ישיבת ועדה של הכנסת ה-20 מתאריך 28/02/2017

תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017

פרוטוקול

 
הכנסת העשרים

מושב שלישי

פרוטוקול מס' 346

מישיבת ועדת החוקה, חוק ומשפט

יום שלישי, ב' באדר התשע"ז (28 בפברואר 2017), שעה 10:00
סדר היום
תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016
נכחו
חברי הוועדה: רויטל סויד – מ"מ היו"ר

ענת ברקו

אורי מקלב

אוסאמה סעדי
מוזמנים
ליאת בן מאיר שלום - משפטנית, משרד המשפטים

אייל זנדברג - משרד המשפטים

עומר פרידמן - יועץ אבטחת מידע, משרד המשפטים

אלון בכר - ראש הרשות למשפט טכנולוגיה ומדע, משרד המשפטים

ניר יעקב גרסון - משרד המשפטים

גילי בסמן-ריינגולד - רמו"ט, משרד המשפטים

רפאל פרנקו - ר אגף בכיר לאסדרת המשק, משרד ראש הממשלה

פיני שחר - עוזר לממונה על שוק ההון הביטוח והחיסכון, משרד האוצר

אלי טובול - מחלקת ביקורת נותני שירותי מטבע אגף שוק ה, משרד האוצר

איה שוורץ - עו"ד באגף השכר והסכמי עבודה, משרד האוצר

מאיר גופשטיין - מנהל אגף, משרד הפנים

אודליה אדרי - לשכה משפטית, משרד הפנים

מרגלית לוי - מנהלת מחלקה בכירה עוזרת משפטית תיאום תכ, משרד הפנים

טלי מסיקה - ראש תחום הסדרה ביטחונית, משרד הביטחון

אנפה כרמלי - רמ"ד חקיקה, משרד הביטחון

רחל יעקובי - פיקוח על הבנקים - סייבר, בנק ישראל

חן פליישר - יועצת משפטית, בנק ישראל

שירלי אבנר - עו"ד, בנק ישראל

יורם ביטון - מנהל הסייבר, המוסד לביטוח לאומי

בובי פנדריך - מנהל היחידה לאבטחת מידע, המוסד לביטוח לאומי

לביא אובנת - מנהל מחלקת אכיפה, הרשות למשפט, טכנולוגיה ומידע

לימור שמרלינג מגזניק - מנהלת מחלקה, הרשות למשפט, טכנולוגיה ומידע

ניר יוגב - מנהל מחלקת קשרי ממשל, חברות סלולריות

מירה סלומון - מנהלת מח' משפט, מרכז השלטון המקומי

אמיר צפנת - מנהל אבטחת מידע, עיריית באר-שבע, מרכז השלטון המקומי

דן חי - פורום הגנת הפרטיות, לשכת עורכי הדין

יהונתן קלינגר - עו"ד

חניתה חפץ - שדלן/ית (פוליסי בע"מ), מייצג/ת את סלקום (לקוחות קבועים נוספים שנושא הישיבה נוגע אליהם באופן ישיר: פרטנר)

צח בורוביץ - שדלן/ית (ח.ב. הקבניט ישראל בע"מ), מייצג/ת את סלקום
ייעוץ משפטי
אלעזר שטרן
מנהל/ת הוועדה
אסף פרידמן
רישום פרלמנטרי
יפעת קדם

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016
היו"ר רויטל סויד
אנחנו ממשיכים את הישיבה בנושא תקנות הגנת הפרטיות (אבטחת מידע). בדיון האחרון, לאחר שכל אחד הביע את עמדתו, התחלנו בקריאת התקנות. סיימנו את תקנת ההגדרות, את הסעיף הראשון.
אלעזר שטרן (הלשכה המשפטית)
בכפוף לכך שאמרנו שיש שתי הגדרות שנחזור אליהן בהמשך.

2. מסמך הגדרות המאגר. (א) בעל מאגר מידע יגדיר במסמך הגדרות מאגר (להלן – מסמך הגדרות המאגר), את כל העניינים האלה לפחות: (1) תיאור כללי של פעולות האיסור והשימוש במידע; (2) תיאור מטרות השימוש במידע; (3) סוגי המידע השונים הכלולים במאגר המידע, בשים לב לרשימת סוגי המידע שבפרט 1(3) בתוספת הראשונה; (4) פרטים על העברת מאגר המידע, או חלק מהותי ממנו אל מחוץ לגבולות המדינה או שימוש במידע מחוץ לגבולות המדינה, מטרת העברה, ארץ היעד, אופן העברה וזהות הנעבר; (5) עיבוד מידע באמצעות מחזיק; (6) הסיכונים העיקריים של פגיעה באבטחת המידע, ואופן ההתמודדות עמם; (7) שמו של מנהל מאגר המידע, של מחזיק המאגר ושל הממונה על אבטחת מידע בו, אם מונה כזה. (ב) בעל מאגר מידע יעדכן את מסמך הגדרות המאגר בכל עת שנעשה שינוי משמעותי בנושאים המפורטים בתקנת משנה (א), ויבחן את הצורך בעדכון כאמור, בשל שינויים טכנולוגיים ארגונים או אירועי אבטחה כאמור בתקנה 11, בכל שנה עד ה-31 בדצמבר. (ג) בעל מאגר מידע יבחן, אחת לשנה, אם אין המידע שהוא שומר במאגר רב מן הנדרש למטרות המאגר.
ליאת בן מאיר שלום
מדובר במסמך היסודי. זו החשיבה של בעל המאגר על מה הוא אוסף, לאיזה מטרות, מה הן הפעולות המרכזיות שהוא הולך לעשות עם המאגר. אם אמרנו בישיבת הפתיחה שהתקנות האלו מסדירות היבטים פיזיים, היבטים לוגיים וגם היבטים של תהליכים בתוך הארגון, אז זה תהליך יסודי של גיבוש איזה שהוא תהליך עבודה של בעל מאגר המידע על מה הוא אוסף, לאלו תכליות, מה הסיכונים שנגזרים מזה. זה אחר כך בסיס למסמך האבטחה וליתר הפעולות שלו בהמשך לפי התקנות.
היו"ר רויטל סויד
את המסמך הזה אתם רוצים להחיל על כל המאגרים? כל בעל מאגר בכל אחת מרמות האבטחה חייב להכין את המסמך הזה?
ליאת בן מאיר שלום
נכון, כי אנחנו חושבים שזאת חשיבה בסיסית שצריכה להתקיים.
היו"ר רויטל סויד
בואו ניקח כדוגמה קוסמטיקאית, עורך דין, רואה חשבון. הם צריכים להכין את המסמך ולהשאיר אותו במגירה אצלם?
ליאת בן מאיר שלום
נכון. זה תהליך חשיבה שממנו נגזרת פעולה בהתאם לתקנות וגיבוש מסמך האבטחה.
ניר יעקב גרסון
המסמך הוא רק תוצר. הוא מחייב אותו לבדוק, לראות מה הוא עושה.
ענת ברקו (הליכוד)
למה לא ליצור תקינת אבטחה?
ליאת בן מאיר שלום
אלו תקנות אבטחת מידע.
גילי בסמן-ריינגולד
זה המסמך הבסיסי, כדי להבין לאיזו תקנה הוא צריך להיות מחויב. הוא צריך לשבת ולראות מה בכלל הוא עושה, למה הוא אוסף, אם צריך או לא צריך, ואיך הוא שומר את זה. כמו שאמרה חברת הכנסת סויד, יש מי שישים את זה במגירה. ככל שהמאגר מורכב יותר, כך השימוש של המסמך הזה יהיה אחר, עם השלכות אחרות.
ענת ברקו (הליכוד)
באיזה אופן ייבדק היישום?
גילי בסמן-ריינגולד
זה יכול להיבדק בפעולות פיקוח של רמו"ט. כרגע אנחנו מדברים על הסדרה וניהול עצמי.
היו"ר רויטל סויד
אין ספק שכשאנחנו באים ומדברים על תקנות, על התמודדות ראשונה עם נושא של אבטחת מידע, צריך ליצור סטנדרטים. הסטנדרטים האלה, כמו שאתם אומרים, זה חשיבה של כל אחד עם עצמו לגבי מה הוא עושה עם המאגר, איזה עקרונות הוא מציב לעצמו, מה הסטנדרטים וכיוצא בזה. זה חשוב מאוד. השאלה מה המשמעות של זה על מאגרי יחיד, בעיקר אצל אנשים שזה המחשב שלהם, הבית שלהם, לפעמים גם חדר השינה שלהם. איזו חובה אנחנו מטילים עליהם? החובה היא חובה, אבל אם חס וחלילה קורה משהו, מה תהיה ההשלכה לכך שהמסמך היה תקין ואם כן בחנו את הכל, לא בחנו את הכל?
אלעזר שטרן (הלשכה המשפטית)
בעל מאגר יחיד לא ידע מה לכתוב בהרבה מאוד מהמקרים. אדם שזה לא תחום הפעילות שלו, יתקשה מאוד לדעת מה הוא צריך לכתוב. הוא יצטרך לפנות למומחים.
ענת ברקו (הליכוד)
גם אין יכולת בקרה.
אלעזר שטרן (הלשכה המשפטית)
יש דברים שהוא יוכל לכתוב. מרבית בעלי המקצוע הפרטיים שאין להם מומחיות באבטחת מידע לא ידעו מה לכתוב שם, מה הם צריכים לעשות עם זה.
גילי בסמן-ריינגולד
בהקשר הזה צריך לקרוא את התקנה עם ההקלות הרבות שנעשו על בעל מאגר יחיד, כולל ההגדרה של בעל מאגר יחיד שהורחבה.
היו"ר רויטל סויד
לאיזו תקנה את מפנה?
ליאת בן מאיר שלום
זה עדיין בשלבי גיבוש. בעקבות ההערות שקיבלנו בדיון הקודם בוועדה עשינו שינויים נוספים. הם עדיין בליבון מול הלשכה המשפטית של הוועדה. אנחנו בהחלט מודעים. צמצמנו את החובות שחלות על בעל מאגר יחיד. התהליך המחשבתי הזה הוא תהליך יסודי שאנחנו חושבים שהוא מאוד מאוד חשוב, כדי להעלות למודעות מה אני בכלל עושה כאן, מה אני אוסף, לאיזה צורך אני אוסף את המידע הזה, מה אני עושה איתו.
גילי בסמן-ריינגולד
הסיכון במאגר יחיד הוא דליפה של מידע. הסעיף הזה הוא אחד הסעיפים היותר ברורים בתקנות. אותו בעל מאגר יחיד צריך לשבת ולעשות את עבודת החשיבה הזאת. זו עבודה מאוד בסיסית. הוא צריך לדעת מה יש לו, מה הוא עושה עם זה, האם הוא מעביר את זה הלאה, לא מעביר את זה הלאה. הוא צריך להבין שהוא מתעסק במידע. הוא צריך להבין שיש לזה רגישות.
ליאת בן מאיר שלום
רמו"ט יוציאו מסמך של סוגי סיכונים עיקריים.
גילי בסמן-ריינגולד
אנחנו נוציא הנחיות לציבור, במיוחד לאותו ציבור פחות מקצוען שפחות נעזר בבעלי מקצוע, כדי להבין מה השינוי התפישתי שהוא צריך לחוות עכשיו בעקבות התקנות החדשות.
ענת ברקו (הליכוד)
יש הרבה אנשים שמבינים שזה עלול לפגוע בפרטיותם של אנשים אחרים. כשאני מדברת על תקינה, אני מדברת על רף מינימום שנדרש כדי לאבטח את המידע, את המאגר. השאלה אם יש דרך לבקר את זה, האם יש איזו שהיא דרך לוודא שזה קורה. אם לא תהיה דרך כזו, זה לא יקרה.
ליאת בן מאיר שלום
בשביל זה לרגולטור יש סמכויות פיקוח.
ענת ברקו (הליכוד)
זה יבוא לידי ביטוי בתקנות?
ליאת בן מאיר שלום
בחוק הגנת הפרטיות.
ניר יעקב גרסון
תקינה מטילה יותר מעמסה על היחיד, היא מחייבת אותו לקבל הסמכה.
היו"ר רויטל סויד
יש את זה בהמשך.
ענת ברקו (הליכוד)
אני לא יודעת אם התקן אינו מחייב אותו לקבל יותר הסדרה. כמו שכעצמאי אתה צריך להיעזר במנהל חשבונות או ברואה חשבון, כך אני חושבת שלהפיל את זה על הקוסמטיקאית נראה לי לא רציני. זה לא יקרה. אם אנחנו רוצים להבטיח שהמאגר לא ידלוף, צריך באיזה שהוא אופן ייעוץ של גורמים מקצועיים שיגידו שהמאגר נבנה כמשהו בטוח. אני לא מדברת על משהו ברמה עליונה, אבל לפחות משהו סביר, משהו שלא כל אחד יוכל להיכנס ולשלוף נתונים.
גילי בסמן-ריינגולד
יהיו הנחיות של רמו"ט בהקשר הזה.
אלעזר שטרן (הלשכה המשפטית)
מעבר למה שדיברנו עכשיו על הנושא של יחיד, יש חוסר בהירות לגבי כל הנושא של העברה לחו"ל. מה המשמעות של זה? ניקח את הקוסמטיקאית שיש לה את מאגר הלקוחות שלה. המידע יושב על ענן שהשרתים שלו נמצאים בקליפורניה. האם זו העברה לחו"ל? בגלל שחלק מהאמצעים המחשוביים הם כאלה שהם חוצים גבול, המונחים פה הם עמומים. השאלה מה נחשב העברה לחו"ל, מתי משהו נחשב שהוא פה בארץ.
יהונתן קלינגר
היא שומרת את זה על קובץ אקסל בג'י-מייל שלה.
אלעזר שטרן (הלשכה המשפטית)
האם זה נחשב העברה לחו"ל?
דן חי
יש תקנות שעוסקות בזה. יש תקנות העברת מידע לחו"ל. אם ההגדרה לא ברורה, שם צריך לתקן.
היו"ר רויטל סויד
למה אתם התכוונתם?
ליאת בן מאיר שלום
התכוונו לחוק הגנת הפרטיות. בסעיף 9 לחוק הגנת הפרטיות כתוב שבקשה לרישום מאגר מידע תפרט, בין היתר, פרטים בדבר העברת מידע מחוץ לגבולות המדינה.
אייל זנדברג
התקנות פה עושות סדר, הן לאו דווקא קובעות מחדש.
אלעזר שטרן (הלשכה המשפטית)
אבל פה אתה בא ומחיל את זה על גורמים פרטיים וקטנים.
ליאת בן מאיר שלום
היום זה מוחל גם על גורמים פרטיים. גם הבקשה לרישום מאגר מידע חלה.
ענת ברקו (הליכוד)
מה קורה עם זה?
אלעזר שטרן (הלשכה המשפטית)
אני חושב שיש הבדל בין חובה כללית בחוק, לבין מצב שאתה פורט את הדברים לפרוטות. גם היום יש חובת אבטחת מידע מכוח סעיף 17 לחוק. אני מנסה להבין מה אני אמור לכתוב בתור בעל מאגר. נניח שהדברים שלי נמצאים בענן, האם זה נחשב העברת מידע?
גילי בסמן-ריינגולד
זה קודם כל אמור לעורר לך את המחשבה שיש לך מידע לא מאוחסן.
אלעזר שטרן (הלשכה המשפטית)
מה התשובה שאני אמור לתת?
גילי בסמן-ריינגולד
אתה אמור לאחסן אותו במקום מספיק מאובטח, במקום שיהיה בהתאם להנחיות של רמו"ט.
היו"ר רויטל סויד
אולי צריך לציין את זה.
אלעזר שטרן (הלשכה המשפטית)
מה אני צריך לכתוב? אני לא יודע מה לכתוב.
גילי בסמן-ריינגולד
אתה קודם כל צריך לדעת ולבדוק לאן אתה מעביר את המידע שלך. אחרי שתדע באיזו מדינה המידע שלך נמצא, תוכל לגשת לאתר של רמו"ט, לראות את ההנחיות שרמו"ט הוציאה, ואולי לבחור בספק אחר שמאחסן במדינה אחרת שדיני הגנת הפרטיות בה יותר מתאימים.
היו"ר רויטל סויד
בהנחה שאני קוסמטיקאית, עורכת דין, רואת חשבון, אני אמורה לבדוק איפה הענן שלי יושב, איפה השרת? אין לי שום יכולת לעשות את זה.
גילי בסמן-ריינגולד
אנחנו לא מצפים שתלכי לבדוק. את תראי באיזה ספק שירותים את משתמשת. רמו"ט תפרסם עם איזה ספקים לפי דעתה ניתן לעבוד, עם איזה ספקים הגיעו להסדרים, איזה ספקים מיישמים את התקנות. אנחנו קופצים לתקנה 20, ששם אנחנו יכולים להגדיר כמסמכי ייחוס מחזיקים שעומדים בתקנים או בתקנות שאנחנו דורשים. זה חלק מההתפתחות שתהיה. תידרש קפיצת מדרגה וקפיצת מחשבה ממי שמחזיק מידע אישי. זו המטרה של התקנות האלו.
ליאת בן מאיר שלום
אל תחשבו רק על קוסמטיקאית. התקנות האלו חלות לגבי כלל המאגרים.
היו"ר רויטל סויד
יכול להיות שצריך לסייג את הנקודה הספציפית הזאת לגבי מאגרי יחיד.
גילי בסמן-ריינגולד
כבר היום יש תקנות העברת מידע לחו"ל שמתייחסות לכל המאגרים ולכל המידעים. נורא קל לתת את הדוגמה של הקוסמטיקאית, אבל יש גם פסיכיאטר שמחזיק מידע מאוד מאוד רגיש.
יהונתן קלינגר
פסיכיאטר לא מוגדר מאגר יחיד לפי ההגדרות.
גילי בסמן-ריינגולד
במהות הוא אותו יחיד.
אלעזר שטרן (הלשכה המשפטית)
זה נכון, יש היום חובה בחוק לאבטחת מידע ותקנות על העברת מידע לחו"ל, אבל אנחנו לא יכולים להתעלם מכך שאל"ף, הרוב המכריע של הגורמים שהם מאגרי מידע לפי החוק לא רשום, ובי"ת, ספק אם הם מודעים לזה שהם צריכים להיות רשומים. זה נכון שיש היום חובה כללית, אבל זה נראה שברובה המכריע היא לא מיושמת.
גילי בסמן-ריינגולד
כל המאגרים הרשומים מודעים לזה.
אלעזר שטרן (הלשכה המשפטית)
הרשומים כן, אבל כמה לא רשומים?
ניר יעקב גרסון
הרישום הוא רק חובה אחת פרוצדוראלית. גם מי שלא מקיים אותה חייב בחובת אבטחת מידע. גם מי שלא מכיר את המונח "חוק הגנת הפרטיות" יודע שהוא צריך לאבטח את המידע שלו, יודע שיש עליו חובה.
אלעזר שטרן (הלשכה המשפטית)
זה קל מאוד להיתלות בעובדה שמבחינה נורמטיבית קיים חיקוק. הוועדה לא יכולה להתעלם ממציאות שבה הרוב המכריע של המאגרים לא רשום. אם אנשים לא מודעים לזה שהם צריכים להירשם, ספק אם הם יהיו מודעים לעובדה שחלים עליהם סטנדרטים כאלה ואחרים.
ליאת בן מאיר שלום
דווקא התקנה הספציפית הזאת אמורה להעלות את הדבר לרמת מודעות. הוועדה לא יכולה להתעלם מזה שברגע שיש העברת מידע למחזיק שנמצא בחו"ל יש סיכון של אבטחה. גם מזה אי אפשר להתעלם.
אייל זנדברג
מה המענה? האם המענה הוא לא להחיל את הנורמה הזאת על מאגרים כאלה?
אלעזר שטרן (הלשכה המשפטית)
ההנחה שלכם היא שיהיה אפשר לקיים את התקנה הזאת רק אחרי שרמו"ט יוציאו הנחיות?
אייל זנדברג
לא. לא כל גורם בהכרח עושה את הפעולות.
היו"ר רויטל סויד
איך אנשים ידעו מזה?
גילי בסמן-ריינגולד
איך יודעים על כל חקיקה חדשה? איך אני יודעת שבתור אזרחית אמריקאית אני צריכה למלא טפסי מס כי החליטו שבארצות הברית אני צריכה לשלם מיסים?
היו"ר רויטל סויד
זה לא אותו. כשאני צריכה לשלם משהו אני עושה איזו שהיא פעולה. פה את מטילה חובה על אדם שהיא בינו לבין לעצמו. המסמך הזה נשאר אצלי במגירה.
דן חי
זה לא מדויק.
יהונתן קלינגר
אם את פונה אלי לבקשת מידע לפי סעיף 11, את חייבת להודיע לי אם יש חובה חוקית למסור לך את המידע, מה השימושים שייעשו במידע.
היו"ר רויטל סויד
אני לא מדברת על המאגרים הגדולים, אני מדברת על מאגרי היחיד הקטנים.
יהונתן קלינגר
סעיף 11 חל גם על מאגר יחיד. את מתקשרת אלי בתור סוכן ביטוח. את אומרת לי: יהונתן, אני רוצה לתת לך הצעה, תגיד לי מה גודל הדירה שלך. אני אומר לך שאני אתן לך את המידע, רק תגידי למי את מעבירה, מה את עושה עם המידע. את פשוט מוציאה את המסמך הזה.
היו"ר רויטל סויד
אני מצטערת שאני הולכת לדוגמה של הקוסמטיקאית. זה אפילו לא עורך דין ולא רואה חשבון. לסוכן ביטוח יש יותר מידע, יש יותר מודעות. איך הקוסמטיקאית אמורה לדעת?
יהונתן קלינגר
התפישה הנכונה צריכה להיות שהקוסמטיקאית, גם אם היא מאגר יחיד, תלך לשירותי צד ג', היא לא תאחסן אצלה. היא תדע שיש "כספות" שמספקות שירותי מאגר מידע ליחיד ומאבטחות את זה במחיר סמלי. זה האופטימאלי. ברור לי שזה לא יקרה, כי אצל רוב הקוסמטיקאיות - -
ליאת בן מאיר שלום
היא לא לוקחת היום טכנאי מחשבים בשביל להתקין? מה חדש בזה? היא לא לוקחת מנהל חשבונות?
אייל זנדברג
זה עולם שבו צריך לקבל שירותים.
ליאת בן מאיר שלום
גם היום היא צריכה לעשות את זה לפי התקנות הקיימות. התקנות האלו מחדדות, הן נותנות משהו מאוד מאוד בסיסי שחל על היחיד.
יהונתן קלינגר
הקוסמטיקאית צריכה מודעות. הייתי שמח אם רשות משפט וטכנולוגיה תכין מסמך המלצות לבעל מאגר יחיד.
דן חי
אני חושב שהתקנה הזאת מאוד נכונה וחשובה. אם מדברים על בנקים וחברות ביטוח, אז הדברים מסודרים, הם לא צריכים את התקנה כדי לעשות מסמך כזה. ככל שיורדים לגופים יותר קטנים, למשל הקוסמטיקאית, רואים חוסר סדר, אפילו הפקרות בכל מה שקשור למידע האישי. צריכה להיות הסדרה מאוד ברורה. אני לקוסמטיקאית יכול להגיד אם היו לי ניתוחים פלסטיים, אם אני רגיש באיזה מקום, או אם באיזה מקום אני רוצה כך ולא אחרת. זה מידע שאני לא רוצה שידלוף החוצה. אם אצלה תהיה הפקרות, אז יכול לבוא חבר כנסת ולספר לה דברים שיגחכו עליהם בכל מיני מקומות. אני רוצה שהיא תעשה לעצמה סדר, שהיא תשב ותחשוב מה יש לה במאגר, מה היא עושה בו, איפה היא שומרת אותו. היא צריכה להיות מודעת לזה. אם היא לא יכולה להיות מודעת, שתלך ליועץ אבטחת מידע שיסביר לה. המסמך הזה מאוד חשוב בהליכים משפטיים, לא רק בפיקוח של רמו"ט. אם מחר יתבעו אותה, היא תוכל להראות את המסמך שהיא הגדירה לעצמה.
היו"ר רויטל סויד
והפוך.
דן חי
למה הפוך?
היו"ר רויטל סויד
כי התביעה הזאת יכולה להיות גם במידה והיא לא הבינה.
דן חי
אם יגידו לה שהיא בכוונה עשתה 1,2, ו-3, אז היא תגיד שזה לא היה בכוונה. אני חושב שבתובענות ייצוגיות זה יכול להיות מאוד רלוונטי לחברות. אני חושב שזאת תקנה מאוד חשובה. בעל מאגר מידע צריך לעשות לעצמו סדר, אפילו אם מדובר בקוסמטיקאית. היא צריכה להבין שזה שהיא שומרת מידע, לפעמים מידע שהוא מאוד רגיש, זה דורש ממנה. אם לא, שתשמור רק את השם והטלפון כך שזה לא יהיה מאגר מידע.
ניר יוגב
מדובר בתקנות שדיברו עליהן בשנת 2010, אחר כך בשנת 2012. ב-5 השנים האחרונות לא התקיים איזה שהוא דיאלוג, לפחות לא איתנו, בנושא הזה. 5 שנים בעולם אבטחת מידע ומערכות מידע זה המון זמן. חברות רוכשות חברות, מערכות יורדות, מערכות מוספות. אנחנו חושבים שהיה נכון, עוד לפני שמעלים את הנושא להצבעה פה בוועדה, לקיים סבב נוסף, לנער את האבק מעל הנושא הזה ,להבין אם מה שכתוב נכון, אם אפשר ליישם אותו.
היו"ר רויטל סויד
זה מה שאנחנו עושים עכשיו.
ניר יוגב
יש חברות תקשורת וגופים נוספים במשק שכפופים להנחיות של רא"ם. רא"ם מיישמים תכנית הגנה על תשתיות קריטיות. הם אומרים לנו מה לעשות, איך לעשות, מתי לעשות. הם מבקרים את הביצוע של מה שהם מגדירים. תכנית העבודה שאנחנו מייצרים בכל מה שקשור לאבטחת מידע עם רא"ם נקבעת על בסיס הערכות האיומים הקונקרטיים כפי שרא"ם רואים אותם. הם נפגשים עם הארגונים, הם מכירים את הארגונים ואת המערכות שיש לנו ולאחרים באופן מעמיק. הם מייצרים סדרי עדיפויות. גם הם מבינים שהמשאבים שיש לפיתוח של ההנחיות שלהם הם משאבים מוגבלים. התקנות שמובאות לפה לא נעשות על בסיס ההיכרות של רמו"ט עם כל חברה וחברה בשוק הישראלי. גם אי אפשר לצפות שזה מה שיקרה. יש איזו שהיא התנגשות בהיבט של סדרי העדיפויות, כי רא"ם באים ואומרים לנו לעשות א', ב', ג', ופתאום אנחנו מקבלים תקנות שמדברות על לעשות דברים אחרים, עם לוחות זמנים אחרים. אנחנו חושבים שבעניין הזה נכון היה לקבוע שגופים שכפופים לרא"ם, שפועלים על פי הנחיותיהם, לא יהיו כפופים לתקנות האלו.

