פרוטוקול של ישיבת ועדה

הכנסת העשרים

הכנסת



24
ועדת המדע והטכנולוגיה
15/05/2018


מושב רביעי

פרוטוקול מס' 174
מישיבת ועדת המדע והטכנולוגיה
יום שלישי, א' בסיון התשע"ח (15 במאי 2018), שעה 13:30

צעדים למניעת שימוש לרעה במאגרי מידע: מערכת מרכב"ה (לניהול משאבי המדינה)

חברי הוועדה: אורי מקלב – היו"ר

עוזי שר - סגן בכיר לחשב הכללי, אחראי על מערכת מרכב"ה, משרד האוצר

אריה סיקסק דוויק - מנהל תחום אבטחת מידע וסייבר, משרד האוצר

אילן אלאלוף - מנהל מרכב"ה, משרד האוצר

אילן אחיטוב - ממונה הגנת סייבר והפרטיות, משרד האוצר

אסתר פלדמן - עו"ד, משרד האוצר

יוני מור - ראש מערך סייבר חירום וביטחון, משרד האוצר

פרדי אדיב - מנהל תחום הדיגיטל, נציבות שירות המדינה

גנית לב ארי - ראש תחום בכיר קידום מדיניות, מערך הסייבר הלאומי

מוחמד קדה - היחידה הממשלתית לחופש המידע, משרד המשפטים

עלי קלדרון - ממונה על הפיקוח, הרשות להגנת הפרטיות (לשעבר רמו"ט)

יהודה אופיר - מנהל אגף בכיר משילות ובקרה, רשות התקשוב הממשלתי

רמי השאש - מנהל תחום בכיר תשלומים ומימון ארצי, משרד הבריאות

מרים יוספין - מנהלת תחום תשתיות, אגף המחשוב, משרד הבריאות

ראובן אליהו - מנהל תחום תשתיות, משרד הבריאות

מוטי קוסקס - סג"ד ראש ענף סייבר שב"ס, המשרד לבטחון פנים

אורטל קונסטנטיני - רב כלאי ראש תחקירים, שב"ס, המשרד לבטחון פנים

יהודה עמדי - סנ"צ רמ"ד אבטחת מידע, משטרת ישראל, המשרד לבטחון פנים

יוליה ימיני - סנ"צ רמ"ד מחשוב משאבים, משטרת ישראל, המשרד לבטחון פנים

ורד יאיר - נציגת מחשוב, כבאות והצלה, המשרד לבטחון פנים

שמוליק ויזנר - רפ"ק ראש ח' ביטחון שדה, המשרד לבטחון פנים

טל שומר - מנהל אבטחת מידע, המשרד לבטחון פנים

תמים סעד - סגן החשב, המשרד לבטחון פנים

מתי מגירא - מנהל אבטחת מידע, המשרד להגנת הסביבה

דוד רגב - מנהל תחום יישום אבטחת מידע, משרד הכלכלה והתעשייה

אפרת קילשטוק - מנהלת תחום מידע ומחקר תחבורתי, משרד התחבורה והבטיחות בדרכים

רועי גולדשמידט - מרכז המחקר והמידע של הכנסת

טובה סלומון - מתנדבת, עמותת מעורבות

ענת לוי

ס.ל., חבר תרגומים


צעדים למניעת שימוש לרעה במאגרי מידע: מערכת מרכב"ה (לניהול משאבי המדינה)

ברשותכם נפתח את הישיבה. התכנסנו כדי שנוכל, בשמחה ובכבוד, לפתוח ישיבה של ועדת המדע והטכנולוגיה, קודם כל חודש טוב, יום שלישי, א' בסיוון תשע"ח, ה-15.5.2018 ועל סדר יומנו צעדים למניעת שימוש לרעה במאגרי מידע, מערכת מרכב"ה לניהול משאבי המדינה, ישיבת מעקב. עוזי שר נמצא פה?

נמצא.

סגן בכיר לחשב הכללי. נפגשנו כמה פעמים. באמת ישיבת מעקב, אפשר לקרוא לזה ישיבת מעקב, אפשר לא לקרוא לזה ישיבת מעקב, בעצם זו ישיבה חדשה, אבל זה נכון שאנחנו בכמה הזדמנויות דנו בנושאים שיש להם ממשק לנושא שאנחנו היום רוצים להתמקד בו. נגענו בנושא הזה, שזה גישה להרשאות של עובדים למערכת מרכב"ה ואיך העסק עובד בתוך המדינה. לא פעם אנחנו דנו בנושא ניסיונות כניסה מחוץ למערכת וזה מה שנקרא בסייבר ודנו בעניין הזה כמו שדנו בעוד דברים.

היה לנו גם ממשק, חוקקנו כאן חוק שדיבר על החיוב להגיש מסמכים בצורה מקוונת לממשלה ושאלנו מה זה נותן וקיבלנו תשובות מניחות את הדעת על המחיצות הגבוהות, על החומות שיש בעניין הזה, שהמערכת מוגנת. אנחנו גם יודעים שעובדים כלליים, עשרות אלפים שיש להם איסור כניסות למערכת הזו, היא מאוד מאוד מוגבלת, אינה דוגמה כניסה להחתמת שעון ופתיחת דלת ועוד משהו קטן לכניסות שאנחנו נקרא לזה, המינוח שאנחנו נקרא לזה, אני לא יודע מה המינוח שאתם משתמשים בו, שימוש ליבה, זאת אומרת רחב יותר, הרבה יותר רחב, שלפי המסמך שהכין לנו רועי גולדשמידט, ממרכז המחקר והמידע, שאולי תיכף גם נחלק את זה, מדובר בכ-10,000 מורשים שהם מורשי כניסה, שמתוכם 15% זה מורשים חיצוניים. מורשים חיצוניים שהם לא עובדי מדינה, זה יכול להיות יועצים, זה יכול להיות רואי חשבון, אנשי מחשוב. בהגדרה של מיקור חוץ, אני לא יודע איך מגדירים את זה, אבל אני מניח שזה לא נחשב, גם לא כולם, יש הרבה עובדי חוץ, מיקור חוץ, בתחום המחשוב ובעוד תחומים שיש להם כניסות, אבל הם אולי במעגל הרחב יותר.

אנחנו יודעים שיש לנו חלוקה מסוימת, שהיא אמנם לא חלוקה שווה, רוב המשתמשים הם עובדי מדינה, אבל אי אפשר להתעלם מכך שמספר לא מבוטל ואחוז לא מבוטל הם לא עובדי מדינה שמקבלים גישה. יכול להיות שהיא גישה זמנית, לפעמים יותר ארוכה, יותר קצרה, ותיכף נגיע לזה, כי זה בעצם מרכזו של הדיון שלנו, כאן אני מבקש להתמקד בנושא הזה. אני רק רוצה להזכיר שהיו עוד כמה פעמים שדנו בעניין הזה, זה היה בעקבות הרשאה ברשות המסים, כך וכך עובדים שעשו שימושים ודנו בעניין הזה. דנו בעניין הזה גם בהקשר למפלגה שעשתה שימוש במידע, אני חושב שזה היה בתחום ניצולי שואה, שהמפלגה הזו נקנסה בקנס על השימוש במידע.

בעצם אנחנו רוצים לדבר על אפשרות לזליגת מידע. איך שאני רואה את זה, כמובן שכניסה, אבל מה יכול להיות בזליגה? גם בעניין הזה, אני לא אומר את זה עכשיו סתם, כדי להלאות אתכם בסיפורים, היה לנו ממשק או דיון בחברות פרטיות, דווקא בוועדה הזאת, בוועדה קודמת שדנתי, בחברות פרטיות מסחריות, איך הם משתמשים במעקבים שלהם ואיך הם פועלים מול עובדים בשימוש במערכות המחשוב שלהם ובאפשרות להרשאות כניסה.

אני אביא דוגמה את הבנקים. בעקבות פניות שהיו, גם של אזרחים, שימוש מאוד רחב, יש שם העברות מבנק לבנק, או כל פקיד בנק יכול להיכנס לכל מקום, איך העסק הזה פועל? בגופים הפרטיים והמסחריים, בגלל שהם חוששים מאוד, מכמה סיבות, לא רק מהשימוש, הם רוצים לשמור על צנעת הפרט ומשיקולים מסחריים, לכן יש להם מערכות שגם עוקבות וגם אחרי זה מנטרות ואני חושב שלא צריך להמציא את הגלגל, קיימות מערכות היום בהרבה גופים שהם יודעים לעשות את העבודה שמזהה לבד, מתריעה, מנטרת, ממקדת את הדברים, היא יודעת פרופילים שונים, רוצה למנוע את הכניסות שלא בסמכות ולא ברשות.

כניסות שהן לא בסמכות ולא ברשות זה הדבר שאנחנו רוצים לדון עליו. אפשר להגיד שלפני כמה ימים, ב-8 במאי, נכנסו לתוקף התקנות של מאגרי מידע, שמירה על מידע, התקנות של הגנת הפרטיות ומאגרי מידע, הן נכנסו לפני כמה ימים, ב-8 בחודש, לפני שבעה ימים. אנחנו במסגרת הזו זה גם ציון דרך בעניין שלנו.

מילה אחת, כשאנחנו מדברים, ודאי אתם תציגו את מערכת המרכב"ה, אנחנו מכירים אותה, גם סיירנו, התרשמנו מהיקפה, באמת מהתועלת הגדולה. היה צריך אומץ לאתגר להקים מערכת כזו במשרדי הממשלה. היא מקיפה היום מאוד, אני מבין, זה נשמע כך, אבל אנחנו ודאי יודעים להגן עליה מכניסות לא מורשות ואנחנו רוצים לדבר על כניסות מורשות של עובדים ושל מקבלי הרשאה ואני מבקש יותר להתמקד דווקא במורשים חיצוניים. מהמידע שאנחנו קיבלנו ומהמסמך ישנם משרדים שיש בהם עשרות עובדים שמקבלים את האפשרות להיכנס, עובדי חוץ, לא עובדי מדינה, הם מקבלים את ההרשאה להיכנס למידע שיכול להיות שהמידע שהם צופים בו, לא משנים אותו, צופים בו בלבד, יכול להיות מידע מאוד מאוד רחב.

