ישיבת ועדה של הכנסת ה-20 מתאריך 29/01/2018

הרשות הלאומית להגנת הסייבר – סיכום שנות ההקמה (2016-2017) , הצעה לסדר-היום בנושא: "דרישה ממשרד הפנים לתקן ליקויים במערכות המידע של הרשויות המקומיות בשל פריצות סייבר"

פרוטוקול

 
ôøåèå÷åì ùì éùéáú åòãä

ôøåèå÷åì ùì éùéáú åòãä

àåîðéè÷

2018-02-08OMNITECH



הכנסת העשרים

מושב רביעי

פרוטוקול מס' 155

מישיבת ועדת המדע והטכנולוגיה

יום שני, י"ג בשבט התשע"ח (29 בינואר 2018), שעה 12:30
סדר היום
הרשות הלאומית להגנת הסייבר – סיכום שנות ההקמה (2016-2017) – דיווח ראש הרשות היוצא, מר בוקי כרמלי
הצעה לסדר-היום בנושא
"דרישה ממשרד הפנים לתקן ליקויים במערכות המידע של הרשויות המקומיות בשל פריצות סייבר", של חה"כ לאה פדידה, חה"כ אורי מקלב
נכחו
חברי הוועדה: אורי מקלב – היו"ר
חברי הכנסת
רויטל סויד

לאה פדידה

יעקב פרי
מוזמנים
בוקי כרמלי - ראש הרשות הלאומית להגנת הסייבר

שמר הדר - עוזרת מנכ"ל, הרשות הלאומית להגנת הסייבר

עמיר שי - ר' המרכז להכוונת המגזרים, מערך הסייבר הלאומי

גדעון קונפינו - מנהל יה"ב, רשות התקשוב הממשלתי

אברהם זרוק - מנהל מערך הגנה בסייבר, רשות התקשוב הממשלתי

תובל צסלר - יועץ לראש הרשות הלאומית להגנת הסייבר, משרד ראש הממשלה

אתי שמואלי - מנהלת אגף הנדסת תקשורת, משרד התקשורת

יוסי מנחם - ראש ענף ביטחון מידע, שב"ס, המשרד לבטחון פנים

ינון בטאט - רמ"ד סייבר טכנולוגיות סיגינט, המשרד לבטחון פנים

אילן יום טוב - ראש תחום סייבר, המשרד לבטחון פנים

נדב ברש - יועץ סייבר למולמו"פ במשרד המדע, משרד המדע והטכנולוגיה

פדיל צאלח - ראש תחום, משרד המדע והטכנולוגיה

ענת אסיף - ראש אשכול ביטחון, משרד המשפטים

נעם רוזן - הרשות להגנת הפרטיות, משרד המשפטים

גילי בסמן - מנהלת מח' משפטית ברשות למשפט, טכנולוגיה ומידע, משרד המשפטים

אליהו רגב - מנהל מינהל הרישוי והחירום, משרד הפנים

רועי גולדשמידט - רכז בכיר, מרכז המחקר והמידע של הכנסת

צחי שלום - מנהל מערכות מידע, מרכז השלטון המקומי

ברק שחר - מנהל מחלקת תקשוב, מרכז השלטון המקומי

יריב נוי - צוות אבטחת מידע, החברה לאוטומציה

יורם אסולין - מנהל חטיבת תשתיות, החברה לאוטומציה

צביקה פליישמן - מנהל חטיבת הממשלה, חברת סי איי-שירותי אבטחת מידע

יהודה קונפורטס - עורך ראשי, עיתון אנשים ומחשבים, מנמ"רים ומנכ"לים חברי הפורום של מועדון C3 "אנשים ומחשבים"

ניצן דה פז - אזרח המתעניין בנושא
מנהל/ת הוועדה
ענת לוי
רישום פרלמנטרי
סמדר לביא, חבר תרגומים

הרשות הלאומית להגנת הסייבר – סיכום שנות ההקמה (2016-2017)
הצעה לסדר-היום בנושא
"דרישה ממשרד הפנים לתקן ליקויים במערכות המידע של הרשויות המקומיות בשל פריצות סייבר"
היו"ר אורי מקלב
צהריים טובים. אני מתכבד לפתוח את ישיבת ועדת המדע והטכנולוגיה, היום יום שני, י"ג בשבט, תשע"ח, 29.1.2018, על סדר יומנו שני נושאים. הנושא הראשון זה הרשות הלאומית להגנת הסייבר, סיכום שנות ההקמה, 2017-2016. את הדיווח ראש הרשות, בוקי כרמלי, יציג לנו. כאן כתוב לנו היוצא, אבל זה אולי הנושא השלישי, אני דילגתי על המילה 'היוצא', כי אצלי זה עוד נושא בעצמו ואנחנו גם נייחד זמן להגיד לך מילות הערכה. הנושא השני זה דרישה ממשרד הפנים לתקן ליקויים במערכות המידע של הרשויות המקומיות בשל פריצות סייבר. זה נושא שירד אלינו מהמליאה, זה נושא שהיו פניות של חברי כנסת וזה הנושא השני שאנחנו נדון. בחלק הראשון של הדיון אנחנו נתמקד בנושא של דיווח וסיכום של הרשות הלאומית להגנת הסייבר.

יש מקום לחבר הכנסת פרי, בבקשה. אנחנו אמרנו מקודם שיש לנו שני חלקים לדיון. הדיון הראשון הוא דיווח וסיכום שנת ההקמה, גם דיווח וגם סיכום של הרשות הלאומית להגנת הסייבר, של מר בוקי כרמלי, ראש הרשות היוצא. הנושא השני זה הדרישה ממשרד הפנים לתיקון ליקויים במערכות המידע של הרשויות המקומיות בשל פריצות סייבר. זה הנושא שלנו.
לאה פדידה (המחנה הציוני)
אני חשבתי שזה דיון לבקשה על הצעה לסדר. אני חושבת שכדאי לציין את זה.
היו"ר אורי מקלב
אני ציינתי, אני חזרתי עכשיו על הדברים.
לאה פדידה (המחנה הציוני)
אוקיי, אז סליחה.
היו"ר אורי מקלב
אני אמרתי שזה נושא שירד מהמליאה, כהצעה לסדר דחופה ואנחנו נקיים דיון ואמרתי שיש גם פניות של חברי כנסת נוספים, שלא במסגרת הצעה לסדר, חברת הכנסת יוליה מלינובסקי גם פנתה אלינו, כך שאנחנו דנים בשני הנושאים, אבל אנחנו בחלק הראשון מתמקדים, יש אמנם קשר של כותרת, אבל אנחנו רוצים לייחד את הדיון הראשון לנושא של סיכום שנת ההקמה.

אחד הדברים המרכזיים שהוועדה עסקה ועוסקת בהם זה נושא הסייבר, על כל מרכיביו ועל כל השלכותיו. אנחנו יודעים להעריך ויודעים מה המשמעות של סייבר במדינת ישראל. רק כדי למנות את כל ההיבטים ואת כל ההשלכות ואת כל החשיבות זה לקח לנו הרבה זמן, אבל אנחנו יודעים שבמקביל לרשות הסייבר קיים גם מטה הסייבר, שהיום התאחד למערך הסייבר הלאומי.

אנחנו יודעים שככל שהטכנולוגיה מתחדשת ומתרחבת הנגטיב של הנושא של התפתחות והתחדשות טכנולוגית ומערך טכנולוגי מתקדם, חלק מהפיתוחים זה גם הגנה, אי אפשר לפתח ולהיות מרחב מאוד מאוד מהיר ונגיש בלי שאתה גם יוצר לו מערכות הגנה. אולי, לצערנו, לא מיד בהתחלה ידעו את זה ויש מערכות שלמות שנבנו ללא מערכת ההגנה ואנחנו היום מגיעים להרבה פעילויות שצריך לעשות כדי להגן. יחד עם זאת, בדברים שהיום מקימים וזה חלק מהמטרות, כבר להקים את זה עם מערכות ההגנה.

מערכות ההגנה הן מאוד מגוונות, במיוחד מה שהיה אמון על רשות הסייבר זה קודם כל הגנה על תשתיות המדינה, הוא היה גם גורם מנחה ולא מעט התעסקתם עם מלחמה בסייבר, התמודדויות עם אירועי סייבר, אנחנו ביקרנו ב-cert הלאומי בבאר שבע, מאוד התרשמנו בזמן אמת, גם ממראה עיניים, לא רק ממשמע אוזניים, מהמקצועיות וההשקעה והאחריות שיש. ויש עוד נושא שאנחנו גם התוודענו אליו וגם דנו בו וגם ביקרנו, זה הנושא של תשתיות, הכשרה, הדרכה, הרחבה של פעילות הסייבר.

אני ככה נתתי על קצה המזלג, אנחנו יודעים שבסופו של דבר במערכת הזו קיימים אנשים, אנשים שפעלו ועשו. אם נסתכל אחורנית נראה שיש הרבה עשייה, שנתיים ועשייה רבה מאוד. כמובן שתמיד יכולים להסתכל על כך שהמשימות והיעדים הם רבים, יש עוד הרבה מה לעשות, אבל אם אנחנו רוצים היום, כשיש סיכום שנות הקמה, אני חושב שאנחנו מלאי הערכה לפעילות הזאת של אנשים, מאחורי הפעילות הזו יש אנשים מסורים, מוכשרים מאוד, שהם רוצים לתרום למדינה, לפעול בתוך מערכות המדינה, והאנשים האלה, חלקם הגדול אם לא כולם, יש להם גם אפשרויות חיצוניות לעבוד בסייבר, אנשים שבאים עם רקורד ועשייה רבה מאוד והם שילבו בתוך העבודה שלהם גם אחריות, גם להיות שותפים בהקמת מערך הסייבר הממשלתי והתמודדות עם הסייבר.

אנחנו רוצים לציין שבראש המערך עמדת אתה, בוקי, הנחית, הקמת, יש באמת הרבה דברים לומר, מלאי הערכה, וההשקעה שלך והתוצר שלך והקידום שלך של הדברים בעצם יירשמו בדברי הימים, שאנשים יסתכלו על העבר ויידעו שעשית כמעט יש מאין, הקמת דברים ממה שלא היה. אנחנו לא עשינו היום מסיבת סיום, אבל כבוד הוא לנו. לא כבוד הוא לנו, בואו לא נתווכח, מר בוקי כרמלי מסיים את תפקידו עם הקמת מערך הסייבר. אם כן נכון או לא נכון להקים את מערך הסייבר, גם בסיור שהיינו ב-cert הלאומי שאלנו אותך שאלה, האם יש ריבוי או חלוקה של התפקידים, זה טוב, לא מוטב, אם זה גורם, אם זה משפיע על המקצועיות ועל אופן הפעולה, אתה אמרת, וקיבלנו את זה, שבחוץ זה נשמע הרבה יותר מאשר בפנים, אבל אנחנו גם הבנו שהיו צריכים לעשות פעולה בעניין הזה. ימים יגידו, אנחנו רק יודעים דבר אחד, שמה שנעשה עד עכשיו נעשו דברים טובים, השינויים, את זה צריך ללוות ו - - -
יעקב פרי (יש עתיד)
אדוני היושב ראש, בימינו כל אחד כמעט נהיה מומחה לסייבר.
היו"ר אורי מקלב
כן, אבל אנחנו מצד אחד גם יודעים שיש מחסור במיישמים. העתיד, גם עסוקים גם בהנחיה, הם היו כאן, פרנקו גם הופיע לא מזמן בוועדה והציג נתונים מטעמכם על מחסור, על הנחיה, על הקמת תכנית ללימודי סייבר, אבל בכל אופן בסופו של דבר אנחנו יודעים שהחשיבה וכל העבודה הייתה לטובת המדינה, לטובת התושבים, לטובת האזרחים ואנחנו מלאי הערכה. אני בטוח שבמקום שלך ימצאו את הדרך לציין את זה, אבל אנחנו, במסגרת הקטנה שלנו, בשעה הקטנה והמצומצמת שיש לנו, אנחנו יודעים ורוצים להביע את ההערכה הגדולה לפעילות שלך בנושאים האלה וגם על סבר הפנים היפות, על הנכונות, אנחנו בשיתוף פעולה.

אני רוצה לציין בשם הוועדה את שיתוף הפעולה, זה לא דבר שמובן מאליו, לפעמים יש אנשים שבורחים מאחורי מעטה של סודיות ושל אין אפשרויות, אתה פתחת את זה ככל האפשר, באחריות מלאה, ככל האפשר בשקיפות מלאה, גם לציבור לדעת, חשבת שיש חשיבות למודעות, חשבת שאנשים צריכים להיכנס תחת המעטה, - כמה שאתה יכול יותר להנחות אנשים שיהיו מודעים לזה ולתת את הכלים לעבוד, לא ברכושנות או מבחינת האחריות של העניין. ככל שהתוודעת ונחשפת, ככה חשבת שזה נכון ואנחנו חיזקנו את דבריך בעניין הזה.

ואני אביא דוגמה קטנה, רק לנושא, ובזה אני אסיים. אנחנו קיימנו כאן דיון והיו התנגדויות מהצד השני, לא מהצד שלך, בצד שלך היה שיתוף פעולה, עם ועדת הבחירות המרכזית שלנו, בעקבות אירועים שהיו בעולם. הייתה התנגדות, 'אף אחד לא היה ינחה אותנו, אף אחד לא יגיד לנו מה צריך, אנחנו יודעים' ומתברר שלא כל כך יודעים ומתברר שנעשים דברים וככל שהזמן עובר אנחנו יודעים שצריך להיערך והיום כבר בממשלה מתקיימים דיונים, כשאנחנו דיברנו לפני חצי שנה, איך ייעשה, מה ייעשה כדי לשמור על טוהר הבחירות, כדי לשמור על הבחירות מהתערבויות זרות. כנראה מה שאתם ידעתם לא ידעו אחרים או לא רצו לדעת וחלק מהתפקיד זה היה באמת לדחוק להטמיע, לא תמיד אנשים רצו ואנחנו חיזקנו את ידכם בעניין.

עד כאן דבריי. ברשותכם יש כאן מצגת קצרה של בוקי ואחרי זה נודה על התייחסות שלכם לעניין, ברכות וכל שיאפשר הזמן. בבקשה.
בוקי כרמלי
אדוני היושב ראש, חברי הכנסת, צהריים טובים. אני אנסה בפחות מ-20 דקות לסכם את כל השנתיים האלה ולהשאיר זמן גם לדיון ולשאלות.

המשימה שממשלת ישראל הטילה עלינו הייתה להסדיר את כל מה שנקרא הגנת המרחב האזרחי בעולם הסייבר. אנחנו לקחנו את זה עוד צעד אחד קדימה, בייעוד הפנימי שלנו, ואמרנו שבסופו של דבר תפקידנו לאפשר לדרג הלאומי, דרג מקבלי ההחלטות, לקבל החלטות באופן כזה שהאיום על המרחב האזרחי בסייבר לא יכביד עליהם. המשמעות הייתה מצד אחד להגן באופן כזה שלא מטיל נטל, מצד שני להגן באופן כזה שמאפשר לקברניטים, במקרה הזה ראש ממשלה וקבינט, להבין את מצב ההגנה, כלומר מצב החוסן.

רק בשביל לסבר את האוזן, מרחב הסייבר הישראלי כולל שורה נרחבת של גופים. אנחנו הדגשנו את הגופים המיוחדים, צבא, נכסים צבאיים, הסוכנויות השונות, התעשיות הביטחוניות שמונחות על ידי משרד הביטחון באמצעות המלמ"ב. אם תיקחו החוצה את מה שנקרא הגופים המיוחדים, מה שיישאר זה המרחב האזרחי שבאחריות הרשות. זה מרחב ענק ובמידה רבה החלטת הממשלה או המשימה שהממשלה הטילה עלינו היא מהפכנית, כי בפעם הראשונה אמרו לנו 'תעשו כמו שאנחנו עושים במים', אזרח ישראלי שפותח ברז מים במדינת ישראל, ולא בכל מדינות העולם זה מובן מאליו, יודע שהוא יכול לשתות מים מהברז, הוא אוהב לשתות מים מהברז והוא יודע שהוא יכול לעשות את זה והוא לא עוצר לרגע לשאול מי עשה את זה, מקורות, תאגיד המים העירוני. הוא יודע שמשהו ברמת המדינה נעשה כדי להבטיח שהוא יוכל לשתות מים. הממשלה אמרה לנו אותו דבר, 'תעשו שאפשר יהיה להשתמש במרחב הסייבר ללא חשש'.

