ôøåèå÷åì ùì éùéáú åòãä

ôøåèå÷åì ùì éùéáú åòãä

àåîðéè÷

2018-02-08OMNITECH



הכנסת העשרים

מושב רביעי

פרוטוקול מס' 155

מישיבת ועדת המדע והטכנולוגיה

יום שני, י"ג בשבט התשע"ח (29 בינואר 2018), שעה 12:30

הרשות הלאומית להגנת הסייבר – סיכום שנות ההקמה (2016-2017) – דיווח ראש הרשות היוצא, מר בוקי כרמלי

"דרישה ממשרד הפנים לתקן ליקויים במערכות המידע של הרשויות המקומיות בשל פריצות סייבר", של חה"כ לאה פדידה, חה"כ אורי מקלב

חברי הוועדה: אורי מקלב – היו"ר

רויטל סויד

לאה פדידה

יעקב פרי

בוקי כרמלי - ראש הרשות הלאומית להגנת הסייבר

שמר הדר - עוזרת מנכ"ל, הרשות הלאומית להגנת הסייבר

עמיר שי - ר' המרכז להכוונת המגזרים, מערך הסייבר הלאומי

גדעון קונפינו - מנהל יה"ב, רשות התקשוב הממשלתי

אברהם זרוק - מנהל מערך הגנה בסייבר, רשות התקשוב הממשלתי

תובל צסלר - יועץ לראש הרשות הלאומית להגנת הסייבר, משרד ראש הממשלה

אתי שמואלי - מנהלת אגף הנדסת תקשורת, משרד התקשורת

יוסי מנחם - ראש ענף ביטחון מידע, שב"ס, המשרד לבטחון פנים

ינון בטאט - רמ"ד סייבר טכנולוגיות סיגינט, המשרד לבטחון פנים

אילן יום טוב - ראש תחום סייבר, המשרד לבטחון פנים

נדב ברש - יועץ סייבר למולמו"פ במשרד המדע, משרד המדע והטכנולוגיה

פדיל צאלח - ראש תחום, משרד המדע והטכנולוגיה

ענת אסיף - ראש אשכול ביטחון, משרד המשפטים

נעם רוזן - הרשות להגנת הפרטיות, משרד המשפטים

גילי בסמן - מנהלת מח' משפטית ברשות למשפט, טכנולוגיה ומידע, משרד המשפטים

אליהו רגב - מנהל מינהל הרישוי והחירום, משרד הפנים

רועי גולדשמידט - רכז בכיר, מרכז המחקר והמידע של הכנסת

צחי שלום - מנהל מערכות מידע, מרכז השלטון המקומי

ברק שחר - מנהל מחלקת תקשוב, מרכז השלטון המקומי

יריב נוי - צוות אבטחת מידע, החברה לאוטומציה

יורם אסולין - מנהל חטיבת תשתיות, החברה לאוטומציה

צביקה פליישמן - מנהל חטיבת הממשלה, חברת סי איי-שירותי אבטחת מידע

יהודה קונפורטס - עורך ראשי, עיתון אנשים ומחשבים, מנמ"רים ומנכ"לים חברי הפורום של מועדון C3 "אנשים ומחשבים"

ניצן דה פז - אזרח המתעניין בנושא

ענת לוי

סמדר לביא, חבר תרגומים

הרשות הלאומית להגנת הסייבר – סיכום שנות ההקמה (2016-2017)

"דרישה ממשרד הפנים לתקן ליקויים במערכות המידע של הרשויות המקומיות בשל פריצות סייבר"

צהריים טובים. אני מתכבד לפתוח את ישיבת ועדת המדע והטכנולוגיה, היום יום שני, י"ג בשבט, תשע"ח, 29.1.2018, על סדר יומנו שני נושאים. הנושא הראשון זה הרשות הלאומית להגנת הסייבר, סיכום שנות ההקמה, 2017-2016. את הדיווח ראש הרשות, בוקי כרמלי, יציג לנו. כאן כתוב לנו היוצא, אבל זה אולי הנושא השלישי, אני דילגתי על המילה 'היוצא', כי אצלי זה עוד נושא בעצמו ואנחנו גם נייחד זמן להגיד לך מילות הערכה. הנושא השני זה דרישה ממשרד הפנים לתקן ליקויים במערכות המידע של הרשויות המקומיות בשל פריצות סייבר. זה נושא שירד אלינו מהמליאה, זה נושא שהיו פניות של חברי כנסת וזה הנושא השני שאנחנו נדון. בחלק הראשון של הדיון אנחנו נתמקד בנושא של דיווח וסיכום של הרשות הלאומית להגנת הסייבר.

יש מקום לחבר הכנסת פרי, בבקשה. אנחנו אמרנו מקודם שיש לנו שני חלקים לדיון. הדיון הראשון הוא דיווח וסיכום שנת ההקמה, גם דיווח וגם סיכום של הרשות הלאומית להגנת הסייבר, של מר בוקי כרמלי, ראש הרשות היוצא. הנושא השני זה הדרישה ממשרד הפנים לתיקון ליקויים במערכות המידע של הרשויות המקומיות בשל פריצות סייבר. זה הנושא שלנו.

אני חשבתי שזה דיון לבקשה על הצעה לסדר. אני חושבת שכדאי לציין את זה.

אני ציינתי, אני חזרתי עכשיו על הדברים.

אוקיי, אז סליחה.

אני אמרתי שזה נושא שירד מהמליאה, כהצעה לסדר דחופה ואנחנו נקיים דיון ואמרתי שיש גם פניות של חברי כנסת נוספים, שלא במסגרת הצעה לסדר, חברת הכנסת יוליה מלינובסקי גם פנתה אלינו, כך שאנחנו דנים בשני הנושאים, אבל אנחנו בחלק הראשון מתמקדים, יש אמנם קשר של כותרת, אבל אנחנו רוצים לייחד את הדיון הראשון לנושא של סיכום שנת ההקמה.

אחד הדברים המרכזיים שהוועדה עסקה ועוסקת בהם זה נושא הסייבר, על כל מרכיביו ועל כל השלכותיו. אנחנו יודעים להעריך ויודעים מה המשמעות של סייבר במדינת ישראל. רק כדי למנות את כל ההיבטים ואת כל ההשלכות ואת כל החשיבות זה לקח לנו הרבה זמן, אבל אנחנו יודעים שבמקביל לרשות הסייבר קיים גם מטה הסייבר, שהיום התאחד למערך הסייבר הלאומי.

אנחנו יודעים שככל שהטכנולוגיה מתחדשת ומתרחבת הנגטיב של הנושא של התפתחות והתחדשות טכנולוגית ומערך טכנולוגי מתקדם, חלק מהפיתוחים זה גם הגנה, אי אפשר לפתח ולהיות מרחב מאוד מאוד מהיר ונגיש בלי שאתה גם יוצר לו מערכות הגנה. אולי, לצערנו, לא מיד בהתחלה ידעו את זה ויש מערכות שלמות שנבנו ללא מערכת ההגנה ואנחנו היום מגיעים להרבה פעילויות שצריך לעשות כדי להגן. יחד עם זאת, בדברים שהיום מקימים וזה חלק מהמטרות, כבר להקים את זה עם מערכות ההגנה.

מערכות ההגנה הן מאוד מגוונות, במיוחד מה שהיה אמון על רשות הסייבר זה קודם כל הגנה על תשתיות המדינה, הוא היה גם גורם מנחה ולא מעט התעסקתם עם מלחמה בסייבר, התמודדויות עם אירועי סייבר, אנחנו ביקרנו ב-cert הלאומי בבאר שבע, מאוד התרשמנו בזמן אמת, גם ממראה עיניים, לא רק ממשמע אוזניים, מהמקצועיות וההשקעה והאחריות שיש. ויש עוד נושא שאנחנו גם התוודענו אליו וגם דנו בו וגם ביקרנו, זה הנושא של תשתיות, הכשרה, הדרכה, הרחבה של פעילות הסייבר.

אני ככה נתתי על קצה המזלג, אנחנו יודעים שבסופו של דבר במערכת הזו קיימים אנשים, אנשים שפעלו ועשו. אם נסתכל אחורנית נראה שיש הרבה עשייה, שנתיים ועשייה רבה מאוד. כמובן שתמיד יכולים להסתכל על כך שהמשימות והיעדים הם רבים, יש עוד הרבה מה לעשות, אבל אם אנחנו רוצים היום, כשיש סיכום שנות הקמה, אני חושב שאנחנו מלאי הערכה לפעילות הזאת של אנשים, מאחורי הפעילות הזו יש אנשים מסורים, מוכשרים מאוד, שהם רוצים לתרום למדינה, לפעול בתוך מערכות המדינה, והאנשים האלה, חלקם הגדול אם לא כולם, יש להם גם אפשרויות חיצוניות לעבוד בסייבר, אנשים שבאים עם רקורד ועשייה רבה מאוד והם שילבו בתוך העבודה שלהם גם אחריות, גם להיות שותפים בהקמת מערך הסייבר הממשלתי והתמודדות עם הסייבר.

אנחנו רוצים לציין שבראש המערך עמדת אתה, בוקי, הנחית, הקמת, יש באמת הרבה דברים לומר, מלאי הערכה, וההשקעה שלך והתוצר שלך והקידום שלך של הדברים בעצם יירשמו בדברי הימים, שאנשים יסתכלו על העבר ויידעו שעשית כמעט יש מאין, הקמת דברים ממה שלא היה. אנחנו לא עשינו היום מסיבת סיום, אבל כבוד הוא לנו. לא כבוד הוא לנו, בואו לא נתווכח, מר בוקי כרמלי מסיים את תפקידו עם הקמת מערך הסייבר. אם כן נכון או לא נכון להקים את מערך הסייבר, גם בסיור שהיינו ב-cert הלאומי שאלנו אותך שאלה, האם יש ריבוי או חלוקה של התפקידים, זה טוב, לא מוטב, אם זה גורם, אם זה משפיע על המקצועיות ועל אופן הפעולה, אתה אמרת, וקיבלנו את זה, שבחוץ זה נשמע הרבה יותר מאשר בפנים, אבל אנחנו גם הבנו שהיו צריכים לעשות פעולה בעניין הזה. ימים יגידו, אנחנו רק יודעים דבר אחד, שמה שנעשה עד עכשיו נעשו דברים טובים, השינויים, את זה צריך ללוות ו - - -

אדוני היושב ראש, בימינו כל אחד כמעט נהיה מומחה לסייבר.

כן, אבל אנחנו מצד אחד גם יודעים שיש מחסור במיישמים. העתיד, גם עסוקים גם בהנחיה, הם היו כאן, פרנקו גם הופיע לא מזמן בוועדה והציג נתונים מטעמכם על מחסור, על הנחיה, על הקמת תכנית ללימודי סייבר, אבל בכל אופן בסופו של דבר אנחנו יודעים שהחשיבה וכל העבודה הייתה לטובת המדינה, לטובת התושבים, לטובת האזרחים ואנחנו מלאי הערכה. אני בטוח שבמקום שלך ימצאו את הדרך לציין את זה, אבל אנחנו, במסגרת הקטנה שלנו, בשעה הקטנה והמצומצמת שיש לנו, אנחנו יודעים ורוצים להביע את ההערכה הגדולה לפעילות שלך בנושאים האלה וגם על סבר הפנים היפות, על הנכונות, אנחנו בשיתוף פעולה.

אני רוצה לציין בשם הוועדה את שיתוף הפעולה, זה לא דבר שמובן מאליו, לפעמים יש אנשים שבורחים מאחורי מעטה של סודיות ושל אין אפשרויות, אתה פתחת את זה ככל האפשר, באחריות מלאה, ככל האפשר בשקיפות מלאה, גם לציבור לדעת, חשבת שיש חשיבות למודעות, חשבת שאנשים צריכים להיכנס תחת המעטה, - כמה שאתה יכול יותר להנחות אנשים שיהיו מודעים לזה ולתת את הכלים לעבוד, לא ברכושנות או מבחינת האחריות של העניין. ככל שהתוודעת ונחשפת, ככה חשבת שזה נכון ואנחנו חיזקנו את דבריך בעניין הזה.

ואני אביא דוגמה קטנה, רק לנושא, ובזה אני אסיים. אנחנו קיימנו כאן דיון והיו התנגדויות מהצד השני, לא מהצד שלך, בצד שלך היה שיתוף פעולה, עם ועדת הבחירות המרכזית שלנו, בעקבות אירועים שהיו בעולם. הייתה התנגדות, 'אף אחד לא היה ינחה אותנו, אף אחד לא יגיד לנו מה צריך, אנחנו יודעים' ומתברר שלא כל כך יודעים ומתברר שנעשים דברים וככל שהזמן עובר אנחנו יודעים שצריך להיערך והיום כבר בממשלה מתקיימים דיונים, כשאנחנו דיברנו לפני חצי שנה, איך ייעשה, מה ייעשה כדי לשמור על טוהר הבחירות, כדי לשמור על הבחירות מהתערבויות זרות. כנראה מה שאתם ידעתם לא ידעו אחרים או לא רצו לדעת וחלק מהתפקיד זה היה באמת לדחוק להטמיע, לא תמיד אנשים רצו ואנחנו חיזקנו את ידכם בעניין.

עד כאן דבריי. ברשותכם יש כאן מצגת קצרה של בוקי ואחרי זה נודה על התייחסות שלכם לעניין, ברכות וכל שיאפשר הזמן. בבקשה.

אדוני היושב ראש, חברי הכנסת, צהריים טובים. אני אנסה בפחות מ-20 דקות לסכם את כל השנתיים האלה ולהשאיר זמן גם לדיון ולשאלות.

המשימה שממשלת ישראל הטילה עלינו הייתה להסדיר את כל מה שנקרא הגנת המרחב האזרחי בעולם הסייבר. אנחנו לקחנו את זה עוד צעד אחד קדימה, בייעוד הפנימי שלנו, ואמרנו שבסופו של דבר תפקידנו לאפשר לדרג הלאומי, דרג מקבלי ההחלטות, לקבל החלטות באופן כזה שהאיום על המרחב האזרחי בסייבר לא יכביד עליהם. המשמעות הייתה מצד אחד להגן באופן כזה שלא מטיל נטל, מצד שני להגן באופן כזה שמאפשר לקברניטים, במקרה הזה ראש ממשלה וקבינט, להבין את מצב ההגנה, כלומר מצב החוסן.

רק בשביל לסבר את האוזן, מרחב הסייבר הישראלי כולל שורה נרחבת של גופים. אנחנו הדגשנו את הגופים המיוחדים, צבא, נכסים צבאיים, הסוכנויות השונות, התעשיות הביטחוניות שמונחות על ידי משרד הביטחון באמצעות המלמ"ב. אם תיקחו החוצה את מה שנקרא הגופים המיוחדים, מה שיישאר זה המרחב האזרחי שבאחריות הרשות. זה מרחב ענק ובמידה רבה החלטת הממשלה או המשימה שהממשלה הטילה עלינו היא מהפכנית, כי בפעם הראשונה אמרו לנו 'תעשו כמו שאנחנו עושים במים', אזרח ישראלי שפותח ברז מים במדינת ישראל, ולא בכל מדינות העולם זה מובן מאליו, יודע שהוא יכול לשתות מים מהברז, הוא אוהב לשתות מים מהברז והוא יודע שהוא יכול לעשות את זה והוא לא עוצר לרגע לשאול מי עשה את זה, מקורות, תאגיד המים העירוני. הוא יודע שמשהו ברמת המדינה נעשה כדי להבטיח שהוא יוכל לשתות מים. הממשלה אמרה לנו אותו דבר, 'תעשו שאפשר יהיה להשתמש במרחב הסייבר ללא חשש'.

