הכנסת העשרים

מושב שלישי

פרוטוקול מס' 355

מישיבת ועדת החוקה, חוק ומשפט

יום שלישי, ט' באדר התשע"ז (07 במרץ 2017), שעה 13:30

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016

חברי הוועדה: רויטל סויד –מ"מ היו"ר

ענת ברקו

ממונה בכיר, מחלקת יעוץ וחקיקה, משרד המשפטים - איל זנדברג

מחלקת יעוץ וחקיקה, משרד המשפטים - ליאת בן מאיר

יועץ אבטחת מידע, משרד המשפטים - עומר פרידמן

ראש הרשות למשפט טכנולוגיה ומידע, משרד המשפטים - אלון בכר

ממונה משפט וטכנולוגיה, משרד המשפטים - ניר יעקב גרסון

מנהלת המחלקה המשפטית ברשות למשפט, טכנולוגיה ומידע, משרד המשפטים - גילי בסמן

ראש אגף בכיר לאסדרה והכשרה ברשות הסייבר, משרד ראש הממשלה - רפאל פרנקו

ראש תחום התעדה ואסדרה ברשות הסייבר, משרד ראש הממשלה - גולדיאן ענת

לשכה משפטית, משרד האוצר - איה שורץ

מנהל מחלקת טכנולוגיות המידע, משרד האוצר - אלי טובול

ראש תחום סייבר, המשרד לביטחון פנים - אילן יום טוב

יחב"מ משטרה, המשרד לביטחון פנים - שמוליק ויזנר

עוזרת ליועמ"ש מ"י, ביטחון פנים - דנה צ'רנובלסקי

משרד הרווחה - רחלי סונגו

לשכה משפטית, משרד הפנים - מרגלית לוי

מנהלת מחלקה בלשכה המשפטית, רשות האוכלוסין - אודליה אדרי

מנהל חטיבת הסייבר, המוסד לביטוח לאומי - יורם ביטון

לשכה משפטית, המוסד לביטוח לאומי - יוסף פולסקי

מנהל אבטחת מידע CISO, המוסד לביטוח לאומי - בובי פנדריך

עוזרת ליועמ"ש, בנק ישראל - חן פליישר

פיקוח על הבנקים, בנק ישראל - יעקובי רחל

מתמחה בייעוץ משפטי, רשות לניירות ערך - גל אברמוב

עו"ד בייעוץ משפטי, רשות לניירות ערך - חוה בינשטוק

מנהל מערכות מידע, רשות לניירות ערך - נתן הרשקוביץ

יועץ לתכנון ובניה, מרכז השלטון המקומי - יוסי אוחנה

יועצת משפטית, איגוד לשכות המסחר - שרון כ"ץ

מנהל מחלקת קשרי ממשל, חברות סלולריות - ניר יוגב

עורכת דין, חברות סלולריות - קרן זאנה

ממונה חקיקה, לשכת עורכי הדין - פנחס מיכאלי

פורום הגנת הפרטיות, לשכת עורכי הדין - דן חי

פורום הגנת הפרטיות, לשכת עורכי הדין - עמית יוחפז

תשתיות, תעשייה אווירית - סילבי חורב

יועצת משפטית, התאחדות התעשיינים - רונית פרל

איגוד הבנקים בישראל - לבנת קופרשטיין דאש

עורכת דין, איגוד הבנקים - אפרת שחר

סייבר וטכנולוגיות מידע - עמרי רחום-טוויג

נציג איגוד הבנקים - טיבריו רבינוביץ

איגוד חברות הביטוח - גיל סלומון

שדלן/ית (כהן - רימון - כהן), מייצג/ת את חברת ישראכרט - מנחם-צבי כץ

שדלן/ית (ח.ב הקבינט ישראל בע"מ), מייצג/ת את איגוד חברות הביטוח בישראל , סלקום - צח בורוביץ

שדלן/ית (קונטקטי בע"מ), מייצג/ת את איגוד חברות הביטוח בישראל , סלקום (לקוחות קבועים נוספים שנושא הישיבה נוגע אליהם באופן ישיר: הבנק הבינלאומי) - גילי ברנר

אלעזר שטרן

אסף פרידמן

הילה מליחי

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016

צהריים טובים. ברוכים הבאים לכולם. כל מי שמעוניין לדבר, נרשם, אני מקווה, לזכות דיבור. אני מתכבדת לפתוח את ישיבת ועדת החוקה, חוק ומשפט בנושא: תקנות הגנת הפרטיות (אבטחת מידע), התשע"ו-2016. אנחנו סיימנו את הדיון הקודם כשאנחנו בתקנה 11. אנחנו הקראנו אותה, ואני מציעה שאנחנו נקריא אותה שוב מכיוון שזה היה בסוף הדיון. נמשיך את הדברים מכאן.

אני אקרא שוב את תקנה 11.

"תיעוד של אירועי אבטחה –

11. (א) בעל מאגר מידע אחראי לתיעוד כל מקרה בו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה (להלן - אירועי אבטחה); ככל הניתן יבוסס התיעוד האמור על רישום אוטומטי.

(ב) בנוהל האבטחה יקבע בעל מאגר מידע גם הוראות לעניין התמודדות עם אירועי אבטחת מידע, לפי חומרת האירוע ומידת רגישות המידע, לרבות לעניין ביטול הרשאות וצעדים מיידים אחרים הנדרשים וכן לעניין דיווח לבעל המאגר על אירועי אבטחה ועל פעולות שננקטו בעקבותיהם.

(ג) במאגר מידע שחלה עליו רמת האבטחה הבינונית, יקיים בעל המאגר דיון אחת לשנה לפחות באירועי האבטחה ויבחן את הצורך בעדכונו של נוהל האבטחה. במאגר מידע שחלה עליו רמת האבטחה הגבוהה, ייערך דיון כאמור אחת לרבעון לפחות".

"(ד) ארע אירוע אבטחה חמור –

(1) יודיע על כך בעל המאגר לרשם באופן מידי, וכן ידווח לרשם על הצעדים שנקט בעקבות האירוע.

(2) רשאי הרשם להורות לבעל מאגר המידע, למעט לבעל מאגר מידע מן המנויים בסעיף 13(ה) לחוק, לאחר שנועץ בראש הרשות הלאומית להגנת הסייבר, להודיע על אירוע האבטחה לנושא מידע שעלול להיפגע מן האירוע".

מי מתחיל אצלכם? איל? משרד המשפטים? ליאת.

התקנה, כמו שהסברנו בפעם הקודמת, יוצרת זיכרון ארגוני ביחס לאירועי האבטחה שאירעו בארגון כדי להפיק מהם לקחים גם לעתיד. התדירות של הדיון שצריך להיעשות באירועי האבטחה משתנה בהתאם לרמת האבטחה של המאגר. כאשר אירע אירוע אבטחה חמור – זה מונח שמוגדר בתקנות, בתקנה 1 – נגזרים מזה שני דברים: דבר אחד הוא חובת הודעה מידית לרשם, וסמכות לרשם להורות במקרים המתאימים על הודעה לנושא המידע. מדובר במודל שקיים גם בעולם ומביא לידי ביטוי את הזכויות של נושא המידע. כמובן שהסמכות הזאת תופעל לאחר הפעלת שיקול דעת של כל ההשלכות שלה.

תרצו להוסיף? אלעזר?

העלינו כמה דברים בדיון הקודם. אין לי מה להוסיף.

איה מהלשכה המשפטית במשרד האוצר. בהמשך להערות שהביאה רשות שוק ההון בדיון הקודם, אנחנו נבקש לציין לפרוטוקול כי אנחנו הגענו להבנות עם רמו"ט, שהגופים המפוקחים על-ידינו יכללו במנגנון לפי סעיף 20(א) וחלק מהתקנות האלה יוחרגו לגביהם. אנחנו נבקש לעדכן את הוועדה כשנגיע להסכמות מפורטות יותר.

אתם רוצים להסביר לנו איפה זה עומד? במה דברים אמורים?

לא ברור לי למה יש צורך לעדכן את הוועדה, זה בדיוק המנגנון של תקנה 20. תקנה 20 נותנת את המענה לא רק לסמכות הזאת, אלא למכלול ההוראות שיש בתקנות במקרים שיש רגולטור נוסף.

למרות שתקנה 20 עוד לא בתוקף, כבר התחלנו לשבת כדי להיערך ליישום שלה.

אנחנו בתקנה 11. בואו נתמקד בדיון בדברים שקשורים לתקנה 11. תודה איה. עורך דין גיל סלומון, איגוד חברות הביטוח.

המשמעות של מה שנאמר פה עכשיו – יכול להיות שהנוכחות שלנו פה מתייתרת אם זה אכן כך. אבל אנחנו לא מדברים על זה, אנחנו מדברים על סעיף 11.

אנחנו מדברים רק על תקנה 11.

אני אגיד את מה שהתכוונתי להגיד, בהתעלם ממה שנאמר פה עכשיו, שיכול להיות שמייתר את הנוכחות שלי פה. ראשית, אנחנו הגשנו בקשה לפגישה בדצמבר 2016 לרמו"ט. עדיין לא נענינו, אני מדבר על איגוד חברות הביטוח. הגשנו מכתב, אפשר להגיש אותו שוב. אנחנו חשבנו שיש מקום להיפגש אתכם לפני שמטילים עלינו רגולציה. לא הגיבו למכתב ולא נפגשנו וחבל. אנחנו חוזרים על הדברים שנאמרו פה עכשיו, שאנחנו נתונים לפיקוח של הרשות לפיקוח על ההון. יש חוזרים בנושא של הרגולטור שלנו. למעשה, זה יוצר רגולציה כפולה גם של רמו"ט וגם של הפיקוח, ואנחנו חושבים שיש פה יותר נזק מתועלת במידה ואנחנו נהיה תחת האחריות של רמו"ט. עוד פעם, אם הסייג שנאמר פה יחול עלינו, כל הדברים שאמרתי מתייתרים.

ולגבי תקנה 11, יש לך מה להעיר?

לא, אני אומר, אנחנו עדיין לא נכנסנו לרזולוציות של - - -

אבל זה הזמן. זה נכון שכשנגיע לתקנה 20, אנחנו נדבר על הנושא שמעסיק אותך, אבל מכיוון שאנחנו עוברים בינתיים את התקנות, במידה ויש לכם התייחסות לגבי מה שנקרא אירוע אבטחה חמור, אולי כדאי שכן תתייחס נקודתית גם לתקנה כדי שנוכל לדון בה לגופו של עניין.

מכיוון שביקשנו להבין את זה יותר לעומק, מכיוון ביקשנו להיפגש אתכם – בסך הכול זה נושא שלא מוכר לנו ורצינו להבין אותו לעומק, ביקשנו להיפגש, ביקשנו להבין. לא הגענו לשם, לא זומנו, לא הגיבו למכתב שלנו בכלל.

אנחנו לא מכירים את המכתב הזה, אנחנו ניפגש אתכם בשמחה, אנחנו נפגשים עם הרבה גופים. בהקשר שלכם, כמו שאיה אמרה, הרגולטור שלכם דואג לכם, להסדיר את זה ברמה של כל המגזר ולא חברה-חברה.

בסדר גמור.

אני מבינה מכאן שמהשיח הזה תצא פגישה, נכון?

בהחלט.

אם יהיה צורך.

להשתדל שהיא תהיה לקראת הדיון הבא.

אם יהיה בה צורך, כי יכול להיות שהפגישה מול הרגולטור המנחה שלהם - - -

גם שלא מוכרת לנו שום בקשה לפגישה אתם.

מכיוון שאנחנו יושבים כאן כבר דיון שלישי, וכל גוף שרציתם להיפגש אתו נפגש אתכם, אז אני מניחה שהייתה פה איזושהי אי-הבנה.

יש מכתב, הוא לא נענה. בסדר, אנחנו נשלח אותו שוב.

תערכו את הפגישה הזו, במידה ויהיה בה צורך, אם היא לא תתייתר, מול רמו"ט, הם נפגשים, אין ספק. נתן הרשקוביץ, הרשות לניירות ערך.

לאור הדברים שנאמרו קודם, הייתי מבקש להעיר על סעיף 20.

עורכת דין חוה בינשטוק, אתם ביחד?

כן. אנחנו ביחד.

סילבי חורב, התעשייה האווירית.

אני רוצה להתייחס באופן כללי, ולא לסעיף בודד. זה הזמן?

לא, לא. אז אנחנו נתקדם. ניר יוגב, "סלקום".

אני רוצה לחזור על מה שאמרתי בפגישה הקודמת, וזה רלוונטי לסעיף 11. כמובן שאני אתייחס אחר-כך גם לסעיף 20. ישנם אירועי אבטחה שבהם אנחנו מקבלים הנחיות מרא"מ לא לדווח ולא להעביר את הדיווח לאף גורם אחר. לא יתכן שבחקיקה יקבעו הוראות, ככל שהן יחולו עלינו, שבהן אנחנו נדרשים לדווח מידית לרמו"ט, וזה יעמיד אותנו במצב שבו אנחנו מפרים הוראות של רא"מ או הוראות של רמו"ט. זו עוד דוגמה לסתירה פוטנציאלית שנובעת מרגולציה כפולה על אותו גוף.

אתם רוצים להתייחס לזה, שיש לכאורה הפרת הוראה שהם טוענים שיכולה להיות להם?

ראשית, יש בחוק הגנת הפרטיות סעיף הגנות. אם לא נגיע לזה – נניח שלא היינו מסדירים את כל הרגולציה, נדון על זה בהמשך בהרחבה. יש סעיף הגנות שאומר שמי שממלא חובה על-פי דין, הוא פטור מאחריות לפי החוק. די בזה.

זה כשכבר נדרשים לבדוק את - - -

נכון, אבל לא נגיע לזה, כי בדיון על תקנה 20 יתברר שלא יהיה בזה צורך.

תתייחס לטענה הנקודתית שניר מעלה, על כך שיש להם פה לכאורה הוראה סותרת שיכולה להיות. אני מבינה שאתה אומר שיש הגנות אחר-כך וכיוצא בזה, ואתה אומר שבתקנה 20 יכול להיות שיהיו החרגות.

לא ידוע לנו על הוראה סותרת כזאת כי טיוטת התקנות שלפני הוועדה, שעברה כמה וכמה שימועים לציבור, וכמובן למשרדי הממשלה, הוצגה גם בפני רא"מ, ולא עלתה שום הערה בהקשר הזה.

הם לא הצביעו על הבעיה הזאת, וזה מתואם עם רא"מ.

עוד פעם, המציאות בפועל היא שמכיוון שאנחנו כפופים ל - - -

תן את הסיטואציה שבה אתה רואה שאתה עומד באופן שאתה מגיע להפרה.

אני אסביר. אנחנו, ועוד הרבה מאוד גופים שנמצאים פה בחדר, וגם כאלה שלא, כפופים לחוק להסדרת הביטחון במוסדות ציבוריים. בחוק הזה יש הנחיות, זו חקיקה ראשית. יש שם הנחיות מה אנחנו עושים ואיך אנחנו עושים. בין היתר, באירועי אבטחה, שכבר קרו בשוק התקשורת, התקבלו הנחיות מרא"מ לא להעביר דיווח על אירוע אבטחה לאף גורם אחר משיקולי ביטחון.

סליחה שאני עוצרת אותך. סיטואציה כזו – גילי, ליאת, אלון, ניר - -

סעיף 19 לחוק הגנת הפרטיות.

- - שבה הוא אומר יש לנו הוראה מרא"מ לא להעביר הלאה על זה שיש – מה הוא אמור לעשות במצב כזה?

אני אומר על זה שני משפטים. א', זה לא יקרה. לא תהיה סיטואציה כזאת.

זה קרה.

לא, לא, לא. לא יקרה שיש הוראות סותרות. אחרי שהתקנות יעברו, הרי אחת ההסכמות שאנחנו מגיעים אליהן עם רשות הסייבר שמקבלת את האחריות מרא"מ, זה לגבי התיאומים בשאלה מה קורה כשיש אירוע. זה משהו שנוגע לא לגוף, אלא לגופים האחרים. יש הבדל – וזה מה שצריך לקחת בחשבון – בין השאלה האם הגוף המוסמך – לצורך העניין, - - - של רמו"ט – יודע על הדבר הזה, ובין השאלה האם הוא מעדכן את הציבור בזה? לגבי עדכון הציבור, הרי דובר על זה מפורשות, וזה בכתב, שלא יהיה עדכון של הציבור לפני שיש היוועצות ברשות הסייבר מהטעם הפשוט הזה שידענו שיכול להיות מצב שאנחנו לא רוצים שהציבור ידע על אירוע כי הוא מטופל ברמה אחרת - -

כי הוא חלק מעוד מערך של אירועים.

- - שעצם העדכון יפגע בטיפול. העניין הזה גם קיבל ביטוי בתקנות, וגם מקבל וקיבל ביטוי בשיח בין הרשויות, ולכן זה אפילו לא דיון תיאורטי. זה לא יכול לקרות.

אבל אדוני, אני לא מדבר רק על עדכון של הציבור, אני מדבר על כך שברגע שאנחנו מקבלים הנחיה מרא"מ לא להעביר - - -

כן, אבל אתה תקבל הנחיה מרא"מ להעביר לרמו"ט ולא להעביר לגורמים אחרים, כי רמו"ט הוא הגוף המוסמך שאמור לקבל עדכון על האירוע. לכן לא תקבל הנחיה כזו.

אלון, בוא נאמר כך, ניר מעלה חשש, ואתם אומרים: תסמכו עלינו, זה לא יקרה.

וגם הרגולטור האחר יהיה כפוף - - -

אין חשש. אל חשש.

בהנחה והוא מקבל הוראה – והוא מקבל – אחרי שעוברות התקנות מרא"מ לא להעביר את זה הלאה, מבחינתכם, הוא לא מעביר את זה הלאה.

כולל לא להעביר אליכם.

הוראה שהוא מקבל תהיה חייבת להיות כפופה לתקנות האלה מבחינת מדרג נורמטיבי, כאן מדובר בחיקוק, והחיקוק - - -

כן, אבל ליאת, זה במישור שביניכם לבין רא"מ, אתם מגיעים להבנות. אבל בסוף ישב שם ניר ויצטרך לקבל החלטה.

גם - - - החברות הסלולריות.

סליחה. סליחה. סליחה. בסוף ישב שם ניר, ויצטרך לקבל החלטה עבור "סלקום", ויודיעו לו רא"מ לא להעביר את זה הלאה. השאלה אם כשהוא לא מעביר את זה הלאה – כי אתם כבר הסתדרתם עם רא"מ, הכול טוב ויפה, אבל ניר לא יודע את זה. ניר צריך לקבל החלטה עבור הגוף שהוא מייצג. בהנחה שניר מקבל הוראה כזאת, האם הוא נוהג בסדר כשהוא לא מעביר את זה הלאה?

בתיאור העובדתי הזה ההנחה היא שהגורם של רא"מ פעל כדין או שלא פעל כדין? כי אני מניח שהוא פועל כדין כמובן.

