ôøåèå÷åì ùì éùéáú åòãä

ôøåèå÷åì ùì éùéáú åòãä

àåîðéè÷

2018-07-09OMNITECH



הכנסת העשרים

מושב רביעי

פרוטוקול מס' 29

מישיבת ועדת המשנה של ועדת החוץ והביטחון להגנה בסייבר

יום רביעי, י"ז באייר התשע"ח (02 במאי 2018), שעה 9:00

פגישה עם נציגי חברות אבטחת מידע וסייבר

חברי הוועדה: ענת ברקו – היו"ר

אבי דיכטר

חיים ילין

עפר שלח

רוברט אילטוב

שני שרביט - סמנכ"לית מדיניות, מערך הסייבר

אבירם עצבה - ראש מרכז תורה וביקורת, מערך הסייבר

עינן ליכטרמן - מערך הסייבר

פרופ' שלומי דולב - יו"ר ועדת המקצוע של מדעי המחשב במשרד החינוך, אוניברסיטת בן גוריון

עמי לוין - סחר חוץ, משרד הכלכלה והתעשייה

צחי שלום - מרכז השלטון המקומי

ישראל גרוס - סייבר טוגדר

אלון רפאלי - סייבר טוגדר

רם לוי - מנכ"ל חברת ייעוץ קונפידס

בועז דולב - מנכ"ל חברת קלירסקיי סייבר סקיוריטי

רונן יהושע - מנכ"ל מורפיסק

מאיר אלטר - משקיע בתחום הסייבר

יהושע בכר - מנכ"ל אריקום תוכנה

עירית פורטר - מנכ"לית

עמיר עצמון - מנכ"ל קומסק

אורן אלימלך - מנכ"ל סייבר טיב 360

מנחם טאומן - מנכ"ל

משה פנצר - מנכ"ל אקספנציון

אורן איתן - מנכ"ל חברת DBI

אבי קשטן - מנכ"ל ומייסד של חברת סיקסגיל

יונתן לוי - פיתוח עסקי, ווינדבונד ישראל

גיא דגן - חברת קונסיינטה

אורן ברט - סמנכ"ל טכנולוגיות סלטינל

יקיר דניאל - סמנכ"ל פיתוח עסקי

שניר חסידים - צ'ק פוינט

חמי פקר - מנהל מרכז החדשנות, מוטורולה עולמית בישראל

יניב רוזנצויג - ראש תחום רגולציות ופיתוח עסקי, בריליקס

איגור צוקרמן - ארכיטקט אבטחת מידע

עמיר גיל - מנהל פעילות בקבוצת ח. מר

טל כתרן - מנהל שיווק, תעשייה אווירית

נועם קרקאור - אלתא, סייבר

עמי בראון - סמנכ"ל פיתוח עסקי, סייברביט

עידו בן עמי - סמנכ"ל פיתוח, קאימרה

נועם מרקפלד - חברת זייפסקי

צביקה פליישמן - מנהל מגזר הביטחון FORCCPOINT

שחר אלון - עו"ד, מנהל פיתוח עסקי, חברת צ'ק מרקס

עומר אורבך - ראש מערך הסייבר והטכנולוגיה, ההסתדרות הרפואית בישראל

אלעד גודינגר - עו"ד, ראש תחום מדיניות ציבורית, ההסתדרות הרפואית בישראל

נפתלי בביוף - חברת אליאקום

ירון קסנר - מוזמן/ת

עפר בראון - מוזמן/ת

איילת לוי נחום

שגיא חן

אהובה שרון, חבר תרגומים

פגישה עם נציגי חברות אבטחת מידע וסייבר

אני מתכבדת לפתוח את ועדת המשנה להגנה בסייבר. היום י"ז באייר התשע"ח, 2 במאי 2018.

יושב אתי שגיא שהוא רכז המודיעין של הוועדה. הוא אחראי על הזימון שלכם והקשר היה אתו.

הדיון הוא דיון פתוח.

לפי סעיף 120ב(2) לתקנון. זה אומר שהפרוטוקול לא חסוי. לידיעתכם.

בכל מקרה, היוזמה לכינוס, עת החלטנו להפוך לוועדה פורמלית, הייתה דווקא מישראל גרוס ואלון רפאלי שיזמו אותו. אני חושבת שזאת הזדמנות טובה לראות מה בדיוק הדברים שמעסיקים אתכם. אנחנו נשתף את הפורום הזה בהצגה של כלל פורום היועצים וחברות אבטחת הסייבר בישראל. אתם תציגו את הדברים. נמצאת כאן נציגות של מערך הסייבר – שני, אבירם ועינן.

אחת המטרות שלנו היא להדק את הקשרים, מאחר ומערך הסייבר עבר שינוי ארגוני ובעצם הוא די בחיתוליו. הייתה רשות, השתנה המבנה, הייתה הרשות והמטה והיום זה הפך להיות מערך. אנחנו גם בשלבי חקיקה. המערך צריך להציג הצעת חוק. לכן יש דברים שייאמרו כאן והם יכולים אולי להיות גם רלוונטיים לחקיקה בהמשך.

הצטרף אלינו יושב ראש ועדת חוץ וביטחון, חבר הכנסת אבי דיכטר.

שלום ובוקר טוב.

הצטרף אלינו חבר הכנסת עפר שלח, חבר הוועדה.

אני רוצה לתת לכם כמה כיוונים שאני מבקשת שבמהלך ההצגה של גרוס ורפאלי תתייחסו אליהם וגם לאחר מכן עת אנחנו פותחים את הדיון. מה תפיסת ההגנה שלכם, של החברות הישראליות, מה דרגת החשיבות שאתם מקצים לכך, איך אתם מצליחים לממש את יכולת הגנת הסייבר בעולם גלובלי בעבודה מול חברות בינלאומיות. אני מניחה שרובכם עובדים מול אפי, או כולכם. עובדים מול אפי במשרד הביטחון?

כן.

האם אתם סומכים על תוכנת ההגנה של קספרסקי, מה הבעיות שמתעוררות היום לאור ההתפתחויות האחרונות, איך אתם מגנים על הקניין הרוחני. אני זורקת כמה דברים לאוויר כדי לכוון את הדיון. הנושא שעלה על החברות הסיניות של הצפנת תשתית סייברית. כמובן גם התייחסות, איך אנחנו מגנים, עם כל זה שפתוח ואתם מוכרים ואנחנו רוצים שתצליחו ורוצים לחזק את התעשייה הישראלית גם בתחום הזה, איך אנחנו בכל זאת שומרים על הנכסים שלנו בתחום הסייבר. האם אתם מודעים ומה דפוסי העבודה שלכם מול מערך הסייבר, כולל קיומו של ה-סרב, כמה אתם נעזרים בו ואיך הדברים הללו מתבצעים מבחינת דפוסי עבודה.

אבי, אתה רוצה להוסיף.

לא.

אנחנו נתחיל בהצגה שלכם. יש לכם 25 דקות שבכנסת זה הרבה זמן.

בוקר טוב. תודה רבה. ברשות חברת הכנסת דוקטור ענת ברקו, יושבת ראש ועדת המשנה לסייבר, ברשות יושב ראש ועדת החוץ והביטחון חבר הכנסת אבי דיכטר, אנחנו קודם כל מודים לכם על ההזמנה לבוא לכאן.

הברכות על הזמן שלך. אני מציע לך לדלג עליהן.

אני מגיע לנקודה. אנחנו שמחים להגיע לכאן. אנחנו מייצגים, אני חושב, פורום די נרחב של הגופים, של החברות שעוסקות בסייבר סקיוריטי בישראל. הן לא דווקא פונות מול החברות הישראליות אלא פונות גלובליות. חברות סייבר ישראליות שיושבות כאן בעיקר עם קבוצות מחוץ לארץ. אנחנו נתבקשנו לבוא ולהציג כמה נושאים ואנחנו מאוד שמחים על כך.

ברשותכם, אני אתחיל. כמה דברים שנציג אותם לפי הסדר הזה. נציג את הפורום שנמצא כאן. אלון יציג אותם אחר כך. אחר כך נדבר על מיפוי איומים וסיכונים. דירגנו אותם כמיפוי איומים, איך אנחנו רואים את זה על חברות בישראל. אנחנו מדברים על איך אנחנו תופסים את אבטחת הסייבר, איך זה נתפס מבחינת הטקטיקות, פרקטיקות וכדומה. אנחנו נעלה כאן נקודות לדיון. בהמשך אני מצפה שאנשים כאן ישתתפו ויעזרו עוד. נתבקשנו גם לדבר על יחסי גומלין בין נציגי הפורום למערך הסייבר ואני אתייחס גם לנושא הזה. נושא אחרון הוא ה-GDPR שהוא נושא שנכנס לתוקף בחודש הזה. בסוף החודש הזה אנחנו כבר כולנו נהיה חשופים לנושא ולכן זאת גם הזדמנות להעלות את זה.

ברשותכם, אני אעביר לאלון רפאלי את רשות הדיבור.

תודה רבה. תודה לכל מי שהגיע ומארח אותנו כאן. סייבר טוגדר, אנחנו נציג את הארגון. זה ארגון בלתי תלוי, ארגון שבנינו אותו מתוך כוונה לבנות קהילה ואקו-סיסטם בין כל השחקנים הרלוונטיים לתעשיית אבטחת המידע מתוך כוונה לבנות קהילה חזקה סביב הוונדורים, סביב היצרנים שפונים לשוק הגלובלי, לבנות אשכול של חברות שיכול לקבל במה משותפת, שיתוף של מידע, שיתוף של הזדמנויות ולהנגיש אותו לצרכנים ולקהל היעד שלו בעיקר בחוץ לארץ באמצעות תשתית של מעבדת PRC, מעבדת טסטברג שעשינו אתה גם פיילוט ביחד עם חברות מובילות כאן בשוק, עם שניר מצ'ק פוינט, בני שניידר מ-רבלו שהיום הוא האורקל שאנחנו רצים על התשתית שלה. עשינו כמה פיילוטים, כמה יוס-קייסים בנושא הזה וראינו שיש צורך ויש עניין. בין השאר גם קיימנו פעילות שוטפת מול ארגונים בחוץ לארץ עם אירוח של מנהלי אבטחת מידע גלובליים מארגונים גדולים כמו בנקים שוויצריים, חברות תקשורת גדולות, ונדורים גדולים מתוך כוונה לחשוף פעילות עסקית של החברות הישראליות מולם.

ייצרנו תהליכים של אקו-סיסטם עם כל השחקנים הרלוונטיים כאן, גם מישראל וגם מחוץ לארץ שמשלימים בצורה כזאת או אחרת את כל התעשייה, תורמים בצורה כזו או אחרת לכל התעשייה.

בנינו את הארגון מתוך כוונה שהארגון יהיה פתוח ושקוף. הכוונה לבנות את זה כעמותה עם שקיפות.

כל מי שנמצא כאן חבר בארגון סייבר טוגדר?

עדיין לא בנינו את זה במודל של חברים. הרצנו את הארגון במודל של שיתוף של ידע, במפגשים של שיתוף של ידע. הייתה לנו גם פעילות משותפת עם החברים במסגרת הניסיון של האכיפה של יצוא מוצרי סייבר ועבדנו במשותף עם טל שטיין וטל גולדשטיין ממטה הסייבר. הייתה לנו עבודה מאוד פורייה ביחד. עשינו מפגשים עם התעשייה ועם אנשים. הצגנו את המודל של המעבדה למנכ"ל משרד הכלכלה, למדען הראשי וגם לאנשים במטה הסייבר בזמנו. הם מאוד אהבו את הרעיון וקיבלנו גם את ברכת הדרך.

מי שעומד כרגע בראש הארגון זה מר יאיר כהן שהיה מפקד 8200 ומנכ"ל אלביט סייבר. נמצאים כאן גם נציגים מהחברה. יושב ראש הארגון הוא רון מוריץ שהוא איש ותיק בתעשייה. אני אחד השותפים בארגון ויש אתי עוד אנשים כאן כמו מנחם, רונן, ישראל ועוד אנשים טובים שפועלים ביחד. הקמנו גם ועדות בתוך הפעילות של הארגון לנושאים משותפים. חלק מהאנשים שיושבים כאן חברים בוועדות.

זה חלק מהחברות והאנשים שנמצאים בחברות שעם הזמן שינו אתם פעילות משותפת. אני אתן דוגמה אחת. היה אירוע שלנו של מר סיירוס ונס שעומד בראש הפרקליטות של מדינת ניו יורק. דרך אגב, הוא הבן של ונס שהיה שר החוץ של מפעל קאפר. הוא היה כאן באירוע ב-גלובל סייבר אליינס, ארגון אמריקאי גדול שמתוקצב על ידי מדינת ניו יורק באמצעות כספים שמגיעים מההוצאה לפועל ועוברים לארגון הזה. המטרה של הארגון הזה היא לשתף בידע ומידע של איומי סייבר, בעיקר של אינדיקייטור קופרומייס. עשינו אתו אירוע מאוד מוצלח כאן בישראל. עשינו אירועים עם שאר החברות כאן.

יש כאן משהו שנראה לי מוזר. NYPD בין כל החברות האלה.

הם הגיעו יחד עם סיירוס ונס. הם הגיעו מהפרקליטות שלו. גם ה-סיצור של NYPD היה אצלנו באירוע. גם ה-סיצור של נשיונל אוסטרליין בנק היה אצלנו באירוע. דרך אגב, זה היה אירוע שהתארחנו באוניברסיטת תל אביב בדיוק עת הייתה התקפת קסאמים. הייתה לנו חוויה מאוד מרנינה אתם.

אנחנו רוצים לראות את הצרכים בשוק. אנחנו מאוד מבינים את הצרכים של התעשייה, בעיקר של הוונדורים שרוצים חשיפה מאוד נכונה ומאוד יעילה. לדוגמה, אחד הצרכים הוא בעצם לבנות אינטרפביליות, קישוריות, בין מוצרים ישראלים כדי להראות מטריה רחבה יותר ולייצר תחרות או לייצר יתרון תחרותי של התעשייה הישראלית מול מתחרים אחרים גדולים בשוק ועוד צרכים אחרים שאנחנו רואים אותם ומנסים לשתף כמה שיותר עם החברים.

נתחיל במיפוי איומי הסייבר. איומי הסייבר, החברות הישראליות. אנחנו ממפים אותם בארבע רמות.

דבר ראשון אלה תקיפות שהן גלובליות, שאין להן שום קשר לישראל. אלה קמפיינים של אי-מיילים שיכולים להגיע לכל אחד אחר למחשבים. אין לזה שום קשר לישראל אלא כל מי שיש לו אי-מייל או כל מי שיש לו איזשהו קובץ דרך האינטרנט, יכולים להגיע אליו. זה אנחנו רואים כמשהו שהוא גלובלי. אנחנו רואים את זה גם בישראל כמובן.

הדבר השני. אנחנו רואים תקיפה ממוקדת על החברה הישראלית. הבאנו לכאן דוגמאות. ניסיון סחיטה מול בנק יהב, אקטיב טריל, חברות ישראליות שחטפו מתקפות סייבר, כופרה ונזק. אנחנו רוצים להציג ולדבר על הסיכונים כשזה דווקא ממוקד לחברות ישראליות מסיבה שזו חברה עסקית. זאת אומרת, עסקית, אפשר לבוא ולקחת לה כסף, אפשר לבקש מהן דרישות כופר וכדומה.

בדרך כלל התקיפה היא דרך שרשרת האספקה או ישירות?

יכול להגיע גם מכאן וגם מכאן. אנחנו יכולים לראות תקיפה שנכנסת דרך אי-מייל ועושה את כל הדרך. מעטים יהיו המקרים שמישהו יבוא עם דיסק און קי ויפרוץ וישים את ה-דיסק און קי. אלה אותם האקרים שיושבים ושולחים את הסקפטים בכלים אוטומטיים ומחפשים את הפרצות איך להיכנס לתוך הארגון דרך הרבה פלטפורמות כי לכל אחד יש היום לפטוף, לכל אחד יש מוצרים שאפשר דרכם להיכנס. אלה תקיפות שמיועדות ספציפית על החברות הישראליות ואנחנו רואים אותן עכשיו. היו נזקים גדולים. לאחרונה אנחנו רואים רשויות בישראל ששילמו כופר על התשתיות שלהן.

אנחנו רואים תקיפות מסיבות טרור. זאת אומרת, תקיפות על ישראל, תקיפות שמונעים ממניעים פוליטיים. אנחנו רואים אותן כאשר פעם בשנה אנחנו רואים איזשהו ניסיון שכבר לא קיים היום. אופ יזרעאל ב-7 באפריל. אבל כל הזמן יש ניסיון לתקיפות סייבר, במיוחד כשיש אירועים גיאו-פוליטיים.