ניקח לדוגמה תחום התמיכות. זו אחת מהאפשרויות. רואה חשבון שהתבקש לעשות איזה עבודה ממשרד, בדיקה מסוימת לגבי גורם שקיבל תמיכות בתחום מסוים בתוך התמיכות, מרגע שאותו רואה חשבון קיבל את האפשרות להיכנס למקום, יש לו כניסה רחבה וכמעט בלתי מוגבלת עד לקבל מידע על אנשים פרטיים שקיבלו תמיכה בצורת סד לרגל או תותבת, במשרד הרווחה, יכול להיות לגבי חוסים מסוימים. השאלה היא ככה, האם המערכת עוקבת אחרי זה, האם המערכת מתריעה ומזעיקה, מלשון אזעקה, במקרה שאדם נכנס, האם נעשו דברים והאם נמצאו כאלה שניסו לעשות. מהנתונים שקיבלנו, יש נתונים מאוד מועטים של אנשים שנכנסו וזה לא מה שמניח את דעתנו, מכיוון שדווקא זה שאנחנו לא יודעים על הרבה שנכנסו, בהשוואה לגופים פרטיים, שם יש ניסיונות הרבה יותר גרועים, דווקא אולי צריכה לעורר אותנו ולצלצל בפעמון שאולי אנחנו לא מספיק יודעים, לא מספיק עוקבים. אולי נעשים דברים אחרים ואנחנו לא יודעים.

אני נגעתי ככה קצת בהרחבה, אבל עדיין לא נגעתי בכל הדברים. למשל האם גורם חיצוני שקיבל הרשאה לחצי שנה, מישהו עוקב שבאמת אחרי חצי שנה זה יופסק? האם הופסק, הופסק אוטומטית? מישהו עוקב שבאמת הוא היה צריך חצי שנה, לא הספיקו לו שלושה חודשים, או למה ניתן לשנה? המשרדים עצמם, שרוצים לדעת את הפעילות שנעשית בהרשאות שלהם, אין להם את המידע הזה, אלא הם צריכים ללכת למשרד האוצר ולשאוב משם ולבקש משם. אני חושב שזה גם דבר שצריך להתייחס אליו, כמה אנחנו יכולים באמת לתת את האפשרות לכל משרד ואפילו פחות מזה, לדעת את הכלים כדי שהוא יוכל לפתח מנגנונים שהוא חושב, במשרדים שלו, ברגישויות שלו ואז אנחנו נהיה גם הרבה יותר ממוקדים כשאנחנו נתחיל לדבר על משרדים ספציפיים כאלה ואחרים. בסופו של דבר אנחנו רוצים ללמוד איך המערכת עובדת ולדעת מה אנחנו יכולים להסיק מסקנות.

בשלב הזה ברשותכם אנחנו נבקש מעוזי שיציג לנו מה יש ומה אין לנו, כדי לדעת איפה אנחנו עומדים. בבקשה.

צהריים טובים וחודש טוב. כמה דברים כלליים לפני שניכנס לפרטים. בעת הקמת המערכת ניתן באמת דגש רב על נושא מתן הרשאות ובעצם לקחו בחשבון שני מרכיבים עיקריים, זה הצורך לדעת, כפי שגם רועי כתב בנייר, ומניעת הרשאות נוגדות בידי משתמש. צריך לזכור שמתן הרשאות הוא בעצם באחריות המשרד. למשרד יש שלוש פונקציות עיקריות שמעניקות את ההרשאות, הסמנכ"ל למינהל בתחומי משאבי אנוש ולוגיסטיקה, חשב המשרד ונושאים פיננסיים בעיקר, תמיכות, ויש את מנהלן ההרשאות, אדם שממונה על ידי המשרד, הוא לא עובד שקשור אלינו והוא בעצם מסייע בידיהם והוא איש הקשר מול מרכב"ה. צוות מרכב"ה כולל מספר משרות של אנשים שמטפלים בנושא ההרשאות.

העיקרון בהתאם להנחיות שכל מתן הרשאה צריך להיות בהתאם לתפקידו של העובד. אין דבר כזה, אין, אני חושב, מישהו שיש לו הרשאות רוחביות לכול. לי לצורך הנושא יש אולי הרשאות רוחביות בתחום הפיננסי לוגיסטי, אבל אין לי שום גישה לנושא משאבי אנוש. זאת אומרת יש הפרדות בהתאם לאופי הפעילות וכו' ועל זה יש ניטור מסודר. שוב פעם, האנשים שמעניקים את ההרשאות, באחריותם לבדוק את זה.

אתה מדבר בכל הרמות של ההרשאות.

בכל הרמות ללא יוצא מן הכלל, בין אם זה עובד מדינה ובין אם זה מישהו חיצוני.

כן, אבל כשאתה מדבר על מחיצות, כשאתה נותן את המחיצות האלה, האם אתה יודע היום, יש איזה שפה? איך מגדירים מה התפקיד ומה הצרכים? איך אתה יודע להגיד, יש לו תפקיד כזה וכזה ועכשיו מה תחום ההרשאות שאני נותן לו, אני לא נותן לו את הכול, איפה זה נגמר ומה הוא צריך ומה הוא לא צריך.

בוודאי שיש - - -

זה עושה משרד האוצר? כל משרד עושה את זה? יש הנחיות בעניין הזה.

יש כמה דברים שקורים. דבר ראשון, אנשים יודעים, אנחנו יודעים, יש טבלאות שלמות של מה זה הרשאות נוגדות ולדעת מה כן ומה לא וכל אחד, יודעים מה התפקיד שלו. התפקידים הם מוגדרים, מדובר כאן על תהליכי עבודה בתוך המשרדים שיודעים מפורשות, כל אחד מטפל בחלק הספציפי שלו. לא לסגור מעגלים, סיכון ברור, לא יכול להיות מצב שמישהו יקבל הרשאה לרשום חשבונית ואחר כך גם לשלם, לצורך הנושא.

כן, אבל אתה מדבר על תחומים מאוד מוגדרים, אבל יש תחומים שהם לא, השאלה היא - - - לא הכול - - -

לא, זה בכל הדברים.

גם בתחום הלוגיסטיקה, סתם, או משאבי אנוש או מי שמקבל, יש לו תפקיד שהוא כזה שהוא נכנס לכל התחומים. ברגע שהוא נכנס לתפקיד אחד, הוא יכול להיכנס לתוך המערכת כולה או - - - כמה שלבים או כמה דרגות יש - - -

מה שמוגדר, זה נבנה לאורך השנים על פי הניסיון, על פי הבקשות, לצורך הנושא נציבות שירות המדינה הגדירה בתחום משאבי אנוש, בתחום הפיננסי הגדירו האנשים שטיפלו בפיננסים. זה נבנה לאורך שנים ועל זה יש גם בקרות ונדבר על זה בהמשך. יש תבניות מוגדרות לתפקידים. זאת אומרת הדברים נבנו מהבסיס עם מחשבה, לא מתן הרשאות - - -

אנחנו ניגע בזה תיכף. אולי אנחנו לא מבינים אחד את השני, אולי אנחנו לא מוגדרים, אבל יש משרדים ממשלתיים, גם בתשובה שהם נתנו, הם אומרים שאין הלימה מדויקת, אפילו הרבה יותר מלא מדויקת, בין התפקיד לבין המערכות שהוא יכול להיכנס. אין לזה הגדרה. צריך הגדרה מקצועית, או כל משרד, או הנחיה, להגדיר באופן אישי יותר, באופן מוגדר, תפקיד או רמה של תפקידים מול כמה כניסות. אין כניסה אין סופית, זה נכון, אבל יש עדיין בזה כמה וכמה - - - יכול להיות שהמערכת לא בנויה ככה, אבל נניח אם זה מחוזות, לפי אזורים, נניח הוא קיבל והשאלה אם יש לו בכל האזורים, בתחום שלו, עוד דברים.

לא, יש ממש - - -

יש מקומות שזה לא לפי אזורים, לא לפי תחומים, הגם שהוא צריך את זה במתכונת מאוד קטנה ומצומצמת, הוא לא צריך את כל המידע, אני יכול לתת לך דוגמאות.

יש אלפי רולים כאלה שהותאמו לצרכי התפקידים של האנשים, בגלל המורכבות הגדולה הזו. זאת אומרת אם זה אזורים ואם זה יחידות ספציפיות בתוך המשרדים. לצורך הנושא ניקח את משרד האוצר. במשרד האוצר יש לאנשים מסוימים, נגיד רכש, לוגיסטי, אז יכול להיות לוגיסטי בנא"מ ויכול להיות לוגיסטי טכנולוגיה, לכל אחד יהיו הרשאות אחרות. צריך להבין שאנחנו יודעים בדיוק כל אחד שייך לקבוצה מסוימת, לכן הניהול של זה נעשה בתוך המשרדים, הם מכירים את האנשים, אנחנו לא מכירים את האנשים שבשטח, הם אמורים לדעת בדיוק מה הם אמורים לבצע ומנהלן הרשאות בעצם מתעד את כל הבקשות, כל השינויים ועובד מול מרכב"ה, בכל מה שצריך את הסיוע שלהם.

