו שהתחייב אלון, ראש רמו"ט, לא יהיה כאן כפל רגולציה. מאוד חשוב לנו להימנע מבלבול האזרחים והמשק. את ההוראות ואת ההנחיות בעולם הגנת הסייבר נותנת רשות הסייבר. ככל שהדבר שונה בפרטיות, עולם הפרטיות סוברני להחליט בעצמו.

האם הערה לעניין הוספת המילים "סוג המידע" מקובלת על משרד המשפטים?

מידע כולל סוג והיקף מידע. מידע זה הכל, אין צורך להוסיף.

זה לא סותר את מה שהתכוונתם אליו.

זה לא נדרש.

כיוון שאת ואני לא נהיה האנשים שכותבים את מסמך ההנחיות לקוסמטיקאית, אני רוצה שהיא תדע שהיא יכולה לגרוע לקוחות שהם לא הלקוחות שלה כבר 5 שנים.

שלא יהיה מצב שבחקיקה שלא מופיע בה סוג מידע יחשבו שהתכוונו ללקוחות.

אני גם חושב שזה מיותר.

להבדיל מבדיקת הנחיצות הכללית של סיכונים ותיאור השימושים, יש סוגי מידע בסעיף (3).

השאלה אם זה יהיה קריטי אם יהיה תיקון שכזה, אם יהיה חידוד שכזה.

מדוע האחידות נדרשת?

תסתכלי על סעיף קטן (3) ב-2(א). את מדברת על סוגי מידע בהגדרות.

ואם זה לא סוג מידע? אני רוצה שהיא תחשוב על הכל. אני רוצה שהיא תחשוב על היקף הזמן שהיא שומרת, על סוגי המידע.

היקף הזמן זה לא המידע.

זה מידע.

מידע חובק הכל.

איך אתם מתייחסים למאגר מידע יחיד שנמצא על טלפון סלולרי ויוצא מידי פעם לחו"ל? זה יכול להיות על מחשב נייד.

מכשיר נייד הוא מחשב. אם הוא נכנס להגדרה של מאגר מידע, צריך לאבטח אותו. יכול להיות שם מידע מאוד רגיש.

יש תקנות שמסדירות יציאה לחו"ל.

יש גם תקנה שמסדירה התקנים ניידים. אולי שם תהיה תשובה לשאלה שלך.

3. ממונה על אבטחת מידע. חלה חובה למנות ממונה על אבטחת מידע, או מונה ממונה על אבטחת מידע במאגר המידע יחולו הוראות אלה: (1) ממונה אבטחה יהיה כפוף ישירות למנהל מאגר המידע או למנהל פעיל של בעל המאגר או המחזיק בו, לפי העניין, או לנושא משרה בכירה אחר הכפוף ישירות למנהל המאגר; (2) הממונה על אבטחה כיין נוהל אבטחת מידע ויביאו לאישור בעל המאגר; (3) הממונה יכין תכנית לבקרה שוטפת על העמידה בדרישות תקנות אלה, יבצע אותה ויודיע לבעל מאגר המידע ולמנהל המאגר על ממצאיו; (4) הממונה על אבטחה לא ימלא תפקיד נוסף שעלול להעמידו בחשש לניגוד עניינים במילוי תפקידו לפי תקנות אלה; (5) הטיל בעל מאגר המידע על ממונה על אבטחה משימות נוספות על החובות המנויות בפסקאות (2) ו-(3), לשם ביצוע תקנות אלה, יגדירן בצורה ברורה; בעל מאגר המידע יקצה לממונה את המשאבים הדרושים לו לשם מילוי תפקידו.

התקנה לא מקימה בעצמה חובה למנות ממונה אבטחת מידע, אלא היא חלה במקום שבו חלה חובה לפי חוק הגנת הפרטיות. סעיף 17ב קובע חובות למינוי ממונה אבטחת מידע בכמה מקרים. מדובר בכמה עקרונות יסודיים שיאפשרו לו פעולה עצמאית, יכולת למלא את תפקידו, איסור ניגודי עניינים, הקצאת המשאבים שדרושים לו. הצורך בחידוד הזה עלה במסגרת העבודה של רמו"ט. הצורך בחידוד של הדברים עלה במינוי של ממונים שהיה להם ניגוד עניינים או שלא יכלו לבצע את תפקידם.

ניגוד עניינים מקצועי, לא אישי.

כמובן. חובת אבטחת המידע חלה גם על ממונה אבטחת המידע. הצורך לחדד את הדברים עלה מדברים שנמצאו בעבודת רמו"ט.

בארגונים שונים ההיררכיה הארגונית שונה. נתקלים לפעמים במקרים שבהם ממונה אבטחת המידע כפוף למנהל מערכות המידע, שזה מצב שיכול להציג ניגוד עניינים כי האחראי על מערכות המידע נמדד בעיקר לפי הביצועים. הוא רוצה שהמערכת תעבוד מהר, ביעילות. אמצעי אבטחת מידע, וזה לא סוד, מאיטים פעמים רבות את קצב המערכת. זה המחיר שמשלמים. אם נכפיף את ממונה אבטחת המידע למי שנמדד לפי ביצועי המערכת, הוא לא יוכל למלא את תפקידו באופן נאות. זה מבחינת ניגוד העניינים.

ממונה אבטחת המידע צריך להיות בעל מעמד מינימאלי מבחינת הבכירות בארגון, כדי שיוכל לקדם את האג'נדה של אבטחת המידע, כדי שיוכל לוודא שהארגון נוהג לפיה, כמובן במגבלות של זה שהוא עובד בארגון היררכי וכפוף למנכ"ל.

הציג את זה יפה מאוד הממונה על אבטחת מידע בקופת חולים כללית. הוא הציג כמה הדבר הזה נדרש בכדי לחזק את אותם אנשים שאחראים על אבטחת מידע בארגונים כלפי ההנהלה שלהם.

אולי כדאי לפצל את פסקה (5) לשתיים.

בסדר.

רק הערה אחת לגבי הממונה שלא יהיה בניגוד עניינים. רופאים ובעלי מקצוע שיש להם חובה על פי חוק, הם לא בעלי מאגר מידע יחיד, לכן הסעיף הזה חל עליהם במלואו. תחשבו על רופא עם קליניקה פרטית. הוא גם בעל המאגר, גם מנהל מערכות מחשוב וגם מנהל אבטחת המידע.

השאלה אם הוא נכנס בהגדרה של 17ב לחוק.

לא חלה חובה למנות ממונה אבטחת מידע.

למה? הוא לא יחיד.

לא ייצרנו חובה חדשה למנות ממונה אבטחת מידע.

4. נוהל אבטחה. (א) בעל מאגר המידע יקבע במסמך נוהל אבטחת מידע (להלן – נוהל האבטחה) בהתאם למסמך הגדרות המאגר ותקנות אלה, אשר יחייב את כל בעלי ההרשאה בהתאם לפרטים מהנוהל שאליו הוא חשוף לפי תקנת משנה (ב). (ב) בעל מאגר מידע ישמור את נוהל האבטחה כך שפרטים ממנו יימסרו לבעלי הרשאה רק בהיקף הנדרש לצורך ביצוע תפקידיהם. (ג) נוהל האבטחה יכלול, בין היתר, את כל אלה: (1) הוראות בעניין האבטחה הפיזית והסביבתית של אתרי המאגר כאמור בתקנה 6. (2) הרשאות גישה למאגר המידע, ולמערכות המאגר בהתאם לתקנה 8; (3) תיאור של אמצעים שמטרתם הגנה על מערכות המאגר ואופן הפעלתם לצורך כך; (4) הוראות למורשי הגישה למאגר המידע, ולמערכות המאגר לצורך הגנה על המידע במאגר; (5) הסיכונים שחשוף להם המידע שבמאגר במסגרת הפעילות השוטפת של בעל מאגר המידע, לרבות אלה הנובעים ממבנה מערכות המאגר כמפורט בתקנה 5(א), אופן קביעת סיכונים אלה, ואופן הטיפול בהם, לרבות על ידי מנגנוני הצפנה מקובלים להגנה על המידע השמור במאגר או במערכות המאגר; (6) אופן ההתמודדות עם אירועי אבטחת מידע כאמור בתקנה 11, לפי חומרת האירוע ומידת רגישות המידע; (7) הוראות לעניין ניהול של התקנים ניידים ושימוש בהם כאמור בתקנה 12; (ד) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, יכלול נוהל האבטחה, בנוסף לאמור בתקנת משנה (ג), התייחסות גם לכל אלה: (1) אמצעי הזיהוי והאימות לגישה למאגר ולמערכות המאגר, בהתאם לתקנה 9; (2) אופן הבקרה על השימוש במאגר המידע, ובכלל זה תיעוד הגישה למערכות המאגר כאמור בתקנה 10; (3) הוראות לעניין עריכת ביקורות תקופתיות לוידוא קיומם ותקינותם של אמצעי האבטחה לפי נוהל האבטחה ולפי תקנות אלה כאמור בתקנה 16; (4) הוראות לעניין גיבוי הנתונים האמורים בתקנה 18(א)(1); (5) הוראות לעניין אופן ביצוע פעולות פיתוח במאגר ותיעודן, ובכלל אלה אופן הגישה של אנשי הפיתוח לנתונים במאגר. (ה) בעל מאגר מידע יבחן, אחת לשנה, את הצורך בעדכון הנוהל, ובל לגרוע מן האמור, יבחן אם יש צורך בעדכונו של הנוהל במקרים אלה: (1) נעשים שינויים מהותיים במערכות המאגר או בתהליכי עיבוד מידע; (2) נודע על סיכונים טכנולוגים חדשים הנוגעים למערכות המאגר. (ו) ארגון שהוא בעל כמה מאגרי מידע, רשאי לקבוע נוהל אבטחה כאמור בתקנה זו, במסמך אחד לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה.

אחרי שעברנו את השלב הראשון של המיפוי במסגרת זה שהתקנות בנויות בצורה מודולרית, אנחנו עוברים לשלב השני, שזה לקבוע את נוהל האבטחה עצמו. אנחנו יורדים לרזולוציה יותר נמוכה. לפני שאנחנו נכנסים לרזולוציה הזאת, פה כבר יוצאים אותם מאגרי מידע יחידים. הם כבר לא צריכים להגיע לשלב יותר רציני.

התקנה הזאת בנויה משני שלבים. שלב אחד הוא ראשוני. כדי לא לקבוע איזו שהיא תקנה שמדברת על נוהל אבטחה, כן ניסינו לפרוט לפרוטות את ראשי הפרקים שאליהם צריך להיכנס בנוהל הזה - סיכונים, הרשאות, דרכי התמודדות שצריך לחשוב עליהם מראש. אז קופצים לאותם מאגרי מידע של הרמה הבינונית והגבוהה, כאשר מהם נדרשות עוד התחייבויות. אני לא חושבת שצריך לפרט אחד לאחד. מדובר בראשי פרקים לבניית מסמך כזה. בשוק המקצועי מפרטים את המובן מאליו, את הדברים הבסיסיים שנדרשים באבטחת מידע.

החובות האלו מפורטות בתקנות הפרטניות.

תקנה (ו) נועדה להקל, לא להעמיס. אם אתה מחזיק בכמה מאגרי מידע שהם באותה רמת אבטחה, אנחנו לא מצפים שיהיה נוהל נפרד לכל מאגר, אפשר לעשות נוהל מרוכז.

וזה לא חל על יחיד.

במה אתה מגדירים שונה את המאגרים שנכנסים בתקנת משנה (ד) לעומת תקנת משנה (ג)?