אנחנו רואים ניסיון של האקרים שיושבים ומכינים לעצמם את התשתיות שלהם והם עושים את התקיפות. לרוב זה מתואם ביניהם. זה יכול להיות בין קבוצה קטנה למספר קבוצות של האקרים שמחליטים שכרגע בגלל איזה משהו שישראל עשתה, אנחנו נשבית לה את האתרים, אם אתה אתרים של הממשלה, אתרים בדרך כלל של אקדמיה שאלה אתרים שסופגים הרבה. כל מה שמסביב מייצג את מדינת ישראל, זה בדרך כלל ברשימות המועדפות שלהם.

תקיפות של מעצמות תקשורת. כאן אנחנו יכולים לראות תקיפות שמגיעות ממדינות. הייתי שם את זה כתקיפות ממדינות. בועז ירחיב על תקיפות איראניות. דוח שהם הוציאו לאחרונה על תקיפות, ניסיון חדירה של איראנים לתוך לאנשי קשר ישראלים, לקחת אינפורמציה, להיכנס להם לתוך הנתונים. בועז ישמח להרחיב בנושא הזה אחר כך. דוח מאוד ממוקד שהם פרסמו והעלו את זה הלאה לגופים.

אלה דברים שאנחנו אוספים מהחברות כי כל חברה היא בעצם חברת סייבר לעצמה. לי יש את החברת סייבר שלי שעוסקת בהגנה. כל חברה רואה לעצמה. אנחנו יכולים לאסוף ביחד את כלמה שכל חברה רואה, אנחנו יכולים לרכז איזושהי מפה יותר רחבה על סוגי התקיפות, על מקורות של התקיפה, מי ינסה לתקוף, מה הסיבות שלו ואז נוכל לאסוף את כל המידע ולרכז אותו. אנחנו רואים את זה כחברות שרואות את התקיפה - - -

זה בדיוק התפקיד של מערך הסייבר. איך אתם משתלבים מול מערך הסייבר?

דבר ראשון, אני בתור חברה גלובלית, אני רואה תקיפות שקורות בחוץ לארץ, אני יכול לצפות שהן יבואו גם לארץ. זה משהו שאני כחברה גלובלית רואה. בארץ מסתכלים על תקיפות בתוך הארץ.

אתה רואה או שמגיעות אליך מתוך המערך התרעות לגבי תקיפות מסוימות? עדכונים שזה בדרך אלינו?

כן.

ואתם מרושתים יחד אתם.

כן. מערך הסייבר, אני חייב לציין שאנחנו רואים שיפור משמעותי. אנחנו מקבלים המון אינפורמציה ברמה של דילי מייל, ברמה של כמעט כל יום מקבלים עדכונים על תקיפות וכדומה. מערך הסייבר כמובן בעצמו ניזון מהחברות. זאת אומרת, יש כאן שרשרת של הזנה וריכוז של האינפורמציה ולהוריד את זה הלאה לשחקנים.

יש שקף על מערך הסייבר. כמו שאנחנו רואים, ברמה של איך אנחנו מול החברות. אנחנו בעצם עובדים מול הלקוחות שלנו. הלקוחות שלנו הם בדרך כלל חברות שקונות את המוצרים של החברות שלנו. מערך הסייבר בעצם מייצג את כלל החברות בישראל. אנחנו מסתכלים, כל החברות שהן יותר גלובליות, ואנחנו נדבר גם על שיתופי פעולה, איך אנחנו משתפים פעולה בינינו, בין החברות. זאת אומרת, מידע שיש לחברה אחת, צריך לעבור מהר מאוד לשאר החברות כי באמת שם אתה משתף את המידע ואתה יכול להיות מוגן יותר מהר.

אין הסתרה של מידע כדי להראות את הפגיעות של החברה או פגיעה כלכלית בחברה? אני מניחה שזה קורה לא מעט. צריך להגיד את זה.

זה נושא מאוד חשוב. אתה רוצה לומר כמה דברים, מצ'ק פוינט?

כן. מהצד שלנו בצ'ק פוינט וגם התעשייה. התעשייה הבינלאומית ולא רק בישראל מכירה את הבעיה הזאת ויש המון תהליכים כרגע שבין השאר חברות כמו IBM סקיוריטי מנסות להוביל על קונסולידציה. כלומר, לאחד את כל המידע בין החברות על אינדיקטורים, האינטלג'נס על מתקפות. יש מובמנט כללי שמתקרב לאותו כיוון. כמובן שחלק מהחברות עדיין מרגישות שהמידע על האינדיקטורים הוא משמעותי, אבל בסופו של דבר השאיפה היא שזה יהיה קמודיטייד וגם אנחנו בצ'ק פוינט בסופו של דבר מאמינים בגישה הזאת. לדעתנו היתרון התחרותי שלנו צריך לבוא מהטכנולוגיה של איך לאכוף ולא בהכרח את מה. אינטלג'נס לדעתנו זה משהו שבסופו של דבר יהפוך להיות קומודטי.

נקבל את חבר הכנסת רוברט אילטוב שמצטרף לדיון.

כמה דברים שאנחנו רואים על שיתופי מידע. אני יכול לספר שאני באופן אישי מוביל קבוצות ווטסאפ של מידע אינפורמטיבי. המידע הראשוני בדרך כלל קורה דווקא בין האנשים. זאת אומרת, איזשהו חוקר שמצא משהו, הוא יפרסם את זה, הוא יעלה את זה קודם לסביבה שלו, לסביבה התומכת, לקבוצות סייבר שמיועדות דווקא לנושאים האלה. אנחנו רואים את הפורומים האלה. אני זוכר שהקמתי את קבוצת הווטסאפ הראשונה לפני שלוש שנים לסייבר. זה היה בלתי אפשרי. אנשים ישימו את השם והטלפון שלהם בקבוצת ווטסאפ? זה היה נראה לא מציאותי כי כל אחד עם העבר שלו, היכן הוא שירת או משרת היום. באמת בהתחלה היו 20 אנשים אבל אחרי כן היה גל, 400, 500. כולם פתאום רוצים לשתף את האינפורמציה. פתאום כולם מבינים שזה תן וקח. יש כאן העברת אינפורמציה מאוד מהירה ושיתופי פעולה. זאת אומרת, אם מישהו מוצא פוגען חדש, הוא עלה את זה בקבוצה והוא אומר שזה הפוגען, מי יכול לחקור לי את זה. אנחנו עובדים בצורה מאוד יעילה אבל למרבה הפלא זה בתוך קבוצת ווטסאפ. זה בתוך פורומים כאלה מסוג שבין אנשים פרטיים.

מערך הסייבר אתכם בקבוצה?

יש נציגים. גם מאיר חיון מהמשטרה וגם נציגים מהמערך. מכל המקומות יש נציגים אבל אינפורמציה רצה הכי מהר במקומות האלה. זה מה שמפליא. זה לא דווקא דרך אינפורמציות שאתה מקבל את העדכון מחברה גדולה שמוציאה עדכון לכל הלקוחות, כי עד שהם מוציאים את העדכון, כבר עבר זמן ניכר שיכולנו להיפגע בו. ברגע שאנחנו יכולים לחשוף מאוד מהר, שם באמת מגיעה האינפורמציה. אנחנו רואים איזושהי פלטפורמה שהיא תחליף לאינפורמציה מאוד מהירה. פעם זה היה לשלוח את המייל והיום אנחנו מדברים ברמה של מיד, במקום כאשר יש לך את ההודעה ואת האינפורמציה.

אנשים לקחו את זה הלאה לחברות. זה גם גלובלי. אני לא עושה את זה בגלובלי. בגלובלי יש את זה בקבוצות טלגרמים עם עשרות אלפי אנשים שמשתפים פוגענים, אבל גם משתפים קודים של תקיפה. זאת אומרת, זה לא מקום שאתה מתחיל לשלוט במה שקורה שם. כאשר מדובר בקבוצות ווטסאפ של חברות ישראליות, אתה באמת יכול לקבל שליטה, מי נמצא, מי הוא ומה הוא.

אתה מכיר את כולם בקבוצה?

כן.

כי בקבוצה אפשר לקחת כמה קייס סטאדיס וללמוד איך לעקוף את הפוגענים הללו.

מה שיפה זה שאצלי אין אחד שנכנס בלי שאני יודע מי הוא. זאת אומרת, אני מקבל איזושהי שליטה מלאה על האנשים שלי בקבוצה ואם קורה משהו, תמיד אתה יכול לדעת מי הביא אותו כי כל אחד צריך לקבל המלצות. עשינו איזשהו מערך סינון כדי לקבל את האנשים.

נושא של מפגשים. אנחנו גם עושים בנוסף מפגשים פיזיים. חברות מציגות קייס סטאדי. מציגות איך הן מצאו איזושהי תקיפה. לבוא ולהציג את זה לתעשייה בפורומים סגורים, לאו דווקא באיזשהו כנס גדול עם הרבה אנשים אלא לבוא בפורום מצומצם לפי נושאים. מביאים את האנשים הרלוונטיים ואם זה חוקר שמצא את זה ומספר מה הוא מצא, איך הוא מצא ומה הדרך שלו. אנחנו עובדים גם עם התעשייה. מאיר חיון שלח נציגים לשם להציג איך באמת יחידת הסייבר במשטרה עובדת ואיך לשתף אתה פעולה. את כל הדברים האלה אנחנו כבר עושים.

כמה דברים לגבי מערך הסייבר הלאומי. כמו אמרנו, יש המון התחלות של שיתופי פעולה. זאת אומרת, החברות מעדכנות אותם, אנחנו מקבלים אינפורמציה יומית, אנחנו מאמינים שיש עוד אפשרויות. תמיד יש אפשרות שיפור. תמיד.

אתם קיימתם מפגש של הפורום הזה גם עם מערך הסייבר?

כן. מטה הסייבר אירח את הפורום בבאר-שבע. הגיעו 40 נציגים שהציגו לנו את ה-סרב, הציגו לנו את הפעילות, הציגו לנו איך הם רוצים שנשתף אתם פעולה. דברים זזים אבל יש להם קצב מסוים. חלק מהרעיון כאן הוא לעזור לזה לעלות שלב, להגיע לרמה יותר גבוהה ושיתוף פעולה יותר הדוק ולצאת אולי מפורמטים של ווטסאפים לפורמט יותר מסודר. בזמנו היו לי כמה שיחות בנושא עם החבר'ה של מטה הסייבר לקחת את הפורום ולהכניס אותו לתוך מטה הסייבר. אלה נושאים שאנחנו באמת רוצים אחר כך להמשיך ולקדם אותם.

בגלל שיש כאן המון ידע של חברות של סייבר, אנחנו נשמח לשתף בתכניות אסטרטגיות כמה שאפשר. אנחנו נשמח גם בחלק הזה לעזור.

השקף האחרון הוא נושא שנתבקשנו לדבר עליו, נושא ה-GDPR. הבאנו לכאן את רם לוי, אחד מהמומחים בארץ ל-GDPR שיכול להתייחס על הסיכונים שיש לחברות הישראליות בנושא. כרגע חברות ישראליות שמחזיקות מידע פרטי, מידע של אנשים מהאיחוד האירופאי, חשופים לתביעות. יש כאן נושאים ברמה אפילו יותר מורכבת, ברמה של חברות ביטחוניות ישראליות שהן תחת המטריה האת של ה-GDPR ורם לוי גם יוכל להתייחס לנושא. זה נושא עם אספקט ביטחוני, של מידע ביטחוני ישראלי.

הסיכון. הסיכון בכמה רמות. החברות שיעבירו את המוקדים שלהם לאזורים אחרים בגלל הרגולציה שתופסת כאן. אנחנו רואים כאן עוד נושא של חברות ישראליות שהתמודדו עם סיכונים, אם זה עבור כופרה בנושא. זאת אומרת, מישהו יכול להיכנס להן לדאתה בייס ואז לאיים שאם לא ישלמו לו את הכופר, הוא ישלח את זה לשם.

היה בחוף אשקלון. במועצה האזורית.

ברוך הבא חבר הכנסת חיים ילין.

הם שילמו כופר. זה גם אתר שמחובר לחוסן, לעוטף עזה ולקבוצות של כל המועצות בעוטף עזה.

הם שילמו?

שילמו. זאת רק ההתחלה.

אני מנכ"ל חברת ייעוץ קונפידס ושימשתי בעברי כמזכיר של המיזם הקיברנטי הלאומי של ראש הממשלה ולאחר מכן יועץ וחבר בוועדה הלאומית למחקר ופיתוח סייבר של המועצה הלאומית למחקר ופיתוח. כך שאני מכיר לא רע את מה שקורה גם ברמה הלאומית וגם היערכות ברמת המחקר והפיתוח במדינת ישראל, וכיום בצורה די טובה מה שקורה בחלק מהגופים הגדולים ביותר במדינת ישראל לרבות במערכות הפיננסיות המוסדיות, תשתיות קריטיות כאלה ואחרות.

בנוגע ל-GDPR, אני יכול לתת על זה סקירה, אבל קפצתי זה מאוד חשוב. מדברים על דיווח על פריצה. בדרך כלל מה שאנחנו חושבים עליו זה שאנחנו נודיע על דלף מידע אבל חובות הדיווח ב-GDPR הן הרבה יותר רחבות מזה. דאתה בריג' ב-GDPR הוא כל שינוי, בין אם הוא מורשה או לא מורשה למידע. זאת אומרת, אם מערכות בבית חולים נפלו ל-30 שעות וכתוצאה מזה חולים לא קיבלו טיפול כי לא הייתה נגישות למידע שלהם, בגלל שלא היו נגישים למידע, לא היה אפשר לממש את הזכויות שלהם לקבל טיפול רפואי וכתוצאה מכך יש חובת דיווח כפולה, גם לרשות – וכאן השאלה מי היא הרשות ותכף נדבר על זה – וגם לנושא המידע בעצמו כי נמנעו מהם זכויות.

אותו דבר לגבי כופרה, כי מה כופרה עושה? היא בעצם חודרת למחשב והיא משנה את הקבצים. זאת אומרת שמישהו היה יכול לגשת לקבצים. זה שהוא בחר לא להסתכל בהם ולהצפין אותם כדי לקבל כסף, זאת כבר שאלה אחרת אבל מבחינת ה-GDPR אתה מחויב בדיווח. אם אתה מחויב בדיווח נגיד ל-100,000 או 200,000 אנשים, יש לזה עלויות אדירות. זה עולה הרבה כסף לדווח. בארצות הברית התפתחו תחומים שלמים של ביטוח סביב חובות הדיווח כי אתה אומר שנגיד חובת הדיווח תעלה לי סדר גודל של 10, 15 דולר למשתמש, תעשה את המכפלות. 100,000 אנשים, זה בערך מיליון, שני מיליון דולר. זה כבר הופך להיות אירוע. במקום 20,000 שקלים ששילמת על הכופרה, זה 20,000 שקלים כפול עלות חובות הדיווח פלוס התביעות שתקבל אחר כך וזה הופך להיות אירוע מאוד מאוד בעייתי לכל הארגונים.

זה נקרא חוק המאכערים ב'.

אני חושב שחוק ה-GDPR הוא חוק טוב כי בפעם הראשונה מדובר כאן על חוק שבעצם מבטיח שהזכויות של אנשים על המידע האישי שלהם יישמרו. יש לחוק הזה שיניים. הוא מחייב ארגונים לעשות בדק בית מאוד משמעותי לגבי איזה מידע הם אוספים. הם צריכים לתעד את זה. הם צריכים להגדיר מה הבסיס החוקי לאיסוף המידע. הם צריכים לעבוד לפי עקרונות של מינימליזציה, של הצפנה. הם לא יכולים לעשות יותר מה שהם רוצים. ארגון שאוסף מידע על אזרחים אירופאיים או מוכר שירותים או מוצרים לתושבים אירופאיים, חייב לעמוד בקריטריונים האלה. אם אנחנו רואים מה קרה לדוגמה עם פייסבוק, אנחנו מבינים שזה דבר טוב כי המשתמשים היום לא יודעים מה אוספים עליהם. הם לא יודעים מה עושים למידע שלהם. ה-GDPR אומר מספיק. אם אתם אוספים מידע, אין שום בעיה, אתם תוודאו שיש לזה בסיס חוקי, אתם תוודאו שהמשתמשים יודעים מה אתם עושים.

ואם הם לא וידאו את דברים הללו, האם המידע הזה יימחק? חוץ מתביעה כספית, האם יש כאן היבט פלילי?