כפי שציינת יש כ-15% עובדי חוץ, אחרים מה שנקרא, אבל בין האחרים האלה למשל יש כמה מאות רשויות מקומיות ובמקום מאוד ספציפי במשרד הרווחה, שזה בעצם המספר הגדול ביותר ולצרכי צפייה במידע מסוים שרלוונטי לעניין הרשויות לעניין תמיכות ספציפיות, עבודה שנעשית בין משרד הרווחה לבין הרשויות. יש לנו בנות שירות שמקבלות הרשאות, יש לנו עובדי עמ"י, משרד החוץ. עמ"י, עובד מקומי ישראלי, עובד מקומי זר לא מקבל הרשאות למערכת, עובד מקומי ישראלי מקבל הרשאות, הוא לא עובד מדינה כיום. רואי חשבון וכל הקבוצות האחרות של אנשים שנותנים שירות לממשלה, ההרשאות שלהם ניתנות לתקופות, כל משרד יודע להגדיר במסגרת הסכמי ההתקשרות או ההעסקה את תקופת ההעסקה ובהתאם לעקוב.

העלית את הנושא שהוא אחד הדברים שיכולים להיות מטרידים, אבל פחות בקטע של מערכת מרכב"ה, זה הנושא של למשל סיוע רפואי כזה או אחר שניתן לאדם. הנתונים על אנשים לא נמצאים במערכת. דרך אגב, משרד הבריאות היום מחזיק את כל נושא ציוד העזר הרפואי במערכות נפרדות אצלו. משרד הרווחה, כל נושא משפחות אומנה וכו', האנשים לא נמצאים בתוך המערכת הספציפית הזאת, יש מערכות נפרדות של משרד הרווחה, שמה נשמרים המאגרים האלה. זאת אומרת אנחנו ממש שמים דגש חזק שלא יהיו פרטים מזהים ככל שניתן. זו באמת אחריות המשרדים בזמן רישומים וכו' לבדוק את הדברים.

נושא קבלת מידע. קבלת מידע, יש לחשב אפשרות למשוך דברים, יש נתונים, יש אפשרות להסתייע במרכב"ה, צריך לפנות. אם משרדים יבואו ויישבו יחד עם מרכב"ה, כל אחד בדרישות שלו, אפשר יהיה לבנות את הדוחות הספציפיים. יש דברים שהם דברים גדולים, כפי שעלו כאן בנייר, בקשה מסוימת של נציבות שירות המדינה. הדבר הזה מאוד מאוד מורכב, זה משהו שצריכים לבוא ולדון איתנו בצורה מסודרת.

במהלך חודש יוני אנחנו נכנסים לתהליך חדש, שאני מתאר לעצמי ייקל גם על המשרדים, זה משהו שנבנה במהלך השנה וחצי האחרונות, תהליך של טופס חדש לעניין קבלת הרשאות, אנחנו יוצאים לתהליך של הטמעה, זה ייקח מספר חודשים. אני מתאר לעצמי שעד סוף השנה זה יוטמע באופן שוטף בכל המשרדים, זה בהחלט יקל אולי על חלק מהבקשות של המשרדים. אנחנו גם התחלנו להפעיל כלי חדש, של ASP, בנושא בקרה על הרשאות צולבות, דברים של מערכת ה-GRC, כדי לראות אם באמת זה משהו מלמעלה שאנחנו יכולים לעלות עליו, שיש איזה הרשאה שאינה תקינה.

זאת אומרת נעשים הרבה צעדים במשך השנים האחרונות, מעבר לשוטף, מעבר לעבודה שנעשית במשרדים לצורך פיקוח על מנת למנוע איזה שהוא שימוש לרעה.

אני רק אצטט לך תשובה של אחד מהמשרדים הממשלתיים, 'אין ברשותנו רישום המאפשר לצפות ולתחקר צפייה בנתונים בפועל'. אחת. שתיים, אני שואל אם יש פעולות יזומות. יש פה את המשרדים שאין להם את היכולת לראות אם יש כניסות חריגות או לא מורשות או באמת מחשידות. אני אומר את זה עוד פעם, אין מערכת התראה, זאת אומרת המערכות לא יודעת היום להתריע אם מישהו נכנס או לא. היא לא מתריעה על כניסות, זה אחת. ומערכת הניטור, אני לא הבנתי, היא יכולה היום לדעת, היא יודעת להגיד שהוא צפה, כמה הוא צפה, במה הוא צפה, היא יכולה לדעת מה הוא עשה עם זה? צילם את זה? המערכת יודעת היום לעשות את זה?

אני יודע ואני רוצה כן לשים דגש, ואני גם מאמין בעובדי מדינה, מטריד אותי מאוד הנושא של רואי חשבון, יועצים. אלה אנשים ששכרו אותם לצורך ועיקר הפעילות העסקית והמקצועית שלהם היא בתחומים אחרים, יש להם הרבה אינטרסים. היום המחויבות שלהם כלפי מה שלקחו אותם הוא זמני והוא קטן מבחינת היקף הפעילות שלהם ודווקא בתחום הזה שהם נמצאים יש להם את האפשרות להרבה הרבה יותר. יש להם גם עניין. אני מניח שעובד מדינה במהותו הוא אדם שנאמן למלאכתו והוא רוצה לשמור על אמנותו וגם מתכנתים אותם ככה או אפשר להגיד שהרבה מלמדים אותם וכל הזמן הוא נמצא בתוך מערכת שהיא יודעת את הכללים, שמדברת על הכללים כל הזמן וכל הזמן גם מחדשת אותם ומתזכרת אותם.

כמו שאנחנו מאוד מאוד רגישים לדיווחים ממשלתיים, לא משנה אם זה משטרה או לא, אפילו עובדי רשויות, לא לתת להם סמכויות או כל מיני אפשרויות מכיוון שאנחנו יודעים שיש פער גדול שאנחנו נותנים לעובד מדינה ולעובד חיצוני. האנשים האלה כמעט זרים למערכת, זה שיש לו איזה תואר אקדמי והייתי צריך אותו זה עדיין לא עושה אותו נאמן, גם לא נבדקת האמינות האישית שלו, נבדקת היכולת המקצועית שלו, לא מעבר לזה. לכן אני אומר, בחלק הזה, לבוא ולהגיד שהכול בסדר והכול נמצא במגסימום, ככה היה נשמע, אני קצת בעניין הזה, זה מחייב אותי לחדד ובתחום הזה אנחנו נמצאים בתחילתו של תהליך שאנחנו רוצים להגיע יותר רחוק, שינוי יעדים. אני אומר, אני לא רוצה לחזור על מה שאמרתי.

אולי אני אנסה לעזור. אני ראש מערך סייבר חירום וביטחון במשרד האוצר, אנחנו אחראים בין השאר על - - -

אמרו לי שהסייבר לא נמצא.

לא, אני משרד האוצר. המילה סייבר היא חדשה, אבל כשאנחנו התחלנו את הדרך קראו לזה אבטחת מידע ובעצם כל הדברים שמדובר בהם עכשיו זה הכול סביב המעגלים. כשאנחנו בנינו את מערכת מרכב"ה ההסתכלות האסטרטגית הייתה, ועוד לא היו אז גופי תשתית קריטית וכן הלאה וכן הלאה, אבל אנחנו בנינו את התשתית הקריטית, היא באמת קריטית למדינה בשמירה על המידע והיכולת התפקודית של הממשלה, זה באמת היה נר לרגלינו וככה בנינו אותה. כשהיא נכנסה לתבחינים של תשתית קריטית מהר מאוד היא הייתה מאוד גבוהה, כי ככה בנינו אותה, עם שיפורים שתמיד אפשר לעשות.

אבל מה בעצם הוליך, מה הרעיון המסדר? ואני חושב, אדוני היושב ראש, שכשאנחנו נבין את הרעיון המסדר אתה תוכל לקבל את התשובות ואם צריכים לעשות עוד דברים, בטוח יש פה אוזן קשבת. הרעיון הוא שלא יגידו עוד פעם משרד האוצר אחראי על הכול והוא מחליט והוא עושה, מה שחלק מהזמן אומרים. חלק מהזמן אומרים 'למה אנחנו לא יכולים?' וחלק מהזמן אומרים 'אנחנו לא אחראים, הוא אחראי וזה אחראי'. לכן המשרדים, יש להם אחריות טוטאלית על מי נכנס ומה הוא רואה ואיך הוא רואה וכאשר מדובר בעובד מדינה, אז קל לאדוני להתחבר - - -

עם האחריות יש להם גם כלים לעשות את זה?

כן, בוודאי. בכל משרד יש קב"ט שעושה בדיקות ביטחון, יש מנהל אבטחה שבודק אם האיש כשיר, יש חשב שיודע בדיוק איזה פעולה אחד עושה, אחד פונה, יש כמה חתימות. יש סט מאוד גדול של - - -

אבל הוא לא יכול לראות באיזה פריט הוא צפה.

רגע, אז בוא נתקדם. אני מתקדם. זה אחת. הדבר השני, בוא נעשה סדר בעובדי מדינה או לא עובדי מדינה.

אני הייתי רוצה להתמקד לא בעובדי מדינה.

לא עובדי מדינה, ברור, מי שלא עובד מדינה - - -

אני אגיד לך למה. אני מרגיש שאני מתפרס להרבה, אני מרגיש, מבחינתי, יכול להיות שאני טועה אז אני אשמח להגיד שטעינו בעניין הזה מבחינת גם החלק הזה של המערכת שאין לי ספק שהוא החלק החלש יותר בתוך המערכת הזאת. מי שהוא לא עובד מדינה, אין ספק, אני לא חושב שמישהו בשולחן הזה יגיד שזה גורם חוץ, החשש ממנו הוא חשש הרבה יותר גדול. אבל - - -

אני זורם איתך, אני הולך איתך ו - - -

אנחנו לא מדברים עכשיו על פריצות למערכת, על סייבר - - -

לא, אנחנו אומרים עם הרשאות.

