פרוטוקולים/ועדת מדע/3741



הוועדה לענייני מחקר ופיתוח מדעי
2
וטכנולוגי – 30.8.2001


הכנסת החמש עשרה נוסח לא תוקן
מושב שלישי

פרוטוקול מס' 67
מישיבת הוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי
שהתקיימה ביום ה', י"א באלול התשס"א, 30.8.2001, בשעה 10:00



ס ד ר ה י ו ם

תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"א-2001

חברי הוועדה: מ"מ היו"ר מיכאל איתן

עו"ד טנה שפניץ - משנה ליועץ המשפטי לממשלה, משרד
המשפטים
עו"ד ליהי פלדמן - עוזרת למשנה ליועץ המשפטי לממשלה,
משרד המשפטים
עו"ד עמית אשכנזי - משרד המשפטים
לימור ברוכין - משרד המשפטים
אהוד נסימיאן - משרד המשפטים
שרית עוגן-צדקה - משרד המשפטים
יריב שי שישינסקי - משרד המשפטים
עו"ד עדנה הראל - יועצת משפטית, משרד המדע
בועז דולב - מנהל פרוייקט תהיל"ה (שירוי אינטרנט
מאובטחים למשרדי הממשלה, משרד
האוצר
עופר ישי - אגף החשב הכללי, משרד האוצר
עו"ד רם רביב - הלשכה המשפטית, משרד הביטחון
מאיר וולצוביץ - סגן למערכות כלכליות, משרד הביטחון
גד גילאון - ראש אגף מחשוב ומערכות מידע,
שירותי בריאות כללית
עו"ד ויויאן גרודברג - הלשכה המשפטית, שירותי בריאות
כללית
נסים אליאסף - מנהל יחידת המיכון, מינהל האוכלוסין,
משרד הפנים
רפ"ק משה אבו - מפקח ואיש תשתיות, המשרד לביטחון
פנים
רפ"ק אבי פרנקל - עוזר ליועץ המשפטי, המשרד לביטחון
פנים
עו"ד ורדה לוסטהויז - הלשכה המשפטית, בנק ישראל
דניאל מאיר - הפיקוח על הבנקים, בנק ישראל
עו"ד אבישי פדהצור - הנהלת בתי המשפט
דוד גוטמן - ראש ענף תוכנה, מכון התקנים
עופר עגור - רכז תקינה בנושאי אבטחת מידע, מכון
התקנים
יהושע פרייס - אחראי על תקן אבטחת מידע, מכון
התקנים
דוד סומר - מנהל שיווק ותוכנה, מכון התקנים
עו"ד פרלי שר - הלשכה המשפטית, רשות הדואר
נתן הרשקוביץ - מנהל מחלקת מערכות מידע, הרשות
לניירות ערך
עו"ד אמיר שרף - סגן מנהל המחלקה המשפטית, הרשות
לניירות ערך
עו"ד מרדכי ימין - הלשכה המשפטית, הרשות לניירות ערך
עו"ד עדי קידנר - לשכת עורכי-הדין
דורון שקמוני - נשיא איגוד האינטרנט הישראלי
אסתר סקורניק - הנהלת איגוד האינטרנט הישראלי
רוני בס - הנהלת איגוד האינטרנט הישראלי
רוני גרוס - לשכת מנתחי מערכות מידע בישראל
זאב שטח - מנכ"ל חברת "קומדע"
עו"ד זאב מאי - מייצג את חברת "קומדע"
אבי נגר - מנכ"ל חברת "סקיורינט"
יורם הכהן - סמנכ"ל חברת "סקיורינט"
יוסי אבני - מנהל טכנולוגי, חברת ANC
אלי חמון - מנהל אדמיניסטרטיבי, חברת ANC
יוסי גוטליב - סמנכ"ל טכנולוגיות, חברת "אקספרט"
רון כהן - מנהל מוצרי אבטחת מידע, "אקספרט"
יצחק לבטון - נשיא חברת "אנקוטון"
פרופ' מיכאל בן-אור - מדור פיתוח, חברת "אנקוטון"
אילן יפה - סמנכ"ל אסטרטגיה ופיתוח עסקי,
חברת "אנקוטון"
דניאל רפ - חברת "אנקוטון"
ד"ר אלי טלמור - מנכ"ל חברת "סנטריקום"
יוסף חי אנג'ל - סמנכ"ל פיתוח עסקים, "סנטריקום"
יוסי דן - מנהל חברת "קרט"
דוד קרט - חברת "קרט"
נסים בראל - יועץ ביטחון, איגוד הבנקים בישראל
עו"ד צבי אילן - בנק לאומי, איגוד הבנקים בישראל
עו"ד שלמה כץ - בנק המזרחי, איגוד הבנקים בישראל
אבי שוורץ - בנק לאומי, איגוד הבנקים בישראל
שי זנדני - בנק לאומי, איגוד הבנקים בישראל

מירב ישראלי

ענת לוי

חבר המתרגמים בע"מ


תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"א-200

אני מתכבד לפתוח את ישיבת הוועדה לענייני
מחקר ופיתוח מדעי וטכנולוגי. התכנסנו כאן על-מנת להביא לאישור את התקנות הנוגעות לחוק החתימה האלקטרונית. תהיה לנו עוד ישיבה אחת של ועדת החוקה שתתקיים ב4- בספטמבר, אז אני מקווה שנשלים את העבודה מבחינת החקיקה וחקיקת המשנה, כך שהחוק יוכל לצאת לדרך ב4- באוקטובר, אז הוא אמור להיכנס לתוקף. כמובן שעוד יידרשו צעדים שונים על-מנת שהחוק יוכל להיות מבוצע במלוא היקפו, כמו למשל מינויים.

הכל בתהליך.

ב5- באוקטובר אני אוכל להגיש אותו.

להגיש, בוודאי.

השאלה מתי אני אקבל את התשובה. זה יהיה
הנוהל הרגיל? אם זה המצב וב4- באוקטובר אנחנו מקבלים הערכה אופטימית אפשר יהיה להגיש בקשות וזה לא ייקח יותר מכמה חודשים לבקשה הראשונה, כך שאחרי חודשיים נקבל תשובה, בעצם המועד עליו אנחנו צריכים להסתכל הוא המועד שבו נקבל את האישור הראשון.

אין לנו היום הרבה עבודה. גם משרד המשפטים וגם אני קיבלנו כמה פניות בהקשר לשאלה שבה התחבטנו בפעם הקודמת כאשר אחת מהן היה שימוש במה שמכונה ECD SA. ההחלטה כפי שהתגבשה באיזשהו דיון טלפוני מוקדם ביני לבין עורכת-הדין ליהי פלדמן שאנחנו נאשר את האפשרות של התקן הזה כאלגוריתם שיאפשר לנו לומר על החתימה הדיגיטלית שנעשתה על-פיו כחתימה אלקטרונית מאובטחת והדבר הזה נעשה על-בסיס השיקול הבא כאשר ההחלטה התקבלה לאור איזשהו קו שאני מבקש להציג אותו ולהסביר אותו, ואם מישהו יתנגד או חושב שההחלטה היא לא נכונה, אני אשמח לשמוע אותו לאחר מכן.

כפי שהבנתי, ותקנו אותי אם אני טועה, בארצות-הברית האלגוריתם הזה מוכר והוא כן נחשב כחלק ממערך של חתימות אלקטרוניות מאובטחות אבל עדיין לא באירופה. אני אמרתי לעצמי, וגם לעורכת-הדין ליהי פלדמן, שלא הייתי רוצה בשום פנים ואופן שישראל תהיה הגורם המוביל בתחומים כאלה. הייתי תמיד רוצה שאנחנו נהיה או אחרי ארצות-הברית או אחרי אירופה וזאת בגלל כל מיני טעמים, ואני לא רוצה להיכנס ולומר כרגע למה. תמיד בכל דבר אני שואל מה קורה בארצות-הברית ומה קורה באירופה. לא הייתי רוצה שחתימות שאירופה מכבדת, בארץ לא נכבד, ולא הייתי רוצה שאותו הדבר יקרה גם לגבי ארצות-הברית. אם ארצות-הברית עשתה שגיאה, אני לוקח את הסיכון הזה ואני מוכן שגם אנחנו נעשה שגיאה. אם ארצות-הברית פרצה דרך, אני מוכן שאנחנו ניקח את הסיכון ונהיה אחרי ארצות-הברית ולפני אירופה. אם נצטרך לתקן את השגיאה הזאת נתקן אותה. נכנס את הוועדה ונקבע שהאלגוריתם הזה לא ייכלל, אבל כרגע אין אדם שטוען שהדבר הזה אינו טוב מספיק אלא אומרים שהוא לא נבדק מספיק. בשבילי הבדיקה בארצות-הברית היא בינתיים מספקת ואני רוצה לקבל את ההחלטה בכיוון הזה.

אם יש מישהו שרוצה להשיג על ההחלטה, עכשיו זה הזמן והמועד.

אני מדבר בשם ועדת PTI במשרד האוצר ומתואם
עם גורמים במערכת הביטחון. אנחנו מתנגדים באופן חד-משמעי להכנסה של ה-ECC לתקנות. ההסבר והנימוק שלנו לדבר הזה הוא שהמנגנון הזה לא מוכר ולא נכלל כתקן ישראלי, לא בצורה מפורשת ולא בצורה משתמעת, והוא לא מוכר כתקן בינלאומי של ארגון התקינה הבינלאומי איזו. אני לא מדבר על פורמליסטיקה אלא על נושא של אחריות.

אני רוצה לשאול את הפורום כאן מי הגורם שייקח על עצמו את האחריות במקרה של תקלה, במקרה שיוחלט להסתמך על מנגנון שהוא לא מוסמך תו תקן ישראלי או בינלאומי בנושא התקנים, האם זה יהיה משרד המשפטים? האם יהיו אלה הגורמים המומחים שנשכרו על-ידי משרד המשפטים? הם ייתנו את הדין אם אחרי כן יהיו תקלות בפריצות בבנקים?

אני רוצה להמחיש את חוסר הסבירות של ההחלטה הזאת על-ידי שתי דוגמאות פשוטות. כמו שנאשר עכשיו לשימוש אגרת ילדים כשאין לה תקן ישראלי, אבל כשיקרה משהו לילדים, מי ייתן את הדין על זה? אין תקן. יש אולי תקן בארצות-הברית. אנחנו עדיין לא המדינה ה52- של ארצות-הברית ולא כל מה שמתאים לה, אוטומטית מתאים פה. לא כל פסיקה של בית-המשפט בארצות-הברית אוטומטית נכנסת כאן. יש פה שיקולים ותנאים אחרים.

זה כמו שנחליט לסלול כבישים באספלט שזה נראה נהדר כי זה מהיר וזה טוב, אבל אחרי כן הכביש ישקע, ואז מי ייתן את האחריות לזה?