אחד האתגרים הגדולים, כשאתה ניגש למשימה כזאת, ולשמחתי זו פעם חמישית או שישית בקריירה שלי שאני עושה את זה, זה למצוא את האנשים.

זה רק שתלמד.

יכול להיות. דרך אגב, אני כל פעם לומד דברים חדשים, אני משתדל לא לחזור על השגיאות הקודמות.

לגייס אנשים כי אתה מתחיל עם חמישה, עשרה אנשים ואתה בסוף צריך לייצר מסה. אנחנו בפחות משמונה רבעונים גייסנו 220 עובדים, 110 מהם זה עובדי מדינה וכל השאר זה יועצים. אז מעבר לעובדה שזה תהליך מאוד מאוד לא טריוויאלי בעולם ממשלתי אני רוצה להגיד שיש קושי רב לקבל עוד תקני כוח אדם באופן כזה שמייצר מסה קריטית. לצערי הרב אני הגעתי עד נקודה מסוימת והכדור עבר ליגאל, כדי שהוא ימשיך את זה.

אני רוצה להגיד עוד דבר, שסוגיית יועצים היא סוגיה מאוד מעניינת. מצד אחד המדינה לא יודעת לתת להם סמכויות שלטוניות, כי הם לא נחשבים כעובדי מדינה, מצד שני הם מביאים המון ידע כי הם באופן דינמי עוברים בין ארגונים ומביאים ידע חדש.

מה הכוונה בסמכויות שלטוניות?

אדם שאיננו עובד מדינה לא רשאי לחתום או להנחות אותך.

הבנתי, ברור.

לכן אחת הפעולות שאנחנו התנענו מול משרד המשפטים זה מה שאני קורא צורך בהגנת ינוקא, זאת אומרת לתת לרשות, לתת בשנתיים-שלוש הראשונות זמן להקלות בהפעלת יועצים בגלל הסיטואציה הזאת.

אנחנו גיבשנו מתודולוגיה סדורה על פי - - - של מעבר בין מוכנות לאירועי סייבר וחזרה לשגרה. היא כוללת ארבעה שלבים, משלב המוכנות לשלב ההגנה השקטה, שזו הגנה שאתה מבצע מבלי שאתה חושף את פעולותיך לתוקפים, אחרי זה עובר להגנה רועשת ולבסוף קבלת החלטה לעבור למה שנקרא שגרה מפוקחת, שארגונים עוברים לתוך השגרה, אבל אנחנו, הארגון, עדיין נמצאים שם בשביל לפקח על זה.

תרגלנו, להערכתי, מעל 20 תרגילים שונים מתחילת הדרך ועד הלום של הדבר הזה, לבד ועם ארגונים אחרים ועם ארגונים מקבילים לנו וכן הלאה. במקביל לזה, מול רח"ל, הרשות הלאומית לחירום, אנחנו בנינו מודל לחירום בסייבר שכולל מעברים בין מצבי חירום ובין מה שצריך לעשות, חלק מהדברים יגיעו אחר כך לתהליך החקיקה, מה צריך לעשות כדי שהרשות תוכל לתפקד בעת חירום, בין אם החירום הוא בסייבר ובין אם החירום הוא מדינתי.

מתחילת 2017, ותיכף אני אסביר למה אני מתחילה ב-2017, כי יש גם את 16', אנחנו עוסקים בממוצע ב-100 חדירות לארגונים שונים במדינת ישראל. אני אגיד את זה במילים אחרות, כל חודש נפרצים בממוצע 100 ארגונים שונים במדינת ישראל. אנחנו לא מדברים על ארגונים שהם ברמת מכולת קהילתית, אבל גם לא כל הארגונים הם בעלי חשיבות לאומית גדולה. זה כל הסקלה. אנחנו רואים, אתם רואים פה את הגרף הזה, שמספר ניסיונות התקיפה גדל בזיקה לאירועים חיצוניים. באפריל יש קמפיין שנתי של ארגון אנונימוס שהמטרה שלו להציק. אתם רואים ביולי, בעקבות אירועי הר הבית, עלייה במספר התקיפות, בנובמבר, בעקבות ההכרזה על ירושלים. אתם רואים את הדברים האלה. זה לא שאנחנו מדברים איתם והם אומרים לנו שזאת הסיבה, אבל יש זיקה, לפחות על פניו זה נראה קורלטיבית, לאירועים חיצוניים. וגם אתם רואים שבקיץ המספרים עולים.

וזה מול גופים אזרחיים רק.

אזרחיים פלוס תשתית מדינתית, שאתה מכיר אותה עוד מעברך.

כמו חשמל ו - - -

אתה יכול לחדד מה זה חדירה? מה המשמעות של זה?

כן. בואו נזכור שהתקפת סייבר בסוף זה נגמר בזה שזו איזה שהיא תוכנה לא לגיטימית שפועלת אצלך במחשב. מרגע שמישהו הצליח להחדיר אותה למחשב שלך, לדיסק, להדביק את המחשב שלך, זאת חדירה, בין אם זה מחשב בודד או כל הרשת של אלפי מחשבים.

ואיך אתה יכול לסכם את האירועים האלה מבחינת נזקים?

אני אגיד כזה דבר. אני אגיד שלו היה נזק משמעותי כזה, אז אני מניח שהיינו יודעים עליו, אבל הנזק העיקרי שאתה רואה בתהליכים האלה זה דליפת מידע אזרחי. מידע אזרחי יכול להיות בעל השלכות בסופו של דבר גם על פעילות תקינה של מדינה.

בסקירה שלך, בוקי, גם תגיד לנו איך היריב רואה את מערכת ההגנה שלנו?

לא בדיון.

אנחנו גם יודעים להציק, בלי שהוא אומר את זה. זה לא רק בלימה, יש אצלנו גם התקפה. במלחמה הזו זה לא רק קרב של בלימה, זה גם מערכת התקפה.

אני לא מכיר, אבל כנראה שיש.

אנחנו גם לא מבקשים ממך להתייחס לעניין הזה, אנחנו אומרים את זה ולנו מותר להגיד את זה. הייתי רק רוצה להגיד, אם מתוך כל האירועים, כמה אירועים משמעותיים מאוד, מתוך לא ריבוי, אלא - - -

אני אתייחס ל-WannaCry שהוא דוגמה למקום שבו מדינה נכנסת לפעולה.

שאל גם חבר הכנסת פרי, אני מבין שיש כאלה שאולי לא מפרסמים, השאלה אם אנחנו לא יודעים, אם זה לא היה אירוע משמעותי או גופים פרטיים ומסחריים לא מעוניינים - - - נניח שעזרתם לבנקים, אם עזרת לבנקים, הבנק עצמו לא מעוניין לפרסם - - -

היושב ראש, זה מגיע. זה מהותי בקיומה של רשות אזרחית להגנה על מרחב אזרחי. זה מהותי וזה מגיע מיד, אני רק רוצה לסגור את הסקירה הסטטיסטית הזו.

כדי לסייע לגופים אזרחיים כשיש מתקפת סייבר, הרבה פעמים גוף לא יודע שיש מתקפה כי המתקפה התחילה במקום אחד וכשאנחנו מנתחים אותה אנחנו מגלים שהיא בעצם מתפשטת למקום אחר. אז נדרשות סמכויות. אנחנו נהנינו במשך השנתיים האלה משיתוף פעולה מדהים עם השוק האזרחי. אני אזכיר עוד פעם, שלמעט הגופים שנמצאים בתוספת החמישית, בחוק להסדרת הביטחון, מה שנקרא תשתית מדינה קריטית או מערכות מחשב חיוניות, בשאר הגופים אין לנו סמכות ולכן כל הפעילות שם נעשתה - - -

וולונטרית על ידי הגופים שמוכנים לקבל את זה.

הסכימו לקבל, זה לא פטר אותנו מלהשית על עצמנו מגבלות של שימוש במידע ונוכחות בארגון וכהנה וכהנה, אבל לארגון הייתה את הזכות להגיד 'אל תיכנסו' ולשמחתנו זה לא קרה. אני מדבר על מאות ארגונים, זה לא קרה.

בהיעדר חוק סייבר אנחנו פעלנו על פי הנחיות שנקבעו על ידי היועץ המשפטי לממשלה, זה כמובן לא תחליף לחוק, אבל זה לפחות גידר אותנו בפעילות שלנו.

מכינים חוק?

בוודאי, להערכתי - - -

אז מכוח מה הפעילות שלכם נובעת אם אתם לא יונקים מאיזה שהוא חוק?

אז אני אגיד עוד פעם. אני חייב להסביר את הדבר הזה בשלושה משפטים, כשיש אירוע סייבר ואתה נכנס לארגון, בסוף זה לא שאתה דופק בדלת ומדבר עם מישהו, אתה צריך להתחיל עם משהו ברשת שלו. מאחר שהיום כל המידע נמצא ברשת יש סכנה שאתה תיחשף למידע שהוא לא רלוונטי למתקפה, קשה מאוד להפריד, ולכן אתה צריך להשית עליך כמגן כל מיני כללים, מה תעשה אם יגיע אליך מידע שלא התכוונת, איך תמחק אותו, איך תבטיח שאתה לא לוקח אותו וכן הלאה, זה פעם אחת. פעם שנייה, אתה צריך להשית על עצמך כללים של מה אתה כן תעשה בארגון ברשותו או לא ברשותו של הארגון. בהיעדר חוק, רק בהסכמה של הארגון שמבין את הנזק שעלול להיגרם לו, כי לו אין את הידע ואין את הכלים.

אני הבנתי, אני שאלתי מכוח - - -

לא נתקלתם אף פעם בסירוב?

לשמחתי לא.

אני שאלתי בכלל, מכוח מה הרשות פועלת. הרי הרשות פועלת מכוח חוק.

אז הרשות הוקמה קודם כל על סמך החלטת ממשלה. מול גופי תמ"ח היא פועלת מכוח החוק להסדרת הביטחון, אבל מדובר על כ-30 גופים. שאר המשק זה פשוט החלטת ממשלה ורצון - - -

וולונטרי.

וולונטרי במידה רבה.

זו החלטה 3444, משהו?

2444. יש לה - - - של 2443, אבל כן, שתי המשפחות האלה.

כשסוקרים מי הם המגזרים המותקפים ביותר, אז לא מפתיע לראות ש-70% מניסיונות התקיפה הם באזור ממשלה, היי טק ופיננסים, אזורי עניין למי שמחפש מידע מכל סוג שהוא.

אני אמרתי שבתחילת 2017 אנחנו נתקלים בממוצע של פחות או יותר 100 חדירות בחודש. כשיצאנו לדרך ב-2016 המספר היה יותר קטן. עכשיו, זה לא שהתוקפים השתפרו או שההגנה התקלקלה, אלא הגידול במודעות, בחשיפה, אתה מכיר את דעתי בעניין הזה, אני אסכם אותה גם בסוף המצגת, ובהנגשה של הרשות אל הציבור יצרה אצלם כתובת שהם דיווחו לנו. ככל שהרדאר היה יותר גדול והפתיחות הייתה יותר גדולה ככה קיבלנו מהם יותר מידע שלימד אותנו על זה שיש בעצם מתקפות. רוצה לומר, ככל שהיינו מגיעים יותר היינו מוצאים כנראה עוד התקפות. זה המספר שאנחנו יודעים עליו היום. זה לא תקרה בהכרח.

אני רוצה להבין את הדקות, אתה אומר שרוב רובן של מה שאתה קורא חדירות או אירועים היו בעקבות דיווחים של הגופים או בעקבות עלייה יזומה שלכם? אתה מבין את שאלתי?

אני מבין את שאלתך, קודם כל אני רוצה להגיד שרוב החדירות אירעו כי היו תוקפים שתקפו.

זה ברור.

אבל המידע לגביהן הוא שילוב של שני דברים. רובו המכריע, באופן מובהק, הוא העובדה שזה דווח לנו.

ענית לי.

היו אזורים שבהם כשטיפלנו באירוע אחד גילינו אחרים בשרשרת, אבל זה לא הרוב המכריע. הרוב המכריע זה דיווח אלינו ותיכף אני אדבר על הקמפיין.

זאת אומרת המודעות של השוק האזרחי היא קריטית במובן הזה.

היא קריטית מאוד וחבר הכנסת, אנחנו מדברים היום פעם ראשונה בהקשר הזה, אבל היושב ראש מכיר את דעתי מהקמת הרשות, אני טוען שרשות חייבת להישאר גוף אזרחי פתוח לציבור, אני גם אסכם את זה, אחרת היא לא תדע שזה קורה.

אבל בגופים הממשלתיים כן גיליתם ראשונים.

בוודאי, אני אדבר גם על ה-SOC הממשלתי.

זה לא היה בעקבות דיווח.

בממשלה קל יותר לעבוד. בחלק הזה יותר קל לעבוד בממשלה. אני רוצה להגיד משפט אחד, קיומו של גוף שאין לו אינטרסים מסחריים הוא דבר מהותי. זאת הסיבה, אגב, שאנחנו, בניגוד לכל חברה שנותנת שירות, נתפסים כמדינה שאפשר לדווח אליה. זה משית עלינו הרבה מאוד חובות, אבל זה בהחלט מביא את היתרון.

אנחנו פיתחנו את התפיסה, זה נקרא בשפה המקצועית crowdsourcing, שימוש בעובדה שבמקום אחד קורה משהו ולהפוך אותו למידע שלא חושף את מי נפגע, אבל איך הוא נפגע, כדי להגן על האחרים. הדוגמה הכי טובה שאני מביא, כי היא מאוד נוחה לי, היא לא ישראלית, אירוע הסוויפט שאירע במהלך 2016, ניסיון לגנוב מיליארד דולר בבנגלדש, תפסו אותם אחרי 80 מיליון. המידע הגיע אלינו, המידע הטכני, הקונקרטי, הגיע אלינו תוך 24 שעות, הופץ למגזר הפיננסי כדי לחסן אותו - - -

הוא הגיע ממדינה או שזה בא מבנק?

הוא הגיע מבנק שמסר ל-cert המקומי שמסר לנו. זה חיבור שלנו.

אתה אומר שיש שיתוף פעולה בינלאומי בנושא, שזה גם חשוב.

אני מגיע לשם. מקובל בעולם להשתמש במה שנקרא רמזור. רמזור זה המקבילה האזרחית לעולם של הסיווג הביטחוני. בעולם הסיווג הביטחוני כשאתה מתחיל להתחיל לדבר בשפה של שמור, סודי, סודי ביותר, אתה צריך להתחיל לסווג את האנשים וזה מתחיל להיות עסק מאוד מסובך. כל מי שעסק בעולם הזה מכיר אותו. בעולם הסייבר מקובלת שיטת סיווג שמתייחסת רק למידע, כשלבן אומר תפיץ את זה איך שאתה רוצה למי שאתה רוצה, אדום זה לאדם מסוים ספציפי וכל הדרגות בדרך. השיטה הזו אומצה בישראל, היא מאומצת בכל העולם, אנחנו פשוט חלק מהקהילייה הזו.

זו שפה בינלאומית?