דנו בעניין הזה, אם אנחנו יודעים להתאים את החליפה ללובש אותה, זה פעם אחת, דיברנו, אני רק רוצה שנתמקד, אבל דיברנו מה יש אפשרויות למערכות, לאותם משרדים, עוד לפני משרד האוצר, מי שמחזיק את מערכת המרכב"ה, מה יש להם, מה יש במערכת המרכב"ה ומה אין להם. והחלק שהוא באמת החלק העיקרי בעניין הזה שאנחנו רוצים להגיע אליו, בגלל שאנחנו חושבים, אולי בדברים האלה אין שלמות ואין סגירה לגמרי ויש הרבה אפשרויות, זה כאן מעלה אצלי, אני פחות דואג גם אם זה משרדי ממשלה, גורמי החוץ, שזה מספר לא מועט, בכל קנה מידה אני חושב שהוא מספר לא מועט בתוך מערכת - - - במערכת בהחלט אחוז לא מבוטל, שזה שווה התייחסות ולדון על זה. זה לא אחוז אחד מתוך המערכת.

אם נתכנס לדוגמה ספציפית נוכל להבין. נגיד שאנחנו משרד הרווחה, הועלה כאן, משרד הרווחה מעסיק יועצים. זו זכותו, וחובתו כנראה, כדי לעשות את עבודתו. היועצים צריכים לראות מידע שקיים במרכב"ה. עכשיו בוא נגיד שאנחנו מעסיקים יועצים שצריכים לראות עבודה, אנחנו רוצים שהעבודה תיעשה כי אם הוא לא יוכל לראות את המידע חבל להעסיק אותו, מי קובע מה הוא צריך לראות? המשרד, לא אנחנו במרכב"ה. הוא קובע, כי גם המידע שבמרכב"ה על התחום הזה הוא שלו. לכן הוא קובע מה הוא יכול לראות, הוא קובע את בדיקת הביטחון הרלוונטית, איך הוא שומר על המידע וכמה זמן תהיה לו הרשאה. אנחנו במערכת מרכזית ליועצים מדי שנה מפילים את ההרשאות, אבל לכל משרד הוא יכול מחר בבוקר לסגור כל יועץ שלו.

זאת השיטה, אנחנו לא רוצים שליטה מרכזית על כל משרדי הממשלה, אבל יש כללים ויש חוקים וכל משרד חייב לעשות את הדבר הזה. לכן זה הסיפור. אם מישהו לא יודע מה היועץ שלו עושה ולאן הוא מסתכל, שיסתכל במראה, יראה איזה הרשאות הוא נתן לו ואז הוא יידע בדיוק את התהליך.

טוב. אני מאוד מכבד את מה שאמרת, בסופו של דבר, הדוגמה שהבאנו, אם משרד הרווחה מביא משרד חיצוני, יועץ חיצוני, שהוא בודק תחום, מבחינתו זה היה תחום מאוד קטן בתחום התמיכות, מאוד מסווג.

הוא קיבל הרשאה לזה.

הוא קיבל הרשאה, אבל אז נפתח כל - - -

לא, לא, לא.

במשרד תחום התמיכות נפתח להם. אין אפשרות ל - - - אבל בוא נשמע את הדברים. אני אמצה בשלב הזה. אדרבא, הרשות להגנת הפרטיות?

כן.

שם ותפקיד בתוך הרשות.

קלדרון עלי, אני הממונה על הפיקוח המנהלי ברשות להגנת הפרטיות במשרד המשפטים. כמו שציינת, לפני שבוע נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע).

ברכות.

שבאמת פורסמו כבר לפני שנה, שהן כוללות חובות לכל מי שמחזיק מאגרי מידע, כולל גופים ממשלתיים כמובן. הן מגדירות רמות של אבטחה וחובות שתואמות לכל רמת אבטחה. בין החובות יש באמת נושאים - - -

זיהוי של כניסות למערכת?

נכון, נושאים שקשורים גם לכוח אדם, גם להרשאות הגישה ואיך קובעים אותן, גם לבקרה ותיעוד הגישה, סעיף 10 אומר שבמערכות כמו מרכב"ה, שאני מניח שרמת האבטחה שם צריכה להיות גבוהה, אמור להיות מנוהל מנגנון תיעוד אוטומטי שיאפשר ביקורת על הגישה למערכות המאגר שכולל זהות משתמש, תאריך, שעה של ניסיון, רכיב המערכת שאליו ניגשו וכדומה, כך שבהנחה שעומדים בדרישות התקנות אז אפשר אחר כך לתחקר אירועים ולנסות להבין מה קרה.

אפשרות לתחקר יש, לאחר מעשה.

זה קיים, כן.

כן, אני מניח שכן.

אבל האם אתם דורשים - - - זאת אומרת זה מה שדורשים? לא מעבר?

אלה הדרישות שבחוק. מעבר לכך - - -

אני רוצה לשאול, האם העובדה שפריטים נצפים, כלומר כל עוד משתמש, לפי התשובה שקיבלנו ממשרד האוצר, כל עוד משתמש לא ביצע שירות בפריט מידע אלא רק צפה בפריט מידע שהוא בתחומי ההרשאה שלו, לא יהיה תיעוד של הפריט עצמו שבו הוא צפה. אני אתן דוגמה קונקרטית, אם עובד נציבות שירות המדינה שתחומי עיסוקו הם מכרזים צפה בפריט מידע שהוא בתחומי הסמכות שלו, אבל באופן ספציפי היה קשור לעובדה שחבר שלו התמודד על מכרז וחבר שלו התקשר ואמר לו 'אתה יכול לבדוק לי אם עברתי או לא עברתי?' זו דוגמה שלא אני המצאתי. האם העובדה שאי אפשר יהיה לתחקר את האירוע הזה כי בעצם הוא צפה בפריט - - - לא יהיה מידע על איזה פריט מידע הוא צפה? האם העובדה ש - - -

לא, התיעוד אמור לפרט, התיעוד של כל גישה, כל צפייה במסמך זו בעצם גישה לאותו מסמך, לאותו פריט, לכן צריך להיות תיעוד, מי זה היה, באיזה זמן ובמה הוא צפה.

אז בצורה פשוטה, לפי התשובה שקיבלנו הם לא עומדים בתקנות במובן הזה.

אתם יודעים בדיוק - - -

כל כניסה לפריט יודעים.

הפריט, כללי.

לא, לכל מסך.

אני אקרא מהתשובה, 'ניתן לדעת שעובד ביצע פעולה לצפייה בתיק עובד להזמנת רכש, אך לא ניתן לדעת באיזה עובד או הזמנת רכש הוא צפה'. זו התשובה שאני קיבלתי ממשרד האוצר.

אין את הגישה הזאת. ספציפית אם הוא יצפה, אם הוא קיבל הרשאות לצפות בתיקים, אם הנציבות הרשתה לו לצפות בתיקים אז עם כל הכבוד הנציבות תשלול לו את ההרשאות אם היא חושבת שיש איזה בעיה. מותר לו לצפות. זה שהוא הדליף מידע, בדק עבור מישהו אחר זה לא תקין.

לא, בסדר, השאלה אם הוא יכול. האם ניתן לנטר את זה, לדעת האם הוא נכנס. הוא היה צריך, נניח, בתחום מסוים, הוא לא היה צריך להיכנס לכל המכרזים או שהוא - - -

אני רק אומר עוד משפט אחד, ברור שאם הוא נכנס לפריט אז יש לו הרשאות לפריט, אחרת הוא לא היה יכול להיכנס. התיעוד נדרש לכל פריט שיש לו הרשאה, מן הסתם, אחרת הוא לא היה יכול לראות.

אבל אין תיעוד על כל פריט שהוא נכנס.

אז יש פה בעיה.

אבל אם יש בפריט 1,000 שמות, אז מה, על כל שם הוא יכול לקבל הרשאה? לא, זה פריט.

לא, אבל שתדע שהוא נכנס. אין לי בעיה שהוא לא יקבל, אבל שנדע שהוא נכנס לזה ואיך תוכל לתחקר את האירוע. אני לא אומר שאפשר להגביל אותו בכניסה, אבל כל המטרה היא כדי לדעת אחרי לתחקר, אחרת אנשים לא יידעו.

אני אתן לך דוגמה שהגיעה לשולחני בפנייה ללשכה שלי. משרד חיצוני, הוא היה צריך לארגן בחינות במשרד מסוים, בחינות שהמשרד אחראי לכך, היום, כפי שידוע, הרבה משרדים, את הדברים האלה, לאור גם ביקורת שהייתה של מבקר המדינה, נתנו לעשות סדר ב - - - אותו משרד יודע להיכנס גם לתוך הציונים שניתנים, שבאופן מעשי הוא לא צריך לדעת את הציונים, הוא היה צריך שכל השלבים יהיו מסודרים ושיש שלב מסוים איך זה הולך והבוחנים מעבירים את זה והוא היה צריך לעשות סדר במערכת, אבל הוא צריך גם לדעת את התוצאות. אין שום הצדקה ואין שום צורך, שיידע גם את התוצאות של המבחנים. התוצאות של המבחנים, אני לא צריך עכשיו להרחיב כמה זה דבר שאנשים רוצים לדעת אותו, יש להם עניין, זה דבר שהוא לא בתחום הכלכלי ולא בתחום הכספי, אנחנו מדברים על רכש ועל דברים אחרים וזה ודאי ודאי יש כאן הרבה יותר אפשרות לדעת מראש דברים או מידע שאני לא רוצה להרחיב אותו.

