פרוטוקול של ישיבת ועדה

הכנסת העשרים-ושלוש

הכנסת



14
הוועדה לענייני ביקורת המדינה
22/06/2020


מושב ראשון



פרוטוקול מס' 8
מישיבת הוועדה לענייני ביקורת המדינה
יום שני, ל' בסיון התש"ף (22 ביוני 2020), שעה 10:30

1. היערכות גופים חיוניים להגנת הסייבר - דוח מבקר המדינה 69ב.
2. היבטים בהיערכות המדינה להגנת המרחב הקיברנטי - דוח מבקר המדינה 67א.

חברי הוועדה: עפר שלח – היו"ר

ישי וקנין - המנהל הכללי, משרד מבקר המדינה

יובל חיו - מנהל חטיבה, משרד מבקר המדינה

צחי סעד - מנהל החטיבה הכלכלית, משרד מבקר המדינה

ניר עוזרי - סגן מנהל אגף ט חטיבה כלכלית, משרד מבקר המדינה

ויויאנה שניידר - סגן מנהל אגף י"ד, משרד מבקר המדינה

שני שרביט - סמנכ"לית בכירה למדיניות וארגון, מערך הסייבר הלאומי

עמית אשכנזי - היועץ המשפטי, מטה הסייבר, מערך הסייבר הלאומי

מיטל אריק - ראש אגף הנחיה ואסדרה, מערך הסייבר הלאומי

קרן דהרי בן נון - ראש אשכול סייבר, משרד המשפטים

הילי זליבנסקי - CTO, מנהל מערכות מידע, עיריית תל אביב

פלורינה הלמן לוין
איל קופמן – סגן מנהלת הוועדה

טלי רם


1. היערכות גופים חיוניים להגנת הסייבר - דוח מבקר המדינה 69ב

2. היבטים בהיערכות המדינה להגנת המרחב הקיברנטי - דוח מבקר המדינה 67א

אנחנו ממשיכים את הדיון שלנו בענייני הגנת הסייבר של המדינה. אנחנו באים מדיון של ועדת המשנה שעסק ספציפית בהגנה על גופים חיוניים, דבר שעלה כמובן גם לכותרות לאחרונה אחרי ההתקפה – שלפחות על פי התקשורת יוחסה לאיראן – על גופי מים במדינת ישראל. שמענו סקירה מעניינת, מרתקת ומאוד יסודית על ההיערכות של הגופים החיוניים.

אנחנו עכשיו פה בפן הציבורי שהוא כמובן לא פחות חשוב, והפן הזה עוסק הן בהסדרה – ככל שניתן לדבר עליה במונחים הגלויים – בהסדרה בין גופי הסייבר השונים במדינת ישראל, ובעיקר במעמד. מכיוון שהסייבר הוא תחום שבו הגופים הביטחוניים והמרחב האזרחי מעורבים ומשולבים לבלי הכר ולבלי הפרד, אני אומר את זה גם מניסיוני כחבר ועדת המשנה לסייבר של ועדת החוץ והביטחון, בשלב הראשון ההסדרה עסקה בלעשות סדר בין הגופים הביטחוניים השונים והגופים שהקימה הממשלה עם הגלגולים של זה – מטה הסייבר, רשות הסייבר, והיום מערך הסייבר, שמשלב את כל הדברים, גם את הצד של הניהול של זה ברמה הלאומית וגם את הניהול של זה ברמה המעשית – וכל זה כמובן בממשק עצום עם הגופים האזרחיים, דבר שגם יש לו משמעויות בהיבטים של פרטיות וגם מעורר באמת שאלות חוקיות מאוד גדולות.

חוק הסייבר מתעכב. זה חוק ארוך, מסובך, היו דיונים ראשונים עליו עוד כשאני הייתי בוועדת החוץ והביטחון אבל הדבר הזה, גם בגלל הפלונטר הפוליטי, נעצר. אנחנו לא נדון בחוק הסייבר – גם על פי שיחה שהייתה לי עם ראש המערך, שאמר בצדק, מבחינתי, חוק שעוד לא עבר ועדת שרים לחקיקה, אני כפקיד ממשלתי לא יכול לדון בו בהקשר הזה, אבל דברים שנובעים מתוך ההיגיון שלו ואיך אזרחים במדינת ישראל יעמדו מול הסמכויות שיהיו בסופו של דבר למערך הזה בחייהם, זה דבר מאוד מאוד חשוב והוא יעלה פה באופן משמעותי בדיון.

הדוח שאנחנו מסתמכים עליו הוא דוח באמת יותר מוקדם, כמעט במובנים מסוימים פרה-היסטורי של מבקר המדינה, דוח 67א, שעוסק בהיבטים בהיערכות המדינה להגנת המרחב הקיברנטי. חלק מהדברים שנמצאים בו כבר הוסדרו במהלך הזמן, עם ההתקדמות של הנושא, אבל בואו נציג אותו. ישי, בבקשה.

כמה משפטי פתיחה. התכנסנו כאן לדון בשני דוחות שנתבקשנו. האחד, כפי שציינת, היושב-ראש, דוח שפורסם במאי 2017, שדן בנושא היבטים בהיערכות המדינה להגנת המרחב הקיברנטי, והדוח השני שפורסם במאי 2019 ועוסק בהיערכות הגופים החיוניים להגנת הסייבר. אין ספק, ברור שמאז שפורסמו הדוחות חלה כברת דרך משמעותית. במונחים של מערכות מידע וסייבר, גם דוחות שנשים אותם מחר בבוקר, לדעתי מבחינת השינויים והתמורות שחלים בעולם הזה כנראה לא נצליח אף פעם להדביק את הקצב.

עם זאת, אני חושב שבשני הדוחות האלה ישנם דברים מערכתיים ששווה להסתכל עליהם, והזמן הוא זמן ששם אותם במקום של רלוונטיות גם לאחר שחלף זמן רב, ולכן לדעתי חשוב היה שנקבע הדיון בנושא הזה ואני חושב שיש ערך מוסף בכלל במשמעות לזה שוועדת ביקורת המדינה דנה בנושא שהפך להיות משמעותי.

אני אומר שני משפטים נוספים לא קשורים לדיון, שחשוב לי לומר בוועדה הזאת. בהחלט, כפי שהצגנו בפניך בשבוע שעבר, מבקר המדינה ואני, הנושא של מערכות מידע וסייבר, שמנו את זה לנגד עינינו כאחד מיעדים מאוד מרכזיים שאנחנו עוסקים בהם בביקורת המדינה. זה בא לידי ביטוי בכך שאנחנו עסוקים בימים אלה בהקמת אגף נוסף בביקורת המדינה שעוסק במערכות מידע וסייבר, בהכשרת האנשים שלנו ובתוכנית העבודה שלנו הנוכחית שאנחנו עוסקים דגשים רבים וביקורות שעוסקות בנושא הזה.

אנחנו מבינים שהסוגיה של מערכות מידע וסייבר הפכה להיות נושא שהוא אבן דרך משמעותית, גם מבחינת האיומים המשמעותיים במדינת ישראל וגם מכיוון שהמגזר הציבורי נמצא בתהליכים מאוד מאוד משמעותיים למעבר למערכות מידע, אז לצד היתרונות הרבים ישנם סיכונים רבים, הן מבחינת סיכוני סייבר ואבטחת מידע והן מבחינת ביצוע תהליכים.
בעתיד, בהמשך אני מאמין, חלק מהדוחות – שגם הוצגו ב-70ב – אנחנו מתעסקים בנושא של ניהול פרויקטים במערכות מידע שמושקעים בהם סכומי עתק, גם בהיבט שהיום כל השירות לציבור מתבסס הרבה על נושא של שירותים מקוונים, ולכן מאוד חשוב לנו לבחון לצד היתרונות את הסיכונים, בדגש על הנגשת המידע לציבור ולראות שהוא גם מותאם לאוכלוסיות מגוונות וגם לאוכלוסיות מוגבלות, ולכן הדבר זה הופך להיות תחום מאוד מאוד משמעותי שגם אנחנו מתעסקים בו. אני אעביר את רשות הדיבור למנהלי החטיבות.

