פרוטוקול של ישיבת ועדה

הכנסת העשרים

הכנסת



21
ועדת המדע והטכנולוגיה
29/05/2018


מושב רביעי



פרוטוקול מס' 176
מישיבת ועדת המדע והטכנולוגיה
יום שלישי, ט"ו בסיון התשע"ח (29 במאי 2018), שעה 10:30

תקיפת סייבר ברשויות המקומיות-קביעת מדיניות בנוגע לדרישות תשלומי כופר

חברי הוועדה: אורי מקלב – היו"ר

ארז תדהר - ראש מחלקת הנחיית המשק, מערך הסייבר הלאומי

גנית לב-ארי - ראש תחום בכיר קידום מדיניות, מערך הסייבר הלאומי

אהד יצקן - מנהל לקוחות, יחידת יה"ב, רשות התקשוב הממשלתי

עלי קלדרון - הממונה על האכיפה המנהלית, הרשות להגנת הפרטיות

ענבר נוי אליאסי - מנהלת תחום קשרי ממשל, משרד הפנים

ליאור שחר - מנהל אגף בכיר לתכנון מדיניות, משרד הפנים

יפעת גורדון - מתמחה, מח' ייעוץ וחקיקה, משרד המשפטים

מונס שמואל - מנהל תחום אבטחת מידע, משרד העבודה, הרווחה והשירותים החברתיים

יוסי שביט - מנחה מגזרי על הגנת המידע והסייבר בתעשייה, המשרד להגנת הסביבה

יעקב דולמצקי - מנהל יחידה להגנת המידע, המשרד להגנת הסביבה

שלום בן שמעון - רפ"ק, קמ"ד טכנולוגיות סיגנט, המשרד לבטחון פנים

מוטי קוסקס - רע"ן סייבר שב"ס, המשרד לבטחון פנים

צחי שלום - מנהל מערכות מידע, מרכז השלטון המקומי

אברהם אסרף - ממונה אבטחת מידע, עיריית ראשון לציון

איריס אלפסי - מנמ"רית, עיריית מעלה אדומים

אהוד ויצמן - מ"מ וסגן ראש העירייה, עיריית יבנה

בועז שלמון - מנהל מחשוב, עיריית יבנה

אורי איתן - אחראית תחום GIS ומתאמת מערכות הנדסיות, עיריית נצרת עלית

דורון אופק - איש סייבר, מנכ"ל Suse ישראל, התנועה לזכויות דיגיטליות

דניאל כהן - סטודנט, אוניברסיטת תל אביב

דניאל פרנסקי - מרכז ועדות מחנ"צ

ענת לוי

ס.ל., חבר תרגומים



תקיפת סייבר ברשויות המקומיות-קביעת מדיניות בנוגע לדרישות תשלומי כופר

אני מתכבד לפתוח ישיבה של ועדת המדע והטכנולוגיה. היום יום שלישי, ט"ו בסיוון התשע"ח, ה-29.5.18, על סדר יומנו תקיפת סייבר ברשויות המקומיות, קביעת מדיניות בנוגע לדרישות תשלומי כופר. אנחנו נדון בפרט, אבל בעיקר אנחנו רוצים מהפרט ללמוד על הכלל, מה אומר, מה אנחנו אומרים, מה אנחנו מצפים, מה אנחנו מנחים, על מי האחריות, אצל מי הסמכות.

זה לא הדיון הראשון שאנחנו מקיימים בתקופה האחרונה, זה דיון שני, שאנחנו נדרשים תוך תקופה קצרה, הדיון הקודם היה לפני כמה חודשים בנושא הרשויות המקומיות, דנו מהיבטים של אבטחת מידע, הגנה בפני מתקפת סייבר ועכשיו אנחנו נדרשים לדון על דרישות כופר.

קודם כל צריך להגיד שאנחנו מודעים לרגישות הרבה, על החומר הרגיש והפרטני מאוד שיש לרשויות המקומיות ככלל. אין רבים בממשלה, במשרדי הממשלה, שאפשר להגיד שיש מידע פרטני על האזרח כמו שיש ברשות המקומיות. ברוב משרדי הממשלה אין מידע פרטני שהוא יכול להיות מאוד רגיש, אלא אם זה נושא רווחה ונושא חינוך. מעבר לכך, בכלל מערכות מחשוב שקיימות היום ברשויות המקומיות, שיכולות להיות מאוד מאוד נפגעות, אנחנו דיברנו על זה גם, עד כדי כך זו שאלה של השלכות חמורות, אם זה מידע רב, שיבוש מערכות, רמזורים, מים ועוד, וככל שיש הרבה מידע והרבה חומר והרבה גופים שירצו ויהיו מעוניינים לדעת וגם במקביל להתקיל ולשבש מערכות.

אנחנו יודעים שמבחינה מסוימת יש פער גדול מאוד בין מה שהממשלה עשתה למשרדים שלה לבין מה שקורה ברשויות המקומיות. הייתי אומר פער גדול זה בכלל בלי השוואה. אם אנחנו נרצה לדמות מה שקורה בממשלה למה שקורה ברשויות המקומיות זה בכלל ללא השוואה, מכל הבחינות, בין בתקציב, בין בהסדרה, בין בתפקיד, בין בסמכות, בין באחריות. הממשלה היום זה מקום אחר, אנחנו נמצאים במקום אחר לגמרי. לא שאנחנו מחוסנים משום דבר, אבל אנחנו יודעים שיש דברים ברורים יותר. קודם כל אני רוצה להגיד מראש, אני לא מאשים אף אחד, אנחנו יודעים שזה דבר לא קל, אנחנו יודעים שעד שהממשלה בנתה לעצמה את המערכות עברו הרבה גלגולים, עד שהגענו לגופים המוסמכים היום, איפה שאנחנו נמצאים היום, אבל כיום אנחנו כבר יודעים, יש לנו מבנים שאנחנו יכולים לדעת מה אנחנו מצפים, מה אנחנו דורשים, לאן אנחנו רוצים, יש לנו יעד שאנחנו יודעים איך אנחנו רוצים להגיע וברשויות המקומיות התמונה היא מאוד עגומה.

הנושא האחרון שהתוודענו אליו, אני רוצה להגיד שזה היה גם כן באופן די מקרי, אני רוצה להגיד שזו פעולה יפה, שליחות יפה של חבר מועצה במועצת חוף אשקלון. התושבים לא קיבלו שירות כמה ימים ומישהו, חבר מועצה, נדרש ושאל וחקר ושוב חקר ושוב דרש והוא קיבל את התשובה שבעצם המועצה נמצאת בדרישת כופר ואין לה את המידע שהיא יכולה להפעיל והיא בעצם חסומה מלהפעיל את המערכות שלה. המועצה שילמה את הכופר, אבל מהפרט למדנו כלל, שזה לא המקרה הראשון, ששולם, שזה קיים. עצם הנושא הזה שנמצא פרוץ, כפי שאנחנו יודעים במקרים כאלה, כפי שכל קרימינל יודע וכפי שגם אנחנו יודעים, שכל פרצה קוראת לעוד פרצות וזה רק יכול להתגבר.

אנחנו באמת מודעים גם לעניין הזה ואנחנו לא נרצה לחשוף הרבה. אנחנו כן לוקחים אחריות, כדי לא לחשוף את כל הפרטים, מכיוון שאנחנו לא רוצים להגביר את האש, אנחנו רוצים לטובת העניין להציף, לשתף, לדעת מי הגורם, אם יש גורם מנחה, אם יש הנחיות היום, אם יש גורם שיכול לחייב, תחת מי האחריות, מי מתקצב, מודעות שאנחנו - - - כשאנחנו יודעים שיש מודעות, רשויות מקומיות זה דבר מאוד רחב, אנחנו מדברים על 257 אם לא יותר רשויות מקומיות שמתוכן יש ודאי רשויות חזקות, שיודעות, וגם הן אחראיות, יש להן את יכולות. אנחנו מדברים על רשויות קטנות יותר ובינוניות. גם בבינוניות, אני לא חושב שמי שיודע מה הוא צריך לעשות הוא יכול לקחת מדיניות עצמית, בגלל שאין דבר כזה, אני חושב שאין דבר כזה.

אני רק רוצה להזכיר שבדיון הקודם שהיה לנו, שהיה על אבטחת מידע וגם על מניעת מתקפות של סייבר, אז בפרוטוקול שחושף את הרבדים שהיו פה, אנחנו רואים שמצד אחד רשות הסייבר, מערך הסייבר הלאומי, הוא יכול להיות ממליץ, הוא יכול להיות מתריע, אולי גם יכול להיות מקום שיכול לייעץ, אם הוא נשאל, אבל הוא לא מעבר לזה. בוודאי שלא רשות התקשוב הממשלתית, גם אם היא מעורבת במקומות אחרים במקרה הזה אין לה הרבה סיי ואין לה מעורבות. משרד הפנים, אנחנו יודעים שמשרד הפנים, שהוא לכאורה המשרד שהוא הכתובת, גם משרד הפנים עצמו אומר שאין לו שום ידע מקצועי, הוא בתחילת הדרך בקליטת עובדים מקצועיים שיעשו פיילוט במקרים האלה. הוא לא מתוקצב, זה גם כוח אדם, ואני מצטט 'זה לא מעולם התוכן שלנו, מעבר לזה אנחנו מנסים, אבל אנחנו נוגעים בקצה הקרחון'.
אני גם רוצה, ברשותכם, בכל אופן ללמוד על המקרה הזה כדי לדעת מה משרד הפנים, האם יש רצון ויש חשיבה ויש מסקנה שהרשויות המקומיות צריכות להתנהל לפי כללים או הם צריכים כל אחד לקבוע כללים לעצמו, או שיש כללים מנחים כאלה, מכיוון שההרגשה שלי, לפי מה שאני שומע עכשיו, ממה שאני גם מזהה, שבעצם רוצים לתת הנחיות מאוד מאוד כלליות ואחרי זה לתת לכל רשות להתנהל בפני עצמה. אנחנו רוצים ללמוד את זה, אני לא חושב שזה נכון ואני אשמח לשמוע שהדברים האלה לא נכונים.

אני דווקא הייתי רוצה להתחיל את הדיון בעניין שהתחיל מהממשלה, ממערך הסייבר. האם זה נכון שבחלק מהמקומות שזה קרה גם קיבלו התראות מוקדמות? האם יש לכם הנחיות לגבי תשלום או לא תשלום? יש הנחיה בעניין הזה אם יש פגיעה? אחרי זה נמשיך הלאה לראות לגבי משרדים אחרים ומה המידע שיש לכם בעניין הזה, אם יש לכם גם איזה הכוונה מיוחדת לאור התמריצים שיש. זה יכול להיות בהחלט תמריץ.

הסוגיה הראשונה בתלמוד שאני למדתי, כשהייתי צריך להגיש עבודה, הייתה דווקא בנושאים שדומים לזה, על אם פודים את השבויים ביותר מכדי דמיהם. זו הייתה הסוגיה. אם לוקחים שבוי, מהעם היהודי, לוקחים שבוי ועכשיו יש דרישת כופר, מה צריך לעשות? האם לשלם או לא לשלם? יותר מכדי דמיהם? מה שמגיע מגיע, קבעו איזה רף, מה שאנשים עושים, משלמים כופר או לא משלמים כופר, זו הסוגיה הפרטית של כל אחד. האם זו רק סוגיה פרטית של כל אחד או שיש בזה משהו ציבורי ומשהו עם השלכת רוחב? מה שאמרנו קודם, אם זה גם גורם לתמרוץ. התלמוד מחדד את הדבר הזה, אם נותנים ומישהו ייתן יותר מכדי דמיהם יבואו אחרים וזו תהיה תופעה. החלק הזה של ההתנהלות, שהיא לא התנהלות פרטנית, אלא התנהלות כללית, היא צריכה להיות, לדעתנו, כגוף מנחה.

אני רק אומר דבר אחד ובזה אסיים, אנחנו, אחרי שנחשפנו אנחנו לא יכולים, כגורם מפקח וכוועדה ציבורית, אי אפשר להתנהל בדבר הזה בהתנהלות שקטה, אנחנו נעקוב אחרי הדברים. אנחנו רוצים להציף, אנחנו רוצים יעדים בעניין הזה, אנחנו מבקשים להגיע ללוחות זמנים והגדרת סמכויות, אחריות, תקצוב, כל מה שקשור בנושא הזה כדי להסדיר אותו. הצפי והרצון להגיע למה שהממשלה, ואני מכבד ואני מעריך את מה שהממשלה עשתה, בתקופות לא ארוכות היא עשתה צעדי ענק, הדבר הזה חייב להיות. אני לא חושב שצריך להכביר במילים מה ההשלכות לגבי הרשויות המקומיות, מהרבה בחינות הן השלכות מאוד רחבות, מאוד גדולות, מאוד דרמטיות, אני אומר גם מצילות חיים, גם של שאלת חיים. אין ספק בעניין הזה. מעבר לפרטיות כפי שזה צף בדיון הקודם.

אנחנו נבקש מכם להתייחס, שם ותפקיד, בבקשה.

בוקר טוב. ארז תדהר, רמ"ח הנחיה במערך הסייבר הלאומי. אני אשמח קצת לעשות סדר בדברים. אני אתן רקע מאוד זריז על מה באמת המערך עושה בהיבט הרשויות המקומיות. שאר המגזרים, או שאר החטיבות הן רלוונטיות, אבל לא לדיון הזה.

אז באופן כללי, לא מדויק שאנחנו לא מנחים את הרשויות המקומיות ושכל אחת מקבלת איזה שהן הנחיות גנריות ועושה כמיטב ידיעתה. לא מדויק. באופן כללי הוקמה יחידת הגנת סייבר במשרד הפנים, הם לא פיילוט, חמישה אנשי מקצוע מהשורה הראשונה, אנשים מצוינים, נבחרו כ-50 רשויות ראשוניות כקבוצת A, הקבוצה שאנחנו מגדירים אותה, לפי גודל אוכלוסייה, איומים שיש על העירייה עצמה, מספר מערכות, הרבה מאוד מרכיבים. בסופו של יום הצוות הזה מגיע לכל אחת ואחת מהעיריות האלה ומתחיל איתן תהליך עבודה מאוד סדור, מהבנת מה נכסי הארגון, מה רמות הסיכון של העירייה, על מה העירייה מעוניינת להגן, יחד עם מקבלי ההחלטות, ואני מדגיש, מקבלי ההחלטות, בישיבות האלה יושבים מנכ"ל, גזבר, יושבים עם מנהל המערכות, המנמ"ר, בונים ביחד תכנית עבודה ישימה והגיונית, לפי היכולות של כל עירייה ועירייה, כי אין דין עיריית תל אביב כדין עיריית נתיבות, ויחד בונים איתם תכנית להגנה בסייבר מ-א' ועד ת' על כל הנכסים החשובים לעירייה עצמה.