יש תקנות פרטניות שהתחולה שלהן משתנה לפי רמות האבטחה. כשמדובר ברמת אבטחה בינונית או גבוהה, יש דרישות נוספות בתקנות. אם תיקחי את (ד)(1), אז יש הפנייה לתקנה 9 בהקשר של רמת האבטחה הבינונית והגבוהה.

ואם אנחנו מסתכלים על (2) שמפנה לתקנה 10.

זה ריכוז של החובות המהותיות. התוצרים במסמך מדיניות האבטחה הארגונית עולים בקנה אחד עם הדרישות המהותיות בתקנות. אותו מסמך מחייב את כל בעלי ההרשאה בארגון. כל אחד יודע בהתאם לתפקיד שלו. זה ריכוז התוצרים של מילוי החובות המהותיות שמופיעות.

נניח שאנחנו נמצאים במאגר ברמת אבטחה בינונית. אנחנו מדברים פה על אופן בקרה, על השימוש ועל תיעוד הגישה למערכות. בוא נניח שאנחנו מדברים על מאגר שנמצא במחשב שמשתמש בו אדם שהוא לא בעל המאגר, הוא לא קשור אליו במקום העבודה שלו.

בשביל זה יש סיסמת כניסה.

הסעיף הזה מפנה, הוא אומר נוהל כולל. כל תקנה ותקנה נותנת תוכן שאולי נותן מענה לשאלה שלך. צריך להסתכל בתקנה 10, לראות אם זה נותן מענה על השאלה שלך.

תקנה 4 קובעת את הנוהל. זה מן מדריך למשתמש לגבי איזה נושאים צריך בעל המאגר להתייחס בנוהל.

גם במחשב ביתי אנשים נכנסים עם שם משתמש נפרד כשהם הולכים לאזורים אחרים. יש לך מייל שלך, יש לך שם משתמש שלך. לכל אחד יש את הפרופיל שלו.

האם יש מחשבה לפרסם סוג של תקנון מצוי, נוהל מצוי, איזו שהיא טיוטה או דוגמה, כדי שאדם מן היישוב, שהוא לאו דווקא מהגורמים הגדולים, ידע איך עושים דבר כזה?

בוודאי שכן.

5. מיפוי מערכות המאגר וביצוע סקר סיכונים. (א) בעל מאגר מידע יחזיק מסמך מעודכן של מבנה מאגר המידע וכן רשימת מצאי מעודכנת של מערכות המאגר, ובכלל אלה: (1) תשתיות ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע; (2) מערכות התוכנה המשמשות להפעלת מאגר המידע, לניהול המאגר ולתחזוקתו, לתמיכה בפעילותו, לניטור שלו ולאבטחתו; (3) תוכנות וממשקים המשמשים לתקשורת אל מערכות המאגר ומהן; (4) תרשים הרשת שפועל בה המאגר, הכולל תיאור הקשרים בין רכיבי המערכת השונים ומיקומם הפיזי של רכיבים אלה; (5) תאריך העדכון האחרון של המסמך ושל רשימת המצאי. (ב) המסמך המעודכן של מבנה מאגר המידע ורשימת המצאי יישמר כך שפרטים מהם יימסרו לבעלי הרשאה רק בהיקף הנדרש לצורך ביצוע תפקידיהם. (ג) במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל המאגר אחראי לכך שייערך סקר לאיתור סיכוני אבטחת מידע (להלן – סקר סיכונים); בעל מאגר המידע ידון בתוצאות סקר הסיכונים שיועברו לו, יבחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהן, ויפעל לתיקון הליקויים שנתגלו במסגרת הסקר, כלל שנתגלו; סקר סיכונים כאמור ייערך אחת לשמונה עשר חודשים לפחות. (ד) במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל המאגר אחראי לכך שייערכו מבדקי חדירות למערכות המאגר לבחינת עמידותן בפני סיכונים פנימיים וחיצוניים, אחת לשמונה עשר חודשים לפחות; בעל המאגר ידון בתוצאות מבדקי החדירות ויפעל לתיקון הליקויים נתגלו, כלל שנתגלו. (ה) ארגון שהוא בעל כמה מאגרי מידע, רשאי לקבוע את רשימת המצאי כאמור בתקנת משנה (א) במסמך אחד לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה וכן רשאי לקיים את החובות הקבועות בתקנות משנה (ב) ו-(ג) בסקר סיכונים או במבדק חדירות, לפי העניין, אחד לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת האבטחה.

אחרי שבעל המאגר מיפה את המידע שיש לו, את סוגי המידע, את השימושים שהוא מתכנן לעשות, עכשיו אנחנו עוברים למיפוי של החומרה והתוכנה שיש לו, להבין מה יש לו, עם מה הוא עובד. כמו שאמרנו לגבי המידע שנדרש לעשות סדר ולהבין מה יש אצלו, זה בוודאי נכון גם לגבי מערכות חומרה ותוכנה. רק אז אפשר להעריך את הסיכונים, לראות איזה מערכות מיותרות יש, איזה מערכות מסכנות יש. ממי שנכלל בתקנת משנה (ב) אנחנו דורשים לא להסתפק במיפוי הזה, אנחנו דורשים לעשות סקר סיכונים. סקר סיכונים זה כלי מקצועי מוכר, ידוע, שבודק את הסיכונים הקיימים במאגרי המידע שלו, כאשר אחר כך הוא מבצע את העיבוד ולמידת הלקחים מהסקר הזה. זה דבר שבמערכות מידע הוא מאוד בסיסי. אפילו קיבלנו ביקורות שלוחות הזמנים שקבענו רחבים מידי, שצריך לצמצם אותם. כאן זה דרישות מינימום.

הן חלות רק לגבי רמת האבטחה.

דיברת על תדירות של אחת לשמונה עשר חודשים. מה מקובל מבחינה מקצועית לגבי העניין של התדירות? מה סדרי הגודל של העלויות של דבר כזה? האם סקר סיכונים צריך להיות משהו שמקיף כל פעם את הכל? ניקח גורם כמו בנק, כמו חברת ביטוח, שהמחשוב שלהם בהיקפים עצומים. האם סדרי הגודל האלה מאפשרים לעשות סקר סיכונים מלא לכל המאגרים שברשותם, או שהכוונה שלכם בתקנה הזאת שיהיה מדובר בסקר מקדמי? מה הכוונה שלכם בתקנה הזאת?

כשעבדתי בבנק דיסקונט כיועץ חיצוני, שזה היה לפני 10 שנים. הייתי אחראי על תקציב של 10 מיליון שקלים בשנה לביצוע סקרי סיכונים, מבדקי חדירות. אם אנחנו פורסים את זה על שנתיים או על 18 חודשים, יש לך תקציב של 15 מיליון שקלים להוציא לחברות חיצוניות שיבצעו את הפעילות הזאת. ארגונים קטנים מבקשים הצעות מחיר באזור של עשרות אלפי שקלים בודדים. זה לפי כמות המערכות, סיבוך המערכות. סקר רוחבי לארגונים מאוד גדולים יכול להגיע למאות אלפי שקלים, אפילו למיליוני שקלים. אם לא היו שינויים במהלך השנה האחרונה או השנתיים האחרונות במערכות, כמובן שעלות הבדיקה תהיה קטנה וזניחה. אם התבצעו שינויים רבים, צריך לעשות בדיקה מקיפה. אם אף פעם לא עשית את הבדיקה, תצטרך לעשות בדיקה רוחבית. אחרי שנה או שנתיים אתה עושה רק דלתא, אתה לא חושף את הכל מחדש, שאז עלות הבדיקה יותר קטנה. אם אתה מתחזק כל השנה, עלויות הבדיקה מתכווצות.

נניח שעשיתי סקר מקיף שבדק את הכל. האם הפרשנות היא ששנה וחצי לאחר מכן אני אצטרך לעשות רק את הדלתא?

הדלתא זה שני דברים. זה המערכות שהוספת וגם הסיכונים החדשים שיודעים עליהם בשוק.

הניסוח הזה הוא ניסוח שמחייב מחדש את הכל.

זה מסתמך על התורה המקצועית של סקר סיכונים.

אני חושב שכל גוף צריך להחליט לעצמו אם הוא צריך לעשות או לא. זו אחריות שלו.

אנחנו לא רוצים שזה יהיה פתוח.

אם רק יהיה צריך לעשות את הדלתא, זה יהיה אחר כך פתח לתירוצים.

איך הם יפרשו את זה אחרי זה?

בהרבה מקרים הפרשנות הזאת תהיה סבירה. כל מאגר לגופו, כמובן בשים לב לסיכונים שלו, בשים לב להיקף השימוש שלו, אם הוא עלה או ירד.

זה מבוסס על הסיכון המקצועי.

כל שנה וחצי חובה לעשות משהו. ההיקף של המשהו הזה הוא פרי של תובנות מקצועיות של מה נדרש אל מול מה שעשית לפני כן, אל מול הדברים שהשתנו מאז.

זה לא ברור מהנוסח.

יש לי הערה לגבי כך שהמסמך יימסר רק לבעלי הרשאה. אני רואה את התמונה בדיוק הפוכה. ברור שבגופים ציבוריים יש צורך להשקיף את המידע הזה כך שנהלי האבטחה לא רק שיהיו שקופים כלפי כל הארגון, שיהיו שקופים כלפי כולם. למה שהמסמך המעודכן של מבנה מאגר המידע ורשימת המצאי יימסרו רק לבעלי הרשאה?

כי אז תאפשר לתוקף - -

השאלה אם זה לא חושף ליותר סיכונים.

Security Through Obscurity זה אנשים שמניחים שאם הם יסתירו מידע הם יוכלו לאבטח, אבל ההיפך.

לא בבחינה של הסתרה, בבחינה של חשיפת הסיכון.

אם אתה שקוף, אנשים יכולים לשתף פעולה איתך, לעזור לך למנוע סיכונים עתידים.

אבל אז ידעו איפה הבטן הרכה שלך.

זה בדיוק העניין. אם יש לך בטן רכה, אנשים יכולים לעזור לך להשתפר ולתקן את זה.

אם אתה חושף את מבנה המערכות, את הקשר ביניהן - -

נניח שאני חברה שמספקת שירותי אבטחת מידע לקוסמטיקאיות. אני חב בחובה הכי חמורה. אני רוצה לבוא ולהציע לציבור תכנית שבה מתגמלים אנשים על זה שהם יחפשו אצלי פרצות אבטחה. הסעיף הזה מונע ממני.

יש את זה היום בפייסבוק.

פייסבוק עושה את זה, גוגל עושה את זה.

זה לא מונע ממך.

זה מונע ממני להעביר את המערכות.

אם אתה פותח חופשי לגמרי ולא אוסר מראש את שיתוף המידע למי שעלול להזיק, אתה יוצר פריצה מאוד גדולה. את מה שאתה אומר הנוסח לא מונע.

הוא כן מונע, כי הוא קובע שהמידע יימסר רק לבעלי הרשאה בהיקף הנדרש לביצוע תפקידם.

אם אני לוקחת יועץ - -

יועץ כן, אבל אם פייסבוק עושה תחרות - -

פה מדובר בבדיקות שהן black box, כשאין לך שום ידע מוקדם על המערכות שנמצאות מאחורה.

לא בהכרח.

היה לנו אירוע מול משרד הפנים. מחובתם היה לפרסם את השדות שיש להם במאגר, לפרסם איזה שאילתות כל ארגון יכול לבצע. הם פרסמו מסמך מפורט מידי. הוא איפשר לתוקפים לדעת איזה שאילתות ניתן להריץ מול המאגר של משרד הפנים. ביקשנו מהם להסיר שם שדות. השדות שהם פרסמו היו עודפים. הם גם ביצעו את זה.