יובל חיו, מנהל חטיבת משרדי ממשלה; צחי, מנהל החטיבה הכלכלית, ומאחור נציגי האגפים שביצעו את הביקורות כך שאם יהיה דגש או נקודה משמעותית, הם גם יוכלו להתייחס. תודה רבה.

תודה. בבקשה, יובל.

אני אתייחס, גם במגבלות הדיון הגלוי וגם לנקודות נבחרות מתוך הדוח בכללותו. משרד מבקר המדינה בשנת 2014 ו-2015 למעשה החל להתבונן על האופן שבו נערכת מדינת ישראל להגנת המרחב הקיברנטי. אנחנו נכנסנו לביקורת בגופים במטה הקיברנטי הלאומי, הגוף שהוביל את הנושא הזה בשעתו במשרד ראש הממשלה, מה שעם הזמן הפך לרשות הסייבר ומאוחר יותר מערך הסייבר. ערכנו את הביקורת בשירות הביטחון הכללי וביקרנו במספר משרדי ממשלה.

(שקף: היבטים בהיערכות המדינה להגנת המרחב הקיברנטי). במסגרת הביקורת הזו עסקנו בארבעה תחומים עיקריים. התחום הראשון הוא גיבוש תפיסת ההגנה הכוללת על המרחב הקיברנטי; התחום השני, האסדרה של שוק הסייבר, אסדרה שמתחייבת כדי לבנות תשתית עבודה מדינתית בנושא הזה; התחום השלישי זה הגדרה של הגופים והמערכות שיש להגן עליהם במדינת ישראל; התחום האחרון הוא מצב ההגנה על מערכות מחשוב שמכונות תמ"ק – תשתיות מדינה קריטיות – וגם על מערכות מחשוב שהן מחוץ למעגל התשתיות הקריטיות.

(שקף: רקע). חשוב לומר ששני עוגנים מרכזיים ויסודיים עומדים ביסוד הפעולה הממשלתית בתחום הסייבר. אחד זה החלטת ממשלה משנת 2011 שבה הוחלט על הקמת מטה הסייבר במשרד רוה"מ. ההחלטה הזאת כוללת גם החלטה בדבר הצורך בהמלצה על מדיניות לאומית בתחום הסייבר והאופן שבה היא תקודם, וההחלטה הזאת גם באה להסדיר את כל מערך האחריות לטיפול בתחום הזה ולקדם את היכולות על ההגנה על מרחב הסייבר.

שלוש שנים מאוחר יותר הגיעה החלטת ממשלה יסודית נרחבת נוספת, החלטה בשנת 2015, שבה הוחלט להקים רשות לאומית להגנת הסייבר ולהקים גופים נוספים לטיפול באסדרה של שוק הסייבר.

אלה למעשה עד היום מהוות החלטות הבסיס לכל התחום הזה. אני חושב שגם היום נכון לבחון את הפעולה הממשלתית למול שני העוגנים הללו.

(שקף: הסדרת האחריות לטיפול בתחום הסייבר). אנחנו למעשה ליווינו את הפעולה הממשלתית אחרי החלטת 2011 ולקראת החלטת 2015. אני כבר אומר שעיקר הממצאים שהועלו בפרק הזה הם רלוונטיים לשנים הללו ורלוונטיים למעשה לתקופה שבה הממשלה נערכה, אבל נכון יהיה לקחת מהממצאים שהובאו שם לצורך הפקת לקחים על פעילות הממשלה בכלל, וגם לצורך הפקת הלקחים בפעילות תחום הסייבר בעתיד, ואני מניח שעוד יידרשו פעולות כאלה בהמשך.

מספר נקודות עיקריות שהעלינו בפרק הזה. אנחנו העלינו ממצאים שנוגעים להליך שבאמצעותו גובש מסמך תפיסת ההגנה והאופן שבו הוא אושר בממשלה. כללנו בדוח ממצאים שנוגעים לעבודת המטה של הממשלה בנושא הזה וציינו שהעבודה הזו לא כללה עלות של החלופות שהובאו בנושא.

בחומר שהוצג לשרים לפני ישיבת הממשלה למעשה לא הוצגו החלופות. צריך לומר שהחלופות האלה היוו בסיס לשיח פנים-ממשלתי נוקב ומורכב שנמשך שלוש שנים. כשהם הגיעו לקו הסיום אנחנו בביקורת המדינה סברנו שעיקרי המחלוקות בעניין הזה צריכים להיות מוצגים לשרים על מנת שהחלטתם תהיה בתוך מודעות מלאה למורכבות.

היות ואני מכיר את זה, וחלק מהוויכוחים אפילו הוסדרו פה בחדרים הסמוכים בוועדת המשנה של ועדת החוץ והביטחון, לא מתוך סמכות שיש לנו אבל מתוך זה שזה היה איזשהו חדר שאפשר היה לשבת ולדון בו, מדובר – ובאמת אם אתה יכול להכליל את זה באיזושהי צורה כי זה מעניין – מדובר באמת על מהלך ממשלתי גדול, על תחום מאוד גדול שבעצם מתחילים ליצור אותו. וצריך להגיד, כל העולם עוסק בזה אבל אין הרבה ניסיון עולמי להסתמך עליו כשעושים אותו, וישראל אגב נמצאת במקום טוב יחסית בהסדרה של הדבר הזה, וכולל כמובן דריכה על בהונות של ארגונים, כולל ארגונים מאוד חזקים, העברה של סמכויות.

אם אתה יכול להגיד אפילו באופן לא מסודר – זאת אומרת, לא מתוך העבודה שלכם – מה התהליך הנכון באמת למהלך כזה. האם הסקתם מזה מסקנות מערכתיות והמלצתם המלצות מערכתיות לתהליך נכון למהלך בסדר גודל כזה? כי באמת כמו שאתה אומר, זה התעכב הרבה מאוד שנים כתוצאה מזה שהדברים האלה לא הוסדרו לפני.

מדובר למעשה במתודולוגיה שלמה של הבאת דברים בפני הממשלה. אנחנו נמצאים בדילמה מסוימת. כשאתה מביא סוגיה מורכבת בפני הממשלה אתה צריך להביא את הרובד האלמנטרי לצורך קבלת החלטה, אתה לא יכול להיכנס לרמת פירוט גבוהה מדי כי זה מצב הדברים.

נקודת האיזון הזו, בטח כשאתה עוסק בתחום שנמשך שלוש שנים באי הסכמות יסודיות, חייבת לקיים רובד בסיסי של עיקרי אי ההסכמות, עיקרי הדילמות, ההתלבטויות העיקריות שעמדו ביסוד התהליך.

אני צריך לומר שגם מהגופים המבוקרים אנחנו שמענו שהאנשים הכירו את פני הדברים. אנחנו חושבים שמהלך ממשלתי חייב גם לקיים את הצד הפורמלי והסדור של תהליך קבלת ההחלטה. ולכן, כן אנחנו חושבים שגם במציאויות מורכבות כאלה נכון שיהיו מסמכים יסודיים שיונחו בפני הממשלה, שמביאים לפני ההחלטה את ההתלבטויות שעמדו ביסוד עבודת המטה, את ההכרעה שהגיעו אליה. כמובן בהערות נוספות אנחנו מדברים על ההיבטים התקציביים של הנושא הזה, וגם ככל שיש מסמכים של לרבות ראשי מערכות שבאים ערב ההחלטה כדי להצביע על פער כזה או אחר, נכון לשקף את זה בפני השרים. ושוב, סמכותה של הממשלה לקבל את ההחלטות האלה, זה תפקידה והיא נדרשת בסופו של יום להכריע בנושאים האלה.

