הכנסת העשרים
מושב שלישי
פרוטוקול מס' 355
מישיבת ועדת החוקה, חוק ומשפט
יום שלישי, ט' באדר התשע"ז (07 במרץ 2017), שעה 13:30
ישיבת ועדה של הכנסת ה-20 מתאריך 07/03/2017
תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017
פרוטוקול
סדר היום
תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016
מוזמנים
¶
ממונה בכיר, מחלקת יעוץ וחקיקה, משרד המשפטים - איל זנדברג
מחלקת יעוץ וחקיקה, משרד המשפטים - ליאת בן מאיר
יועץ אבטחת מידע, משרד המשפטים - עומר פרידמן
ראש הרשות למשפט טכנולוגיה ומידע, משרד המשפטים - אלון בכר
ממונה משפט וטכנולוגיה, משרד המשפטים - ניר יעקב גרסון
מנהלת המחלקה המשפטית ברשות למשפט, טכנולוגיה ומידע, משרד המשפטים - גילי בסמן
ראש אגף בכיר לאסדרה והכשרה ברשות הסייבר, משרד ראש הממשלה - רפאל פרנקו
ראש תחום התעדה ואסדרה ברשות הסייבר, משרד ראש הממשלה - גולדיאן ענת
לשכה משפטית, משרד האוצר - איה שורץ
מנהל מחלקת טכנולוגיות המידע, משרד האוצר - אלי טובול
ראש תחום סייבר, המשרד לביטחון פנים - אילן יום טוב
יחב"מ משטרה, המשרד לביטחון פנים - שמוליק ויזנר
עוזרת ליועמ"ש מ"י, ביטחון פנים - דנה צ'רנובלסקי
משרד הרווחה - רחלי סונגו
לשכה משפטית, משרד הפנים - מרגלית לוי
מנהלת מחלקה בלשכה המשפטית, רשות האוכלוסין - אודליה אדרי
מנהל חטיבת הסייבר, המוסד לביטוח לאומי - יורם ביטון
לשכה משפטית, המוסד לביטוח לאומי - יוסף פולסקי
מנהל אבטחת מידע CISO, המוסד לביטוח לאומי - בובי פנדריך
עוזרת ליועמ"ש, בנק ישראל - חן פליישר
פיקוח על הבנקים, בנק ישראל - יעקובי רחל
מתמחה בייעוץ משפטי, רשות לניירות ערך - גל אברמוב
עו"ד בייעוץ משפטי, רשות לניירות ערך - חוה בינשטוק
מנהל מערכות מידע, רשות לניירות ערך - נתן הרשקוביץ
יועץ לתכנון ובניה, מרכז השלטון המקומי - יוסי אוחנה
יועצת משפטית, איגוד לשכות המסחר - שרון כ"ץ
מנהל מחלקת קשרי ממשל, חברות סלולריות - ניר יוגב
עורכת דין, חברות סלולריות - קרן זאנה
ממונה חקיקה, לשכת עורכי הדין - פנחס מיכאלי
פורום הגנת הפרטיות, לשכת עורכי הדין - דן חי
פורום הגנת הפרטיות, לשכת עורכי הדין - עמית יוחפז
תשתיות, תעשייה אווירית - סילבי חורב
יועצת משפטית, התאחדות התעשיינים - רונית פרל
איגוד הבנקים בישראל - לבנת קופרשטיין דאש
עורכת דין, איגוד הבנקים - אפרת שחר
סייבר וטכנולוגיות מידע - עמרי רחום-טוויג
נציג איגוד הבנקים - טיבריו רבינוביץ
איגוד חברות הביטוח - גיל סלומון
שדלן/ית (כהן - רימון - כהן), מייצג/ת את חברת ישראכרט - מנחם-צבי כץ
שדלן/ית (ח.ב הקבינט ישראל בע"מ), מייצג/ת את איגוד חברות הביטוח בישראל , סלקום - צח בורוביץ
שדלן/ית (קונטקטי בע"מ), מייצג/ת את איגוד חברות הביטוח בישראל , סלקום (לקוחות קבועים נוספים שנושא הישיבה נוגע אליהם באופן ישיר: הבנק הבינלאומי) - גילי ברנר
היו"ר רויטל סויד
¶
צהריים טובים. ברוכים הבאים לכולם. כל מי שמעוניין לדבר, נרשם, אני מקווה, לזכות דיבור. אני מתכבדת לפתוח את ישיבת ועדת החוקה, חוק ומשפט בנושא: תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016. אנחנו סיימנו את הדיון הקודם כשאנחנו בתקנה 11. אנחנו הקראנו אותה, ואני מציעה שאנחנו נקריא אותה שוב מכיוון שזה היה בסוף הדיון. נמשיך את הדברים מכאן.
אלעזר שטרן (ייעוץ משפטי)
¶
אני אקרא שוב את תקנה 11.
"תיעוד של אירועי אבטחה –
11. (א) בעל מאגר מידע אחראי לתיעוד כל מקרה בו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה (להלן - אירועי אבטחה); ככל הניתן יבוסס התיעוד האמור על רישום אוטומטי.
(ב) בנוהל האבטחה יקבע בעל מאגר מידע גם הוראות לעניין התמודדות עם אירועי אבטחת מידע, לפי חומרת האירוע ומידת רגישות המידע, לרבות לעניין ביטול הרשאות וצעדים מיידים אחרים הנדרשים וכן לעניין דיווח לבעל המאגר על אירועי אבטחה ועל פעולות שננקטו בעקבותיהם.
(ג) במאגר מידע שחלה עליו רמת האבטחה הבינונית, יקיים בעל המאגר דיון אחת לשנה לפחות באירועי האבטחה ויבחן את הצורך בעדכונו של נוהל האבטחה. במאגר מידע שחלה עליו רמת האבטחה הגבוהה, ייערך דיון כאמור אחת לרבעון לפחות".
"(ד) ארע אירוע אבטחה חמור –
(1) יודיע על כך בעל המאגר לרשם באופן מידי, וכן ידווח לרשם על הצעדים שנקט בעקבות האירוע.
(2) רשאי הרשם להורות לבעל מאגר המידע, למעט לבעל מאגר מידע מן המנויים בסעיף 13(ה) לחוק, לאחר שנועץ בראש הרשות הלאומית להגנת הסייבר, להודיע על אירוע האבטחה לנושא מידע שעלול להיפגע מן האירוע".
ליאת בן מאיר שלום
¶
התקנה, כמו שהסברנו בפעם הקודמת, יוצרת זיכרון ארגוני ביחס לאירועי האבטחה שאירעו בארגון כדי להפיק מהם לקחים גם לעתיד. התדירות של הדיון שצריך להיעשות באירועי האבטחה משתנה בהתאם לרמת האבטחה של המאגר. כאשר אירע אירוע אבטחה חמור – זה מונח שמוגדר בתקנות, בתקנה 1 – נגזרים מזה שני דברים: דבר אחד הוא חובת הודעה מידית לרשם, וסמכות לרשם להורות במקרים המתאימים על הודעה לנושא המידע. מדובר במודל שקיים גם בעולם ומביא לידי ביטוי את הזכויות של נושא המידע. כמובן שהסמכות הזאת תופעל לאחר הפעלת שיקול דעת של כל ההשלכות שלה.
איה שוורץ
¶
איה מהלשכה המשפטית במשרד האוצר. בהמשך להערות שהביאה רשות שוק ההון בדיון הקודם, אנחנו נבקש לציין לפרוטוקול כי אנחנו הגענו להבנות עם רמו"ט, שהגופים המפוקחים על-ידינו יכללו במנגנון לפי סעיף 20(א) וחלק מהתקנות האלה יוחרגו לגביהם. אנחנו נבקש לעדכן את הוועדה כשנגיע להסכמות מפורטות יותר.
ליאת בן מאיר שלום
¶
לא ברור לי למה יש צורך לעדכן את הוועדה, זה בדיוק המנגנון של תקנה 20. תקנה 20 נותנת את המענה לא רק לסמכות הזאת, אלא למכלול ההוראות שיש בתקנות במקרים שיש רגולטור נוסף.
היו"ר רויטל סויד
¶
אנחנו בתקנה 11. בואו נתמקד בדיון בדברים שקשורים לתקנה 11. תודה איה. עורך דין גיל סלומון, איגוד חברות הביטוח.
גיל סלומון
¶
המשמעות של מה שנאמר פה עכשיו – יכול להיות שהנוכחות שלנו פה מתייתרת אם זה אכן כך. אבל אנחנו לא מדברים על זה, אנחנו מדברים על סעיף 11.
גיל סלומון
¶
אני אגיד את מה שהתכוונתי להגיד, בהתעלם ממה שנאמר פה עכשיו, שיכול להיות שמייתר את הנוכחות שלי פה. ראשית, אנחנו הגשנו בקשה לפגישה בדצמבר 2016 לרמו"ט. עדיין לא נענינו, אני מדבר על איגוד חברות הביטוח. הגשנו מכתב, אפשר להגיש אותו שוב. אנחנו חשבנו שיש מקום להיפגש אתכם לפני שמטילים עלינו רגולציה. לא הגיבו למכתב ולא נפגשנו וחבל. אנחנו חוזרים על הדברים שנאמרו פה עכשיו, שאנחנו נתונים לפיקוח של הרשות לפיקוח על ההון. יש חוזרים בנושא של הרגולטור שלנו. למעשה, זה יוצר רגולציה כפולה גם של רמו"ט וגם של הפיקוח, ואנחנו חושבים שיש פה יותר נזק מתועלת במידה ואנחנו נהיה תחת האחריות של רמו"ט. עוד פעם, אם הסייג שנאמר פה יחול עלינו, כל הדברים שאמרתי מתייתרים.
היו"ר רויטל סויד
¶
אבל זה הזמן. זה נכון שכשנגיע לתקנה 20, אנחנו נדבר על הנושא שמעסיק אותך, אבל מכיוון שאנחנו עוברים בינתיים את התקנות, במידה ויש לכם התייחסות לגבי מה שנקרא אירוע אבטחה חמור, אולי כדאי שכן תתייחס נקודתית גם לתקנה כדי שנוכל לדון בה לגופו של עניין.
גיל סלומון
¶
מכיוון שביקשנו להבין את זה יותר לעומק, מכיוון ביקשנו להיפגש אתכם – בסך הכול זה נושא שלא מוכר לנו ורצינו להבין אותו לעומק, ביקשנו להיפגש, ביקשנו להבין. לא הגענו לשם, לא זומנו, לא הגיבו למכתב שלנו בכלל.
גילי בסמן ריינגולד
¶
אנחנו לא מכירים את המכתב הזה, אנחנו ניפגש אתכם בשמחה, אנחנו נפגשים עם הרבה גופים. בהקשר שלכם, כמו שאיה אמרה, הרגולטור שלכם דואג לכם, להסדיר את זה ברמה של כל המגזר ולא חברה-חברה.
היו"ר רויטל סויד
¶
מכיוון שאנחנו יושבים כאן כבר דיון שלישי, וכל גוף שרציתם להיפגש אתו נפגש אתכם, אז אני מניחה שהייתה פה איזושהי אי-הבנה.
היו"ר רויטל סויד
¶
תערכו את הפגישה הזו, במידה ויהיה בה צורך, אם היא לא תתייתר, מול רמו"ט, הם נפגשים, אין ספק. נתן הרשקוביץ, הרשות לניירות ערך.
ניר יוגב
¶
אני רוצה לחזור על מה שאמרתי בפגישה הקודמת, וזה רלוונטי לסעיף 11. כמובן שאני אתייחס אחר-כך גם לסעיף 20. ישנם אירועי אבטחה שבהם אנחנו מקבלים הנחיות מרא"מ לא לדווח ולא להעביר את הדיווח לאף גורם אחר. לא יתכן שבחקיקה יקבעו הוראות, ככל שהן יחולו עלינו, שבהן אנחנו נדרשים לדווח מידית לרמו"ט, וזה יעמיד אותנו במצב שבו אנחנו מפרים הוראות של רא"מ או הוראות של רמו"ט. זו עוד דוגמה לסתירה פוטנציאלית שנובעת מרגולציה כפולה על אותו גוף.
ניר יעקב גרסון
¶
ראשית, יש בחוק הגנת הפרטיות סעיף הגנות. אם לא נגיע לזה – נניח שלא היינו מסדירים את כל הרגולציה, נדון על זה בהמשך בהרחבה. יש סעיף הגנות שאומר שמי שממלא חובה על-פי דין, הוא פטור מאחריות לפי החוק. די בזה.
היו"ר רויטל סויד
¶
תתייחס לטענה הנקודתית שניר מעלה, על כך שיש להם פה לכאורה הוראה סותרת שיכולה להיות. אני מבינה שאתה אומר שיש הגנות אחר-כך וכיוצא בזה, ואתה אומר שבתקנה 20 יכול להיות שיהיו החרגות.
ליאת בן מאיר שלום
¶
לא ידוע לנו על הוראה סותרת כזאת כי טיוטת התקנות שלפני הוועדה, שעברה כמה וכמה שימועים לציבור, וכמובן למשרדי הממשלה, הוצגה גם בפני רא"מ, ולא עלתה שום הערה בהקשר הזה.
ניר יוגב
¶
אני אסביר. אנחנו, ועוד הרבה מאוד גופים שנמצאים פה בחדר, וגם כאלה שלא, כפופים לחוק להסדרת הביטחון במוסדות ציבוריים. בחוק הזה יש הנחיות, זו חקיקה ראשית. יש שם הנחיות מה אנחנו עושים ואיך אנחנו עושים. בין היתר, באירועי אבטחה, שכבר קרו בשוק התקשורת, התקבלו הנחיות מרא"מ לא להעביר דיווח על אירוע אבטחה לאף גורם אחר משיקולי ביטחון.
היו"ר רויטל סויד
¶
- - שבה הוא אומר יש לנו הוראה מרא"מ לא להעביר הלאה על זה שיש – מה הוא אמור לעשות במצב כזה?
אלון בכר
¶
לא, לא, לא. לא יקרה שיש הוראות סותרות. אחרי שהתקנות יעברו, הרי אחת ההסכמות שאנחנו מגיעים אליהן עם רשות הסייבר שמקבלת את האחריות מרא"מ, זה לגבי התיאומים בשאלה מה קורה כשיש אירוע. זה משהו שנוגע לא לגוף, אלא לגופים האחרים. יש הבדל – וזה מה שצריך לקחת בחשבון – בין השאלה האם הגוף המוסמך – לצורך העניין, - - - של רמו"ט – יודע על הדבר הזה, ובין השאלה האם הוא מעדכן את הציבור בזה? לגבי עדכון הציבור, הרי דובר על זה מפורשות, וזה בכתב, שלא יהיה עדכון של הציבור לפני שיש היוועצות ברשות הסייבר מהטעם הפשוט הזה שידענו שיכול להיות מצב שאנחנו לא רוצים שהציבור ידע על אירוע כי הוא מטופל ברמה אחרת - -
אלון בכר
¶
- - שעצם העדכון יפגע בטיפול. העניין הזה גם קיבל ביטוי בתקנות, וגם מקבל וקיבל ביטוי בשיח בין הרשויות, ולכן זה אפילו לא דיון תיאורטי. זה לא יכול לקרות.
ניר יוגב
¶
אבל אדוני, אני לא מדבר רק על עדכון של הציבור, אני מדבר על כך שברגע שאנחנו מקבלים הנחיה מרא"מ לא להעביר - - -
אלון בכר
¶
כן, אבל אתה תקבל הנחיה מרא"מ להעביר לרמו"ט ולא להעביר לגורמים אחרים, כי רמו"ט הוא הגוף המוסמך שאמור לקבל עדכון על האירוע. לכן לא תקבל הנחיה כזו.
היו"ר רויטל סויד
¶
בהנחה והוא מקבל הוראה – והוא מקבל – אחרי שעוברות התקנות מרא"מ לא להעביר את זה הלאה, מבחינתכם, הוא לא מעביר את זה הלאה.
ליאת בן מאיר שלום
¶
הוראה שהוא מקבל תהיה חייבת להיות כפופה לתקנות האלה מבחינת מדרג נורמטיבי, כאן מדובר בחיקוק, והחיקוק - - -
היו"ר רויטל סויד
¶
כן, אבל ליאת, זה במישור שביניכם לבין רא"מ, אתם מגיעים להבנות. אבל בסוף ישב שם ניר ויצטרך לקבל החלטה.
היו"ר רויטל סויד
¶
סליחה. סליחה. סליחה. בסוף ישב שם ניר, ויצטרך לקבל החלטה עבור "סלקום", ויודיעו לו רא"מ לא להעביר את זה הלאה. השאלה אם כשהוא לא מעביר את זה הלאה – כי אתם כבר הסתדרתם עם רא"מ, הכול טוב ויפה, אבל ניר לא יודע את זה. ניר צריך לקבל החלטה עבור הגוף שהוא מייצג. בהנחה שניר מקבל הוראה כזאת, האם הוא נוהג בסדר כשהוא לא מעביר את זה הלאה?
איל זנדברג
¶
בתיאור העובדתי הזה ההנחה היא שהגורם של רא"מ פעל כדין או שלא פעל כדין? כי אני מניח שהוא פועל כדין כמובן.
איל זנדברג
¶
אז אם הוא פעל כדין, סימן שהוא ייתן את ההוראה כדין, ואז יש הוראה מכוח גורם מוסמך, ולכן הגורם הפרטי לא צריך להעביר את המידע, או לפי מה שנאמר לו.
דן חי
¶
אני מתפלא. יש הוראה בחוק שמגנה על הסיטואציה הזאת. אני חושב שאנחנו סתם משחיתים זמן. יש את סעיף 19(א) לחוק, ויש את סעיף 18(2), שמדבר על חובה חוקית. יש מספיק הגנות.