אני חושב שלהגדיר איסור על העברה זה פוגע. יכול להיות שצריך את זה במאגרים מסווגים, ביטחוניים וכדומה. אני חושב שלא לאפשר לבעל המאגר להעביר את המידע הזה אם הוא רוצה להעביר, זה ללכת יותר מידי.

בחברות גדולות מדובר במיפוי תשתיות ומערכות חומרה, סוגי רכיבי תקשורת, מערכות תוכנה, תחזוקה וכו'. אנחנו מעריכים שהעבודה הזאת אצלנו תיערך שנה.

האם יש לכם היום איזה סקר שאתם עושים?

המיפוי שנדרש מאיתנו פה לא קיים היום. אנחנו עושים סקר.

דרך אגב, כשאתה עושה ספירת מלאי, אתה סופר את הרכיבים האלקטרוניים עד לרמת הכבל. אני לא חושב שזה פחות מספירת מלאי שאתה אמור לעשות כל שנה. אתה אמור לדעת מה יש לך.

בואו נפריד את זה מספירת המלאי. באיזה תדירות אתם עושים את סקר הסיכונים הזה?

סקר סיכונים זה מיפוי של מערכות. מיפוי של מערכות בתצורה שבה אנחנו נדרשים פה עדיין לא קיים. לא מדובר על טבלה אחת של מאגרי מידע, גם לא על 10 או 20, מדובר על מאות רבות של טבלאות. חלקן נמצאות במערכות חדשות יותר, חלקן במערכות ישנות יותר. התהליך של המיפוי כפי שנדרש פה בתקנות הוא תהליך מאוד מאוד ארוך. אפשר לבצע את זה, אבל ברגע שקובעים 18 חודשים לעבודה שלפחות תיקח שנה, זה נשמע לנו - -

18 חודשים זה לגבי סקר סיכונים, לא לגבי רשימת המצאי.

מיפוי מערכות וביצוע סקר סיכונים מתבצעים יחד.

מה שאתה אומר עכשיו קשור לסעיף התחילה, לגבי כמה זמן צריך לתת לגורמים ליישם את התקנות האלו. 18 חודשים זה לגבי סקר הסיכונים, זה לא קשור לרשימת המצאי.

ואם אתה מתייחס רק לסקר סיכונים, לא למיפוי, כמה זמן זה לוקח?

יכול להיות שכשהמיפוי הראשוני יסתיים ונצטרך לעשות רק את הדלתאות, 18 חודשים יספיקו.

היום אתם עורכים סקרי סיכונים, נכון?

כן.

באיזו תדירות?

אני לא יודע לענות על זה.

אתה מדבר על שני דברים שונים.

ניר מעלה איזו שהיא נקודה. האם אפשר שאחרי המיפוי הראשוני לא נבקש מיד שיהיה סקר?

כדי לבצע סקר את צריכה קודם למפות.

זה מה שאני אומרת.

אני חושב שנצטרך לתת את הדעת על הדברים האלה כשנגיע לסעיף התחילה. אז נראה מתי כל אחת מהתקנות האלו תיכנס לתוקפה, כמה זמן יצטרכו הגופים השונים להיערך לכל אחד מהדברים האלה.

האם גברתי מתכוונת רק לפעם הראשונה?

אני מדברת רק על הפעם הראשונה.

זה מאוד מטריד שיש חברות גדולות שלא יודעות למפות את כל מה שיש להן.

לא אמרנו שאנחנו לא יודעים. זה שזה לא ממופה עדיין לא אומר שזה לא מאובטח. זה מאובטח ברמה הכי גבוהה שיש. אם את שואלת אותי אם יש לי טבלה מסודרת שמארגנת את הכל בדיוק כפי שאתה רוצים בתקנות, התשובה היא לא.

אני לא בטוח שאין לכם.

אני בטוח שאין. זה לא קיים באופן שבו אתם מבקשים בתקנות.

אפשר לדבר על זה בתקנה של התחילה.

בסעיף (ג) הייתי כותב שהסקר ייעשה על ידי גורם חיצוני, לא הגוף עצמו. בתקנה (ד) הייתי כותב שמדובר בחדירה פיזית וחדירה טכנולוגית. אני מפנה למכתב שהגשנו לוועדה לפני שהתחילו לדון בתקנות. פירטנו את הכל בסעיף 9 למכתב.

הבנקים נתונים לרגולציה של הפיקוח על הבנקים. ההנחיות שלנו הרבה יותר מחמירות. אנחנו עושים הבחנה בין סקר הערכת סיכונים, לבין סקר סיכונים שהוא מבחינתנו סקר בטיחות או סקר פגיעויות. סקר הערכת הסיכון זה להעריך את הסיכון של התהליך, של המערכת, של מאגר המידע וכו'. אגב, הערכת הסיכונים הזאת נסמכת, בין היתר, על תוצאות סקר הבטיחות שאני מניחה שהתקנה מכוונת אליו. יש סקר של סיכוני סייבר כל שנה. הסקרים שמוזכרים כאן הם סקרים שנועדו לבדוק את אפקטיביות הבקרות, לראות אם הבנק מטמיע בקרות, אמצעי אבטחה. לזה נועדו הסקרים האלה.

לגבי ההיבטים של מבדקי חדירה. אנחנו לא אמרנו לבנק 18 חודש. 18 חודש לעשות מבדקי חדירה, לדעתי זאת תדירות מאוד נמוכה. אם יש מאגר מידע שבו יש סיכון מאוד חמור, התדירות צריכה להיות הרבה יותר גבוהה. הבנקים עושים את זה מידי מספר שבועות, לפעמים כמה מבדקי חדירה במהלך חודש ימים. ההוראות שלנו מחייבות לעשות את הסקרים האלה לא רק באופן תדיר או לפי תדירות שנקבעה, אלא גם באירועים, גם כאשר יש שינויים מהותיים, כאשר שינויים טכנולוגים. אנחנו מדברים על מערכת טכנולוגיית המידע, שזאת מערכת מאוד דינאמית, שזאת מערכת שיש בה שינויים ארגוניים. הסקרים האלה, על פי הנחיות שלנו, מחייבים את הבנקים להיערך במצב של שינויים, למשל במערכת חדשה, או אם חלו שינויים מהותיים במערכת וכן הלאה.

יש בלבול בין המושגים. סקר סיכונים בודק את הסיכונים על הנכסים הקריטיים כפי שמגדיר הארגון. כל ארגון יכול להגדיר אותם בצורה שונה. הוא מגדיר את הסיכונים הקריטיים. הוא מנסה לתת להם מענים באמצעות בקרות ומה שסביב. במבדק חדירה אתה לוקח דרך פעולה אפשרית של תוקף, אתה מנסה להיכנס דרך הנתיב הזה כדי לסגור אותו. 18 חודשים זה באזור הגבולי. עצם הביצוע של סקר סיכונים יכול להיערך כמעט שנה. עד שאתה לוקח את הליקויים, מכין אותם, מביא אותם חזרה, רוכש את מה שאתה רוצה, מטמיע את זה בארגון, זה תהליך שב-18 חודשים לחלק גדול מהארגונים עשוי להיות על הסקאלה של סקר סיכונים. המילה "דלתא" תיתן מענה.

הדלתא זה לא רק מה שלא נבדק. יכול להיות שנבדק, רק הסיכונים השתנו.

או בתנאי שלא השתנה.

זה בדיוק הפוך ממה שנאמר לפני רגע.

רחל דיברה על מבדקי חדירה.

זה מה שהיא עושה.

רחל מדברת על מבדקי חדירה, לא על סקרי סיכונים. מבדקי חדירה נעשים כל הזמן. אתה בא כתוקף, מנסה לעשות סימולציה איך אתה נכנס לבנק או לארגון. זה לא קשור לסקר סיכונים. סקר סיכונים הוא אירוע הרבה יותר תשתיתי. אם נישאר בסקר הסיכונים שרמו"ט דרשה, צריך לכתוב את המילה "דלתא" ואת המילים "לא השתנה". זה נותן מענה יפהפה לסעיף הזה.

אני לא חושב שיש כאן ויכוח. אנחנו מדברים פה על רף מינימום. ברור שבמקומות עם מידע מאוד מאוד קריטי, אישי ורגיש המינימום הזה לא מספיק. אף אחד מאיתנו לא רוצה שהארגון יעשה את זה בלופ.

השאלה אם ההערה של רפאל פרנקו, שהיא קצת מתכתבת עם מה שניר מסלקום אמר ועם מה שאלעזר אמר, יכולה לעשות איזה שהוא חידוד בתקנות.

השאלה איך תגדירו את זה. צריך הגדרה למה זה דלתא, כי דלתא זה לא רק רכיבים חדשים שנכנסו, זה אולי שינוי בתצורה, סיכונים חדשים. נצטרך הגדרה נוספת.

יש את הארגונים שירצו לעשות רק את הדלתא, יש ארגונים שלא. אני לא חושבת שזה נחוץ. גם התדירות של 18 חודש היא תדירות סבירה.

עשינו את ההפרדה בין מבדקי חוסן לסקרי סיכונים. אני מתייחס לבדיקות החוסן. ביטוח לאומי עושה בדיקות חוסן כל הזמן.

שזה החדירות.

נכון. חוזק של מערכת תלוי בנקודה החלשה שלה. אם אנחנו בודקים את בסיס הנתונים עצמו, יכול להיות שהוא יהיה מוגן בצורה מצוינת, אבל אם אפשר יהיה לחדור מאיזה שהוא מחשב בפינה שיהיה לו חיבור לאותו מאגר מידע, אז לא עשינו כלום. צריך להגדיר מה בודקים - האם בודקים רק את המאגר, או בודקים את המערכת כולה. חייבים לעשות את ההפרדה בין מבדקי חוסן לסקרי סיכונים.

יש הבחנה. תקנה (ג) ותקנה (ד) הן שתי תקנות שונות.

במיוחד בזמני הבדיקות. אלה שני דברים שונים לגמרי.

יש פה שתי תקנות שונות.

כל אחד יוכל לעשות מבדקי חוסן בתדירות הרבה יותר גבוהה.

אולי נגיד שזה יהיה בדרך מקובלת. הדרך המקובלת מכניסה את אותן תובנות מקצועיות.

אני חושב שהמילים "דרך מקובלת" מיותרות, כי ברור שהוא צריך לעשות את זה בדרך מקובלת. זה רק יכול להטעות, כי יהיה ויכוח מה זו דרך מקובלת. זה פתח לגורמים לצמצם דברים, להתחמק מבדיקות.

סקר הסיכונים הוא הדרך המקובלת.

דרך מקובלת זה פתח לוויכוח על פרשנות. לא הייתי מוסיף מילים כאלו בחקיקה.

השתמשנו בתיבה הזאת בהקשרים נוספים, אתם תראו בהמשך התקנות.

זה הקשרים שמסבירים למה הכוונה, זה לא סתם בעלמא.

אנחנו לא חושבים שזה דבר חיוני. אני מנסה לתת מענה לקושי או לחשש שהעלתה חברת הכנסת סויד.

נעשה על זה חשיבה נוספת.