באמת, ההערות האלה הן הערות מתודולוגיות כלליות. נכון, הנושא התקציבי הוא בהחלט נושא חשוב להבנתנו. אני חושב שגם בתקנון הממשלה וגם בעבודת הממשלה, התובנות האלה הלכו והתחזקו במהלך השנים והיום אנחנו רואים שהממשלה, כשהיא מביאה לשולחנה סוגיות לדיון, הנושא התקציבי נוכח שם בצורה הרבה יותר משמעותית מבעבר.

מאה אחוז.

(שקף: הסדרת האחריות לטיפול בתחום הסייבר). אנחנו הצבענו על כך שעד תחילת 2016 לא הוכן תזכיר חוק הגנת הסייבר, שלפי החלטת הממשלה היה צריך להיות מוגש לראש הממשלה עד אוגוסט 2015.

אנחנו הצבענו – אני אומר באופן כללי – על הצורך לקדם את הכנת התזכיר הזה. קידומו כרוך באופן ישיר במוכנות ובהיערכות, היכולת לקיים את הפעולות להיערכות כוללת מדינתית בנושא הזה. צריך לומר שתזכיר החוק פורסם ביוני 2018, וזוהי הנקודה שבה אנחנו נמצאים כיום.

(שקף: אסדרה של שוק הסייבר). התחומים האחרים נכנסים כבר יותר למעגלי פעילות מקצועיים בתוך המטה והרשות מאוחר יותר. לנגד עינינו אנחנו כן שמנו את נושא קצב ההתקדמות, סוגיה מאוד משמעותית למול התפתחות האיום.

לכן, הצבענו על מספר דברים שביסודם פיגור בלו"ז. דיברנו על בחינה וקידום של מיסוד מנגנונים לאישור ולהסמכה של מוצרי הגנת סייבר בישראל. בתקופת הביקורת היה פיגור בלוח הזמנים בנושא הזה, אני מניח שמאז כבר צומצמו הפערים והגיעו ליעד. עד למועד סיום הביקורת לא הוגדר מנגנון למדרוג שירותי הגנת הסייבר. במצב דברים זה הצבענו על כך שחל עיכוב באסדרת מקצועות הסייבר העוסקים בתחום הזה.

שוב, צריך להבהיר פה בדיון הזה שאנחנו מדברים על הנחת תשתיות בכל עולם כזה שאנחנו מדברים. הגדרה של המקצועות היא תשתית להתחלת פיתוח כל הנושא ברמה המדינתית, הגדרת מוצרים היא תשתית לפיתוח כל הנושא הזה ברמה המדינתית.

אנחנו המלצנו למטה לבחון איך הוא קובע מסגרת עבודה מפורטת ומחייבת למילוי המשימות האלה עם אבני דרך שאפשר לעקוב אחריהן, וגם ציינו שתוכניות העבודה של המטה צריכות לכלול מועדים.

גם בגלל מצוקת הזמן, אם אתה יכול לדלג על דברים שאנחנו יודעים שכבר קרו כי המטה שאתם מדברים עליו כבר לא קיים אפילו.

(שקף: קביעת הגופים והמערכות שיש להגן עליהם). חשוב מאוד לראות באיזה מקומות, אם יש תהליך סדור לאיתור גופים שצריכים לקבל את ההנחיה ואת הרגולציה. התהליך הזה חייב להיות תהליך שיטתי, סורק, אחרת מתפספסים גופים. אנחנו הצבענו בדוח על מספר גופים שפוספסו ואני חושב שגם במהלך השנים מעת לעת נתקלים במקרה הזה, ונכון שיהיה הליך סדור.

הנקודה הבאה נוגעת לסוגיה של המאסדרים המגזריים בתחום הסייבר. זה תחום שחייב להיות, הוא נמצא במעגל הרחב יותר, אנחנו מדברים על עולמות של רשויות מקומיות וגופים אחרים, מערכות בריאות וכו'. אני מניח שמאז כבר נעשתה פעולה נרחבת בנושא הזה. במועד הביקורת היה פער בהתפתחות הנושא למול תוכניות העבודה והחלטות הממשלה.

בסופו של דבר אני אסכם את הדברים בכך שאנחנו חושבים שצריך לראות את קצב ההתקדמות בכל אחת מגזרות הפעולה של המערך, חייבים לתת דגש לקצב הזה לאור הקצב של התפתחות האיום בתחום הסייבר. עד כאן.

תודה רבה. שני שרביט, מערך הסייבר הלאומי. ראשית, אם יש לך הערות כלליות לדברים שאמר יובל חיו, ואחר כך ניכנס לתוך הנושאים הספציפיים שאליהם ביקשתי מכם להתייחס.

הדוח הזה הוא באמת דוח ותיק במונחים של סייבר וגם במונחים של ממשלה, אני מקווה. אנחנו רואים התקדמות משמעותית בכל המדדים שדיברת עליהם – בכל המדדים, בכל הנושאים שהיו בדוח הזה. למעשה הוא כבר בדק החלטה שהתקבלה והתייחס אליה, וגם בדק – הייתה תקופה קצרה שאפשר היה לראות כבר איך אנחנו עולים על פסים של מעשה, אנחנו וכל שאר הממשלה, כדי לממש הלכה למעשה את ההחלטה הזאת, וכבר אז היה אפשר לראות שיש שיפור משמעותי.

כשמסתכלים על הדוח היום, בכל המדדים, בכל הנושאים אפשר לראות שיפור. ראשית, אני רוצה ממש במשפט להתייחס לנושא ההחלטה שדיברת עליו, למרות שזו לא באמת הערה שאפשר עכשיו לעבוד איתה אבל אני כן רוצה להגיד משהו על אז.

הייתה עבודת מטה מקיפה מאוד על ההחלטה על הקמת הרשות אז, ב-2015, היא הייתה כשנתיים. היו מספר גורמים, גם בכירים מאוד וגם גופים, שנתנו את דעתם על ההצעה של מטה הסייבר דאז, ואנחנו הבאנו לממשלה או ראש הממשלה הוא זה שהביא לממשלה החלטה שבמהלך הדיון עצמו – גם נכחתי בדיון וגם אחרי כן קראתי שוב חזור וקרוא את הסטנוגרמות – גם מביאים לידי ביטוי בדיונים עצמם איפה היו המחלוקות, בוודאי של הרגעים שלפני ההחלטה, זאת אומרת דברים שעוד נשארו פתוחים והיה צריך לחלוט אותם, וגם את הדרך הארוכה שנעשתה, וגם, אחת ולתמיד העלו על נס את חשיבות הנושא הזה והביאו את זה לידי ביטוי בקרב השרים.

כל הדיונים שהיו לפני כן התנקזו להחלטה אחת משמעותית, למעשה לשתי החלטות משמעותיות, שאלה שתי ההחלטות שהקימו את שלל הפעילויות שעל פיהן אנחנו עובדים היום.

אני רוצה להגיד משהו על הממשלה ועל היכולת שלה להחיל שינויים. למעשה, בשנים שלפני היינו עוד בלי הסמכויות למול הממשלה, גם למול הממשלה בשבתה כמשרדי ממשלה וגם אלה של מגזרי הממשלה, אלה שמנחים את המשק, וסימנו לעצמנו מהם אלה מבין משרדי הממשלה, וממצב של אין היום אנחנו נמצאים בהרבה הרבה יותר.

יש תהליך מתמיד של שיפור, אנחנו רואים אותו לאורך זמן הולך, מתגבר, משתנה לנגד עינינו. מנהלי המשרדים – גם המנכ"לים, גם השרים, גם מקבלי ההחלטות – ניכר שרמת המודעות שלהם לנושא הזה, ההבנה שלהם בנושא הזה ורמת הטירדה שלהם מנושא הסייבר והגנת הסייבר עולה בצורה שיטתית ומתמדת. אנחנו עדיין רוצים לראות קצב יותר גדול, ללא ספק. אנחנו עובדים בכל המקומות שבהם אנחנו מזהים שזה עדיין לא כך, ואנחנו עובדים יחד עם משרדי הממשלה.