ברור שהוא פעל כדין.

אז אם הוא פעל כדין, סימן שהוא ייתן את ההוראה כדין, ואז יש הוראה מכוח גורם מוסמך, ולכן הגורם הפרטי לא צריך להעביר את המידע, או לפי מה שנאמר לו.

קיבלת תשובה, ניר?

אבל יש תקנות שקובעות הפוך.

אם ההנחה היא שגוף ממשלתי פועל שלא כדין, צריך לטפל בזה.

התקנות אומרות תעדכנו מידית. אין פה - - - ואין פה כלום.

אני מתפלא. יש הוראה בחוק שמגנה על הסיטואציה הזאת. אני חושב שאנחנו סתם משחיתים זמן. יש את סעיף 19(א) לחוק, ויש את סעיף 18(2), שמדבר על חובה חוקית. יש מספיק הגנות.

השאלה היא לא חשש מפני זה שהם יעמדו לאחריות על כך, אלא מפני אי-בהירות של הרגולציה, ואי-בהירות של הרגולציה מתואמת בתיאום בין הרגולטורים.

אגב, זה לא חשש שלא קיים היום. גם היום רמו"ט יכולה לפנות בדיוק כשיש אירוע שרא"מ אמרו להם לא להגיד, ואני בדיוק מחליטה לפקח עליו ומבקשת ידיעות ומסמכים. זאת אומרת, הסיטואציה הזאת לא זרה, היא יומיומית, והיא לא משתנה בגלל התקנות האלה.

בכל מקרה, הדיווח הוא לא לציבור, הדיווח הוא לרשם.

נכון.

הרשם הוא לא הציבור, לרשם יש את האחריות שלו. אתה גם יכול לפנות לרשם ולהודיע לו שרא"מ אמרו כך וכך. או לפנות לרשם, ואחר-כך כשרא"מ יפנו, להגיד – יש פה אחריות, בסוף אתה לא משחרר מידע לאוויר.

יש עוד דבר בסיסי מאוד. אחד הדברים המרכזיים שהם בדין ודברים בינינו זה עדכונים הדדיים בין - - - לביננו. במובן הזה זו התפרצות לדלת שהיא לא פתוחה, אין אפילו דלת, זה חלל פתוח.

רק רציתי להגיד שיש לו הגנות ספציפיות בחוק. אני מתפלא על ההערה. יש הגנה מפורשת שגורם שיש לו הסמכה על-פי דין יכול להורות לא לקיים את הוראות החוק. יש את סעיף 19(א), ויש את סעיף 18(2), שיש הגנה על חובה חוקית שנעשתה בתום לב. לא צריכה להיות פה שום בעיה.

לבנת קופרשטיין, איגוד הבנקים.

שלום. בסעיף הזה אנחנו רואים את סעיף הדגל, שרק מבהיר עד כמה לא נכון, לפעמים אפילו מסוכן ולא יעיל להחיל את כל התקנות על הסקטור הבנקאי, במיוחד התקנה הזו. אני חושבת שזה נאמר בדיונים קודמים, אני לא ארחיב על הנושא יותר מדי, אבל אני חושבת שהוראות הפיקוח על הבנקים של הבנקים בתחום אבטחת מידע, שגם נוגעות להיבטים של סודיות ופרטיות – יש התייחסות ספציפית בהוראת ניהול בנקאי תקין 357, שאגב, יש לה מעמד של חקיקת משנה. שם מדובר באופן עקיף ומפורט מאוד שמתאר את כל החובות שחלות על המערכת הבנקאית מבחינת ניהול מאגרי המידע, וגם, כמו שאמרתי, ההגנה על הפרטיות. שם כל העולם שמדבר על מאגרי מידע ועל תקיפות ופריצות בסייבר מותאם ספציפית למערכת הבנקאית. אנחנו למודי ניסיון כבר בעבודה מול הפיקוח על הבנקאים כשחלים אירועי אבטחת מידע ואירועי סייבר. יש בינינו מנגנון דיווחים מפורט מאוד על כל אירוע שחושבים שהוא אירוע מהותי מספיק כדי לדווח לפיקוח על הבנקים. אנחנו יודעים שהפיקוח על הבנקים מדווח במקרים מסוימים גם לרמו"ט ביזמה שלו.

המון הוראות פה – אני לא אומרת שהן סותרות, אבל הן כפולות. רגולציה כפולה היא לא יעילה, היא גורמת לבזבוז לא יעיל של משאבים, וזה מיותר. אני מכירה את המנגנון של סעיף 20(ב) - - -

את מדברת על סעיף 20. תתייחסי לתקנה הזו.

אני אתייחס לתקנה הזו, אני רק אומרת שלדעתי המנגנון של 20(ב), שמדובר בכך שצריכים לשכנע את רמו"ט שיש לנו רשות מוסמכת שמפקחת עלינו – מנגנון מאולץ ולא נכון כשמדובר במגזר הבנקאי, שהוא מגזר שברור שהוא - - -

התקנות לא מחדשות בעניין הזה, זה הדין היום. התקנות מפרטות כל מיני הוראות. גם היום יש סמכות לרגולטור. אתם תוקפים את החוק. התקנות היום אומרות את זה. היום באנו לפרט ולעדכן, ואתם תוקפים משהו שהוא מחוץ לתקנות.

לא. אנחנו עברנו תקנה-תקנה וראינו שיש כפילות מיותרת.

והיום אין סמכות לרשם לעשות את הדבר הזה?

בוודאי שיש סמכות.

אין סמכות היום לרשם?

בוודאי שיש סמכות.

ולכן זה לא חידוש בתקנות. לוקחים את העדכון של התקנות, ומנסים לחפור בו משהו שהוא מעבר לתקנות.

עכשיו אני אדבר על ההגדרה, מה מפריע לנו בהגדרות למשל. אצלנו זה מוגדר אחרת בהוראות שלנו. נכון שבהוראות הפיקוח על הבנקים ההגדרות שחלות על הבנקים מכוח 357 הן הרבה יותר נכונות מההגדרות פה. אני רוצה לתת לכם דוגמה למה לא נכון להחיל עלינו למשל את ההגדרה של אירוע אבטחה חמור. סעיף 11 מפנה להגדרה של אירוע אבטחה חמור. לדוגמה.

אפרת שחר מבנק הפועלים. על-פי הוראת 357 רף הדיווח כולל קריטריונים של מהות. ההגדרה היא של אירוע שהוא חריג, שמדובר בניסיון מהותי חדירה או תקיפה, או של חדירות בפועל למערכות מחשב. הרף שנמצא פה בתקנות הוא רף נמוך מאוד ומחמיר עם בעלי המאגרים. מחמיר אפילו יותר מהרף שקבוע בחוק להכללת אמצעי זיהוי ביומטריים, ששם הקריטריונים דומים מאוד לאלה של 357. הרגולציה של אבטחת המידע למוסדות הפיננסיים התפתחה במשך שנים, והיא רגולציה ייעודית שמפותחת באופן שוטף על-ידי הרגולטור, באופן מאוד אינטנסיבי. הכניסה והבדיקה של הקריטריונים האלה של מהותיות ושל סכנה מהותית לפגיעה במידע מתאימה יותר לביצוע על-ידי הרגולטור, שיש לו את הפיקוח האינטנסיבי, היומיומי, והוא זה שקבע את כללי אבטחת המידה.

אפשר להתייחס לדברים?

כן, בוודאי. רצוי.

אני רוצה לבקש מהוועדה – אני מרגישה שכל ההערות כאן לא נוגעות לתקנה 11, שהיא מקרה פרטי של יחסים בין רגולטורים שצריכים להידון במסגרת תקנה 20. יש כאן היפוך של התמונה. חוק הגנת הפרטיות חל היום על מכלול המגזרים, לרבות על המאגרים של הבנקים. לא זו בלבד, בסעיפים שנוגעים לאבטחת מידע בחוק הגנת הפרטיות, יש אפילו חובה פרטנית בהקשר של בנק למנות ממונה על אבטחת מידע לפי חוק הגנת הפרטיות. כל מה שהתקנות האלה עושות, הן מעדכנות ומפרטות את החובות שקיימות היום מכוח החוק והתקנות. הניסיון להציג את זה כאילו יש כאן משהו חדש, רגולטור חדש שצריך להסיג את גבולו, זה פשוט היפוך של התמונה. מדובר בחוק קיים, ברגולטור קיים שפועל להגנה על זכות יסוד חוקתית. נכון, יש עוד רגולטורים ולפעמים יש ביניהם חפיפה. באופן חדשני, התקנות האלה מנסות להתמודד עם אותה חפיפה, מה שלא מוכר לי מאף רגולציה אחרת של הרגולטורים האחרים. יש כאן היפוך של התמונה. אני חושבת שכל הגורמים שמחזיקים מאגרי מידע רגישים צריכים לברך על התקנות האלה. כאמור, תקנה 20, שנגיע אליה בהמשך, במהרה, נותנת פתרון כדי שלא תהיה כפילות, כדי שלא תהיה סתירה.

אל תיכנסי לדיון על תקנה 20 כי אנחנו רוצים להתקדם.

אני אתן לכם דוגמה מסעיף 11, למה זה יכול להגיע למצבים לא סימפטיים בכלל.

תתייחסי גם לדוגמה וגם מה הייתם רוצים שיהיה בסעיף הספציפי הזה.

יש לי קצת בעיה, כי זה לא חל במיוחד על הבנקים, ואולי מה שאני אומרת לא נכון לכל המגזרים, אבל אני אדבר כאילו שזה חל עלינו. סעיף 11(ה) אומר שאם אירע אירוע אבטחה חמור – שוב, בקריטריונים מאוד מאוד מחמירים, כלומר, כמעט על כל דבר קטן – הבנק צריך להודיע לרמו"ט על החדירה. ואז רשאי רמו"ט, לאחר שהוא נועץ בראש הרשות הלאומית – בהיוועצות שהיא רק בין רמו"ט למול הרשות הלאומית להגנת הסייבר – ואז הם יכולים להחליט אם לפרסם את הדבר הזה לציבור. לא יתכן ולא ישמע שבמקרה כזה, רגיש מאוד, כשמדובר על חדירה, אולי אפילו לא משמעותית, למערכות מחשב של בנקים, נעדר פה מיקומו של הפיקוח על הבנקים. פרסום שנודע לחדירה למערכות מחשב של בנק הוא פרסום שיכולות להיות לו משמעויות הרסניות עד ל-run on the bank. run on the bank זו תופעה שבה אנשים נבהלים ממקור, שכנראה הוא לא מוצדק, ומושכים את כל כספיהם מהבנקים. מישהו ישמע שהייתה חדירה לאתר אינטרנט של בנק, והדבר הזה יפורסם בלי התייעצות עם הפיקוח על הבנקים, שלא יכול להעריך את החומרה של הדבר, אנשים ימשכו את כל הכספים מהבנקים.

לבנת, אנחנו שוב בדיון על תקנה 20, משום שגם היום, אם רמו"ט תערוך פיקוח והיא תסבור שהייתה חדירה למאגר מידע של בנק, היא עדיין יכולה להורות לאותו בנק להודיע לכל הלקוחות שלו לשנות את הסיסמאות ולהקטין את הנזק. גם היום רמו"ט כנראה לא תעשה את זה בלי להגיע לדין ודברים עם הפיקוח על הבנקים. אבל שוב, את נוגעת לתקנה 20 ומה עושים כשיש רגולטור נוסף.

זה הדין הקיים. צריך לזכור את זה שוב ושוב – זה הדין הקיים.

בואו ניקח את מה שלבנת אמרה וננסה באיזושהי דרך להרגיע את הבנקים, במירכאות. כי אנחנו מתייחסים פה – על ההודעה המידית לרשם, ואחר-כך שהרשם רשאי להורות לבעל המאגר, למעט לבעל מאגר מידע, לאחר שנועץ בראש הרשות הלאומית להגנת הסייבר. מה שלבנת אומרת, בשיח ביניכם – בינך, הרשם, לבין ראש המערך – אנחנו חושבים שבנק ישראל, שיכול להבין את השלכות הרוחב של פרסום מידע כזה לציבור, יוכל גם הוא לומר את דברו בפניכם. ההחלטה היא שלכם, אתם בסופו של דבר תחליטו. תאפשרו לבנק ישראל, לרגולטור שלנו, לומר את הדברים. השאלה אם אי-אפשר פה להכניס כתיקון – לאחר שנועץ בראש הרשות הלאומית להגנת הסייבר ושמע את X, Y, Z.

לרגולטור הרלוונטי בתחום.

לרגולטור הרלוונטי. לא משנה.

יש אינספור רגולטורים רלוונטיים בתחום. התקנה שאמורה להסדיר את זה היא תקנה 20. יש גם את כללי מינהל תקין, רמו"ט – שהוא אולי לא גוף מאוד ותיק, אבל יש לו כבר קילומטראז'. היו מקרים, ואנחנו מתייעצים היום וולונטרית עם הגופים שאנחנו חושבים שנחוץ להתייעץ אתם. ההכנסה הזאת לא קיימת ברגולציה אחרת.

זה לא קיים הפוך.

זה לא קיים. לא ידוע לי שלרגולטורים אחרים זה כתוב בחיקוקים שלהם.

גם לא רק בנק ישראל, יש חובת התייעצות על הפרק של פרטיות.

יש הרבה חובות התייעצות עם רגולטורים.

זו נראית לי תוספת מסוכנת מאוד. אני חושב שצריך להיות רגולטור אחד שירכז את התחום של אבטחת מידע לגבי מידע אישי. לא יכול להיות שיהיו לו כל מיני מכשולים, להתייעץ עם זה או עם ההוא. אנחנו צריכים לסמוך עליו שהוא הרגולטור הנכון, הממשלה בוחרת אותו.

לא יתייעץ, ישמע. לא התייעצות, ישמע.

אם הוא יחליט שהוא צריך לשמוע, הוא ישמע. לפעמים הוא יחליט שהוא לא צריך לשמוע. אם הוא יחשוב שצריך, צריך לתת לו לנהל את הניהול של המידע האישי. לרגולטורים אחרים יש אינטרסים אחרים. לפעמים הם מוכנים שמידע אישי יהיה קורבן לדברים אחרים, ולכן צריך שיהיה מי שישמור עליו. הוא שומר הסף של האזרחים, על המידע האישי. הוא צריך להיות האיש.

גברתי יושבת-הראש, בהקשר למה נקבעה רשות הסייבר – ראשית, אנחנו מדברים פה בתקנות אבטחת מידע כאשר אנחנו מדברים על כך שרשות הסייבר היא הגורם שמתכלל את הגנת הסייבר במדינת ישראל. היא מתכללת גם רגולטורים מגזריים – מגזריים – בעולם שלהם. ולכן כאשר אנחנו שוקלים שיקול רוחב לאומי, אנחנו רגולטור שרואה את כלל הגנת הסייבר, ולכן לא נכון לגשת לכל רגולטור מגזרי ולתת לו החרגה, אלא יש רגולטור על בהגנת הסייבר. מכיוון שיש בינינו לבין רמו"ט חפיפה גבוהה מאוד, ומכיוון שיש עוד שיקולים, כמו שיקולים כלכליים, ביטחוניים, אנרגיה, ביטחון פנים, חיי אדם, כלכלה וכולי, רשות הסייבר שוקלת אותם, בין היתר, גם דרך הפיקוח על הבנקים. בנק ישראל, אגב, הוא גוף מונחה שלנו. ולכן אנחנו אלה שרואים - - -

לא הפיקוח, לא הבנקים.

אמרתי, בנק ישראל. לא טעיתי, אמרתי בנק ישראל. אמרתי שבנק ישראל הוא גוף מונחה שלנו. קיבלנו את המנדט להגן מקצה לקצה. ראש רשות סייבר, במידה שהוא סבור – וכנראה שהוא יעשה את זה – שהוא צריך לשוחח עם הרגולטור המגזרי, הוא יעשה את זה. קל וחומר כאשר אנחנו הקמנו יחידות מגזריות כמעט בכל משרדי הממשלה, חשוב לומר. לראש רשות הסייבר יש גופים מונחים ויחידות מונחות בתוך היחידות הרגולטוריות.

שנמצאות בקשר עם - - -

לדוגמה.

אני חושב שלא תהיה בעיה לאנשי רמו"ט ולמשרד המשפטים להצהיר בפני הוועדה שכחלק מכללי מינהל תקין ומינהל ציבורי רגיל – ודאי שהם יתייעצו וישמעו כל גוף וכל רגולטור רלוונטי, גם אם זה לא כתוב. זה ברור או שזה - - -

אין לו גם ערבות בנקאית, אלון חותם על ערבות בנקאית - - -

ערבות בנקאית אישית.

ברור שיכולים להצהיר את זה בלי שום בעיה, שזה חלק מהנהלים וזה מה שהם יעשו.

ברור, זאת עבודת ממשלה תקינה.

אמרנו את זה וככה אנחנו גם נוהגים. אני רוצה להגיד שני משפטים. בהקשר הזה זה משהו שנוהג גם היום. הרי אירועי אבטחת מידע, ואירועי אבטחת מידע חמורים בבנקים ובגורמים פיננסיים אחרים התרחשו ומתרחשים, ומטופלים גם על-ידי רמו"ט. אני חושב שניסיון השנים האחרונות, כולל השנתיים האחרונות, מוכיח שרמו"ט לא רצה לעדכן את הציבור אם אין חובה כזאת והיא מתרשמת שזה מטופל באופן תקין ומתאים לסיטואציה. במובן הזה אנחנו מדברים על חשש תיאורטי שהמציאות הוכיחה שלא רק שהוא לא קיים, הוא הפוך. הדין ודברים שלנו עם הפיקוח על הבנקים הוא שוטף, הוא רצוף. נעשו אפילו פעולות אכיפה משותפות בשנתיים האחרונות יחד עם הפיקוח על הבנקים כאשר היה אירוע חמור בגוף פיננסי. בהקשר הזה, המציאות היא הפוכה לחלוטין. אני מציע, גברתי יושבת-הראש, פחות להתמקד בלהרגיע את הבנקים, אני חושב שהם יכולים להיות רגועים מאוד. אני בעד שאנחנו נרגיע את הציבור. אני חושב שהציבור לא רגוע, ואני מציע שאנחנו נרגיע את הציבור, והתקנות האלה הן משהו שאמור להרגיע את הציבור ולתת לו מענה ושכבת הגנה נכונה יותר ומתאימה יותר ל-2017 ממה שקיימת כיום.

אני שומעת פה את הדברים – באים רמו"ט ומטה הסייבר ואומרים הדברים ממשיכים להיות כמו שהיום. באה פה חקיקה ומדירה – כלומר, אם יש חקיקת משנה, היא החקיקה שקובעת – היא לא נותנת לפיקוח על הבנקים מקום. יכול להיות שבסעיף 20(ב) יש משהו שמדבר על מנגנון שלא ברור לי עד עכשיו, אני לא יודעת איך זה הולך, הסכמים סודיים. אני לא יודעת. אבל כאן יש חקיקת משנה שלא נותנת למפקח על הבנקים מקום, עם כל הכבוד למטה הסייבר, שבוודאי מטה הסייבר הוא ספץ, בבנקאות הוא פחות מבין מהפיקוח על הבנקים. בנקים זה לא כמו חברה ציבורית - - -

ובפרטיות, הפיקוח על הבנקים פחות מבין מרמו"ט.