קודם כל, יש כאן היבט מינהלי. ב-GDPR יש שני סוגים של קנסות. הקנס הראשון הוא 10 מיליון יורו או שני אחוזים מהמחזור, הגדול מביניהם. הקנס השני על אי ציות הוא 20 מיליון יורו או 4 אחוזים מהמחזור, הגדול מביניהם. זה בעצם איום הייחוס הגבוה ביותר כמעט לכל הגופים בעולם כי אין כמעט מתקפת סייבר שיכולה להביא ארגון להוציא כל כך הרבה כסף. יש קנס שמאיים עליהם יותר מהמתקפות עצמן. זה אומר שלחוק הזה יש שיניים.

הוא גם מייצר זכויות חדשות שלא היו קיימות קודם. עד היום, נכון, גם בחוק הגנת הפרטיות הישראלי יש לנו את זכויות האיום וזכות המחיקה, מה שהאירופאים קוראים הזכות להישכח, אבל כאן יש זכויות חדשות כמו לדוגמה הזכות להעברת המידע. את יכולה היום לבקש מפייסבוק שיוריד לך את כל המידע שלך בפורמט נוח, קריא וכולי תוך 30 ימים ואת יכולה להעביר אותו לחברה מתחרה. יש לזה השלכות אדירות כי זה יכול להיעשות, כמו שזה נעשה עם פייסבוק מול כל חברה שפעילה באירופה. את יכולה נגיד להתנגד לכך שיתקבלו החלטות אוטומטיות בפעולות עיבוד, שלא יתבצע פרופיילינג עליך. נגיד חברת פרסום עושה פרופיילינג כדי לדעת, כי הרי מה היה הסיפור עם הבחירות בארצות הברית? אנשים לא משנים את דעתם הפוליטית אבל אם אני יודע שאוכלוסייה מסוימת היא דמוקרטית ויש באוכלוסייה הזאת אנשים שאם אני עכשיו אשכנע אותם שלא משנה מה הם יעשו וגם אם הילרי קלינטון תיבחר, מצבם לא ישתנה – הם לא יצאו להצביע. זאת אומרת, אני משפיע באמצעות העברת מסרים על ההתנהגות שלהם ומה ההתנהגות שאני רוצה? שהדמוקרטים לא יצאו להצביע והרפובליקאים כן. זאת אומרת, לא שיניתי תפיסת עולמם אלא שיניתי את ההתנהגות שלהם.

אותו דבר נכון לגבי פרסום. אני משפיע עליך באמצעות זה שאני דוחף לך כל הזמן מסרים באופן אוטומטי באמצעות זה שאני עושה לך פרופיילינג, אני עוקב אחריך באתרים שאתה גולש בהם, אני רואה מה אתה עושה באתרים שלי, ואז אני מייצר תבנית ואז אני מייצר לך תכנים. GDPR אומר לא. אם אתם עושים את זה, אתם תגידו את זה למשתמשים, אתם תשקפו את זה בשפה שהיא פשוטה ולא משפטית כזאת ב-טרמס אוף יוז שכולם קוראים ואף אחד לא מבין מה הם עושים.

הדוגמה שאני יכול לתת היא הדוגמה של אפל. כשאנחנו מפעילים את ה-וויז ואנחנו פתאום מקטינים את המסך, הוא כותב במסך אדום: שים לב, וויז לוקח לך את המיקום כל הזמן. זאת פרטיות. זאת דאתה פרוטקשן. אגב, GDPR הוא לא פרטיות. זה דאתה פרוטקשן. המילה פרטיות מופיעה פעמיים בכל הרגולציה. למה? כי האירופאים אומרים, מה פתאום? אנחנו מסתכלים לא רק על הפרטיות שלך אלא בכלל איך החברות מגנות על המידע, איך הן שומרות עליו, איך הן מעבירות אותו ממקום למקום, איך הן דואגות שלא אוספות יותר ממה שהן צריכות. זה כל ההיבטים שקשורים בהגנה על המידע ולא רק דלף מידע אלא זה דלף, שמירת המידע מדויק, שמירה שהוא לא יגיע לצדדים שלישיים.

בחקיקה שלנו - מערך הסייבר יידרש לעניין הזה - האם היא תהיה על הבסיס הזה? האם היא צריכה לינוק מהחקיקה האירופאית? ועוד שאלה. האם יש הבדל בין החקיקה האירופאית לחקיקה האמריקאית?

התשובה כל השאלות היא כן. אנחנו עשינו השוואה מקיפה בין חוק הגנת הפרטיות והתקנות לאבטחת מידע שנכנסות ממש עוד שבוע לבין GDPR. יש חפיפה די גדולה ביניהם ואזורים בהם אין חפיפה כמו לדוגמה חובות הדיווח שבחוק הישראלי זה רק לרשות להגנת הפרטיות וב-GDPR זה לנושא המידע. זאת אומרת, לאנשים עצמם. יש זכויות כמו היכולת להתנגד לפעולות עיבוד, מה שלא קיים בחוק הישראלי.

יש כאן שתי שאלות. השאלה הראשונה היא האם החקיקה הישראלית תיישר קו עם החקיקה האירופאית והשאלה השנייה היא מה יקרה אם לא. היום ישראל היא אדיקווט קאונטרי, זאת אומרת שאפשר להעביר מידע בין ישראל לאירופה. אם ישראל לא תהיה אדיקווט קאונטרי, המשמעות של זה – אני לא רוצה להתבטא כאן במילים חמורות – יכולה להיות הרסנית כי לא ניתן יהיה להעביר מידע לאירופה מבלי לעגן את זה באישורים קבועים מראש, ב-... בתוך החברות שעובדות. ישראל בנויה על יצוא. לא רק שהיא בנויה על יצוא אלא היא בנויה על יצוא מתן שירותים ופיתוח מוצרים שנמכרים לשוק האירופי ולשוק האמריקאי. המשמעות שאם אנחנו לא ניישר קו עם האירופאים ולא נמשיך להיות אדיקווט קאונטרי, כמו שעכשיו קרה עם הברקסיט. יצא גילוי דעת של האיחוד האירופי, של ה-ווקינג פרטי שהוא בעצם מפרשן את ה-GDPR, שהחל מ-2019, אלא אם כן האנגלים יסדירו באמצעות הברקסיט את זה שהם יהפכו ללא אדיקווט קאונטרי, חברות לא יוכלו לשמור מידע באנגליה. זה דבר שהוא מסוכן מאוד.

יותר מזה, וכאן יש בעיה שאני רוצה להציף אותה שהיא יותר משמעותית. חברות באירופה צריכות לבחור את הרגולטור מולו הן עובדות כי בעצם GDPR הוא רגולציה. זאת לא דירקטיבה. זה אומר שלא צריך לאשר אותה במדינות והיא חלה באופן אוטומטי ומדינות יכולות להחמיר, כמו לדוגמה גרמניה שהחמירה. ה-GDPR קובע שגופים לפי קריטריונים מסוימים צריכים למנות מה שהם קוראים קצין הגנת פרטיות. קצין הגנת הפרטיות הזה הוא תפקיד בכיר, הוא מדווח להנהלה הבכירה, אסור לפטר אותו בגלל תפקידו, זאת דמות מאוד מאוד בכירה שהוא בעצם אחראי על יישום הרגולציה בתוך הארגון, הוא עובד מול נושא המידע, הוא עובד מול הרשויות. בגרמניה החליטו שכל ארגון מעל 10 אנשים חייב למנות DPO. זאת דוגמה להחמרה.

זה תפקיד בפני עצמו?

תפקיד בפני עצמו.

זה תפקיד בנוסף לתפקידו?

זה תלוי. זה יכול להיות נוסף על תפקידו. הוא יכול לעשות באמצעות חברה חיצונית ובחלק מהמקרים תהיה לו כל כך הרבה עבודה שלא תהיה לו ברירה אלא למנות DPO כי יש לו סמכויות מאוד משמעותיות. בעצם הוא חייב להיות מעורב בכל תהליך ניהול הסיכונים בתחום הגנת הפרטיות והסייבר בחברה. זה תפקיד מאוד מאוד משמעותי.

דוגמה להחמרה. כל ארגון צריך לבחור את הרשות מולה הוא עובד וזה נקבע לפי המקום בו נמצא מרכז העסקים. השאלה היא כזאת: לחברה ישראלית, איפה מרכז העסקים שלה באירופה? היינו מצפים שהרגולטור יהיה הרגולטור הישראלי והוא יעזור לה בחוק שבאמת הוא מורכב. זה כמעט 200 עמודים בפונט 8 שרק להבין את זה לוקח שנתיים. לחברות הישראליות אין רגולטור. אין להן למי לפנות. יותר מזה, הרשות להגנת הפרטיות – שאני חושב שהיא עושה עבודה מצוינת ויש שם אנשים נפלאים – שותקת בנושא ובעצם משאירה את כל החברות הישראליות שפעילות באירופה, שמוכרות שירותים לאירופה, להסתדר לבד. זה מצב שהוא לא טוב. כי הוא בעצם מייצר עכשיו חוסר הוגנות מול החברות המקבילות האירופאיות שלהן ברור מה הן צריכות לעשות ולהן יש רשויות., אתם צריכים לראות לדוגמה מה עושה הרשות להגנת הפרטיות האנגלית. היא מייצרת חומרים, דוגמאות, פורמטים, פמפלטים ובעצם עוזרת לחברות שלה, כמובן קו חם להתייעצויות. כאן אנחנו עושים כאילו הרגולציה לא קיימת כך שהיא חלה על אלפי חברות בישראל, אני לא מדבר בכלל על סטרט-אפים שמוכרים שירותים לארצות הברית וזה יכול לפגוע בנו בצורה לא טובה. אני מדבר מדם ליבם של החברות.

אנחנו פשוט נמצאים שם ואנחנו רואים כמה קשה ההתמודדות והפרשנות עם חלק מהסוגיות. לדוגמה, איפה ממנים את קצין הגנת הפרטיות. האם הם שמים אותו באירופה כי האירופאים ממליצים שהוא ישב באירופה? או שמים אותו בישראל? כדי לשים אותו באירופה, אני אומר לכם שזה מצב לא הגיוני. דמות כל כך בכירה לא יכולה לשבת רחוק מליבת הארגון או לדבר בעברית. היא צריכה לשבת כאן, היא צריכה להיות מעורבת בתהליכים הפנימיים, היא צריכה לקדם תרבות של הגנת מידע. לא מקדמים תרבות שם.

זה הנושא שבעצם הכי מטריד אתכם. הנושא הזה שאין את ההסדרה ברמה של המדינה, ברגולציה, אלא שכל חברה נשארת להתמודד עם העניין הזה באופן עצמאי.

לא. זה נושא שהכי מטריד אותנו בכל מה שקשור להגנת הפרטיות ועבודה מול האיחוד האירופי.

לסוגיה הזאת אני מתכוונת. אנחנו נידרש לזה בהמשך.

אני חושב שזה צריך להטריד אותנו כי ההשפעה של זה על המשק הישראלי היא מאוד מאוד גדולה. כל החברות הכי גדולות בישראל שעובדות באירופה צריכות לעמוד ברגולציה הזאת ואסור להתעלם מזה.

העניין ברור.

סיימנו את המצגת. אני רוצה להעביר את רשות הדיבור לבועז שאולי יוכל להתייחס דווקא לנושאים של האיראנים, הפעילויות שהם עשו עכשיו.

אני מנכ"ל חברת קלירסקיי. אנחנו בעצם מספקים מודיעין סייבר להרבה מאוד חברות בישראל. אי פעם בעבר, עת הייתי צעיר וקצת פחות שמן, הקמתי את מערך האבטחה של ממשלת ישראל, פרויקט תהילה בממשל זמין.

אני רוצה ברשותך לומר מילה לגבי ההבנה שלכם לגבי גבולות הגזרה. שאלת כמה פעמים האם זה מערך הסייבר עושה. אני רוצה לתת הקבלה לעולם הפיזי. בעולם הפיזי שלנו יש את מדינת ישראל. למדינת ישראל יש גבולות ובגבולות המדינה ניצבים כוחות הביטחון. לצורך העניין, אם נקביל את זה למערכות הסייבר, נמצאים שם אנשי 8200, נמצאים שם אולי אנשי המוסד ואולי גופים אחרים. כשאנחנו נכנסים לפנים המדינה, בתוך המדינה עצמה מי שמגן על הביטחון זאת בדרך כלל משטרת ישראל. גם כאן בתוך המדינה משטרת ישראל עושה את התפקיד שלה בדרך כלל נגד פושעים שהם פושעים מקומיים. אבל לכל אחד מאתנו יש בית ויש חברה. על הבית שלנו אנחנו מגנים. אנחנו דואגים לנעול את הדלת עם מפתח, אנחנו דואגים להתקין אזעקה, אנחנו דואגים שבמכונית שלנו תהיה אזעקה, אנחנו בעצם אחראים כאזרחים לאבטחה הפיזית שלנו.

אותו דבר צריך להיות גם בנושא הסייבר אבל צריך לזכור שכל אזרח או חברה, גם מעסיקה איזושהי חברה שהיא חברת אבטחה פרטית שבעצם בודקת את הטלוויזיות שלה, בודקת את מקום המגורים ואם נשווה את הדבר הזה לעולם שבו אנחנו נמצאים בסייבר, זה בעצם המקום שבו חברות האבטחה הפרטיות נמצאות.

צריך להיזהר מאוד, איפה בעצם הבעיה. כמובן שנמצא כאן גם מערך הסייבר שהוא מנסה לתאם בין הגופים ואני לא אכנס כרגע לעניין הזה. אני רוצה שתבינו שיש הרבה מאוד רמות ובכל רמה יש בעצם גוף שאחראי על הרמה הזאת ולא להגיד האם זה בעצם עושה מטה הסייבר. זה כמו שנגיד שאזרח שיוצא מהבית, ישאיר את הדלת פתוחה כמו בקיבוץ ויגיד שמשטרת ישראל צריכה לדאוג לו. לא. כל אחד מאתנו וכל גוף, יש לו את מנגנוני ההגנה שלו ולכן יש מקום למטה הסייבר ולמערך הסייבר ויש מקום לחברות הפרטיות וכל אחד עושה.

באנלוגיה שלך נקודה אחת. זכותי להשאיר את הדלת שלי פתוחה ולא להגיד משטרת ישראל תגן עלי. בעולם הסייבר, אם אני משאיר את הדלת שלי פתוחה, אפשר להיכנס גם לבית שלך.

נכון. אני ממש מנסה לא להיכנס לפרטים כי יש הרבה מאוד דברים לא נכונים באנלוגיה שאני אומר.

מכיוון שיש כאן קישור, ויש כאן קישור לא רק מגוף פרטי לגוף פרטי אלא יכול להיות גם קישור מגוף פרטי לגוף לאומי.

אני ממש מסכים. אני אומר עוד דבר. איפה האתגר הגדול? האתגר הגדול הוא שמחר בבוקר סיני, כדי להגיע לבית שלו בגילה, מה שהוא יצטרך לעשות זה להגיע קודם כל לגבול של מדינת ישראל, לעבור אותו, להגיע לעיר, אז להגיע לשכונה ואז להגיע לבית שלי. לעומת זאת, בסייבר הסיני יכול להידבק לי ישירות על המחשב עכשיו כשאני יושב כאן ואין בעצם שום דבר שמפריד בינו לביני. זאת אומרת, כל מעגלי ההגנה הפיזיים שבעצם נבנו במשך מאות שנים, בסייבר לא קיימים. זה גם אומר שכל הגופים שמתעסקים היום בדבר הזה - - -

אתה מתמודד עם חברות בינלאומיות שזה הרבה יותר קל.

זה אומר שבעצם התקיפות יכולות להגיע בכל רמה שהיא מכל מדינה שהיא ולהיכנס ישירות למחשב שלי שנמצא כאן היום בדיון שלנו. כל אחד מהגופים, כולל החברות הפרטיות, נאבק היום לא רק בפושע שיושב עכשיו בצד השני של החדר אלא הוא יכול גם בטעות להחליט שהוא נאבק בסיני שיושב כרגע בסין. לכן יש איזושהי חפיפה ויש טיפול משותף. צריך להבין שיש הרבה מאוד התמחויות בתוך הדבר הזה. התחושה שלנו, של החברות, היא שאנחנו צברנו הרבה מאוד ניסיון במהלך השנים האחרונות ואנחנו דווקא עוזרים למערך הסייבר. בתוך הדבר הזה צריך להבין בעצם את המערך העדין של הדבר הזה וכמובן שיש כאן רגולטורים כמו נגיד סקטור הבנקים שם יש את המפקח על הבנקים שגם הוא דואג לזה שיגנו על הסקטור. זאת אומרת, יש הרבה מאוד גופים שמתעסקים בעניין הזה בגלל החשיבות המאוד גדולה. בעצם, נקרא לזה, ליבת החיים שלנו היום היא מערכי מידע. זה כל מה שיש שם. גם בנקים, הם בעצם מערכי מידע.