6. אבטחה פיזית וסביבתית. (א) בעל מאגר מידע יבטיח כי המערכות המפורטות בתקנה 5(א)(1) יישמרו במקום מוגן, המונע חדירה וכניסה אליו בלא הרשאה, והתואם את אופי פעילות המאגר ורגישות המידע בו. (ב) בעל מאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, ינקוט אמצעים לבקרה ולתיעוד של הכניסה והיציאה מאתרים שבהם מצויות המערכות המפורטות בתקנה 5(א)(1) ושל הכנסה והוצאה של ציוד אל מערכות המאגר ומהם.

אנחנו מדברים על אבטחה פיזית, על איפה המערכות יושבות. צריך לוודא שזה יהיה במקום מוגן, לבדוק שיש כניסה לעובדים מורשים. אחר כך, כשאנחנו עוברים לרמה הבינונית והגבוהה, גם לנקוט באמצעי בקרה ותיעוד. הסעיף הזה לא חל על אותו מאגר יחיד.

6(א) חל על מאגר יחיד. מה המשמעות של 6(א) לגבי בעל מאגר יחיד? אם מדובר על מידע שנמצא בפלאפון שלי, אסור לי לתת לילדים שלי לשחק בפלאפון?

נכון.

אם יש לי מחשב ביתי שהילדים משחקים עליו, את אותו קובץ של המאגר אני אשמור בסיסמא.

תלוי ברגישות שלו. אם יש לך מידע מאוד רגיש, אתה לא תיתן לשחק.

מה אם זה מחשב ביתי שנמצא בבית?

אם אתה פסיכיאטר, אתה לא תיתן לילדים.

אני חושבת שהקוסמטיקאית יכולה.

יכול להיות שהקוסמטיקאית יכולה. צריך לנתח את רגישות המידע.

השאלה מה רגישות המאגר הזה.

אם יש שם תמונות של לקוחות לא לבושים, אולי לא כדאי.

אנחנו לא מדברים על המידע שלך. אנחנו לא מכתיבים לבן אדם איך לשמור על המידע שלו, איך להתעסק עם המידע שלו. אנחנו מדברים על אדם שמחזיק מידע של אחרים. אם הוא מחזיק מידע של אחרים, אז יש מגבלות. אם הקוסמטיקאית שומרת תמונות, שומרת מידע רגיש, שומרת תיעוד מאוד אינטימי, אולי החברים של הילדים שלה לא יכולים להיכנס למחשב בו נשמר הקובץ הזה.

אני חושב שאין מחלוקת סביב השולחן על החשיבות של שמירת המידע. האם אתם חושבים שמבחינה מעשית זה יקרה, או שמא זה יהיה אות מתה? האם אותה קוסמטיקאית תדע שהיא צריכה לעשות את זה? הדבר הזה הולך לחול על מגוון מאוד רחב של גורמים. מה המשמעות?

ברור שזה תהליך. ההטמעה של התקנות האלו, ההסברה סביבן, המדריכים שנפרסם, ההנחיות שנפרסם, הכל זה תהליך שייקח זמן. המצב הוא לא טוב בארץ בהקשרים אלה. אנחנו מנסים להביא אותו למצב יותר טוב מכל הבחינות. זה ייקח זמן. אנחנו נסביר, נפרט, ניתן כלים, כאשר בסוף גם נאכוף. לא נתחיל לאכוף על הקוסמטיקאית את התקנה לפני שהבאנו לידיעת הציבור בכל דרך אפשרית, כולל הסברה לא משפטנית ולא מאוד טכנולוגית, איך לעשות את הדברים ומה צריך. יהיה על זה פרסום, יהיו על זה ימי עיון, תהיה על זה תקשורת, יופצו הנחיות, הדברים יעלו באתרים הנכונים. זה ייקח זמן. בסופו של דבר יהיה פיקוח, תהיה אכיפה שלנו שתתבצע במסגרת תכנית עבודה.

מי שיש לו מידע אישי צריך לשמור עליו, אין ויכוח על זה.

אם כל העסק שלה נבנה על המחשב הזה, אז היא רוצה לשמור עליו בלי קשר לפרטיות. חשוב לה לשמור על המידע הזה, זה העסק שלה. אם יקרה משהו למידע, גם בהיבט של ניהול העסק תהיה בעיה. הדברים משתלבים, לא סותרים.

מה שאלעזר ניסה לכוון אליו זה רמות ההגנה. אני מסכים עם אלון שזה אחר כך יהיה בהנחיות ספציפיות ומפורטות. אחרי זה נצטרך לפרט את רמת האמצעים, את התחולה שלהם.

מניעת חדירה היא רק על הפרטים ב-5(א)(1), רק על תשתית ומערכות חומרה, סוג רכיבי תקשורת ואבטחת מידע, לא על מערכות התוכנה המשמשות להפעלת המידע. למה?

למה חשוב לחדד את זה?

אני רוצה להבין מה עמד מאחורי זה. צריך להבטיח שזה לא ימנע מצב שבו יש גישה למאגר מהרשת. אם יש לי מערכת לניהול לקוחות, שלא ימנע מלקוחות שרוצים להזמין תור אצל רופא למלא פרטים באתר אינטרנט. זו גישת כתיבה למאגר, לא גישת קריאה.

יהונתן, אתה מתבלבל בין שני מישורים. תקנה 6 מדברת על אבטחה פיזית, היא מתייחסת ל-5(א)(1). הדוגמה שנתת מתאימה יותר לתקנה 14, שמדברת על אבטחת תקשורת מרחוק, לא כשאתה ניגש לכונן הפיזי שיושב במקום מסוים.

לא בהכרח. אם אני מאחסן בענן, אין לי שרת "פיזי".

אתה עדיין מאבטח את תשתית התקשורת.

אתה צריך לקנות ממי שמוודא.

7. אבטחת מידע בניהול כוח אדם. (א) לא ייתן בעל מאגר מידע גישה למידע המצוי במאגר ולא ישנה היקף הרשאה שניתנה, אלא אם נקט אמצעים סבירים ,המקובלים בהליכי מיון עובדים ושיבוצם, כדי לברר שאין חשש כי בעל ההרשאה אינו מתאים לקבלת גישה למיד המצוי במאגר; אמצעים כאמור יינקטו בשים לב לרגישות המידע שבמאגר ולהיקף הרשאות הגישה לתפקיד שמיועד לו הנוגע בדבר, כאמור בתקנה 8. (ב) בטרם יקבלו גישה למידע ממאגר המידע או לפני שינוי היקף הרשאותיהם יקיים בעל מאגר מידע הדרכות לבעלי הרשאות בנושא החובות לפי החוק ותקנות אלה, וימסור להם מידע אודות חובותיהם לפי החוק ונוהל האבטחה. (ג) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה ,יקים בעל המאגר פעילות הדרכה תקופתית לבעלי הרשאות שלו, בדבר מסמך הגדרות המאגר, נוהל האבטחה והוראות אבטחת המידע לפי החוק ולפי תקנות אלה, בהיקף הנדרש לצורך ביצוע תפקידיהם, ובדבר חובות בעלי ההרשאות לפיהם; הדרכה כאמור תיערך אחת לשנתיים לפחות, ולגבי הסמכה של בעל הרשאה לתפקיד חדש – סמוך ככל האפשר למועד תחילת הסמכתו.

התקנה הזאת עוסקת בגורם האנושי. בהרבה אירועים של אבטחת מידע רואים שהבעיה או הקושי נבעו מהעבודה של עובדי הארגון. החובות שקבועות נוגעות למי שאתה נותן לו הרשאה. אחר כך יש את הנושא של הדרכות. התקנה מבקשת לקבוע שלפני שנותנים הרשאת גישה לעובד או לגורם בארגון, בעל ההרשאה יבדוק בדרך המקובלת שהעובד מתאים למתן גישה. זו פונקציה של רמת הרגישות של זה. לפעמים בודקים המלצות, לפעמים משוחחים עם מעסיקים קודמים, לפעמים יותר מזה, תלוי באיזה סוג מאגר מדובר. נוסף לכך הרכיב של הדרכות, שזה גם לגבי החובות לפי התקנות וגם לגבי היכרות נוהל האבטחה.

מבחינה מעשית לא כל כך ברור לי מה המשמעות של התקנה הזאת.

שכחתי לציין שיש הוראת מעבר לגבי עובדים קיימים בתקנה 23.

כשאתה מראיין אדם לתפקיד, איך בדיוק תבדוק את התאמתו מבחינת היכולת שלו לקבל הרשאה או לא? זה משהו קצת אמורפי. אתה בודק באופן כללי את הבן אדם. הנקודה של היכולת קצת עמומה בעיני. הדבר מתחדד עוד יותר כשמדובר בעובדים קיימים. אם יש לך עובד שעובד בארגון 10 שנים, מה אתם מצפים שיבדקו? נניח שרוצים להרחיב לו את ההרשאה, או לתת לו הרשאה שלא הייתה לו. מה אתם מצפים שיבדקו אצל בן אדם כזה? לא מדובר על אדם חדש שאתה מקבל לעבודה, שאז אתה יכול להתקשר למעביד הקודם שלו. מדובר באדם שעובד אצלך במערכת 20 שנה. השאלות שלי לא נובעות מערעור על הקונספט, אלא לנסות להבין מה המשמעות המעשית שלו, איך מפעילים דבר כזה.

יש נהלים, אנשי ביטחון ואנשי אבטחת מידע שיודעים לעשות את הבדיקות לכל מי שמבקש או נדרש מתוקף תפקידו לגשת למאגרי מידע. אני חושב שהנוסח הקודם היה בסדר. הנוסח הנוכחי שמשנה מעובדים לבעלי הרשאה לא ישים בעליל. נניח חברה בוחרת להציב מאגר נתונים שלה בחברה הכי טובה בעולם לאבטחת מידע. מה מצפים? נניח שאותה קוסמטיקאית בחרה לשים את מאגר המידע שלה בחברה מאוד מוכרת וידועה בחו"ל. מה מצפים, שאותו גוף יעשה הדרכות לעובדים של אותה חברה בחו"ל? זה לא ישים.

לא מדובר פה על העובדים של המחזיק.

הזכרתי בתחילת הדיון שיש שתי הגדרות שחלפנו על פניהן. אחת, הגדרה של מאגר יחיד, והשנייה, הגדרה של מי שהיה עובד והפך להיות בעל הרשאה. לא ליבנו את זה עד הסוף. יש שינויים בהגדרה שאמורים לתת מענה למה שדיברת.

העובדים של המחזיק הם לא העובדים של בעל המאגר. בעל המאגר לא אמור להדריך את עובדי המחזיק.

זה נאמר בהגדרה של בעל הרשאה.

העיר אלעזר שלפעמים יש אדם שעובד שנים רבות בארגון. יכול להיות שלא בדקת את האמינות שלו לאורך כל השנים האלו. זה היה בסדר אם התפקיד שלו היה פעוט, או אם התפקיד שלו היה כרוך בגישה מועטה למידע רגיש. לפעמים אתה נותן הרשאת גישה למישהו שיש לו בעיות של אופי, יש לו עבר פלילי. אלה לא קריטריונים שאתה בודק כשאתה מקבל אדם לעבודה. יכול להיות שהאדם יהיה איש מכירות מצוין אבל לא אמין. לפני שאתה נותן לו גישה למידע מאוד רגיש או לכמות גדולה של מידע שהרגישות נובעת מהכמות, אתה צריך לבחון את המינימום הזה.

היה מקרה עם עובד בחברת נתוני אשראי שבעקבות מצבו הכלכלי הוא התחיל למחוק מידע תמורת כסף.

האם זה אומר שאתה צריך לבדוק את המצב הכלכלי של כל אדם שאתה נותן לו גישת הרשאה?