לא ברור לנו במקרה של התקנות האלה למה צריך לפעול בבהילות כזאת, למה צריך לעגל את הפינות, למה צריך לקצר תהליכים ולמה צריך להתעלם מהתרעות ומאזהרות. אין לזה שום הצדקה.

זה מקבל עוד יותר חומרה כשיש הסתייגות קונקרטית של גורמים גם במשרד האוצר וגם במערכת הביטחון של אנשים שהם מומחים לדבר הזה וזה לא סביר שעל הסתייגויות כאלה בהחלטה כזו כבדה יתקבלו החלטות מבלי שנערך דיון משותף אחד בסוגייה הזאת ולא נערך שום דיון משותף בסוגייה שעומדת על הפרק וזה דיון שמחייב תיאום, דיון שמנתח את התקנים של אנסי לעומת תקני האיזו שנמצאים בעבודה ואומר מה ההבדלים. לא היה דיון כזה ואין עליו שום אסמכתא כתובה. היו דיונים מסוימים בנושא הזה, אבל אין שום סיכום דיון אחד כתוב ומחייב שניתן להתייחס אליו כאיזושהי אסמכתא, אין שום מכתב רשמי על-ידי שום גורם מקצועי נייטרלי ונטול פניות שלוקח על עצמו את האחריות על הדבר הזה.

בדיון הקודם רצינו והצענו לקיים פגישת עבודה אבל זה לא יצא אל הפועל. בימים האחרונים ניסינו באמצעות האינטרנט להתכתב ולהגיע להסכמה, אבל חילוקי הדעות נותרו בעינם כאשר לא התקיים דיון מסודר. לכן במצב הזה זו תהיה פעולה בלתי סבירה ולא מקצועית לאשר את ה-ECC.

פניתי אישית לגורם בשוק האירופי, שאחראי על הנושא של חתימה אלקטרונית בשוק האירופי, הצגתי בפניו את הסוגייה ושאלתי אותו מה היו עושים בשוק האירופי בסוגייה דומה, והוא נתן לי את אותה תשובה שאני נותן לכם היום.

לא מדובר אם ה-ECC תקף או לא תקף אלא האם אפשר להסתמך על משהו שאין לו בסיס תקן בינלאומי או ישראלי.

אני מצהיר עוד פעם שבמידה שמכון התקנים הישראלים יאמץ את התקן הזה או שיהיה תקן איזו בינלאומי אפילו מבלי שמכון התקנים הבינלאומי יאמץ אותו, מבחינתנו זה מספק, אבל במצב הנוכחי אין שום צורך לקחת סיכון כזה בלי שאף אחד לוקח על עצמו את האחריות לתקלות אם תהיינה.

לכן אנחנו מבקשים למחוק את הדבר הזה ולדון בו בצורה מכובדת ומסודרת.

יש מישהו בדעה הזאת? אני שמעתי ואני בעד
שהדבר הזה ייכנס עכשיו. אני הייתי בדעה לחשוב פעמיים כאשר הנושא עלה בפעם הקודמת, שמעתי את הדעות, שמעתי אנשי מקצוע, שמעתי - לא ישירות אבל מובאות - מהמומחים הגדולים ביותר שישנם בארץ ואולי גם מהטובים בעולם. אני מבין את העמדה של האוצר ואני לא מזלזל בה, היא עמדה של הגורמים ששותפים באיזו ושלאיזו יש בהחלט מקום וכולי, אבל במסחר ובנישות שישראל יכולה וצריכה להתמודד אתן, לזריזות, למהירות ולהעזה צריך לתת מקום. אם אנחנו נהיה יותר בירוקרטיים מאחרים או כמו אחרים, נאבד את היתרון היחסי שלנו.

אנחנו בכל התחומים האלה נמצאים בנישה טובה כשאנחנו מהירים ומקדימים את האחרים ואני רוצה שתהיה הזדמנות גם לחברות ישראליות להשתמש בטכנולוגיה הזאת ולכבוש שווקים, ולעסקים ישראלים לעשות עסקים עם ארצות-הברית שאולי יעדיפו לעשות חלק מהעסקים כשיש אפשרות דרך כאן ולעשות עסקים בהם לסוחר המקומי יהיה בגלל זה יתרון. מה עוד שאני לא רואה כאן שום בעיה. תהיה תקלה, אז אני מניח בסדר סבירות שהתקלה תתעורר קודם בארצות-הברית ואחר-כך בישראל. יש לי רושם שכך יותר סביר להניח. אז הספרות המקצועית ואנשים יבואו ויאמרו שזה פרוץ, אבל היום אף אחד לא טוען את זה. הטענה שלך היא בירוקרטית.

לא, היא לא בירוקרטית אלא היא טענה
מקצועית.

היא מקצועית אבל היא בירוקרטית. אתה לא בא
לגופו של עניין ואומר שהנה אתה מוכיח לי שפרופסור עדי שמיר לא יודע על מה הוא מדבר ובקלות רבה אתה מראה לי איך פורצים את זה.

זה לא הטיעון שלי.

אני שמעתי את הטיעון שלך ומסכים לו אלא שאני
מנסה להסביר מדוע אני לא מקבל אותו.

עדי שמיר לקח אחריות על ההחלטה הזאת?

תסלח לי, אתה תיקח אחריות על זה שאתה אומר
לא ואתה תפגע בעסקים?

אני לוקח אחריות על זה. כן.

זה רק בפה.

לא, זה לא בפה.

אני לוקח את האחריות. אתה יכול לרשום את זה
בפרוטוקול שאני לוקח את האחריות ואם תהיה תקלה, אני אעמוד ואני אתן את הדין על כך. אני חושב שהשיקולים שלי הם סבירים.

אני רוצה להעיר לסדר היום שאני מכבד את דעתך
אבל מבחינתנו אנחנו לא שלמים עם הדבר הזה ואנחנו נפעל כפי שאנחנו מבינים.

לא, אתם לא תפעלו כפי שאתם מבינים אלא אתם
תפעלו על פי ההחלטה הזאת.

בוודאי.

ואתם תכבדו את ההחלטה הזאת. אני לא מקבל
את זה שאתה תבוא ותגיד לכנסת, ולא רק לכנסת – אני לא רוצה להיכנס כאן לעניינים שקשורים ביחסים בתוך הממשלה בינה לבין עצמה – אבל אתה עכשיו אמרת דבר מאוד חמור. אתה לא עובד מדינה אלא רק יועץ. התקנות האלה באות הנה כתקנות שמוצגות על-ידי הרשות המבצעת לאישור הכנסת. ברגע שאנחנו קיבלנו את התקנות האלה, יש להן גושפנקה גם של הרשות המבצעת, קרי הממשלה, וגם של הכנסת. אין שתי ממשלות ובטח לא אתה כמי שעובד עבור הרשות המבצעת. אל תגיד שאנחנו נעשה מה שאנחנו נעשה. אני לא מוכן לשמוע את הדברים האלה.

לא זה מה שאמרתי.

זה בדיוק מה שאמרת.

אני רוצה להבהיר שאנחנו בוודאי נכבד כל דבר
אבל התפקיד שלנו, של כל אחד, של כל גורם מקצועי, להביע את דעתו ולהזהיר.

נתתי לך להביע את דעתך. לא רק שאתה העלית
אותה בשבוע שעבר אלא אני גם קיבלתי אותה כטיעון כבד משקל ולא קיבלתי החלטה וביקשתי לעכב ולשקול. חשבתי על העניין הזה וקיבלתי גם תגובות. זה לא שהדבר הזה היה כלאחר יד, אבל ברגע שהתקבלה החלטה, ההחלטה מחייבת. אני לא אוהב לשמוע את הטיעון הזה שאומר: טוב, קיבלתם החלטה ואנחנו ננהג כפי שאנחנו מבינים. בטח לא ממך. אין לך שום סמכות לומר את זה. לא משלמים לך כסף כדי שאתה תגיד כלפי החלטת כנסת וממשלה, כיועץ של משרד ממשלתי, אנחנו נעשה. בשם מי אתה אומר אנחנו?

לא אמרתי שנפעל. זה גם מערכת הביטחון.

אתה לא מייצג את מערכת הביטחון. אף אחד לא
נתן לך סמכות לייצג את מערכת הביטחון.

ההחלטה היא החלטה ואנחנו נקיים דיון. אם
יהיה צורך עד הכניסה לתוקף לבוא עם איזשהו תיקון, נבקש זאת.

אני חוזר ואומר שאפשר לקיים דיון ובתוך שנייה
אני אכנס את הוועדה אבל ברגע שיבואו ויאמרו לי אחת מהשתיים: שההחלטה שלי שגויה על-בסיס עובדות חדשות, כלומר, או שארצות-הברית שינתה ומצאה שהיא עשתה טעות, או שכאן בארץ מישהו בא ומראה שהייתה פריצה והדבר הזה הוא לא ישים, הוא לא בטוח והוא לא תקין. אני לא אשנה את ההחלטה בגלל פוליטיקה שיגידו לו תשמע, צריך לחכות לאיזו ולזה ולזה כי הנציג שלנו שם הוא גם הנציג פה ואז יש לו אינטרס או נאמנות גם לאיזו. בסדר, אני לא מזלזל גם בדברים האלה, גם במחויבויות האלה, אבל אני שקלתי, ההחלטה התקבלה ואני לא אשנה את דעתי בעניין הזה. אני אשנה את דעתי אם אתם תבואו, תקיימו דיון ותגידו לי טעינו, התגלו הוכחות שהמפתח הזה פרוץ יותר מאחרים ולכן אי-אפשר לאמץ אותו.

אם יהיה בעיות, אנחנו נביא אותן.

אני אשמח מאוד שלא יהיו בעיות, אבל אם יהיו
בעיות, אני מבטיח לך בכל שעה שתעירי אותי אני אכנס את הוועדה ואנחנו נשנה את זה תוך דקות.

הוכנסו התיקונים בישיבה עליהם הוחלט בישיבה
הקודמת ויש עוד כמה נושאים שצריך לדון בהם.

יש מקום להגיב על התקנות מתחילתן?

אני מציע שהסדר יהיה שנסיים את מה שיש לנו
לסיים. אם אחר-כך יהיו הערות לגבי סעיפים שלא דנו בהם כרגע, נשמע אותן בקצרה ונחליט אם להיכנס לדיון מחודש.

בהגדרת מסמך נהלים עלה בישיבה הקודמת
הנושא שהתקן RFC הוא בעצם לא תקן. אני מתייחסת לסעיף 1 – הגדרות. בישיבה הקודמת עלה שלא מדובר בתקן דה-יורה אלא בתקן דה-פקטו ועלתה השאלה האם לא להשתמש פה במילה תקן. בסופו של דבר נעשה כאן שימוש במילה תקן בגלל סעיף 8 החדש שהכנסנו שאנחנו רוצים שכל שינוי ייכנס גם הוא. זאת אומרת, שכל שינוי בתקן בעצם יהיה מחייב. לכן הושארה המילה תקן למרות סימן השאלה שעלה בישיבה הקודמת.

