הכנסת העשרים

מושב שלישי

פרוטוקול מס' 108

מישיבת ועדת המדע והטכנולוגיה

יום שלישי, ט"ז באדר התשע"ז (14 במרץ 2017), שעה 13:00

הגנת הסייבר במרחב הממשלתי

חברי הוועדה: אורי מקלב – היו"ר

יעל כהן-פארן – מ"מ היו"ר

חיים ילין

בוקי כרמלי - ראש הרשות הלאומית להגנת הסייבר

שלמה גת - ראש אגף הכוונה, הרשות הלאומית להגנת הסייבר

רפאל פרנקו - ראש אגף אסדרה והכשרה, הרשות הלאומית להגנת הסייבר

אלי גזית - ראש אגף בכיר תמ"ק - תשתית מדינה קריטית, הרשות הלאומית להגנת הסייבר

הדר שמר - יועצת לראש הרשות, הרשות הלאומית להגנת הסייבר

תובל צ'סלר - יועץ בכיר לראש הרשות הלאומית להגנת הסייבר

יאיר פראנק - ראש רשות התקשוב הממשלתי, רשות התקשוב הממשלתי

גדעון קונפינו - מנהל היחידה להגנת הסייבר בממשלה, רשות התקשוב הממשלתי

ז'קלין בן בסט - ראש תחום בכיר פעילות מגזרית, מטה הסייבר הלאומי

ארי שועלי - מ"מ מנכ"ל המשרד לענייני מודיעין

ראובן אליהו - CTO משרד הבריאות

אורי שי - הגנה בסייבר, משרד החוץ

שאול בן שושן - מנהל הגנת הסייבר, משרד החינוך

נטע קניגשטיין - משרד המשפטים

שמעון ברונר - מנהל אגף בכיר מערכות מידע, משרד הכלכלה והתעשייה

צור אהרון - מנמ"ר, משרד התחבורה

אורן אלימלך - יועץ סייבר, משרד התחבורה

ניר צנטנר - מנמ"ר, משרד התשתיות הלאומיות

חנה מונסטרסקי - מנהלת תחום אבטחת מידע, משרד העלייה והקליטה

פציל סאלב - משרד המדע הטכנולוגיה והחלל

גלעד בן ארי - רא"ג חירום וסייבר, המשרד להגנת הסביבה

יעקב דולמצקי - מנהל הגנה על מידע וסייבר בתעשייה, המשרד להגנת הסביבה

ירון רונן - מנהל אגף מערכות מידע, משרד החקלאות ופיתוח הכפר

אילן יום טוב - ראש תחום סייבר, המשרד לבטחון פנים

מאיר חיון - מפקד יחידת סייבר, משטרה

יוסי כחלון - רמ"ח טכנולוגי, משטרה

יורם עמדי - משטרת ישראל

ינון בטאט - משטרת ישראל

אלי קלדרון - ממונה על האכיפה המנהלית, רמות

לביא אובנת - מנהל מחלקת אכיפה, הרשות למשפט, טכנולוגיה ומידע

ליאור לבד - רס"ן, צה"ל

מוטי קוסקם - רע"ן אבטחת מידע וסייבר, שב"ס

שירלי אברמי - מנהלת מרכז המחקר והמידע של הכנסת

רועי גולדשמידט - מחקר המחקר והמידע

עמית שניצר - סגן מנהל חטיבת המידע בכנסת

אברהם גולדשטיין - הכנסת

מרסלו מיטלמן - מנהל אבטחת מידע, עיריית תל אביב יפו

הילי זליבנסקי - CTO, עיריית תל אביב יפו

דן לנדאו - סמנכ"ל רגולציה, רכבת ישראל

חן שמילו - עו"ד, ההסתדרות הרפואית

עומר אורבך - ההסתדרות הרפואית

אריק יקואל - ממונה הגנת סייבר, המנהל לחינוך התיישבותי

ולדימיר שפירא - אחראי יישום אבטחת מידע, המנהל לחינוך התיישבותי

פנחס מיכאלי - עו"ד, לשכת עורכי הדין

דן חי - פורום הגנת הפרטיות, לשכת עורכי הדין

איתן עמרם - יו"ר הפורום הארצי למשפט, מדע וטכנולוגיה, לשכת עורכי הדין

חגי אייזנברג - חוקר, האוניברסיטה העברית בירושלים

אסף ויסברג - נשיא ISACA ישראל

עליזה אדמוני - מפעל סייבר, תעשייה אווירית

ענת לוי

הדס לוי, חבר תרגומים

הגנת הסייבר במרחב הממשלתי

צהריים טובים לכולם, אני מתכבד לפתוח ישיבה של ועדת המדע והטכנולוגיה. היום הצטרף אלינו חבר הכנסת חיים ילין. היום יום שלישי, פעמיים כי טוב פעמיים, ט"ז באדר תשע"ז, ה-14.3.2017.על סדר יומנו הגנת הסייבר במרחב הממשלתי.

קודם אני אבקש לפתוח ככה במילה אחת או שתיים על יום המדע הלאומי, אנחנו מציינים היום במדינת ישראל, גם בכנסת. אנחנו עכשיו ממש חוזרים, מגיעים מתערוכה שהוצגה בנתב"ג, מי שראה ומי שלא ראה בוודאי אולי הוא שמע ואם לא הוא יכול להביט, לגלוש באתרים המתאימים, כשבא לשקף את הפיתוחים הישראלים מאז קום המדינה. דיברנו על כך שלא, אני לא יודע אם יש מדינה, אבל ודאי לא מדינות רבות שיכולות להציג תערוכה כזאת מרשימה.

אבל היא מרשימה לא רק בעיצוב שלה, אלא בתוכן, במגוון הדברים שישראל הצטיינה בזה, שהיא הייתה הראשונית בזה, חדשנית, היא הייתה המובילה בעניין ואנחנו היום כשאנחנו אומרים מדע אנחנו אומרים את זה מדע וטכנולוגיה ביחד. כשיש קשר בין הדברים. גם בתחום הטכנולוגי אנחנו עם פיתוחים מיוחדים.

לא כיוונו את זה להיום, את הוועדה, את יום המדע, ועדת המדע והטכנולוגיה לא יושבת היום אבל ודאי היום שאנחנו קוראים בכל הכותרות מלאות בקנייה ומכירה של מובילאיי לאינטל שהיא אירוע באמת מרשים שרק מציף את הנושא, את מה שקורה במדינת ישראל.

אנחנו יודעים שבכל דבר כזה, בכל מחקר ודאי ובכל המצאה בנושאים של מדעים ומדענים וחוקרים וממציאים צריך כל הזמן להיות קדימה. אם אתה עומד במקום אחד אתה בעצם מתדרדר אחורנית. אנחנו יודעים שמאחורי הפעילות שלנו בנושא הזה היא לא רק להתרפק על העבר ורק לטפוח על השכם, להגיד הנה אנחנו טובים או אבל לא רק שהיינו טובים אלא שאנחנו גם יכולים להיות בזה טובים. בשביל זה צריך להשקיע הרבה, גם לתמרץ, גם לקדם, גם לחנך. והיום הזה גם נעשה בשביל המטרות האלה.

יחד עם מדע וטכנולוגיה, יחד עם טכנולוגיה מתקדמת יש תופעות לוואי שתופעות הלוואי האלה זה מה שאנחנו קוראים היום סייבר ומה שאנחנו קוראים היום הגנה על הסייבר. זה נושא מאוד מאוד רחב. ועדת המדע והטכנולוגיה שהיא אמונה, היא הגורם המפקח, על נושא של הגנה על הסייבר ושל הסייבר עצמו לפי תקנות ולפי הנוהל.

להגיד לכם שאני בא עם ידיים נקיות ולא מרגיש קצת נקיפות מצפון שאנחנו מספיק עושים בדבר הזה, אני אומר בפירוש, מתוודה שלא. אנחנו חושבים שכגורם מפקח אנחנו צריכים להיות הרבה יותר פעילים, הרבה יותר זמינים בעניין הזה, התדירות שלנו צריכה להיות הרבה, הדיונים שלנו צריכים להיות באופן תדיר יותר.

אבל אני מה שנקרא להגנה. בהגנה, להגנתנו אני יכול להגיד שגם בתחום האחריות יש כמה כאלה שאולי, ודאי בכנסת עצמה, שתי ועדות שאחריות על זה. יש ועדת משנה של ועדת חוץ וביטחון וגם ועדת המדע והטכנולוגיה ובגלל זה שיש גדרה בשותפה, משהו עם שותפים, אז יש דברים שנופלים ומי אחראי על מה ועד שדנים בזה בעצם אנחנו לא היינו מספיק מתמידים ונחושים בדיונים שלנו.

אבל אני חושב שאנחנו חוזרים בתשובה. כוונתנו היום להתחיל לשבת באופן קבוע ואנחנו נקיים סדרה של דיונים שהדיון הראשון אנחנו מדברים בוודאי על המרחב הממשלתי, כמה שנספיק באופן כללי, גם בתחום הממשלתי ובמרחב הממשלתי אנחנו נרד לפרוסות יותר דקות. לאחר מכן אנחנו נעבור, כמובן, לגופים, לאתרים חשובים מאוד שחשובים לנו.

אנחנו, כמובן, גם נרד למגזר הכללי שיהיה לנו כדי שאנחנו נוכל באמת להקיף את כל הנושא. אנחנו בעניין הזה יש לנו שיתוף פעולה, גם עם יו"ר הרשות, עם מטה הסייבר, עם משרד ראש הממשלה, עם ראש הרשות. כיום אנחנו באמת חושבים שאנחנו הולכים על דרך נכונה של שיתוף פעולה בדיונים ושהדיונים יעילים ומועילים.

גם הוועדה, גם כל המטות והרשות שזה נושא בפני עצמו שאני עוד לוקח לי זמן ללמוד מה זה הרשות, מה זה היחידות, מה זה מטה הסייבר ורשות הסייבר ויהב ורשות התקשוב. הדברים האלה, לדעתו של רועי, עשיתי לי כאן תרשים. אבל אנחנו בכל אופן, זה חלק מהלמידה שלנו שגם הציבור רוצה לדעת מה זה רשות ומה זה מטה ומה זה ראש הרשות. בעיקר לגבי תחום האחריות לא בנושא הפרסונלי.

עוד מילה אחת בנושא יום המדע. אני רוצה כבר לבקש ממר כרמלי שיציג את הדברים אבל לכבוד יום המדע, אולי אנחנו נאמץ את זה ככה באופן כללי, אנחנו רוצים להודות לד"ר שירלי אברהמי, מנהלת מרכז המחקר והמידע של הכנסת, שחיבר בינינו לבין המדענים או בין המדען, כמובן, אבל בכלל ברעיון כדי לתת בוועדת המדע במה אפילו קטנה שבמשהו יוכלו להציג את הדברים שעל ליבם אבל בעיקר גם הדברים המקצועיים ובסך הכל את העבודה שביום יום פחות נחשפים.

הוועדה רואה חובה וגם זכות בלתת את השולחן והפלטפורמה כדי להעלות נושאים מפעם לפעם שקשורים לכם, המדענים בישראל. קודם כל אני אומר גם באוניברסיטאות וגם באקדמיה וגם בכל המחקרים, המכונים וכל מה שרלוונטי אני אבקש ככה- - -

אני מתנצל מראש, אני איתכם בהתחלה, אני לא יודע כמה זמן תהיה ההתחלה, לאחר מכן יחליפו אותי, חברת הכנסת יעל כהן פארן היא תחליף באיזשהו שלב. חיים ילין, ביקשנו, אבל אתה נאלץ ממחוייבות אחרות. יש הצבעות על חוק שהממשלה חשוב לה להביא את זה היום לקריאה שנייה ושלישית והיום גם למליאה ושאני בתור חבר נאלץ להיות ולהצביע בהצבעות. עוד היום בבוקר גם עוד לא ידענו באיזה שעה זה יהיה ככה שממש באמת מתנצל. אם היינו יודעים לא היינו קובעים את הוועדה בזמן כזה, אבל ההכרח במקרה כזה, אבל אני מחוייב אליו.

אנחנו ביקשנו לעשות איזה מודל שככה להציג, בוודאי לכבוד יום המדע, בפתיחה לתת לך לכבוד יום המדע להציג דברים, להגיד דברים. בבקשה, פרופסור חגי אייזנברג, האוניברסיטה העברית בירשולים, חוקר.

תודה. שלום, צהריים טובים יושב ראש הוועדה, חבר הכנסת מקלב, חבר הכנסת ילין. אני בא לכאן היום עם שני כובעים. קוראים לי חגי אייזנברג, אני, כמו שהציגו אותי, חבר סגל באוניברסיטה העברית במכון רקח לפיזיקה. יש לי מעבדה ניסיונית, אני בוגר של הטכניון, מכון ויצמן והשתלמתי שנתיים באוניברסיטה של סנטה ברברה לפני שחזרתי והמעבדה שלי קמה בשנת 2005 ומאז אני חוקר כאן.

אני רוצה עקרונית לקדם איזשהו רעיון כמו שהציג היושב ראש שתהיה יותר אינטראקציה בין קובעי המדיניות ויושבי הבית כאן לבין מדענים שיבואו כאן לבקר מדיי פעם, יתנו קצת שאר רוח, לאו דווקא את הדברים שמתחברים ישירות לעניין, אלא לפעמים בפריפריה דברים שמלווים וגם דברים שלפעמים קשורים לעניין אבל שיהיו יותר מפגשים כאלה של אנשי מדע עם חברי הבית.

והיום זו פשוט סנונית ראשונה מאחר ואמרו לי שיש יום המדע והגנת הסייבר אז אמרתי אמנם אני לא ממדעי המחשב אבל אני יכול להציג נושא שאני חושב שכן יעניין כאן הרבה אנשים בחדר ואני חושב שגם חשוב להגיד אותו ואני לוקח לעצמי את הארבע דקות הבאות להציג אותו. זה הכובע השני שלי שהוא מתקשר יותר לנושא המחקר שלי.

מה שרציתי לספר לכם שלמעשה בשנים הקרובות, ואנחנו מדברים על טווח שנים לא ידוע שבין שנים בודדות שלוש עד חמש שנים לבין, יש כאלה שאומרים 20, אבל כנראה לא הרבה, כל הדרכים הקיימות היום להצפנה, לדוגמה, באינטרנט, הולכות להעלם מהעולם, הולכות להיות obsolete, לא רלוונטיות והולכות למעשה להפרץ.