אתה צריך להיות מאוד קשוב לאנשים.

אני לא חושב שזה נכנס לאמצעים מקובלים בקבלת עובדים לעבודה.

השאלה איזו רמת הגדרה. בחוק המאגר הביומטרי צריך סיווג ברמה הכי גבוהה לגישה מסוימת. צריך לבדוק. אולי תשלח אותו למבחני אמינות אם זו הרשאת גישה מאוד רגישה. יש כל מיני סוגים של דברים. אפשר לבקש המלצות, אפשר לשאול מעבידים קודמים.

לפעמים יש חפיפה בין תהליכים כאלה לתהליכים שנעשים במסגרת של סיווג. אם אני עוברת מהתפקיד הנוכחי שלי בתוך משרד המשפטים לרשות לאיסור הלבנת הון, כאשר אני מתוקף התפקיד שלי שם ניגשת למאגר המידע של הרשות לאיסור הלבנת הון, אז כן, זה רכיב שצריך לבדוק אותו לגביי.

אתם נותנים דוגמאות שמאוד קל להתחבר אליהן. אני מכוון לדוגמאות קצת יותר פרוזאיות. כשרופא שיניים מראיין מישהו כדי שיהיה מזכיר שלו, הוא צריך לבדוק את כישורי המזכירות שלו.

תשאל את המעסיק הקודם למה פיטרו אותו.

אני לא מבין איך אני בוחן את ההיבט של אבטחת המידע פה. אני אתקשר למעביד הקודם שלו כדי לדעת אם הוא עובד טוב, לא עובד טוב.

תבדוק גם אם הוא הוציא את מאגר המידע שלו מהמעביד הקודם. בעת שאתה מראיין אותו אתה צריך להסביר לו שיש מידע רגיש, שהוא צריך לשים לב שזה מידע של אחרים.

מבחינה מעשית מאוד קשה להבין מה רוצים.

השאלה שלך מוכיחה את הצורך להפנות זרקור על המעסיקים כדי שישאלו שאלות גם בנושא הזה. יכול להיות שלצורכי ביצוע ותפעול לא איכפת למעסיק רמת האמינות של העובד, חשובים לו הביצועים שלו, אבל אם הוא נותן גישה למידע של אחרים, הוא צריך לחשוב גם על זה. אם זה יהיה כתוב בתקנות, המעבידים יבינו שהם צריכים לבדוק גם את זה לפני שהם נותנים גישה למידע רגיש.

כתוב שזה בהתאם להליכים מקובלים.

אלעזר, האם אתה מכוון לזה שזה מיותר, שזה לא מפורט מספיק, שזה לא ניתן לאכיפה? יש פה צורך להבהיר, יש פה צורך לשנות את המציאות. האם אתה אומר לא לכתוב את זה כי אנשים לא יעשו את זה, כי אנשים לא יבינו? מה אתה מציע שנשפר?

אין לי כרגע הצעה קונקרטית. קשה לי לראות איך אני כמעביד מיישם את זה.

סקרים שנערכים, שאלונים שנערכים, גם פנימיים וגם חיצוניים, מגלים שאנשים שעובדים בכל מיני ארגונים וחשופים למידע אישי שהוא לא שלהם, עושים שימוש אישי לרעה במידע שהם יכולים להגיע אליו. זו תופעה שכל מי שבודק את האזורים האלה מודע שהיא קיימת. האם זה לא מאוד מאוד חשוב שמעסיק יביא לתשומת לב העובדים שזה דבר שהוא עבירה על החוק, שזה דבר שהוא אסור? האם לא צריך שבהכשרה, בקליטה, בהדרכה יהיה ברור שכשאתה מתעסק עם מאגר מידע אישי של אנשים אחרים אסור לך לעשות בו שימוש, אסור לך להוציא ממנו דברים, אסור לך למכור אותו לחוקרים פרטיים? זה די בסיסי. לא להגיד את זה זה לא לדבר על הבסיס. אם אתה שואל איך זה יקרה בפועל, איך זה יקרה בדיוק, אז כפי שכשאתה מקבל אדם לעבודה אתה בודק שיש לו כישורי ניהול ומזכירות, כך אתה בודק שהוא איש ישר ואמין, כך אתה בודק שאין לו אישיות בעייתית או רקע בעיתי אם תיתן לו גישה למידע. זה ככה בכל דבר. אי אפשר ברמה של תקנות להגיד עד הסוף מה תבדוק, אבל ברור מה רוח הדברים. כשאתה מתעסק במידע של אחרים, בכסף של אחרים, אז יש רגישויות מיוחדות, לכן אתה תדאג שהעובדים שנוגעים בזה יהיו האנשים שמתאימים לגעת בדברים האלה.

נניח שתפקח על גוף כזה. מה תבדוק אצלו?

את תהליך המיון.

אם הוא נתן את הדעת לדבר הזה. כמו שהוא בודק שלא יגנבו ממנו, כך הוא צריך לבדוק - -

הוא בודק אם הוא איש אמין באופן כללי. זה לא קשור להיבטי אבטחת מידע. אני בודק אם אדם אמין או לא אמין.

יכול להיות שבמוסך יבקשו מכתב המלצה מהמעביד הקודם, במשרד עורכי דין יבקשו משהו אחר, ובגוף כמו בנק יבקשו פוליגרף. התהליכים פה, גם אם הם לא מושלמים, מייצרים תהליך מחשבתי שישנה את כל הדרך שבה מתעסקים במידע. מספיק שיהיו את התהליכים האלה כדי להגביר את הידע הציבורי. אם זה סביר, זה סביר. רק שמחר לא יגידו לנו שצריך לשלוח את כל העובדים לפוליגרף כי התקנה הזאת יותר מידי ספציפית.

אף אחד לא יגיד את זה.

צריך לזכור ש-85% מהמקרים שמידע דלף היה בגלל שעובדים הדליפו אותו, אם בכוונה או בגלל טעויות שהם עשו. התקנה הזאת מאוד אקוטית. אני חושב שהיא במקום. אם מעביד מעסיק אנשים עם גישה למידע, צריך שתחול עליו חובה למיין אותם נכון. ככל שהמידע יהיה יותר רגיש, כך החובה תהיה יותר חזקה.

אם יש הסכמה בין כל האנשים שיושבים סביב השולחן שארגון שמחזיק במאגר מידע לא צריך לעשות הדרכות לצד ג' שהנתונים נמצאים אצלו, למה לא מוציאים נוסח שמבהיר את זה?

הנוסח הקיים מבהיר את זה. בעלי הרשאה של מחזיק לא נחשבים בעלי הרשאה של בעל המאגר.

מי שמזמין צריך לוודא שהוא מתקשר עם ארגון שעוסק בזה.

החובה חלה לגבי ההרשאות שלו.

8. ניהול הרשאות גישה. (א) בעל מאגר מידע יקבע הרשאות גישה של בעלי הרשאות למאגר המידע ולמערכות המאגר, בהתאם להגדרות תפקיד; הרשאת הגישה לכל תפקיד תהיה במידה הנדרשת לביצוע התפקיד בלבד. (ב) בעל מאגר מידע ינהל רישום מעודכן של תפקידים, הרשאות הגישה שניתנו להם, ושל בעלי ההרשאות הממלאים תפקידים אלה (להלן – רשימת ההרשאות התקפות).

זה שיש מאגר עם אפשרות גישה אליו לא אומר שכל אחד צריך את הגישה לכל המאגר, אלא כל אחד לפי ההיקף שדרוש לו לצורך התפקיד. התקנה הזאת קיימת כבר היום במסגרת תקנה 3 לתקנות הגנת הפרטיות (תנאי החזקת המידע, שמירתו וסדרי העברת מידע בין גופים ציבוריים). יש חובה בהקשר של הרשאת גישה והארכת הרשימה המעודכנת של מורשי הגישה לפי הרשאות הכניסה השונות. אין בזה שום חידוש.

אני לא רואה פה גריעה של הרשאות גישה כשאדם חדל להיות בעל גישה.

זה נמצא בתקנה 9(ג).

9. זיהוי ואימות. (א) בעל מאגר מידע ינקוט אמצעים מקובלים בנסיבות העניין ובהתאם לאופי המאגר וטיבו, כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות התקפות. (ב) במאגר מידע שחלה עליו רמת האבטחה הבינוני תאו הגבוהה – (1) אופן הזיהוי, ייעשה ככל הניתן על בסיס אמצעי פיזי הנתון לשליטתו הבלעדית של המורשה; היה אופן הזיהוי מבוסס על סיסמאות, יתייחס הנוהל גם לחוזק הסיסמה, מספר הניסיונות השגויים, ותדירות החלפת הסיסמאות שתיעשה בהתאם לתפקיד מורשה הגישה ,ובכל מקרה לתקופה שלא תעלה על שישה חודשים; (2) ייקבעו בנוהל האבטחה גם הוראות לעניין האמצעים כאמור בתקנת משנה (א), ובכללן בנושאים אלה: (א) אופן הזיהוי; (ב) ניתוק אוטומטי לאחר פרק זמן של אי פעילות; (ג) אופן הטיפול בתקלות הקשורות באימות זהות. (ג) בעל מאגר מידע ידאג לביטול ההרשאות של בעל הרשאה שסיים את תפקידו ובמידת האפשר לשינוי סיסמאות למאגר ולמערכות המאגר, שבעל ההרשאה עדוי היה לדעת, מיד עם סיום תפקידו של בעל ההרשאה.

9(ג) זאת תקנה בהקשר של ביטול הרשאות. 9(א) אומרת משהו מאוד בסיסי לגבי נקיטת אמצעים, לראות שהגישה היא של מישהו מורשה גישה. יש כל מיני דרכים לעשות את זה. כשמדובר במאגר מידע שהוא ברמת האבטחה הבינונית או הגבוהה, יש דרישה מחמירה יותר שבאה לידי ביטוי ב-9(ב)(1). אם זה על סיסמאות, יש התייחסות לסיסמא חזקה ולתדירות החלפתה.

כמו הרבה דברים אחרים בתקנות, גם הדרישות המחמירות האלו הן לגמרי סטנדרט, הן לא מחדשות כלום.

10. בקרה ותיעוד גישה. (א) במערכות של מאגר מידע אשר חלה עליו רמת האבטחה הבינונית או הגבוהה ינוהל מנגנון תיעוד אוטומטי שיאפשר ביקורת על הגישה למערכות המאגר (בתקנה זו - מנגנון הבקרה), ובכלל זה נתונים אלה: זהות המשתמש, התאריך והשעה של ניסיון הגישה, רכיב המערכת שאליו בוצע ניסיון הגישה, סוג הגישה, היקפה, ואם הגישה אושרה או נדחתה. (ב) מנגנון הבקרה לא יאפשר, ככל הניתן, ביטול או שינוי של הפעלתו; מנגנון הבקרה יאתר שינויים או ביטולים בהפעלתו ויפיץ התראות לאחראים. (ג) בעל מאגר מידע יקבע נוהל בדיקה שגרתי של נתוני התיעוד של מנגנון הבקרה, ויערוך דו"ח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן. (ד) נתוני התיעוד של מנגנון הבקרה יישמרו למשך 24 חודשים לפחות. (ה) בעל מאגר מידע יידע את בעלי ההרשאות במאגר בדבר קיום מנגנון הבקרה למערכות המאגר.