בכל מה שקשור במגזרים אנחנו עובדים עם היחידות המגזריות, שגם הן, בתקופת הדוח הזה וגם הדוח השני – שתדברו עליו, אני מניחה – היו תחילה של בנייה. אנחנו היינו מופקדים בין השאר על לעזור לבניין הכוח של היחידות האלה, גם להקים אותן, ממש הלכה למעשה להביא את האנשים, לעזור לזה לקרות, לתקצב את זה יחד עם המשרדים, לגרום למשרדים לקחת אחריות – מעבר להחלטת ממשלה שהתקבלה – וגם להזין את זה בתוכן, להכניס את הידע הנדרש, להנחות את המשרדים האלה, לכוון אותם לכדי מיפוי. דיברת על מיפוי, אז נעשה מיפוי בהרבה מאוד מהמגזרים האלה.

וגם התמ"ק – אני רגע פותחת סוגריים כי זו הייתה הערה קונקרטית – יש בכל מה שקשור לתשתיות הקריטיות שיטה חדשה של תבחינים שהתקבלה בצורה מסודרת בוועדה הזאת ועל פיה אנחנו עובדים במיפוי של הגופים, דואגים להכניס ולהוציא על פי הצורך גופים, לא מקדשים רגולציה באשר היא אם אין צורך בה יותר, אנחנו דואגים גם להוציא גופים, ואנחנו עובדים שם בצורה סדירה. נתנו בדיון המסווג דיווח מסודר איפה אנחנו עומדים בדברים האלה. חזור למגזרים.

שני, ברשותך, אנחנו טיפה קצרים בזמן ויש לנו הרבה נושאים. אני מאוד מבקש להיכנס לדברים שעומדים על הפרק עכשיו, ואני רוצה להתחיל אחד אחד גם לפי המסמך ששלחתי לך, תכף אנחנו נשאל את משרד המשפטים על הסטטוס של חקיקת חוק הסייבר. את יכולה בקצרה להגיד איזה סמכויות חסרות לכם עכשיו שצריכות להיות בחקיקה? איזה תשתית חקיקתית אמור לתת לכם חוק הסייבר, בשפה שגם חובבנים כמונו יבינו, מה אתם לא יכולים לעשות או מתקשים לעשות עכשיו, וחוק הסייבר יאפשר לכם לעשות אותו?

אני אבקש מעורך דין עמית אשכנזי, היועץ המשפטי, להשיב.

בבקשה, עמית.

תודה, אדוני. הפרויקט שלנו בחוק הסייבר הוא בעצם פרויקט מורכב כי הוא מתעסק עם חקיקה ביטחונית טכנולוגית, ומחוקקים ברחבי העולם - בגלל תהליך החקיקה, הקצב, האופי ושינויי הטכנולוגיה, וגם האתגרים הביטחוניים - נתקלים באתגר הזה חדשות לבקרים ואנחנו רוצים להביא לבית המחוקקים את המוצר המעודכן ביותר, במגבלות הדד-ליינים השונים.

במובן הזה, הקולגות שלנו במגזר הפרטי, יש להם יתרון ענק כי הם בעצם פועלים לפי דיני החוזים או דיני החוזים האחידים או מה שאני קורא לו בביקורת מסוימת "דיני תנאי השימוש", כי כשאתה מתקין מוצרים טכנולוגיים אתה תמיד מסכים לכל מיני תנאים. אני אחזור לזה מייד כשאני אסביר איפה אנחנו נמצאים.

לכן, בעצם האתגר שלנו כמחוקקים או כמי שמביאים לבית המחוקקים חוק, הוא לאזן בין הצרכים הטכנולוגיים, וטכנולוגיות ההגנה וההתקפה השתנו בחמש שנים האחרונות האלה כמה פעמים וגם האתגרים הביטחוניים כי דרכי הפעולה של תוקפים שמולם אנחנו צריכים להגן על האזרחים גם השתנו.

כשכותבים חוק צריך לקחת בחשבון מסגרת שהיא מצד אחד מספיק יציבה כדי שהכנסת תדע איזה מנדט היא נותנת לגוף ברשות המבצעת, בהתאם לעיקרון החוקיות, וזאת מגבלה שאין לגוף פרטי שפועל במימד הטכנולוגי כי הוא יכול לתקן את החוזה שלו בכל רגע נתון, ומצד שני צריך שזה יהיה מספיק גמיש כדי להתמודד עם המציאות שאנחנו מדברים עליה.

להשלמה של סקירת נציגי מבקר המדינה צריך לציין עוד מסמך מאוד משמעותי בפעילות שלנו כרגע, מסמך שנקרא עקרונות ה-Cert הלאומי. זה מסמך שבהתאם להחלטת הממשלה תואם עם משרד המשפטים. הוא בעצם תקנון זכויות היסוד של מערך הסייבר הלאומי והוא מדגיש את העובדה שאנחנו פועלים לגבי חומר בשפה קריאת מחשב ולא עוסקים בתוכן, בשונה ממה שהמותג סייבר לפעמים משמיע.

קונקרטית, בהתאם למסמך עקרונות ה-Cert, הפעולה שלנו מול המרחב האזרחי היא פעולה מהסכמה מדעת חופשית ומרצון. אנחנו מגיעים לארגון, מציעים לו עסקת סיוע שבתוכה אנחנו מסבירים מה הפעולות שאנחנו עושים, אנחנו משכנעים את הגוף ובאים איתו בדברים, כולל משא ומתן אם צריך, ולפעמים לקצב המשא ומתן יש משמעות על היכולת שלנו לבצע את משימותינו, ולעולם הפעולה מסתיימת בטופסיאדה – טופס שבו נציג של הארגון מסכים לפעולה כמו שמסכימים לטיפול רפואי, ובהמשך לזה כל פעולה נוספת שאנחנו עושים יש לה טופס נפרד, בהתאם למה שאומר המנהל המבצעי.

גם כשיהיה חוק, זה יהיה התהליך?

כשיהיה חוק, זאת תהיה ברירת המחדל. אחת הסוגיות המרכזיות שעולות בדיונים בחוק – והיא משקפת שאלה ערכית חשובה – מהו הרגע שבו המדינה מצפה, המחוקק מצפה מהרשות המבצעת לפעול מול גוף פרטי ללא הסכמה כי האינטרס הציבורי מחייב את הדבר הזה. והתבחין הזה, השאלה מתי אנחנו אומרים – אוקיי, ניסית בהסכמה, ניסית לשכנע, הכול טוב ויפה, עכשיו צריך ללכת הלאה – זו שאלה יסודית שעומדת בדיונים ואנחנו בין התזכיר לבין הטיוטה האחרונה שנמצאת במשרד המשפטים, בניהול סיכונים שלנו צמצמנו מאוד את התבחינים על מנת לתת למחוקק ולמשרד המשפטים יותר ביטחון לגבי מתי עוברים משלב של פעולה בהסכמה בלבד לשלב של כוח.

בהמשך לזה, שאלה נוספת שעולה היא: בהינתן שאתה מקבל, הציבור מקבל שיש רגע שבו רוצים שהמדינה תיכנס ללא הסכמה לארגון כי יש אינטרס ציבורי חיוני שמחייב את הדבר הזה, מה מותר לאותו גוף מדינתי לבצע? מהן הפעולות בפועל שמותר לעשות?

גם כאן, סביב פרסום התזכיר היו הרבה מאוד, נקרא לזה אי הבנות בלשון עדינה, לגבי מה עושה מערך הסייבר למול גופים אחרים, וגם על הדבר הזה יצאנו מגדרנו עד כדי שאנחנו פוגעים בחדשנות הטכנולוגית שלנו לפעול להגנה, לכתוב את הדברים בצורה ברורה בחקיקה.

הדבר השלישי, שהוא כמובן מאוד משמעותי זה איזה Checks and Balances מכניסים בעת הפעלת הסמכות. חלק מהדברים צריכים להיות מראש וחלק מהדברים בדיעבד כדי לאפשר פעולה יעילה – דיברנו על הדברים.