דבר נוסף, וזו טענה חלופית, שהתקנות האלו, כמו שאנחנו רואים אותן על גוף כמו חברת תקשורת גדולה, הן הנחיות שמחייבות השקעת משאבים עצומה.
היו"ר רויטל סויד
התקנות הבאות מתייחסות לכך.
אלעזר שטרן (הלשכה המשפטית)
זו סוגיית רוחב שהזכרנו בדיון הקודם, היא לא קשורה רק אליכם. בדיון הקודם היו גורמים נוספים שהעלו את זה. זה סביב תקנה 20, ששם יש סמכויות לרשם לפטור או לא לפטור. שם זה המקום המתאים יותר לדון בשאלת הרגולציות המקבילות לרגולציה הזאת.
מרגלית לוי
אני רוצה להתייחס לעניין הסמכויות. יש איזו שהיא בעייתיות בתקנות בהיבט של הסמכויות, כאשר אני מדברת על המאגר הביומטרי שנמצא אצלנו. אנחנו מדברים על כך שאת ההנחיות לעניין אבטחת מידע אנחנו מקבלים מרא"ם, מרשות הסייבר. הם הרגולטור לעניין מאגר המידע הביומטרי, לרבות הסיכונים, הדיווחים וכל מה שנדרש.
ליאת בן מאיר שלום
איך זה קשור לתקנה 2?
מרגלית לוי
לאורך כל התקנות יש הנחיות שאתם מחילים עלינו. יש הנחיות שהרשם צריך להחיל עלינו. יש סעיפים שאנחנו לא רואים מקום להכניס בתקנות האלו. לנו יש את החוק הפרטי שלנו. הוא די מפורט, הוא די מביא לידי ביטוי את כל הנושא של אבטחת המידע והגנת הפרטיות.
ליאת בן מאיר שלום
כפי שאלעזר אמר, הנושאים האלה יידונו במסגרת הדיון בתקנה 20. איך מה שאת אומרת קשור לתקנה 2?
מרגלית לוי
אני מניחה שאתם מבינים שכאשר מדובר במאגר מידע , הסיכונים והתמודדות עימם לא נמצאים באותו מסמך, הם נמצאים מסווגים במקום אחר, נפרד מהמסמך הזה. הם לא נמצאים בתוך הדיווח הזה.
היו"ר רויטל סויד
מה את מציעה?
מרגלית לוי
אנחנו לא יכולים להיות כפופים להנחיות האלו. לנו יש הנחיות מפורטות.
היו"ר רויטל סויד
בהנחה שאתם כפופים, מה את מציעה לניסוח?
מרגלית לוי
יש סעיפים שאנחנו חייבים להחריג.
היו"ר רויטל סויד
האם ההפרדה בין מסמך הסיכונים למסמך בדבר אופן ההתמודדות זה משהו שיכול לתת את המענה ואת הפתרון לחשש הדי הגיוני שאת מעלה?
מרגלית לוי
צריך להכיר בזה שיש מאגרי מידע שמונחים על ידי גופים אחרים. הם אלה שמנחים איך לנהל את מאגרי המידע. אם יש הנחיות של גוף אחר, אנחנו לא יכולים להיות כפופים לשני גופים בו זמנית.
ענת ברקו (הליכוד)
ההנחיות של גופי הביטחון גוברות על הכל.
מרגלית לוי
אם אנחנו מסתכלים על ההנחיות וההוראות שמוסדרת בחוק להסדרת הביטחון, ששם יש את ההנחיות שלנו מכוח הרגולטור, איך אנחנו עומדים בהנחיות הסותרות האלו? חוק המאגר הביומטרי הוא אחד החוקים המפורטים ביותר.
היו"ר רויטל סויד
אני לא חושבת שאת רוצה לפתוח את נושא הביומטרי, בטח לא איתי. דוגמה רעה מאוד.
אלון בכר
הסמכות שלנו לא השתנתה בעקבות התקנות האלו, רק מפורט בהן הסטנדרט באופן שיהיה יותר קל לגורמים להבין מה הם צריכים לעשות. גם בנושא של רא"ם והרשות הלאומית להגנת הסייבר אין שום שינוי. גם היום יש גוף שמנחה את הגופים בתשתיות קריטיות. הוא עובד במקביל לרמו"ט, אין התנגשויות. כל אחד אחראי על התחום שלו. רמו"ט מנחה, אוכפת וקובעת את הסטנדרט במקום של הניהול האישי, של השימושים בו. אבטחה זה רק אחד מהדברים. יש הרבה מאוד דברים נוספים שקשורים למידע אישי שרמו"ט אמונה עליהם. בהקשר הזה לא השתנה שום דבר.
מרגלית לוי
אני לא מסכימה איתך.
אלון בכר
מה שהיה נשאר אותו דבר בדיוק. זה שסמכות הועברה משירות ביטחון כללי לרשות הלאומית להגנת הסייבר עדיין לא אומר שאנחנו לא עובדים איתם בשיתוף פעולה הדוק. אני יכול להגיד שאנחנו עובדים איתם בשיתוף פעולה אפילו יותר הדוק, כיוון שאנחנו בדין ודברים יום יומי על הסטנדרטים החדשים שנקבעים במקומות אחרים. חוץ מאשר לנסות לעשות מקצה שיפורים בלהוריד רגולציה של הזכות להגנה על מידע אישי ופרטיות, אני לא רואה פה שום דבר אחר. גם אם יגידו את הדברים 10 פעמים, אני מציע שאף אחד מאיתנו לא יתבלבל. רמו"ט לא מגינה על תשתיות קריטיות, היא לא נכנסת לסמכויות של גופי הביטחון. מצד שני, יש הרבה מאוד דברים שרמו"ט אמונה עליהם שגופי הביטחון בכלל לא נכנסים אליהם. גם על זה אין ויכוח.
היו"ר רויטל סויד
מה יקרה כשתהיה סתירה בין החובות שמוטלות עליהם היום לחובות שבתקנות?
אלון בכר
אין סתירות. אנחנו עושים כל מה שאנחנו יכולים כדי שלא יהיו סתירות. גם היום הגופים מקבלים הנחיות משירות ביטחון כללי - תיכף הם יקבלו את ההנחיות מגוף חדש - וביקורת והנחיות מרמו"ט. אנחנו פועלים כבר 10 שנים במקביל. יש תיאום הדוק. אף אחד מאיתנו גם לא רוצה לתת הנחיות סותרות. רמו"ט רוצה לתת הנחיה שסותרת הנחיה של גוף אחר? לא. אנחנו יושבים איתם, אנחנו מתואמים איתם. התחייבנו זה לזה שלא ניתן שתהיה רגולציה הפוכה. זה לא האינטרס שלנו, שלהם ושל אף אחד אחר. אין סיבה להעלות איזה חשש תיאורטי כדי להוריד מעצמך איזה עול רגולטורי שבנוי על זכות יסוד חוקתית. אני מציע שנזכור שעל זה אנחנו מדברים. הרבה מאוד מהדברים יידונו בתקנה 20. תקנה 20 באה להסדיר את המקומות שבהם לא תהיה סתירה תיאורטית שלא מתממשת, או רגולציה שתהיה עודפת על מה שכתוב ברגולציה הכללית הזאת. ברור שאם אתה מקבל רגולציה מחמירה יותר, רמו"ט לא תגיד לך: תעשה את הרגולציה שכתבתי בתקנות. לא יהיה כזה דבר.
אייל זנדברג
צריך לשים לב שמה שבנינו בתקנה 20 הוא מודל משוכלל. הסוגיה הזאת של כפילות רגולטורים קיימת כבר היום, היא לא רק בהגנת הפרטיות. בנינו כאן מודל שנותן לזה ביטוי. במקום להבין כמה זה מקדם אותנו, כמה זה מבהיר את העניינים, נתפסים לזה שזה מקור הבעיה. זה מציף קושי שיש לו פתרון אמיתי. אם היינו שומעים קודם את ההערות של משרד הפנים, שרת המשפטים יכולה הייתה להתייחס להערות.
יהונתן קלינגר
אומרת כאן יועצת משפטית ממשרד הפנים שבמאגר הביומטרי הם לא מסוגלים לעמוד בהוראות הנחיית אבטחת המידע שמשרד המשפטים מציע למאגרים. צריך לזכור, המאגר שהם הולכים להקים הרבה יותר רגיש מכל מאגר שההוראות האלו אמורות לחול עליו. הם אומרים שהם לא יהיו מסוגלים לעמוד בהוראות האלו.
מרגלית לוי
זה לא מה שאמרתי. אמרתי שיש סתירה.
יהונתן קלינגר
הרשות הביומטרית לא רשמה את מאגר המידע במשרד המשפטים עד שנת 2015. היא איחרה ברישום, היא לא מינתה ממונה אבטחת מידע בתקופה מסוימת, היא לא עמדה בהנחיות. כל הדברים האלה הם סיבה דווקא למה כן להחיל עליהם את התקנות.