איל זנדברג
¶
השאלה היא לא חשש מפני זה שהם יעמדו לאחריות על כך, אלא מפני אי-בהירות של הרגולציה, ואי-בהירות של הרגולציה מתואמת בתיאום בין הרגולטורים.
גילי בסמן ריינגולד
¶
אגב, זה לא חשש שלא קיים היום. גם היום רמו"ט יכולה לפנות בדיוק כשיש אירוע שרא"מ אמרו להם לא להגיד, ואני בדיוק מחליטה לפקח עליו ומבקשת ידיעות ומסמכים. זאת אומרת, הסיטואציה הזאת לא זרה, היא יומיומית, והיא לא משתנה בגלל התקנות האלה.
היו"ר רויטל סויד
¶
הרשם הוא לא הציבור, לרשם יש את האחריות שלו. אתה גם יכול לפנות לרשם ולהודיע לו שרא"מ אמרו כך וכך. או לפנות לרשם, ואחר-כך כשרא"מ יפנו, להגיד – יש פה אחריות, בסוף אתה לא משחרר מידע לאוויר.
אלון בכר
¶
יש עוד דבר בסיסי מאוד. אחד הדברים המרכזיים שהם בדין ודברים בינינו זה עדכונים הדדיים בין - - - לביננו. במובן הזה זו התפרצות לדלת שהיא לא פתוחה, אין אפילו דלת, זה חלל פתוח.
דן חי
¶
רק רציתי להגיד שיש לו הגנות ספציפיות בחוק. אני מתפלא על ההערה. יש הגנה מפורשת שגורם שיש לו הסמכה על-פי דין יכול להורות לא לקיים את הוראות החוק. יש את סעיף 19(א), ויש את סעיף 18(2), שיש הגנה על חובה חוקית שנעשתה בתום לב. לא צריכה להיות פה שום בעיה.
לבנת קופרשטיין דאש
¶
שלום. בסעיף הזה אנחנו רואים את סעיף הדגל, שרק מבהיר עד כמה לא נכון, לפעמים אפילו מסוכן ולא יעיל להחיל את כל התקנות על הסקטור הבנקאי, במיוחד התקנה הזו. אני חושבת שזה נאמר בדיונים קודמים, אני לא ארחיב על הנושא יותר מדי, אבל אני חושבת שהוראות הפיקוח על הבנקים של הבנקים בתחום אבטחת מידע, שגם נוגעות להיבטים של סודיות ופרטיות – יש התייחסות ספציפית בהוראת ניהול בנקאי תקין 357, שאגב, יש לה מעמד של חקיקת משנה. שם מדובר באופן עקיף ומפורט מאוד שמתאר את כל החובות שחלות על המערכת הבנקאית מבחינת ניהול מאגרי המידע, וגם, כמו שאמרתי, ההגנה על הפרטיות. שם כל העולם שמדבר על מאגרי מידע ועל תקיפות ופריצות בסייבר מותאם ספציפית למערכת הבנקאית. אנחנו למודי ניסיון כבר בעבודה מול הפיקוח על הבנקאים כשחלים אירועי אבטחת מידע ואירועי סייבר. יש בינינו מנגנון דיווחים מפורט מאוד על כל אירוע שחושבים שהוא אירוע מהותי מספיק כדי לדווח לפיקוח על הבנקים. אנחנו יודעים שהפיקוח על הבנקים מדווח במקרים מסוימים גם לרמו"ט ביזמה שלו.
המון הוראות פה – אני לא אומרת שהן סותרות, אבל הן כפולות. רגולציה כפולה היא לא יעילה, היא גורמת לבזבוז לא יעיל של משאבים, וזה מיותר. אני מכירה את המנגנון של סעיף 20(ב) - - -
לבנת קופרשטיין דאש
¶
אני אתייחס לתקנה הזו, אני רק אומרת שלדעתי המנגנון של 20(ב), שמדובר בכך שצריכים לשכנע את רמו"ט שיש לנו רשות מוסמכת שמפקחת עלינו – מנגנון מאולץ ולא נכון כשמדובר במגזר הבנקאי, שהוא מגזר שברור שהוא - - -
איל זנדברג
¶
התקנות לא מחדשות בעניין הזה, זה הדין היום. התקנות מפרטות כל מיני הוראות. גם היום יש סמכות לרגולטור. אתם תוקפים את החוק. התקנות היום אומרות את זה. היום באנו לפרט ולעדכן, ואתם תוקפים משהו שהוא מחוץ לתקנות.
איל זנדברג
¶
ולכן זה לא חידוש בתקנות. לוקחים את העדכון של התקנות, ומנסים לחפור בו משהו שהוא מעבר לתקנות.
לבנת קופרשטיין דאש
¶
עכשיו אני אדבר על ההגדרה, מה מפריע לנו בהגדרות למשל. אצלנו זה מוגדר אחרת בהוראות שלנו. נכון שבהוראות הפיקוח על הבנקים ההגדרות שחלות על הבנקים מכוח 357 הן הרבה יותר נכונות מההגדרות פה. אני רוצה לתת לכם דוגמה למה לא נכון להחיל עלינו למשל את ההגדרה של אירוע אבטחה חמור. סעיף 11 מפנה להגדרה של אירוע אבטחה חמור. לדוגמה.
אפרת שחר
¶
אפרת שחר מבנק הפועלים. על-פי הוראת 357 רף הדיווח כולל קריטריונים של מהות. ההגדרה היא של אירוע שהוא חריג, שמדובר בניסיון מהותי חדירה או תקיפה, או של חדירות בפועל למערכות מחשב. הרף שנמצא פה בתקנות הוא רף נמוך מאוד ומחמיר עם בעלי המאגרים. מחמיר אפילו יותר מהרף שקבוע בחוק להכללת אמצעי זיהוי ביומטריים, ששם הקריטריונים דומים מאוד לאלה של 357. הרגולציה של אבטחת המידע למוסדות הפיננסיים התפתחה במשך שנים, והיא רגולציה ייעודית שמפותחת באופן שוטף על-ידי הרגולטור, באופן מאוד אינטנסיבי. הכניסה והבדיקה של הקריטריונים האלה של מהותיות ושל סכנה מהותית לפגיעה במידע מתאימה יותר לביצוע על-ידי הרגולטור, שיש לו את הפיקוח האינטנסיבי, היומיומי, והוא זה שקבע את כללי אבטחת המידה.
ליאת בן מאיר שלום
¶
אני רוצה לבקש מהוועדה – אני מרגישה שכל ההערות כאן לא נוגעות לתקנה 11, שהיא מקרה פרטי של יחסים בין רגולטורים שצריכים להידון במסגרת תקנה 20. יש כאן היפוך של התמונה. חוק הגנת הפרטיות חל היום על מכלול המגזרים, לרבות על המאגרים של הבנקים. לא זו בלבד, בסעיפים שנוגעים לאבטחת מידע בחוק הגנת הפרטיות, יש אפילו חובה פרטנית בהקשר של בנק למנות ממונה על אבטחת מידע לפי חוק הגנת הפרטיות. כל מה שהתקנות האלה עושות, הן מעדכנות ומפרטות את החובות שקיימות היום מכוח החוק והתקנות. הניסיון להציג את זה כאילו יש כאן משהו חדש, רגולטור חדש שצריך להסיג את גבולו, זה פשוט היפוך של התמונה. מדובר בחוק קיים, ברגולטור קיים שפועל להגנה על זכות יסוד חוקתית. נכון, יש עוד רגולטורים ולפעמים יש ביניהם חפיפה. באופן חדשני, התקנות האלה מנסות להתמודד עם אותה חפיפה, מה שלא מוכר לי מאף רגולציה אחרת של הרגולטורים האחרים. יש כאן היפוך של התמונה. אני חושבת שכל הגורמים שמחזיקים מאגרי מידע רגישים צריכים לברך על התקנות האלה. כאמור, תקנה 20, שנגיע אליה בהמשך, במהרה, נותנת פתרון כדי שלא תהיה כפילות, כדי שלא תהיה סתירה.
לבנת קופרשטיין דאש
¶
יש לי קצת בעיה, כי זה לא חל במיוחד על הבנקים, ואולי מה שאני אומרת לא נכון לכל המגזרים, אבל אני אדבר כאילו שזה חל עלינו. סעיף 11(ה) אומר שאם אירע אירוע אבטחה חמור – שוב, בקריטריונים מאוד מאוד מחמירים, כלומר, כמעט על כל דבר קטן – הבנק צריך להודיע לרמו"ט על החדירה. ואז רשאי רמו"ט, לאחר שהוא נועץ בראש הרשות הלאומית – בהיוועצות שהיא רק בין רמו"ט למול הרשות הלאומית להגנת הסייבר – ואז הם יכולים להחליט אם לפרסם את הדבר הזה לציבור. לא יתכן ולא ישמע שבמקרה כזה, רגיש מאוד, כשמדובר על חדירה, אולי אפילו לא משמעותית, למערכות מחשב של בנקים, נעדר פה מיקומו של הפיקוח על הבנקים. פרסום שנודע לחדירה למערכות מחשב של בנק הוא פרסום שיכולות להיות לו משמעויות הרסניות עד ל-run on the bank. run on the bank זו תופעה שבה אנשים נבהלים ממקור, שכנראה הוא לא מוצדק, ומושכים את כל כספיהם מהבנקים. מישהו ישמע שהייתה חדירה לאתר אינטרנט של בנק, והדבר הזה יפורסם בלי התייעצות עם הפיקוח על הבנקים, שלא יכול להעריך את החומרה של הדבר, אנשים ימשכו את כל הכספים מהבנקים.
גילי בסמן ריינגולד
¶
לבנת, אנחנו שוב בדיון על תקנה 20, משום שגם היום, אם רמו"ט תערוך פיקוח והיא תסבור שהייתה חדירה למאגר מידע של בנק, היא עדיין יכולה להורות לאותו בנק להודיע לכל הלקוחות שלו לשנות את הסיסמאות ולהקטין את הנזק. גם היום רמו"ט כנראה לא תעשה את זה בלי להגיע לדין ודברים עם הפיקוח על הבנקים. אבל שוב, את נוגעת לתקנה 20 ומה עושים כשיש רגולטור נוסף.
היו"ר רויטל סויד
¶
בואו ניקח את מה שלבנת אמרה וננסה באיזושהי דרך להרגיע את הבנקים, במירכאות. כי אנחנו מתייחסים פה – על ההודעה המידית לרשם, ואחר-כך שהרשם רשאי להורות לבעל המאגר, למעט לבעל מאגר מידע, לאחר שנועץ בראש הרשות הלאומית להגנת הסייבר. מה שלבנת אומרת, בשיח ביניכם – בינך, הרשם, לבין ראש המערך – אנחנו חושבים שבנק ישראל, שיכול להבין את השלכות הרוחב של פרסום מידע כזה לציבור, יוכל גם הוא לומר את דברו בפניכם. ההחלטה היא שלכם, אתם בסופו של דבר תחליטו. תאפשרו לבנק ישראל, לרגולטור שלנו, לומר את הדברים. השאלה אם אי-אפשר פה להכניס כתיקון – לאחר שנועץ בראש הרשות הלאומית להגנת הסייבר ושמע את X, Y, Z.
גילי בסמן ריינגולד
¶
יש אינספור רגולטורים רלוונטיים בתחום. התקנה שאמורה להסדיר את זה היא תקנה 20. יש גם את כללי מינהל תקין, רמו"ט – שהוא אולי לא גוף מאוד ותיק, אבל יש לו כבר קילומטראז'. היו מקרים, ואנחנו מתייעצים היום וולונטרית עם הגופים שאנחנו חושבים שנחוץ להתייעץ אתם. ההכנסה הזאת לא קיימת ברגולציה אחרת.
דן חי
¶
זו נראית לי תוספת מסוכנת מאוד. אני חושב שצריך להיות רגולטור אחד שירכז את התחום של אבטחת מידע לגבי מידע אישי. לא יכול להיות שיהיו לו כל מיני מכשולים, להתייעץ עם זה או עם ההוא. אנחנו צריכים לסמוך עליו שהוא הרגולטור הנכון, הממשלה בוחרת אותו.
דן חי
¶
אם הוא יחליט שהוא צריך לשמוע, הוא ישמע. לפעמים הוא יחליט שהוא לא צריך לשמוע. אם הוא יחשוב שצריך, צריך לתת לו לנהל את הניהול של המידע האישי. לרגולטורים אחרים יש אינטרסים אחרים. לפעמים הם מוכנים שמידע אישי יהיה קורבן לדברים אחרים, ולכן צריך שיהיה מי שישמור עליו. הוא שומר הסף של האזרחים, על המידע האישי. הוא צריך להיות האיש.
רפאל פרנקו
¶
גברתי יושבת-הראש, בהקשר למה נקבעה רשות הסייבר – ראשית, אנחנו מדברים פה בתקנות אבטחת מידע כאשר אנחנו מדברים על כך שרשות הסייבר היא הגורם שמתכלל את הגנת הסייבר במדינת ישראל. היא מתכללת גם רגולטורים מגזריים – מגזריים – בעולם שלהם. ולכן כאשר אנחנו שוקלים שיקול רוחב לאומי, אנחנו רגולטור שרואה את כלל הגנת הסייבר, ולכן לא נכון לגשת לכל רגולטור מגזרי ולתת לו החרגה, אלא יש רגולטור על בהגנת הסייבר. מכיוון שיש בינינו לבין רמו"ט חפיפה גבוהה מאוד, ומכיוון שיש עוד שיקולים, כמו שיקולים כלכליים, ביטחוניים, אנרגיה, ביטחון פנים, חיי אדם, כלכלה וכולי, רשות הסייבר שוקלת אותם, בין היתר, גם דרך הפיקוח על הבנקים. בנק ישראל, אגב, הוא גוף מונחה שלנו. ולכן אנחנו אלה שרואים - - -
רפאל פרנקו
¶
אמרתי, בנק ישראל. לא טעיתי, אמרתי בנק ישראל. אמרתי שבנק ישראל הוא גוף מונחה שלנו. קיבלנו את המנדט להגן מקצה לקצה. ראש רשות סייבר, במידה שהוא סבור – וכנראה שהוא יעשה את זה – שהוא צריך לשוחח עם הרגולטור המגזרי, הוא יעשה את זה. קל וחומר כאשר אנחנו הקמנו יחידות מגזריות כמעט בכל משרדי הממשלה, חשוב לומר. לראש רשות הסייבר יש גופים מונחים ויחידות מונחות בתוך היחידות הרגולטוריות.
אלעזר שטרן (ייעוץ משפטי)
¶
אני חושב שלא תהיה בעיה לאנשי רמו"ט ולמשרד המשפטים להצהיר בפני הוועדה שכחלק מכללי מינהל תקין ומינהל ציבורי רגיל – ודאי שהם יתייעצו וישמעו כל גוף וכל רגולטור רלוונטי, גם אם זה לא כתוב. זה ברור או שזה - - -
אלון בכר
¶
אמרנו את זה וככה אנחנו גם נוהגים. אני רוצה להגיד שני משפטים. בהקשר הזה זה משהו שנוהג גם היום. הרי אירועי אבטחת מידע, ואירועי אבטחת מידע חמורים בבנקים ובגורמים פיננסיים אחרים התרחשו ומתרחשים, ומטופלים גם על-ידי רמו"ט. אני חושב שניסיון השנים האחרונות, כולל השנתיים האחרונות, מוכיח שרמו"ט לא רצה לעדכן את הציבור אם אין חובה כזאת והיא מתרשמת שזה מטופל באופן תקין ומתאים לסיטואציה. במובן הזה אנחנו מדברים על חשש תיאורטי שהמציאות הוכיחה שלא רק שהוא לא קיים, הוא הפוך. הדין ודברים שלנו עם הפיקוח על הבנקים הוא שוטף, הוא רצוף. נעשו אפילו פעולות אכיפה משותפות בשנתיים האחרונות יחד עם הפיקוח על הבנקים כאשר היה אירוע חמור בגוף פיננסי. בהקשר הזה, המציאות היא הפוכה לחלוטין. אני מציע, גברתי יושבת-הראש, פחות להתמקד בלהרגיע את הבנקים, אני חושב שהם יכולים להיות רגועים מאוד. אני בעד שאנחנו נרגיע את הציבור. אני חושב שהציבור לא רגוע, ואני מציע שאנחנו נרגיע את הציבור, והתקנות האלה הן משהו שאמור להרגיע את הציבור ולתת לו מענה ושכבת הגנה נכונה יותר ומתאימה יותר ל-2017 ממה שקיימת כיום.
לבנת קופרשטיין דאש
¶
אני שומעת פה את הדברים – באים רמו"ט ומטה הסייבר ואומרים הדברים ממשיכים להיות כמו שהיום. באה פה חקיקה ומדירה – כלומר, אם יש חקיקת משנה, היא החקיקה שקובעת – היא לא נותנת לפיקוח על הבנקים מקום. יכול להיות שבסעיף 20(ב) יש משהו שמדבר על מנגנון שלא ברור לי עד עכשיו, אני לא יודעת איך זה הולך, הסכמים סודיים. אני לא יודעת. אבל כאן יש חקיקת משנה שלא נותנת למפקח על הבנקים מקום, עם כל הכבוד למטה הסייבר, שבוודאי מטה הסייבר הוא ספץ, בבנקאות הוא פחות מבין מהפיקוח על הבנקים. בנקים זה לא כמו חברה ציבורית - - -
לבנת קופרשטיין דאש
¶
בנקים זה לא כמו חברת "טבע". אף אחד לא רוצה לגרום למצב שבגלל אירוע אבטחת מידע בנק יתמוטט, או שיקרה משהו חמור, בלי לשמוע את הפיקוח על הבנקים. וזה מספיק חשוב לעומת כל רגולטור רלוונטי אחר, ששמו המפורש של הפיקוח על הבנקים לא ייעדר.
