פרוטוקול של ישיבת ועדה

הכנסת העשרים-ושלוש

הכנסת



38
ועדת המדע והטכנולוגיה
07/12/2020


מושב שני



פרוטוקול מס' 30
מישיבת ועדת המדע והטכנולוגיה
יום שני, כ"א בכסלו התשפ"א (07 בדצמבר 2020), שעה 11:30

מתקפות סייבר – הגנה על פרטיות מידע בגופים אזרחיים

חברי הוועדה: עינב קאבלה – היו"ר
יבגני סובה
אנדרי קוז'ינוב

מרב מיכאלי

עמית אשכנזי - עו"ד, יועץ משפטי, מערך הסייבר הלאומי

עלי קלדרון - עו"ד, מנהל מחלקת אכיפה, הרשות להגנת הפרטיות

רועי גולדשמידט - ראש תחום מחקר ומידע, מרכז המחקר והמידע, הכנסת

עמית גל - סגן בכיר לממונה על שוק ההון ביטוח וחיסכון, רשות שוק ההון, ביטוח וחיסכון

יורם הכהן - עו"ד, מנכ״ל, איגוד האינטרנט הישראלי

נעמה מטרסו - עו"ד, מנכ"לית, עמותת פרטיות לישראל

גדעון קונפינו - מנהל היחידה להגנת הסייבר בממשלה, רשות התקשוב הממשלתי, משרד הדיגיטל הלאומי

צחי שלום - מנהל מערכות מידע, מרכז השלטון המקומי

איה גל עד - מנהלת יחידת הסייבר הפיקוחית, פיקוח על הבנקים, בנק ישראל

גיל סלומון - עו"ד, סמנכ"ל רגולציה, איגוד חברות הביטוח

ישי זילברברג - עו"ד, שותף במשרד עורכי דין, זילברברג מלין משרד עורכי דין; חבר בוועדת הפרטיות לשכת עורכי הדין מחוז מרכז

יהונתן קלינגר - עו"ד, יועץ משפטי, התנועה לזכויות דיגיטליות

יוסי רחמן - ראש חטיבת המחקר - חברת cyberizen, חברה בתחום אבטחת המידע

נירה לאמעי רכלבסקי

איילת חאקימיאן

אורי פנסירר

מתקפות סייבר – הגנה על פרטיות מידע בגופים אזרחיים

בוקר טוב, אני מתכבדת לפתוח את ישיבת ועדת המדע והטכנולוגיה, היום יום שני, כ"א בכסלו תשפ"א, 7 בדצמבר 2020. על סדר היום: מתקפות סייבר – הגנה על פרטיות מידע בגופים אזרחיים. בשבוע שעבר דווח על אירוע של תקיפת סייבר בחברת הביטוח שירביט. האירוע כפי הנראה עדיין בעיצומו, גם בהתרחשות שלו בהווה וגם בעצם העובדה שהוא נמצא עדיין בחקירה של הגורמים הרגולטורים. מיד בסמוך לדיווחים על האירוע, החלטנו על כינוס ישיבת הוועדה היום לדיון בנושא מתקפות סייבר והגנה על פרטיות מידע.

ראיתי חשיבות גדולה לקיים את הדיון כדיון דחוף מכיוון שהאירוע הנקודתי הזה מחייב להידרש לתחום של הגנת הפרטיות שלדעתי לא נמצא בקדמת סדר העדיפויות של המדינה ורשויותיה. ברור שאת האירוע הספציפי הזה, אנחנו לא מתיימרים וגם לא ננסה לפענח או להידרש לפרטיו – לא זו המטרה – תגיע העת בהמשך לעיסוק במקרה הספציפי הזה לפרטיו כאשר יהיו יותר ברורים וידועים. הוא בעצם נותן לנו את ההזדמנות ואת החובה להידרש לנושא הגדול יותר. השאלה שנוגעת למה היא רמת ההגנה הקיימת היום? על מידע אישי שמצוי בגופים אזרחיים שונים היא שאלה שהמציאות בכל פעם מחדש מסמנת לנו שהתשובה לא משביעת רצון.

