ôøåèå÷åì ùì éùéáú åòãä
ôøåèå÷åì ùì éùéáú åòãä
àåîðéè÷
2018-03-18OMNITECH
הכנסת העשרים
מושב רביעי
פרוטוקול מס' 161
מישיבת ועדת המדע והטכנולוגיה
יום שלישי, ה' באדר התשע"ח (20 בפברואר 2018), שעה 13:00
ישיבת ועדה של הכנסת ה-20 מתאריך 20/02/2018
ליקויי אבטחה בגופים האחראים למאגר הביומטרי, ליקויי אבטחה בגופים האחראים למאגר הביומטרי, ליקויי אבטחה בגופים האחראים למאגר הביומטרי
פרוטוקול
סדר היום
1. הצעה לדיון מהיר: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי, של חה"כ יוליה מלינובסקי (מס' 8999)
2. הצעה לדיון מהיר: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי, של חה"כ יעל כהן-פארן (מס' 9001)
3. הצעה לדיון מהיר: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי, של חה"כ שרן השכל (מס' 9062)
מוזמנים
¶
מרגלית לוי - יועצת משפטית לרשות הביומטרית, משרד הפנים
עצמון מינס - ראש רשות, הרשות לניהול המאגר הביומטרי
עמיר אריהן - מנהל אגף מערכות מידע, הרשות לניהול המאגר הביומטרי
מאיר גופשטיין - ראש אגף הגנת הפרטיות, רשות המאגר הביומטרי
עידו תלמי - מנהל אבטחת מידע, רשות האוכלוסין וההגירה
עירית ויסבלום - לשכה משפטית, רשות האוכלוסין וההגירה
גדעון קונפינו - מנהל אבטחת מידע וסייבר, משרד ראש הממשלה
עמנואל אליסף - ראש אגף בכיר, פיקוח, מערך הסייבר, משרד ראש הממשלה
רועי פרידמן - מ''מ ר' היחידה להזדהות וליישומים ביומטרי, משרד ראש הממשלה
נעמה בן צבי - יועצת משפטית, משרד ראש הממשלה
עלי קלדרון - הממונה על האכיפה המנהלית, הרשות להגנת הפרטיות, משרד המשפטים
אלכסנדר בליי - המדען הראשי, משרד המדע והטכנולוגיה
יוסי קאליפא - מנהל תחום מדעי החיים, משרד המדע והטכנולוגיה
חיים פלחצנסקי - ממונה אבטחת מידע, הלשכה המרכזית לסטטיסטיקה
רישום פרלמנטרי
¶
ס.ל., חבר תרגומים
1. הצעה לדיון מהיר: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי, של חה"כ יוליה מלינובסקי (מס' 8999)
2. הצעה לדיון מהיר: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי, של חה"כ יעל כהן-פארן (מס' 9001)
3. הצעה לדיון מהיר: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי, של חה"כ שרן השכל (מס' 9062)
היו"ר אורי מקלב
¶
נפתח, ברשותכם, ישיבה של ועדת המדע והטכנולוגיה. היום יום שלישי, שנכפל בו פעמיים כי טוב, ה' באדר תשע"ח, ה-20.2.2018. על סדר יומנו ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי. זה בעצם דיון מהיר של חברת הכנסת מלינובסקי, שהיא לא נמצאת פה ובאמת היא לא מרגישה טוב, אנחנו מאחלים לה רפואה שלמה. הנושא הזה מאוד חשוב לה, היא הציעה את זה ויזמה את הדיון יחד עם חברת הכנסת יעל כהן-פארן וחברת הכנסת שרן השכל, שבהמשך תיכנס. אז באין אף אחת מהמציעות זה התפקיד שלך להציג, חברת הכנסת יעל כהן-פארן.
אני רק רוצה לתת את המתכונת של הדיון, כך אני מרגיש בדיון הזה, שהוא לא דיון של עריפת ראשים וגם לא טענות שיש לכם צורך להתגונן. אנחנו בעצם, מה שאני מבין, רוצים להגיע לבירור העובדות, כדי שנדע לתקן, אם צריך לתקן, ואם צריך הפקת לקחים. לפעמים אני מרגיש שאנשים נבהלים וכשמתגוננים אומרים משהו אחר וכשמסבירים את העובדות זו צורה אחרת של דיון. המתכונת של הדיון שאני מבקש באמת היום שאנחנו נשתמש בה, או נדון בה, זו מתכונת כזו של בירור העובדות. חשוב לנו להגיע לבירור העובדות וחשוב לנו גם שאם יש תקלות נתקן אותן , אם לא תיקנו, וגם הפקת לקחים לגבי העתיד. בבקשה.
יעל כהן-פארן (המחנה הציוני)
¶
תודה. אז קודם כל תודה, אדוני היושב ראש, על קיום הדיון, באמת בלוח זמנים מאוד ראוי להערכה. אני יודעת שהוועדה עמוסה.
היו"ר אורי מקלב
¶
שיידעו, כיושבת ראש של ועדת המשנה של הוועדה את פעילה מאוד וגם טובה מאוד, יעילה מאוד.
יעל כהן-פארן (המחנה הציוני)
¶
תודה. אז לפני כחודש וחצי, משהו כזה, נחשף ליקוי משמעותי באבטחת שרתי מערכת זימון התורים של מינהל האוכלוסין. כל אדם היום שרוצה להגיע ולהנפיק תעודת זהות או דרכון צריך להזמין תור מראש, אגב, משהו שבאופן אישי חוויתי אותו כמשימה בלתי אפשרית, אבל נשים את החוויה האישית שלי בצד. אז מי שזימן את התור הזין את המספרים, תעודת זהות, שם, טלפון, ובעצם פושעי סייבר, בוא נגיד ככה, לא עשו עבודה חוקית, אבל בקלות רבה נכנסו למאגר הזה וקיבלו את כל הרשימות של כל האנשים שנרשמו כדי לקבוע תור ומספרי הטלפונים שלהם וכנראה פרטים נוספים.