חן פליישר
¶
אני רוצה לדייק את הדברים. חן מהמחלקה המשפטית בבנק ישראל. אנחנו לא חושבים שרשות הסייבר יכולה לייצג את עמדת הרגולטור מאחר שהיא נפרדת - - -
חן פליישר
¶
זה אחד הדברים שנאמרו. מאחר שהיא תכיר היבטים מסוימים מאוד שלא מחליפים את ההיבטים המקצועיים שהפיקוח על הבנקים אמון עליהם. הוא אמון על ראייה רוחבית של כל המערכת הבנקאית, של ההשלכות, מתחומים שונים, גם תחומים של פרטיות. לכן אנחנו בהחלט חושבים שיש פה מקום למעורבות של הפיקוח על הבנקים בכל מה שקשור בהחלטות בפרסום. עם זאת, אני אגיד שאנחנו מנסים, בהידברות עם רמו"ט, להגיע לאיזשהו הסדר שיענה על כל הצרכים האלה. אני חושבת שזה שאנחנו דוחים את הדיון על תקנה 20, זה יוצר פגיעה בדיון בתקנות השוטפות, כי כל הגופים בכל תקנה קופצים עם תקנה 20. אולי צריך להפוך את הסדר.
היו"ר רויטל סויד
¶
חן, נאמר כך, אני לא ראיתי שעברנו על התקנות וראינו איזושהי פגיעה בגלל שלא דנו בתקנה 20. עד עכשיו לא עלה הצורך בכך. עכשיו אנחנו נמצאים בתקנה 11 וזו פעם ראשונה שאנחנו רואים קורלציה. ואני מבינה שבוער להרבה מאוד גופים פה לדון בתקנה 20 קודם כל. אבל מה לעשות שהיא תקנה 20? היא לא תקנה ראשונה, היא תקנה 20. קודם כל, עד עכשיו לא ראינו שום צורך לדון בתקנה 20 לפני שדנים בסעיפים. עכשיו, לגבי נקודה ספציפית, אנחנו מדברים על (ד)(2), האם הרשם וראש הרשות אמורים לשמוע דעה נוספת, כן או לא – אני מבינה שיש מתח בנקודה הזו. שמענו את העמדות, הן ברורות מאוד. אנחנו נתקדם הלאה במידה ואתם לא תגיעו להבנות עד שנגיע לתקנה 20 – ואני מקווה שנגיע עוד היום – ובמידה ונראה צורך גם בתקנה 20 לחזור בהיבט הספציפי הזה, נדון בכך בכל מה שקשור ל(ד)(2), שהוא דבר נקודתי מאוד מאוד, ואני מבינה בהחלט את הטענות שעלו כאן. ניר, רצית להוסיף משהו?
ליאת בן מאיר שלום
¶
רק מילה אחת בהמשך למה שחן אמרה. כמו שאמרנו בדיון הקודם, ועכשיו לפני כמה רגעים, כן, במקרים המתאימים בוודאי שרשם ההגנה על המידע יתייעץ וישוחח עם הרגולטור הענפי, בדיוק כמו שהרגולטור הענפי במקרים המתאימים יעשה את זה. גם אם זה לא קבוע בחוק.
אלעזר שטרן (ייעוץ משפטי)
¶
"התקנים ניידים –
12. בעל המאגר יגביל או ימנע אפשרות לחיבור התקנים ניידים למערכות המאגר במתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, את רגישות המידע, את הסיכונים המיוחדים למערכות המאגר או למידע הנובעים מחיבור ההתקן הנייד ואת קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה; בעל מאגר מידע המאפשר שימוש במידע מהמאגר בהתקן נייד או העתקה שלו להתקן נייד ינקוט אמצעי הגנה בשים לב לסיכונים המיוחדים הקשורים לשימוש בהתקן נייד באותו מאגר מידע; לעניין זה יראו שימוש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים".
גילי בסמן ריינגולד
¶
מה שהתקנה אומרת זה שהתקנים ניידים – אם זה טלפונים שמתחברים דרכם למחשב המרכזי, אם זה דיסק און-קי, אמצעים מסוג זה, דורשים התייחסות מיוחדת, ולכן צריך לנקוט באמצעים – גם כדי להגן עליהם עצמם כי הם יותר נגישים וניתנים לגניבה או עלולים להיאבד, וגם כדי למנוע החדרה של נוזקות לתוך המערכת באמצעות השימוש בהם.
גילי בסמן ריינגולד
¶
זה אומר הצפנה, הסיפה שמתייחסת להצפנה סבירה. זה אומר לשים סיסמאות, זה אומר שיש מקומות מסוימים – נתנו כדוגמה - - -
גילי בסמן ריינגולד
¶
אנחנו לא אומרים בכל מאגר, בשים לב לרמת הסיכון של המאגר ולשימושים בו. כן, נכון, בבנקים למשל אתה לא יכול להכניס דיסק און-קי למחשב.
גילי בסמן ריינגולד
¶
מתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, את רגישות המידע ואת הסיכונים המיוחדים לו.
אלעזר שטרן (ייעוץ משפטי)
¶
מה תהיה ההנחיה שלכם במצב כזה לאותה קוסמטיקאית, או לאותו גוף שזה המחשב שלו בבית?
גילי בסמן ריינגולד
¶
פשוט לשים סיסמה לקובץ שהיא הורידה, זה הכול. ואם היא מכניסה דיסק און-קי, שיהיה לה אנטי-וירוס ו"פיירוול", דברים שממילא בשימוש היומיומי, גם אצל הקוסמטיקאית כנראה, בטח במאגרים הגדולים והרגישים יותר.
סילבי חורב
¶
סילבי חורב, התעשייה האווירית. את מדברת על התווך. את מדברת על התווך ומה יקרה כשזה יגיע במקום מסוים, אבל את לא מדברת על מה יוצא. ויש חשיבות גדולה מאוד לדעת איזה חומרים יצאו. בהינתן שהוא מוצפן, אי-אפשר לדעת מה יצא, כי התווך מוצפן. דבר שני, אתם רוצים לדעת כל מה שיצא החוצה, כי אם זה הלך לאיבוד, את צריכה לדעת מה החומר שיצא.
גילי בסמן ריינגולד
¶
אבל על זה מדברים סעיפים אחרים שמתייחסים לגישה, ואיזה שימוש נעשה במידע. כרגע אנחנו מדברים ברמה הכי בסיסית על האמצעי – איך לאפשר אותו. אם משרד המשפטים מאפשר לי להתחבר לעבודה דרך הנייד, אני חייבת שתהיה לי סיסמה והנייד לא יהיה פרוץ לכל אחד שיפגוש בו, שהוא יוכל להיכנס לכל המערכת. ברמה הכי בסיסית שאפשר. החל מהרמה הכי בסיסית.
ניר יעקב גרסון
¶
מעבר לזה, התקנה אומרת ימנע – שוב, לפי מידת הסיכונים – או יגביל שימוש בהתקנים. יגביל זה יתיר, לא יקשיח, רק אם יהיה מעקב. הכול בהתאם לרמת הסיכונים וסוג המידע. אז התקנה כן מדברת על החששות שאת מעלה.
סילבי חורב
¶
אני מתכוונת שבהינתן שמישהו הכניס התקן שהוא לא תקין, ונגיד שכל ההתראות יגידו זיהינו שיש פה התקן, עדיין לא נדע מה הועתק לתוך ההתקן הזה, וזה משהו שכל בעל מאגר חייב לדעת לעצמו איזה סוג של מידע עבר למקום שהוא לא מורשה. אני לא ראיתי התייחסות.
סילבי חורב
¶
יש המון תכנות שיודעות להתייחס לנושא של דליפת מידע, ואין פה אזכור לזה. בכל המסמך הזה אין אזכור.
סילבי חורב
¶
של דליפת מידע. בגלל שכל ההתייחסות שיש פה היא לגבי התווך המוצפן, אם לחבר או לא לחבר. אבל אף אחד לא מדבר על מה יקרה כשנחבר את ההתקן, כשנחבר משהו לא תקין והלך המידע. איך אנחנו יודעים איזה סוג של מידע הלך?
גילי בסמן ריינגולד
¶
את לא מוצאת שתקנה 10(א) מתייחסת לזה, שמדברת על בקרה ותיעוד גישה ומתייחסת לסוג הגישה, היקפה? לדעתי היא מכסה את זה.
גילי בסמן ריינגולד
¶
זה גם איזה שימושים הוא עשה. שוב, התקנות האלה הן רף מינימום. בוודאי שהתעשייה האווירית יכולה להפעיל את אמצעי הבקרה הנוספים. אנחנו נשמח להקשיח את התקנות.
היו"ר רויטל סויד
¶
בדיוק. אני רוצה להבין אם הבנתי נכון – תודה גילי. את אומרת שזה לא מספיק קשיח מה שיש פה?
אלון בכר
¶
דרך אגב, אמרנו מההתחלה, ואנחנו חוזרים ואומרים את זה, זה רף המינימום לאבטחה לפי סוגי המידה וההיקפים שלו, זה לא המקסימום.
בובי פנדריך
¶
בובי פנדריך, המוסד לביטוח לאומי. המשפט האחרון: לעניין זה יראו שימוש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים, הוא מטעה. אני חושב שאם יעצרו לפני זה – ינקטו באמצעי הגנה בשים לב לסיכונים, זה מצוין וזהו, פה לעצור. ברגע שמפנים לאמצעי הצפנה – לדעתי המקצועית זה לא בדיוק נכון. אם כבר, היה צריך לדבר על תכנות הגנה הנוהגות בשוק. הצפנה זה הגנה לכיוון אחר לגמרי, לא נגד אמצעי נייד שמחובר או מותקן ברקע.
גילי בסמן ריינגולד
¶
שוב, בגלל שהתקנות מתייחסות לכלל השוק, אני חושבת שאותם גופים שרוצים להחמיר יוכלו להחמיר.
אלעזר שטרן (ייעוץ משפטי)
¶
התקנות האלה חלות על מנעד רחב מאוד של מאגרים. לא כולם המוסד לביטוח לאומי, אלא חלקם גם מאגרים של יחיד. צריך איזשהו רף מינימום, אתה לא יכול שהרף יהיה זהה לכולם. ברור שאין מניעה שאתם תחמירו את הרף אצלכם, אבל מצד שני, התקנה הזאת היא דוגמה לאחת מהתקנות שכן חלה על מאגרים של יחיד.
היו"ר רויטל סויד
¶
אז יכול להיות שאת המשפט שבובי התכוון אליו, במאגר יחיד יראו שימוש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים.
ניר יעקב גרסון
¶
למשל הקשחה, מניעה מוחלטת. זה בתוך התקנה. אפשר להחליט שמונעים לחלוטין את האפשרות להכניס התקנים ניידים. לארגונים הרגישים יותר זאת התשובה.
גילי בסמן ריינגולד
¶
לא הייתי מקשיחה בשלב הזה את התקנות. זה לא מונע מאותם גופים לנקוט באמצעים חמורים יותר.
אלעזר שטרן (ייעוץ משפטי)
¶
אנחנו נראה את זה בתקנה 21, התקנות כן יוצרות ריבוד, שלא כל תקנה חלה על כל סוג של מאגר. אבל יש תקנות שכן חלות על כל המאגרים. היא צריכה להיות מספיק רחבה וגמישה מצד אחד שיהיה אפשר להחיל אותה על כולם.
ענת ברקו (הליכוד)
¶
מתוקף זה שאנחנו לא מסווגים את המאגרים הללו בסיווגים כאלה ואחרים בדרגת חשיבות או רגישות מבחינת פרטיות, קשה מאוד לעשות את זה.
אלון בכר
¶
לא רוצים להעמיס מעמסה כבדה מדי על חלק מהציבור, שלא צריך להעמיס אותו באמצעים כבדים מדי. זה חלק מהעניין באיזון.
איל זנדברג
¶
אני רוצה להגיד משהו על התהליך שעברנו. אנחנו הגענו לתקנות אחרי עבודות מפורטות מאוד, וגם השיח הפנימי, בהרבה נקודות שאתם רואים כאן, הייתה התלבטות כמה להקשיח, כי אנחנו רואים את הגנת הפרטיות כאותה זכות יסוד שאנחנו מגנים עליה. מצד שני, כמשרד משפטים אנחנו מסתכלים גם על האופן הכללי ורוצים לעשות איזון בין כל האינטרסים. בסוף, האיזון בתקנה הזאת משתקף כמו שזה כתוב. יכול להיות שבתוך השיח של הוועדה גם אתם – אולי התגובה הראשונית היא רגע, אולי לא החמרתם מספיק, ועם הימשך הדיון, אנחנו נחזור כמטוטלת לנקודה שבה התקנות נמצאות. אנחנו הכרנו את הקושי הזה ובסוף עצרנו בנקודה מסוימת.
בובי פנדריך
¶
אני חושב שפה לא הובנתי נכון. אני שוב אומר, המשפט האחרון, להבנתי, שולח אותנו לשגיאה. הוא צריך לרדת, זה הכול. כל השאר מקובל עלי לחלוטין.
נתן הרשקוביץ
¶
נתן הרשקוביץ, רשות ניירות ערך. אני מצטרף בחום לאמירה הזו. השורה של ההצפנה לא רלוונטית, היא לא פותרת - - -
נתן הרשקוביץ
¶
הצפנה הוא סוג של פתרון הגנה. יש סוגים רבים אחרים למנוע הוצאת מידע, לא רק הצפנה, יש סוגים אחרים, ודווקא בקטע של התקנים חיצוניים הוא לא הפתרון. הוא לא הפתרון, והוא מכוון לתחום מאוד מסוים מבין שלל תחומים. לא ברור למה הצפנה נמצא פה.
עומר פרידמן
¶
עומר פרידמן, רמו"ט. אני חושב שאתם לא מבינים את הקונטקסט. מדובר על כך שאם כבר מחברים, ואם כבר צריך להוציא מידע בהתקן נייד, שלעתים אין ברירה, כשמעבירים מידע ממקום למקום או לגיבויים, המידע הזה יהיה מוצפן. המידע שיושב במנוחה על אותו התקן נייד – בין אם זו קלטת, או דיסק, או כל מדיה אחרת, או לפטופ שאתה מסתובב אתו בשטח – במידה ואותו מידע נגנב, או מדיה נגנבת, שהמידע עליו יהיה מוצפן. זאת הכוונה. אתם פשוט לא מפרשים את זה נכון.
עומר פרידמן
¶
אז צריך לכתוב את זה בצורה ברורה יותר. אם כבר, נאלצים לחבר ומעבירים מידע, המידע חייב להיות מוצפן.
גילי בסמן ריינגולד
¶
אני חייבת להגיד שהתקנה לא מחייבת להצפין. התקנה נועדה להקל ולהגיד אם אתה מסתפק בהצפנה, זה ייחשב כאמצעי סביר. היא לא מחייבת להשתמש בהצפנה, וגופים יכולים להחליט להשתמש באמצעים אחרים. אין לנו שום בעיה להוריד את זה, אנחנו חשבנו שזה מקל על אותם גופים שכנראה כל האמצעים שלהם הם הצפנה. זה בשום אופן לא מחייב את זה כאמצעי יחיד.
אלעזר שטרן (ייעוץ משפטי)
¶
יש לי הצעה טכנית שיכולה להבהיר את זה. אולי במשפט הקודם, שכתוב: ינקוט אמצעי הגנה, ככל שמה שעומר אמר זו הכוונה, אפשר לכתוב: ינקוט אמצעי הגנה להגנה על המידע שהועתק להתקן הנייד. ואז זה יבהיר למה התכוונתם.
איל זנדברג
¶
אבל הכוונה הייתה לרמוז לשוק, להסביר לשוק, שמי שבוחר בדרך של הצפנה, די בכך. זו אופציה אחת.
אלעזר שטרן (ייעוץ משפטי)
¶
איל, בסדר. חוסר ההבנה שהיה פה בין מה שנאמר לבין מה שאמר עומר היה על מה בדיוק אתה מגן. עומר אמר שההגנה היא על אותו מידע אחרי - - -
גילי בסמן ריינגולד
¶
- - - למה ההצפנה מתייחסת, אבל עדיין צריך לנקוט אמצעי הגנה כקונספט על השימוש בהתקנים ניידים, שזה מה שאמרה חברת הכנסת ברקו.
גילי בסמן ריינגולד
¶
אנחנו מעדיפים להוריד את ההקלה ששמנו: לעניין זה יראו שימוש בשיטת הצפנה מקובלת כאמצעי סביר, שאני לא מבינה מדוע היא מטרידה את מי שלא משתמש בהצפנה. שוב, היא אופציונלית והיא - - -
אלעזר שטרן (ייעוץ משפטי)
¶
אני מציע משהו אחר שייתן מענה לכל מה שנאמר פה. אם את כותבת במשפט הקודם, לפני המילים בשים לב: ינקוט אמצעי הגנה להגנה על המידע שהועתק להתקן הנייד - - -
גילי בסמן ריינגולד
¶
לא, עומר אמר שההתייחסות בהצפנה היא לאותו מידע שמועתק, אבל ינקוט אמצעי גם ביחס לנוזקות שיכולות לחדור דרך אותו - - -
אלעזר שטרן (ייעוץ משפטי)
¶
זה גם בסדר. בסדר גמור. אז את יכולה להוסיף את המילים האלה בסוף: לעניין זה יראו שימוש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים להגנה על מידע שהועתק להתקן הנייד.