כן. אנחנו הפצנו מאז ההקמה מעל 1,000 התראות סייבר ממוקדות. אני רוצה להסביר מה זה התראת סייבר ממוקדת. בעולם הטרור, וחבר הכנסת פרי בוודאי מכיר את זה, יש הרבה מאוד התראות שהן כוונות, בגלל שבציר הזמן יש לכם מרחב היערכות, בעולם הסייבר אין מרחב היערכות ולכן התראה חייבת להיות לא סתם ממוקדת, אלא טכנית מפורטת היטב מה צריך לעשות כדי לגלות אותה ולחסום אותה.

אתה לא יכול ליהנות כמונו מכלליות, אתה צריך להיות ספציפי.

כן. אנחנו הפצנו מעל 1,000 כאלה במהלך התקופה הזאת. התקפות שאתם רואים פה על ישראל, הן הבולטות שבהן. שיטות של התקפות שונות, אני דווקא רוצה להתייחס ל-WannaCry. WannaCry זו אותה התקפה מפורסמת שפתחה את מהדורות חדשות יום שישי אחר הצהריים בישראל, שסיפרו שבבריטניה כל בתי החולים הותקפו וכו'. אז קודם כל אני אגיד ככה, זה תקף הרבה מדינות, זה תקף הרבה גופים, דווקא בתי החולים, שם לא הייתה המתקפה העיקרית בבריטניה, אבל המתקפה הזו גם איימה עלינו. תגידו שזה מזל, תגידו שפשוט זה חלק מתהליך, מדינת ישראל לא הייתה חשופה.

אתה יכול לגלות לנו מאיפה זה בא?

אנחנו הוצאנו על זה הערכה שלנו, שממש באחרונה קיבלה שבחים גם מהרשות האמריקאית, שמקור התקיפה מזוהה בצפון קוריאה. הוצאנו על זה הערכה.

בהתקפה הזאת מדינת ישראל הייתה מחוסנת. תגידו שזה מזל, אבל אולי מזל הולך עם הטובים. שבועיים קודם לכן אנחנו הוצאנו התראה אחרת למשק, הרבה פחות פופולרית, וההתראה הזאת גרמה למשק להתחסן, בסוף ההתחסנות זה להוריד תוכנה שחוסמת פרצות במחשבים ובמקרה התוכנה הזאת גם חסמה את הפרצה הזאת. כך שכשאנחנו התכנסנו כולנו לישיבת חירום ביום שישי בלילה וכל השבת וביקשנו ממשרדי הממשלה ביום ראשון - - -

אל תגיד את זה בקול.

אני חייב להגיד שזה היה אירוע חירום מחייב.

בבקשה, אל תגיד. מה שאתה אומר בוועדה לא יוצא מהוועדה.

אז אני לא אגיד. אבל כשביקשנו שביום ראשון בבוקר - - -

האירועים האלה, לפי ההצלחות שלהם אני מבין שהם לא עשו סתם. אני רואה גם סיעתא דשמיא בזה, אני רואה - - -

השבת שמרה עליהם.

אתה אמרת שאתה לא יודע, חצי בידי אדם, חצי בידי שמים זה היה בנושא הזה.

זה הוא לא אמר, זה תוספת שלך.

זה משקף את מה שהוא אמר, בלשון אחרת.

אבל זאת דוגמה למקום שמדינה מתערבת. כי רק מדינה יכולה להחליט לרכז מאמץ על משק שלך, בבת אחת, מכל משרדי הממשלה, ולהגיד לכולם 'ככה תעשו'. אגב, מה שאנחנו עשינו, הייתה פניקה שלמה, כולם רצו לדעת אם הם מחוסנים וכו', אז כולם רצו לאתרים של מיקרוסופט. האתרים נחסמו בכל העולם, אז הקמנו, באישור של החברה, אתר בישראל, חליפי, והישראלים פנו לאתר שלנו. זו עוד פעם דוגמה למקומה של עשייה של מדינה ולא שוק פרטי.

כדי להפיץ את ההתראות האלה אנחנו הקמנו פלטפורמה שפותחה על ידי התעשייה האווירית, חברת מל"מ, היא נקראת סייברנט. חבר הכנסת פרי, אתה זוכר שבעולם השב"כ הייתה לנו מערכת שקראו לה חישוק, זה המקבילה שלה בעולם הסייבר. היא הרבה יותר מודרנית כמובן ואינטרנטית.

תסביר להם, אחרת יגידו שרק אני הבנתי.

מערכת חישוק הייתה מערכת שאיתה הפצנו התראות, היא הייתה מערכת שחור לבן, או מערכת כתום לבן, כתום בהיר, הפצנו התראות גולמיות מכל הסוגים. כמובן שהיא נותבה לכל מיני מקומות לפי הטקסט, כמו של פעם.

יצחק רבין ז"ל היה יושב עם מחשב ויכול היה להיכנס לבד. אז כל פעם כשהייתי בא הוא היה אומר 'ראית מה היה אתמול בחישוק?'

אז פה אנחנו מפיצים את זה דרך הרשת, זה לא סתם הפצה של התראה, אלא זה גם כולל את המידע הטכני, הם מורידים ממש את המידע ומתקינים אותו במערכות שלהם. המידע הזה נגיש למנויי הרשת. נכון להיום יש מאות מנויים ברשת, זה ארגונים, במקביל הרבה מאוד מהמידע גם נמצא באתר הרשות והוא נגיש לכלל הציבור.

בכל ארגון יש מישהו שיושב על המערכת הזאת?

הייתי שמח להגיד כל ארגון, התשובה היא לא כל ארגון, אבל זה הולך וגדל. הגרף בוודאות גדל, אין לי אותו פה, אבל הגרף מדבר על עלייה.

הוא יכול להיות מנוי ואין מישהו מקצועי אצלו בחברה שעוקב בעניין הזה?

אם אין לו מישהו מקצועי הוא לא יעשה כלום עם המידע.

זה חוסר כוח אדם, או חוסר מודעות או תקציבים?

שניהם, אבל דבר שלישי, שלא תמיד משקיעים כסף.

כשאתם הייתם פה והצגתם על כל התכנית שלכם עם הנחיות למיישמי סייבר, אתם באתם ודיברתם על כך שלא צריך להיות מומחים היום, אתה מחזיק אצלך היום מיישם סייבר, שבעצם אולי מגשר על הפערים שקורים בין תוכנות חדשות שלא מוגנות ועושה את הדברים - - - ובעצם המניעה הכי גדולה וזה יכול להיות אנשים שמוכשרים בלי תואר אקדמי, תואר שהם מקבלים תעודה.

אני אתייחס לזה. יש אנשים מאחורי ההגנה.

כן, הם מקבלים שכר הוגן. זאת אומרת לא צריך היום להיכנס לבעיה כלכלית קשה וחמורה ומכבידה כדי להתמודד עם זה. אנשים לא מודעים לזה שלא יכול להיות שאתה מתקין מערכות טכנולוגיות כשאתה לא יחד עם זה לא בראת תרופה צמודה לדבר הזה.

בספטמבר 2016 קיבלנו מהקבלן את המתקן בבאר שבע, זה שאתם ביקרתם בו. אז עוד היה שם אבק וצינורות, אתם ביקרתם בו בנובמבר, בדצמבר, משהו כזה. בסוף השנה הוא כבר פעל עם מעל 50 עובדים. כמובן שכל ההיערכות הייתה לקראת השלב הזה. הוא הפך להיות הזרוע המבצעית שלנו, אנחנו מחזיקים בבאר שבע את כל הצוותים שמשם יוצאים לאן שצריך לצאת. יש שם רכבים ואנשים והציוד והמעבדות והמחקרים וכן הלאה.

זה עולה בקנה אחד עם חזון הפיכת באר שבע למרכז הסייבר של מדינת ישראל. אני חייב להגיד את מה שגם אמרתי לראש הממשלה, אם צה"ל לא יירד לנגב בזמן סביר יש סכנה אמיתית מוחשית לדעיכה במומנטום הזה שנוצר. אני יודע שבסוף זה יקרה, אבל בדרך - - -

למה?

משום שבסופו של דבר כוח האדם הטכנולוגי - - -

בכלל כוח האדם.

כוח האדם.

אם אין לו את הסביבה, הוא צריך לעבור מרחקים, הם יכולים להיות זמניים, הם לא יכולים להיות קבועים.

יש מסה מסוימת שאתה יכול לדחוס לאזור מסוים על ידי תנועה של אנשים, מעבר לזה היא צריכה לצמוח במקום. אני חושב שאנחנו כבר שם, בתוך המסה הקריטית, החברות ואנחנו.

גיוס כוח אדם חדש, אתה חייב - - - אם אין לך את כל הסביבה המתאימה, אתה לא תגור במקום שלא מתאים לך.

שת"פ בינלאומי. אנחנו יודעים שלמרחב הסייבר אין גבולות, הוא לא כפוף להסכמים בילטרליים כאלה ואחרים ולכן ב-day one אנחנו אמרנו שאם לא יהיה לנו שיתוף פעולה עם המדינות שאנחנו עובדים איתן, בעולם האזרחי, אני מדגיש, כי בעולם הביטחוני יש מסורת ארוכת שנים של שיתופי פעולה בין ארגונים שונים, כאלה ואחרים, אני מדבר על הצד האזרחי, אם לא יהיה לנו שיתוף פעולה אנחנו לא נהיה מספיק טובים בלהגן על המרחב האזרחי.

שיתוף הפעולה הזה התבטא בהמון תחומים, הוא התבטא בזה שעם חלק מהמדינות, לא את כולן אני יכול להזכיר בשמן פה בחדר הזה, אנחנו חתמנו על הסכמי שיתוף פעולה. מה שכן התפרסם זה עם האמריקאים, שהקמנו עם ה-DHS קבוצת עבודה, ביצענו איתם תרגילים, הקמנו קו תקשורת להחלפת מידע בינינו לבינם ועם עוד מדינות עשינו את זה. ב-15 מקרים שונים אנחנו היינו חלק מבלימה של תקיפה, ממש חלק מבלימה של תקיפה. אנחנו פנינו למדינה מסוימת - - - חלק מהמדינות לא הייתם מעלים בדעתכם שהיו מוכנים לקבל טלפון מאיתנו. פנינו אליהם ואמרנו 'תקשיבו, ההתקפה עוברת דרך שרתים שיושבים אצלכם, אנחנו צריכים שתסירו אותם אצלכם'.

אני רואה פה את אחינו מהמשטרה. המשטרה היא לא בתוך הסיפור שלכם, היא בסיפור הביטחוני או ה - - -

אני רוצה להגיד כזה דבר. קודם כל המשטרה היא מה שמה שנקרא גופים מיוחדים, אבל מאחר שהמרחב האזרחי, ובמובן הזה גם שב"כ שותף לזה, המרחב האזרחי הוא אותו שדה ציד נדרשה הבחנה מאוד ברורה איך מחלקים את שדה הציד ו - - -

הייתה על זה מחלוקת גדולה.

לא בתקופתי.

אני יודע.

אני חושב שאני הצגתי פתרון שהתקבל והוא גם עובד, שאומר, אלה שעוסקים בתוקפים ואלה שעוסקים בגנבים, סליחה על ההפשטה של הפושעים, ימשיכו לעסוק בהם, אלה שעוסקים בהגנה על הגופים יעסקו בהגנה על הגופים. הקו הזה הוא מאוד ברור, איפה הקו הזה יכול היה להגיע לאזורי מחלוקת? למשל באירוע פשע. היה אירוע כזה ששם המשטרה צריכה לאסוף ראיות והמגן עלול לפגוע בזה. במקרה הזה אנחנו קבענו קביעה מאוד ברורה, המשטרה פה בעדיפות. היה אירוע כזה, הוא התפרסם בעיתונות וישר אמרתי גם לראש לה"ב 'תודיע לי מתי אני יכול להיכנס', כדי לא לפגוע בדיני ראיות.

ומה מערך היחסים ביניכם לבין רמו"ט?

עם רמו"ט יש היום, בימים אלה - - -

הרשות להגנת הפרטיות, שינינו את השם.

אבל זה אותו גוף, יש נייר על השולחן להסדרה, שלא פוגע בסמכויות שלהם, אבל בסופו של דבר הוא הופך את נושא הגנת הפרטיות בעולם הדיגיטלי, כי יש עולם הגנת הפרטיות בעולמות נוספים שהם עוסקים בהם, בעולם הדיגיטלי, כחלק מתפיסת הגנה יותר רחבה.

אבל הם שואבים מכם מידע מקצועי?

אני אגיד משהו נורא פשוט. יש אירוע בגוף, פרצו לשרת, עוד לא יודעים מי עשה את זה ולא יודעים להגיד שזה לא ישראלי ולא משטרה ולא ארגון טרור ולא שב"כ, זה אנחנו להגנה על הגוף הזה, לטפל באירוע, אבל בתוך האירוע הזה יכולות להתגלות עובדות שנוגעות לכשל בשמירה על פרטיות. במקרה הזה רמו"ט צריכים להצטרף אלינו לתהליך הזה.

אתם שני גופים שעובדים במקביל על אותו דבר.

אבל בסופו של דבר על מי יש אחריות לסלק את התקיפה? עלינו. באופן ברור.

אז אני שואל שאלה אחרת, האם המידע המקצועי, הם גם שואבים מכם, על גופים שמחזיקים מאגרי מידע? איך הם צריכים לשמור, איך צריך לעקוב אחרי זה, מה צריך - - -

זה עלה באחד הדיונים פה, אדוני היושב ראש, והתשובה הייתה שאין הגדרה פורמלית בדבר הזה, יש את החיים האמיתיים. בחיים האמיתיים - - -

אנחנו מצפים, כל גוף רוצה לשמור על המקצועיות שלו וזה בסדר, אבל אני חושב שרשות שלכם, שהיא בכל אופן מאגדת ויש לה הרבה מידע שהוא יכול לקחת על עצמו אחריות, אבל כשהרשות להגנת הפרטיות רוצה לקבל מידע בעניין הזה או רוצה להנחות, או רוצה לקבוע הנחיות, השאלה אם יש הדדיות ולוקחים דברים שהיום קיימים, שהם יודעים, מודעים לזה. לא הכול יודעים. כאן החלק של שיתוף הפעולה בין הגופים שלנו זה חלק מאוד חשוב.

אתה רואה שאם היה שיתוף פעולה, אני לא רוצה להגיד יותר, בין הרשות למטה, לא אולי מצד הרשות, אז יכול להיות שגם לא היינו צריכים גם את מערך הסייבר. אם היה שיתוף פעולה אמיתי משני הצדדים. אבל בשביל לרקוד צריך שניים. אני לא אומר בזה על הרשות, אני חושב שהרשות נתנה את החלק שלה, אבל אם לא, לא היו צריכים להקים את זה. לא רציתי להגיד את זה בתחילת דבריי, אבל עכשיו, אחרי שנגררנו, אני אומר את זה.

טוב, על זה אני מבקש - - -

מה שנקרא no comment.

אנחנו פרסמנו תורת הגנה למשק, תורה סדורה שמיועדת לגופים קטנים וגופים גדולים.

גם לאזרחים?

ודאי. היא נמצאת באתר שלנו. 3,000 הורדות. בעקבות קמפיין שביצענו 3,000 הורדות בוצעו, יכול להיות שאפילו מספר גדול יותר מאז ש - - - תוכנה. יש היום עבודה גדולה, היא כבר נעשית במסגרת המערך, של למחשב את העסק זה, שזה לא יהיה רק ספר, אלא אפשר יהיה להשתמש בזה בצורה קלה.