תקנה 2 היא תקנה מצוינת. כמובן שצריך לעשות את האיזונים בכל הנוגע למחזיק מאגר יחיד. בסעיף קטן (ג) צריך להוסיף את המילים "סוגי מידע". חברת תקשורת יכולה להחליט שלגבי הלקוחות שכבר אינם לקוחות שלה למעלה מ-7 שנים היא משמיטה את המידע. היא גם יכולה להחליט שהיא שומרת סוג מידע מסוים, למשל אם האדם הזה מבקר באופן תדיר במרכזי השירות שלה. מחר היא תעשה בחינה אם להשמיט לא רק את המידע, גם את סוג המידע - נתונים גיאוגרפים, נתונים דמוגרפיים, העדפה מינית. אני חושב שבחינת ההשמטה צריכה להיות למידע ולסוגי מידע.
רפאל פרנקו
הרשות הלאומית לסייבר, בשונה מרא"ם, מחילה את ההגנה מהאזרח ברחוב עד התשתיות הקריטיות. היא לא מסתכלת רק על תשתיות קריטיות. זו הבשורה שאני חושב שהרשות מביאה לאזרחי ישראל. כבר היום מתקבלות פניות מהאזרח הבודד, דרך חברות קטנות ובינוניות, על-מנת לקבל מענה. כשאתם שואלים איפה האזרח נפגש עם העולם הזה של ההגנה, אז זה מתחיל קודם כל באיך הוא שומר על הנכסים הפרטיים שלו, איך הוא מגבה את המידע על הפנסיה שלו, איך הוא מגבה את המידע על ביטוח החיים שלו, איך הוא מגבה את התעודות המקצועיות שהוא צבר במהלך החיים. רשות הסייבר נכנסת מהרמה הבסיסית הזאת של האזרח. אפשר להגיע לדברים יותר בנאליים וטריוויאליים – תמונות של סוף השבוע, חגיגת בר מצווה. כבר ברמה הזאת יש הנחיות שעברו טיוטה ראשונה, עברו בסיס של היוועצות. זה מתחיל שם ונגמר בתשתיות הקריטיות. 15 תשתיות קריטיות מתוך 25 של מדינת ישראל עוברות לאחריות אבטחתית והנחיית רשות הסייבר ב-1 במרץ.

רשות הסייבר רואה את עצמה אחראית על תחום הגנת הסייבר במדינת ישראל. ככל שאנחנו מדברים על פרטיות שמתממשקת לסייבר, כך אנחנו מנסים לייצר כמה דברים. אחד, שלא תהיה כפילות. שתיים, שלא יהיה כפל רגולציה ופיקוח על תשתיות מונחות. על זה אנחנו עובדים. כשאני אומר להטמיע כדוגמת firewall, ברור שאנחנו לא רוצים שיטמיעו שני firewall, ברור שאנחנו לא רוצים שיביאו שתי בקרות. על האירוע הזה אנחנו עובדים. כמו שהתחייב אלון, ראש רמו"ט, לא יהיה כאן כפל רגולציה. מאוד חשוב לנו להימנע מבלבול האזרחים והמשק. את ההוראות ואת ההנחיות בעולם הגנת הסייבר נותנת רשות הסייבר. ככל שהדבר שונה בפרטיות, עולם הפרטיות סוברני להחליט בעצמו.
אלעזר שטרן (הלשכה המשפטית)
האם הערה לעניין הוספת המילים "סוג המידע" מקובלת על משרד המשפטים?
ליאת בן מאיר שלום
מידע כולל סוג והיקף מידע. מידע זה הכל, אין צורך להוסיף.
היו"ר רויטל סויד
זה לא סותר את מה שהתכוונתם אליו.
ליאת בן מאיר שלום
זה לא נדרש.
יהונתן קלינגר
כיוון שאת ואני לא נהיה האנשים שכותבים את מסמך ההנחיות לקוסמטיקאית, אני רוצה שהיא תדע שהיא יכולה לגרוע לקוחות שהם לא הלקוחות שלה כבר 5 שנים.
גילי בסמן-ריינגולד
שלא יהיה מצב שבחקיקה שלא מופיע בה סוג מידע יחשבו שהתכוונו ללקוחות.
דן חי
אני גם חושב שזה מיותר.
יהונתן קלינגר
להבדיל מבדיקת הנחיצות הכללית של סיכונים ותיאור השימושים, יש סוגי מידע בסעיף (3).
היו"ר רויטל סויד
השאלה אם זה יהיה קריטי אם יהיה תיקון שכזה, אם יהיה חידוד שכזה.
ליאת בן מאיר שלום
מדוע האחידות נדרשת?
יהונתן קלינגר
תסתכלי על סעיף קטן (3) ב-2(א). את מדברת על סוגי מידע בהגדרות.
ליאת בן מאיר שלום
ואם זה לא סוג מידע? אני רוצה שהיא תחשוב על הכל. אני רוצה שהיא תחשוב על היקף הזמן שהיא שומרת, על סוגי המידע.
יהונתן קלינגר
היקף הזמן זה לא המידע.
אייל זנדברג
זה מידע.
ליאת בן מאיר שלום
מידע חובק הכל.
יורם ביטון
איך אתם מתייחסים למאגר מידע יחיד שנמצא על טלפון סלולרי ויוצא מידי פעם לחו"ל? זה יכול להיות על מחשב נייד.
ניר יעקב גרסון
מכשיר נייד הוא מחשב. אם הוא נכנס להגדרה של מאגר מידע, צריך לאבטח אותו. יכול להיות שם מידע מאוד רגיש.
אייל זנדברג
יש תקנות שמסדירות יציאה לחו"ל.
ניר יעקב גרסון
יש גם תקנה שמסדירה התקנים ניידים. אולי שם תהיה תשובה לשאלה שלך.
אלעזר שטרן (הלשכה המשפטית)
3. ממונה על אבטחת מידע. חלה חובה למנות ממונה על אבטחת מידע, או מונה ממונה על אבטחת מידע במאגר המידע יחולו הוראות אלה: (1) ממונה אבטחה יהיה כפוף ישירות למנהל מאגר המידע או למנהל פעיל של בעל המאגר או המחזיק בו, לפי העניין, או לנושא משרה בכירה אחר הכפוף ישירות למנהל המאגר; (2) הממונה על אבטחה כיין נוהל אבטחת מידע ויביאו לאישור בעל המאגר; (3) הממונה יכין תכנית לבקרה שוטפת על העמידה בדרישות תקנות אלה, יבצע אותה ויודיע לבעל מאגר המידע ולמנהל המאגר על ממצאיו; (4) הממונה על אבטחה לא ימלא תפקיד נוסף שעלול להעמידו בחשש לניגוד עניינים במילוי תפקידו לפי תקנות אלה; (5) הטיל בעל מאגר המידע על ממונה על אבטחה משימות נוספות על החובות המנויות בפסקאות (2) ו-(3), לשם ביצוע תקנות אלה, יגדירן בצורה ברורה; בעל מאגר המידע יקצה לממונה את המשאבים הדרושים לו לשם מילוי תפקידו.
ליאת בן מאיר שלום
התקנה לא מקימה בעצמה חובה למנות ממונה אבטחת מידע, אלא היא חלה במקום שבו חלה חובה לפי חוק הגנת הפרטיות. סעיף 17ב קובע חובות למינוי ממונה אבטחת מידע בכמה מקרים. מדובר בכמה עקרונות יסודיים שיאפשרו לו פעולה עצמאית, יכולת למלא את תפקידו, איסור ניגודי עניינים, הקצאת המשאבים שדרושים לו. הצורך בחידוד הזה עלה במסגרת העבודה של רמו"ט. הצורך בחידוד של הדברים עלה במינוי של ממונים שהיה להם ניגוד עניינים או שלא יכלו לבצע את תפקידם.
אלעזר שטרן (הלשכה המשפטית)
ניגוד עניינים מקצועי, לא אישי.
ליאת בן מאיר שלום
כמובן. חובת אבטחת המידע חלה גם על ממונה אבטחת המידע. הצורך לחדד את הדברים עלה מדברים שנמצאו בעבודת רמו"ט.
ניר יעקב גרסון
בארגונים שונים ההיררכיה הארגונית שונה. נתקלים לפעמים במקרים שבהם ממונה אבטחת המידע כפוף למנהל מערכות המידע, שזה מצב שיכול להציג ניגוד עניינים כי האחראי על מערכות המידע נמדד בעיקר לפי הביצועים. הוא רוצה שהמערכת תעבוד מהר, ביעילות. אמצעי אבטחת מידע, וזה לא סוד, מאיטים פעמים רבות את קצב המערכת. זה המחיר שמשלמים. אם נכפיף את ממונה אבטחת המידע למי שנמדד לפי ביצועי המערכת, הוא לא יוכל למלא את תפקידו באופן נאות. זה מבחינת ניגוד העניינים.

ממונה אבטחת המידע צריך להיות בעל מעמד מינימאלי מבחינת הבכירות בארגון, כדי שיוכל לקדם את האג'נדה של אבטחת המידע, כדי שיוכל לוודא שהארגון נוהג לפיה, כמובן במגבלות של זה שהוא עובד בארגון היררכי וכפוף למנכ"ל.
גילי בסמן-ריינגולד
הציג את זה יפה מאוד הממונה על אבטחת מידע בקופת חולים כללית. הוא הציג כמה הדבר הזה נדרש בכדי לחזק את אותם אנשים שאחראים על אבטחת מידע בארגונים כלפי ההנהלה שלהם.
אלעזר שטרן (הלשכה המשפטית)
אולי כדאי לפצל את פסקה (5) לשתיים.
ליאת בן מאיר שלום
בסדר.
יהונתן קלינגר
רק הערה אחת לגבי הממונה שלא יהיה בניגוד עניינים. רופאים ובעלי מקצוע שיש להם חובה על פי חוק, הם לא בעלי מאגר מידע יחיד, לכן הסעיף הזה חל עליהם במלואו. תחשבו על רופא עם קליניקה פרטית. הוא גם בעל המאגר, גם מנהל מערכות מחשוב וגם מנהל אבטחת המידע.
היו"ר רויטל סויד
השאלה אם הוא נכנס בהגדרה של 17ב לחוק.
ליאת בן מאיר שלום
לא חלה חובה למנות ממונה אבטחת מידע.
יהונתן קלינגר
למה? הוא לא יחיד.
ליאת בן מאיר שלום
לא ייצרנו חובה חדשה למנות ממונה אבטחת מידע.
אלעזר שטרן (הלשכה המשפטית)
4. נוהל אבטחה. (א) בעל מאגר המידע יקבע במסמך נוהל אבטחת מידע (להלן – נוהל האבטחה) בהתאם למסמך הגדרות המאגר ותקנות אלה, אשר יחייב את כל בעלי ההרשאה בהתאם לפרטים מהנוהל שאליו הוא חשוף לפי תקנת משנה (ב). (ב) בעל מאגר מידע ישמור את נוהל האבטחה כך שפרטים ממנו יימסרו לבעלי הרשאה רק בהיקף הנדרש לצורך ביצוע תפקידיהם. (ג) נוהל האבטחה יכלול, בין היתר, את כל אלה: (1) הוראות בעניין האבטחה הפיזית והסביבתית של אתרי המאגר כאמור בתקנה 6. (2) הרשאות גישה למאגר המידע, ולמערכות המאגר בהתאם לתקנה 8; (3) תיאור של אמצעים שמטרתם הגנה על מערכות המאגר ואופן הפעלתם לצורך כך; (4) הוראות למורשי הגישה למאגר המידע, ולמערכות המאגר לצורך הגנה על המידע במאגר; (5) הסיכונים שחשוף להם המידע שבמאגר במסגרת הפעילות השוטפת של בעל מאגר המידע, לרבות אלה הנובעים ממבנה מערכות המאגר כמפורט בתקנה 5(א), אופן קביעת סיכונים אלה, ואופן הטיפול בהם, לרבות על ידי מנגנוני הצפנה מקובלים להגנה על המידע השמור במאגר או במערכות המאגר; (6) אופן ההתמודדות עם אירועי אבטחת מידע כאמור בתקנה 11, לפי חומרת האירוע ומידת רגישות המידע; (7) הוראות לעניין ניהול של התקנים ניידים ושימוש בהם כאמור בתקנה 12; (ד) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, יכלול נוהל האבטחה, בנוסף לאמור בתקנת משנה (ג), התייחסות גם לכל אלה: (1) אמצעי הזיהוי והאימות לגישה למאגר ולמערכות המאגר, בהתאם לתקנה 9; (2) אופן הבקרה על השימוש במאגר המידע, ובכלל זה תיעוד הגישה למערכות המאגר כאמור בתקנה 10; (3) הוראות לעניין עריכת ביקורות תקופתיות לוידוא קיומם ותקינותם של אמצעי האבטחה לפי נוהל האבטחה ולפי תקנות אלה כאמור בתקנה 16; (4) הוראות לעניין גיבוי הנתונים האמורים בתקנה 18(א)(1); (5) הוראות לעניין אופן ביצוע פעולות פיתוח במאגר ותיעודן, ובכלל אלה אופן הגישה של אנשי הפיתוח לנתונים במאגר. (ה) בעל מאגר מידע יבחן, אחת לשנה, את הצורך בעדכון הנוהל, ובל לגרוע מן האמור, יבחן אם יש צורך בעדכונו של הנוהל במקרים אלה: (1) נעשים שינויים מהותיים במערכות המאגר או בתהליכי עיבוד מידע; (2) נודע על סיכונים טכנולוגים חדשים הנוגעים למערכות המאגר. (ו) ארגון שהוא בעל כמה מאגרי מידע, רשאי לקבוע נוהל אבטחה כאמור בתקנה זו, במסמך אחד לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה.
גילי בסמן-ריינגולד
אחרי שעברנו את השלב הראשון של המיפוי במסגרת זה שהתקנות בנויות בצורה מודולרית, אנחנו עוברים לשלב השני, שזה לקבוע את נוהל האבטחה עצמו. אנחנו יורדים לרזולוציה יותר נמוכה. לפני שאנחנו נכנסים לרזולוציה הזאת, פה כבר יוצאים אותם מאגרי מידע יחידים. הם כבר לא צריכים להגיע לשלב יותר רציני.