אחד האתגרים הגדולים, כשאתה ניגש למשימה כזאת, ולשמחתי זו פעם חמישית או שישית בקריירה שלי שאני עושה את זה, זה למצוא את האנשים.
יעקב פרי (יש עתיד)
זה רק שתלמד.
בוקי כרמלי
יכול להיות. דרך אגב, אני כל פעם לומד דברים חדשים, אני משתדל לא לחזור על השגיאות הקודמות.

לגייס אנשים כי אתה מתחיל עם חמישה, עשרה אנשים ואתה בסוף צריך לייצר מסה. אנחנו בפחות משמונה רבעונים גייסנו 220 עובדים, 110 מהם זה עובדי מדינה וכל השאר זה יועצים. אז מעבר לעובדה שזה תהליך מאוד מאוד לא טריוויאלי בעולם ממשלתי אני רוצה להגיד שיש קושי רב לקבל עוד תקני כוח אדם באופן כזה שמייצר מסה קריטית. לצערי הרב אני הגעתי עד נקודה מסוימת והכדור עבר ליגאל, כדי שהוא ימשיך את זה.

אני רוצה להגיד עוד דבר, שסוגיית יועצים היא סוגיה מאוד מעניינת. מצד אחד המדינה לא יודעת לתת להם סמכויות שלטוניות, כי הם לא נחשבים כעובדי מדינה, מצד שני הם מביאים המון ידע כי הם באופן דינמי עוברים בין ארגונים ומביאים ידע חדש.
יעקב פרי (יש עתיד)
מה הכוונה בסמכויות שלטוניות?
בוקי כרמלי
אדם שאיננו עובד מדינה לא רשאי לחתום או להנחות אותך.
יעקב פרי (יש עתיד)
הבנתי, ברור.
בוקי כרמלי
לכן אחת הפעולות שאנחנו התנענו מול משרד המשפטים זה מה שאני קורא צורך בהגנת ינוקא, זאת אומרת לתת לרשות, לתת בשנתיים-שלוש הראשונות זמן להקלות בהפעלת יועצים בגלל הסיטואציה הזאת.

אנחנו גיבשנו מתודולוגיה סדורה על פי - - - של מעבר בין מוכנות לאירועי סייבר וחזרה לשגרה. היא כוללת ארבעה שלבים, משלב המוכנות לשלב ההגנה השקטה, שזו הגנה שאתה מבצע מבלי שאתה חושף את פעולותיך לתוקפים, אחרי זה עובר להגנה רועשת ולבסוף קבלת החלטה לעבור למה שנקרא שגרה מפוקחת, שארגונים עוברים לתוך השגרה, אבל אנחנו, הארגון, עדיין נמצאים שם בשביל לפקח על זה.

תרגלנו, להערכתי, מעל 20 תרגילים שונים מתחילת הדרך ועד הלום של הדבר הזה, לבד ועם ארגונים אחרים ועם ארגונים מקבילים לנו וכן הלאה. במקביל לזה, מול רח"ל, הרשות הלאומית לחירום, אנחנו בנינו מודל לחירום בסייבר שכולל מעברים בין מצבי חירום ובין מה שצריך לעשות, חלק מהדברים יגיעו אחר כך לתהליך החקיקה, מה צריך לעשות כדי שהרשות תוכל לתפקד בעת חירום, בין אם החירום הוא בסייבר ובין אם החירום הוא מדינתי.

מתחילת 2017, ותיכף אני אסביר למה אני מתחילה ב-2017, כי יש גם את 16', אנחנו עוסקים בממוצע ב-100 חדירות לארגונים שונים במדינת ישראל. אני אגיד את זה במילים אחרות, כל חודש נפרצים בממוצע 100 ארגונים שונים במדינת ישראל. אנחנו לא מדברים על ארגונים שהם ברמת מכולת קהילתית, אבל גם לא כל הארגונים הם בעלי חשיבות לאומית גדולה. זה כל הסקלה. אנחנו רואים, אתם רואים פה את הגרף הזה, שמספר ניסיונות התקיפה גדל בזיקה לאירועים חיצוניים. באפריל יש קמפיין שנתי של ארגון אנונימוס שהמטרה שלו להציק. אתם רואים ביולי, בעקבות אירועי הר הבית, עלייה במספר התקיפות, בנובמבר, בעקבות ההכרזה על ירושלים. אתם רואים את הדברים האלה. זה לא שאנחנו מדברים איתם והם אומרים לנו שזאת הסיבה, אבל יש זיקה, לפחות על פניו זה נראה קורלטיבית, לאירועים חיצוניים. וגם אתם רואים שבקיץ המספרים עולים.
יעקב פרי (יש עתיד)
וזה מול גופים אזרחיים רק.
בוקי כרמלי
אזרחיים פלוס תשתית מדינתית, שאתה מכיר אותה עוד מעברך.
היו"ר אורי מקלב
כמו חשמל ו - - -
רויטל סויד (המחנה הציוני)
אתה יכול לחדד מה זה חדירה? מה המשמעות של זה?
בוקי כרמלי
כן. בואו נזכור שהתקפת סייבר בסוף זה נגמר בזה שזו איזה שהיא תוכנה לא לגיטימית שפועלת אצלך במחשב. מרגע שמישהו הצליח להחדיר אותה למחשב שלך, לדיסק, להדביק את המחשב שלך, זאת חדירה, בין אם זה מחשב בודד או כל הרשת של אלפי מחשבים.
היו"ר אורי מקלב
ואיך אתה יכול לסכם את האירועים האלה מבחינת נזקים?
בוקי כרמלי
אני אגיד כזה דבר. אני אגיד שלו היה נזק משמעותי כזה, אז אני מניח שהיינו יודעים עליו, אבל הנזק העיקרי שאתה רואה בתהליכים האלה זה דליפת מידע אזרחי. מידע אזרחי יכול להיות בעל השלכות בסופו של דבר גם על פעילות תקינה של מדינה.
יעקב פרי (יש עתיד)
בסקירה שלך, בוקי, גם תגיד לנו איך היריב רואה את מערכת ההגנה שלנו?
בוקי כרמלי
לא בדיון.
היו"ר אורי מקלב
אנחנו גם יודעים להציק, בלי שהוא אומר את זה. זה לא רק בלימה, יש אצלנו גם התקפה. במלחמה הזו זה לא רק קרב של בלימה, זה גם מערכת התקפה.
בוקי כרמלי
אני לא מכיר, אבל כנראה שיש.
היו"ר אורי מקלב
אנחנו גם לא מבקשים ממך להתייחס לעניין הזה, אנחנו אומרים את זה ולנו מותר להגיד את זה. הייתי רק רוצה להגיד, אם מתוך כל האירועים, כמה אירועים משמעותיים מאוד, מתוך לא ריבוי, אלא - - -
בוקי כרמלי
אני אתייחס ל-WannaCry שהוא דוגמה למקום שבו מדינה נכנסת לפעולה.
היו"ר אורי מקלב
שאל גם חבר הכנסת פרי, אני מבין שיש כאלה שאולי לא מפרסמים, השאלה אם אנחנו לא יודעים, אם זה לא היה אירוע משמעותי או גופים פרטיים ומסחריים לא מעוניינים - - - נניח שעזרתם לבנקים, אם עזרת לבנקים, הבנק עצמו לא מעוניין לפרסם - - -
בוקי כרמלי
היושב ראש, זה מגיע. זה מהותי בקיומה של רשות אזרחית להגנה על מרחב אזרחי. זה מהותי וזה מגיע מיד, אני רק רוצה לסגור את הסקירה הסטטיסטית הזו.

כדי לסייע לגופים אזרחיים כשיש מתקפת סייבר, הרבה פעמים גוף לא יודע שיש מתקפה כי המתקפה התחילה במקום אחד וכשאנחנו מנתחים אותה אנחנו מגלים שהיא בעצם מתפשטת למקום אחר. אז נדרשות סמכויות. אנחנו נהנינו במשך השנתיים האלה משיתוף פעולה מדהים עם השוק האזרחי. אני אזכיר עוד פעם, שלמעט הגופים שנמצאים בתוספת החמישית, בחוק להסדרת הביטחון, מה שנקרא תשתית מדינה קריטית או מערכות מחשב חיוניות, בשאר הגופים אין לנו סמכות ולכן כל הפעילות שם נעשתה - - -
רויטל סויד (המחנה הציוני)
וולונטרית על ידי הגופים שמוכנים לקבל את זה.
בוקי כרמלי
הסכימו לקבל, זה לא פטר אותנו מלהשית על עצמנו מגבלות של שימוש במידע ונוכחות בארגון וכהנה וכהנה, אבל לארגון הייתה את הזכות להגיד 'אל תיכנסו' ולשמחתנו זה לא קרה. אני מדבר על מאות ארגונים, זה לא קרה.

בהיעדר חוק סייבר אנחנו פעלנו על פי הנחיות שנקבעו על ידי היועץ המשפטי לממשלה, זה כמובן לא תחליף לחוק, אבל זה לפחות גידר אותנו בפעילות שלנו.
היו"ר אורי מקלב
מכינים חוק?
בוקי כרמלי
בוודאי, להערכתי - - -
רויטל סויד (המחנה הציוני)
אז מכוח מה הפעילות שלכם נובעת אם אתם לא יונקים מאיזה שהוא חוק?
בוקי כרמלי
אז אני אגיד עוד פעם. אני חייב להסביר את הדבר הזה בשלושה משפטים, כשיש אירוע סייבר ואתה נכנס לארגון, בסוף זה לא שאתה דופק בדלת ומדבר עם מישהו, אתה צריך להתחיל עם משהו ברשת שלו. מאחר שהיום כל המידע נמצא ברשת יש סכנה שאתה תיחשף למידע שהוא לא רלוונטי למתקפה, קשה מאוד להפריד, ולכן אתה צריך להשית עליך כמגן כל מיני כללים, מה תעשה אם יגיע אליך מידע שלא התכוונת, איך תמחק אותו, איך תבטיח שאתה לא לוקח אותו וכן הלאה, זה פעם אחת. פעם שנייה, אתה צריך להשית על עצמך כללים של מה אתה כן תעשה בארגון ברשותו או לא ברשותו של הארגון. בהיעדר חוק, רק בהסכמה של הארגון שמבין את הנזק שעלול להיגרם לו, כי לו אין את הידע ואין את הכלים.
רויטל סויד (המחנה הציוני)
אני הבנתי, אני שאלתי מכוח - - -
יעקב פרי (יש עתיד)
לא נתקלתם אף פעם בסירוב?
בוקי כרמלי
לשמחתי לא.
רויטל סויד (המחנה הציוני)
אני שאלתי בכלל, מכוח מה הרשות פועלת. הרי הרשות פועלת מכוח חוק.
בוקי כרמלי
אז הרשות הוקמה קודם כל על סמך החלטת ממשלה. מול גופי תמ"ח היא פועלת מכוח החוק להסדרת הביטחון, אבל מדובר על כ-30 גופים. שאר המשק זה פשוט החלטת ממשלה ורצון - - -
היו"ר אורי מקלב
וולונטרי.
בוקי כרמלי
וולונטרי במידה רבה.
היו"ר אורי מקלב
זו החלטה 3444, משהו?
בוקי כרמלי
2444. יש לה - - - של 2443, אבל כן, שתי המשפחות האלה.

כשסוקרים מי הם המגזרים המותקפים ביותר, אז לא מפתיע לראות ש-70% מניסיונות התקיפה הם באזור ממשלה, היי טק ופיננסים, אזורי עניין למי שמחפש מידע מכל סוג שהוא.

אני אמרתי שבתחילת 2017 אנחנו נתקלים בממוצע של פחות או יותר 100 חדירות בחודש. כשיצאנו לדרך ב-2016 המספר היה יותר קטן. עכשיו, זה לא שהתוקפים השתפרו או שההגנה התקלקלה, אלא הגידול במודעות, בחשיפה, אתה מכיר את דעתי בעניין הזה, אני אסכם אותה גם בסוף המצגת, ובהנגשה של הרשות אל הציבור יצרה אצלם כתובת שהם דיווחו לנו. ככל שהרדאר היה יותר גדול והפתיחות הייתה יותר גדולה ככה קיבלנו מהם יותר מידע שלימד אותנו על זה שיש בעצם מתקפות. רוצה לומר, ככל שהיינו מגיעים יותר היינו מוצאים כנראה עוד התקפות. זה המספר שאנחנו יודעים עליו היום. זה לא תקרה בהכרח.
יעקב פרי (יש עתיד)
אני רוצה להבין את הדקות, אתה אומר שרוב רובן של מה שאתה קורא חדירות או אירועים היו בעקבות דיווחים של הגופים או בעקבות עלייה יזומה שלכם? אתה מבין את שאלתי?
בוקי כרמלי
אני מבין את שאלתך, קודם כל אני רוצה להגיד שרוב החדירות אירעו כי היו תוקפים שתקפו.
יעקב פרי (יש עתיד)
זה ברור.
בוקי כרמלי
אבל המידע לגביהן הוא שילוב של שני דברים. רובו המכריע, באופן מובהק, הוא העובדה שזה דווח לנו.
יעקב פרי (יש עתיד)
ענית לי.
בוקי כרמלי
היו אזורים שבהם כשטיפלנו באירוע אחד גילינו אחרים בשרשרת, אבל זה לא הרוב המכריע. הרוב המכריע זה דיווח אלינו ותיכף אני אדבר על הקמפיין.
יעקב פרי (יש עתיד)
זאת אומרת המודעות של השוק האזרחי היא קריטית במובן הזה.
בוקי כרמלי
היא קריטית מאוד וחבר הכנסת, אנחנו מדברים היום פעם ראשונה בהקשר הזה, אבל היושב ראש מכיר את דעתי מהקמת הרשות, אני טוען שרשות חייבת להישאר גוף אזרחי פתוח לציבור, אני גם אסכם את זה, אחרת היא לא תדע שזה קורה.
היו"ר אורי מקלב
אבל בגופים הממשלתיים כן גיליתם ראשונים.
בוקי כרמלי
בוודאי, אני אדבר גם על ה-SOC הממשלתי.
היו"ר אורי מקלב
זה לא היה בעקבות דיווח.
בוקי כרמלי
בממשלה קל יותר לעבוד. בחלק הזה יותר קל לעבוד בממשלה. אני רוצה להגיד משפט אחד, קיומו של גוף שאין לו אינטרסים מסחריים הוא דבר מהותי. זאת הסיבה, אגב, שאנחנו, בניגוד לכל חברה שנותנת שירות, נתפסים כמדינה שאפשר לדווח אליה. זה משית עלינו הרבה מאוד חובות, אבל זה בהחלט מביא את היתרון.

אנחנו פיתחנו את התפיסה, זה נקרא בשפה המקצועית crowdsourcing, שימוש בעובדה שבמקום אחד קורה משהו ולהפוך אותו למידע שלא חושף את מי נפגע, אבל איך הוא נפגע, כדי להגן על האחרים. הדוגמה הכי טובה שאני מביא, כי היא מאוד נוחה לי, היא לא ישראלית, אירוע הסוויפט שאירע במהלך 2016, ניסיון לגנוב מיליארד דולר בבנגלדש, תפסו אותם אחרי 80 מיליון. המידע הגיע אלינו, המידע הטכני, הקונקרטי, הגיע אלינו תוך 24 שעות, הופץ למגזר הפיננסי כדי לחסן אותו - - -
יעקב פרי (יש עתיד)
הוא הגיע ממדינה או שזה בא מבנק?
בוקי כרמלי
הוא הגיע מבנק שמסר ל-cert המקומי שמסר לנו. זה חיבור שלנו.
היו"ר אורי מקלב
אתה אומר שיש שיתוף פעולה בינלאומי בנושא, שזה גם חשוב.
בוקי כרמלי
אני מגיע לשם. מקובל בעולם להשתמש במה שנקרא רמזור. רמזור זה המקבילה האזרחית לעולם של הסיווג הביטחוני. בעולם הסיווג הביטחוני כשאתה מתחיל להתחיל לדבר בשפה של שמור, סודי, סודי ביותר, אתה צריך להתחיל לסווג את האנשים וזה מתחיל להיות עסק מאוד מסובך. כל מי שעסק בעולם הזה מכיר אותו. בעולם הסייבר מקובלת שיטת סיווג שמתייחסת רק למידע, כשלבן אומר תפיץ את זה איך שאתה רוצה למי שאתה רוצה, אדום זה לאדם מסוים ספציפי וכל הדרגות בדרך. השיטה הזו אומצה בישראל, היא מאומצת בכל העולם, אנחנו פשוט חלק מהקהילייה הזו.
רויטל סויד (המחנה הציוני)
זו שפה בינלאומית?
בוקי כרמלי
כן. אנחנו הפצנו מאז ההקמה מעל 1,000 התראות סייבר ממוקדות. אני רוצה להסביר מה זה התראת סייבר ממוקדת. בעולם הטרור, וחבר הכנסת פרי בוודאי מכיר את זה, יש הרבה מאוד התראות שהן כוונות, בגלל שבציר הזמן יש לכם מרחב היערכות, בעולם הסייבר אין מרחב היערכות ולכן התראה חייבת להיות לא סתם ממוקדת, אלא טכנית מפורטת היטב מה צריך לעשות כדי לגלות אותה ולחסום אותה.
יעקב פרי (יש עתיד)
אתה לא יכול ליהנות כמונו מכלליות, אתה צריך להיות ספציפי.
בוקי כרמלי
כן. אנחנו הפצנו מעל 1,000 כאלה במהלך התקופה הזאת. התקפות שאתם רואים פה על ישראל, הן הבולטות שבהן. שיטות של התקפות שונות, אני דווקא רוצה להתייחס ל-WannaCry. WannaCry זו אותה התקפה מפורסמת שפתחה את מהדורות חדשות יום שישי אחר הצהריים בישראל, שסיפרו שבבריטניה כל בתי החולים הותקפו וכו'. אז קודם כל אני אגיד ככה, זה תקף הרבה מדינות, זה תקף הרבה גופים, דווקא בתי החולים, שם לא הייתה המתקפה העיקרית בבריטניה, אבל המתקפה הזו גם איימה עלינו. תגידו שזה מזל, תגידו שפשוט זה חלק מתהליך, מדינת ישראל לא הייתה חשופה.
יעקב פרי (יש עתיד)
אתה יכול לגלות לנו מאיפה זה בא?
בוקי כרמלי
אנחנו הוצאנו על זה הערכה שלנו, שממש באחרונה קיבלה שבחים גם מהרשות האמריקאית, שמקור התקיפה מזוהה בצפון קוריאה. הוצאנו על זה הערכה.