מדובר במנגנון תיעוד אוטומטי. בהרבה מאוד מקרים הוא חלק ממערכת ההפעלה. לא מדובר בהכרח במשהו שצריך להוסיף או לרכוש. הרעיון זה שאפשר כל העת לעקוב אחר כניסות לא מורשות, אחר ניסיונות שנדחו, אחר כניסות שצלחו, הכל כדי לבדוק אם היו כשלים. 10(ה) זה יידוע בעלי הרשאות על עצם זה שזה קיים.

ברוב המערכות מגיע תיעוד אוטומטי. לפעמים אני רוצה לראות מי נכנס, מתי נכנס. זה תיעוד שבדרך כלל לא מופיע, הוא לא מופעל במערכות.

הוא קיים במערכות windows?

הוא קיים ב-windows. הוא לא מופעל.

זה לא דורש לרכוש תוכנות?

זה לא דורש לרכוש. קשה לנו מאוד לתחקר את האירוע אם לא היה את המידע הזה. אין פה דרישה שדורשת עלות כלכלית. העלות הכספית היא אם רוצים להפעיל מערכת שאוספת את כל המידע הזה למקום מרכזי, מנתחת אותו ומתריעה אחרי זה אם חל איזה אירוע חריג, איזה אירוע אבטחתי בחוץ או בפנים. שם העלות. התיעוד לא אמור לעלות.

יש מצבים שבהם בסיסי נתונים מסוימים סגורים לגישה של משתמשים, למעט אדמיניסטרטורים וכו', אבל הם פתוחים לגישה של יישומים. אנחנו חושבים שנכון להוסיף את המילים "או היישום" אחרי המילים "זהות המשתמש" בסעיף 10(א).

היישום נמצא תחת שם משתמש כלשהו.

לא נכון. לבסיסי הנתונים יש חומה סביבם.

תן דוגמה לבסיסי נתונים.

בסיס הנתונים של כרטיסי האשראי של הלקוחות. יש שם שער. בשער הזה יכולים להיכנס אדמיניסטרטורים, שלהם יש הרשאות גבוהות ומיוחדות להיכנס לבסיס הנתונים, או מערכת הבילינג של החברה. אלו שתי מערכות נפרדות. לנציג שירות שמבצע זיכוי ללקוח אין אפשרות גישה לבסיס הנתונים הזה. כשהוא נכנס למערכת הבילינג, יש סט שלם של הרשאות מאוד מצומצמות של מה הוא יכול לעשות במערכת הבילינג, כמו לזכות לקוח, להתקין שירות, לא להתקין שירות. מערכת הבילינג היא היחידה שיכולה לגשת לבסיס הנתונים.

איזה חידוד אתה רוצה שיהיה?

יש מקרים שבהם זה משתמש או יישום מערכתי, כמו היישום של מערכת הבילינג שניגשת למאגר הנתונים. אנחנו לא יודעים, אנחנו לא יכולים וגם זה לא סביר בעליל לצפות שכשכל נציג שירות מבצע זיכוי במערכת הבילינג יתחילו להיווצר רשימות של לוגים של מערכת הבילינג שנכנסה למאגר המידע וביצעה את הזיכוי הזה. זה נשמע לא סביר.

בדרך כלל החקירה היא קורלציה של כמה מערכות. תהיה קורלציה בין המערכת של הבילינג ל-Database. אנחנו לא מסתמכים רק על הרישום שנעשה ב-Database, או רק על הרישום שנעשה במערכת הבילינג.

אני חושב שמה שכתבתם פה הוא בסדר גמור, אבל בגלל שיש מצבים שבהם היישום נכנס למאגר המידע, צריך להוסיף גם את היישום.

השאלה אם אנחנו לא יכולים לכתוב גם יישום. האנשים שנכנסים גם מתחלפים.

איך אפשר יהיה לדעת מי?

הם יחויבו לציין מי נמצא בתוך היישום, בתוך המחלקה הספציפית הזאת.

אם תוסיפו את היישום, אפשר יהיה לבצע חקירה בדיוק כמו שהוא תיאר. כשעובד נכנס ומבצע זיכוי, יש תיעוד של הדברים האלה במערכת הבילינג.

אם הפעילו את התיעוד במערכת הבילינג וגם הופעל תיעוד במערכת ה-Database, אפשר יהיה לעשות את ההצלבה. שילוב של כל הסעיפים ביחד נותן את התמונה השלמה.

אז אין לך התנגדות שזה יהיה זהות משתמש או יישום?

יש התנגדות, כי היישום לא מתעד ב-100% את מה שאנחנו רוצים לתחקר.

תבינו, בשוק התקשורת יש מיליוני אם לא עשרות מיליוני פעולות של כניסה למערכת, בדיקה, התקנה של שירות, הסרה של שירות. הפעולות האלו לא מבוצעות באופן ישיר על ידי נציגי השירות בבסיס הנתונים, הן מבוצעות על ידי סט של הרשאות במערכות הבילינג.

יש רישם נוסף שמאפשר לך לזהות. המטרה היא שיהיה זיהוי של מי שעשה את הפעולה, לאו דווקא ברישום הראשון.

אין לי רישום של מי שנכנס למאגר המידע באמצעות מערכת הבילינג.

יש לך רישום לזה שמערכת הבילינג נכנסה למאגר המידע.

יש לך רישום של מי שהפעיל בשם מערכת הבילינג?

יש רישומים במערכת הבילינג של מי עשה מה.

אנחנו רוצים שתוכל לדעת מי השתמש. אם אתה יכול לדעת דרך זה שאתה מחבר את שני המערכים, זה עונה על דרישות התקנה.

זה שני עיגולים שלא בהכרח חופפים. אני מניח שאם תבוצע חקירה, אפשר יהיה להבין מי עשה מה. הנוסח כמו שהוא עכשיו מחייב לבצע משהו שלא קיים וכמעט בלתי סביר.

רק במאגרים ברמה הבינונית והגבוהה.

בחברות תקשורת, בבנקים.

לא כתוב פה שזה חייב להיות באותה מערכת. לך, כמו שציינו כאן קודם, צריכה להיות יכולת הצלבה. בלי זה אי אפשר לתחקר.

אתה קודם כל צריך לדעת את זה בשביל עצמך.

לא תמיד אבטחת המידע או רישום הפעילויות הן החשובות. הרבה פעמים זה מוריד מיעילות מערכת ההפעלה. צריך לתת את הדעת על כיצד מדריכים אנשים להפעיל את כל המנגנונים כדי שאפשר יהיה לגלות מי עשה מה.

תן לנו דוגמאות.

כאשר פונים לביצוע פעולה מסוימת במערכת שאילתות מסוימת, היא יכולה להפעיל תכנית שעובדת מאחורי הקלעים, שניגשת לבסיס הנתונים וכותבת. נעשה בדיקה לוגית אם הבקשה לכתוב כך וכך בקובץ היא הגיונית, אם היא נכונה.

אתה יודע מי הפעיל אותה?

בובי, האם אתה יכול לדעת מי הפעיל אותה?

בביטוח לאומי אני מקליט את הפעילות של כל המשתמשים כל הזמן. אני מנהל את ההקלטות האלו כך שאני אוכל לבצע עליהן שאילתות.

אז אין לך בעיה עם התקנה כפי שהיא מנוסחת.

היא לא מספיק חדה בעיני. במנגנונים מתוחכמים יותר המשתמש לא עושה פעולה, הוא גורם לדריכת סדר פעולות שלם.

איך אתה מציע לחדד את זה?

על ידי הפעלת מנגנוני הבקרה בכל מערכות ההפעלה.

בובי, אתה מתכוון שלצד זהות המשתמש נוסיף תהליך, לא תהליך במקום המשתמש.

נכון מאוד. הצעתי בנוסף, לא במקום.

במאגרי מידע מסדר גודל בינוני ומעלה אין מצב שמשתמש מגיע למאגר המידע הישיר.

יש מצב. אנשי פיתוח, מתחזקים מגיעים ישירות למאגר המידע. הם גם לוקחים אותו הביתה לפעמים.

התקנה מדברת על גישה למערכות המאגר. בובי, אתה אומר שבנוסף לזהות המשתמש צריך את סוג התהליך שנוצר. ניר אומר את המילה "או". לגבי ה"או" יש לנו בעיה, כי אנחנו רוצים שלפני שרמו"ט מגיעים לפקח, הארגון עצמו יוכל לדעת מי ניגש למערכות המאגר.

ניר, אתה מדבר על הגדרה יותר רחבה. בובי, על מה אתה מדבר? על אותו דבר?

על אותו דבר. אני חושב שניר מציע בנוסף, לא במקום.

עזבו רגע את האדמיניסטרטיביים שיש להם גישה. ברור ששם צריך תיעוד של זהות המשתמשים הספציפיים שנכנסו למאגרי המידע. כמו שנאמר קודם לכן, בארגונים גדולים האנשים שנותנים שירות ללקוחות, שמבצעים פעולות לא נכנסים למאגר מידע. יש להם מערכת אחרת שמגבילה אותם בהרשאות לגבי מה הם יכולים ולא יכולים לעשות. מי שנכנס למאגר המידע זו אותה מערכת בילינג. כשמישהו רוצה להיכנס למאגר המידע, הוא שואל את השאלות שנאמרו קודם לכן, כמו אם זאת מערכת אמדוקס. הוא לא שואל מי המשתמש. הוא לא עושה רישום של הדברים האלה. יש פה שתי שאלות. שאלה אחת, האם אפשר יהיה להיכנס, לקחת את כל הלוגים של מערכות השירות, הבילינג והמידע, לעשות איזה תחקיר כדי למצוא מי האדם. זו שאלה אחת. אם אתם שואלים כרגע אם יש בכניסה למאגר המידע מישהו שרושם את מי שנכנס, את הזהות שלו, אז אין דבר כזה. גם אי אפשר לעשות דבר כזה.

בגישה למערכות המאגר לא בודקים את זהות המשתמש?

כן.

זה מה שהתקנה אומרת.

כשאתה מדבר על מאגר, אתה מדבר על בסיס נתונים. המאגר שמופיע בתקנות הוא לא בסיס הנתונים עצמו, אלא הנגזרת שלו שפתוחה לאנשי שירות הלקוחות.

גישה למערכות המאגר. יש קושי בהקשר של גישה למערכות המאגר?

ניר, אתה רואה את זה אחרת כשמדובר על גישה למערכות המאגר?

ליאת, מערכות המאגר לא כוללות את המאגר?

היישום לא מעניין אותי. אני רוצה ללכת אחורה כדי להגיע לבן אדם. לא מעניין אותי איך הוא הגיע לשם, מה התהליך, מעניין אותי מי האדם שהגיע למידע.

אתם יכולים להגיע לאדם שהגיע למידע.

אם הם לא יכולים להגיע, יש בעיה.

לפרמטרים שיזהו אותו לכל אורך הדרך.

הנוסח משאיר את הגמישות לבעל המאגר לנקוט באמצעים שונים שיבטיחו את המטרה. זאת תקנה תוצאתית, היא לא מתווה את הדרך.

אם כל הלוגים מכל המערכות ישבו במקום אחד מרכזי, אז יהיה מאגר חדש שבו אני יוכל לאתר מי ביצע את הפעולה.

אם מישהו נכנס לתוך המערכת ושינה את אחוזי הנכות, אתה חייב לדעת מי עשה את זה.

לפי ההגדרה בתקנה 1 של מערכות המאגר, מדובר במערכות שמשמשות את המאגר. זה לא המאגר, זה המערכות שמשמשות את המאגר.

כדי לגשת למאגר אתה צריך לעבור דרך מערכות המאגר.

מערכות המאגר זה המערכות שמשמשות וקשורות לאבטחה שלו.