בנקים זה לא כמו חברת "טבע". אף אחד לא רוצה לגרום למצב שבגלל אירוע אבטחת מידע בנק יתמוטט, או שיקרה משהו חמור, בלי לשמוע את הפיקוח על הבנקים. וזה מספיק חשוב לעומת כל רגולטור רלוונטי אחר, ששמו המפורש של הפיקוח על הבנקים לא ייעדר.

אני רוצה לדייק את הדברים. חן מהמחלקה המשפטית בבנק ישראל. אנחנו לא חושבים שרשות הסייבר יכולה לייצג את עמדת הרגולטור מאחר שהיא נפרדת - - -

אף אחד לא חושב את זה.

איל, אל תפריעו לה.

זה אחד הדברים שנאמרו. מאחר שהיא תכיר היבטים מסוימים מאוד שלא מחליפים את ההיבטים המקצועיים שהפיקוח על הבנקים אמון עליהם. הוא אמון על ראייה רוחבית של כל המערכת הבנקאית, של ההשלכות, מתחומים שונים, גם תחומים של פרטיות. לכן אנחנו בהחלט חושבים שיש פה מקום למעורבות של הפיקוח על הבנקים בכל מה שקשור בהחלטות בפרסום. עם זאת, אני אגיד שאנחנו מנסים, בהידברות עם רמו"ט, להגיע לאיזשהו הסדר שיענה על כל הצרכים האלה. אני חושבת שזה שאנחנו דוחים את הדיון על תקנה 20, זה יוצר פגיעה בדיון בתקנות השוטפות, כי כל הגופים בכל תקנה קופצים עם תקנה 20. אולי צריך להפוך את הסדר.

חן, נאמר כך, אני לא ראיתי שעברנו על התקנות וראינו איזושהי פגיעה בגלל שלא דנו בתקנה 20. עד עכשיו לא עלה הצורך בכך. עכשיו אנחנו נמצאים בתקנה 11 וזו פעם ראשונה שאנחנו רואים קורלציה. ואני מבינה שבוער להרבה מאוד גופים פה לדון בתקנה 20 קודם כל. אבל מה לעשות שהיא תקנה 20? היא לא תקנה ראשונה, היא תקנה 20. קודם כל, עד עכשיו לא ראינו שום צורך לדון בתקנה 20 לפני שדנים בסעיפים. עכשיו, לגבי נקודה ספציפית, אנחנו מדברים על (ד)(2), האם הרשם וראש הרשות אמורים לשמוע דעה נוספת, כן או לא – אני מבינה שיש מתח בנקודה הזו. שמענו את העמדות, הן ברורות מאוד. אנחנו נתקדם הלאה במידה ואתם לא תגיעו להבנות עד שנגיע לתקנה 20 – ואני מקווה שנגיע עוד היום – ובמידה ונראה צורך גם בתקנה 20 לחזור בהיבט הספציפי הזה, נדון בכך בכל מה שקשור ל(ד)(2), שהוא דבר נקודתי מאוד מאוד, ואני מבינה בהחלט את הטענות שעלו כאן. ניר, רצית להוסיף משהו?

אחר-כך.

רק מילה אחת בהמשך למה שחן אמרה. כמו שאמרנו בדיון הקודם, ועכשיו לפני כמה רגעים, כן, במקרים המתאימים בוודאי שרשם ההגנה על המידע יתייעץ וישוחח עם הרגולטור הענפי, בדיוק כמו שהרגולטור הענפי במקרים המתאימים יעשה את זה. גם אם זה לא קבוע בחוק.

בסדר. בואו נתקדם הלאה, תקנה 12.

"התקנים ניידים –

12. בעל המאגר יגביל או ימנע אפשרות לחיבור התקנים ניידים למערכות המאגר במתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, את רגישות המידע, את הסיכונים המיוחדים למערכות המאגר או למידע הנובעים מחיבור ההתקן הנייד ואת קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה; בעל מאגר מידע המאפשר שימוש במידע מהמאגר בהתקן נייד או העתקה שלו להתקן נייד ינקוט אמצעי הגנה בשים לב לסיכונים המיוחדים הקשורים לשימוש בהתקן נייד באותו מאגר מידע; לעניין זה יראו שימוש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים".

מה שהתקנה אומרת זה שהתקנים ניידים – אם זה טלפונים שמתחברים דרכם למחשב המרכזי, אם זה דיסק און-קי, אמצעים מסוג זה, דורשים התייחסות מיוחדת, ולכן צריך לנקוט באמצעים – גם כדי להגן עליהם עצמם כי הם יותר נגישים וניתנים לגניבה או עלולים להיאבד, וגם כדי למנוע החדרה של נוזקות לתוך המערכת באמצעות השימוש בהם.

מה זה אומר מבחינתכם?

זה אומר הצפנה, הסיפה שמתייחסת להצפנה סבירה. זה אומר לשים סיסמאות, זה אומר שיש מקומות מסוימים – נתנו כדוגמה - - -

לא תסגרו את היציאה להתקנים ניידים?

אנחנו לא אומרים בכל מאגר, בשים לב לרמת הסיכון של המאגר ולשימושים בו. כן, נכון, בבנקים למשל אתה לא יכול להכניס דיסק און-קי למחשב.

יש מאגרי יחיד.

מה קורה במאגר יחיד? לפעמים זה המחשב האישי שלך.

לא נמנע הכנסת דיסק און-קי.

מתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, את רגישות המידע ואת הסיכונים המיוחדים לו.

מה תהיה ההנחיה שלכם במצב כזה לאותה קוסמטיקאית, או לאותו גוף שזה המחשב שלו בבית?

פשוט לשים סיסמה לקובץ שהיא הורידה, זה הכול. ואם היא מכניסה דיסק און-קי, שיהיה לה אנטי-וירוס ו"פיירוול", דברים שממילא בשימוש היומיומי, גם אצל הקוסמטיקאית כנראה, בטח במאגרים הגדולים והרגישים יותר.

סילבי חורב, התעשייה האווירית. את מדברת על התווך. את מדברת על התווך ומה יקרה כשזה יגיע במקום מסוים, אבל את לא מדברת על מה יוצא. ויש חשיבות גדולה מאוד לדעת איזה חומרים יצאו. בהינתן שהוא מוצפן, אי-אפשר לדעת מה יצא, כי התווך מוצפן. דבר שני, אתם רוצים לדעת כל מה שיצא החוצה, כי אם זה הלך לאיבוד, את צריכה לדעת מה החומר שיצא.

אבל על זה מדברים סעיפים אחרים שמתייחסים לגישה, ואיזה שימוש נעשה במידע. כרגע אנחנו מדברים ברמה הכי בסיסית על האמצעי – איך לאפשר אותו. אם משרד המשפטים מאפשר לי להתחבר לעבודה דרך הנייד, אני חייבת שתהיה לי סיסמה והנייד לא יהיה פרוץ לכל אחד שיפגוש בו, שהוא יוכל להיכנס לכל המערכת. ברמה הכי בסיסית שאפשר. החל מהרמה הכי בסיסית.

מעבר לזה, התקנה אומרת ימנע – שוב, לפי מידת הסיכונים – או יגביל שימוש בהתקנים. יגביל זה יתיר, לא יקשיח, רק אם יהיה מעקב. הכול בהתאם לרמת הסיכונים וסוג המידע. אז התקנה כן מדברת על החששות שאת מעלה.

אני מדברת על התייחסות לדליפת מידע. ואני לא רואה פה התייחסות.

זה מופיע בתקנות הקודמות. עברנו על זה.

סילבי, תחדדי למה את מתכוונת.

אני מתכוונת שבהינתן שמישהו הכניס התקן שהוא לא תקין, ונגיד שכל ההתראות יגידו זיהינו שיש פה התקן, עדיין לא נדע מה הועתק לתוך ההתקן הזה, וזה משהו שכל בעל מאגר חייב לדעת לעצמו איזה סוג של מידע עבר למקום שהוא לא מורשה. אני לא ראיתי התייחסות.

מה את רואה בתקנה הזו?

יש המון תכנות שיודעות להתייחס לנושא של דליפת מידע, ואין פה אזכור לזה. בכל המסמך הזה אין אזכור.

מה את חושבת שצריך היה להיות פה?

שצריך התייחסות קודם כל.

באיזה מובן?

של דליפת מידע. בגלל שכל ההתייחסות שיש פה היא לגבי התווך המוצפן, אם לחבר או לא לחבר. אבל אף אחד לא מדבר על מה יקרה כשנחבר את ההתקן, כשנחבר משהו לא תקין והלך המידע. איך אנחנו יודעים איזה סוג של מידע הלך?

את לא מוצאת שתקנה 10(א) מתייחסת לזה, שמדברת על בקרה ותיעוד גישה ומתייחסת לסוג הגישה, היקפה? לדעתי היא מכסה את זה.

לא לגמרי.

גילי, זה בעיקר על מי ניגש, זה לא על התוכן.

יודעים מי ניגש ומתי, לא יודעים איזה מידע הוא לקח?

זה גם איזה שימושים הוא עשה. שוב, התקנות האלה הן רף מינימום. בוודאי שהתעשייה האווירית יכולה להפעיל את אמצעי הבקרה הנוספים. אנחנו נשמח להקשיח את התקנות.

בדיוק. אני רוצה להבין אם הבנתי נכון – תודה גילי. את אומרת שזה לא מספיק קשיח מה שיש פה?

נכון. כן, כי חשוב לך מאוד לדעת איזה מידע - - -

יוגב, אתה מבין מה קורה פה?

דרך אגב, אמרנו מההתחלה, ואנחנו חוזרים ואומרים את זה, זה רף המינימום לאבטחה לפי סוגי המידה וההיקפים שלו, זה לא המקסימום.

אני מציעה שהתעשייה האווירית ישבו עם בנק ישראל ונדבר אחר-כך.

בובי פנדריך, המוסד לביטוח לאומי. המשפט האחרון: לעניין זה יראו שימוש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים, הוא מטעה. אני חושב שאם יעצרו לפני זה – ינקטו באמצעי הגנה בשים לב לסיכונים, זה מצוין וזהו, פה לעצור. ברגע שמפנים לאמצעי הצפנה – לדעתי המקצועית זה לא בדיוק נכון. אם כבר, היה צריך לדבר על תכנות הגנה הנוהגות בשוק. הצפנה זה הגנה לכיוון אחר לגמרי, לא נגד אמצעי נייד שמחובר או מותקן ברקע.

אני רוצה לומר לכם משהו. אני שומעת גם את בובי וגם את סילבי, והם מבקשים מכם - - -

להחמיר.

כן.

אפשר לשקול את זה.

שוב, בגלל שהתקנות מתייחסות לכלל השוק, אני חושבת שאותם גופים שרוצים להחמיר יוכלו להחמיר.

כי מדברים פה גופים שהם גופים כבדים, רציניים, ואנחנו צריכים לשמור ש - - -

שמחזיקים מידע - - -

התקנות האלה חלות על מנעד רחב מאוד של מאגרים. לא כולם המוסד לביטוח לאומי, אלא חלקם גם מאגרים של יחיד. צריך איזשהו רף מינימום, אתה לא יכול שהרף יהיה זהה לכולם. ברור שאין מניעה שאתם תחמירו את הרף אצלכם, אבל מצד שני, התקנה הזאת היא דוגמה לאחת מהתקנות שכן חלה על מאגרים של יחיד.

אז יכול להיות שאת המשפט שבובי התכוון אליו, במאגר יחיד יראו שימוש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים.

אני חושבת שזו דוגמה אחת להחמרה שאפשר. יש עוד החמרות.

למשל הקשחה, מניעה מוחלטת. זה בתוך התקנה. אפשר להחליט שמונעים לחלוטין את האפשרות להכניס התקנים ניידים. לארגונים הרגישים יותר זאת התשובה.

- - - אוטומטי, נראה לי הכי הגיוני לעשות את זה.

לא הייתי מקשיחה בשלב הזה את התקנות. זה לא מונע מאותם גופים לנקוט באמצעים חמורים יותר.

אז למה לא לעשות הפרדה?

אנחנו נראה את זה בתקנה 21, התקנות כן יוצרות ריבוד, שלא כל תקנה חלה על כל סוג של מאגר. אבל יש תקנות שכן חלות על כל המאגרים. היא צריכה להיות מספיק רחבה וגמישה מצד אחד שיהיה אפשר להחיל אותה על כולם.

מתוקף זה שאנחנו לא מסווגים את המאגרים הללו בסיווגים כאלה ואחרים בדרגת חשיבות או רגישות מבחינת פרטיות, קשה מאוד לעשות את זה.

התקנות כן מציעות ארבע רמות שונות של מאגרים. אבל התקנה הזאת חלה על כולם.

לא רוצים להעמיס מעמסה כבדה מדי על חלק מהציבור, שלא צריך להעמיס אותו באמצעים כבדים מדי. זה חלק מהעניין באיזון.

אני רוצה להגיד משהו על התהליך שעברנו. אנחנו הגענו לתקנות אחרי עבודות מפורטות מאוד, וגם השיח הפנימי, בהרבה נקודות שאתם רואים כאן, הייתה התלבטות כמה להקשיח, כי אנחנו רואים את הגנת הפרטיות כאותה זכות יסוד שאנחנו מגנים עליה. מצד שני, כמשרד משפטים אנחנו מסתכלים גם על האופן הכללי ורוצים לעשות איזון בין כל האינטרסים. בסוף, האיזון בתקנה הזאת משתקף כמו שזה כתוב. יכול להיות שבתוך השיח של הוועדה גם אתם – אולי התגובה הראשונית היא רגע, אולי לא החמרתם מספיק, ועם הימשך הדיון, אנחנו נחזור כמטוטלת לנקודה שבה התקנות נמצאות. אנחנו הכרנו את הקושי הזה ובסוף עצרנו בנקודה מסוימת.

אני חושב שפה לא הובנתי נכון. אני שוב אומר, המשפט האחרון, להבנתי, שולח אותנו לשגיאה. הוא צריך לרדת, זה הכול. כל השאר מקובל עלי לחלוטין.

בגלל ההצפנה, זאת הכוונה?

כן. כן. הצפנה היא לא אמצעי סביר כהגנה מפני התקן חיצוני.

זו מחלוקת מקצועית ממש.

אתה רוצה התקנים ניידים לא מוצפנים?

נתן הרשקוביץ, רשות ניירות ערך. אני מצטרף בחום לאמירה הזו. השורה של ההצפנה לא רלוונטית, היא לא פותרת - - -

תסבירו למה שמתם את הדגש על ההצפנה.

הצפנה הוא סוג של פתרון הגנה. יש סוגים רבים אחרים למנוע הוצאת מידע, לא רק הצפנה, יש סוגים אחרים, ודווקא בקטע של התקנים חיצוניים הוא לא הפתרון. הוא לא הפתרון, והוא מכוון לתחום מאוד מסוים מבין שלל תחומים. לא ברור למה הצפנה נמצא פה.

תתייחסו לזה, רמו"ט.

עומר פרידמן, רמו"ט. אני חושב שאתם לא מבינים את הקונטקסט. מדובר על כך שאם כבר מחברים, ואם כבר צריך להוציא מידע בהתקן נייד, שלעתים אין ברירה, כשמעבירים מידע ממקום למקום או לגיבויים, המידע הזה יהיה מוצפן. המידע שיושב במנוחה על אותו התקן נייד – בין אם זו קלטת, או דיסק, או כל מדיה אחרת, או לפטופ שאתה מסתובב אתו בשטח – במידה ואותו מידע נגנב, או מדיה נגנבת, שהמידע עליו יהיה מוצפן. זאת הכוונה. אתם פשוט לא מפרשים את זה נכון.

לא. זה לא פתרון. זה לא פתרון. זה לא פתרון.

אז צריך לכתוב את זה בצורה ברורה יותר. אם כבר, נאלצים לחבר ומעבירים מידע, המידע חייב להיות מוצפן.

הצפנה הוא תהליך מסורבל, הוא תהליך ארוך.

אני לא רואה פתרון אחר.

אני חייבת להגיד שהתקנה לא מחייבת להצפין. התקנה נועדה להקל ולהגיד אם אתה מסתפק בהצפנה, זה ייחשב כאמצעי סביר. היא לא מחייבת להשתמש בהצפנה, וגופים יכולים להחליט להשתמש באמצעים אחרים. אין לנו שום בעיה להוריד את זה, אנחנו חשבנו שזה מקל על אותם גופים שכנראה כל האמצעים שלהם הם הצפנה. זה בשום אופן לא מחייב את זה כאמצעי יחיד.

יש לי הצעה טכנית שיכולה להבהיר את זה. אולי במשפט הקודם, שכתוב: ינקוט אמצעי הגנה, ככל שמה שעומר אמר זו הכוונה, אפשר לכתוב: ינקוט אמצעי הגנה להגנה על המידע שהועתק להתקן הנייד. ואז זה יבהיר למה התכוונתם.

אבל הכוונה הייתה לרמוז לשוק, להסביר לשוק, שמי שבוחר בדרך של הצפנה, די בכך. זו אופציה אחת.

איל, בסדר. חוסר ההבנה שהיה פה בין מה שנאמר לבין מה שאמר עומר היה על מה בדיוק אתה מגן. עומר אמר שההגנה היא על אותו מידע אחרי - - -

להגנה באמצעות הצפנה - -

כן, כן, כן, ההגנה באמצעות ההצפנה היא על אותו מידע – נכון.

- - - למה ההצפנה מתייחסת, אבל עדיין צריך לנקוט אמצעי הגנה כקונספט על השימוש בהתקנים ניידים, שזה מה שאמרה חברת הכנסת ברקו.

זה מה שאלעזר מציע.

אנחנו מעדיפים להוריד את ההקלה ששמנו: לעניין זה יראו שימוש בשיטת הצפנה מקובלת כאמצעי סביר, שאני לא מבינה מדוע היא מטרידה את מי שלא משתמש בהצפנה. שוב, היא אופציונלית והיא - - -

אני מציע משהו אחר שייתן מענה לכל מה שנאמר פה. אם את כותבת במשפט הקודם, לפני המילים בשים לב: ינקוט אמצעי הגנה להגנה על המידע שהועתק להתקן הנייד - - -

זה לא רק על המידע שהועתק, זה גם על המידע - -

זה מה שעומר אמר.

לא, עומר אמר שההתייחסות בהצפנה היא לאותו מידע שמועתק, אבל ינקוט אמצעי גם ביחס לנוזקות שיכולות לחדור דרך אותו - - -

זה גם בסדר. בסדר גמור. אז את יכולה להוסיף את המילים האלה בסוף: לעניין זה יראו שימוש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים להגנה על מידע שהועתק להתקן הנייד.