בהתאם להחלטה בישיבה הקודמת הוספו הגדרות של תושב ותושב חוץ.

בסוף ההגדרות, בהגדרה האחרונה, X, מה שהיה
בנוסח הקודם ההגדרה של X509, אמרנו שבמקום יהיה תקן של איזו, ההגדרה תלך לפי איזו ונזכיר גם את המינוח המקובל.

זה תיקון בהתאם להחלטה.
תקנה 5 הקודמת הועברה לתקנות של ועדת החוקה.

בישיבה הקודמת היה דיון ברמת האבטחה
שאנחנו דורשים ממרכיבי המערכת ועלתה פה הצעה לבחון משהו חדש, את הנושא של ה-CIOC. מאחר שזה לא תקן רשמי ולא אושר עדיין על-ידי אף גוף, לא הכנסנו את זה בתקנות.

הייתה שאלה לגבי רמת אבטחה שלוש או ארבע
וזה נשאר ארבע.

על זה היה הוויכוח.

נכון. על זה היה הוויכוח כשהייתה הצעה חלופית.

מההצעה החלופית ירדנו כי היא לא מוסדרת
ודובר על רמת ביטחון של תקן COMMON CRITERIA EAL4. זה אומר שרמת הבדיקה שאתה מבצע לעמדת ההתאמה של המערכת היא בדיקה ברמה גבוהה.

בסעיף 6 הוכנס תיקון שעל פיו לא כל המערכת
תישמר במקום בטוח אלא רק החלקים החיוניים של המערכת.

תקנה 8 היא תקנה חדשה ואני אקרא את התקנה כפי שהוצעה על-ידי משרד המשפטים.

סליחה שאני מפריע בשטף הזה. בתקנה 6 למשל
מדובר על חלקי המערכת החיוניים מבלי שראיתי לזה הגדרה. ראיתי הגדרה של חלקים חיוניים בתקנה 7.

העברנו את זה לתקנה 6. זה להלן, "חלקי
המערכת החיוניים לפעילותו כגורם מאשר". מה שמחייב לצורך הפעילות כגורם מאשר ולא חשבונות או משהו כזה.

בתקנה 7(ג) נאמר "גורם מאשר ינהיג אמצעי זיהוי
שיבטיחו זיהוי ותיעוד גישתו". חשוב מאוד שיהיה פירוט בכל הרמות של הפעילות.

רק בפעולות חיוניות.

אנחנו כרגע לא קובעים את ההוראות אלא
משאירים סמכות לרשם. אם רוצים להכניס עוד, צריך לקבוע באופן כללי.

לפי דעתי זו נקודה קריטית.

אפשר להוסיף "ופעולות מהותיות שביצע".

מאגר התיעוד לא יהיה נגיש לאף אחד אלא רק
למערכת עצמה. זאת אומרת, שלא תהיה יכולת למחוק נתונים מהמאגר הזה.

כרטיסי המערכת, הזיהוי צריך להיות מבוסס לפחות על שני ארגומנטים.

הזיהוי של אותו אדם?

מפעיל המערכת.

אנחנו לא נכנסים לזה עכשיו. אלה יותר מדי
פרטים. לשם כך יש רשם והוא יצטרך לראות אם הוא עובד טוב או לא. אני רק קובע ברמת העיקרון כי אחרת אין סוף לדברים האלה.

תקנה 8 – שינוי תקן.
(א) הוחלף תקן מן התקנים הנזכרים בתקנות אלה בתקן חדש, יהיה התקן החדש מחייב במקביל לתקן הישן, זולת אם התקן הישן אינו מקיים עוד תנאי אבטחה נאותים, להנחת דעתו של הרשם, שאז יחייב התקן החדש בלבד, תוך זמן שקבע לכך הרשם.

(ב) הרשם יפרסם, מזמן לזמן, באתר האינטרנט שיועד לכך, רשימה מעודכנת של התקנים הנדרשים לפי תקנות אלה.

אולי צריך לתקן ולומר, כפי שהיה בנוסח הקודם, שהרשם צריך להודיע שיש תקן חדש ושהוא מחייב, כי מהנוסח החדש עולה שהם צריכים לנחש בעצמם שיש תקן חדש למרות שאולי הם יודעים.

למה? הם מעיינים באתר.

מזמן לזמן זה לא מספיק טוב. ברגע שיש תקן
חדש, הרשם צריך להודיע את זה ומהתאריך הזה זה מחייב. הנוסח הזה הוא יותר מדי מעורפל.

בסדר. תקני.

זמן סביר צריך להיות לפי שיקול הדעת שלו והוא
חייב להיות סביר.

סעיף 8(א) מתכוון לתת סמכות לאחת
הטכנולוגיות שב4-(1) וזה בעצם לדבריה של עורכת-הדין שפניץ, אבל זו טכנולוגיה ולא תקן.

זה רק בתיקון הטכנולוגיות בבדיקה ישירה.

או אם הרשם מחליט לפי סעיף 10(2).

בתקנה 6 הכנסתם את ההגדרה של החלקים והיא
בעצם כללית. בתקנה 5(א) את מגדירה מרכיבי המערכת המשמשים לזיהוי ולהנפקה ולביטול. כדאי לקרוא לאלה החלקים החיוניים.

כתוב להלן הפעולות החיוניות.

חוץ מהפעולות החיוניות. תגיד שהמרכיבים של
המערכת שעושים את הפעולות החיוניות הם המרכיבים החיוניים. כך נדע על מה מדובר. כלומר, כאן תגדיר את זה.

עם כל הכבוד, יעשה את זה הרשם. אנחנו לא
צריכים להיכנס לכל דבר. תבינו, אתם מסתכלים וחושבים שלפי זה יצטרכו לעבוד, אבל זה לא כך כי לא על בסיס זה עובדים. זה מחלק, זה נותן הנחיות וסמכויות ברמה העקרונית לרשם והוא אחר-כך יעשה את הפיין-טיונינג הזה. אני לא יכול עכשיו להיכנס לכל פרט קטן אלא אני נותן הנחיות כלליות והוא כבר יכניס בזה תוכן.

הנקודה המהותית הבאה היא הנושא של זיהוי
המבקש, תקנה 11(2)(א).

לפני כן, לגבי 9(ב). הייתי אומר להעלות את זה
לרמה אחת לפחות.

הוסבר שממשתמש הקצה אי-אפשר לדרוש יותר
מרמה אחת.

אני רוצה להעיר לגבי 9(ג), אמצעי הכרוך בשימוש
בסיסמה.

לאחר שנסיים נחזור לדברים שלא התייחסנו וכל
אחד יוכל להעיר את הערותיו. זה נושא חדש שתוכל להתייחס אליו אחרי שנסיים את הדברים שתיקנו כאשר בסיום כל אחד יוכל להעיר לאיזה סעיף שהוא רוצה.

בסעיף 11(2)(א), הוחלט לשקול להכניס את הנושא
של מרשם האוכלוסין. הנוסח שהוצע הוא נוסח כמו בתקנות הלבנת הון והסיפא אומרת: "הגורם המאשר יאמת את פרטי הזיהוי עם מרשם האוכלוסין במשרד הפנים וישווה את תאריך הנפקת התעודה המופיע בתעודה עם תאריך הנפקת התעודה האחרון כפי שרשום במרשם האוכלוסין".

קיבלנו הערה בכתב מטעם לשכת רואי חשבון שאומרת שהעלות של הדבר הזה לא תאפשר למשרדים קטנים לשמש כגורם מאשר.

לשכת עורכי-הדין מסכימה ותומכת בגישה זו כי
זה לא יאפשר רכישה לנוטריונים ועורכי-דין.

הבאנו נתונים כמותיים וכספיים שנוכל להציג אותם עכשיו כדי שתתרשמו לפחות לגבי הנתונים. יש גם לקוחות גדולים וגם לקוחות קטנים. אם ניקח למשל לקוח גדול שעוסק בפתיחת כל חשבון, אנחנו מדברים על מחיר חודשי עבור 354,200 שאילתות ראשונות בחודש הם משלמים מחיר אחיד של 0.572 שקלים לשאילתה. יש לי פה פירוט והשדות החשובים שבודקים את תעודת הזהות הם שנים: תאריך הנפקת תעודת הזהות האחרונה, כי כל תעודת זהות חדשה שמנפיקים, אנחנו רושמים את התאריך העדכני, ואם מישהו גנב תעודת זהות ובא להזדהות איתה כשאותו אדם, בינתיים, הנפיק תעודה חדשה, התאריך לא יהיה אותו תאריך. עדכון נוסף הוא סיבת הפקת תעודת הזהות האחרונה. כלומר, אם התעודה אבדה או התקלקלה, זה נשמר במערכת והבנק יכול לראות את זה. אם יש משהו חשוד, הבנק פועל בהליכים שלו. כלומר, סדר גודל של חצי סדר לגישה.

יש לנו היום 47 בתי חולים ממשלתיים שמחוברים למערכת מרשם האוכלוסין וכאן מדובר על 28 אלף שאילתות לחודש בכל בתי החולים כשהמחיר הוא 1.745 שקלי לגישה.

יש עוד גוף שעובד בצורה דומה וזו מחלקת רישום סרטן במשרד הבריאות כאשר הכמויות כאן הן יותר קטנות ומדובר ב3,400-.

זה לא קשור לדיון שלנו, אבל הייתי רוצה לדעת
איך מגיעים למחיר.

יש מחירון. בזמנו היה מכרז במערכת מרשם
האוכלוסין על-בסיס של אאוט סורסינג. הוצאנו את זה בשנת 1992 לאאוט סורסינג. הבסיס הכלכלי של תפעול המערכת התבסס על מחיר קבוע שמשרד הפנים משלם כל חודש, 84 אלף שקלים, ומחיר שמשתלם על-ידי הלקוחות החיצוניים. במסגרת המכרז בנינו תוכנית של פעולות כמו שאילתות וכולי ואמרנו לספקים שיציעו מחיר לכל דבר כזה וגם שם יש מדרגות. כל הספקים הציעו מחיר וזה הבסיס למחיר.

את מערכת המחשוב של מרשם האוכלוסין עושה
ספק מסוים שנותן את השירות הזה לממשלה באאוט סורסינג. כשאתם באים ואומרים היום שאנחנו רוצים לפתח שירות של בתי-החולים כך שהם יוכלו ישירות להתקשר ויש 30-28 אלף פעולות כאלה בחודש, אנחנו מעמידים את זה למכרז חדש ועל המכרז הזה יכולים להתמודד כל מיני ספקים. זה המצב?

לא. המצב הוא שהמכרז קבע שהספק הזוכה הוא
זה שיספק את השירותים כי רצינו ליצור בסיס כלכלי לתת את השירותים, אבל התוצאה היא שהמחיר שהיום המדינה משלמת כי משרד הפנים הוא המדינה לצורך העניין הזה, הוא נמוך בסדר גודל.