אם ניגע ונפתח את חוף אשקלון, חוף אשקלון, היינו בישיבה ספציפית, היא נכנסה בתוך ה-50. לפני שמונה חודשים, ישבו עם חוף אשקלון, בנו איתם מיפוי של כלל המערכות, אמרו להם בנקודות מאוד מאוד כלליות מה הדבר המיידי שצריך לעשות. לצערי, חוף אשקלון עד האירוע עצמו לא הזיזו את העניינים מספיק מהר. על עניין הכופר נדבר בנפרד. עיריית אשקלון, רק לחוף אשקלון, בשבוע שעבר זימנו באופן די בהול ישיבה נוספת כבר להתחיל להטמיע את מספר ההמלצות שניתנו להם לפני כמעט שנה.

מה שאני אומר, כל 50 העיריות האלה מקבלות ליווי צמוד ואחר כך הטמעה וסיוע. אני לא מדבר בכלל בהינתן אירוע סייבר כזה או אחר, אז נפתחים אגפים אחרים במערך הסייבר, האגף האופרטיבי, אגף ה-CERT הלאומי. אנחנו מנסים לטפל באירוע מקצה לקצה, למנוע את ההגעה של האירוע, אבל בהינתן אירוע נכנס לאחת העיריות, לטפל, לעזור ולסייע בשביל לסלק את האיום.

כשאנחנו מדברים על התראות כלליות, כל המשק מקבל התראות על בסיס יומי מה-CERT, זה תפקידו, אוספים מידע מכל העולם, כל פגיעוּת חדשה, כל תקיפה חדשה, כל איום חדש, מקבצים אותו לאיזה שהוא קובץ עם גם התראה וגם מה החיסון שנותנים לנזק שאמור ל - - - ומפיצים את זה לכלל המשק. אז גם כל ה-250 עיריות שלא ישבנו איתם מקבלות בדחיפה את כל ההתראות על בסיס יומי . כל התראה שיוצאת ניתנת לכולם. יש לנו רשימה, יחד עם השותפים שלנו במשרד הפנים, כל מנכ"לי העירייה מקבלים את זה, כל המנמ"רים, כי אין בכל העיריות מנמ"רים, אפילו המצב גרוע, ברוב העיריות אין מנמ"רים, אנחנו מנסים למצוא את האיש מולו לעבוד עם זה, איש המחשוב, אם זה המנכ"ל או אם זה המנמ"ר - - - יש הרבה מאוד בעלי תפקידים. אבל באופן כללי מערך הסייבר הלאומי לוקח אחריות על העיריות בעניין ההנחייתי. אנחנו מבינים את האיום.

דרך אגב, אני לא חושב שמגזר העיריות או המגזר המוניציפלי שונה ממגזר התחבורה או מגזר הגנת הסביבה, האיום קיים. איום הסייבר הוא איום קיים, הוא איום קונקרטי, התוקף, איפה שהוא יוכל להיכנס הוא ייכנס. תפקידנו כממשלה להגן על כל המרחב, כל המרחב האזרחי. ספציפית לעיריות הוקם צוות חזק מאוד שרץ בעיריות ועושה את העבודה שלו. לגבי שאלתך, האם כופר לשלם או לא - - -

קודם תן לנו תמונה אם אתה יכול לתת על דרישות כופר, תשלומי כופר, מה שאנחנו יכולים להגיד.

נחלק את זה לשני דברים. אחת, אנחנו חושבים - - -

כל פעם זה אחרת, בתקופה האחרונה היא התעצמה.

אז חוף אשקלון, למיטב ידיעתנו, זה המקרה היחיד שהותקפו בכופר ושילמו. היו מספר תקיפות, אנחנו מכירים לפחות עוד חמש-שש תקיפות כופרה, אני לא מכיר אף עירייה או אף גוף ששילם, ברשויות המקומיות. הרבה מאוד פעמים זה עלה - - -

אני אחדש לך.

אני מכיר.

אני מאוד אשמח לדעת. למה אני אומר את זה? אם עירייה מסוימת לא דיווחה, שמרה את זה בסוף, הדבר לא דלף, אין לי יכולת - - -

קודם כל ההגדרה של שומרת את זה בסוד, כדי להגדיר שומרת בסוד, בשביל זה צריך גם - - -

אז אני לא מכיר, זה חבל שאנחנו לא מכירים כי בסוף, אם נדבר קצת על כופרה לאנשים שטיפה פחות מבינים, כופרה בסוף מצפינים לך איזה שהם קבצים, כנראה מאוד חשובים אצלך, יכול מאוד להיות שבהרבה מאוד מקרים יש מפתחות להצפנה, מפתחות כאלה שאנחנו מכירים, אצל מאגרים שלנו. עירייה שבוחרת לא לפנות אלינו או לא לפנות לגורם מקצוע, יכולות להיות גם חברות אזרחיות, אנחנו לא שוללים את זה, כדי לקבל סיוע - - -

אני גם לא בטוח שבכלל פנו למשטרה במקרה הזה.

אני אפילו בטוח שלא פנו למשטרה. זו טעות. זו טעות טקטית, זו טעות ניהולית, אבל זו החלטה של כל עירייה אם היא עושה את זה או לא.

זאת השאלה. אתה קובע את זה או שאתה אומר ש - - -

אני אומר, אם ראש עיר החליט שהוא לא פונה למשטרה, לא פונה לרשויות החוק, לא פונה למערך הסייבר, זה אומר שאנחנו צריכים לבדוק למה.

השאלה מה ההנחיה שלכם בעניין הזה. אני גם ארצה את משרד הפנים, כל מה שאתה אומר, זה בסדר, זה מסגרת וולונטרית, או שההנחיה היא לא וולונטרית, אבל מעבר להנחיה, כפי שאתה אומר, חוף אשקלון קיבלו המלצה ולא יישמו את זה. זאת אומרת גם משרד הפנים עדיין לא רואה את עצמו כגורם מחייב, כפי שנאמר. הוא היום מתניע ומלמד ונותן את המידע, את הפן המקצועי יותר, מקרב את הפן המקצועי לרשות, נותן להם את האפשרות ללמוד, אבל עדיין הוא לא גורם מחייב. אבל אני תיכף אגיע למשרד הפנים, מפני שזה באמת - - -

רציתי, אם אפשר להוסיף מילה, דווקא מהרשות להגנת הפרטיות, מהכיוון שלנו. אני רוצה לתקן. שמי עלי קלדרון, אני ממונה על האכיפה המנהלית ברשות להגנת הפרטיות, משרד המשפטים.

עם מעבר התקנות החדשות לאבטחת מידע כל גוף במשק, על כל גוף במשק, כולל עיריות, מועצות מקומיות ורשויות חובה לדווח על כל דלף של מידע שמוגדר בחוק וגרם לשיבוש בגישה למידע. זאת אומרת היום יש חובה חוקית - - -

שלא רק רשות, גם גופים - - -

על כל גוף - - -

כל גוף שנמצא תחת מאגרי מידע, זה יכול להיות גם גופים פרטיים.

זה כל גוף שיש לו מאגר מספיק גדול, בוא נקרא לזה ככה, יש תנאים בחוק, אבל זה לא רק על דלף מידע, זה גם על שיבוש, אי אפשרות הגעה למידע, כמו במקרים של כופרה, וגם צריך לומר שכופרה לעתים, חוץ מהעובדה שהיא נעלה או הצפינה את המידע, היא גם שואבת את המידע ו - - -

תלוי, יש את היכולת, זה לא - - -

אבל אנחנו צריכים להסתכל עליה ככזאת. זאת אומרת גם אם נניח היא רק מצפינה, לא נותנת לך להשתמש בזה, גם אם היא לא שאבה את המידע, אנחנו צריכים להסתכל על זה, בגלל שזה - - -

לכן היום רשות שלא תדווח על העובדה שהיה אצלה אירוע כזה, היא עוברת על החוק.

זה באמת חשוב שנחדד את הדברים האלה, טובה קריאת הביניים בעניין הזה, שלא תצא תקלה תחת ידנו. אני תיכף אשמע אתכם, את השלטון המקומי.

אתה רצית להוסיף עוד משהו? אתם יודעים לזהות - - - אני אשאל אחרת, במשרדי ממשלה הייתה דרישת כופר? לא בשנה האחרונה.

התקפות כופר באופן כללי הן אחת מתווי התקיפה היותר נפוצות. שיטת הכניסה היא שיטה יחסית פשוטה ולכן אני מאמין שיש את זה לאורך ולרוחב כל המישור האזרחי.

מה ההנחיה למשרדי הממשלה?

דרישת הכופר האחרונה שהוצגה הייתה במשרד לשירותי דת, מה שהיה לנו עם הרבנות הראשית.

אני הבנתי שזה היה דווקא תרגיל טוב לראות שה - - -

במקרה גם המשרד הזה תחת הנחיה שלי.

שבאמת הכול פעל ונעצרו ה - - - ולאט לאט הבינו שזה היה, מתוך מה? מתוך כניסה לאתר אופנה או משהו?

דואר אלקטרוני חשוד.

אני אשמח לפרט כי במקרה זה גם גוף מונחה שלי, המשרד לשירותי דת, וזו דוגמה מצוינת להכנה מקדימה ואיך לטפל באירוע. הם קיבלו סט המלצות, אמנם זה יותר קל כי זה משרד ממשלתי, אז יש חוק שהם חייבים ליישם, אבל יישמו את ההמלצות, הגיעה בקשה לכופרה, יש מערכות גיבוי, הורידו את השרת הנגוע, לא ניכנס לפרטים טכניים, העלו מגיבוי והכופרה לא רלוונטית.

היה מקרה ששילמו כופרה במשרדי ממשלה?

לא.

יש הנחיה לא לשלם גם?

ההנחיה על ידי רשות התקשוב הממשלתי היא לא לשלם כופר עבור התקפות - - -

דרך אגב, המשטרה, המשרד לבטחון פנים, למה אתם לא יושבים ליד השולחן? אני רוצה גם לשאול אותך שאלה. כמה שנים, אם אני למד נכון או זוכר נכון, מדיונים אחרים שלנו, שיש לכם גם הנחיה כללית לא לשלם כופרה. אני אומר נכון, המשרד לבטחון פנים? רק בעניין הזה.

זה שב"כ.

רק תשובה קצרה, אם יש הנחיה כללית לא לשלם כופרה. עד כמה שזכור מדיון אחר שהיה לנו כאן בוועדה, זה נכון?

אני לא חושב שיש הנחיה, זה יותר עניין של המלצה, כמו שאר המשטרות בעולם ושאר הגופים, שממליצים לא לשלם מהטעם הראשון, שקודם כל לא בטוח אנחנו נקבל את מה שאנחנו נשלם עבורו ודבר שני, אנחנו נעודד את הכופרה.

מעניין אותי, המשרד לבטחון פנים, המשטרה, אומרים שוודאי בשאלה של זמן יש הרבה מקרים שהם הצליחו לשחזר, המשטרה הצליחה גם - - -

התופעה היא תופעה עולמית קודם כל. בעולם אנחנו מכירים את זה מזה כשנתיים, קצת יותר, זה בהיקף של כמה מאות שאנחנו מכירים. הטיפול מבחינת המשטרה הוא מאוד מוגבל בגלל שכל העקבות הובילו למדינות שאין לנו שת"פ חקירתי פורה, כמו סין, אירנים, רוסים, וקצת קשה לנו שם לחקור את הנושא הזה ולכן הטיפול עבר למישור המניעתי.

מבחינה טכנית מקצועית יש אפשרויות שאפשר כן לשחזר ולתת את ה - - - תיכף נתייחס לעניין הזה.

משטרת ישראל, אני רק אגיד על זה מילה, על הטיפול, שותפה במיזם של מדינות מובילות עולם הסייבר, שנקרא no more ransom, ושם נותנים כלים, מדי פעם מעדכנים אותם, בסיוע של חברות הגנת תוכנה, נותנים כלים לנסות לפצח את אותן הצפנות שתוקפות את אותם אנשים. אז ככה שמכירים את זה וזה פורסם גם באתר המשטרה.

זאת אומרת גם להחזיר מידע. טוב, אני שמח לשמוע שאנחנו בסך הכול לא אור לגויים בעניין הזה, אנחנו מעצמת סייבר, אבל לא במתקפות, אנחנו לא בפצחנים, בדרישות הכופר, אנחנו לא מובילים, זה דבר שמניח את דעתנו, דבר משמח. ודאי שזה דבר שמגיע מהעולם, גם נעשים לפעמים מחוץ לישראל, לאו דווקא תמיד גם דרישות הכופר מישראל, אני מניח שזה מגורמים מבחוץ.

אחת השיטות הנפוצות.

כשאנחנו מדברים על לשלם היום במטבע הביטקוין, חלק מהסיבות אנחנו מאי רצון לתת את הדבר החוקי, בגלל שהכופר משולם על פי רוב בכאלה מטבעות שלא נותנות לזהות את ה - - -

תיכף אני אתן לשלטון המקומי, אבל לפני זה משרד הפנים, ליאור שחר. בבקשה, תן לנו תמונה טיפה יותר ברורה. בדיון הקודם, הנציג שלכם, אלי, אלי נמצא פה?

אני מתנצל בשמו, הוא לא יכול היה להגיע.

בכל אופן הוא גם דיבר על כך, הוא הכריז על עצמו ש'אני לא גורם רגולטורי מול הרשויות המקומיות, אני לא גורם מחייב', האם אתם נשארים בעמדה הזאת?

ברשותך אני רק רוצה לפרט פעילויות שמשרד הפנים עושה. היות שציינת מצב עגום, אז אני כן רוצה לפרט.

ואחרי זה תתייחס למה ששאלתי.

ואני אתייחס כמובן לנושא הסמכויות הרגולטוריות. בעצם המשרד מתמקד כיום בעיקר בפעולות מניעה, שזה כולל התנעת תהליך יישום חוסן קיברנטי ברשות המקומית, מבדק רמת חוסן במערכות הרשות המקומית. אנחנו מנהלים קשר שוטף עם הרשויות המקומיות בהכנת תכנית הסדרת פערים והיערכות למימושה, כולל כתיבת הנחיות אבטחת מידע. אנחנו עובדים היום על הקמת יכולת רוחבית, מגיבה ברוב רשויות מקומיות. אנחנו כמובן, כמו שנאמר פה על ידי מערך הסייבר, מעבירים למעשה את ההתראות לרשויות המקומיות בנושא אבטחת מידע, סיוע ברכש לרשויות המקומיות בהיערכות שלהם וקידום מודעות הרשויות המקומיות לאבטחת מידע באמצעות כנסים, תרגול בסימולציות, קורסים וכו'.