אם אפשר להתפרץ בהערה. אתה מעלה נקודה מאוד חשובה אבל אני רוצה לעזור לך לעזור לנו מזווית ראייה של מחוקקים. אנחנו, כשאנחנו מסתכלים כמחוקקים, אנחנו תמיד מסתכלים על אחריות שיורית ואחריות ייעודית. אם אני לוקח את הדוגמאות שנתת, בישראל יש שני גופים ביטחוניים שיש להם אחריות שיורית וכל השאר זאת אחריות ייעודית. משטרת ישראל היא עד הקו הירוק וצה"ל הוא מהקו הירוק עד קצה העולם. תיקח את הנושא הזה ותנסה רגע להסביר לנו במונחים שלך איפה אתה רואה אחריות שיורית מבחינת גופים, מערכות, ואיפה אתה רואה אחריות ייעודית כי אחרת לנו קשה מאוד להבין איפה לעזור לך.

ראשית, אני יכול לומר את זה אבל אני מעדיף לא לעשות את זה בפורום הפתוח הזה. אם תרצו, אני אשמח לעשות את זה אבל לא בפורום הזה. אני כן חושב שיש לנו איזשהו סוג של בעייתיות במערך או במה שנבנה היום. איכשהו זה לא הסתדר שם עד הסוף אבל אני ממש מעדיף לא לעשות את זה כרגע.

אני כן רוצה להגיד כמה דברים לגבי התקיפות על מדינת ישראל.

אם תוכל להעביר לנו את ההתייחסות הזאת בכתב, אני אודה לך.

כן. ודאי.

התקיפות הקריטיות שהיום מתרחשות במדינת ישראל מגיעות מהאויבים שלנו. לצורך העניין, האיראנים ומדינות אחרות. הן בעצם הדבר העיקרי. דרך אגב, זה מופיע אצלנו בשקף בתקיפות של מדינות וארגוני טרור מול אזרחים וארגונים. זה בעצם פחות או יתר הדבר שאנחנו רואים כנקודה הקריטית שצריך לשמור עליה. ציינת נושא של שרשרת האספקה - מתווה התקיפה של האיראנים, כפי אנחנו רואים את זה בשנים האחרונות, זה דרך שרשרת האספקה. לכן יש חשיבות רבה.

כאן אני אומר עוד איזושהי הסתייגות. לצורך העניין, אם רוצים היום שבנק ישמור גם על כל החברות שנמצאות כאן בשרשרת האספקה, זה מבחינתי משהו שהוא לא הגיוני. לא יכול להיות שבנק עכשיו יהיה אחראי על 1,000 עד 3,000 גופים של בעצם שרשרת האספקה שלו כדי לטפל באבטחה שלהם. לכן אם יש איזושהי רגולציה שאומרת שהבנק חייב לוודא שכל אחד מהגופים שנמצא בשרשרת האספקה יעמוד בכללי אבטחת מידע, אני חושב שיש כאן טעות גדולה וזה צריך להיעשות בצורה שונה. ברור לחלוטין ששרשרת האספקה היא נקודה קריטית אבל היא לא הנקודה היחידה.

אנחנו מיפינו - וגם כאן אני אשמח להעביר את המסמך – את כל הנקודות, נקרא לזה, הרגישות שדרכן אפשר לתקוף היום אזרח, עובד, חברה ואפילו מדינה. מדובר כרגע במשהו כמו 100 נקודות. קשה מאוד לעשות את ההגנה הזאת. צריך להבין שהתוקפים היום הרבה יותר קל להם לתקוף מאשר למגנים להגן. למה? כי אנחנו עובדים כל הזמן עם הטלפון וכמה שאתם תגידו שאתם משתחררים מהטלפון כל היום, ברור לחלוטין שזה הכלי העיקרי היום של אזרח בעולם החדש ואחרי כן יש את המחשב ואחרי כן את מערכות המחשוב וקשה מאוד להגן עליהם. לכן צריך לעשות הרבה מאוד הפרדות בין העולמות השונים כדי לנסות להגן על המידע שלנו.

הדברים שאנחנו רואים עכשיו, אלה בעיקר תקיפות שמגיעות ממדינות אבל יש כבר כניסה מסוימת של ארגוני פשע, דברים שלא ראינו בשנים האחרונות. פשיעה שמגיעה מרוסיה ושבשנים האחרונות כמעט ולא הייתה והיא מייצרת הרבה מאוד תקיפות של רן-סמוור. דרך אגב, אני רואה את רן-סמוור, תקיפות הכופרה, כדבר מדהים. למה? כי זה מחייב את כל החברות שבמשך שנים לא עשו שום דבר בנושא של אבטחת מידע, מחייב אותן כרגע לייצר מערך אבטחת מידע. לצורך העניין, זאת רגולציה הלכה למעשה. לכן אני מאוד שמח כי אני חושב שזה הכניס, נקרא לזה, פחד בלב החברות שהוא לא קשור לרגולציה ולא קשור לזה שאתם מנסים לייצר כרגע חקיקה חדשה. לכן הלכה למעשה זה אחד הדברים הטובים שקרו. אבל ברור לחלוטין שמי שכרגע עושה את הדבר הזה, זאת לא המטרה שלו. המטרה שלו היא פשוט לייצר מכונת כסף ולהכניס כסף. לכן כמות התקיפות הרבות יותר מול חברות בישראל בשלוש השנים האחרונות, אלה תקיפות כופרה. אנשים מצפינים להם את הנתונים, הם צריכים לשלם כסף, לרוב הם משלמים כסף ובעצם ברוב הפעמים גם מצליחים לפתוח חזרה את הנתונים.

על אותם נתיבים. זה כמובן יכול להיות גם לכופר מסוג שונה לחלוטין, להפעלת לחץ על גופים. היום זאת כופרה.

נכון. ברגע שנכנסת לתוך ארגון, אפשר לעשות שם כבר מה שרוצים. זה ברר.

אני אומר את הדבר האחרון. צריך גם לא להתעלם מהנושא של תקיפות שהן ברמה של מעצמות. רוסיה, סין ואחרות. כאן יש בעצם מרחב פעולה שהוא ממש לא נמצא במקום של החברות הישראליות. לצורך העניין, זאת הגנה מדינית, זה נמצא שם וזאת פעילות שהיא מאוד קשה, מאוד כבדה וגם כמובן עתירת תקציבים.

בסך הכול אני חושב שאם מסתכלים על מדינת ישראל – ואני אומר כאן שבדרך כלל אני מאוד ציני ומאוד פסימי – בחמש השנים האחרונות, מדינת ישראל עשתה הרבה מאוד צעדים מאוד מעניינים כדי להיות יותר מוגנת בסייבר מאשר קודם. אני חושב שאנחנו התקדמנו מאוד יפה בעניין הזה.

תודה לך. מערך הסייבר, בבקשה.

את חלקכם אני מכירה ואת חלקכם פחות. אנחנו מאוד מברכים על ההזדמנויות האלה שעוזרות לנו מאוד לדעת ולהבין מה עולה מתוך התעשייה, אילו סוגיות צריכות עוד להיות בטיפול משמעותי, ואני רוצה לומר שהווריאטי הזה שחלקו נשמע כאן וחלקו אנחנו רוצים עוד לשמוע, וגם את אלה שלא בחדר, הוא מאוד חשוב לנו. ככל שעובר הזמן ומתקדמות הפעילויות, אנחנו למדים שהוא חסר. ככל שנשמע יותר קולות ויותר אפילו שוני בין דעות, זה מאוד עוזר לנו גם בכלים שאנחנו מפעילים. אנחנו ממש לומדים את זה דרך הרגליים. היכן ששמענו יותר והיינו קשובים יותר, ראינו שהשכל ממש לא בצד אחד של השולחן ואנחנו עושים את זה הרבה. זאת אומרת, שיתופי ציבור בכלל, זה משהו שהוא ממש נר לרגלינו ואנחנו מאוד מאמינים בו, לא כי צריך אלא כי פשוט זה עושה את העבודה שלנו יותר טובה.

אני רוצה להתייחס לכמה מהדברים שאמרתם. הראשון קשור לשיתופי ידע בכלל. נעשים לא מעט מאמצים בעניין הזה. כמובן נציג לכם אותם בצורה מסודרת. אנחנו חברים בחלק מקבוצות הווטסאפ שתיארת ומעבר לזה יש מערכות לשיתוף ידע שאנחנו מנהלים בהתפתחות. ככל שעובר הזמן, יש יותר גורמים שלוקחים בהם חלק. מה שתואר כאן קודם על הדלת הפתוחה, חבר הכנסת שלח ציין, אנחנו, ככל שהזמן עובר, רואים שמורל האזרד הוא סיכון מוסרי, שזאת בערך התופעה שתוארה כאן, זה משהו שהתעשייה לא לוקחת בו חלק. זאת אומרת, יוצאים מנקודת הנחה שחברה מתעסקת במה שקורה אצלה ופחות מתעניינת במה שקורה במרחב, אז התעשייה הישראלית היא תעשייה אחראית ואכפת לה שהדלת שלה תהיה סגורה לא רק בשבילה אלא גם בשביל הסביבה שלה. אנחנו רואים את זה בשיתופי הידע. אנחנו רואים את זה במה שאנחנו מתעדכנים מהחברות. אנחנו רואים את זה במה שאנחנו מעדכנים. מנסים כמה שיותר להפיץ. יש גם "אזהרות מסע", כאלה שאנחנו מוציאים באתר ואפשר ליהנות מהן ולהשתמש בהן ואנחנו רואים היענות כאשר ברגע שאנחנו מעלים משהו, מיד משתמשים בזה ועושים. היו כמה וכמה אירועים כאלה שראינו שהפרסומים שלנו מנפיקים. גם משהו שהוא יותר עתי או יותר נקודתי לתוך מערכות מסוימות, בדרך כלל אנחנו עובדים לפי מגזרים והכוונה במגזרים לפלחים של המשק הישראלי וזה כמובן לפי תעדוף ולפי רמת האיום, דברים שהם כמובן יותר מורכבים. אבל יש כמה רמות בעולמות שיתוף הידע שאת חלקן אני מניחה שאתם מכירים גם מתוך העשייה והשיח אתנו. בפירוש יש שיתוף, גם כאלה שהם רחבים מאוד, גם כאלה שהם יותר ממוקדים וככל שעובר הזמן צריך לעשות יותר מזה ואנחנו יודעים את זה וגם פועלים בכיוונים האלה. ברור לנו שזה ערך הדדי.

תוכלי להתייחס לנושא של החקיקה האירופאית?

כן. ה-GDPR. קודם כל, אנחנו עושים עבודה היום לגבי שתי סוגיות שהולכות ביחד, חובת הדיווח במדינת ישראל וביטוח. אנחנו מבינים את יחסי הגומלין ביניהן. אנחנו עדיין בתוך העבודה הזאת. נשמח לשמוע גם אותך וגם אחרים שיש להם מה לתרום לעבודה הזאת שהיא ממש עכשיו על השולחן .

לגבי החקיקה הישראלית, אנחנו נבוא ונדבר על הקשרים הרלוונטיים, כן או לא, בהתייחס למה שקורה באירופה. הרגולטור הרלוונטי הוא רמות אבל אנחנו כן רואים את עצמנו כמי שאמורים לעזור לזה. אנחנו בפירוש לוקחים מהשולחן הזה וחושבים מה לעשות.

צריך לומר באופן כללי שהעולם כולו מסתכל ותוהה. זאת אומרת, אולי תיארת את הבריטים, אבל האמריקאים, דווקא אנחנו חושבים שהם באותה היערכות פחות או יותר כמו בארץ. יש איזו תהייה כללית וזה קורה בדרך כלל בסיטואציות כאלה של השנתיים הראשונות שעוד מנסים להתארגן ולהיערך ולהבין איך לגשת, ואנחנו מבינים שיש כאן אתגר. אנחנו מבינים את זה ובפירוש יש לנו אינטרס כמו שלכם שתצליחו לפלח את השוק הזה ושזה לא יפריע, שזה לא יהיה משהו שמפריע אלא להפך.

מי מקדם תקינת סייבר?

תקינת סייבר מנוהלת בגדול על ידינו. אנחנו עושים את זה הרבה פעמים בשיתוף עם מכון התקנים. יש כמה מהלכים כאלה שאנחנו עושים בימים אלה.

החברות נמצאות בלופ הזה?

באזורים הרלוונטיים. לא תמיד זה משויך ישירות לפעילות הזאת אבל בפירוש כן.

דבר נוסף שרציתי לומר הוא על בכלל שיתוף הציבור. אולי אבירם ידבר על תורת ההגנה שלנו שכבר פורסמה לציבור ונראה לי שגם נכון להתייחס אליה.

ראש מרכז תורה וביקורת במערך הסייבר. אנחנו אחראים בין היתר על פרסום תורת ההגנה לארגון שפורסמה לפני שנה. אנחנו מוציאים הרחבות מקצועיות, מוציאים בסט-פרקטיסס, זאת אומרת, מסמכים יישומיים איך להקשיח ולהגן על טכנולוגיות מסוימות, על פתרונות מסוימים, וכל תהליך העבודה הזה, גם של פיתוח המתודולוגיה המקורית וגם של פיתוח תוצרים נוספים, זה משהו שמבוצע יחד עם חלק לא קטן מהאנשים שיושבים כאן ועם עוד הרבה אנשים חיצוניים. אנחנו עושים את זה במתודולוגיה של שיתוף התעשייה, שיתוף האקדמיה, מייצרים טיוטה של המסמך, שמים את הטיוטה הזאת באתר של המערך, מקבלים התייחסויות פתוחות לגמרי של כולם ורק לאחר מכן בעצם מוציאים מסמך החוצה. כך שהמסמכים מבשילים גם על ידי ידע מקצועי ספציפי אבל גם על ידי התייחסויות של כל בעלי העניין, גם תעשייה וגם מיישמים.

מי מהאנשים כאן השתמש בדברים הללו?

בקבוצות העבודה שלנו. יש לנו בערך 80-90 אנשים.

אבל הרוב לא.

אבל זה פתוח לכולם. כולם הוזמנו.

קבוצות מצוינות. החומרים מעולים.

יופי. כי זה ספציפי. הידע הוא ספציפי וצריך להיות נחלת הכלל.

יש תחומים מסוימים של ידע. זה פתוח. זאת אומרת, באים אנשים שמעוניינים לתרום ידע. מי שרוצה, מוזמן. זה לא שסגרנו את זה לקבוצה ספציפית.

שאלת שאלה נכונה ולא קיבלנו תשובה.

רוב האנשים לא משתמשים בזה.

אם הרוב לא משתמש, אז רוב הפורום לא עוסק בסייבר?

החומרים שהם מפיצים, הם יותר קשורים לתהליכי ניהול הגנת הסייבר. זה אמר שפשוט לא יושבות כאן הפונקציות הנכונות. אם היית יושב ומדבר עם מנהלי הגנת הסייבר בגופים מוסדיים או בנקים, הם היו אומרים לך חד משמעית כן ומה שהם נותנים זה מצוין. או מי שאמור לנהל את הגנת המידע לפי תקנות הגנת הפרטיות, הוא יאמר לך כן. זה פשוט כי חסר כאן הצד השני של אותו מטבע. אבל החומרים שהם מופצים על ידי הרשות וקבוצות העבודה, הן מעולות.

קבוצת ח. מר. אני מנהל פעילות של פרומיסט, מוצר שמגן על תחנות הקצה. אני מבקר הרבה מאוד מנהלי אבטחת מידע. תורת הגנת הסייבר היא ספר שיושב על שולחן כל אחד.

בעיקר מה שחשוב זה שהשכל של תעשיית הסייבר נכנס לתוך הנייר הזה.

עוד כמה מלים על פיתוח התעשייה בכלל כי דיברנו על ציר אחד של פעילות מערך הסייבר שהוא ציר ההגנה ושיתופי הידע, אבל למעשה אנחנו רואים בקהל היושב כאן גם את היעד שלנו לפיתוח התעשייה ועידוד התעשייה מבחינת האקו-סיסטמס. כמובן שאני מניחה שכולם מכירים את קריית הסייבר הלאומית בבאר שבע, שם יש מספר פרויקטים. אנחנו כמובן נשתף אתכם ונחשוף אתכם לפרויקטים האלה שחלקם כבר במרוץ וחלקם יהיו מעבדת פינסט שאנחנו מקווים שתוקם בבאר שבע. עוד מספר פרויקטים. גם מעבדת ICS. אני רואה את ההנהונים ומניחה שחלק תכירו בהמשך. יש לא מעט פעילויות מהסוג הזה. יש יחידה משותפת במכון הייצוא שלנו, של מינהל סחר חוץ במשרד הכלכלה ובמכון הייצוא. היחידה הזאת בשנה החולפת קיימה 25 פעילויות משמעותיות מאוד גם של משלחות, כנסים ופעילויות בתוך הארץ, משלחות מחוץ לארץ, ואנחנו בהחלט רואים אתכם נמצאים בתוך הפעילות הזאת ונעזרים בה. אם יש לכם אימפוטים על הפעילות הזאת שאתם חושבים שכדאי שנבין אותם ונמשיך להשתפר בכיוון הזה, זה גם מאוד חיוני. אנחנו מאוד מרוצים מהפעילות של היחידה. היא נבנתה בשותפות הזו בגלל כל מה שכל אחד מהשחקנים האלה מביא לשולחן. אנחנו כמובן נשמח להמשיך להשתמש בה. גם שם נשמח לקבל פידבקים.