אם הוא נמוך או גבוה, זה תכף נראה. את זה אני
לא יודע. אני קודם רוצה להבין. כשאנחנו יצאנו לאאוט סורסינג וחברת איקס - ולא ניכנס כאן לשמות – זכתה במכרז הזה של האאוט סורסינג, אנחנו ידענו מראש שיהיה שירות של חתימה אלקטרונית שיחייב את הגורמים המאשרים להיכנס? לא ידענו. אנחנו אמרנו שאנחנו רוצים לדעת כמה כל גישה תעלה לנו משרד הפנים כי אנחנו בעצם רוכשים את השירות.

לא. אנחנו רוכשים שירות קבוע. אגב, המחיר הוא
אחיד כאשר ממשלה או בנק משלמים על אותו שירות את אותו הסכום. זה העיקרון שקבענו.

למה כניסה של הבנק עולה איקס ושל
בית-החולים עולה וי?

כי יש טבלה לפי כמויות. יש מחיר שהוא הדרגתי.
ככל שאתה צורך יותר, המחיר ליחידה הולך וקטן.

אנחנו לא נפתור היום את הבעיה הזאת אלא
אנחנו רוצים מידע. כשאתה פונה לבן-אדם הזה שעושה את האאוט סורסינג ואתה אומר לו שעכשיו יש לנו שירות ממערכת של בתי-חולים, הוא צריך לעשות התאמות, לכתוב תוכניות וכולי. השאלה האם התוספת הזאת שהוא מחבר את מערכת המחשוב של בתי-החולים לצורך ביצוע השירות הזה בעלויות שלה היא כל כך יקרה שהייתה הצדקה נגיד לקחת מבית-החולים 1,5 שקלים. הרי אם אני אומר יתרון לגודל, יתרון לגודל זה אני, משרד הפנים, אני מקבל תעריף פר שאילתה ואני אומר שיהיו לי חמישים אלף שאילתות כאלה בחודש, ואז מה איכפת לי אם אחד ביקש אחד או אחד ביקש עשרה כי כולם באים דרך משרד הפנים ומשרד הפנים בעצם הוא גם הבעלים של המידע והוא נותן שירות כללי.

אני אסביר למה זה לא עובד ככה. אני לא יודע אם
אתה יודע כמה אנשים עובדים ביחידת המחשב של משרד הפנים שמפעילה מערכת כזאת. יש מערכת של אאוט סורסינג, יש החלטת ממשלה על אאוט סורסינג, והמערכת הזו עובדת על-בסיס מכרז שיצא, מכרז שהוציאה מדינת ישראל שחתום עליו סגן החשב הכללי בזמנו וגם משרד הפנים. המכרז קבע בסיס כלכלי לתפעול. יש מחירים קבועים וזה שירות קבוע ואחיד לכולם. יש שירותים שהם לא שירותים רגילים. השירותים של ה-IPI הם כאלה שהשירות שמקבל הבנק הוא לא כמו אותו שירות שמקבל משרד הבריאות או מקבלים בתי-החולים. לכן המנגנון שקבענו הוא מנגנון של משא ומתן. מי שפונה ומבקש את השירות, הוא פונה לספק של משרד הפנים. קודם כל הוא צריך לקבל אישור שבכלל מותר לו על-פי חוק. עבר את זה, פנה לספק ועכשיו הוא יושב אתו ומנהל משא ומתן כלכלי.

זה משא ומתן שאם אתה רוצה, טוב, אם אתה לא
רוצה, לך הביתה.

לא. זה לא עובד כך. המשא ומתן היה מאוד קשה
בין הספק לבין הבנקים ועובדה שהם עובדים כבר למעלה מחמש שנים וכולם מרוצים. הם הגיעו לאיזשהו איזון כלכלי, השוק שיחק את שלו, משרד הפנים לא התערב בזה אלא אישר את זה. יש מצבים שלא מגיעים לסיכומים. היו לנו מספר מקרים שלקוח אמר שהוא חושב שהמחיר הוא גבוה ואז נכנסנו לעובי הקורה ובדקנו את זה והגענו לסיכומים על דעת כל הצדדים והדברים הסתדרו. הכל מבוקר והכל תחת החלטות.

אני מודה לך על ההסבר. עכשיו נחזור לעניין
התעריפים. אני רוצה לומר לך שבגדול אני חושב שאולי צריכים לחשוב ליצור מצב שאם אתה הולך לאאוט סורסינג למישהו שבונה תשתית כל כך רחבה של שליטה במאגר נתונים, אתה צריך ליצור מצב שתהיה תחרות על התשתית שלו. כלומר, שיוכל לבוא ולבצע את ההתאמות על התשתית שלו ולעשות מכרז חדש. כשאתה עומד היום מולו, באופן טבעי יש לך את המגבלות כאשר אין תחרות, אין שוק ואין מחיר והמחיר נקבע בכל מיני משאים ומתנים.

אני רוצה להציע הצעה. אני מציע ומזמין אותך
לבוא ולקבל הסברים מקצועיים ואז תוכל לראות שהמודל הזה הוא גם נכון וגם יפה ומהווה דוגמה חיובית למה שקורה.

אני בטוח בתי-החולים לא כל כך מאושרים מזה.

בתי-החולים מאוד רווחיים ולכן הם משלמים פי
שלוש מפעילות הבנקים.

מה לגבי סוכני ביטוח?

יש חברות ביטוח שעשו פעולות כאלה ושם הם
עושים פעולה קצת שונה ואני חושב שצריך לקחת זאת בחשבון. הם לא נותנים את מספר הזהות אלא הם נגיד נותנים את השם ומקבלים בחזרה. זו פעולה קצת יותר יקרה, אבל יש חברת ביטוח – אבנר - שעושה מאה פעולות בחודש שזה סדר גודל יותר סביר, יש את חברת מנורה שעושה 11 אלף פעולות בחודש, יש קרן גמלאות מרכזית עושה אלף פעולות בחודש. כאן מדובר בין שקל אחד לארבעה וחצי שקלים פר פעולה וזה תלוי בכמות. אנחנו ביקשנו קודם כל להיערך לעניין הזה ולתת הצעה ספציפית. אחת ההצעות שיכולה להיות על-בסיס מה שכתוב בתקנות תוכל לפשט ולייעל עוד יותר, ואני רק נותן דוגמה ולא אומר שזה מה שייכנס. למשל, שהם ייתנו את הנתונים של מספר הזהות ואת התאריך שכתוב על תעודת הזהות שהם רואים וכל מה שהם יקבלו מהמערכת יאמר להם רק אם זה בסדר או לא בסדר. זה גם פותר בעיה של צנעת הפרט ודברים כאלה. זה כמובן עוד יותר יוזיל את הפעולה. יהיה ויכוח על העלויות, ואני בטוח שהוא יהיה, אז אפשר גם לבוא לכאן ואתה תוכל לשפוט נקודתית בנקודה הזאת אם אתה חושב שזה יהיה מוגזם.

אנחנו עוסקים כרגע בלוקליזציה מבחינת עבודות
ההכנה.
לגבי הדוגמאות שניתנו. אני חושב שזה אחד המקרים היחידים, בהבדל מהדוגמאות שהחבר נתן כאן, שהמחוקק מחייב גורם פרטי לרכוש את השירותים. אלו אינן הדוגמאות של מנורה או אבנר או חברות אחרות שמבחירתן האישית בחרו להיעזר בשירותים האלה. מרגע שתצא גזרה מטעם המחוקק, מעניין אותי לשבת באותה ישיבה ולנהל את המשא ומתן הכספי כשידיי קשורות ואין לי ברירה ואומרים לי אני חייב כי כך קובע החוק.

עניינית, וחשוב לומר את זה, לפי בדיקה שעשינו ולפי המספרים שהחבר נתן כאן, אנחנו נגיע למצב שעלות הפנייה למחשב משרד הפנים, וכנראה תידרש יותר מאשר פנייה אחת לעתים עבור תעודה מסוימת, תהיה הרבה יותר ממחיר התעודה.

המספרים הם בדוקים ואני מתייחס למספרים שנאמרו כאן. לא חשוב כמה תעלה התעודה כי הרי אנחנו לא עוסקים כאן כרגע בצד העסקי. אני נותן את זה רק כנתון.

כמה עולה תעודה בארצות-הברית?

אנחנו לא אמורים להיכנס כאן למחירים כי זה
נושא רגיש. אני אומר לך שבביזנס של גורם מאשר, כשאתה משקיע ואתה צופה החזר השקעה – שיעשו את זה הבנקים, גורמי הבריאות וגורמים אחרים – אתה מוסיף את העלויות האלה, אתה למעשה יכול לסגור את העסק מפני שזה מכניס אותך להפסדים שלא תעמוד בהם. בכל כמות שהוא אומר, זה פי כמה ממחיר התעודה. זאת אומרת, זה בכלל לא ריאלי מה שנאמר והוא לא מבין איך בונים עסק.

הוא מייצג גורם אינטרסנטי והוא ירוויח מזה.

זכותו לייצג את עמדתו וזכותכם לייצג את
עמדתכם וההערה הייתה מיותרת.

אני מתנצל. הנקודה האחרת והחשובה שאני חושב
שהיא הערה הרבה יותר כללית. אם נסתכל בתקנה 11 באופן גורף נראה שהמחוקק מוצא לנכון להנפיק תעודות לתושבי חוץ, אבל דווקא לגבי יחיד תושב ישראל שלכאורה הוא זמין, הוא נמצא, אני יכול לדרוש ממנו דרישות זיהוי רבות ושונות, לגביו יש דרישה מאוד מאוד מסוימת.

אנחנו לא מייצגים גורם אינטרסנטי. אני חושב
שהמחירים הם מאוד מאוד סבירים כשמדברים על העניין של עלות תועלת.

אני לא יודע אם זה סביר או לא סביר. באופן טבעי
מה שלא היית אומר, הם היו רוצים להוריד כי הם רוצים שהביזנס ילך והם רוצים שבסך ההוצאה שהצרכן ישלם החלק שלהם יהיה יותר גבוה והחלק שלך יהיה יותר נמוך. השירות הזה, אם הוא ילך, כפי מה שאנחנו מבקשים שהוא ילך, יש בו מרכיבים שאתה מספק חלק והם מספקים.

שיהיה ברור, אני לא מספק שום מרכיבים כאלה.
אני לא מייצג את החברה אלא אני מייצג את משרד הפנים. חשוב להדגיש שאני לא מייצג שום אינטרס.

זה לא משנה. אדם מקבל שירות ובשירות הזה
משתתפים בהכנתו מבחינה כלכלית כמה גורמים כאשר חלק מהגורמים שמשתתפים בהכנת השירות הזה זה אתם וזה לפי החוק. אתם מקבלים כעת קונצסיה להשתתף בפעילות כלכלית מסוימת ועבור הפעילות הכלכלית הזו צריך לשלם. באופן הכי טבעי כשיש שני יצרנים של שירות מסוים, כל אחד אומר שלו מגיע 99 אחוזים מהכסף ולשני מגיע אחוז אחד ואולי גם זה לא. נכנסנו לסוגייה שהיא לא ראשונה ולא אחרונה אלא היא מתרחשת כל יום. השאלה איך אנחנו פותרים אותה.