התקנה הזאת בנויה משני שלבים. שלב אחד הוא ראשוני. כדי לא לקבוע איזו שהיא תקנה שמדברת על נוהל אבטחה, כן ניסינו לפרוט לפרוטות את ראשי הפרקים שאליהם צריך להיכנס בנוהל הזה - סיכונים, הרשאות, דרכי התמודדות שצריך לחשוב עליהם מראש. אז קופצים לאותם מאגרי מידע של הרמה הבינונית והגבוהה, כאשר מהם נדרשות עוד התחייבויות. אני לא חושבת שצריך לפרט אחד לאחד. מדובר בראשי פרקים לבניית מסמך כזה. בשוק המקצועי מפרטים את המובן מאליו, את הדברים הבסיסיים שנדרשים באבטחת מידע.
ליאת בן מאיר שלום
החובות האלו מפורטות בתקנות הפרטניות.
גילי בסמן-ריינגולד
תקנה (ו) נועדה להקל, לא להעמיס. אם אתה מחזיק בכמה מאגרי מידע שהם באותה רמת אבטחה, אנחנו לא מצפים שיהיה נוהל נפרד לכל מאגר, אפשר לעשות נוהל מרוכז.
ליאת בן מאיר שלום
וזה לא חל על יחיד.
היו"ר רויטל סויד
במה אתה מגדירים שונה את המאגרים שנכנסים בתקנת משנה (ד) לעומת תקנת משנה (ג)?
ליאת בן מאיר שלום
יש תקנות פרטניות שהתחולה שלהן משתנה לפי רמות האבטחה. כשמדובר ברמת אבטחה בינונית או גבוהה, יש דרישות נוספות בתקנות. אם תיקחי את (ד)(1), אז יש הפנייה לתקנה 9 בהקשר של רמת האבטחה הבינונית והגבוהה.
היו"ר רויטל סויד
ואם אנחנו מסתכלים על (2) שמפנה לתקנה 10.
ליאת בן מאיר שלום
זה ריכוז של החובות המהותיות. התוצרים במסמך מדיניות האבטחה הארגונית עולים בקנה אחד עם הדרישות המהותיות בתקנות. אותו מסמך מחייב את כל בעלי ההרשאה בארגון. כל אחד יודע בהתאם לתפקיד שלו. זה ריכוז התוצרים של מילוי החובות המהותיות שמופיעות.
היו"ר רויטל סויד
נניח שאנחנו נמצאים במאגר ברמת אבטחה בינונית. אנחנו מדברים פה על אופן בקרה, על השימוש ועל תיעוד הגישה למערכות. בוא נניח שאנחנו מדברים על מאגר שנמצא במחשב שמשתמש בו אדם שהוא לא בעל המאגר, הוא לא קשור אליו במקום העבודה שלו.
ליאת בן מאיר שלום
בשביל זה יש סיסמת כניסה.
אייל זנדברג
הסעיף הזה מפנה, הוא אומר נוהל כולל. כל תקנה ותקנה נותנת תוכן שאולי נותן מענה לשאלה שלך. צריך להסתכל בתקנה 10, לראות אם זה נותן מענה על השאלה שלך.
ניר יעקב גרסון
תקנה 4 קובעת את הנוהל. זה מן מדריך למשתמש לגבי איזה נושאים צריך בעל המאגר להתייחס בנוהל.
אלון בכר
גם במחשב ביתי אנשים נכנסים עם שם משתמש נפרד כשהם הולכים לאזורים אחרים. יש לך מייל שלך, יש לך שם משתמש שלך. לכל אחד יש את הפרופיל שלו.
אלעזר שטרן (הלשכה המשפטית)
האם יש מחשבה לפרסם סוג של תקנון מצוי, נוהל מצוי, איזו שהיא טיוטה או דוגמה, כדי שאדם מן היישוב, שהוא לאו דווקא מהגורמים הגדולים, ידע איך עושים דבר כזה?
ניר יעקב גרסון
בוודאי שכן.
אלעזר שטרן (הלשכה המשפטית)
5. מיפוי מערכות המאגר וביצוע סקר סיכונים. (א) בעל מאגר מידע יחזיק מסמך מעודכן של מבנה מאגר המידע וכן רשימת מצאי מעודכנת של מערכות המאגר, ובכלל אלה: (1) תשתיות ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע; (2) מערכות התוכנה המשמשות להפעלת מאגר המידע, לניהול המאגר ולתחזוקתו, לתמיכה בפעילותו, לניטור שלו ולאבטחתו; (3) תוכנות וממשקים המשמשים לתקשורת אל מערכות המאגר ומהן; (4) תרשים הרשת שפועל בה המאגר, הכולל תיאור הקשרים בין רכיבי המערכת השונים ומיקומם הפיזי של רכיבים אלה; (5) תאריך העדכון האחרון של המסמך ושל רשימת המצאי. (ב) המסמך המעודכן של מבנה מאגר המידע ורשימת המצאי יישמר כך שפרטים מהם יימסרו לבעלי הרשאה רק בהיקף הנדרש לצורך ביצוע תפקידיהם. (ג) במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל המאגר אחראי לכך שייערך סקר לאיתור סיכוני אבטחת מידע (להלן – סקר סיכונים); בעל מאגר המידע ידון בתוצאות סקר הסיכונים שיועברו לו, יבחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהן, ויפעל לתיקון הליקויים שנתגלו במסגרת הסקר, כלל שנתגלו; סקר סיכונים כאמור ייערך אחת לשמונה עשר חודשים לפחות. (ד) במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל המאגר אחראי לכך שייערכו מבדקי חדירות למערכות המאגר לבחינת עמידותן בפני סיכונים פנימיים וחיצוניים, אחת לשמונה עשר חודשים לפחות; בעל המאגר ידון בתוצאות מבדקי החדירות ויפעל לתיקון הליקויים נתגלו, כלל שנתגלו. (ה) ארגון שהוא בעל כמה מאגרי מידע, רשאי לקבוע את רשימת המצאי כאמור בתקנת משנה (א) במסמך אחד לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה וכן רשאי לקיים את החובות הקבועות בתקנות משנה (ב) ו-(ג) בסקר סיכונים או במבדק חדירות, לפי העניין, אחד לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת האבטחה.
גילי בסמן-ריינגולד
אחרי שבעל המאגר מיפה את המידע שיש לו, את סוגי המידע, את השימושים שהוא מתכנן לעשות, עכשיו אנחנו עוברים למיפוי של החומרה והתוכנה שיש לו, להבין מה יש לו, עם מה הוא עובד. כמו שאמרנו לגבי המידע שנדרש לעשות סדר ולהבין מה יש אצלו, זה בוודאי נכון גם לגבי מערכות חומרה ותוכנה. רק אז אפשר להעריך את הסיכונים, לראות איזה מערכות מיותרות יש, איזה מערכות מסכנות יש. ממי שנכלל בתקנת משנה (ב) אנחנו דורשים לא להסתפק במיפוי הזה, אנחנו דורשים לעשות סקר סיכונים. סקר סיכונים זה כלי מקצועי מוכר, ידוע, שבודק את הסיכונים הקיימים במאגרי המידע שלו, כאשר אחר כך הוא מבצע את העיבוד ולמידת הלקחים מהסקר הזה. זה דבר שבמערכות מידע הוא מאוד בסיסי. אפילו קיבלנו ביקורות שלוחות הזמנים שקבענו רחבים מידי, שצריך לצמצם אותם. כאן זה דרישות מינימום.
ליאת בן מאיר שלום
הן חלות רק לגבי רמת האבטחה.
אלעזר שטרן (הלשכה המשפטית)
דיברת על תדירות של אחת לשמונה עשר חודשים. מה מקובל מבחינה מקצועית לגבי העניין של התדירות? מה סדרי הגודל של העלויות של דבר כזה? האם סקר סיכונים צריך להיות משהו שמקיף כל פעם את הכל? ניקח גורם כמו בנק, כמו חברת ביטוח, שהמחשוב שלהם בהיקפים עצומים. האם סדרי הגודל האלה מאפשרים לעשות סקר סיכונים מלא לכל המאגרים שברשותם, או שהכוונה שלכם בתקנה הזאת שיהיה מדובר בסקר מקדמי? מה הכוונה שלכם בתקנה הזאת?
עומר פרידמן
כשעבדתי בבנק דיסקונט כיועץ חיצוני, שזה היה לפני 10 שנים. הייתי אחראי על תקציב של 10 מיליון שקלים בשנה לביצוע סקרי סיכונים, מבדקי חדירות. אם אנחנו פורסים את זה על שנתיים או על 18 חודשים, יש לך תקציב של 15 מיליון שקלים להוציא לחברות חיצוניות שיבצעו את הפעילות הזאת. ארגונים קטנים מבקשים הצעות מחיר באזור של עשרות אלפי שקלים בודדים. זה לפי כמות המערכות, סיבוך המערכות. סקר רוחבי לארגונים מאוד גדולים יכול להגיע למאות אלפי שקלים, אפילו למיליוני שקלים. אם לא היו שינויים במהלך השנה האחרונה או השנתיים האחרונות במערכות, כמובן שעלות הבדיקה תהיה קטנה וזניחה. אם התבצעו שינויים רבים, צריך לעשות בדיקה מקיפה. אם אף פעם לא עשית את הבדיקה, תצטרך לעשות בדיקה רוחבית. אחרי שנה או שנתיים אתה עושה רק דלתא, אתה לא חושף את הכל מחדש, שאז עלות הבדיקה יותר קטנה. אם אתה מתחזק כל השנה, עלויות הבדיקה מתכווצות.
אלעזר שטרן (הלשכה המשפטית)
נניח שעשיתי סקר מקיף שבדק את הכל. האם הפרשנות היא ששנה וחצי לאחר מכן אני אצטרך לעשות רק את הדלתא?
גילי בסמן-ריינגולד
הדלתא זה שני דברים. זה המערכות שהוספת וגם הסיכונים החדשים שיודעים עליהם בשוק.
אלעזר שטרן (הלשכה המשפטית)
הניסוח הזה הוא ניסוח שמחייב מחדש את הכל.
ליאת בן מאיר שלום
זה מסתמך על התורה המקצועית של סקר סיכונים.
דן חי
אני חושב שכל גוף צריך להחליט לעצמו אם הוא צריך לעשות או לא. זו אחריות שלו.
היו"ר רויטל סויד
אנחנו לא רוצים שזה יהיה פתוח.
דן חי
אם רק יהיה צריך לעשות את הדלתא, זה יהיה אחר כך פתח לתירוצים.
אלעזר שטרן (הלשכה המשפטית)
איך הם יפרשו את זה אחרי זה?
גילי בסמן-ריינגולד
בהרבה מקרים הפרשנות הזאת תהיה סבירה. כל מאגר לגופו, כמובן בשים לב לסיכונים שלו, בשים לב להיקף השימוש שלו, אם הוא עלה או ירד.
אלעזר שטרן (הלשכה המשפטית)
זה מבוסס על הסיכון המקצועי.
ליאת בן מאיר שלום
כל שנה וחצי חובה לעשות משהו. ההיקף של המשהו הזה הוא פרי של תובנות מקצועיות של מה נדרש אל מול מה שעשית לפני כן, אל מול הדברים שהשתנו מאז.
היו"ר רויטל סויד
זה לא ברור מהנוסח.
יהונתן קלינגר
יש לי הערה לגבי כך שהמסמך יימסר רק לבעלי הרשאה. אני רואה את התמונה בדיוק הפוכה. ברור שבגופים ציבוריים יש צורך להשקיף את המידע הזה כך שנהלי האבטחה לא רק שיהיו שקופים כלפי כל הארגון, שיהיו שקופים כלפי כולם. למה שהמסמך המעודכן של מבנה מאגר המידע ורשימת המצאי יימסרו רק לבעלי הרשאה?
עומר פרידמן
כי אז תאפשר לתוקף - -
היו"ר רויטל סויד
השאלה אם זה לא חושף ליותר סיכונים.
יהונתן קלינגר
Security Through Obscurity זה אנשים שמניחים שאם הם יסתירו מידע הם יוכלו לאבטח, אבל ההיפך.
היו"ר רויטל סויד
לא בבחינה של הסתרה, בבחינה של חשיפת הסיכון.
יהונתן קלינגר
אם אתה שקוף, אנשים יכולים לשתף פעולה איתך, לעזור לך למנוע סיכונים עתידים.
דן חי
אבל אז ידעו איפה הבטן הרכה שלך.
יהונתן קלינגר
זה בדיוק העניין. אם יש לך בטן רכה, אנשים יכולים לעזור לך להשתפר ולתקן את זה.
ניר יעקב גרסון
אם אתה חושף את מבנה המערכות, את הקשר ביניהן - -
יהונתן קלינגר
נניח שאני חברה שמספקת שירותי אבטחת מידע לקוסמטיקאיות. אני חב בחובה הכי חמורה. אני רוצה לבוא ולהציע לציבור תכנית שבה מתגמלים אנשים על זה שהם יחפשו אצלי פרצות אבטחה. הסעיף הזה מונע ממני.
עומר פרידמן
יש את זה היום בפייסבוק.
יהונתן קלינגר
פייסבוק עושה את זה, גוגל עושה את זה.
ניר יעקב גרסון
זה לא מונע ממך.
יהונתן קלינגר
זה מונע ממני להעביר את המערכות.
ניר יעקב גרסון
אם אתה פותח חופשי לגמרי ולא אוסר מראש את שיתוף המידע למי שעלול להזיק, אתה יוצר פריצה מאוד גדולה. את מה שאתה אומר הנוסח לא מונע.
יהונתן קלינגר
הוא כן מונע, כי הוא קובע שהמידע יימסר רק לבעלי הרשאה בהיקף הנדרש לביצוע תפקידם.
גילי בסמן-ריינגולד
אם אני לוקחת יועץ - -
יהונתן קלינגר
יועץ כן, אבל אם פייסבוק עושה תחרות - -
עומר פרידמן
פה מדובר בבדיקות שהן black box, כשאין לך שום ידע מוקדם על המערכות שנמצאות מאחורה.
יהונתן קלינגר
לא בהכרח.
עומר פרידמן
היה לנו אירוע מול משרד הפנים. מחובתם היה לפרסם את השדות שיש להם במאגר, לפרסם איזה שאילתות כל ארגון יכול לבצע. הם פרסמו מסמך מפורט מידי. הוא איפשר לתוקפים לדעת איזה שאילתות ניתן להריץ מול המאגר של משרד הפנים. ביקשנו מהם להסיר שם שדות. השדות שהם פרסמו היו עודפים. הם גם ביצעו את זה.
יהונתן קלינגר
אני חושב שלהגדיר איסור על העברה זה פוגע. יכול להיות שצריך את זה במאגרים מסווגים, ביטחוניים וכדומה. אני חושב שלא לאפשר לבעל המאגר להעביר את המידע הזה אם הוא רוצה להעביר, זה ללכת יותר מידי.
ניר יוגב
בחברות גדולות מדובר במיפוי תשתיות ומערכות חומרה, סוגי רכיבי תקשורת, מערכות תוכנה, תחזוקה וכו'. אנחנו מעריכים שהעבודה הזאת אצלנו תיערך שנה.
היו"ר רויטל סויד
האם יש לכם היום איזה סקר שאתם עושים?
ניר יוגב
המיפוי שנדרש מאיתנו פה לא קיים היום. אנחנו עושים סקר.
עומר פרידמן
דרך אגב, כשאתה עושה ספירת מלאי, אתה סופר את הרכיבים האלקטרוניים עד לרמת הכבל. אני לא חושב שזה פחות מספירת מלאי שאתה אמור לעשות כל שנה. אתה אמור לדעת מה יש לך.
היו"ר רויטל סויד
בואו נפריד את זה מספירת המלאי. באיזה תדירות אתם עושים את סקר הסיכונים הזה?
ניר יוגב
סקר סיכונים זה מיפוי של מערכות. מיפוי של מערכות בתצורה שבה אנחנו נדרשים פה עדיין לא קיים. לא מדובר על טבלה אחת של מאגרי מידע, גם לא על 10 או 20, מדובר על מאות רבות של טבלאות. חלקן נמצאות במערכות חדשות יותר, חלקן במערכות ישנות יותר. התהליך של המיפוי כפי שנדרש פה בתקנות הוא תהליך מאוד מאוד ארוך. אפשר לבצע את זה, אבל ברגע שקובעים 18 חודשים לעבודה שלפחות תיקח שנה, זה נשמע לנו - -
אלעזר שטרן (הלשכה המשפטית)
18 חודשים זה לגבי סקר סיכונים, לא לגבי רשימת המצאי.
ניר יוגב
מיפוי מערכות וביצוע סקר סיכונים מתבצעים יחד.
אלעזר שטרן (הלשכה המשפטית)
מה שאתה אומר עכשיו קשור לסעיף התחילה, לגבי כמה זמן צריך לתת לגורמים ליישם את התקנות האלו. 18 חודשים זה לגבי סקר הסיכונים, זה לא קשור לרשימת המצאי.
היו"ר רויטל סויד
ואם אתה מתייחס רק לסקר סיכונים, לא למיפוי, כמה זמן זה לוקח?
ניר יוגב
יכול להיות שכשהמיפוי הראשוני יסתיים ונצטרך לעשות רק את הדלתאות, 18 חודשים יספיקו.
ליאת בן מאיר שלום
היום אתם עורכים סקרי סיכונים, נכון?
ניר יוגב
כן.
ליאת בן מאיר שלום
באיזו תדירות?
ניר יוגב
אני לא יודע לענות על זה.
ליאת בן מאיר שלום
אתה מדבר על שני דברים שונים.
היו"ר רויטל סויד
ניר מעלה איזו שהיא נקודה. האם אפשר שאחרי המיפוי הראשוני לא נבקש מיד שיהיה סקר?
עומר פרידמן
כדי לבצע סקר את צריכה קודם למפות.
היו"ר רויטל סויד
זה מה שאני אומרת.
אלעזר שטרן (הלשכה המשפטית)
אני חושב שנצטרך לתת את הדעת על הדברים האלה כשנגיע לסעיף התחילה. אז נראה מתי כל אחת מהתקנות האלו תיכנס לתוקפה, כמה זמן יצטרכו הגופים השונים להיערך לכל אחד מהדברים האלה.
דן חי
האם גברתי מתכוונת רק לפעם הראשונה?
היו"ר רויטל סויד
אני מדברת רק על הפעם הראשונה.
גילי בסמן-ריינגולד
זה מאוד מטריד שיש חברות גדולות שלא יודעות למפות את כל מה שיש להן.
ניר יוגב
לא אמרנו שאנחנו לא יודעים. זה שזה לא ממופה עדיין לא אומר שזה לא מאובטח. זה מאובטח ברמה הכי גבוהה שיש. אם את שואלת אותי אם יש לי טבלה מסודרת שמארגנת את הכל בדיוק כפי שאתה רוצים בתקנות, התשובה היא לא.
ניר יעקב גרסון
אני לא בטוח שאין לכם.
ניר יוגב
אני בטוח שאין. זה לא קיים באופן שבו אתם מבקשים בתקנות.
ליאת בן מאיר שלום
אפשר לדבר על זה בתקנה של התחילה.
דן חי
בסעיף (ג) הייתי כותב שהסקר ייעשה על ידי גורם חיצוני, לא הגוף עצמו. בתקנה (ד) הייתי כותב שמדובר בחדירה פיזית וחדירה טכנולוגית. אני מפנה למכתב שהגשנו לוועדה לפני שהתחילו לדון בתקנות. פירטנו את הכל בסעיף 9 למכתב.
רחל יעקובי
הבנקים נתונים לרגולציה של הפיקוח על הבנקים. ההנחיות שלנו הרבה יותר מחמירות. אנחנו עושים הבחנה בין סקר הערכת סיכונים, לבין סקר סיכונים שהוא מבחינתנו סקר בטיחות או סקר פגיעויות. סקר הערכת הסיכון זה להעריך את הסיכון של התהליך, של המערכת, של מאגר המידע וכו'. אגב, הערכת הסיכונים הזאת נסמכת, בין היתר, על תוצאות סקר הבטיחות שאני מניחה שהתקנה מכוונת אליו. יש סקר של סיכוני סייבר כל שנה. הסקרים שמוזכרים כאן הם סקרים שנועדו לבדוק את אפקטיביות הבקרות, לראות אם הבנק מטמיע בקרות, אמצעי אבטחה. לזה נועדו הסקרים האלה.