הסיבה לזה שאנחנו נמצאים במהלך של מהפכה שנקראת המהפכה הקוונטית השנייה. המהפכה הקוונטית הראשונה מייחסים אותה להמצאת הטרנזיסטור. המהפכה הקוונטית השנייה היא מתרחשת בשני העשורים האחרונים שאנשים התחילו להתייחס למידע שמיוצג במערכות קוונטיות. כמשלבים את תורת הקוונטים במערכות של מידע ומקבלים כל מיני מכשירים חדשים וגישות חדשות.

אחת מהן, שאולי חלקכם שמעתם, מדברים על בנייה של מחשב קוונטי. מחשב קוונטי זה מכונת חישוב שעובדת אחרת לגמרי מהטלפונים הסלולאריים שלנו והמחשבים, הלפטופים שלנו. היא עובדת לחלוטין שונה ויכולה לעשות דברים שונים.

מה אחד הדברים הראשונים שהראו שהיא עושה? פורצת את רוב הפרוטוקולים היום של תקשורת המוצפנים, ויותר ספציפית לבעלי המקצוע, הפרוטוקול הכי נפוץ היום באינטרנט שנקרא RSA, מחשב קוונטי יפרוץ אותו. היום ברחבי העולם, ה-NSA הודיע לפני שנה לגופים שחשוב להם העניין להתחיל להערך לעידן הנקרא עידן פוסט המחשב הקוונטי, שאחרי המחשב הקוונטי, להתחיל להערך אליו כי יודעים שמחשבים קוונטיים יפרצו בצורה יעילה את הפרוטוקולים האלה.

ישנן שתי דרכים שאפשר להערך ל"איום" הזה. אחת מהן היא פשוט, אנשים היום כותבים אלגוריתמים, כותבים פשוט שיטות חדשות של הצפנה. אבל גם השיטות האלה לא ברור אם הן לא יעמדו בפני המחשבים הקוונטיים. זה נכון שאף אחד עוד לא ראה, הראה איך, אבל יש סיכוי שגם הם לא יעמדו בפניהם.

ולכן יש שיטה שכבר הוצעה והודגמה ויש אפילו חברות שקמות ובונות מכשירי הצפנה כאלה, מכשירים שמצפינים תקשורת בסגנון הזה. זה נקרא, בצורה מפתיעה, הצפנה קוונטית. זאת אומרת, עוד טכנולוגיה קוונטית שמצליחה להתגבר על המחשבים הקוונטים שיפרצו.

בקיצור, אנחנו עומדים בפני עידן קוונטי שיסכן הצפנות וצריך להערך אליו. זאת הנקודה. לסיום אני רק אזכיר מה קורה בעולם. אני אספר לכם שהסינים באוגוסט, בקיץ, שלחו לוויון תקשורת ראשון, נקרא הלווין הקוונטי הראשון שממש השתמש בפרוטוקול הזה של ההצפנה כדי להצפין תקשורת לווינית.

ביקר אצלי עמית מארצות הברית שהוא מאוד מאוד מעורב שם ברשויות הפיתוח של ההגנה דרך דרפ"א ודברים כאלה. הוא אמר לי שהאמריקאים קוראים ללווין הזה היום הספוטניק הקוונטי. הוא כנראה הולך להתחיל איזשהו מירוץ חימוש של הצפנות ושל טכנולוגיות קוונטיות עם הרבה מאוד השקעה סביבו, הרבה בגלל הלווין הסיני הזה.

האיחוד האירופי יוצא עכשיו במה שנקרא היוזמה הקוונטית. זה משהו שיעניין את קובעי המדיניות. הם הולכים לתת בשנה הקרובה, בחודשים הקרובים, במסגרת היוזמה הקוונטית, The quantum initiative, 500 מיליון אירו בחמש שנים ומחפשים מדינות עמיתות שישתתפו בהשקעה הזאת, הכספית, כולה סביב טכנולוגיות קוונטיות. הצפנה קוונטית, מחשוב קוונטי ועוד כמה ענפים שהיריעה עכשיו קצרה מדיי בשביל לספר עליהם.

ולסיום אני רק אספר לכם שגם במדינת ישראל יכול להיות שיושבים כאן אנשים שאני פשוט לא מכיר שאפילו מודעים למה שאני הולך לספר, מפע"ת שזה גוף הפיתוח של משרד הביטחון נמצא במהלך דיי ארוך שבו הם הולכים להשקיע 7.5 מיליון ₪ בבנייה של מערכת הצפנה קוונטית, מה שסיפרתי עליו עכשיו, כבר רוצים את הטכנולוגיה הזאת בארץ. זה מכרז שהולך להגמר ממש בשבועות הקרובים להחליט מי יבנה את זה. זה בין אקדמיה לתעשייה. אני חושב שהרצינות והחשיבות של העניין הזה ניבטת מההשקעות הרבות האלה. תודה רבה לכם.

רגע, אבל לא מסתדר לי, 7.5 מיליון ₪ מול כמה אמרת?

ספציפית בהצפנה קוונטית - - -

אמנם לא למדתי תורת הקוונטים אבל בטח לא חישובים כאלה אבל נראה לי שזה כלום.

המענה פשוט. קודם כל אנחנו מדברים על טכנולוגיות קוונטיות שזאת יריעה הרבה יותר רחבה. ודבר שני אנחנו מדברים על כל האיחוד האירופי מול מדינת ישראל, משרד הביטחון, מפע"ת שרוצה להשקיע במערכת אחת. ההשקעה הזאת, ה-7.5 מיליון ₪, זאת השקעה מאוד יפה מבחינת משרד הביטחון. כמובן שגם גופים אחרים צריכים להיות מעודכנים, אני לא יודע מה קורה בגופים אחרים, אולי אנשים כבר שמעו על זה. בטוח יש כאן אנשים שלא נחשפו לזה פעם ראשונה היום ממנו אז אולי הם יוכלו להגיד מה הם עשו בעניין.

אני אגיד לך משהו, אם זה משמר את הכסא של הפוליטיקאים במקום אז יכול להיות שיתחילו להתעניין.

אני לא יודע אם זה צריך להיות באמת אתה אומר את זה בציניות וזה נכון אבל באופן אמיתי אתה מעלה נושא שזה נקרא, זה peanuts מתוך התועלת בכל מבחן שלא יהיה. כמובן, שזה, יש לזה חשיבות מאוד גדולה רק אנחנו צריכים שלא נאבד את זה. אנחנו אמנם נחשבים מאוד מאוד חדשניים ומתקדמים בנושא הסייבר, כל נושא ההייטק וכל נושא הפיתוחים. אבל בסופו של דבר יש גם נושאים שאנחנו איבדנו אותם. נושא של לווינים, אנחנו איבדנו אותם בגלל חוסר השקעה לא בגלל שום סיבה אחרת. זה היה אצלנו, היינו בוודאי מובילים בזה ואיבדנו את זה. מקום בדרישה של השקעות.

אני מביא את זה כדוגמה גדולה יותר אבל גם בנושא הזה זה משהו קטן שיכול להביא לצעדים מאוד מאוד גדולים ואתה באמת, אנחנו שמחים שאנחנו ראינו את המאמר של הפתיחה אבל במסגרת הדיון הזה לא נוכל להרחיב בעניין הזה. אולי מישהו בתוך הדברים שלו ירצה להתייחס לזה. מלשכת עורכי הדין אני רואה שמבקשים בעניין הזה.

אנחנו באמת חושבים שבחרת נושא מעניין שזה חובתנו ואנחנו נצטרך לקיים דיון מיוחד, אנחנו נציג בפני האנשים המתאימים. אתה מביא משהו לפתחנו שאנחנו צריכים להתייחס, אנחנו לא יכולים להשאיר אותו ככה.

עורך דין דן חי, יושב ראש הוועדה להגנת הפרטיות בלשכת עורכי הדין. איך זה משפיע מה שאמרת כל העולם הזה של הפיכת מידע לאנונימי, זה רלוונטי למשל בחוק נתוני אשראי החדש, יש שם פרק שעוסק בזה. איך כל העולם הזה מושפע?

יש מחשבות בכיוונים האלה גם על אנונימיות ועל תעודות זהות ועל דברים כאלה. הן מאוד מאוד עתידיות. את זה כבר הייתי שם במסגרת הטווח הרחוק, ההשפעה שלו. אנחנו מדברים עכשיו ממש על תקשורת מנקודה לנקודה בין גופי ביטחון, בנקים, דברים כאלה. אפילו זה לא יורד עוד לרמה של האזרח הפרטי בגלל שהטכנולוגיות כל כך מתקדמות.

המשמעות היא שמידע אנונימי יוכלו להפוך אותו בקלות בחזרה למידע מזוהה?

התשובה היא כן.

תודה. אנחנו אם ככה אתה מביא אותנו לצלול לנושא שאנחנו לשם כך התכנסנו, אתה רוצה להתייחס?

אני רוצה להתייחס כי זה מאוד מעניין וזה גם נוגע למערך של הסייבר. אנחנו, גם אורי מקלב וגם אני, היינו שותפים לוועדה שאורי ניהל אותה של התעודות הביומטריות. דיונים מאוד - - - אתה יודע מה, התרוממנו מעל הדיון הפוליטי הפשוט ובאמת בפעם הראשונה חוויתי את החוויה של דיונים שהם היו לעניין. זאת אומרת, לא - - - אבל כולם פחדו שבעצם דרך המאגר הזה 8 מיליון איש, הזהות שלהם פשוט תפרוץ לכל מי שרוצה ובעצם 8 מיליון מחבלים, לצורך העניין, אני לוקח את הקצה השני, יהפכו להיות עכשיו אזרחי מדינת ישראל. זאת אומרת, זה הצד הקיצוני שמציירים.

תחת זה נכנס גם הסייבר, אני לא סתם אומר את זה, כי הוקמה ועדה. הוועדה היא ועדה מטעם משרד ראש הממשלה ושקלה את כל השיקולים. עכשיו הסייבר בחקיקה עצמה יושבת מעל הוועדה ואתם בעצם קובעים. אתה שומע פה - - - לפעמים אני מרגיש שחלק מאתנו זה לא רק לבקר, אלא גם לחבר בין בני אדם ובין דעות בשביל להוציא משהו. בסנהדרין תמיד אמרו, אם אתה לא מצליח לשכנע לפחות תשמע את כולם ותגיד את המשפט שמחבר אחד, אחד, אחד.

אני חושב שזו הגדולה שלנו במדינת ישראל. היא מכבדת אבל היא גם יודעת לעקוף. זאת אומרת כששואלים אותי מה הדבר היפה שיש, אנחנו אלופי העולם בלעקוף את הבעיות. מה יפה בזה? שבמהות אנחנו לא משנים את המוצר אבל אנחנו יודעים לעשות את העקיפות האלה כי ככה גדלנו, זו מן תרבות כזאת.

זה חלק ממה שאני חושב אבל אני פה באמת רוצה שתתייחס גם למה שנאמר פה כי אם כך אז אנחנו כבר היום צריכים להתחיל את הדיונים בביומטרי אם צריך מאגר ואם לא לא בצורה פוליטית, אני עוד פעם אומר, אלא בצורה מדעית.

תודה על הדברים. השעון רץ, אנחנו באמת נצלול לעניין שלנו. מרחב הסייבר הוא נושא שאנחנו דנים בו ועוסקים בו, הוא רחב מאוד בשביל להגדיר אותו אבל אנחנו היום מדברים בנושאי של הממשלה על כל שלוחותיה ועל כל זרועותיה. וגם אנחנו מדברים על יחידות קצה. אולי השם הוא קצת מטעה, הגנת הסייבר. כדי להגדיר הגנה אתה צריך איזה מרחב מוגדר, איזה מרחב, להגדיר משהו שאתה נמצא ועליו אתה רוצה להגן עליו.

אז חלק מהעבודה היא גם עצם ההגדרה של דברים. איך שומרים על נתונים, איך שומרים על כל מה שיש לך, על כל ה-data, על כל מה שיש לך בעניין הזה בשבילך עצמך. אחרי זה יש לך אתה צריך להגן על חומרים שיש לך מאחרים חוץ מהחומרים שלך, של האזרחים, שאתה מקבל, דיברת על התעודות זהות הביומטריות.

אנחנו דיברנו על תעודות זהות ביומטריות והתברר לנו בדרך אגב, זה לא כל כך בדרך אגב, ש-2-3 מיליון מבעלי רשיונות נהיגה גם מחזיקים, משרד התחבורה מחזיק מאגר נתונים ביומטריים כאלה ואחרים שגם צריך התייחסות. קיימנו על זה דיון והתייחסו לזה. אין דבר היום שזה לא רק מהדבר הבולט שהוא בתקשורת. במגוון של דברים, במגוון של נושאים ובעצם מדברים על ממשלה שזה הגוף הגדול ביותר, אנחנו לא יכולים לא - - -

אנחנו גם יודעים שיש נושאים שהם מתקנים אסטרטגיים או תמ"ק של תשתיות ממוחשבות, קריטיות וחיוניות שאתם קוראים לזה בשפה המקצועית יותר ובכלל בשוק האזרחי, השוק הפרטי כל זה נמצא תחת הפעילות שלכם. אני אתן לכם להוביל איך אתם רוצים להוביל את הדברים. אני לא קבעתי את הסדר, אתם תראו את הסדר ומכאן נוכל לקבל התייחסויות של אחרים ולהרחיב אחרי זה את הדיון.

אז בבקשה, מר בוקי כרמלי, ראש הרשות הלאומית להגנת הסייבר. נמצא איתנו גם יאיר פראנק, ראש התקשוב הממשלתי, בבקשה.

שלום, צהריים טובים, אדוני היושב ראש, חברי הכנסת ולכל המשתתפות והמשתתפים כאן. קודם כל אני רוצה להודות על ההזדמנות להופיע פעם נוספת בפני הוועדה. ואני אזכיר לחבר הכנסת ילין שגם פעם קודמת נשאלתי שאלה לגבי הביומטרי, אני מבטיח לא לסיים את היום - - -

אבל הפעם אתה מופיע בחוק, זה ההבדל.