בא הבן-אדם שאומר הוא הגורם המרכזי בהכנת השירות הזה והוא אומר שאם הגורם הנספח יבקש את המחיר שהוא מבקש, זה יותר גבוה מהשירות שאני נותן ולא יהיה ביזנס בכלל ואז כולנו נהיה מרוצים והמחיר יהיה ענק אבל לא יהיה ביזנס. השאלה איך היית אתה, אם היית יושב במקומי, מנסה לנתח את הסוגייה הזאת ולהבין מה קורה כי אני כן מעונין שהאלמנט הזה ייכנס למשחק אבל אני לא יכול לתת לכם אפשרות שכתוצאה מכך ייהרס כל העניין.

יש לי הצעה. שיהיה מחיר מפוקח ומי שיחליט
בסופו של דבר יהיה הרשם של הגורמים המאשרים.

תרשום בפרוטוקול שאני מסכים לעניין הזה
בצורה מוחלטת, אבל אני מציע שהתקנות יאפשרו לגורם מאשר לעשות את השאילתה. כפי שנאמר לנו כאן צריך קודם כל הסכמה חוקית וזאת לא תהיה דרישה מנדטורית.

אנחנו הרי לא יודעים מה קורה כרגע ואין לנו זמן.
יהיה רשם וזה יהיה תפקידו. הוא ייסע ראשית כל לשבוע לארצות-הברית כדי לבדוק מה קורה שם ויהיה לו בטח יותר מושג מאשר יש לנו.

צריך להיות זיהוי נוסף שזו אחת האופציות שלו.

מה שמקובל עליכם, יהיה מקובל גם עליי.

אפשר לעשות את הצירוף שכל בדיקה היא בדיקה
כפולה כאשר תעודת זהות פלוס יכולה להיות. אני מניחה שבסופו של דבר זה גם לטובת הגורמים המאשרים.

זה יהיה לשיקול הרשם?

לא. הייתי משאירה את זה לחברות בינתיים
משום שאני פוחדת להיכנס לשיקולים העסקיים. אנחנו צריכים להבטיח שבאמת זה יהיה מזוהה ואני חושבת שבסופו של דבר החברות ישתמשו בזה כי זה הכי בטוח וזה גם לטובתן כי הנזק של הבדיקה ייפול עליכם בסופו של דבר כשיש תקלות בזיהוי.

את הולכת יותר מדיי לכיוון שלהם והם לא ירצו
את האופציה הזאת. הם אף פעם לא ילכו למאגר.

בסופו של דבר זה מבטיח אותם. בסופו של דבר
הרשלנות שלהם אף פעם לא תהיה אם הם יצליבו מול המאגר. אם הוא לקח גם דרכון מזויף וגם תעודת זהות מזויפת, הוא עדיין יכול להיות אחראי.

כשהתחלנו עם החוק הזה התחלנו עם הרבה מאוד
אופטימיות, אבל היום יש מציאות מסוימת ואני רוצה שתדעו שאנחנו יכולים להיות פה קצת מנותקים מהמציאות. המציאות בעולם היא – ואני כרגע לא רוצה להיכנס לשמות של חברות אבל אני מדבר על חברות בינלאומיות – שיש קשיים עם הנושא הזה והקשיים הם מכיוון שהנושא הזה מסובך וקשה ויש בו הרבה מאוד קשיים והוא לא פשוט. אני אומר את זה כאחד שמצוי עמוק בנושאים האלה.

פה יש קושי שמכניסים גם מבחינת עלות וגם מכל מיני בחינות שהוא בכלל קושי זר לכל הקשיים האחרים. הנושא הזה מספיק קשה ועולה יקר גם כך, וכל העלות הזו נופלת על הלקוח. הלקוח שואל את עצמו אם בסופו של דבר הוא צריך את הנושא הזה או לא צריך אותו. אם הוא יכול להכניס את זה בצורה חלקה וטובה ובעלות סבירה, בסדר, הוא מוכן לנסות ולבדוק את הנושא, אבל אם אנחנו נעמיס פה עוד עלות שבסופו של דבר תועמס על הלקוח, אני משוכנע שזו עלות כל כך גדולה שהיא לא תהיה.

הכוונה של טנה ואת אמרת לי שכדאי לי להכניס את זה, אני מקבל את זה. אני רוצה לומר שאני מוכן להכניס את זה אם אתם תכתבו בחוק שמשרד הפנים צריך לתת את זה לגורם שאושר. אם זה יהיה, אני האחרון שאתנגד לזה אבל כאן יוצא בדיוק הפוך. כאן יוצר שאתם מכניסים אותי לבעיה. זאת אומרת, אני צריך לרדוף אחרי משרד הפנים, לשלם לו, להתמקח אתו מתוך נקודת מוצא כפי שזאב מאי אמר כבר הכריחו אותי להכניס את זה ועכשיו אני צריך להתחנן שייתנו לי את זה במחיר נמוך.

אם את רוצה לתת לי את זה ותכתבי שמשרד הפנים חייב לתת את זה לגורם מאשר מאושר, אני לא אתנגד, אני אקבל את זה בששון ובשמחה, אבל להכריח אותי עכשיו לרדוף אחרי משרד הפנים ולהתחנן לעלויות נמוכות, זה מחסל את כל העניין.

אני חושב שהחתימה הדיגיטלית תאפשר בסופו
של דבר להקים מערכת שתהיה הרבה יותר אמינה שבסופו של דבר תחסוך הרבה מאוד כספים לכל הגורמים כאשר חברות ביטוח, בנקים וכולי ייהנו משימושים לא חוקיים של חתימות ועל-ידי כך ייחסכו הרבה מאוד נזקים. אם לקוח בינלאומי רוצה לקבל חתימה דיגיטלית בחברות הגדולות הסכומים נעים בין 25 דולר לשנה ל40- דולר לשנתיים. אם אתה משתמש במוצרים של חברות יותר קטנות, העלויות הן אולי חצי דולר והסכום הוא ממש מזערי.

לדעתי בנושא של תמחור, כשבנו את המערכת של משרד הפנים, לא לקחו בחשבון את החתימה הדיגיטלית ולכן אסור להיות מקובעים בנושא הזה. כשמקימים את המערכת הזאת, צריך לקחת גם את הצד של משרד הפנים כדי לבנות מערכת טובה ואמינה וגם לקחת את הצד של החברות. לכן אני מציע שכהתחלה ננסה להתחבר ביחד ולהבין את הצרכים האחד של השני.

הדברים שלך הם נבונים ונכונים אבל הם לא
עוזרים לנו.

מבחינת המחיר, המחיר צריך להיות מאוד נמוך.

אני חוזר ואומר שאנחנו נמצאים כעת במצב שיש
לנו אפשרות לקבוע בתקנות קביעה שהם רוצים שתתקיים. אין חילוקי דעות פה בין אף אחד שהיינו רוצים מאוד שכל הוצאת תעודה כזו, הגורם המאשר יחייב בדיקה מול משרד הפנים. משרד הפנים אומר שהוא בעד, הם אומרים בעד, אנחנו אומרים בעד, כולם אומרים בעד אבל השאלה עכשיו היא מי ישלם. השאלה יכולה להיות אחרת. אם יש עלויות גבוהות, יכול להיות שכולם בעד אבל זה לא שווה את המחיר וכרגע זה הדיון. מזה מתבקש האם אנחנו נקבע בתקנות חובה ואז הרשם יהיה הגורם הקובע מי ישלם מה והוא ינהל את המשא ומתן בין הצדדים ובסוף יכריע, או שאנחנו אומרים לרשם שאנחנו לא יודעים כאן היום כלום ונותנים לו אופציה להפעיל את זה או לא להפעיל את זה. יש לנו דרך אחרת והיא לקבוע כבר היום זה אחד מתוך שניים ולא לתת לרשם אפשרות להביא את זה לפעולה שתהיה מחייבת.

לפי דעתי כל המנגנון של החתימה הדיגיטלית, כל
מה שאנחנו בונים, מבוסס בסופו של דבר אם קיים הבן-אדם הנכון.

השלב הקריטי הוא לא הזיהוי. השלב הקריטי
הוא הקליינט כי אם אין קליינטים, אין כלום. בצד של הבירוקרטיה אצלנו תמיד יש את העניין של התקנות וזה התפקיד שלנו, אבל החיים הם לא כאלה. יכולים להיות עם תקנות נהדרות ועם מערכת הכי טובה ובטוחה בעולם אבל היא עולה כל כך הרבה כסף ולכן אף אחד לא ישתמש בה.

אני מסכים שבמקרים מסוימים אולי יש נושא של
עלות תועלת. אני מציע לקבוע מנגנון מנדטורי אבל שהרשם יהיה רשאי לפטור מהדבר הזה במידה והוא ישתכנע שהמחיר לא סביר לכמות של אחד לשנה, אבל שתהיה איזושהי בדיקה של הדבר הזה כי אחרת אנחנו מפסידים פה כלי מאוד מאוד חשוב. אנחנו מקימים את הנושא הזה כדי למנוע זיופים. אתה נותן כלי כזה לבן-אדם, הוא מתרוצץ באינטרנט, קונה כל מיני דברים ואחרי כן יש בעיות משפטיות.

אני חושב שלא צריך להפוך את זה למנדטורי אבל
אם תהיה החלטה להפוך את זה למנדטורי, הקביעה צריכה להיות שמאחר שיש צפי למספר קריאות לפחות כמו לבנקים, שהמחיר לא יעלה על מחיר הבנקים שמשלמים היום תחת הקביעה של התקנה הזאת. מאחר שמדובר על פנייה גנרית אחידה, הרי לא מייצרים פה עשרות אלפי שאילתות שונות אלא שאילתה אחת גנרית, אני מציע שעלות השאילתה ועלות הפנייה למשרד הפנים לא תעלה לפחות על המחיר המינימלי שמשולם היום.

מקובל עלינו.

אנחנו עובדים מול גופים גדולים, מול בנקים, מול
קופות-חולים וכדומה. אפשר להציע את זה כשירות. ירצה הבנק או תרצה קופת-חולים – ישלמו עבור זה ויקבלו את זה כתוספת. האזרח הבודד לא יוכל לעמוד בזה. הגופים הגדולים, הבנקים, ירצו את השירות, יגידו שרוצים זאת בתוספת משרד הפנים.

למה האזרח הקטן לא יוכל לעמוד בזה? כמה עולה
לבנק שאילתה?

חצי שקל.