ספציפית בנוגע לחוף אשקלון, כפי שכבר דווח פה, אכן הייתה פגישה עם הרשות המקומית לפני התקיפה של הסייבר, נערך מיפוי, לצערנו באמת לא היה שיתוף פעולה מלא, אני אומר את זה בזהירות. ביום ראשון הייתה ישיבה נוספת עם חוף אשקלון שלמעשה מהתקיפה עד יום ראשון כבר שודרגו והוחלפו מספר מערכות אבטחת מידע ובנוסף אושרה העסקה של מנהל אבטחת מידע עבור המועצה.

אני חושב שזה חוסר אומץ ציבורי לראש המועצה שלא הגיע, על אף ההזמנה. אני חושב שהיה צריך להגיע - - -

אני אקטע אותך, יכול להיות שבגלל המצב הביטחוני אז נדון לכף זכות.

תמיד נדון לכף זכות, אני רק רוצה להגיד שבתגובה שלו לעיתון 'מעריב' בכתבה שהתפרסמה אתמול, שבאמת הציפה - - - יש התעניינות מאוד מאוד גדולה בנושא הזה, בגלל שבסך הכול אנשים לא מכירים את הממשלה על כל ענפיה, אבל את המועצה המקומית, הרשות המקומית, מצפים ממנה, יודעים, חוששים הרבה יותר בעניין הזה. אני חושב שכולנו מסכימים שהמידע הפרטני, הקטן, נמצא ברשות המקומית הרבה הרבה יותר מ - - - יכול להיות שלמוסד לביטוח לאומי, בקבוצה שהוא מטפל, בחלק האוכלוסייה, אבל לרשות מקומית יש דברים רבים, כאיש שמגיע מהשלטון הזה אני יודע, והוא אומר לא, לא היה מודעות, מי ידע?

אז שני דברים אנחנו למדים ממה שאתה אומר, קודם כל שהייתה מודעות. מודעות, אבל לא יושמה. אני גם לא יכול להאשים אותו בגלל שהוא לא היה חייב ליישם אותה, זה היה בגדר המלצה והצפת הדברים. ודאי שאנחנו שואלים היום איפה האחריות שלך, איפה - - -

זה היה יותר מהצפה, יש לנו סיכום דיון מאוד מאוד מפורט על כל המערכות.

אני שואל אותך, ליאור, האם הייתם בחוף אשקלון בגלל שהוא מסווג ב - - -

ב-50.

לא בגלל שידעתם משהו?

לא, לא, היינו שם באוגוסט בשנה שעברה, כמעט שנה. לא קשור לכופרה. הוא נבחר, ספציפית חוף אשקלון, בגלל סמיכות הגדר. יש עשר רשויות, לא קשור, כי הוא לא גדול ולא - - -

למה הסמיכות לגדר? הגדר הפיזית היא גם גדר - - -

הפיזית, כן.

יש לזה גם השלכה על ה - - -

בוודאי, האיום הקינטי משפיע יחד עם - - -

על הדיגיטלי?

בוודאי.

זו מילה חשובה שנאמרה פה, אני לא חשבתי, למדתי עוד משהו, שגם קרבה פיזית משפיעה על ה - - - תמיד חשבנו שהגבולות הם גבולות אחרים.

לא, זו הבעיה בדיוק בסייבר, אין גבולות וברגע שאתה מוסיף לזה איום קינטי אתה יכול להשבית מערכות קיברנטיות על ידי איום קינטי ואנחנו בעוד בעיה.

אתה רק מציף שאנחנו בעניין הזה גם כן נקיים ישיבה. ליאור, נמשיך הלאה. אני כן ציינתי את חבר המועצה לשעבר שחפר בדבר הזה כדי להציף את זה. לא בגלל שזה חוף אשקלון או לא חוף אשקלון, אני חושב שההצפה של הדבר הזה תביא את האחריות, אני מתכוון לגבי השלטון המקומי, לגבי ראשי הרשויות. אני מבין ראש רשות שלא רוצה להציף דבר כזה מכיוון שזה לא תעודת הוקרה וכבוד, כמו גם אנשים שלפעמים נכנסים להם, זה לא דבר נעים שנכנסים לך הביתה, ודאי שהרשות עמדה בפני הדבר הזה, גם אם אין לו אחריות ולא אשמה וחוסר מודעות, בסופו של דבר זה לא תהליך שהוא רוצה שתושבי המקום יידעו שאתה בעניין הזה. גם עם המידע, זה מביא חששות רבים והשלכות רבות במערכת האמון והדימוי של אותו יישוב, אותה מועצה.

זה בסדר, אבל אם זה פוגע בהיערכות אז לפעמים אנחנו מפרסמים, כמו שלפעמים מפרסמים עושה מצווה מפרסמים גם עושה עברה, כפי שהמשטרה נוקטת, כפי שכל המשק. אנחנו מציפים דברים גם במחשבה שהמקרה יביא עוד מקרה, אבל במערכת האיזון זה מודעות ומחויבות. אני אומר לכם כמשרד הפנים, בעניין הזה, במערכת השיקולים שיש לכם בהנחיה לרשויות המקומיות. בבקשה, ליאור.

אם אני מסתכל על מה שאמרת יצא הפסדו בשכרו, כלומר הוא שילם אמנם על הנושא הזה של שיפרצו את המתקפה, אבל הפרסום שהיה בעניין, אני חושב שזה הכניס למודעות אדירה את כל הרשויות המקומיות. לפעמים אירועים כאלה, צריך באמת למנף אותם.

ואם היינו מפרסמים את האירועים שהיו קודם והיו אירועים לפניו אז יכול להיות שגם זה לא היה קורה. חכם עיניו בראשו, סוף מעשה במחשבה תחילה, כל הפתגמים הם טובים, אבל לא המקרה האחרון, יכול להגיד את זה כבר קודם.

חשוב לי עוד משהו לציין. בדצמבר 17' הייתה החלטת ממשלה שאיחדה את מטה הסייבר והרשות להגנת הסייבר לרשות אחת, לפחות מה שנאמר זה ש - - - הייתה הגנת הסייבר במרחב האזרחי, החל מגיבוש מדיניות ובניין כוח טכנולוגי ועד להגנה מבצעית בסייבר. היו דיונים בנושא הזה. מצאתי פה ציטוטים מראש מערך הסייבר הלאומי, הייתה איזה שהיא קואליציה של דיון בנושא הזה וגם מצוין פה שהחל מתחילת השנה מערך הסייבר, כארגון מאוחד שהוא כיום הכתובת הממלכתית לכל המתרחש בתחומי הגנת הסייבר ובטחון סייבר. זה המהלך החשוב שנעשה בתחום מאז שיצאה ישראל למסע הסייבר שלה לפני 16 שנה.

חשוב לי לציין את הדברים האלה, אנחנו בהחלט רואים במערך הסייבר כדמות שמנחה אותנו ומובילה אותנו ובאמת הדמות שמבינה יותר מכל משרדי הממשלה בתחום הזה. היה חשוב לי להביא את הדברים האלה. אני יודע שחוף אשקלון, אתה ענית להם גם וכתבת להם שלמעשה 'מעבר לעובדה כי פעולה זו נוגדת נחרצות את הנחיות מערך הסייבר הלאומי' כלומר הפעולה של תשלום כופר, אתה בפירוש כתבת להם במכתב, אז המדיניות פה מאוד מאוד ברורה בעניין הזה, אנחנו חושבים שזה היה נכון שכן יבוא ממערך הסייבר וזה אכן בא ממערך הסייבר.

ההנחיה היא לא לשלם כופר? או שההנחיה היא לפנות מיד למערך הסייבר?

אני אסביר. בסוף אמרת את זה נכון, כשאנחנו מגיעים בסוף לאירוע המבודד, כשכבר חטפנו כופר ואז מנהל הארגון, לא משנה אם זה ראש עיר או ראש עסק, עושה את השיקולים שלו. אנחנו, כמערך, לא חושבים שאנחנו יכולים להגיד או להנחות או לחייב לשלם או לא לשלם.

להמליץ? זאת ברגע שמגיע אליכם דיווח על אירוע? אני חושב שאם ככה נצא באיזה - - -

המדיניות שלשלם - - -

כל אירוע כזה צריך להעביר לכם ואתם יושבים עכשיו כאנשי מקצוע. הרי אתם גם או מישהו צריך להסתכל על כל התמונה באופן כללי. לפעמים צריך לראות מה הנזק כדי למנוע מאחרים, כמו שאני אמרתי, לא - - - דהיינו שלא להגביר את התמריצים לתופעה הזו, שמישהו צריך להנחות אותה. אני עוד אחזור אליך, אני לא רוצה להפריע לו באמצע. ליאור, תמשיך.

אז באותו עניין, זו באמת סוגיה שהיא לא פשוטה, אם לשלם דמי כופר או לא. אתה פתחת בגמרא, אני קצת אנסה טיפה להתפלפל איתך, אמרת שאם פודים שבויים יותר מכדי דמיהם, אם פודים או לא פודים, אז התוספות היה מציין אם יש לך מקרים, והיו מקרים בעולם, של בתי חולים - - -

איפה זה, גיטין או קידושין?

לא עד כדי כך. אז במקרה הזה של הסייבר הוא מאוד מאוד מורכב, והיו כאלה מקרים בעולם, של השתלטות על חדרי ניתוחים, על תיקים של חולים, זאת אומרת מה אתה עושה בכזה מקרה שיתבקש כופר על כל תיק, משהו כמו 700 דולר.

אני רק מזכיר שהמהר"מ מרוטנבורג, הוא נפטר בכלא. הוא לא הסכים שיפדו אותו והוא נשאר ונפטר בכלא כדי - - -

לא ליצור תקדים. אז בהחלט זו סוגיה מורכבת. שוב, אנחנו חושבים, כמו שאתה אמרת, שאכן מערך הסייבר זה הגוף שייתכן ש - - -

אבל הנחיה צריכה לצאת מיד, כל אירוע במקום הזה דבר ראשון צריך לפנות ל - - - הוא הגוף המנחה. זה צריך להיות מיד.

חד משמעית.

זה ידוע וברור.

זה גם יצא.

מתי יצא?

יצא מיד אחרי האירוע של חוף אשקלון, יצאה הנחיה לכל 256 הרשויות דרך היחידה המגזרית של משרד הפנים, כל אירוע יש לפנות במיידי ליחידה המגזרית, הם זמינים 24/7 וכתוב להם 'בהיעדר מענה לפנות ל-CERT הלאומי', 24/7, טלפונים, מיילים, אנחנו רוצים להכיר את האירוע כדי לנסות להכיל אותו. זה חד משמעית הנחיה שיצאה.

מצוין.

אני מגיע לסמכויות. לא בורח מהסמכויות. אז באמת יש מכתב של המנכ"ל בעניין הזה למנכ"ל משרד ראש הממשלה ומנכ"לית משרד הפנים, היות שבאמת אנחנו סבורים שאין סמכות מעוגנת בחוק בעניין הזה בתחום מערכות הסייבר, בדגש על רשויות מקומיות, ולכן ביקשנו ואנחנו נפעל, לכן גם הישיבות האלה בעיניי הן חשובות, צריכה להתקיים הישיבה הזאת וצריך באמת לסגור את הנושא הזה אחת ולתמיד. הסמכות הרגולטורית, של מי היא, לסכם את הדברים ואם צריך לתקן חקיקה בעניין הזה. בוא נגיד כמה שיותר מהר זה - - -

ליאור, אני אשאל וזו שאלה אחרונה שלי אליכם, אני רוצה לעבור לשלטון המקומי. לדרג את הרשויות, מי חייב להפעיל מה, מי מיישם סייבר, סדר גודל, מישהו צריך, עוד לפני שזה מחייב ואחריות, בהנחיה הזאת אפילו, להתחיל להגדיר לרשויות, כמו כל חוזר מנכ"ל, או כמו דברים מקצועיים שאתם מנחים אותם, להגדיר את הרשויות, איזה רשות צריכה להעסיק מישהו. לא בגלל כופר, כופר זה רק חלק, יש לנו הרבה דברים מעבר לזה, בעצם מה - - - המידע ובכל מה שאנחנו צריכים למלחמה בסייבר. היום כל בעל עסק קטן כבר בודק את עצמו 'מה אני צריך', היום הממשלה מעודדת מיישמי סייבר, מלמדת אותם, הם מנחים את הגופים הפרטיים, אז אנחנו לא יכולים את הגופים הציבוריים?

יחד עם זה, לפני שאני נותן לך, מפני שאני יודע שיכולה להיות מתקפה רבתי על השלטון המקומי, האם יש שיפוי כספי? זה עלויות כספיות. אנחנו יודעים את מצבו של השלטון המקומי, לא יכול להיות גם הדבר הזה, אני מבין גם את חוסר ה - - - לקחת מחויבות וסמכויות מכיוון שהנושא התקציבי הוא מאוד - - - זה עננה, זה חלק מהסיבה. אם היו לכם תקציבים יכול להיות שהייתם מסתכלים על הכול אחרת. אני חושב שהשילוב הזה והדרישות האלה זה לא רק דרישות של סמכות, צריכות להיות גם דרישות כלכליות. בסופו של דבר אם אנחנו רוצים להנחות את השלטון המקומי, זה לא דברים זולים בהסדרה הכוללת, השלטון המקומי היום מתחבט בנושא הכלכלי, הוא בסיסי שם, המון במצוקות וזה צריך להיות חלק, להיות מובנה בתהליך.

אבל אני אחזור אליך, ליאור, אני רוצה לפנות לשלטון המקומי, אני קצת לומד את הדברים ואז אעשה עוד סבב שני, כדי שתהיה תשובה גם לדברים אחרים. תם ולא נשלם, ליאור.

אני אגיב קודם קצת לדברים שנאמרו פה, כי הם הוצגו בצורה מאוד יפה, אבל הם קצת חוטאים לאמת, בעדינות אני אגיד את זה. מטה הסייבר באמת מוציא מדי פעם הנחיות והוא שולח את ההנחיות, אבל זה לא מגיע לכל מקום. לדוגמה, אני נרשם לפני שלושה חודשים לניוזלטר ואני עדיין לא מקבל את העדכונים. אז אנחנו נשמח לעזור, להפיץ את זה - - -

אני אשמח לדעת מה זה ניוזלטר.