הקמפיין, ופה אני רוצה להגיד לכם משהו על המילה קמפיין, אני כל הזמן אומר גוף אזרחי ומערכת אזרחית. הקמפיין הופיע ברדיו ובעיתונות הרבה מאוד פעמים, הוא היה חלק מתהליך אסטרטגי שמהרגע שהגענו למסה קריטית של יכולות אנחנו נספר לציבור שאנחנו שם. הקמפיין הזה, אחד הביטויים שלו זה הדבר הזה, אני מניח שאתם מכירים את זה.

(הקרנת סרטון).

אני יכולה לשאול אותך שאלה? האם חוסה תחת האחריות שלכם גם העובדה שיכולה להיות, אני לא יודעת אם המילה מתקפה מתארת את זה, אבל כמו שבקמפיין הבחירות בארצות הברית שבהן רוסיה, זה כבר ברור, השפיעה באמצעות פרופילים שם.

יש לך כבר את תוצאות החקירה של מולר.

בדיוק. על מערכת הבחירות שם. זה שהייתה התערבות זה ברור, השאלה מה הייתה המעורבות של טראמפ. זה שהייתה התערבות זה כבר ברור וגם בפייסבוק כבר מודים בזה, השאלה אם חלק מהמחויבות שלכם או חלק מהאחריות שלכם זה גם לזהות דבר כזה ולהתגונן בפני? אתם קוראים לזה תקיפה? אתם קוראים לזה התקפה?

כן. אני רוצה לעשות סדר, ראשית, בוועדה הזאת ולאחר מכן בוועדת חוץ וביטחון, דנו בסוגיה הזאת ושם פירטנו.

קיימנו דיון מיוחד. הזכרתי קודם בדבריי את מטה הבחירות.

אנחנו עושים הבחנה בין תכנים, ששם אנשים יכולים להגיד מה שהם יכולים להגיד ושם זה לא תפקידה של הרשות ורצוי להמשיך ולקיים את הכלל הזה שזה לא תפקידה, לבין העובדה שאפשר לגרום, על ידי תקיפה טכנולוגית, להשפעה. תקיפה טכנולוגית יכולה לפגוע במערכות שמארגנות את הבחירות, היא יכולה לפגוע במערכות של יום הבחירות, היא יכולה לפגוע גם, בישראל אגב לא, בתוצאות, אבל יש מדינות שהיא יכולה לפגוע גם בתוצאות. היא יכולה גם לגרום לזה שמישהו יעשה שימוש בתכנים, לא עצם התכנים אלא - - -

היא יכולה לשנות תוצאות?

לא בישראל.

לא, אבל בגדול, לא בישראל, היא יכולה לשנות?

יש מדינות שההצבעה היא אלקטרונית.

בוקי, אנחנו דיברנו גם על ההשפעות בלהחדיר מידע מסוים.

זה המשפט שבדיוק התחלתי להגיד. אם יש מישהו שיפעיל בוטנט, בוטנט זה שם קוד לרובוטים שרצים, שמפיץ מידע כוזב, אני לא אתעסק במידע הזה, אני לא אלך לבדוק אפילו מה מקור המידע, אני כן אלך לבדוק ולהגיד שיש פה בוטנט ובוטנט כבר מעורר חשד ומכאן - - -

אתה גם מסוגל לזהות את זה?

האמירה תהיה יומרנית להגיד תמיד כן, לפעמים זה מאוד פשטני והתשובה היא כן, אפשר לזהות שזה רובוט שעושה את זה, לפעמים זה מאוד מסובך. זה תלוי גם מי מפעיל את זה.

אנחנו יכולים היום לדעת בארץ שהתערבות של מדינה זרה במערכת הבחירות שלנו היא דבר שתוכלו לחשוף אותו או לעלות עליו?

זה יהיה יומרני מאוד מצדי להגיד בוודאות שהתשובה היא כן, אני חושב ש - - -

אני חושב שבסבירות גבוהה כן.

אני רוצה להגיד שבחיבור, לא רק של הגנת סייבר, אלא של מודיעין, הגנת סייבר ויכולות של עוד סמכויות אחרות במדינת ישראל, התשובה תהיה כן.

ואתם צריכים שיתוף פעולה של מעצמות הרשת בשביל זה?

של?

של החברות, של פייסבוק, גוגל, טוויטר, אתם צריכים שיתוף פעולה שלהם?

אני חושב, אני מניח שאם זאת תהיה המדיה, כי לא תמיד זאת המדיה, חלק מתקיפות פוטנציאליות על עולם הבחירות יכולות להיות באזורים אחרים לחלוטין, שהם לא תוכניים, ועדיין הם בעלי השפעה דרמטית. אבל אני חושב שכן, אני חושב שזה יידרש. אני לא מרמז פה עכשיו לחקיקה או התערבות מול החברות, אני מרמז לעובדה שבמקרים קונקרטיים יכול להיות שזה יידרש.

אבל זה יהיה תחת אחריותך ותחת סמכותך?

לא.

אלה הדברים שצריך להגיד לנו. הנה, זה אחד מהדברים מהדיון שצריך לצאת מפה, אנחנו נתקלנו בהתנגדות חזקה מאוד, אנחנו חושבים שזה לא נכון, ההתנגדות של מטה הבחירות, הם טוענים לטוהר הבחירות, עצמאות, אבל זה לא נכון. מטה הבחירות לא יכול לזהות לבד, אין לו את הכלים המקצועיים. כמה שהוא יעשה הוא עדיין לא יגיע לרמה המקצועית שיש למערך הסייבר או רשות הסייבר היום ולכן אנחנו צריכים, מכיוון שזה דבר שאני חושב שיש הסכמה בין כל חלקי הבית בעניין הזה, צריך לעשות פעולה. דיברנו על כך שצריך לעשות חקיקה או - - -

צריך להיזהר מאוד - - -

מכיוון שהממשלה אמרה שהיא כן רוצה לדון בזה אז אנחנו נסוגונו קצת בעניין הזה. הייתה איזה אמירה שהם כן רוצים לעשות, אבל אני חושש שכמו הרבה דברים, שאולי יש אמירה, אבל בסופו של דבר היא מתמסמסת באיזה שהוא מקום.

צריך לא לגרור את הרשות או המערך לאזור התכנים. אזור התכנים יכול להיות מאוד רגיש, אנחנו כבר אמרנו את זה בהרבה הזדמנויות, צריך גוף שיודע להתעסק בדברים האלה. לא הרשות להגנת הסייבר או לא המערך להגנת הסייבר.

אנחנו עובדים עם רגולטורים. אני הבנתי פה שלוש דוגמאות. האחד, ה-SOC הממשלתי, יה"ב, שזאת יחידת ההגנה בסייבר של הממשלה, תחת רשות התקשוב הממשלתית, מפעילה בבאר שבע, בתוך המתקן שלנו, בהנחיה של הרשות, היא מפעילה את ה- SOCהממשלתי שמנטר רשתות ממשלתיות. אנחנו רק התחלנו, אנחנו כרגע בחמישה משרדים וגם זה תהליך לא טריוויאלי שחייב הנחיות משפטיות מאוד ברורות, למרות שזה בתוך הממשלה. ועדת מור, יוני מור, משנה למנכ"ל האוצר, ועדה שהגיעה למסקנה שעל מנת לשמור על רציפות פיננסית במדינת ישראל צריך גם להגן על המערכת הפיננסית בסייבר. מרכז הסייבר הפיננסי שהוקם ופועל שם, אתם ראיתם אותו, עשרות אירועים קטנים וגדולים שבהם הם טיפלו. ומרכז האנרגיה של משרד האנרגיה, משרד התשתיות הלאומיות והמים שמוקם שם וגם הוא מחובר אלינו לדבר הזה.

חוץ מזה שיש המון פעילויות אחרות. אני מביא פה רק דוגמאות של עבודה מול הגנת הסביבה והכנסה של הנחיות סייבר לתוך נספחים שלהם, עבודה מול המשרד לבטחון פנים וכן הלאה וכן הלאה.

יש אנשים מאחורי ההגנה. אחת השאלות שעלתה ב-2015 זה האם מדינת ישראל צריכה להתערב בחופש העיסוק של העוסקים בהגנת הסייבר ולהסמיך את המקצוע. השאלה באה מתוך טענה שההדיוטות אינם יודעים להבחין בין בעל מקצוע בסייבר לבין מי שאיננו כזה, כמו שאנחנו עושים, אגב, בראיית חשבון, חשמל וכן הלאה. כשאני נכנסתי לתפקיד אני ביקשתי שאלה אחת נורא פשוטה, בגלל שאני מגיע מהעולם העסקי, תראו לי שיש כשל שוק. כי אם אין כשל שוק לא כדאי שהממשלה תתערב, יש מספיק דברים אחרים שהשוק יודע לתקן לבד אם אין כשל. עד היום לא קיבלתי הוכחה שיש כשל שוק ולכן ההחלטה שהרשות הובילה זה להחיל את נושא הסמכת מקצועות הסייבר על משרדי ממשלה בלבד, מתוך ידיעה שמשרדי ממשלה ממילא מעסיקים ברובם אנשים שפועלים גם בשוק הפרטי כיועצים ואם יתברר שהשוק יודע להעריך את זה ולתמחר את זה הרי שיוכח כשל שוק, ואם לא, אז השפענו על הממשלה ולא על כלל המשק. זאת המשמעות האמיתית. כבר בשנת 18' אתם תראו את הנושא של הסמכה.

אנחנו יחד עם משרד הכלכלה קידמנו תכניות לשילוב חרדים. ראש האגף הרלוונטי ברשות הציג את זה פה באחת הישיבות, חתמנו באחרונה עם משרד החינוך על תכנית להפעלת תכנית לימודים ניסיונית ללימודי הגנת סייבר בבתי ספר תיכוניים. היא מתחילה השנה. במקביל סיכמנו עם צה"ל מה שאנחנו קוראים רצף תעסוקתי, כלומר אדם שהתגייס מהתיכון לצה"ל ויעסוק בסייבר יוכל להגיע לרשות ובעצם אנחנו מייצרים פה את הבסיס לדבר הזה.

אבל לא רק אנשים, לא רק אדם, גם חווה. יש לי אג'נדה פרטית, ואני מצהיר אותה בכל הזדמנות, לצערי לא השלמתי אותה, אבל אני מקדם אותה ואני מקווה שגם הלאה ימשיכו, לראות יותר נשים בעולם הסייבר. הסיבה היא נורא אגואיסטית, אם תרצו, אני מאוד מאמין שמצוינות מתחילה מהטרוגניות, ביכולת לקחת בסוף את הטוב מכל אחד ולחבר אותם. אז זה נכון גם לשולחן הנהלה שכוללת את הטובות שבמנהלות. אחוז הנשים שעוסקות בסייבר ברשות הוא יותר גבוה מהממוצע העולמי, אבל האחוז העולמי כולו הוא לא מספיק גבוה. אנחנו צריכים להמשיך להגיע לזה. בשלב הנוכחי הצלחנו להגיע למצב שיש יותר נשים שהן בתפקידים של ראשי אגפים, אני מצפה מהמחזור הבא לראות יותר נשים בתפקידי ראשי אגפים, שזה הנהלה ארגון.

אתגרים להמשך. חשוב להמשיך ולשמור את הרשות הזאת כגוף פתוח, לא לתת לה פיתוי להפוך לסוכנות. בישיבה הראשונה פה, אדוני היושב ראש, אני אמרתי שלא סתם קוראים לנו רשות ולא סוכנות, authority ולא agency, משום שזה דבר מהותי. חוק הסייבר והעיקרון של רשות שעובדת בהסכמה ובידיעה הם מהותיים. אם הגוף הזה בטעות יהפוך להיות ביטחוני במובן הזה, זו תהיה ירייה ברגל של כל הרעיון של הגנה אזרחית על גופים אזרחיים וכן הלאה.

אני חושב שהגיע הזמן שהמדינה תברר מה היתרון היחסי שלה אל מול המגזר העסקי כשהיא מתערבת בדברים האלה. לא ברור אחרי שנתיים שבכל דבר שהוא למדינה יש יתרון. יש אזורים כמו ה- WannaCry שסיפרתי, או תשתית מדינה קריטית, שזו דוגמה אחרת, שלמדינה יש יתרון. אבל בסוף תזכרו שלחברות, בעיקר הפרטיות, יש מנכ"לים ודירקטוריונים והם נושאים באחריות כלפי בעלי המניות שלהם והם נושאים באחריות כלפי ההתקשרויות העסקיות איתם, יכול להיות שאנחנו צריכים לתחום את הקו הזה.

תחדד מה זה לתחום את הקו הזה.

נכון להיום האמירה היא כללית, כי אנחנו בתחילת הדרך, האמירה הכללית אומרת 'תגנו על כל המרחב האזרחי' ומה זה תגנו? תגנו זה גם תיתנו הנחיות או גם תהיו עם סמכות הנחיה? תעזרו או גם תתערבו? ואני אומר, יכול להיות שאנחנו צריכים לשבת עכשיו, אחרי שנתיים, בלקחים ובעידן של עוד כמה דברים, שתיכף תראי אותם פה, להעביר איזה שהוא קו ולהגיד שיש קו שממנו ואילך זאת המלצה, זה עזרה, זה מרכז ידע, מוקדי ידע וכו', אבל לא התערבות פיזית.

יכול להיות שחלק מהחברות האזרחיות האלה, הגופים האזרחיים האלה, ירגישו אפילו שיש התערבות ממשלה, התערבות של הממסד הממשלתי אם אתם תתערבו?

כן. אז כמו שאמרתי, בשעת הרצון הזאת שחלה עכשיו לא נתקלנו אפילו במקרה אחד בודד של התערבות, לא בטוח שזה ישרוד לאורך זמן, בהחלט ייתכן שבמעלה הדרך נתחיל לראות התנגדויות. רפלקס מותנה אחד להתנגדות זה חקיקה, רפלקס מותנה אחר יכול להיות 'רגע, בואו נתחם את תחום העיסוק שלנו', יכול להיות שלא בכל מקום המדינה צריכה להתערב עד הסוף. אני אומר שזה מחייב דיון, אני חושב שהשאלה הזאת היא על השולחן.

עוד דבר, ב-2002, כשמדינת ישראל החליטה להגדיר מערכות מחשב חיוניות זה היה נכון, כי אז הכרנו 15-10 מערכות מחשב חיוניות. אי אפשר להמשיך ולהגדיר גופים כקריטיים ואני חושב שהמדינה צריכה להתחיל לעבור למה שנקרא תהליכים קריטיים ואני אתן לכם דוגמה אחת למשפט הזה. פעם רק חברה אחת ייצרה חשמל, היום 50% מהחשמל מיוצר על ידי חברת חשמל ועוד 50% הולכים לחברות אחרות שהם לא תמ"ח, אז בואו נגדיר במדינת ישראל תהליכים קריטיים ולא חברות קריטיות ונראה אם תורם לתהליכים הקריטיים.

מה שאתה אומר זה נכון לא רק לתחום הסייבר, בכלל בכל תחום במדינה.

נכון.