חצי שקל אני אשלם למשרד הפנים אבל אני צריך
לעשות פיתוח כדי שזה ייכנס לתוך התהליך הפנימי שלי של הנפקת התעודות. אני אשמח מאוד בתור גורם מאשר לחייב בחצי שקל על גישה אבל זה סכום מופרז בעליל.

הדברים האלה הם לא פשוטים. רק כרגע הסברת
לי שגם לך תהיינה עלויות כדי להתאים את המערכת שלך. כאן הכל קל, אבל כשאתה בא אחר-כך לשם מתחילות הבעיות. אני לא איש מקצוע, אבל אני יודע איך זה עובד.

חצי שקל, אם ניקח בכמות של מאה אלף תעודות,
מיליון תעודות, אני מניח שאתם יודעים לעשות את החשבון ויודעים מה הסכום בו מדובר.

הלקוח משלם.

אז בוא נכתוב בחוק שזו אופציה ללקוח. ירצה –
ישלם, לא ירצה – לא ישלם. אתה אומר שהלקוח משלם, בסדר, אבל בוא נטיל את זה על הלקוח. מה שקורה כאן שהאדון הנכבד מייצג כאן כביכול את הלקוח. יכול להיות שהלקוח יגיד שהוא קונה ואין לו בעיה, אבל נשאיר את שיקול הדעת ללקוח. אני אומר לו שזה המחיר שזה עולה, זה מה שאתה מקבל, תחליט.

אני אומר שאי-אפשר שהאדון ממשרד הפנים ייצג את כל הלקוחות. בוא נשאיר את שיקול הדעת ללקוח. אם הלקוח יבוא ויאמר שזה חשוב לו, הוא גם ירצה לשלם עבור זה. אם הלקוח יאמר שזה לא חשוב לו, הוא לא ירצה לשלם. למה אנחנו צריכים לחייב אותו?

מה שאתה אומר זה נכון אבל יש מגבלות. אתמול
היה דיון על טובת הלקוח בנושא צמיגים ומישהו אמר שנשאיר את זה ללקוח, אבל הלקוח יכול לקנות צמיג מזויף ואחר-כך להיפגע. אני צריך להביא בחשבון שטובת הלקוח לפעמים זה לא רק המחיר אלא אני צריך לקבוע גם אמצעי בטיחות. החבר'ה האלה שהיום מושכים את הצמיגים בגלל שכמה עשרות אנשים בארצות-הברית נהרגו בגלל ליקויי בטיחות, אז הם דאגו לטובת הלקוח כשהם מכרו את הצמיגים האלה?

לדוגמה שלנו. נכון, אני צריך לדאוג שתהיה תחרות ואני צריך לדאוג שהלקוח יקבל את זה והוא יחליט, אבל אני גם צריך לדאוג לענייני הבטיחות בתחום שלנו. אמרתי מראש שאני בכלל מעונין שכל המערכות האלה תקבלנה חיות והמאגרים האלה יהיו מקושרים.

הדבר הזה הוא מקל בגלגלי החיות.

מאחר שמדובר בפעולות פנימיות, הפעולות
הפנימיות האלה יגררו פעילות יותר רחבה של שאילתות במשרד הפנים. אני לא הייתי ממהר לקבוע מחיר לפי כלל האצבע ולומר שזה המחיר אלא לדעתי צריך לבוא ולומר נכון להיום כמה פעולות מבצעים הבנקים וכולי.

אני הגעתי להחלטה. אני מבקש שהניסוח יהיה

שלרשם תהיה אפשרות לקבוע את זה. אנחנו נשאיר לו את החופש. תהיה אפשרות של שתי תעודות ובסוגי עסקאות מסוימות או בכולן לרשם תהיה אפשרות. במקום שאנחנו נקבע את זה בתקנות, אנחנו ניתן סמכות בתקנות לרשם לקבוע האם להידרש לאישור מול משרד הפנים או לא, לגבי חלק מהעסקאות או לגבי כולן, ובשיקול הדעת שלו הוא יצטרך להתחשב בשיקולים הקשורים במתן זיהוי, הגברת אמצעי הזיהוי וביטחון הזיהוי, ושיקולים כלכליים לגבי אספקת השירות הזה, עלויות המחיר של הזיהוי. הוא צריך למצוא את הגורם המאזן.

אחת הבעיות שמתעוררות במשרד הפנים
שבמקומות שאין הסמכה חוקית לדרוש את זה, יש בעיה לדרוש.

אני משאיר לרשם את כל הדיון הזה ואני לא רוצה
להיכנס אליו עכשיו. אני אומר לרשם שהוא יאסוף את כל האנשים האלה, יקיים דיון, יגיע למסקנות ויחליט ויש לו כל מיני אופציות להחליט. הוא יכול להחליט שהוא לא רוצה לתת למשרד הפנים אמצעי לחץ, מנוף, כי הוא הגיע למסקנה שכך מתנהלים הדברים – יש לו אופציה לאשר רק זיהוי על-פי שתי תעודות. זה המינימום. אם הוא הגיע למסקנה שמשרד הפנים תובע תשלום צנוע והם לא רוצים לשלם גם את זה ולא איכפת להם ולא מעניין אותם מה קורה ולרשם חשוב העניין הזה בגלל הגברת אמצעי הזהירות – אז הוא יחליט שהוא מחייב אותם בסוגי עסקאות או בעסקאות או בכולן. הוא יחליט לפי סוגי התעודות ואני לא אכנס לזה.

בכל העולם ההסתמכות מבוססת על הסתכלות
ב-CPS וב-CP. ב-CP כתוב במפורש מה הם התהליכים שנעשו במהלך מתן התעודה ובמקרה הזה מה הם תהליכי הזיהוי, כך שיש בדיוק את כל האינפורמציה כדי להחליט האם סומכים על התעודה הזו או לא סומכים עליה.

אני משאיר את זה לרשם והרשם יחליט.

הרשם הוא עובד ממשלה.

מה זה משנה? אם הרשם יחליט החלטה
שרירותית, אפשר לעתור לבג"ץ.

אם הוא ירצה ליצור תעודה מסוימת, הוא ירצה
שהתעודה תהיה מקלף מסוים הוא קלף מחייב. למה לתת את זה למישהו שיחליט שסוגי תעודות כאלה צריך לעשות? תנו לשוק להחליט על מה הוא רוצה להסתמך.

אני אשאיר את זה לשיקול דעתו של הרשם.

מדובר על עניין עקרוני, מה רמת האבטחה
הנדרשת ומה אנחנו דורשים. זו בעיה להשאיר את זה לרשם כשהוא עומד מול חברה מסוימת. זה צריך להיות עניין עקרוני.

למה זו בעיה?

ההכרעה כאן צריכה להיות עקרונית מה רמת
האבטחה הנדרשת.

יש סמכות בחוק לקבוע תנאי זיהוי סבירים.

המחיר יהיה מחיר אחד לפעולה הזאת ולא יהיו
כאן כמה מחירים.

יהיה קריטריון למחיר.

אני חושב שכך גם צריך להיות כי אנחנו רוצים
להגביר את התחרות ולא לתת יתרונות. בואו נשאיר את זה לרשם. תשאירו לרשם את הסמכות. אני רוצה שתהיה אפשרות לרשם, אם הוא יגיע למסקנות כאלה, לחייב את כולם לעבור את הזיהוי במשרד הפנים. אם הרשם יגיע למסקנה שהוא רוצה שהתהליך הזה יעבור אישור של משרד הפנים, תהיה לו סמכות לעשות את זה. החלטת הרשם תתבסס בין השאר על שיקול של עלות השירות.

הדבר הזה לא קיים לא באירופה ולא
בארצות-הברית. אני בדקתי את זה. זו המצאה ישראלית.

בסדר. זוהי המצאה ישראלית ואנחנו נלך על-פי
ההמצאה הישראלית הזאת כשאני סומך על שיקול דעתו של הרשם מצד אחד ועל האינטרסים ההדדיים כאן. אם תגיעו
להסדרים – תגיעו. אם לא תגיעו להסדרים – יהיה עוד מישהו שיסתכל אם שווה להתאמץ או לא שווה להתאמץ ולדרבן אתכם. האמן לי שגם את זה לוקח על אחריותי ולא יהיה שום נזק מזה אלא רק תהיה תועלת.

הייתה הערה נכונה לגבי פטירה ופירוק חברות.

גם את זה נשאיר לחיים.

מקבלים תעודת פטירה ובא מישהו למשרד הפנים
שמסתכל על התקנות, אם מותר לו לתת או אסור לו לתת. אם אתה כותב את זה עכשיו כאן, חסכת.

תכניסו את זה כאופציה אפשרית, שהרשם יהיה
רשאי.

מדובר במשאב ציבורי שקיים ומתוחזק לצרכים
של המדינה בראש ובראשונה. זו המטרה לשמה הוקם ואי-אפשר להפוך את העסק על-פיו. הרי ההחלטה של כל הנושא של חתימות אלקטרוניות נובעת מתוך זה שרוצים לתת לשוק הפרטי לשחק פה משחק חשוב ולא לממשלה. אז אי אפשר מתוך מודל והבנה עם פילוסופיה עסקית-כלכלית שכזאת ללכת ולהפוך את הקערה על פיה וליצור מודל עסקי חדש למי שמתחזק את מאגר הנתונים של מדינת ישראל.

עם כל הכבוד, אני לא מקבל את דעתך. הכי קל
שהשוק הפרטי ישחק את המשחק והממשלה תיתן לו בחינם את כל השירותים.

לא אמרתי זאת.

לצורך ביצוע העסקה צריך להיות אלמנט של זיהוי
ואלמנט הזיהוי, ואפילו אם הידיעה אם אדם נפטר או לא נפטר, כרוך בביצוע פעולה והפעולה עולה כסף ומישהו צריך לשלם עבורה. אני מסכים שלא צריך להיות מצב שבגלל שהממשלה היא מונופול והיא מחזיקה את זה, הגורמים שהופכים להיות ספקי הפרטים האלה מתעשרים ועושים את הביזנס הכי טוב על חשבון העסקים האחרים.

זה בדיוק מה שהציק לי ואמרתי את הדברים
לאחר ששמעתי את המשא ומתן החד-צדדי הזה לקביעת מחיר.

אי-אפשר גם ללכת לכיוון השני ולומר שהממשלה
תיתן חינם אין כסף לגורמים פרטיים את כל הוודאות בזיהוי, הם יגבו אגרה ותשלום והממשלה תיתן את זה חינם.

אפשר לעשות סקירה ולראות איך התמודדו
ממשלות בעולם בהקניית האפשרות לעשות שימוש במאגר המידע הזה ולגזור מהדבר הזה.

אני לא אעשה את זה. את זה יעשה הרשם.

יש לי פה סט של נתונים שכולל את הנתונים
שהבנקים מקבלים היום פלוס נתונים של הפטירה. אפשר לרשום אותם ואחרי כן להחליט מה שרוצים, אבל אני אתן לכם אינדיקציה ותראו אם זה מספיק.