העדכונים השוטפים של התקפות, יש וקטורים, נרשמנו - - -

אתה המנמ"ר הראשי של - - -

נכון, של מרכז השלטון המקומי. תיכף נגיע לכל הקונסטלציה. אני נרשמתי בכוונה - - -

כמה זמן אתה בתפקיד?

חצי שנה. בשנה שעברה הייתי מנמ"ר של רמת השרון, הייתי רשום וקיבלתי ואמרתי שאני אנסה את הרישום מחדש.

יחידת הסייבר. יחידת הסייבר באמת משותפת לשני הגופים והיא מתוקצבת מהדיון הקודם שגילינו במיליון שקלים, משהו כזה, סכום שהוא מגוחך לכל הדעות, במיוחד כשאנחנו מתחילים בהתניה והבניה של תקנות אבטחת המידע שעלו פה מקודם, שהרשויות לא ערוכות להן. דיברנו על זה והסברנו, התקנות נפלו, לא כרעם ביום בהיר, אבל היכולת שלנו להתכונן ולהחיל אותן, אין סיכוי בחיים שרשות תהיה מוכנה ואנחנו לא מוכנים ויודעים את זה. אני לא בטוח שגופים אחרים ממשלתיים ערוכים ומיישמים אותן.

אז זה שיש חמישה אנשים שמסתובבים בארץ ומכינים אותנו לתקנות, זה נחמד, זה יפה, זה התחלה, אנחנו מברכים, אבל בטח שזה לא מספיק בתקופה שלנו. זאת אומרת אי אפשר לבוא ולהגיד 'אנחנו באים, נותנים לכם ניירות', אני שותף לכמה רשויות שעושות את זה, מקבלים ניירות ו'תתחילו לעבוד ותתחילו לעשות ותרשמו את המערכת'. אז אם יש שבויים מחוף אשקלון, ואני לא בא להגן על חוף אשקלון, כי אני לא מכיר את הפרטים והפגישות והכול, אבל אם יש שבויים מחוץ אשקלון ואמרו להם 'אתם צריכים להחליף את הפיירול שלכם' מן הסתם לא היה להם תקציב. וכנראה גם לא היה מישהו שיעשה את זה, כי החברים פה, אף אחד מהם לא בא עם תקצוב לסיפור הזה.

זאת אומרת אנחנו נכנסים לתוך שנת בחירות, לתוך תהליכים שקורים ברשות עם תקציבים מועטים למערכות מידע בכלל ולהגנת הסייבר ו - - -

בקריאת ביניים אני שואל את משרד הפנים, הכנתם איזה הערכה תקציבית?

אני חייב להתייחס בקצרה.

אתה לא חייב, אתה מבקש להתייחס.

מבקש.

אבל זה לא הוגן להפריע לו ברצף הדיבור שלו.

אנחנו בקשר עם החבר'ה שלכם.

אתה לא מקבל את בקשתי כרגע אז נחכה.

אני הייתי בטוח שאני אחזור אליך עוד, לכן אמרתי תם ולא נשלם. השאלה אם עשיתם הערכות תקציביות לפי רשויות מקומיות, בכללי? הרי אתם רוצים לבוא בדרישה, אני רוצה לבוא בדרישה, לא אתם רק, אני רוצה לבוא ולהעלות את זה ככנסת, כגוף שמפקח, לשאול תקציב ממשרד האוצר, אני גם לא יודע על מה לדבר. אני מחר מבקש מיושב ראש ועדת הכספים, יש לנו הלימה בדיונים שלנו, גם מפני שהוא היה היושב ראש הקודם של הוועדה, הוא מחבב את הוועדה הזו מאוד, אבל מעבר לזה הוא גם מודע לדיונים שקיימים ולצרכים שעולים, ואני בא ואומר לו 'תשמע, אתה מקיים דיון עם משרד הפנים, אתה יושב עם האוצר, יש כאן נושא שהוא מאוד קריטי וחשוב, צריך לתקצב', צריך להגדיר מה ההכנה, מה התכנית השנתית, תלת שנתית, דברים כאלה. ככה מתחילים דברים, אם לא, אנחנו לא זזים. ככה הממשלה גם התקדמה.

אני לא מבקר את משרד הפנים, ממש לא, ידעתי מראש איפה אתם נמצאים, אתם נסחפתם בעל כורחכם, בגלל שאין ברירה, אף אחד לא - - - אני איתכם, זורם איתכם בעניין הזה, אבל עם כל זה צריך להיכנס פה לדבר הבסיסי שזה הנושא התקציבי. לפני שאני נתתי לו לדבר אני שאלתי אותך שאלה תקציבית, ידעתי שזה יגיע בנושא הזה.

אז לגבי המענה. אני מכיר אירוע אחד לפחות שהייתה פנייה למטה הסייבר והתשובה הייתה 'תודה רבה, אין לנו מה לעשות עם זה, תמשיכו לבד'. זו הייתה התשובה. זה לא נעים.

אשמח לדעת את הפרטים של המקרה.

אתן לך אותם בקלות. אנחנו נתקלנו בשלטון המקומי בכופר, אני התקשרתי אישית, פתחתי קריאה, עשיתי את כל התהליך מול הגוף שלכם ואמרו לי 'תודה רבה, תמשיך לבד'. זו הייתה התשובה.

אתה יכול להגיד - - -

מרכז שלטון מקומי. אצלנו. היה לנו אזור מאוד קטן שהצליחו לגעת בו.

אפשר - - -

ברור.

לא, עכשיו, תגיד לי.

כרגע את כל הפרטים?

לא את כל הפרטים, מתי זה היה.

לפני חמישה חודשים.

באופן חריג אני לא מכיר את האירוע הזה ואני אמור להכיר כל אירוע בשלטון המקומי, כל אירוע.

אז זה קרה ו - - -

למי פנית אישית?

אני פניתי אישית, אני התקשרתי, הייתי בצפון, נסעתי לתקופה קצרה.

ל-CERT? לאן?

ל-CERT, בזמנו זה היה ה-CERT - - -

זה עדיין ה-CERT.

פתחו קריאה, אמרו 'יופי, אין לנו תשובה בשבילך, תודה'.

ארז, הוא גם לא מקבל את העדכונים.

לא, בסדר, זה היה - - -

יושבים פה נציגים של יחידות מגזריות אחרות, מקבלים עדכונים על בסיס יומי. פה יש תקלה טכנית.

בסדר, אנחנו לא מתנצחים פה, אנחנו רוצים ללמוד.

אנחנו רוצים לתקן. אני אמרתי, אני אשמח להפיץ את זה בשמכם כדי שזה יגיע לכל הרשויות. בכיף, נשב ונעשה עבודה.

להיפך, אני אומר אם יש פה תקלה, נלמד את התקלה.

בשלב הבא אנחנו נעשה את זה, אבל עכשיו דבר ראשון אני רוצה להציף וללמוד, אני רוצה לעשות ישיבה שבאמת תומכת ומקדמת. אין לנו עניין עכשיו להאשים מישהו.

אם נמשיך לפרוט את זה לפרוטות, אז בעצם זה לא רק תקציב, זה גם כוח אדם. אנחנו מדברים על תקן של מנמ"ר שלא קיים ברשויות, הוא מופיע בספר התפקידים, הוא לא מספיק בכיר, אנחנו עוד לא מדברים על ממונה אבטחת מידע.

הוא גם לא - - -

הוא לא סטטוטורי, הוא לא בכיר מספיק, הוא לא לב המהות. מנהל אבטחת המידע הוא תפקיד של מנהל מחלקה, שאני חוזר ואומר, זה בסביבות 10,000 שקלים, אין לנו סיכוי בחיים להביא אנשים, תשכחו מזה.

אני חייב פשוט לחזק אותו, היום אנשי מקצוע רציניים לא יגיעו לשכר כזה לשום עירייה, הם יילכו לחברת פרטיות בהייטק. אני מסכים.

אני רוצה להגיד לך שאם הוא יעבוד ברשות המקומית כמיישם סייבר השכר שלו כבר יהיה יותר גבוה.

נכון.

מיישם סייבר, יותר ממנמ"ר ואיפה גודל האחריות ואיפה התפקידים ומה ההשוואה.

נכון, חד משמעית.

ליאור, היום הממשלה מאשרת סכום של 200 שקל לשעה, אני חושב, למיישם סייבר. הנציבות מאשרת, לא יודע, מי שצריך לאשר את זה. אז אתם מבינים עכשיו כמה ש - - -

בצר לנו, בכל האירועים האלה אנחנו פונים לחברות פרטיות, משלמים כסף, משלמים המון כסף ו - - -

והמידע גם נשאר אצלכם בסך הכול.

זה תלוי, זה לא פשוט.

אני חושב שיש בזה משהו, לא משנה.

זה תהליך מעוות. אין לנו אבא, אין לנו אמא, אנחנו די ילד חורג בסיפור הזה של אבטחת מידע ועוד כמה דברים. כמו שראית, הדיון הוא בעצם בין גופים שכולם רוצים להנחות, כולם רוצים לתת, לא לתת, להנחות אותנו, להפנות אותנו לכיוון, אבל בעצם אף אחד לא בא עם פתרונות או עם כסף או עם יכולות לקדם את הנושא. מרכז שלטון מקומי אמר את זה לפני שנה, אנחנו כבר שנה עושים מול כל הגופים האלה עבודה, גם מול ישראל דיגיטלית, על רעיון שהעלינו. הבנו שאף אחד לא מרים את הכפפה ואנחנו אמרנו שאנחנו נקים ענן עבור הרשויות שבעצם ייתן את כל שירותי התקשוב עבור הרשויות, דבר שיפתור לנו את בעיות אבטחת המידע, משהו כמו התקשוב הממשלתי. אנחנו נתקלים, לצערנו, בהרבה בירוקרטיה והמון קשיים ביישום של הפרויקט הזה, לא בגלל שאף אחד לא רוצה, כל הגופים באים ואומרים 'אנחנו רוצים להיות שותפים', ישראל דיגיטלית, מטה הסייבר, משרד הפנים, ברור, אלי, כולם רוצים להיות שותפים אבל התנועה היא בלתי הגיונית. זאת אומרת אם אני מוכן לעשות פרויקט אני מוגבל במכרז כי הרשויות לא יקבלו פטור ואז משרד הפנים לא נותן לי את הפטור. אוקיי אז אני אומר, אני אעשה פרויקט עם פיקוד העורף ואז פיקוד העורף אומר 'אני לא יודע לתקצב פרויקט אזרחי בטופ שלי', אז אני אומר, 'אוקיי אז אני אביא כסף', אבל אני לא יודע גם לקבל ממך כסף אז אנחנו תקועים.

זאת אומרת הבירוקרטיה קצת תוקעת אותנו בכל התהליכים האלה. אם נוסיף את זה לכל החבילה - - -

הייתה לכם ישיבה עם משרד הפנים בעניין הזה?

כן, כן.

הצפתם את הבעיות האלה?

כן, ישבנו עם אלי לפני חודש ב - - -

קודם כל אני מברך את המרכז לשלטון מקומי שלקח תפקיד מנמ"ר. אני כבר רואה כמה שזה היה חשוב, מתחיל להזיז את העניינים. זה יפה מאוד שהשלטון המקומי הגיע למסקנה - - -

לא היה עד עכשיו?

כן, לא היה תפקיד כזה.

המנמ"ר היה, אבל הוא היה יותר מנמ"ר פנימי, פחות חשוף לגופים החיצוניים. ברשויות אנחנו מנסים ליישם פיילוט, לדוגמה של מנמ"ר אזורי. אנחנו מתחילים לעבוד על זה, כדי לתת איזה שהוא מענה שיהיה איש עם ידע בסיסי, טכנולוגי, שיעשה את העבודה. אבל הוא לא יהיה סתם, יעמוד שם וייתן - - -

- - - באופן פרטני ברשויות המקומיות, מה המצב שלכם מבחינת הגנת הסייבר?

יש לנו בסביבות 50 מנמ"רים.

בוא נפריד את הערים הגדולות.

נוריד את תל אביב, נוריד את חיפה, נוריד את ירושלים, מרמת עיר בינונית ומטה אנחנו די בבעיה. ברשויות הבינוניות המסודרות יש מנמ"ר וממונה אבטחת מידע, יש כאלה - - -

אתה אומר את זה באותו משפט, אל תגיד את זה באותו משפט.

אני אומר את זה באותו משפט כי יש שתי ישויות נפרדות, כרגע - - -

על פי חוק, אני מבין.

אני אסדר את הסדר. כשאני אומר מנמ"ר וממונה אבטחת מידע, החובה עליהם למנות ממונה אבטחת מידע זה משנת 81', מחוק הגנת הפרטיות. הרשויות לקחו את זה ברצינות ומינו, אבל הם מינו את המנמ"ר, באו תקנות הגנת הפרטיות ואמרו 'לא, עכשיו אסור, צריך להפריד את זה', המנמ"ר לא יכול להיות ממונה אבטחת מידע. זה מהישיבה האחרונה שלנו עם - - -

אלה התקנות?

כן.

כן, זה בגלל הקונפליקט המובנה בין מי שאחראי על אבטחת המידע ובין מי שבונה - - -

אבל זה תרגום לא נכון לגוף שקוראים לו רשות מקומית.

לעם הארץ, תסביר לי רגע שאני אבין. למה יש סתירה בתוך ה - - - כדי להבין, סליחה שאני מטריח את זמנכם כדי ללמוד.

קודם כל מה ששלום צחי אמר הוא נכון. אנחנו, דרך אגב, גם נפגשנו לפני חודש איתם והם העלו חלק מהבעיות, אבל אני רוצה לציין שהתקנות אמנם נכנסו לתוקף לפני שלושה שבועות, אבל הן פורסמו כבר לפני שנה ואכן רוב - - -

גם בדיון הקודם, אנחנו אמרנו את זה, גם כשהיה פה את הדיון על התקנות, הסברנו שאנחנו לא נוכל לעמוד בהן, הן לא הגיוניות והן לא מתאימות לגוף שקוראים לו רשות מקומית. אי אפשר לבוא ולעשות את ההפרדה הזאת. במקום אחר יש את הקונפליקט שאתה מדבר עליו, ברשות מקומית אין את הקונפליקט, כי אם המנמ"ר הוא ממונה אבטחת מידע - - -

תסביר לי על רגל אחת למה יש קונפליקט ולמה במקומות אחרים אין קונפליקט? המנמ"ר בתפקיד שלו, למה הוא לא יכול להיות גם ממונה על אבטחת המידע?