זו הייתה כתבה שנחשפה בכלכליסט לפני, כמו שאמרתי, כחודש, בתחילת ינואר, ובעצם מזמיני התורים של רשות האוכלוסין וההגירה היו חשופים, כל פרטיהם האישיים, כיוון שהשרת כנראה לא היה מאובטח בכלל, אחרת איך האקרים, בוא נגיד ככה, לא מתוחכמים, לא ממשלה זרה שיכולה להפעיל גורמי ביון מתוחכמים, אלא ממש האקרים חובבנים - - - זה ממש ליקוי חמור שמעלה שאלות לגבי היכולת של רשות האוכלוסין במשרד הפנים לאבטח מאגרים. כמובן יש לה מאגרים מאוד רציניים וסודיים, כמו שאנחנו יודעים, דיברנו כאן רבות על המאגר הביומטרי, האם באמת נעשית עבודה רצינית ונכונה של פיקוח ובקרה על מערך אבטחת המידע, גם המאגר הזה וגם מאגר המידע הביומטרי.
זאת שאלה אחת שעליה הדיון. והשאלה השנייה, שגם הוא נתון שפורסם בתקשורת, שהאחראית על אבטחת המידע במאגר הביומטרי, לא במזמיני התורים, הועסקה כעובדת של חברת קבלן ולמעשה זה בניגוד לחוק כי החוק קובע שמי שעוסק במאגר הביומטרי, בטח באבטחה שלו, אחראית על אבטחת המידע של המאגר הביומטרי, חייב להיות מועסק על ידי המדינה, עובד מדינה. זה בחוק, עד כמה שאני יודעת, כראש מערך האבטחה. הסוגיה הזו נידונה בבית דין לעבודה ואותה עובדת, שלא התקבלה להיות עובדת קבועה תובעת את זכויותיה ולוחמת על מקומה, אבל בזה התגלה למעשה שבמשך שלוש שנים, אם לא יותר, היא הייתה מועסקת כמנהלת אבטחת המידע כשהיא עובדת קבלן.
אלה שתי הסוגיות שביחד הן נושא הדיון כאן. בעיניי הן מעלות ספקות באמת כבדים ושאלות רבות על ההתנהלות של הרשות ומשרד הפנים והיכולת לאבטח בצורה אחראית ובטוחה את המאגר הביומטרי שבו יש את הפרטים האישיים ביותר של כל אזרחי ישראל. תודה.
היו"ר אורי מקלב
¶
תודה רבה. הצגת את זה קצר וממוקד בעניין. חשוב לנו לדעת איזה פרטים נחשפו, אנחנו יודעים שממספרי טלפון, מה עוד הפרטים שנחשפו. אני רק רוצה לציין, זה גם נכון, לתת את הקרדיט, אתם גם כותבים בפנייה שלכם בדברי ההסבר שזו כתבה שפורסמה בכלכליסט.
עידו תלמי
¶
צהריים טובים. שמי עידו תלמי, אני מנהל אבטחת המידע ברשות האוכלוסין וההגירה וגם אחראי וממונה הגנת הסייבר ואני אענה למה שנאמר בפתיח לגבי תקלת המסרונים. אז קודם כל אני אנסה טיפה לדייק בעובדות של מה שאנחנו מבינים ממה שקרה. דבר ראשון, מדובר על תקלה, בהחלט תקלה ותקלה תפעולית שחשפה לאותו בחור מספרי טלפון של אזרחים, שמות לשכות וכתובתן ומהות זימון התור שהאזרח ביקש.
היו"ר אורי מקלב
¶
מכיוון שחברת הכנסת יעל כהן-פארן לא הצליחה להגיע למצב כזה ששולחים לה מסרון, אני גם לא ניסיתי, איך זה עובד? אני מטלפן - - -
היו"ר אורי מקלב
¶
אולי תסביר לנו כדי שנדע איך זה עובד. מה המסרון בעצם אומר? 'אתה מוזמן ביום זה וזה ללשכה זו וזו'.
עידו תלמי
¶
בהחלט. לאזרח ישנה אפשרות היום להגיע דרך הסלולר או דרך האינטרנט אל אתר של זימון תורים שמפורסם גם באתר gov.il, באתר הממשלה וגם במקומות אחרים. דרך האתר הזה הוא קובע תור, הוא מכניס את פרטיו האישיים שכוללים מספר טלפון של מבקש השירות ותעודת הזהות. הנתונים נעים דרך האינטרנט לממשל זמין, שהוא השער של רשות האוכלוסין לעולם ומממשל זמין זורמים לתוך המערכות הפנימיות של רשות האוכלוסין וההגירה. שם נקבע התור במערכות שלנו. בתגובה לדבר הזה המערכת מוציאה הודעה מאוד לאקונית ופשוטה שכוללת, מבחינת מידע ביוגרפי, אך ורק את מספר הטלפון של האזרח. לא כוללת לא שמות, לא תעודות זהות, לא כתובות ולא שום מידע אחר.
את הטלפון הזה שהמערכת מוציאה אנחנו שולחים דרך חברה חיצונית לחלוטין שלא קשורה בשום צורה ובשום תקשורת מחשבים, בשום אופן - - -
עידו תלמי
¶
אנחנו מעבירים את זה דרך האינטרנט, מעבירים להם את ההודעה, כולל מספר הטלפון. אז אם אתה קבעת תור ללשכת באר שבע, לצורך השיחה - - -
היו"ר אורי מקלב
¶
אבל זה ודאי שלא דרך דו סטרית, זאת אומרת מי שנכנס לאותה חברה והתברר שנכנס בקלות הוא יכול עכשיו להיכנס - - -
עידו תלמי
¶
אין שום קישוריות באשר היא. אותה חברה, אם היא רוצה להיכנס למערכות הרשות היא כמו כל אדם בעולם שיעבור את כל מחסומי ה - - -
עידו תלמי
¶
עם כתובת הלשכה, שם הלשכה והשירות שאותו הוא הזמין. זה יכול להיות בקשה לחידוש דרכון, בקשה לתעודת זהות, או אחד מעוד שבעה שירותים שאנחנו מאפשרים.