לא רק שאני מופיע בחוק אלא החל מהראשון במרץ שזה 14 יום אחורה הופעל צו ראש הממשלה ואנחנו גם אחראים בפועל על המאגר הביומטרי. אני אתייחס לזה בהמשך הדברים, יכול להיות ככל שתרצו להרחיב גם נדון בזה אבל אני מבטיח לא לסיים את היום הזה בלי תשובה לשאלה הקונקרטית שנשאלתי.

אני רוצה להתחיל רגע קצת אחורה ברשותכם. אני הופעתי פה ביוני או מאי שנה שעברה ודיברתי קצת על כמה דברים שיאפיינו את הרשות בהסתכלות שלנו. הייתי שמח לנצל את ההזדמנות בכמה דקות לעדכן את הוועדה איפה באמת הרשות הלאומית להגנת הסייבר נכון להיום.

אז יש ארבע זרועות שעליהן נשענת הרשות. הזרוע האחת היא הזרוע של הרגולציה. לא ניתן לייצר הגנה בסייבר, ואני עוד אתייחס לשאלתך, אדוני היושב ראש, לגבי על מה מגינים, יש תשובה ברורה ואפילו ניתן לכמת אותה. אבל לא ניתן לעשות את זה בלי לייצר "חינוך" של שוק וזה הרגולציה, זה תפקידה של רגולציה.

ככל שתרצו להעמיק בסוגייה הזאת נדבר על זה וגם נדבר על איך עושים רגולציה שהיא רכה. כזאת שעוזרת לשוק, אני קורא לזה רגולציה מאפשרת, ולא פוגעת בו. אנחנו מדברים על רגולציה בתחום המקצועות, בעתיד בשירותים ויתכן שעוד איזורים נוספים שבהם נרצה לבצע רגולציה כדי להעלות את רמת החוסן הלאומית.

הזרוע השנייה היא מה שאנחנו קוראים זרוע החוסן או זרוע הנחיה. רוב האנשים מכירים את זה כהנחיה. איך אתה מלמד את השוק להגן על עצמו מפני דברים מסויימים שנוגעים להגנת סייבר כמובן. אני פה אגיד שבמידה רבה ההנחיה היא סוג של הגנה סטטית. זאת אומרת, אתה מלמד את השוק לעשות דברים אבל עוצמתה של הגנה הולכת ופוחתת עם הזמן כי התוקף תוקף ללא הרף, כי הוא קונה את אותם מוצרים שהמגן קונה, כי הוא משתפר ככל שהמגן טוב. ולכן, הגנה כהנחייה איננה מספיקה.

אבל הנחייה עצמה מגלמת בתוכה שלושה מרכיבים: הבנה טכנולוגית מעמיקה, הבנה יחד עם הגופים המונחים של ה-business logic, איך עובד הארגון ומה הוא צריך לעשות, והדבר השלישי הוא הדבר המהותי שבעטיו להערכתי יש ערך למדינה, מה שלא הייתי יכול להגיד על גוף אזרחי רגיל, זה איך חושב התוקף מהצד האחר. מדינה יכולה באמצעות כוחותיה להבין את הדבר הזה ולתרגם את זה כמובן לתורת הגנה.

אז ככל שתרצו להעמיק בעולם של תורת הגנה ואיך נראית הנחייה גם לכך אנחנו ערוכים ואני מציב את זה על השולחן. זה לא נגמר בזה - - -

זה דברים שאפשר להעלות לדיון פתוח?

אני מודה לך על ההערה או השאלה. אכן אנחנו זוכרים שהדיון הוא ציבורי ומצולם להבנתי ומוקלט. אנחנו נקפיד לשמור את הדיון בלתי מסווג ועדיין נוכל לענות לפחות לחלק מהשאלות תשובה מפורטת.

אנחנו דווקא רוצים לדון בדברים שכן אפשר לדון בהם עד הקצה שאפשר. אנחנו לא נדון למשל, איך אומרים, ההגנה הכי טובה זה התקפה, אנחנו לא מדברים על ההתקפה. אנחנו מדברים האם אלוהים קיים או לא, אני לא יודע, אבל אנחנו יודעים שאנחנו מדברים על הגנה במובן שאפשר עד לשם. מרוב הדברים האלה של מה לדבר אנחנו בסוף לא יודעים. אנחנו צריכים לראות וחלק מהחוכמה גם כן להגדיר על מה אפשר לדבר, זה חלק מהעניין גם כן, במיוחד שאנחנו מתייחסים לגופים אזרחיים שאנחנו רוצים באמת להתייחס, בסופו של דבר, גם לגופים אזרחיים.

חלק מצידוק יומה של הרשות זה ביכולת שלנו, אנשים שבאים מכל מיני עולמות תוכן שונים ומשונים, שנוגעים כמובן לסייבר, לתרגם את זה לעולם הבלתי מסווג לטובת הגנת המשק האזרחי.

כשדיברתי על הנחייה זה לא רק לתת הוראות. בעולם העסקי יש תן וקח והוא נכון גם כשאתה עובד בעולם האזרחי, גם כשאתה בא בתור ממשלה ורוצה להנחות. וחלק מהתן וקח זה איך אנחנו כגוף בשם המדינה עוזרים לגופים אחרים לחסן את עצמם גם מרצונם.

אם אתם זוכרים, במפגש הקודם, אני דיברתי על רשת להפצת מידע מודיעיני - מודיעיני אזרחי ולא מודיעיני במובן הקלאסי שאנחנו מכירים, לגופים שאנחנו איתם רוצים לעבוד. קוראים לרשת הזאת סייבר נט. אני בזמנו דיברתי על זה שהיא תתחיל לעבוד. היא כבר עובדת, היא בהרצת פיילוט. אנחנו מעריכים שבמהלך השנה הזאת של 17' נראה יותר ויותר גופים מתחברים אליה. הם יקבלו מתוכה מידע. מידע שהוא רלוונטי להתקפות שאנחנו עליהן מקבלים מידע משותפים מחו"ל או מסוכנויות מקבילות או מידע שרלוונטי למחקרים שאנחנו עושים או מידע שרלוונטי - - -

כמו שאנחנו מקבלים היום בוואטסאפ אל תפתח את זה בגלל ש- - -

הוואטסאפ זה המקרה הקל - - -

אבל כל מי שמחובר אליך בקבוצה ש - - -

אותה לוגיקה כן.

ברור שזה שטויות מה שאנחנו אומרים אבל אתה - - -

ובכל זאת אני ממליץ לא לפתוח. אז כן, התשובה היא כן. וחוזקה של המערכת הזאת היא גם ביכולת לייצר סקטורים כי המידע לא תמיד רלוונטי לכולם. הוא רלוונטי לסקטור מסוים ולמגזר מסוים. מערכת שנרכשה, פותחה על ידי התעשייה הישראלית, היא בהרצה.

מתי זה יהיה ?

היא כבר רצה. אנחנו בתוך - - -

מתי אתה יכול להציג אותה פה בוועדה?

ברבעון השלישי של שנה זאת.

וכמה שתוכל גם להרחיב בכותרות שאתה אומר גם בנושא של לא רק הגנה אלא הגנה מהדלפה. אני מתכוון זה כבר משהו אחר. זה משהו מתוך הדברים הפנימיים, לא רק דברים חיצוניים. אנחנו לא התכוונו אבל אנחנו לא יכולים להתעלם מההדלפה הגדולה של ויקיליקס שאנחנו יודעים שזה, בכל אופן מי שלא יודע נבהל מדבר כזה ואומר, הנה בארזים נפלה שלהבת.

כשאנחנו מדברים בדיון הביומטרי וחבריי, חברי הכנסת יעל כהן פארן וחיים ילין יגידו שאנחנו שמנו דגש דווקא לא רק על דברים חיצוניים אלא גם על דברים פנימיים. בסופו של דבר גם יכול לקרות, הרבה מההגנה שזה תורה אחרת אני בטוח שזו הערכות אחרת וזה דברים אחרים מתוך דליפה של חומר. משהו שאנשים שהם מורשים, קרוב למורשים. כל הנושא הזה שאני מניח שהוא גם יהיה אצלך נושא, אני לא אומר שדווקא עכשיו, אבל אנחנו חושבים שזה גם צריך להיות אחד מהנושאים שאנחנו רוצים לדבר עליהם.

הכשל הוא בדרך כלל ב-low tech בבני אדם ולא ב- - -

כך אמרנו אז.

אני מסכים ואני באמת מציע לייחד לזה הסתכלות נפרדת מהדיון של היום אבל העולם שלנו שעוסק בהגנה איננו נגמר בטכנולוגיה. הוא עוסק גם באלמנטים הפיזיים שתפקידם להגן וגם - - -

(היו"ר יעל כהן-פארן)

אז התחלתי להגיד שאני מציע לייחד לזה דיון נפרד אבל אני בהחלט, גם ההסתכלות שלנו על הגנת סייבר איננה נגמרת בטכנולוגיה וברשתות אלא היא עוסקת גם באלמנטים הפיזיים, תפקידם להגן על דברים וגם באלמנטים האנושיים באשר הם ואפשר בהחלט לייחד לזה הסתכלות נפרדת מעבר לדיון היום על הגנת הממשלה.

אז שתי זרועות אלה שדיברתי עליהן עכשיו, הנחיה ורגולציה, הן במידה רבה סטטיות. לרשות יש עוד שתי זרועות נוספות שהיא בונה את עצמה בתוכן. הזרוע הנוספת זה הזרוע של להגיב לאירועים. אירוע בשפתנו זאת חדירה. אתה יודע שהצליחו לחדור לארגון. הניסיון מלמד שבדרך כלל אתה יודע את זה אחרי שזה קרה. יש מקרים שמגיע חשד מאוד מבוסס שמבוסס על מידע מאוד מהימן ואז אתה מניח שגם אם אתה עוד לא יודע אתה פועל כאילו אתה כבר יודע שחדרו לך לארגון.

לרשות יש מתודלוגיה מאוד סדורה בטבע הדברים את זה לא נוכל לפרט בדיון ציבורי אבל היא כוללת סדרה של פעולות שתכליתן במקורן זה דבר ראשון ללמוד איך עובדת התקיפה, איך היא הצליחה, איך היא חדרה, איזה חולשה היא ניצלה, איך מתפשטת וכן הלאה. שתיים איך לסלק אותה ושלוש איך לחסן את הארגון כלקח מהדבר הזה כדי שהוא לא יוכל לחזור.

כי זו לא חוכמה רק לסלק מתקפה אנחנו מתעסקים בעולם טכנולוגי אז שלושת הדברים האלה הם חלק ממתודלוגיה מאוד סדורה, מאוד מסודרת. הרשות מתרגלת את עצמה אחת לרבעון בדברים האלה. התרגולים שלנו, חלקם הם פנימיים שלנו, חלקם עם שותפינו לקהילה, אני עוד אתייחס לשותפים אבל זה חלק מהדברים שנעשו במהלך השנה הזאת, שנת ההקמה.

אנחנו מחזיקים בבאר שבע מתקן. הרשות היום נפרסת כרגע בשלושה איזורים ברחבי המדינה, במרכז הארץ בשני אתרים ובבאר שבע בפארק הסייבר. שם נמצא גם מתקן הסרט הלאומי ואני מתכבד להזמין אתכם, חברי הוועדה, לבקר במתקן הסרט הלאומי שלנו. אפשר לראות שם דברים שמשקפים הלכה למעשה את מה שאני מדבר כאן.

אגף הסרט שלנו שהוא חלק מהרשות אחראי לטפל גם באירועים. אנחנו מחזיקים שם מרכז, אנחנו עוד לא קוראים לזה call center, אבל בכל מובן שהוא זה call center. מספר טלפון של הסרט, עוד לא הפצנו אותו ועוד לא חשפנו אותו לציבור, למרות שאגב התוכי של אחת מחברות התקשורת עושה לנו עבודה נהדרת, הוא פשוט עושה עבודה מדהימה בשבילנו.

אבל מעבר לזה, למרות שעוד לא הפצנו אותו בקהילייה כבר מכירים את המספר הזה ואנחנו מקבלים סדר גודל של 60 פניות בחודש. מגופים, מחברות, מעסקים קטנים שפונים אלינו ואומרים שיש לנו בעיה כזו או אחרת. הרוב המכריע זה לא אירועים אלא בעיות, אבל אנחנו כבר מתחיליםי לייצר את הממשק הזה בין הרשות למשק האזרחי. אז זה לעניין הדבר הזה.

דיברתי עד עכשיו על שלוש זרועות, על רגולציה, הנחייה ותגובה לאירועים. הדבר הרביעי והוא מותר ההגנה הסטטית מההגנה החכמה זה בעובדה שאתה לא יכול להשאר סטטי. אם תשאר סטטי ההגנה שלך תאבד מתוקפה, ולכן אתה חייב להיות מאוד מתוחכם בדרך שבה אתה משפר את ההגנה ongoing.

אז בעולם הפיזי מכירים את זה. בעולם הפיזי שמים מארבים הרבה מעבר לחומה כדי ללכוד דברים. בעולם הפיזי מכירים את זה שמודיעין עוזר לך לשפר את היכולות שלך. יש לזה מקבילות גם בעולם הסייבר. טכניקות שתפקידן לבלבל את התוקף ולגרום לו להגיע למקום מסוים ששם אתה מחכה לו ושם, כמובן, לא יגרם נזק אלא תלכוד אותו. גם פה מטבע הדברים אני לא מפרט כאן, אבל בטכניקות זה ממש זרוע בפני עצמה בתוך הרשות שפותחה, מגיבה ופועלת לטובת ההגנה. ואני מדגיש לטובת ההגנה.

אלה ארבעת הזרועות שהרשות הקימה. כמובן שהיא נשענת על יכולות טכנולוגיות שהיא מפתחת בעצמה או רוכשת בתעשייה. היא נשענת על תהליכים של חקיקה. אתם הזכרתם קודם את החוק להסדרת הביטחון שעבר בקריאה שלישית באוגוסט. אנחנו כרגע בהכנת תזכיר חוק, חוק הסייבר, שאנחנו מחוייבים להגיש אותו בחודשים הקרובים. אני מניח שחלק מהנוכחים פה גם אם עוד לא ראו אז חלקם יראו חלקים ממנו.