אבל אנחנו היום בכל מיני תוכנות וכל מיני פיתוחים שאנחנו עושים, משרדי הממשלה משקיעים הרבה כסף, יש תוכנות מדף שאפשר לקחת את זה והשאלה המרכזית היא, בתכנית המרכב"ה, האם באמת היה נכון להשקיע סכומים שעברו את המיליארד בדברים שבוודאי בחלק מהדברים היה מה שאתה אומר, בוקי, מוצרי מדף שאתה יכול לקחת ולשלב אותם. אנחנו לא צריכים להמציא את הכול מהתחלה. לפעמים זה - - - מה קרה בביטוח לאומי? זה הפתרון. בביטוח לאומי השקיעו 600 מיליון ואנחנו נמצאים עוד בהתחלה. 600 מיליון שקל פיתוחים, בסופו של דבר התקדמנו 10% או 5% מהיעדים שלהם.

הנקודה הבאה, אחדות מטה ורשות לגוף אחד כמערך מול סכנת הגם וגם. אני אסביר למה אני מתכוון. אין מספיק משאבים והמדינה עושה עוד דברים, לא הכול סייבר. אין מספיק משאבים לגם וגם, לטעמי. כאשר מאחדים גוף אחד שהוא מטה שהתפקיד שלו זה לבנות מה שאני קורא מטוסים כבדי גוף שיחצו את האוקיינוס ורשות שהתפקיד שלה זה לבנות מטוסי קרב, תקרא לזה ורסטיליים בחימוש וקלי תנועה, ולחבר אותם ביחד, בעידן של אין מספיק משאבים, זה מכריח את מי שעומד בראש הגוף הזה לבחור או זה או זה, או לעשות גם זה וגם זה ויש סכנה בסוף לא יהיה לא זה ולא זה. זו סכנה אמיתית ואני מתריע עליה, אני גם אומר אותה בהזדמנויות אחרות.

ואני מבקש בנימה אישית לסכם את המצגת שלי.

לפני שאתה מסכם בנימה אישית, טיפה בעניין הזה, יודעים היום איפה תעמוד הרשות בתוך המערך? קבעו כבר?

החלטת הממשלה שהתקבלה ממש באחרונה קבעה שביולי האיחוד ייצא לפועל ועד מרץ צריך להציג אותו.

יולי 18'?

18', ועד מרץ צריך להציג אותו, להגיע להסכמות עם נציבות שירות המדינה וכן הלאה.

מערך זה יהיה גוף עליון?

לא, בזמנו הייתה אינסטלציה משפטית - - -

גם הרשות וגם המטה יהיו בתוך מערך, לא יהיה רשות ולא מטה, יהיה מערך, גוף אחד.

אני אתן את הרקע. הייתה קונסטלציה משפטית שאמרה שיש שתי יחידות סמך שראש המטה הוא ראש המערך, אבל אין לו סמכויות לפעול מול הצד השני, למעט לאשר לו את התקציב, וזה יצר ניתוק מאוד ברור בין הסמכות לאחריות, כי החוק להסדרת הביטחון קבע שראש הרשות נושא באחריות ובצד השני, יושב ראש מטה שנתן או לא נתן או כן נתן תקציבים ותקנים. זה יצר קונפליקטים לא מעטים בהרבה מאוד אזורים. היום החלטת הממשלה מבטלת את קיומן של שתי יחידות סמך, מאחדת אותן ליחידת סמך אחת עם מנכ"ל אחד, שזה הדבר הנכון לעשות.

מי ראש המטה היום?

ראש המערך. אתה מדבר על נתניהו?

לא, מי זה ראש המטה היום.

לא, אין, מי שעומד עכשיו בראש המערך זה יגאל אונא, ראש אגף לשעבר בשב"כ.

אוקיי, עכשיו נימה אישית.

גם בנימה האישית יש כמה מסרים. אז קודם כל אני חושב שאנשים עושים את ההבדל, אז אני מודה לך, אדוני היושב ראש, על כל המחמאות שאמרת בפתיחה, אבל התפקיד שלי הסתכם בלהביא לפה עשרה מנהלים טובים והם הביאו את כל ה-200 האחרים.

אנחנו אוהבים את הצניעות.

אני שמח, כי ה- bullet הבא, חבר הכנסת פרי, ובכל ארגון שאני מנהל אני עושה את הדיון הזה עם החמישה הראשונים, מה הם הערכים שלנו וזה תמיד מסתכם בשניים מתוך ארבעה, זה מנהיגות, שזה אומר לקבל החלטות ולעמוד מאחוריהן ולשאת באחריות, וצניעות. צניעות לא במובן הזה שאנחנו סגפנים, אני חושב שהמדינה לא משלמת מספיק, צניעות במובן הזה שאנחנו רק חלק ממערכת. לא הכול סייבר ולא הכול הגנת סייבר, מדינה זה עסק הרבה יותר גדול מסייבר ואני חושב שזה צריך להיות התלם שאנחנו הולכים גם בהמשך הדרך.

אני חושב שצריך להתחיל להכריח את המערכות הממשלתיות להתמקד בתוצאות ובמטרות ולא בתהליכים. ההתמקדות בתהליכים עלולה להסיט אותנו. אני לא אומר חלילה לסטות מהתלם, אני אומר, להיפך, על המסילה הנכונה, רק לרוץ מהר. זה דבר מאוד מהותי.

אנחנו בשבעה רבעונים לקחנו את הרעיון הזה ובנינו אותו, הפכנו אותו לגוף, אני קורא לו חי ובועט והוא בועט ברעים, ועשינו את זה 220 עובדות ועובדים, להם מגיעה התודה. אז אני מבקש לנצל את המעמד הרשמי הזה להודות להם מפה על כל העבודה שהם עשו.

אני מאוד מקווה שבמתכונת של מערך אנחנו נמשיך ונראה התעצמות בתחום ההגנה, אני חושב שמה שמדינת ישראל צריכה זה הגנה, בעולם של פיתוח טכנולוגי יש לה את מפא"ת, בעולם של מדיניות יש לה את מל"ל, הגוף היחידי שאין לה אחר, אין לו תחליף, זה הגנה על המרחב האזרחי ואני מקווה שזה מה שיקרה ויתעצם. אני גם מקווה שהם גם ייהנו מהעבודה.

ואני מבקש להודות לוועדת המדע והטכנולוגיה ולך, אדוני היושב ראש, ולחברי הכנסת וגם לאחרים שפגשתי פה, זו הייתה חוויה, אני לא הכרתי את הוועדה הזאת, הכרתי את חוץ וביטחון בתפקידים קודמים, אז אני גם מבקש להודות על כל ההזדמנויות.

תודה. אנחנו גם מלווים אותך מהתחלה, אפשר להגיד, משנכנסת לתפקיד, אני חושב שלא הרבה זמן כבר ישבנו את הישיבה הראשונה, ליווינו אותך בעבודה. אתה גם רוצה להגיד מילה - - -

אני רק רוצה להגיד תודה, הערכה והוקרה גם על המצגת, אבל בעיקר על העשייה. תודה רבה.

תודה, אני גם חושב שאני מבטא את ההרגשה ואת הדברים שחברי הוועדה ואנחנו כוועדה רואים את זה. עשית עבודה, מושלמת אפשר להגיד, בתוך המערך שאתה נמצא. בתוך המערך הציבורי אני לא ציפיתי ליותר מזה, מי שמכיר מערכות ציבוריות, מי שמכיר איך שעובדים, עד שמטמיעים, עד שבונים מערכות כאלה ורשות, ואתה עשית את זה באופן בלתי רגיל. אתה מדבר על הגיוס, הוא רק פועל יוצא של עבודה, של תכנים, קבעת באמת גם נושאים ארגוניים, מוסכמות ארגוניים, או תהליכים ארגוניים, איך העסק צריך לעבוד, קבעת מוסכמות או הנחיות בתוך המערך הפנימי שלך, אבל גם איך יוצא החוצה. הספקת בזמן הזה מסגרות, שיצרת אותן, זה לא דבר שהעתקת, יצרת אותן במו ידיך, ובהתאמה למה שאתה מונית.

נכון שהסייבר זה לא חזות הכול, אבל זה חלק ממערך הכי חשוב היום, זה חלק מאוד מאוד חשוב והעלית את זה בכמה דרגות. הוא התחיל באיחור והבאת אותו היום לשלב שהוא יכול להתמודד יחד עם כל מה שאנחנו צריכים להתמודד. אנחנו לא מרגישים חסר בידע או במה שאנחנו צריכים לעשות. ודאי שצריך להדביק את הכול, אבל בחלק הזה אני באמת רואה את זה בזה שהגדלת ראש והייתה אכפתיות מאוד גדולה. אני חושב שמאוד מורגשת האכפתיות, ראש פתוח, לתת לאזרחים. מי שמכיר, מי שמתמודד כל היום, הממשלה מסתכלת על הגוף המסחרי והאזרחי מצד אחד, כולל בעניין הזה, באמת שיתוף הפעולה ולכן גם האמון שקיבלת, ראו באמת את הכנות של הדברים.

אנחנו גם מקווים, אנחנו נמשיך לעקוב, אנחנו לא נפרדים ממערך הסייבר ונקווה שגם אתה תלווה אותנו ותהיה מרוצה מהמשך הדרך.

יש עוד מישהו שרוצה להוסיף? אנחנו כבר ככה חייבים להתחיל בדיון השני, רק אם יש עוד מישהו שרוצה להוסיף.

שאלה.

רק תציג את עצמך.

אני יהודה קונפורטס, אנשים ומחשבים, שאלה בהמשך לנושא. אנחנו יודעים שבחודש מאי עומדות להיכנס התקנות החדשות של ה-GDPR, של האיחוד האירופי, שמחייבות, נדמה לי שגם ברמו"ט הולכים להוציא תקנות דומות לזה, שזה בעצם מחייב כל גוף לחשיפה לכל אירוע שקורה לו. זה משנה משהו, משפיע במשהו על הפעילות שלכם?

יש עבודה שמתעסקת עכשיו בתורת ההגנה והקשר שלה לדבר הזה, אבל מה קורה במאי, אני כבר לא יכול להגיד. אבל יש עבודה עכשיו של התאמה בין התקנות החדשות האלה לתורת ההגנה.

האם יש לך איזה שהוא מדד, וזה גם מתחבר לנושא השני, על מוגנות של לאו דווקא משרדים ממשלתיים, אלא משרדים ציבוריים שמחזיקים מידע ודאטה בייס רגיש?

לא מדד מהסוג שאני חושב שאת מתכוונת אליו, אבל יש לנו מדד שהוא בתחילת הדרך שבה אנחנו מסתכלים על שני פרמטרים מאוד מהותיים, אפשר משם להשליך את זה על גופים מסוימים מהסוג שאת מתכוונת אליהם. מדד אחד זה כמה פריצות, חדירות, מה שאנחנו קוראים, בחודש, האם המספר הזה גדל או - - - ושתיים, כמה זמן לוקח לנו לסלק את הפגיעה אחרי שהיא כבר זיהינו אותה. אין לנו שיוך, יש לנו את הפרמטרים ברמת מדינה, לבוא ולהגיד אם אנחנו משתפרים או לא משתפרים בחלק הזה, אין לי בשליפה שיוך של הדבר הזה לארגונים ספציפיים. נגיד עיריות או נגיד - - -

נקרא לילד בשמו, כי זה הדיון הבא.

אבל לדעת לזהות אותו, איך לדרג אותו ברמת המסוכנות שלו, נקרא לזה. האם גופים גדולים שקיימים במדינה, היא מתכוונת למשל לרשויות המקומיות, מה המידע שהם מחזיקים, איפה לסווג אותו במידת החשיבות, המסוכנות שלו והחשיבות שהוא יעשה את זה והדחיפות שהוא יעשה את הדברים האלה. זאת אומרת רק הנחיות כלליות, או שיש גם - - -

לך אני חושב שעניתי ואני אענה לזה שלא הרשות צריכה לקבוע - - -

אתה פעם אמרת שהייתה תקופה שהבנקים היו, נניח, צריכים לדעת שהם צריכים להיות - - - הבנקים, יודעים שהם גוף גם בתוך הדבר הזה - - -

אבל נקודת המפתח, אדוני היושב ראש, זה הבנקים יודעים. אני חושב שהגופים יודעים טוב יותר מכל אחד אחר מה המידע הרגיש, כמובן שזה בגוף שהוא כפוף לחוקים ותקנות, אז גם המחוקק קובע להם את זה. אבל הרשות לא עוסקת בשאלה הזאת, הרשות עוסקת בשאלה של מרגע שיש מידע, איך גורמים לזה שהוא לא ידלוף משם.

גילי בסמן, שאלה.

לא שאלה, הערה קטנה. אני היועצת המשפטית של הרשות להגנת הפרטיות. אז קודם כל תודה, זו לא פעם ראשונה שאני שומעת את בוקי, אבל, שוב, זה היה כמובן מאוד מעניין.

אני כן רוצה רק להדגיש שאנחנו, גם הרשות להגנת הפרטיות וגם מערך הסייבר, פועלים באזורים מאוד דומים. הרשות להגנת הפרטיות גם פועלת במרחב הדיגיטלי, מה שהשתמע אולי אחרת, אבל למרות שאנחנו פועלים במרחבים דומים ולעתים גם משתמשים באותם אמצעים, המטרות שלנו הן מאוד מאוד שונות, כל גוף אחראי על הייעוד שלו, הרשות להגנת הסייבר להגנת הסייבר, אבל אנחנו להגנה של הזכות לפרטיות שהיא זכות יסוד וכמובן שהגופים מנסים לתאם ביניהם מקום שבו יכולה להיווצר התנגשות, איך אנחנו דואגים שתהיה גם הגנה מצד אחד על הסייבר, אבל כמובן בלי פגיעה בזכות לפרטיות.

אני אעשה סבב של עוד שני דוברים. גדעון קונפינו, בבקשה.

גדעון קונפינו, מנהל היחידה להגנה בסייבר ברשות התקשוב הממשלתי. אקצר בדבריי, אבל רציתי קודם כל להגיד שהיו שנתיים של עבודה עם הרשות ועם העומד בראשה וכל ההנהלה בשיתוף פעולה פורה. ידענו שאנחנו צריכים להשיג תוצאות במגזר הממשלתי, שאותו אני מנחה, והייתה לנו עבודה גם ברמה הטקטית וגם ברמה האסטרטגית, שאני חושב שחלק מהדברים הוצגו כאן, ה-SOC הממשלתי, אבל היום משרדי הממשלה נמצאים במצב אחר מלפני הקמת הרשות ורציתי להודות, גם בשם ראש הרשות, שנבצר ממנו להגיע, וגם בשמי וגם בשם יחידת ממשל זמין, על כל שיתוף הפעולה שהיה לנו במשך השנתיים האלה. נקווה שימשיך.

יפה מאוד. אם אתם אומרים, כשאנחנו מלווים את הרשות לתקשוב, אנחנו יודעים להעריך מחמאה, אנחנו יודעים את ההיקפים שלהם ואנחנו יודעים את המשימות שלהם, אז אנחנו רואים את זה באמת כמחמאה מיוחדת.

מהמשרד לבטחון פנים, מישהו רוצה להגיד משפט אחד?

כן.

בבקשה.

אפשר להגיד שבשלוש השנים האחרונות עבדנו יד ביד עם הרשות, בעצם מיום הקמתה ובאמת בהובלה של בוקי והחברים סיימנו בשנה האחרונה סקרי סיכונים בכלל הגופים ואנחנו היום לקראת בניית תכנית חוסן ואיום ייחוס לכל הגופים תחת המשרד לבטחון פנים.