היו"ר אורי מקלב
¶
למה אתם עושים את זה דרך חברה ולא עושים את זה לבד? כבר בדקתם הכול, אז מה? טוב, ספר לנו.
עידו תלמי
¶
לא פיתוח. קיימת בממשלה יכולת לשלוח, העניין הוא שנכון להיום אנחנו מבינים שזה משהו בערך פי חמישה בעלות מאשר אם נעבוד עם חברה אזרחית.
יעל כהן-פארן (המחנה הציוני)
¶
איך זה יכול להיות? סתם מעניין אותי, מי גוזר פה קופון? איפה הרווח של החברה, איפה הרווח של משרד ממשלתי ש - - -
היו"ר אורי מקלב
¶
אנחנו רואים את זה בכול, למה האוצר מפריט כל הזמן? בגלל שמיקור חוץ הוא הרבה יותר זול, הוא עולה למערכת הרבה יותר זול.
עידו תלמי
¶
בסוף דבריי אני אתייחס גם - - - אני גם ממונה על הגנת הפרטיות, בהחלט הייתה פה פגיעה בפרטיות, אנחנו לא מתעלמים ממנה, אבל אנחנו לא חושבים שעוצמתה כעוצמת הפרסום בעיתון, אבל זה יהיה בסוף דבריי, ברשותכם.
עידו תלמי
¶
בדיוק. הסיפור הוא, אני לא יכול להיכנס מפאת זה ש - - - יש לי את הדוח, אני עוד שנייה אספר גם מה עשינו. יש לי פה את הדוח, אני לא יכול להיכנס לפרטים כי בסופו של דבר זו חברה מסחרית, אבל שרתי החברה לא היו מאובטחים כראוי ואותו בחור שהזין הצליח להזין לחברה וכמובן, כמו שנאמר, ליירט את המידע.
בעקבות התקלה הזו, וזה חשוב לציין, כבר יום אחרי שנודע לנו על התקלה, אנחנו שלחנו צוות תגובה לחברה הזאת שבדק את כל מערך החברה, את כל מערך ה-IP של החברה וכבר שם נתן להם הנחיות לביצוע. אנחנו בתהליכים היום של הפסקת הפעילות עם אותה חברה והעברת הפעילות שלנו לחברה מקבילה.
עידו תלמי
¶
אין לנו טולרנס לבעיות כאלה, אנחנו לא מוכנים שחברות שאנחנו עובדים איתן, גם אם זה היה בשוגג וגם אם זה היה בחוסר תשומת לב או בזדון - - -
עידו תלמי
¶
בזמן החשיפה אנחנו מדברים על בסביבות 150,000 אס.אמ.אסים שנשלחו בזמן החשיפה, שהיא מתחילת דצמבר 17' ועד - - -
עידו תלמי
¶
קצת קשה לי לענות על השאלה הזאת, כי אנחנו עובדים עם עוד ספק בנושא הזה. אין לי את הנתון ה - - -
יעל כהן-פארן (המחנה הציוני)
¶
למה אתה מתייחס כתקלה? שמישהו נכנס או ש - - - השאלה שלי היא כזאת, אתם התחלתם את המהלך ביוני, ב-1 ביוני אפשר היה להתחיל להזמין תורים, אז במשך כל חצי השנה הזו הייתם מודעים לבעיית אבטחה בחברה הזאת או שפשוט לא הייתם מודעים לה?
יעל כהן-פארן (המחנה הציוני)
¶
המצב היה אותו מצב. למה הוא מתייחס לתקלה? התקלה היא עצם זה שמישהו נכנס.
עידו תלמי
¶
לא, אני יודע מתי הם העלו את השרת הבעייתי שיצר את התקלה. יום אחרי האירוע שפורסם אנחנו שלחנו צוות מטעמנו שהיה שם - - -
עידו תלמי
¶
כן. חשוב לציין שזה לא רק מסרונים שאנחנו מודיעים לאנשים על התור, אלא זה גם מסרונים שאנחנו מדברים על זה ש'התור שלך הוקדם', 'התור שלך התאחר', 'אתה ממש קרוב' - - -
היו"ר אורי מקלב
¶
בהוראות העתידיות, או לחברות אחרות, איך אתם מקבלים, כל כמה זמן שומרים? כמה זמן ההוראה שלכם לשמור על אותם - - -
עידו תלמי
¶
הם מוחקים מיד. גם הסתכלנו ובדקנו את זה, המידע בחברה, המידע שנשלח לאחר שהוא יצא כאס.אמ.אס נמחק משרתי החברה. אין כזה דבר לאגור מידע בשרתי החברה.
היו"ר אורי מקלב
¶
איך אתם היום מפקחים על חברות אחרות שהם לא לוקחים את מספרי הטלפון האלה ומשתמשים לצרכים אחרים, צרכים מסחריים, יכול להיות? האנשים האלה, נניח אם זה דרכונים, האנשים יודעים שהם רוצים לנסוע לחוץ לארץ - - -
היו"ר אורי מקלב
¶
ואז חברת תיירות, ואז מלונות ובדיוטי פרי, הם לוקחים את המאגר הזה ומציעים הצעות מסחריות.
יעל כהן-פארן (המחנה הציוני)
¶
חברות שמציעות הלוואות, צריך כסף לנסוע לחו"ל. כמה אנחנו מופצצים מהחברות האלה. מאיפה הם מקבלים את הטלפונים שלנו?
עידו תלמי
¶
בסמוך לתקלה, חוץ מזה שטיפלנו בחברה שעשתה את התקלה, שלחתי גם צוות מטעמי, צוות אבטחת מידע גם לחברה המקבילה וגם שם וידאנו שאין פערים שיכולים לגרום לאותה תקלה או תקלה דומה ואנחנו עכשיו בקשר מתמיד עם אותה חברה ונותנים להם הנחיות לשיפור במספר נושאים שמצאנו שקיימים אצלם ואנחנו מבצעים על זה מעקב והם התחילו כבר ליישם את זה.