תפקיד החקיקה הזאת להעניק לנו סמכויות כדי שנוכל לפעול, אני מזכיר לכם משפט שאמרתי בפעם הקודמת, לפעול בידיעה או בהסכמה של הגופים. אנחנו לא סוכנות, אנחנו גוף שפועל אך ורק מעל מסך הרדאר. הסכמה זה אומר שהגוף יודע שהמדינה יחד עם הגוף פועלת לסילוק המתקפה וידיעה זה אומר שהגוף יודע אבל הוא לא רצה ולא יכל ובית המשפט הוא זה שקבע את הדברים האלה. הרשות איננה גוף שיעבוד מתחת למסך הרדאר.

זה היה לסקירת הפתיחה. אנחנו באנו היום לדון בנושא של הגנת הממשלה והכנו שורה של התייחסויות, חלק מהן נבנו על סמך מה שראינו בעבודה שהוכנה לקראת הפגישה הזאת. אנחנו נשמח להרחיב. אני מציע לתת רגע לשותפי להגנת הממשלה, לראש התקשוב הממשלתי, יאיר, להמשיך מהנקודה הזאת ואחרי זה אנחנו ניתן לאנשים פה לדבר.

רק מבקש התייחסות לגבי הביומטרי.

אוקיי. אז זה מחוץ לקונטקסט הזה אבל אני בכל זאת לא יכול להשאיר את זה בלי תשובה.

אני רוצה להבין איך אתם הולכים לעבוד. איך שמים אגו בצד ומבינים שיש פתרון אחר שהוא לא מאגר אז אתם מעלים אותו, שזה מוריד את הסיכון, יש חשיבה שהיא מעבר לקופסה הפוליטית. אתה יודע, הכל פוליטי פה אצלנו.

למזלי לא בסייבר, אבל כן.

אבל בחוק הפילו עליך תיק שהוא פוליטי, מה לעשות.

ככה, ראשית הבוקר אנחנו היינו בוועדת חוץ וביטחון בוועדת המשנה של הסייבר כדי להשיג באמת את ההסתכלות שלנו על הגנת המאגר הביומטרי. אני אגיד שני משפטים כדי שזה יובן. אחד, יש מאגר ביומטרי ויש תהליכים שמובילים לצבירת המידע במאגר הביומטרי. הדיון הציבורי שעוסק במאגר הביומטרי כמקום שבו יצברו את המידע עוסק בשאלה האם המאגר הביומטרי מוגן. אני אגיד את זה בצורה מאוד נחרצת - - -

לא רק. הדיון הציבורי הרחב יותר - - - מאוד לשאלה הזאת.

אני שמח שאת אומרת את זה כי ההתרשמות שלי מהדיון הציבורי היא חוסר יכולת להבחין בין התהליכים שמובילים אל המאגר והמאגר עצמו. כולם מדברים על המאגר. אני אגיד על המאגר עצמו אמירה מאוד מקצועית, אני גם חתום עליה. אני התבקשתי על ידי ראש הממשלה באזור סוכות שנה שעברה להכין חוות דעת מקצועית לדבר הזה. היא גובשה יחד עם החברים שלנו בשירות הביטחון הכללי ויחד עם הגופים הרלוונטיים במדינת ישראל שיודעים לפעול כשהם נדרשים לכך.

וחוות הדעת הזאת היא חד משמעית - המאגר כמאגר הוא מאגר מוגן ברמה מאוד גבוהה, יותר גבוהה מהרבה מאוד מקורות אחרים במדינת ישראל. ויותר מזה, אני אגיד על המאגר עצמו מתקיים כלל שיש בה אין יוצא וזה דבר מאוד מהותי. ואני קורא ושומע את השיח הציבורי, להערכתי השיח הציבורי לא מדייק בהבנת הארכיטקטורה של המערכת. המאגר עצמו כמצבור מידע או יש בה אין יוצא.

זה לא אומר שאין בתהליכים אליו הזדמנויות אחרות שעליהם צריך להתגונן.

על זה דנו. כי המשטרה שנמצאת גם פה היא אמרה באיזשהו שלב, לנו אין עניין. אבל התקנות שיביאו עכשיו משטרת ישראל לגבי השימוש באותו מאגר מדליקים נורה אדומה מאוד חריפה. זאת אומרת שאם עכשיו אין לי תעודות ולוקחים לי טביעת אצבע ברור לחלוטין שיש פה חיבור בין אותו שוטר שנמצא בפטרול או שנמצא על הכביש לבין המאגר. לא יכול להיות אחרת. ואם יש דבר כזה - - -

אני לא אגיב בשם המשטרה.

לא, אז אני מסביר לך מה היו הדיונים. היו הרבה יותר רחבים. לכן, אני אומר, אין לי בעיה עם האמירות שאתה אומר אבל צריך גם לדעת להתמודד מול התקנות שיגיעו. ואם אתם, עכשיו שאתם הופכים להיות הרגולטור, אם אתם לא תהיו בדיון של התקנות בוועדה המשותפת אז כולנו הפסדנו. ואני מנסה לדלג על הפוליטיקה.

אני באמת שם אותך במקום שיאללה, אוקיי, אם הדיון הלך ימינה או שמאלה זה פחות מדאיג אותי, עכשיו החוק עבר. איך אתה מונע מזה שהמידע באמת לא ידלוף ואיך עושים שימוש במידע ובמאגר לא כמשטרים טוטאליטריים, זה אתגר מאוד גדול. הוא האתגר של הדמוקרטיה לדעתי. אתה יושב שם בפירמידה.

ואם להוסיף לזה, אתה התייחסת לאלמנט הטכנולוגי של מוגנות המאגר - - -

התקיפתי, לא בהכרח טכנולוגי.

אבל תקיפתי וטכנולוגי. אני חושבת שחלק מהדיונים גם היו בוועדה המשותפת ההתייחסות לאלמנט האנושי. שיהיה בכל זאת מספר אנשים, גם אם מצומצם ככל שיהיה שהם בסוף אלה שיש להם את הגישה למאגר ומה קורה שם. ורק ראינו כתבה מזעזעת שהייתה לפני מספר ימים על שוטר שדלה נתונים על נשים מאוד מאוד מוחלשות ולא תקף אותן מינית אבל היה פה ניצול של חולשתן לצורך ענייניו. ולשוטר יש נגישות למאגר של המשטרה של אנשים חלשים.

אני, כמובן, שוב, לא מגיב בשם המשטרה, אם המשטרה תרצה היא תגיב ומשרד הביטחון מגיב. אני אגיד רק לגבי המאגר עצמו, שאם הנושא הזה היה באג'נדה גם היינו מבקשים מאנשי המאגר להגיע לכאן.

אני אגיד ככה, המאגר עצמו מפורק לשני חלקים. חלק אחד זה חלק של המידע הביומטרי שהוא מידע שהוא מוצפן. לא קוונטי אבל מוצפן. מוצפן חזק. והחלק השני זה החלק שקושר בין הפרמטרים לאנשים והוא בכלל לא נמצא בתוך המאגר הוא נמצא מחוץ לו במקום אחר. כדי לקשור בין הדברים האלה צריך לבצע מהלכים בשני מקומות שונים בשתי תקיפות שונות בלתי תלויות.

הנגישות למאגר, למידע הדיגיטלי זה שאנשים קוראים לו המידע הביומטרי היא בידי 11 איש בלבד. והם היחידים שיכולים לגשת למידע הזה ולראות אותו. בשום מצב שהוא אין קישור החוצה טכנולוגי. אין קישור מהמאגר אל העולם החיצון. העסק הזה מנוטר, מפוקח.

אני אגיד משהו לעניין תהליכים. אתם בוודאי יודעים שהתקבלה החלטת ממשלה שהממונה על היישומים הביומטרים יהפוך להיות חלק ממערך סייבר. זה כדי לייצר סינרגיה מוחלטת בהסתכלות שלנו בין המגנים לבין תהליכים אחרים שלא בהגנת הסייבר הקלאסית אלא כמו תקנות וכולי. מוגן חזק מאוד.

כן אבל עדיין זה בהיי טק. ככל שאנחנו נתקדם טכנולוגית הפחד שלי שבסוף הפלאפון של דור אחד אי אפשר יהיה לעקוב אחריו, אתה יודע.

אני אזכיר לך, חבר הכנסת ילין, מה שאמרתי לך פעם שעברה אתה זוכר?

כן.

אני אוכל לחזור בשביל הפרוטוקול על התשובה ההיא?

בבקשה.

אני אמרתי למי שלא שמע את זה פעם שעברה שגם מטוסים נופלים וגם מכוניות מתנגשות ובכל זאת העולם לא הולך אחורה הוא רק עושה את זה יותר משוכלל. למטוסים היום יש מערכות שלישיות ורביעיות, המכוניות נהיות אוטונומיות ויום אחד הן יהיו מאוד משוכללות. אין לנו ברירה. להגן ולדאוג שמרווחי הזמן בין תקיפה לבין הצלחת תקיפה יהיו מאוד גדולים כדי שהמגנים תמיד יהיו ביתרון עליו. אבל אסור לנו לעשות את הקדמה. זאת אמירה כללית שלא נוגעת דווקא לאמירה פוליטית.

אני זוכר שגם אמרתי לך שאיינשטיין אמר, היום יום המדע, שאנחנו לא יודעים איך תראה מלחמת העולם השלישית אבל ברביעית נזרוק אבנים.

טוב, מר כרמלי, אני אשמח אולי בהמשך הדיון לתת לך עוד זמן לתגובה. אבל אנחנו נמשיך, אלא אם יש לך משהו שלא נאמר, אנחנו נמשיך למר יאיר פראנק, ראש רשות התקשוב הממשלתי. אז אני רק רוצה לשאול אבל אם תוכלו להגדיר לנו, אולי כל מי שיושב בחדר מבין היטב את ההבדלים אבל אני עדיין לא, אז תעשה לנו סדר, תודה, בבקשה.

אני אעשה את זה. קודם כל תודה ואחר צהריים טובים. אני חושב שהתמונה הכי טובה לאיך עובדת רשות התקשוב הממשלתי, ועוד רגע אני אגיד כמה מילים על הרשות, והרשות הלאומית להגנה בסייבר איך עובדים ביחד הדוגמה הכי טובה זה שאנחנו יושבים אחד ליד השני. רוצה לומר שיש שיתוף פעולה מלא בינינו ולא בליסטראות משני צידי השולחן. אני חושב שהדבר הזה הוא הבסיס ליכולת שלנו באמת ואני מסתכל רק על המרחב הממשלתי, עמיתי מסתכל על כל המדינה, או היכולת שלנו בבסיס לעשות את העבודה כמו שצריך.

שתי מילים על רשות התקשוב הממשלתי. רשות התקשוב הממשלתי היא הגוף המנחה של משרדי הממשלה ויחידות הסמך בכל מה שקשור לעולם מערכות המידע פעם אחת ופעם שנייה זה הגוף שמפעיל את האתרים המרכזיים של הממשלה, אתרי האינטרנט של הממשלה, את השירותים של הממשלה שמשרדי הממשלה עושים, מה שנקרא אתר gov.il. שדרך אגב עובר כרגע שדרוג ואני מזמין אתכם להסתכל.

ולגוף יש עוד שתי זרועות ביצועיות. אחת זה יהב, זו יחידת ההגנה על הסייבר בממשלה. יושב כאן גדעון קונפינו שהוא מנהל היחידה והוא יסביר לפרטים עוד מעט מה היחידה עושה. והחלק הנוסף של הרשות - - -

יש בעיות בקואלציה, הסייבר לא מסוגל לפתור את זה. כי בסוף בני אדם זה בני אדם - - -

אמרת התרבות, זאת תרבות של ניהול, קואליציה-אופוזיציה, זה תרבות. צריך לדעת להתנהל, צריך לדעת איך להתנהל. אתה קובע ב-13:20 באמצע. עד עכשיו מחכים אין מספיק אנשים אז דוחים את זה ל-14:15, זה תרבות של דברים. זה לא היה קורה, זה לא סתם רק אילוץ. צריך להפנים איך מנהלים דברים. אנחנו לא נעשה מה שהם עושים לנו.

בבקשה יאיר.

החלק הנוסף של רשות התקשוב זה יחידה שעוסקת בכל מה שתלוי בשיפור השירות לאזרח והורדת הנטל הבירוקרטי. היא מפרסמת את מדד איכות השירות של הממשלה על הערוצים שלו, גם הערוץ הפרונטלי, גם הערוץ הטלפוני, המדד הזה מפורסם זו השנה השנייה וזה מה שהרשות עושה.

יהב, היחידה להגנה על הסייבר הוקמה בתוך רשות התקשוב כיוון שאנחנו מבינים היום שאי אפשר יותר לדבר על עולם של פיתוח מערכות דיגיטליות ומערכות מידע ובנפרד לדבר על הגנה. אם זה לא הולך שלוב ביחד זה לא יקרה. ולכן, מבחינתנו הנושא הזה הופך להיות דרך חיים. אנחנו רוצים לראות את מנתח המערכות ואת התכניתן ואת כל אלה שעוסקים בפיתוחים של המערכות הדיגיטליות כאלה שמדברים ומבנים את שפת ההגנה וכבר בתהליך הפיתוח של המערכות וחשיבה של המערכות הם חושבים בצורה הגנתית.

כי אם נניח, לצורך העניין, נכתב קוד של תוכנה בצורה לא מוגנת יותר קל להשתלט עליו אחר כך ולעשות איתו מה שרוצים - - -

אבל זה לא האינטרס שלהם שלא יפרצו ויעתיקו?

השאלה מי זה שלהם. אתה מבין - - -

בדיוק. השאלה באיזה תוכנות אתה משתמש. בעצם כל gov.il הכל פיתוח in house ממשלתי?

אנחנו היום לא מפתחים שום דבר לגמרי מ-scratch לבד. השנים האלה עברו. אנחנו מבוססים על מוצרים של חברות בינלאומיות. אנחנו אף פעם לא יכולים לדעת אם בתוך המוצרים האלה אין כל מיני פטנטים, ולכן הנושא של הגנה בא בשכבות. קודם כל בוא נפתח את זה נכון ואחר כך נתחיל להגן.

כמו שעושים הגנת בסיס, הגנת מחנה. אחר כך נעשה הגנת מחנה מסביב ואם צריך נעשה עוד הגנה מסביב, זה עובד בשכבות. אבל אם הבסיס רעוע, פעם שהצלחתי להכנס לתוך המחנה אני בפנים ואני יכול לעשות מה שאני רוצה ולהשתלט על הקוד שכתבנו. ואם למשל יש לנו שרת תשלומים מרכזי של הממשלה, סלק בשנה שעברה 49 מיליארד ₪, אני אשתלט על מספרי כרטיסי אשראי, אני אקח את התנועות האלה ובמקום להעביר את זה לחשבון א' אני אעביר את זה לחשבון ב'. לכן כל הדבר הזה בנוי כתפיסת עולם.