לגבי ההיבטים של מבדקי חדירה. אנחנו לא אמרנו לבנק 18 חודש. 18 חודש לעשות מבדקי חדירה, לדעתי זאת תדירות מאוד נמוכה. אם יש מאגר מידע שבו יש סיכון מאוד חמור, התדירות צריכה להיות הרבה יותר גבוהה. הבנקים עושים את זה מידי מספר שבועות, לפעמים כמה מבדקי חדירה במהלך חודש ימים. ההוראות שלנו מחייבות לעשות את הסקרים האלה לא רק באופן תדיר או לפי תדירות שנקבעה, אלא גם באירועים, גם כאשר יש שינויים מהותיים, כאשר שינויים טכנולוגים. אנחנו מדברים על מערכת טכנולוגיית המידע, שזאת מערכת מאוד דינאמית, שזאת מערכת שיש בה שינויים ארגוניים. הסקרים האלה, על פי הנחיות שלנו, מחייבים את הבנקים להיערך במצב של שינויים, למשל במערכת חדשה, או אם חלו שינויים מהותיים במערכת וכן הלאה.
רפאל פרנקו
יש בלבול בין המושגים. סקר סיכונים בודק את הסיכונים על הנכסים הקריטיים כפי שמגדיר הארגון. כל ארגון יכול להגדיר אותם בצורה שונה. הוא מגדיר את הסיכונים הקריטיים. הוא מנסה לתת להם מענים באמצעות בקרות ומה שסביב. במבדק חדירה אתה לוקח דרך פעולה אפשרית של תוקף, אתה מנסה להיכנס דרך הנתיב הזה כדי לסגור אותו. 18 חודשים זה באזור הגבולי. עצם הביצוע של סקר סיכונים יכול להיערך כמעט שנה. עד שאתה לוקח את הליקויים, מכין אותם, מביא אותם חזרה, רוכש את מה שאתה רוצה, מטמיע את זה בארגון, זה תהליך שב-18 חודשים לחלק גדול מהארגונים עשוי להיות על הסקאלה של סקר סיכונים. המילה "דלתא" תיתן מענה.
רחל יעקובי
הדלתא זה לא רק מה שלא נבדק. יכול להיות שנבדק, רק הסיכונים השתנו.
רפאל פרנקו
או בתנאי שלא השתנה.
ליאת בן מאיר שלום
זה בדיוק הפוך ממה שנאמר לפני רגע.
רפאל פרנקו
רחל דיברה על מבדקי חדירה.
היו"ר רויטל סויד
זה מה שהיא עושה.
רפאל פרנקו
רחל מדברת על מבדקי חדירה, לא על סקרי סיכונים. מבדקי חדירה נעשים כל הזמן. אתה בא כתוקף, מנסה לעשות סימולציה איך אתה נכנס לבנק או לארגון. זה לא קשור לסקר סיכונים. סקר סיכונים הוא אירוע הרבה יותר תשתיתי. אם נישאר בסקר הסיכונים שרמו"ט דרשה, צריך לכתוב את המילה "דלתא" ואת המילים "לא השתנה". זה נותן מענה יפהפה לסעיף הזה.
אלון בכר
אני לא חושב שיש כאן ויכוח. אנחנו מדברים פה על רף מינימום. ברור שבמקומות עם מידע מאוד מאוד קריטי, אישי ורגיש המינימום הזה לא מספיק. אף אחד מאיתנו לא רוצה שהארגון יעשה את זה בלופ.
היו"ר רויטל סויד
השאלה אם ההערה של רפאל פרנקו, שהיא קצת מתכתבת עם מה שניר מסלקום אמר ועם מה שאלעזר אמר, יכולה לעשות איזה שהוא חידוד בתקנות.
ליאת בן מאיר שלום
השאלה איך תגדירו את זה. צריך הגדרה למה זה דלתא, כי דלתא זה לא רק רכיבים חדשים שנכנסו, זה אולי שינוי בתצורה, סיכונים חדשים. נצטרך הגדרה נוספת.
גילי בסמן-ריינגולד
יש את הארגונים שירצו לעשות רק את הדלתא, יש ארגונים שלא. אני לא חושבת שזה נחוץ. גם התדירות של 18 חודש היא תדירות סבירה.
יורם ביטון
עשינו את ההפרדה בין מבדקי חוסן לסקרי סיכונים. אני מתייחס לבדיקות החוסן. ביטוח לאומי עושה בדיקות חוסן כל הזמן.
היו"ר רויטל סויד
שזה החדירות.
יורם ביטון
נכון. חוזק של מערכת תלוי בנקודה החלשה שלה. אם אנחנו בודקים את בסיס הנתונים עצמו, יכול להיות שהוא יהיה מוגן בצורה מצוינת, אבל אם אפשר יהיה לחדור מאיזה שהוא מחשב בפינה שיהיה לו חיבור לאותו מאגר מידע, אז לא עשינו כלום. צריך להגדיר מה בודקים - האם בודקים רק את המאגר, או בודקים את המערכת כולה. חייבים לעשות את ההפרדה בין מבדקי חוסן לסקרי סיכונים.
ליאת בן מאיר שלום
יש הבחנה. תקנה (ג) ותקנה (ד) הן שתי תקנות שונות.
יורם ביטון
במיוחד בזמני הבדיקות. אלה שני דברים שונים לגמרי.
ליאת בן מאיר שלום
יש פה שתי תקנות שונות.
גילי בסמן-ריינגולד
כל אחד יוכל לעשות מבדקי חוסן בתדירות הרבה יותר גבוהה.
ליאת בן מאיר שלום
אולי נגיד שזה יהיה בדרך מקובלת. הדרך המקובלת מכניסה את אותן תובנות מקצועיות.
דן חי
אני חושב שהמילים "דרך מקובלת" מיותרות, כי ברור שהוא צריך לעשות את זה בדרך מקובלת. זה רק יכול להטעות, כי יהיה ויכוח מה זו דרך מקובלת. זה פתח לגורמים לצמצם דברים, להתחמק מבדיקות.
אלעזר שטרן (הלשכה המשפטית)
סקר הסיכונים הוא הדרך המקובלת.
דן חי
דרך מקובלת זה פתח לוויכוח על פרשנות. לא הייתי מוסיף מילים כאלו בחקיקה.
ליאת בן מאיר שלום
השתמשנו בתיבה הזאת בהקשרים נוספים, אתם תראו בהמשך התקנות.
דן חי
זה הקשרים שמסבירים למה הכוונה, זה לא סתם בעלמא.
ליאת בן מאיר שלום
אנחנו לא חושבים שזה דבר חיוני. אני מנסה לתת מענה לקושי או לחשש שהעלתה חברת הכנסת סויד.
היו"ר רויטל סויד
נעשה על זה חשיבה נוספת.
אלעזר שטרן (הלשכה המשפטית)
6. אבטחה פיזית וסביבתית. (א) בעל מאגר מידע יבטיח כי המערכות המפורטות בתקנה 5(א)(1) יישמרו במקום מוגן, המונע חדירה וכניסה אליו בלא הרשאה, והתואם את אופי פעילות המאגר ורגישות המידע בו. (ב) בעל מאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, ינקוט אמצעים לבקרה ולתיעוד של הכניסה והיציאה מאתרים שבהם מצויות המערכות המפורטות בתקנה 5(א)(1) ושל הכנסה והוצאה של ציוד אל מערכות המאגר ומהם.
גילי בסמן-ריינגולד
אנחנו מדברים על אבטחה פיזית, על איפה המערכות יושבות. צריך לוודא שזה יהיה במקום מוגן, לבדוק שיש כניסה לעובדים מורשים. אחר כך, כשאנחנו עוברים לרמה הבינונית והגבוהה, גם לנקוט באמצעי בקרה ותיעוד. הסעיף הזה לא חל על אותו מאגר יחיד.
אלעזר שטרן (הלשכה המשפטית)
6(א) חל על מאגר יחיד. מה המשמעות של 6(א) לגבי בעל מאגר יחיד? אם מדובר על מידע שנמצא בפלאפון שלי, אסור לי לתת לילדים שלי לשחק בפלאפון?
אייל זנדברג
נכון.
גילי בסמן-ריינגולד
אם יש לי מחשב ביתי שהילדים משחקים עליו, את אותו קובץ של המאגר אני אשמור בסיסמא.
ניר יעקב גרסון
תלוי ברגישות שלו. אם יש לך מידע מאוד רגיש, אתה לא תיתן לשחק.
היו"ר רויטל סויד
מה אם זה מחשב ביתי שנמצא בבית?
ניר יעקב גרסון
אם אתה פסיכיאטר, אתה לא תיתן לילדים.
היו"ר רויטל סויד
אני חושבת שהקוסמטיקאית יכולה.
ניר יעקב גרסון
יכול להיות שהקוסמטיקאית יכולה. צריך לנתח את רגישות המידע.
ליאת בן מאיר שלום
השאלה מה רגישות המאגר הזה.
עומר פרידמן
אם יש שם תמונות של לקוחות לא לבושים, אולי לא כדאי.
אלון בכר
אנחנו לא מדברים על המידע שלך. אנחנו לא מכתיבים לבן אדם איך לשמור על המידע שלו, איך להתעסק עם המידע שלו. אנחנו מדברים על אדם שמחזיק מידע של אחרים. אם הוא מחזיק מידע של אחרים, אז יש מגבלות. אם הקוסמטיקאית שומרת תמונות, שומרת מידע רגיש, שומרת תיעוד מאוד אינטימי, אולי החברים של הילדים שלה לא יכולים להיכנס למחשב בו נשמר הקובץ הזה.
אלעזר שטרן (הלשכה המשפטית)
אני חושב שאין מחלוקת סביב השולחן על החשיבות של שמירת המידע. האם אתם חושבים שמבחינה מעשית זה יקרה, או שמא זה יהיה אות מתה? האם אותה קוסמטיקאית תדע שהיא צריכה לעשות את זה? הדבר הזה הולך לחול על מגוון מאוד רחב של גורמים. מה המשמעות?
אלון בכר
ברור שזה תהליך. ההטמעה של התקנות האלו, ההסברה סביבן, המדריכים שנפרסם, ההנחיות שנפרסם, הכל זה תהליך שייקח זמן. המצב הוא לא טוב בארץ בהקשרים אלה. אנחנו מנסים להביא אותו למצב יותר טוב מכל הבחינות. זה ייקח זמן. אנחנו נסביר, נפרט, ניתן כלים, כאשר בסוף גם נאכוף. לא נתחיל לאכוף על הקוסמטיקאית את התקנה לפני שהבאנו לידיעת הציבור בכל דרך אפשרית, כולל הסברה לא משפטנית ולא מאוד טכנולוגית, איך לעשות את הדברים ומה צריך. יהיה על זה פרסום, יהיו על זה ימי עיון, תהיה על זה תקשורת, יופצו הנחיות, הדברים יעלו באתרים הנכונים. זה ייקח זמן. בסופו של דבר יהיה פיקוח, תהיה אכיפה שלנו שתתבצע במסגרת תכנית עבודה.
דן חי
מי שיש לו מידע אישי צריך לשמור עליו, אין ויכוח על זה.
ליאת בן מאיר שלום
אם כל העסק שלה נבנה על המחשב הזה, אז היא רוצה לשמור עליו בלי קשר לפרטיות. חשוב לה לשמור על המידע הזה, זה העסק שלה. אם יקרה משהו למידע, גם בהיבט של ניהול העסק תהיה בעיה. הדברים משתלבים, לא סותרים.
רפאל פרנקו
מה שאלעזר ניסה לכוון אליו זה רמות ההגנה. אני מסכים עם אלון שזה אחר כך יהיה בהנחיות ספציפיות ומפורטות. אחרי זה נצטרך לפרט את רמת האמצעים, את התחולה שלהם.
יהונתן קלינגר
מניעת חדירה היא רק על הפרטים ב-5(א)(1), רק על תשתית ומערכות חומרה, סוג רכיבי תקשורת ואבטחת מידע, לא על מערכות התוכנה המשמשות להפעלת המידע. למה?
היו"ר רויטל סויד
למה חשוב לחדד את זה?
יהונתן קלינגר
אני רוצה להבין מה עמד מאחורי זה. צריך להבטיח שזה לא ימנע מצב שבו יש גישה למאגר מהרשת. אם יש לי מערכת לניהול לקוחות, שלא ימנע מלקוחות שרוצים להזמין תור אצל רופא למלא פרטים באתר אינטרנט. זו גישת כתיבה למאגר, לא גישת קריאה.
אלעזר שטרן (הלשכה המשפטית)
יהונתן, אתה מתבלבל בין שני מישורים. תקנה 6 מדברת על אבטחה פיזית, היא מתייחסת ל-5(א)(1). הדוגמה שנתת מתאימה יותר לתקנה 14, שמדברת על אבטחת תקשורת מרחוק, לא כשאתה ניגש לכונן הפיזי שיושב במקום מסוים.
יהונתן קלינגר
לא בהכרח. אם אני מאחסן בענן, אין לי שרת "פיזי".
עומר פרידמן
אתה עדיין מאבטח את תשתית התקשורת.
ניר יעקב גרסון
אתה צריך לקנות ממי שמוודא.
אלעזר שטרן (הלשכה המשפטית)
7. אבטחת מידע בניהול כוח אדם. (א) לא ייתן בעל מאגר מידע גישה למידע המצוי במאגר ולא ישנה היקף הרשאה שניתנה, אלא אם נקט אמצעים סבירים ,המקובלים בהליכי מיון עובדים ושיבוצם, כדי לברר שאין חשש כי בעל ההרשאה אינו מתאים לקבלת גישה למיד המצוי במאגר; אמצעים כאמור יינקטו בשים לב לרגישות המידע שבמאגר ולהיקף הרשאות הגישה לתפקיד שמיועד לו הנוגע בדבר, כאמור בתקנה 8. (ב) בטרם יקבלו גישה למידע ממאגר המידע או לפני שינוי היקף הרשאותיהם יקיים בעל מאגר מידע הדרכות לבעלי הרשאות בנושא החובות לפי החוק ותקנות אלה, וימסור להם מידע אודות חובותיהם לפי החוק ונוהל האבטחה. (ג) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה ,יקים בעל המאגר פעילות הדרכה תקופתית לבעלי הרשאות שלו, בדבר מסמך הגדרות המאגר, נוהל האבטחה והוראות אבטחת המידע לפי החוק ולפי תקנות אלה, בהיקף הנדרש לצורך ביצוע תפקידיהם, ובדבר חובות בעלי ההרשאות לפיהם; הדרכה כאמור תיערך אחת לשנתיים לפחות, ולגבי הסמכה של בעל הרשאה לתפקיד חדש – סמוך ככל האפשר למועד תחילת הסמכתו.
ליאת בן מאיר שלום
התקנה הזאת עוסקת בגורם האנושי. בהרבה אירועים של אבטחת מידע רואים שהבעיה או הקושי נבעו מהעבודה של עובדי הארגון. החובות שקבועות נוגעות למי שאתה נותן לו הרשאה. אחר כך יש את הנושא של הדרכות. התקנה מבקשת לקבוע שלפני שנותנים הרשאת גישה לעובד או לגורם בארגון, בעל ההרשאה יבדוק בדרך המקובלת שהעובד מתאים למתן גישה. זו פונקציה של רמת הרגישות של זה. לפעמים בודקים המלצות, לפעמים משוחחים עם מעסיקים קודמים, לפעמים יותר מזה, תלוי באיזה סוג מאגר מדובר. נוסף לכך הרכיב של הדרכות, שזה גם לגבי החובות לפי התקנות וגם לגבי היכרות נוהל האבטחה.
אלעזר שטרן (הלשכה המשפטית)
מבחינה מעשית לא כל כך ברור לי מה המשמעות של התקנה הזאת.
ליאת בן מאיר שלום
שכחתי לציין שיש הוראת מעבר לגבי עובדים קיימים בתקנה 23.
אלעזר שטרן (הלשכה המשפטית)
כשאתה מראיין אדם לתפקיד, איך בדיוק תבדוק את התאמתו מבחינת היכולת שלו לקבל הרשאה או לא? זה משהו קצת אמורפי. אתה בודק באופן כללי את הבן אדם. הנקודה של היכולת קצת עמומה בעיני. הדבר מתחדד עוד יותר כשמדובר בעובדים קיימים. אם יש לך עובד שעובד בארגון 10 שנים, מה אתם מצפים שיבדקו? נניח שרוצים להרחיב לו את ההרשאה, או לתת לו הרשאה שלא הייתה לו. מה אתם מצפים שיבדקו אצל בן אדם כזה? לא מדובר על אדם חדש שאתה מקבל לעבודה, שאז אתה יכול להתקשר למעביד הקודם שלו. מדובר באדם שעובד אצלך במערכת 20 שנה. השאלות שלי לא נובעות מערעור על הקונספט, אלא לנסות להבין מה המשמעות המעשית שלו, איך מפעילים דבר כזה.
ניר יוגב
יש נהלים, אנשי ביטחון ואנשי אבטחת מידע שיודעים לעשות את הבדיקות לכל מי שמבקש או נדרש מתוקף תפקידו לגשת למאגרי מידע. אני חושב שהנוסח הקודם היה בסדר. הנוסח הנוכחי שמשנה מעובדים לבעלי הרשאה לא ישים בעליל. נניח חברה בוחרת להציב מאגר נתונים שלה בחברה הכי טובה בעולם לאבטחת מידע. מה מצפים? נניח שאותה קוסמטיקאית בחרה לשים את מאגר המידע שלה בחברה מאוד מוכרת וידועה בחו"ל. מה מצפים, שאותו גוף יעשה הדרכות לעובדים של אותה חברה בחו"ל? זה לא ישים.
ניר יעקב גרסון
לא מדובר פה על העובדים של המחזיק.
אלעזר שטרן (הלשכה המשפטית)