היו"ר אורי מקלב
¶
אוקיי. אז אנחנו בסופו של דבר לא מדברים על שמות ולא מדברים על מספר זהות, אנחנו מדברים על מספרי טלפון של אנשים ואתם היום יכולים להגיד שהאירוע נגמר והפקת הלקחים לגבי העתיד? איך אתם יודעים ששרת לא טוב ייכנס?
עידו תלמי
¶
אז עשינו מספר פעולות. קודם כל בתוך הבית, חידדנו נהלים אצלנו בכל הנושא של התקשרויות, גם עם חברות כאלה. אנחנו נבצע בקרה חצי שנתית מול החברות שנותנות לנו אס.אמ.אס. אגב, אנחנו עובדים עם עוד חברות שנותנות לנו שירותים בנושאים אחרים. זה לא הדיון, אבל אנחנו היום מבצעים בקרות גם אצל גורמים אחרים שעושים שימוש במערכות הרשות. התחלנו את זה בשנה האחרונה, אנחנו בתהליך מאוד מאוד רחב של בקרה על כל מי שעושה שימוש בנתונים של רשות האוכלוסין וההגירה.
היו"ר אורי מקלב
¶
השאלה אם האירוע הזה, אני מאוד מעריך את השקיפות שהדברים נאמרים, הייתה כאן תקלה, האירוע הוא לא עוצמתי והוא לא עם נזק לטווח ארוך מאוד, והוא גם מצומצם וגם לא נתונים, אבל מטפלים בו, השאלה היא האם משרדים אחרים מפיקים לקחים? אנחנו הרי לא באים עכשיו, אנחנו רוצים לראות, האם יש משרדים שממשל זמין לומד את האירוע הזה ובעקבות כך מנחה חברות. הרי אם אתה אומר ש - - - משתמש, אין לי ספק שמשרדים אחרים גם מרבים בשימושים כאלה או אחרים עם חברות חיצוניות ושהם מקבלים שירותים כאלה ויכול להיות שהתקלה תחזור, לא רק אצלכם, גם במשרדים אחרים.
גדעון קונפינו
¶
שלום, אדוני היושב ראש. שמי גדעון קונפינו, אני מנהל יה"ב ברשות התקשוב הממשלתי. ממשל זמין שייך לרשות התקשוב הממשלתי. ממשל זמין הוא גוף ביצוע, היחידה שאני אחראי עליה היא גוף מנחה למשרדי הממשלה. כמובן שאנחנו עושים שיתוף מידע בכל אירוע אבטחת מידע. יש לנו תהליכים, לא רק לתהליך הזה, תהליכים של שיתוף מידע כדי שאירוע אחד לא יישנה במשרד אחר.
עלי קלדרון
¶
כן. כבוד היושב ראש, אני עלי קלדרון מהרשות להגנת הפרטיות. קודם כל אני רוצה לומר שלמרות שהמידע שנחשף הוא לכאורה לא מידע אישי עדיין החוק מגדיר בהחלט שמידע כזה צריך להיות מוגן על ידי רשות שמחזיקה אותו ברשות או בהסכמה במקרה הזה. צריך גם להבין שבמידה שהאקר שיושב על המידע הזה ויכול להשתמש במידע הזה, זה לא רק לצורך יצירה של מאגר לצרכים מסחריים, כמו שאמרתם, יכול לשבת האקר על המידע הזה ולדעת שעכשיו הוא פונה לאחד האנשים שהמספר הזה הגיע אליו ולהגיד לו 'כן, אני עכשיו מרשות האוכלוסין, תעביר לי פרטים נוספים', מה שנקרא social engineering, זה כלי ש - - -
עלי קלדרון
¶
אל"ף, אנחנו עובדים באופן ישיר יחד עם רשות האוכלוסין ובנושא הזה אני רוצה להגיד שבמאי 2018 נכנסות תקנות חדשות של אבטחת מידע, כל הנושא של דלפי מידע מטופל גם במסגרת של התקנות האלה שמסדירות את נושא אבטחת המידע בצורה יותר מפורטת, מחייבות - - -
עלי קלדרון
¶
אני הממונה על האכיפה המנהלית ברשות להגנת הפרטיות, שנקרא לשעבר רמו"ט, הרשות למשפט, טכנולוגיה ומידע.
עלי קלדרון
¶
רמו"ט זה השם הקודם, רמו"ט היה רשות למידע, משפט וטכנולוגיה, היום אנחנו נקראים הרשות להגנת הפרטיות.
עלי קלדרון
¶
מה שרציתי להוסיף, במאי 2018 נכנסות לתוקף תקנות אבטחת מידע של הגנת הפרטיות שכוללות חובת דיווח על דלפי מידע לא רק לגופים ציבוריים אלא גם לכל מי שנמצא במשק ומחזיק מאגרי מידע. כמו שאמרתי, המקרה הספציפי הזה הוא בהחלט פגיעה, פגיעה בחוק מבחינתנו, פגיעה בפרטיות של אותם אנשים. ברור שהנושא פה ספציפית לכאורה נתפס כקטן, אבל החשיבות שלו מובנת על ידי הגוף.
היו"ר אורי מקלב
¶
טוב שזה קרה על משהו קטן ומצומצם וצריך באמת להודות בעניין הזה, אבל הפקת הלקחים צריכה להיות הרבה יותר רחבה.
עלי קלדרון
¶
ורק אולי מילה אחרונה, לגבי השימוש בגופים במיקור חוץ. העובדה שמשתמשים בגוף במיקור חוץ, שזה לפעמים משיקולי עלויות או שיקולים אחרים, לא מייתרת כמובן את האחריות של בעלי המאגר ובעצם מייצרת אחריות נוספת על אותו מחזיק, על אותו גוף במיקור חוץ וכמובן האחריות הראשית נשארת על הבעלים, במקרה הזה על הרשות.
היו"ר אורי מקלב
¶
אנחנו גם מודים לחברת הכנסת שרן השכל, אחת מהמציעות. הזכרנו אותך בדברי הפתיחה, כפי שכתבתם בהצעה לדיון מהיר, יש שני חלקים לבקשה, חלק אחד זה האירוע שהיה, שאנחנו קיבלנו הסברים, אנחנו חושבים שהם מספקים, הנושא השני זה הנושא של העסקה של מנהלת אבטחת מידע ברשות לניהול המאגר הביומטרי. איך אתם רוצים להציג את זה?