דן חי
¶
אני חושב שהדיון הזה הוא קצת מיותר, כי פה מדובר רק על עניין של נטלים. אדם שיצפין את המידע לא יצטרך לשכנע שהוא עשה הגנה מספקת. מי שיחליט שהוא רוצה לנקוט בהגנה אחרת, יהיה עליו נטל, במקרה שמידע ידלוף, להראות שההגנה שהוא עשה הייתה מספקת. זה כל העניין. זה משפט שנועד להקל על מי שיבחר בדרך של ההצפנה, ומי שלא יבחר, יהיה עליו נטל. אם נוריד את המשפט הזה, גם למי שיבחר בדרך ההצפנה יהיה נטל לשכנע שהוא נקט באמצעים סבירים, ולכן אני חושב שיהיה חבל להוריד את זה. לגבי התוספות, אני חושב שצריך להבין שכשמחברים התקן נייד למערכת, יכולים להיות עוד הרבה נזקים שלא קשורים למידע שירד. יכול להתווסף מידע, וירוסים, כל מיני דברים אחרים.
דן חי
¶
סוס טרויאני, המון דברים שיודעים להיכנס. כבר חווינו את זה, רמו"ט קמה בזכות זה – לא נעים להגיד – בזכות הסוס הטרויאני. לכן אני חושב שלצמצם את ההגדרה זה מסוכן, כי אז צריך להתחיל לחשוב על כל הדברים - - -
היו"ר רויטל סויד
¶
זה לא לצמצם אותה. זה לא. דיברנו בהתחלה על צמצום, ואחר-כך חידדנו את זה יותר. זה לא היה צמצום, זה היה להכוונה, שמדובר רק על המידע שכבר נלקח, הוצא, נשאב, אני לא יודעת איך לקרוא לזה.
דן חי
¶
אני חושב שמהנוסח ברור מאוד שזו הכוונה. אני לא חושב שמישהו העיר לגבי כך שהכוונה היא למידע הזה. ההערה הייתה לגבי השיטה - - -
דן חי
¶
ההערה הייתה לגבי שיטת ההגנה, שאמרו הצפנה. אני מסכים שהצפנה היא אחת השיטות, ולא תמיד הייתי ממליץ לבחור בה כי היא מורכבת ויקרה. יש מידע שיוצא שהוא לא מידע רגיש מאוד, ולפעמים אפשר לנקוט בדרכי הגנה אחרות.
אלעזר שטרן (ייעוץ משפטי)
¶
מה שעומר הבהיר, שהכוונה שלהם בעניין ההצפנה – זה נכון, צריך להפריד בין אמצעי ההגנה שהם לא רק מפני העתקה, אלא, כמו שאמרת, לגבי כל מיני סיכונים. אבל ספציפית, ההקלה הזאת שהם הציעו לגבי אמצעי ההצפנה התכוונה – לפי מה שהבנתי מעומר – לאותו מקרה של העתקה של מידע, זאת אומרת, ההצפנה של המידע שהועתק.
דן חי
¶
על זה שזו שיטת הצפנה, אבל זו שיטה אלטרנטיבית. אפשר להגיד שאולי היה מקום להוסיף עוד שיטות, וכבר לא נצא מזה. זו הקלה. זה עניין של נטל, הרי צריך לזכור, בעולם של דליפת מידע כולנו צופים וחוששים מאותו סעיף בפקודת הנזיקין שמדבר על רשלנות, שהוא יכול להיות מקור לתביעות ולהרבה בעיות אחרות לארגונים. ארגונים לא רוצים להיתפס כרשלנים. ארגון שיצפין מידע יכול להגיד רבותי, אני עשיתי את מה שהתקנות אומרות, ודאי וודאי שלא הייתי רשלן. לשם כולנו מסתכלים. ארגון שינקוט באמצעים אחרים לוקח על עצמו את הסיכון שיכול להיות שהוא לא יצליח לשכנע שהאמצעי שהוא נקט בו היה מספיק. בסדר, זו המציאות, יש עוד דרכים ואי-אפשר לפרט את כולן בתקנות. לכן אני חושב שהאינטרס של גופים – אם אני מסתכל על זה בעין של גופים – הוא שהמשפט הזה כן יישאר, כי אז תמיד יהיה להם מוצא לנקוט באמצעי שהוא יוכל להגיד אחר-כך – עשיתי מה שהתקנות אומרות, זאת אומרת, עשיתי מה שצריך, אני לא הייתי רשלן. זו דעתי.
יורם ביטון
¶
יורם ביטון, מביטוח לאומי בתחום הסייבר. אני נוגע שוב פעם בהצפנה. אין להצפנה שום רלוונטיות אם אנחנו רוצים למנוע הכנסה של איזושהי נוזקה. ברגע שניקח דיסק און-קי, אם הוא מוצפן ויש עליו וירוס וחיברתי אותו למחשב שעליו יושב מאגר, זה לא שינה כלום, אותו וירוס יחדור. אם הכוונה היא להגן על המידע עצמו, על המאגר, בהנחה שחלק מהמאגר, או המאגר כולו, עובר לדיסק און-קי, אז יש משמעות להצפנה. שוב פעם, זה משהו מינימלי מקל בתחום הזה.
אלעזר שטרן (ייעוץ משפטי)
¶
"ניהול מאובטח ומעודכן של מערכות המאגר –
13. (א) בעל מאגר מידע יקפיד על ניהול ותפעול תקין של מערכות המאגר, לפי המקובל בהפעלת מערכות כאלה.
(ב) בעל מאגר מידע יפריד, בהיקף ובמידה הסבירים האפשריים, בין מערכות המאגר אשר ניתן לגשת מהן למידע, לבין מערכות מחשוב אחרות המשמשות את בעל המאגר.
(ג) בעל מאגר מידע ידאג לכך שייערכו עדכונים שוטפים של מערכות המאגר, לרבות חומר המחשב הנדרש לפעולתן; לא ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי אבטחה שלהן אלא אם כן ניתן מענה אבטחתי מתאים".
גילי בסמן ריינגולד
¶
התקנה מדברת על ניהול ותפעול תקין של המערכות. תקנת משנה (ב) ממשיכה ומתייחסת לאבטחה הלוגית מעבר לאבטחה הפיזית שנדרשת, במיוחד כאשר המחשב מחובר לרשת מחשבים ולתחנות קצה, שאז הסיכונים גדלים לחדירה למערכות באמצעות הרשת. היא מתייחסת לשיטות להפרדה, השיטות שקיימות ואנחנו מכירים, והן נגישות בשוק – "פיירוול", חלוקה לרשתות ודברים כאלה שברורים מאוד לאנשי מערכות המחשוב. תקנת משנה (ג) מדברת על הצורך בעדכון שוטף של מערכות ההגנה, שזה גם דבר בסיסי, היות והאיומים כל הזמן משתנים.
אלעזר שטרן (ייעוץ משפטי)
¶
רציתי לשאול – אני שואל את זה לגבי כל תקנה רלוונטית – איך אתם רואים את ההפעלה של התקנה הזאת, במיוחד תקנת משנה (ב) לגבי בעל מאגר יחיד? מה המשמעות של זה? שוב, אם מדובר על מחשב אישי או משהו כזה, מה המשמעות של הפרדה כזו? איך אתם רואים את זה?
גילי בסמן ריינגולד
¶
ההתייחסות פה היא לתווך, ששיטות ההצפנה צריכות לנגוע בתווך. אתה רוצה לפרט יותר, עומר?
אלעזר שטרן (ייעוץ משפטי)
¶
ניקח את הדוגמה של הקוסמטיקאית, יש לי מחשב, והמחשב הזה הוא המחשב האישי שלי בבית. מה המשמעות של הפרדה בין המערכות? הרי זה אותו מחשב, לא מדובר פה על רשת מורכבת.
עומר פרידמן
¶
בעיקרון, אם אותה קוסמטיקאית פותחת נתב אלחוטי ופותחת אותו לכל הבניין, רצוי שזה לא יקרה כי המחשב שלה גולש לאינטרנט דרך אותו נתב, וגם השכנים יוכלו לגלוש דרך אותו נתב, וגם אולי לגלוש למחשב עם כל המידע.
עומר פרידמן
¶
הפרדה. הפרדה יכולה להיות עם "פיירוול" שמגיע ב-Windows, או אם איזו תכנה אחרת, או בכלל לנתק את הנתב האלחוטי או לחסום אותו מגישה. אם זה בארגון גדול שיש לו מאגר מידע שיושב באינטרנט, אז כמובן שאותו מאגר מידע אמור להיות מוגן ומופרד ממערכות אחרות. ואם יש כמה רשתות, אין שום סיבה שעובדי מנהלה יוכלו לגשת למאגר המידע, או שאנשי פיקוח ותחזוקה יוכלו לגשת למאגר שמכיל מידע אמתי, אלא רק למידע דמה. יש הרבה שיטות הפרדה, אי-אפשר להיכנס אליהן. צריך לדבר על הפרדה במידה סבירה.
גילי בסמן ריינגולד
¶
על אותם גופים קטנים אלו אמצעים שמגיעים בדרך כלל עם מערכות ההפעלה, כמו שעומר אמר.
עומר פרידמן
¶
זה אומר שרגל אחת של הנתב תהיה לעצמך, ואם אתה רוצה לתת לאורחים גישה, תעשה הפרדה בנתב. כמובן שלא כל בן אדם רגיל יודע לעשות את זה, אז רצוי שטכנאי המחשבים שלך יעשה את זה. תדע שאתה יכול לעשות הפרדה בין רשת של אורחים לרשת הרגישה שלך, גם אם זה בבית. אתה לא רוצה לתת לשכנים גישה לנתב שלך, אז תפריד עם סיסמה, תפריד עם כל מיני שיטות הגנה אחרות. שוב, מדברים על הפרדה, להפרדה יש הרבה שיטות. קשה להיכנס.
נתן הרשקוביץ
¶
שאלה. לא ברור לי – יש ברשות לניירות ערך כמה וכמה מאגרים. אני מהרשות לניירות ערך, יש לנו כמה מאגרים. לא ברור לי סעיף (א), כמי שאחראי על תפעול המאגרים האלה. מתי זה תפעול תקין לפי המקובל במערכות האלה? מה פירוש ההגדרה הזאת? מתי אני עומד בדרישות התקנות ומתי לא?
נתן הרשקוביץ
¶
לא הבנתי – אם אפשר לקבל הסבר, אני אשמח – את סעיף (א). כמי שמנהל מאגרים ברשות לניירות ערך, לא ברור לי מה הפירוש או מה כוונתכם בניהול ותפעול תקין של המערכות לפי המקובל בהפעלת מערכות. כלומר, מתי אני עומד בדרישות התקנות ומתי לא? מה כוונתכם בתפעול תקין בהיבט של הגנת הפרטיות?
רונית פרל
¶
אני יכולה להוסיף לזה? אני רונית פרל, אני היועצת המשפטית של התאחדות התעשיינים. בדיוק לאותה משמעות שהתכוון נתן, גם בסעיף (ב) משתמשים במונח בהיקף ובמידה סבירים אפשריים. מתי אני יודעת שאני עומדת - - -
עומר פרידמן
¶
ניהול תקין ותפעול תקין זה משהו שנוצר לאורך שנים. תקראי באינטרנט, יש את חמשת הדברות, עשרת הדברות להגנה על המידע שלך, או על המחשב שלך, או על הטלפון שלך. היום אנשים יודעים מה הוא הסטנדרט. סטנדרט הוא אנטי-וירוס, סטנדרט זה "פיירוול", סטנדרט זה לעדכן את המחשב או את הטלפון. זה משהו שנוצר לאורך השנים, ובכל פעם יש נדבכים שנוספים, אז בארגונים גדולים יודעים שיש מערכות שנקראות CM, שמנטרות, אוספות מידע ומתריעות על אבטחת מידע. קשה מאוד להגיד מה הסטנדרט, כל אחד צריך לקבוע את הסטנדרט שלו. יש גם תקנים – ברפואה יש תקן HIPAA בתחום הבנקאות יש - - -, בכרטיסי אשראי יש PCI DSS.
היו"ר רויטל סויד
¶
עומר, מה שאתה אומר, כל גוף יודע מה זה ניהול תקין אצלו. מצופה ממנו שיעמוד בסטנדרטים של הניהול שלו. כל אחד מכם יודע למה מתייחסים.
ניר יעקב גרסון
¶
זה לפי מה שמקובל. בהמשך למה שאמר עומר. ניהול תקין יכול להיות לא לגלוש באתרים חריגים, לכבות את המחשב בסוף היום, דברים שהם שגרת ניהול מעבר, בנוסף על עדכון התכנה, שזו תקנה בהמשך, תקנה (ג). הדברים האלה שהם מקובלים.
נתן הרשקוביץ
¶
השאלה אם גלישה באינטרנט למשל, באיזו צורה יכולה לפגום בהגנת הפרטיות של מאגר מסוים? מישהו אצלי בארגון גולש הרבה. אפשר לגלוש באינטרנט?
גילי בסמן ריינגולד
¶
כל החלטה כזאת תלויה בטיב המאגר. שוב, אלו תקנות שפונות לשוק רחב מאוד, לסוגים שונים מאוד של מאגרים. יש פה ניסיון לבצע חשיבה ולקבוע את הניהול הזה לא סתם כך במקרה, אלא להקדיש לו את המחשבה איך אני צריך לנהל ולתפעל את המערכות שלי.
רפאל פרנקו
¶
זו הנקודה שבה אני רוצה לומר שככל שאנחנו נסכים, בתורת ההגנה, בתורת האבטחה הלאומית, אנחנו יורדים בדיוק לרזולוציות שמדברים עליהן כאן אנשים. זה אומר איך מפרידים, אילו מערכות צריך לשים, איזה מערכות SIM, שהן מערכות אבטחה, מקובלות, כאשר הן נבדקו במעבדות אצלנו, כחול לבן. איזה אנטי-וירוס אנחנו מאשרים שנבדקו או נבחנו, איזה סוגי הצפנה אנחנו מקבלים, יש תקנים – יש הצפנות חלשות יותר. כל הנושאים והנקודות האלה, בדיוק בפרטים הקטנים, שם אנחנו נמצאים. רשות הסייבר מוציאה לגביהם הנחיות. ככל שאנחנו, או רמו"ט בהמשך, יאמצו חלק מהדברים האלה – אני מניח שהם לא ירדו לרזולוציות של פירוט כאלה – אנחנו נוכל בשגרה להסתנכרן ולהיות רגל מסיימת, כך נקרא לזה, ברמת הפרטים.
אלון בכר
¶
אני רוצה להגיד, זה הרי לא מקרי שאין ירידה לפרטי פרטים, כי התקנות האלה אמורות לחול על כל המשק, ואמורות להיות נגישות ולהתאים לסוגי המידע וסוגי מאגרים ומערכות שונים בתכלית. אפילו אם לא היינו כותבים את התקנה הזאת בכלל, אני חושב שהיה ברור שכל אחד צריך לנהל את המערכת שלו באופן תקין, באופן סביר, לעדכן אותה, לעשות בה את השימוש הנכון והראוי, כמו שעושה כל גוף גם היום. גם היום, כשהתקנות שנוגעות לאבטחת מידע הן מיושנות מאוד ולא מפורטות, אותה חובה חלה, וכל גוף יודע על עצמו איזה מידע הוא מנהל, איזה רגישויות, למה הוא חשוף, והוא מתאים את המערכות שלו לאותם דברים. במובן הזה לא השתנה שום דבר. אם היינו מפרטים, היינו צריכים לפרט אולי 100 רמות של דברים לפרטי פרטים, וזה לא משהו שהתקנות יודעות לקבל.
נתן הרשקוביץ
¶
התכוונתי לשאול על קווים מנחים. חברה ציבורית למשל, או רשות ממשלתית רוצה לעמוד בדרישה, וזה לא כל כך ברור, לדעתי, מה צריך לעשות כדי לעמוד בהן.
עומר פרידמן
¶
אם תסתכל, אתה יכול לראות שאפשר לפנות לגוף דומה אליך במדינה אחרת ולשאול מה הם ממליצים, מה הם עושים. בדרך כלל בבנקים כבר 20 שנה מפרידים רשתות וגלישה באינטרנט נעשית דרך חוות שרתים. זה סטנדרט שהם טיפחו לעצמם במהלך השנים. אם אתה לא יודע ואנשי האבטחה שלך או היועצים שלך - - -
היו"ר רויטל סויד
¶
אני רוצה לשאול אתכם. רמו"ט, אתם תוציאו הנחיות, בין היתר, גם לתקנה הזו כדי שחברים יוכלו להיות יותר רגועים שהם עומדים בניהול התקין לא רק של עצמם, אלא גם של איך שאתם תופסים אותו?
אלון בכר
¶
קווים מנחים כן, הנחיות מפורטות לכל סוגי המידע בכל סוגי הארגונים לא. גם מי שיתיימר לעשות כזה דבר לא יוכל לעשות את זה, ובוודאי אי-אפשר לעשות משהו כזה שצריך לעדכן אותו על בסיס קבוע.
היו"ר רויטל סויד
¶
תאמר לי אלון, יש לי שאלה – בוא נניח שעכשיו נתן יושב, התקנות האלה עברו והוא אומר אני חושב שאני עושה ניהול תקין, אבל אני לא בטוח במאת האחוזים שאני עומד בסטנדרטים. אני רוצה לפנות לרמו"ט ולשאול אותם האם הסטנדרטים שאני נוקט בהם נחשבים בעיניכם ניהול תקין? זה דבר שאתם תקבלו אותו?