המשרדים הממשלתיים מספיק חשובים, מספיק עושים עבודות בכל התחומים שאנחנו יודעים שיש שם גם תחומים רגישים מבחינת צנעת הפרט. אם דיברנו על רווחה, מה שהוא יודע בתחום התמיכות, אז אם הוא צריך לגבי מוסדות מסוימים ובתחום מסוים הוא גם יודע על תחום תמיכות בפרט, גם על אנשים שמקבלים עזרה בדברים ספציפיים ובהגדרה מקוטלגים כמו תמיכה.

מה עוד אתם חושבים לגבי הביקורות? אולי זה לא התחום שלכם, הביקורות של המשרדים? אני אולי אחזור לעניין הזה, איזה פעולות עושים, פעולות בקרה פנימיים של המשרדים? יש מחויבות, יש המלצה, כמה לעשות, איך לעשות, באיזה תדירות?

כן, במסגרת הוראות התכ"מ יש הנחיות מפורשות איך לפעול. בתחילת כל רבעון, נושא של בקרה ודוחות, יש כאן הנחיה ממש מפורשת בתוך הדוח - - - לפי הרשאות המשרדים ובעלי המידע, דוח בו הנתונים הבאים, פירוט המשתמשים, לבדוק שאין שם תשלומים מנוגדים - - - שאינם פעילים. צריך להעיף מבט, לראות מה נעשה. זאת אומרת אין כאן - - - זה כמה מאות משתמשים בחלק מהמשרדים אז זה קצת קשה מעבר, אבל כן הם צריכים לעבור ואנחנו במרכב"ה - - -

אבל הם, אין את זה, הם צריכים לבקש ממרכב"ה - - -

לא, זה יש להם ויש להם גם - - -

מה אין להם?

חוץ מאנחנו מרכב"ה אנחנו משרד, אז הוא מנהל - - -

רק שנייה, אבל מה אין למשרדים הספציפיים, מה הם צריכים לשאוב מהמנהלה או מהמרכב"ה בעצמה?

טוב, השם שלי אריה סיקסק, אני מנהל תחום אבטחת מידע וסייבר במשרד האוצר. אני גם מנהלן הרשאות של משרד האוצר. בעיקרון כל הדוחות האלה שעוזי תיאר כאן, זה אנחנו יכולים באופן עצמאי, אנחנו לא צריכים את מרכב"ה. מה שכן, מה שבאמת אנחנו לא יכולים לראות זה את הגישות של המשתמשים, כמו שדיברנו, על פריטים מסוימים ולקבל אולי מידע בזמן אמת שמישהו עשה משהו לא תקין, אבל אנחנו יכולים כמובן ל - - -

או אפילו לא בזמן אמת, בזמן שאתה חושב שזה זמן נוח לך לעשות את זה, או מבצע שאתה עושה.

נכון, אין לנו. אבל אם אנחנו מרגישים שיש איזה שהיא בעיה - - -

אתה יכול לבקש את זה.

אנחנו מבקשים. אני לא בטוח שזו בעיה גדולה כל כך.

לפי דעתך, אין הבדל בין משרד או כל אחראי לזה שיש לו את המידע הזה, ואז הוא יכול לפעול, או שהוא צריך לבקש את זה? אני, אם לי היה תחום אחריות כמו שלכם, המידע היה לפניי, היו מביאים לי את המידע, הייתי עושה בלחיצת כפתור, הייתי עושה את זה, הייתי בונה לעצמי מערכת כשאני צריך ו - - - אתם מכירים את זה, אנחנו בני אדם ואני חושב שאם היינו רוצים לשדרג את הפעולות שלנו בעניין הזה אני חושב שצריך לחשוב, אני לא יודע מה זה דורש מהמערכת הזאת, למה שלא נדע את זה? השקיפות או ההרחבה תיתן הרבה יותר - - -

אין לנו בעיה עם זה. צריך לשבת, לאפיין מה בדיוק צריך, לראות מה - - -

אני חושב שזה - - - יש מישהו שחולק בעניין הזה שזה יכול להיות יותר טוב?

אני רק אציין שזה לא רק שזה נחמד שזה יהיה, על פי התקנות זה חובה.

חובה שלכל משרד יהיה? להם יש, המערכת המרכזית של מרכב"ה, יש לה, אין בעיה, אני דיברתי על הפרקטיקה. מה שקורה באופן מעשי. אנחנו כולנו בני אדם וכולנו יודעים בתוך הרבה דברים, אתה גם נותן הרשאות וגם זה, אז עוד לבקש את זה, לחכות לזה ואז זה יכול להיות מאוחר ואני יודע כמה זמן זה לוקח וכמה אתה צריך לעבור, אז מה ששמים לך. מה אוכלים? מה שנמצא במקרר, במקפיא צריך עוד שלב.

מה שפתוח, מה שצריך לפתוח - - -

גם נכון, אני כבר לא מדבר על זה, נתתי דוגמה הכי קלה בעניין הזה. התייחסות, בבקשה. יכול להיות שאני אחרי זה אחזור אליכם, בשלב הזה, רועי, אולי תגיד כמה מילים על ה - - - אני לא חושב לעבור על כל ה - - - זה בסך הכול הגיע אתמול, אבל אולי דברים שלא אמרתי מתוך המסמך שלך. אתה חושב שיש משהו לציין? שאלה שאתה חושב? עבדת על זה הרבה זמן, לא?

כן.

אני חושב שזו דוגמה למסמך של הממ"מ, שלפעמים זה עושה לנו את העבודה. אין מי שהיום, איזה גוף ממשלתי - - - מסמך, אבל מכיוון שאנחנו גורם מפקח, אנחנו לפעמים שוכחים מה התפקיד שלנו, אנחנו גורם מפקח ומצפים ואנחנו מחויבים לעשות פיקוח על זה. הכלים שלנו לעשות את הפיקוח על זה, זה לפעמים כלים כאלה שאנחנו באמת לא יודעים, מסמך או עוד דברים כאלה, וכדי שאנחנו נעשה את העבודה נכון, ואני לא רואה אתכם משני צדי השולחן או משני צדי המתרס, אנחנו מאלה שתומכים, לפעמים גם מפקחים, מבקרים, מייעלים, הרבה דברים טובים יוצאים מדיונים כאלה והנושא הזה של נניח גורמי חוץ, שאנחנו מורידים את זה, משקפים את זה, יכול להיות שבסופו של דבר ייצאו דברים טובים בעניין הזה.

בעיניי זה צורך שצריך לעשות על זה דיון. אני תיכף במסקנות אעשה את זה, ככל שיתאפשר הזמן, שנוכל לשמוע אחרים בעניין הזה, זאת חשיבה מחדש ולבחון אותה ולשמוע ממשרדים אחרים איך קורה, מה עושים. לאוזנינו מגיעים כל מיני - - - זה לא סתם שאנחנו מדברים על זה. זה מגיע בתחומים מתוך המשרד, כאלה שהיו בעבר, כאלה שהיום לא והיום מרגישים פגועים בתוך המערכת, אז לפעמים - - - כמו כל גוף, אז אנשים שכבר לא נמצאים אז הם באים להלין על כל מיני כשלים שיש בתוך המערכות. רועי, בבקשה.

שלום. קודם כל ברור שהמערכת נועדה לאפשר כלי ניהול תקין יותר טובים. כלומר העובדה שתהליך עסקי לא מנוהל על ידי אדם אחד, אלא חייב כמה חתימות, נועד לייצר ניהול יותר נכון ושקיפות יותר גדולה ויכולת ניטור של חשב או של איש משאבי אנוש, ברור שהכלים הם כלים חיוביים. אני חושב שמה שכן עולה מתוך המסמך זה שהכלי העיקרי שבאמצעותו המערכת מנהלת את הגנת המידע שלה זה כלי של הרשאות גישה, שהוא כלי טוב, השאלה היא, ואני לא נוקט עמדה פה, אם הוא כלי מספק. כלומר בעצם העובדה שיש לי הרשאות גישה לתחום ידע מסוים וככל שהתחום הזה יהיה צר או לא צר זה לא מונע בצורה מלאה, או לא בהכרח מונע בצורה מלאה את היכולת שלי לעשות שימוש לרעה במידע.

מי קובע מה - - -

אז שנייה. שימוש לרעה במידע שאני נגיש אליו. בוא ניקח דוגמה מתחום אחר, תחום הבנקאות, אני חושב שבתחום הבנקאות יש מערכות כאלה שמאפשרות לנטר התנהגויות יוזרים חריגות, כלומר מקרה אתי אלון, יוזר שלקח - - -

לא, זה לא יכול להיות אתי אלון. החשב הכללי ברוב חוכמתו קבע שכדי לעשות טרנסקציה כספית אתה צריך לעבור כמעט שישה גורמים.

אני מבין ואני התייחסתי לזה בתחילת דבריי. הדוגמה של אתי אלון - - -

אם הצלחת לעבור את השישה האלה, כל הכבוד.

הדוגמה של אתי אלון לא הייתה במובן - - -

צריך להוריד.

הדוגמה של אתי אלון, אני מסכים לחלוטין, גם התייחסתי לזה בפתח דבריי, שהקיטוע של התהליך העסקי נועד בדיוק לענות על הדברים האלה ואני מודע לזה. אני אומר המקרה של אתי אלון במובן שמערכות הבנקאות כיום מפעילות מנגנוני ניטור כדי לבחון התנהגויות חריגות. עכשיו, ממה שאני מבין, מערכת מרכב"ה, כל עוד יוזר פועל בתוך מרחב ההרשאות שלו, וגם כנראה כשהוא לא פועל בתוך מרחב ההרשאות שלו, אף אחד לא מנסה לראות מה הוא עושה.

רועי, כשאתה מדבר על מערכת ניטור זה לא מערכת ניטור לאחר מעשה. מערכת הניטור של הבנקאות, כפי שהופיעו פה ודיברו פה, יש לה מערכות שמתריעות על שימוש של מישהו שהוא נכנס, או שימוש רב, דברים מתוחכמים שיש להם היום, או כשהוא יוצא מההרגלים שלו, יש לו סמכות ובתוך התחום שלו, אבל זה חריג בשימוש שלו.