היו"ר אורי מקלב
¶
אני רוצה להגיד מראש בעניין הזה, אני מבין שזה בהליך משפטי, כפי שאמרו חברות הכנסת. מה שלא נוגע להליך המשפטי, ביקשתם את זה ואני אאפשר לכם, מה שקשור למשפט אתה לא צריך להתייחס, זאת אומרת הנתונים שאין לזה שום זיקה למשפט, מה שקשור למשפט אתה יכול להגיד שאתה לא יכול בגלל דיון שמתנהל בעניין.
מאיר גופשטיין
¶
אז אני אסביר. הגברת המדוברת היא חלק מצוות האבטחה, מ', היא איננה אחראית אבטחת המידע, היא לא מנהלת אבטחת המידע, היא מעולם לא הייתה ושימשה בתפקיד הזה, היא כפופה למנהל אבטחת המידע של הרשות הביומטרית, בחור בשם אבי, הוא עובד מדינה, משמש בתפקיד מנובמבר 2014. הסיבה שהיא חתומה על אחד המסמכים כאחראית אבטחת המידע, מכיוון שזה התואר שנתן החשב הכללי במסגרת תארי תפקידים שהמדינה יכולה לפנות לבתי תוכנה ולהשתמש בשירותים שלהם. זה תואר התפקיד כפי שהוא הוגדר על ידי חשכ"ל, לכן הגברת השתמשה בתואר הזה.
מאיר גופשטיין
¶
לא, זה ממש לא ישראבלוף. הוא גויסה על התואר הזה, דרך בתי תוכנה, אבל היא משמשת כחלק מצוות אבטחה. התפקיד שלה הוא לא תפקיד שהוא בעל סמכות, הוא לא תפקיד שהוא בעל אחריות. כמו שאני אומר, יש לה מנהל, מנהל אבטחת המידע של הרשות הביומטרית, הוא עובד מדינה, הוא משמש בתפקיד הזה מנובמבר 2014. זה התפקיד שלו, הוא לא עובד קבלן, הוא עובד מדינה, אני מדגיש. היא חלק מהצוות הזה, היא מטפלת בנושאים כמו תיאומי תדרוכים, נושאים שקשורים לרכש, נושאים שקשורים להצעות מחיר בתחום שבו היא עוסקת, בתחום אבטחת המידע, אבל בשום נקודת זמן היא לא הייתה אחראית על אבטחת המידע במאגר, או שניהלה את אבטחת המידע במאגר.
וכמו שאני אומר, התפקיד שלה הוא ללא סמכות או אחריות כלשהי בנוגע למדיניות אבטחת המידע או קבלת החלטות בתחום. יש לה בוס, יש לה מנהל שהוא עובד מדינה, הוא זה שמנחה אותה, הוא זה שנותן לה את המשימות והיא מדווחת לו.
מאיר גופשטיין
¶
עוד פעם, יש מספר הגדרות לפי החשכ"ל, יש הגדרה אחת שהיא יכולה להיות עובד אבטחת מידע או אחראי אבטחת מידע כאשר התעריפים השעתיים של אותן הגדרות משתנים. אם אתה רוצה בן אדם שהוא איכותי אז אתה מגייס את זה עם התעריף הגבוה יותר, אבל השליטה על תואר התפקיד, אין לנו. זה מה שהם הגדירו, לא מה שאנחנו הגדרנו. ואני שוב מדגיש ואומר, מנהל אבטחת המידע או האחראי על אבטחת המידע ברשות הביומטרית זה לא היא, מדובר בעובדות שגויות.
יעל כהן-פארן (המחנה הציוני)
¶
אוקיי, והאם לפי החוק כל הצוות יכול להיות קבלן חיצוני? אין מחויבות שגם אנשי הצוות - - - הרי אנחנו מדברים על מידע כל כך רגיש, האם מותר לכם לקחת - - -
יעל כהן-פארן (המחנה הציוני)
¶
אני מדברת עכשיו לא על העובדת הספציפית, אנחנו מדברים על כל המערך של העובדים בצוות שעובד על אבטחת המידע של המאגר הביומטרי. על זה אנחנו מדברים, נכון?
יעל כהן-פארן (המחנה הציוני)
¶
דיברנו בתחילת הדיון על המאגר הממשלתי המשטרתי, תאר לך שהמאגר המשטרתי הביומטרי לא היה מנוהל על ידי אנשי המשטרה, זה יעלה על דעתך? בעיניי זה לא יעלה על הדעת. אז אני שואלת עכשיו, כל העובדים במערך אבטחת המידע של המאגר הביומטרי, הם לא צריכים להיות עובדי מדינה?
היו"ר אורי מקלב
¶
אני חושב ש - - - נמצאת פה - - - חוק ועל זה תוסיף את הדברים. קודם נלמד - - - כן צריך או לא צריך, אני יכול להגיד שכן צריך.
יעל כהן-פארן (המחנה הציוני)
¶
הוא אמר שלפי החשכ"ל לפי הגדרת התמחורים היה צריך להגדיר אותה כאחראית אבטחת מידע, כי זה כאילו כוח אדם יותר איכותי שהוא יותר יקר, אז זה שתי הגדרות, עובד ואחראי, בגלל זה הבלבול.
יעל כהן-פארן (המחנה הציוני)
¶
היא כן הייתה חתומה במסמכים מסוימים או לפחות לפי החשכ"ל היא הייתה מוגדרת כאחראית, אבל היא לא אחראית. זה מה שהוא אומר כאן, אם הבנתי נכון.
מאיר גופשטיין
¶
אני אדגיש שכל בעלי התפקידים שיש להם סמכות ואחריות בדרג של מקבלי החלטות או קובעי מדיניות ברשות הביומטרית הם עובדי מדינה, חד וחלק.