בהתקפה הזאת מדינת ישראל הייתה מחוסנת. תגידו שזה מזל, אבל אולי מזל הולך עם הטובים. שבועיים קודם לכן אנחנו הוצאנו התראה אחרת למשק, הרבה פחות פופולרית, וההתראה הזאת גרמה למשק להתחסן, בסוף ההתחסנות זה להוריד תוכנה שחוסמת פרצות במחשבים ובמקרה התוכנה הזאת גם חסמה את הפרצה הזאת. כך שכשאנחנו התכנסנו כולנו לישיבת חירום ביום שישי בלילה וכל השבת וביקשנו ממשרדי הממשלה ביום ראשון - - -
רויטל סויד (המחנה הציוני)
אל תגיד את זה בקול.
בוקי כרמלי
אני חייב להגיד שזה היה אירוע חירום מחייב.
רויטל סויד (המחנה הציוני)
בבקשה, אל תגיד. מה שאתה אומר בוועדה לא יוצא מהוועדה.
בוקי כרמלי
אז אני לא אגיד. אבל כשביקשנו שביום ראשון בבוקר - - -
היו"ר אורי מקלב
האירועים האלה, לפי ההצלחות שלהם אני מבין שהם לא עשו סתם. אני רואה גם סיעתא דשמיא בזה, אני רואה - - -
רויטל סויד (המחנה הציוני)
השבת שמרה עליהם.
היו"ר אורי מקלב
אתה אמרת שאתה לא יודע, חצי בידי אדם, חצי בידי שמים זה היה בנושא הזה.
יעקב פרי (יש עתיד)
זה הוא לא אמר, זה תוספת שלך.
היו"ר אורי מקלב
זה משקף את מה שהוא אמר, בלשון אחרת.
בוקי כרמלי
אבל זאת דוגמה למקום שמדינה מתערבת. כי רק מדינה יכולה להחליט לרכז מאמץ על משק שלך, בבת אחת, מכל משרדי הממשלה, ולהגיד לכולם 'ככה תעשו'. אגב, מה שאנחנו עשינו, הייתה פניקה שלמה, כולם רצו לדעת אם הם מחוסנים וכו', אז כולם רצו לאתרים של מיקרוסופט. האתרים נחסמו בכל העולם, אז הקמנו, באישור של החברה, אתר בישראל, חליפי, והישראלים פנו לאתר שלנו. זו עוד פעם דוגמה למקומה של עשייה של מדינה ולא שוק פרטי.

כדי להפיץ את ההתראות האלה אנחנו הקמנו פלטפורמה שפותחה על ידי התעשייה האווירית, חברת מל"מ, היא נקראת סייברנט. חבר הכנסת פרי, אתה זוכר שבעולם השב"כ הייתה לנו מערכת שקראו לה חישוק, זה המקבילה שלה בעולם הסייבר. היא הרבה יותר מודרנית כמובן ואינטרנטית.
יעקב פרי (יש עתיד)
תסביר להם, אחרת יגידו שרק אני הבנתי.
בוקי כרמלי
מערכת חישוק הייתה מערכת שאיתה הפצנו התראות, היא הייתה מערכת שחור לבן, או מערכת כתום לבן, כתום בהיר, הפצנו התראות גולמיות מכל הסוגים. כמובן שהיא נותבה לכל מיני מקומות לפי הטקסט, כמו של פעם.
יעקב פרי (יש עתיד)
יצחק רבין ז"ל היה יושב עם מחשב ויכול היה להיכנס לבד. אז כל פעם כשהייתי בא הוא היה אומר 'ראית מה היה אתמול בחישוק?'
בוקי כרמלי
אז פה אנחנו מפיצים את זה דרך הרשת, זה לא סתם הפצה של התראה, אלא זה גם כולל את המידע הטכני, הם מורידים ממש את המידע ומתקינים אותו במערכות שלהם. המידע הזה נגיש למנויי הרשת. נכון להיום יש מאות מנויים ברשת, זה ארגונים, במקביל הרבה מאוד מהמידע גם נמצא באתר הרשות והוא נגיש לכלל הציבור.
יעקב פרי (יש עתיד)
בכל ארגון יש מישהו שיושב על המערכת הזאת?
בוקי כרמלי
הייתי שמח להגיד כל ארגון, התשובה היא לא כל ארגון, אבל זה הולך וגדל. הגרף בוודאות גדל, אין לי אותו פה, אבל הגרף מדבר על עלייה.
היו"ר אורי מקלב
הוא יכול להיות מנוי ואין מישהו מקצועי אצלו בחברה שעוקב בעניין הזה?
בוקי כרמלי
אם אין לו מישהו מקצועי הוא לא יעשה כלום עם המידע.
היו"ר אורי מקלב
זה חוסר כוח אדם, או חוסר מודעות או תקציבים?
בוקי כרמלי
שניהם, אבל דבר שלישי, שלא תמיד משקיעים כסף.
היו"ר אורי מקלב
כשאתם הייתם פה והצגתם על כל התכנית שלכם עם הנחיות למיישמי סייבר, אתם באתם ודיברתם על כך שלא צריך להיות מומחים היום, אתה מחזיק אצלך היום מיישם סייבר, שבעצם אולי מגשר על הפערים שקורים בין תוכנות חדשות שלא מוגנות ועושה את הדברים - - - ובעצם המניעה הכי גדולה וזה יכול להיות אנשים שמוכשרים בלי תואר אקדמי, תואר שהם מקבלים תעודה.
בוקי כרמלי
אני אתייחס לזה. יש אנשים מאחורי ההגנה.
היו"ר אורי מקלב
כן, הם מקבלים שכר הוגן. זאת אומרת לא צריך היום להיכנס לבעיה כלכלית קשה וחמורה ומכבידה כדי להתמודד עם זה. אנשים לא מודעים לזה שלא יכול להיות שאתה מתקין מערכות טכנולוגיות כשאתה לא יחד עם זה לא בראת תרופה צמודה לדבר הזה.
בוקי כרמלי
בספטמבר 2016 קיבלנו מהקבלן את המתקן בבאר שבע, זה שאתם ביקרתם בו. אז עוד היה שם אבק וצינורות, אתם ביקרתם בו בנובמבר, בדצמבר, משהו כזה. בסוף השנה הוא כבר פעל עם מעל 50 עובדים. כמובן שכל ההיערכות הייתה לקראת השלב הזה. הוא הפך להיות הזרוע המבצעית שלנו, אנחנו מחזיקים בבאר שבע את כל הצוותים שמשם יוצאים לאן שצריך לצאת. יש שם רכבים ואנשים והציוד והמעבדות והמחקרים וכן הלאה.

זה עולה בקנה אחד עם חזון הפיכת באר שבע למרכז הסייבר של מדינת ישראל. אני חייב להגיד את מה שגם אמרתי לראש הממשלה, אם צה"ל לא יירד לנגב בזמן סביר יש סכנה אמיתית מוחשית לדעיכה במומנטום הזה שנוצר. אני יודע שבסוף זה יקרה, אבל בדרך - - -
יעקב פרי (יש עתיד)
למה?
בוקי כרמלי
משום שבסופו של דבר כוח האדם הטכנולוגי - - -
יעקב פרי (יש עתיד)
בכלל כוח האדם.
בוקי כרמלי
כוח האדם.
היו"ר אורי מקלב
אם אין לו את הסביבה, הוא צריך לעבור מרחקים, הם יכולים להיות זמניים, הם לא יכולים להיות קבועים.
בוקי כרמלי
יש מסה מסוימת שאתה יכול לדחוס לאזור מסוים על ידי תנועה של אנשים, מעבר לזה היא צריכה לצמוח במקום. אני חושב שאנחנו כבר שם, בתוך המסה הקריטית, החברות ואנחנו.
היו"ר אורי מקלב
גיוס כוח אדם חדש, אתה חייב - - - אם אין לך את כל הסביבה המתאימה, אתה לא תגור במקום שלא מתאים לך.
בוקי כרמלי
שת"פ בינלאומי. אנחנו יודעים שלמרחב הסייבר אין גבולות, הוא לא כפוף להסכמים בילטרליים כאלה ואחרים ולכן ב-day one אנחנו אמרנו שאם לא יהיה לנו שיתוף פעולה עם המדינות שאנחנו עובדים איתן, בעולם האזרחי, אני מדגיש, כי בעולם הביטחוני יש מסורת ארוכת שנים של שיתופי פעולה בין ארגונים שונים, כאלה ואחרים, אני מדבר על הצד האזרחי, אם לא יהיה לנו שיתוף פעולה אנחנו לא נהיה מספיק טובים בלהגן על המרחב האזרחי.

שיתוף הפעולה הזה התבטא בהמון תחומים, הוא התבטא בזה שעם חלק מהמדינות, לא את כולן אני יכול להזכיר בשמן פה בחדר הזה, אנחנו חתמנו על הסכמי שיתוף פעולה. מה שכן התפרסם זה עם האמריקאים, שהקמנו עם ה-DHS קבוצת עבודה, ביצענו איתם תרגילים, הקמנו קו תקשורת להחלפת מידע בינינו לבינם ועם עוד מדינות עשינו את זה. ב-15 מקרים שונים אנחנו היינו חלק מבלימה של תקיפה, ממש חלק מבלימה של תקיפה. אנחנו פנינו למדינה מסוימת - - - חלק מהמדינות לא הייתם מעלים בדעתכם שהיו מוכנים לקבל טלפון מאיתנו. פנינו אליהם ואמרנו 'תקשיבו, ההתקפה עוברת דרך שרתים שיושבים אצלכם, אנחנו צריכים שתסירו אותם אצלכם'.
יעקב פרי (יש עתיד)
אני רואה פה את אחינו מהמשטרה. המשטרה היא לא בתוך הסיפור שלכם, היא בסיפור הביטחוני או ה - - -
בוקי כרמלי
אני רוצה להגיד כזה דבר. קודם כל המשטרה היא מה שמה שנקרא גופים מיוחדים, אבל מאחר שהמרחב האזרחי, ובמובן הזה גם שב"כ שותף לזה, המרחב האזרחי הוא אותו שדה ציד נדרשה הבחנה מאוד ברורה איך מחלקים את שדה הציד ו - - -
יעקב פרי (יש עתיד)
הייתה על זה מחלוקת גדולה.
בוקי כרמלי
לא בתקופתי.
יעקב פרי (יש עתיד)
אני יודע.
בוקי כרמלי
אני חושב שאני הצגתי פתרון שהתקבל והוא גם עובד, שאומר, אלה שעוסקים בתוקפים ואלה שעוסקים בגנבים, סליחה על ההפשטה של הפושעים, ימשיכו לעסוק בהם, אלה שעוסקים בהגנה על הגופים יעסקו בהגנה על הגופים. הקו הזה הוא מאוד ברור, איפה הקו הזה יכול היה להגיע לאזורי מחלוקת? למשל באירוע פשע. היה אירוע כזה ששם המשטרה צריכה לאסוף ראיות והמגן עלול לפגוע בזה. במקרה הזה אנחנו קבענו קביעה מאוד ברורה, המשטרה פה בעדיפות. היה אירוע כזה, הוא התפרסם בעיתונות וישר אמרתי גם לראש לה"ב 'תודיע לי מתי אני יכול להיכנס', כדי לא לפגוע בדיני ראיות.
רויטל סויד (המחנה הציוני)
ומה מערך היחסים ביניכם לבין רמו"ט?
בוקי כרמלי
עם רמו"ט יש היום, בימים אלה - - -
גילי בסמן
הרשות להגנת הפרטיות, שינינו את השם.
בוקי כרמלי
אבל זה אותו גוף, יש נייר על השולחן להסדרה, שלא פוגע בסמכויות שלהם, אבל בסופו של דבר הוא הופך את נושא הגנת הפרטיות בעולם הדיגיטלי, כי יש עולם הגנת הפרטיות בעולמות נוספים שהם עוסקים בהם, בעולם הדיגיטלי, כחלק מתפיסת הגנה יותר רחבה.
היו"ר אורי מקלב
אבל הם שואבים מכם מידע מקצועי?
בוקי כרמלי
אני אגיד משהו נורא פשוט. יש אירוע בגוף, פרצו לשרת, עוד לא יודעים מי עשה את זה ולא יודעים להגיד שזה לא ישראלי ולא משטרה ולא ארגון טרור ולא שב"כ, זה אנחנו להגנה על הגוף הזה, לטפל באירוע, אבל בתוך האירוע הזה יכולות להתגלות עובדות שנוגעות לכשל בשמירה על פרטיות. במקרה הזה רמו"ט צריכים להצטרף אלינו לתהליך הזה.
רויטל סויד (המחנה הציוני)
אתם שני גופים שעובדים במקביל על אותו דבר.
בוקי כרמלי
אבל בסופו של דבר על מי יש אחריות לסלק את התקיפה? עלינו. באופן ברור.
היו"ר אורי מקלב
אז אני שואל שאלה אחרת, האם המידע המקצועי, הם גם שואבים מכם, על גופים שמחזיקים מאגרי מידע? איך הם צריכים לשמור, איך צריך לעקוב אחרי זה, מה צריך - - -
בוקי כרמלי
זה עלה באחד הדיונים פה, אדוני היושב ראש, והתשובה הייתה שאין הגדרה פורמלית בדבר הזה, יש את החיים האמיתיים. בחיים האמיתיים - - -
היו"ר אורי מקלב
אנחנו מצפים, כל גוף רוצה לשמור על המקצועיות שלו וזה בסדר, אבל אני חושב שרשות שלכם, שהיא בכל אופן מאגדת ויש לה הרבה מידע שהוא יכול לקחת על עצמו אחריות, אבל כשהרשות להגנת הפרטיות רוצה לקבל מידע בעניין הזה או רוצה להנחות, או רוצה לקבוע הנחיות, השאלה אם יש הדדיות ולוקחים דברים שהיום קיימים, שהם יודעים, מודעים לזה. לא הכול יודעים. כאן החלק של שיתוף הפעולה בין הגופים שלנו זה חלק מאוד חשוב.

אתה רואה שאם היה שיתוף פעולה, אני לא רוצה להגיד יותר, בין הרשות למטה, לא אולי מצד הרשות, אז יכול להיות שגם לא היינו צריכים גם את מערך הסייבר. אם היה שיתוף פעולה אמיתי משני הצדדים. אבל בשביל לרקוד צריך שניים. אני לא אומר בזה על הרשות, אני חושב שהרשות נתנה את החלק שלה, אבל אם לא, לא היו צריכים להקים את זה. לא רציתי להגיד את זה בתחילת דבריי, אבל עכשיו, אחרי שנגררנו, אני אומר את זה.
בוקי כרמלי
טוב, על זה אני מבקש - - -
יעקב פרי (יש עתיד)
מה שנקרא no comment.
בוקי כרמלי
אנחנו פרסמנו תורת הגנה למשק, תורה סדורה שמיועדת לגופים קטנים וגופים גדולים.
היו"ר אורי מקלב
גם לאזרחים?
בוקי כרמלי
ודאי. היא נמצאת באתר שלנו. 3,000 הורדות. בעקבות קמפיין שביצענו 3,000 הורדות בוצעו, יכול להיות שאפילו מספר גדול יותר מאז ש - - - תוכנה. יש היום עבודה גדולה, היא כבר נעשית במסגרת המערך, של למחשב את העסק זה, שזה לא יהיה רק ספר, אלא אפשר יהיה להשתמש בזה בצורה קלה.