אלון בכר
¶
דרך אגב, זה נכון. גברתי, התשובה פשוטה מאוד. יש לנו הרי מוסד של פרה-רולינג, יש לנו נוהל פרה-רולינג ברשות לגבי כל מיני שאלות, כולל משפטיות. גם בשאלות משפטיות אנחנו מבקשים מהגוף שימצה את הבדיקה עם עצמו קודם כל, כי אנחנו לא יועצים משפטיים, אנחנו מסדירים. אחרי שהוא בודק את זה בכלים שעומדים לרשותו, אם עדיין התשובה היא לא ברורה, אנחנו בהחלט נותנים מענה. זה בדיוק מוסד הפרה-רולינג שלנו, הוא לא שונה בתחום אבטחת המידע. אם הרשות לניירות ערך – במקרה אני מכיר אותה לא רע – תחשוב שהיא לא בטוחה שהיא עומדת בסטנדרט הראוי והנכון, אחרי שהיא מיצתה את הבדיקה עם אנשי אבטחת מידע ואנשי המערכות שלה בפנים ובחוץ, היא תפנה לרמו"ט והיא תקבל מענה. אבל אני די בטוח שלא יהיה בזה צורך.
נתן הרשקוביץ
¶
אתה צודק. השאלה הייתה מכוונת בעיקר לגופים שאנחנו מפקחים עליהם, חברה ציבורית כזו או אחרת שאין לה את - - -
אלון בכר
¶
זה בדיוק אותו דבר. התשובה בעיני היא אותה תשובה בדיוק. גם לחברה ציבורית שיש לה מערכות מידע יש אנשים שמטפלים בה, יש לה יועצים שהיא מעסיקה, היא תקבל מהם מענה כי הסטנדרטים הם מקובלים והם בין-לאומיים, והם מתעדכנים. אם היא לא תקבל מענה ראוי, או שהיא לא תדע מה התשובה הנכונה ברמה שמישהו יגיד לה זה הסטנדרט, אבל אני לא בטוח שזה עומד בסטנדרט שכתוב בתקנה 13, מה שאני מתקשה להאמין, אז תוכל לבוא פניה לרמו"ט בפרה-רולינג, ואנחנו נתייחס אליה. זה הרי נכון לגבי כל אחת מהסמכויות שכל רגולטור מפעיל, כולל רמו"ט.
היו"ר רויטל סויד
¶
נתן, אני חושבת שזה מוצה, וגם די ברור, עם הבהרה, אפשר גם לפנות. גם שמענו שיש עורכי דין, שחכנו את זה.
סילבי חורב
¶
אני רוצה להתייחס להערה על הקוסמטיקאית. זו דוגמה טובה, כי אתם מדברים על גופים גדולים, אבל יש גם גופים קטנים. יש פה סעיף שלא בטוח שהציבור יכול לעמוד בו, שהוא לא יעשה שימוש במערכות שהיצרן לא תומך בהיבטי האבטחה שלהם, אלא אם כן ייתן מענה אבטחתי מתאים. גברתי, אני רוצה להסביר את מה שאני מבינה. יש מערכות הפעלה שלא מקבלות את התמיכה ממי שייצר את מערכת ההפעלה כי הם נותנים תמיכה בנושא אבטחת מידע בערך שלוש שנים אחורה. אותה קוסמטיקאית, כל העסק שלה מבוסס על הדבר הזה, וכבר אין עדכוני אבטחת מידע. אז מאותו הרגע המאגר כבר לא עומד ברגולציות?
גילי בסמן ריינגולד
¶
אבל את מערבבת, כי במערכות המורכבות, שהיצרנים שלהם תומכים עד שלוש שנים אחורה, בדרך כלל משתמשים גופים גדולים, כמו הגוף שאת מייצגת. במערכות הקטנות, אותם גופים קטנים, הקוסמטיקאית, לא משתמשת במערכות כאלה עם הסכמי תחזוקה כאלה. יש לה Windows, יש "פיירוול".
ניר יעקב גרסון
¶
בדיוק. אנחנו לא אוסרים קטגורית, לכן זה עוד דוגמה לכך שהתקנות הן על קרקע המציאות וקורות בשטח. לא אומרים קטגורית אסור מרגע שלא ניתן - - -, אלא צריך לתת מענה אחר – להתקין אנטי-וירוס אחר, לעשות משהו אחר שיפצה על הבעיה. אני חושב שכל אנשי המקצוע פה יסכימו שזה כשל מרגע שהיצרן לא - - -
ליאת בן מאיר שלום
¶
בגלל זה כתבנו – מענה אבטחתי מתאים חלופי. רק שלא יהיה מצב שאין שום מענה אבטחתי. זה מה שהתקנה אומרת.
אלעזר שטרן (ייעוץ משפטי)
¶
"אבטחת תקשורת –
14. (א) בעל מאגר מידע לא יחבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת, בלא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב.
(ב) העברת מידע ממאגר המידע, ברשת ציבורית או באינטרנט, תיעשה תוך שימוש בשיטות הצפנה מקובלות.
(ג) במאגר מידע שניתן לגשת אליו מרחוק, באמצעות רשת האינטרנט או רשת ציבורית אחרת, ייעשה שימוש נוסף על אמצעי אבטחה כאמור בתקנות משנה (א) ו-(ב), באמצעים שמטרתם לזהות את המתקשר והמאמתים את הרשאתו לביצוע הפעילות מרחוק ואת היקפה; לעניין גישה של בעל הרשאה למאגר מידע ברמת האבטחה הבינונית והגבוהה ייעשה שימוש באמצעי פיזי הנתון לשליטתו הבלעדית של בעל ההרשאה".
גילי בסמן ריינגולד
¶
בהמשך לסכנות שנמנו קודם, כשהמערכות מחוברות לרשת האינטרנט, או לרשת ציבורית אחרת, יש חשש מגישה חיצונית לא מורשית. כדי להקטין למינימום את הסיכונים האלה, התקנה מחייבת שימוש באמצעי הגנה מתאימים. שוב, אנחנו נזכיר את האנטי-וירוס, את "פיירוול", חומת אש פיזית גם. תקנת משנה (ב) מדברת על התווך, להצפין בשיטות הצפנה מקובלות את המידע שנשלח באמצעות האינטרנט או באמצעות רשת ציבורית אחרת. והתקנה השלישית מדברת על זה שצריך לוודא שיימצא פתרון לסיכונים האלה באמצעות הפעלת מנגנונים שיבטיחו שבנוגע למאגרים שמוזכרים בתקנה רק למורשים תהיה גישה. זה אותו כרטיס עובד שאנחנו רגילים אליו, הכרטיס החכם שאנחנו רגילים להתחבר אתו ואמצעים פיזיים דומים לזה.
אלעזר שטרן (ייעוץ משפטי)
¶
"מיקור חוץ –
15. (א) בעל מאגר המתקשר עם גורם חיצוני לצורך קבלת שירות, הכרוך במתן גישה למאגר המידע -
(1) יבחן, לפני ביצוע ההתקשרות עם הגורם החיצוני המסוים כאמור, את סיכוני אבטחת המידע הכרוכים בהתקשרות;
(2) יקבע במפורש בהסכם עם הגורם החיצוני (בתקנה זו - ההסכם) את כל אלה, בשים לב לסיכונים לפי פסקה (1):
(א) המידע שהגורם החיצוני רשאי לעבד ומטרות השימוש המותרות בו לצורכי ההתקשרות;
(ב) מערכות המאגר שהגורם החיצוני רשאי לגשת אליהן;
(ג) סוג העיבוד או הפעולה שהגורם החיצוני רשאי לעשות;
(ד) משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות, השמדתו מרשותו של הגורם החיצוני ודיווח על כך לבעל מאגר המידע;
(ה) אופן יישום החובות בתחום אבטחת המידע שהמחזיק חייב בהן לפי תקנות אלה, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע, אם קבע".
"(ו) חובתו של הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם כאמור בפסקת משנה (ה);
(ז) התיר בעל מאגר מידע לגורם החיצוני לתת את השירות באמצעות גורם נוסף - חובתו של הגורם החיצוני לכלול בהסכם עם הגורם הנוסף את כל הנושאים המפורטים בתקנה זו;
(ח) חובתו של הגורם החיצוני לדווח, אחת לשנה לפחות, לבעל מאגר המידע אודות אופן ביצוע חובותיו לפי תקנות אלה וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה".
"(3) יפרט בנוהל האבטחה של המאגר גם את העניינים המנויים בפסקה (2)(א) עד (ה), וכן יפנה בו במפורש להסכם עם הגורם החיצוני ולנוהל האבטחה שלו;
(4) ינקוט אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהוראות ההסכם ובהוראות תקנות אלה, בהיקף הנדרש בשים לב לסיכונים האמורים בפסקה (1).
(ב) ארגון שהוא בעל כמה מאגרי מידע, המתקשר עם גורם חיצוני לצורך מתן שירות הכרוך בגישה אליהם בידי הגורם החיצוני, רשאי לקיים את הוראות תקנת משנה (א)(2) בהסכם אחד לעניין כל מאגרי המידע ובלבד שהם באותה רמת אבטחה.
(ג) תקנה זו לא תחול על התקשרות של בעל מאגר עם יחיד".
גילי בסמן ריינגולד
¶
התקנה הזו מונה שורה של היבטים שחשוב להתייחס אליהם כדי שבעל המאגר ימשיך למלא את החובות שלו בתקנות גם כשמשתמשים במיקור חוץ ויש מישהו אחר שמחזיק את המאגר. זה בעיקר נוגע לסוג המידע, הרשאות גישה, מטרות השימוש, באילו מערכות זה ייעשה. אותו מיפוי שבעל המאגר עשה אצלו וראינו בתקנות הקודמות, עכשיו הוא צריך ליישם בהסכם עם מיקור חוץ.
ליאת בן מאיר שלום
¶
לפני כן יש תהליך חשיבה, כי עצם השימוש במיקור חוץ מייצר כשלעצמו סיכונים. אז קודם כל, הוא עושה את תהליך החשיבה הזה ומזהה את אותם סיכונים שאחרי-כן הוא צריך לתת להם מענה גם בהסכם ולשמר את אותה מעטפת אבטחה שקיימת אצלנו גם מול הגורם החיצוני.
בובי פנדריך
¶
אני הולך פה על קרח דק, אבל חסר לי דבר אחד בכל התקנות האלה. אני מסכים לכל מה שכתוב פה, אבל מישהו שנותן שירותי מיקור חוץ יכול שייתן ליותר מגורם אחד. בשום מקום לא ראיתי התייחסות להפרדת המידע של גורם א' מגורם ב'. הרי אני עלול להימצא במצב שבו אני נותן את זה לגורם שנותן שירותי מיקור חוץ, והוא יערבב את כל המידע – שלך, שלי, של התעשייה האווירית. אין פה שום התייחסות לנושא הזה, וחבל.
גילי בסמן ריינגולד
¶
התקנות חלות גם על מחזיק. אותן הוראות של מיפוי והפרדה והרשאות גישה חלות על אותו ממקר חוץ, שהוא בדרך כלל מחזיק.
אלעזר שטרן (ייעוץ משפטי)
¶
אני רק מוסיף על מה שנאמר פה מקודם. מעבר לזה שהחובה על המחזיק קבועה בחוק, גם פה אנחנו נראה בהמשך, בתקנה 19 שכל ההוראות שחלות על בעל המאגר יחולו גם על המחזיק. הדוגמה שאתה נתת מוגדרת כמחזיק. אותן הוראות שחלות על בעל המאגר יחולו עליו כמחזיק, ואז הוא יצטרך לעשות את כל ההפרדות האלה שדיברת עליהן.
ליאת בן מאיר שלום
¶
בנוסף לדברים של אלעזר, חוק הגנת הפרטיות, סעיף 17א קובע: המחזיק במאגרי מידע של בעלים שונים יבטיח כי אפשרות הגישה לכל מאגר תהיה נתונה רק למי שאושרו לכך במפורש בהסכם בכתב בינו לבין בעליו של אותו מאגר. אני חושבת שיש לכך מענה.
אלעזר שטרן (ייעוץ משפטי)
¶
אני רציתי לשאול אתכם שני דברים. נקודה אחת שאני אשמח אם תחדדו, אולי תסבירו לוועדה, תקנת משנה (ג), שזה לא יחול על התקשרות עם יחיד. תסבירו לוועדה על מה זה כן חל ועל מה זה לא חל, שזה יהיה ברור יותר. נקודה שנייה, איך אתם רואים בתקנת משנה (א)(4) אותם אמצעי בקרה ופיקוח – איך אתם מצפים או רואים שזה אמור להתנהל בפועל? זאת אומרת, כאשר הוצאתי למיקור חוץ, מה אתם מצפים שיהיה אמצעי פיקוח? האם צריך להתחיל לבדוק אותו? איך אני בודק אותו, מה הוא עשה? תבהירו לוועדה, מבחינת היקף התחולה של תקנת משנה (ג), ו-(ב), איך אתם רואים את אמצעי הפיקוח ואת היחס שבין בעל המאגר לבין המחזיק.
ליאת בן מאיר שלום
¶
לגבי השאלה הראשונה, לגבי תקנת משנה (ג), זה קשור להגדרה שעוד לא דיברנו עליה. הבהרנו שהתקנה הזאת לא חלה על מי שהוא בעל הרשאה בתוך ארגון. זה לא משנה כרגע קיומם של יחסי עובד-מעביד, אבל כאן, אפילו למען הפשטות, אמרנו שהתקשרות של בעל מאגר עם יחיד לא תחול עליה התקנה. זאת אומרת, גם אם הוא מחזיק, זה חל רק על הסיטואציה של קבלת שירות על-ידי גוף חיצוני אחר.
אלעזר שטרן (ייעוץ משפטי)
¶
זאת אומרת שיחיד שיש לו הרשאה, הוא לא ייכנס לתקנה 15, אבל יחולו עליו התקנות מכוח העובדה שהוא בעל הרשאה.
ליאת בן מאיר שלום
¶
אמת. אמת. אין ריק. יש חובות של בעל המאגר שהן חובות שקשורות לבעלי ההרשאה שלו, ואותו יחיד ייחשב כבעל הרשאה שלו. החובה בהתקשרות עם אותו גוף חיצוני במיקור חוץ באה לידי ביטוי בתקנה 15. כמובן שמעבר לזה החובות של אבטחת המידע – זה קבוע כבר בחוק עצמו – חלות גם על המחזיק ולא רק על בעל המאגר. זה לגבי השאלה הראשונה. לגבי השאלה השנייה - - -
גילי בסמן ריינגולד
¶
אני אתחיל. אמצעי בקרה ופיקוח – שוב, זה בהיקף הנדרש בשים לב לסיכונים. יש אמצעים שונים, החל מהצהרות משפטיות וכלים הסכמיים, ועד בקרות בשטח, ולפעמים דרישה שממש ישבו אצלך פיזית, למרות שזה מיקור חוץ.
עומר פרידמן
¶
יש גם כלים טכנולוגיים שאוספים מידע מהשטח ומנתחים אותו, ואם קרה משהו, הם יכולים להתריע. שוב, עד כמה שאתה מוכן להשקיע - - -
עומר פרידמן
¶
בארגונים הגדולים יש היום מערכות שהם יכולים לשים אצלו איזו תכנה, או אפילו חומרה שתאסוף אינפורמציה מהשטח. כי אם לאותו גורם שבמיקור חוץ אין משאבים טכנולוגיים – פשוט לאסוף אליהם את המידע ולנתח אותו אצלם, או לחילופין לצאת לביקורות בשטח, או לחייב אותם לקבל דוחות שבועיים, חודשיים.
ליאת בן מאיר שלום
¶
יכול להיות מגוון גדול מאוד. כמו שאתם רואים, זה בהיקף הנדרש בשים לב לסיכונים האמורים. זאת אומרת, זו פונקציה של היקף המידע שניתנת אליו גישה שמועבר, מידת הרגישות שלו, סוג הגישה שניתנת, וכולי. כל הדברים האלה מאפיינים את היקף הסיכון, ובהתאם לזה, מה שנדרש. לפעמים ידרשו על דיווחים על אירועים – יכול להיות מגוון שלם של - - -
אלעזר שטרן (ייעוץ משפטי)
¶
אני אחדד את השאלה שלי. ככל שמדובר על גורם – בעל המאגר הוא לא גורם מקצועי. נניח שהסיבה שבגינה הוא מוציא את העניין החוצה למיקור חוץ - - -
אלעזר שטרן (ייעוץ משפטי)
¶
שנייה. נניח שאני בעל חברה למזון כלבים ויש לי מאגרי מידע. אני לא מבין בזה שום דבר ואני יוצא למיקור חוץ, אני פונה לחברת אבטחת מידע שתיתן לי שירות, שתתפעל את זה לפי התקנות וכולי. איך אתם רואים שאני אמור לפקח על אותו גורם? הרי אין לי את הידע המקצועי. לכן פניתי אליו, כי אין לי את הידע המקצועי. איך אתם מצפים שאני אפקח אחריו?
עומר פרידמן
¶
אני חברה, ואני מוציא את המשכורות שלי ל"חילן" כי אני לא יודע לעשות משכורות חודשיות. אני לא מדבר על אנשי אבטחת המידע שאני צריך לפקח עליהם. אני לא אפקח על מי שאמור לבדוק אותי. אבל כמו שאני בנק ויש לי 300 סניפים ואני שולח נציגי אבטחת מידע לסניפים לבדוק את אבטחת המידע. מבחינתי, מי שהוצאתי אליו את המידע שלי למיקור חוץ הוא כמו סניף, והאחריות שלי היא כמו העובדים שלי בסניף והמערכות בפנים.
רפאל פרנקו
¶
אגף האסדרה ברשות בדיוק אמון על אסדרה של מספר נותני שירותים – מיהו יועץ אבטחת מידע, מיהו מומחה אבטחת מידע, מי רשאי לתת שירותים, מיהו ספק ונותן שירותים, איזה שירותים המדינה נותנת להם. זה בדיוק מה שאגף האסדרה ברשות הסייבר אמור לעשות כדי שכשאתה תלך לגורם שלישי לקבל שירותים, תוכל לדעת בצורה טובה שהוא נותן את השירות באיכות שאתה מצפה לקבל, כי אין לך היום את היכולת לבדוק. זה בדיוק מה שעושה אגף אסדרה ברשות הסייבר.