נכון, אנחנו מקבלים את ההצעה שלך, אלעזר. כן, אולי שם אפשר להוסיף את זה.

להוסיף את זה בסיפה. ההצפנה מתייחסת למידע שהועתק.

עורך דין דן חי.

אני חושב שהדיון הזה הוא קצת מיותר, כי פה מדובר רק על עניין של נטלים. אדם שיצפין את המידע לא יצטרך לשכנע שהוא עשה הגנה מספקת. מי שיחליט שהוא רוצה לנקוט בהגנה אחרת, יהיה עליו נטל, במקרה שמידע ידלוף, להראות שההגנה שהוא עשה הייתה מספקת. זה כל העניין. זה משפט שנועד להקל על מי שיבחר בדרך של ההצפנה, ומי שלא יבחר, יהיה עליו נטל. אם נוריד את המשפט הזה, גם למי שיבחר בדרך ההצפנה יהיה נטל לשכנע שהוא נקט באמצעים סבירים, ולכן אני חושב שיהיה חבל להוריד את זה. לגבי התוספות, אני חושב שצריך להבין שכשמחברים התקן נייד למערכת, יכולים להיות עוד הרבה נזקים שלא קשורים למידע שירד. יכול להתווסף מידע, וירוסים, כל מיני דברים אחרים.

לכן שכללתי את ההצעה.

סוס טרויאני, המון דברים שיודעים להיכנס. כבר חווינו את זה, רמו"ט קמה בזכות זה – לא נעים להגיד – בזכות הסוס הטרויאני. לכן אני חושב שלצמצם את ההגדרה זה מסוכן, כי אז צריך להתחיל לחשוב על כל הדברים - - -

זה לא לצמצם אותה. זה לא. דיברנו בהתחלה על צמצום, ואחר-כך חידדנו את זה יותר. זה לא היה צמצום, זה היה להכוונה, שמדובר רק על המידע שכבר נלקח, הוצא, נשאב, אני לא יודעת איך לקרוא לזה.

אני חושב שמהנוסח ברור מאוד שזו הכוונה. אני לא חושב שמישהו העיר לגבי כך שהכוונה היא למידע הזה. ההערה הייתה לגבי השיטה - - -

אבל עובדה שכן. עובדה שכן.

ההערה הייתה לגבי שיטת ההגנה, שאמרו הצפנה. אני מסכים שהצפנה היא אחת השיטות, ולא תמיד הייתי ממליץ לבחור בה כי היא מורכבת ויקרה. יש מידע שיוצא שהוא לא מידע רגיש מאוד, ולפעמים אפשר לנקוט בדרכי הגנה אחרות.

מה שעומר הבהיר, שהכוונה שלהם בעניין ההצפנה – זה נכון, צריך להפריד בין אמצעי ההגנה שהם לא רק מפני העתקה, אלא, כמו שאמרת, לגבי כל מיני סיכונים. אבל ספציפית, ההקלה הזאת שהם הציעו לגבי אמצעי ההצפנה התכוונה – לפי מה שהבנתי מעומר – לאותו מקרה של העתקה של מידע, זאת אומרת, ההצפנה של המידע שהועתק.

זה ברור מהנוסח. אני לא חושב שזה לא ברור.

מסתבר שזה לא היה ברור.

לא, הטרוניה הייתה על המילה הצפנה, לא על הנוסח של המשפט.

על זה שיש שיטות מתקדמות יותר.

על זה שזו שיטת הצפנה, אבל זו שיטה אלטרנטיבית. אפשר להגיד שאולי היה מקום להוסיף עוד שיטות, וכבר לא נצא מזה. זו הקלה. זה עניין של נטל, הרי צריך לזכור, בעולם של דליפת מידע כולנו צופים וחוששים מאותו סעיף בפקודת הנזיקין שמדבר על רשלנות, שהוא יכול להיות מקור לתביעות ולהרבה בעיות אחרות לארגונים. ארגונים לא רוצים להיתפס כרשלנים. ארגון שיצפין מידע יכול להגיד רבותי, אני עשיתי את מה שהתקנות אומרות, ודאי וודאי שלא הייתי רשלן. לשם כולנו מסתכלים. ארגון שינקוט באמצעים אחרים לוקח על עצמו את הסיכון שיכול להיות שהוא לא יצליח לשכנע שהאמצעי שהוא נקט בו היה מספיק. בסדר, זו המציאות, יש עוד דרכים ואי-אפשר לפרט את כולן בתקנות. לכן אני חושב שהאינטרס של גופים – אם אני מסתכל על זה בעין של גופים – הוא שהמשפט הזה כן יישאר, כי אז תמיד יהיה להם מוצא לנקוט באמצעי שהוא יוכל להגיד אחר-כך – עשיתי מה שהתקנות אומרות, זאת אומרת, עשיתי מה שצריך, אני לא הייתי רשלן. זו דעתי.

יורם ביטון, מביטוח לאומי בתחום הסייבר. אני נוגע שוב פעם בהצפנה. אין להצפנה שום רלוונטיות אם אנחנו רוצים למנוע הכנסה של איזושהי נוזקה. ברגע שניקח דיסק און-קי, אם הוא מוצפן ויש עליו וירוס וחיברתי אותו למחשב שעליו יושב מאגר, זה לא שינה כלום, אותו וירוס יחדור. אם הכוונה היא להגן על המידע עצמו, על המאגר, בהנחה שחלק מהמאגר, או המאגר כולו, עובר לדיסק און-קי, אז יש משמעות להצפנה. שוב פעם, זה משהו מינימלי מקל בתחום הזה.

אז אפשר לקבל את ההצעה של אלעזר ולהוסיף את ההבהרה בסוף – להגנה על המידע.

אוקיי, נעבור הלאה. בבקשה. תקנה 13.

"ניהול מאובטח ומעודכן של מערכות המאגר –

13. (א) בעל מאגר מידע יקפיד על ניהול ותפעול תקין של מערכות המאגר, לפי המקובל בהפעלת מערכות כאלה.

(ב) בעל מאגר מידע יפריד, בהיקף ובמידה הסבירים האפשריים, בין מערכות המאגר אשר ניתן לגשת מהן למידע, לבין מערכות מחשוב אחרות המשמשות את בעל המאגר.

(ג) בעל מאגר מידע ידאג לכך שייערכו עדכונים שוטפים של מערכות המאגר, לרבות חומר המחשב הנדרש לפעולתן; לא ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי אבטחה שלהן אלא אם כן ניתן מענה אבטחתי מתאים".

התקנה מדברת על ניהול ותפעול תקין של המערכות. תקנת משנה (ב) ממשיכה ומתייחסת לאבטחה הלוגית מעבר לאבטחה הפיזית שנדרשת, במיוחד כאשר המחשב מחובר לרשת מחשבים ולתחנות קצה, שאז הסיכונים גדלים לחדירה למערכות באמצעות הרשת. היא מתייחסת לשיטות להפרדה, השיטות שקיימות ואנחנו מכירים, והן נגישות בשוק – "פיירוול", חלוקה לרשתות ודברים כאלה שברורים מאוד לאנשי מערכות המחשוב. תקנת משנה (ג) מדברת על הצורך בעדכון שוטף של מערכות ההגנה, שזה גם דבר בסיסי, היות והאיומים כל הזמן משתנים.

רציתי לשאול – אני שואל את זה לגבי כל תקנה רלוונטית – איך אתם רואים את ההפעלה של התקנה הזאת, במיוחד תקנת משנה (ב) לגבי בעל מאגר יחיד? מה המשמעות של זה? שוב, אם מדובר על מחשב אישי או משהו כזה, מה המשמעות של הפרדה כזו? איך אתם רואים את זה?

ההתייחסות פה היא לתווך, ששיטות ההצפנה צריכות לנגוע בתווך. אתה רוצה לפרט יותר, עומר?

ניקח את הדוגמה של הקוסמטיקאית, יש לי מחשב, והמחשב הזה הוא המחשב האישי שלי בבית. מה המשמעות של הפרדה בין המערכות? הרי זה אותו מחשב, לא מדובר פה על רשת מורכבת.

בעיקרון, אם אותה קוסמטיקאית פותחת נתב אלחוטי ופותחת אותו לכל הבניין, רצוי שזה לא יקרה כי המחשב שלה גולש לאינטרנט דרך אותו נתב, וגם השכנים יוכלו לגלוש דרך אותו נתב, וגם אולי לגלוש למחשב עם כל המידע.

מה אתה מצפה ממנה לעשות?

סיסמה.

הפרדה. הפרדה יכולה להיות עם "פיירוול" שמגיע ב-Windows, או אם איזו תכנה אחרת, או בכלל לנתק את הנתב האלחוטי או לחסום אותו מגישה. אם זה בארגון גדול שיש לו מאגר מידע שיושב באינטרנט, אז כמובן שאותו מאגר מידע אמור להיות מוגן ומופרד ממערכות אחרות. ואם יש כמה רשתות, אין שום סיבה שעובדי מנהלה יוכלו לגשת למאגר המידע, או שאנשי פיקוח ותחזוקה יוכלו לגשת למאגר שמכיל מידע אמתי, אלא רק למידע דמה. יש הרבה שיטות הפרדה, אי-אפשר להיכנס אליהן. צריך לדבר על הפרדה במידה סבירה.

אני שאלתי במיוחד על גורמים יחידים.

על אותם גופים קטנים אלו אמצעים שמגיעים בדרך כלל עם מערכות ההפעלה, כמו שעומר אמר.

זה אומר שרגל אחת של הנתב תהיה לעצמך, ואם אתה רוצה לתת לאורחים גישה, תעשה הפרדה בנתב. כמובן שלא כל בן אדם רגיל יודע לעשות את זה, אז רצוי שטכנאי המחשבים שלך יעשה את זה. תדע שאתה יכול לעשות הפרדה בין רשת של אורחים לרשת הרגישה שלך, גם אם זה בבית. אתה לא רוצה לתת לשכנים גישה לנתב שלך, אז תפריד עם סיסמה, תפריד עם כל מיני שיטות הגנה אחרות. שוב, מדברים על הפרדה, להפרדה יש הרבה שיטות. קשה להיכנס.

שאלה. לא ברור לי – יש ברשות לניירות ערך כמה וכמה מאגרים. אני מהרשות לניירות ערך, יש לנו כמה מאגרים. לא ברור לי סעיף (א), כמי שאחראי על תפעול המאגרים האלה. מתי זה תפעול תקין לפי המקובל במערכות האלה? מה פירוש ההגדרה הזאת? מתי אני עומד בדרישות התקנות ומתי לא?

תסביר שוב את השאלה שלך בבקשה.

לא הבנתי – אם אפשר לקבל הסבר, אני אשמח – את סעיף (א). כמי שמנהל מאגרים ברשות לניירות ערך, לא ברור לי מה הפירוש או מה כוונתכם בניהול ותפעול תקין של המערכות לפי המקובל בהפעלת מערכות. כלומר, מתי אני עומד בדרישות התקנות ומתי לא? מה כוונתכם בתפעול תקין בהיבט של הגנת הפרטיות?

אני יכולה להוסיף לזה? אני רונית פרל, אני היועצת המשפטית של התאחדות התעשיינים. בדיוק לאותה משמעות שהתכוון נתן, גם בסעיף (ב) משתמשים במונח בהיקף ובמידה סבירים אפשריים. מתי אני יודעת שאני עומדת - - -

אלו שתי שאלות נפרדות. אולי נתחיל בראשונה?

הפרשנות היא שלכם.

רונית, בואי ניתן להם לענות גם על השאלה שלך וגם על השאלה של נתן.

ניהול תקין ותפעול תקין זה משהו שנוצר לאורך שנים. תקראי באינטרנט, יש את חמשת הדברות, עשרת הדברות להגנה על המידע שלך, או על המחשב שלך, או על הטלפון שלך. היום אנשים יודעים מה הוא הסטנדרט. סטנדרט הוא אנטי-וירוס, סטנדרט זה "פיירוול", סטנדרט זה לעדכן את המחשב או את הטלפון. זה משהו שנוצר לאורך השנים, ובכל פעם יש נדבכים שנוספים, אז בארגונים גדולים יודעים שיש מערכות שנקראות CM, שמנטרות, אוספות מידע ומתריעות על אבטחת מידע. קשה מאוד להגיד מה הסטנדרט, כל אחד צריך לקבוע את הסטנדרט שלו. יש גם תקנים – ברפואה יש תקן HIPAA בתחום הבנקאות יש - - -, בכרטיסי אשראי יש PCI DSS.

זה לא ברור. אני רוצה לעמוד בדרישות התקנות, ואני לא מבין אם אני עומד בהן.

עומר, מה שאתה אומר, כל גוף יודע מה זה ניהול תקין אצלו. מצופה ממנו שיעמוד בסטנדרטים של הניהול שלו. כל אחד מכם יודע למה מתייחסים.

מה הם מאשרים? לי יש את הסטנדרטים, מה הם מאשרים?

זה לפי מה שמקובל. בהמשך למה שאמר עומר. ניהול תקין יכול להיות לא לגלוש באתרים חריגים, לכבות את המחשב בסוף היום, דברים שהם שגרת ניהול מעבר, בנוסף על עדכון התכנה, שזו תקנה בהמשך, תקנה (ג). הדברים האלה שהם מקובלים.

השאלה אם גלישה באינטרנט למשל, באיזו צורה יכולה לפגום בהגנת הפרטיות של מאגר מסוים? מישהו אצלי בארגון גולש הרבה. אפשר לגלוש באינטרנט?

אם זה פוגע באבטחת המידע - - -

לפעמים עצם החיבור לרשת האינטרנט הוא מסוכן.

זה מה שאני שואל, מה לטעמכם זה תפעול תקין?

כל החלטה כזאת תלויה בטיב המאגר. שוב, אלו תקנות שפונות לשוק רחב מאוד, לסוגים שונים מאוד של מאגרים. יש פה ניסיון לבצע חשיבה ולקבוע את הניהול הזה לא סתם כך במקרה, אלא להקדיש לו את המחשבה איך אני צריך לנהל ולתפעל את המערכות שלי.

אם נוכל לשמוע את פרנקו. בבקשה.

זו הנקודה שבה אני רוצה לומר שככל שאנחנו נסכים, בתורת ההגנה, בתורת האבטחה הלאומית, אנחנו יורדים בדיוק לרזולוציות שמדברים עליהן כאן אנשים. זה אומר איך מפרידים, אילו מערכות צריך לשים, איזה מערכות SIM, שהן מערכות אבטחה, מקובלות, כאשר הן נבדקו במעבדות אצלנו, כחול לבן. איזה אנטי-וירוס אנחנו מאשרים שנבדקו או נבחנו, איזה סוגי הצפנה אנחנו מקבלים, יש תקנים – יש הצפנות חלשות יותר. כל הנושאים והנקודות האלה, בדיוק בפרטים הקטנים, שם אנחנו נמצאים. רשות הסייבר מוציאה לגביהם הנחיות. ככל שאנחנו, או רמו"ט בהמשך, יאמצו חלק מהדברים האלה – אני מניח שהם לא ירדו לרזולוציות של פירוט כאלה – אנחנו נוכל בשגרה להסתנכרן ולהיות רגל מסיימת, כך נקרא לזה, ברמת הפרטים.

אני רוצה להגיד, זה הרי לא מקרי שאין ירידה לפרטי פרטים, כי התקנות האלה אמורות לחול על כל המשק, ואמורות להיות נגישות ולהתאים לסוגי המידע וסוגי מאגרים ומערכות שונים בתכלית. אפילו אם לא היינו כותבים את התקנה הזאת בכלל, אני חושב שהיה ברור שכל אחד צריך לנהל את המערכת שלו באופן תקין, באופן סביר, לעדכן אותה, לעשות בה את השימוש הנכון והראוי, כמו שעושה כל גוף גם היום. גם היום, כשהתקנות שנוגעות לאבטחת מידע הן מיושנות מאוד ולא מפורטות, אותה חובה חלה, וכל גוף יודע על עצמו איזה מידע הוא מנהל, איזה רגישויות, למה הוא חשוף, והוא מתאים את המערכות שלו לאותם דברים. במובן הזה לא השתנה שום דבר. אם היינו מפרטים, היינו צריכים לפרט אולי 100 רמות של דברים לפרטי פרטים, וזה לא משהו שהתקנות יודעות לקבל.

התכוונתי לשאול על קווים מנחים. חברה ציבורית למשל, או רשות ממשלתית רוצה לעמוד בדרישה, וזה לא כל כך ברור, לדעתי, מה צריך לעשות כדי לעמוד בהן.

אם תסתכל, אתה יכול לראות שאפשר לפנות לגוף דומה אליך במדינה אחרת ולשאול מה הם ממליצים, מה הם עושים. בדרך כלל בבנקים כבר 20 שנה מפרידים רשתות וגלישה באינטרנט נעשית דרך חוות שרתים. זה סטנדרט שהם טיפחו לעצמם במהלך השנים. אם אתה לא יודע ואנשי האבטחה שלך או היועצים שלך - - -

לא, אני שואל מה לדעתך סביר.

אני רוצה לשאול אתכם. רמו"ט, אתם תוציאו הנחיות, בין היתר, גם לתקנה הזו כדי שחברים יוכלו להיות יותר רגועים שהם עומדים בניהול התקין לא רק של עצמם, אלא גם של איך שאתם תופסים אותו?

קווים מנחים, לא חייב להיות ברזולוציה כמו שפרנקו דיבר עליה. קווים מנחים.

קווים מנחים כן, הנחיות מפורטות לכל סוגי המידע בכל סוגי הארגונים לא. גם מי שיתיימר לעשות כזה דבר לא יוכל לעשות את זה, ובוודאי אי-אפשר לעשות משהו כזה שצריך לעדכן אותו על בסיס קבוע.

תאמר לי אלון, יש לי שאלה – בוא נניח שעכשיו נתן יושב, התקנות האלה עברו והוא אומר אני חושב שאני עושה ניהול תקין, אבל אני לא בטוח במאת האחוזים שאני עומד בסטנדרטים. אני רוצה לפנות לרמו"ט ולשאול אותם האם הסטנדרטים שאני נוקט בהם נחשבים בעיניכם ניהול תקין? זה דבר שאתם תקבלו אותו?

אחרי שהוא עשה את הבדיקות שלו עם עצמו - - -

שיפנה לייעוץ משפטי.