ראשית, מספר הזהות שזה ברור, שנית, שם המשפחה, שם משפחה קודם, שם פרטי, שם האב, שנת לידה, תאריך הנפקת התעודה האחרונה וסיבת הנפקת התעודה האחרונה. זה מה שמקבלים הבנקים. דבר נוסף שקיים הוא סטטוס, אם הוא חי או נפטר ותאריך הפטירה.

כמה זה עולה?

14 השדות הראשונים הם תמיד אותו מחיר. יש
כבר החלטה ואני לא נכנס לזה.

חצי שקל.

חצי שקל בכמות של 300 אלף, אבל אם אני מנפיק
עשרים אלף בחודש? אני שואל כמה זה עולה בכמות של 10,000 שאילתות בחודש ולא בכמות של 300 אלף.

הוא אומר הוא ייתן לך את זה בחצי שקל.

זה יעלה יותר.

את זה אחר-כך תעשו עם הרשם. אני בטוח שבסוף
תסתדרו, ואם לא תסתדרו, יכול להיות שהמצב יישאר כך. אם הרשם יעשה איזשהו דבר לא הגיוני, גם עליו יש ביקורת.

לא צריך שהמדינה תקבע את הליכי הזיהוי.

את זה לא קיבלתי.

צריכה להיות סמכות משפטית לתת את המידע.

צריכה להיות ראשית כל סוגייה אחת שלא קשורה
למה שמדובר כאן והיא היכולת המשפטית לתת את המידע.

צריך לכתוב את זה. בתאגידים לא נדרשת פנייה
למרשם.

צריכה להיות היכולת החוקית להשתמש. זה דבר
אחד שצריך לסדר אותו כך שיהיה קיים ואתם תחליטו איך. הנקודה השנייה היא לקבוע כמינימום זיהוי תעודות ולתת שיקול דעת לרשם שיפעיל שיקול דעת בהתבסס על מכלול נימוקים וביניהם איזון נכון בין הצורך בהגברת הוודאות של הזיהוי לבין העלות הכלכלית של השירות הזה. אם הוא יגיע למסקנה שאפשר להגיע להסדר כזה, תהיה לו סמכות להודיע שחייבים לבצע זיהוי לא על-ידי שתי תעודות אלא על-ידי תעודה ואימות מול משרד הפנים, שזה יהיה התחליף.

אפשר להוסיף שבין השאר הוא יקבע לגבי
הפרטים האלה ולהכניס את רשימת הפרטים? כדי שיהיה ברור מה המידע שהוא יכול לתת.

זה מתייחס להערה הראשונה שלי. זה מתן
היכולת המשפטית.

לגבי מסמך זיהוי נוסף, כמובן מדובר על מסמך
זיהוי בתמונה נוספת וצריך להגדיר אולי באיזה מסמכים מדובר.

לגבי סעיף (ג) החדש שנוסף כאן, לגבי תושב שטחים, אני ראיתי את ההגדרה הזו רק הבוקר אבל היא קצת בעייתית מכל מיני בחינות. יש פה הצעה אחרת שמקובלת על כל המשרדים, כולל משרד הביטחון.

כמו שאמרנו בהתחלה, יש הגדרה של תושב
והגדרה של תושב חוץ שהוא כל מי שאינו תושב ישראל ולכן ההגדרה של תושב חוץ כוללת את תושבי השטחים. ההצעה כאן בסעיף 2(ב), על-פי דרכון חוץ או תעודת מסע או תעודת זהות. לכן, אם יש תעודת זהות כתומה, זה ייכנס כאן.

מקובל.

בסעיף קטן (ד), תאגיד רשום בישראל, קיבלנו
הערה של לשכת רואי חשבון. "והחלטת האורגן המוסמך בתאגיד בדבר מורשה החתימה מטעם התאגיד" וכדי להקל אפשר להוסיף דבר שקיים גם בתקנות הלבנת הון "או אישור של עורך-דין או רואה חשבון בדבר סמכות החותם לחתום בשם התאגיד".

למה "או"? אפשר לומר "גם". הפרקטיקה היא
שמקבלים אישור עורך-דין על כך החלטת התאגיד התקבלה כדין.

למה צריך גם את ההחלטה עצמה וגם אישור של
עורך-דין?

משום שכאשר אני מקבל החלטה, אני לא יודע אם
היא התקבלה כדין.

בסדר. אפשר להיצמד לנוסח של הלבנת הון.

נדמה לי שרואי החשבון עצמם פעם קבעו שהם לא
יכולים לאשר פעולות שנעשו כדין.

הם ביקשו את זה.

הם יכולים לאשר דברים עובדתיים אבל לא
לקבוע אם פעולה נעשתה כדין.

נלך לפי הנוסח של הלבנת הון.

זה נכון גם לגבי תאגיד שאינו רשום בישראל. גם
כאן צריך אישור עורך-דין אבל איגוד הבנקים חושב שכדאי לאמץ את זה באישור קונסולרי כאשר מדובר בתאגיד שאיננו רשום בישראל. האופן הזה בו נאמר הדבר, זה נראה קצת מקל מדיי. אני מדבר על סעיף קטן (ה), על אימות מסמך מעיד על רישומו ואת ההחלטה שלו. הייתי אומר אימות הכל.

לגבי מורשה חתימה, אני רוצה להעלות כאן נקודה למחשבה בלי שיש לי עמדה מסודרת לגביה. היות שאנחנו דנים בעצם בחתימה אלקטרונית, אולי בכלל יש מקום לדבר שלא כחתימה אנושית על חתימתו של תאגיד. למה אני צריך לדעת מי מורשה החתימה של התאגיד?

לא צריך להיכנס לזה בשלב אישור התקנות.

אנחנו מוסיפים אישור קונסולרי?

מה שתחליטו, מקובל עליי.

זה נראה לי סביר.

יש בנקים בהם זה מקובל.

בתקנה 12 נשאר העתק מצולם.

מאחר שזה נוגע להסדר הכללי של כל הסוגייה של
הראיה הטובה ביותר בכל דיני הכפילות, הנושא כרגע במהלך של שינוי במשרד המשפטים. לעשות כאן שינוי חריג שלא יתאים למה שייקבע שם, לא רצינו לעשות ולכן השארנו כאן נוסח מצולם והחלטנו לשמור את המסמכים כמו שהם. אם לא יהיה שינוי במשרד המשפטים באופן כללי, אפשר לתקן פה ספציפית, אבל עדיף בשלב זה לא לעשות זאת אלא לחכות שנה. שנה ישמרו בצורה כפי שעשו עד היום.

אני לא רוצה לחזור לדיון שהתקיים בדיון הקודם
משום שאני חושב ששם מיצינו את הנושא. לקחנו שבע שנים והפכנו ל15-, נשארנו עם ניירות, הבירוקרטיה נשארה ובעצם גם לא שמנו שום מחסום בפני מי שצריך אולי להתקין תקנה חדשה בעוד שנה. זאת אומרת, אני מסכים לעמדה שאולי יש בעיה בחדשנות, אבל אני מזכיר לכם שאותה סוגייה עלתה גם לגבי תחילת הדיון כאשר גם אז היה משהו בנושא חדשנות. דיברנו על סוגיית החדשנות, אז לפחות שיהיו כאן מחסומים.

אני מסכים.

אני התנגדתי לטרמינולוגיה העתק צילומי כי
העתק צילומי זה משהו שמוגדר בחקיקה.

אבל אז יש לך בעיה.

אתה מאפשר להציג העתק ולפחות החוק מאפשר
להגיש העתק. עכשיו השאלה שתהיה היא האם העתק של מערכת היא העתק. אני חושב שעם זה אפשר להתמודד. בהעתק צילומי הבעיה היא שהעתק צילומי זאת טכנולוגיה מיקרו-פיש וכולי.

הבעיה היא נשאיר אותם באי-ודאות והם לא ידעו
מה בפועל לעשות. החברות ילכו לרשם ויאמרו שכאן כתוב העתק וישאלו מה צריך לעשות. ואז מה הוא יגיד להם?

אתם רוצים להכניס סעיף שיאמר שהרשם יהיה
רשאי לאשר מערכות להעתקים?

לא.

בעצם הכנסת המילה העתק לתוך התקנות,
גמרתם את הנושא.

מי כמוך יודע שזה לא דבר שעושים.

אם נמחק את המילה מצולם, זה יהיה בסדר?

אני חושב שכן. בתקנות של ועדת החוקה, שם
נדרש הסכמה של מקבל התעודה, שם מדובר במקור. אי-אפשר לבקש ממישהו שישאיר את תעודת הזהות שלו אצל הגורם המאשר, אבל שם ידרשו שיישאר המקור ופה הבעיה. זאת אומרת, במקרה הזה צריך לאשר העתק.

אנחנו נמחק את המילה מצולם.

אני רוצה להפנות את תשומת הלב. אני חושב שכל
התקנה הזו יש לה בעיה ניסוחית כי את מפנה לתקנה 11(ב) וזו טעות כי אין תקנה 11(ב). אם כבר אנחנו חוזרים לתקנה 11(1), אני לא פותח אלא אני אומר שכתוב שם גורם מאשר או נציגו שאישר הרשם. לפי הניסוח הזה, האם הרשם אישר את הנציג, את השליח או את הגורם המאשר? אני חושב שצריך ליישר את זה קצת.

לגבי ההמשך. אם תקראו, אני חושב שיש פה כשל ניסוחי. מדובר על 15 שנה, אבל אם התעודה חודשה, זה שבע שנים. כלומר, אם התעודה הייתה לשנה ואחרי שנה חידשתי אותה.

הערת רואי חשבון אומרת שהם רוצים להשאיר
שבע שנים כי 15 שנה זו דרישה כבדה מדיי בעיניהם. הדבר השני שהם רוצים הוא להחזיר משהו שהיה בנוסח קודם של התקנות שאומר שגורם מאשר לא יעביר את המסמכים לפי סעיף זה לאכסון מחוץ למקום פעילותו אלא כעבור שנה מיום קבלתם.

לעניין תקנה 14(א), יש בה תיקון שנדרש ניסוחית ולא משהו מהותי. יש כאן הערה של לשכת רואי חשבון שמציעים לקבוע שתוקף תעודה אלקטרונית לא יעלה על תקופה של שנה או תקופה מירבית אחרת עקב התפתחות הטכנולוגיה.

בתקנה 15 צריך להיות שמו ותוארו ולא שמו או תוארו.

תקנה 16, דוח שנתי. בעקבות החלטת הוועדה בישיבה הקודמת:

(א) הרשם יגיש לשר ולוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי של הכנסת אחת לשנה, לא יאוחר מיום 1 באוקטובר, דין וחשבון בדבר הפעלת סמכויותיו לפי תקנות אלה לרבות בדבר הטכנולוגיות שאושרו והליכי אישורן.

(ב) הדוח האמור בתקנת משנה (א) יפורסם באתר האינטרנט של הרשם.