רק לומר שאני נציג המשרד למינהל סחר חוץ ביחידה ואני רוצה לחזק את מה ששני אמרה.

אני חייב לומר שהקשבתי ואני לא יודע למה אבל מצאתי את המודל הדומה וזה כל נושא הרופאים. הרי הרופאים, לאו דווקא בארץ אלא הרופאים ברמה העולמית, הם בעצם מגנים על הפרט, על כל אחד מאתנו, מידי תוקפים. כל שנה יש כנסים, או לא כל שנה אבל הכנסים זה אולי הדבר הכי מפורסם, הכי ממוסד והכי אפקטיבי שאני מכיר.

התכוונת יחד עם חברות התרופות.

כן. יחד עם חברות התרופות. אגב, גם יחד עם אתרי הכנסים. בחורף הכנסים הכי טובים הם באלפים ובקיץ באילת. אני רוצה לקחת את הנושא הרלוונטי לענייננו. המסורת שם לאורך שנים באמת הפכה להיות מאוד אפקטיבית. שיתוף הפעולה שקיים בין הרופאים כדי לעזור לכל פרט ברמה הרפואית מפני התוקפים, באמת אין לה אח ורע. אני חושב שזה המודל הכי סוציאלי שאני מכיר, הרי מקצועי שאני מכיר ואני חושב שגם הכי אפקטיבי. ההתקדמות היא מטורפת לטובה. תוחלת החיים וכולי, זה המדד הכי אמיתי לזה.

אני שואל האם ההקבלה הזאת היא באמת נכונה, הרי כאן התוקפים – קרי, הרעים והרי כל הדיון הזה עוסק ברעים – איך הטובים נלחמים ברעים. הרעים כאן הם כולם בשר ודם. אין לנו תוקפים שהם אנונימיים שאנחנו צריכים לעשות מחקר כדי לדעת בכלל מאיפה הם.

אני לא בטוח.

אמרת קודם שאי אפשר לעשות הפרדה בין העולמות. ההפרדה היחידה שאני מכיר בין העולמות היא בין העולם הזה לעולם הבא אבל שם עוד לא פיצחנו את ההפרדה הזאת. לא הצלחתי להבין מהמשפט שלך אם זה טוב או רע לנו שאין הפרדה בין העולמות.

מה שחשוב לנו להבין זה אם המודל הזה של הרופאים הוא נכון, בגדול כמובן, האם אנחנו בכיוון הנכון. מה ששני אמרה כאן, ואנחנו במערך הסייבר שנים, בסוף אנחנו מנסים לחפש מודל שהוא הכי קרוב והכי רלוונטי ואם המודל הזה לא, אולי יש מודלים אחרים, ואם אין, אז נמציא משהו חדש. אבל אני לא בטוח שאנחנו צריכים להמציא משהו חדש כי משהו שעובד כבר עשרות שנים או מאות שנים, לפעמים כדאי לקחת ממנו את הדברים הטובים. רופאים ללא גבולות זה סייבר ללא גבולות במובן ההגנתי. מה שאני מחפש, ואני לא זוכר דיון שמישהו הצליח לרכז בחדר הזה או בחדר אחר – שהוא לא ועדת הכספים – כל כך הרבה אנשים. מבחינתי זו הפתעה שיש כזאת התעניינות בנושא הזה, רצון וכמיהה לחבר את כלל המערכות אבל בסוף לנו ככנסת, כוועדת חוץ וביטחון, אתה כל הזמן מחפש איפה יש לנו מיילג' בתחום הזה, בתחום שלו, ולומר בואו נעשה משהו באמת, בואו נעשה את ההתאמות.

זו בדיוק הנקודה, שהנושא הוא כל כך שונה בממד כל כך אחר שדווקא אסור לנו לבחון אותו מתוך מטריות קיימות כי הכול מעורבב כאן. התוקף הוא אחר.

לא הצגת את עצמך.

מנכ"ל חבר מורפיסק שצמחה בבאר שבע. אני באתי לכאן כי רציתי להעלות נושא קצת אחר, אבל בהתייחסות לנושא הזה, אני חושב שזה ממד אחר לגמרי.

אם כך, זה קצת מסוכן מה שאתה אומר. כי אין שום דבר שעל פיו אנחנו יכולים לבחון דברים. אפילו אין קריטריון בסיסי. מה לדעתך הבסיס המחשבתי שעליו אנחנו יכולים לבחון אם בסופו של דבר ללכת בכיוון כזה או אחר?

לא שיש לי כאן את המתכונת לדבר. יש טובים וחכמים ממני, כמו ששמענו כאן, אבל לעצם העניין של בוא נאמץ מתודולוגיות קיימות ואולי תהליכים קיימים וגופים קיימים בתעשייה או בתחום הביטחון שבמדינה כדי להתמודד עם הדבר הזה, הוא כנראה לא נכון. צריך להתחיל על אפס.

הרגולציה היא בהתהוות. החקיקה היא בהתהוות. התקינה היא בהתהוות. זה עולם שהוא בהתהוות.

אני חושב שהאתגר המרכזי שהשינוי, יש שינוי מהותי במרחב האיום כשמדברים בעולם הסייבר. קודם כל, כל תפיסת המרחב הלכה לאיבוד. היא כבר לא רלוונטית. דיבר קודם מישהו על הגבולות.

אין גבולות.

הממד של המרחב לא רלוונטי. הממד של הזמן לא רלוונטי. אם כדי להניע אוגדה לוקח לי איקס שעות ואני יודע בכמה זמן אני צריך להיערך כדי לבלום אוגדה, במרחב הסייבר ממד הזמן הופך להיות כמעט לא רלוונטי.

יותר מזה. כל הממד של הרתעה הפך להיות לא רלוונטי כי אי אפשר להרתיע בעולם הסייבר כי במרבית המקרים לא תדע בוודאות מי התוקף כדי להרתיע אותו. הוא יכול להיות פה או שם, קטן או גדול ולא תדע מי הוא.

למרות שבעולם הסייבר לקחת את המונח הכי בסיסי, הכי שגור, הכי נפוץ, לקחת אותו מעולם קיים. וירוס הוא לא התחיל בסייבר. אימצת אותו ממקום אחר.

ועדיין זה וירוס. גם וירוס קטלני כמו אבולה, יש לו תהליך וזמן התפשטות כשהוא בכלל לא באותו קנה מידה שלוקח לווירוס אגרסיבי בעולם הסייבר להתפשט, ואני מדבר אתך על מצב שלקח לווירוס בשנת 1984 להתפשט בכל העולם בסדר גודל של שבוע. היום זה ייקח כנראה סדר גודל של כמה דקות ויש לזה דוגמאות.

שזו בעיית ההתקפה או בעיית ההגנה?

זו בעיית האכיפה.

אולי הבעיה היא בהגנה.

לא. הבעיה היא באכיפה.

יש כאן יתרונות. מי שאמור להגן, יש כאן אתגר מאוד מאוד ולא בטוח שלאתגר הזה יש פתרונות אמיתיים ולכן צריך להיות שינוי בתפיסה, שינוי בהנחות העבודה לגבי האם אני יכול למנוע מאה אחוזים. צריכה להיות הנחה שאין מניעה של מאה אחוזים ולכן צריך לראות איפה שמים את הפוקוס בהיבט של קודם כל גילוי, לגלות כמה שיותר מהר כדי לעצור מה שקורה, כדי לנסות למנוע את מה שאני יודע ולהתמודד עם זה שיש מרחב הרבה יותר גדול שאני לא יודע אותו. זה אתגר אחד.

יש אתגר שני בהבנה של הממדים של האיום. אם נסתכל לא בהיבטים של ארגון בודד אלא בהיבטים של חוסן לאומי, הפגיעה בחוסן הלאומי והבקיעים שיבואו מממד הסייבר, יכולה לבוא בערוצים שחלקם הזוי לחלוטין. נלך למקום הכי הזוי שיכול להיות. אני מניח שכל היושבים כאן בחדר יצא להם להיות בזמן כזה או אחר בבית מלון. היום ב-90 אחוזים מבתי המלון היותר מתקדמים בעולם, יש טלוויזיה שהיא טלוויזיה חכמה. יש היום מגפה בארצות הברית של תקיפה כנגד טלוויזיות בבתי מלון בהקלטה של מה שקורה בחדר, וידאו ואודיו. תחשבו מה זה אומר עכשיו שישב מישהו, הקליטו אותו עושה משהו במלון ועכשיו סוחטים אותו על הדבר הזה. ההשלכות של זה על ביטחון לאומי. אף אחד לא מטפל בבתי מלון אבל ההשלכות של זה. יש לזה אין סוף דוגמאות. מרחב הבעיה הוא מרחב אין סופי. האתגר הוא אתגר שצריך לראות אותו בהרבה מאוד היבטים ואנחנו לא עושים את זה מספיק. אנחנו במדינת ישראל מדברים הרבה מאוד על כך שיש כאן טכנולוגיה מדהימה ובסוף המימוש, היבט המימוש של אבטחה בהרבה מאוד גופים במדינה הוא מאוד רדוד אם בכלל קיים ואני מדבר על גופים מפוקחים ועל גופים לא מפוקחים, מטרות אסטרטגיות, מערכות אחרות. לא נפתח את זה כאן כי זה דיון פתוח, אבל אם נרד לפרטים נראה שבסוף אם אנחנו מדברים הרבה ברמת העשייה, אנחנו רחוקים מאוד מהמקום שאנחנו חושבים שאנחנו נמצאים בו, בדברים שהם קיצוניים עד כדי סיכון אסטרטגי. שוב, לא נפתח את זה כאן.

נצטרך לעשות את זה בפורום אחר.

נושא נוסף שהוא נושא חשוב. אני רואה התפתחות מאוד חיובית שקורית בעולם בתחום של מודעות. מודעות צריכה להיות משהו שאנחנו הולכים אתו מגיל אפס. לא יכול להיות שאף אחד בבית ספר היום לא לומד איך הוא מתגונן או מה המשמעות של סייבר. זה לא קורה.

אני יושב ראש ועדת המקצוע של מדעי המחשב במשרד החינוך. אני יכול לספר לכם על זה.

עוד רגע. נתייחס לזה.

בארצות הברית במדינת אוהיו משקיעים היום מאמץ מאוד גדול ברמת המדינה איך מכניסים הכשרה בנושא סייבר בכל מערכת החינוך ברמת המדינה. אנחנו עושים פעולות דומות במרילנד ובמדינות נוספות בארצות הברית. אני חושב שאחד הכלים להתחיל להגיע בתהליך שהוא תהליך שייקח זמן אבל לשיפור ברמת ההגנה, ברמת המדינה, ברמת החוסן הלאומי כמדינה בנושא הגנת סייבר, יתחיל בהכשרה מגיל מאוד צעיר, בהכשרה מורחבת יותר וזאת לא רק הכשרה של בעלי מקצועות סייבר אלא גם הכשרה של הילד שידע מה הוא יכול ומה הוא לא יכול לעשות ואיזה מידע הוא מעלה לפייסבוק ומה המשמעות של זה בהיבטים אחרים. אנחנו לא עושים את זה היום מספיק וכמעט לא עושים את זה בכלל.

עד לפני שלושה שבועות הייתי ראש מינהל הסייבר של התעשייה הצבאית ולפני שלושה שבועות יזם בתחום הסייבר.

בהצלחה.

תודה. הייתי רוצה ברשותכם קצת לקלקל את החגיגה ולנסות אולי לעשות תובנה. מדברים כאן המון על הגנה על ידע. אמרתי, עד לפני שלושה שבועות עסקתי במערכות מסוג אחר. האיום האמיתי עלינו הוא לא טלוויזיה בבתי מלון אלא הוא מה קורה לטילים שלנו ומה קורה לטנקים שלנו. לא נפתח עד הסוף ונאמר מספרים מדויקים אבל הטנק מורכב בלמעלה מעשרה מכשירים שכולם מיוצרים בסוף באיזשהו מפעל במלזיה ואנחנו לא באמת יודעים מה קורה במלזיה והאיום הוא איום ממשי קריטי למלחמה הבאה. זאת אומרת, מעבר לכל המאוד סקסיות לדבר על הנושאים המגניבים של הילד בן ה-18 שמסוגל לפצח וירוס, גם אני עשיתי את זה כשהייתי בן 16, זה בסדר וזה נחמד. השאלה האמיתית שצריכה להישאל, בוודאי על ידי מחוקקים אבל אני חושב שגם על ידי התעשייה כולה, היא קודם כל היכולת שלנו באמת – דיברו כאן הרבה על מרחב – לראות את המולטי דיסציפלינריות כמעט אין סופית של העולם הזה. האם אנחנו באמת מסוגלים להבין שרמזור שהפסיק לעבוד במפרץ חיפה וטלפון עלום שהגיע למשטרת חיפה ו-ביפ שנעלם במערך ההגנה של אותו בלון אמוניה במפרץ מצביע לנו על תקיפה מולטי דיסציפלינרית שמטרתה לפתוח את בלון האמוניה, סתום את הצומת ולהעסיק את כל האנשים? אנחנו לא שם. אנחנו עסוקים המון בבעיות נקודתיות כגון GDPR או היכולת לעשות רגלציה על ניהול הידע אבל במקום האמיתי באמת שבו הסייבר יכאב לנו באמת, מקום שבו תיפסק ההפרדה בין העולמות הפיזיים לעולמות המידע, לא מקבל את זה.

בעיניך איזו מדינה הכי קרובה להיות שם?

אני אענה על זה בשני היבטים. איכשהו בסוף תע"ש מדברת אחרי אלביט, אבל בסדר. אני חושב שברמת הדיבורים, ההיערכות, הכוונה, מדינת ישראל חד משמעית. אני חושב שברמת יכולת הביצוע, ארצות הברית ולו בגלל משהו שאני רוצה להציע כאן לחבר הכנסת דיכטר אנלוגיה אחרת. אני חושב שהאמריקאים יודעים לעשות משהו שאנחנו לא לעולם לא נדע לעשות, לעשות רגולציה אמיתית. כשאני אומר רגולציה אמיתית, אני מכוון לרגולציה ולא לאובר רגולציה. רגולציה תפסיד תמיד לטכנולוגיה. תמיד תפסיד לקדמה.

מה הם עושים שאנחנו לא עושים? אני אומר לך רק במשפט אחד. לדעתי זה נוגע לשלושתנו, היינו ב-סרב בוושינגטון ואנחנו מכירים את ה-סרב כאן. התחושה הייתה שמטעמים שהם לא נובעים מזה שאנחנו יותר חכמים אלא מפני שהם מאוד גדולים ויש מערכת יחסים בין הסטייט לבין הפדרל, זאת יבשת אחרת מאתנו, אצלנו זה יותר קומפקטי ויותר יעיל בעיניים המאוד חובבניות שלי. תגיד לי למה אתה אומר את מה שאתה אומר.

זה בידיים פרטיות. ה-סרבים הם בידיים פרטיות ואין להם שליטה על שום דבר.

הנה זה נאמר אבל בכל זאת אני אתחיל ברשותכם מאנלוגיה קטנה. רגולציה שכולנו אוהבים או לא אוהבים אותה וחלה על כולנו היא הרגולציה לחגור חגורת בטיחות ברכב. לכאורה לכל אחד מאתנו שמורה הזכות להתאבד מתי שהוא רוצה. זאת אולי עבירה אבל יהיה קשה להעניש עליה אחר כך. מצד שני אני יושב באוטו שלי, זכותי לא להגן על עצמי אבל בא הרגולטור ואומר כן תגן על עצמך כי פגיעה בך, כמוה כפגיעה במדינה. המדינה תצטרך לממן את הפגיעה בך אחר כך ולכן זכותי להגיד לך מה לעשות בתוך הרכב שלך. אם אני לוקח את זה רגע למגרש, מה ששאלת קודם, כן, פגיעה בביתו הפרטי או במחשבו הפרטי של כל אחד מאתנו עשויה להוות Back door למערך הפעילים של השד יודע איפה. ולכן צריכה להיות רגולציה שלוקחת בחשבון את הצרכים והדרישות הספציפיות של התעשייה.