אלעזר שטרן (ייעוץ משפטי)
¶
בסדר, אבל זה נותן לי את כרטיס הכניסה הראשוני במובן שאני אומר אני יודע שהגורם אמין.
אלעזר שטרן (ייעוץ משפטי)
¶
נכון, אבל מבחינת אלמנט הפיקוח שמדובר עליו בתקנות, איך אני אמור לפקח עליו?
אלעזר שטרן (ייעוץ משפטי)
¶
אני בעל המאגר מקבל השירות. אני קיבלתי מכם תו תקן חותמת שהוא גורם אמין ורציני, ולכן הלכתי אליו. אבל עכשיו איך אני אמור לפקח עליו?
גילי בסמן ריינגולד
¶
לא נכון. זה לא נכון. זה תלוי בגוף ובסוג מיקור החוץ. אני אתן דוגמה. למשל דווקא הגורמים הגדולים שעושים מיקור חוץ להרבה מאוד גופים במשק, בין אם הם גדולים ובין אם קטנים, והיות שהם יודעים, עוד לפני התקנות, שיש הרבה מאוד גופים שרוצים לבוא ולפקח עליהם, לא מתאים להם שיבואו 20,000 גופים לפקח. אז למשל הם מודיעים ללקוחות שלהם, אלה שמשתמשים בשירותי מיקור חוץ, אני ממנה בודק חיצוני, את X, Y, Z, לעשות לי בדיקות תקופתיות, ואני מפרסם לכם את החלק בדוח שנוגע לכם. הם מבינים מעצמם שהם צריכים, כחלק מהחבילה שהם נותנים, לתת גם את השירותים של הדיווח ושל הבקרה, ובמקרה הזה מתהפך הנטל והגוף עצמו מראש מכסה לך על הצורך הזה. אם אתה מתאר את אותו גוף קטן, יכול להיות - - -
גילי בסמן ריינגולד
¶
בסדר, זה לא משנה מי קנה את מיקור החוץ, הגוף שנותן את מיקור החוץ מספק להרבה מאוד לקוחות במשק. אבל בכל מקרה, אם אתה אותו גוף קטן, או אותה חנות לממכר מזון, כנראה שהסיכונים האלה פחותים יותר. יכול להיות שבמקרה הזה אפשר יהיה להסתפק באמצעי בקרה ופיקוח שהם הסכמיים, ובהסכם תהיינה הצהרות ותהיה התחייבות לדווח על אירועי אבטחת מידע שנוגעים למידע שאתה ביקשת ממנו לעבד לך. אני לא רואה בזה קושי גדול יותר.
רפאל פרנקו
¶
גילי, הארגון רוכש את השירות מכיוון שאין לו את היכולת לעשות את זה לרוב בעצמו. אנחנו נתקלנו לא מעט – ולרוב נתקלנו בנותני שירותים שרמת השירות שלהם היא נמוכה. מדובר פה בכשל שוק שבין היתר, התפקיד של רשות הסייבר הוא לצמצם את כשל השוק. לפרוטוקול, בתפקידי הקודם-קודם, כמנהל יחידת הביקורת של רא"מ, הגענו לגופי ענק – לגופי ענק – שהיו להם יועצים טובים, וראינו שם כשלים גדולים. היום כשאני נמצא בתפקיד באגף האסדרה, התפקיד שלנו הוא לייצר סטנדרט לאומי ולמנוע את כשל השוק הזה, כך שגם האזרח, אבל גם חברות גדולות, יקבלו שירות איכותי. התפקיד שלנו הוא לתקנן אותם ולוודא שהשירות שניתן על-ידי הספקים האלו הוא באיכות טובה. זה לא סותר, להיפך, זה רק מוסיף.
אלעזר שטרן (ייעוץ משפטי)
¶
מבחינתכם זה מספק, מה שאמר עכשיו פרקו? אם אין לי מידע בזה, אני באמת לא יודע שום דבר, אני מסתכל באתר האינטרנט שלהם ואני רואה שיש שם רשימה של גופים שנבדקו על-ידם ונמצאו מצוינים, אמינים, בשירות ובאיכות וכולי?
גילי בסמן ריינגולד
¶
אני ארצה שבהסכם אתה תכתוב – כי אולי היום אתה לא כותב את זה, כי זה פחות מעניין אותך, השאיפה היא שהתקנות האלה ירימו את כל הסטנדרט של השוק ברגע שהן יהפכו לדרישות רגולציה - - - של קוני השירותים וגם של ספקי השירותים. אני אצפה שבהסכם אתה תבקש ממנו לדווח על כל אירוע חריג שקורה במידע שלך, זה משהו שלא מופיע היום בהסכמים.
גילי בסמן ריינגולד
¶
זה יהיה אמצעי בקרה. ברגע שאתה תדע, אתה תצטרך להחליט מה אתה עושה עם המידע שנפגע או שהופץ.
ניר יעקב גרסון
¶
שוב, השאלה היא, אלעזר, לגבי איזה סוג מאגר? אם אתה מחזיק מאגר ענק של ממכר רפואי - - -
אלעזר שטרן (ייעוץ משפטי)
¶
את צודקת, אני אסייג את הדברים שלי. הכוונה היא לגורם יחסית קטן-בינוני, שאין לו את הידע המקצועי בשביל לבדוק את מי שהוא מבקש ממנו את השירות.
ליאת בן מאיר שלום
¶
בסדר, אבל דיווחים למשל זה לא משהו שאתה צריך לו את הידע המקצועי. הרמה של אמצעי הבקרה והפיקוח תלויים בהיקף הסיכון. היקף הסיכון הוא נגזרת של כמה וכמה פרמטרים. היקף נושא המידע הוא רק אחד מהם.
עומר פרידמן
¶
אני אתן דוגמה. זה לא שונה מעולם החשבונאות. את כל המידע הפיננסי שלך – 90% מהאוכלוסייה, לפחות כל העוסקים הקטנים-הבינוניים, מוציאים את המידע הפיננסי שלהם הכי רגיש שלהם לרואה החשבון. אתה לא רוצה שמרואה החשבון שלך המידע הזה יצא החוצה, נכון? מן הסתם, זה מידע אישי. זה אפילו לא חברה, והיית רוצה שלאותו רואה חשבון יהיה סטנדרט של הגנה על המשרד. אני יכול להגיד שמצאנו עשרות רואי חשבון שכל המידע של כל הלקוחות שלהם חשוף לאינטרנט בחודשים האחרונים. אז אני לא רואה פה איזושהי - - -
אלעזר שטרן (ייעוץ משפטי)
¶
השאלה שלי לא הייתה על הצורך. השאלה שלי היא איך בפועל הוא אמור לעשות פיקוח.
אלון בכר
¶
אתה מוודא כשאתה קונה את השירות שהוא עומד בסטנדרט. מה שפרנקו דיבר עליו – מצוין. אם מישהו יסדיר את התחום ויגיד למי יש רישיון לעסוק בתחום הזה, והם אולי יעשו בקרות על ספקים נותני שירותים לאנשים פרטיים וגורמים אחרים, מצוין. זה אומר שקנית ממישהו כזה, ובאתר של הרשות הלאומית להגנת הסייבר יהיה כתוב שנעשתה ביקורת תקופתית והם עומדים בסטנדרט הגבוה שיהיה בתורה הלאומית להגנה, מצוין.
אלון בכר
¶
אתה כותב בהסכם שאתה מחויב לעמוד בסטנדרט ובתקנות, וזה המקצוע שלהם, מישהו אחר בודק ומחזק את זה, וגם מעדכן את הרשימה מי כן ומי לא – מצוין.
אלעזר שטרן (ייעוץ משפטי)
¶
"ביקורות תקופתיות –
16. (א) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, בעל המאגר אחראי לכך שתיערך, אחת ל-24 חודשים לפחות, ביקורת פנימית או חיצונית, על ידי גורם בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע שאינו ממונה האבטחה של המאגר, כדי לוודא את עמידתו בהוראות תקנות אלה.
(ב) בדוח הביקורת ידווח המבקר על התאמת אמצעי האבטחה לנוהל האבטחה ולתקנות אלה, יזהה ליקויים ויציע אמצעים הדרושים לתיקון המצב.
(ג) בעל מאגר המידע ידון בדוחות הביקורת שיועברו לו, ויבחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהם.
(ד) בעל מאגר מידע שחלה עליו רמת האבטחה הגבוהה, רשאי לקיים את החובה הקבועה בתקנה זו במסגרת עריכת סקר סיכונים שמתקיים בו האמור בתקנת משנה (ב).
(ה) ארגון שהוא בעל כמה מאגרי מידע, רשאי לקיים את החובה הקבועה בתקנה זו במסגרת ביקורת אחת לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה".
גילי בסמן ריינגולד
¶
אני חושבת שהלשון של התקנה די ברורה. החובה במאגרים שהם ברמת אבטחה בינונית או גבוהה לערוך ביקורת. התדירות של הביקורת צריכה להיות אחת לשנתיים לפחות. הביקורת יכולה להיות פנימית או חיצונית, אבל אם היא פנימית, היא לא יכולה להיעשות על-ידי ממונה האבטחה של המאגר עצמו, שזה ברור, הוא לא יכול לבקר את עצמו. דרישה שמי שמבקר יהיה בעל הכשרה מתאימה. לדון ולהפיק לקחים מאותם ממצאים של הביקורת. ההקלה, כמו שעשינו בסקרי סיכונים, למי שיש לו כמה מאגרים. זה הכול.
ליאת בן מאיר שלום
¶
הקלה נוספת כשמדובר ברמת אבטחה גבוהה, ואז יש גם חובה לעריכת סקר סיכונים. ניתן לעשות את זה יחדיו, זה במסגרת תקנת משנה (ד).
אלעזר שטרן (ייעוץ משפטי)
¶
"שמירת נתוני האבטחה –
17. (א) בעל מאגר מידע ישמור את הנתונים הנצברים במסגרת יישום הוראות תקנות 6(ב), 8 עד 11, 14, 15(א)(4) ו-16, ככל שתקנות אלה חלות עליו, באופן מאובטח למשך 24 חודשים.
(ב) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, בעל המאגר יגבה את הנתונים שנשמרו כאמור בתקנת משנה (א), באופן שיבטיח שניתן יהיה, בכל עת, לשחזר את הנתונים האמורים למצבם המקורי".
ליאת בן מאיר שלום
¶
אגב היישום של התקנות המצוינות כאן נצבר מידע, נצברים נתונים. הצורך בשמירה שלהם הוא כפול – גם בשביל לבדוק בדיעבד ליקויים או אירועים, וגם כי הם כשלעצמם יכולים להיות רגישים מבחינה אבטחתית.
אלעזר שטרן (ייעוץ משפטי)
¶
"גיבוי ושחזור –
18. (א) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, יקבע בעל המאגר במסמך -
(1) נהלים לביצוע גיבוי כאמור בתקנה 17(ב), באופן תקופתי שגרתי;
(2) נהלים, להבטחת שחזור הנתונים כאמור בתקנה 17(ב), ובלבד שביצוע השחזור יהיה באישור מנהל המאגר;
(3) כי במסגרת תיעוד אירועי אבטחה כאמור בתקנה 11, יתועדו גם הליכי שחזור המידע, ובכלל אלה – זהותו של מי שביצע את הליכי השחזור ופרטי המידע ששוחזר.
(ב) במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל מאגר אחראי לכך שיישמר עותק הגיבוי של הנתונים האמורים בתקנה (א)(1) ושל הנהלים כאמור בתקנת משנה (א)(2), באופן שיבטיח את שלמות המידע ואת אפשרות השחזור של המידע במקרה של אבדן או הרס".
ליאת בן מאיר שלום
¶
זו ההשלמה של תקנה 17, גיבוי של אותם נתונים שדיברנו עליהם קודם, כך שגם אם תהיה התקפה או תקלה, שהנתונים הללו יישמרו. יש החמרה מבחינת הדרישה כאשר מדובר במאגר שחלה עליו רמת האבטחה הבינונית או הגבוהה.
סילבי חורב
¶
בכל מקרה, אני מציעה שהעתק של הגיבוי לא יהיה באותו מקום. הוא חייב להיות במקום חיצוני לגמרי.
ליאת בן מאיר שלום
¶
אנחנו מדברים על נתוני האבטחה. אלו תקנות אבטחת מידע, ולכן הגיבוי שמדובר בו הוא גיבוי של הנתונים האבטחתיים ולא גיבוי של המאגר.
ליאת בן מאיר שלום
¶
לכן אמרתי שזאת תקנה משלימה לתקנה 17, כי זה גיבוי של אותם נתונים שב-17 נאמר לגביהם.
אלעזר שטרן (ייעוץ משפטי)
¶
אם תשימו לב, לכן שונה הניסוח. תיקנו את הניסוח בסעיף 17(א), שמדבר על הנתונים הנצברים במסגרת יישום הוראות התקנות הספציפיות האלה, בשביל לחדד את זה שמדובר על נתונים שנצברים במסגרת היישום של אותן תקנות שעניינן אבטחת מידע. לא מדובר על עותק של המאגר עצמו.
סילבי חורב
¶
איך מתחייבים לשחזר את זה אם זה בנפרד? אם עכשיו קרה כשל לוגי במערכת ויש לי גיבוי באיזשהו מקום בחוץ?
עומר פרידמן
¶
כשאנחנו עושים חקירות – המטרה שלנו כשאנחנו באים לפיקוח או חקירות בדיעבד – לא מעניין אותנו המערכות הפעילות, מעניין אותנו המידע שנשמר בלוגים, כך שאת לא צריכה לשחזר את המערכות שלך בשבילי, אני צריך את הלוגים. הלוגים ממילא נשמרים בקבצים בנפרד ואין בעיה לשחזר אותם. כל הרעיון הוא שכשנגיע לשטח או כשהחברה עצמה תרצה לנתח את האינפורמציה, שיהיה מידע ולא יגידו אבל לא הפעלנו את הלוג שישמור מידע, וגם לא מספיק שבועיים אחורה, אלא אנחנו דורשים שיהיה שנתיים אחורה.
ליאת בן מאיר שלום
¶
צריך לחזור אחורה תקנה אחת. תקנה 17 אומרת שכשמיישמים תקנות מסוימות, נוצרים נתונים. ניקח לדוגמה את התקנה הראשונה שמופיעה שם, את 6(ב), למשל נתוני כניסה ויציאה של העובדים. נוצרים נתונים. הנתונים האלה, הנתונים האבטחתיים - - -
ליאת בן מאיר שלום
¶
לא, זה לא רק לוגים. גם לוגים, לא רק. לדוגמה, יש כרטיס בכניסה לחדר, אז יש את הנתונים של כל מי שנכנסו באותו יום.
ליאת בן מאיר שלום
¶
זה גם לוג, מעולה. כל הנתונים שנוצרו אגב יישום התקנות שמנויות ב-17, תקנה 17 אומרת שצריך לשמור אותם באופן מאובטח למשך 24 חודשים. הסיבה היא כפולה – גם כדי להיות מסוגלים אחר-כך לתחקר ולבדוק בעיות, ליקויים, אירועים; וגם לפעמים כי לעצם הנתונים האלה יש רגישות אבטחתית. את אותם נתונים שאמרנו שצריך לשמור אותם ב-17, אנחנו אומרים תיצרו להם גיבוי. מכיוון שהם חשובים לנו מבחינה אבטחתית ותחקור, אנחנו רוצים שיהיה להם גיבוי. זה מה ש-18 אומר.
היו"ר רויטל סויד
¶
אני רוצה לשאול שתי שאלות לאור מה שחיה שאלה. איפה הגיבוי של המאגר כולו? שתיים - - -
עומר פרידמן
¶
כמו שעושים גיבוי למידע, צריך לדאוג לעשות גיבוי אודות המידע – מי ניגש למידע, מתי הוא ניגש למידע, איך הוא ניגש למידע. את זה בדרך כלל לא שומרים.
ניר יעקב גרסון
¶
ולגבי הגיבוי של המאגר עצמו, נכון שהגדרת אבטחת המידע בחוק כוללת גם שמירת שלמות המידע. בתקנות האלה – בין השאר כי לא מצאנו לנכון לחייב משהו שלשוק יש אינטרס לעשות ממילא – לא התווינו דרך איך שומרים את המאגר עצמו. זו חובה שקיימת בחוק, ולארגונים יש אינטרס לעשות את זה מעצמם, השארנו את זה לעצמם.
ליאת בן מאיר שלום
¶
התמקדנו בנושאים של האבטחה של המידע, וזה דבר שהוא לא טריוויאלי בגלל שלא בהכרח יישמרו אותם נתונים, אותם לוגים. חשוב לנו שהם יישמרו.
סילבי חורב
¶
תראו מה יוצא מזה. יוצא מזה שאתם שמים את הדגש על הלוגים, ואומרים על המידע עצמו – שהוא הליבה של העניין – זה ברור לכל הדיוט. אז לא, בשביל זה אתם - - -
סילבי חורב
¶
בשביל זה אתם הרגולטור, ואתם צריכים להגיד שכמו שאתם דורשים שאת הלוגים ישמרו בשני העתקים ל-24 חודשים, לפני כן, את המידע עצמו, בוודאי שצריך לשמור אותו בשני מקומות, ואולי יותר מ-24 חודשים.
ניר יעקב גרסון
¶
זאת בחירה של מתקין התקנות לא להיות במקרה הזה פטרנליסטי איפה שלא צריך, ולהשאיר את זה לשוק עצמו מהסיבות שמניתי קודם – כי החובה קבועה במפורש בחוק וכי יש לארגונים אינטרס.