הערות כלליות והצעות לכל מי שרוצה להציע.

אני רוצה להתייחס לתקנה 9(ג) שעוסקת בנושא
השימוש בסיסמה להפעלת אמצעי החתימה. למעשה מה שהתקן קובע הוא שהסיסמה תופעל על-ידי מספרים ואותיות. זה נובע לפי מה שאנחנו מבינים מהימים בהם אתה מפעיל סיסמה על מחשב וכאשר אנחנו מדברים על אמצעי חתימה, ברוב רובם של המקרים אמצעי החתימה לא יהיה על גבי המחשב אלא הוא יהיה באמצעים שהם אמצעים ניידים, בין אם זה יהיה מחר בטלפון הסלולרי, בין אם זה יהיה בכרטיסים חכמים עם מקלדת קטנה וכולי. כמו שאתם יודעים להכניס סיסמה במקשים של טלפון סלולרי או במקלדת של כרטיס חכם, יצריך, אם אתה צריך להכניס אותיות, להקיש לפחות שלוש פעמים על אותו מקש, דבר שיהפוך את כל הפעולה של גישה לאמצעי החתימה לדבר ארוך ומורכב. דיבר על זה קצת זאב בהתחלה. כל הנושא של שימוש באמצעי חתימה אלקטרונית נמצא היום בתהליך של כניסה, קליטה ותחילה של היקלטות על-ידי הציבור ואנחנו לא רוצים מראש בתקנות ליצור מצב שבו יקשה על הציבור לעשות שימוש קל, פשוט ואינטואיטיבי כדי להפעיל את האמצעי.

אם כן, מה המסקנה שלך?

המסקנה היא שהתקן הזה הוא לא תקן שמתאים
לאמצעי חתימה אלא תקן שמתאים למחשב.

אבל נאמר רק במקרה שהייתה הפעלת אמצעי
חתימה תוך שימוש בסיסמה.

ברוב המכריע של המקרים אתה מפעיל את אמצעי
החתימה על-ידי סיסמה כשיש לך שלוש או ארבע אפשרויות לבצע סיסמה.

הוא בטח יגיד שיש לו אמצעים אחרים.

אם אתה משתמש באופציה של סיסמה, אתה
מחייב אותו באותיות ומספרים והוא אומר שזה קשה לו.

אם כן, מה תהיה האלטרנטיבה?

האלטרנטיבה היא מספרים. אגב, בכלל כל התקן
הזה מדבר רק על סיסמה.

סיסמה היא אופציונאלית. כתוב שמי שכן
משתמש בסיסמה, צריך לעשות את זה באותיות ובמספרים. אם קשה לך אותיות, אתה רשאי להוריד את התנאי הזה.

שיהיו מספרים בלבד.

התקן אומר אותיות, מספרים וסימנים ובמקרה
של טלפון סלולרי, זה בלתי אפשרי.

המקום לדון בזה הוא מכון התקנים. אם אתה
חושב שהתקן לא מעודכן, תפנה אליהם.

זה לא תקן לאמצעי חתימה. התקן הזה הוא תקן
לשימוש - ויושבים כאן מכון התקנים שיכולים לומר זאת - במחשב.

אם זה לא רלוונטי – תעזוב את זה. אם זה כן
רלוונטי – תקן את התקן.

התקן הזה מיועד למכשירים הקשורים לרשת כי
שם יש סכנות מסוימות.

לי יש טלפון סלולרי או שיש לי מחשב, אני מפעיל
סיסמה כדי להפעיל את אמצעי החתימה. כדי שאני אפעיל את הסיסמה להפעלת אמצעי החתימה על-פי הדרישה הקבועה כרגע, הסיסמה הראשונית שאני מפעיל צריכה להיות מורכבת מתקן גבוה של מספרים ואותיות כאשר הם מבקשים שאפשר יהיה להסתפק רק בספרות בלבד. מה שמבקשים זה שווה ערך למה שאני יכול לעשות היום כשאני מפעיל את הכניסה שלי לכל כספומט.

כספומט לא נמצא באינטרנט.

השאלה היא אם יש לי ידע לשבור את הסיסמאות
של המספרים והאם העסקה הכי טובה שאני אעשה היא להנפיק אמצעי חתימה ולחתום חתימות אלקטרוניות. מבחינה פרקטית של עולם הפשע, האם אני פותח כאן פתח? נניח שתפסתי שיטה והשאלה איך אני אנצל אותה הכי טוב. כספומט אני יכול להוציא, אבל זה רק עד אלף שקלים או עד אלפיים או עד 5,000 או עד 10,000 שקלים.

אני חושב שהדבר החשוב להבין זו בדיוק הדוגמה
הזאת שהיא דוגמה מצוינת של כספומט. כספומט מעצם מהותו לא מקושר לרשת פתוחה כי אתה מקיש את המספר וזה משהו בינך לבין המכשיר שאתה נמצא בו. הכספומט עצמו הוא לא מכשיר און-ליין. גם טוקנס בכרטיסים חכמים וגם טלפון סלולרי כאשר אתה תפעיל בו אמצעי לחתימה, הוא לא אמצעי שממהותו הוא מחובר און-ליין לרשת. עצם פעולת הקשת הסיסמה הסודית שלך היא משהו שבינך לבין המכשיר שהוא לא מכשיר שמחובר לרשת. ברגע שביצעת את זה, אפשרת פונקציונאלית למכשיר לבצע את האקט.

הבעיה היא אחרת. אתה מסתכל על הצד של
הטכנולוגיה ואני מסתכל על הצד של הנזק. כלומר, בכספומט נותנים לך אפשרות עד גבול מסוים וכאן בעצם אתה יכול להגיע למצב שבגלל הקלות של שבירת הסיסמה אתה יכול לגרום נזק למישהו.

אין גישה לסיסמה. בניגוד למצב שבו סיסמה כזו
יושבת על הדיסק הקשיח במחשב, שזה אחד הסיכונים של סיסמה קבועה, אז ניתן באמצעים כאלה ואחרים לפרוץ למחשב ולפצח ולאתר את הסיסמה הזו ולעשות בה שימוש, כאשר מדובר על אמצעים ניידים מהסוג הזה, מכשיר שנישא, בראש ובראשונה הוא יושב אצלך בכיס ולא יושב בתוך הדיסק הקשיח כך שאפשר לגנוב אותו, ויש בו אמצעי ביטחון יותר גדול. מה גם שאם עשית טעויות, יש לך חמש או תשע אפשרויות לנסות ולנחש את הסיסמה ולאחר מכן העסק הזה חדל לפעול והוא הופך להיות בלתי שמיש.

כמו שכתוב בתקנה הסיסמה זה אופציות. כלומר,
אפשר להשתמש בכרטיס חכם או בשיטות אחרות. אם משתמשים בסיסמה, מבקשים איזשהו חוזק מינימלי של הסיסמה. בין חוזק הסיסמה לבין הטרדה, צריך להחליט מה אנחנו רוצים.

אני חושב שיש פתרון פשוט לעניין הזה. אני חושב
שסעיף (ג) מדבר על מצב שבו סיסמה עומדת בפני עצמה ואין אמצעי פיזי מאחוריה. יכול להיות שאם יש קשר לאמצעי פיזי, יכול להיות שאז אפשר להסתפק רק בסיסמה רגילה ולא בסיסמה מורכבת ואז אין את הבעיה והמהות שאנחנו מדברים עליה עכשיו. אני חושב שהסעיף הזה התכוון בעיקר למצב שבו הסיסמה היא האמצעי היחידי לזיהוי העסקה וזה לא מנוסח בצורה שזה מנוסח כאן.

בתקן יש שלוש רמות שמתייחסות לשלוש רמות
הגנה.

שימוש בסיסמה יהיה בכל אמצעי החתימה חוץ
מאלה שמבוססים על זיהוי גיאומטרי כי אתה חייב את הדבר הנוסף שלא בן-אדם יוכל לקחת את התוכן של מישהו וישתמש בו. השאלה היא האם אנחנו דורשים באותה סיסמה את אותה רמה גבוהה. בדוגמה שהבאנו כאן היום יש באמת מנגנון שהוא לא מאפשר לעשות ניסוי שהוא בלתי מוגבל. זה הפרמטר שצריך להוסיף. שאם זה תלוי בסיסמה, יהיה אמצעי נוסף שמגן על יכולת הפיצוח של הסיסמה.

באופן עקרוני מה שכתוב כאן שבמקרה שאמצעי
החתימה נמצא במחשב שמקושר לרשת, במקרה שלנו כמו שיש אמצעי אחר שהוא לא קשור למערכת, לא קשור למקרה הספציפי שלנו אלא קשור באופן אקוסטי, אין אפשרות לחדור. התקן שדרוש כאן הוא תקן לא מתאים לטלפונים הסלולריים.

נשאיר את זה כדרישה.

תוסיפי. בסדר.

לגבי תקנה 11. יש מושג שנקרא קרוס
סרטיפיקייט. אבי שוורץ שהוא מומחה לאבטחת מידע ולחתימה אלקטרונית ירחיב עליו את הדיבור. בעצם השאלה היא האם לא ניתן כאן להסתמך על סרטיפיקייט שהוציא גורם מאשר אחר לצורך הזיהוי אצל גורם מאשר חדש.

אפשר להשתמש בגורם מאשר אחר כאמצעי
זיהוי.

גם בנק ישראל יצא עם איזשהו רעיון של המערכת
הסגורה כאשר אם לקוח הזדהה בבנק מסוים, בבנק אחר הוא יוכל לפתוח למשל תוכנית חסכון בלי להזדהות פעם נוספת ואפילו צו איסור הלבנת הון מתייחס לאפשרות הזאת. זאת אומרת, אם פעם אחת הזדהית כדבעי, זה מספיק.

על מי נופלת האחריות?

כרגע זו שאלה פתוחה.

נשאיר את זה כך. לא קיבלנו את הרעיון.

הערה כללית וגם כאן, אם אני מתפרץ לדלת
פתוחה, אני מוותר עליה ומתנצל. אולי כבר מישהו עלה על העניין הזה שיש איזושהי חפיפה בין שני הסטים של התקנות וזה קצת לבלבל. למשל, אם אני מסתכל על תקנה 2 שקובעת מה צריך גורם מאשר לקבל, אז יש תקנה 2 ו4- בסט האחר שגם מתייחסת לדברים האלה.

די לצרה בשעתה. נדון בזה בשבוע הבא.

סעיף 9(ג), אותו סעיף שדיברנו בו. לא מוזכר
בצורה מפורשת באופן ישיר זיהוי ברימטרי והייתי מבקש להזכיר את הזיהוי הזה.

למה צריך להיות כתוב? כתוב שבמקרה שהייתה
העברת אמצעי חתימה הכרוכה בשינוי סיסמה. זה מראה שיש מקרים שלא צריך.

תודה רבה לכולם.



הישיבה ננעלה בשעה 12:05