הזכרתי בתחילת הדיון שיש שתי הגדרות שחלפנו על פניהן. אחת, הגדרה של מאגר יחיד, והשנייה, הגדרה של מי שהיה עובד והפך להיות בעל הרשאה. לא ליבנו את זה עד הסוף. יש שינויים בהגדרה שאמורים לתת מענה למה שדיברת.
ליאת בן מאיר שלום
העובדים של המחזיק הם לא העובדים של בעל המאגר. בעל המאגר לא אמור להדריך את עובדי המחזיק.
אלעזר שטרן (הלשכה המשפטית)
זה נאמר בהגדרה של בעל הרשאה.
ניר יעקב גרסון
העיר אלעזר שלפעמים יש אדם שעובד שנים רבות בארגון. יכול להיות שלא בדקת את האמינות שלו לאורך כל השנים האלו. זה היה בסדר אם התפקיד שלו היה פעוט, או אם התפקיד שלו היה כרוך בגישה מועטה למידע רגיש. לפעמים אתה נותן הרשאת גישה למישהו שיש לו בעיות של אופי, יש לו עבר פלילי. אלה לא קריטריונים שאתה בודק כשאתה מקבל אדם לעבודה. יכול להיות שהאדם יהיה איש מכירות מצוין אבל לא אמין. לפני שאתה נותן לו גישה למידע מאוד רגיש או לכמות גדולה של מידע שהרגישות נובעת מהכמות, אתה צריך לבחון את המינימום הזה.
עומר פרידמן
היה מקרה עם עובד בחברת נתוני אשראי שבעקבות מצבו הכלכלי הוא התחיל למחוק מידע תמורת כסף.
אלעזר שטרן (הלשכה המשפטית)
האם זה אומר שאתה צריך לבדוק את המצב הכלכלי של כל אדם שאתה נותן לו גישת הרשאה?
עומר פרידמן
אתה צריך להיות מאוד קשוב לאנשים.
אלעזר שטרן (הלשכה המשפטית)
אני לא חושב שזה נכנס לאמצעים מקובלים בקבלת עובדים לעבודה.
ניר יעקב גרסון
השאלה איזו רמת הגדרה. בחוק המאגר הביומטרי צריך סיווג ברמה הכי גבוהה לגישה מסוימת. צריך לבדוק. אולי תשלח אותו למבחני אמינות אם זו הרשאת גישה מאוד רגישה. יש כל מיני סוגים של דברים. אפשר לבקש המלצות, אפשר לשאול מעבידים קודמים.
ליאת בן מאיר שלום
לפעמים יש חפיפה בין תהליכים כאלה לתהליכים שנעשים במסגרת של סיווג. אם אני עוברת מהתפקיד הנוכחי שלי בתוך משרד המשפטים לרשות לאיסור הלבנת הון, כאשר אני מתוקף התפקיד שלי שם ניגשת למאגר המידע של הרשות לאיסור הלבנת הון, אז כן, זה רכיב שצריך לבדוק אותו לגביי.
אלעזר שטרן (הלשכה המשפטית)
אתם נותנים דוגמאות שמאוד קל להתחבר אליהן. אני מכוון לדוגמאות קצת יותר פרוזאיות. כשרופא שיניים מראיין מישהו כדי שיהיה מזכיר שלו, הוא צריך לבדוק את כישורי המזכירות שלו.
ניר יוגב
תשאל את המעסיק הקודם למה פיטרו אותו.
אלעזר שטרן (הלשכה המשפטית)
אני לא מבין איך אני בוחן את ההיבט של אבטחת המידע פה. אני אתקשר למעביד הקודם שלו כדי לדעת אם הוא עובד טוב, לא עובד טוב.
אלון בכר
תבדוק גם אם הוא הוציא את מאגר המידע שלו מהמעביד הקודם. בעת שאתה מראיין אותו אתה צריך להסביר לו שיש מידע רגיש, שהוא צריך לשים לב שזה מידע של אחרים.
אלעזר שטרן (הלשכה המשפטית)
מבחינה מעשית מאוד קשה להבין מה רוצים.
ניר יעקב גרסון
השאלה שלך מוכיחה את הצורך להפנות זרקור על המעסיקים כדי שישאלו שאלות גם בנושא הזה. יכול להיות שלצורכי ביצוע ותפעול לא איכפת למעסיק רמת האמינות של העובד, חשובים לו הביצועים שלו, אבל אם הוא נותן גישה למידע של אחרים, הוא צריך לחשוב גם על זה. אם זה יהיה כתוב בתקנות, המעבידים יבינו שהם צריכים לבדוק גם את זה לפני שהם נותנים גישה למידע רגיש.
יהונתן קלינגר
כתוב שזה בהתאם להליכים מקובלים.
אייל זנדברג
אלעזר, האם אתה מכוון לזה שזה מיותר, שזה לא מפורט מספיק, שזה לא ניתן לאכיפה? יש פה צורך להבהיר, יש פה צורך לשנות את המציאות. האם אתה אומר לא לכתוב את זה כי אנשים לא יעשו את זה, כי אנשים לא יבינו? מה אתה מציע שנשפר?
אלעזר שטרן (הלשכה המשפטית)
אין לי כרגע הצעה קונקרטית. קשה לי לראות איך אני כמעביד מיישם את זה.
אלון בכר
סקרים שנערכים, שאלונים שנערכים, גם פנימיים וגם חיצוניים, מגלים שאנשים שעובדים בכל מיני ארגונים וחשופים למידע אישי שהוא לא שלהם, עושים שימוש אישי לרעה במידע שהם יכולים להגיע אליו. זו תופעה שכל מי שבודק את האזורים האלה מודע שהיא קיימת. האם זה לא מאוד מאוד חשוב שמעסיק יביא לתשומת לב העובדים שזה דבר שהוא עבירה על החוק, שזה דבר שהוא אסור? האם לא צריך שבהכשרה, בקליטה, בהדרכה יהיה ברור שכשאתה מתעסק עם מאגר מידע אישי של אנשים אחרים אסור לך לעשות בו שימוש, אסור לך להוציא ממנו דברים, אסור לך למכור אותו לחוקרים פרטיים? זה די בסיסי. לא להגיד את זה זה לא לדבר על הבסיס. אם אתה שואל איך זה יקרה בפועל, איך זה יקרה בדיוק, אז כפי שכשאתה מקבל אדם לעבודה אתה בודק שיש לו כישורי ניהול ומזכירות, כך אתה בודק שהוא איש ישר ואמין, כך אתה בודק שאין לו אישיות בעייתית או רקע בעיתי אם תיתן לו גישה למידע. זה ככה בכל דבר. אי אפשר ברמה של תקנות להגיד עד הסוף מה תבדוק, אבל ברור מה רוח הדברים. כשאתה מתעסק במידע של אחרים, בכסף של אחרים, אז יש רגישויות מיוחדות, לכן אתה תדאג שהעובדים שנוגעים בזה יהיו האנשים שמתאימים לגעת בדברים האלה.
אלעזר שטרן (הלשכה המשפטית)
נניח שתפקח על גוף כזה. מה תבדוק אצלו?
גילי בסמן-ריינגולד
את תהליך המיון.
אייל זנדברג
אם הוא נתן את הדעת לדבר הזה. כמו שהוא בודק שלא יגנבו ממנו, כך הוא צריך לבדוק - -
אלעזר שטרן (הלשכה המשפטית)
הוא בודק אם הוא איש אמין באופן כללי. זה לא קשור להיבטי אבטחת מידע. אני בודק אם אדם אמין או לא אמין.
יהונתן קלינגר
יכול להיות שבמוסך יבקשו מכתב המלצה מהמעביד הקודם, במשרד עורכי דין יבקשו משהו אחר, ובגוף כמו בנק יבקשו פוליגרף. התהליכים פה, גם אם הם לא מושלמים, מייצרים תהליך מחשבתי שישנה את כל הדרך שבה מתעסקים במידע. מספיק שיהיו את התהליכים האלה כדי להגביר את הידע הציבורי. אם זה סביר, זה סביר. רק שמחר לא יגידו לנו שצריך לשלוח את כל העובדים לפוליגרף כי התקנה הזאת יותר מידי ספציפית.
אלון בכר
אף אחד לא יגיד את זה.
דן חי
צריך לזכור ש-85% מהמקרים שמידע דלף היה בגלל שעובדים הדליפו אותו, אם בכוונה או בגלל טעויות שהם עשו. התקנה הזאת מאוד אקוטית. אני חושב שהיא במקום. אם מעביד מעסיק אנשים עם גישה למידע, צריך שתחול עליו חובה למיין אותם נכון. ככל שהמידע יהיה יותר רגיש, כך החובה תהיה יותר חזקה.
ניר יוגב
אם יש הסכמה בין כל האנשים שיושבים סביב השולחן שארגון שמחזיק במאגר מידע לא צריך לעשות הדרכות לצד ג' שהנתונים נמצאים אצלו, למה לא מוציאים נוסח שמבהיר את זה?
ליאת בן מאיר שלום
הנוסח הקיים מבהיר את זה. בעלי הרשאה של מחזיק לא נחשבים בעלי הרשאה של בעל המאגר.
ניר יעקב גרסון
מי שמזמין צריך לוודא שהוא מתקשר עם ארגון שעוסק בזה.
ליאת בן מאיר שלום
החובה חלה לגבי ההרשאות שלו.
אלעזר שטרן (הלשכה המשפטית)
8. ניהול הרשאות גישה. (א) בעל מאגר מידע יקבע הרשאות גישה של בעלי הרשאות למאגר המידע ולמערכות המאגר, בהתאם להגדרות תפקיד; הרשאת הגישה לכל תפקיד תהיה במידה הנדרשת לביצוע התפקיד בלבד. (ב) בעל מאגר מידע ינהל רישום מעודכן של תפקידים, הרשאות הגישה שניתנו להם, ושל בעלי ההרשאות הממלאים תפקידים אלה (להלן – רשימת ההרשאות התקפות).
גילי בסמן-ריינגולד
זה שיש מאגר עם אפשרות גישה אליו לא אומר שכל אחד צריך את הגישה לכל המאגר, אלא כל אחד לפי ההיקף שדרוש לו לצורך התפקיד. התקנה הזאת קיימת כבר היום במסגרת תקנה 3 לתקנות הגנת הפרטיות (תנאי החזקת המידע, שמירתו וסדרי העברת מידע בין גופים ציבוריים). יש חובה בהקשר של הרשאת גישה והארכת הרשימה המעודכנת של מורשי הגישה לפי הרשאות הכניסה השונות. אין בזה שום חידוש.
יהונתן קלינגר
אני לא רואה פה גריעה של הרשאות גישה כשאדם חדל להיות בעל גישה.
ליאת בן מאיר שלום
זה נמצא בתקנה 9(ג).
אלעזר שטרן (הלשכה המשפטית)
9. זיהוי ואימות. (א) בעל מאגר מידע ינקוט אמצעים מקובלים בנסיבות העניין ובהתאם לאופי המאגר וטיבו, כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות התקפות. (ב) במאגר מידע שחלה עליו רמת האבטחה הבינוני תאו הגבוהה – (1) אופן הזיהוי, ייעשה ככל הניתן על בסיס אמצעי פיזי הנתון לשליטתו הבלעדית של המורשה; היה אופן הזיהוי מבוסס על סיסמאות, יתייחס הנוהל גם לחוזק הסיסמה, מספר הניסיונות השגויים, ותדירות החלפת הסיסמאות שתיעשה בהתאם לתפקיד מורשה הגישה ,ובכל מקרה לתקופה שלא תעלה על שישה חודשים; (2) ייקבעו בנוהל האבטחה גם הוראות לעניין האמצעים כאמור בתקנת משנה (א), ובכללן בנושאים אלה: (א) אופן הזיהוי; (ב) ניתוק אוטומטי לאחר פרק זמן של אי פעילות; (ג) אופן הטיפול בתקלות הקשורות באימות זהות. (ג) בעל מאגר מידע ידאג לביטול ההרשאות של בעל הרשאה שסיים את תפקידו ובמידת האפשר לשינוי סיסמאות למאגר ולמערכות המאגר, שבעל ההרשאה עדוי היה לדעת, מיד עם סיום תפקידו של בעל ההרשאה.
ליאת בן מאיר שלום
9(ג) זאת תקנה בהקשר של ביטול הרשאות. 9(א) אומרת משהו מאוד בסיסי לגבי נקיטת אמצעים, לראות שהגישה היא של מישהו מורשה גישה. יש כל מיני דרכים לעשות את זה. כשמדובר במאגר מידע שהוא ברמת האבטחה הבינונית או הגבוהה, יש דרישה מחמירה יותר שבאה לידי ביטוי ב-9(ב)(1). אם זה על סיסמאות, יש התייחסות לסיסמא חזקה ולתדירות החלפתה.
ניר יעקב גרסון
כמו הרבה דברים אחרים בתקנות, גם הדרישות המחמירות האלו הן לגמרי סטנדרט, הן לא מחדשות כלום.
אלעזר שטרן (הלשכה המשפטית)
10. בקרה ותיעוד גישה. (א) במערכות של מאגר מידע אשר חלה עליו רמת האבטחה הבינונית או הגבוהה ינוהל מנגנון תיעוד אוטומטי שיאפשר ביקורת על הגישה למערכות המאגר (בתקנה זו - מנגנון הבקרה), ובכלל זה נתונים אלה: זהות המשתמש, התאריך והשעה של ניסיון הגישה, רכיב המערכת שאליו בוצע ניסיון הגישה, סוג הגישה, היקפה, ואם הגישה אושרה או נדחתה. (ב) מנגנון הבקרה לא יאפשר, ככל הניתן, ביטול או שינוי של הפעלתו; מנגנון הבקרה יאתר שינויים או ביטולים בהפעלתו ויפיץ התראות לאחראים. (ג) בעל מאגר מידע יקבע נוהל בדיקה שגרתי של נתוני התיעוד של מנגנון הבקרה, ויערוך דו"ח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן. (ד) נתוני התיעוד של מנגנון הבקרה יישמרו למשך 24 חודשים לפחות. (ה) בעל מאגר מידע יידע את בעלי ההרשאות במאגר בדבר קיום מנגנון הבקרה למערכות המאגר.
ליאת בן מאיר שלום
מדובר במנגנון תיעוד אוטומטי. בהרבה מאוד מקרים הוא חלק ממערכת ההפעלה. לא מדובר בהכרח במשהו שצריך להוסיף או לרכוש. הרעיון זה שאפשר כל העת לעקוב אחר כניסות לא מורשות, אחר ניסיונות שנדחו, אחר כניסות שצלחו, הכל כדי לבדוק אם היו כשלים. 10(ה) זה יידוע בעלי הרשאות על עצם זה שזה קיים.
עומר פרידמן
ברוב המערכות מגיע תיעוד אוטומטי. לפעמים אני רוצה לראות מי נכנס, מתי נכנס. זה תיעוד שבדרך כלל לא מופיע, הוא לא מופעל במערכות.
אלעזר שטרן (הלשכה המשפטית)
הוא קיים במערכות windows?
עומר פרידמן
הוא קיים ב-windows. הוא לא מופעל.
אלעזר שטרן (הלשכה המשפטית)
זה לא דורש לרכוש תוכנות?
עומר פרידמן
זה לא דורש לרכוש. קשה לנו מאוד לתחקר את האירוע אם לא היה את המידע הזה. אין פה דרישה שדורשת עלות כלכלית. העלות הכספית היא אם רוצים להפעיל מערכת שאוספת את כל המידע הזה למקום מרכזי, מנתחת אותו ומתריעה אחרי זה אם חל איזה אירוע חריג, איזה אירוע אבטחתי בחוץ או בפנים. שם העלות. התיעוד לא אמור לעלות.
ניר יוגב
יש מצבים שבהם בסיסי נתונים מסוימים סגורים לגישה של משתמשים, למעט אדמיניסטרטורים וכו', אבל הם פתוחים לגישה של יישומים. אנחנו חושבים שנכון להוסיף את המילים "או היישום" אחרי המילים "זהות המשתמש" בסעיף 10(א).
עומר פרידמן
היישום נמצא תחת שם משתמש כלשהו.
ניר יוגב
לא נכון. לבסיסי הנתונים יש חומה סביבם.
היו"ר רויטל סויד
תן דוגמה לבסיסי נתונים.
ניר יוגב
בסיס הנתונים של כרטיסי האשראי של הלקוחות. יש שם שער. בשער הזה יכולים להיכנס אדמיניסטרטורים, שלהם יש הרשאות גבוהות ומיוחדות להיכנס לבסיס הנתונים, או מערכת הבילינג של החברה. אלו שתי מערכות נפרדות. לנציג שירות שמבצע זיכוי ללקוח אין אפשרות גישה לבסיס הנתונים הזה. כשהוא נכנס למערכת הבילינג, יש סט שלם של הרשאות מאוד מצומצמות של מה הוא יכול לעשות במערכת הבילינג, כמו לזכות לקוח, להתקין שירות, לא להתקין שירות. מערכת הבילינג היא היחידה שיכולה לגשת לבסיס הנתונים.
היו"ר רויטל סויד
איזה חידוד אתה רוצה שיהיה?
ניר יוגב
יש מקרים שבהם זה משתמש או יישום מערכתי, כמו היישום של מערכת הבילינג שניגשת למאגר הנתונים. אנחנו לא יודעים, אנחנו לא יכולים וגם זה לא סביר בעליל לצפות שכשכל נציג שירות מבצע זיכוי במערכת הבילינג יתחילו להיווצר רשימות של לוגים של מערכת הבילינג שנכנסה למאגר המידע וביצעה את הזיכוי הזה. זה נשמע לא סביר.
עומר פרידמן