דרך אגב, זה נכון. גברתי, התשובה פשוטה מאוד. יש לנו הרי מוסד של פרה-רולינג, יש לנו נוהל פרה-רולינג ברשות לגבי כל מיני שאלות, כולל משפטיות. גם בשאלות משפטיות אנחנו מבקשים מהגוף שימצה את הבדיקה עם עצמו קודם כל, כי אנחנו לא יועצים משפטיים, אנחנו מסדירים. אחרי שהוא בודק את זה בכלים שעומדים לרשותו, אם עדיין התשובה היא לא ברורה, אנחנו בהחלט נותנים מענה. זה בדיוק מוסד הפרה-רולינג שלנו, הוא לא שונה בתחום אבטחת המידע. אם הרשות לניירות ערך – במקרה אני מכיר אותה לא רע – תחשוב שהיא לא בטוחה שהיא עומדת בסטנדרט הראוי והנכון, אחרי שהיא מיצתה את הבדיקה עם אנשי אבטחת מידע ואנשי המערכות שלה בפנים ובחוץ, היא תפנה לרמו"ט והיא תקבל מענה. אבל אני די בטוח שלא יהיה בזה צורך.

אתה צודק. השאלה הייתה מכוונת בעיקר לגופים שאנחנו מפקחים עליהם, חברה ציבורית כזו או אחרת שאין לה את - - -

זה בדיוק אותו דבר. התשובה בעיני היא אותה תשובה בדיוק. גם לחברה ציבורית שיש לה מערכות מידע יש אנשים שמטפלים בה, יש לה יועצים שהיא מעסיקה, היא תקבל מהם מענה כי הסטנדרטים הם מקובלים והם בין-לאומיים, והם מתעדכנים. אם היא לא תקבל מענה ראוי, או שהיא לא תדע מה התשובה הנכונה ברמה שמישהו יגיד לה זה הסטנדרט, אבל אני לא בטוח שזה עומד בסטנדרט שכתוב בתקנה 13, מה שאני מתקשה להאמין, אז תוכל לבוא פניה לרמו"ט בפרה-רולינג, ואנחנו נתייחס אליה. זה הרי נכון לגבי כל אחת מהסמכויות שכל רגולטור מפעיל, כולל רמו"ט.

נתן, אני חושבת שזה מוצה, וגם די ברור, עם הבהרה, אפשר גם לפנות. גם שמענו שיש עורכי דין, שחכנו את זה.

יש אנשי אבטחת מידע. ותקנים בין-לאומיים.

אני רוצה להתייחס להערה על הקוסמטיקאית. זו דוגמה טובה, כי אתם מדברים על גופים גדולים, אבל יש גם גופים קטנים. יש פה סעיף שלא בטוח שהציבור יכול לעמוד בו, שהוא לא יעשה שימוש במערכות שהיצרן לא תומך בהיבטי האבטחה שלהם, אלא אם כן ייתן מענה אבטחתי מתאים. גברתי, אני רוצה להסביר את מה שאני מבינה. יש מערכות הפעלה שלא מקבלות את התמיכה ממי שייצר את מערכת ההפעלה כי הם נותנים תמיכה בנושא אבטחת מידע בערך שלוש שנים אחורה. אותה קוסמטיקאית, כל העסק שלה מבוסס על הדבר הזה, וכבר אין עדכוני אבטחת מידע. אז מאותו הרגע המאגר כבר לא עומד ברגולציות?

אבל את מערבבת, כי במערכות המורכבות, שהיצרנים שלהם תומכים עד שלוש שנים אחורה, בדרך כלל משתמשים גופים גדולים, כמו הגוף שאת מייצגת. במערכות הקטנות, אותם גופים קטנים, הקוסמטיקאית, לא משתמשת במערכות כאלה עם הסכמי תחזוקה כאלה. יש לה Windows, יש "פיירוול".

- - - זו דוגמה מצוינת.

אם יש לה Windows בלי אנטי-וירוס, אז היא תרכוש אנטי-וירוס נפרד.

אני רוצה להסביר. Windows XP כבר לא מתעדכן.

יכול להיות שתצטרכו להחליף את מערכת ההפעלה ל-Windows אחר.

אז היא צריכה - - - אחר. לא אומרים לא להשתמש במערכת - - -

בדיוק. אנחנו לא אוסרים קטגורית, לכן זה עוד דוגמה לכך שהתקנות הן על קרקע המציאות וקורות בשטח. לא אומרים קטגורית אסור מרגע שלא ניתן - - -, אלא צריך לתת מענה אחר – להתקין אנטי-וירוס אחר, לעשות משהו אחר שיפצה על הבעיה. אני חושב שכל אנשי המקצוע פה יסכימו שזה כשל מרגע שהיצרן לא - - -

אין ספק.

בגלל זה כתבנו – מענה אבטחתי מתאים חלופי. רק שלא יהיה מצב שאין שום מענה אבטחתי. זה מה שהתקנה אומרת.

צריך לחדד את זה.

זה כתוב מפורשות בסיפה – אלא אם כן ניתן מענה אבטחתי - - -

אנחנו נעבור הלאה, לתקנה 14.

"אבטחת תקשורת –

14. (א) בעל מאגר מידע לא יחבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת, בלא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב.

(ב) העברת מידע ממאגר המידע, ברשת ציבורית או באינטרנט, תיעשה תוך שימוש בשיטות הצפנה מקובלות.

(ג) במאגר מידע שניתן לגשת אליו מרחוק, באמצעות רשת האינטרנט או רשת ציבורית אחרת, ייעשה שימוש נוסף על אמצעי אבטחה כאמור בתקנות משנה (א) ו-(ב), באמצעים שמטרתם לזהות את המתקשר והמאמתים את הרשאתו לביצוע הפעילות מרחוק ואת היקפה; לעניין גישה של בעל הרשאה למאגר מידע ברמת האבטחה הבינונית והגבוהה ייעשה שימוש באמצעי פיזי הנתון לשליטתו הבלעדית של בעל ההרשאה".

בהמשך לסכנות שנמנו קודם, כשהמערכות מחוברות לרשת האינטרנט, או לרשת ציבורית אחרת, יש חשש מגישה חיצונית לא מורשית. כדי להקטין למינימום את הסיכונים האלה, התקנה מחייבת שימוש באמצעי הגנה מתאימים. שוב, אנחנו נזכיר את האנטי-וירוס, את "פיירוול", חומת אש פיזית גם. תקנת משנה (ב) מדברת על התווך, להצפין בשיטות הצפנה מקובלות את המידע שנשלח באמצעות האינטרנט או באמצעות רשת ציבורית אחרת. והתקנה השלישית מדברת על זה שצריך לוודא שיימצא פתרון לסיכונים האלה באמצעות הפעלת מנגנונים שיבטיחו שבנוגע למאגרים שמוזכרים בתקנה רק למורשים תהיה גישה. זה אותו כרטיס עובד שאנחנו רגילים אליו, הכרטיס החכם שאנחנו רגילים להתחבר אתו ואמצעים פיזיים דומים לזה.

מישהו רוצה להתייחס? הלאה, 15.

"מיקור חוץ –

15. (א) בעל מאגר המתקשר עם גורם חיצוני לצורך קבלת שירות, הכרוך במתן גישה למאגר המידע -

(1) יבחן, לפני ביצוע ההתקשרות עם הגורם החיצוני המסוים כאמור, את סיכוני אבטחת המידע הכרוכים בהתקשרות;

(2) יקבע במפורש בהסכם עם הגורם החיצוני (בתקנה זו - ההסכם) את כל אלה, בשים לב לסיכונים לפי פסקה (1):

(א) המידע שהגורם החיצוני רשאי לעבד ומטרות השימוש המותרות בו לצורכי ההתקשרות;

(ב) מערכות המאגר שהגורם החיצוני רשאי לגשת אליהן;

(ג) סוג העיבוד או הפעולה שהגורם החיצוני רשאי לעשות;

(ד) משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות, השמדתו מרשותו של הגורם החיצוני ודיווח על כך לבעל מאגר המידע;

(ה) אופן יישום החובות בתחום אבטחת המידע שהמחזיק חייב בהן לפי תקנות אלה, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע, אם קבע".

"(ו) חובתו של הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם כאמור בפסקת משנה (ה);

(ז) התיר בעל מאגר מידע לגורם החיצוני לתת את השירות באמצעות גורם נוסף - חובתו של הגורם החיצוני לכלול בהסכם עם הגורם הנוסף את כל הנושאים המפורטים בתקנה זו;

(ח) חובתו של הגורם החיצוני לדווח, אחת לשנה לפחות, לבעל מאגר המידע אודות אופן ביצוע חובותיו לפי תקנות אלה וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה".

"(3) יפרט בנוהל האבטחה של המאגר גם את העניינים המנויים בפסקה (2)(א) עד (ה), וכן יפנה בו במפורש להסכם עם הגורם החיצוני ולנוהל האבטחה שלו;

(4) ינקוט אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהוראות ההסכם ובהוראות תקנות אלה, בהיקף הנדרש בשים לב לסיכונים האמורים בפסקה (1).

(ב) ארגון שהוא בעל כמה מאגרי מידע, המתקשר עם גורם חיצוני לצורך מתן שירות הכרוך בגישה אליהם בידי הגורם החיצוני, רשאי לקיים את הוראות תקנת משנה (א)(2) בהסכם אחד לעניין כל מאגרי המידע ובלבד שהם באותה רמת אבטחה.

(ג) תקנה זו לא תחול על התקשרות של בעל מאגר עם יחיד".

התקנה הזו מונה שורה של היבטים שחשוב להתייחס אליהם כדי שבעל המאגר ימשיך למלא את החובות שלו בתקנות גם כשמשתמשים במיקור חוץ ויש מישהו אחר שמחזיק את המאגר. זה בעיקר נוגע לסוג המידע, הרשאות גישה, מטרות השימוש, באילו מערכות זה ייעשה. אותו מיפוי שבעל המאגר עשה אצלו וראינו בתקנות הקודמות, עכשיו הוא צריך ליישם בהסכם עם מיקור חוץ.

לפני כן יש תהליך חשיבה, כי עצם השימוש במיקור חוץ מייצר כשלעצמו סיכונים. אז קודם כל, הוא עושה את תהליך החשיבה הזה ומזהה את אותם סיכונים שאחרי-כן הוא צריך לתת להם מענה גם בהסכם ולשמר את אותה מעטפת אבטחה שקיימת אצלנו גם מול הגורם החיצוני.

אני הולך פה על קרח דק, אבל חסר לי דבר אחד בכל התקנות האלה. אני מסכים לכל מה שכתוב פה, אבל מישהו שנותן שירותי מיקור חוץ יכול שייתן ליותר מגורם אחד. בשום מקום לא ראיתי התייחסות להפרדת המידע של גורם א' מגורם ב'. הרי אני עלול להימצא במצב שבו אני נותן את זה לגורם שנותן שירותי מיקור חוץ, והוא יערבב את כל המידע – שלך, שלי, של התעשייה האווירית. אין פה שום התייחסות לנושא הזה, וחבל.

התקנות חלות גם על מחזיק. אותן הוראות של מיפוי והפרדה והרשאות גישה חלות על אותו ממקר חוץ, שהוא בדרך כלל מחזיק.

יש חובה כזאת בחוק עצמו, בובי.

אתה מצביע על בעיה מהותית, או אכיפה של זה? כי מהותית, משפטית יש לזה - - -

לציין את זה, להזכיר את זה.

בובי, החובה הזאת כתובה בסעיף 17ב לחוק עצמו.

ככה בונים תקנות אתה לא חוזר על דברים שכתובים בחוק.

אני רק מוסיף על מה שנאמר פה מקודם. מעבר לזה שהחובה על המחזיק קבועה בחוק, גם פה אנחנו נראה בהמשך, בתקנה 19 שכל ההוראות שחלות על בעל המאגר יחולו גם על המחזיק. הדוגמה שאתה נתת מוגדרת כמחזיק. אותן הוראות שחלות על בעל המאגר יחולו עליו כמחזיק, ואז הוא יצטרך לעשות את כל ההפרדות האלה שדיברת עליהן.

בנוסף לדברים של אלעזר, חוק הגנת הפרטיות, סעיף 17א קובע: המחזיק במאגרי מידע של בעלים שונים יבטיח כי אפשרות הגישה לכל מאגר תהיה נתונה רק למי שאושרו לכך במפורש בהסכם בכתב בינו לבין בעליו של אותו מאגר. אני חושבת שיש לכך מענה.

אני רציתי לשאול אתכם שני דברים. נקודה אחת שאני אשמח אם תחדדו, אולי תסבירו לוועדה, תקנת משנה (ג), שזה לא יחול על התקשרות עם יחיד. תסבירו לוועדה על מה זה כן חל ועל מה זה לא חל, שזה יהיה ברור יותר. נקודה שנייה, איך אתם רואים בתקנת משנה (א)(4) אותם אמצעי בקרה ופיקוח – איך אתם מצפים או רואים שזה אמור להתנהל בפועל? זאת אומרת, כאשר הוצאתי למיקור חוץ, מה אתם מצפים שיהיה אמצעי פיקוח? האם צריך להתחיל לבדוק אותו? איך אני בודק אותו, מה הוא עשה? תבהירו לוועדה, מבחינת היקף התחולה של תקנת משנה (ג), ו-(ב), איך אתם רואים את אמצעי הפיקוח ואת היחס שבין בעל המאגר לבין המחזיק.

לגבי השאלה הראשונה, לגבי תקנת משנה (ג), זה קשור להגדרה שעוד לא דיברנו עליה. הבהרנו שהתקנה הזאת לא חלה על מי שהוא בעל הרשאה בתוך ארגון. זה לא משנה כרגע קיומם של יחסי עובד-מעביד, אבל כאן, אפילו למען הפשטות, אמרנו שהתקשרות של בעל מאגר עם יחיד לא תחול עליה התקנה. זאת אומרת, גם אם הוא מחזיק, זה חל רק על הסיטואציה של קבלת שירות על-ידי גוף חיצוני אחר.

זאת אומרת שיחיד שיש לו הרשאה, הוא לא ייכנס לתקנה 15, אבל יחולו עליו התקנות מכוח העובדה שהוא בעל הרשאה.

יחולו עליו החובות דרך בעל המאגר.

דרך בעל המאגר, שהוא ייחשב כבעל הרשאה.

אמת. אמת. אין ריק. יש חובות של בעל המאגר שהן חובות שקשורות לבעלי ההרשאה שלו, ואותו יחיד ייחשב כבעל הרשאה שלו. החובה בהתקשרות עם אותו גוף חיצוני במיקור חוץ באה לידי ביטוי בתקנה 15. כמובן שמעבר לזה החובות של אבטחת המידע – זה קבוע כבר בחוק עצמו – חלות גם על המחזיק ולא רק על בעל המאגר. זה לגבי השאלה הראשונה. לגבי השאלה השנייה - - -

אני אתחיל. אמצעי בקרה ופיקוח – שוב, זה בהיקף הנדרש בשים לב לסיכונים. יש אמצעים שונים, החל מהצהרות משפטיות וכלים הסכמיים, ועד בקרות בשטח, ולפעמים דרישה שממש ישבו אצלך פיזית, למרות שזה מיקור חוץ.

יש גם כלים טכנולוגיים.

אתה רוצה לפרט את הכלים הטכנולוגיים?

יש גם כלים טכנולוגיים שאוספים מידע מהשטח ומנתחים אותו, ואם קרה משהו, הם יכולים להתריע. שוב, עד כמה שאתה מוכן להשקיע - - -

אתה מדבר ממש על אמצעי מעקב.

אתה מוכן להשקיע עד כמה שנחוץ, בשים לב לרגישות של המידע.

אתה מדבר ממש על אמצעי מעקב שלבעל המאגר תהיה ביקורת און-גואינג.

בארגונים הגדולים יש היום מערכות שהם יכולים לשים אצלו איזו תכנה, או אפילו חומרה שתאסוף אינפורמציה מהשטח. כי אם לאותו גורם שבמיקור חוץ אין משאבים טכנולוגיים – פשוט לאסוף אליהם את המידע ולנתח אותו אצלם, או לחילופין לצאת לביקורות בשטח, או לחייב אותם לקבל דוחות שבועיים, חודשיים.

יכול להיות מגוון גדול מאוד. כמו שאתם רואים, זה בהיקף הנדרש בשים לב לסיכונים האמורים. זאת אומרת, זו פונקציה של היקף המידע שניתנת אליו גישה שמועבר, מידת הרגישות שלו, סוג הגישה שניתנת, וכולי. כל הדברים האלה מאפיינים את היקף הסיכון, ובהתאם לזה, מה שנדרש. לפעמים ידרשו על דיווחים על אירועים – יכול להיות מגוון שלם של - - -

אני אחדד את השאלה שלי. ככל שמדובר על גורם – בעל המאגר הוא לא גורם מקצועי. נניח שהסיבה שבגינה הוא מוציא את העניין החוצה למיקור חוץ - - -

אבל מהמקרים הגדולים – דווקא התופעה שאנחנו רואים - - -

שנייה. נניח שאני בעל חברה למזון כלבים ויש לי מאגרי מידע. אני לא מבין בזה שום דבר ואני יוצא למיקור חוץ, אני פונה לחברת אבטחת מידע שתיתן לי שירות, שתתפעל את זה לפי התקנות וכולי. איך אתם רואים שאני אמור לפקח על אותו גורם? הרי אין לי את הידע המקצועי. לכן פניתי אליו, כי אין לי את הידע המקצועי. איך אתם מצפים שאני אפקח אחריו?

אני חברה, ואני מוציא את המשכורות שלי ל"חילן" כי אני לא יודע לעשות משכורות חודשיות. אני לא מדבר על אנשי אבטחת המידע שאני צריך לפקח עליהם. אני לא אפקח על מי שאמור לבדוק אותי. אבל כמו שאני בנק ויש לי 300 סניפים ואני שולח נציגי אבטחת מידע לסניפים לבדוק את אבטחת המידע. מבחינתי, מי שהוצאתי אליו את המידע שלי למיקור חוץ הוא כמו סניף, והאחריות שלי היא כמו העובדים שלי בסניף והמערכות בפנים.

אבל אני לא יודע לבדוק אותו. הוצאתי את זה אליו כי אין לי את המידע.

נכון. איזה יכולת יש לך לפקח עליו?

אז אני אשלח יועץ אבטחת מידע מטעמי, אפילו פרילנס, לביקורת פעם בשנה.

אגף האסדרה ברשות בדיוק אמון על אסדרה של מספר נותני שירותים – מיהו יועץ אבטחת מידע, מיהו מומחה אבטחת מידע, מי רשאי לתת שירותים, מיהו ספק ונותן שירותים, איזה שירותים המדינה נותנת להם. זה בדיוק מה שאגף האסדרה ברשות הסייבר אמור לעשות כדי שכשאתה תלך לגורם שלישי לקבל שירותים, תוכל לדעת בצורה טובה שהוא נותן את השירות באיכות שאתה מצפה לקבל, כי אין לך היום את היכולת לבדוק. זה בדיוק מה שעושה אגף אסדרה ברשות הסייבר.

בסדר, אבל זה נותן לי את כרטיס הכניסה הראשוני במובן שאני אומר אני יודע שהגורם אמין.

וגם השירות. גם הספק וגם השירות.

נכון, אבל מבחינת אלמנט הפיקוח שמדובר עליו בתקנות, איך אני אמור לפקח עליו?

אתה האזרח? אתה מקבל השירות?