אם אנחנו ניקח את זה לשם, לאירופה נורא קל להגיד GDPR אבל פייסבוק תנצח בקרב הזה כי היא תמצא את הדרך להתמודד עם GDPR נכון כך שהיא תוכל להצהיר למי היא רוצה להצהיר ועדיין לעשות מה שהיא רוצה לעשות כי כך מתנהלת טכנולוגיה, כך מתנהלת קדמה.

לא בטוח. אני ראיתי קצת את העדות של צוקרברג ושם היה דיבור בארצות הברית על כך ש-GDPR זה סוג של בנצ'מרק מבחינתם, שהאירופאים יותר מתקדמים ומסתכלים על זה. מכיוון שבעולם הזה, אפילו חברה כמו פייסבוק יודעת שהיא יכולה ליפול באותה מהירות שהיא עלתה, כי אותו עולם מטורף שמאפשר לבחור בן 26 להמציא משהו ותוך שלוש שנים להיות האיש הכי עשיר בעולם, יכול גם להפוך את הדבר הזה. אני לא בטוח שפייסבוק תנצח. זו מערכת יחסים מאוד מורכבת שאנחנו מסתכלים עליה כרגולטורים ואנחנו שואלים את עצמנו איפה הגבולות שלה.

אם אתה יכול לחזור לזה, למה אמרת שהאמריקאים עושים יותר טוב.

אני אענה לך על שני הדברים יחד. אחרי מה שאמרת על צוקרברג. מדינת ישראל תוותר על היכולות שלה שהיא קונה נגיד מוורילד, לעשות בדיוק את מה שמר צוקרמן עושה להגנה על מדינת ישראל? הרי זה בדיוק אותה טכנולוגיה. בוא לא נתבלבל. אותה טכנולוגיה שאני הטמעתי בתע"ש כדי להגן על טילים, משמשת את בניין המשרדים ברמת גן להגן על המעליות שלו. זאת בדיוק אותה טכנולוגיה. אנחנו מוכניים לוותר על צד אחד תמורת הצד השני? כנראה לא כי הביטחון הלאומי כאן יהיה, לפחות בהיבטים מסוימים, חשוב יותר.

ערכים קודמים ל-GDPR.

ולכן תימצא תמיד הדרך להזליג בין העולמות האלה ואני רוצה לעשות צעד. זה לא נורא. זה באמת לא נורא ששני הצדדים האלה ימשיכו להכיל אחד את השני. זה בסדר. מה שכן צריך להיות זה להעביר את תפיסת ההגנה הכוללת הגלובלית להיבטים תעשייתיים תפיסתיים. סליחה אם אני אומר דברים שיפגעו בחלק מהאנשים. פחות אקדמיה ויותר מעשה. יושבים כאן אנשים, ואני מכיר את חלקם יותר מ-20 שנים. עשינו לפני 20 שנים, קראנו לזה דאתה סקיוריטי, היו לזה כל מיני שמות. השמות התחלפו. לא השתנה כלום. באמת לא השתנה כלום. היכולת לפגוע בחיים של אנשים, זאת הדרמה הגדולה.

אם נצליח לקחת את הדבר הזה, את מיטב המוחות האלה ולהפוך אותם לכלי עבודה – וכאן רק למחוא כפיים, שאלו מי משתמש ביכולות של מטה/רשות, תקראו לזה איך שאתם רוצים – אני עושה לזה שימוש כמעט מהיום הראשון ומחיאות כפיים, באמת מחיאות כפיים כי באמת לקחת תעשייה שעסוקה כל היום בעשיית כסף ולהפנות אותה ואת היכולות שלה ולהכפיף אותם לאיזשהו תהליך רגולטורי כזה שיאפשר לתעשייה להמשיך להתקיים, אם אנחנו נפגע ביכולות של ורינט, פייסבוק, ליגבין ואחרות, לעשות פרופיילינג, לא יהיה פרופיילינג גם בעולם הביטחוני ושם אנחנו צריכים אותו. לכן צריך למצוא את הדרך לעשות את זה מצד אחד ביחד אבל מצד שני בלי לפגוע בתעשייה.

תודה.

אני שמח מאוד שהעלו את העניין של החינוך כיוון שזה מה שאני מנסה לקדם. באמת התחלנו בשנה זו כבר ב-400 בתי ספר ללמד מדעי המחשב בכיתה ד' ובשנה הבאה 600 בתי ספר. זה מהלך שמתחיל. ניסינו להפוך את זה אפילו לשנה חובה שתהיה בכל השנים כדי שלא נצטרך למצוא תקציב כל שנה מחדש ואולי זה יקרה. אולי תעזרו לנו שזה יקרה. ני מנסה להעלות את זה מכיתה א'. בכיתה ד' לומדים מה שנקרא סקרצ', שזאת שפה שהמציאו ב-MIT ומכיתה א' אולי אפשר לעשות קוד-מונקי. יש כל מיני דברים כאלה.

אנחנו צריכים לחבב את המקצוע על התלמידים ולא להרתיע אותם מפניו ותוך כדי זה ללמד אותם את כל ההיבטים שקשורים בבטיחות דרך החלק הזה שהם נהנים ממה שהם עושים.

חוץ מזה, אני גם הקמתי חברה שנקראת סיקרט דאבל אופטופוס והיא מתעסקת בדברים שקשורים לשאלה איך מתמקדים עם העולם הקוונטי. זאת אומרת, עוד מעט ייכנסו מחשבים קוונטיים. כבר ב-NCA כל החוזים הם אומרים, בסדר, מה יקרה אחרי שיהיו המחשבים הקוונטיים. יש 50 קיו ביט ל-IBM, מתחרים עם גוגל, מתחרים מטעם אינטל, כולם במשחק הזה וכבר צריך לתכנן שהמידע שאנחנו מעבירים היום בעוד כמה שנים יהיה פרוץ ונראה לעין.

לנו יש טכנולוגיה שמשתמשת בדברים שהם מוכחים כבלתי פריצים מבחינת האינקריפשן והדרך להחליף את הפאבליק אינפרקסרקצ'ר. אני חושב שזה צריך להופיע כחלק מהקריטריונים לחוזים עתידיים כמו שמופיע בארצות הברית.

זה אומר תקינת סייבר. אלה בעצם דרישות סף.

גם בחלק מהחוזים שעכשיו יועצים ממשלתיים. צריך לראות את ההיבט הזה.

חברת צ'ק מרקס. אני גם עורך דין בישראל ובני יורק. צ'ק מרקס היא חברה שפועלת בתחום אבטחת התוכנה דווקא. הדיון כאן הוא מאוד אסטרטגי וטקטי, הגנות, התקפות מבתי מלון עד טנקים. אני חושב שכללנו את הכול. הייתי רוצה להעלות שלוש נקודות שהן חשובות ברמה יותר עקרונית.

הנקודה הראשונה. אנחנו חברה כמו כל החברות כאן והיום התחרות בעולם היא מאוד מאוד גדולה בתחום הסייבר. אתם כמחוקקים צריכים לקחת בחשבון שהיום תחום הסייבר הוא תחום יצוא מאוד חשוב אבל אם לא נדאג לשמר, לטפח אותו ולבנות אותו, בעוד חמש שנים ישראל עלולה לאבד את הבכורה שלה אל מול התעשייה בעולם. מי שמסתובב בתערוכות, בכל מקום ומקום, רואה מאות ואלפי חברות מאוד רציניות. אני יודע שיש לנו את היכולות בארץ אבל חייבים לקיים דיון נפרד על איך מטפחים את התעשייה ואיך מקדמים אותה.

הוזכר כאן תחום החינוך. היום הקאדר של אנשי הסייבר של חמש השנים הבאות הם בוגרי צבא בדרך כלל, לרוב. יש גם בוגרי אוניברסיטאות אבל תבדקו את המספרים. אם לא יהיו מספיק בוגרי מדעי המחשב בסוף שנה ובעוד שנה ובעוד שנה, אנחנו נהיה בנחיתות אל מול מדינות אחרות. המספרים כמובן הם אסטרונומיים. מומחי סייבר בסין, מדובר במאות אלפים שיושבים בצורה שיטתית ואנחנו אמורים לתת מענה לכמויות בכוח האדם הזה אפילו. אם לא נטפח את דור העתיד, לא בידע שאתה חייב להגן על הפייסבוק שלך אלא מהותיות - - -

המומחים בסין מייצרים ידע או מעתיקים ידע?

זה דיון מושלם.

הוגדרו תחומים בהם סין אמורה להיות גורם עולמי מוביל כבר בסוף העשור הבא והראשונה בעולם עד 2050. זה היה אחד מהם ואני מציע לא לחשוב עליהם כעל כאלה שמעתיקים ועושים דברים בזול. אלה חבר'ה מאוד רציניים.

אתם שמחוקקים בטוח מבינים את זה. ישראל מוציאה מיליארדים בכל שנה דווקא על הגנות סייבר. מדינות אחרות – רוסיה, סין, איראן – משקיעות את אותם מיליארדים במכפלות אדירות. אנחנו לפעמים חושבים על ההאקר הזה שיושב אבל לא, אלה מנגנונים מאוד מאוד מסיביים וחייבים לקחת את זה בחשבון.

אני גיליתי איזה כשל ואני שמח שנמצא כאן נציג משרד הכלכלה. יש את גוף הרשפ"ח – הרשות לשיתוף פעולה חברתי - בארץ.

הם עוסקים בכל מה שיש בו אלמנטים של סחר גומלין. הם עוסקים במימוש של סחר גומלין.

יש מיליארדי דולרים, כספים מחויבים. חברות ענק שמחויבות לעשות רכש גומלין בארץ. המנגנון הזה תקוע. החברות לא מצליחות ליהנות. אני ניסיתי יותר מכמה פעמים לפנות, להגיע לחברות ענק כאלה דרך הרשפ"ח.

איפה הוא יושב?

במשרד הכלכלה. מדובר על הבואינגים ועל האיירבוסים ועל הוולוואים, ממש חברות ענקיות אבל חברות הסייבר, אם תשמעו מישהו שנהנה מכספי רשפ"ח, תראו שזה לא קורה.

נדבר על זה עם שר הכלכלה. תוכל להעביר לנו מסמך בנושא?

בהחלט.

אנחנו נפנה למשרד הכלכלה.

נקודה אחרונה. זה נשמע שאולי אנחנו מתלוננים אבל אנחנו לא.

זה בסדר. זה המקום להתלונן.

אני חושב שזה ממש יישר כוח גדול לתעשייה. אנחנו צריכים לדבר לא רק מולכם אלא גם בינינו. אירוע כזה עוזר לנו להתחבר יותר ואני חושב שזה עוד הישג.

לשעבר מהתעשייה, מי שאולי זוכר את NCC. עסקנו רבות בנושא אבטחה של סייבר. עזרנו לשב"כ בהקמת מערך הרשות לביטחון מידע. היום אני משקיע בתחום.

הנקודה שרציתי לומר היא שכדאי ללמוד מהטעויות שעשינו בנושא של מכון התקנים. היום התעשייה נתקעת מול מכון התקנים, בתור של מכון התקנים, ולאחרונה משחררים הרבה מאוד מההגבלות על ידי כך שמאמצים את התקינות בחוץ לארץ ואז קל לתעשייה. אותו דבר צריך לעשות בנושא של הסייבר כדי לפתור את הבעיה לאמץ כאן בישראל חלק מהתקנים הבינלאומיים, אולי הראשון שבהם דווקא זה האירופאי. המערך כולו בתוך המדינה, כל התעשייה, יתרגל לנושא ואז יהיו הרבה מאוד חכמים שיודעים ולא רק אחד שלוקח לו 20 שנים, כפי שאמרת, להשתלט על החומר של החקיקה האירופאית. לא. זה יהיה דרך היבוא, כל התעשייה תעבוד כך ולא תהיה רגולציה ספציפית לישראל.

בנושא ביטחון, וכאן מזכירים ומפחידים אלף ואחד סוגי התקפות, זה התפקיד של מערך הסייבר הלאומי, של הרשות, של החבורה הזאת. צריך להגדיל תקציבים, צריך לדאוג לתקנים וכל מה שצריך לעשות כדי שהם יוכלו להתקדם. יש לנו כאן שתי שכבות. הכנסת ברגולציה ומערך הסייבר צריך להתמודד עם התעשייה הצבאית ועם התעשייה האווירית. זה התפקיד שלכם.

אני מחברת ווינבונד ישראל, חברת בת של חברה טייוואנית שמייצרת זיכרונות אבל הנושא בישראל הוא אבטחה, זיכרונות מאובטחים. רציתי לומר שיש נושא אחד שלא שמעתי, שם אחד ששומעים בכל העולם וכאן לא, וזה הנושא של אינטרנט של הדברים. IOT. בעצם מה שקורה, כל עולם הסייבר עובר שינוי מהעולם הווירטואלי של מחשבים, של אבטחה, של מידע, לעולם הפיזי. לדעתי הנושא הזה צריך להיות בכותרת. זה צריך להיות נושא שמדברים עליו בשלב הראשון כי כל מוצר שלא חושבים עליו מהרגע הראשון של מה קורה בפקודה הראשונה של התוכנה הראשונה, לא יכול לעשות את זה אחר כך. אני חושב שהדוגמה הכי טובה לנושא היכן שהכנסת והחקיקה יכולה לתרום זה דווקא באמת בנושא הרפואה וזה בנושא החיסונים. היום מחייבים אנשים להתחסן כי אם אתה לא מחוסן אתה גם פוגע בסביבה שלך והנושא הזה של לחשוב על בריאות סייבר במובן שאתה צריך לשטוף ידיים, מה שאתה לומד בכיתה א', אתה לא צריך ללמוד להיות מהנדס סייבר כדי לדעת שאתה צריך לשטוף ידיים. כנ"ל גם כשאתה מכניס הביתה ראוטר או אתה מכניס הביתה שואב אבק, אתה צריך לדעת ולהבין שהדברים האלה יכולים להיות מקור לכניסה גם לתשתיות, בין אם זה דרך הבית של מישהו שהוא ראש מערך הסייבר או העובדה שאם אתה פורץ – וזאת גם נקודה שמאוד חשוב לי לציין – שמערכת זולה שאומרים, בסדר, מה אכפת לי, יפרצו לי לתוך אני לא יודע מה, אבל אנשים לא מודעים לזה שפריצה לתוך איזשהו גורם זול וחסר משמעות לכאורה, יכולה לתת המון אינפורמציה לפורץ ולהבין איך דרך המידע שנמצא שם הוא יכול לפרוץ לתשתית הלאומית של הרמזורים או של כל דבר אחר.

אני שותף בחברת קונסיינטה ועד לא מזמן הייתי אחד ממנהלי הסייבר של בנק הפועלים. קונסיינטה היא חברה שמתעסקת אך ורק בתחום המודעות, בתחום הגורם האנושי. מתוך שתי הבנות, האחת, שטכנולוגיה מצוינת אבל טכנולוגיה לא עוצרת את כל הפגיעויות. שנית, רוב התקיפות בסוף מגיעות דרך הגורם האנושי.

אני רוצה להתחבר לכל מה שנאמר לפני בנושא החינוך. בנושא החינוך צריך לחלק את זה לשני חלקים. האחד, נכון, אנחנו צריכים לחנך אנשים, ילדים ונערים, כדי שיהיו לנו יותר תוכניתנים ויותר כוח חשוב להתמודד עם העולם הזה, אבל החינוך היותר חשוב בעינינו, גם בחברות, גם בעולם הפרטי בחינוך עצמו, במשרד החינוך, זה לחנך למה שחברי כאן אמר. להבין את המשמעויות של החיבור לאינטרנט, להבין את הפגיעויות שיכולות להיות. זאת אומרת, החוסן הלאומי של מדינת ישראל תמיד היה האנשים שלה ואנחנו צריכים להפוך את האנשים לחסינים מבחינת סייבר, במידת האפשר כמובן.

אני מאוד מתחברת למה שאתה אומר.

יש לכם - באנלוגיה מאוד יפה בעיני של רחיצת ידיים – דף פשוט שהוא רחיצת הידיים של סייבר שאפשר ללכת לפיו?

כן.

מי מכיר אותו? למי הוא עבר?

לכל הלקוחות שלנו בחברות וגם בבתי ספר שאני מרצה שם.

שני, לכם יש את זה?

כן.

אתם מתואמים אתם?

אנחנו נפגשנו עם מערך הסייבר. אני מתאר לעצמי שנמשיך את דיונינו בעניין.

אנחנו בפירוש מפרסמים לציבור את בד פרקטיסס לרחיצת ידיים בסייבר. בפירוש יש מספר רמות.