הקמפיין, ופה אני רוצה להגיד לכם משהו על המילה קמפיין, אני כל הזמן אומר גוף אזרחי ומערכת אזרחית. הקמפיין הופיע ברדיו ובעיתונות הרבה מאוד פעמים, הוא היה חלק מתהליך אסטרטגי שמהרגע שהגענו למסה קריטית של יכולות אנחנו נספר לציבור שאנחנו שם. הקמפיין הזה, אחד הביטויים שלו זה הדבר הזה, אני מניח שאתם מכירים את זה.

(הקרנת סרטון).
רויטל סויד (המחנה הציוני)
אני יכולה לשאול אותך שאלה? האם חוסה תחת האחריות שלכם גם העובדה שיכולה להיות, אני לא יודעת אם המילה מתקפה מתארת את זה, אבל כמו שבקמפיין הבחירות בארצות הברית שבהן רוסיה, זה כבר ברור, השפיעה באמצעות פרופילים שם.
יעקב פרי (יש עתיד)
יש לך כבר את תוצאות החקירה של מולר.
רויטל סויד (המחנה הציוני)
בדיוק. על מערכת הבחירות שם. זה שהייתה התערבות זה ברור, השאלה מה הייתה המעורבות של טראמפ. זה שהייתה התערבות זה כבר ברור וגם בפייסבוק כבר מודים בזה, השאלה אם חלק מהמחויבות שלכם או חלק מהאחריות שלכם זה גם לזהות דבר כזה ולהתגונן בפני? אתם קוראים לזה תקיפה? אתם קוראים לזה התקפה?
בוקי כרמלי
כן. אני רוצה לעשות סדר, ראשית, בוועדה הזאת ולאחר מכן בוועדת חוץ וביטחון, דנו בסוגיה הזאת ושם פירטנו.
היו"ר אורי מקלב
קיימנו דיון מיוחד. הזכרתי קודם בדבריי את מטה הבחירות.
בוקי כרמלי
אנחנו עושים הבחנה בין תכנים, ששם אנשים יכולים להגיד מה שהם יכולים להגיד ושם זה לא תפקידה של הרשות ורצוי להמשיך ולקיים את הכלל הזה שזה לא תפקידה, לבין העובדה שאפשר לגרום, על ידי תקיפה טכנולוגית, להשפעה. תקיפה טכנולוגית יכולה לפגוע במערכות שמארגנות את הבחירות, היא יכולה לפגוע במערכות של יום הבחירות, היא יכולה לפגוע גם, בישראל אגב לא, בתוצאות, אבל יש מדינות שהיא יכולה לפגוע גם בתוצאות. היא יכולה גם לגרום לזה שמישהו יעשה שימוש בתכנים, לא עצם התכנים אלא - - -
יעקב פרי (יש עתיד)
היא יכולה לשנות תוצאות?
בוקי כרמלי
לא בישראל.
יעקב פרי (יש עתיד)
לא, אבל בגדול, לא בישראל, היא יכולה לשנות?
בוקי כרמלי
יש מדינות שההצבעה היא אלקטרונית.
היו"ר אורי מקלב
בוקי, אנחנו דיברנו גם על ההשפעות בלהחדיר מידע מסוים.
בוקי כרמלי
זה המשפט שבדיוק התחלתי להגיד. אם יש מישהו שיפעיל בוטנט, בוטנט זה שם קוד לרובוטים שרצים, שמפיץ מידע כוזב, אני לא אתעסק במידע הזה, אני לא אלך לבדוק אפילו מה מקור המידע, אני כן אלך לבדוק ולהגיד שיש פה בוטנט ובוטנט כבר מעורר חשד ומכאן - - -
רויטל סויד (המחנה הציוני)
אתה גם מסוגל לזהות את זה?
בוקי כרמלי
האמירה תהיה יומרנית להגיד תמיד כן, לפעמים זה מאוד פשטני והתשובה היא כן, אפשר לזהות שזה רובוט שעושה את זה, לפעמים זה מאוד מסובך. זה תלוי גם מי מפעיל את זה.
רויטל סויד (המחנה הציוני)
אנחנו יכולים היום לדעת בארץ שהתערבות של מדינה זרה במערכת הבחירות שלנו היא דבר שתוכלו לחשוף אותו או לעלות עליו?
בוקי כרמלי
זה יהיה יומרני מאוד מצדי להגיד בוודאות שהתשובה היא כן, אני חושב ש - - -
יעקב פרי (יש עתיד)
אני חושב שבסבירות גבוהה כן.
בוקי כרמלי
אני רוצה להגיד שבחיבור, לא רק של הגנת סייבר, אלא של מודיעין, הגנת סייבר ויכולות של עוד סמכויות אחרות במדינת ישראל, התשובה תהיה כן.
רויטל סויד (המחנה הציוני)
ואתם צריכים שיתוף פעולה של מעצמות הרשת בשביל זה?
בוקי כרמלי
של?
רויטל סויד (המחנה הציוני)
של החברות, של פייסבוק, גוגל, טוויטר, אתם צריכים שיתוף פעולה שלהם?
בוקי כרמלי
אני חושב, אני מניח שאם זאת תהיה המדיה, כי לא תמיד זאת המדיה, חלק מתקיפות פוטנציאליות על עולם הבחירות יכולות להיות באזורים אחרים לחלוטין, שהם לא תוכניים, ועדיין הם בעלי השפעה דרמטית. אבל אני חושב שכן, אני חושב שזה יידרש. אני לא מרמז פה עכשיו לחקיקה או התערבות מול החברות, אני מרמז לעובדה שבמקרים קונקרטיים יכול להיות שזה יידרש.
היו"ר אורי מקלב
אבל זה יהיה תחת אחריותך ותחת סמכותך?
בוקי כרמלי
לא.
היו"ר אורי מקלב
אלה הדברים שצריך להגיד לנו. הנה, זה אחד מהדברים מהדיון שצריך לצאת מפה, אנחנו נתקלנו בהתנגדות חזקה מאוד, אנחנו חושבים שזה לא נכון, ההתנגדות של מטה הבחירות, הם טוענים לטוהר הבחירות, עצמאות, אבל זה לא נכון. מטה הבחירות לא יכול לזהות לבד, אין לו את הכלים המקצועיים. כמה שהוא יעשה הוא עדיין לא יגיע לרמה המקצועית שיש למערך הסייבר או רשות הסייבר היום ולכן אנחנו צריכים, מכיוון שזה דבר שאני חושב שיש הסכמה בין כל חלקי הבית בעניין הזה, צריך לעשות פעולה. דיברנו על כך שצריך לעשות חקיקה או - - -
בוקי כרמלי
צריך להיזהר מאוד - - -
היו"ר אורי מקלב
מכיוון שהממשלה אמרה שהיא כן רוצה לדון בזה אז אנחנו נסוגונו קצת בעניין הזה. הייתה איזה אמירה שהם כן רוצים לעשות, אבל אני חושש שכמו הרבה דברים, שאולי יש אמירה, אבל בסופו של דבר היא מתמסמסת באיזה שהוא מקום.
בוקי כרמלי
צריך לא לגרור את הרשות או המערך לאזור התכנים. אזור התכנים יכול להיות מאוד רגיש, אנחנו כבר אמרנו את זה בהרבה הזדמנויות, צריך גוף שיודע להתעסק בדברים האלה. לא הרשות להגנת הסייבר או לא המערך להגנת הסייבר.

אנחנו עובדים עם רגולטורים. אני הבנתי פה שלוש דוגמאות. האחד, ה-SOC הממשלתי, יה"ב, שזאת יחידת ההגנה בסייבר של הממשלה, תחת רשות התקשוב הממשלתית, מפעילה בבאר שבע, בתוך המתקן שלנו, בהנחיה של הרשות, היא מפעילה את ה- SOCהממשלתי שמנטר רשתות ממשלתיות. אנחנו רק התחלנו, אנחנו כרגע בחמישה משרדים וגם זה תהליך לא טריוויאלי שחייב הנחיות משפטיות מאוד ברורות, למרות שזה בתוך הממשלה. ועדת מור, יוני מור, משנה למנכ"ל האוצר, ועדה שהגיעה למסקנה שעל מנת לשמור על רציפות פיננסית במדינת ישראל צריך גם להגן על המערכת הפיננסית בסייבר. מרכז הסייבר הפיננסי שהוקם ופועל שם, אתם ראיתם אותו, עשרות אירועים קטנים וגדולים שבהם הם טיפלו. ומרכז האנרגיה של משרד האנרגיה, משרד התשתיות הלאומיות והמים שמוקם שם וגם הוא מחובר אלינו לדבר הזה.

חוץ מזה שיש המון פעילויות אחרות. אני מביא פה רק דוגמאות של עבודה מול הגנת הסביבה והכנסה של הנחיות סייבר לתוך נספחים שלהם, עבודה מול המשרד לבטחון פנים וכן הלאה וכן הלאה.

יש אנשים מאחורי ההגנה. אחת השאלות שעלתה ב-2015 זה האם מדינת ישראל צריכה להתערב בחופש העיסוק של העוסקים בהגנת הסייבר ולהסמיך את המקצוע. השאלה באה מתוך טענה שההדיוטות אינם יודעים להבחין בין בעל מקצוע בסייבר לבין מי שאיננו כזה, כמו שאנחנו עושים, אגב, בראיית חשבון, חשמל וכן הלאה. כשאני נכנסתי לתפקיד אני ביקשתי שאלה אחת נורא פשוטה, בגלל שאני מגיע מהעולם העסקי, תראו לי שיש כשל שוק. כי אם אין כשל שוק לא כדאי שהממשלה תתערב, יש מספיק דברים אחרים שהשוק יודע לתקן לבד אם אין כשל. עד היום לא קיבלתי הוכחה שיש כשל שוק ולכן ההחלטה שהרשות הובילה זה להחיל את נושא הסמכת מקצועות הסייבר על משרדי ממשלה בלבד, מתוך ידיעה שמשרדי ממשלה ממילא מעסיקים ברובם אנשים שפועלים גם בשוק הפרטי כיועצים ואם יתברר שהשוק יודע להעריך את זה ולתמחר את זה הרי שיוכח כשל שוק, ואם לא, אז השפענו על הממשלה ולא על כלל המשק. זאת המשמעות האמיתית. כבר בשנת 18' אתם תראו את הנושא של הסמכה.

אנחנו יחד עם משרד הכלכלה קידמנו תכניות לשילוב חרדים. ראש האגף הרלוונטי ברשות הציג את זה פה באחת הישיבות, חתמנו באחרונה עם משרד החינוך על תכנית להפעלת תכנית לימודים ניסיונית ללימודי הגנת סייבר בבתי ספר תיכוניים. היא מתחילה השנה. במקביל סיכמנו עם צה"ל מה שאנחנו קוראים רצף תעסוקתי, כלומר אדם שהתגייס מהתיכון לצה"ל ויעסוק בסייבר יוכל להגיע לרשות ובעצם אנחנו מייצרים פה את הבסיס לדבר הזה.

אבל לא רק אנשים, לא רק אדם, גם חווה. יש לי אג'נדה פרטית, ואני מצהיר אותה בכל הזדמנות, לצערי לא השלמתי אותה, אבל אני מקדם אותה ואני מקווה שגם הלאה ימשיכו, לראות יותר נשים בעולם הסייבר. הסיבה היא נורא אגואיסטית, אם תרצו, אני מאוד מאמין שמצוינות מתחילה מהטרוגניות, ביכולת לקחת בסוף את הטוב מכל אחד ולחבר אותם. אז זה נכון גם לשולחן הנהלה שכוללת את הטובות שבמנהלות. אחוז הנשים שעוסקות בסייבר ברשות הוא יותר גבוה מהממוצע העולמי, אבל האחוז העולמי כולו הוא לא מספיק גבוה. אנחנו צריכים להמשיך להגיע לזה. בשלב הנוכחי הצלחנו להגיע למצב שיש יותר נשים שהן בתפקידים של ראשי אגפים, אני מצפה מהמחזור הבא לראות יותר נשים בתפקידי ראשי אגפים, שזה הנהלה ארגון.

אתגרים להמשך. חשוב להמשיך ולשמור את הרשות הזאת כגוף פתוח, לא לתת לה פיתוי להפוך לסוכנות. בישיבה הראשונה פה, אדוני היושב ראש, אני אמרתי שלא סתם קוראים לנו רשות ולא סוכנות, authority ולא agency, משום שזה דבר מהותי. חוק הסייבר והעיקרון של רשות שעובדת בהסכמה ובידיעה הם מהותיים. אם הגוף הזה בטעות יהפוך להיות ביטחוני במובן הזה, זו תהיה ירייה ברגל של כל הרעיון של הגנה אזרחית על גופים אזרחיים וכן הלאה.

אני חושב שהגיע הזמן שהמדינה תברר מה היתרון היחסי שלה אל מול המגזר העסקי כשהיא מתערבת בדברים האלה. לא ברור אחרי שנתיים שבכל דבר שהוא למדינה יש יתרון. יש אזורים כמו ה- WannaCry שסיפרתי, או תשתית מדינה קריטית, שזו דוגמה אחרת, שלמדינה יש יתרון. אבל בסוף תזכרו שלחברות, בעיקר הפרטיות, יש מנכ"לים ודירקטוריונים והם נושאים באחריות כלפי בעלי המניות שלהם והם נושאים באחריות כלפי ההתקשרויות העסקיות איתם, יכול להיות שאנחנו צריכים לתחום את הקו הזה.
רויטל סויד (המחנה הציוני)
תחדד מה זה לתחום את הקו הזה.
בוקי כרמלי
נכון להיום האמירה היא כללית, כי אנחנו בתחילת הדרך, האמירה הכללית אומרת 'תגנו על כל המרחב האזרחי' ומה זה תגנו? תגנו זה גם תיתנו הנחיות או גם תהיו עם סמכות הנחיה? תעזרו או גם תתערבו? ואני אומר, יכול להיות שאנחנו צריכים לשבת עכשיו, אחרי שנתיים, בלקחים ובעידן של עוד כמה דברים, שתיכף תראי אותם פה, להעביר איזה שהוא קו ולהגיד שיש קו שממנו ואילך זאת המלצה, זה עזרה, זה מרכז ידע, מוקדי ידע וכו', אבל לא התערבות פיזית.
רויטל סויד (המחנה הציוני)
יכול להיות שחלק מהחברות האזרחיות האלה, הגופים האזרחיים האלה, ירגישו אפילו שיש התערבות ממשלה, התערבות של הממסד הממשלתי אם אתם תתערבו?
בוקי כרמלי
כן. אז כמו שאמרתי, בשעת הרצון הזאת שחלה עכשיו לא נתקלנו אפילו במקרה אחד בודד של התערבות, לא בטוח שזה ישרוד לאורך זמן, בהחלט ייתכן שבמעלה הדרך נתחיל לראות התנגדויות. רפלקס מותנה אחד להתנגדות זה חקיקה, רפלקס מותנה אחר יכול להיות 'רגע, בואו נתחם את תחום העיסוק שלנו', יכול להיות שלא בכל מקום המדינה צריכה להתערב עד הסוף. אני אומר שזה מחייב דיון, אני חושב שהשאלה הזאת היא על השולחן.