היו"ר אורי מקלב
¶
עורכת דין מרגלית לוי. לא רגילים כאן, אני כבר מכיר אותך שאת מגיעה לעוד ועדות, את לא כאן נציגת הצבא, ראיתי שיעל לא כל כך מבינה איפה היועצת המשפטית.
מרגלית לוי
¶
רק לעניין המשפטי, להבהיר את הנקודה. יש שני סעיפים בחוק שמדברים על עובדים ברשות הביומטרית. הסעיף הראשון מדבר על הכלל. הכלל הוא שכל עובד ברשות יהיה עובד מדינה ולא ימלא שום תפקיד אחר מלבד תפקידו זה. בעצם בתהליך עצמו של חקיקת החוק, הרעיון שבבסיס החקיקה או בסעיף הזה היה שלא יהיו עובדי מדינה ממשרדים אחרים שמתניידים ממשרד אחד לשני ועוברים דרך הרשות הביומטרית ולכן מוגדר באופן חד משמעי שעובד בתוך הרשות, הוא יהיה עובד מדינה ולא ימלא תפקיד אחר מלבד התפקיד הזה.
זה הכלל. החריג לכלל הוא בעצם סעיף 13 שמדבר על צוות עובדים שתהיה להם הרשאת גישה למאגר הביומטרי. המחוקק הכיר בעובדה שבתנאים מסוימים לא ניתן, יש מגבלה או אין יכולת, גם בתנאי השירות הציבורי, להעסיק אנשי מחשוב ברמה כזאת או אחרת שנדרשים לתפעול שוטף של המאגר הביומטרי, קיימת אפשרות להעסיק עובדים שאינם עובדי הרשות ושהם חיוניים לרשות ושלא נמצא להם שום מחליף אחר מבין עובדי הרשות ובתנאי שיחולו עליו כל התנאים שחלים על עובד מדינה, לרבות כל התהליך שהוא נדרש לאבטחת המידע, הסיווג הביטחוני, האישור הנדרש וכמובן ליווי. גם כשהוא נכנס למאגר הביומטרי הוא חייב להיות מלווה בעובד מדינה.
מרגלית לוי
¶
אנחנו מדברים על גישה למאגר. המחוקק אפשר בתהליך הזה לגייס עובדים מן החוץ ובתנאי שהם עוברים את כל מנגנוני הפיקוח והבקרה לרבות חתימה, אישור מפורש של השר ושל ראש הממשלה. זאת אומרת כל אחד כזה חדש שאנחנו צריכים, גם אם הוא עובד מדינה, אנחנו חייבים לעבור את התהליך הזה של החתמת השר, להסביר את הנימוקים, להחתים את ראש הממשלה באופן אישי, ורק אז הם מקבלים את האישור אחרי כל התהליך הזה.
מאיר גופשטיין
¶
אני חייב להדגיש, שיהיה ברור, יש פה לפעמים בלבול בין הרשות הביומטרית, מאגר ביומטרי. כשאנחנו מדברים על המאגר הביומטרי אנחנו מתכוונים לצבר הנתונים, לליבה, הנתונים הרגישים ביותר שעליהם אנחנו מדברים כבר שנים. גישה לנתונים המסוימים האלה מתאפשרת לעשרה עובדים בלבד כאשר כל העובדים האלה הם עובדי מדינה ללא יוצא דופן.
מרגלית לוי
¶
למרות שהחוק מאפשר להעסיק עובדים חיוניים שאינם עובדי מדינה עובדתית, נכון להיום, אין עובדים שהם עובדי חוץ שיש להם הרשאת גישה למאגר. עובדתית, למרות שקיימת אפשרות כזאת.
יעל כהן-פארן (המחנה הציוני)
¶
אין לו גישה לנתונים, אני מבינה, אבל יש לו אחריות לאבטח אותם, ופה אני מעלה את החשש שאתה נותן לעובדים חיצוניים, לחברה חיצונית, להיות אחראית על בניית החומה שלך, אולי יגיע מישהו שיש לו אינטרס להשאיר איזה לבנה רופפת והם ידאגו לכך.
היו"ר אורי מקלב
¶
באופן המעשי הפרקטי כולם עובדי מדינה, זה מה שהוא אומר, הוא מוסר הודעה, עשרה עובדים, לעשרה יש אפשרות ל - - -
היו"ר אורי מקלב
¶
אבל רק שנייה, אין סערה פה, לא דרמה, בוא נבין את זה. אתה יודע דברים, אנחנו רוצים להבין. אנחנו בשלב ההבנה, אנחנו עוד לא רוצים תגובה, אנחנו רוצים להבין את הדברים. מה שאנחנו אומרים עכשיו זה רק לראות אם הבנו. אנחנו ככה אומרים, הגישה, שזה נניח הרף הכי גבוה, שצריך סיווג הכי גבוה, ששם גם הליבה של החשש שלנו. אני רוצה להגיד במאמר מוסגר, כשאנחנו דיברנו בדיונים, אנחנו ליווינו את החוק הזה, אני עמדתי בראש הוועדה כשניסן ביקש ממני לנהל את החוק הביומטרי - - -
היו"ר אורי מקלב
¶
בזכות זה אני ניהלתי את זה, ואנחנו אז דיברנו על כך שהחשש שלנו לא על פריצה למערכות המאגר, החשש היותר גדול שלנו היה זליגה של המאגר. יש הבדל בין פריצה למאגר לבין זליגה של מאגר. אמרנו, פריצה למאגר הביומטרי, אז יש לנו עוד הרבה דברים במדינה, אם מישהו יגיע למאגר הביומטרי אז הוא יגיע גם לפצצת האטום שלנו ולדברים הרבה יותר חמורים, זה כמעט באותו סיווג. ככה ראש הממשלה הודיע, ככה שר הפנים הודיע, זה עבר ביקורת ואני חושב גם ביקורת מעשית של מי שעמד אז בראש הוועדה הביומטרית. שבועיים הוא ניסה לפצח את זה בכל השיטות וככה נאמר, מה שהיה מותר להגיד כאן בוועדה, ולא הצליחו. זאת אומרת זה היה המקסימלי שיש מבחינת הסיווג. ראש הממשלה עצמו, עם הרגישות הגבוהה שיש לו בעניין הזה, הוא אמר שזה בסדר. זה היה תהליך בשביל להניח את דעתנו בנושא הזה.