זה משהו שהעולם של מערכות המידע כל כמה שנים עובר איזה גל כזה. פעם התעסקנו בזה בנושא של אבטחת האיכות. היינו קודם כל מפתחים מערכות ואחר כך בסוף התהליך היינו בודקים את האיכות. היום האיכות משולבת מהאיזון. גם העולם של הייצור עבד פעם ככה שאיכות בודקים רק בסוף תהליך הייצור.

היום כל העסק הזה השתנה, ולכן יהב היא חלק אינטגרלי מתוך רשות התקשוב כמי שמנחה את גופי מערכות המידע ונמצאים כאן סביב השולחן מנהלי מערכות המידע של חלק מהמשרדים ויחידות הסמך של הממשלה שראש רשות התקשוב בהנחיות שלו - - - אז אנחנו רואים את הדבר הזה משולב.

שאלתם מקודם איך אנחנו פועלים ביחד. אנחנו פועלים ביחד - - -

האם אין כאן כפילות מצד אחד או - - - נשמע שאין כפילות אבל בעצם צריך שהגוף יעבוד בשיתוף פעולה.

אני אסביר. אני מניח שבוקי סקר את זה בעבר איך הרשות בנויה. היא עובדת למול מגזרים. אחד המגזרים זה המגזר הממשלתי. בתוך המגזר הממשלתי שהוא מגזר מאוד גדול עם עשרות גופים וכן הלאה יהב עובדת למול המשרדים כשהיא עובדת עם ההנחיות של רשות הסייבר. רשות הסייבר הלאומית מוציאה הנחיות לתפיסת עולם ומדיניות וכן הלאה ותורת ההגנה. אנחנו לוקחים את זה לתוך יהב. איפה שצריך לעשות התאמות כאלה ואחרות לעולם הממשלתי אנחנו עושים את זה, כמובן בתיאום, מנחים את הגופים ועכשיו צריכים לבקר שהגופים עושים את זה.

בסוף בסוף בסוף צריך להגיע לטלפון האחרון של עובד המדינה ולמחשב השולחני האחרון של אחרון העובדים בממשלה ולראות שהעסק הזה עובד אז כך שהשרשרת הזאת מתחילה עכשיו, כמובן, להזרים מים בצינורות, כי הרשות קמה לאחרונה, וזה נראה שזה הולך לעבוד לא רע בכלל.

יתירה מזאת, אם אנחנו עכשיו מדברים על הצד השני של לבדוק שהדברים קורים אז הזכיר בוקי את הנושא של הסרט הלאומי. בתוך הסרט הלאומי שרואה ראייה כוללת מדינת ישראל יש לו בפנים מקום שנקרא סו"ק, נעזוב כרגע את כל ראשי התיבות האלה - - -

מרכז ניטור.

מרכז הניטור של הממשלה שיהב מקימה את מרכז הניטור הזה בתוך הסרט הלאומי ופועלת אינטגרלית יחד איתו. רוצה לומר, אנחנו משולבים ביחד שלכולנו ברור מה הסדר הנכון של העבודה. הנחיות, מדיניות, לרוץ לבצע והנחיות ספציפיות שיהב חושבת שצריכה להנחות.

ויהב היא - - -

יהב היא תחת רשות התקשוב. כי רשות התקשוב עובדת, אני אומר עוד פעם, בהנחיות לאגפי מערכות המידע ולממונים בסייבר גם בנושאים אחרים. זה איך נכון לפתח ואיזה כלים ואיזה שפה. איך נכון לעשות, לאחרונה הוצאנו הנחייה בתחום הגלישה הנאותה. איך נכון לגלוש וכן הלאה.

אני חייב לציין עוד נקודה אחת זה שכחלק מתוך תהליך העבודה יהב מרכזת את הפורום של הממונים במשרדי הממשלה על הגנת הסייבר ודואגת להפריה והעברת מידע בין האנשים האלה ולמידה משותפת. גדעון היום חזר מפורום כזה ש- - - כינס.

ונקודה אחרונה אני רוצה להגיד שכבר כיום רשות התקשוב מגנה על משרדי הממשלה, לא על כולם, אבל על חלק מאוד ניכר ממשרדי הממשלה, מגנה עליהם בצד הגלישה לעולם האינטרנט, הקישור לעולם החיצון. משרדי הממשלה מחוברים אלינו ודרכנו לספקי האינטרנט והתווך הזה מוגן. ופעם שנייה, הגנה על אתרי הממשלה שמהם אנחנו חוששים שכל מיני פעולות כאלה ואחרות.

יתר הדברים אני מציע ששני החברים שעושים את העבודה ביום יום הם יפרטו.

ואתם אחראים גם על חברות ממשלתיות?

לא. זה לא בסמכות שלנו. הסמכות שלנו על פי החלטת ממשלה 2097 משרדי ממשלה, יחידות הסייבר.

תודה רבה לך מר פראנק. פרנקו רפאל, ראש אגף בכיר לאסדרה ברשות הלאומית להגנת הסייבר.

אחר הצהריים טובים גברתי, אדוני. אני ברשותכם רוצה לעדכן על מספר פעילויות גם לאור הסקירה שרועי כתב שקורות הלכה למעשה בממשלה. חלקן ממש קורות בעצם בימים אלה, חלקן הסתיימו. אני אתן סקירה כפי שאנחנו חשבנו לנכון שיכול לעניין את חברי הוועדה.

אני אתחיל ברשותכם במה שאנחנו קוראים כח אדם בממשלה. הדבר הראשון שאנחנו ניגשנו להסתכל על כח האדם בממשלה שעובד בעולם הגנת הסייבר בממשלה. חשוב לומר שחלק גדול ממרבית העובדים הם נותני שירות למעשה, הם לא עובדי מדינה, הם נותנים שירות בתחום הגנת הסייבר לממשל. הלכנו לתהליך של בכלל לבחון את איכות השירות במגזר הממשלתי אבל בכלל איכות כח האדם בסייבר במדינת ישראל.

בשלב הראשון אני יכול לומר שהפעלנו את מכון גרטנר לשאלה מהסוג הזה באמת קיבלנו פער אמיתי גם בכמות וגם באיכות של עובדי כח האדם בעולם הגנת הסייבר. בתהליך הזה אנחנו נכנסנו למה שקוראים תהליך הסמכה. כמו שאמר ראש הרשות, אמר על רגולציה, תהליך הסמכה. וכבר עכשיו במכרז הנכוני, פאתי 2018, אנחנו למעשה נבקש הסמכה או רמת ידע של כל האנשים שנותנים שירות לממשלה. וככה אנחנו קודם כל מבטיחים את איכות האנשים וכפועל יוצא מזה כמובן את עולם החוסן.

הדבר השני שחשוב לומר שביחד גם עם התקשוב ויש פה שילוביות וגם עם מטה הסייבר התקנו אנשי הגנת סייבר בכל משרד ממשלתי. בכל משרד ממשלתי יש פונקציה - - -

תקן שלם?

כן. איש שזה המשימה שלו. יכול להיות בנוסף לתפקידו. בחלק מהמשרדים בוודאי שלא. בחלק מהמשרדים הקטנים בוודאי שלא, בחלק יותר. מה שחשוב לומר שיש פונקציה כזו שרואה את הגנת הסייבר במשרדי הממשלה. וזה כמובן עבודה יחד עם המטה וכמובן יחד עם יהב התקשוב הממשלתי. אתם תראו שמספר נושאים שאני אסקור, מטבע הדברים אנחנו יש לנו פה שיתופיות מלאה.

אחד הנושאים החשובים שאנחנו רוצים לציין אותם בראשון ביוני הקרוב זה נושא של שילוב חרדים בעולם הסייבר. באחד ביוני יחד עם משרד הכלכלה אנחנו פותחים שתי כיתות, בעזרת השם, אחת בבני ברק ואחת בירושלים. בכל כיתה יהיו 20 חרדים. אחד הדברים שעשינו שגם הלימודים יהיו אחר הצהריים כך שלא יפגעו בלימודי הקודש שלהם, ישבנו עם רבנים. ממש התאמנו לאוכלוסייה מענה ייחודי ויותר מזה ראש הרשות התחייב שכאשר הם יסיימו את ההכשרה שלהם רשות הסייבר באמצעות קבלני ה-IT תקלוט לשורותיה חלק מהמסיימים.

בתהליך הזה גם תהליך מצד אחד של רגולציה אבל בצד השני הנעת השוק, הכשרה יחד עם משרד הכלכלה ובסוף קליטה. אנחנו מנסים לייצר איזה מכניזם שבסופו של דבר גם משפר את רמת ההגנה, גם מכניס אוכלוסיות חדשות לתוך עולם מתקדם ובכך אנחנו מקווים כבר בראשון ביוני לפתוח את המחזור הראשון, כמו שאמרתי שתי כיתות.

אני מבטיח ליושב ראש שזה הרבה יותר מאתגר מלהגן על המאגר הביומטרי.

יש לי שאלה. ציינת במיוחד את שתי הכיתות של האוכלוסייה החרדית אבל יש גם הכשרות כלליות לכלל האוכלוסייה או שפה אתה מניח שאין בעיה יחסית לאוכלוסיות אחרות למצוא עובדים?

לדלג על חסמים או לקדם - - -

אני מבינה. אבל השאלה אם גם עושים הכשרות לכולם.

מערך ההכשרה ברשות מוקם בימים אלה. סך הכל הרשות צעירה. מערך ההכשרה רואה את עצמו מכשיר או עושה סוג של העלאת מודעות מהאזרח ברחוב ועד משרדי הממשלה, תשתיות קריטיות, שתיכף אני אגע בנושא הזה, שכמו שציין ראש הרשות, חלקן עברו בראשון במרץ לאחריות הרשות.

זה לא תפקיד המטה, סליחה על השאלה.

של מה?

להקים הסדרת שוק.

לא.

החלטה 2443: "על המטה להקים יחידה שייעודה להסדיר את שוק הגנת סייבר לרבות אנשי מקצוע, שירותים ומוצרים".

זה היה טרום הקמת רשות - - -

אני רוצה להסביר שנייה. צריך להבין שבסוף הרשות, זה מתקשר לשאלה אחרת שעלתה ואני ארצה במפגש סיכום שלי ככל שינתנו לי להסביר על האבחנה בין מטה לרשות. צריך לזכור שבסוף הגוף הגדול זה הרשות והגוף שמעסיק את האנשים בפועל זו הרשות. היא עוסקת בהגנה. היא יושבת מול ה-keyboard לצורכי העבודה, ולכן מאוד טבעי שאנחנו, שאנחנו נאבקים במצוקה מאוד גדולה של מצאי אנשים טובים במדינת ישראל להעסיק אותם בהגנה נראה באוכלוסייה הזאת עוד פוטנציאל, ולכן אנחנו גם נראה את עצמנו כמעסיק. אז לכן גם אם ההחלטה אמרה שזה יהיה המטה מאוד טבעי שהרשות תעשה את זה לפחות במגרש שלה.

באותו מועד של החלטת הממשלה על הקמת הרשות היו שתי החלטות ממשלה. אחת מהן מתייחסת להקמת הרשות והשנייה כוללת גם את ההיבט הזה. זה לא טרם הקמת הרשות. זה משקף - - -

זה משקף חוסר קוהרנטיות מסוימת.

המורכבות - - -

אפשר להוסיף עוד אבל זה לא שזה רק זה.

אבל לאיזה מטה זה מתייחס? סליחה, אני לא הבנתי. זה מטה שזה כבר לא קיים.

מערך הסייבר מורכב ממטה הסייבר שנועד להתוות מדיניות כללית בתחומי הסייבר ומרשות הסייבר שתפקידה להגן על מרחב הסייבר הישראלי. תחת שתי אלה פועל מתוך התקשוב הממשלתי יחידת הגנה לסייבר שהיא יחידת הגנה על הממשלה ויחידות הכוונה מגזריות שאמורות להיות מוקמות בתוך כל רגולטור ואמורות להנחות את השוק בתחומי אחריותו. אם זה נשמע לכם מורכב זה כנראה בגלל שזה מורכב.

לא זה לא מורכב בכלל. אתה מסבך דבר לא מורכב, סליחה.

אז תיכף תתייחס. מה היחס בין המטה והרשות, המטה עדיין קיים?

המטה קיים והמטה- - -

אני אסביר טוב. רצינו לשמור את זה לסיכום, אני אענה על זה עכשיו.

אבל הוא אמר שאת רובם או את כולם יש התחייבות או מטרה לשלב אותם גם בתוך - - -

מי זה אותם?

אותם בכיתות האלה שלומדים.

השאלה התחילה מזה שבכלל - - - מערך ההכשרה.

אם אתה מסתכל על זה בשביל גופים אחרים אתה צודק. אם אתה רוצה רק בשביל לשלם לאנשים. אתה מדבר כאן על תוך הממשלה, זה עובדים שהולכים להיות עובדי ממשלה, לכאורה, מי שבכל אופן ודאי יעמוד בקריטריונים. אז לכן הוא רואה את זה כעיבוי של המערכת של המערך שלו.

בוודאי, של הרשות.

ככה אני הבנתי אותך נכון? הוא ראה את זה כ - - - זה לא עכשיו שהם עומדים עכשיו על משהו ממשלתי שהם רוצים העדפה מתקנת, הוא רוצה בשביל עצמו. אז הוא החליט שיש לו קהל יעד שהוא עכשיו מכשיר אותם שגם יעבדו כנראה במה שהממשלה כבר יש להם. והוא רואה אותם כפוטנציאל בגלל שאלה שעלו כבר הוכיחו הוכחות טובות בשטח. הוא אומר, אני עכשיו כנראה - - - לא קשור למה שצריך מגזרים מיוחדים תעשו. זה כמעט וולנטרי, אבל וולנטרי עם מטרה. זה גם זה וגם זה הינו- - -

יצאנו מהשאלה הזאת והבנו שיש פה מורכבות. בואו נמשיך בנושא הזה - - -

מזה התחלנו. מורכבות - - - אבל אני בטוח שעם הזמן אנחנו נבין את זה.