עוד דבר, ב-2002, כשמדינת ישראל החליטה להגדיר מערכות מחשב חיוניות זה היה נכון, כי אז הכרנו 15-10 מערכות מחשב חיוניות. אי אפשר להמשיך ולהגדיר גופים כקריטיים ואני חושב שהמדינה צריכה להתחיל לעבור למה שנקרא תהליכים קריטיים ואני אתן לכם דוגמה אחת למשפט הזה. פעם רק חברה אחת ייצרה חשמל, היום 50% מהחשמל מיוצר על ידי חברת חשמל ועוד 50% הולכים לחברות אחרות שהם לא תמ"ח, אז בואו נגדיר במדינת ישראל תהליכים קריטיים ולא חברות קריטיות ונראה אם תורם לתהליכים הקריטיים.
היו"ר אורי מקלב
מה שאתה אומר זה נכון לא רק לתחום הסייבר, בכלל בכל תחום במדינה.
בוקי כרמלי
נכון.
היו"ר אורי מקלב
אבל אנחנו היום בכל מיני תוכנות וכל מיני פיתוחים שאנחנו עושים, משרדי הממשלה משקיעים הרבה כסף, יש תוכנות מדף שאפשר לקחת את זה והשאלה המרכזית היא, בתכנית המרכב"ה, האם באמת היה נכון להשקיע סכומים שעברו את המיליארד בדברים שבוודאי בחלק מהדברים היה מה שאתה אומר, בוקי, מוצרי מדף שאתה יכול לקחת ולשלב אותם. אנחנו לא צריכים להמציא את הכול מהתחלה. לפעמים זה - - - מה קרה בביטוח לאומי? זה הפתרון. בביטוח לאומי השקיעו 600 מיליון ואנחנו נמצאים עוד בהתחלה. 600 מיליון שקל פיתוחים, בסופו של דבר התקדמנו 10% או 5% מהיעדים שלהם.
בוקי כרמלי
הנקודה הבאה, אחדות מטה ורשות לגוף אחד כמערך מול סכנת הגם וגם. אני אסביר למה אני מתכוון. אין מספיק משאבים והמדינה עושה עוד דברים, לא הכול סייבר. אין מספיק משאבים לגם וגם, לטעמי. כאשר מאחדים גוף אחד שהוא מטה שהתפקיד שלו זה לבנות מה שאני קורא מטוסים כבדי גוף שיחצו את האוקיינוס ורשות שהתפקיד שלה זה לבנות מטוסי קרב, תקרא לזה ורסטיליים בחימוש וקלי תנועה, ולחבר אותם ביחד, בעידן של אין מספיק משאבים, זה מכריח את מי שעומד בראש הגוף הזה לבחור או זה או זה, או לעשות גם זה וגם זה ויש סכנה בסוף לא יהיה לא זה ולא זה. זו סכנה אמיתית ואני מתריע עליה, אני גם אומר אותה בהזדמנויות אחרות.

ואני מבקש בנימה אישית לסכם את המצגת שלי.
היו"ר אורי מקלב
לפני שאתה מסכם בנימה אישית, טיפה בעניין הזה, יודעים היום איפה תעמוד הרשות בתוך המערך? קבעו כבר?
בוקי כרמלי
החלטת הממשלה שהתקבלה ממש באחרונה קבעה שביולי האיחוד ייצא לפועל ועד מרץ צריך להציג אותו.
יעקב פרי (יש עתיד)
יולי 18'?
בוקי כרמלי
18', ועד מרץ צריך להציג אותו, להגיע להסכמות עם נציבות שירות המדינה וכן הלאה.
רויטל סויד (המחנה הציוני)
מערך זה יהיה גוף עליון?
בוקי כרמלי
לא, בזמנו הייתה אינסטלציה משפטית - - -
היו"ר אורי מקלב
גם הרשות וגם המטה יהיו בתוך מערך, לא יהיה רשות ולא מטה, יהיה מערך, גוף אחד.
בוקי כרמלי
אני אתן את הרקע. הייתה קונסטלציה משפטית שאמרה שיש שתי יחידות סמך שראש המטה הוא ראש המערך, אבל אין לו סמכויות לפעול מול הצד השני, למעט לאשר לו את התקציב, וזה יצר ניתוק מאוד ברור בין הסמכות לאחריות, כי החוק להסדרת הביטחון קבע שראש הרשות נושא באחריות ובצד השני, יושב ראש מטה שנתן או לא נתן או כן נתן תקציבים ותקנים. זה יצר קונפליקטים לא מעטים בהרבה מאוד אזורים. היום החלטת הממשלה מבטלת את קיומן של שתי יחידות סמך, מאחדת אותן ליחידת סמך אחת עם מנכ"ל אחד, שזה הדבר הנכון לעשות.
רויטל סויד (המחנה הציוני)
מי ראש המטה היום?
היו"ר אורי מקלב
ראש המערך. אתה מדבר על נתניהו?
רויטל סויד (המחנה הציוני)
לא, מי זה ראש המטה היום.
בוקי כרמלי
לא, אין, מי שעומד עכשיו בראש המערך זה יגאל אונא, ראש אגף לשעבר בשב"כ.
היו"ר אורי מקלב
אוקיי, עכשיו נימה אישית.
בוקי כרמלי
גם בנימה האישית יש כמה מסרים. אז קודם כל אני חושב שאנשים עושים את ההבדל, אז אני מודה לך, אדוני היושב ראש, על כל המחמאות שאמרת בפתיחה, אבל התפקיד שלי הסתכם בלהביא לפה עשרה מנהלים טובים והם הביאו את כל ה-200 האחרים.
יעקב פרי (יש עתיד)
אנחנו אוהבים את הצניעות.
בוקי כרמלי
אני שמח, כי ה- bullet הבא, חבר הכנסת פרי, ובכל ארגון שאני מנהל אני עושה את הדיון הזה עם החמישה הראשונים, מה הם הערכים שלנו וזה תמיד מסתכם בשניים מתוך ארבעה, זה מנהיגות, שזה אומר לקבל החלטות ולעמוד מאחוריהן ולשאת באחריות, וצניעות. צניעות לא במובן הזה שאנחנו סגפנים, אני חושב שהמדינה לא משלמת מספיק, צניעות במובן הזה שאנחנו רק חלק ממערכת. לא הכול סייבר ולא הכול הגנת סייבר, מדינה זה עסק הרבה יותר גדול מסייבר ואני חושב שזה צריך להיות התלם שאנחנו הולכים גם בהמשך הדרך.

אני חושב שצריך להתחיל להכריח את המערכות הממשלתיות להתמקד בתוצאות ובמטרות ולא בתהליכים. ההתמקדות בתהליכים עלולה להסיט אותנו. אני לא אומר חלילה לסטות מהתלם, אני אומר, להיפך, על המסילה הנכונה, רק לרוץ מהר. זה דבר מאוד מהותי.

אנחנו בשבעה רבעונים לקחנו את הרעיון הזה ובנינו אותו, הפכנו אותו לגוף, אני קורא לו חי ובועט והוא בועט ברעים, ועשינו את זה 220 עובדות ועובדים, להם מגיעה התודה. אז אני מבקש לנצל את המעמד הרשמי הזה להודות להם מפה על כל העבודה שהם עשו.

אני מאוד מקווה שבמתכונת של מערך אנחנו נמשיך ונראה התעצמות בתחום ההגנה, אני חושב שמה שמדינת ישראל צריכה זה הגנה, בעולם של פיתוח טכנולוגי יש לה את מפא"ת, בעולם של מדיניות יש לה את מל"ל, הגוף היחידי שאין לה אחר, אין לו תחליף, זה הגנה על המרחב האזרחי ואני מקווה שזה מה שיקרה ויתעצם. אני גם מקווה שהם גם ייהנו מהעבודה.

ואני מבקש להודות לוועדת המדע והטכנולוגיה ולך, אדוני היושב ראש, ולחברי הכנסת וגם לאחרים שפגשתי פה, זו הייתה חוויה, אני לא הכרתי את הוועדה הזאת, הכרתי את חוץ וביטחון בתפקידים קודמים, אז אני גם מבקש להודות על כל ההזדמנויות.
היו"ר אורי מקלב
תודה. אנחנו גם מלווים אותך מהתחלה, אפשר להגיד, משנכנסת לתפקיד, אני חושב שלא הרבה זמן כבר ישבנו את הישיבה הראשונה, ליווינו אותך בעבודה. אתה גם רוצה להגיד מילה - - -
יעקב פרי (יש עתיד)
אני רק רוצה להגיד תודה, הערכה והוקרה גם על המצגת, אבל בעיקר על העשייה. תודה רבה.
היו"ר אורי מקלב
תודה, אני גם חושב שאני מבטא את ההרגשה ואת הדברים שחברי הוועדה ואנחנו כוועדה רואים את זה. עשית עבודה, מושלמת אפשר להגיד, בתוך המערך שאתה נמצא. בתוך המערך הציבורי אני לא ציפיתי ליותר מזה, מי שמכיר מערכות ציבוריות, מי שמכיר איך שעובדים, עד שמטמיעים, עד שבונים מערכות כאלה ורשות, ואתה עשית את זה באופן בלתי רגיל. אתה מדבר על הגיוס, הוא רק פועל יוצא של עבודה, של תכנים, קבעת באמת גם נושאים ארגוניים, מוסכמות ארגוניים, או תהליכים ארגוניים, איך העסק צריך לעבוד, קבעת מוסכמות או הנחיות בתוך המערך הפנימי שלך, אבל גם איך יוצא החוצה. הספקת בזמן הזה מסגרות, שיצרת אותן, זה לא דבר שהעתקת, יצרת אותן במו ידיך, ובהתאמה למה שאתה מונית.

נכון שהסייבר זה לא חזות הכול, אבל זה חלק ממערך הכי חשוב היום, זה חלק מאוד מאוד חשוב והעלית את זה בכמה דרגות. הוא התחיל באיחור והבאת אותו היום לשלב שהוא יכול להתמודד יחד עם כל מה שאנחנו צריכים להתמודד. אנחנו לא מרגישים חסר בידע או במה שאנחנו צריכים לעשות. ודאי שצריך להדביק את הכול, אבל בחלק הזה אני באמת רואה את זה בזה שהגדלת ראש והייתה אכפתיות מאוד גדולה. אני חושב שמאוד מורגשת האכפתיות, ראש פתוח, לתת לאזרחים. מי שמכיר, מי שמתמודד כל היום, הממשלה מסתכלת על הגוף המסחרי והאזרחי מצד אחד, כולל בעניין הזה, באמת שיתוף הפעולה ולכן גם האמון שקיבלת, ראו באמת את הכנות של הדברים.

אנחנו גם מקווים, אנחנו נמשיך לעקוב, אנחנו לא נפרדים ממערך הסייבר ונקווה שגם אתה תלווה אותנו ותהיה מרוצה מהמשך הדרך.

יש עוד מישהו שרוצה להוסיף? אנחנו כבר ככה חייבים להתחיל בדיון השני, רק אם יש עוד מישהו שרוצה להוסיף.
יהודה קונפורטס
שאלה.
היו"ר אורי מקלב
רק תציג את עצמך.
יהודה קונפורטס
אני יהודה קונפורטס, אנשים ומחשבים, שאלה בהמשך לנושא. אנחנו יודעים שבחודש מאי עומדות להיכנס התקנות החדשות של ה-GDPR, של האיחוד האירופי, שמחייבות, נדמה לי שגם ברמו"ט הולכים להוציא תקנות דומות לזה, שזה בעצם מחייב כל גוף לחשיפה לכל אירוע שקורה לו. זה משנה משהו, משפיע במשהו על הפעילות שלכם?
בוקי כרמלי
יש עבודה שמתעסקת עכשיו בתורת ההגנה והקשר שלה לדבר הזה, אבל מה קורה במאי, אני כבר לא יכול להגיד. אבל יש עבודה עכשיו של התאמה בין התקנות החדשות האלה לתורת ההגנה.
לאה פדידה (המחנה הציוני)
האם יש לך איזה שהוא מדד, וזה גם מתחבר לנושא השני, על מוגנות של לאו דווקא משרדים ממשלתיים, אלא משרדים ציבוריים שמחזיקים מידע ודאטה בייס רגיש?
בוקי כרמלי
לא מדד מהסוג שאני חושב שאת מתכוונת אליו, אבל יש לנו מדד שהוא בתחילת הדרך שבה אנחנו מסתכלים על שני פרמטרים מאוד מהותיים, אפשר משם להשליך את זה על גופים מסוימים מהסוג שאת מתכוונת אליהם. מדד אחד זה כמה פריצות, חדירות, מה שאנחנו קוראים, בחודש, האם המספר הזה גדל או - - - ושתיים, כמה זמן לוקח לנו לסלק את הפגיעה אחרי שהיא כבר זיהינו אותה. אין לנו שיוך, יש לנו את הפרמטרים ברמת מדינה, לבוא ולהגיד אם אנחנו משתפרים או לא משתפרים בחלק הזה, אין לי בשליפה שיוך של הדבר הזה לארגונים ספציפיים. נגיד עיריות או נגיד - - -
לאה פדידה (המחנה הציוני)
נקרא לילד בשמו, כי זה הדיון הבא.
היו"ר אורי מקלב
אבל לדעת לזהות אותו, איך לדרג אותו ברמת המסוכנות שלו, נקרא לזה. האם גופים גדולים שקיימים במדינה, היא מתכוונת למשל לרשויות המקומיות, מה המידע שהם מחזיקים, איפה לסווג אותו במידת החשיבות, המסוכנות שלו והחשיבות שהוא יעשה את זה והדחיפות שהוא יעשה את הדברים האלה. זאת אומרת רק הנחיות כלליות, או שיש גם - - -
בוקי כרמלי
לך אני חושב שעניתי ואני אענה לזה שלא הרשות צריכה לקבוע - - -
היו"ר אורי מקלב
אתה פעם אמרת שהייתה תקופה שהבנקים היו, נניח, צריכים לדעת שהם צריכים להיות - - - הבנקים, יודעים שהם גוף גם בתוך הדבר הזה - - -
בוקי כרמלי
אבל נקודת המפתח, אדוני היושב ראש, זה הבנקים יודעים. אני חושב שהגופים יודעים טוב יותר מכל אחד אחר מה המידע הרגיש, כמובן שזה בגוף שהוא כפוף לחוקים ותקנות, אז גם המחוקק קובע להם את זה. אבל הרשות לא עוסקת בשאלה הזאת, הרשות עוסקת בשאלה של מרגע שיש מידע, איך גורמים לזה שהוא לא ידלוף משם.
היו"ר אורי מקלב
גילי בסמן, שאלה.
גילי בסמן
לא שאלה, הערה קטנה. אני היועצת המשפטית של הרשות להגנת הפרטיות. אז קודם כל תודה, זו לא פעם ראשונה שאני שומעת את בוקי, אבל, שוב, זה היה כמובן מאוד מעניין.

אני כן רוצה רק להדגיש שאנחנו, גם הרשות להגנת הפרטיות וגם מערך הסייבר, פועלים באזורים מאוד דומים. הרשות להגנת הפרטיות גם פועלת במרחב הדיגיטלי, מה שהשתמע אולי אחרת, אבל למרות שאנחנו פועלים במרחבים דומים ולעתים גם משתמשים באותם אמצעים, המטרות שלנו הן מאוד מאוד שונות, כל גוף אחראי על הייעוד שלו, הרשות להגנת הסייבר להגנת הסייבר, אבל אנחנו להגנה של הזכות לפרטיות שהיא זכות יסוד וכמובן שהגופים מנסים לתאם ביניהם מקום שבו יכולה להיווצר התנגשות, איך אנחנו דואגים שתהיה גם הגנה מצד אחד על הסייבר, אבל כמובן בלי פגיעה בזכות לפרטיות.
היו"ר אורי מקלב
אני אעשה סבב של עוד שני דוברים. גדעון קונפינו, בבקשה.
גדעון קונפינו
גדעון קונפינו, מנהל היחידה להגנה בסייבר ברשות התקשוב הממשלתי. אקצר בדבריי, אבל רציתי קודם כל להגיד שהיו שנתיים של עבודה עם הרשות ועם העומד בראשה וכל ההנהלה בשיתוף פעולה פורה. ידענו שאנחנו צריכים להשיג תוצאות במגזר הממשלתי, שאותו אני מנחה, והייתה לנו עבודה גם ברמה הטקטית וגם ברמה האסטרטגית, שאני חושב שחלק מהדברים הוצגו כאן, ה-SOC הממשלתי, אבל היום משרדי הממשלה נמצאים במצב אחר מלפני הקמת הרשות ורציתי להודות, גם בשם ראש הרשות, שנבצר ממנו להגיע, וגם בשמי וגם בשם יחידת ממשל זמין, על כל שיתוף הפעולה שהיה לנו במשך השנתיים האלה. נקווה שימשיך.
היו"ר אורי מקלב
יפה מאוד. אם אתם אומרים, כשאנחנו מלווים את הרשות לתקשוב, אנחנו יודעים להעריך מחמאה, אנחנו יודעים את ההיקפים שלהם ואנחנו יודעים את המשימות שלהם, אז אנחנו רואים את זה באמת כמחמאה מיוחדת.