נכון להיום, מה שאנחנו עושים, אנחנו ממקסמים עד המקסימום את היכולת שלנו לפעול באמצעות הסכמה והמגזר הפרטי, ואנחנו מצליחים אני חושב באופן יחסי בזכות זה שהמסגרת המשפטית שלנו משקפת את מה שאנחנו אומרים, והדבר השני זה הצלחה של אנשי המקצוע שלנו לשכנע את בני השיח שלהם בגופים הפרטיים שיש לנו ערך. יש לנו רשת שיתוף מידע שנקראת סייברנט, שהיא בעצם נקרא לזה הרשת החברתית של אנשי האבטחה, יש בה מאות גופים מחוברים, היא רשת מאובטחת ומוצפנת, היא וולונטרית לחלוטין ואנחנו מבטיחים לשמור בה על כללי משחק כאלה שאנשים ירצו לשתף מידע. בדרך הזאת אנחנו מנסים להתמודד עם האתגרים שלנו באיתור תופעות שהן קורות במרחב הסייבר והן על-ארגוניות, הן מעבר למה שהארגון עצמו רואה.

אם יש לכם מידע על איזשהו סוג של איום חדש, אתם מפיצים אותו בסייברנט לטובת הגופים האלה?

כן. זה דו-צידי. אנחנו רוצים גם לקבל וגם לתת, וכאן חשוב להגיד, אפרופו הצורך, נקרא לזה במילה המפוצצת טקסונומיה של מידע, אנחנו משתמשים בטקסונומיה של Meteor, שנקראתMeteor Attack, זו דרך של אנשי מקצוע לתאר תקיפות סייבר כי אנחנו כרגע מעבירים אחד לשני בין הארגונים לא מידע על אנשים אלא מידע על דרכי פעולה של תוקפים ודרכי תקיפה. כלומר, אלה אותם סממנים איך התוקף או התקיפה פועלת ברשת הארגונית, זה הדבר שהם יראו אם התוקף נמצא אצלם ואלה הדברים שהם ראו כשהתוקף תקף אותם. לתת דוגמה קונקרטית, אם כתובת אינטרנט מסוימת משמשת לשרתי תקיפה, וגוף מסוים עם יכולת חקירת סייבר יותר טובה הבין שזאת כתובת לא טובה וחסם אותה, בוא תשתף את זה עם הקהילה באמצעות המערכת הזאת.

הערה אחרונה בהקשר המשפטי, פה יש לנו מחלוקת עם דוח מבקר המדינה - שצריך רגע לדבר עליה - לגבי תפיסת ההפעלה של החלטות הממשלה. החלטת המדיניות הציבורית שעמדה בבסיס החלטה 2443 דיברה על תפיסת רגולציה מבוזרת היברידית. מה הכוונה? אנחנו לא מחליפים את המאסדרים בגזרתם מול המגזרים שאותם הם מאסדרים, גם מתוך צניעות וגם מתוך הבנה של יתרון יחסי. במילים אחרות, גם לפני מערך הסייבר, הפיקוח על הבנקים בבנק ישראל הוציא הנחיות בנושא אבטחת מידע, ואחריו רשות שוק ההון ואחריו מנכ"ל משרד הבריאות ואחריו משרד האנרגיה, כל אחד בסמכויות האורגניות שמכוחן הוא מרגלץ.

החלטות הממשלה דיברו על זה שמלמעלה אנחנו מבקשים שהדבר הזה יהיה אחיד, כלומר אנחנו רוצים שהתורה המונחלת למשרדים או למגזרים תהיה אותה תורה כי בסוף הארגונים פועלים באותו אופן.

זאת אומרת, אתם מדריכים את הרגולטורים, והרגולטורים מנחים את הגופים.

בדיוק. ולכן, בהערה של הדוח שעוסק בחשיבות של חוק הסייבר לסמכויות, תפיסתנו היא שכנקודת מוצא חוק הסייבר איננו מוסיף סמכויות לרשויות האסדרה אלא במקרים שבהם האינטרס הציבורי הוא כזה, והפער בסמכויות הוא כזה שמצדיק סמכות אסדרה נוספת.

החוק בעיקרו מכוון להסדיר את מערכת היחסים שבין מערך הסייבר כגוף הידע הלאומי לבין המאסדרים השונים בתחום איך עושים הגנת סייבר, וחלק אחר שלו עוסק בטיפול בתקיפות, מה שקראנו לו השכבה השנייה. גם כאן, צריך לומר, אנחנו יצאנו מגדרנו ובגלל זה החוק מאוד ארוך, להכניס בקרות מפצות מראש ובדיעבד לאורך כל תהליכי קבלת ההחלטות בתוך המערך, והדבר הזה שם אותנו, את אנשי המקצוע שלנו – איש הגנת סייבר בחברה פרטית, אני לא אגיד שמות, הזכרנו בדיון המסווג, ואיש הגנת סייבר במערך הסייבר, איש הגנת הסייבר במערך הסייבר יוצא לדרך היום עם תרמיל כי הוא יודע שהוא עובד בגוף ציבורי ויש עליו יועץ משפטי וממונה פרטיות והסתכלות נוספת, והוא מנהל את קרב ההגנה עם מגבלות יותר משמעותיות כי אנחנו מבינים את התפקיד שלנו בלנהל קרב הגנת סייבר ובמקביל גם לשמור מפני שימוש לרעה של אותה פעולה שלטונית ברשת הארגונית.

באיזון בין שתי הנקודות האלה יש מרחב, ובמרחב הזה יש דעות כאלה ואחרות. אנחנו מקווים שנביא בקרוב את העמדה של הרשות המבצעת לגמר ונוכל להביא את זה לכנסת.

אני רוצה להתעכב על הנקודה האחרונה שהעלית כי היא כמובן מטרידה הרבה מאוד אנשים. מה המגבלות שאתם משיתים על עצמכם בעבודה מול גופים פרטיים ואנשים פרטיים, גם בהיבט של פרטיות, וכמובן גוף פרטי שהוא גוף מסחרי יש לו את הסודות שלו וכן הלאה, ואיך הן עובדות? האם זה רק הנחיות שאתם נותנים לעובדים שלכם או שיש לכם מנגנון, Check list כזה שבן אדם או מישהו שמטפל מול גוף פרטי צריך לעבור?

אנחנו מטפלים בסיכונים לפרטיות ולמידע מסחרי, שאנחנו קוראים להם ביחד, פרטיות ומידע מסחרי נקרא אצלנו מידע מוגן בעקרונות ה-Cert, הוא מסמך פומבי. אנחנו מחילים את המגבלות ואת ה-Checks and Balances על כל מחזור החיים של הטיפול במידע, בהתאם ל-Best practices של דיני פרטיות במידע, שאותם אנחנו מיישמים על עצמנו.

השלב הראשון הוא שלב האיסוף, איזה מידע בכלל אוספים. ולכן אנחנו מכוונים את עצמנו למידע בשפת קריאת מחשב שהוא בכלל לא מידע על אנשים. מלכתחילה, אנחנו לא מכניסים, אלא אם הדבר הזה הוא חיוני כדי למצוא בתוכו - - -

אתם לא מסתכלים על תוכן, רק על התהליכים המחשביים שמאחוריו.

על התהליכים המחשביים. הנה טכנולוגיה, הייתי רוצה להגיד לך לעולם לא נוגעים בתוכן כי טכנאי המחשבים לא מסתכל על תוכן, אבל יש כבר פרסומים פומביים על מערך תקיפה מסוים, שהוא ממדינה שאיננה דוברת ערבית, הוא שותל את הווירוס בתוך קובץ Word. אז לכן, כשאני רוצה להגיד לאנשים אצלנו, לעולם אל תכניסו אלינו חזרה למעבדה את קבצי ה-Word כי מה יש לכם לעשות עם קבצי Word, היריב יותר מתוחכם מזה ולכן אנחנו צריכים להבין את המגבלה הזאת.

סליחה על האנלוגיה האנלוגית, אבל כמו שגרפולוג, לא מעניין אותו התוכן של מה שאני כותב, הוא מסתכל על מה שאני כותב בהיבט הגרפולוגי, האם אתם מסוגלים להסתכל על קובץ Word בלי לקרוא אותו?