יפה מאוד. בוקי, אז תודה רבה, אנחנו ככה ממשיכים, מחליקים ישירות לדיון הבא, מי שקשור, מבחינתנו כולם יכולים להישאר. אתה משאיר את האנשים שלך כאן. נשאר מישהו כנציג שלך?

בוודאי, אלה שעדיין במערך.

אנחנו עוברים להצעת חברתנו, ואני הצטרפתי להצעה. ראיתי שזה נושא חשוב מאוד והצטרפתי גם להצעה לסדר הדחופה ועובדה שגם נשיאות הכנסת ראתה את זה כחשובה ואני אתן לך להציג את הנושא ואני אחרי זה אמשיך. בבקשה.

אז כבוד היושב ראש, חברים וחברות. כמי שהייתה וכיהנה כ-18 שנה ברשות מקומית מצאתי לנכון להעלות את הנושא הזה, כי הנושא הזה הוא נושא חשוב וגם בעקבות דוח מבקר המדינה. דוח מבקר המדינה קובע שיש כשל חמור בהגנה על נתונים שנמצאים ברשות המקומית.

מי נמצא במשרד הפנים? לפני שאת מדברת, אנחנו מדברים לקירות או מדברים לגוף?

משרד הפנים פה.

מה התפקיד?

מנהל מינהל החירום של המשרד.

ומשרד המשפטים נמצא? זה מפיל על זה וזה מפיל על זה.

הרשות להגנת הפרטיות מטפלת בנושא הזה מטעם משרד המשפטים ואנחנו כאן.

זה לא עוזר לנו.

אנחנו חלק ממשרד המשפטים ואנחנו מייצגים אותם.

את תוכלי לענות למה אתם מפילים על זה וזה מפיל על זה?

אנחנו לא מפילים ואני אענה.

ככל האפשר, בסדר. בבקשה.

דוח מבקר המדינה בעצם קובע שהעיריות והרשויות המקומיות אינן ערוכות לפריצה ולמתקפה. הוכח כבר שהיו מספר ערים שאכן נחשפו לזה ולא בכדי צריך להזכיר שבתוך הרשות המקומית יש מידע אישי, פרטי, שאנחנו מפרים כל פעילות אחרת של תושבים ואזרחים שבעצם נותנים את חסותם. יש שם את הנתונים של משרד הרווחה, יש שם את הנתונים לאיפה אתה גר ומה אתה עושה, נתונים של השכלה, נתונים של חובות, נתונים של ארנונה, נתונים מאוד מאוד חשובים, אלפי תושבים נמצאים תחת המאגר הזה, תחת האיום הזה.

השלטון המקומי בא וטוען, ובצדק, בא למשרד הפנים ומשרד הפנים אומר שזו לא אחריות שלו ומשרד המשפטים גם אומר שזו לא אחריות שלו וזה מצוטט בדוח מבקר המדינה, וגם במשרד לשוויון חברתי, אצל השרה גילה גמליאל, יש שם גם חלק שאמור לטפל בזה והם גם לא אחראים על זה. מי אחראי עלינו? מי אחראי לתת לשלטון המקומי תשובה, מה הפתרון וכמובן גם לתקצב את זה בצורה הולמת, הרי לא יעלה על הדעת שנגיד להם זה הפתרון ואותה רשות מקומית צריכה ללכת ולחפש את הכסף וזה שוב ייפול על כתפי האזרחים.

אז אחת, מי מתקצב, שני, מי נותן תשובה, שלוש, מי נותן את התכנית. הרי לא יעלה על הדעת שאנחנו, במדינה כל כך מתוקנת, שאנחנו דורשים מהערים שלנו להיות ערים חכמות, ערים עם טכנולוגיה, ערים שיודעות ופורצות דרך, אנחנו מציגים בברצלונה, כבוד היושב ראש, אנחנו נמצאים כמעט בכל מקום כתקדים, אבל את הפרט הזה, להגן על הפרט, אנחנו לא מסוגלים לתת ולא מסוגלים לתת, לא לראש הרשות ולא לשלטון המקומי ולא לנו כתושבים ואזרחים את ההגנה ואת התשובה המלאה.

אני באמת מבקשת שבמסגרת הוועדה הזאת נוכל לדעת מי אמון על זה, מה הפתרון ואיך אנחנו פותרים את הבעיה הזאת, כי אסור שעשרות אלפי תושבים יהיו תחת מתקפה במקום כזה או אחר. תודה.

תודה על הדברים, חברת הכנסת לאה פדידה, אני באמת חושב שאת העלית נושא, אני גם הצטרפתי להצעה לסדר, מכיוון שאני מכיר את זה גם מהצד השני, זה נמצא בדרגת חשיבות מאוד מאוד גבוהה. אנחנו חשופים לדעת מה הסייבר יכול לעשות וכמה החשיפה לסייבר היא כל כך מוחשית וכל כך זמינה, עד שאני התלבטתי אם כדאי לעשות את הדיון הזה ולו רק כדי לא לחשוף אותנו כמה אנחנו חשופים. אבל מכיוון שהיום יודעים את זה והדברים לאחרונה גם התפרסמו, שהם גם נפגעו והיה ניסיון לפגוע ברשויות המקומיות, מה שאמרה חברת הכנסת לאה פדידה, ואני מצטרף לדברים האלה.

אני לא מכיר הרבה, אולי בגלל שאני לא מכיר את כולן, רשויות שהן לא ממשלתיות, אבל גופים ציבוריים, חוץ מפיננסים, שזה נושא אחר, עם מידע כמו שיש ברשויות המקומיות, אין כמעט נושא שאין שם מידע שיכול להיות בהחלט מעורר עניין לאנשים שרוצים להיכנס למידע הזה או לחשוף את המידע הזה או לשלוף את המידע הזה ולעשות בו שימושים על כל הסקלה של שימושים שאנחנו לא רוצים שיעשו בהם. ואני לא מדבר על רווחה, על בריאות, כמה יש מידע ברשויות המקומיות, אנחנו מדברים על חינוך, כמה מידע יש ברשויות, מידע רחב מאוד על נושאי חינוך, אנחנו מדברים על נושאים כלכליים, על אנשים שיש להם התדיינות עם העירייה, עם הרשויות המקומיות, בנושאים רבים, בין אם הם הגישו, בין אם הם מספקים שירותים לעירייה, במכרזים או קניית שירות. מידע רב מאוד ביכולות, בהערכות כספיות, בתביעות ובערעורים ובנושאים רבים.

אבל אני אגיד לכם עוד דבר אחד, שלא העלינו, ואני אומר שזה גם חידוש, יש גם מערכות מאוד חשובות ברשות המקומית. ניקח לדוגמה מערכת רמזורים, שנמצאים היום ברשויות מקומיות. השתלטות או שיבוש מערכת רמזורים בבת אחת בכמה ערים. אנחנו יודעים מה זה יעשה למדינה הזאת, מה הנזק, איזה השלכות יש לזה. אני מביא דוגמה אחת, אבל יש עוד מערכות רבות, מה שיכולים לעשות במידע שיש, במערכות המים, במערכות האחרות של אספקה, תאורת רחובות. היום בחלק גדול, לשמחתנו, ברשויות, כשמדברים על טכנולוגיה מתקדמת, כל אחד בשטח, יש כאלה שמצטיינים בהרבה תחומים, יש רשויות שמצטיינות בתחומים מסוימים בתוך פעילות הרשות ובתוך התחומים האלה יש להם התקדמות מאוד גדולה בלי הגנה או בלי מודעות להגנה או בלי שיש להם תקציב להגנה ואנחנו לא יודעים מה הכתובת.

וזאת הבעיה, שאנחנו לא יודעים מה הכתובת. זה שמשרד הפנים בא היום ואומר, ולכאורה זו התשובה היחידה שיש לו, למה לא נעשה עד היום שום דבר, מאז דוח הביקורת, שזה לא כמה שנים, זה שנות אור. להסתכל בפרספקטיבה של שלוש שנים, נגיד ש-30 שנה לא עשו שום דבר, זה לא דבר ששלוש שנים לא עשו שום דבר, זה הרבה מעבר לזה. אני מדבר בנושא הזה וזה גם בנושא התקציבים, אנחנו נסיק גם מסקנות. הנושא המרכזי שאת אומרת עכשיו זה איפה הסמכות ומי הכתובת שלנו. כשאין כתובת זה גם יימשך עוד זמן ואנחנו לא נראה שום עשייה.

אני יודע שיכול להיות שלא כל הרשויות המקומיות באמת חשופות, אנחנו נתקלנו בהצעות חוק שיש פה, בהגשה מכוונת של מכרזים, מתברר שיש רשויות מקומיות נחשלות שמערכות המחשוב שלהן מאוד מינימליות.

אין להם בכלל.

אין להם בכלל, גם. אבל נשאיר את זה בצד, זה אולי המעלה שאין להם, אבל אנחנו מדברים יותר ויותר, משנה לשנה, כאן צריכה להיות מערכת שמצד אחד היא נותנת תמרוץ, מצד שני נותנת תמיכה למי שמשקיע, העסק צריך לפעול ואנחנו שואלים מה הכתובת, עם מי אנחנו מדברים. אז ראשון הדוברים זה משרד הפנים.

אוקיי. כבוד היושב ראש, אני אומר כמה דברים, מעבר לעניין של - - -

רק שוב שמך, בבקשה.

אלי רגב, מנהל מינהל החירום במשרד הפנים. קודם כל משרד הפנים רואה חשיבות רבה להגנה על המידע ברשויות המקומיות, כמו בדברים נוספים שקורים ברשויות המקומיות. אני אפריד בין הצד המקצועי לבין הצד המשפטי פרוצדורלי בעמדת המשרד, אלה שני דברים שונים.

לא מהצד המשפטי, אני אומר שזה צד האחריות.

צד האחריות, יש לו משמעות משפטית, מה לעשות. משרד הפנים נתן את דעתו לעניין הזה בהתייחסות שלו לדוח מבקר המדינה ודחה את הערת מבקר המדינה באשר לאחריות הרגולטורית שלו כמשרד על הרשויות המקומיות בהקשר הזה וטען שאל"ף, זה לא מעולם התוכן שלו, ויש עוד הרבה דברים שקורים ברשויות המקומיות, כמובן שאנחנו לא עוסקים בהם - - -

לא הצלחתי להבין, למה רווחה זה מעולם התוכן ששלטון מקומי מטפל ו - - -

רווחה זה לא מעולם התוכן של משרד הפנים.

הוא מביא את כדוגמה, שרווחה זה למשל לא מעולם התוכן.

רווחה זה לא מעולם התוכן של משרד הפנים.

אבל אתם כן מטפלים ברגולציה של זה בתוך הרשויות המקומיות.

לא, משרד הרווחה מטפל ברגולציה. את היית ברשות המקומית, את יודעת.

אתם לא רוצים את זה?

לא אמרתי שאנחנו לא רוצים, אם אדוני ייתן לי להשלים אז אני אגיד גם מה נעשה, כי אתה פתחת ואמרת שלא נעשה כלום ואני רוצה פה לדייק את העניין, ברשותך.

אני אשמח שתסתור את דבריי, אין לך מושג כמה שאני אשמח.

אז אני אומר, בצד הפורמלי זאת התשובה. יחד עם זאת יש פעילות שנעשית ונעשתה על ידי, אני מוביל את הפעילות הזאת במשרד הפנים. הפעילות הזאת התחילה להיות מותנעת ביולי האחרון, אחרי שסיימנו תהליך מכרזי שבו קלטנו ארבעה אנשים במיקור חוץ שמתחילים לפעול אל מול הרשויות המקומיות, אבל, שוב אני חוזר ואומר, משרד הפנים לא רואה את עצמו כרגולטור, לא רואה את עצמו נושא באחריות, אבל מגיש את הסיוע לרשויות המקומיות.

ההגנה על המידע, צריך לזכור את זה, בצד המקצועי, לא תלויה רק במתן הנחיות, היא תלויה ביכולת גם של הרשויות המקומיות ליישם את ההנחיות האלה. היישום של ההנחיות האלה על ידי הרשויות המקומיות תלוי גם בתקציב וגם בכוח אדם וגם בדברים נוספים שהם הרבה יותר מורכבים ממה שלכאורה זה יכול להישמע.

מה שאנחנו עשינו כרגע, בשבעה-שמונה החודשים האחרונים זה קודם כל בנינו תכנית עבודה לרשויות המקומיות, שוב, מתוך מגמה לסייע לרשויות המקומיות כמנחה מקצועי או כמנחה שמכוון אותם ולא כרגולטור. פה מה שעשינו זה אל"ף, טיפלנו כבר ב-60 רשויות, ואני אציין ואומר שאנחנו מסתכלים רק על הצד המניעתי ולא על הצד התגובתי לאחר אירוע סייבר, כי בעצם גם בתיאום עם רשות הסייבר זה לא התפקיד של המשרד, למעשה של כל משרדי הממשלה, משום שה-cert הלאומי עוסק בתגובה לעת שהיא קורית, אני כרגע מדבר על החלק המניעתי.

בחלק המניעתי אנחנו קודם כל כרגע ממפים את כל המערכות הקיימות ברשויות המקומיות, קיימות מאות ואולי יותר מזה מערכות ברשויות המקומיות וכל מערכת כזאת שקיימת ברשות מקומית או מספר מערכות שקיימות ברשויות מקומיות, יש להן שונות בהשפעה על הרציפות התפקודית של הרשות. יש כאלה שמשפיעות על הרציפות התפקודית, יש כאלה שמשפיעות פחות. בהקשר הזה אנחנו מתייחסים לזה וכרגע אנחנו עסקנו בכ-60 רשויות בשבעה-שמונה חודשים האחרונים ואמורים לעסוק בעוד כ-50-40 רשויות במהלך השנה הזאת, כך שבסופו של דבר, בפרק זמן של שנתיים-שלוש נגיע למצב שבו נעשה סקירה מלאה של כל המערכות ברשויות המקומיות, נדע מה המערכות הקיימות, נדע מה רמת הסיכון שהן מהוות על הרציפות התפקודית של הרשות.

יחד עם זאת אנחנו מעבירים את כל ההנחיות מרשות הסייבר בתחומי ההגנה לרשויות המקומיות ובהקשר הזה זה כרגע הפעולות שעשינו. לקחנו גם מספר רשויות פיילוט שאנחנו רוצים לטפל בהן, בעיקר רשויות שיש להן גם תשתיות לאומיות והשפעה על תשתיות לאומיות. למשל רשויות שיש בהן נמלים כמו חיפה, כמו אילת, אשדוד וכן הלאה ואנחנו מטפלים בהן באופן ממוקד. שוב, כדי לסייע בעצם לתת הגנה טובה יותר.

צריך לזכור שהגנה, בצד המקצועי, היא תלויה לא מעט ברשות המקומית משום שבכל רשות מקומית צריך שיהיה מנהל רשת וצריך שיהיה בה מנהל אבטחת מידע ולא בכל הרשויות זה קיים.

כי אין תקצוב לזה, כבוד היושב ראש.

אין בעיה, אני רק אומר מה המצב כרגע. לא בכל הרשויות זה קיים. בחלק שקיים, ברובם הם במיקור חוץ ואין להם סמכות סטטוטורית, כמו שנאמר פה על ידי רשות הסייבר, שזו בעיה נוספת. יש לרוב הרשויות המקומיות, לצורך העניין, תלות מאוד גדולה בשני ספקים מאוד גדולה, כמו החברה לאוטומציה וחברות אחרות שהפערים בהם בתחום אבטחת המידע יכולים להשליך השלכה מאוד מאוד משמעותית על הרשות ולכן זה איזה שהוא מקום - - -

הם גופים שיכולים לתת גם הגנת סייבר? החברה לאוטומציה, למשל.