אני רוצה לדייק, אדוני היושב ראש.

רק רגע. אני רוצה להגיד לך שאני נתקלתי באופן אישי, וזה היה בשבילי הפתעה ואולי אפילו התרגזתי על כך, כשהשאנו אנחנו את בתנו אז מטבע הדברים השימוש בכרטיס אשראי הוא רב יותר. יום אחד אי אפשר להשתמש בכרטיס אשראי, שאלתי מה? הם גילו שיש פעילות יתר בחשבון ובשימוש. אז אני חושב שדבר כזה צריך לשאול, תרים טלפון לבעל הכרטיס, תשאל אותו, 'אתה מודע לזה? הכרטיס אצלך?' אבל הפעולה היא מיד, באבחה אחת והיה גם נזק וזה באמת פגע באותה תקופה.

אני רוצה לנסות לענות, אדוני היושב ראש. יש פה שני חלקים לסוגיה. האחד, האם עובד, ספק, יועץ מקבל בדיוק את ההרשאות שמותר לו לראות. על זה אין לנו ויכוח, שהוא צריך לראות מה שהוא צריך לראות ולא יכול לראות גם מה שאסור לו לראות, כדי שהוא יוכל לעשות את מה שהוא צריך.

ואם המשרד יכול להקים מחיצות, אם יש לו אפשרות - - -

נכון, המשרד אמור לדעת לתת - - -

אמור לדעת, השאלה, הוא לא יכול לשים לבד מחיצות.

הוא יכול להגיד שמותר לו לראות כאן - - -

אבל אם המחיצות הן גדולות, אם המגרש גדול, אתה חייב לתת לו את המגרש גם אם הוא צריך את הקצה.

אני בטוח שצוות מרכב"ה, אם משרד יגיד 'אני רוצה עוד ארבע מחיצות', יישבו איתו על המדוכה ויחשבו איך עושים את זה. זה אחת.

הוא מעצמו לא מבקש את זה, הוא מה שיש לו - - -

אבל כל משרד, אנחנו יודעים מי מותר לו לראות יותר תמיכות או לא? זה חומר של המשרד.

מאה אחוז, אבל אם הוא נותן לו אפשרות אחת, הוא לא יכול אחרי זה להגביל אותו. אני לא מכיר את המשרד שיבוא ויגיד עכשיו למנהלי המרכב"ה, 'תשמעו, מכיוון שיש לי בדיקה, לא כל פעם, קורה לי ואני לא צריך את הכול, אז תעשו לי עוד מחיצות עכשיו' יגידו לו לשלם על זה - - -

לא.

גם בלי זה, הוא לא יילך עכשיו להגיד 'תעשו לי מחיצות' בגלל שאולי פעם הבאה הוא כן ירצה או לא ירצה. מטבע הדברים אנשים, אם אנחנו לא יוזמים את זה ולא מחליטים אנחנו, כאחראים על המערכת, לנסות לשאול את המשרד, 'האם אתה צריך לתת הרשאות בכל התחומים או שאתה נותן בגלל זה?' או 'האם לא צריך לעשות מחיצות?', 'האם לא ראוי לעשות מחיצות?'. אני אומר שאנחנו צריכים בעצמנו לעשות את זה, הוא תמיד יענה, אף פעם לא יאשימו אותו, הוא יגיד 'זה מה שהיה לי, אני נותן לו'. הוא היה מורשה, אבל הוא היה צריך 5% ממה שהוא יכול להגיע לצורך העבודה שהוא עושה.

בזה, זאת סוגיה שצריך לראות איך מתמודדים איתה כי אנחנו לא יכולים לקחת סמכויות מהמשרדים, אחר כך יאשימו אותנו, מה אתם מייצרים פה הפרעה. אז אולי צריך לפנות, להסב את תשומת לבם.

לא, המשרדים, אתם נותנים לגורמי חוץ ואתם חושבים שהם מקבלים, בגלל שאין לכם אפשרות במערכת לתת ואתם מקבלים אפשרויות רחבות מדי, תדרשו מהמערכת לעשות לכם מחיצות. שהמשרד, באחריות שלו - - -

אנחנו לא נותנים, המשרד נותן.

אני לא חושב שאנחנו מדברים באותה שפה. אני רוצה לגלגל את האחריות כלפי המשרד.

יפה.

המשרד צריך לדעת שאם קובעים לו שהוא נותן הרשאות בגלל שהוא צריך אותן, אבל הוא גם בעצמו יודע שהוא נותן הרשאות רחבות מדי בגלל שאין לו אפשרות היום מחשוביות אחרות, באחריותו בעתיד, אם לא במקרה הזה, לבוא למרכב"ה, המרכב"ה לא יודעת מה המשרד צריך, 'תשמעו, אני מבקש מכם שתעשו מחיצות'.

אני מציע שבמסגרת ההטמעה עכשיו, ביוני, כשאנחנו נכנסים לכל המשרדים ונעבור את כל מנהלני ההרשאות וכל המורשים שם נדגיש בפניהם את הנקודה הזאת, שבאמת במקומות שנראה להם שיש כאן חשיפת יתר, משהו לא - - -

כן, לייצר מערכות - - -

זה אחת.

כבר עשינו את שלנו.

הערה שאנחנו יכולים לעשות איתה משהו וזה חשוב. והדבר השני, האם יש ניסיון של משתמש לגשת למודולים שאין לו הרשאה. דיברנו על הרשאה גבוהה וזה נרשם וזה קופץ וזה מועבר.

לא, על זה לא דיברנו, זה ברור וזה א'-ב' של המערכת, לא על זה דיברנו. כניסות לא מורשות, אם זה אנחנו עושים אז מה עשינו?

יש מישהו שמבקש להוסיף דברים? בבקשה. שם ותפקיד.

ראובן אליהו, אני ממונה אבטחת מידע בסייבר במשרד הבריאות. כמה דברים. אחת, הרולים הם מאוד מאוד מסובכים, קשה להבין מה הרולים ואלפי רולים, לא בדיוק אנחנו מבינים מה נתנו בדיוק לעובד, אבל ייאמר לזכות מרכב"ה שאנחנו עושים איתם עבודה משותפת והם עושים מאמץ מאוד מאוד גדול לבוא ולהסביר לנו מה כל רול ורול, אבל צריך לבנות קצת יותר את נושא התפקידים כדי שבאמת יהיה יותר ברור וקל לנו לתת הרשאות. זה דבר אחד.

דבר שני, אם המידע הוא שלנו אנחנו צריכים לקבל את הלוגים כדי שנוכל לחבר אותם למערכות אבטחת המידע ולעשות מעקב. אי אפשר להסתכל היום על דוחות, מי צבע באופן ידני, זה לא ישים היום.

אנחנו נשב על הנושא הזה.

זה דחוף מאוד. צריך שכל הלוגים שנמצאים במרכב"ה יגיעו בחזרה למשרדים, שנחבר את זה למערכות האבטחה שלנו ונדע באמצעות הסים לזהות מי עושה מה ואיך ואז זה יכול לתת פה מענה וכלים למשרדים לעשות ניטור ו - - -

אני חושב שהם אצלך, אבל - - -

לא, לא, בוא נדבר על זה.

זה סיפור גדול - - -

זה סיפור גדול, אבל אם אתה רוצה שהאחריות - - -

כמות התנועה היא אדירה.

נכון, אבל אם אתה רוצה שהאחריות על המידע תהיה של המשרדים אתה צריך לתת לנו כלים.

יכול להיות שאני יכול לתת לך כלי בתוך המערכת, הנושא של ממשקים החוצה זה כבר משהו אחר.

התראות על מידע שלך תקבל, אבל - - -

לא, תסלח לי, לצפות במידע בתוך דוחות זה כמעט היום בלתי אפשרי לנטר עם זה ואין למשרדים כוח אדם להיכנס למערכת ולהסתכל בדוחות. קנינו מערכות מאוד מאוד מתוחכמות וטכנולוגיות שיודעות לעשות את זה אוטומטית והגיע הזמן שנקבל את הלוגים האלה, גם אם זה הרבה הרבה הרבה מאוד מידע.

אני מאוד מכבד את מה שאתה אומר ואני חושב שזה צריך להיות בכל המשרדים. נכון שמשרד הבריאות הוא משרד עם הרבה - - -

כמה זמן אתה שומר את הלוגים האלה? כמו מצלמות.

אם הם שומרים את הלוגים, מספיק שאחד ישמור, אני אקבל אותם לניטור ואחרי זה - - -

השאלה לכמה זמן צריך לשמור את זה.

צריך לשמור ל-24 חודשים לפי תקנות הגנת הפרטיות. זה חוק שיצא, תקנות שיצאו.

מי אדוני?

דוד רגב, ממונה אבטחת מידע במשרד הכלכלה.

מה אתה מבקש להוסיף בעניין הזה?

בנושא של הלוגים - - -

כן, אבל אנחנו מדברים, המערכות שאתם קניתם את זה, זה מערכות שתואמות למרכב"ה? איך זה עובד?

מערכת הסים שלנו, שאנחנו רכשנו, זה מערכת שיודעת לקבל לוגים משאר המערכות שיש, גם במערכות התפעוליות של המשרד, לעשות להם - - - ועל סמך חוקים שאנחנו קבענו יודעות להתריע לנו על כל מיני שאילתות שעושה משתמש או כניסה בשעות מאוחרות.