אנחנו בעצם מפעילים על הדבר את העקרונות של עיצוב לפרטיות. זה אומר שאם יש לי מכונה שיודעת לעשות את זה באופן אוטומטי, אני אשתמש במכונה, ואם אין לי מכונה שיודעת לעשות את זה באופן אוטומטי אז אני אשים בקרה מפצה טכנולוגית, כלומר האנליסט שעושה את החקירה, מתועדת הפעילות שלו באופן כזה שאני אדע לבדוק האם הוא נכנס לתוכן או לא, ובסוף יש לי נהלים. אלה שלושת הכלים שיש לנו בארגון ליישם. כל כלי שאנחנו מכניסים לפעולה בארגון עובר בקרה שלי ושל הצוות שלי כדי לראות שהוא עושה את מה שאנחנו אומרים.

הדבר הבא, וזה אני חושב הדבר הכי משמעותי פה כי אנחנו סומכים על בקרה של הארגון, זה שאנחנו מציגים לארגון ברמת – עוד פעם, הסכמה מדעת של טיפול רפואי – איזה כלי אנחנו שמים אצלו. אנחנו לא אומרים לו: יש פה איזה מזוודה, תחבר את זה לרשת, ויש לי דיאלוג קבוע עם אנשי הטכנולוגיה כי אומרים, בצד השני לא תמיד רוצים את כל הדבר הזה, הם סומכים עלינו. במובן הזה, הצד השני יודע איזה כלים אנחנו מכניסים.

ולבסוף, כל הפעולות שלנו מבחינת מה בסוף נכנס אלינו, מפוקחות לפי עקרונות הגנת סייבר שלנו. אנחנו מגינים על המידע הזה – אני אגיד את זה אולי ככה, זה יהיה הכי פשוט להבין – אנחנו מגינים על המידע שאנחנו מקבלים מהמשק כמו שאנחנו מגינים על המידע הביטחוני שאנחנו מקבלים מהקולגות שלנו הביטחוניים כי אנחנו מבינים, וגם אנשי המקצוע מבינים, שביום שפיסת מידע שקיבלנו מגוף פרטי תצא החוצה, נגמר הסיפור, לא משנה איזה חוק יהיה לנו, וזו הדרך שלנו גם להסביר את הדברים האלה פנימה. אנחנו מיישמים מעטפת הגנת פרטיות מאוד מקיפה גם על מידע מסחרי.

מאה אחוז. אני רוצה לעשות הפסקה ולעבור לנציגה של משרד המשפטים, עורך דין קרן דהרי בן נון, ראש אשכול סייבר, לשאול אותך בפשטות איפה נמצא חוק הסייבר, באיזה שלב ומתי נזכה לראות אותו לפנינו כחברי כנסת.

שלום, תודה שהזמנתם אותי לדיון היום. היושב-ראש הנכבד דיבר על הנושא של החקיקה ועל הפלונטר הפוליטי – נדמה לי הגדרת את זה – אז באמת יש פה תהליך מאוד מאוד ממושך. תזכיר החוק פורסם ביוני 2018 והתקבלו הערות מהרבה מאוד גורמים, כולל גורמים פנים-ממשלתיים וגופים שהחוק עתיד לחול עליהם, מלומדים מהאקדמיה וגורמים נוספים.

בחלק מההערות, בוודאי אדוני גם יודע שהייתה התנגדות להוראות שהוצעו בתזכיר וסמכויות כאלה ואחרות שהוצע לעגן בו, והועלו טענות שהוא מעורר קשיים משפטיים, אפילו שעולים כדי קושי חוקתי.

ולכן, במשך תקופה מאוד ממושכת משרד המשפטים מאוד מגויס לקידום החקיקה. נערכו למעשה מאז הפצת התזכיר ועד התקופה האחרונה במשרד המשפטים המון ישיבות בדרגי מקצוע, הן התמקדו בעיקר בהסדרת הסמכויות לטיפול בתקיפות סייבר ובאיזונים הדרושים לנוכח הטענות לפגיעה בפרטיות, בפוטנציאל הפגיעה בעניין הזה. המאמץ שנעשה הוא בעצם לגבש יחד פתרונות שיאפשרו מצד אחד להגשים את התכלית הראויה ואת התכלית של הגנת הסייבר, באופן שהוא יהיה מאוזן ומידתי, תוך בחינת חלופות כאלה ואחרות. אני מדברת על ישיבות שחלקן היו בדרגי המקצוע וחלקן אפילו בהשתתפות ובראשות המשנים הרלוונטיים ליועץ המשפטי לממשלה, ובעצם אנחנו התקדמנו בצורה מאוד מאוד ניכרת בדיונים מעמיקים בהסדרים ובפרטים, ונערכו גם שינויים מבניים וגם שינויים מהותיים.

והצפי להגעה?

בשורה התחתונה, לאור המורכבות של תהליך החקיקה הזה ושיתוף הפעולה של מספר רב של גורמים ומחלקות בתוך משרד המשפטים ובייעוץ וחקיקה, נותר מספר מאוד מצומצם של נושאים שעדיין לא מוצו ואנחנו ממשיכים את העבודה בדרגי המקצוע. אני מאוד מקווה שבקרוב מאוד נוכל להביא את התוצר הסופי לוועדת השרים לחקיקה ולאישורה ולאחר מכן נגיע לכנסת.

כשאת אומרת בעתיד הקרוב זה חודשים? זה מה?

לפני הקורונה הייתה רשימת ישיבות ודובר בדיון הסטטוס האחרון על סדר גודל של חודשיים, כולל ישיבות במחלקת נוסח החוק לטיוב הנוסח. סדר הגודל הזה נשאר, זאת אומרת הדברים לא השתנו בהיבט הזה, כשאנחנו מדברים בעיקר על נושאים שקשורים להיבטים של פרטיות. זה בעיקר לב העניין, וממשקים מול גופים אחרים מבחינת חלוקת האחריות.

מאה אחוז. תודה. אני חוזר לאנשי מערך הסייבר. ביקשתי מכם להתמקד שוב בהיבט הזה של הגנה על הפרטיות בכמה נקודות שעלו כמובן לתשומת הלב הציבורית. האחת זה המערך הביומטרי, כל המאגר הביומטרי וכן הלאה, ועל הגופים הגדולים שמחזיקים מידע על האזרחים, בין אם זה השלטון המקומי, בין אם זה בנקים, חברות ביטוח, זאת אומרת גופים פרטיים או ציבוריים שאינם ממשלתיים גדולים, שמחזיקים הרבה מאוד מידע על האזרחים. איפה אתם בסיפור, כולל דגש על נושא הגנת הפרטיות? בבקשה.

קודם כול, רק שנהיה באותו עמוד וזה עולה הרבה, צריך רגע לחדד שחוק הגנת הפרטיות, שהוא עוסק בדיני פרטיות, בעצם מכיל שלושה חלקים לענייננו. חלק אחד, פרק א' לחוק, עוסק בזכות שלך לתבוע בגין פגיעה בפרטיות בדיעבד, יש פה גם עבירות פליליות שהמשטרה אוכפת. פרק ב' לחוק הוא פרק רגולטורי, הוא קובע עקרונות שמטרתן מניעת פגיעה בפרטיות מראש, והוא גם הקים רשות רגולטורית - היינו בין הראשונים בעולם, מדינת ישראל - שנקראת רשם מאגרי מידע שתפקידה פיקוח על מאגרי מידע.
הפרק הזה בעצם קובע עקרונות משפטיים שתפקידם הגנה על הפרטיות המהותית – אני רגע בכוונה משתמש במילה פרטיות מהותית – כי הם עוסקים בשאלות שמטרידות את האזרחים הרבה פעמים, וגם צרכנים, של איך אני נותן הסכמה מדעת, שקיפות, איך אני מוודא שהמידע שאני נותן למטרה אחת לא משמש למטרה אחרת, וכיוצא באלה שאלות מורכבות משפטיות.