הבעיה הייתה הזליגה. זליגה יכולה להיות גם ממאגר הכי - - - אם עובד, כמו שקרה, לוקח נתונים ושם נגמר הסיפור. לכן שם דרישות הסף היו מאוד מאוד - - - שם, עם כל דרישות הסף, בגלל שחששו שבתוך, האוצר לא נותן ועוד כל מיני מגבלות שיש וצריך אנשים מקצוענים מאוד בעניין הזה, שלא רצו שהמגבלה של - - - תיפגע כדי לנהל את המערכת, נכון אמרו שאפשר להביא גם כאלה שהם לא עובדי מדינה, אבל בתנאי שהם עוברים ככה וככה, תנאים כאלה, עד שמי שחותם על אותו עובד צריך להיות שר הפנים וראש הממשלה. זאת אומרת אנחנו מדברים באמת על רמה שנתנו לו את כל העיגונים המקסימליים בעניין הזה. עכשיו, מה שאנחנו עכשיו רוצים לדון, אנחנו מבינים שאנחנו לא מדברים על הגישה, אנחנו מדברים ברף היותר נמוך, איזה ומה ההרשאה שלכם, אתם תסבירו מה ההרשאה, בכמה עובדים, המערכת שלכם היא כמה, 35 עובדים?
היו"ר אורי מקלב
¶
בערך, אז אנחנו מדברים בתוך ה-25 עובדים האחרים שבאו בלי הגישה, בואו תספרו לנו עכשיו מה קורה שם. אומרת לך - - - אבטחת מידע זה תפקיד מאוד - - -
שרן השכל (הליכוד)
¶
אני מתנצלת, יש לי את יום הקהילה הגאה, איחרתי גם בגלל הוועדות, אני מתנצלת שאני חייבת ללכת.
מאיר גופשטיין
¶
מה שאני אומר זה שהעסקה של עובדי חוץ דרך בתי תוכנה או כפי שמכונה עובדי קבלן היא מקובלת בגופים אחרים במדינת ישראל, בגופים הרבה יותר רגישים או מקבילים לגוף שלנו מבחינת המידע והרגישות.
היו"ר אורי מקלב
¶
במקרה של דיון מהיר הנוהל הוא שונה מוועדות אחרות, מדיונים אחרים, שיש פרוטוקול, כאן אנחנו מוציאים פרוטוקול כתוב עם סיכום ומסקנות של הוועדה שמגיעות לשר, השר צריך להגיב ובסופו של דבר זה עולה למליאת הכנסת, לידיעת חברי הכנסת. התהליך הוא קצת אחר, לכן חשוב לנו מאוד בדיוקים ושאלה יהיו דברי הסיכום גם.
היו"ר אורי מקלב
¶
אני עדיין לא מבין. אני עוד לא מבין איפה הבעיה. יש לכם אישור להעסיק עובדי חוץ? בסדר, מקובל, אני אומר ברמה היותר גבוהה, איפה עכשיו הבעיה?
מאיר גופשטיין
¶
הבעיה צצה מכיוון שהעובדת הזאת הייתה רשומה על אחד הטפסים כאחראית אבטחת מידע והטיעון בתקשורת, למרות שאנחנו הסברנו שלא מדובר בעובדות מדויקות, היא לא אחראית - - -
היו"ר אורי מקלב
¶
כמה בעלי תפקידים בתוך הרשות הביומטרית צריכים להיות עובדי מדינה? כמה תפקידים אחראים כאלה יש?
מאיר גופשטיין
¶
כן. מה שאנחנו אומרים זה ראש הרשות, מנהל אגף הגנת הפרטיות, מנהל אבטחת המידע, האחראי על בסיסי הנתונים, האחראי על הסיסטם, על התשתיות.
היו"ר אורי מקלב
¶
זה כל לא עובדי המדינה בתוך המערך הזה. ואתם אומרים שאותה מ', היא בעצם הייתה עובדת שאולי קראו לה לצורך המשכורת, לסיווג משכורת, קראו לה אחראית, אבל בעצם היא לא הייתה אחראית, היה לה מנהל מעליה שהוא היה אחראי וכשיש מנהל אין אחריות.
מרגלית לוי
¶
חשוב להדגיש נקודה אחת מרכזית, שעובדים שאינם עובדי הרשות, שוב להדגיש את זה, גם לפרוטוקול, אין להם הרשאת גישה למאגר. אני רוצה שזה יודגש. כמובן יש פתח בחוק שמאפשר את צורת ההעסקה הזו ושלמעשה אנחנו פועלים יחד עם הממונה על היישומים הביומטריים, ברשות הביומטרית, כדי לצמצם את היקף אותם עובדים ברשות הביומטרית.
עצמון מינס
¶
עצמון מינס, אני ראש רשות המאגר הביומטרי. אני אגיד בצורה מאוד מאוד כללית שאנחנו מבינים מאוד מאוד מאוד את החשיבות של אבטחת המידע של הביטחון, גם הפיזי, גם טכנולוגי וגם הגנת הפרטיות. אנחנו משקיעים בזה המון תשומות, המון משאבים, המון תקציבים ולזכותם של מקבלי ההחלטות אפשר לומר שגם לא חוסכים מאיתנו שום דבר ולכן אני אישית מאוד רגוע בנושא אבטחת המידע והגנת הפרטיות של המאגר.
רועי פרידמן
¶
רועי פרידמן, ממלא מקום ממונה יישומים ביומטריים. באופן כללי אנחנו סבורים שהרשות לניהול המאגר הביומטרי צריכה להעסיק את כוח האדם הטוב ביותר שניתן להשיג מבחינת ביומטריה, מבחינת אבטחת מידע. זה אינטרס שלנו כגוף פיקוח ואינטרס של הרשות לנהל את זה היטב ואינטרס של כל תושבי המדינה שהרשות הזאת תתנהל בצורה המקצועית ביותר. כמו שמרגלית ציינה אנחנו נמצאים בתהליך עבודה, בעבודת מטה, להגדיר היטב את התפקידים והתבחינים לתפקידים השונים וזה יתבצע.