יפה מאוד שמשרד הבריאות עושה את זה, זה לא באשמה שלכם, אבל התברר שחברות פרטיות קיבלו מידע מגופים ממשלתיות, בזרועות יותר ארוכות שלכם, כמו בתי חולים או אחרים, על אנשים שזקוקים בתחום הבריאות, בתחום הגריאטריה, ודברים כאלה. זה גם התפרסם בעיתונות, הם קיבלו מידע שהם קיבלו ולא כתוב שזה נפרץ, ממידע שהיה ברשותם, בתחום ההרשאות שלהם. אבל לא ניכנס לזה.

אני יכול להעיר על הנושא הזה. לדוגמה, בחלק מהמערכות שלנו יש בקרה מאוד מאוד מסודרת שאם מטופל לא נמצא בבית חולים אי אפשר לעשות עליו חיפוש, נגיד. אם עושים עליו חיפוש, אז זה מעלה התראה אצלנו.

לא, יכול להיות ששחררו אותם. אלה ששוחררו וידעו שהם צריכים עכשיו שירותי רפואה בגלל השהות, הם קיבלו את המידע הזה.

זה היה בעבר, היום אתה לא יכול לעשות את זה, בחלק מהמערכות, אני לא אומר בכולן, אתה לא יכול לעשות היום חיפושים על אנשים שלא נמצאים בתוך בית החולים.

הם אנשים שלפני שהם יצאו מבית החולים עשו עליהם את החיפוש וקיבלו אותם מכיוון שהם ידעו שהם צריכים - - -

אין פתרון קסם לעובדים שמועלים בתפקיד שלהם. אנשים שבאמת רוצים - - -

זה האויב הכי גדול שלנו.

נכון, עובדים שרוצים לעשות עבירות, קשה מאוד לעלות עליהם, אבל אפשר למצוא אדם. אם אתה מחפש מישהו לא במחלקה שלך, אז המערכות יכולות להתריע על כאלה. אפשר לצמצם את שטח התקיפה עד למינימום, את הטעויות האלה, אבל אי אפשר למנוע אותן במאה אחוז.

אם אתה נותן לגורם חיצוני, נניח שאתה נותן לגורם חיצוני לבדוק את תחום התמיכות, עד איזה רמה הוא יכול להגיע? אפילו שאתה רצית על מוסד מסוים ועל תחום מסוים מאוד ספציפי, מה זה אמור לגבי התמיכות עד תחום הפרט?

אני יכול להגיד שאצלנו בתמיכות זה מחולק לפי מחוזות, יש חלוקה מאוד מאוד ברורה למחוזות ו- - -

מחוזות גיאוגרפיים?

כן, גיאוגרפיים, לדוגמה לשכת הבריאות ירושלים יכולה לעבוד רק על החלק בירושלים. במרכב"ה זה מאוד מאוד מסודר. אני יכול להגיד שטעויות שיכולות לקרות זה בגלל רולים שהם לא ברורים ואז פתאום ניתן למישהו רול קצת יותר גבוה. יש לנו בקרה על זה ויש לנו גם מחסנים שמנוהלים בצורה מאוד מאוד מסודרת. בסך הכול ההרשאות הן די הרשאות תקינות ויש בקרה מסודרת עם מרכב"ה, אנחנו עובדים עם שלי והעבודה איתנו די מסודרת, כך שיש רצון במרכב"ה לעבוד עם המשרדים ולמצוא פתרונות. אני חייב להגיד שהרולים חייבים שיהיה קצת יותר ברור - - -

אדוני, אני אמרתי קודם ככה - - -

צריך להיות מומחה לרולים בשביל זה.

חלק מהתהליך שלנו של הטמעת הכלי, של אקסס קונטרול, כרגע בתוך המערכת נטפל גם בנושאים האלה. זה חלק מתהליך העבודה, אנחנו כבר עשינו פיילוטים במספר משרדים, אנחנו רצים קדימה. בנוסף המערכת שאתה דיברת עליה, להבנתי גם כן בתוך מרכב"ה. זאת אומרת שניתן להציף אליך דברים מסוימים על פי קריטריונים שאפשר לעשות בתיאום איתכם, להציף לכם את הבעיות האלה.

אני חושב שצריך לתת מענה נוסף, שלא העלינו פה - - -

למה אתה קורא רולים? זה הגדרת תפקיד?

זה ההרשאות הניתנות. רול שולט על טרנסקציות שבעצם זה - - -

זה חלק מתפקיד.

אני רק רוצה להוסיף עוד משהו אחד. צריך למצוא פתרון לנושא של ניוד עובדים. מעבר עובדים מתפקיד לתפקיד יוצר פה עודף הרשאות.

צריך להוריד ולהעלות.

כן.

אם כך זה באמת באחריות המשרד. אולי לא מקפידים על זה.

הבעיה הגדולה ביותר היא בתקופת חפיפה. לעובד לא מבטלים את הרול הקודם כדי לחפוף את העובד הקודם ואז - - -

אז צריך מעקב. היום המשרד, מי שנותן, צריך להגיד 'בעוד שלושה חודשים אני צריך לעקוב אחרי זה, לראות מה קורה עם העניין הזה'.

בבקשה, נציבות שירות המדינה. שם ותפקיד.

פרדי אדיב, מנהל הדיגיטל.

מה אתם אומרים בתחום הזה? בכל אופן יש אצלכם תחום רחב מאוד של מידע ויש הרבה בתחום הפרט.

אצלנו בעצם יש שתי רמות של הרשאות מרכזיות. יש קודם כל לכל משרד את ההרשאות המבניות, שמותר להם לצפות רק במידע שלהם. מעבר לזה יש הרשאות רוחביות בעיקר לגופים אצלנו בתוך הנציבות, יחידות שהתפקיד שלהם להיות או חלק מבקר או חלק פעיל, נניח בקליטה, או גיוס, מיון. אנחנו עובדים גם עם עובדים חיצוניים, לדוגמה מכוני מיון וחברת תמיכה במועמדים וכמובן עובדי מדינה.

לנו הקושי הוא יותר לזהות מי ראה במסגרת ההרשאות שניתנו לו, באיזה מידע הוא צפה. אנחנו נרצה לעשות סוג של פרייסבאק, לדוגמה אם עלה לנו חשד שמישהו צפה באמת במידע, במסגרת הרולים שניתנו לו, שהם בסדר, אנחנו נרצה לדעת, לחזור אחורה ולראות מי צפה באיזה נתון, באיזה מועמד, באיזה עובד ובאיזה מידע. רק לצורך תחקור אחורה.

לדוגמה יכול להיות שהוא יכול היה לצפות בעובד מסוים, אבל הוא לא היה צריך לצפות בתיק האישי שלו.

לדוגמה.

הכול בזכויות שלו ובמסגרת ובמה שיש לו, בהתאמות שלו, הוא לא היה צריך לעשות, אבל הוא יכול להיכנס לתיק האישי ונאמר אני לא רוצה למנוע ממנו את זה לכל אחד, אבל אם יש לי חשד או משהו, שאני אוכל לדעת שהוא באמת הסתכל שם.

נכון.

אני כן הייתי רוצה התייחסות שלך לדבר הזה של התאמה בין סוגי ההרשאות לבין התפקיד שלו. כאן אני שמעתי שאין שום דבר בעניין הזה ואני לא רגוע בעניין.

אז במערכות כוח האדם נכון לעכשיו יש מעל 60 הרשאות שונות, שזה אומר 60 תפקידים שונים. אנחנו אפיינו בנציבות את ההרשאות הרוחביות וגם את ההרשאות המשרדיות, מה לכל משרד מותר לראות ואנחנו הגדרנו מה הוא רשאי לראות במערכת עד רמת איזה שדה מותר לו לצפות, איזה שדה מותר לו להזין. זה המון המון הרשאות, בלוגיסטיקה הפיננסית אני מניח שיש הרבה יותר, מבחינתנו אנחנו אפיינו את כל התפקידים בנציבות ובמשרדים שאנחנו מכירים, לדוגמה סמנכ"ל למינהל, והגדרנו מה מותר להם לראות ואיזה הרשאות הם צריכים לראות. עשינו ממש מיפוי מלא מלא והוצאנו את המסמכים, גם למשרדים וגם ליחידות הנציבות של כיצד להשתמש במידע או איזה הרשאות לבקש ומתי. כמובן שאנחנו עושים על זה בקרה ופיקוח, העניין הוא ששוב קשה לנו לחזור אחורה ולראות מה כן קרה בפועל.

בעצם הגופים שמקבלים הרשאות כלליות יותר זה אתם, יש לכם לכל המשרדים? לא לכולם, אבל כמה משרדים, לכמה גופים יש להם רב משרדים? למבקר המדינה יש הרשאות להיכנס נניח - - -

לא לכולם, למספר בודד של אנשים במשרד מבקר המדינה.

אני מבין, אבל איזה משרדים יש להם לכל - - -

למשרדים אין להם, רק במטה חשב כללי. נציבות שירות המדינה בקטע שלה אפשר.

כל אחד בקטע שלו.

מאה אחוז, אני שואל למי יש לו. נציבות שירות המדינה, למבקר המדינה, לאלה שיש להם, מה יש להם?

למבקר המדינה יש את הנושא אצלנו, הלוגיסטי.

רק בתחום הלוגיסטי?

הלוגיסטי פיננסי.

ואצלכם יש לכל התחום של משאבי אנוש?

הוא לא כפוף אלינו, לכן לא ברור לי אם יש לו הרשאות. אני לא חושב.

הוא לא קיבל מאיתנו.

לחשבות, נניח לחשב, מה יש לו? החשבות בכל המשרדים?

לכל חשב יש את המשרד שלו. זה רק בקרה שיש שמה כדי לראות שאין תמיכות כפולות. זה החשש שם, אחרת לא היינו עושים את זה.

יש עוד מישהו שרוצה להוסיף? המשרד לבטחון פנים נמצא פה?