קודם כל התקנות מגדירות שלא יכול להיות אותו אדם בשני התפקידים האלה. אני יכול לבדוק רגע מה הסיבה הספציפית ואני יכול להגיד גם שבאותה פגישה שדיברו עם הרשויות המקומיות כן דיברו על איזה שהיא יכולת אולי לחשוב על אכיפה סובלנית בעניין הזה ובעוד כמה עניינים שהם העלו, אולי באופן זמני, אני לא יודע בדיוק מה היה הסיכום - - -

לפני זה, מה הסיבות שיש קונפליקט?

יש לזה סיבה מקצועית. העניין הוא מאוד פשוט, - - -

תציג את עצמך.

שמי אופק דורון מהעמותה לזכויות דיגיטליות, אני גם מרצה לסייבר באוניברסיטה, עושה הרבה מאוד פרויקטים בתחום של סייבר.

העניין הוא מאוד פשוט. המנמ"ר, תפקידו הוא בעצם להפעיל את מערכת המחשוב הארגונית ובדרך כלל אנשי ההפעלה יחפשו את הדרכים הקלות והזולות כדי להפעיל באמת וליצור את אותה הפעלה. מצד שני, אנשי ההגנה, תפקידם לבוא ממקום אחר ולהגיד 'אני גם עשוי להקשות על המערכת כדי להשיג אותה יותר מוגנת'. בין שני הפערים האלה איש אחד לא יידע לקבל את ההחלטה, או לא יוכל, כי זה שני כיוונים סותרים לחלוטין, מצד אחד אני רוצה להקשות על המערכת, כדי להגן עליה, מצד שני אני רוצה להקל עליה. זה לא יכול להיות - - -

יש לו מחויבות גם ל - - -

יש לו גם וגם.

יש לו מחויבות פלילית. אני אסביר את ההיגיון. למה הרשויות הלכו לפתרון הזה? כי המנמ"ר - - -

למה אתם חושבים שאצלכם אין את הקונפליקט הזה?

אני אסביר. המנמ"ר בעצם הוא מנהל המאגר ברשויות, במקומות אחרים יש חלוקה - - -

הוא גם, לפי התקנות החדשות גם.

נכון, אבל ברשות יש לנו בין עשרה מאגרים ברשות קטנה למאות מאגרים ברשות גדולה, לא יכול להיות שיהיו מאות מנהלי מאגרי מידע שמנהלים אותו בן אדם, לכן המנמ"ר הוא מנהל המאגר. לו החבות הפלילית על פי התקנות, זאת אומרת שאין לו פה קונפליקט כמעט, האחריות היא עליו בלבד לפי התקנות החדשות ולכן כמנהל המאגר הוא תמיד ייטה לטובת אבטחת המידע.

לא נכון, זה לא רק עליו, יש מי שמיישם ויש את המנהלים ויש שם שרשרת אחריות.

לא, לא, לא, מנהל המאגר הוא הנושא באחריות הפלילית.

בסדר, צחי, בוא נתקדם. המצב של הרשויות המקומיות, אני מבין, הוא לא בכי טוב.

הוא במצב לא טוב בכלל.

אתה יכול להגיד לי, אתה יכול לתת כמה מקרים, מה שאתה יכול לפרט, חוף אשקלון זה לא מקרה ראשון.

נכון, זה לא מקרה ראשון, היו עוד רשויות שפשוט חזרו משחזור.

אני שואל, אמרתי היו כמה רשויות שהותקפו, העלו משחזור גיבוי, האם יש כאלה ששילמו שאתה יודע?

אני יודע על אחת ששילמה, אני לא בטוח שהם באמת שילמו. אני אומר עוד פעם, אני זהיר.

אז זה בדיוק המידע שאמרתי, זה המידע שיש לי. אין עוד רשות חוץ מחוף אשקלון ששילמה, זה מדויק.

אני רוצה לעבור, אנחנו נחזור אליך. אתה רוצה להשלים איזה משפט או שניתן לך אחרי זה?

לא, תודה רבה.

מסקרן, כשאמרתי על עוד איזה מקום אז הרמת את היד, מה?

שמי אורי איתן, אני אחראית תחום GIS ומערכות הנדסיות בעיריית נצרת עלית. מי שמהנהן מכיר את הסיפור שלנו. ראש העיר קיבל זימון, נבצר ממנו להגיע, אני הגעתי כי בעצם מי שנפגע אצלנו זה היה מחלקת ההנדסה ואני אחראית על המחשוב במחלקת ההנדסה. אנחנו נפגענו מווירוס כופר באוגוסט 2016, שנעל לנו בעצם את כל הנתונים פרט ל-SQL, שזה היה מזל, של השרת של הנדסה. זה כלל את כל הקבצים של התמונות, כל הקבצים הסרוקים, בעצם כל הקבצים שלנו. התבקשנו לשלם כופר, אני חייבת לציין, כאדם שממונה על המחשוב בהנדסה אני המלצתי לשלם את הכופר, כי פשוט אנחנו כרגע - - -

ידעת מה הנזק כנראה.

הנזק הוא מאוד גדול. הכופר היה יחסית מאוד צנוע, 10,000 שקל, בזמנו זה היה ארבעה ביטקוין, היום זה כבר הרבה יותר מ-10,000 שקל.

בחוף אשקלון זה עלה ל-17.

חבר'ה, זה בפעם הראשונה.

אז אנחנו לא שילמנו את הכופר. אני קודם כל רוצה לברך את הוועדה על ההתכנסות ועל הדיון הזה, אנחנו לא שילמנו את הכופר, מכל מיני סיבות, אני אנסה טיפה ככה - - - קודם כל כבר עברו שנתיים, טיפה לתת את הרקע. אצלנו זה גם היה מייל שעובדת לצערנו פתחה את הקישור והדביקה את השרת. מסיבות שאני לא אתחיל לפרט אותן, לצערי הרב מאוד, זה היה שרת חדש שלא היה לו גיבוי. השרת הישן שהיו בו החומרים כבר בעצם גם לא היה מגובה, בקיצור כל החומר היה נעול בשרת החדש.

זה מקרי או שזה באמת מישהו שיודע את זה.

לא, מקרי, הווירוס הזה היה - - -

זאת אומרת זה לא מישהו שיודע ש - - -

זה בדרך כלל רנדומלי.

מאוד רנדומלי, זה וירוס שגם באותו זמן רץ בהמון מקומות. אנחנו באמת היינו במצב, אני באתי להרים את הגיבוי ואז ראיתי שאין גיבוי, זה היה באמת - - - הדבר הכי חשוב בנושא הזה לפי דעתי זה תמיד מניעה, שלצערי הרב לא היה פה, אז על זה צריך לשים את הדגש. אבל במקרים בהם באמת אנחנו נתקלנו בזה שכל החומר שלנו נעול פנינו דבר ראשון למשטרה. אני הלכתי אישית לתחנת המשטרה בנצרת עלית, הגשנו תלונה, נאמר לנו שזה לא הגיע למערך הסייבר, אני לא כל כך יודעת אם הגיעה אליכם התלונה שלנו או לא הגיעה התלונה. התייעצנו עם היועצת המשפטית שלנו, הנושא הוא מאוד סבוך, כמו שאתם יודעים התשלום נדרש על ידי הדארקנט, קניית ביטקוינס, דבר שהוא מאוד בעייתי. ראש העיר שלנו, בדיון שהיה איתנו אמר שהוא לא מאמין שכספי ציבור צריכים ללכת לדארקנט ובעצם נתקלנו פה בסוגיה משפטית, לפי דעתי, שזה משהו שבעצם אתם לא דיברתם עליו בכלל. דיברת על הנחיות, על המלצות, על כן המלצות מחייבות, לא מחייבות, בסוף יש פה עניין משפטי כי מדובר על כספי ציבור והשאלה אם אני, כגוף ציבורי, יכולה ללכת לקנות ביטקוין ולשלם בדארקנט למישהו שסחט אותי כדי לקבל את החומר שלי בחזרה.

נכון, השאלה שלך נכונה גם לא בעולם הווירטואלי, סתם בעולם הפיזי. מישהו בא ומבקש משהו, איך עושים את התשלום עם קבלה, תשלום חשבונית לשודד? איך עושים את זה?

זה הוצאה לא מוכרת.

הנושא התגלגל זמן רב, כי הנזק בסופו של דבר, הכספי, אני מדברת כרגע, הנזק הוא גם כספי, אבל הוא כמובן גם מעבר, הוא של מאות אלפי שקלים בגלל שמדובר על כל החומר של תיקי הפיקוח של הוועדה ובעצם כל התביעות המשפטיות נמחקו. אין לנו שום יכולת לעשות תביעות משפטיות - - -

כן, במקרה שלכם זה לא היה - - - הנזק מבחינתכם היה יותר מאשר בחוף אשקלון? אני קודם כל רוצה לברך אתכם, גם על הפתיחות שבאתם מנצרת עלית, רונן פלוט הוא באמת ראש עיר שאנחנו מכירים אותו, הוא היה מנכ"ל פה, ואני בטוח שאם הוא היה פה, אז קודם כל יש שקיפות מלאה וביטחון וצריך אומץ ציבורי וזאת החוכמה, לא צריך להתחבא. צריך להביא את הדברים, אנחנו לא גוף מאשים, לא מי שמחביא למד, אלא - - -

אני רק אציין שהנושא הגיע למועצת העירייה, ההחלטה בעצם הייתה לפתחה של המועצה, המועצה החליטה שכן לשלם את הכופר, התחלנו בתהליכים ואז הנושא הגזברי, בינתיים עוד סיבוך של איך בכלל מבצעים תשלום.

אז באיזה שלב הגעתם למערך הסייבר?

זה היה לפני שנתיים ו - - -

באיזה שלב הגעתם?

לא הגענו.

לא הגיעו. קודם כל לדעתי לא הייתה קיימת היחידה המגזרית של משרד הפנים.

לא הייתה ב-2016. אנחנו פנינו למשטרה, דבר ראשון. יום אחרי היינו בתחנת המשטרה, הגשנו תלונה, זה הדבר הראשון שעשינו.

אני אגע בזה מיד.

בסופו של יום התייעצנו עם היועץ המשפטי של המשטרה.

אוקיי, בגלל שהזכרנו את רונן פלוט שהיה מנכ"ל הכנסת, אז בכנסת עושים מדי פעם תרגילים על פתיחת קבצים. אגב, זה הנחיה - - - בעיריות יכול להיות שצריך לעשות את זה. התרגול נותן את הדברים האלה.

אני מאוד רוצה להגיב לשני דברים.

עוד מעט. דורון, ואחרי זה אולי ניתן לך. דורון אופק, בבקשה.

האמת שמקודם חיפשתם נורא את הסיפור של הנחיה, מה ניתן לעשות והאם יש הנחיה לשלם או לא לשלם. אני אישית סבור שאי אפשר לייצר כזאת הנחיה מהטעם הפשוט שמערכות מחשב הפכו להיות תכנית ההפעלה של ארגון ואי אפשר יהיה לבוא, לא לראש רשות או לשר ולהגיד לו 'תשמע, הארגון מייצר ואתה לא תשלם?' שמעתם את הפרופורציה - - -

אבל כן הנחיה לפנות למערך הסייבר, זו צריכה להיות הנחיה - - -

זה כן. מה שכן, וכאן הבעיה, לדעתי, אמנם מערך הסייבר נותן הנחיות לאורך ציר הזמן, אבל אני חושב, הדגישו את זה ברשויות, הבעיה שאין בצד השני מי שמקשיב. זאת הבעיה המרכזית שבסופו של דבר זה לא מחלחל לשטח ובמבחן התוצאה אנחנו כושלים, ולכן עיריות יחזרו ויגיעו שוב ושוב ולא רק עיריות, אגב. אז השאלה איך כן - - -

מה אתה אומר? שאין מישהו ש - - -

אין מי שמקשיב, כי ראש רשות, כשאתה יושב ואומר לו 'בוא תסדר את הפיירול', התפקיד שלו זה לנהל רשות, לא לסדר פיירולים, הוא לא מבין בכלל מה לעשות עם הדבר הזה, הוא לא יודע לאן לקחת את זה, הוא חייב שם אנשים שיתמכו בו.

יש לו אנשי מקצוע. הוא מחזיק אנשי מקצוע.

לא, אין, ברוב הרשויות אין. אולי ברבע - - -

הוא לא מחזיק, אבל הוא יכול לפנות. אבל זה יותר תקציבי, זה לא שהוא לא יודע, הבעיה תקציבית.

תקציבית ותקנית.

נכון, תקנית, בסופו של דבר כאן הבעיה. אז רשות הסייבר יכולה להגיד, אבל כשאין מי ששומע ומיישם אנחנו בסופו של דבר מגיעים ל - - -

אבל אני עדיין שואל, גם את משרד הפנים, שמערך הסייבר הוא הכתובת לכל הרשויות המקומיות? מבחינתכם אתם ערוכים לזה?

מקצועית, כמובן, אנחנו כבר היום עושים את זה.

גם ארגונית. זאת אומרת בוא נניח אם עכשיו היה לוקח לכם מהזמן הרבה פניות, נקווה שלא, אבל אם היה - - -

זה תפקידנו. יש תפקידים ייעודיים - - -

אתם לא מתחמקים מהאחריות הזאת.

לא מתחמקים, ולהיפך, יש אגף שלם ייעודי למשרד הפנים, לשלטון מקומי, לרשויות המקומיות. אני חייב שני דברים רק להגיד. לגברת, ראשית - - -

לפני שאתה מגיב, אני רוצה לשאול. אם אני עכשיו ארים טלפון לראש רשות, לכמה, במדגמי, אתה חושב שהם יידעו את זה? אתה חושב שהם יודעים את זה?

לא. הם לא יידעו, נקודה. אין פה דיון, הם לא יידעו.

אני חושב אחרת.

בואו נשמע - - -

אפשר לסגור את הדיון, מצוין. קודם כל דווקא אני רוצה להתייחס למה שצחי אמר, כסף. אני רוצה להגיד בנוגע לכסף כמה דברים. מה שלמדתי, אני מ-2001 בשירות הציבורי, כסף, לא חסר אף פעם כסף. שתיים, אפשר לעשות הרבה בלי קשר לכסף, ושלוש, אם חסר כסף אפשר להשלים כסף.

אתה עומד מאחורי האמירה הזאת?

אלי היה פה לפני חודשיים ואמר אחרת.

צחי, אני לא הפרעתי לך. אני עומד לגמרי מאחורי הדברים האלה. אני רוצה להגיד דבר פשוט, אני קצת למדתי על הסייבר, נאלצתי ללמוד לקראת הדיון וכמו שהיא תיארה, עיקר המתקפות זה פשוט אנשים שפותחים מיילים שהם לא מוכרים. חבר'ה, הנחיה כזאת, זה לא מדובר בכסף. לתת הנחיה, להכניס את המודעות לעובדים ברשות המקומית, לא לפתוח מיילים לא מוכרים.