אני בעל המאגר מקבל השירות. אני קיבלתי מכם תו תקן חותמת שהוא גורם אמין ורציני, ולכן הלכתי אליו. אבל עכשיו איך אני אמור לפקח עליו?

אתה לא אמור לפקח עליו. המדינה מבצעת את ההנחיה ואת הפיקוח.

בתקנות כן כתוב שאני צריך לפקח.

אתה תנקוט אמצעי בקרה ופיקוח שיכולים להיות - - -

הרי אתה לא באמת יכול לפקח על מומחה אבטחת מידע שנותן לך שירות. הרי אם היית מבין - - -

לא נכון. זה לא נכון. זה תלוי בגוף ובסוג מיקור החוץ. אני אתן דוגמה. למשל דווקא הגורמים הגדולים שעושים מיקור חוץ להרבה מאוד גופים במשק, בין אם הם גדולים ובין אם קטנים, והיות שהם יודעים, עוד לפני התקנות, שיש הרבה מאוד גופים שרוצים לבוא ולפקח עליהם, לא מתאים להם שיבואו 20,000 גופים לפקח. אז למשל הם מודיעים ללקוחות שלהם, אלה שמשתמשים בשירותי מיקור חוץ, אני ממנה בודק חיצוני, את X, Y, Z, לעשות לי בדיקות תקופתיות, ואני מפרסם לכם את החלק בדוח שנוגע לכם. הם מבינים מעצמם שהם צריכים, כחלק מהחבילה שהם נותנים, לתת גם את השירותים של הדיווח ושל הבקרה, ובמקרה הזה מתהפך הנטל והגוף עצמו מראש מכסה לך על הצורך הזה. אם אתה מתאר את אותו גוף קטן, יכול להיות - - -

במקרים שזה קורה.

בסדר, זה לא משנה מי קנה את מיקור החוץ, הגוף שנותן את מיקור החוץ מספק להרבה מאוד לקוחות במשק. אבל בכל מקרה, אם אתה אותו גוף קטן, או אותה חנות לממכר מזון, כנראה שהסיכונים האלה פחותים יותר. יכול להיות שבמקרה הזה אפשר יהיה להסתפק באמצעי בקרה ופיקוח שהם הסכמיים, ובהסכם תהיינה הצהרות ותהיה התחייבות לדווח על אירועי אבטחת מידע שנוגעים למידע שאתה ביקשת ממנו לעבד לך. אני לא רואה בזה קושי גדול יותר.

גילי, הארגון רוכש את השירות מכיוון שאין לו את היכולת לעשות את זה לרוב בעצמו. אנחנו נתקלנו לא מעט – ולרוב נתקלנו בנותני שירותים שרמת השירות שלהם היא נמוכה. מדובר פה בכשל שוק שבין היתר, התפקיד של רשות הסייבר הוא לצמצם את כשל השוק. לפרוטוקול, בתפקידי הקודם-קודם, כמנהל יחידת הביקורת של רא"מ, הגענו לגופי ענק – לגופי ענק – שהיו להם יועצים טובים, וראינו שם כשלים גדולים. היום כשאני נמצא בתפקיד באגף האסדרה, התפקיד שלנו הוא לייצר סטנדרט לאומי ולמנוע את כשל השוק הזה, כך שגם האזרח, אבל גם חברות גדולות, יקבלו שירות איכותי. התפקיד שלנו הוא לתקנן אותם ולוודא שהשירות שניתן על-ידי הספקים האלו הוא באיכות טובה. זה לא סותר, להיפך, זה רק מוסיף.

מצוין.

מבחינתכם זה מספק, מה שאמר עכשיו פרקו? אם אין לי מידע בזה, אני באמת לא יודע שום דבר, אני מסתכל באתר האינטרנט שלהם ואני רואה שיש שם רשימה של גופים שנבדקו על-ידם ונמצאו מצוינים, אמינים, בשירות ובאיכות וכולי?

אתה תקבל מהם דיווח על אירועים חריגים, כמו שבהרבה הקשרים אחרים גם - - -

מעבר לזה, איך אתם - - -

אני ארצה שבהסכם אתה תכתוב – כי אולי היום אתה לא כותב את זה, כי זה פחות מעניין אותך, השאיפה היא שהתקנות האלה ירימו את כל הסטנדרט של השוק ברגע שהן יהפכו לדרישות רגולציה - - - של קוני השירותים וגם של ספקי השירותים. אני אצפה שבהסכם אתה תבקש ממנו לדווח על כל אירוע חריג שקורה במידע שלך, זה משהו שלא מופיע היום בהסכמים.

וזה מבחינתכם נחשב אמצעי בקרה ופיקוח?

זה יהיה אמצעי בקרה. ברגע שאתה תדע, אתה תצטרך להחליט מה אתה עושה עם המידע שנפגע או שהופץ.

עומר דיבר על דברים שהם הרבה יותר משמעותיים, כמו ללכת לביקורות - - -

שוב, השאלה היא, אלעזר, לגבי איזה סוג מאגר? אם אתה מחזיק מאגר ענק של ממכר רפואי - - -

אני מדבר על הדברים הקטנים.

אתה דיברת על משהו אזוטרי.

מוכר מזון הכלבים – זה יספיק.

על הקטנים – בעל עסק.

מוכר מזון לכלבים, בעיקרון זה יספיק.

עצם זה שהוא קטן זה לא אומר שהמאגר שלו הוא לא רגיש.

את צודקת, אני אסייג את הדברים שלי. הכוונה היא לגורם יחסית קטן-בינוני, שאין לו את הידע המקצועי בשביל לבדוק את מי שהוא מבקש ממנו את השירות.

בסדר, אבל דיווחים למשל זה לא משהו שאתה צריך לו את הידע המקצועי. הרמה של אמצעי הבקרה והפיקוח תלויים בהיקף הסיכון. היקף הסיכון הוא נגזרת של כמה וכמה פרמטרים. היקף נושא המידע הוא רק אחד מהם.

אני אתן דוגמה. זה לא שונה מעולם החשבונאות. את כל המידע הפיננסי שלך – 90% מהאוכלוסייה, לפחות כל העוסקים הקטנים-הבינוניים, מוציאים את המידע הפיננסי שלהם הכי רגיש שלהם לרואה החשבון. אתה לא רוצה שמרואה החשבון שלך המידע הזה יצא החוצה, נכון? מן הסתם, זה מידע אישי. זה אפילו לא חברה, והיית רוצה שלאותו רואה חשבון יהיה סטנדרט של הגנה על המשרד. אני יכול להגיד שמצאנו עשרות רואי חשבון שכל המידע של כל הלקוחות שלהם חשוף לאינטרנט בחודשים האחרונים. אז אני לא רואה פה איזושהי - - -

השאלה שלי לא הייתה על הצורך. השאלה שלי היא איך בפועל הוא אמור לעשות פיקוח.

במקרים האלה, כנראה באמצעות כלים הסכמיים.

כנראה שרצוי שתבקר שם.

איזה כלים?

בהסכם, בהתחייבויות בהסכם.

אתה מוודא כשאתה קונה את השירות שהוא עומד בסטנדרט. מה שפרנקו דיבר עליו – מצוין. אם מישהו יסדיר את התחום ויגיד למי יש רישיון לעסוק בתחום הזה, והם אולי יעשו בקרות על ספקים נותני שירותים לאנשים פרטיים וגורמים אחרים, מצוין. זה אומר שקנית ממישהו כזה, ובאתר של הרשות הלאומית להגנת הסייבר יהיה כתוב שנעשתה ביקורת תקופתית והם עומדים בסטנדרט הגבוה שיהיה בתורה הלאומית להגנה, מצוין.

לכן אמרתי, זה משלים.

אתה כותב בהסכם שאתה מחויב לעמוד בסטנדרט ובתקנות, וזה המקצוע שלהם, מישהו אחר בודק ומחזק את זה, וגם מעדכן את הרשימה מי כן ומי לא – מצוין.

ויש גם אפשרות לדיווחים בנוסף.

בסדר? טוב. 16.

"ביקורות תקופתיות –

16. (א) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, בעל המאגר אחראי לכך שתיערך, אחת ל-24 חודשים לפחות, ביקורת פנימית או חיצונית, על ידי גורם בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע שאינו ממונה האבטחה של המאגר, כדי לוודא את עמידתו בהוראות תקנות אלה.

(ב) בדוח הביקורת ידווח המבקר על התאמת אמצעי האבטחה לנוהל האבטחה ולתקנות אלה, יזהה ליקויים ויציע אמצעים הדרושים לתיקון המצב.

(ג) בעל מאגר המידע ידון בדוחות הביקורת שיועברו לו, ויבחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהם.

(ד) בעל מאגר מידע שחלה עליו רמת האבטחה הגבוהה, רשאי לקיים את החובה הקבועה בתקנה זו במסגרת עריכת סקר סיכונים שמתקיים בו האמור בתקנת משנה (ב).

(ה) ארגון שהוא בעל כמה מאגרי מידע, רשאי לקיים את החובה הקבועה בתקנה זו במסגרת ביקורת אחת לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה".

אני חושבת שהלשון של התקנה די ברורה. החובה במאגרים שהם ברמת אבטחה בינונית או גבוהה לערוך ביקורת. התדירות של הביקורת צריכה להיות אחת לשנתיים לפחות. הביקורת יכולה להיות פנימית או חיצונית, אבל אם היא פנימית, היא לא יכולה להיעשות על-ידי ממונה האבטחה של המאגר עצמו, שזה ברור, הוא לא יכול לבקר את עצמו. דרישה שמי שמבקר יהיה בעל הכשרה מתאימה. לדון ולהפיק לקחים מאותם ממצאים של הביקורת. ההקלה, כמו שעשינו בסקרי סיכונים, למי שיש לו כמה מאגרים. זה הכול.

הקלה נוספת כשמדובר ברמת אבטחה גבוהה, ואז יש גם חובה לעריכת סקר סיכונים. ניתן לעשות את זה יחדיו, זה במסגרת תקנת משנה (ד).

מישהו רוצה להתייחס? תקנה 17.

"שמירת נתוני האבטחה –

17. (א) בעל מאגר מידע ישמור את הנתונים הנצברים במסגרת יישום הוראות תקנות 6(ב), 8 עד 11, 14, 15(א)(4) ו-16, ככל שתקנות אלה חלות עליו, באופן מאובטח למשך 24 חודשים.

(ב) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, בעל המאגר יגבה את הנתונים שנשמרו כאמור בתקנת משנה (א), באופן שיבטיח שניתן יהיה, בכל עת, לשחזר את הנתונים האמורים למצבם המקורי".

אגב היישום של התקנות המצוינות כאן נצבר מידע, נצברים נתונים. הצורך בשמירה שלהם הוא כפול – גם בשביל לבדוק בדיעבד ליקויים או אירועים, וגם כי הם כשלעצמם יכולים להיות רגישים מבחינה אבטחתית.

יש התייחסות? 18.

"גיבוי ושחזור –

18. (א) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, יקבע בעל המאגר במסמך -

(1) נהלים לביצוע גיבוי כאמור בתקנה 17(ב), באופן תקופתי שגרתי;

(2) נהלים, להבטחת שחזור הנתונים כאמור בתקנה 17(ב), ובלבד שביצוע השחזור יהיה באישור מנהל המאגר;

(3) כי במסגרת תיעוד אירועי אבטחה כאמור בתקנה 11, יתועדו גם הליכי שחזור המידע, ובכלל אלה – זהותו של מי שביצע את הליכי השחזור ופרטי המידע ששוחזר.

(ב) במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל מאגר אחראי לכך שיישמר עותק הגיבוי של הנתונים האמורים בתקנה (א)(1) ושל הנהלים כאמור בתקנת משנה (א)(2), באופן שיבטיח את שלמות המידע ואת אפשרות השחזור של המידע במקרה של אבדן או הרס".

זו ההשלמה של תקנה 17, גיבוי של אותם נתונים שדיברנו עליהם קודם, כך שגם אם תהיה התקפה או תקלה, שהנתונים הללו יישמרו. יש החמרה מבחינת הדרישה כאשר מדובר במאגר שחלה עליו רמת האבטחה הבינונית או הגבוהה.

מישהו רוצה להתייחס?

בכל מקרה, אני מציעה שהעתק של הגיבוי לא יהיה באותו מקום. הוא חייב להיות במקום חיצוני לגמרי.

זאת ההחמרה. זאת אחת האפשרויות.

זאת ההחמרה שלנו בהקשר של מאגר מידע שחלה עליו רמת האבטחה הגבוהה.

צריך להזכיר כאן שכל הכללים שחלים על המאגר יחולו גם על הגיבוי. זה העתק של המאגר.

זה לא העתק של המאגר.

אז על מה אנחנו מדברים פה, על העתק נתוני האבטחה?

אנחנו מדברים על נתוני האבטחה. אלו תקנות אבטחת מידע, ולכן הגיבוי שמדובר בו הוא גיבוי של הנתונים האבטחתיים ולא גיבוי של המאגר.

זה לא כל כך ברור פה.

זה ברור לגמרי.

אני גם לא הבנתי את זה.

זה מפנה לתקנה 17.

זה מפנה לחובת הגיבוי שיש בתקנה 17(ב) ו-17(א).

לכן אמרתי שזאת תקנה משלימה לתקנה 17, כי זה גיבוי של אותם נתונים שב-17 נאמר לגביהם.

אם תשימו לב, לכן שונה הניסוח. תיקנו את הניסוח בסעיף 17(א), שמדבר על הנתונים הנצברים במסגרת יישום הוראות התקנות הספציפיות האלה, בשביל לחדד את זה שמדובר על נתונים שנצברים במסגרת היישום של אותן תקנות שעניינן אבטחת מידע. לא מדובר על עותק של המאגר עצמו.

איך מתחייבים לשחזר את זה אם זה בנפרד? אם עכשיו קרה כשל לוגי במערכת ויש לי גיבוי באיזשהו מקום בחוץ?

כשאנחנו עושים חקירות – המטרה שלנו כשאנחנו באים לפיקוח או חקירות בדיעבד – לא מעניין אותנו המערכות הפעילות, מעניין אותנו המידע שנשמר בלוגים, כך שאת לא צריכה לשחזר את המערכות שלך בשבילי, אני צריך את הלוגים. הלוגים ממילא נשמרים בקבצים בנפרד ואין בעיה לשחזר אותם. כל הרעיון הוא שכשנגיע לשטח או כשהחברה עצמה תרצה לנתח את האינפורמציה, שיהיה מידע ולא יגידו אבל לא הפעלנו את הלוג שישמור מידע, וגם לא מספיק שבועיים אחורה, אלא אנחנו דורשים שיהיה שנתיים אחורה.

הסעיף הזה הוא אך ורק על הלוגים, הוא לא על הנתונים?

לא על הנתונים, אך ורק על הלוגים.

זה ברור לך? לי זה לא היה ברור.

גם לי זה לא היה ברור. ליאת, אולי תסבירי עוד פעם.

אני אסביר שוב.

למה אי-אפשר לכתוב את זה?

אני גם לא הבנתי. ליאת, תסבירי.

כתבנו את זה בשפה של משפטנים.

יש גם משפטנים שלא הבינו פה.

צריך לחזור אחורה תקנה אחת. תקנה 17 אומרת שכשמיישמים תקנות מסוימות, נוצרים נתונים. ניקח לדוגמה את התקנה הראשונה שמופיעה שם, את 6(ב), למשל נתוני כניסה ויציאה של העובדים. נוצרים נתונים. הנתונים האלה, הנתונים האבטחתיים - - -

עדיף שתקראי לזה לוגים.

לא, זה לא רק לוגים. גם לוגים, לא רק. לדוגמה, יש כרטיס בכניסה לחדר, אז יש את הנתונים של כל מי שנכנסו באותו יום.

זה לוג.

זה גם לוג, מעולה. כל הנתונים שנוצרו אגב יישום התקנות שמנויות ב-17, תקנה 17 אומרת שצריך לשמור אותם באופן מאובטח למשך 24 חודשים. הסיבה היא כפולה – גם כדי להיות מסוגלים אחר-כך לתחקר ולבדוק בעיות, ליקויים, אירועים; וגם לפעמים כי לעצם הנתונים האלה יש רגישות אבטחתית. את אותם נתונים שאמרנו שצריך לשמור אותם ב-17, אנחנו אומרים תיצרו להם גיבוי. מכיוון שהם חשובים לנו מבחינה אבטחתית ותחקור, אנחנו רוצים שיהיה להם גיבוי. זה מה ש-18 אומר.

אין בכלל התלבטות לשמור את המידע, אבל יש התלבטות לשמור את הלוגים שמתעדים.

אני רוצה לשאול שתי שאלות לאור מה שחיה שאלה. איפה הגיבוי של המאגר כולו? שתיים - - -

כמו שעושים גיבוי למידע, צריך לדאוג לעשות גיבוי אודות המידע – מי ניגש למידע, מתי הוא ניגש למידע, איך הוא ניגש למידע. את זה בדרך כלל לא שומרים.

ולגבי הגיבוי של המאגר עצמו, נכון שהגדרת אבטחת המידע בחוק כוללת גם שמירת שלמות המידע. בתקנות האלה – בין השאר כי לא מצאנו לנכון לחייב משהו שלשוק יש אינטרס לעשות ממילא – לא התווינו דרך איך שומרים את המאגר עצמו. זו חובה שקיימת בחוק, ולארגונים יש אינטרס לעשות את זה מעצמם, השארנו את זה לעצמם.

התמקדנו בנושאים של האבטחה של המידע, וזה דבר שהוא לא טריוויאלי בגלל שלא בהכרח יישמרו אותם נתונים, אותם לוגים. חשוב לנו שהם יישמרו.

בובי, מה לא היה ברור לכם?

שהם יתייחסו ללוגים.

תראו מה יוצא מזה. יוצא מזה שאתם שמים את הדגש על הלוגים, ואומרים על המידע עצמו – שהוא הליבה של העניין – זה ברור לכל הדיוט. אז לא, בשביל זה אתם - - -

זה כתוב בחוק.

בשביל זה אתם הרגולטור, ואתם צריכים להגיד שכמו שאתם דורשים שאת הלוגים ישמרו בשני העתקים ל-24 חודשים, לפני כן, את המידע עצמו, בוודאי שצריך לשמור אותו בשני מקומות, ואולי יותר מ-24 חודשים.

זאת בחירה של מתקין התקנות לא להיות במקרה הזה פטרנליסטי איפה שלא צריך, ולהשאיר את זה לשוק עצמו מהסיבות שמניתי קודם – כי החובה קבועה במפורש בחוק וכי יש לארגונים אינטרס.

אנחנו מסודרים?

נגיד.

בהבנה כן, בהסכמה לא.

בהסכמה לא, אבל בסדר.

"חובות בעל מאגר חלות על מנהל מאגר ומחזיק בו –

19. (א) החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר, ולמעט החובות הקבועות בתקנות 2 ו-15(א) – הן יחולו גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין.