קוד האבטחה. זה לא אומר שזה המאגר. אם אני מחדד את מה שאמרת, ליאת, המשמעות היא שאם ניגשתי למאגר, לא למערכות המאגר, לא צריך שיהיה תיעוד אוטומטי של מה שדרשתי.

מספיק לנו לדעת אם אדם עומד בפתח, פותח את הדלת ומסתכל, לא צריך לדעת אם הוא נכנס פנימה.

תקנה 5, התקנה שמפרטת את מערכות המאגר, מדברת גם על מערכות התוכנה שמשמשות להפעלת המאגר. זה כל הדרך שאתה עובר עד המאגר.

זה עד המאגר, זה לא המאגר. אני מנסה לחדד מבחינת הניסוח המשפטי של זה. לכאורה זה אומר שמערכות המאגר לא כוללות את המאגר, שזה נשמע קצת מצחיק.

קובץ אקסל עם 100 אלף רשומות של חולי איידס הוא כלי חיצוני.

כל מה שאנחנו אומרים זה שצריך בקרת גישה ותיעוד של מי שהגיע. עצם זה שהוא הגיע דרך מערכות המאגר זה כבר מספיק. זה מה שצריך לשמר.

ההנחה היא שכל מי שהגיע למאגר עבר דרך מערכות המאגר.

כן, כי מערכות זה גם תוכנה. זה מופיע בתקנה 5.

אם זאת הפרשנות, אני חושב שהתקנה צריכה להשתנות טיפה. צריך להבדיל בין גישה למערכות המידע, שזה לצורך העניין המחשב הפיזי שלי או אתר ממשקי שמאפשר לי להיכנס למערכת הניהול של המאגר ולעשות פעילויות גורפות, כמו למשל למחוק טבלאות בצורה סדרתית, לבין גישה של משתמש, כמו עובד בביטוח לאומי שמגדיל או מקטין אחוזי נכות באירוע חד פעמי כחלק מהשירות שלו.

ברור שאתם מתכוונים לאירוע החד-פעמי הזה.

לא ברור.

זה מה שהם אומרים.

מה ההבדל?

אם יש לי התחברות כ-super user למערכת ואני יכול להשפיע על הארכיטקטורה, או - -

לא. כל דבר פרטני.

גם יכולת הצפייה במאגר משנה, לא רק שינוי הגדרות והעתקה, או ביצוע פעולות בניגוד לרגולטורים אחרים.

הוא נכנס בשביל לראות איך המערכת בנויה.

אפילו צפייה במאגר.

אם מישהו ייכנס לתיק הרפואי שלך ויצפה בו, זה מאוד יעניין אותנו.

אני מסכים איתך שזה מעניין וחשוב, אבל אני חושב שצריך להבדיל בין שימוש שיש לו דרישות מסוג מסוים - אולי במאגרים רק ברמה הגבוהה, לאו דווקא ברמה הבינונית - לבין תיעוד של גישה למערכות הטכניות, תיעוד של מישהו שיכול להכניס וירוסים למאגר.

מה זה משנה מה התוצאה? מה זה משנה אם זה וירוס או אם זה מישהו שצילם את כל התיק שלי מהמסך והעביר הלאה?

השאלה אם יש לזה משמעות פרקטית. אני מבין שלא. אם יש תיעוד גישה, אז יש תיעוד גישה.

כשהכלים פועלים, הם פועלים על זה שיכול לעשות נזק גדול ועל זה שיכול לעשות נזק קטן.

זה נכון. כשהם פועלים, הם פועלים. השאלה אם צריך לנהל את זה מהכיוון של מי שפתח את קובץ האקסל שמאוחסן על השרת הארגוני, שזה מאגר המידע שלנו, או מהכיוון של האנשים שעשו לוגים לשרת עצמו ושינו רכיבים בתוכנה.

גם וגם.

אני חושב שהבקשה פה היא לגמרי סבירה והגיונית. היא גם לא גבוהה מידי אל מול מה שיש היום במערכות הגנה. היא גם לא מכניסה את הארגון להוצאות לא סבירות. כמו שאמר פה בובי, סך הכל אתה מתבקש להפעיל אמצעים שברוב המערכות נמצאות. כל מה שצריך סך הכל זה שאיש המקצוע יהיה מודע להן, יפעיל אותן, כדי שבמידה וייגרם אירוע תוכל לגדר את הנזק, לצמצם את הנזק, אולי אפילו להתאושש לפעם הבאה.

נראה לי שניכר שבין אנשי אבטחת המידע יש הסכמה מוחלטת. זו שאלה מקצועית.

לנו יש עשרות מערכות מסוגים שונים. לא כל המערכות יודעות לעשות את זה. אם נצטרך לתעד כל גישה למערך המידע עם שמירת כל הלוגים האלה, מדובר על שמירה של מיליוני לוגים כל יום לכל חברה.

ניר, בסוף יש לכם את זה.

דרך אגב, סלקום היא בין הראשונות בארץ שהטמיעה מערכת כזאת עוד בתחילת שנות ה-2000.

אני מניח שאם לא הייתה לנו בעיה עם זה, לא היו שולחים אותי. יש דברים שיש לגביהם שמירה של לוגים, יש דברים שלא. מה שאתם מבקשים פה זה כל גישה, כל דבר, כל מערכת. אין דבר כזה. זה מיליוני פעולות. זה המון כסף, המון השקעה. זה כמעט בלתי ישים, בטח לא בלוחות הזמנים שאתם מתארים פה במסמך התקנות. לגבי חברות שנותנות שירות למיליוני לקוחות, זה משהו מונומנטלי מבחינת ההיקפים שלו.

יש דיון מקצועי ומהותי בתקנה הזאת. אנחנו רואים שיש כאן דרישה מחויבת מציאות. אפשר יהיה לראות לא רק מישהו שהחדיר וירוסים, אלא גם מישהו שרק הציץ, ראה, נחשף.

לא בזמן אמת. יהיה מנגנון תיעוד שאפשר יהיה לגשת אליו כדי לבצע תחקיר.

רק על המערכות שמנהלות מידע אישי. יש הרבה מאוד מערכות שלא מנהלות מידע אישי שאנחנו לא עוסקים בהן בכלל.

זו דרישה מאוד לגיטימית. אני מבינה, ניר, מה שאתה אומר. בובי הצטרף לזה. לא שמענו פה את בנק ישראל, מה שאומר שאין להם קושי. זה גם גוף מאוד מאוד משמעותי, עם כניסות למקומות רגישים. אני מאמינה שבתוך היישום הזה, בתוך המחלקה הזאת יש לכם יכולת לדעת מי אותו משתמש ספציפי, מי אותו אדם, מי אותו עובד שכן נכנס ונחשף. קשה לי להאמין שאין לכם את יכולת המעקב הזאת.

לא אמרתי שיש פה משהו שאי אפשר ליישם אותו.

גילי גם חידדה שזה בדיעבד.

את כל מה שכתוב פה, למעט ההתייחסויות שהערתי, אפשר ליישם. זה לא קיים היום, למיטב ידיעתי, באף חברה. נכון שאני היחידי שנמצא פה מחברות התקשורת. הסיבה היחידה היא שחברות התקשורת האחרות לא ממש הכירו את התקנות, לכן הן גם לא נערכו לזה. אנחנו הספקנו קצת ללמוד את זה. ברור שאפשר ליישם את זה. זה לא מיושם היום, כי הארכיטקטורה של עבודה במערכות מידע היא שונה. היא אומרת שיש מאגר. סביב המאגר יש חומר גבוהה מאוד, כאשר השומר שעומד בשער אומר מי נכנס, מי לא נכנס. לפעמים מי שיכול להיכנס זו מערכת, זה לא בן אדם.

אתה יודע מי עובד במערכת הזאת. בתוך המערכת יש תיעוד של מי שנמצא.

לא בכל המערכות יש תיעוד לכל פעולה ופעולה שהנציגים עושים. זה לא קיים.

אתה רוצה לומר לי שבמאגרי מידע סופר רגישים שאתם מחזיקים אתם לא יכולים לדעת מי נכנס?

זה לא מה שאמרתי. יש פה ארכיטקטורה שהיא לא ייחודית לסלקום ולשוק התקשורת. יש פה ארכיטקטורה שונה. הארכיטקטורה בעולם מאגרי המידע באה ואומרת שיש אנשים ספציפיים שיש להם הרשאות לבצע פעולות, ויש יישומים שיכולים לבצע פעולות, כאשר היישומים האלה צריכים לענות על איזה שהם קריטריונים, כמו הקשת סיסמא. אם את שואלת אם במערכת CRM כל פעולה של כל נציג בכל נושא מתועדת ונשמר הלוג שלה, אז התשובה היא לא. יש פעולות מסוימות שהחברה בוחרת לשמור את הלוגים.

משיקולים עסקיים.

הדברים ברורים, אנחנו עוברים הלאה.

11. תיעוד של אירועי אבטחה. (א) בעל מאגר מידע אחראי לתיעוד כל מקרה בו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע לשימוש בו בלא הרשאה או לחריגה מהרשאה (להלן – אירועי אבטחה); ככל הניתן יבוסס התיעוד האמור על רישום אוטומטי. (ב) בנוהל האבטחה יקבע בעל מאגר מידע גם הוראות לעניין התמודדות עם אירועי אבטחת מידע, לפי חומרת האירוע ומידת רגישות המידע, לרבות לעניין ביטול הרשאות וצעדים מיידיים אחרים הנדרשים וכן לעניין דיווח לבעל המאגר על אירועי אבטחה ועל פעולות שננקטו בעקבותיהם. (ג) במאגר מידע שחלה עליו רמת האבטחה הבינונית, יקיים בעל המאגר דיון אחת לשנה לפחות באירועי האבטחה ויבחן את הצורך בעדכונו של נוהל האבטחה. במאגר מידע שחלה עליו רמת האבטחה הגבוהה, ייערך דיון כאמור אחת לרבעון לפחות. (ד) ארע אירוע אבטחה חמור - (1) יודיע על כך בעל המאגר לרשם באופן מיידי, וכן ידווח לרשם על הצעדים שנקט בעקבות האירוע; (2) רשאי הרשם להורות לבעל מאגר המידע, למעט לבעל מאגר מידע מן המנויים בסעיף 13(ה) לחוק, לאחר שנועף בראש הרשות הלאומית להגנת הסייבר, להודיע על אירוע האבטחה לנושא מידע שעלול להיפגע מן האירוע.

התקנה הזאת נועדה ליצור איזה שהוא זיכרון ארגוני של הארגון ביחס לאירועי אבטחה, היא נועדה לאפשר הפקת לקחים בעתיד. היא ממשיכה עם הוראות לגבי התמודדות עם אירועי האבטחה, עם הדיווח להנהלה, על מנת שזאת תוכל לקיים בקרה. יש התייחסות לתדירות שבה ידונו על אירועי האבטחה. היא נמוכה יותר במאגרים של האבטחה הבינונית, והיא רבעונית במאגרים שרמת האבטחה בהם גבוהה. החלק השני של התקנה מדבר על חובה ליידע את הרשם בקרות אירוע אבטחה חמור, כאשר יש הגדרה של אירוע אבטחה חמור. נדרש יידוע עליו שם. הרשם רשאי להורות לבעל המאגר להודיע לנושא המידע על אירוע האבטחה. נעשה את זה רק אחרי שניוועץ עם ראש רשות הסייבר. במקרים כאלה נדרשת נקודת מבט יותר רחבה מרק פרטיות. מדובר על נקודת מבט שנוגעת להגנה על הסייבר.