ליאור - - -

ליאור, זו תורה שלמה שאי אפשר לתת על רגל אחת - - - תשובה כשכן פותחים. זה נכון שזה - - -

שנייה, אני - - -

נכון שזה המכה, אבל אחרי שיש מכה, אחרי שיש חולי צריך גם תרופה.

רגע, הדברים שאני מציין, אני קורא פה גם את סיכום הפגישה שהייתה עם הרשות המקומית. יש פה הרבה דברים שיכלו להתבצע והם לא רלוונטיים לכסף. נושא של מיקום של חדר השרתים, אין פרק של אבטחת מידע במכרזים, שרת גיבוי. אני לא יודע, שוב אני אומר, משרד הפנים, ואני אומר בזהירות, אני חושב שהעבודה הזאת שהוא מבצע, ממש עובד בצמוד לרשות המקומית, על תכנית עבודה, על מיפוי סיכונים, אני חושב שזה לגמרי מהלך שהוא מאוד מאוד משפיע ויכול למנוע את הדברים האלה. וכן, לגמרי, אם יצטרך סיוע תקציבי יש אפשרות באמצעות תקציבי הפיתוח, קודם כל, שמשרד הפנים נותן וגם באמצעות תקציבים ייעודיים לצורך העניין הזה והם קיימים.

עם כל הכבוד לתקציבי הפיתוח, לאנשים יש סדרי עדיפויות.

אני רק אומר, חשוב להבהיר - - -

אם זה ייעודיים, בתוך סדרי העדיפויות, אתה ממקד את זה.

חשוב להבהיר, עוד פעם, השאלה ששאלת אותי האם ראש הרשות, זה הנושא של המודעות. זה הנושא שחשוב, לא שנצא מפה שחסר כסף לרשויות המקומיות, חסר תקנים, זה לא העניין.

ליאור, מדובר גם בראשי רשויות בינוניות, אתה לא מדבר על - - -

אני מכיר את המצב ברשויות.

גברתי, רצית משהו. מאיפה את ומה?

אני איריס אלפסי, מנמ"רית במעלה אדומים. קודם כל אני חלק מ-50 הרשויות שמשרד הפנים מלווה ואני רוצה להגיד מילה טובה, אני מקבלת ליווי צמוד. אני חייבת לספר על מקרה אחד שקרה אצלנו - - -

אנחנו לא הזמנו אותה.

רגע, אולי זה ייגמר לא טוב.

לא, זה בסדר, אנחנו מכירים את המקרה.

לא, אני רוצה להיות מספיק הוגנת, היה לנו מקרה אחד, למזלנו זה היה הקונסרבטוריון, בית הספר למוזיקה, שלא מחובר לשרתים, אבל כן, טעות של מנהל שקיבל מייל שהתחזה למייל של מייקרוסופט ובאמת הצפין את כל הקבצים. פניתי מיד, אלעד פלג ממשרד הפנים, מהצוות של - - -

הוא ראש היחידה המגזרית.

כן, והוא באמת הנחה אותנו בדיוק. לא שילמנו, שחזרנו, אבל אני רוצה להגיד משהו גם לצחי וגם ל - - -

אבל את פנית למשרד הפנים. מה היא הייתה צריכה לעשות, לפנות למשרד הפנים או לפנות אליכם?

לא, מצוין, זו בדיוק הדרך, זה הקשר הישיר ל - - -

אבל אני אולי דוגמה אחרת, יש 256 רשויות, סליחה, אני לא חס וחלילה נגד, אני באמת בעד, אבל אני חושבת שבראש ובראשונה אני לפחות נוהגת ככה, אי אפשר במרכאות לבכות ולהגיד 'עד שלא יהיה לא יהיה', יש לנו אחריות כמנמ"רים. אז קודם כל גיבויים, קודם כל גיבויים, צריך לגבות, לעשות - - - צריך להעלות לענן. קודם כל, שאם תהיה עכשיו תהיה טעות אנוש ויש הרבה - - -

מזעור הנזק.

מזעור הנזק. כמובן שאנחנו צריכים לקבל עזרה, אין לנו כסף. אצלנו באו ואמרו לנו 'אתם חייבים לשים מנהל אבטחת מידע' ואמרו לי 'אוקיי, בבקשה, צאי לקורס, תהיי את'. עכשיו זה עוד תפקיד ועוד תפקיד, תקשיב, מנמ"ר - - - קודם כל אין לנו צוות, אתה מדבר על מנהל אבטחת מידע, אני ניסיתי להשיג מנהל רשת, הציעו לו 10,000 שקל, זה 30% שכר מנכ"ל, עוד כאילו זה הבסט. אנשים צחקו עליי, הם אמרו לי 'תקשיבי, אנחנו מרוויחים בחוץ 25, נראה לך שנבוא אלייך?' אז באמת יש עניין של תקציב, יש עניין של הגדרות, יש עניין של המעמד שלנו, המנמ"רים, אנחנו צריכים הרבה עזרה, אבל קודם כל אנחנו צריכים לעשות - - -

מנהלת הוועדה ככה הציעה לי לעשות חוק בנושא המנמ"רים, לדחוף את זה או משרד הפנים לבד, אבל לחייב את ה - - -

דרך אגב, אם תפנו לראש העיר שלנו - - -

משהו קצת למסד.

אגב, אולי אפשר לעשות את זה באשכולות של עיריות. עיריות שלא מסוגלות להחזיק אחד, אז - - -

דרך אגב, תפנו לראש העיר שלנו, גם הוא לא יידע. אני שולחת מייל, 'חבר'ה, תפסיקו לפתוח, לא לפתוח, תיזהרו, תיזהרו'. לא מזמן היה מייל שגם - - -

אבל השיטות משתפרות, המיילים הם כבר נראים יותר הגיוניים, מאוד קשה לזהות את המיילים האלה. עם כל המערכות של מסננים עדיין המיילים האלה נכנסים וזה מאוד קשה.

נכון. זה הכול עניין של כסף ואנחנו צריכים את זה.

אני מציעה שתעצרו. אלה דברים חשובים שלא נרשמים בפרוטוקול.

(הישיבה נפסקה בשעה 11:45 ונתחדשה בשעה 11:53.)

אני רוצה להבין על מעלה אדומים, לקבל סדרי גודל, אם נניח עיריית מעלה אדומים הייתה רוצה לתת מענה סביר בתחום של הגנה, בתחום הסייבר, מה העלות השנתית של דבר כזה?

אני יכולה להעריך, לא הגענו לזה. היום אנחנו מקבלים את כל מערך ההגנה שלנו דרך החברה לאוטומציה, שכולם יודעים מה רמת האבטחה, כדי להתנתק מהחברה לאוטומציה ולהקים, להיות כמו ארגון הייטק שמגן על עצמו, לדעתי מדובר בעשרות אלפי דולרים.

לשנה?

רק על הקמה.

זה גם תלוי בגודל הרשות ובכמות המערכות שיש.

נכון. לכולם צריך פיירול, פיירול זה 200,000 שקל, בוא נתחיל.

זו שאלה מאוד רחבה, זה לא קשור לגודל העירייה, זה תלוי במערכות המחשוב, לתשתיות הקריטיות שיש בתוך העירייה, תחת העירייה.

זאת אומרת זה להחליף מערכות שלמות בשביל לקבל את המענה. זה אתה אומר.

צריך לעשות אדפטציות שיעלו הרבה מאוד כסף.

אתה יכול להכניס דברים חדשים, הם לא יכולים להכיל את זה בכלל.

בהחלטת הממשלה 2443, אנחנו הכנסנו 8% עבור משרדי הממשלה, מתקציב ה-IT. צריך לזכור שגרטנר, כשעשו את הבדיקה על המצב בעולם, הם שמו את זה כ-9.3% מסך תקציב ה-IT. אפשר אולי לגזור מזה וצריך לקחת את זה בחשבון להבא.

אני רוצה לתת את זכות הדיבור גם ליבנה. אני בכלל רוצה לציין אתכם, שיש לכם מודעות פרלמנטרית רחבה. זה לא הדיון הראשון שעיריית יבנה משתתפת, וזה באמת ראוי לציון. לא רק כאן, גם במקומות אחרים. אתה רוצה להוסיף משהו?

אני רק מציין שהנושא הזה של תקציב, אנחנו סגרנו את זה במשרדים הממשלתיים, כמו שאמרתי, ב-8% מסך תקציב ה-IT. בהנחה שכן, אולי צריך לראות ש - - -

אבל הוא טוען שזה תלוי גם במערכות הקיימות. אולי אתה יודע ששם יש מערכות יותר חדישות, אז יכול להיות שזה - - -

נכון.

אני מניח שכאן זה צריך להיות יותר כי בחלק גדול מהרשויות המקומיות זה החלפת מערכות או הקמה בכלל של מערכת.

אני אספר לכם קוריוז, אנחנו באנו ודנו בהצעת חוק, שני חוקים, אבל החוק הזה היה של חבר הכנסת מיקי לוי, אפשרות להתקשר במכרזים במשרדי ממשלה רק בדרך דיגיטלית, גם לשלם תשלומים רק בדרך דיגיטלית. באו לכאן משרד הפנים או השלטון המקומי ואמרו שיש רשויות שאין את זה בכלל, על מה אתה מדבר? אין שום דבר, אין בכלל מחשוב, אנחנו נמצאים רחוק. החרגנו את משרד הפנים לפי דרישת שר הפנים, בגלל שאנחנו לא יכולים - - - אולי סיווגנו קצת יותר, אבל הוא ייתן הנחיה ו - - -

על מה אנחנו מדברים? יכול להיות שאין מחשוב, אז לא נורא, אין מי שיפרוץ. אבל אנחנו רואים ש - - -

יש פה מחשב שיחזיק את המידע של הרווחה, שמשתתף במייל הפרטי ושם אנחנו נקבל את ההפתעה. זה בערך ה - - - זה יותר חמור.

תיכף אני אגיע אליך.

אדוני, אולי בכל זאת אני אגיד עוד מילה על תקנות אבטחת המידע. קודם כל ברורה הבעיה של הרשויות המקומיות בנושא התקציב, זו בעיה, אני מניח, בכל נושא שמחויב, אבל הרגולציה החדשה הזאת של התקנות, חוץ מחובת הדיווח שדיברתי עליה קודם, כוללת הרבה מאוד חובות שבמידה שהרשות תעמוד בהן היא תהיה מוגנת יותר. נכון, יש הדרכות, נכון, יש הנחיות, אבל פה יש חוק שלצורך העניין אם העירייה תשכיל לעמוד בדרישות היא לפחות תהיה מוגנת יותר. אז גיבוי כבר יהיה, מישהו שמומחה בנושא אבטחת המידע יהיה ויוכל לתת עזרה פנימית, דיווח על דלפים, זה אומר שהם יקבלו סיוע חיצוני.

בעצם התקנות האלה, הכנסת העבירה אותן, השכילו להעביר אותן אחרי הרבה שנים שרצינו להעביר אותן, כי אנחנו צריכים פה בכל זאת בסופו של דבר גם פטיש גדול מעל העיריות ומעל המועצות, כיוון שאם לא יהיה פטיש כזה הם פשוט לא יעשו את זה. עירייה שלא עומדת בדרישות התקנות, לצורך העניין היא מפרה את החוק וזה יכול להיות אפילו עבירה פלילית במקרים מסוימים. כמובן שכל זה בא בנושא התקציב, כי בלי תקציב בסופו של דבר הטענה שלהם היא שיש פה רגולטורים וכל אחד בא עם הדרישות שלו - - -

אני לא בטוח שיש הלימה בין החשיבה או העמדה של האוצר לבין מה שהממשלה, כקו ממשלתי. אין ספק שלראש הממשלה יש בעניין הזה מודעות גבוהה, אני אומר את זה עכשיו, לא קשור להשתייכות פוליטית, אני חושב שכל הבית הזה יגיד אותו דבר, לראש הממשלה בנושא הזה יש מודעות. הוא מעורב, הוא מעורב בדברים, הוא פעל הרבה, אבל בעניין הזה הוא שקוע, הוא מתעניין והוא ער ויש לו מבחינתו רגישות.

בבוקר רציתי להזמין אותו, יש פה מכתב שאני מכין על נושא של בינה מלאכותית, אבל אני אומר באופן כללי אנחנו גם יודעים את שיתוף הפעולה שיש לנו עם הסייבר, אני גם הובלתי את הנושא של מאגר ביומטרי ועוד דברים, לכן הממשלה לא - - - הממשלה מודעת, מודעות ודאי יש ורצון, לכן החלק התקציבי הוא לא תמיד בעניין הזה.

זה נכון, אבל אני רוצה להזכיר, שלפחות מהכיוון שלנו, כרשות להגנת הפרטיות, הסיבה והצורך לאותה אבטחת מידע זה לא רק צורך עסקי, המשכיות ו-IT, זה צורך של אותה עירייה שמטרתה בסופו של דבר לסייע לאזרח ובמקרה שלנו לשמור על המידע שלו. כיוון שבמקרה שיש כופרה או במקרה - - -

זה לא רק לשמור, זה לא רק מהמקום של אבטחת מידע.

אני מדבר על הנושא של המידע האישי, כי כל פעם שייכנס האקר ויגנוב את המידע האישי ובסופו של דבר יפגע באזרחי אותה מועצה, בסופו של דבר העירייה אחראית והיא זו שנאמנה למידע הזה. אז אני אומר עוד פעם - - -

אני מסכים איתך, התקנות הן מצוינות, אנחנו לא מסוגלים לממש אותן. אני אסביר גם למה, אירוע שקורה בימים אלה, רשות האוכלוסין החליטה שהיא מיישמת את התקנות עד הסוף והן רוצות השוואה של תנאים של אבטחת מידע בין המידע שיש להם למערכות שלנו יש. זאת אומרת שאני לא אקבל יותר מידע, זאת אומרת הרשויות לא יקבלו יותר מידע מרשם האוכלוסין כי אנחנו לא עומדים באותם תקנים.

כי אם הם יעבירו לכם מידע ולא תהיו מאובטחים המידע הזה יילך - - -

אבל עכשיו זה מחייב אותם לעבוד כששני הצדדים מחזיקים באותה מערכת, זה מצוין, אבל אנחנו לא - - -

ואם הוא רוצה לשלוח מכתבים? בממשק שלך לרשות - - -

אנחנו מקבלים המון מידע.

המון מידע בזכות הקשר.