היא חברה שאם אנחנו נעשה פעולות כאלה ואחרות, מקצועיות - - -

כיום היא נותנת, יש לה את ה - - -

כיום היא נותנת שירותי מחשוב - - -

במחשוב, הם נותנים שירותי סייבר?

כן, הם נותנים שירותים להרבה מאוד רשויות מקומיות.

זה לא אפשרי.

אני רוצה שתגיב על זה. אתה רק אמרת בקריאת ביניים שאין להם את ה - - -

נכון, אין להם את הסמכות, זה ספק חיצוני כמו כל חברה אחרת שיכולה לספק שירותים כמעט כמו כל חברה אחרת שתספק.

לא, לכן אמרתי שזו נקודת תורפה. נכון.

זה לא דווקא האוטומציה, יכולה כל חברה אחרת לספק.

לא, אני אומר שיש שתי חברות מרכזיות שמטפלות בחלק הארי של הרשויות המקומיות - - -

נו, זה יכול להיות יותר קל, אבל אם לא - - -

זה לא בהכרח יותר קל. אנחנו בדקנו את זה מקצועית.

אם יש בעיה משפטית, בעיה חוקית או בעיה כספית, אבל מבחינת התפקוד זה יכול להיות - - -

כמו כל ספק.

כמו כל ספק חיצוני.

אבל הם ספק מאוד מרכזי ובאופן עקרוני אנחנו כרגע בנינו תכנית עבודה לכל הרשויות המקומיות, תכנית עבודה תלת שנתית, אבל היא כמובן תלוית תקציב. כדי לתת את אותו מענה לאבטחת המידע ברשויות המקומיות אנחנו צריכים להבין שחלק גדול מהרשויות המקומיות אתה יכול להטיל איזה שהיא הנחיה כזאת או אחרת, מקצועית, שבסופו של דבר יש לה נגזרות תקציביות שלרשות המקומית אין יכולת ליישם את זה. לכן אתה לא יכול לתת החלטה שבסוף הציבור לא יכול לעמוד בה משום שהרשות המקומית צריכה להביא את התקציב כדי ליישם את העניין הזה. לכן הדבר הזה כרגע פתוח.

רק משפט אחרון, ברשותך. מעבר לכל מה שאמרתי, יתקיים דיון בימים הקרובים, בראשות המנכ"ל, כדי לסגור גם את העניין הזה, כדי להחליט איזה פעולות אנחנו מתכוונים לנקוט כדי למסד את תהליכי הסיוע - - -

מתי הישיבה הזאת?

תוך שבועיים, לפי הנחיית המנכ"ל.

טוב, אנחנו לא נסיים את הישיבה היום, אנחנו לא נסיים את הכול, אנחנו גם נעשה ישיבת המשך בעניין הזה. אנחנו נמשיך עם העניין.

האם אתה חושב שמשרד הפנים יכול להיות גורם מייעץ, מנחה, בלי רגולציה, לרשויות המקומיות? אתם הרי יודעים איך זה עובד מול הרשויות המקומיות. זו שאלה אחת.

בשאלה הזאת נדון באותו דיון.

אני לא חושב שצריך לדון האם כן או לא, אני חושב שהשאלה היא איך מיישמים את הרגולציה בעניין הזה, איך מביאים תקציבים. לא יכול להיות, בסופו של דבר אתם לא רשות הסייבר, שנותנת הנחיה לגופים חיצוניים כלכליים. רשות הסייבר, הדבר הראשון שהם עשו פה, סמכויות מול הגופים הממשלתיים ששם הם אחראים. איפה שיש אחריות, שמה גם צריך להיות סמכות וגם צריך להיות תקצוב בהתאם.

כדי להבין את ההיקפים שאתם יכולים לעשות כגורם מנחה וללמוד כל מה שקורה ברשויות המקומיות, מה התקציב בשנת 2018 לאותן תכניות עבודה שלכם בתחום הזה?

רק כדי לעשות את סקר הסיכונים במספר רשויות שאנחנו קבענו - - -

כפיילוט.

כן, כפיילוט. רק כדי לעשות את זה אנחנו תקצבנו את זה כרגע ב-6 מיליון שקל השנה, רק כדי לדון במספר רשויות מאוד קטן או מצומצם ולעשות את זה. זאת אומרת ההיקפים הם מאוד מאוד משמעותיים בלי לדבר על נושאי כוח האדם.

זה לעג לרש. אם אלה הסכומים - - -

לא, אמרתי שזה הסכומים למספר קטן של רשויות. כשאתה עושה את המכפלות על 257 רשויות אז הסכום הוא הרבה יותר משמעותי.

אני עוד רוצה להרחיב בעניין הזה. אין ספק שכדי ללמוד מה הולך ברשויות המקומיות, וזו הרי גם דינמיקה, אנחנו מדברים על כל שנה שצריך להיות שינוי מהותי בהיקפים של העניין הזה, זה צריך להיות מערכת גדולה, קודם כל רגולציה, מה הסמכות, איך אתם ערוכים לזה, ברשות כך וכך כמה מיישמי סייבר יש, כמה אחראי סייבר יש. זה ספר שלם שצריך מאוד באופן מקיף ולא יכול להיות שזה לא ייעשה. אם זה משרד הפנים או לא משרד הפנים, נניח שאני לא רוצה להיות שיפוטי ואני לא רוצה להיות שם בעניין הזה.

אני גם לא אמרתי, ותיכף ניכנס לזה, יש המון חומר שנמצא מחוץ לרשות. יש חברות פרטיות שעושות הרבה עבודה לרשויות המקומיות, שהם גם מחזיקים. אני תיכף אגש לשאול האם הם מחויבים ומה הרגולציה כלפיהם. נניח חברות גבייה, שנמצאות ברשויות המקומיות, אנחנו רואים הרבה חברות כאלה היום, אבל אני אתן לך לדבר ואחרי זה יהודה.

אני יכולה להגיב בשם משרד המשפטים?

עוד רגע.

צחי שלום, שלטון מקומי. אנחנו מסכימים עם מה שנאמר פה על ידי חברת הכנסת פדידה וכבוד יושב הראש. הרשויות במצוקה בלתי הגיונית. מצד אחד אנחנו מקבלים הנחיות בלתי נגמרות מכל הגופים שיכולים להנחית הנחתות, מה שקמו בבוקר, החליטו, זה מה שצריך לעשות והם מנחיתים על הרשויות בלי שום התחשבות. מצד שני, תקציבים אנחנו לא מקבלים, אנחנו לא רואים, גם תקציבים שמשרד הפנים כרגע מדבר עליהם זה מספר שהוא אפילו לא מתקרב למשהו שאנחנו יכולים לחשוב עליו, בטח לא ברשויות הקטנות והבינוניות ששם הן סובלות. הגדולות עוד מסתדרות בינן לבין עצמן ומקצות לזה תקציבים, הרשויות הקטנות לא מסוגלות להקצות לזה תקציבים, זה לא בסדר העדיפויות שלהן, באג'נדה היומיומית.

וכמובן שהסעיף האחרון שהורג אותנו זה כוח האדם. אין לנו שום יכולת, משרד הפנים מקציב לנו תקציב מאוד מגוחך לתת למנהל אבטחת מידע, משהו בסביבות 6,000 שקלים בחודש, כשהוא יכול ללכת לכל גוף בארץ ולקבל פי שניים או פי שלושה עם אותה הכשרה. זאת אומרת אין לנו שום יכולת להתמודד, אין לנו יכולת לעבוד ולכן המרכז לשלטון מקומי בעצם בא ואומר שאנחנו מכירים את הבעיה הטכנולוגית, הרשויות די קורסות מבחינה טכנולוגית, אנחנו דורשים מהן המון, להנגיש שירותים, מבקשים מאיתנו לעמוד בתקנים, ובעצם בשנה האחרונה מתחילים לעבוד על תקשוב, ענן תקשובי לרשויות, כמו התקשוב הממשלתי, שייתן מענה גם טכנולוגי וגם אבטחתי, ברמת הסייבר, הפנימית והחיצונית.

נכון שייקח לנו זמן, הענן יעלה וזה יעבוד, אבל עד אז אנחנו צריכים את שיתוף הפעולה של המשרדים ואת התקצוב שאמור להגיע מהם.

התחלת להגיד משהו על החברה לאוטומציה, שהיא צריכה לקבל סמכות כדי לפעול.

החברה לאוטומציה היא חברה פרטית נכון להיום.

אני יכול לענות בשם החברה לאוטומציה?

כן, יש פה נציגים של החברה לאוטומציה. החברה לאוטומציה היא חברה פרטית שנותנת שירותים למקור מידע - - -

ואם נניח רשות מקומית רוצה לשכור את שירותיה בנושא סייבר?

היא צריכה לצאת למכרז, זה תהליך ארוך. זה כמו כל גוף חיצוני נפרד, אין שום יתרון או חיסרון לחברה לאוטומציה.

הבנתי, זו שאלה כספית בסופו של דבר.

בסופו של דבר זו שאלה כספית, תקציבית וכוח אדם.

מעבר לכך שאין לנו מנחה כמה רשות מקומית, רשות מקומית עם היקף כזה או מספר תושבים כאלה, מה היא צריכה להחזיק בכוח האדם שלה או שיש לה מענה מקצועי שגם צריך לקבוע את זה, שמישהו חיצוני נותן לה את זה, אבל צריך לקבוע את זה. זה לא מספיק, אני לא חושב שהחברות הן אלה שיקבעו את ההיקפים, רגולציה זה אומר שאנחנו צריכים לקבוע ולא החברות, גם זה שהם בעלי עניין וגם אני חושב שאנחנו צריכים - - -

הן כפופות לרגולציה שלהם.

יהודה, בבקשה.

אני רוצה לשאול שאלה, אתה אמרת מקודם וזה בהמשך לדברים שאמרת, שיש רשויות שאין להם מנהלי אבטחת מידע, אין להם מנהל סייבר. בחלקם זה בעיה של תקנים, למה אתם לא מגדילים את התקנים?

הופשר תקן, אבל תקצוב.

זה לא עניין של התקן, כי הרשות המקומית רוצה את התקן עם התקציב, זאת הבעיה.

יש נושא שאפילו תפקיד המנמ"ר לא מוגדר כ - - - אבל זה רק בידכם.

זה לא בידינו. הרשות המקומית - - -

כן, להקצות רמה של ניהול למנהל אבטחת מידע, 6,000 שקלים, אף מנהל אבטחה - - -

אתה מדבר על סוגיה אחת והוא מדבר על סוגיה שנייה. אתה מדבר על בכירות התפקיד והשכר והוא מדבר על עצם קיומו של בעל התפקיד.

זה אותו דבר, לא יהיה בעל התפקיד ללא בכירות.

כדי לתת את המינימום הנדרש, המינימום ההכרחי, לתת מנהל אבטחה ומנמ"ר לכל רשות, זה 500 תקנים. תלך לאוצר תבקש 500 תקנים ותראה מה יגידו לך.

זה אתם צריכים ללכת לאוצר.

אז אני מסביר לך שמדובר פה בתקציב - - - אנחנו היינו כבר באוצר, אנחנו כבר אחרי המספרים האלה והיינו באוצר, אין שום סיכוי בעולם להתקרב למספרים האלה.

זו הבעיה.

זה בדיוק עונה על השאלה, זה עונה על הבעיה.

כרגיל הבעיה היא כסף, תקציב.

ודאי. אם יהיה כסף יהיו גם תקנים. אפשר גם לקנות את השירות הזה בתקציב, זה לא חייב להיות דווקא תקן. זה יכול להיות מיקור חוץ.

אחד מהרעיונות של המרכז לשלטון מקומי בעצם לצמצם את התקנים שמשרד הפנים מדבר עליהם זה לעשות תפקידים אזוריים, שזה יהיה מנמ"ר אזורי, אנחנו מתחילים עכשיו פיילוט בצפון.

בוודאי ברשויות קטנות יותר, לאגד אותן.

ברשויות קטנות, באזורים ומתחמים של מספר, כן, לנסות לאגד ולהרים תוך כדי איגום משאבים לרמות יותר גבוהות.

אוקיי. משרד המשפטים.

גם בשם הרשות להגנת הפרטיות וגם בשם משרד המשפטים. אז קודם כל אנחנו מאוד שמחים על העבודה שמשרד הפנים לוקח על עצמו לעשות והקידום של הנושא, כי אנחנו באמת חושבים שהדברים האלה הם יותר במגרש שלו. חשוב להסביר שהרשות להגנת הפרטיות היא רגולטור בעצם כלל משקי, אנחנו אחראים על כל המשק, על מאגרי מידע פרטיים וציבוריים כאחד ולכן דברים שעלו כביכול מדוח המבקר, שמתייחסים להנחיה ספציפית לרשויות מקומיות, הם כמובן משהו שאנחנו לא יכולים לעשות, לא מבחינת כמובן תקציב ומשאבים, אבל הוא גם משהו שלא נכון בראייה שלנו. אנחנו מנחים את כל המשק כפי שהוא והאחריות היא כמובן של הרשות המקומית לעמוד בהנחיות האלה, לעמוד בדרישות החוק.

בסדר, זו הרשות, הבנתי. אבל משרד המשפטים, הרי משרד הפנים זורק את זה לכיוון משרד המשפטים.

אני ממשיכה לגבי זה. אני כן רוצה להגיד שלעומת אולי אי בהירות שהייתה קיימת בשנים קודמות לגבי מה בדיוק צריך לעשות ואיך, אז כן פורסמו בשנה שעברה תקנות הגנת הפרטיות (אבטחת מידע) והן ייכנסו לתוקף במאי הקרוב ובעצם - - -

שכמעט אף רשות לא יכולה לעמוד בהן.

הן בעצם ממלאות בתוכן את הדרישות שהיו קיימות בחוק. לפחות הרשות יודעת עכשיו במה היא צריכה לעמוד ומה היא צריכה לעשות. אני שמה שנייה את התקציבים בצד, אנחנו כן נוקטים בפעילות הסברה מסיבית, גם באתר שלנו יש מדריכים, גם בעבודה שלנו מול יועצים משפטיים של רשות מקומיות, יש לנו בחודש הבא יום עיון ייעודי בדיוק לנושאים האלה. מבחינת התקציב ואיך לעמוד בזה, אז אנחנו חוזרים כמובן למשרד הפנים.

לא רק תקציב, ההתקשרות בנהלים, לדוגמה אתם מבקשים לעשות מבדקי חדירה כל חצי שנה בערך, שום רשות לא מסוגלת לבצע, אנחנו לא נספיק לסיים - - -

לא כל חצי שנה. אנחנו לא מדברים על כל חצי שנה.

משהו בסגנון. לא נספיק לעמוד בזה, אנחנו נסיים אחת וניכנס לשנייה.

עורכת דין בסמן, אתם בדקתם - - - אני מבין שאתם מתעסקים עם מאגרי מידע, אבל ברשויות המקומיות זה לא רק מאגרי מידע. אני הבנתי דוגמה של מערכת בקרת רמזורים, זה לא מאגר מידע אולי, אבל הרשות - - -

המנדט שלנו ושל משרד המשפטים זה באמת רק במאגרי מידע ואתה ציינת, ובצדק, שהתמונה היא הרבה יותר רחבה. כל הנושא התשתיתי דורש גם הגנה של אבטחת מידע, כי גם משם יכולים לבוא נזקים, לא רק מפריצה.