מהמשרד לבטחון פנים, מישהו רוצה להגיד משפט אחד?
אילן יום טוב
כן.
היו"ר אורי מקלב
בבקשה.
אילן יום טוב
אפשר להגיד שבשלוש השנים האחרונות עבדנו יד ביד עם הרשות, בעצם מיום הקמתה ובאמת בהובלה של בוקי והחברים סיימנו בשנה האחרונה סקרי סיכונים בכלל הגופים ואנחנו היום לקראת בניית תכנית חוסן ואיום ייחוס לכל הגופים תחת המשרד לבטחון פנים.
היו"ר אורי מקלב
יפה מאוד. בוקי, אז תודה רבה, אנחנו ככה ממשיכים, מחליקים ישירות לדיון הבא, מי שקשור, מבחינתנו כולם יכולים להישאר. אתה משאיר את האנשים שלך כאן. נשאר מישהו כנציג שלך?
בוקי כרמלי
בוודאי, אלה שעדיין במערך.
היו"ר אורי מקלב
אנחנו עוברים להצעת חברתנו, ואני הצטרפתי להצעה. ראיתי שזה נושא חשוב מאוד והצטרפתי גם להצעה לסדר הדחופה ועובדה שגם נשיאות הכנסת ראתה את זה כחשובה ואני אתן לך להציג את הנושא ואני אחרי זה אמשיך. בבקשה.
לאה פדידה (המחנה הציוני)
אז כבוד היושב ראש, חברים וחברות. כמי שהייתה וכיהנה כ-18 שנה ברשות מקומית מצאתי לנכון להעלות את הנושא הזה, כי הנושא הזה הוא נושא חשוב וגם בעקבות דוח מבקר המדינה. דוח מבקר המדינה קובע שיש כשל חמור בהגנה על נתונים שנמצאים ברשות המקומית.
היו"ר אורי מקלב
מי נמצא במשרד הפנים? לפני שאת מדברת, אנחנו מדברים לקירות או מדברים לגוף?
אליהו רגב
משרד הפנים פה.
היו"ר אורי מקלב
מה התפקיד?
אליהו רגב
מנהל מינהל החירום של המשרד.
לאה פדידה (המחנה הציוני)
ומשרד המשפטים נמצא? זה מפיל על זה וזה מפיל על זה.
גילי בסמן
הרשות להגנת הפרטיות מטפלת בנושא הזה מטעם משרד המשפטים ואנחנו כאן.
לאה פדידה (המחנה הציוני)
זה לא עוזר לנו.
גילי בסמן
אנחנו חלק ממשרד המשפטים ואנחנו מייצגים אותם.
לאה פדידה (המחנה הציוני)
את תוכלי לענות למה אתם מפילים על זה וזה מפיל על זה?
גילי בסמן
אנחנו לא מפילים ואני אענה.
היו"ר אורי מקלב
ככל האפשר, בסדר. בבקשה.
לאה פדידה (המחנה הציוני)
דוח מבקר המדינה בעצם קובע שהעיריות והרשויות המקומיות אינן ערוכות לפריצה ולמתקפה. הוכח כבר שהיו מספר ערים שאכן נחשפו לזה ולא בכדי צריך להזכיר שבתוך הרשות המקומית יש מידע אישי, פרטי, שאנחנו מפרים כל פעילות אחרת של תושבים ואזרחים שבעצם נותנים את חסותם. יש שם את הנתונים של משרד הרווחה, יש שם את הנתונים לאיפה אתה גר ומה אתה עושה, נתונים של השכלה, נתונים של חובות, נתונים של ארנונה, נתונים מאוד מאוד חשובים, אלפי תושבים נמצאים תחת המאגר הזה, תחת האיום הזה.

השלטון המקומי בא וטוען, ובצדק, בא למשרד הפנים ומשרד הפנים אומר שזו לא אחריות שלו ומשרד המשפטים גם אומר שזו לא אחריות שלו וזה מצוטט בדוח מבקר המדינה, וגם במשרד לשוויון חברתי, אצל השרה גילה גמליאל, יש שם גם חלק שאמור לטפל בזה והם גם לא אחראים על זה. מי אחראי עלינו? מי אחראי לתת לשלטון המקומי תשובה, מה הפתרון וכמובן גם לתקצב את זה בצורה הולמת, הרי לא יעלה על הדעת שנגיד להם זה הפתרון ואותה רשות מקומית צריכה ללכת ולחפש את הכסף וזה שוב ייפול על כתפי האזרחים.

אז אחת, מי מתקצב, שני, מי נותן תשובה, שלוש, מי נותן את התכנית. הרי לא יעלה על הדעת שאנחנו, במדינה כל כך מתוקנת, שאנחנו דורשים מהערים שלנו להיות ערים חכמות, ערים עם טכנולוגיה, ערים שיודעות ופורצות דרך, אנחנו מציגים בברצלונה, כבוד היושב ראש, אנחנו נמצאים כמעט בכל מקום כתקדים, אבל את הפרט הזה, להגן על הפרט, אנחנו לא מסוגלים לתת ולא מסוגלים לתת, לא לראש הרשות ולא לשלטון המקומי ולא לנו כתושבים ואזרחים את ההגנה ואת התשובה המלאה.

אני באמת מבקשת שבמסגרת הוועדה הזאת נוכל לדעת מי אמון על זה, מה הפתרון ואיך אנחנו פותרים את הבעיה הזאת, כי אסור שעשרות אלפי תושבים יהיו תחת מתקפה במקום כזה או אחר. תודה.
היו"ר אורי מקלב
תודה על הדברים, חברת הכנסת לאה פדידה, אני באמת חושב שאת העלית נושא, אני גם הצטרפתי להצעה לסדר, מכיוון שאני מכיר את זה גם מהצד השני, זה נמצא בדרגת חשיבות מאוד מאוד גבוהה. אנחנו חשופים לדעת מה הסייבר יכול לעשות וכמה החשיפה לסייבר היא כל כך מוחשית וכל כך זמינה, עד שאני התלבטתי אם כדאי לעשות את הדיון הזה ולו רק כדי לא לחשוף אותנו כמה אנחנו חשופים. אבל מכיוון שהיום יודעים את זה והדברים לאחרונה גם התפרסמו, שהם גם נפגעו והיה ניסיון לפגוע ברשויות המקומיות, מה שאמרה חברת הכנסת לאה פדידה, ואני מצטרף לדברים האלה.

אני לא מכיר הרבה, אולי בגלל שאני לא מכיר את כולן, רשויות שהן לא ממשלתיות, אבל גופים ציבוריים, חוץ מפיננסים, שזה נושא אחר, עם מידע כמו שיש ברשויות המקומיות, אין כמעט נושא שאין שם מידע שיכול להיות בהחלט מעורר עניין לאנשים שרוצים להיכנס למידע הזה או לחשוף את המידע הזה או לשלוף את המידע הזה ולעשות בו שימושים על כל הסקלה של שימושים שאנחנו לא רוצים שיעשו בהם. ואני לא מדבר על רווחה, על בריאות, כמה יש מידע ברשויות המקומיות, אנחנו מדברים על חינוך, כמה מידע יש ברשויות, מידע רחב מאוד על נושאי חינוך, אנחנו מדברים על נושאים כלכליים, על אנשים שיש להם התדיינות עם העירייה, עם הרשויות המקומיות, בנושאים רבים, בין אם הם הגישו, בין אם הם מספקים שירותים לעירייה, במכרזים או קניית שירות. מידע רב מאוד ביכולות, בהערכות כספיות, בתביעות ובערעורים ובנושאים רבים.

אבל אני אגיד לכם עוד דבר אחד, שלא העלינו, ואני אומר שזה גם חידוש, יש גם מערכות מאוד חשובות ברשות המקומית. ניקח לדוגמה מערכת רמזורים, שנמצאים היום ברשויות מקומיות. השתלטות או שיבוש מערכת רמזורים בבת אחת בכמה ערים. אנחנו יודעים מה זה יעשה למדינה הזאת, מה הנזק, איזה השלכות יש לזה. אני מביא דוגמה אחת, אבל יש עוד מערכות רבות, מה שיכולים לעשות במידע שיש, במערכות המים, במערכות האחרות של אספקה, תאורת רחובות. היום בחלק גדול, לשמחתנו, ברשויות, כשמדברים על טכנולוגיה מתקדמת, כל אחד בשטח, יש כאלה שמצטיינים בהרבה תחומים, יש רשויות שמצטיינות בתחומים מסוימים בתוך פעילות הרשות ובתוך התחומים האלה יש להם התקדמות מאוד גדולה בלי הגנה או בלי מודעות להגנה או בלי שיש להם תקציב להגנה ואנחנו לא יודעים מה הכתובת.

וזאת הבעיה, שאנחנו לא יודעים מה הכתובת. זה שמשרד הפנים בא היום ואומר, ולכאורה זו התשובה היחידה שיש לו, למה לא נעשה עד היום שום דבר, מאז דוח הביקורת, שזה לא כמה שנים, זה שנות אור. להסתכל בפרספקטיבה של שלוש שנים, נגיד ש-30 שנה לא עשו שום דבר, זה לא דבר ששלוש שנים לא עשו שום דבר, זה הרבה מעבר לזה. אני מדבר בנושא הזה וזה גם בנושא התקציבים, אנחנו נסיק גם מסקנות. הנושא המרכזי שאת אומרת עכשיו זה איפה הסמכות ומי הכתובת שלנו. כשאין כתובת זה גם יימשך עוד זמן ואנחנו לא נראה שום עשייה.

אני יודע שיכול להיות שלא כל הרשויות המקומיות באמת חשופות, אנחנו נתקלנו בהצעות חוק שיש פה, בהגשה מכוונת של מכרזים, מתברר שיש רשויות מקומיות נחשלות שמערכות המחשוב שלהן מאוד מינימליות.
קריאה
אין להם בכלל.
היו"ר אורי מקלב
אין להם בכלל, גם. אבל נשאיר את זה בצד, זה אולי המעלה שאין להם, אבל אנחנו מדברים יותר ויותר, משנה לשנה, כאן צריכה להיות מערכת שמצד אחד היא נותנת תמרוץ, מצד שני נותנת תמיכה למי שמשקיע, העסק צריך לפעול ואנחנו שואלים מה הכתובת, עם מי אנחנו מדברים. אז ראשון הדוברים זה משרד הפנים.
אליהו רגב
אוקיי. כבוד היושב ראש, אני אומר כמה דברים, מעבר לעניין של - - -
ענת לוי
רק שוב שמך, בבקשה.
אליהו רגב
אלי רגב, מנהל מינהל החירום במשרד הפנים. קודם כל משרד הפנים רואה חשיבות רבה להגנה על המידע ברשויות המקומיות, כמו בדברים נוספים שקורים ברשויות המקומיות. אני אפריד בין הצד המקצועי לבין הצד המשפטי פרוצדורלי בעמדת המשרד, אלה שני דברים שונים.
היו"ר אורי מקלב
לא מהצד המשפטי, אני אומר שזה צד האחריות.
אליהו רגב
צד האחריות, יש לו משמעות משפטית, מה לעשות. משרד הפנים נתן את דעתו לעניין הזה בהתייחסות שלו לדוח מבקר המדינה ודחה את הערת מבקר המדינה באשר לאחריות הרגולטורית שלו כמשרד על הרשויות המקומיות בהקשר הזה וטען שאל"ף, זה לא מעולם התוכן שלו, ויש עוד הרבה דברים שקורים ברשויות המקומיות, כמובן שאנחנו לא עוסקים בהם - - -
לאה פדידה (המחנה הציוני)
לא הצלחתי להבין, למה רווחה זה מעולם התוכן ששלטון מקומי מטפל ו - - -
אליהו רגב
רווחה זה לא מעולם התוכן של משרד הפנים.
היו"ר אורי מקלב
הוא מביא את כדוגמה, שרווחה זה למשל לא מעולם התוכן.
אליהו רגב
רווחה זה לא מעולם התוכן של משרד הפנים.
לאה פדידה (המחנה הציוני)
אבל אתם כן מטפלים ברגולציה של זה בתוך הרשויות המקומיות.
אליהו רגב
לא, משרד הרווחה מטפל ברגולציה. את היית ברשות המקומית, את יודעת.
היו"ר אורי מקלב
אתם לא רוצים את זה?
אליהו רגב
לא אמרתי שאנחנו לא רוצים, אם אדוני ייתן לי להשלים אז אני אגיד גם מה נעשה, כי אתה פתחת ואמרת שלא נעשה כלום ואני רוצה פה לדייק את העניין, ברשותך.
היו"ר אורי מקלב
אני אשמח שתסתור את דבריי, אין לך מושג כמה שאני אשמח.
אליהו רגב
אז אני אומר, בצד הפורמלי זאת התשובה. יחד עם זאת יש פעילות שנעשית ונעשתה על ידי, אני מוביל את הפעילות הזאת במשרד הפנים. הפעילות הזאת התחילה להיות מותנעת ביולי האחרון, אחרי שסיימנו תהליך מכרזי שבו קלטנו ארבעה אנשים במיקור חוץ שמתחילים לפעול אל מול הרשויות המקומיות, אבל, שוב אני חוזר ואומר, משרד הפנים לא רואה את עצמו כרגולטור, לא רואה את עצמו נושא באחריות, אבל מגיש את הסיוע לרשויות המקומיות.

ההגנה על המידע, צריך לזכור את זה, בצד המקצועי, לא תלויה רק במתן הנחיות, היא תלויה ביכולת גם של הרשויות המקומיות ליישם את ההנחיות האלה. היישום של ההנחיות האלה על ידי הרשויות המקומיות תלוי גם בתקציב וגם בכוח אדם וגם בדברים נוספים שהם הרבה יותר מורכבים ממה שלכאורה זה יכול להישמע.

מה שאנחנו עשינו כרגע, בשבעה-שמונה החודשים האחרונים זה קודם כל בנינו תכנית עבודה לרשויות המקומיות, שוב, מתוך מגמה לסייע לרשויות המקומיות כמנחה מקצועי או כמנחה שמכוון אותם ולא כרגולטור. פה מה שעשינו זה אל"ף, טיפלנו כבר ב-60 רשויות, ואני אציין ואומר שאנחנו מסתכלים רק על הצד המניעתי ולא על הצד התגובתי לאחר אירוע סייבר, כי בעצם גם בתיאום עם רשות הסייבר זה לא התפקיד של המשרד, למעשה של כל משרדי הממשלה, משום שה-cert הלאומי עוסק בתגובה לעת שהיא קורית, אני כרגע מדבר על החלק המניעתי.

בחלק המניעתי אנחנו קודם כל כרגע ממפים את כל המערכות הקיימות ברשויות המקומיות, קיימות מאות ואולי יותר מזה מערכות ברשויות המקומיות וכל מערכת כזאת שקיימת ברשות מקומית או מספר מערכות שקיימות ברשויות מקומיות, יש להן שונות בהשפעה על הרציפות התפקודית של הרשות. יש כאלה שמשפיעות על הרציפות התפקודית, יש כאלה שמשפיעות פחות. בהקשר הזה אנחנו מתייחסים לזה וכרגע אנחנו עסקנו בכ-60 רשויות בשבעה-שמונה חודשים האחרונים ואמורים לעסוק בעוד כ-50-40 רשויות במהלך השנה הזאת, כך שבסופו של דבר, בפרק זמן של שנתיים-שלוש נגיע למצב שבו נעשה סקירה מלאה של כל המערכות ברשויות המקומיות, נדע מה המערכות הקיימות, נדע מה רמת הסיכון שהן מהוות על הרציפות התפקודית של הרשות.

יחד עם זאת אנחנו מעבירים את כל ההנחיות מרשות הסייבר בתחומי ההגנה לרשויות המקומיות ובהקשר הזה זה כרגע הפעולות שעשינו. לקחנו גם מספר רשויות פיילוט שאנחנו רוצים לטפל בהן, בעיקר רשויות שיש להן גם תשתיות לאומיות והשפעה על תשתיות לאומיות. למשל רשויות שיש בהן נמלים כמו חיפה, כמו אילת, אשדוד וכן הלאה ואנחנו מטפלים בהן באופן ממוקד. שוב, כדי לסייע בעצם לתת הגנה טובה יותר.