אלעזר שטרן (ייעוץ משפטי)
¶
"חובות בעל מאגר חלות על מנהל מאגר ומחזיק בו –
19. (א) החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר, ולמעט החובות הקבועות בתקנות 2 ו-15(א) – הן יחולו גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין.
(ב) מי שמוטלת עליו בתקנות אלה חובה או אחריות לביצוע פעולה שאינה יצירת מסמך, נדרש לתעד באופן סביר את אופן ביצוע הפעולה לפי העניין; הרשם רשאי לתת הוראות לעניין אופן תיעוד כאמור".
ליאת בן מאיר שלום
¶
יש פה שתי תקנות משנה שעוסקות בשני נושאים שונים. הראשונה אומרת את מה שהחוק אומר. חוק הגנת הפרטיות קובע את חובת אבטחת המידע על בעל מאגר מידע, על מחזיק ועל מנהל המאגר, וזה גם מה שאומרת התקנה. התקנות שהוחרגו מהמחזיק – תקנה 15(א) שהרגע דיברנו עליה, שחלה על הבעלים ביחס למחזיק. תקנה 2 כי מסמך הגדרות המאגר, אותו מסמך מכונן שדיברנו עליו בעבר – החשיבה בעל המאגר לגבי מה הוא עושה, איזה מידע הוא אוסף, לאיזה תכליות וכולי. בעל המאגר הוא זה שקובע את תכליות השימוש, ולכן זה לא רלוונטי למחזיק. תקנת משנה (ב) אומרת שכאשר יש כאן כל מיני חובות – יש חובות שסיומן הוא במסמך, אבל כאשר החובות האחרות סיומן הוא לא במסמך, אז צריך לתעד את ביצוע הפעולה, בין היתר, לצורך בקרה ופיקוח, וגם אם יש צורך להציג את זה לפני צד שלישי.
אלעזר שטרן (ייעוץ משפטי)
¶
קודם הייתה בקשה – האם גברתי היושבת-ראש רוצה לדון עכשיו בתקנה 20, או לחכות לישיבה הבאה, ולישיבה הבאה הם יבואו עם מזכרים, או לפחות דיווח לוועדה.
אלון בכר
¶
אם נדון גם בתוספות, זה ישלח אותנו חזרה גם להגדרות וגם לתקנות שכבר עברנו ולא מיצינו את כולן.
אלעזר שטרן (ייעוץ משפטי)
¶
"תחולה וסייגים לתחולה –
21. בתקנות אלה -
(1) על מאגרי מידע שחלה עליהם רמת האבטחה הגבוהה - יחולו כל הוראות התקנות;
(2) על מאגרי מידע שחלה עליהם רמת האבטחה הבינונית - יחולו תקנות 1 עד 4, 5(א), (ד) ו-(ה), 6 עד 10, 11 עד 15, 16(א), (ב), (ג) ו-(ה), 17, 18(א), 19, 20, 22 ו-23;
(3) על מאגרים שחלה עליהם רמת האבטחה הבסיסית - יחולו תקנות 1 עד 3, 4(א), (ב), (ג), (ה) ו-(ו), 5(א), (ד) ו-(ה), 6(א), 7(א) ו-(ב), 8, 9(א) ו-(ג), 11(א) ו-(ב), 12 עד 15, 17, 19, 20, 22 ו-23;
(4) על מאגר המנוהל בידי יחיד - יחולו תקנות 11, 12, 6(א), 9(א), 11(א), 12 עד 14, 20 ו-22".
ליאת בן מאיר שלום
¶
זו תקנה שבסך הכול עושה סדר. בגלל שהתקנות מורכבות – יש בהן הרבה הוראות ויש חלוקה לרמות אבטחה, אז יש תקנה אחת שמסדרת על כל רמת אבטחה מהן התקנות שחלות. אין כאן מהות מעבר לזה.
אלעזר שטרן (ייעוץ משפטי)
¶
"תחילה –
22. (א) תחילתן של תקנות אלה, למעט כאמור בתקנות משנה (ב) עד (ד), 30 ימים מיום פרסומן.
(ב) תחילתן של תקנות 2, 3(1) עד (3), 10(א), 13(ב) ו-14 – 90 ימים מיום פרסומן.
(ג) תחילתן של תקנות 3(5), 5, 6(ב), 7(ב) ו-(ג), 10(ב) עד (ה), 11(א) עד (ד), 12, 13(ג), 15(א)(3), 17 ו-18 – שישה חודשים מיום פרסומן.
(ד) תחילתן של תקנות 4 ו-9(ב) – תשעה חודשים מיום פרסומן".
גילי בסמן ריינגולד
¶
זה עלה כאן בדיונים גם אתך וגם בדיונים בוועדה, ואנחנו חושבים לפשט ולהציע תחולה אחת ומאוחדת.
אלעזר שטרן (ייעוץ משפטי)
¶
יש גופים שיידרש להם זמן ארוך יותר, אולי כדאי לקחת תאריך אחד לכל התקנות, במקום להיכנס לרזולוציה של התקנות האלה ואלה. לקחת תאריך אחד.
אלעזר שטרן (ייעוץ משפטי)
¶
פרק זמן של תשעה חודשים, זה המקסימום שיש פה. אז פרק זמן של תשעה חודשים, אולי שנה, אבל פרק זמן אחד שכל התקנות יחולו.
גילי בסמן ריינגולד
¶
אפשר אפילו להחליט על 12 חודשים כדי להיות קשובים לקולות שעלו כאן בנוגע לדרישות של היערכות השוק.
ליאת בן מאיר שלום
¶
כן, גם בדיון הראשון הייתה כאן אמירה שנדרש זמן. אומנם טיוטת התקנות הזאת בשטח כבר שנים, אבל אנחנו קשובים, שמענו את ההערה הזאת כבר בדיון הראשון, ואנחנו מוכנים גם לעשות את ההאחדה וגם להרחיב ל-12 חודשים.
ניר יוגב
¶
רציתי להתייחס. חלק מהסעיפים – כמובן שלא כולם, חלק אפשר ליישם בצורה מידית – אצלנו דורשים עבודה עצומה והשקעת משאבים גדולה מאוד. אני חושב ש-12 חודשים זה גבולי מאוד לגבי חלק קטן מהסעיפים. הייתי שמח אם היה אפשר להרחיב את זה מעט כדי - - -
ניר יוגב
¶
הסעיפים שקשים לנו ליישום באופן ספציפי – סעיף 10 ו-13. אם על כל השאר יחולו 12 חודשים ועל 10 ו-13 ייתנו עוד קצת זמן, זה יקל עלינו מאוד.
איל זנדברג
¶
הנחת העבודה הייתה שהגופים הגדולים הם כאלה שממילא, מאלף סיבות, מקיימים כבר את הסטנדרט. דווקא הגופים הגדולים לא אמורים להיערך, אלא לעשות התאמות. אני מופתע קצת מההערה.
ניר יוגב
¶
יש עדכונים של המערכות, אבל ברגע שמדובר בחברות גדולות, לחלק מהחברות – כמו "סלקום" – יש הרבה מאוד מאגרי מידע שלא כולם יושבים באותו מקום. נדרש לבצע עבודת מיפוי גדולה מאוד. לפני שאנחנו מבצעים עדכון של מערכת, אנחנו נדרשים לסט גדול מאוד של בדיקות כדי לוודא שהעדכון של המערכות לא יגרום לנזק אבטחתי או אחר, ולכן כשמדובר בסדרה גדולה מאוד של מערכות וצריך למפות את כולן ולראות שכולן אכן מעודכנות, נדרש פרק זמן ארוך יותר בשביל לבצע את הדברים בצורה תקינה וכזו שלא תיצור איזשהו נזק.
היו"ר רויטל סויד
¶
ניר, אבל אם אנחנו מדברים על תחילה בעוד שנה, אפשר אולי לעשות איזשהו מאמץ, כי 12 חודשים זה מכובד, זה יפה. בסדר?
אלון בכר
¶
אנחנו גם יצאנו מתוך הנחה, בהתייעצויות שלפני, שחלק גדול מאוד ממה שמפורט בתקנות האלה כבר היום קיים אצל רוב הגורמים, ומה שלא, לא נדרש לו יותר מכמה חודשים. לכן גם היה הפירוט המודולרי הזה, שאנחנו מבינים מההערות שזה יעשה סדר אם יתחילו במועד אחד, ולכן אמרנו את מה שאמרנו. תשעה חודשים זה היה הזמן שקיבלנו מהמומחים שלנו לכל דבר, גם אם יש דברים שאפילו לא קיימים, לא קיימים וצריך לעשות להם התאמות.
חוה בינשטוק
¶
אני יודעת שמבחינה רגולטיבית, אם אתה מתחיל לתקן, זה כבר נחשב. אנחנו רוצים שאנשים יסיימו, אבל התחלתם - - -
גילי בסמן ריינגולד
¶
זה אפרופו התייעצויות עם עורכי דין. את זה תשאירי לייעוץ המשפטי. הדיון בהוראת המעבר מתייתר, כי גם שם התקופה הארוכה ביותר היא שנה ואנחנו מכסים את זה עם התחילה המאוחרת.
אלעזר שטרן (ייעוץ משפטי)
¶
לגבי הוראת המעבר, רציתי לשאול לגבי מצבים של מיקור חוץ. ככל שיש חוזים קיימים לתקופה ארוכה, האם אין צורך לקבוע הוראת מעבר? נניח שבעל מאגר חתם על חוזה לתקופה של חמש שנים, אז גם אם התחילה תהיה בעוד שנה, מה תהיה המשמעות של זה מבחינת החוזה שהוא כבר חתם עליו, ועכשיו זה משנה לו – אם זה יחול על חוזים קיימים, לכאורה, זה ידרוש מהם לפתוח את החוזים.
גילי בסמן ריינגולד
¶
אני לא חושבת שזה ידרוש לפתוח את החוזים. אני לא חושבת שזה שונה מכל מצב אחר ששינוי בדין משפיע על עשרות נסיבות, ביניהן התקשרויות משפטיות. יכול להיות שיצטרכו לרענן את ההסכם. מי שמתעסק עם הרבה ספקים יצטרך למפות את המאגרים שלו ולראות איפה הוא צריך לעשות שינוי ולהכניס אותו, ויכול להיות שיהיה דין ודברים עסקי מי נושא בעלויות האלה כשאנחנו מדברים על הסכם קיים. השאיפה שלנו היא שהתקנות האלה יעלו את הסטנדרט בכל השוק, ואותם ספקים שממילא עכשיו ימצאו את עצמם צריכים לתקן לבקשת הלקוחות שלהם את ההסכמים, יציגו את הסטנדרט הזה כדי להראות שהם ספקים שעומדים בתקנות אבטחת המידע.
אלון בכר
¶
ההנחה שלנו היא שאיפה שזה לא מתאים, הספק ייתן הודעה ללקוחות: עשיתי התאמות ועכשיו זה מתאים. זאת הנחת העבודה שלנו. במידה שזה לא ייעשה, הלקוח יצטרך לבחור אם הוא פותח את ההסכם ומבקש להכניס תיקון, או מתקשר עם ספק אחר ואומר לו אתה לא עומד בסטנדרט, אני לא יכול להתקשר אתך.
אלון בכר
¶
כן, אבל בכל התקשרות כזו כתוב שאתה עומד בדרישות, אתה בהתאם לדין, ואתה עומד בסטנדרט המקובל. אלו דברים שכתובים, אז אם הוא לא עומד יותר, בדרך כלל זו תהיה הפרה של ההסכם בעצם ההתנהלות שלו. אנחנו מעריכים, מהיכרות עם השוק הזה, שיקרה בדיוק ההפך מזה. כלומר, בעניין הזה גורמים שמספקים את השירותים יעשו את ההתאמות שלהם הרבה יותר מהר מאשר הלקוחות יבקשו מהם לעשות את ההתאמות. זאת הנחת העבודה.
אלון בכר
¶
וזה די הרבה זמן. שנה זה לא מעט זמן לעשות הרבה דברים, בוודאי כשמה שהוא עושה, כלומר, שזה מה שהספק עושה. שנה זה לא מעט זמן.
אלעזר שטרן (ייעוץ משפטי)
¶
"ביטול –
24. תקנות 2, 3, 9, 10, 12, 13, 14 ו-15 לתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ״ו- 1986 – בטלות".
אלעזר שטרן (ייעוץ משפטי)
¶
"יחס לחיקוקים אחרים –
25. תקנות אלה יחולו נוסף על הוראות בעניין אבטחת מידע בחיקוקים אחרים, זולת אם יש סתירה ביניהם".
ליאת בן מאיר שלום
¶
לא, לא, זה לא היחסים של הרגולטורים, זה היחס לחיקוקים אחרים. לפעמים יש הוראות מסוימות בתוך חוק או תקנות שעניינם אבטחת מידע. התקנה הזאת מבהירה שהתקנות הכלליות חלות בנוסף, אלא אם כן יש סתירה, ואז התקנות הפרטניות יגברו.
אלעזר שטרן (ייעוץ משפטי)
¶
שאלה, גברתי היושב-ראש, איך בדיוק לקרוא את זה עכשיו? בעצם, מה שאנחנו קוראים עכשיו, את התוספת הראשונה והשנייה, הן קשורות גם להגדרה של בעל מאגר יחיד בתקנה הראשונה, שדילגנו עליה כי הכול שלוב אחד בשני. האם את רוצה שנקרא עכשיו את התוספות?
אלעזר שטרן (ייעוץ משפטי)
¶
אולי נקרא את זה עכשיו ואחרי זה נחזור – כדי לראות את היחס בין שלוש הרמות הגבוהות, בין הבסיסי לבינוני ובין הבינוני לגבוה. אחרי זה נצטרך לחזור לתקנה הראשונה ולראות את היחס שבין היחיד לבסיסי.
אלעזר שטרן (ייעוץ משפטי)
¶
"תוספת ראשונה –
1 . מאגרי מידע שחלה עליהם רמת האבטחה הבינונית -
(1) מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר;
(2) מאגר מידע שבעליו הוא גוף ציבורי כמשמעותו בסעיף 23 לחוק, אף אם לא התקיימו בו הוראות פסקה (1) או (3);
(3) מאגר מידע הכולל מידע שהוא אחד מאלה:
(א) מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד;
(ב) מידע רפואי או מידע על מצבו הנפשי של אדם;
(ג) מידע גנטי כהגדרתו בחוק מידע גנטי, התשס״א-2000;
(ד) מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם;
(ה) מידע על אודות עברו הפלילי של אדם;
(ו) נתוני תקשורת כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה - נתוני תקשורת), התשס״ח-2007;
(ז) מידע ביומטרי;
(ח) מידע על נכסיו של אדם, התחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכלית ומידת עמידתו בהם;
(ט) הרגלי צריכה של אדם שיש בהם כדי ללמד על מידע לפי פרטים (א) עד (ז) או על אישיותו של אדם, אמונתו או דעותיו".
"2. על אף האמור בפרט 1(3), על מאגר מידע המקיים אחד מאלה, לא חלה רמת האבטחה הבינונית אלא רמת האבטחה הבסיסית:
(1) המאגר כולל מידע מן הסוגים המפורטים בפרט 1(3)(ב), (ה), (ו), (ז) לעניין תמונות פנים בלבד ו-(ח), אודות המועסקים או הספקים של בעל מאגר המידע, ובלבד שהמידע משמש למטרות ניהול העסק בלבד, ואינו כולל מידע מן הסוגים המפורטים בפרט1(3)(א), (ג), (ד) ו-(ז) לעניין מידע שאינו תמונות פנים;
(2) מספר בעלי ההרשאה אצל בעל המאגר אינו עולה על עשרה".
"תוספת שנייה –
מאגרי מידע שחלה עליהם רמת האבטחה הגבוהה -
(1) מאגר מידע כאמור בפרט 1(1) או (3) בתוספת הראשונה, לרבות מאגר של גוף ציבורי כמשמעותו בסעיף 23(1) לחוק המקיים את האמור בפרטים (1) או (3), שיש בו מידע על אודות 100,000 אנשים ומעלה;
(2) מאגר מידע כאמור בפרט 1(1) או (3) בתוספת הראשונה, לרבות מאגר של גוף ציבורי כמשמעותו בסעיף 23(1) לחוק המקיים את האמור בפרטים (1) או (3), שמספר בעלי ההרשאה בו עולה על 100".
ליאת בן מאיר שלום
¶
בדיון הראשון העקרוני הסברנו שניסינו לבנות את התקנות מודולריות לפי רמות אבטחה שונות. הסיכון למידע, ככל שהוא גובר, גם הדרישות מאותם בעלי מאגרים הם בהתאם. אם נפשט את זה, הפרמטרים מבוססים בעיקר על היקף נושאי המידע במאגר, מידת רגישות המידע והיקף בעלי ההרשאה. זה ברמת הפשטה נמוכה. אם ניכנס לבחון את מה שכתוב כאן, לגבי מאגר שבעליו הוא גוף ציבורי, אנחנו החמרנו, את זה אני רוצה להדגיש בהמשך לאיזושהי הערה שקיבלנו והבנו שיש כאן אי-הבנה. החמרנו במובן זה שגוף ציבורי יהיה לפחות ברמת אבטחה בינונית. אם יש ארבע רמות אבטחה, אנחנו כרגע מתמקדים בבינונית ובגבוהה, ואחר-כך, כמו שאמרת, נדבר על השאר. יש את היחיד, את הבסיסית, בינונית וגבוהה. כרגע אנחנו מדברים על הבינונית והגבוהה. מאגר מידע של גוף ציבורי יהיה לכל הפחות ברמת אבטחה בינונית, גם אם הוא לא - - -
ליאת בן מאיר שלום
¶
כן. אחרת הוא לא היה נכנס. כמובן שהוא יכול להיות גם בגבוהה. כאשר מדובר בסוחרי מידע, זאת אומרת, שהעיסוק של בעל העסק הוא לאסוף מידע כדי למסור אותו לאחר – סוחרי מידע זה כמובן משהו רגיש – גם הוא נמצא בבינונית לפחות.