(ב) מי שמוטלת עליו בתקנות אלה חובה או אחריות לביצוע פעולה שאינה יצירת מסמך, נדרש לתעד באופן סביר את אופן ביצוע הפעולה לפי העניין; הרשם רשאי לתת הוראות לעניין אופן תיעוד כאמור".

יש פה שתי תקנות משנה שעוסקות בשני נושאים שונים. הראשונה אומרת את מה שהחוק אומר. חוק הגנת הפרטיות קובע את חובת אבטחת המידע על בעל מאגר מידע, על מחזיק ועל מנהל המאגר, וזה גם מה שאומרת התקנה. התקנות שהוחרגו מהמחזיק – תקנה 15(א) שהרגע דיברנו עליה, שחלה על הבעלים ביחס למחזיק. תקנה 2 כי מסמך הגדרות המאגר, אותו מסמך מכונן שדיברנו עליו בעבר – החשיבה בעל המאגר לגבי מה הוא עושה, איזה מידע הוא אוסף, לאיזה תכליות וכולי. בעל המאגר הוא זה שקובע את תכליות השימוש, ולכן זה לא רלוונטי למחזיק. תקנת משנה (ב) אומרת שכאשר יש כאן כל מיני חובות – יש חובות שסיומן הוא במסמך, אבל כאשר החובות האחרות סיומן הוא לא במסמך, אז צריך לתעד את ביצוע הפעולה, בין היתר, לצורך בקרה ופיקוח, וגם אם יש צורך להציג את זה לפני צד שלישי.

מישהו רוצה להתייחס? הלאה.

קודם הייתה בקשה – האם גברתי היושבת-ראש רוצה לדון עכשיו בתקנה 20, או לחכות לישיבה הבאה, ולישיבה הבאה הם יבואו עם מזכרים, או לפחות דיווח לוועדה.

לפחות שהדברים יבשילו, ואז כל השאלות שנשאלות פה יקבלו מענה ונחסוך את הזמן.

אני חושבת שאנחנו נתחיל, נקרא את התקנה, נשמע קצת.

יש עוד תוספות שהן מהות, ויכולות לסגור את החיבור לתקנות הקודמות.

יש לנו בדרך עוד כמה תקנות שצריך לעבור עליהן.

אם נדון גם בתוספות, זה ישלח אותנו חזרה גם להגדרות וגם לתקנות שכבר עברנו ולא מיצינו את כולן.

אתם רוצים שנדלג על סעיף 20, נעבור ל-21 ונחזור אליו?

אפשר להקדיש זמן לדיון אחד ב-20 - - -

בסוף נצטרך להגיע לזה, ונגיע לזה מבושל יותר.

אז נדלג על 20 ונעבור ל-21.

"תחולה וסייגים לתחולה –

21. בתקנות אלה -

(1) על מאגרי מידע שחלה עליהם רמת האבטחה הגבוהה - יחולו כל הוראות התקנות;

(2) על מאגרי מידע שחלה עליהם רמת האבטחה הבינונית - יחולו תקנות 1 עד 4, 5(א), (ד) ו-(ה), 6 עד 10, 11 עד 15, 16(א), (ב), (ג) ו-(ה), 17, 18(א), 19, 20, 22 ו-23;

(3) על מאגרים שחלה עליהם רמת האבטחה הבסיסית - יחולו תקנות 1 עד 3, 4(א), (ב), (ג), (ה) ו-(ו), 5(א), (ד) ו-(ה), 6(א), 7(א) ו-(ב), 8, 9(א) ו-(ג), 11(א) ו-(ב), 12 עד 15, 17, 19, 20, 22 ו-23;

(4) על מאגר המנוהל בידי יחיד - יחולו תקנות 11, 12, 6(א), 9(א), 11(א), 12 עד 14, 20 ו-22".

זו תקנה שבסך הכול עושה סדר. בגלל שהתקנות מורכבות – יש בהן הרבה הוראות ויש חלוקה לרמות אבטחה, אז יש תקנה אחת שמסדרת על כל רמת אבטחה מהן התקנות שחלות. אין כאן מהות מעבר לזה.

תחילה.

"תחילה –

22. (א) תחילתן של תקנות אלה, למעט כאמור בתקנות משנה (ב) עד (ד), 30 ימים מיום פרסומן.

(ב) תחילתן של תקנות 2, 3(1) עד (3), 10(א), 13(ב) ו-14 – 90 ימים מיום פרסומן.

(ג) תחילתן של תקנות 3(5), 5, 6(ב), 7(ב) ו-(ג), 10(ב) עד (ה), 11(א) עד (ד), 12, 13(ג), 15(א)(3), 17 ו-18 – שישה חודשים מיום פרסומן.

(ד) תחילתן של תקנות 4 ו-9(ב) – תשעה חודשים מיום פרסומן".

זה עלה כאן בדיונים גם אתך וגם בדיונים בוועדה, ואנחנו חושבים לפשט ולהציע תחולה אחת ומאוחדת.

יש גופים שיידרש להם זמן ארוך יותר, אולי כדאי לקחת תאריך אחד לכל התקנות, במקום להיכנס לרזולוציה של התקנות האלה ואלה. לקחת תאריך אחד.

אנחנו מסכימים אתך ואנחנו חושבים שאפשר.

אנחנו מוכנים לעשות את זה.

פרק זמן של תשעה חודשים, זה המקסימום שיש פה. אז פרק זמן של תשעה חודשים, אולי שנה, אבל פרק זמן אחד שכל התקנות יחולו.

אפשר אפילו להחליט על 12 חודשים כדי להיות קשובים לקולות שעלו כאן בנוגע לדרישות של היערכות השוק.

כן, גם בדיון הראשון הייתה כאן אמירה שנדרש זמן. אומנם טיוטת התקנות הזאת בשטח כבר שנים, אבל אנחנו קשובים, שמענו את ההערה הזאת כבר בדיון הראשון, ואנחנו מוכנים גם לעשות את ההאחדה וגם להרחיב ל-12 חודשים.

רציתי להתייחס. חלק מהסעיפים – כמובן שלא כולם, חלק אפשר ליישם בצורה מידית – אצלנו דורשים עבודה עצומה והשקעת משאבים גדולה מאוד. אני חושב ש-12 חודשים זה גבולי מאוד לגבי חלק קטן מהסעיפים. הייתי שמח אם היה אפשר להרחיב את זה מעט כדי - - -

על איזה סעיפים אתה מדבר?

הסעיפים שקשים לנו ליישום באופן ספציפי – סעיף 10 ו-13. אם על כל השאר יחולו 12 חודשים ועל 10 ו-13 ייתנו עוד קצת זמן, זה יקל עלינו מאוד.

הנחת העבודה הייתה שהגופים הגדולים הם כאלה שממילא, מאלף סיבות, מקיימים כבר את הסטנדרט. דווקא הגופים הגדולים לא אמורים להיערך, אלא לעשות התאמות. אני מופתע קצת מההערה.

לא הבנתי, תקנה 13? באיזה הקשר תקנה 13?

דווקא תקנה 13 היא מאוד - - -

מה נדרש להיערך?

אמרת 10, לא?

הוא אמר 10 ו-13.

13 באופן ספציפי זה 13(ג).

13(ג)? אתה יכול להסביר למה הכוונה? אין עדכונים של המערכות?

יש עדכונים של המערכות, אבל ברגע שמדובר בחברות גדולות, לחלק מהחברות – כמו "סלקום" – יש הרבה מאוד מאגרי מידע שלא כולם יושבים באותו מקום. נדרש לבצע עבודת מיפוי גדולה מאוד. לפני שאנחנו מבצעים עדכון של מערכת, אנחנו נדרשים לסט גדול מאוד של בדיקות כדי לוודא שהעדכון של המערכות לא יגרום לנזק אבטחתי או אחר, ולכן כשמדובר בסדרה גדולה מאוד של מערכות וצריך למפות את כולן ולראות שכולן אכן מעודכנות, נדרש פרק זמן ארוך יותר בשביל לבצע את הדברים בצורה תקינה וכזו שלא תיצור איזשהו נזק.

ניר, אבל אם אנחנו מדברים על תחילה בעוד שנה, אפשר אולי לעשות איזשהו מאמץ, כי 12 חודשים זה מכובד, זה יפה. בסדר?

אנחנו גם יצאנו מתוך הנחה, בהתייעצויות שלפני, שחלק גדול מאוד ממה שמפורט בתקנות האלה כבר היום קיים אצל רוב הגורמים, ומה שלא, לא נדרש לו יותר מכמה חודשים. לכן גם היה הפירוט המודולרי הזה, שאנחנו מבינים מההערות שזה יעשה סדר אם יתחילו במועד אחד, ולכן אמרנו את מה שאמרנו. תשעה חודשים זה היה הזמן שקיבלנו מהמומחים שלנו לכל דבר, גם אם יש דברים שאפילו לא קיימים, לא קיימים וצריך לעשות להם התאמות.

דברים כאלה – סביר ומידתי.

חוה, זה השלב שאת צריכה להגיד חבר'ה, בתוך חודש אתם מתחילים.

אני יודעת שמבחינה רגולטיבית, אם אתה מתחיל לתקן, זה כבר נחשב. אנחנו רוצים שאנשים יסיימו, אבל התחלתם - - -

זה אפרופו התייעצויות עם עורכי דין. את זה תשאירי לייעוץ המשפטי. הדיון בהוראת המעבר מתייתר, כי גם שם התקופה הארוכה ביותר היא שנה ואנחנו מכסים את זה עם התחילה המאוחרת.

לגבי הוראת המעבר, רציתי לשאול לגבי מצבים של מיקור חוץ. ככל שיש חוזים קיימים לתקופה ארוכה, האם אין צורך לקבוע הוראת מעבר? נניח שבעל מאגר חתם על חוזה לתקופה של חמש שנים, אז גם אם התחילה תהיה בעוד שנה, מה תהיה המשמעות של זה מבחינת החוזה שהוא כבר חתם עליו, ועכשיו זה משנה לו – אם זה יחול על חוזים קיימים, לכאורה, זה ידרוש מהם לפתוח את החוזים.

אני לא חושבת שזה ידרוש לפתוח את החוזים. אני לא חושבת שזה שונה מכל מצב אחר ששינוי בדין משפיע על עשרות נסיבות, ביניהן התקשרויות משפטיות. יכול להיות שיצטרכו לרענן את ההסכם. מי שמתעסק עם הרבה ספקים יצטרך למפות את המאגרים שלו ולראות איפה הוא צריך לעשות שינוי ולהכניס אותו, ויכול להיות שיהיה דין ודברים עסקי מי נושא בעלויות האלה כשאנחנו מדברים על הסכם קיים. השאיפה שלנו היא שהתקנות האלה יעלו את הסטנדרט בכל השוק, ואותם ספקים שממילא עכשיו ימצאו את עצמם צריכים לתקן לבקשת הלקוחות שלהם את ההסכמים, יציגו את הסטנדרט הזה כדי להראות שהם ספקים שעומדים בתקנות אבטחת המידע.

ההנחה שלנו היא שאיפה שזה לא מתאים, הספק ייתן הודעה ללקוחות: עשיתי התאמות ועכשיו זה מתאים. זאת הנחת העבודה שלנו. במידה שזה לא ייעשה, הלקוח יצטרך לבחור אם הוא פותח את ההסכם ומבקש להכניס תיקון, או מתקשר עם ספק אחר ואומר לו אתה לא עומד בסטנדרט, אני לא יכול להתקשר אתך.

מה זאת אומרת? הוא כבר התקשר אתו. הוא צריך להפר את החוזה?

כן, אבל בכל התקשרות כזו כתוב שאתה עומד בדרישות, אתה בהתאם לדין, ואתה עומד בסטנדרט המקובל. אלו דברים שכתובים, אז אם הוא לא עומד יותר, בדרך כלל זו תהיה הפרה של ההסכם בעצם ההתנהלות שלו. אנחנו מעריכים, מהיכרות עם השוק הזה, שיקרה בדיוק ההפך מזה. כלומר, בעניין הזה גורמים שמספקים את השירותים יעשו את ההתאמות שלהם הרבה יותר מהר מאשר הלקוחות יבקשו מהם לעשות את ההתאמות. זאת הנחת העבודה.

נקווה שכך יהיה.

וזה די הרבה זמן. שנה זה לא מעט זמן לעשות הרבה דברים, בוודאי כשמה שהוא עושה, כלומר, שזה מה שהספק עושה. שנה זה לא מעט זמן.

"ביטול –

24. תקנות 2, 3, 9, 10, 12, 13, 14 ו-15 לתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ״ו- 1986 – בטלות".

ממתי הן בטלות?

מהתחילה של התקנות הללו. אלו תקנות שעניין אבטחת מידע. אלה התקנות הקיימות.

"יחס לחיקוקים אחרים –

25. תקנות אלה יחולו נוסף על הוראות בעניין אבטחת מידע בחיקוקים אחרים, זולת אם יש סתירה ביניהם".

זו תקנה שמדברת על היחס - - -

זה יחסים של הרגולטורים ושל - - -

לא, לא, זה לא היחסים של הרגולטורים, זה היחס לחיקוקים אחרים. לפעמים יש הוראות מסוימות בתוך חוק או תקנות שעניינם אבטחת מידע. התקנה הזאת מבהירה שהתקנות הכלליות חלות בנוסף, אלא אם כן יש סתירה, ואז התקנות הפרטניות יגברו.

יש למישהו הערות על הסעיף?

שאלה, גברתי היושב-ראש, איך בדיוק לקרוא את זה עכשיו? בעצם, מה שאנחנו קוראים עכשיו, את התוספת הראשונה והשנייה, הן קשורות גם להגדרה של בעל מאגר יחיד בתקנה הראשונה, שדילגנו עליה כי הכול שלוב אחד בשני. האם את רוצה שנקרא עכשיו את התוספות?

לא בדיוק. כלומר, הן מגדירות שתי רמות של - - -

נכון, אבל בעיני יש להסתכל כמכלול על הדרגות השונות.

מה האפשרויות?

אולי נקרא את זה עכשיו ואחרי זה נחזור – כדי לראות את היחס בין שלוש הרמות הגבוהות, בין הבסיסי לבינוני ובין הבינוני לגבוה. אחרי זה נצטרך לחזור לתקנה הראשונה ולראות את היחס שבין היחיד לבסיסי.

טוב.

"תוספת ראשונה –

1 . מאגרי מידע שחלה עליהם רמת האבטחה הבינונית -

(1) מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר;

(2) מאגר מידע שבעליו הוא גוף ציבורי כמשמעותו בסעיף 23 לחוק, אף אם לא התקיימו בו הוראות פסקה (1) או (3);

(3) מאגר מידע הכולל מידע שהוא אחד מאלה:

(א) מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד;

(ב) מידע רפואי או מידע על מצבו הנפשי של אדם;

(ג) מידע גנטי כהגדרתו בחוק מידע גנטי, התשס״א-2000;

(ד) מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם;

(ה) מידע על אודות עברו הפלילי של אדם;

(ו) נתוני תקשורת כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה - נתוני תקשורת), התשס״ח-2007;

(ז) מידע ביומטרי;

(ח) מידע על נכסיו של אדם, התחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכלית ומידת עמידתו בהם;

(ט) הרגלי צריכה של אדם שיש בהם כדי ללמד על מידע לפי פרטים (א) עד (ז) או על אישיותו של אדם, אמונתו או דעותיו".

"2. על אף האמור בפרט 1(3), על מאגר מידע המקיים אחד מאלה, לא חלה רמת האבטחה הבינונית אלא רמת האבטחה הבסיסית:

(1) המאגר כולל מידע מן הסוגים המפורטים בפרט 1(3)(ב), (ה), (ו), (ז) לעניין תמונות פנים בלבד ו-(ח), אודות המועסקים או הספקים של בעל מאגר המידע, ובלבד שהמידע משמש למטרות ניהול העסק בלבד, ואינו כולל מידע מן הסוגים המפורטים בפרט1(3)(א), (ג), (ד) ו-(ז) לעניין מידע שאינו תמונות פנים;

(2) מספר בעלי ההרשאה אצל בעל המאגר אינו עולה על עשרה".

"תוספת שנייה –

מאגרי מידע שחלה עליהם רמת האבטחה הגבוהה -

(1) מאגר מידע כאמור בפרט 1(1) או (3) בתוספת הראשונה, לרבות מאגר של גוף ציבורי כמשמעותו בסעיף 23(1) לחוק המקיים את האמור בפרטים (1) או (3), שיש בו מידע על אודות 100,000 אנשים ומעלה;

(2) מאגר מידע כאמור בפרט 1(1) או (3) בתוספת הראשונה, לרבות מאגר של גוף ציבורי כמשמעותו בסעיף 23(1) לחוק המקיים את האמור בפרטים (1) או (3), שמספר בעלי ההרשאה בו עולה על 100".

בדיון הראשון העקרוני הסברנו שניסינו לבנות את התקנות מודולריות לפי רמות אבטחה שונות. הסיכון למידע, ככל שהוא גובר, גם הדרישות מאותם בעלי מאגרים הם בהתאם. אם נפשט את זה, הפרמטרים מבוססים בעיקר על היקף נושאי המידע במאגר, מידת רגישות המידע והיקף בעלי ההרשאה. זה ברמת הפשטה נמוכה. אם ניכנס לבחון את מה שכתוב כאן, לגבי מאגר שבעליו הוא גוף ציבורי, אנחנו החמרנו, את זה אני רוצה להדגיש בהמשך לאיזושהי הערה שקיבלנו והבנו שיש כאן אי-הבנה. החמרנו במובן זה שגוף ציבורי יהיה לפחות ברמת אבטחה בינונית. אם יש ארבע רמות אבטחה, אנחנו כרגע מתמקדים בבינונית ובגבוהה, ואחר-כך, כמו שאמרת, נדבר על השאר. יש את היחיד, את הבסיסית, בינונית וגבוהה. כרגע אנחנו מדברים על הבינונית והגבוהה. מאגר מידע של גוף ציבורי יהיה לכל הפחות ברמת אבטחה בינונית, גם אם הוא לא - - -

עצם העובדה שהוא גוף ציבורי מקפיץ אותו.

כן. אחרת הוא לא היה נכנס. כמובן שהוא יכול להיות גם בגבוהה. כאשר מדובר בסוחרי מידע, זאת אומרת, שהעיסוק של בעל העסק הוא לאסוף מידע כדי למסור אותו לאחר – סוחרי מידע זה כמובן משהו רגיש – גם הוא נמצא בבינונית לפחות.

ולא משנה מה. עצם המהות של הסחר במידע.