בדרך כלל החקירה היא קורלציה של כמה מערכות. תהיה קורלציה בין המערכת של הבילינג ל-Database. אנחנו לא מסתמכים רק על הרישום שנעשה ב-Database, או רק על הרישום שנעשה במערכת הבילינג.
ניר יוגב
אני חושב שמה שכתבתם פה הוא בסדר גמור, אבל בגלל שיש מצבים שבהם היישום נכנס למאגר המידע, צריך להוסיף גם את היישום.
היו"ר רויטל סויד
השאלה אם אנחנו לא יכולים לכתוב גם יישום. האנשים שנכנסים גם מתחלפים.
ליאת בן מאיר שלום
איך אפשר יהיה לדעת מי?
היו"ר רויטל סויד
הם יחויבו לציין מי נמצא בתוך היישום, בתוך המחלקה הספציפית הזאת.
ניר יוגב
אם תוסיפו את היישום, אפשר יהיה לבצע חקירה בדיוק כמו שהוא תיאר. כשעובד נכנס ומבצע זיכוי, יש תיעוד של הדברים האלה במערכת הבילינג.
עומר פרידמן
אם הפעילו את התיעוד במערכת הבילינג וגם הופעל תיעוד במערכת ה-Database, אפשר יהיה לעשות את ההצלבה. שילוב של כל הסעיפים ביחד נותן את התמונה השלמה.
ניר יוגב
אז אין לך התנגדות שזה יהיה זהות משתמש או יישום?
ניר יעקב גרסון
יש התנגדות, כי היישום לא מתעד ב-100% את מה שאנחנו רוצים לתחקר.
ניר יוגב
תבינו, בשוק התקשורת יש מיליוני אם לא עשרות מיליוני פעולות של כניסה למערכת, בדיקה, התקנה של שירות, הסרה של שירות. הפעולות האלו לא מבוצעות באופן ישיר על ידי נציגי השירות בבסיס הנתונים, הן מבוצעות על ידי סט של הרשאות במערכות הבילינג.
אייל זנדברג
יש רישם נוסף שמאפשר לך לזהות. המטרה היא שיהיה זיהוי של מי שעשה את הפעולה, לאו דווקא ברישום הראשון.
ניר יוגב
אין לי רישום של מי שנכנס למאגר המידע באמצעות מערכת הבילינג.
ניר יעקב גרסון
יש לך רישום לזה שמערכת הבילינג נכנסה למאגר המידע.
אייל זנדברג
יש לך רישום של מי שהפעיל בשם מערכת הבילינג?
ניר יוגב
יש רישומים במערכת הבילינג של מי עשה מה.
ליאת בן מאיר שלום
אנחנו רוצים שתוכל לדעת מי השתמש. אם אתה יכול לדעת דרך זה שאתה מחבר את שני המערכים, זה עונה על דרישות התקנה.
ניר יוגב
זה שני עיגולים שלא בהכרח חופפים. אני מניח שאם תבוצע חקירה, אפשר יהיה להבין מי עשה מה. הנוסח כמו שהוא עכשיו מחייב לבצע משהו שלא קיים וכמעט בלתי סביר.
ניר יעקב גרסון
רק במאגרים ברמה הבינונית והגבוהה.
ניר יוגב
בחברות תקשורת, בבנקים.
ניר יעקב גרסון
לא כתוב פה שזה חייב להיות באותה מערכת. לך, כמו שציינו כאן קודם, צריכה להיות יכולת הצלבה. בלי זה אי אפשר לתחקר.
אלון בכר
אתה קודם כל צריך לדעת את זה בשביל עצמך.
בובי פנדריך
לא תמיד אבטחת המידע או רישום הפעילויות הן החשובות. הרבה פעמים זה מוריד מיעילות מערכת ההפעלה. צריך לתת את הדעת על כיצד מדריכים אנשים להפעיל את כל המנגנונים כדי שאפשר יהיה לגלות מי עשה מה.
היו"ר רויטל סויד
תן לנו דוגמאות.
בובי פנדריך
כאשר פונים לביצוע פעולה מסוימת במערכת שאילתות מסוימת, היא יכולה להפעיל תכנית שעובדת מאחורי הקלעים, שניגשת לבסיס הנתונים וכותבת. נעשה בדיקה לוגית אם הבקשה לכתוב כך וכך בקובץ היא הגיונית, אם היא נכונה.
אלון בכר
אתה יודע מי הפעיל אותה?
ליאת בן מאיר שלום
בובי, האם אתה יכול לדעת מי הפעיל אותה?
בובי פנדריך
בביטוח לאומי אני מקליט את הפעילות של כל המשתמשים כל הזמן. אני מנהל את ההקלטות האלו כך שאני אוכל לבצע עליהן שאילתות.
היו"ר רויטל סויד
אז אין לך בעיה עם התקנה כפי שהיא מנוסחת.
בובי פנדריך
היא לא מספיק חדה בעיני. במנגנונים מתוחכמים יותר המשתמש לא עושה פעולה, הוא גורם לדריכת סדר פעולות שלם.
היו"ר רויטל סויד
איך אתה מציע לחדד את זה?
בובי פנדריך
על ידי הפעלת מנגנוני הבקרה בכל מערכות ההפעלה.
ניר יעקב גרסון
בובי, אתה מתכוון שלצד זהות המשתמש נוסיף תהליך, לא תהליך במקום המשתמש.
ניר יוגב
נכון מאוד. הצעתי בנוסף, לא במקום.
יורם ביטון
במאגרי מידע מסדר גודל בינוני ומעלה אין מצב שמשתמש מגיע למאגר המידע הישיר.
עומר פרידמן
יש מצב. אנשי פיתוח, מתחזקים מגיעים ישירות למאגר המידע. הם גם לוקחים אותו הביתה לפעמים.
ליאת בן מאיר שלום
התקנה מדברת על גישה למערכות המאגר. בובי, אתה אומר שבנוסף לזהות המשתמש צריך את סוג התהליך שנוצר. ניר אומר את המילה "או". לגבי ה"או" יש לנו בעיה, כי אנחנו רוצים שלפני שרמו"ט מגיעים לפקח, הארגון עצמו יוכל לדעת מי ניגש למערכות המאגר.
היו"ר רויטל סויד
ניר, אתה מדבר על הגדרה יותר רחבה. בובי, על מה אתה מדבר? על אותו דבר?
בובי פנדריך
על אותו דבר. אני חושב שניר מציע בנוסף, לא במקום.
ניר יוגב
עזבו רגע את האדמיניסטרטיביים שיש להם גישה. ברור ששם צריך תיעוד של זהות המשתמשים הספציפיים שנכנסו למאגרי המידע. כמו שנאמר קודם לכן, בארגונים גדולים האנשים שנותנים שירות ללקוחות, שמבצעים פעולות לא נכנסים למאגר מידע. יש להם מערכת אחרת שמגבילה אותם בהרשאות לגבי מה הם יכולים ולא יכולים לעשות. מי שנכנס למאגר המידע זו אותה מערכת בילינג. כשמישהו רוצה להיכנס למאגר המידע, הוא שואל את השאלות שנאמרו קודם לכן, כמו אם זאת מערכת אמדוקס. הוא לא שואל מי המשתמש. הוא לא עושה רישום של הדברים האלה. יש פה שתי שאלות. שאלה אחת, האם אפשר יהיה להיכנס, לקחת את כל הלוגים של מערכות השירות, הבילינג והמידע, לעשות איזה תחקיר כדי למצוא מי האדם. זו שאלה אחת. אם אתם שואלים כרגע אם יש בכניסה למאגר המידע מישהו שרושם את מי שנכנס, את הזהות שלו, אז אין דבר כזה. גם אי אפשר לעשות דבר כזה.
ליאת בן מאיר שלום
בגישה למערכות המאגר לא בודקים את זהות המשתמש?
ניר יוגב
כן.
ליאת בן מאיר שלום
זה מה שהתקנה אומרת.
ניר יעקב גרסון
כשאתה מדבר על מאגר, אתה מדבר על בסיס נתונים. המאגר שמופיע בתקנות הוא לא בסיס הנתונים עצמו, אלא הנגזרת שלו שפתוחה לאנשי שירות הלקוחות.
ליאת בן מאיר שלום
גישה למערכות המאגר. יש קושי בהקשר של גישה למערכות המאגר?
היו"ר רויטל סויד
ניר, אתה רואה את זה אחרת כשמדובר על גישה למערכות המאגר?
אלעזר שטרן (הלשכה המשפטית)
ליאת, מערכות המאגר לא כוללות את המאגר?
עומר פרידמן
היישום לא מעניין אותי. אני רוצה ללכת אחורה כדי להגיע לבן אדם. לא מעניין אותי איך הוא הגיע לשם, מה התהליך, מעניין אותי מי האדם שהגיע למידע.
היו"ר רויטל סויד
אתם יכולים להגיע לאדם שהגיע למידע.
עומר פרידמן
אם הם לא יכולים להגיע, יש בעיה.
יורם ביטון
לפרמטרים שיזהו אותו לכל אורך הדרך.
ניר יעקב גרסון
הנוסח משאיר את הגמישות לבעל המאגר לנקוט באמצעים שונים שיבטיחו את המטרה. זאת תקנה תוצאתית, היא לא מתווה את הדרך.
עומר פרידמן
אם כל הלוגים מכל המערכות ישבו במקום אחד מרכזי, אז יהיה מאגר חדש שבו אני יוכל לאתר מי ביצע את הפעולה.
אלון בכר
אם מישהו נכנס לתוך המערכת ושינה את אחוזי הנכות, אתה חייב לדעת מי עשה את זה.
אלעזר שטרן (הלשכה המשפטית)
לפי ההגדרה בתקנה 1 של מערכות המאגר, מדובר במערכות שמשמשות את המאגר. זה לא המאגר, זה המערכות שמשמשות את המאגר.
ליאת בן מאיר שלום
כדי לגשת למאגר אתה צריך לעבור דרך מערכות המאגר.
יהונתן קלינגר
מערכות המאגר זה המערכות שמשמשות וקשורות לאבטחה שלו.
אלעזר שטרן (הלשכה המשפטית)
קוד האבטחה. זה לא אומר שזה המאגר. אם אני מחדד את מה שאמרת, ליאת, המשמעות היא שאם ניגשתי למאגר, לא למערכות המאגר, לא צריך שיהיה תיעוד אוטומטי של מה שדרשתי.
ניר יעקב גרסון
מספיק לנו לדעת אם אדם עומד בפתח, פותח את הדלת ומסתכל, לא צריך לדעת אם הוא נכנס פנימה.
ליאת בן מאיר שלום
תקנה 5, התקנה שמפרטת את מערכות המאגר, מדברת גם על מערכות התוכנה שמשמשות להפעלת המאגר. זה כל הדרך שאתה עובר עד המאגר.
אלעזר שטרן (הלשכה המשפטית)
זה עד המאגר, זה לא המאגר. אני מנסה לחדד מבחינת הניסוח המשפטי של זה. לכאורה זה אומר שמערכות המאגר לא כוללות את המאגר, שזה נשמע קצת מצחיק.
עומר פרידמן
קובץ אקסל עם 100 אלף רשומות של חולי איידס הוא כלי חיצוני.
ניר יעקב גרסון
כל מה שאנחנו אומרים זה שצריך בקרת גישה ותיעוד של מי שהגיע. עצם זה שהוא הגיע דרך מערכות המאגר זה כבר מספיק. זה מה שצריך לשמר.
אלעזר שטרן (הלשכה המשפטית)
ההנחה היא שכל מי שהגיע למאגר עבר דרך מערכות המאגר.
ניר יעקב גרסון
כן, כי מערכות זה גם תוכנה. זה מופיע בתקנה 5.
יהונתן קלינגר
אם זאת הפרשנות, אני חושב שהתקנה צריכה להשתנות טיפה. צריך להבדיל בין גישה למערכות המידע, שזה לצורך העניין המחשב הפיזי שלי או אתר ממשקי שמאפשר לי להיכנס למערכת הניהול של המאגר ולעשות פעילויות גורפות, כמו למשל למחוק טבלאות בצורה סדרתית, לבין גישה של משתמש, כמו עובד בביטוח לאומי שמגדיל או מקטין אחוזי נכות באירוע חד פעמי כחלק מהשירות שלו.
היו"ר רויטל סויד
ברור שאתם מתכוונים לאירוע החד-פעמי הזה.
יהונתן קלינגר
לא ברור.
היו"ר רויטל סויד
זה מה שהם אומרים.
אלון בכר
מה ההבדל?
יהונתן קלינגר
אם יש לי התחברות כ-super user למערכת ואני יכול להשפיע על הארכיטקטורה, או - -
ליאת בן מאיר שלום
לא. כל דבר פרטני.
ניר יעקב גרסון
גם יכולת הצפייה במאגר משנה, לא רק שינוי הגדרות והעתקה, או ביצוע פעולות בניגוד לרגולטורים אחרים.
יהונתן קלינגר
הוא נכנס בשביל לראות איך המערכת בנויה.
ניר יעקב גרסון
אפילו צפייה במאגר.
אלון בכר
אם מישהו ייכנס לתיק הרפואי שלך ויצפה בו, זה מאוד יעניין אותנו.
יהונתן קלינגר
אני מסכים איתך שזה מעניין וחשוב, אבל אני חושב שצריך להבדיל בין שימוש שיש לו דרישות מסוג מסוים - אולי במאגרים רק ברמה הגבוהה, לאו דווקא ברמה הבינונית - לבין תיעוד של גישה למערכות הטכניות, תיעוד של מישהו שיכול להכניס וירוסים למאגר.
היו"ר רויטל סויד
מה זה משנה מה התוצאה? מה זה משנה אם זה וירוס או אם זה מישהו שצילם את כל התיק שלי מהמסך והעביר הלאה?
ניר יעקב גרסון
השאלה אם יש לזה משמעות פרקטית. אני מבין שלא. אם יש תיעוד גישה, אז יש תיעוד גישה.
אלון בכר
כשהכלים פועלים, הם פועלים על זה שיכול לעשות נזק גדול ועל זה שיכול לעשות נזק קטן.
יהונתן קלינגר
זה נכון. כשהם פועלים, הם פועלים. השאלה אם צריך לנהל את זה מהכיוון של מי שפתח את קובץ האקסל שמאוחסן על השרת הארגוני, שזה מאגר המידע שלנו, או מהכיוון של האנשים שעשו לוגים לשרת עצמו ושינו רכיבים בתוכנה.
אייל זנדברג
גם וגם.
רפאל פרנקו
אני חושב שהבקשה פה היא לגמרי סבירה והגיונית. היא גם לא גבוהה מידי אל מול מה שיש היום במערכות הגנה. היא גם לא מכניסה את הארגון להוצאות לא סבירות. כמו שאמר פה בובי, סך הכל אתה מתבקש להפעיל אמצעים שברוב המערכות נמצאות. כל מה שצריך סך הכל זה שאיש המקצוע יהיה מודע להן, יפעיל אותן, כדי שבמידה וייגרם אירוע תוכל לגדר את הנזק, לצמצם את הנזק, אולי אפילו להתאושש לפעם הבאה.
ניר יעקב גרסון
נראה לי שניכר שבין אנשי אבטחת המידע יש הסכמה מוחלטת. זו שאלה מקצועית.
ניר יוגב
לנו יש עשרות מערכות מסוגים שונים. לא כל המערכות יודעות לעשות את זה. אם נצטרך לתעד כל גישה למערך המידע עם שמירת כל הלוגים האלה, מדובר על שמירה של מיליוני לוגים כל יום לכל חברה.
היו"ר רויטל סויד
ניר, בסוף יש לכם את זה.
עומר פרידמן
דרך אגב, סלקום היא בין הראשונות בארץ שהטמיעה מערכת כזאת עוד בתחילת שנות ה-2000.
ניר יוגב
אני מניח שאם לא הייתה לנו בעיה עם זה, לא היו שולחים אותי. יש דברים שיש לגביהם שמירה של לוגים, יש דברים שלא. מה שאתם מבקשים פה זה כל גישה, כל דבר, כל מערכת. אין דבר כזה. זה מיליוני פעולות. זה המון כסף, המון השקעה. זה כמעט בלתי ישים, בטח לא בלוחות הזמנים שאתם מתארים פה במסמך התקנות. לגבי חברות שנותנות שירות למיליוני לקוחות, זה משהו מונומנטלי מבחינת ההיקפים שלו.
היו"ר רויטל סויד
יש דיון מקצועי ומהותי בתקנה הזאת. אנחנו רואים שיש כאן דרישה מחויבת מציאות. אפשר יהיה לראות לא רק מישהו שהחדיר וירוסים, אלא גם מישהו שרק הציץ, ראה, נחשף.
גילי בסמן-ריינגולד
לא בזמן אמת. יהיה מנגנון תיעוד שאפשר יהיה לגשת אליו כדי לבצע תחקיר.
אלון בכר
רק על המערכות שמנהלות מידע אישי. יש הרבה מאוד מערכות שלא מנהלות מידע אישי שאנחנו לא עוסקים בהן בכלל.
היו"ר רויטל סויד
זו דרישה מאוד לגיטימית. אני מבינה, ניר, מה שאתה אומר. בובי הצטרף לזה. לא שמענו פה את בנק ישראל, מה שאומר שאין להם קושי. זה גם גוף מאוד מאוד משמעותי, עם כניסות למקומות רגישים. אני מאמינה שבתוך היישום הזה, בתוך המחלקה הזאת יש לכם יכולת לדעת מי אותו משתמש ספציפי, מי אותו אדם, מי אותו עובד שכן נכנס ונחשף. קשה לי להאמין שאין לכם את יכולת המעקב הזאת.
ניר יוגב
לא אמרתי שיש פה משהו שאי אפשר ליישם אותו.
היו"ר רויטל סויד
גילי גם חידדה שזה בדיעבד.
ניר יוגב