וחוץ מזה, בסעיף 17 לחוק הגנת הפרטיות קבועה החובה של בעל המאגר – זו אותה ישות שאוספת מידע – לאבטח את המידע. יש חובת אבטחת מידע. מכאן אנחנו רואים שבעצם בחוק הגנת הפרטיות בפרק הרגולטורי יש שתי רגליים: רגל משפטית מהותית, שאיננה באחריות מערך הסייבר בכלל, היא באחריות רשם מאגרי מידע; ורגל של אבטחת מידע, שהיא גם באחריות רשם מאגרי מידע אבל היא חופפת מבחינת תחומי עשייה לעיסוק שלנו.

לגופם של דברים. המאגר הביומטרי הוא תשתית מדינה קריטית ומופיע בתוספת החמישית לחוק להסדרת הביטחון. בהתאם לכך, הוא מונחה על ידי מערך הסייבר הלאומי במישרין על ידי אנשים שעובדים אצל אלי גזית שהיה בדיון המסווג, ושם רמת האבטחה – כמו שגם הוצהר במענה לבג"ץ באופן כזה ואחר – היא מהגבוהות שאנחנו מכירים במגזר הממשלתי והאזרחי בכלל. הושקעה שם מחשבה רבה מאוד באבטחה.

צריך לזכור שהחוק עצמו, בשחר הולדתו, הפריד בין רשות האוכלוסין שמחזיקה את מאגרי המידע, מה שנקרא האלפאנומריים - שם, ת.ז., כתובת וכו' – ליחידה ייעודית שכל תפקידה הוא להחזיק את המידע הביומטרי, והיא לא מחזיקה את המידע האלפאנומרי, כלומר המידע איננו מזוהה שם. זה עוד המחוקק עשה, זה לא קשור אלינו, אבל מערך הסייבר מנחה במישרין גם את רשות האוכלוסין כתשתית קריטית, וגם את הרשות הביומטרית.

באשר לבנקים, חברות הביטוח, מאגרי המידע האחרים, בהתאם לתפיסה שתיארתי קודם, אלה באחריותם של הרגולטורים שנותנים להם רישיון. כלומר, הגנת פרטיות בבנק היא עניינו של המפקח על הבנקים, כחלק מהגנת הלקוח, היא גם עניינה של הרשות להגנת הפרטיות, רשם מאגרי מידע, כי יש שם מידע על אנשים, ובשני המקרים האלה, אלה הגופים שמבצעים תהליכי פיקוח ואכיפה נורמטיבית על העמידה בהוראות החוק. ב-2018, מחוקק המשנה, שר המשפטים, שרת המשפטים, הכניסה לקובץ התקנות את תקנות הגנת הפרטיות (אבטחת מידע), נורמה מאוד משמעותית שמחילה אבטחת מידע על מאגרי המידע.

בהתאם לתפיסה שאנחנו מבינים, אנחנו פוגשים את הדבר הזה בשני צמתים. צומת אחד הוא הצומת של ייצור הידע הלאומי, תורת ההגנה וההנחיות כיצד להגן, שאותם אנחנו מפיצים לרשויות האסדרה; והכובע השני שלנו באמצעות ה-Cert בבאר שבע, המרכז הפיננסי בבאר שבע, אנחנו בעצם פועלים מול הגופים האלה בהסכמה, ברשת שיתוף מידע, כלומר אנחנו תומכים את המטריה הלאומית לגופים שמחוברים לסייברנט או למרכז הפיננסי בהתראות רלוונטיות להגנת סייבר.

במילים אחרות, את הכובע הרגולטורי של המדינה, הכובע שבו המדינה גורמת לגופים להפנים סיכונים, מבצעים הרשות להגנת הפרטיות והמפקח על הבנקים או רשות שוק ההון, ואנחנו, מצד אחד מספקים את הידע – ועוד פעם, אחרי החוק בצורה טיפה יותר נגיד את זה, ככה מחייבת – ומצד שני אנחנו בעצם מקיימים את אותו נקרא לו Waze של שיתוף המידע על עולם הסייבר באמצעות ה-Cert בבאר שבע והמרכז הפיננסי שפועל בתוכו.

היה וקורה – וכבר קרה – אירוע מסוג התקפה על בנק בישראל, נגיד, מתי ואיך ובאיזו צורה אתם נכנסים פנימה?

באופן כללי, אנחנו נכנסים בכל האירועים שמסכנים, שמייצרים סיכון משמעותי לאינטרס לאומי חיוני. זאת אומרת, אם מדובר על תקיפה על בנק שהיא תקיפה שנובעת מיריב ביטחוני או שהיא תקיפה אחרת שהיא לא מיריב ביטחוני אבל רמת הסיכון שלה להלימות ההון של הבנק, ליציבות המערכת הפיננסית, לשלומם של הלקוחות וכו' - - -

למצבם הכספי הכלכלי של מיליון או שני מיליון לקוחות של הבנק.

אז כאן חוזרת השאלה למקומה, זה חוזר גם לחלק הראשון של הדיון, איזה יתרון יחסי אנחנו נביא לטיפול באירוע שאיננו כבר ביכולות האורגניות של מערכות ההגנה של הבנק. וכאן, אם לא מדובר בתקיפה מדינתית או תקיפה שיש לנו איזושהי יכולת מדינתית נוספת להתמודד איתה – ואנחנו בונים כאלה – לא בטוח שאנחנו נצטרך לפעול במישרין כי זה לא משבר לאומי בהכרח, זה אפילו לא בטוח משבר מגזרי.

מבחינה פורמלית, מסף מסוים של אירועים, הבנקים עצמם מחויבים בדיווח לרגולטור שלהם, ובמקרים שקרו עד היום, כל המקרים שהגיעו אליו, הם ביקשו את סיוענו כדי לוודא שהאירוע מטופל ומנוהל ברמה של למנוע את המשבר.

נגיד לאירוע בנק, חברת ביטוח שמחזיקה פרטים – מפרטים רפואיים ובעצם את כל החיים של הרבה מאוד ישראלים – מי מוסמך להפעיל לטובת הדבר הזה גורם מדינתי, גורם הגנתי או התקפה לצורך הגנה מדינתי, שיש לו את המשאבים לפתור את הדבר הזה או להתמודד איתו יותר טוב? האם זה אתם? את הממשק הזה בין הגוף האזרחי לגוף המדינתי מי עושה?

אנחנו. אנחנו הממשק, ברמה שזה מעלה סיכון לרמה הלאומית. אחד הדברים שבגללם סופר חשוב הממשק הוולונטרי, שאנחנו מאוד מגינים עליו עם הגופים הפרטיים, הוא שהיכולת שלך לזהות את המגפה צריכה להיות לפני שהגוף עצמו מבין מה קורה. זאת אומרת, הדוגמה של ה-Waze עוזרת. אנחנו בעצמנו לא יודעים את מצבנו בתנועה בלי הדיווחים של כל האחרים, ולכן רשת הקשר הזאת שיש לנו עם הארגונים מאפשרת לנו לזהות את המגמות ואת הסיכונים לפני שהם מתממשים ונותנת לנו בעצם איזושהי התראה מוקדמת על חלק מהדברים לפני שזה מגיע לסף, שאיש המחשבים או איש ההגנה אומר למנכ"ל שלו "Houston, we have a problem". זה המקום שאנחנו רוצים להיות בו, אפרופו גם חלק מהדברים שדיברנו עליהם בחלק הקודם של הדיון.

אני רוצה בשלב הזה להעלות את מרכז השלטון המקומי. הלוואי והייתי יודע מה זה מנמ"ר אבל מייד אני אדע. איתנו נציגי מרכז השלטון המקומי?

אני סגן המנמ"רית של עיריית תל אביב, אני לא יודע אם יש עוד מישהו.

א', תגיד לנו מה שמך; ב', תסביר לנו מה זה מנמ"ר.

שמי הילי זליבנסקי, אני ה-CTO של עיריית תל אביב.

CTO אנחנו יודעים.