אין שום מורכבות. זה נורא פשוט.

מי שלא מכיר אז זו מורכבות.

מי שמסתכל על זה מהסוף להתחלה רואה מורכבות. אבל מי שמסתכל על זה מהתחלה.

ניתן היה להציג את זה פה מהתחלה לסוף. כנראה שהייתה איזה חוסר הבנה באמצע אבל בואו, עוד שנייה מר כרמלי. כן - - -

יש לי איזה שאלה לבלבל עוד קצת, אם אפשר.

אז תן לרפאל לסיים ואז אנחנו נעבור גם לדוברים אחרים. בבקשה.

אני אמשיך, אני רק אענה לך על שאלת ההכשרה. אז כמו שאמרתי הרשות מקימה מערך הכשרה לאומי. ההכשרה הזאת תעסוק מהעלאת מודעות לאזרח ברחוב, איך הוא מתגונן בפני איומי סייבר ועד, כמובן, לממשלה, כמובן באמצעות יהב נענה על הצרכים. בימים אלה - - -

גם במגזרים נוספים מן הסתם.

כמובן, כמובן. ו- - -

רק המינוח שיהיה לנו קל בסעיף ההגדרות. השוק הכללי, השוק הפרטי, יש כאלה - - -

אנחנו קוראים לזה המשק, אנחנו קוראים לזה בני אדם ברחוב עד לתשתיות הקריטיות.

במילה אחת איך אתה קורא לזה?

משק אזרחי. הדבר השני שהייתי רוצה לעדכן, גברתי, זה תורת ההגנה לארגונים. בעצם בימים אלה אנחנו בטיוטה שמופצת ל-200 אנשי מקצוע, כולל כמובן במגזר הממשלתי. התורה למעשה זה המסמך הראשון, הרשמי, הישראלי שאינו מסווג שייצא בחודשים הקרובים לאחר שנבחן על ידי כמעט כל השותפים ועובר עכשיו היוועצות עם 200 אנשי מקצוע ואני חושב שזה יביא בשורה למשק וכמובן לממשלה.

הדבר השלישי שבוצע גם בשיתוף פעולה עם יהב זה ללמוד את הממשלה הישראלי על ידי שאלון וניתוח עומק שבו למעשה אנחנו אחרי ניתוח ובירור של 80% מהממשל הישראלי, מתוך כוונה לאתר גם את בעיות השורש וגם את בעיות הרוחב שלשם יוכל לכוון את מאמצי ה- - - .

במהלך השנה החולפת, חשוב לנו לציין, כי בסופו של דבר אנחנו מדברים על הממשלה, ולכן אני מתמקד, הופצו כ-12 הנחיות ייחודיות שעוסקות בהגנה על הממשלה הישראלי. עכשיו למה אני אומר שהן ייחודיות? כי רשות הסייבר באמצעות היכולות והשותפים שלה בארץ, קהילת המודיעין ומחוצה לה, הוציאו 12 הנחיות יחד עם יהב שבגינן לא רק לומר יש בעיה גם איך להתחסן בפניה. מבלי שמערכות הממשל תפגענה.

ב-1.3 יצאנו בהנחיה משותפת עם יהב לעבור למערכת הפעלה מחודשת. חשוב לומר שמערכת הפעלה מתקדמת windows 10 מכילה בתוכה פונקציות אבטחה. זה מהלך שייקח שנתיים קדימה. מדובר, רק בשביל לסבר את האוזן, ב-70 אלף תחנות קצה בממשלה הישראלי שידרשו לשדרוג והשדרוג הזה יבטיח אבטחה טובה יותר בתחום תחנות הקצה אם אנחנו מדברים - - -

למה אתה מתכוון תחנות קצה?

המחשב שיש לך על השולחן.

אוקיי. ואתה מחייב ? זאת אומרת, היום למשרד ממשלתי יש יכולת להחליט שאין לו כסף ועכשיו הוא מבטל, מדלג על השלב הזה או שהכל חובה עליו עד תאריך מסוים.

שאלה טובה. פיקוח. חוץ מהפיקוח הפנימי ש- - -

ראשית, ההנחיה פה משולבת ביהב וההנחיה היא הנחיה מחייבת אוקיי.

אולי זו באמת שאלה לגדעון ולא אליך.

בדיוק. אנחנו חילקנו בינינו את הסקירה. גדעון יש לו עוד המון נושאים שאני מטבע הדברים לא אגע בהם כי למרות שאני מראה שילוביות אני חושב ששם נעשים דברים אחרים, ולכן אנחנו חילקנו.

אם אפשר להתקדם לסיום.

אנחנו רוצים לתת את כל המענה על הממשל.

הרשויות המקומיות לא נחשבות מטעם משרד הפנים נכון? הרשויות המקומיות בכלל לא נמצאות.

הרשויות המקומיות - - -

למגזר הפנימי אין שום say בעניין של הרשויות המקומיות.

לא, אין.

לא בהנחייה, לא בשום - - -

הן חלק מהמשק.

זה מגזר לא ממשלתי.

- - - אבל לא ממשלתי.

משרד הפנים יש לו משהו - - -

אני אגע בעוד דבר אחד שחשוב, ברשותך, אחד - העברת משימת התשתיות הקריטיות שנמצאות במשרדים ממשלתיים. החל מה-1.3 הועברו מספר תשתיות קריטיות שיושבות בממשל מהנחיית שירות הביטחון הכלכלי להנחיית הרשות. וזה אומר ממשל זמין, הלשכה המרכזית לסטטיסטיקה, שע"מ, מכ"ס, ממל"ת, רשות האוכלוסין והרשות הביומטרית כמו שעלתה כאן קודם. אנחנו למעשה לקחנו אחריות וזה חלק מהממשל הישראלי - - - קריטיות שהתפקיד שלהן בהגדרה זה שירות חיוני לציבור, ולכן החשיבות שלהם נובעת מבחינתנו.

חשוב לומר ככה עוד איזה אמירה - - -

רגע זה מתוך דירוג של העברה - - -

מתוך העברת המשימה.

העברת המשימה אליכם אבל באיזשהו שלב כולם צריכים לעבור אליכם?

כן, עד סוף יוני.

אוקיי, זה פשוט בהדרגה.

פשוט סקרתי את אלה שכבר בממשל כי אני חושב שהן בעלות משמעות מאוד גדולה למה שאנחנו קוראים שירות חיוני לציבור.

דבר אחרון שעלה גם בסקירה, אז ראשית, כמו שנאמר על אגף הסרט שמקיים פעילות בדרום, חשוב לומר שלא ניכנס לפעילות מבצעית אבל כבר היום מנוהלים כ-10 פעילויות מבצעיות, מתוכן ארבע בעלות משמעויות לאומיות וזה גם מראה על התארגנות מבצעית, חלקן גם באזורי הממשל. ואנחנו, מן הסתם, ערוכים גם בהיבט האופרטיבי ולא רק בהיבט ההנחיות ורגולציה.

דבר אחרון שעלה גם במסמך של רועי זה נושא של מזכר ההבנות, מזכרי ההבנות בין גופים. חשוב להגיד שבאמת בקשר שבין רשות הסייבר לעמיתינו, מוסד, צבא, משטרה וכמובן, שירות הביטחון הכללי, יש מזכרי הבנות ואנחנו מתחמים ומגדרים ומטייבים ויש קשרי עבודה טובים.

חשוב לומר שמה שהחל בשירות הביטחון הכללי, מה שהתחיל ברגל שמאל עבר לפסים מאוד טובים ברגל ימין ואנחנו יודעים לעבוד ביחד, עובדים ביחד, מנהלים פעילויות הנחיה ופעילות מבצעית בצורה משותפת. חשוב לפחות להכיר את זה כי אלה דברים טובים שקורים. בתהליך חתימה למזכר הבנות מול מלמ"ב ורמות, רשות משפט - - - עד כאן העדכון שלי לממשלה.

תודה רבה מר רפאל. ואנחנו נעבור עליך מר גדעון קונפינו מרשות התקשוב הממשלתי, מנהל היחידה להגנת הסייבר הממשלתית. אז הכל על כתפיך.

תודה רבה גברתי היושבת ראש, תודה רבה אדוני היושב ראש, חברי הוועדה. אני שמח להיות כאן להציג את היחידה שאני עומד בראשה. היחידה הוקמה כחלק מהחלטת ממשל 2443 מה-15.2.2015. היחידה פועלת בכפיפות לראש רשות התקשוב הממשלתי ומונחה מקצועית על ידי הרשות הלאומית להגנת הסייבר. כמובן היא עובדת בתיאום עם כל הגופים האחרים שעוסקים, הרשות למשפט טכנולוגיה ומידע במשרד המשפטים ושירות ביטחון כדי שהממשל יקבל מענה אחד לכל צרכי אבטחת המידע והגנת הסייבר שלו.

כמו שאמר יאיר ולפניו אמר בוקי מתקיים שיתוף פעולה פורה, יום יומי, בכל תחום העבודה של היחידה שלי. הן בפרויקטים משותפים שאנחנו לוקחים סקרי סיכונים בכל משרדי הממשלה, הן בהקמת הסו"ק הממשלתי במתקן בבאר שבע. זה גם איגום משאבי וגם איגום ידע. כלומר, לא להקים שני מרכזים של ניטור, אלא יש מקום אחד במדינה שעושה ניטור גם בממשלה וגם במגזר - - -

הם הזמינו אותנו לסיור.

אנחנו גם מיוזמתנו רצינו להגיע וסיכמנו כבר על - - - שיהיה ברור. אנחנו נוסעים בפגרה הזאת.

נשמח שתבואו לבאר שבע ונארח אתכם שם, מקום מאוד מרשים.

בנוסף עבדנו על מיפוי מאגרי על, מאגרים מרכזיים בממשל שצריכים לקבל תשומות נוספות של הגנה וזה לא רק המאגר הביומטרי. מיפינו כ-15 מאגרים שקיימים בממשל כדי לתת להם הגנה אפקטיבית.

אנחנו עובדים על פרויקט משותף בשדרה הממשלתית. פרויקט שמשרדי הממשלה יוכלו להעביר מידע בין המשרדים ללא העתקת המאגר בין משרד למשרד. הדבר גם משפר את השירות לציבור בגלל שהנושא שלפעמים המידע לא מועתק ואז מבקשים את האזרח לבוא ושואלים אותו שוב אותן שאלות אפילו שהוא נתן אותן כבר למשרד אחר וגם הנושא הטכולוגי. כלומר להקים שדרה כזאת, שדרת תקשוב שתתן מענה למשרדים הן במרשם האוכלוסין והן במאגרים אחרים שישפרו את העבודה הממשלתית מול הציבור.

בנוסף לזה, כמו שדיברנו, אנחנו עובדים על הסדרת מקצועות הסייבר במשרדי הממשלה כדי לתקנן את האנשים הנכונים במשרדים שיעשו את העבודה.

תפקידי היחידה. הדבר המרכזי, אחד הדברים החשובים שאני בא זה השיח שיהיה בתוך הממשלה. אני בא היום מפורום שכינסנו במלון יערים. כמובן שהרשות גם נתנו שם הרצאה, גם מנהל הרכש הממשלתי. מעל 80 מנהלי הגנת סייבר ממשלתיים היו בפורום, גם כדי לשמוע את התכניות שלנו וגם כדי להשמיע.

הקשר בין האנשים כדי לעשות הגנה נכונה הוא דבר מאוד מרכזי ואנחנו מכנסים את הפורום הזה כארבע פעמים בשנה. כמובן שיש לנו אמצעים גם לא פרונטלים לדבר אבל המפגש הבין אישי הזה תורם להכרה של כל הגורמים בממשלה במקום אחד.

בנוסף אנחנו, כמו שאמרתי, עוזרים למשרדי הממשלה למפות את נושאי ההגנה כדי לעשות תכנית עבודה עם סדר עדיפויות. בגלל שחשוב שההגנה תהיה באופן מתודולוגי לפי הסיכום שקיים על אותו נכס. הרי אנחנו לא מגיעים להגנה של 100% אף פעם ואנחנו גם רוצים להשקיע את הכסף במקומות הנכונים. אז הרשות כתבה מתודלוגיה ואנחנו דואגים ליישם את זה במשרדי הממשלה שהגנה תהיה בצורה מוסדרת ומתודולוגית. כלומר ניהול הסיכונים בתחום הסייבר.

בנוסף אנחנו כתבנו מדיניות ממשלתית שהמשרדים יכולים להשתמש בה בתור מדיניות ארגונית. כל משרד יש לו טווח עיסוק שונה במקצת, הוא צריך להתאים אותו, אבל אנחנו נותנים לו את הבסיס כדי שהוא יוכל לעשות את זה.

אפילו משרד המשפטים שאמרו ששנים נאבקו שם להוציא מדיניות ממשלתית בתחום הגנת הסייבר ואבטחת מידע, כשהם ראו שיש גב ממשלתי כל האנשים במשרד המשפטים בראשות המנכ"לית אישרו את המדיניות שהייתה מונחת בתור טיוטה מספר שנים. כלומר, הבינו שבממשלה היום זה בפוקוס ואי אפשר להגיד שיש כל מיני בעיות, אם משפטיות ואם אחרות, ולא לאשר מדיניות ולא לעשות פעולות. המדיניות אושרה במשרד המשפטים, היא מאושרת במשרדים אחרים בצורה סדורה.

בנוסף להנחיה אנחנו גם עושים בקרה. בקרה שהדברים נעשים נכון מבחינת טכנולוגית. בקרה שהתבצעה השנה, למשל, זה על מערכת רישום להגרלות לפרויקט מחיר למשתכן. זה פרויקט מאוד מרכזי במשרד השיכון. הנושא של רישום להגרלות היה צריך להיות שהוא נעשה בצורה מאובטחת. אנחנו עשינו בדירה שהנושא נעשה בתור גוף חיצוני בא לעזור למשרד ולראות שהדברים נעשו כמו שצריך והיו כמה דברים שתוקנו בצורה משותפת יחד עם משרד השיכון.