אני חושב שזה חשוב מאוד לרגולציה כאן. זאת אומרת, רגולציה שתשמור על הבן אדם שלמשל לא יצטרך לזכור לשנות את הסיסמה של הראוטר שהוא קונה אלא שזאת תהיה דרישת סף של היצרן.

זה בדיוק מסוג הדברים שנראים לי הרבה יותר בתחום החינוך מאשר בתחום הרגולציה.

כמו שבאירופה. היום יש את החקיקה שהולכת לקרות לדעתי החודש שקשורה לכל הנושא הזה של איזה מוצרים מותר לי למכור באירופה ויש להם ממש חקיקה. לא צריך להמציא שום דבר. החקיקה באירופה לדעתי יותר מתקדמת מאשר בארצות הברית.

אני חושב שמה שצריך זה רק להנגיש את העניין. להנגיש את זה ברמה ההדיוטית, ברמת האדם הפשוט.

הבעיה היא לא שיש מסמך אלא יש אלפי מסמכים כאלה. מישהו צריך להפוך אותם למסמך אחד.

אני מהתעשייה האווירית, ממפעל ההדרכה שנקרא מהות. קודם כל, כבר יש כאן איזשהו שיפט חזק מאוד לכיוון החינוך כי בסופו של עניין את התקיפות ואת המערכות שמגנות וסביב זה ההון האנושי, נמצא שם כל הזמן.

התעשייה האווירית הובילה לדעתי את קורס הצוערים הראשון, צוערי הסייבר, שנועד לתת שירותים ומענה פנים ארגוני. ההבנה הזאת שהעובדים, במקרה של התעשייה האווירית כמעט 16,000 מהם, צריכים להבין מה קורה ביום יום בתחום הסייבר, זה משהו שלקחנו אותו צעד קדימה ברמה ההדרכתית אבל גם ברמה של צוערים בעלי תפקיד קצת יותר בכיר ולא יפתיע אתכם לשמוע שבוגר קורס צוערים לדוגמה נמצא גם בשיווק. במקרה הזה במפעל הסייבר של התעשייה האווירית – נעם יושב לידי והוא מייצג אותו - אנחנו מייצרים טכנולוגיה ואנחנו מתעסקים הרבה עם הון אנושי.

אני רוצה לסיים במשפט הזה בנושא החינוך. תשמעו, כאשר תעשייה לא מדברת עם אקדמיה, מה שקורה זה כך: כשהתעשייה יודעת שהיא צריכה פייטון לדוגמה, תוכנה בסיסית בסייבר, והיא לא מדברת עם האקדמיה ואומרת לה מספיק עם הדוט נט וה-סי שרפ כי בעוד שלוש שנים הם פשוט מובטלים כי צריכים פייטון, וכשזה לא קורה, גופים וחברות כאלה ואחרות מקימות את היכולת לעצמן ואומרות תודה רבה.

היא תכשיר את האנשים שלה.

היא תכשיר את האנשים שלה ויותר מזה, היא תיקח את זה החוצה ותעשה מזה ביזנס.

הם גם היום לא רוצים בכלל תארים. זה לא מעניין אותם.

גם כאן זה מאוד נכון. אנחנו יודעים שכאשר אנחנו רוצים להכשיר בנושא הזה את אותם האקרים, הם לא מחפשים בכלל שידעו עליהם ויראו אותם, בטח לא תעודה ושום דבר. אני מציע בעניין הזה גם לתת את העזרה של התעשייה האווירית, גוף גדול ומוביל במיוחד בתחום החינוכי. כל מסמך שיצא כאן, אם צריכים איזשהו סיוע מאתנו בניסיון, בידע, בדברים שאנחנו כבר עושים – לשם כך אנחנו כאן.

אנחנו חייבים לרוץ לקראת סיום הישיבה. כל אחד מדבר ממש דקה כי מתחילה המליאה בשעה 11:00 ואי אפשר להמשיך את הדיון.

חברת ח. מר. אני מנהל את הפעילות של פרומיסס שזה מוצר אבטחת מידע ותיק שנרכש על ידי ח. מר לאחרונה. אני מסתובב הרבה מאוד בשטח אצל מנהלי אבטחת מידע. אני רוצה לדבר על כסף על מה אתם כמחוקקים יכולים לעזור.

החברות הגדולות שמפוקחות – בנקים, חברות ביטוח – מכריחים אותן לעשות סייבר ולהגן על עצמן. החברות הבינוניות והקטנות, לא מכריחים אותן. לנו יש גם פרויקט עם בזק כאשר המוצר שלנו משווק דרך בזק לחברות קטנות ובינוניות. אני רואה הרבה לקוחות שרוצים ומודעים, יש מודעות, יודעים מה הם צריכים לעשות, יודעים מה הם צריכים לקנות, אבל אין להם כסף כי המנכ"ל לא חושב שזה חשוב עד שלא קורה אסון, עד שאין משהו בעיריית אשקלון. תשאלו את עיריית אשקלון האם כשבאו למכור להם איזה מוצר שיגן עליהם והם היו צריכים להשקיע את ה-20,000 שקלים, לא היה להם תקציב לזה.

צריך להסיט תקציב מדברים אחרים.

אני אתן דוגמאות למה שאתם עשיתם ככנסת בנושאים אחרים פשוטים. למשל, נושא הנגישות. לקחתם אותו והכרחתם ארגונים לתת נגישות וגם אתרי אינטרנט לתת נגישות. הטענה שלי היא שאם תיקחו את זה לכיוון הזה, תכריחו כל ארגון להשקיע איקס אחוזים מהתקציב שלו בסייבר כי זה הכרח. זה לא איזה צורך הזוי אלא זה הכרח ברור לכולם ואז יהיה להם תקציב. זה כמובן יגולגל על האזרחים. כמו שעשיתם את זה בזמן באינתיפאדה, אז היה צריך לשים שומר בכניסה למסעדה ואני שילמתי עבורו כך זה צריך להיות גם בסייבר.

אני מנכ"ל סייבר טיב 360 וגם המנחה בארבע השנים האחרונות והיועץ של משרד התחבורה בתחום אבטחת המידע. אני מסכים עם ידידי גיל ועם כל החברים ומסכים עם הדברים הטובים שנאמרו כאן. אני חושב שיש כאן נקודה שהיא קשורה גם לחינוך מלמעלה. הזכרת את זה בהיבט של תקציב כי אתה מגיע לגופים ואני רואה את התסכול. אני בא לפעמים למאות גופים בשנה ואני מגלה שיש פער. אני עוזר להם לגבש את התקציב, בין אם זה ליווי של מערך הסייבר שאני עובד אתו בצורה הדוקה, בין אם זה משרד, בין אם זה ממש להכין להם מסמכים ומתודולוגיות שילוו אותם כי הפרקטיקה לא יורדת. הרבה פעמים אני נתקל בחסם מעבר לתקציב של הבנה למעלה, ברמת ההנהלה, ברמת התפיסה, ברמת המחויבות והאחריות האישית של מנכ"ל להוביל את זה.

לאחרונה, יש לי דוגמת טיוטה שקיימת מהגופים המוסדיים שמונחים, שמחייבת לדוגמה שחלק מהבורד יכלול בן אדם, כמו שבעבר זה היה חבר שלך, לאחר מכן רואה חשבון שידע לקרוא את הדוחות הכספיים ואז מישהו הביא מערכות מידע. היום אומרים שיש טיוטה, שיהיה גם מבין בתחום הסייבר. אני אומר שצריך שיהיה דבר כזה לגופים. כמו שמחייבים את זה בגופים ציבוריים, צריך להיות לפי דעתי משהו מעט רוחבי, גם ברמת משרדי ממשלה שם זה חסר. אני נמצא בעשרות ישיבות של בורדים, ישיבות ממשלה, ישיבות במשרדים, ואני רואה את הפער. לפעמים אני לוקח אותם לשיחות. חסר ידע עצום. החינוך צריך להתחיל למטה, זה נכון, אבל אם נחכה עד שהחינוך יגיע בסוף, אנחנו נייצר פער עצום. אנחנו צריכים היום לבוא לאותם בכירים ולומר להם שיקבלו את ההכשרה. אני מדריך בקורס דירקטורים אחת לחודשיים ואני מרגיש את הפער ואני עושה את זה. אני חושב שזה ידע שצריך להתחיל למעלה כדי לעזור לכולנו, לכל המשק וגם להגן על גופי ממשלה, על משרדים וזה חייב לבוא משני הכיוונים ביחד.

צ'ק פוינט. כמה דברים שאני רוצה להתייחס אליהם ואני אעשה את זה מאוד מאוד מהר. הייתי רוצה להתייחס למערך הסייבר הלאומי בהקשר של שיתופי פעולה. היינו מאוד שמחים לשתף אתכם פעולה גם כתעשייה באלמנט הטכנולוגי לא רק באלמנט המחקרי. כלומר, לעבוד ביחד, לייצר את ה-ATI האלה כדי באמת לקחת את האינדיקטורים ולהטמיע אותם ברמה של ניישן וגם ברחבי הארגונים. אנחנו מאוד מאוד נשמח לעשות את זה.

דבר שני בהקשר הזה. סייבר אינשורנס וקומפליינס. יש הרבה אלמנטים של ביטוח לקומפליינס. יש לנו אמצעים טכנולוגיים. יש הרבה מאוד גופים בארץ שעוסקים בריסק סקורינג ומשתפים אתם פעולה ולדעתי כולנו נוכל לשתף פעולה כדי לתת תקינה או תו תקן כלשהו לאיכות הסייבר של חברות, משהו שמאוד נשמח לעשות.

מה שנאמר כאן קודם על טנקים לעומת בתי מלון. אני חושב שאני לגמרי לא מסכים עם הגישה הזאת. אני חושב ששני הדברים חשובים באותה מידה. כמו שחשוב שטנק יהיה מוגן, שה-סוק שיוצא מאיזשהו מפעל שיצא עם וירוסים וכן הלאה, אותו הדבר חשוב שגם טלוויזיה, שיפגעו בך בבית שלך, בלי שיהיו טנקים ואוגדות. אני חושב ששני הדברים חשובים באותה מידה ולא הייתי עושה הבחנה כזאת. אלה שני דברים שלדעתי בפורום כזה אנחנו יכולים להתייחס לשניהם וחבל לעשות את ההבדלה הזאת.

משרד החינוך, אנחנו נשמח לשתף אתכם פעולה וגם שוב, התעשייה, בהקשר של חשיפה. היא צריכה להיות מוקדמת ולא רק באקדמיה. כמה שיותר מוקדם, שאנשים ייגעו במחשבים, שייגעו בטכנולוגיות, שיבינו מה הולך סביבם. לדעתנו זה יותר טוב ואנחנו מאוד מאוד נשמח. כיתה א', בשמחה. כבר עשינו דברים כאלה עם משרד הכלכלה.

אני מייסד ומנכ"ל של חברה שקוראים לה סיקסגיל. אנחנו עוסקים בניטור ואנליזה אוטומטית של אזור שנקרא דארקנס. בעברית, האינטרנט האפל. אני רוצה להדגיש שלפני שמייצרים ועושים החלטות אופרטיביות, יש מקום להרבה מאוד שיתוף פעולה. כל האזור הזה של האינטרנט האפל יצר חכמת המונים על דברים שלא היו קודם לכן. פתאום אנשים משתפים פעולה על דברים שלא היו קודם וזה מייצר רמת תחכום. לפעמים אנחנו רואים התקפות באינטליג'נס שניתן להבין אותן ברגע שקוראים אותן, אבל רמת התחכום, אנחנו רואים שהרבה יותר קשה להגיע אליהם לבד. בעיני זה הרבה מידע שלפעמים, לא רצה לומר שהוא הולך לאיבוד אבל מה שכן אני רוצה להדגיש זה את המקום המאוד מאוד חשוב של שיתוף פעולה גם בינינו, בתוך החברות, וגם בין הממשלה. יש הרבה דברים שלפעמים הוא אומרת שאם היו יודעים אבל איזשהו מקום, איזשהו צינור, יש גם אינטרס באופן מוסרי, אבל אני חושב שיש מקום לפתוח ערוץ באופן מסודר.

אני עובדת גם בישראל וגם בחוץ לארץ, גם בארגונים ביטחוניים ממשלתיים.

את האישה היחידה כאן, חוץ מאנשי מערך הסייבר.

זה הכישלון הכי גדול של התחום שלנו.

כן. מעט מאוד נשים יש בנושא.

זה מתחיל מהחינוך.

אני רוצה להתייחס לדבר אחד מאוד מרכזי. דיברו על תקינה. להערכתי לא צריך תקינה. תקינה יש בכל העולם, גם באירופה וגם בארצות הברית. אפשר ללמוד מהם. ה-איזו נמצא שנים על גבי שנים, ה-ניס נמצא שנים על לגבי שנים. להערכתי מה שצריך לעשות זה להתאים אותו קוסט בנפיט כי מה שקורה בישראל לעומת ארגונים בעולם זה שמשקיעים הון תועפות על מוצרים וכל מיני דברים כאלו כשתכל'ס האיום הוא לא איום אמיתי או לא משקיעים מספיק כשהאיום הוא באמת אמיתי. זה לעומת מדינות אחרות בחוץ לארץ שהן באמת משקיעות קוסט בנפיט. הן עושות את הדברים, הן בודקות עד לרמה של דקדוק ומחליטות כמה הן משקיעות לעומת הביטוח שיש להן. להערכתי רמת אבטחה שבסופו של דבר יוצאת, היא רמת אבטחה יותר טובה.

ממש בקצרה ובכלליות לדברים שעלו כאן. היו כאן כמה מגמות שעלו וחזרו. הייתה כאן התייחסות להרחבת מרחב התקיפה גם ל-IOT וגם לדברים אחרים. אנחנו די מסכימים עם מה שאמרת לגבי זה שזה גם וגם. זה גודל האתגר. בהקשר הזה אני אומר שאנחנו עמלים רבות לנסות ולחפש בעצמנו את הבנצ'מרק וחלק מהרזון דאטרה לקיום שלנו הוא כי אין משהו שהוא באמת בנצ'מרק טבעי. לכן צריך יצור חדש להתמודד עם האתגר הזה.

אנחנו נגיד שאחד האזורים שהסתכלנו בהם, רק כדי בכל זאת לחפש באפלה, היו אזורי הבריאות, אזורי הגנת הסביבה, תאונות הדרכים אבל באמת אין דבר כזה. לא הצלחנו למצוא את הדבר שבו אנחנו יכולים להיתמך כשאנחנו שואלים את עצמנו איך להיערך, בגלל המורכבות של התחום, בגלל העובדה שאי אפשר לפעול בבודדת ובגלל העובדה שאי אפשר לעשות או רגולציה או חינוך או דברים שאמרתם את זה. זה תמיד שילוב של דברים ותמיד לא רק התעשייה-אקדמיה. פותחים את זה טיפה, עושים משולש, והממשלה. הדבר הזה ביחד, השילוב של הדברים, הוא הדרך שלנו להצליח להתגבר על האתגר הזה ולהסתכל קדימה ויש הרבה מה לעשות.

אני אומר משפט בנושא החינוך. עלו כאן כמה דברים בעולמות החינוך ואנחנו קצת מסתכלים אחרת על מודעות ועל חינוך. חינוך, זה בפירוש חינוך למודעות אבל יש גם את פיתוח ההון האנושי בסייבר שהוא במחסור מאוד גדול והוא ברור לנו.

אני חייבת משפט על נשים. צריך להסתכל על נושא האוכלוסיות, לגוון את האוכלוסיות, נשים, חרדים, ואנחנו עובדים בכיוונים האלה. אנשים עם מוגבלויות. יש הרבה פוטנציאל לא ממומש וצריך לעשות כדי להגיע אליו. סזה חלק מהדברים שאנחנוש בפירוש רואים את עצמנו גם עושים עכשיו וגם נמשיך בהם.

חברת זייפסקי. אני אתן את הפן המסחרי., אני סמנכ"ל מכירות באירופה ואני היום מסתובב באירופה ומנסה למכור פתרונות לחברות תחת ה-GDPR. אני חושב שכל מה שנאמר כאן הוא מאוד מאוד חשוב אבל צריך להפריד את הדיונים. שאלתם מה אתם כמחוקק או מה אנחנו חושבים שאתם יכולים לעזור. יש כאן דיון של החינוך בישראל והגנה על תשתיות לאומיות, אלה דיונים סגורים יותר עם חומרים אחרים ופורומים אחרים. זה כיוון אחד. כיוון אחר בו קיים ה-GDPR. ה-GDPR עם כל הסכנה לחברות הישראליות שעובדות באירופה ברמה המסחרית הוא פוטנציאל עסקי מטורף, זה סייבר ישראלי, לעבוד באירופה ואנחנו צריכים את התמיכה של הממשלה בעניין הזה, גם ברגולציה וגם בחומרים. זאת אומרת, גם החברות הישראליות שעובדות היום באירופה צריכות את התמיכה של המדינה להתמודד עם הרגולציה שמחייבת אותם וגם ליצוא הסייבר הישראלי. האיחוד האירופי בעצמו – ואני הייתי בשבוע שעבר בספרד – אין לו מושג איך להתמודד עם הדבר הזה. ככל שאנחנו מגובשים יותר עם הסיוע של המדינה ליצוא הסייבר, ברמה המסחרית כרגע, לא ברמה של הגנה על ישראל אלא ברמה של יצוא טכנולוגיות ישראליות, הפוטנציאל העסקי כאן הוא באמת בסכומי עתק.