של הסחר במידע והסיכונים שנוצרים מזה. השלישי זה סוגי מידע שונים שיש בהם רגישות מיוחדת. מה שהיה כתוב קודם כמידע כלכלי בעקבות ההערות והעבודה מול הלשכה המשפטית, אנחנו הסברנו את זה. בדרך של הפירוט הזה הוצאנו דברים שהם לא באמת רגישים ואולי יכולים להיות מובנים כמידע כלכלי. כרגע הבהרנו שזה מידע שבלשון העם הוא כלכלי, זאת אומרת, של נכסים, חובות, התחייבויות וכולי; או מידע אחר, כדוגמת הרגלי צריכה שמלמד מי אני. למשל פירוט כרטיס האשראי שלי יכול ללמד מה האמונה הדתית שלי, מה הנטייה המינית שלי, מה מצבי האישי וכולי. מיעטנו מתוך מאגרי המידע שנכנסים לרמה הבינונית בגלל רגישות - - -

סליחה. מספיק שאחד הרכיבים של סעיף קטן (3) יחולו במאגר – אחד מהם יספיק – כדי להעלות אותו למאגר עם רמת אבטחה בינונית.

כן. אם יש בו מידע שהוא מידע רגיש, אז הוא בבינונית, למרות - - -

אם יש למשל לאיזושהי מפלגה קובץ של שמות החברים שלה, זהו, ובאופן טבעי, יש פה מידע אודות דעותיו הפוליטיות של האדם הזה, כי הוא חבר באותה מפלגה – יש רק את השם, כבר זה הופך - - -

זה לא רק השם, זה גם האפיון שהוא חבר המפלגה.

זה לא רק השם, זה בעצם זה שאלו הדעות הפוליטיות שלו, כן.

גם יש מעל 100,000. יש מעל 100,000, זה ישר נכנס ל - - -

האפיון של המאגר הוא זה ש - - -

זה חל גם על מפלגה קטנה.

אני מכירה מפלגה אחת, שאני במקרה נמנית עליה, שלא מגיעה עדיין ל-100,000. היא תגיע. הייתה פעם.

לא כל האנשים הולכים ברחוב ואומרים אני חבר מפלגה או מזוהה, ויש אנשים שרוצים לעשות את זה בדרך אחרת, זה מידע עם רגישות.

כן, דעות פוליטיות זה דבר בעל רגישות, והאפיון של המאגר הוא אפיון של הדעות הפוליטיות. זה כמו שיכול להיות שבמאגר יהיו רק שמות של נשאי איידס, אבל זה שזה האפיון שלו, זה המידע הנוסף. אבל יש כוכבית על מה שאמרנו כי כן מיעטנו. בשני מקרים הורדנו לעשרה - - -

אני רוצה להבין. התפיסה הפוליטית שלך היא אולי סוד, אבל לבית כנסת מסוים יש מאגר של החברים בקהילה. יש את השמות של המשפחה שם, אז בין היתר, זה גם לגבי האמונה הדתית של אותו אדם. זה הופך את זה מיד למאגר ברמת אבטחה - - -

קודם כל, לא בטוח שזה יהיה בכלל מאגר מידע.

אבל לכל קהילה, לכל בית כנסת יש נתונים של החברים.

השאלה לכמה יש הרשאות. יכול להיות שהם יכנסו לחריג של – בית כנסת כנראה לא יהיה פה. אם תרשי לי לפרט את הכוכבית הזאת, הורדנו חזרה לרמת האבטחה הבסיסית בשני מקרים. מקרה אחד, שהוא בטח יהיה רלוונטי למקרה שתיארת עכשיו, שמספר בעלי ההרשאה של בעל המאגר אינו עולה על עשרה.

אם בדוגמה שאת נתת תהיה רק לגבאי או לעוזר שלו תהיה גישה, אז הוא לא ייכלל ברמה הבינונית אלא ברמה הבסיסית.

זה מצחיק, כי הדוגמה של בית כנסת עלתה בדיונים הפנימיים שלנו.

החריג השני שמוריד חזרה לרמת האבטחה הבסיסית – הסתכלנו על סוגי מידעים שנמצאים באופן טריוויאלי בעסקים לגבי העובדים או לגבי הספקים, ומיעטנו אותם ככל שהם לא רגישים מאוד. לדוגמה, יש הרבה פעמים מידע על עבר פלילי של עובדים שלך, לא על צדדים שלישיים, תמונות פנים של העובדים וכולי.

אישורי מחלה.

כן, אישורי מחלה. את זה מיעטנו. כשזה על המועסקים או הספקים וזה משמש למטרות ניהול העסק בלבד, מיעטנו את זה, ואז זה חוזר חזרה לרמת האבטחה הבסיסית. אשר לרמת האבטחה הגבוהה, אם דיברנו קודם על הפרמטרים של רגישות, היקף נושא מידע והיקף בעלי ההרשאה, כאשר היקף נושאי המידע הוא גבוה, 100,000 אנשים ומעלה, זה מקפיץ לרמה הגבוהה, ובאותה מידה, כאשר מספר בעלי ההרשאה עולה על 100.

זאת אומרת שגם אם ניקח את אותה מפלגה, שיש לה את המאגר עם החברים בה, מספיק שמספר בעלי ההרשאה לא יעלה על עשרה כדי שהיא תרד לרמת אבטחה בסיסית?

כן. באופן ספציפי, לגבי מפלגות אני לא בטוחה. יכול להיות שיש גם הסדרה פרטנית. אני זוכרת שיש הסדרה פרטנית לגבי מסירת מידע, אבל אני צריכה לבדוק את זה. יכול להיות שיש דין פרטני לגבי הנושא הזה, אבל בהקשר של התקנות שלפנינו, כן, זאת המשמעות. אלו שתי הרמות הגבוהות.

באותה מידה, אם אני פסיכיאטר שיש לו מידע רפואי על מצבו הנפשי של האדם, מספיק שבעלי הרשאה שיכולים לגשת למידע לא יעלו על עשרה כדי להוריד אותו מרמת אבטחה בינונית לרמת אבטחה בסיסית?

כן.

שיש לו מידע סופר רגיש.

כן, המידע רגיש. הרעיון מאחורי הוא זה שלצד הרגישות, למספר מורשי הגישה יש השלכה משמעותית על אבטחה. זאת אומרת, ארגון קטן מאוד – הרי אנחנו לא פוטרים אותו, גם הרמה הבסיסית היא רמה שיש בה הרבה הוראות. אבל עצם מספר מורשי הגישה מייצרים סיכון, כשמדובר בפסיכיאטר הבודד והמזכירה שלו, שלא נמצא.

ניר, עשינו את זה עם מאגר יחיד. לקחנו אז את אנשי המקצועות החופשיים – מהקוסמטיקאית, עד רואה החשבון. פה אתם אומרים המידע פה הוא כל כך רגיש, מידע על מצב נפשי של אדם הוא מידע רגיש מאוד, שלא לדבר על דברים אחרים שהם צנעת חייו האישיים של אדם. בעצם אתם מורידים אותם חזרה לרמת אבטחה אחרת רק בגלל - - -

אבל הסדרת האבטחה הזאת באה לידי ביטוי בעיקר בביקורות, בדיונים של ההנהלה. או שהתיק כבר מעל עשרה מורשים ותחזרי לבינונית ומעלה, או שהאבטחה, המיפוי, ואמצעי הבקרה – הדברים האלה מתקיימים ברמה הבסיסית. את לא באמת פוגעת פגיעה אמתית באבטחת המידע, אלא יותר בנהלי העבודה.

הקפיצה המרכזית ברמת החובות בין היחיד לבסיסי.

למען האמת, כשהפסיכולוג היה היחיד לגמרי, זאת אומרת כאשר רק הוא ניגש למידע, מלכתחילה, בנוסח הקודם זה בכלל היה יחיד, שאז זו תחולה מצומצמת מאוד. נשמעה כאן הערה בדיון הראשון, אם אני לא טועה, על-ידי עורך דין קלינגר, בעניין הזה, ואנחנו חושבים שהיא נכונה ומוצדקת, ושינינו בהתאם. עוד קודם חשבנו שזה ביחיד. האמת היא בדיוקים, בדקדוקים, קשה לי להגיד לך שיש איזו אמת אחת. אנחנו כן עומדים מאחורי זה שאלו הפרמטרים בגדול – היקף נושאי המידע, מידת רגישות המידע והיקף המורשים בהקשר של אבטחת המידע. להגיד לך אם דווקא עשרה ולא שמונה – מתישהו צריך לשים איזשהו קו, אני לא יכולה לקדש דווקא - - -

פה נכנסת תקנה 20, שמאפשרת לא רק להחריג מאגרים, כמו שעולה פה בשולחן כל הזמן, אלא גם לקבוע שמאגר מסוים, למרות שחלה עליו רמת אבטחה מסוימת, צריך לקפוץ ברמת האבטחה בדיוק באותם מקרים.

או לרדת. לשני הצדדים.

או לרדת. צריך לקבוע איזשהו קו, ונתנו אפשרות בתקנות לתת מענה למקרים הפרטניים.

רצינו להוסיף.

אנחנו נחזור להגדרת יחיד, אמרנו שנקרא את זה עכשיו.

אפשר שני משפטים? אני קצת תקליט שבור, אבל אני חושב שאנחנו מדברים פה על רף מינימום. כשמישהו מנהל מידע רגיש מאוד, אני מניח שהוא ילך לעורך דין חי או למישהו אחר, ישאל אותו מה אתה אומר? הוא כנראה ימליץ לו לתת קצת יותר מהמינימום הנדרש, או לתת כל מיני אמצעים נוספים, כי הוא מנהל מידע רגיש מאוד, גם אם הוא לא חייב לפי התקנות לעשות את זה. כי יש עוד שיקולים ויש עוד אינטרסים. אנחנו מנסים לתת הגדרה מספיק רחבה כדי שלא נטיל איזה עומס בלתי נסבל על הציבור שלא רוצים להטיל עליו את העומס הזה. זה מכניס לפינות ומקומות שבהם הם שמחים אולי להתקין תקנה ספציפית, אבל אי-אפשר להתקין תקנה ספציפית לכל מקצוע ולכל סוג מידע. לכן זה אמור לתת מענה במובן הזה שאתה אומר לציבור זה המינימום, כשאתה מנהל מידע רגיש, אתה יכול לעשות יותר מהמינימום, ואולי גם כדאי שתעשה יותר מהמינימום.

אלו הבינונית והגבוהה. הבסיסית זה כל מה שהוא לא בינונית, גבוהה או יחיד, ועכשיו נשאר לדבר על היחיד.

אנחנו חוזרים לתקנה 1, להגדרה של מאגר המנוהל בידי יחיד.

"״מאגר המנוהל בידי יחיד״ - מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ואשר רק היחיד ולכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש ובאפשרותם לעשות בו שימוש, ולמעט מאגרי מידע כמפורט להלן:

(1) מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר;

(2) מאגר מידע שיש בו מידע על אודות 10,000 אנשים ומעלה;

(3) מאגר מידע הכולל מידע שבעל המאגר כפוף בשלו לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית".

אם כך, אנחנו קראנו בישיבה הראשונה הגדרה שהייתה שונה. אנחנו עשינו שינויים בעקבות הערות שעלו כאן. השינוי שעשינו עוד לפני הדיון הראשון מהנוסח שהוגש על-ידי השרה היה לכלול גם תאגיד בבעלות יחיד, זאת הייתה הרחבה אחת. זאת אומרת, שמענו כאן קולות שאמרו שצריך להקל על הנטל ככל שמדובר באותם קטנים מאוד. לכל אחד יש את הדוגמה שלו, הקוסמטיקאית – כל אחד והדוגמה שקרובה ללבו, ושצריך להקל על הנטל. שמענו את זה, ועשינו מעבר להרחבה הזאת הרחבה נוספת, שזה יחיד פלוס 2. זה משמעותי כי היקף החובות שחלות על מאגר כזה הוא בסיסי מאוד, אנחנו ערים לזה וניסינו ליצור איזון למול הנטלים – גם הנטלים בעלויות כספיות וגם הנטלים האחרים. מה שכן, מיעטנו מזה שלושה סוגים של מאגרים – אותם סוחרי מידע שדיברנו עליהם קודם; מאגר מידע גדול של 10,000 אנשים ומעלה. אנחנו חושבים שההיקף של נושאי המידע הוא כזה שלא ניתן להסתפק בדרישות של רמת האבטחה הזאת. ומה שאמרת קודם, גברתי היושבת-ראש, בהקשר של פסיכולוג, בעל מקצוע שיש לו חובת סודיות מקצועית. זאת גם ההערה שנשמעה בדיון הראשון, אנחנו חושבים שהיא מוצדקת. בהקשרים האלה, כאשר יש חובת סודיות פרטנית מקצועית, במקרים שבהם המחוקק ראה רגישות מיוחדת, אנחנו לא חושבים שניתן להסתפק בחובות בהיקף כזה.

אני רוצה לחזור למה שאת אמרת קודם, שאנחנו לא מדברים על מתמטיקה, ששמונה יכול היה להיות עשר, ופה אנחנו מדברים על שלושה, וזה יכול היה להיות אולי ארבעה או חמישה. אבל אני חושבת שכשמדברים על מאגר יחיד, מכיוון שאין היום כמעט עסקים, גם לא באיזושהי מכולת, אם יש עוד דבר כזה בכלל – אני לא רוצה לחזור עוד פעם על עניין הקוסמטיקאית. אתה בא למאגר, ויש לך את המזכיר או את המזכירה, ועוד מישהו שעובד שם, ולרוב תמיד גם עוד אחד, ואתה עדיין נשאר בעל מאגר היחיד. ופה אני חושבת שהעברתם את קו הגבול כשהעברתם אותו על שלושה במקום נמוך מדי. אני חושבת שאתם כן צריכים להעלות את הרף ליותר.

לאיזה כיוון?

יותר בעלי הרשאה. יותר. שלושה זה כלום.

את יכולה להסביר את הדוגמה? שלכולם יש הרשאה למאגר המידע.

כן, כן, לכולם. כי זה מאגר קטן, כי זו מכולת, כי אנשים באים ורק רוכשים שם, זה לא מגיע ל-100,000, זה לא מידע רגיש. גם לי, גם לאשתי, גם לבן שלי שעובד, שלושתנו, וגם לא יודעת למי.

במכולת יש אולי הרבה עובדים, לסדרנים של המדפים לצורך הדוגמה אין הרשאה - - -

אני לא מדברת על סופר, אני מדברת על מכולת. אתם יודעים מה, הקוסמטיקאית. לא יודעת מה. מינימרקט משפחתי.

אין הרשאה. לכן ההדגשה פה היא על הרשאה. סופרים רק את מי שיש לו פוטנציה - - -

אבל בכל עסק משפחתי שיש הורים ושניים-שלושה ילדים שמנהלים את העסק, או שני ילדים ומזכירה, אתה כבר עולה על הרף הזה של השלושה. יש לי עסק לממכר מנורות, ואנחנו עסק משפחתי קטן.

אבל איזה מידע אישי?

איזה מידע יהיה לך? זוהי השאלה - - -

הלקוחות, הכתובות שלהם, הטלפונים שלהם.

פרטי כרטיסי האשראי.

איך נשמרים פרטי כרטיס האשראי?

כתובת. כתובת.

כתובת מופיעה גם בספר הטלפונים.

לא משנה, אבל זה נכנס להגדרה, זה לא משנה. החוק חל עליהם.

כתובת – יש חריג בחוק לגבי מה זה מאגר, זה רק פרטי התקשרות.

זה רק אם זה לא יוצר אפיון.

אבל אז השאלה אם תעשי את החישובים האלה ולא תהיה גישה לכולם.

לצמצם את הגישה רק לאשתו ולבן, לא למזכירה.

אפיון על זה שהלכת לטיפולים שאולי הם רגישים.

הרעיון הוא לגרום לעסקים כאלה לצמצם את מורשי הגישה. אני חושב שזה רעיון טוב, כי הבעיה בדליפת מידע היא מהאנשים שעובדים בארגון.

אנחנו מדברים על העסקים המשפחתיים או העסקים הקטנים מאוד.

אז אם יש לה שני בנים, רק אחד יהיה מורשה גישה.

לחלק של המידע האישי, לחלק של הלקוחות, לא צריך שתהיה גישה לכולם. אז שתהיה לכולם גישה לספקים ויוכלו להזמין חלב כשחסר. לא כולם צריכים, אם הם שומרים מידע על לקוחות, שתהיה גישה לכולם. וכן, הם יעשו חשיבה, גם אותם עסקים קטנים, במיוחד, כי הם פטורים מכל כך הרבה חובות לפי התקנות האלה. הם יצמצמו את הגישה.

בדוגמה הספציפית של העסק לממכר מנורות, אם כל מה שיש שם זה שם, מען ודרכי התקשרות, זה בכלל לא ייחשב לפי החוק כמאגר מידע.

ואם זה בית מרקחת שהוא עסק משפחתי ויש שם - - -

בבית מרקחת יש מידע רגיש מאוד.

נכון, אבל עדיין, זה עסק קטן ומשפחתי, ויש לך ארבעה מורשי גישה. זה עדיין לא מצדיק את - - -

לא מצדיק? בית מרקחת זו דוגמה מובהקת למה זה מצדיק.

להיפך, הדוגמה המתאימה היא בית מרקחת של רוקח אחד שרק לו יש גישה, והנה, אנחנו רואים שהוא נופל לתוך הפטור הזה, למרות שהוא מחזיק מידע כל כך רגיש.

לכל דוגמה ניתן לתת את דוגמת הנגד שבה היית אומרת זה רגיש מאוד.

סליחה, אנחנו אמורים לסיים, אני רוצה גם להודיע על מועד הישיבה הבאה. השאלה אם נעלה את זה לחמישה או ארבעה, אם זה יהיה משהו שהוא מהותי מאוד. הרי אם יש מידע רגיש, אנחנו כבר נכנסים למקומות אחרים.

אנחנו לא נכנסים.

אנחנו לא נהיה יחיד, אנחנו נהיה בסיסי.

אם יש חובת סודיות מקצועית.

לא, אנחנו לא ניכנס לבסיסית. לא. רק אם יש חובת סודיות מקצועית אנחנו נצא מכאן.

את מכוונת לכך שאם אין מידע רגיש, אפשר להיות גמישים יותר.

הבעיה היא שעל כל דוגמה שניתן לתת – בוודאי שיכולה להיות דוגמה שזה לא מתאים, אבל על כל דוגמה ניתן לתת את הדוגמה ההפוכה, והנה, הרגע נשמעה כאן דוגמה של בית מרקחת, ולדעתי זו דוגמה חזקה למקרה שבוודאי זה לא מספיק. וצריך לזכור שגם יש את האפשרות לקבוע - - -

אנחנו חייבים לסיים מכיוון שיש לנו יכולת לדון רק עד השעה 16:00 והמליאה מתחילה. קודם כל, תודה רבה לכולם. אנחנו נתחיל בישיבה הבאה מתקנה 20, אז בבקשה תיפגשו לפני כן, מי שרוצה, כדי שנוכל לבוא עם כמה שיותר דברים מצומצמים. הישיבה הבאה תתקיים ביום שלישי 21.3 בשעה 12:30. אנחנו נסיים אז את הדיון. תודה הישיבה נעולה.

הישיבה ננעלה בשעה 16:05.