היו"ר אורי מקלב
¶
יש עוד מישהו שרוצה להוסיף? אוקיי. אז אם ככה לדקת הסיום. קודם כל שמענו, אנחנו מודים לאלה שהעלו את הנושא לדיון מהיר, אני חושב שחשוב שנושאים כאלה לא יהיו רק בתקשורת, אלא גם יקבלו את ההיבט הציבורי וזה השולחן המתאים לדיונים האלה. אני חושב ששני הצדדים צריכים להיות מעוניינים בעניין הזה, גם הגוף המפקח, שזה אנחנו, וגם הגוף המבוקר. בסך הכול יש לכם הזדמנות לענות את התשובות האמיתיות, המקצועיות, ללא הפרעה, בצורה מושלמת, שלא תמיד ניתן בתקשורת, מטבע הדברים. חשוב מאוד שגם התקשורת כאן מילאה תפקיד חשוב, אנחנו התוודענו שוב, אנחנו יכולים להגיד שבסך הכול המערכות הממשלתיות כולן, ודאי גם הרשות הביומטרית, מקפידה ואמונה ויש מודעות, אין הפקרות בנושא של אבטחת מידע. זה חד משמעי.
אנחנו הרבה דנים כאן, השולחן הזה שומע הרבה דברים, הממשלה נמצאת בציון מאוד מאוד טוב על שלוחותיה, יש ערנות לדברים האלה, משקיעים הרבה אמצעים, גם מקצועיים, גם כספיים, הנושא הזה נמצא בסדר היום וכשזה קרה לא היינו צריכים - - - זה תרגיל שנעשה טוב, וכמו שאמרתי בתוך דבריי, הנזק הוא לא נזק, זה העלה לנו למודעות, לחדד את הנהלים ובדברים האלה אין אפס תקלות, אין דברים שהם במאת אחוזים, תמיד, כל הזמן קורים דברים וטוב שזה לא משהו דרמטי. אין כאן דברים דרמטיים, אבל בחלק הזה אני חושב שהאירוע היה, הסתיים בהצלחה ואני חושב שזה רק מחדד שאנחנו צריכים להמשיך לעקוב לא רק לגבי הרשות הביומטרית, אלא לגבי כל משרדי הממשלה, כפי שזה התבטא כאן שזה נעשה, חודדו הדברים ויש מעקב אחרי הבירור וחידשו, אפשר להגיד, נהלים חדשים שנעשו בעקבות כך, כך שמבחינת הנזק לא נגרם שום נזק. והנושא הזה, ככל שהממשלה צריכה להוציא למיקור חוץ, והיא צריכה, ולא נראה שהיא תפסיק את התקשרויות החוץ, אנחנו צריכים לחדד את הדברים ולשפר אותם וללמוד תוך כדי התקשרות איך אנחנו תמיד מתייעלים יותר ויודעים להיות טובים יותר ושמורים יותר. זה בחלק הזה.
בחלק הפרסונלי, של התפקיד. הדברים מתבררים בבית משפט, בתביעה. כן מכרז, לא מכרז, אני אפילו לא יודע אם לתפקיד שלה יש משמעות בתביעה שלה או לא, אבל זה לא משנה. אנחנו קיבלנו תמונה, שיקפו את המצב החקיקתי, שזה החלק החשוב, על מה מתבססת הרשות הביומטרית באפשרות שלה להעסיק עובדים. יש אפשרות, ניתנה בחוק אפשרות להעסיק עובדים שהם אינם עובדי מדינה, גם בתפקידים של גישה ביומטרית ובתנאי שעומדים בתנאים המחמירים ביותר והיא יכולה לתת הרשאה להיכנס למאגר הביומטרי גם לעובדים שאינם עובדי מדינה.
יצוין כי בפועל כל העובדים שיש להם הרשאה וגישה למאגר הביומטרי הם רק עובדי מדינה. במקביל. סך הכול השאיפה ואולי האחריות או הרצון, והרשות חותרת לכך, כפי שגם הוזכר פה, שכל עובדי הרשות הביומטרית, בגלל הרגישות שלה, יהיו כולם עובדי מדינה. כיום מועסקים מספר קטן שהוא בעצם 20% של עובדים, פחות מ-20% של עובדים שאינם עובדים - - - כל העובדים שהם בתפקידי אחראי, שהחוק מחייב שיהיו עובדי מדינה, נמצאים, ממלאים את מקומם רק מנהלים שהם עובדי מדינה.
אם אנחנו מפרידים את האירוע, את המקרה הזה, את העובדת, אנחנו באמת יודעים ונאמר פה, וכמובן שזו דרישה שמובנת, שבתפקידים שיש להם סמכויות, שהם קובעי מדיניות וכו', כפי שהחוק הגדיר את זה, ישרתו רק עובדי מדינה וכפי שנאמר פה, הם רק עובדי מדינה. מעבר לכך שאר העובדים, כפי שיכול להיות, להעסיק עובדי מדינה הרי זה משובח.
אנחנו ככה באופן כללי נסגנן את זה, אני אעביר את זה גם למציעים ואנחנו נניח את זה. אני חושב שזה היה חשוב מאוד, אני רואה את הישיבה הזאת, כפי שאמרתי בהתחלה, זו לא ישיבה שבאה במתכונת של עריפת ראשים וטענות וצריך להתגונן, היו הבהרות פה, לדעת את העובדות, גם לדעת אם התקלות האלה, התגברו עליהן, ידעו אותן, זיהו אותן, יודעים איך להתמודד איתן וגם מבחינת הפקת הלקחים, אין לי ספק שהלקחים ייושמו.
אני מודה למשרדים האחרים ששותפים איתנו, משרד המדע שנמצא פה ומי שהיה שותף איתנו, שיהיה לכם המשך יום טוב.
הישיבה ננעלה בשעה 13:55.