אתם בקשר עם מכון היצוא?

אנחנו גם בקשר עם מכון היצוא אבל זה עדיין לא מגובש מספיק. הזכירו כאן מה ה-UK עושה ברמה של עזרה לחברות. אפילו תורכיה שהיא לא האיחוד האירופי, יש לה רגולציה דומה. יש לה מועצה שעוזרת לחברות התורכיות למכור באירופה בהקשרים האלה.

אנחנו דוגמה טובה לזה, איך לוקחים טכנולוגיה מהאקדמיה והופכים אותה למסחרית. כך נולדנו. רציתי לומר כאן שלדעתי הפספוס הגדול של המדינה הוא באימוץ חדשנות שהיא מטורפת במדינה, בהגנה על התשתיות הלאומיות ועל הביטחון הלאומי. אנחנו נתקלנו בזה בצורה מאוד קונקרטית במובן שפנו אלינו כדי שנממש את הטכנולוגיה הייחודית שלנו על אלמנטים מסוימים ולצורך זה היינו צריכים לעשות איזשהו פיתוח משותף אבל נדרשנו לשתף את הידע או לתת את הידע לאותו גוף. זה דבר שהוא בלתי אפשרי. בלתי אפשרי לסטרט-אפים לעשות בוודאי וכל עוד לא אישרו את התקנות האלה, המדינה מפספסת כאן חדשנות מטורפת וזה מה שכואב לי כאזרח כי אני רואה כאן דברים מדהימים ואני רואה שהפער בין החדשנות שנוצרת, שהולכת החוצה לעולם, לבין היכולת של המדינה ברמת הביטחון הלאומי לממש את זה, היא פשוט מטורפת וזה פספוס אדיר. זה מחייב חשיבה מחודשת על תקנות שקשורות לשיתוף הפעולה של המדינה עם התעשייה.

תודה. הערה חשובה.

חברת אליאקום. דבר חשוב שיש לי לומר ואני אהיה קצר. לא דיברו כאן על נושא של מערכות לגסי. מערכות שהוקמו או נרכשו לפני המון שנים במגזרים רבים דוגמת הבנקים וגופים ביטחוניים, וכרגע קיימים בגופים האלה המון פערים בהיבטים של אבטחת מידע וסייבר כי שוב, אלה מערכות שתוכננו והוקמו כשלא הייתה מודעות לאבטחת מידע וסייבר וכרגע הפער הזה גורם להרבה גופים להפסיד במרוץ הזה כנגד הזמן. יש ניסיונות לנסות לפצות על הפערים האלה עם כל מיני טלאים למיניהם אבל אני יכול לומר שמניסיון שלי אני רואה המון גופים שנמנעים מלשדרג את המערכות ולעזור לדברים יותר חדשניים ויותר מוגנים בעיקר מסיבות פיננסיות וגם מתוך החשש שזה לא יעבוד כמו שצריך. אוהבים ללכת על הצד הבטוח.

מנהל מרכז החדשנות של מוטורולה עולמית בישראל. בעברי ראש מרכז הסייבר של משרד ראש הממשלה. מניסיוני, לשאלתו של אבי לגבי איך אתם יכולים לעזור לנו, מאוד חשוב כל הסוגיות שעלו כאן בחדר אבל לדעתי הדבר הרלוונטי לדיון הבא הוא אם אני מחבר את אלון, בועז ושני, אני חושב שהדבר היחיד והחשוב ביותר שאתם צריכים לעזור לנו הוא איך לחלק את העצמה שנמצאת כאן בחדר בהיבט של סטרט-אפ ניישן, סייבר סקיוריטי, סייבר נולדג' בישראל. כל האנשים שמקיפים כאן בחדר מאות תוכנות אדם ידע, איך לחבר את זה לטובת הביטחון הלאומי של מדינת ישראל, איך מחברים את זה למרכז הסייבר הלאומי ששני באה ואמרה איך מחברים את השכל של היושבים כאן בחדר. אנחנו מביאים עוצמות אדירות, כל אחד מאתנו מייצג כמעט חברה גלובלית, חברה ישראלית שמביאה עוד עוצמות. אם אתם תוכלו ליצור לנו את המודל שמחבר בין מה שאלון התחיל בו, איך אנחנו מתחברים בצורה הנכונה ביותר, כל המודל הזה של הידע הזה, מדינת ישראל תרוויח חינם כל כך הרבה וזה ייצר דבר אחר לחלוטין. את המודל הזה, אבי, אתם צריכים לעזור לנו לחבר. זו המטרה של הוועדה כמו שאני רואה אותה.

הדברים שנאמרו כאן עכשיו הם כמעט סיכום הדיון. אני חושב שהדיבורים על החינוך הם לא חס וחלילה בטלים, הם משמעותיים מאוד אלא שיש לנו לפעמים נטייה בסוף לקחת את הדברים, את האחריות ולהטיל על הפרט וזו לא המציאות שאני מכיר. אתה קונה מוצר, אתה רוצה להבטיח שהמוצר הזה יוביל אותך למקום מבטחים. אתה קונה כרטיס טיסה, אתה יכול לקנות את הכרטיס בסכום כזה או בסכום אחר, המושב יהיה כזה והאוכל יהיה כזה, אם יהיה אוכל בכלל, אבל על דבר אחד אתה לא מתפשר, אתה רוצה לדעת שאתה ממריא בנתב"ג ונוחת בשדה תעופה אליו אתה אמור להגיע. על זה אתה לא מתפשר. אותו דבר, אתה קונה מחשב או כל דבר שיש בו מחשב, ולא חשוב אם זה טנק או מכונית, ואז על דבר אחד אתה לא מתפשר, שהמכונית תביא אותך מנקודה א' לנקודה ב'. נוחות כזו, נוחות אחרת, אבל היא תביא אותך. מי כמוכם יודע, המכונית היום זה מחשב על ארבעה גלגלים עם גלגל רזרבי והיכולת למנוע בעדך מלהגיע ליעד, דרך מחשב, דרך איש רע.

לכן אני חושב שאנחנו בנושא מערך הסייבר נצטרך לדעתי לעלות כיתה או אולי לעבור בית ספר מפני שאנחנו מדברים היום על מכון התקנים במערך הסייבר. אני קצת נבהל מהעובדה שתחום כל כך קריטי יושב היום בשני מקומות. רשות התעופה האזרחית אחראית לבטיחות התעופה האזרחית ולא פיצלנו את זה לשום גוף אחר. הסייבר, אנחנו בתחילת הדרך. אגב, אני לא רוצה להפוך את הדיון הזה לוויכוח האם יש מודל, אתה לא חייב לקחת מודל אחד לאחד ולחקות אותו, אבל יש לנו בדרך כלל נטייה לומר שמהר מאוד עושים בדיקה, הרופאים לא מתאימים, החקלאים לא מתאימים וזה לא מתאים. אנחנו יודעים הרי להביא עץ או פירות ממקום אחר ואנחנו עושים בדיקה בנתב"ג כדי לראות שלא מביאים לנו חס וחלילה משהו בעייתי. צריך לעשות את ההתאמה, אנחנו בעולם אחר לחלוטין אבל ברמת העיקרון, אנחנו עוד לא יודעים איך הביאו את אבני המקדש למקום שלהם לפני 3,000 שנים. גם המגילות הגנוזות, אנחנו יודעים עכשיו, פתאום הסתבר לנו שגילינו את אמריקה או את קומרן.

ואני לא מזלזל, החינוך הוא באמת מאפשר לפרט לעשות בחירה יותר נכונה, אבל לנו כאחריות, אתה שם צבא כי אתה אומר שאני אומר לך לבנות ממ"ד ונותן לך פרטים לממ"ד אבל אני מטיל על צה"ל להיות אחראי לכך שהטיל לא יפגע לך בבית או לא יפגע ליד הבית. אותו דבר בעולם הזה של אבטחת מערכות המידע הממוחשבות. לא בכדי רגל מאוד משמעותית שהיא הייתה בהתחלה בגוף ייעודי ועברה לגוף ממלכתי, בדין ובצדק כי כל פרט יכול להפסיד בחשבון הבנק שלו דולר לשנה אם האקר ימצא את הדרך לקחת דולר ואף אחד לא יתלונן. דולר בשנה, אתה תגיד בעיית דמי ניהול, אני טעיתי, הבנק טעה. גם הבנק לא יתעסק עם זה. יש לך, תלוי באיזו מדינה, בישראל יש לך 8 מיליון דולר בשנה, בארצות הברית 350 מיליון דולר בשנה. אחרי תקופה אתה תעבור לדולר בחודש, וגם אז אף אחד לא יתלונן ונחשוב כולנו שזו בעיית דמי ניהול יתר או חסר. הבנק לא יגיד מילה, אנחנו כלקוחות לא נתעסק עם זה כי דולר בחודש, מי מתעסק עם זה? אז זה כבר לא 350 מיליון דולר בשנה אלא עכשיו זה חצי מיליארד או חמישה מיליארד. רק כאשר לבנק ייקחו 350 מיליארד דולר במכה אחת, אז פתאום הבנק יקפוץ ויביא את קספרסקי בשביל להגן עליו וישימו כל סכום כסף.

אנחנו צריכים להיזהר. בסוף לשמור על הפרט הזה, ולא חשוב אם זה מטיל או דולר בבנק ולכן המוצר הוא כל כך חשוב. ההערה כאן לגבי איחוד הכוחות, זה אולי היתרון הכי משמעותי בישראל. אנחנו מדינה קטנה. אני משוכנע שאם יעשו כאן נטוורק של הכרויות, מפה של הכרויות בין הפורום שיושב כאן, יסתבר שהיו בצבא ביחד והיו פה ביחד ובאוניברסיטה ביחד ובעסק ביחד. זאת ישראל. שלוש דקות ובטח הם בני משפחה. אני חושב שזה מאוד ישראלי. את היתרון הישראלי הזה, אני מאוד מסכים אבל צריך מישהו שיארגן את זה.

זאת אמנם הכנסת וכאן אנחנו צריכים לפקח. אנחנו לא יכולים לעשות את זה שזה יקרה. אגב, תחושתי היא שבסוף זה יהיה הפרויקט של מערך הסייבר. כשמערך הסייבר יהיה גדול, בבר מצווה, אני חושב שזה יהיה משהו שכבר יהיה נחלת ההיסטוריה.

תודה. קודם כל, אני רוצה להודות גם לישראל גרוס וגם לאלון רפאלי. לא טבעי לקיים דיון כזה. אנחנו בוועדת חוץ וביטחון והדיונים של מערך הסייבר הם סגורים והם בחדר מרוחק ולא חשופים לתקשורת והם בדרך כלל לא בפורומים כאלה רחבים. אני מאוד שמחה על הדיון הזה ואני שמחה שהוא נעשה באופן פורמלי על פי הייעוץ המשפטי של הוועדה. אני רוצה להודות גם לשגיא על הארגון של כל החומר ולסופי, היועצת הפרלמנטרית שלי שהיא גם בוגרת 8200.

אני רוצה לשאול כאן שאלה לפני שאני מסכמת את הדיון, כמה אנשים קיבלו את השכלת הסייבר שלהם בצבא? מחצית. לא כל כך הרבה.

כשאנחנו היינו בצבא, עוד היו פרדות.

מה שקורה, אני חושבת שאחד הדברים שעלו כאן מאוד מאוד חזק זה שלא צריך להמציא את הגלגל. אנחנו חזקים מאוד בלהמציא את הגלגל. אני יכולה לקחת מהתחומים שקרובים ללבי בתחום של למשל חקיקה ומאבק בטרור. האמריקאים חוקקו את חוק הפטריוט, חוק מעולה. אנחנו עשינו את חוק המאבק בטרור ואני חושבת שהוא פחות טוב מהחוק שהאמריקאים חוקקו. זה אמנם קרה להם לאחר 11 ספטמבר אבל דווקא תחת ההשפעה של 11 ספטמבר, הם הוציאו חוק מצוין שהוא נותן להם הגנה ואנחנו יכולים באמת לקחת, גם כדי להיות מסוגלים לדבר בשפה הבינלאומית, להסתמך גם על מה שנעשה, על החקיקה האירופאית וגם על החקיקה האמריקאית עם אדפטציות. זאת בדיוק הדרך שאתם צריכים להתוות במערך הסייבר.

אני חושבת שדיונים מהסוג הזה צריכים להיות דיונים עתיים במערך הסייבר, גם להפגיש את הפורום הזה, גם ללמוד ממנו וגם לעקוב אחר התבצעות של הדברים.

אנחנו גם עוקבים אחרי החקיקה. היא באמת נחוצה. היא חיונית ובגלל השינויים הארגוניים היא התעכבה. היא הייתה אמורה כבר להגיע אלינו בסוף שנה שעברה אבל זה לא משהו שאנחנו נעזוב.

הנושא של הקניין הרוחני. הקניין הרוחני של מדינת ישראל בתחום הסייבר הולך לאיבוד. באמת. אני חושבת שהדברים שנאמרו כאן, זה חוזר על עצמו. אנחנו לא שומרים על הקניין הרוחני. אם זה היה רכוש שמישהו היה לוקח מאתנו, זה היה הרבה יותר מוחשי. אבל כשבאים וקונים כאן חברות ובעצם המדינה לא משאירה לעצמה שום דבר, אנחנו מאבדים את כל המוחות האלה שגדלו אצלנו, שרכשו את הידע אצלנו, שהם בעצם גם חלק. אני פעם חשבתי שאולי מאלה שהם בוגרי מערכת הביטחון אפשר היה לדרוש אחוזים מכל הסטרט-אפים. אמרו לי, לא. הקניין הרוחני כאן הוא מאוד משמעותי ואנחנו חייבים למצוא את הדרך לשמור עליו. זאת אומרת שגם חברות שנמכרות לאמריקאים, לאירופה, לא משנה למי, יש איזושהי פלטפורמה שנשארת בארץ והיא מחייבת כי כל מדינה צריכה.

חברה שמדריכה לוחמים בקולומביה דורשת שישלמו אחוזים?

אבל זה לא אותו דבר.

זה סייבר וזה קילר.

בדרך כלל הן משאירות את מרכזי הפיתוח בארץ.

לא משנה. צריך להגן על הקניין הרוחני שלנו. זה תחום שלם שזקוק להגנה משפטית אפילו וחייבים לתת לו התייחסות.

הנושא של חינוך. חינוך, מודעות, כל הדברים האלה הם מאוד חשובים וצריכים להתחיל מגיל פס אבל כמו נאמר כאן, הקטע של היגיינה או הקטע של הוראות מאוד מאוד פשוטות של הגנה בסייבר, ולדבר בשפה אחת, זה משהו שמערך הסייבר צריך להוציא בהסתמך על כל הדברים שאמרו כאן אבל לא מגילות אלא ממש כמו הוראות פתיחה באש, משהו מאוד מאוד מצומצם שאנשים ידעו ומגיל מאוד מאוד צעיר.

מעבר לזה, לגדל דור של תחומי לימוד בתיכוניים ואפילו בבתי הספר היסודיים. דיבר כאן פרופסור דולב בנושא של חינוך להגנה בסייבר אבל זה תחום שחייב להתפתח. אין מגמות כאלה. הן פחות אטרקטיביות מאשר מדעי המחשב וכולי. אבל בעצם לגדל דור שמסוגל לעשות את העבודה אנחנו צריכים גם לתת על כך את הדעת.

מכון היצוא הישראלי. אני מבקשת לחבר אתכם למכון היצוא הישראלי. הנושא הזה הוא מאוד מאוד חשוב.

אני מזמינה אתכם לכתוב את המכתבים ולשלוח לנו את המסמכים כדי שיהיה לנו בסיס לעבודה. אנחנו נעקוב אחר הדברים הללו שעלו כאן.

אני רוצה להודות לכל מי שהגיע. אני חושבת שעצם המפגש היה מאוד מאוד חשוב.

אנחנו נרכז את כל המסמכים ונשלח אותם ביחד.

בסדר. שגיא יהיה אתכם בקשר.

תודה רבה לכם.

הישיבה ננעלה בשעה 11:00.