ליאת בן מאיר שלום
¶
של הסחר במידע והסיכונים שנוצרים מזה. השלישי זה סוגי מידע שונים שיש בהם רגישות מיוחדת. מה שהיה כתוב קודם כמידע כלכלי בעקבות ההערות והעבודה מול הלשכה המשפטית, אנחנו הסברנו את זה. בדרך של הפירוט הזה הוצאנו דברים שהם לא באמת רגישים ואולי יכולים להיות מובנים כמידע כלכלי. כרגע הבהרנו שזה מידע שבלשון העם הוא כלכלי, זאת אומרת, של נכסים, חובות, התחייבויות וכולי; או מידע אחר, כדוגמת הרגלי צריכה שמלמד מי אני. למשל פירוט כרטיס האשראי שלי יכול ללמד מה האמונה הדתית שלי, מה הנטייה המינית שלי, מה מצבי האישי וכולי. מיעטנו מתוך מאגרי המידע שנכנסים לרמה הבינונית בגלל רגישות - - -
היו"ר רויטל סויד
¶
סליחה. מספיק שאחד הרכיבים של סעיף קטן (3) יחולו במאגר – אחד מהם יספיק – כדי להעלות אותו למאגר עם רמת אבטחה בינונית.
היו"ר רויטל סויד
¶
אם יש למשל לאיזושהי מפלגה קובץ של שמות החברים שלה, זהו, ובאופן טבעי, יש פה מידע אודות דעותיו הפוליטיות של האדם הזה, כי הוא חבר באותה מפלגה – יש רק את השם, כבר זה הופך - - -
היו"ר רויטל סויד
¶
אני מכירה מפלגה אחת, שאני במקרה נמנית עליה, שלא מגיעה עדיין ל-100,000. היא תגיע. הייתה פעם.
איל זנדברג
¶
לא כל האנשים הולכים ברחוב ואומרים אני חבר מפלגה או מזוהה, ויש אנשים שרוצים לעשות את זה בדרך אחרת, זה מידע עם רגישות.
ליאת בן מאיר שלום
¶
כן, דעות פוליטיות זה דבר בעל רגישות, והאפיון של המאגר הוא אפיון של הדעות הפוליטיות. זה כמו שיכול להיות שבמאגר יהיו רק שמות של נשאי איידס, אבל זה שזה האפיון שלו, זה המידע הנוסף. אבל יש כוכבית על מה שאמרנו כי כן מיעטנו. בשני מקרים הורדנו לעשרה - - -
היו"ר רויטל סויד
¶
אני רוצה להבין. התפיסה הפוליטית שלך היא אולי סוד, אבל לבית כנסת מסוים יש מאגר של החברים בקהילה. יש את השמות של המשפחה שם, אז בין היתר, זה גם לגבי האמונה הדתית של אותו אדם. זה הופך את זה מיד למאגר ברמת אבטחה - - -
ליאת בן מאיר שלום
¶
השאלה לכמה יש הרשאות. יכול להיות שהם יכנסו לחריג של – בית כנסת כנראה לא יהיה פה. אם תרשי לי לפרט את הכוכבית הזאת, הורדנו חזרה לרמת האבטחה הבסיסית בשני מקרים. מקרה אחד, שהוא בטח יהיה רלוונטי למקרה שתיארת עכשיו, שמספר בעלי ההרשאה של בעל המאגר אינו עולה על עשרה.
אלעזר שטרן (ייעוץ משפטי)
¶
אם בדוגמה שאת נתת תהיה רק לגבאי או לעוזר שלו תהיה גישה, אז הוא לא ייכלל ברמה הבינונית אלא ברמה הבסיסית.
ליאת בן מאיר שלום
¶
החריג השני שמוריד חזרה לרמת האבטחה הבסיסית – הסתכלנו על סוגי מידעים שנמצאים באופן טריוויאלי בעסקים לגבי העובדים או לגבי הספקים, ומיעטנו אותם ככל שהם לא רגישים מאוד. לדוגמה, יש הרבה פעמים מידע על עבר פלילי של עובדים שלך, לא על צדדים שלישיים, תמונות פנים של העובדים וכולי.
ליאת בן מאיר שלום
¶
כן, אישורי מחלה. את זה מיעטנו. כשזה על המועסקים או הספקים וזה משמש למטרות ניהול העסק בלבד, מיעטנו את זה, ואז זה חוזר חזרה לרמת האבטחה הבסיסית. אשר לרמת האבטחה הגבוהה, אם דיברנו קודם על הפרמטרים של רגישות, היקף נושא מידע והיקף בעלי ההרשאה, כאשר היקף נושאי המידע הוא גבוה, 100,000 אנשים ומעלה, זה מקפיץ לרמה הגבוהה, ובאותה מידה, כאשר מספר בעלי ההרשאה עולה על 100.
היו"ר רויטל סויד
¶
זאת אומרת שגם אם ניקח את אותה מפלגה, שיש לה את המאגר עם החברים בה, מספיק שמספר בעלי ההרשאה לא יעלה על עשרה כדי שהיא תרד לרמת אבטחה בסיסית?
ליאת בן מאיר שלום
¶
כן. באופן ספציפי, לגבי מפלגות אני לא בטוחה. יכול להיות שיש גם הסדרה פרטנית. אני זוכרת שיש הסדרה פרטנית לגבי מסירת מידע, אבל אני צריכה לבדוק את זה. יכול להיות שיש דין פרטני לגבי הנושא הזה, אבל בהקשר של התקנות שלפנינו, כן, זאת המשמעות. אלו שתי הרמות הגבוהות.
היו"ר רויטל סויד
¶
באותה מידה, אם אני פסיכיאטר שיש לו מידע רפואי על מצבו הנפשי של האדם, מספיק שבעלי הרשאה שיכולים לגשת למידע לא יעלו על עשרה כדי להוריד אותו מרמת אבטחה בינונית לרמת אבטחה בסיסית?
ניר יעקב גרסון
¶
כן, המידע רגיש. הרעיון מאחורי הוא זה שלצד הרגישות, למספר מורשי הגישה יש השלכה משמעותית על אבטחה. זאת אומרת, ארגון קטן מאוד – הרי אנחנו לא פוטרים אותו, גם הרמה הבסיסית היא רמה שיש בה הרבה הוראות. אבל עצם מספר מורשי הגישה מייצרים סיכון, כשמדובר בפסיכיאטר הבודד והמזכירה שלו, שלא נמצא.
היו"ר רויטל סויד
¶
ניר, עשינו את זה עם מאגר יחיד. לקחנו אז את אנשי המקצועות החופשיים – מהקוסמטיקאית, עד רואה החשבון. פה אתם אומרים המידע פה הוא כל כך רגיש, מידע על מצב נפשי של אדם הוא מידע רגיש מאוד, שלא לדבר על דברים אחרים שהם צנעת חייו האישיים של אדם. בעצם אתם מורידים אותם חזרה לרמת אבטחה אחרת רק בגלל - - -
גילי בסמן ריינגולד
¶
אבל הסדרת האבטחה הזאת באה לידי ביטוי בעיקר בביקורות, בדיונים של ההנהלה. או שהתיק כבר מעל עשרה מורשים ותחזרי לבינונית ומעלה, או שהאבטחה, המיפוי, ואמצעי הבקרה – הדברים האלה מתקיימים ברמה הבסיסית. את לא באמת פוגעת פגיעה אמתית באבטחת המידע, אלא יותר בנהלי העבודה.
ליאת בן מאיר שלום
¶
למען האמת, כשהפסיכולוג היה היחיד לגמרי, זאת אומרת כאשר רק הוא ניגש למידע, מלכתחילה, בנוסח הקודם זה בכלל היה יחיד, שאז זו תחולה מצומצמת מאוד. נשמעה כאן הערה בדיון הראשון, אם אני לא טועה, על-ידי עורך דין קלינגר, בעניין הזה, ואנחנו חושבים שהיא נכונה ומוצדקת, ושינינו בהתאם. עוד קודם חשבנו שזה ביחיד. האמת היא בדיוקים, בדקדוקים, קשה לי להגיד לך שיש איזו אמת אחת. אנחנו כן עומדים מאחורי זה שאלו הפרמטרים בגדול – היקף נושאי המידע, מידת רגישות המידע והיקף המורשים בהקשר של אבטחת המידע. להגיד לך אם דווקא עשרה ולא שמונה – מתישהו צריך לשים איזשהו קו, אני לא יכולה לקדש דווקא - - -
גילי בסמן ריינגולד
¶
פה נכנסת תקנה 20, שמאפשרת לא רק להחריג מאגרים, כמו שעולה פה בשולחן כל הזמן, אלא גם לקבוע שמאגר מסוים, למרות שחלה עליו רמת אבטחה מסוימת, צריך לקפוץ ברמת האבטחה בדיוק באותם מקרים.
אלון בכר
¶
אפשר שני משפטים? אני קצת תקליט שבור, אבל אני חושב שאנחנו מדברים פה על רף מינימום. כשמישהו מנהל מידע רגיש מאוד, אני מניח שהוא ילך לעורך דין חי או למישהו אחר, ישאל אותו מה אתה אומר? הוא כנראה ימליץ לו לתת קצת יותר מהמינימום הנדרש, או לתת כל מיני אמצעים נוספים, כי הוא מנהל מידע רגיש מאוד, גם אם הוא לא חייב לפי התקנות לעשות את זה. כי יש עוד שיקולים ויש עוד אינטרסים. אנחנו מנסים לתת הגדרה מספיק רחבה כדי שלא נטיל איזה עומס בלתי נסבל על הציבור שלא רוצים להטיל עליו את העומס הזה. זה מכניס לפינות ומקומות שבהם הם שמחים אולי להתקין תקנה ספציפית, אבל אי-אפשר להתקין תקנה ספציפית לכל מקצוע ולכל סוג מידע. לכן זה אמור לתת מענה במובן הזה שאתה אומר לציבור זה המינימום, כשאתה מנהל מידע רגיש, אתה יכול לעשות יותר מהמינימום, ואולי גם כדאי שתעשה יותר מהמינימום.
ליאת בן מאיר שלום
¶
אלו הבינונית והגבוהה. הבסיסית זה כל מה שהוא לא בינונית, גבוהה או יחיד, ועכשיו נשאר לדבר על היחיד.
אלעזר שטרן (ייעוץ משפטי)
¶
אנחנו חוזרים לתקנה 1, להגדרה של מאגר המנוהל בידי יחיד.
"״מאגר המנוהל בידי יחיד״ - מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ואשר רק היחיד ולכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש ובאפשרותם לעשות בו שימוש, ולמעט מאגרי מידע כמפורט להלן:
(1) מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר;
(2) מאגר מידע שיש בו מידע על אודות 10,000 אנשים ומעלה;
(3) מאגר מידע הכולל מידע שבעל המאגר כפוף בשלו לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית".
ליאת בן מאיר שלום
¶
אם כך, אנחנו קראנו בישיבה הראשונה הגדרה שהייתה שונה. אנחנו עשינו שינויים בעקבות הערות שעלו כאן. השינוי שעשינו עוד לפני הדיון הראשון מהנוסח שהוגש על-ידי השרה היה לכלול גם תאגיד בבעלות יחיד, זאת הייתה הרחבה אחת. זאת אומרת, שמענו כאן קולות שאמרו שצריך להקל על הנטל ככל שמדובר באותם קטנים מאוד. לכל אחד יש את הדוגמה שלו, הקוסמטיקאית – כל אחד והדוגמה שקרובה ללבו, ושצריך להקל על הנטל. שמענו את זה, ועשינו מעבר להרחבה הזאת הרחבה נוספת, שזה יחיד פלוס 2. זה משמעותי כי היקף החובות שחלות על מאגר כזה הוא בסיסי מאוד, אנחנו ערים לזה וניסינו ליצור איזון למול הנטלים – גם הנטלים בעלויות כספיות וגם הנטלים האחרים. מה שכן, מיעטנו מזה שלושה סוגים של מאגרים – אותם סוחרי מידע שדיברנו עליהם קודם; מאגר מידע גדול של 10,000 אנשים ומעלה. אנחנו חושבים שההיקף של נושאי המידע הוא כזה שלא ניתן להסתפק בדרישות של רמת האבטחה הזאת. ומה שאמרת קודם, גברתי היושבת-ראש, בהקשר של פסיכולוג, בעל מקצוע שיש לו חובת סודיות מקצועית. זאת גם ההערה שנשמעה בדיון הראשון, אנחנו חושבים שהיא מוצדקת. בהקשרים האלה, כאשר יש חובת סודיות פרטנית מקצועית, במקרים שבהם המחוקק ראה רגישות מיוחדת, אנחנו לא חושבים שניתן להסתפק בחובות בהיקף כזה.
היו"ר רויטל סויד
¶
אני רוצה לחזור למה שאת אמרת קודם, שאנחנו לא מדברים על מתמטיקה, ששמונה יכול היה להיות עשר, ופה אנחנו מדברים על שלושה, וזה יכול היה להיות אולי ארבעה או חמישה. אבל אני חושבת שכשמדברים על מאגר יחיד, מכיוון שאין היום כמעט עסקים, גם לא באיזושהי מכולת, אם יש עוד דבר כזה בכלל – אני לא רוצה לחזור עוד פעם על עניין הקוסמטיקאית. אתה בא למאגר, ויש לך את המזכיר או את המזכירה, ועוד מישהו שעובד שם, ולרוב תמיד גם עוד אחד, ואתה עדיין נשאר בעל מאגר היחיד. ופה אני חושבת שהעברתם את קו הגבול כשהעברתם אותו על שלושה במקום נמוך מדי. אני חושבת שאתם כן צריכים להעלות את הרף ליותר.
היו"ר רויטל סויד
¶
כן, כן, לכולם. כי זה מאגר קטן, כי זו מכולת, כי אנשים באים ורק רוכשים שם, זה לא מגיע ל-100,000, זה לא מידע רגיש. גם לי, גם לאשתי, גם לבן שלי שעובד, שלושתנו, וגם לא יודעת למי.
היו"ר רויטל סויד
¶
אני לא מדברת על סופר, אני מדברת על מכולת. אתם יודעים מה, הקוסמטיקאית. לא יודעת מה. מינימרקט משפחתי.
היו"ר רויטל סויד
¶
אבל בכל עסק משפחתי שיש הורים ושניים-שלושה ילדים שמנהלים את העסק, או שני ילדים ומזכירה, אתה כבר עולה על הרף הזה של השלושה. יש לי עסק לממכר מנורות, ואנחנו עסק משפחתי קטן.
דן חי
¶
הרעיון הוא לגרום לעסקים כאלה לצמצם את מורשי הגישה. אני חושב שזה רעיון טוב, כי הבעיה בדליפת מידע היא מהאנשים שעובדים בארגון.
גילי בסמן ריינגולד
¶
לחלק של המידע האישי, לחלק של הלקוחות, לא צריך שתהיה גישה לכולם. אז שתהיה לכולם גישה לספקים ויוכלו להזמין חלב כשחסר. לא כולם צריכים, אם הם שומרים מידע על לקוחות, שתהיה גישה לכולם. וכן, הם יעשו חשיבה, גם אותם עסקים קטנים, במיוחד, כי הם פטורים מכל כך הרבה חובות לפי התקנות האלה. הם יצמצמו את הגישה.
ליאת בן מאיר שלום
¶
בדוגמה הספציפית של העסק לממכר מנורות, אם כל מה שיש שם זה שם, מען ודרכי התקשרות, זה בכלל לא ייחשב לפי החוק כמאגר מידע.
גילי בסמן ריינגולד
¶
להיפך, הדוגמה המתאימה היא בית מרקחת של רוקח אחד שרק לו יש גישה, והנה, אנחנו רואים שהוא נופל לתוך הפטור הזה, למרות שהוא מחזיק מידע כל כך רגיש.
היו"ר רויטל סויד
¶
סליחה, אנחנו אמורים לסיים, אני רוצה גם להודיע על מועד הישיבה הבאה. השאלה אם נעלה את זה לחמישה או ארבעה, אם זה יהיה משהו שהוא מהותי מאוד. הרי אם יש מידע רגיש, אנחנו כבר נכנסים למקומות אחרים.
ליאת בן מאיר שלום
¶
הבעיה היא שעל כל דוגמה שניתן לתת – בוודאי שיכולה להיות דוגמה שזה לא מתאים, אבל על כל דוגמה ניתן לתת את הדוגמה ההפוכה, והנה, הרגע נשמעה כאן דוגמה של בית מרקחת, ולדעתי זו דוגמה חזקה למקרה שבוודאי זה לא מספיק. וצריך לזכור שגם יש את האפשרות לקבוע - - -
היו"ר רויטל סויד
¶
אנחנו חייבים לסיים מכיוון שיש לנו יכולת לדון רק עד השעה 16:00 והמליאה מתחילה. קודם כל, תודה רבה לכולם. אנחנו נתחיל בישיבה הבאה מתקנה 20, אז בבקשה תיפגשו לפני כן, מי שרוצה, כדי שנוכל לבוא עם כמה שיותר דברים מצומצמים. הישיבה הבאה תתקיים ביום שלישי 21.3 בשעה 12:30. אנחנו נסיים אז את הדיון. תודה הישיבה נעולה.
הישיבה ננעלה בשעה 16:05.