את כל מה שכתוב פה, למעט ההתייחסויות שהערתי, אפשר ליישם. זה לא קיים היום, למיטב ידיעתי, באף חברה. נכון שאני היחידי שנמצא פה מחברות התקשורת. הסיבה היחידה היא שחברות התקשורת האחרות לא ממש הכירו את התקנות, לכן הן גם לא נערכו לזה. אנחנו הספקנו קצת ללמוד את זה. ברור שאפשר ליישם את זה. זה לא מיושם היום, כי הארכיטקטורה של עבודה במערכות מידע היא שונה. היא אומרת שיש מאגר. סביב המאגר יש חומר גבוהה מאוד, כאשר השומר שעומד בשער אומר מי נכנס, מי לא נכנס. לפעמים מי שיכול להיכנס זו מערכת, זה לא בן אדם.
היו"ר רויטל סויד
אתה יודע מי עובד במערכת הזאת. בתוך המערכת יש תיעוד של מי שנמצא.
ניר יוגב
לא בכל המערכות יש תיעוד לכל פעולה ופעולה שהנציגים עושים. זה לא קיים.
ליאת בן מאיר שלום
אתה רוצה לומר לי שבמאגרי מידע סופר רגישים שאתם מחזיקים אתם לא יכולים לדעת מי נכנס?
ניר יוגב
זה לא מה שאמרתי. יש פה ארכיטקטורה שהיא לא ייחודית לסלקום ולשוק התקשורת. יש פה ארכיטקטורה שונה. הארכיטקטורה בעולם מאגרי המידע באה ואומרת שיש אנשים ספציפיים שיש להם הרשאות לבצע פעולות, ויש יישומים שיכולים לבצע פעולות, כאשר היישומים האלה צריכים לענות על איזה שהם קריטריונים, כמו הקשת סיסמא. אם את שואלת אם במערכת CRM כל פעולה של כל נציג בכל נושא מתועדת ונשמר הלוג שלה, אז התשובה היא לא. יש פעולות מסוימות שהחברה בוחרת לשמור את הלוגים.
ניר יעקב גרסון
משיקולים עסקיים.
היו"ר רויטל סויד
הדברים ברורים, אנחנו עוברים הלאה.
אלעזר שטרן (הלשכה המשפטית)
11. תיעוד של אירועי אבטחה. (א) בעל מאגר מידע אחראי לתיעוד כל מקרה בו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע לשימוש בו בלא הרשאה או לחריגה מהרשאה (להלן – אירועי אבטחה); ככל הניתן יבוסס התיעוד האמור על רישום אוטומטי. (ב) בנוהל האבטחה יקבע בעל מאגר מידע גם הוראות לעניין התמודדות עם אירועי אבטחת מידע, לפי חומרת האירוע ומידת רגישות המידע, לרבות לעניין ביטול הרשאות וצעדים מיידיים אחרים הנדרשים וכן לעניין דיווח לבעל המאגר על אירועי אבטחה ועל פעולות שננקטו בעקבותיהם. (ג) במאגר מידע שחלה עליו רמת האבטחה הבינונית, יקיים בעל המאגר דיון אחת לשנה לפחות באירועי האבטחה ויבחן את הצורך בעדכונו של נוהל האבטחה. במאגר מידע שחלה עליו רמת האבטחה הגבוהה, ייערך דיון כאמור אחת לרבעון לפחות. (ד) ארע אירוע אבטחה חמור - (1) יודיע על כך בעל המאגר לרשם באופן מיידי, וכן ידווח לרשם על הצעדים שנקט בעקבות האירוע; (2) רשאי הרשם להורות לבעל מאגר המידע, למעט לבעל מאגר מידע מן המנויים בסעיף 13(ה) לחוק, לאחר שנועף בראש הרשות הלאומית להגנת הסייבר, להודיע על אירוע האבטחה לנושא מידע שעלול להיפגע מן האירוע.
גילי בסמן-ריינגולד
התקנה הזאת נועדה ליצור איזה שהוא זיכרון ארגוני של הארגון ביחס לאירועי אבטחה, היא נועדה לאפשר הפקת לקחים בעתיד. היא ממשיכה עם הוראות לגבי התמודדות עם אירועי האבטחה, עם הדיווח להנהלה, על מנת שזאת תוכל לקיים בקרה. יש התייחסות לתדירות שבה ידונו על אירועי האבטחה. היא נמוכה יותר במאגרים של האבטחה הבינונית, והיא רבעונית במאגרים שרמת האבטחה בהם גבוהה. החלק השני של התקנה מדבר על חובה ליידע את הרשם בקרות אירוע אבטחה חמור, כאשר יש הגדרה של אירוע אבטחה חמור. נדרש יידוע עליו שם. הרשם רשאי להורות לבעל המאגר להודיע לנושא המידע על אירוע האבטחה. נעשה את זה רק אחרי שניוועץ עם ראש רשות הסייבר. במקרים כאלה נדרשת נקודת מבט יותר רחבה מרק פרטיות. מדובר על נקודת מבט שנוגעת להגנה על הסייבר.
אלון בכר
זה בעיקר תלוי אירוע, איזה סוג של אירוע התרחש פה. לפעמים האירוע הזה יהיה אירוע חד, ואז חשוב מאוד שלא ננקוט באיזו שהיא פעולה שתשבש את הטיפול באירוע הסייבר. יש הרבה אירועי אבטחה שהם לא אירועי סייבר.
היו"ר רויטל סויד
מה זאת אומרת?
אלון בכר
אירוע אבטחה יכול להיות עובד שהכניס דיסק און-קי, גנב את כל המידע ומכר אותו. זה לא אירוע סייבר. הרבה פעמים תהיה מתקפת סייבר, יהיה אירוע לאומי, אירוע של חדירת גורם עוין מבחוץ, שאז ברור שחייבים להיות מתואמים. אנחנו לא נמזער את הנזק בגרימת נזק אחר.
אלעזר שטרן (הלשכה המשפטית)
האם במקרה של אירוע אבטחה חמור אין מקום להתייעץ, ככל שמדובר בגורמים שיש להם רגולטור, עם הרגולטור הרלוונטי? אם אירע משהו לחברות ביטוח, אולי להבין מה המשמעות שבעל המאגר יודיע או לא יודיע לנושא המידע. האם אין מקום להתייעצות? זה כמו שמתייעצים עם הרשות להגנת הסייבר בהיבטים של הסייבר. מה יהיה האפקט והמשמעות של פרסום המידע או העובדה שהיה אירוע אבטחה חמור? יש מקום לזווית המבט של הרגולטור הרלוונטי שמצוי באותו תחום ספציפי. הוא יכול להבין מה המשמעות של פרסום המידע הזה.
שירלי אבנר
אנחנו חושבים שצריך פה הסכמה של הרגולטור. יש ראייה כלל מערכתית של הרגולטור. הוא זה שמכיר את השוק שבו מדובר. היינו רוצים הסכמה. ההודעה לא צריכה להיות באופן מידי. אם רוצים תקנה שהשוק יוכל לעמוד בה, זה צריך להיות בהקדם האפשרי. באופן מידי זו דרישה דווקנית מידי.
גילי בסמן-ריינגולד
אנחנו בהחלט מסכימים עם העובדה שצריך להתייעץ עם רגולטורים אחרים. אנחנו חושבים שזה מוסדר בתקנה 20.
אלעזר שטרן (הלשכה המשפטית)
תקנה 20 לא קשורה לפה. תקנה 20 מדברת על תחולה כללית של הוראות כאלו ואחרות, היא לא מדברת על אירוע אבטחה.
אלון בכר
שהיא תלוית רגולציה ספציפית.
אלעזר שטרן (הלשכה המשפטית)
תקנה 20 לא רלוונטית פה. תקנה 20 מדברת על פטור מחובה כזאת, על התאמה. זה לא קשור לאירוע ספציפי.
גילי בסמן-ריינגולד
אנחנו לא נוציא את ההנחיה הזאת בלי להתייעץ עם הרגולטור הרלוונטי.
אלעזר שטרן (הלשכה המשפטית)
זה לא קשור להנחיה. זו לא הנחיה כללית. זה טיפול באירוע נקודתי שקרה עכשיו.
גילי בסמן-ריינגולד
חלק מהעבודה של ההנחיה היא לשתף פעולה עם אותו רגולטור, להגיע להסכמות בדיוק בעניינים האלה.
אלעזר שטרן (הלשכה המשפטית)
עובדה שכתבת את הרשות להגנת הסייבר.
ניר יוגב
היו מקרים שבהם השב"כ הנחה לא לפרט ולא להעביר דיווח לאף גורם אחר על אירוע שאירע. החוק פה אומר לדווח. מי צודק? למי להקשיב?
רפאל פרנקו
רשות הסייבר אחראית על מרבית גורמי המשק. רוב הרגולטורים כפופים להנחיה של רשות הסייבר. זה פוטר את מרבית הרגולטורים.
אלעזר שטרן (הלשכה המשפטית)
לכל מגזר יש את ההיבט שלו. מה המשמעות של חברת ביטוח שמפרסמת שפרצו למאגר שלה?
אלון בכר
אלעזר, אתה רוצה שנכניס רשימה של רגולטורים?
אלעזר שטרן (הלשכה המשפטית)
אתה לא צריך להכניס רשימה.
רפאל פרנקו
רשות הסייבר שמה צוות שמכיר את המגזר.
שירלי אבנר
זה לא נכון בנוגע לבנקים.
רפאל פרנקו
אני לא דיברתי על הבנקים. אמרתי שבכל המגזרים, למעט בודדים, יש רגולטורים מגזריים שכפופים לרשות הסייבר. אנחנו גוף שמיידע את כל מי שצריך. זה עושה סדר ברמה הלאומית.
אלעזר שטרן (הלשכה המשפטית)
אצלכם יש אנשים שמכירים כל מגזר ומגזר?
רפאל פרנקו
יש בין אדם אחד ל-3 במעל 20 מגזרים שהקמנו, תלוי בגודל. זה מייצר סדר לאומי מקצה לקצה. בחריגים אפשר לדון.
אלעזר שטרן (הלשכה המשפטית)
האם האנשים שנמצאים בכל מגזר ומגזר מכירים את השוק בהיבט של הסייבר, או מכירים בהיבט התוכני שלו? האם הגורמים שלך מכירים את השוק ומבינים מה המשמעות של פרסום מידע כזה, או שהם מכירים את זה במובן של איך המערכות פועלות?
רפאל פרנקו
כל הרעיון הוא לשים אותם אצל הרגולטורים. נתתי את הדוגמה של אנרגיה. יש דוגמה בפיננסים. במשרד לביטחון פנים גם יש. הם יושבים במשרדים, מכירים את ההוויה ואת העשייה היום יומית.
שירלי אבנר
זה לא נכון בכל הנוגע ליציבות של המערכת הבנקאית. התפקיד של רשות הסייבר הוא לקחת בחשבון היבטים שנוגעים להגנת הסייבר, לא ליציבות המערכת הבנקאית, לא ליציבות המערכת הפיננסית, לא להיבטים שנוגעים ללקוחות של המערכת הבנקאית והרגישות שנדרשת בהיבטים האלה. זה לא התפקיד של מטה הסייבר. אני חושבת שזה יפגע בסמכויות שלה, כי היא אמורה לקחת בחשבון דברים אחרים. מי שאמון על ההיבטים הרוחביים והעסקיים של המפוקחים הוא הרגולטור. הוא מכיר אותם הכי טוב. מטה הסייבר לא יכול להחליף את שיקול הדעת של הרגולטור בהיבטים האלה.
גילי בסמן-ריינגולד
מה שבעיקר עולה מהדיון הזה הוא שכנראה לכל רגולטור יש את נקודת ההשקפה שלו, הוא אחראי על התחום שלו. לא יהיה נכון לתת את המנדט של התחום של פרטיות לגופים שמה שהם צריכים לייצג זה יציבות כלכלית או הגנה.
אלעזר שטרן (הלשכה המשפטית)
לא דיברתי על לתת מנדט, דיברתי על התייעצות איתם.
גילי בסמן-ריינגולד
אני לא חושבת שהתייעצות זה משהו שצריך להופיע בתקנות.
פיני שחר
גם אם יש נציגים בתוך מגזר ספציפי, הנציגים האלה רואים אך ורק את נושא הסייבר, הם לא מכירים את העולם התוכני. אני מתחבר למה ששירלי אמרה. יש פה נושאים של מוניטין ויציבות. צריך לזכור, גופים פיננסיים מנהלים למעלה מ-3 טריליון שקל. מעבר לנושא של הגנת הפרטיות יש פה יציבות של המשק, יציבות של הכלכלה, מוניטין של הדברים האלה.
אלון בכר
הרשם רשאי להורות.
יהונתן קלינגר
כרטיסי האשראי שלנו, האזרחים, יכולים להסתובב ברשת, כאשר לנו לא יגידו כלום. למה לא לחייב אותם?
ליאת בן מאיר שלום
הרשם, כשהוא יפעיל את סמכותו, הוא יתייעץ עם הרגולטור הרלוונטי. לנו לא מוכר, גם לא בעולם וגם לא ברגולציה פרטנית המקבילה של הרגולטורים הענפיים, חובת התייעצות סטטוטורית. רגולטורים אמורים לעבוד בשיתוף פעולה זה עם זה. זאת רק דוגמה אחת פרטנית למגוון תחומים של חפיפה שיש בין רגולטוריים ענפיים ורוחביים שונים. הם אמורים לעבוד בשיתוף פעולה. במקרים המתאימים הרשם יתייעץ עם הרגולטור הנוסף. גם בהסתכלות על הרגולציה ההפוכה, על הרגולציה הענפית, לא ידוע לי שיש חובת היוועצות סטטוטורית עם רשם.
אלון בכר
אין פה משהו אוטומטי. אגב, גם כיום, כשאין חובת דיווח על אירוע כל כך חמור, אנחנו מקבלים דיווחים ומקבלים מידעים. אנחנו רשאים להורות, אנחנו רשאים לעשות כל מיני דברים. המציאות מראה שעוד לא מוטטנו בנק, שעוד לא הכרחנו אף גורם לעשות משהו בניגוד לאינטרס הציבורי ולמכלול השיקולים. כבר היו אירועים בבנקים ובחברות ביטוח. ברור שניוועץ, ברור שאנחנו שוקלים את השיקולים הרחבים, ברור שהסיבה שרשומה פה רשות הסייבר ולא גורם אחר היא כי היא הרשות שמתכללת את כל אירועי הסייבר במדינה. היא נגישה לכל המידע. היא אמורה להבין אם יש רגישות שאנחנו לא מודעים אליה לפני שאנחנו עושים איזה שהוא צעד. אף אחד לא יעשה שום דבר שיכול לגרום איזה שהוא נזק גדול בלי שהוא יבדוק את זה עם מי שצריך. אי אפשר להכפיף זכות יסוד חוקתית של כל אזרחי המדינה לאינטרס של רגולטור ספציפי.
אלעזר שטרן (הלשכה המשפטית)
זו לא הכפפה.
אלון בכר
זו הכפפה. להגיד הסכמה, היוועצות בתוך תקנות זה סוג של הכפפה. יש רגולטורים שיש להם אינטרס מאוד מאוד צר, יש רגולטורים שיש להם אינטרסים אחרים. אנחנו ניוועץ במי שמסתכל על התמונה הכוללת, שזה סטטוטורי, כדי לא לגרום נזק ברמה לאומית. את כל הדברים האחרים נעשה בשקט, בשום שכל. להגיד שכשקורה לך אירוע אבטחה חמור אתה לא יכול לעדכן את מי שאמור לדעת על הדבר הזה כי אתה עכשיו מטפל בו, זה לא משהו שצריך לקחת ברצינות. העדכון הזה הוא לא משהו יוצא דופן, הוא לא מפריע לך לטפל באירוע, הוא חלק מהאירוע. אני מניח כשיהיה אירוע סייבר משמעותי בגוף גדול וחזק כמו בנק, גם רשות הסייבר תהיה מעודכנת בו באותה שנייה שזה קרה.
שירלי אבנר
אני לא מסכימה עם הדברים שנאמרו כאן. באופן מיידי זה בעייתי. עדיף שזה יהיה בהקדם האפשרי. אני לא מבינה למה ההתנגדות להוסיף את הרגולטורים.
דן חי
אני מתחבר לדברים של אלון. לתת לרגולטור הרלוונטי לדאוג לענייני פרטיות, זה קצת כמו לתת לחתול לשמור על השמנת. שמענו רק עכשיו שפותחים מאגר של כל מוצרי הביטוח של אזרחי מדינת ישראל מתחת לאף של כולנו. מי שומר על זה? איך שומרים על זה? לתת לרגולטור לעשות דברים של פרטיות, שזה לא הרגולטור הרלוונטי, זו תהיה טעות. אני חושבת שצריך לתת סמכות לרמו"ט. הם מספיק חכמים להחליט אם צריך להתייעץ, אם לא צריך להתייעץ. אף בנק לא ייפול בגלל החלטה של ראש רמו"ט. הוא לא אדם שנולד אתמול. כל מי שיהיה בתפקיד ידע שהוא צריך לקחת החלטות כאלו.
אלון בכר
לכל רגולטור יש את האינטרסים שלו, יש את הייחודיות שלו. למיידיות יש משמעות, כי הרבה פעמים צריך לנקוט בפעולות מידיות, צריך לקבל הנחיות מידיות. העניין של להגיד שזה יהיה בהקדם האפשרי, זה בדיוק ההקשר של החתול והשמנת. מי יקבע מה זה בהקדם האפשרי?
היו"ר רויטל סויד
אנחנו נמשיך בישיבה הבאה.

הישיבה ננעלה בשעה 13:15.

קוד המקור של הנתונים