על הסרט, כמו שאמרנו, הסרט והסו"ק הם גוף אחד כדי שיעשו את העבודה הנכונה מול הממשלה ובנוסף אנחנו שומעים את המשרדים על פעילות רוחבית שאפשר לעשות לא ברמת המשרד, אלא ברמת הממשלה. כדי לחסוך, עוד פעם, אם יש פעילות רוחבית בתחום הגנת הסייבר שהיא נכונה לעשות ברמה כלל ממשלתית אנחנו נשתדל לעשות את זה בתור פרויקט מרכזי ולא כל משרד יתמודד ויעשה את זה ואז זה חוסך את הנושא מ-50 פרויקטים קטנים לפרויקט אחד מרכזי.

על הסו"ק כבר דיברנו ועל זה שאתם תבואו לבקר בבאר שבע זה גם סיכמנו. נושא התמ"ק שפרנקו העלה. כדי שיהיה סינכרון אנחנו יושבים עם אגף תשתית המידע הקריטית ברשות. אנחנו נפגשים כדי להיות בטוחים וסדורים שמשרדי הממשלה כולם אם הם תשתית מידע קריטית או אחרים מקבלים הנחיות מאוחדות. כלומר את הסינכרון אנחנו עושים ב-back office כדי שלא יקרה מצב, למשל, תיאורטי שמשרד שהוא לא תמ"ק יקבל הנחיה יותר מחמירה מאשר משרד שהוא כן מערכת שהיא כן תמ"ק. יש לנו עבודה סדורה - - -

מערכת שהיא מה?

תשתית מידע קריטית שמטופלת ישירות על ידי הרשות הלאומית להגנת הסייבר. גם ראש האגף נמצא כאן, אלי גזית, הוא אחראי על כל תשתית המידע הקריטית בכל המשק. חלק מתשתית המידע הקריטית נמצאת גם במשרדי הממשלה.

רק לסיים דבריי, מינינו ממונה הגנת סייבר בכל משרדי הממשלה, כינסנו ועדות היגוי בראשות המנכ"ל או איש מטעמו בכל משרדי הממשלה כדי להביא את הנושא הזה לא לרמה הטכנית בלבד, אלא שמנכ"ל המשרד יהיה מודע לנושא ויידע מה נעשה במשרד כדי שיהיה אירוע הוא יוכל לדעת, לא יוכל להגיד שלא הוצגו הנתונים ושהאחריות בכל משרד היא של מנכ"ל המשרד. בנוסף כמו שנכתב - - -

אני מצטערת לקטוע, אם אתה יכול להתייחס גם לשאלה שהעליתי קודם בפני מר רפאל, האם למשרדים יש יכולת להחליט שעכשיו זה לא בתכנית שלהם לאבטח, ללכת על זה לשנה הבאה, יש להם לוחות זמנים, מי מכתיב להם אותם, מי מפקח שהם מבצעים את זה.

אז אני בדיוק מגיע להנחיות יהב. אני רוצה להגיד שחלק מהחלטת הממשלה הקצינו 8% תקציב התקשוב המשרדי להגנת הסייבר. כלומר, הם יצטרכו להוריד אולי פיצ'ר במערכות המידע כדי לעמוד בנושא ההגנה - - -

שאלה אחרת. האם יש משרד היום שלא מתקדם, לא עומד ביעדים בגלל בעיות תקציב גם ביחידות הקצה? זאת השאלה שאנחנו רוצים לדעת כגון מפקח. האם קיימות מגבלות תקציביות במשרדים שאתם צריכים לדעת. אתם יודעים מזה בגלל שלפעמים אתם מדברים בהנחיה כוללת ויש לכם מעקב באמת עד יחידות הקצה איפה זה לא נעשה או לא נעשה מספיק בלוחות זמנים שאתם חשבתם שזה נכון.

ברשותכם אני אענה על זה. משרדי הממשלה מציגים לנו את תכניות העבודה השנתיות שלהם מדיי שנה בשנה. אנחנו כרגע בשנה השנייה שאנחנו עושים את התהליך הזה. כולם עובדים תחת סוגייה של קוצר השמיכה והצורך לקחת את השמיכה ולהזיז אותה ממקום למקום. ופועלים לפי סדרי עדיפויות. וכמובן שיש משרדים שמתקדמים יותר ויש משרדים שמתקדמים פחות. אבל אין משרד שלא עוסק בזה. אין משרד שלא מקדם את הדברים.

אנחנו נכון להיום לא יודעים על מקרים שבהם יש משרדים שהם מוזנחים לחלוטין. אנחנו יודעים שיש משרדים שצריכים לצמצם לא מעט פערים והם עובדים יחד עם יהב כדי להתקדם על הדבר הזה כיוון ששנים קודמות דברים לא קרו, אבל בהחלט יש דיפרנציאציה בין המשרדים.

אתם מוציאים דו"ח בעניין הזה למשרדים שנוכל לקבל את זה. אנחנו בזה מרגישים שאנחנו יכולים להיות שותפים, אם אנחנו יכולים להוסיף משהו, יש לנו ערך מוסף לוועדה חוץ מכל הדברים, עצם הדברים שנאמר ציבורית, המחוייבות אבל איך אנחנו - - -

נכון, זה לראות איך הדברים מתפקדים או לא מתפקדים.

אם אני עכשיו - - - שאילתה לשר ואני יודע שבמשרד שלו יש דברים שעדיין לא נעשים אז אנחנו שואלים שאילתה. בשביל זה יש ועדות פה כנסת.

בסדר, מאה אחוז, אין לנו כרגע דו"ח כזה כתוב. אנחנו לא הכנו כרגע דו"ח כזה כתוב ואני - - -

אבל יש לכם את כל המידע?

יש לנו את רובו של המידע.

מי נמצא איפה, מי רחוק יותר מהיעד - - -

יש לנו תמונת מצב - - -

ואם אפשר לבקש איזשהו דיווח לוועדה על תמונת המצב?

אפשר לייצר דיווח כזה לוועדה על תמונת המצב. אנחנו לא ערוכים לזה כרגע כמובן - - -

לא, ברור, בתוך זמן מסוים, תודה.

אפשר לייצר דיווח כזה לוועדה. אני חייב להגיד עוד פעם. אנחנו לא נתקלים במשרד שאומר לנו, תשמע אני השנה לא עושה שום דבר בעניין הגנת הסייבר כי אין לי כסף - - -

השאלה היא - - -

אני פשוט מלווה משרדי ממשלה בוועדות אחרות ואני רואה שכולם לכאורה מחוייבים למרות שיש חוק וכן הלאה. בסוף כשאני מבקש מהם לספק דו"חות לוועדה פתאום אתה רואה חוסרים מפה עד אחר כך.

אני לא יודע לענות כרגע על מה שאתה אמרת כי אני לא מכיר את הנתונים ש - - -

תקנות הנגישות פשוט מאוד.

אבל אנחנו לא מדברים על נגישות עכשיו.

אני יודע. נתתי דוגמה.

הוא נתן דוגמה מתקנות הנגישות שהם לא עומדים בזה. בסדר, אנחנו, סליחה אדוני, תודה על ההערה, אבל אנחנו נחזור אליך, בבקשה.

אני אומר שוב, אנחנו בוודאי כמו שאמרתי קודם, יש פערים, אין משרדים שלא עוסקים בדברים האלה ואני מבקש להדגיש שוב את מה שאמרתי קודם, גם היום לחלק ניכר ממשרדי הממשלה גם ללא יותר מדיי השקעה מצידם יש סוג של הגנה שרשות התקשוב נותנת להם בכל מה שקשור לקישור לעולם החיצוני. אבל זה בוודאי לא מספיק.

כן. מר גדעון קונפינו, תסיים בבקשה.

תודה גברתי. דבר אחרון, ההנחיות שאנחנו מוציאים למשרדי הממשלה אנחנו מוצאים את זה קודם כל בתור טיוטה להתייחסות. הייתה שאלה אם ה- - - מבצעים את זה. ההנחיות כמו שפראנקו אמר הן הנחיות מחייבות אבל אנחנו לא מוציאים את זה כמו תורה מסיני, אנחנו שולחים את זה בתור טיוטה והתייחסות לכל הגופים המונחים, אנחנו מקבלים את התשובות שלהם, את יכולות האיסוף, אנחנו נותנים לוחות זמנים שמשרדים יכולים לעמוד בהם כדי שהדברים יתבצעו.

זה לא כדי להגיד הנחיה וקיימת אנחנו גם שומעים את השטח, מה קורה בו. אנחנו גם מתקנים דברים, מוציאים גרסאות מתוקנות להנחייה. למשל הנחיה על הגנה על מכשירים ניידים, יצא כבר תיקון שביעי או שמיני, על כל מיני שינויים טכנולוגיים שקרו כתוצאה מזה ששמענו מהשטח על שינויים שצריכים להתבצע בהנחייה.

תודה רבה. ואנחנו עוברים אלייך גברתי, גברת ז'קלין בן בסט, ממטה הסייבר הלאומי ואולי תתני לנו רק במילה, כי הדברים עלו קודם את הקשר בין הרשות והמטה. כי אני מבולבלת.

אני מבקש שזה יבוא ממני ואני - - -

אתה מבקש גם להגיד , בסדר, אבל אני גם יכולה לבקש ממנה כי זאת רשות הדיבור שלה אז רק בקצרה כדי שנבין מה תפקיד המטה בתוך הסיפור הזה, בבקשה.

את התמונה השלמה יציג בוקי ואני רק אומר במספר מילים שהמטה הוקם לפני הרשות ובעצם, בגדול הוא אחראי על מדיניות ועל החלטות ממשלה ודברים שקשורים לבניין הכוח המדינתי בתחום הגנת הסייבר וכל החלק של הרשות בוקי יציג, גם את השלם.

ואני בחרתי במספר דקות שיש לי להתייחס לשני דברים ותוך כדי אני אנסה לענות על השאלות שעלו כאן ואני חושבת שנכון להבהיר.

אז תיקון קל - החלטת הממשלה שהיה לי הזכות גם להיות בין הכותבים שלה, אז לגבי שוק הגנת הסייבר כתוב שהשוק, בעצם היחידה היא תהיה בתוך הרשות הלאומית להגנת הסייבר ולא בתוך המטה. אז זה תיקון קל לפרוטוקול. זה סעיף 1 ג'.

הדבר השני שאני ארצה לומר, להתייחס לוועדת ההיגוי הממשלתית. כמו שהוצג כאן יהב זו היחידה שאחראית על הנחיית המגזר הממשלתי כשמעליה נמצאת הרשות הלאומית להגנת הסייבר שהיא הגוף שמנחה את יהב. מצאנו לנכון בכתיבת ההחלטה שנכון למסד מנגנון שמסתכל בהסתכלות כוללת על כל התהליכים וכל הפעילות של משרדי הממשלה.

כמו שכולנו בוודאי יודעים שהחלטות הממשלה לא כולן מתקיימות ומתבצעות כלשונן, ולכן בכתיבת ההחלטה נתנו את הדעת על כך ויצרנו מנגנון שמתכנס אחת למספר חודשים שמסתכל בהסתכלות כוללת על מימוש ההחלטה בהיבט הזה, על הובלה ממשלתית ועל ביצוע של כל התהליכים הללו. כפי שהוגדר בוועדת ההיגוי בתפקידים שלה: תפעל לקידום רמת ההגנה במשרדי הממשלה, תפקח על הפעילות השוטפת המבוצעת בתוך הממשלה בתחומים הללו.

בעיקר הוועדה מתעסקת בהיבטים רוחביים. למשל, איך נכון להגדיר את אנשי המקצוע בתחום הגנת הסייבר. במטה הסייבר הלאומי נכתבה מדיניות בתחום אנשי המקצוע ואיך נכון להסדיר את כל העיסוק הזה ברמה המדינתית. נעשה zoom in מה נכון שיהיה במשרדי הממשלה. אז הפעילות הזאת התקיימה בתוך ועדת ההיגוי הממשלתית שהתכנסה והגדירה אילו אנשי מקצוע נדרשים בתוך הממשלה כדי לייצר הסתכלות כולל.

הפעילות הזאת נעשית בתיאום ובשיתוף עם הרשות הלאומית להגנת הסייבר ועם יהב כגורם שהוא אחראי על ההנחיה. התבצע מיפוי של 50 יחידות בתוך המגזר הממשלתי לבדוק מי עוסק בתחום הגנת הסייבר הלכה למעשה בתוך המגזר הממשלתי ויצא דו"ח. הפעילות של המטה בהיבט של בניין הכוח מול הנציבות ומול מנהל הרכש שהגדרנו את אנשי המקצוע והמקצועות. מכאן הרשות לוקחת את המשימה הזאת ומממשת אותה הלכה למעשה.

פעילות רוחבית נוספת נעשתה בתחום הרכש. כשנכנסנו לתהליך אמרנו, לא יכול להיות שכל משרד ממשלתי כשירצה לרכוש מוצר הגנה או שירות בתחום ההגנה שכל אחד יעשה את הדברים לגופו. הסתכלנו בראייה רוחבית כוללת מול מנהל הרכש כדי להגדיר ולמפות את הצרכים הרלוונטיים לכל משרדי הממשלה. כלומר, לייצר כמה שיותר מנגנונים רוחביים ולא שכל משרד יגדיר מה עבורו ואיזה מוצר ירכוש. אלה בעצם מנגנונים שהם רוחביים בראייה כוללת כדי לתת מענה כולל.

הוועדה הזו מתכנסת אחת לשלושה ארבע חודשים. מי שחבר בה הם כל הממונים של הגנת הסייבר במשרדי הממשלה ויש לנו היום, אפשר להגיד שכל המשרדים ויחידות הסמך יש להם ממונה הגנת הסייבר כי אם אמרנו לפקח אז לוודא שיש ממונים, שיש תקצוב לתחום הגנת הסייבר שעומד על 8%, שיש ועדת היגוי משרדית. בעצם מהמקום הזה של ממשלה מסתכלת על הכל.

ולשאלתכם, האם יש דיווח, אנחנו הוצאנו כי ועדת ההיגוי הממשלתית נדרשה להוציא דיווח לממשלה על עמידת משרדי הממשלה בכל המטלות. בינואר האחרון, הדיווח נמצא כאן לפניי אם זה מעניין אתכם, הוצאנו דיווח לממשלה על כל התהליך הזה כדי שמקבלי ההחלטות למעלה ידעו מה קורה אצלם במשרדים והדיווח הזה אנחנו - - - אחת לשנה.

איפה כל אחד עומד?