מנמ"ר זה מנהל מערכות מידע, זה הקיצור, גם הצבאי וגם האזרחי.

אני רוצה לשאול אותך כדוגמה בדברים שנוגעים לכם כשלטון מקומי - הן המידע שאתם מחזיקים, הן המערכות שאתם מפעילים כמערכות של עיר חכמה ודברים כאלה - מה הממשק שלכם עם מערך הסייבר הלאומי? מי עוזר לכם להגן על עצמכם סייברית?

ברשותך, חבר הכנסת שלח, אני אתחיל מהדוגמה שקודם נתת על חברת הביטוח. חברת הביטוח מחזיקה המון מידע וגם העיריות, הגופים המוניציפליים, מחזיקים מרשם תושבים ומאגרי מידע נוספים שהם מחויבים לרשום במשרד המשפטים, וכמובן אמורים לעמוד בכל תקנות הגנת הפרטיות. העניין הוא שלחלק גדול מהגופים המוניציפליים אין את התקציב הנדרש על מנת לעמוד בתקנות בצורה טובה.

עיריית תל אביב חרתה על דגלה כן לעשות את זה ואנחנו כן משקיעים תקציבים רבים וכוח אדם רב לעמוד בזה, ועדיין עומדים בזה ברמה שהיא לא מאה אחוז כי אין מאה אחוז בתחום הזה.

לשאלתך לגבי מטה הסייבר. מטה הסייבר בצד המגזרי שלו מנחה אותנו בהנחיות הכלליות מה לעשות. כן במשרד הפנים לדוגמה יש גוף שמנחה את העיריות מגזרית מה נדרש לעשות.

והידע המקצועי מנין?

כוח האדם שיש לנו, כוח האדם שאנחנו לקחנו. יש מספר אסדרות, רגולציות, שבעצם מדברות על מיישם סייבר וכדומה. לדוגמה, את מחלקת אבטחת מידע וסייבר אצלנו, שהיא מהגדולות שיש בתחום המוניציפלי והיא מונה 15 אנשים, אנחנו הולכים להעביר ולבצע הסמכות מיישם סייבר, ייקח לנו כשנה פלוס אבל זו מטרת העל שאני שמתי לעצמי.

זו החלטה של עיריית תל אביב או שזה מרכז השלטון המקומי או משרד הפנים אומר לרשות מקומית, אתם חייבים שיהיה לכם בין השאר קצין סייבר?

לא. אין שום הגדרה שאני מכיר, ועוד פעם, יכול להיות שיש דברים שאני לא מכיר. אני לא מכיר הגדרה כזאת, וכל עירייה עושה כטוב בעיניה ובהתאם לתקציב שנדרש. יש בתקנות הגנת הפרטיות חובה שעל מישהו שהוא מדווח למנכ"ל או למי שמדווח למנכ"ל, להיות ממונה אבטחת מידע, שהסייבר הוא חלק ממנו לטובת העניין. ולכן, יש הגדרה בחוק אבל אף אחד – לא המחוקק ולא הגופים – מחויבים לזה.

בדיונים בעבר בוועדות הכנסת השונות עלה הנושא הזה. המקובל בשוק לדוגמה הוא להקצות X אחוזים מתקציב ה-IT, מהתקציב של המחשוב, לטובת הגנת מידע וסייבר, אבל אין שום תקנה מחייבת לכך. במשרדי הממשלה לדוגמה כן יש.

אתה יכול לתת לנו מושג מה העלות התקציבית של זה? שוב, באחוזים, שנדע.

מקובל, 8%.

כל עירייה והגודל שלה.

תודה.

רק להגיד שמקובל 8% מתקציב ה-IT.

שוב אני שואל אתכם, לצורך העניין. הבנתי היטב מה עמית אמר לגבי המשחק הזה שבין רגולציה ווולונטרי, אבל בכל אופן כשאנחנו מדברים על גופים מדינתיים – ורשויות מקומיות הן כן – האם צריכה להיות לדעתכם רגולציה בעניין הזה? האם זו בעיה של משאבים ואז עיריית תל אביב תעשה את זה ועיריות אחרות לא יעשו? איפה הדבר הזה עומד?

אנחנו באמת מתרשמים שיש בעיה של משאבים ברשויות המקומיות, אגב לא רק להגנת סייבר, גם דיגיטציה באופן כללי. ראשי הרשויות אחראים על ההגנה, זאת אומרת ההגנה היא על הארגון עצמו, בקצה, ואנחנו מצפים שיעשו את הנדרש ויראו איך הם מתארגנים. לפעמים יש פתרונות שהם באשכולות, שזו מגמה של השנים האחרונות.

אנחנו יודעים שהעלייה לענן של מכרז הנימבוס הממשלתי תאפשר להעלות לענן, ואז אנחנו מאמינים שגם השינוי והמגמה הזאת, שהיא מגמה שהיא לטובת העניין גם בדיגיטציה אבל בוודאי גם בהגנה, אנחנו מצפים שגם זה יקרה. ובאמת, היחידה המגזרית במשרד הפנים היא זו שמסייעת בידינו לעשות את העבודה הזו למול הרשויות לאורך זמן.

בסופו של דבר זה שילוב של דברים. זה גם לקיחת האחריות והעבודה דרך הארגונים עצמם, זה גם בעיה אמיתית – שאנחנו מכירים אותה – לתקציבים, אנחנו יודעים שזה קיים, וגם העבודה של הידע הממשלתי שקיים, שאמור לעבור בצורה מסודרת לרשויות וזה תהליך לאורך זמן.

ברור. לצערי, זה נושא שתמיד כמה שנעסוק בו אנחנו רק נגרד את פני השטח. הערות אחרונות למשרד המבקר על הדברים ששמענו. אין.

אני רוצה להגיד ככה. באמת, זה תחום מתפתח. הוא לצערנו יעלה לסדר-היום ולמרכז תשומת הלב רק אם חס וחלילה יהיה איזשהו אירוע טראומתי, ועלה עכשיו בהיבט של אירוע שבסופו של דבר ההשפעה שלו על הציבור לא הייתה גדולה אבל ברגע שפורסם שהייתה התקפה של גורם עוין על מאגרי המים או אספקת המים של ישראל בצורה כזו או אחרת, הדבר הזה הוא מבחינתנו עוגן להיתלות בו כי פה, אין מה לעשות, אנחנו עוסקים בחברת ביטוח אולי בתחום הכי חשוב שחברת ביטוח יכולה להיות במדינת ישראל, ובניגוד לחברות ביטוח אחרות כמו הצבא, ארגונים ביטחוניים, היא חברת ביטוח שכל הזמן צריך - - -

אני מניח, אפרופו הערות הפתיחה של המבקר, שאם הדבר הזה היה מדובר על ארגון שמוכר כביטחוני פר סה, לא היה עובר כל כך הרבה זמן מהחלטה ליישום והוויכוחים אולי היו יותר קטנים, מה גם שזה נושא סופר סבוך. באמת, יש פה עירוב של אזרחי ומדינתי וזכויות פרט והדברים האלה.

לכן, אנחנו נמשיך ונעסוק. אני לא מציג פה מסקנה או מסכם סיכום קונקרטי כלפי האירוע, אני רוצה להתייחס לדברים שאמר משרד המבקר לגבי תהליך ההחלטה. זה נכון שהנושא הוא חדשני, זה נכון שהנושא הוא בהתהוות, אין עדיין שום סיבה שתזכיר חוק – ופה זה לא שייך לפלונטרים פוליטיים – תזכיר חוק שמדובר עליו לאמצע 2015, יפורסם שלוש שנים אחר כך. עם כל זה שזה מסובך, וזה בוודאי, ואנחנו נעסוק בזה גם בהיבטים אחרים, אני מקבל את כל ההערות ומחזק את כל ההערות לגבי תהליך ההחלטה בממשלה.

אנחנו כאמור נמשיך ונעסוק. אני מודה לאנשי מערך הסייבר. תודה רבה.


הישיבה ננעלה בשעה 11:30.