היום בדיון ישתתפו בין היתר, הרשות להגנת הפרטיות, מערך הסייבר, רשות שוק ההון והביטוח ורגולטורים נוספים. מרשות שוק ההון והביטוח נבקש לשמוע כרגולטור: האם נעשה מספיק כדי שחלילה לא יתרחשו מקרים דומים בעתיד, בעתיד הקרוב גם, בחברות ביטוח נוספות. וגם אם בכל זאת נדרש למקרה הנוכחי – כן לשאול מה לגבי אותם מבוטחים מודאגים של שירביט ומי נמצא בקשר איתם?

כמובן שחברות ביטוח הם לא הגופים היחידים שמחזיקים מידע אישי או רגיש על תושבי ישראל. היום בדיון אבקש לשאול את הרגולטורים וגם את אלה המצויים ומתמחים בתחום שיהיו איתנו – עד כמה עלינו להיות מודאגים בקשר לפריצת הסייבר הבאה? מה הם הדברים החשובים שנדרש לעשות ברמת הרגולציה? מהם הדברים החשובים שמתפספסים ומייצרים סכנה להגנת הפרטיות? האם יש לחברות השונות שמחזיקות מידע אישי תוכנית פעולה לאירועים כגון אלו אם חלילה הם מתרחשים? ועוד שאלות שחברי הכנסת ואני נשאל ונבקש לדעת ולראות איך לוקחים את הדבר הזה צעד אחד קדימה, כדי פעולות ממשיות שייטיבו עם אופן ההגנה על הפרטיות בישראל.

נתחיל עם הרגולטור, אלא אם כן חברי הכנסת רוצים כרגע להתייחס. אני מציעה שנתחיל עם הרגולטור של הזכות לפרטיות בישראל, מי שאמון על ההסדרה והפיקוח של החוק להגנת הפרטיות שזו הרשות להגנת הפרטיות. נמצא איתנו עורך דין עלי קלדרון, מנהל מחלקת האכיפה ברשות להגנת הפרטיות. אנחנו נבקש לשמוע באופן כללי ובאופן פרטני – מה אתם עושים בשוטף כדי למנוע מקרים כאלה? מה הפעולות שנעשות עם קרות אירוע כזה? בבקשה.

תודה רבה, קודם כול תודה רבה לכל הנוכחים ולחברת הכנסת קאבלה, הרשות להגנת הפרטיות היא בעצם הרגולטור לענייני הגנת הפרטיות במדינת ישראל מכוח חוק הגנת הפרטיות ותקנותיו השונות. החוק הוא משנות ה-80', חוק שכולל הנחיות לכל מי שמחזיק או בעלים או מנהל מאגר מידע בישראל. זה כולל את כלל הגופים במשק – ממשלתיים, ציבוריים, פרטיים, קטנים וגדולים. היום בפועל אין חברה שלא מחזיקה מאגר מידע שכולל מידע רגיש כמעט בישראל, ולכן החוק חל עליה. החוק כולל הוראות והנחיות באשר לשימוש במידע, לעיבוד המידע, הבהרות של מידע, נושא של שימוש בניגוד למטרה ועוד. החוק גם מקנה לרשות סמכויות אכיפה, גם מנהליות וגם פליליות, שבמסגרתם מחלקת אכיפה ברשות בודקת ואוכפת את החוק, שזה כולל מקרים חמורים. מקרים שבהם יש אלמנט פלילי שבמסגרתו אנחנו בוחנים את הממצאים של אירוע, אנחנו קוראים לזה אירוע פרטיות, ובמידת הצורך מחליטים על הגשת כתב אישום עם עבירות שכוללות עד חמש שנות מאסר. אנחנו עושים את זה בשיתוף פעולה עם הפרקליטות. יש לנו גם סמכויות אכיפה מנהליות שבמסגרתן אנחנו יכולים לקבוע הפרות על הוראות החוק. אנחנו מבצעים תהליכים מנהליים שהם תהליכים יותר יעילים ומהירים. ושוב בוחנים את כל האספקטים של החוק והתקנות. ובמידת הצורך קובעים במסגרת הממצאים תהליך אכיפה מנהלי. אנחנו יכולים לקבוע הפרה של החוק.