נכון. עכשיו, החלטה חד צדדית שאומרת עכשיו 'בוא תשווה את התנאים שלך למה שלי יש' זה אומר שנסגור את הרשויות, לא נוכל לתת שירות. זו פגיעה אוטומטית וזה דיון שאני עכשיו מבצע מולם. הם הוציאו החלטה כזו - - -

כאזרח אתה צריך להיות מרוצה.

אני צריך להיות מאוד מרוצה מהמון דברים - - -

כאזרח אני אשמח לדעת שהמידע - - -

אני אשמח מאוד, אבל אני לא אתן לך שירות כאזרח.

כן, אבל האזרח גם נפגע אם לא יהיה המידע הזה.

או שתיתן לי פתרון ותחזיק את המערכת אצלך ואני רק אעשה שאילתות יזומות, כי את זה הם לא מוכנים - - -

סליחה, צחי, האזרח מאוד מרוצה משמירת המידע, אבל לא מרמת השירות.

לא תקבל שירות. לא יהיה לי מידע אני לא נותן לך שירות.

אנחנו חייבים לסיים. בועז או אהוד.

אני בועז שלמון, מנהל המחשוב וטכנולוגיות בעיריית יבנה, מה שנקרא המנמ"ר. אני בסקר הזה של אבטחת מידע ובתהליך הזה של משרד הפנים מקושר ל-CERT מהיום הראשון שלו, עוד מה-CERT של משרד ראש הממשלה.

קודם כל אני מברך על התהליך הזה שמשרד הפנים מקבל, ומה שאני אומר זה במסגרת זה, הקושי הוא קושי גדול מאוד מהצד שלנו, קודם כל צריך להביא בחשבון, בין הרשויות ההבדלים הם בין 1,000 ל-1, זה לא בין 10 ל-1. לרשויות הגדולות יש כסף, יש יכולות, יש להם איש אבטחת מידע, יש להם עם מי לעשות את העבודה. כשאין מנמ"ר, ראש המועצה, כשאמרו לחוף אשקלון, 'אני לא מבין את המשפטים שאתם אומרים', הוא בכלל לא יודע למי לפנות כדי לקחת איש אבטחת מידע שיעשה את העבודה. אין לו מושג - - -

לא, הוא דווקא - - -

אני לא מדבר אישית עליו, אני לא מכיר אותו, אני אומר באופן עקרוני, אין להם את הכלים. לפני שש שנים אני הגעתי לעירייה, היה בן אדם, איש מחשוב אחד, היום אנחנו שמונה. מה זה שמונה? זה טכנאים ואני. צריך להביא בחשבון, אני עושה את כל העבודה. בשמונה וחצי אתמול הלכתי הביתה, ערימות של עבודה, לתקשב בתי ספר, לבנות עיר שגדלה בקצב מטורף, הגנת הפרטיות. רק בנושאים שפה יש לי עשרה דברים לטפל בהם ואין לנו את הכלים.

אני מקבל את המכתב מהם כל שבוע, כל יומיים, על בעיות שיש, ואני מנסה להעביר את זה למישהו, למי להעביר את זה? אין לי למי להעביר את זה, אין לי מי שיעשה את העבודה. אז אני תקוע עם זה באמצע, לא לבלוע ולא להקיא.

אנחנו מדברים גם על חלק מהבעיה, צריך להביא בחשבון שבעיריית קרית אונו שרפו ארכיון בגלל שהיה שם איזה שהוא חומר שלא התאים לאיזה מישהו, אז הלך החומר. זאת אומרת זה לא רק בעיות, כמו שאנחנו מדברים פה, אבטחת המידע זה עוד הרבה היבטים.

זה שמירת המידע. כן.

דבר אחד שרציתי להגיד, יש פה כמה שכבות. שכבה ראשונה זה הגנה, אף אחת מהשכבות היא כמובן לא הרמטית ולכן שכבת הגנה, שכבת גיבויים ובסוף מה גרם הנזק. כמו שאמרו כאן - - -

מודעות והסברה.

יש הבדל גדול להחליט מה עושים במקרה ש-, זו בעיה כי זה גורם נזק גדול ויש שם נתונים מאוד בעייתיים. כמו שקרה אצלנו, לפני כשנה וחצי נכנס וירוס, מעך תחנה אחת, מיד כיבינו אותה, התקנו עוד פעם מחדש, כמה תיקיות ברשת שנדפקו שחזרנו, בערך בכמה שעות עבודה גמרנו את הכול, להתחיל לדווח על דבר כזה זה לא ריאלי.

וזה יכול להיות אחרת.

זה כמו וירוס בתחנה, מתקינים. בקיצור, למדנו מזה, אבל - - -

אתם כעירייה לא גדולה, אתם היום עם שמונה אנשים ומנהל.

שמונה אנשים, שוב, זה אחד. זה טכנאים ואחד.

כן, הבנתי.

אי אפשר - - - אוקיי. מה שציינתי קודם, כשהיית בחוץ, אני מציע לפחות להתחיל מדברים שמשרד הפנים והממשלה יכולים לעזור לנו יחסית בקלות. ללכת לעזור לכל רשות זה קשה, אבל ללכת להטות פתרונות שהם מערכתיים, שהם עוזרים לכולם, כמו שמשרד החינוך נותן ענן של בתי ספר, לעשות משהו כזה. קודם כל אנחנו בשכבה יותר טובה.

ציינו פה שפתח מישהו מייל ונדפקו כל הקבצים, ברור, אם מגיעים אלפים ומסוננים בדרך, אצלי זה על ידי מוצר טוב שנקרא Pineapp, שמסנן בדרך. הוא נמצא בחברה לאוטומציה והחברה לאוטומציה מתפעלת אותו בצורה איכותית וטובה, עדיין בערך פעם בשבוע מסתנן אליי איזה מכתב כזה. אז להגיד לא יקרה או לא תהיה איזה מישהי שתלחץ על הכפתור ותפתח אותו, זה לא ריאלי, ברור שזה יקרה. ברור. מה אנחנו עושים כשזה קורה, איך אנחנו מתמודדים?

גם אם זה לא יקרה אנחנו צריכים לתת את התרופה למקרה שקורה. מערכת מסודרת, כמו בכל דבר, לא יקרה, הלוואי שלא יקרה, אבל אנחנו צריכים לתת - - - צריך לדעת לתת פתרון גם אם זה לא יקרה, צריך לתת תשובה גם אם לא יקרה. לא צריך להגיד ולא למדוד את זה לפי המקרים, לפי הסתברויות.

אנחנו ניתן לעוד מישהו, סגן ראש העיר.

אני ממלא מקום ראש העיר, אני מודה לך על הזימון. אני יושב פה ותוהה כמוך פחות או יותר, אני שומע את השאלות שלך. אני עכשיו ממלא מקומו של ראש העיר, יושב על הכיסא ונוחתים עליי, שים לב - - -

כל הכנופיה.

זה רק חלק.

כל החבר'ה האלה, כל אחד מהצד שלו. הוא רוצה אבטחה כי זה הכי חשוב לו, והוא רוצה זה והוא רוצה פה ואני עכשיו צריך להתארגן ואין לי אותו. במקרה של יבנה אני חושב שאנחנו מסודרים לא רע, עדיין יש הרבה מאוד שאלות ותהיות כמו למשל, כשאנחנו פונים אליך ואומרים לך, בעניין של כופרה, זה מהות הדיון, ואתה אומר לי 'אל תשלם', מי לוקח אחריות על המאגרים שיילכו לאיבוד?

קודם כל אתה לא תקבל תשובה כזאת מאיתנו.

אני לא איש מחשבים, אני שואל שאלה כמקבל החלטות. אם רוצים באמת לקחת את העניין הזה צעד אחד קדימה מישהו צריך לרכז, להנחות אותנו, לעשות הכנה מסודרת, לתקצב את העניין הזה ואז אנחנו יכולים, כמי שמנהל, ואמר יושב ראש הוועדה, יבנה באמת עם מודעות גבוהה, ראש העיר לא יכול היה להגיע, לכן אני פה, אני חושב שאנחנו עושים דברים לא רעים ביבנה, אבל חייבים לעשות סדר. אם אתם רוצים - - -

מה מספר התושבים היום ביבנה?

אנחנו קרוב ל-49.

יש לכם הסכם גג?

אנחנו בהסכם הגג, תוך עשור יהיו 100,000 איש.

ההסכם מתקדם?

ההסכם מתקדם יפה, אנחנו בפתחה של - - -

אחד המקומות שאני חושב שציינו שמתקדם, יש רצון.

כן, אנחנו בפתחה של שכונה מאוד גדולה ביבנה.

יפה. אתה באמת היטבת לשקף את הדברים. אני רוצה לתת לעיריית הרצליה ואחר כך נעבור לסיכומים. בבקשה.

אנחנו מכירים את החוליות החלשות, אני חושב שפה דווקא המנגנון ליצור מארג אחיד לכל המערכות בעירייה, שכל העיריות יהיו במארג אחיד. אם לדוגמה מחליטים לשים firewall אז העירייה תחליט איזה firewall היא שמה, אבל מחליטים ששמים firewall, אז כולם שמים firewall. כשבאים עם תקנה שאף אחד לא יודע מה העדיפות, התקנה מאוד מפורטת, אבל לא יודעים מה העדיפות הנכונה ולאן פונים, לתחילת המסמך או לסוף המסמך וכל הרישומים וכל ה - - - יש שם דברים מאוד מאוד לא ריאליים, למרות שבסך הכול כולנו עובדים לטובת האזרח, כולם רוצים שהאזרח בסוף יקבל את המענה הנכון, נראה לי שהתקנה הקדימה את זמנה בלפחות ארבע שנים. זו ההערכה שלי.

לא הבנתי את המשפט האחרון, התקנות הקדימו?

התקנה הקדימה את זמנה. היא יצאה, נכנסה לרשויות ב-8.5 ואף אחד עוד לא מוכן.

התקנות האלה היו, הוורסיה הראשונה שלהן הייתה לפני תשע שנים. לקח הרבה זמן להעביר אותן וכאמור הן פורסמו כבר לפני שנה. יש בעיות, צריך להיערך אליהן, יש בעיות תקציביות, הכול מודע, אבל אני אומר, טוב שבסופו של דבר, עכשיו כשיש פטיש לפחות תיעשה עבודה, כי אחרת גם עוד עשר שנים לא היה קורה - - -

השאלה מתי אתה תשתמש בפטיש הזה. למי אתה תיתן אותו בראש?

אם אפשר לציין עוד פרט? צריך להביא בחשבון שאנחנו עומדים בפני קפיצת מדרגה מטורפת, אצל כולם, אני מעריך, של כמות המידע. פשוט מה שקורה עכשיו בכל הרשויות, קונים סורקים, מתחילים לסרוק את כל החומר, במקום ניירת ותיוקים הכול מתחיל להיכנס לסריקות.

השלטון המקומי יהיה עכשיו - - -

כמות המידע, אני רואה בנפח של הדיסקים שאנחנו מגבים כל פעם, כמות המידע צומחת בקצב מטורף.

גם אם זה לא ברצון, אז בהכרח. כמו כל המשק, אף אחד לא יכול להישאר אדיש ולהישאר מאחורנית כל כך. כל שלטון, כל רשות בעצמה, כל מועצה, היא חייבת להיות, אחרת היא לא יכולה לתפקד.

יש גם תקנות, תקנות של הרווחה, תקנות של - - -

כן, גם רגולציה, גם תקנות ואם אתה רוצה באמת להיות עדכני ולתת את השירות המינימלי שמצפים לך, אתה לא יכול לתת היום, לתפקד בתפקוד אפילו מינימלי אם אין לך את הדברים האלה.

ליאור, רצית להוסיף משהו או שאני יכול לעבור? אתה רוצה להגיד משפט אחד ואחר כך אני רוצה לעבור ל - - -

משפט אחד. דווקא גם בנוגע לתקנות. אני כן לוקח לתשומת לבי את מה שאמר צחי ואת מה שאמר הנציג מהרצליה. אם אתם תוכלו באמת לבחון את נושא התקנות ולא לחייב בהקשר לרשות המקומית את ההפרדה בין המנמ"ר למנהל אבטחה. אני מבקש את זה באופן רשמי ואם גם צריך אעביר את זה בכתב, לבחון את ה - - -

נוהל דיון, גם עם משרד הפנים וגם עם - - -

כתוצאה מהדיון הזה אנחנו אמורים להיפגש ולשבת עם ה - - - שלכם ואנחנו נגיש מסמך משותף.

זה דבר חשוב, אבל אני רוצה להעיר כאן הערה. אני לא חושב שרק השלטון המקומי צריך לעבוד מול - - - לא רק בנושא הזה, בנושא הזה זה בסדר, זה ודאי, אבל גם בנושא הזה של העברת מידע. אם אנחנו גורמים לכך שהשלטון המקומי היום נמנע מלקבל מידע שהוא קריטי עבורם, חשוב מאוד, אז אני חושב שגם צריך ברשות להגנת הפרטיות, יחד איתכם משרד הפנים, בממשק הזה, בדיונים האלה, בהוראה היום שקיימת שלא להביא אם אין להם את הכלי שהוא יכול לשמור ולשמר באותה רמה שאתם דורשים, נניח רשות האוכלוסין, זה תיכף יצוף בצורה מאוד חדה. זה לא רק הם, ביטוח לאומי, אני חושב שהוא מעביר, המשרד - - -

ביטוח לאומי, משרד התחבורה.

המערכת היום מנוהלת על ידי המידע שמקבלים. בקיר כמעט צמוד לפה, בוועדת חוקה, אנחנו נותנים להם את האפשרות יותר להרחיב ולאפשר לתת את זה בגלל שאנחנו יודעים שזה הצורך.

אדוני, החוזק של השרשרת נמדד בחוליה החלשה שלה ואם אנחנו נאבטח את המידע של הממשלה בצורה מצוינת, אבל בסוף נעביר אותו למישהו שלא יודע לשמור עליו - - -

מאה אחוז, אבל צריך למצוא פתרון.

אני מסכים שצריך למצוא.

עדיף חי, לא רוצה להגיד חי מזוהם מאשר מת סטרילי. אני פניתי לליאור, משרד הפנים צריך להיות כאן מעורב ולתת - - - בסך הכול הגישה למשרדי הממשלה ולתקציבים, כשזה עובד מול משרד הפנים זה יותר קל, יש לו את היכולות שלו והתקציב שלו ומשרד הפנים צריך להיות שותף בעניין הזה.