צריך לזכור שהגנה, בצד המקצועי, היא תלויה לא מעט ברשות המקומית משום שבכל רשות מקומית צריך שיהיה מנהל רשת וצריך שיהיה בה מנהל אבטחת מידע ולא בכל הרשויות זה קיים.
לאה פדידה (המחנה הציוני)
כי אין תקצוב לזה, כבוד היושב ראש.
אליהו רגב
אין בעיה, אני רק אומר מה המצב כרגע. לא בכל הרשויות זה קיים. בחלק שקיים, ברובם הם במיקור חוץ ואין להם סמכות סטטוטורית, כמו שנאמר פה על ידי רשות הסייבר, שזו בעיה נוספת. יש לרוב הרשויות המקומיות, לצורך העניין, תלות מאוד גדולה בשני ספקים מאוד גדולה, כמו החברה לאוטומציה וחברות אחרות שהפערים בהם בתחום אבטחת המידע יכולים להשליך השלכה מאוד מאוד משמעותית על הרשות ולכן זה איזה שהוא מקום - - -
היו"ר אורי מקלב
הם גופים שיכולים לתת גם הגנת סייבר? החברה לאוטומציה, למשל.
אליהו רגב
היא חברה שאם אנחנו נעשה פעולות כאלה ואחרות, מקצועיות - - -
היו"ר אורי מקלב
כיום היא נותנת, יש לה את ה - - -
אליהו רגב
כיום היא נותנת שירותי מחשוב - - -
היו"ר אורי מקלב
במחשוב, הם נותנים שירותי סייבר?
אליהו רגב
כן, הם נותנים שירותים להרבה מאוד רשויות מקומיות.
צחי שלום
זה לא אפשרי.
היו"ר אורי מקלב
אני רוצה שתגיב על זה. אתה רק אמרת בקריאת ביניים שאין להם את ה - - -
צחי שלום
נכון, אין להם את הסמכות, זה ספק חיצוני כמו כל חברה אחרת שיכולה לספק שירותים כמעט כמו כל חברה אחרת שתספק.
אליהו רגב
לא, לכן אמרתי שזו נקודת תורפה. נכון.
צחי שלום
זה לא דווקא האוטומציה, יכולה כל חברה אחרת לספק.
אליהו רגב
לא, אני אומר שיש שתי חברות מרכזיות שמטפלות בחלק הארי של הרשויות המקומיות - - -
היו"ר אורי מקלב
נו, זה יכול להיות יותר קל, אבל אם לא - - -
אליהו רגב
זה לא בהכרח יותר קל. אנחנו בדקנו את זה מקצועית.
היו"ר אורי מקלב
אם יש בעיה משפטית, בעיה חוקית או בעיה כספית, אבל מבחינת התפקוד זה יכול להיות - - -
צחי שלום
כמו כל ספק.
היו"ר אורי מקלב
כמו כל ספק חיצוני.
אליהו רגב
אבל הם ספק מאוד מרכזי ובאופן עקרוני אנחנו כרגע בנינו תכנית עבודה לכל הרשויות המקומיות, תכנית עבודה תלת שנתית, אבל היא כמובן תלוית תקציב. כדי לתת את אותו מענה לאבטחת המידע ברשויות המקומיות אנחנו צריכים להבין שחלק גדול מהרשויות המקומיות אתה יכול להטיל איזה שהיא הנחיה כזאת או אחרת, מקצועית, שבסופו של דבר יש לה נגזרות תקציביות שלרשות המקומית אין יכולת ליישם את זה. לכן אתה לא יכול לתת החלטה שבסוף הציבור לא יכול לעמוד בה משום שהרשות המקומית צריכה להביא את התקציב כדי ליישם את העניין הזה. לכן הדבר הזה כרגע פתוח.

רק משפט אחרון, ברשותך. מעבר לכל מה שאמרתי, יתקיים דיון בימים הקרובים, בראשות המנכ"ל, כדי לסגור גם את העניין הזה, כדי להחליט איזה פעולות אנחנו מתכוונים לנקוט כדי למסד את תהליכי הסיוע - - -
היו"ר אורי מקלב
מתי הישיבה הזאת?
אליהו רגב
תוך שבועיים, לפי הנחיית המנכ"ל.
היו"ר אורי מקלב
טוב, אנחנו לא נסיים את הישיבה היום, אנחנו לא נסיים את הכול, אנחנו גם נעשה ישיבת המשך בעניין הזה. אנחנו נמשיך עם העניין.

האם אתה חושב שמשרד הפנים יכול להיות גורם מייעץ, מנחה, בלי רגולציה, לרשויות המקומיות? אתם הרי יודעים איך זה עובד מול הרשויות המקומיות. זו שאלה אחת.
אליהו רגב
בשאלה הזאת נדון באותו דיון.
היו"ר אורי מקלב
אני לא חושב שצריך לדון האם כן או לא, אני חושב שהשאלה היא איך מיישמים את הרגולציה בעניין הזה, איך מביאים תקציבים. לא יכול להיות, בסופו של דבר אתם לא רשות הסייבר, שנותנת הנחיה לגופים חיצוניים כלכליים. רשות הסייבר, הדבר הראשון שהם עשו פה, סמכויות מול הגופים הממשלתיים ששם הם אחראים. איפה שיש אחריות, שמה גם צריך להיות סמכות וגם צריך להיות תקצוב בהתאם.

כדי להבין את ההיקפים שאתם יכולים לעשות כגורם מנחה וללמוד כל מה שקורה ברשויות המקומיות, מה התקציב בשנת 2018 לאותן תכניות עבודה שלכם בתחום הזה?
אליהו רגב
רק כדי לעשות את סקר הסיכונים במספר רשויות שאנחנו קבענו - - -
היו"ר אורי מקלב
כפיילוט.
אליהו רגב
כן, כפיילוט. רק כדי לעשות את זה אנחנו תקצבנו את זה כרגע ב-6 מיליון שקל השנה, רק כדי לדון במספר רשויות מאוד קטן או מצומצם ולעשות את זה. זאת אומרת ההיקפים הם מאוד מאוד משמעותיים בלי לדבר על נושאי כוח האדם.
היו"ר אורי מקלב
זה לעג לרש. אם אלה הסכומים - - -
אליהו רגב
לא, אמרתי שזה הסכומים למספר קטן של רשויות. כשאתה עושה את המכפלות על 257 רשויות אז הסכום הוא הרבה יותר משמעותי.
היו"ר אורי מקלב
אני עוד רוצה להרחיב בעניין הזה. אין ספק שכדי ללמוד מה הולך ברשויות המקומיות, וזו הרי גם דינמיקה, אנחנו מדברים על כל שנה שצריך להיות שינוי מהותי בהיקפים של העניין הזה, זה צריך להיות מערכת גדולה, קודם כל רגולציה, מה הסמכות, איך אתם ערוכים לזה, ברשות כך וכך כמה מיישמי סייבר יש, כמה אחראי סייבר יש. זה ספר שלם שצריך מאוד באופן מקיף ולא יכול להיות שזה לא ייעשה. אם זה משרד הפנים או לא משרד הפנים, נניח שאני לא רוצה להיות שיפוטי ואני לא רוצה להיות שם בעניין הזה.

אני גם לא אמרתי, ותיכף ניכנס לזה, יש המון חומר שנמצא מחוץ לרשות. יש חברות פרטיות שעושות הרבה עבודה לרשויות המקומיות, שהם גם מחזיקים. אני תיכף אגש לשאול האם הם מחויבים ומה הרגולציה כלפיהם. נניח חברות גבייה, שנמצאות ברשויות המקומיות, אנחנו רואים הרבה חברות כאלה היום, אבל אני אתן לך לדבר ואחרי זה יהודה.
גילי בסמן
אני יכולה להגיב בשם משרד המשפטים?
היו"ר אורי מקלב
עוד רגע.
צחי שלום
צחי שלום, שלטון מקומי. אנחנו מסכימים עם מה שנאמר פה על ידי חברת הכנסת פדידה וכבוד יושב הראש. הרשויות במצוקה בלתי הגיונית. מצד אחד אנחנו מקבלים הנחיות בלתי נגמרות מכל הגופים שיכולים להנחית הנחתות, מה שקמו בבוקר, החליטו, זה מה שצריך לעשות והם מנחיתים על הרשויות בלי שום התחשבות. מצד שני, תקציבים אנחנו לא מקבלים, אנחנו לא רואים, גם תקציבים שמשרד הפנים כרגע מדבר עליהם זה מספר שהוא אפילו לא מתקרב למשהו שאנחנו יכולים לחשוב עליו, בטח לא ברשויות הקטנות והבינוניות ששם הן סובלות. הגדולות עוד מסתדרות בינן לבין עצמן ומקצות לזה תקציבים, הרשויות הקטנות לא מסוגלות להקצות לזה תקציבים, זה לא בסדר העדיפויות שלהן, באג'נדה היומיומית.

וכמובן שהסעיף האחרון שהורג אותנו זה כוח האדם. אין לנו שום יכולת, משרד הפנים מקציב לנו תקציב מאוד מגוחך לתת למנהל אבטחת מידע, משהו בסביבות 6,000 שקלים בחודש, כשהוא יכול ללכת לכל גוף בארץ ולקבל פי שניים או פי שלושה עם אותה הכשרה. זאת אומרת אין לנו שום יכולת להתמודד, אין לנו יכולת לעבוד ולכן המרכז לשלטון מקומי בעצם בא ואומר שאנחנו מכירים את הבעיה הטכנולוגית, הרשויות די קורסות מבחינה טכנולוגית, אנחנו דורשים מהן המון, להנגיש שירותים, מבקשים מאיתנו לעמוד בתקנים, ובעצם בשנה האחרונה מתחילים לעבוד על תקשוב, ענן תקשובי לרשויות, כמו התקשוב הממשלתי, שייתן מענה גם טכנולוגי וגם אבטחתי, ברמת הסייבר, הפנימית והחיצונית.

נכון שייקח לנו זמן, הענן יעלה וזה יעבוד, אבל עד אז אנחנו צריכים את שיתוף הפעולה של המשרדים ואת התקצוב שאמור להגיע מהם.
היו"ר אורי מקלב
התחלת להגיד משהו על החברה לאוטומציה, שהיא צריכה לקבל סמכות כדי לפעול.
צחי שלום
החברה לאוטומציה היא חברה פרטית נכון להיום.
יורם אסולין
אני יכול לענות בשם החברה לאוטומציה?
צחי שלום
כן, יש פה נציגים של החברה לאוטומציה. החברה לאוטומציה היא חברה פרטית שנותנת שירותים למקור מידע - - -
היו"ר אורי מקלב
ואם נניח רשות מקומית רוצה לשכור את שירותיה בנושא סייבר?
צחי שלום
היא צריכה לצאת למכרז, זה תהליך ארוך. זה כמו כל גוף חיצוני נפרד, אין שום יתרון או חיסרון לחברה לאוטומציה.
היו"ר אורי מקלב
הבנתי, זו שאלה כספית בסופו של דבר.
צחי שלום
בסופו של דבר זו שאלה כספית, תקציבית וכוח אדם.
היו"ר אורי מקלב
מעבר לכך שאין לנו מנחה כמה רשות מקומית, רשות מקומית עם היקף כזה או מספר תושבים כאלה, מה היא צריכה להחזיק בכוח האדם שלה או שיש לה מענה מקצועי שגם צריך לקבוע את זה, שמישהו חיצוני נותן לה את זה, אבל צריך לקבוע את זה. זה לא מספיק, אני לא חושב שהחברות הן אלה שיקבעו את ההיקפים, רגולציה זה אומר שאנחנו צריכים לקבוע ולא החברות, גם זה שהם בעלי עניין וגם אני חושב שאנחנו צריכים - - -
יהודה קונפורטס
הן כפופות לרגולציה שלהם.
היו"ר אורי מקלב
יהודה, בבקשה.
יהודה קונפורטס
אני רוצה לשאול שאלה, אתה אמרת מקודם וזה בהמשך לדברים שאמרת, שיש רשויות שאין להם מנהלי אבטחת מידע, אין להם מנהל סייבר. בחלקם זה בעיה של תקנים, למה אתם לא מגדילים את התקנים?
צחי שלום
הופשר תקן, אבל תקצוב.
אליהו רגב
זה לא עניין של התקן, כי הרשות המקומית רוצה את התקן עם התקציב, זאת הבעיה.
יהודה קונפורטס
יש נושא שאפילו תפקיד המנמ"ר לא מוגדר כ - - - אבל זה רק בידכם.
אליהו רגב
זה לא בידינו. הרשות המקומית - - -
צחי שלום
כן, להקצות רמה של ניהול למנהל אבטחת מידע, 6,000 שקלים, אף מנהל אבטחה - - -
אליהו רגב
אתה מדבר על סוגיה אחת והוא מדבר על סוגיה שנייה. אתה מדבר על בכירות התפקיד והשכר והוא מדבר על עצם קיומו של בעל התפקיד.
צחי שלום
זה אותו דבר, לא יהיה בעל התפקיד ללא בכירות.
אליהו רגב
כדי לתת את המינימום הנדרש, המינימום ההכרחי, לתת מנהל אבטחה ומנמ"ר לכל רשות, זה 500 תקנים. תלך לאוצר תבקש 500 תקנים ותראה מה יגידו לך.
יהודה קונפורטס
זה אתם צריכים ללכת לאוצר.
אליהו רגב
אז אני מסביר לך שמדובר פה בתקציב - - - אנחנו היינו כבר באוצר, אנחנו כבר אחרי המספרים האלה והיינו באוצר, אין שום סיכוי בעולם להתקרב למספרים האלה.
יהודה קונפורטס
זו הבעיה.
צחי שלום
זה בדיוק עונה על השאלה, זה עונה על הבעיה.
יהודה קונפורטס
כרגיל הבעיה היא כסף, תקציב.
היו"ר אורי מקלב
ודאי. אם יהיה כסף יהיו גם תקנים. אפשר גם לקנות את השירות הזה בתקציב, זה לא חייב להיות דווקא תקן. זה יכול להיות מיקור חוץ.
צחי שלום
אחד מהרעיונות של המרכז לשלטון מקומי בעצם לצמצם את התקנים שמשרד הפנים מדבר עליהם זה לעשות תפקידים אזוריים, שזה יהיה מנמ"ר אזורי, אנחנו מתחילים עכשיו פיילוט בצפון.
היו"ר אורי מקלב
בוודאי ברשויות קטנות יותר, לאגד אותן.
צחי שלום
ברשויות קטנות, באזורים ומתחמים של מספר, כן, לנסות לאגד ולהרים תוך כדי איגום משאבים לרמות יותר גבוהות.
היו"ר אורי מקלב
אוקיי. משרד המשפטים.
גילי בסמן
גם בשם הרשות להגנת הפרטיות וגם בשם משרד המשפטים. אז קודם כל אנחנו מאוד שמחים על העבודה שמשרד הפנים לוקח על עצמו לעשות והקידום של הנושא, כי אנחנו באמת חושבים שהדברים האלה הם יותר במגרש שלו. חשוב להסביר שהרשות להגנת הפרטיות היא רגולטור בעצם כלל משקי, אנחנו אחראים על כל המשק, על מאגרי מידע פרטיים וציבוריים כאחד ולכן דברים שעלו כביכול מדוח המבקר, שמתייחסים להנחיה ספציפית לרשויות מקומיות, הם כמובן משהו שאנחנו לא יכולים לעשות, לא מבחינת כמובן תקציב ומשאבים, אבל הוא גם משהו שלא נכון בראייה שלנו. אנחנו מנחים את כל המשק כפי שהוא והאחריות היא כמובן של הרשות המקומית לעמוד בהנחיות האלה, לעמוד בדרישות החוק.
היו"ר אורי מקלב
בסדר, זו הרשות, הבנתי. אבל משרד המשפטים, הרי משרד הפנים זורק את זה לכיוון משרד המשפטים.
גילי בסמן
אני ממשיכה לגבי זה. אני כן רוצה להגיד שלעומת אולי אי בהירות שהייתה קיימת בשנים קודמות לגבי מה בדיוק צריך לעשות ואיך, אז כן פורסמו בשנה שעברה תקנות הגנת הפרטיות (אבטחת מידע) והן ייכנסו לתוקף במאי הקרוב ובעצם - - -
צחי שלום
שכמעט אף רשות לא יכולה לעמוד בהן.
גילי בסמן
הן בעצם ממלאות בתוכן את הדרישות שהיו קיימות בחוק. לפחות הרשות יודעת עכשיו במה היא צריכה לעמוד ומה היא צריכה לעשות. אני שמה שנייה את התקציבים בצד, אנחנו כן נוקטים בפעילות הסברה מסיבית, גם באתר שלנו יש מדריכים, גם בעבודה שלנו מול יועצים משפטיים של רשות מקומיות, יש לנו בחודש הבא יום עיון ייעודי בדיוק לנושאים האלה. מבחינת התקציב ואיך לעמוד בזה, אז אנחנו חוזרים כמובן למשרד הפנים.
צחי שלום
לא רק תקציב, ההתקשרות בנהלים, לדוגמה אתם מבקשים לעשות מבדקי חדירה כל חצי שנה בערך, שום רשות לא מסוגלת לבצע, אנחנו לא נספיק לסיים - - -
גילי בסמן
לא כל חצי שנה. אנחנו לא מדברים על כל חצי שנה.
צחי שלום
משהו בסגנון. לא נספיק לעמוד בזה, אנחנו נסיים אחת וניכנס לשנייה.
היו"ר אורי מקלב
עורכת דין בסמן, אתם בדקתם - - - אני מבין שאתם מתעסקים עם מאגרי מידע, אבל ברשויות המקומיות זה לא רק מאגרי מידע. אני הבנתי דוגמה של מערכת בקרת רמזורים, זה לא מאגר מידע אולי, אבל הרשות - - -
גילי בסמן
המנדט שלנו ושל משרד המשפטים זה באמת רק במאגרי מידע ואתה ציינת, ובצדק, שהתמונה היא הרבה יותר רחבה. כל הנושא התשתיתי דורש גם הגנה של אבטחת מידע, כי גם משם יכולים לבוא נזקים, לא רק מפריצה.
היו"ר אורי מקלב
זה דורש הגנה, זה לא משנה עכשיו אם מידע, או פריצה, או חדירה, איך שקראו לזה קודם.
גילי בסמן
צריך לעשות סדר במערכות המחשוב של הרשויות.
היו"ר אורי מקלב
הרשויות המקומיות הן בהחלט חשופות לדברים. אנחנו שומעים כמה גופים פרטיים ומסחריים חשופים להתקפות, אז אנחנו רוצים לדעת שהרשויות המקומיות, על אחת כמה וכמה גם גורמים פליליים, זה יכול להיות כל סוגי הגורמים. יכול להיות שנעשה ואנחנו אפילו לא יודעים, דרך אגב, אני לא יכול להבטיח שאולי זה נעשה ואף אחד לא יודע לזהות.
צחי שלום
אין תוכנה שיכולה לעקוב ברשויות על משהו שיכול ל - - -
היו"ר אורי מקלב
על גוף מסחרי ש - - -
גילי בסמן
יש הרבה פערים נורא גדולים בין רשויות גדולות וחזקות לבין - - -
היו"ר אורי מקלב
ודאי, הוא אמר את זה.
צחי שלום
יש רשויות שהן בטופ וכל השאר מדשדשות מאחור ברמות מאוד מוגבלות. יש כאלה שבכלל - - -
היו"ר אורי מקלב
אני אומר שהערים הגדולות - - -
גילי בסמן
לכן צריך לפנות למשרד הפנים שיעזור ל - - -
צחי שלום
אני חושב שצריך לשתף פעולה ולמצוא את ה - - -
היו"ר אורי מקלב
רבותיי, אני רוצה להתקדם בעניין הזה, החברה לאוטומציה.
יורם אסולין
כן, אני רוצה להתייחס, פשוט הזכרתם את החברה לאוטומציה. המחשוב ברשויות הוא, כמו שאמרת, נכון שיש את הרמזורים ויש את מערכות המים וכן הלאה ויש את המערכות שיושבות בחברה לאוטומציה, אנחנו כמחזיקי המאגר, שעלינו חלים חוקים, אנחנו לוקחים על עצמנו ועומדים בבדיקות ועומדים ביכולת של להגן בהגנת - - -
היו"ר אורי מקלב
גם כשהמידע הזה נמצא ברשות המקומית?
יורם אסולין
לא. אנחנו המחזיקים, הם בעלי המאגר. הם יושבים אצלנו בענן הפרטי שלנו, שאנחנו יצרנו עבורם ואנחנו שומרים על זה. כמובן שיש המון מערכות שהרשות עצמה מפעילה באופן עצמאי ברשות, שהם צריכים להגן, ואני מסכים פה עם צחי ועם משרד הפנים ש - - -
היו"ר אורי מקלב
אני לא איש מחשבים, עם השנים קיבלתי ניסיון, אבל אם המערכת שלו, של הרשות המקומית, פתוחה והוא יכול לחדור אליכם דרך המערכת שלו, שאתה אפילו לא יכול לזהות, איך תוכל לזהות שמישהו אחר - - -
יורם אסולין
לא, הוא לא יכול לחדור, אנחנו מאפשרים לו להשתמש במערכת שלו.
היו"ר אורי מקלב
הרשות המקומית, אתה נותן לו רשות להשתמש, אז הוא יכול לשאוב מידע, דרך המקום הזה, דרך הפתח שאתה עושה, שזה לגיטימי, שזה התפקיד שלו, מישהו אחר יכול להשתמש בזה.
יורם אסולין
לא.
היו"ר אורי מקלב
למה לא?
יורם אסולין
אני אסביר.
היו"ר אורי מקלב
רשות מקומית, יש לו - - -
יורם אסולין
קודם כל אפשר הכול, שום דבר לא חסין, ראינו שפורצים - - -
היו"ר אורי מקלב
אין מערכת הגנה, הוא משתמש באותם קודים, איך אתה יכול לדעת שזה לא הפקיד עושה את זה, אלא זה מישהו מבחוץ עושה את זה?
יורם אסולין
אז אנחנו יודעים, כי יש לנו רשת פרטית. לרשויות המקומיות מול החברה לאוטומציה יש רשת פרטית שהיא רשת שכל רשות, רק היא יכולה להיכנס אלינו, להתחבר עם משתמשים, סיסמאות.
היו"ר אורי מקלב
אבל הוא הרשות, הפורץ, החודר הופך לרשות במקרה הזה. הוא לוקח כובע של הרשות, שם על עצמו והוא אומר 'אני עכשיו הרשות'.
יורם אסולין
אם פקיד אחד נתן לשני את הסיסמה שלו - - -
היו"ר אורי מקלב
הוא לא נתן, אבל הוא פיצח את הסיסמה.
יורם אסולין
מה זה פיצח?
היו"ר אורי מקלב
מישהו מבחוץ גילה את הסיסמה על ידי שהוא ידע, הוא ידע לעקוב, הוא שם לו משהו, ידע לעקוב אחרי הסיסמה שלו, הוא יודע מה הוא שם והוא משתמש בזה. אני עדיין לא האקר, אבל עם כל זה זה כל כך פשוט.
יורם אסולין
אז אנחנו מגנים על המערכות. אם יגיע האקר ויפרוץ, לכל מקום, גם - - -
היו"ר אורי מקלב
אבל המקום השני לא מוגן. מערכת ההגנה אצלך, אבל המערכת ששואבת ממך את המידע, היא לא מוגנת. על זה אנחנו מדברים עכשיו. לא באנו בטענות לחברה לאוטומציה, הנושא הוא לא החברה לאוטומציה, הנושא הוא הרשויות המקומיות. זה שאתם שומרים, אבל הוא יכול להשתמש בפתח שאתם נותנים לאנשים אחרים, הוא פשוט מתחזה למישהו אחר. אבל אנחנו לא רוצים הרבה לפתוח בעניין הזה, אנחנו עוד לפני זה. אנחנו צריכים לבנות את המערכת שנותנת את המענה להתחלה.