אני ורד יאיר, מרשות כבאות והצלה. אני לא עובדת מדינה, אני עובדת בחשכ"ל של נותני השירותים, אני כבר שמונה שנים לא בשירות המדינה, אבל אני עובדת במשרד לבטחון פנים והיום אני ברשות הכבאות וההצלה. אני אחראית על כל היישומים, על כל מה שקשור למרכב"ה ואני חושבת שיש כמה דברים שכן צריך לבדוק ולהתחיל מלכתחילה, למקצע את מנהלן ההרשאות כי כמו שזה אצלנו זה מעט, זה בנוסף על תפקידו וכן יש צורך לתת יותר הדרכות, כי אני חושבת שהרבה מהם לא יודעים בדיוק מה הם עושים. הם ממלאים טופס והרבה פעמים שולחים טפסים, 'אנא תנו הרשאות כמו לעובד שלידו' או משהו כזה. הם לא באמת יודעים על איזה רולים מדובר, באיזה טרנסקציות לתת והרבה פעמים הרולים מכילים המון הרשאות שאין צורך בהן. אולי למקד את הרולים, אולי - - -

זה המשרד עצמו צריך להגדיר את זה?

המשרד הוא זה שממנה את מנהלן ההרשאות. באמת בחלק מהמשרדים, ההרשאות, זה לא המקצוע שלהם מה שנקרא, זה תוספת לעבודה וזה באמת בהסתכלות של המשרדים עצמם, איך הם רואים את הדבר הזה. כאשר מנהלן הרשאות נכנס לתפקיד הוא יושב עם צוותי מרכב"ה, הוא לומד, הם מלמדים אותו וכל שאלה הם צריכים לענות לו.

אין בעיה. אני נתקלתי עכשיו בהרבה מקרים שהמנהלן לא יודע לתת לי תשובה. יש גם קצר תקשורתי, לדעתי, בין המנהלנים, לפחות אצלנו, לבין צוות ההרשאות אצלכם ואני נתקלתי בזה לא מעט פעמים. אולי כן צריך לשים פה את הדגש - - -

ככל שהמשרד יידע שתחום האחריות של המנהלן הזה הוא תחום אחריות רחב, הוא צריך לעשות ככה, הוא יודע שהוא פחות יכול להטיל עליו, כי הוא חושב שזה רק תפקיד שהוא צריך לתת את האישור. ככל שאנחנו נדע את תחום האחריות שלו ככה באמת - - -

הוא גם יוכל להתמקצע בזה.

ואז יותר הכשרות בעניין הזה ואז ההתמקצעות שלו בעניין הזה תהיה יותר גדולה.

נמצא פה גם סגן חשב במשרד לבטחון פנים.

בבקשה.

שלום. שמי תמים. אל"ף, אני לא מכיר אותך, נעים מאוד.

כן, כי אני ברשות הכבאות וההצלה.

את יועצת של המשרד?

כן.

מאחר שהתייחסת לנושא הזה אני חייב להגיד שבאמת הנושא של ניהול ההרשאות, כמו שעוזי התייחס, מנוהל על ידי מנהלן ויש שם תהליך של מתן הרשאות שהכול נבחן, הכול על פי הכללים, על פי מה שהחשב הכללי כן מנחה, אנחנו כן נותנים את הדעת. אני מסכים איתך שבאמת צריך לתת לזה התייחסות או לעבות ולחזק את הפונקציה הזו, אבל זה כבר טיפול במישור אחר.

לגופו של עניין אני חייב להגיד לך שאנחנו כן בודקים באופן פרטני כל תפקיד וכל בעל תפקיד ואנחנו נותנים את הדעת - - -

בסדר, זה דיון ביניכם, אני לא יורד לרזולוציה הזו.

אוקיי, עלה משהו אז אני מתייחס לזה.

רק רציתי כן לשאול אותך, אם כבר אנחנו מדברים במשרד לבטחון פנים, שוטר, שיש לו הרשאה, היום הוא נכנס, זה נקרא שהוא לא יכול לתת נתונים, הוא רק צופה? שוטר סיור, איזה הרשאה יש לו?

אני מתנצל, אני לא יכול להתייחס לזה כי אני יותר - - -

במשטרת ישראל יש מערכת נפרדת ו - - -

ולפי מה הם מחויבים?

למיטב ידיעתי המשטרה עובדת במערכת פיננסית, יש להם מערכות שלהם.

הם לא במרכב"ה.

זה לא מרכב"ה, אבל אנחנו יכולים לשאול אותם, אם אפשר מישהו ליד השולחן. אתה מהמשרד לבטחון פנים?

לא, יהודה אופיר מרשות התקשוב.

הם לא הוזמנו?

לא, אני אומרת שאנחנו מזמינים אותם לשולחן.

הם לא רוצים, חשבתם שרחוק מן העין רחוק מן הלב? איך זה במשטרת ישראל? איך עובד תחום ההרשאות? שם ותפקיד.

שמי יוליה, אני מנהלת את כל נושא המשאבים במשטרת ישראל מבחינת המחשוב. המערכת במשטרת ישראל היא מערכת נפרדת, זה לא מערכת מרכב"ה, היא מבוססת על אותה טכנולוגיה וזו מערכת פנים משטרתית. מבחינת ההרשאות, מה שדיברו פה פחות או יותר מיושם גם אצלנו, גם מבחינת הרולים, גם מבחינת ה-GRC, גם מבחינת הפיקוח. יש לנו תהליכים פנימיים שלנו ואנחנו מנהלים את כל הנושא של המידור.

אני מניח ששם אצלכם הרגישות צריכה להיות הרבה יותר גדולה, האם שוטר סיור, שהוא לא בדרגת קצין, הוא יכול להיכנס למידע?

שוטרי סיור לרוב אינם מורשים במערכת הזאת. זו לא מערכת מבצעית, זו מערכת שמנהלת את המשאבים, מן הסתם מי שנגיש אליה זה אנשי פיננסים, תקציב, משאבי אנוש.

לא בכל התחומים, יש דברים שהוא כן יכול, ודאי במידע עד רישומים ודברים כאלה, ודאי שהוא יכול.

אבל זו לא אותה מערכת. אלה מערכות אחרות לגמרי. מה שאתה מדבר זה מערכות מבצעיות שבאמת הסיירים ואנשי התנועה ניגשים אליהם, זה לא קשור למה שאצלנו קוראים מב"ט, שזה מרכב"ה ביטחונית.

אני רוצה כן לציין, במקרה ידע אישי, שזה רק צריך ללמד את הזהירות, במשטרת תנועה עובד, במקרה זו הייתה עובדת שעבדה והיא רצתה לברר בסך הכול על דוח שאביה קיבל, לא לשנות אותו, גם אין אפשרות לשנות אותו, רק בירור. בכניסה שלה למערכת הזו היא לא הייתה מורשית היא סיימה את תפקידה במשטרה. יכול להיות ששם, השעה מאוחרת לראות, אולי שם זה עובד בצורה עם אזהרות, גם כניסות, שכן יש התראות על כניסות לא מורשות או מזהים כניסות רבות או משהו כזה. אבל אני באמת רציתי רק בכותרות, אני פשוט חייב לסיים.

בקצרה. אני לא ביקשתי את זכות הדיבור, רק עלה לי משהו תוך כדי הדיון.

שמך.

שמי יהודה אופיר, אני אחראי על משילות ובקרה ברשות התקשוב הממשלתית, באתי במקומו של ראש יה"ב שנמצא השבוע בחו"ל. רק מה שעלה לי תוך כדי דיון וזה משהו שאני לוקח לבדיקה אצלנו, מרכב"ה היא מונחית מערך הסייבר, היא אותה תשתית מדינתית קריטית, אבל היא משמשת משרדים שבחלק מהמקרים כל המערכות האחרות הן מונחות יה"ב, שזה של רשות התקשוב. אחד הדברים שאני לוקח אליי לבדיקה פנימית, לוודא מול גדעון, שהוא ראש יה"ב, שלא נוצרה לאקונה, איזה אות שלא מטופל, כי המערכת עצמה היא מונחית מערך הסייבר וחלק מהמשרדים המשתמשים הם מונחי רשות התקשוב, פשוט לוודא שההגדרות שם הן סגורות לגמרי.

יפה מאוד. אז גם הרווחנו.

רבותיי, אני קודם כל רוצה להודות לכם על ההשתתפות בדיון. אנחנו העלינו את זה בגלל שהרגשנו אחריות. אני לא רוצה לסכם את הדיון מכיוון שסך הכול נאמרו כאן הרבה דברים, התייחסתי תוך כדי דיון הרבה, אנחנו נסכם על זה שאנחנו נשב על זה עוד ישיבה. מה שאני מבקש, בין מה שהסכמתם ובין מה שלא הסכמנו בתוך הוועדה אני מבקש לעשות בדיקה חוזרת, בוודאי בהדגש לגבי מקבלי ההרשאות מבחוץ. בכלל אף אחד לא אוהב שיש הרבה משתמשים, כשהוא עובד אז הוא מקבל הרשאות, אבל לראות איך אפשר בהנחיה למשרדים לדעת יותר, למקד אותם, לתת להם את ההרשאות באמת הספציפיות שהם צריכים. אפשר בתחום שלוקחים את הייעוץ, שם לעשות את המחיצות. גם אם אתה לא רוצה לעשות את זה בכל המשרד, אבל בתחומים שעל פי רוב לוקחים אותם, לפעמים זה יועצים שלוקחיםאותם לתחומים מסוימים, שם כל משרד - - -

בשאר הדברים שדיברנו אתם תעשו ישיבת עבודה, אנחנו גם נסכם את הפרוטוקול של הישיבה ואנחנו נשלח לכם ואחרי זה נראה מה הייתה הפקת הלקחים ומה שונה בעניין. תודה רבה.


הישיבה ננעלה בשעה 14:50.