שתי נקודות קצרצרות לסיום. אחת, אני חייב לצחי. צחי, אנחנו ביררנו, ב-28.2 באמת נוצר קשר, נשלח אליך קובץ סיומות של כל ההצפנות הידועות במדינת ישראל ואמרו לך 'בהיעדר עזרה', אם זה לא עוזר, המפתחות, שלחו לך גם קובץ הנחיות כללי להתגוננות ועומדים מאחורי הקלעים. זאת אומרת שלא קיבלת מענה, קיבלת מענה.

שלחו את המייל ואמרו 'תקשיב, אין לנו תשובה בשבילך, זה משהו חדש, תמשיך לבד' - - -

ידידי, זה לא ויכוח.

תסתכל על המייל, תסתכל על המייל ששלחו. בשורה התחתונה נשארתי לבד.

בואו נעשה את זה אחרי הישיבה.

אחרי הישיבה אנחנו נדבר ארוכות.

וגם מעבר לזה ממשיכים לבדוק את זה. גם כשכרגע לא נעשה, זה משהו שממשיכים לבדוק ואם נמצא זה נכנס למאגר - - -

ברגע ש - - - אתה נשאר לבד.

רגע, שנייה. זה נכנס למאגר ואם אנחנו נמצא - - -

ברגע שיש מפתחות הצפנה אתה מקבל את זה ישר.

כי המטרה שלנו זה לתת לך שירות, זה לא הפוך.

כבר הרווחנו משהו מכל הישיבה, אפילו קטן.

לא, זה אנחנו נסגור. דבר נוסף, וזה כללי לכולם, מערך הסייבר הלאומי הוציא תורת הגנה בסייבר, היא מיועדת גם לארגונים שכרגע אין להם את הידע או את אנשי המקצוע טופ אוף דה ליין, מקבלים, זה נגיש גם דיגיטלית, להוריד את זה. זה נותן צעד אחרי צעד יכולות התמודדות, גם הבסיסיות ביותר, ממדיניות החלפת סיסמאות וקומפלקס סיטי וכמובן קמפיינים של מודעות. כל דבר כזה יכול לעזור לרשות קטנה, בינונית, אפילו בצעד אחד. בסוף המטרה היא להעלות את החוסן בכל המרחב האזרחי וזו גם דרך. ואני שוב אומר את זה, ושזה ייכתב פה לפרוטוקול, כל רשות, כל עירייה שנתקלת בכל בעיה, אנחנו נשמח לקבל את הפנייה ואנחנו נשמח לסייע.

בסיכום יהיה כתוב שאנחנו מבקשים גם ממשרד הפנים והרשויות המקומיות לקדם את הדבר, להביא למודעות. זה בהחלט נגיד בסיכום.

בוודאי.

אני רוצה שתחדד את מה שאמרת, מעניין אותי - - -

תנו לנו גם משאבים לעשות את זה.

תקצוב, בוודאי. משאבים מקצועיים.

הוא צודק.

מה אנחנו יכולים לעשות משהו לכלל ומזה כל אחד יכול לשאוב. דיברנו על ענן, אני כבר מגיע לסיכום שלי. יש דברים שאפשר לקחת מהשותפות הכללית, מה שאנחנו אומרים, נר לאחד נר למאה, יש דברים שכל אחד פרטני. אנחנו נמצא את הדרך,

אני אפילו אסכם ואחרי זה אני אשאל אותך שאלה. בעצם אנחנו הצפנו את הנושא היום. עצם הישיבה, אני חושב שכבר - - - זה לא ייגמר בישיבה אחת. אנחנו נותנים לכם בשיעורי הבית להכין את זה, לקדם את הדברים, כל אחד לעשות את השיעורים, ישיבות מקצועיות ביחד כדי לראות איך אנחנו מקדמים. גם בממשלה זה לא הלך קל, אבל אנחנו הגענו לתוצאה שבעיניי, גם לא רק בגלל מה שקרה, אנחנו נמצאים בעולם אחר לגמרי, גם הגופים הציבוריים והפרטיים, אנחנו לא נמצאים רחוק מגופים שהשקיעו הרבה כמו בנקים וכאלה. יש לנו עוד הרבה מה לעשות, חלק עשינו בחקיקה, חלק גם כדי זרז לעשות את הדברים האלה, יש לנו ויכוח על החקיקה, וגם בימים האלה, חקיקה שעברה פה לגבי חיוב של מיילים. כל דבר זה חוליה וזה מורכב מהרבה הרבה חוליות, חוליות יותר חזקות, יותר מרכזיות, חוליות יותר - - - שרשור של הדברים.

כל עיר, אני מודע, אני התרשמתי, בכל הכנות, מרגישים שהדברים יוצאים מהלב, את ההתחבטויות, או ערים אחרות, כל אחד מהמקום שלו, אז אין שפה אחת לכולם, אבל צריך להיות משהו בשפה כוללת ואחרי זה צריך לראות, כל אחד בהתאמה לדברים.

אבל אני רוצה מילה, זה די חידוש בשבילי, שהקרבה לגבול הפיזי גורמת גם לקרבה וירטואלית או מתקפה וירטואלית, או ניסיון, משהו ברמה האישית?

אנחנו נשמור את זה ברמה של דברים שאי אפשר להגיד פה, אבל - - -

מה שאפשר להגיד, בגלל שהדיון הוא פתוח ובשידור.

יש לנו היום מידע שיש ל - - -

אנשים לא יודעים, אנחנו גם השתכללנו בעניין הזה. אנחנו עכשיו בשידור אינטרנטי ברמה טובה, אבל בסך הכול אנחנו מקבלים פידבקים מאנשים שבשעות הערב, עכשיו כשהוא בעבודה אין לו זמן, אבל הנושא הזה, המנמ"ר או מישהו שלא יכול היה עכשיו, אבל אחרי זה בערב הוא עוקב אחרי הדיון פה ואחרי זה הוא מגיב לנו, הוא הוא רוצה לדעת פרטים, הוא מיידע אותנו במשהו, נותן תובנה כזו או אחרת.

אז בזהירות הנדרשת.

בזהירות הנדרשת, אבל כל מה שאתה יכול להגיד תגיד.

יש מספר מערכות שהן מערכות התראתיות, פיזיות, שאנחנו מכירים יכולת יריב לשבש את המערכות האלה בשביל לבצע פעולת חדירה. נפליג בדמיון, שיבוש של מערכת הגדר ההתראתית בשביל להחדיר חוליה. אז כל היישובים סמוכי גדר ובטווח קילומטרים מסוים החלטנו שהם נכנסים תחת סל העיריות, קבוצת ה-A, הקבוצה שאנחנו מטפלים בהם באופן אישי מיידי.

לא רק בגלל הגודל, אלא בגלל - - -

לא קשור, יכול להיות חוף אשקלון, שהיא מועצה מאוד קטנה. נתיבות, אופקים נכנסו לשם, אשקלון עצמה, נחל עוז.

אני הבאתי דוגמה של שיבוש מערכות רמזורים במתקפת סייבר.

זה טיפה יותר מסובך, אבל אני אתן לך מערכת הרבה יותר פשוטה לשיבוש, מערכת ההודעה לתושב על ידי אס.אמ.אסים. כל עוטף עזה, היום הכניסה למקלטים והיציאה מהמקלטים דרך אס.אמ.אס מהרבש"צ, מהקב"ט. המערכת הזאת ניתנת לשיבוש, יש ליריב את היכולות. עכשיו דמיין לעצמך שנותנים הודעה לכל התושבים לצאת מהמקלטים ואז יש נפילת טילים. אנחנו לא רוצים את זה, כי אין זמן לשמוע את האזעקה, זה גם משהו שאנחנו מתעסקים איתו.

שתושבי מדינת ישראל יידעו שגם בנושא הזה - - -

גם בנושא הזה נעשית עבודה יחד עם פיקוד העורף ועם - - -

יש דריכות מיוחדת גם בעניין הזה.

בוודאי.

רצית להוסיף מילה?

רציתי רק להגיד מילה קטנה, וזה בעיקר לאנשים מהרשויות המקומיות וגם מהממשלה. בסופו של דבר שימו לב שיש איזה שהוא שינוי בדירקטיבות העולמיות. ה-GPPR, מעבר לרגולציה שנכנסה, בעצם בא ואומר שהמידע שנמצא בעיריית הרצליה הוא לא של עיריית הרצליה, המידע עליי כמובן, הוא שלי והם מאחסנים לי אותו. זאת אומרת שבסופו של דבר אם הם יחטפו אירוע אתם עשויים למצוא את עצמכם בתוצאה שהאזרחים יוכלו לתבוע את העיריות, זה לא ייגמר טוב. אני חושב שצריך לעשות - - -

דורון, לא צריך להלך אימים, הם נמצאים בעניין הזה. הם יודעים את זה בחלק הזה.

רגע, רק מילה אחת אחרונה. אני רק רוצה להגיד דבר אחד, נושא הדיון היה מדיניות בנוגע לדרישות תשלומי כופר ואני חשה, כמי שבאמת נתקלה בעניין הזה ולא שילמה את הכופר, אני לא יודעת אם כרגע זה בכלל רלוונטי, התשובה לא ניתנה. לא שחשבתי שתתקבל תשובה של כן או לא, אבל אפילו לא ברמת קביעת מדיניות. זאת אומרת לא נאמר אם - - -

קביעת מדיניות כן, אז אני אולי לא הכנסתי את זה ל - - -

הדיון נסב הרבה סביב התקנות, הוא היה דיון חשוב, אני לא - - -

משרד הפנים היום אמור לתת את המענה, אבל המענה הוא בהלימה יחד עם מערך הסייבר. זאת אומרת המענה שמשרד הפנים נותן זה דרך הנחיה מקצועית והליווי של מערך הסייבר. זה יכול להיות מקביל יותר, לא משנה אם יפנו אליכם ישירות או שיפנו - - -

זה לא משנה.

אבל הם מראש אמרו שהמלצה הם לא ייתנו. אני שואלת מבחינה משפטית אפילו.

זה דיון שהעלית את זה ואני מקווה שייתנו על זה תשובות. אין על זה תשובה, לא על כל הדברים אנחנו - - -

לא, בוודאי.

אבל דבר ראשון ההנחיה שלנו היום, אני חזרתי בי, לא לתת ולא לשלם, אלא ההנחיה הראשונית היא לעמוד בקשר עם הגוף המוסמך והגוף המוסמך היום קיבל על עצמו לתת תשובות והתשובות יהיו פרטניות יותר, למידה של הדברים האלה ואחרי זה - - - נכון שאנחנו באנו בטרוניה שמועצה כמו חוף אשקלון, שקיבלו את ההתראה וקיבלו את הדברים, הם לא יישמו את זה. אז כאן יש את התשובה של נושא של תקציבים ומודעות. יכול להיות שצריך את זה לחקור, אבל לא באתי לעשות עכשיו - - -

סליחה שאני קוטע, היושב ראש, אני חושב שכן ניתנו פה תשובות. אני חושב שמערך הסייבר אמר תשובות מאוד מאוד ברורות, אני אמרתי תשובות מאוד ברורות, הוא אמר יותר מעשר פעמים, כשרשות מקומית נתקלת בכזה אירוע אז היא פונה והיא תקבל - - -

לא, היא שאלה כבר הלאה.

ואם לא פתחנו את הקבצים מה היא עושה?

מה היא עושה?

אני רוצה להסביר. הנושא של מדיניות, אי אפשר להגיד לא מוסרים, כל עניין לגופו וזה מה שנאמר פה. אני ממש מתנגד למה שאמרת, שלא קיבלנו תשובות, אני חושב שניתנו פה תשובות וניתנו פה תשובות מצוינות. יש עוד מה לעשות, מה לעבוד, אבל בהחלט - - -

אוקיי, אחרי דברי הסיכום אני לא ממשיך, אבל אדוני רצה להגיד משהו.

שמי מונס, אני מנהל אבטחת מידע של משרד הרווחה. בזמן שהיית בחוץ אני אמרתי משהו לנוכחים והם אמרו שכדאי שאני אגיד את זה לפרוטוקול. במשרד הרווחה יש שיתוף פעולה ביחד עם המרכז לשלטון מקומי ומשרד הרווחה הוציא הנחיות אבטחת מידע במסגרת תקנון התע"ס שמותאמות לנושא של סייבר, מותאמות לנושא של אבטחת מידע. אני, כמנהל תחום אבטחת מידע, מבצע היום הדרכות לעובדי מחלקת הרשויות המקומיות שאני מוזמן, אז אם תזמינו אותי אני אשמח להגיע. כל נושא של אבטחת מידע בקורסים של עובדי זכאות ועובדי תפעול, או יש שם היבט של אבטחת מידע וסייבר והתייחסויות לדברים האלה, זאת התחלה של משהו לפחות בהיבטים האלה. זה לא עולה הרבה כסף, זה בחינם, דרך אגב, אני עושה את זה תוך כדי עבודה.

אתם בחרתם את הנושא של משרדי הרווחה או אגפי הרווחה בגלל המידע הרגיש?

בגלל המידע הרגיש, בהחלט.

דרך אגב, עיריית תל אביב, התרשמנו למשל שהם לקחו את מחלקת הרווחה - - - אתה בטח תסכים איתי, צחי, שגם ברשויות מקומיות, גם בתוך הרשות יש מחלקות או אגפים שהם מאוד מתקדמים ויש אגפים שהם לא נמצאים - - - קח לדוגמה אגף הרווחה בעיריית תל אביב, אני חושב שהוא מצוין, אני לא בטוח שבעיריית ירושלים באותה מידה כמו האגפים האחרים. זה בכלל לא אומר, לפעמים יש פערים מאוד מאוד גדולים. גם במשרדים הממשלתיים, למשרד הבריאות יש אגפים מאוד מאוד מתקדמים במערכת שלהם ויכול להיות טיפות חלב, שזה גם משהו שקשור לזה, ושם אנחנו מאוד מאוד מיושנים. ניקח לדוגמה באותו משרד, בטיפות חלב אין כמעט שום דבר. אני לא מדבר, לא על מערכת תורים, גם לא מידע, כרטיסי החיסונים, מה שנקרא פנקס החיסונים ועוד דברים כאלה, שזה רחוק מאוד, אנחנו מיושנים, עוד לא גדלנו שם, הילד נשאר תינוק.

אני מדבר על שיתופי פעולה קיימים כבר.

בסדר, מאה אחוז. נציין את זה. אני רק אומר, תמריץ לרשויות המקומיות, לכולם, גם אם אין תשובות מלאות, יש חלק, אפשר להיעזר. צריך להיכנס לעניין הזה, המודעות היא בוודאי בעיה אצלכם. תודה רבה.


הישיבה ננעלה בשעה 12:25.