כולם, אני יכולה להגיד אחרי שנתיים, כל המשרדים בשפה שלנו הם על המסילה. כלומר, כולם בתוך התהליך, כל אחד ברמה כזו או אחרת אבל נוכל להגיד מהמקום הזה שבוועדת ההיגוי הממשלתית כל הנושא הזה עולה ומתקיימת בקרה שוטפת.

תודה רבה. יש לי רק שאלה. ציינת את העניין של יציאה לרכש משותף. האם אין מצב, בעצם את אומרת, רוב הדברים, וגם אמר את זה לפנייך נראה לי מר כרמלי וגם מר פראנק, רוב הדברים הם רכש חיצוני, הם מוצרים שנקנים לטובת - - - אתם בונים את זה בסוף כאיזשהי חבילה.

האם אין בכלל חשש דווקא מהרכש החיצוני הזה, מכך שמדובר בחברות גלובאליות, יכולים להכנס בתוכם בעלי אינטרסים זרים ואנחנו מדברים פה בסך הכל על הגנת מדינת ישראל. אז אם מישהו מכם רוצה להתייחס והאם זה עלה החששות האלה. אני מניחה שהם עלו. והאם בחנתם את האפשרות בכלל לייצר את זה בעצמנו, אתם יודעים, אנחנו יש לנו כוחות.

התשובה היא כן אבל פרנקו אם תרצה לפרט.

אז ראשית אחד ממה שאנחנו קוראים דפאו"ת, דרכי פעולה אפשריות של היריב לתקיפה זה מה שנקרא לתקוף סדרה של מוצרים או סדרה של גישות שהן בעלות מכנה משותף גבוה. ולכן, חלק גדול ממנגנוני ההגנה שאנחנו בונים ככל שאפשר לפרט פה זה מה שאומרים שונות במענה. ככל שהמענה הוא בעל שונות, ככל שהמרחב הוא לא דומה אלא הוא שונה. ליריב שרוצה להיות רובסטי ולהכין תכנית חומש מאוד מאוד קשה להתמודד תחת הנושא הזה.

וחלק מתפיסת ההגנה, אחת מהרגליים זה איך מייצרים שונות במרחב הישראלי, איך מייצרים שונות ברכש של מוצרים למשל למגזר כמו המגזר הממשלתי. איך מייצרים פיקוח על תהליך הרכש, תהליך שקורה אגב הנחיית מנהל הרכש בהקשר הזה. איך מוודאים שלכל מכרז נכנס מה שאנחנו קוראים בשפה הראשונית מסמך ביטחון שמאפשר תהליכי רכש, ייצור ופיתוח מאובטחים.

וכל התהליך הזה מקצה לקצה בא לידי ביטוי תחת מה שאנחנו קוראים החל מהנחיות דרך, מה שנקרא, מה נכון לקנות וטכנולוגיה עד כדי אפילו שבחלק מהמקומות אנחנו ממש נכנסים לקרביים של תהליך הרכש לתהליך המוצר ואפילו עד רמת ה-design שלו.

אוקיי, אבל עדיין, כל זה מסתמך על רכש מחברה פרטית חיצונית ולא על בנייה עצמית. האם זה בכלל נשקל, בבקשה.

אני אתייחס לזה ברשותך. ראשית צריך להבין שכשאנחנו קונים מוצרים להגנה בסייבר, כשאנחנו קונים מוצרים בכלל בתחום התוכנה, ואני מסכים עם מה שאמרת - - -

זה גם תוכנה ולפעמים זה גם חומרה.

נכון. מה שאמרתי קודם, שאנחנו בסיכומו של דבר רואים את זה כדרך חיים וכמשהו משולב אנחנו קונים מוצרים שמושקעים בהם בפיתוח שלהם מאות רבות של שנות אדם שזה מגיע למאות מיליונים של שקלים. זה לא משהו שאנחנו יכולים להגיד שאנחנו מפתחים את זה. יחד עם זה, בלי להרחיב יותר מדיי, מי שצריך לפתח מפתח. זה נשים בצד.

כשאנחנו מדברים על הממשלה כממשלה ולא על החלקים המסווגים מאוד שלה אז כמו שנאמר פה אנחנו נוקטים בכמה וריאציות. אחד זה שונות. שתיים - דיברנו על שכבות, אנחנו מערבבים מוצרים, אנחנו עושים שכבות מסוימות וגם אז כל אחת מהמערכות האלה וכל אחד משלבי ההגנה האלה עומדים תחת מיסוי אינסופי. אנחנו מנסים את עצמנו. אנחנו קוראים לזה מבחני חדירה. אנחנו רוצים לראות אם אנחנו מצליחים.

אנחנו לוקחים את טובי אנשינו שהם בסוף בסוף דמויי אותם האקרים או דמויי אותם אלה שירצו לפרוץ אלינו ולבדוק האם זה באמת נכון שהמסלולים שבנינו שהם לא קו ישר, שהם עקומים, שפה יש חסימה ושם יש חסימה וכן הלאה הם עובדים. זה תיאורטי, סליחה שאני אומר את זה, לחשוב שאנחנו מסוגלים לפתח את כל הפלטפורמות האלה, זה חברות ענק עם השקעות אדירות. ראי מקרה מובילאיי. לא סתם משלמים שם 15 מיליארד דולר.

הם יושבים אצלנו דווקא, זאת גאווה ישראלית.

נכון, נכון. אז חברה כמו oracle היא שווה 300 מיליארד, אנחנו לא יכולים לעמוד בזה.

אני מבינה. תודה רבה. תראו, אני חייבת להודות שהדיון היה אמור להסתיים בשתיים וחצי ואנחנו נאריך אותו בעשר דקות נוספות כי אני חייבת לצאת לישיבת סיעה שלי. אני מתנצלת מאוד, היו מעט דוברים, התנצלותי מראש בפני כל מי שהגיע עד כאן ולא יקבל את רשות הדיבור, אבל אני רואה את זה ואני חושבת שגם הוועדה ויושב ראש הקבוע של הוועדה כדיון ראשון מסדרה של דיונים שאנחנו פותחים את הנושא.

נשמח לקבל גם מהיושבים כאן וגם מהאחרים הצעות למיקוד הדיון ולנושאים ספציפיים שגם הוועדה יכולה לקדם בהם נושאים שונים. אני אשמח לתת את רשות הדיבור ללשכת עורכי הדיון, יושב ראש ועדת הגנת הפרטיות, עורך דין דן חי, בבקשה.

רציתי משהו קצר. אנחנו יודעים שאנחנו מדברים על מידע שנמצא במערכות מחשב ושאנחנו ממפים מידע כזה אני חושב שרוב המידע או מידע אקוטי הוא מידע אישי, רגיש, ולכן זה אמנם הוזכר ככה באמרת אגב, אבל פועלת כבר מאז 2006 הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים שהיא אחראית על אכיפה, רגולציה של תחום המידע האישי. הנושא הזה הוא עכשיו רלוונטי על שולחן הכנסת כי ממש עומד בפתחנו אישור תקנות אבטחת מידע חדשות שוועדת חוקה אמורה להצביע עליהן בשבוע הבא.

מכל הרשויות והרגולטורים שדיברו איך היחסי גומלין הולכים להיות בין רשות הסייבר הלאומית לבין הרשות למשפט, טכנולוגיה ומידע שהיא אמונה על אכיפת המידע האישי. רק בהערה, אני חושב שחשוב שיהיה שומר סף של פרטיות. חשוב כן להעצים אותה ולתת לה תפקיד חשוב כי כשאתה מסתכל על הגנה כוללת צריך שיהיה שם מישהו שיגיד איפה הפרטיות בפאזל הזה או במשחק הזה וכן יהיה אדם בעל תפקיד. רציתי לשמוע איך הולכים להיות יחסי הגומלין בין רמות לרשות הסייבר הלאומית.

אוקיי. יש כאן נציג של רמות?

לא, אבל נוכל להתייחס לשאלה - - -

בוקי יתייחס אבל אני אשמח גם אם יש לכם משהו להוסיף לדיון אז בבקשה. כן, בבקשה.

הייתי שמח לתת את התשובה המדוייקת אבל אני אגיד את העקרונה.

תיארתי לעצמי שזו לא תשובה פשוטה.

לא, אבל יש כמה עקרונות מנחים. כשאתה מגן על מידע דיגיטלי אתה קודם כל מגן עליו מפני הנגישות אליו. זה נכון שאחרי שנגרם הנזק השאלה הבאה שעוקבת אחרי הנזק היא האם זה נזק שנגרם במישור הפרטיות או נזק במישורים אחרים. יש עוד מישורים בעולם שאנחנו עוסקים בו. לכן, המגן, בגדול, כשהוא עוסק בהגנה הוא איננו עוסק בשאלה אם זה בא מטעמים פרטיים או מטעמים כאלה ואחרים, הוא עוסק בהגנה, נקודה. שלא תהיה גישה בלתי מורשית, שלא יוכלו לשבש, integeity וכו'. כל הסוגיות שנוגעות להגנה על מידע.

יחד עם זה, מאחר ואנחנו חיים בתוך מדינה שבה יש הרבה מאוד מהלכים ותהליכים, מתקיים כיום שיח בין רמות לבין הרשות הלאומית להגנת הסייבר שתכליתו זה לייצר סוג של MOU, אני לא מוצא מילה יותר טובה ברגע זה, שמסדיר את הסיטואציה בין מי שאחראי לאבטחת הפרטיות, שמקרה הסייבר הוא רק מקרה פרטי של אבטחת הפרטיות, צריך לזכור, לפרטיות יש הרבה מאוד היבטים שאינם בסייבר ולא במקרה שלנו, לבין החובה שלנו להגן על עולם המידע הדיגיטלי.

אם תרצו, אפשר אולי עוד משפט או שניים לגבי ה-MOU עצמו שמתגבש בימים אלה. מזכר הבנות, סליחה, לפרוטוקול.

כן, ממש בקצרה בבקשה.

אני מטעם הרשות מנהל את השיח מול רמות בהקשר של מזכר הבנות וכאן באמת חשוב לנו לומר כמה דברים. אחד, ברמת העקרונות אז אנחנו עם מסמך לאומי להגנה ולתוכו הזמנו את רמות, כמובן, ליצוק את עולם התוכן שלהם מתוך תפיסת עולם אחת שזה יהיה שלם גדול מסך חלקיו. והדבר השני שאולי לא פחות חשוב זה מה שנקרא כפל רגולציה. כלומר, שלא שתי רשויות במדינה יתנו הנחיות סותרות, אלא הנחיות שהן בעלות אותו ערך ורואות את המכנה המשותף.

הדבר השני שאנחנו עוסקים בו זה כל הנושא של עולם ניהול האירועים. שגם פה אנחנו נשתף מידע ככל שהאירוע יהיה באזור הפרטיות אז אנחנו נסייע לרמות וככל שהאירוע יהיה בעולמות תוכן אחרים כמו בטחוני, כלכלי, חיי אדם וכו' וככל שיש לו נגיעה לעולם הפרטיות רמות יצטרפו אלינו. כרגע אנחנו לקראת סיום המזכר ואנחנו בוועדה מסוג אחר נציג אותו גם.

תודה. בבקשה רמות.

שמי אלי קלדרון, אני הממונה על האכיפה המנהלית ברמות. קודם כל יש בהחלט שיתוף פעולה. השיתוף פעולה הזה נעשה עם המטה ועם הרשות כבר הרבה מאוד זמן. צריך להזכיר שרמות היא רגולטור על כל המשק בנושא הפרטיות ואנחנו יש לנו התייחסות עם יהב בנושא של הממשלה ויש לנו, כמובן, את נקודת ההשקה עם הרגולטור בתחום הסייבר וגם עם רגולטורים אחרים.

התקנות אבטחת מידע שאמורות לעבור הן בהחלט אלמנט מאוד משמעותי מבחינת הגדרת הסמכות שלנו והיכולות שלנו לוודא שהפרטיות נשמרת. זה גם ברמה של סייבר, זה גם באלמנטים נוספים כמו דלפים, כמו דברים שקורים בנושא של הרשעות והעובד מבפנים. יש, כמובן, ראייה שונה לפעמים ודגשים שונים כשאנחנו מתייחסים לדברים כשיש אירוע מסוים כיוון שלפעמים גופים יותר בטחוניים מתעניינים ביציבות ומניעת פיגוע.

אצלנו אנחנו מתייחסים לשמירה של המידע האישי של כל אחד ואחת מהאזרחים וכדומה. אבל בהחלט נושא של הקטנת היקף הרגולציה הוא גם בראש מעיינינו, וכמובן, מתוך הדגשים שלנו והרצון שלנו להוביל לפעמים תהליכים או לפעמים ללוות אותם. זה באמת תלוי באיזה סוג. וזה חלק מאותו מזכר הבנות שדיברו עליו שמתגבש כרגע.

אוקיי. תודה רבה. חברים אני מתנצלת אבל אנחנו נצטרך לסיים את הדיון לפחות בשלב הזה. אני כבר יכולה לספר לכם שלא עוד הרבה זמן, רק בעוד שבוע, עומד על סדר היום של הוועדה דיון בנושא הפריצה למאגרי המידע של הרבנות שהיה שם הרבה מאוד מידע פרטי והוא כנראה דלף. זה דיון מהיר שמגיע לוועדה במסגרת הצעה לדיון מהיר של חברי הכנסת.

אנחנו בוודאי נמשיך ונדון. תראו, יש כאן כל כך הרבה נושאים. קיבלנו יחד עם הזימון לוועדה מכתב ממשרד הבריאות ומהרי על ההבנה של המשמעויות למערכת הבריאות למשל של פריצת סייבר, של יכולת שליטה במערכות בריאותיות מעבר לאיסוף מידע על אנשים. יש פה כל כך הרבה נושאים. תחנות כוח, חברת החשמל.

אין לי ספק, זה אני גם, לא יודעת כמה מכם יודעים, גם תוצאת 8200, אני קצת ככה רואה את הדברים בראייה באמת, אמנם מלפני לא מעט שנים, אבל אני בטוחה שהדברים לא השתנו. כל הראייה צריכה להראות באמת איך אנחנו מגנים גם על הפרטיות היא דבר ללא ספק חשוב, אבל באמת יש פה עניין של הגנה על המערכות החיוניות למדינת ישראל. אז אני מודה לכולכם, אני מתנצלת על קיצור הדיון, ואנחנו ניפגש שוב לא עוד הרבה זמן. תודה רבה.

הישיבה ננעלה בשעה 14:45.