זה דורש הגנה, זה לא משנה עכשיו אם מידע, או פריצה, או חדירה, איך שקראו לזה קודם.

צריך לעשות סדר במערכות המחשוב של הרשויות.

הרשויות המקומיות הן בהחלט חשופות לדברים. אנחנו שומעים כמה גופים פרטיים ומסחריים חשופים להתקפות, אז אנחנו רוצים לדעת שהרשויות המקומיות, על אחת כמה וכמה גם גורמים פליליים, זה יכול להיות כל סוגי הגורמים. יכול להיות שנעשה ואנחנו אפילו לא יודעים, דרך אגב, אני לא יכול להבטיח שאולי זה נעשה ואף אחד לא יודע לזהות.

אין תוכנה שיכולה לעקוב ברשויות על משהו שיכול ל - - -

על גוף מסחרי ש - - -

יש הרבה פערים נורא גדולים בין רשויות גדולות וחזקות לבין - - -

ודאי, הוא אמר את זה.

יש רשויות שהן בטופ וכל השאר מדשדשות מאחור ברמות מאוד מוגבלות. יש כאלה שבכלל - - -

אני אומר שהערים הגדולות - - -

לכן צריך לפנות למשרד הפנים שיעזור ל - - -

אני חושב שצריך לשתף פעולה ולמצוא את ה - - -

רבותיי, אני רוצה להתקדם בעניין הזה, החברה לאוטומציה.

כן, אני רוצה להתייחס, פשוט הזכרתם את החברה לאוטומציה. המחשוב ברשויות הוא, כמו שאמרת, נכון שיש את הרמזורים ויש את מערכות המים וכן הלאה ויש את המערכות שיושבות בחברה לאוטומציה, אנחנו כמחזיקי המאגר, שעלינו חלים חוקים, אנחנו לוקחים על עצמנו ועומדים בבדיקות ועומדים ביכולת של להגן בהגנת - - -

גם כשהמידע הזה נמצא ברשות המקומית?

לא. אנחנו המחזיקים, הם בעלי המאגר. הם יושבים אצלנו בענן הפרטי שלנו, שאנחנו יצרנו עבורם ואנחנו שומרים על זה. כמובן שיש המון מערכות שהרשות עצמה מפעילה באופן עצמאי ברשות, שהם צריכים להגן, ואני מסכים פה עם צחי ועם משרד הפנים ש - - -

אני לא איש מחשבים, עם השנים קיבלתי ניסיון, אבל אם המערכת שלו, של הרשות המקומית, פתוחה והוא יכול לחדור אליכם דרך המערכת שלו, שאתה אפילו לא יכול לזהות, איך תוכל לזהות שמישהו אחר - - -

לא, הוא לא יכול לחדור, אנחנו מאפשרים לו להשתמש במערכת שלו.

הרשות המקומית, אתה נותן לו רשות להשתמש, אז הוא יכול לשאוב מידע, דרך המקום הזה, דרך הפתח שאתה עושה, שזה לגיטימי, שזה התפקיד שלו, מישהו אחר יכול להשתמש בזה.

לא.

למה לא?

אני אסביר.

רשות מקומית, יש לו - - -

קודם כל אפשר הכול, שום דבר לא חסין, ראינו שפורצים - - -

אין מערכת הגנה, הוא משתמש באותם קודים, איך אתה יכול לדעת שזה לא הפקיד עושה את זה, אלא זה מישהו מבחוץ עושה את זה?

אז אנחנו יודעים, כי יש לנו רשת פרטית. לרשויות המקומיות מול החברה לאוטומציה יש רשת פרטית שהיא רשת שכל רשות, רק היא יכולה להיכנס אלינו, להתחבר עם משתמשים, סיסמאות.

אבל הוא הרשות, הפורץ, החודר הופך לרשות במקרה הזה. הוא לוקח כובע של הרשות, שם על עצמו והוא אומר 'אני עכשיו הרשות'.

אם פקיד אחד נתן לשני את הסיסמה שלו - - -

הוא לא נתן, אבל הוא פיצח את הסיסמה.

מה זה פיצח?

מישהו מבחוץ גילה את הסיסמה על ידי שהוא ידע, הוא ידע לעקוב, הוא שם לו משהו, ידע לעקוב אחרי הסיסמה שלו, הוא יודע מה הוא שם והוא משתמש בזה. אני עדיין לא האקר, אבל עם כל זה זה כל כך פשוט.

אז אנחנו מגנים על המערכות. אם יגיע האקר ויפרוץ, לכל מקום, גם - - -

אבל המקום השני לא מוגן. מערכת ההגנה אצלך, אבל המערכת ששואבת ממך את המידע, היא לא מוגנת. על זה אנחנו מדברים עכשיו. לא באנו בטענות לחברה לאוטומציה, הנושא הוא לא החברה לאוטומציה, הנושא הוא הרשויות המקומיות. זה שאתם שומרים, אבל הוא יכול להשתמש בפתח שאתם נותנים לאנשים אחרים, הוא פשוט מתחזה למישהו אחר. אבל אנחנו לא רוצים הרבה לפתוח בעניין הזה, אנחנו עוד לפני זה. אנחנו צריכים לבנות את המערכת שנותנת את המענה להתחלה.

הרשות הלאומית להגנת הסייבר. מישהו מטעמכם?

שי עמיר, ראש המרכז להכוונת המגזרים. לפני שאני אתייחס עניינית למה שאלי דיבר כאן, אנחנו עובדים בשיתוף פעולה, אני רוצה רגע להטיל ספק בכלל בנושא של ה - - - ציינה פה גילי ואני מסכים, חוק הגנת הפרטיות קיים הרבה מאוד שנים, תקנות הגנת הפרטיות בגרסתן הקודמת, היו קיימות הרבה מאוד שנים. אני, לפני כשש שנים הייתי במשרד הבריאות, לא חיכיתי להנחיות, יש הגנת הפרטיות, אני מקים מערכת, ברגע שאני מקים מערכת אני מקים לה הגנה. להגיד עכשיו, זה כמו שאתה תקנה רכב ויגידו לך 'רגע, הברקסים וכריות האוויר וחגורת הבטיחות לא נכנסו במחיר, שמישהו אחר יתקצב את זה'. אתה מקים מערכת אתה מקים אותה באופן שלם, אתה מקים אותה יחד עם ההגנה שלה, יחד עם הבטיחות שלה, יחד עם הגנת הפרטיות, אתה מקים אותה כמו שצריך.

ציינתי את זה בתחילת דבריי, שזה בִּילְד אִין, היום זה צריך להיות בכל פיתוח תוכנה.

אם לרשויות העניות היה את מעט הכסף כדי להקים מערכת מסוימת, היו צריכים לדאוג שכבר בפנים תהיה ההגנה.

זה חזון.

נכון להיום, רוב הדברים שציינת, באמת מערך הסייבר הלאומי נכנס אליהם. יחד עם אלי הקמנו בעצם את היחידה המגזרית שנמצאת אצל אלי, מונחית מקצועית על ידינו, הפעילות נעשית יחד איתנו, יש רמ"ח אצלי שמלווה את כל אותה סקירה ברשויות. אגב, כולל, נכנסנו לעוטף עזה בגלל רגישות כזו או אחרת, אז גם שם נכנסו רשויות ובחנו מצבים ובחנו כל מיני פערים כדי להגן עליהם. וכשאנחנו מסתכלים על הגנה בעולם הסייבר אנחנו מסתכלים על כלל ההיבטים.

אני רוצה לשאול אותך, אתה אולי לא הסמכות, אבל אתה חושב שמערך הסייבר ייתן תמורת תשלום הוגן, מה שנקרא, בהזמנה של משרד הפנים, לתת את כל הספר הזה שצריך לבנות עבור הרשויות המקומיות? אתה חושב שאתה יכול כגוף, בכל אופן יש לך משהו מקצועי יותר, לא על כל הדברים, אבל אתם חושבים שאתם היום בנויים, יש לכם את הסמכות, האחריות, הרצון בכלל לקחת את השלטון המקומי, את הרשויות המקומיות, ולבנות להם את כל מערך ההגנה בסייבר לכל מה שהם צריכים?

לגבי הסמכות, אמר בוקי, כרגע אנחנו בלי סמכויות, הסמכויות הקיימות שיש הן הסמכויות הרלוונטיות שיש למשרד הפנים - - -

אני מציע, אפילו שזה נשמע עכשיו קצת משהו דמיוני, בישיבה שאתם אמורים לעשות, הישיבה המקצועית, לקיים מערכת, איזה משא ומתן או בדיקה מול מערך הסייבר הלאומי, יכול להיות שאין - - - אני רואה את זה, אני חושב בעוד מקומות, שהם יהיו הגוף שיהיה לו את היחידה שהיא עכשיו תטפל ברשויות המקומיות וזה יכול להיות הרבה יותר מקצועי והרבה יותר זול וכלכלי לעשות את זה דרך מערך הסייבר. אני מעלה כאן משהו שיכול להיות שהוא דמיוני לגמרי.

נפריד בין שני דברים. אל"ף, היחידה, אנחנו מממנים נכון להיום 50-50, היחידה שקיימת שם, אנחנו הסמכות המקצועית. הרשות או המערך ייתן בעצם את כל מעטפת המידע, הידע, ובסופו של דבר - - -

לא, אבל לבנות את המערכת בתוך השלטון המקומי, ברזולוציות של - - -

אנחנו מנסים לעבוד ביחד. אנחנו מנסים לשלב את הגופים האלה מבחוץ לתוך הפרויקט שלנו, גם את ישראל דיגיטלית וגם את משרד הפנים.

אוקיי. משפט סיום.

נכון להיום המערך לא בונה לארגונים, בין אם זה רשויות ובין אם זה ארגונים אחרים, הוא לא בונה להם את ההגנה, הוא רק מנחה ומסביר איך נכון לעשות את זה ויחד אנחנו באמת מנסים לעבוד דרך השלטון המקומי, דרך החברה לאוטומציה, לראות איך אפשר לבנות שם את ההגנה האופטימלית. זאת אומרת מול המשאבים שיינתנו כדי לתת את המענה הכי טוב שניתן לעשות.

אני כבר אחרי מסגרת הזמן, אבל אתה רצית להגיד משהו. שמך, ב-30 שניות.

אני בעניין מד החשמל החכם. יש מצבים בחברות אנרגיה בארצות הברית, שתקפו אותם, ולכן לדעתי הדרך הכי טובה להימנע מסייבר זה פשוט להישאר עם מד חשמל מכני. יש בזה גם יתרונות נוספים, מכיוון שבמוני חשמל חכמים יש גם בעיות של חילולי שבת וגם לפי בדיקה של האוניברסיטה ההולנדית, זה גרם להגדלת החיובים. בניסוי שנערך באירופה 15% מהתושבים רוצים מונים חכמים, יש בזה עוד הרבה בעיות, יש הרבה מצבים - - -

אתה מדבר על חשמל או מים?

לא, אני מדבר על חשמל, במד החשמל החכם יש בעיות של חילולי שבת. אנשים אומרים שזה מחטיא יהודים בחילולי שבת וגם במד מים יש בעיות.

ומה עם המונה החכם של המים?

גם במים. רק רציתי להדגיש שגם במד החשמל החכם יש בעיות חמורות של חילולי שבת ולא רק במים.

אז אני רוצה להגיד לך שבמד המים יש פתרונות קלים מאוד שכמעט אין שום - - - פתרו את זה. אני סמוך ובטוח שבמוני חשמל, עוד יותר אפשר לפתור את זה. הטכנולוגיה התקדמה גם בנושא הזה ויש פתרונות ואני בטוח שחברת חשמל בתוך המכרזים תשלב מונים שלא יחללו שבת. יש להם פתרונות שהם לא עושים את זה מיד בצריכה, אלא צוברים איזה כמות ואחרי זה זה נעשה אוטומטית. פתרונות שהם אפילו בשקלים בודדים, אם בכלל זה מכביד על המערכת. כך שאני בטוח שבדברים האלה, כשזה יהיה, אני לא מכיר מונה חכם, לי עדיין אין - - -

כבר פרסו בכל מיני מקומות מד חכם.

אני מניח, אני אבדוק את הנושא הזה.

רבותיי, אנחנו לא משלימים את הדיון הזה, אנחנו גם גלשנו בהערכת הזמן, הדיון הראשון לקח יותר זמן ממה שחשבנו, הוא היה מרתק ומעניין, זה בסדר, גם אם אנחנו לא משלימים אותו אנחנו רוצים לעשות מעקב. אין לנו יכולת להשלים אותו גם אם אנחנו רוצים.

אני חושב, יש לי את ההרגשה, שמשרד הפנים היום קצת חושב אחרת בעניין הזה, יכול להיות שמחוסר ברירה, אולי הוא חשב שמישהו אחר יעשה את העבודה בשבילו, ויכול להיות שאולי בצדק. אני לא מבקר שם ואני לא שיפוטי כלפי משרד הפנים, אבל אני חושב שזו אחריות שלנו גם כן, כגוף ציבורי, כוועדת המדע והטכנולוגיה שהיא הגורם המפקח, אני חושב שצריך לעשות את זה לא בגלל דוח המבקר, זה גם לא קשור לדוח. דוח המבקר, בסדר, כבודו במקומו מונח, אנחנו מדברים היום במערכת שאנחנו בודקים מערכות ציבורית, לפי כל קנה מידה, יש איזה שהוא שטח הפקר בעניין הזה.

רשויות מקומיות שפועלות פועלות, רשויות מקומיות שלא פועלות, אין מישהו שלוקח את האחריות. אני מגדיר את זה, בלי לפגוע באף אחד, איזה פיגור מדאיג ומסוכן בנושא הזה וכאן צריך להיכנס עכשיו במרץ רב ובלוחות זמנים צפופים מאוד ובתקציבים מתאימים כדי גם להדביק את הפער וגם לעשות שיתופי פעולה מבורכים. איך אמר מקודם בוקי? יש המון דברים שיש כבר במדף, כאן צריך להיות יצירתי ומהיר כדי לדעת לעשות בצורה הכי יעילה, הכי זולה, אבל הכי מהירה, את המערכות האלה. אנחנו מתקדמים בקצב הרבה יותר מהיר מאשר אנחנו יודעים להעריך אותו.

יש כאן גם שאלה של אחריות, יש כאן גם שאלה של סמכות וגם רגולציה וגם שאלה של תקציב. אם אנחנו נתווכח עם משרד המשפטים, אני אומר לך, לא נגמור, זה יכול להיות גם ויכוחים שנים, אני מכיר קצת, לדאבוני, את הוויכוחים עם משרד המשפטים בהרבה נושאים, לא תצא מהם ראש. סליחה על הביטוי הזה, אבל זה לא ייגמר, אף פעם זה לא ייגמר. זה עוד תחום, אני מבין שלמשרד קשה ויש לו הרבה משימות, אבל זה הכרח לא יגונה. אי אפשר היום לצאת עם הכרזה ש'אנחנו לא יכולים', מישהו צריך לטפל בעניין הזה.

אני מודה לכולם, שיהיו צהריים טובים ויום טוב.

הישיבה ננעלה בשעה 14:15.