הרשות הלאומית להגנת הסייבר. מישהו מטעמכם?
עמיר שי
שי עמיר, ראש המרכז להכוונת המגזרים. לפני שאני אתייחס עניינית למה שאלי דיבר כאן, אנחנו עובדים בשיתוף פעולה, אני רוצה רגע להטיל ספק בכלל בנושא של ה - - - ציינה פה גילי ואני מסכים, חוק הגנת הפרטיות קיים הרבה מאוד שנים, תקנות הגנת הפרטיות בגרסתן הקודמת, היו קיימות הרבה מאוד שנים. אני, לפני כשש שנים הייתי במשרד הבריאות, לא חיכיתי להנחיות, יש הגנת הפרטיות, אני מקים מערכת, ברגע שאני מקים מערכת אני מקים לה הגנה. להגיד עכשיו, זה כמו שאתה תקנה רכב ויגידו לך 'רגע, הברקסים וכריות האוויר וחגורת הבטיחות לא נכנסו במחיר, שמישהו אחר יתקצב את זה'. אתה מקים מערכת אתה מקים אותה באופן שלם, אתה מקים אותה יחד עם ההגנה שלה, יחד עם הבטיחות שלה, יחד עם הגנת הפרטיות, אתה מקים אותה כמו שצריך.
היו"ר אורי מקלב
ציינתי את זה בתחילת דבריי, שזה בִּילְד אִין, היום זה צריך להיות בכל פיתוח תוכנה.
עמיר שי
אם לרשויות העניות היה את מעט הכסף כדי להקים מערכת מסוימת, היו צריכים לדאוג שכבר בפנים תהיה ההגנה.
היו"ר אורי מקלב
זה חזון.
עמיר שי
נכון להיום, רוב הדברים שציינת, באמת מערך הסייבר הלאומי נכנס אליהם. יחד עם אלי הקמנו בעצם את היחידה המגזרית שנמצאת אצל אלי, מונחית מקצועית על ידינו, הפעילות נעשית יחד איתנו, יש רמ"ח אצלי שמלווה את כל אותה סקירה ברשויות. אגב, כולל, נכנסנו לעוטף עזה בגלל רגישות כזו או אחרת, אז גם שם נכנסו רשויות ובחנו מצבים ובחנו כל מיני פערים כדי להגן עליהם. וכשאנחנו מסתכלים על הגנה בעולם הסייבר אנחנו מסתכלים על כלל ההיבטים.
היו"ר אורי מקלב
אני רוצה לשאול אותך, אתה אולי לא הסמכות, אבל אתה חושב שמערך הסייבר ייתן תמורת תשלום הוגן, מה שנקרא, בהזמנה של משרד הפנים, לתת את כל הספר הזה שצריך לבנות עבור הרשויות המקומיות? אתה חושב שאתה יכול כגוף, בכל אופן יש לך משהו מקצועי יותר, לא על כל הדברים, אבל אתם חושבים שאתם היום בנויים, יש לכם את הסמכות, האחריות, הרצון בכלל לקחת את השלטון המקומי, את הרשויות המקומיות, ולבנות להם את כל מערך ההגנה בסייבר לכל מה שהם צריכים?
עמיר שי
לגבי הסמכות, אמר בוקי, כרגע אנחנו בלי סמכויות, הסמכויות הקיימות שיש הן הסמכויות הרלוונטיות שיש למשרד הפנים - - -
היו"ר אורי מקלב
אני מציע, אפילו שזה נשמע עכשיו קצת משהו דמיוני, בישיבה שאתם אמורים לעשות, הישיבה המקצועית, לקיים מערכת, איזה משא ומתן או בדיקה מול מערך הסייבר הלאומי, יכול להיות שאין - - - אני רואה את זה, אני חושב בעוד מקומות, שהם יהיו הגוף שיהיה לו את היחידה שהיא עכשיו תטפל ברשויות המקומיות וזה יכול להיות הרבה יותר מקצועי והרבה יותר זול וכלכלי לעשות את זה דרך מערך הסייבר. אני מעלה כאן משהו שיכול להיות שהוא דמיוני לגמרי.
עמיר שי
נפריד בין שני דברים. אל"ף, היחידה, אנחנו מממנים נכון להיום 50-50, היחידה שקיימת שם, אנחנו הסמכות המקצועית. הרשות או המערך ייתן בעצם את כל מעטפת המידע, הידע, ובסופו של דבר - - -
היו"ר אורי מקלב
לא, אבל לבנות את המערכת בתוך השלטון המקומי, ברזולוציות של - - -
צחי שלום
אנחנו מנסים לעבוד ביחד. אנחנו מנסים לשלב את הגופים האלה מבחוץ לתוך הפרויקט שלנו, גם את ישראל דיגיטלית וגם את משרד הפנים.
היו"ר אורי מקלב
אוקיי. משפט סיום.
עמיר שי
נכון להיום המערך לא בונה לארגונים, בין אם זה רשויות ובין אם זה ארגונים אחרים, הוא לא בונה להם את ההגנה, הוא רק מנחה ומסביר איך נכון לעשות את זה ויחד אנחנו באמת מנסים לעבוד דרך השלטון המקומי, דרך החברה לאוטומציה, לראות איך אפשר לבנות שם את ההגנה האופטימלית. זאת אומרת מול המשאבים שיינתנו כדי לתת את המענה הכי טוב שניתן לעשות.
היו"ר אורי מקלב
אני כבר אחרי מסגרת הזמן, אבל אתה רצית להגיד משהו. שמך, ב-30 שניות.
ניצן דה פז
אני בעניין מד החשמל החכם. יש מצבים בחברות אנרגיה בארצות הברית, שתקפו אותם, ולכן לדעתי הדרך הכי טובה להימנע מסייבר זה פשוט להישאר עם מד חשמל מכני. יש בזה גם יתרונות נוספים, מכיוון שבמוני חשמל חכמים יש גם בעיות של חילולי שבת וגם לפי בדיקה של האוניברסיטה ההולנדית, זה גרם להגדלת החיובים. בניסוי שנערך באירופה 15% מהתושבים רוצים מונים חכמים, יש בזה עוד הרבה בעיות, יש הרבה מצבים - - -
היו"ר אורי מקלב
אתה מדבר על חשמל או מים?
ניצן דה פז
לא, אני מדבר על חשמל, במד החשמל החכם יש בעיות של חילולי שבת. אנשים אומרים שזה מחטיא יהודים בחילולי שבת וגם במד מים יש בעיות.
היו"ר אורי מקלב
ומה עם המונה החכם של המים?
ניצן דה פז
גם במים. רק רציתי להדגיש שגם במד החשמל החכם יש בעיות חמורות של חילולי שבת ולא רק במים.
היו"ר אורי מקלב
אז אני רוצה להגיד לך שבמד המים יש פתרונות קלים מאוד שכמעט אין שום - - - פתרו את זה. אני סמוך ובטוח שבמוני חשמל, עוד יותר אפשר לפתור את זה. הטכנולוגיה התקדמה גם בנושא הזה ויש פתרונות ואני בטוח שחברת חשמל בתוך המכרזים תשלב מונים שלא יחללו שבת. יש להם פתרונות שהם לא עושים את זה מיד בצריכה, אלא צוברים איזה כמות ואחרי זה זה נעשה אוטומטית. פתרונות שהם אפילו בשקלים בודדים, אם בכלל זה מכביד על המערכת. כך שאני בטוח שבדברים האלה, כשזה יהיה, אני לא מכיר מונה חכם, לי עדיין אין - - -
ניצן דה פז
כבר פרסו בכל מיני מקומות מד חכם.
היו"ר אורי מקלב
אני מניח, אני אבדוק את הנושא הזה.

רבותיי, אנחנו לא משלימים את הדיון הזה, אנחנו גם גלשנו בהערכת הזמן, הדיון הראשון לקח יותר זמן ממה שחשבנו, הוא היה מרתק ומעניין, זה בסדר, גם אם אנחנו לא משלימים אותו אנחנו רוצים לעשות מעקב. אין לנו יכולת להשלים אותו גם אם אנחנו רוצים.

אני חושב, יש לי את ההרגשה, שמשרד הפנים היום קצת חושב אחרת בעניין הזה, יכול להיות שמחוסר ברירה, אולי הוא חשב שמישהו אחר יעשה את העבודה בשבילו, ויכול להיות שאולי בצדק. אני לא מבקר שם ואני לא שיפוטי כלפי משרד הפנים, אבל אני חושב שזו אחריות שלנו גם כן, כגוף ציבורי, כוועדת המדע והטכנולוגיה שהיא הגורם המפקח, אני חושב שצריך לעשות את זה לא בגלל דוח המבקר, זה גם לא קשור לדוח. דוח המבקר, בסדר, כבודו במקומו מונח, אנחנו מדברים היום במערכת שאנחנו בודקים מערכות ציבורית, לפי כל קנה מידה, יש איזה שהוא שטח הפקר בעניין הזה.

רשויות מקומיות שפועלות פועלות, רשויות מקומיות שלא פועלות, אין מישהו שלוקח את האחריות. אני מגדיר את זה, בלי לפגוע באף אחד, איזה פיגור מדאיג ומסוכן בנושא הזה וכאן צריך להיכנס עכשיו במרץ רב ובלוחות זמנים צפופים מאוד ובתקציבים מתאימים כדי גם להדביק את הפער וגם לעשות שיתופי פעולה מבורכים. איך אמר מקודם בוקי? יש המון דברים שיש כבר במדף, כאן צריך להיות יצירתי ומהיר כדי לדעת לעשות בצורה הכי יעילה, הכי זולה, אבל הכי מהירה, את המערכות האלה. אנחנו מתקדמים בקצב הרבה יותר מהיר מאשר אנחנו יודעים להעריך אותו.

יש כאן גם שאלה של אחריות, יש כאן גם שאלה של סמכות וגם רגולציה וגם שאלה של תקציב. אם אנחנו נתווכח עם משרד המשפטים, אני אומר לך, לא נגמור, זה יכול להיות גם ויכוחים שנים, אני מכיר קצת, לדאבוני, את הוויכוחים עם משרד המשפטים בהרבה נושאים, לא תצא מהם ראש. סליחה על הביטוי הזה, אבל זה לא ייגמר, אף פעם זה לא ייגמר. זה עוד תחום, אני מבין שלמשרד קשה ויש לו הרבה משימות, אבל זה הכרח לא יגונה. אי אפשר היום לצאת עם הכרזה ש'אנחנו לא יכולים', מישהו צריך לטפל בעניין הזה.

אני מודה לכולם, שיהיו צהריים טובים ויום טוב.

הישיבה ננעלה בשעה 14:15.

קוד המקור של הנתונים