זה בעיקר תלוי אירוע, איזה סוג של אירוע התרחש פה. לפעמים האירוע הזה יהיה אירוע חד, ואז חשוב מאוד שלא ננקוט באיזו שהיא פעולה שתשבש את הטיפול באירוע הסייבר. יש הרבה אירועי אבטחה שהם לא אירועי סייבר.

מה זאת אומרת?

אירוע אבטחה יכול להיות עובד שהכניס דיסק און-קי, גנב את כל המידע ומכר אותו. זה לא אירוע סייבר. הרבה פעמים תהיה מתקפת סייבר, יהיה אירוע לאומי, אירוע של חדירת גורם עוין מבחוץ, שאז ברור שחייבים להיות מתואמים. אנחנו לא נמזער את הנזק בגרימת נזק אחר.

האם במקרה של אירוע אבטחה חמור אין מקום להתייעץ, ככל שמדובר בגורמים שיש להם רגולטור, עם הרגולטור הרלוונטי? אם אירע משהו לחברות ביטוח, אולי להבין מה המשמעות שבעל המאגר יודיע או לא יודיע לנושא המידע. האם אין מקום להתייעצות? זה כמו שמתייעצים עם הרשות להגנת הסייבר בהיבטים של הסייבר. מה יהיה האפקט והמשמעות של פרסום המידע או העובדה שהיה אירוע אבטחה חמור? יש מקום לזווית המבט של הרגולטור הרלוונטי שמצוי באותו תחום ספציפי. הוא יכול להבין מה המשמעות של פרסום המידע הזה.

אנחנו חושבים שצריך פה הסכמה של הרגולטור. יש ראייה כלל מערכתית של הרגולטור. הוא זה שמכיר את השוק שבו מדובר. היינו רוצים הסכמה. ההודעה לא צריכה להיות באופן מידי. אם רוצים תקנה שהשוק יוכל לעמוד בה, זה צריך להיות בהקדם האפשרי. באופן מידי זו דרישה דווקנית מידי.

אנחנו בהחלט מסכימים עם העובדה שצריך להתייעץ עם רגולטורים אחרים. אנחנו חושבים שזה מוסדר בתקנה 20.

תקנה 20 לא קשורה לפה. תקנה 20 מדברת על תחולה כללית של הוראות כאלו ואחרות, היא לא מדברת על אירוע אבטחה.

שהיא תלוית רגולציה ספציפית.

תקנה 20 לא רלוונטית פה. תקנה 20 מדברת על פטור מחובה כזאת, על התאמה. זה לא קשור לאירוע ספציפי.

אנחנו לא נוציא את ההנחיה הזאת בלי להתייעץ עם הרגולטור הרלוונטי.

זה לא קשור להנחיה. זו לא הנחיה כללית. זה טיפול באירוע נקודתי שקרה עכשיו.

חלק מהעבודה של ההנחיה היא לשתף פעולה עם אותו רגולטור, להגיע להסכמות בדיוק בעניינים האלה.

עובדה שכתבת את הרשות להגנת הסייבר.

היו מקרים שבהם השב"כ הנחה לא לפרט ולא להעביר דיווח לאף גורם אחר על אירוע שאירע. החוק פה אומר לדווח. מי צודק? למי להקשיב?

רשות הסייבר אחראית על מרבית גורמי המשק. רוב הרגולטורים כפופים להנחיה של רשות הסייבר. זה פוטר את מרבית הרגולטורים.

לכל מגזר יש את ההיבט שלו. מה המשמעות של חברת ביטוח שמפרסמת שפרצו למאגר שלה?

אלעזר, אתה רוצה שנכניס רשימה של רגולטורים?

אתה לא צריך להכניס רשימה.

רשות הסייבר שמה צוות שמכיר את המגזר.

זה לא נכון בנוגע לבנקים.

אני לא דיברתי על הבנקים. אמרתי שבכל המגזרים, למעט בודדים, יש רגולטורים מגזריים שכפופים לרשות הסייבר. אנחנו גוף שמיידע את כל מי שצריך. זה עושה סדר ברמה הלאומית.

אצלכם יש אנשים שמכירים כל מגזר ומגזר?

יש בין אדם אחד ל-3 במעל 20 מגזרים שהקמנו, תלוי בגודל. זה מייצר סדר לאומי מקצה לקצה. בחריגים אפשר לדון.

האם האנשים שנמצאים בכל מגזר ומגזר מכירים את השוק בהיבט של הסייבר, או מכירים בהיבט התוכני שלו? האם הגורמים שלך מכירים את השוק ומבינים מה המשמעות של פרסום מידע כזה, או שהם מכירים את זה במובן של איך המערכות פועלות?

כל הרעיון הוא לשים אותם אצל הרגולטורים. נתתי את הדוגמה של אנרגיה. יש דוגמה בפיננסים. במשרד לביטחון פנים גם יש. הם יושבים במשרדים, מכירים את ההוויה ואת העשייה היום יומית.

זה לא נכון בכל הנוגע ליציבות של המערכת הבנקאית. התפקיד של רשות הסייבר הוא לקחת בחשבון היבטים שנוגעים להגנת הסייבר, לא ליציבות המערכת הבנקאית, לא ליציבות המערכת הפיננסית, לא להיבטים שנוגעים ללקוחות של המערכת הבנקאית והרגישות שנדרשת בהיבטים האלה. זה לא התפקיד של מטה הסייבר. אני חושבת שזה יפגע בסמכויות שלה, כי היא אמורה לקחת בחשבון דברים אחרים. מי שאמון על ההיבטים הרוחביים והעסקיים של המפוקחים הוא הרגולטור. הוא מכיר אותם הכי טוב. מטה הסייבר לא יכול להחליף את שיקול הדעת של הרגולטור בהיבטים האלה.

מה שבעיקר עולה מהדיון הזה הוא שכנראה לכל רגולטור יש את נקודת ההשקפה שלו, הוא אחראי על התחום שלו. לא יהיה נכון לתת את המנדט של התחום של פרטיות לגופים שמה שהם צריכים לייצג זה יציבות כלכלית או הגנה.

לא דיברתי על לתת מנדט, דיברתי על התייעצות איתם.

אני לא חושבת שהתייעצות זה משהו שצריך להופיע בתקנות.

גם אם יש נציגים בתוך מגזר ספציפי, הנציגים האלה רואים אך ורק את נושא הסייבר, הם לא מכירים את העולם התוכני. אני מתחבר למה ששירלי אמרה. יש פה נושאים של מוניטין ויציבות. צריך לזכור, גופים פיננסיים מנהלים למעלה מ-3 טריליון שקל. מעבר לנושא של הגנת הפרטיות יש פה יציבות של המשק, יציבות של הכלכלה, מוניטין של הדברים האלה.

הרשם רשאי להורות.

כרטיסי האשראי שלנו, האזרחים, יכולים להסתובב ברשת, כאשר לנו לא יגידו כלום. למה לא לחייב אותם?

הרשם, כשהוא יפעיל את סמכותו, הוא יתייעץ עם הרגולטור הרלוונטי. לנו לא מוכר, גם לא בעולם וגם לא ברגולציה פרטנית המקבילה של הרגולטורים הענפיים, חובת התייעצות סטטוטורית. רגולטורים אמורים לעבוד בשיתוף פעולה זה עם זה. זאת רק דוגמה אחת פרטנית למגוון תחומים של חפיפה שיש בין רגולטוריים ענפיים ורוחביים שונים. הם אמורים לעבוד בשיתוף פעולה. במקרים המתאימים הרשם יתייעץ עם הרגולטור הנוסף. גם בהסתכלות על הרגולציה ההפוכה, על הרגולציה הענפית, לא ידוע לי שיש חובת היוועצות סטטוטורית עם רשם.

אין פה משהו אוטומטי. אגב, גם כיום, כשאין חובת דיווח על אירוע כל כך חמור, אנחנו מקבלים דיווחים ומקבלים מידעים. אנחנו רשאים להורות, אנחנו רשאים לעשות כל מיני דברים. המציאות מראה שעוד לא מוטטנו בנק, שעוד לא הכרחנו אף גורם לעשות משהו בניגוד לאינטרס הציבורי ולמכלול השיקולים. כבר היו אירועים בבנקים ובחברות ביטוח. ברור שניוועץ, ברור שאנחנו שוקלים את השיקולים הרחבים, ברור שהסיבה שרשומה פה רשות הסייבר ולא גורם אחר היא כי היא הרשות שמתכללת את כל אירועי הסייבר במדינה. היא נגישה לכל המידע. היא אמורה להבין אם יש רגישות שאנחנו לא מודעים אליה לפני שאנחנו עושים איזה שהוא צעד. אף אחד לא יעשה שום דבר שיכול לגרום איזה שהוא נזק גדול בלי שהוא יבדוק את זה עם מי שצריך. אי אפשר להכפיף זכות יסוד חוקתית של כל אזרחי המדינה לאינטרס של רגולטור ספציפי.

זו לא הכפפה.

זו הכפפה. להגיד הסכמה, היוועצות בתוך תקנות זה סוג של הכפפה. יש רגולטורים שיש להם אינטרס מאוד מאוד צר, יש רגולטורים שיש להם אינטרסים אחרים. אנחנו ניוועץ במי שמסתכל על התמונה הכוללת, שזה סטטוטורי, כדי לא לגרום נזק ברמה לאומית. את כל הדברים האחרים נעשה בשקט, בשום שכל. להגיד שכשקורה לך אירוע אבטחה חמור אתה לא יכול לעדכן את מי שאמור לדעת על הדבר הזה כי אתה עכשיו מטפל בו, זה לא משהו שצריך לקחת ברצינות. העדכון הזה הוא לא משהו יוצא דופן, הוא לא מפריע לך לטפל באירוע, הוא חלק מהאירוע. אני מניח כשיהיה אירוע סייבר משמעותי בגוף גדול וחזק כמו בנק, גם רשות הסייבר תהיה מעודכנת בו באותה שנייה שזה קרה.

אני לא מסכימה עם הדברים שנאמרו כאן. באופן מיידי זה בעייתי. עדיף שזה יהיה בהקדם האפשרי. אני לא מבינה למה ההתנגדות להוסיף את הרגולטורים.

אני מתחבר לדברים של אלון. לתת לרגולטור הרלוונטי לדאוג לענייני פרטיות, זה קצת כמו לתת לחתול לשמור על השמנת. שמענו רק עכשיו שפותחים מאגר של כל מוצרי הביטוח של אזרחי מדינת ישראל מתחת לאף של כולנו. מי שומר על זה? איך שומרים על זה? לתת לרגולטור לעשות דברים של פרטיות, שזה לא הרגולטור הרלוונטי, זו תהיה טעות. אני חושבת שצריך לתת סמכות לרמו"ט. הם מספיק חכמים להחליט אם צריך להתייעץ, אם לא צריך להתייעץ. אף בנק לא ייפול בגלל החלטה של ראש רמו"ט. הוא לא אדם שנולד אתמול. כל מי שיהיה בתפקיד ידע שהוא צריך לקחת החלטות כאלו.

לכל רגולטור יש את האינטרסים שלו, יש את הייחודיות שלו. למיידיות יש משמעות, כי הרבה פעמים צריך לנקוט בפעולות מידיות, צריך לקבל הנחיות מידיות. העניין של להגיד שזה יהיה בהקדם האפשרי, זה בדיוק ההקשר של החתול והשמנת. מי יקבע מה זה בהקדם האפשרי?

אנחנו נמשיך בישיבה הבאה.

הישיבה ננעלה בשעה 13:15.