ואז מה המשמעות?

הפרה של החוק – קודם כל יש לה את המשמעות כמובן שהגוף הזה הוא מפר חוק ויש לכך השלכות מבחינת היכולת של אנשים שנפגעו מאותה הפרה גם לתבוע את החברה באופן פרטי או לפעמים גם בתביעות ייצוגיות. מעבר לכך, אנחנו יכולים בהתאם לאיזה הפרות שבוצעו לקבוע קנסות. הקנסות בחוק מפורטות לפי הפרה, כל הפרה והקנס שמוגדר לה.

ומה הגובה המקסימלי?

מיד אגיע לזה. אנחנו מסוגלים להנחות את החברה במסגרת של תיקון הליקויים – אם אנחנו מוצאים שם ליקויים. יש לנו סמכויות שיוריות שכוללות לדוגמה במקרה של אירועי אבטחת מידע וכמו שנעשה במקרה הזה, להורות לחברה ליידע את נושאי המידע על הפגיעה בפרטיות שלהם כדי לצמצם את הנזק הזה. יש לנו את הסמכות להתלות או לבטל מאגר, והמשמעות של ביטול מאגר מידע עבור חברה פרטית היא ביטול היכולת שלה לתפקד. זה כמובן כלי שאנחנו משתמשים בו רק במקרים חמורים מאוד.

כמה מקרים כאלה קרו?

לא הרבה, אבל קרו. גם בנושאים של אבטחת מידע.

בודדים? עשרות?

מקרים בודדים של התלייה או הפרה. התלייה לפעמים קורית גם ברמה של רישום, יש מנגנון שלם של רישום מאגרי מידע שבמסגרתו אפשר להתלות את המאגר. במקרים של תהליכי אכיפה, ביטול או התלייה של מאגר המידע אלו מקרים יחסית חמורים מאוד ונדירים.

החוק בסעיף 17 קובע את חובות אבטחת המידע של כל גוף שמחזיק מידע ומחייב אותו לעמוד בשלל הוראות שמפורטות בתקנות הגנת הפרטיות (אבטחת מידע) שכוללות שלל של חובות, מקביעה של ממונים ועד הגדרה של המאגרים ומיפוי.

התקנות מ-2018.

נכון, התקנות מ-2018. הן נכנסו לתוקף ב-2018. הן כוללות הנחיות לגבי נהלי אבטחה של הארגון והרבה מאוד – נקרא לזה יותר טכניקה – אבטחה פיזית, הסביבתית, ניהול כוח האדם, הרשאות לגישה תיעוד ועוד.

ועל הפרה שלהם – יש לכם את הסמכות להטיל סנקציות?

זה במסגרת החוק הנוכחי שקובע את הקנסות על סעיפים והפרות ספציפיות. על סעיף 17 עצמו אין קנס. לא ניתן להטיל קנס.

למה? זה העניין העיקרי שקשור לדיון.

נכון. סעיף 17 לא כולל אפשרות להטיל קנסות. והיום גוף שאנו מוצאים אותו כמפר חוק, הסמכויות שלנו לא מאפשרות לנו לקבוע לו קנסות בגין אותה הפרה. כן אציין שהצעת תיקון לחוק הגנת הפרטיות – מה שנקראה הצעה 13 – שנועדה להרחיב את סמכויות האכיפה של הרשות עברה בקריאה ראשונה בכנסת ב-2018. זה גם תהליך ארוך שהתקיים כבר שנים עוד לפני זה, אבל היא עברה בקריאה ראשונה ב-2018. והדיונים לא הסתיימו בגלל התפזרותה של הכנסת, ואחר כך שנה וחצי הכנסת לא הייתה פעילה, אבל זמן קצר לאחר כינון הכנסת הנוכחית, ממש לפני מספר חודשים, היא הועברה לאישור ועדת שרים לחקיקה. ועדת שרים לחקיקה עדיין לא אישרה אותה. הצעת החוק הזו כוללת הרחבה של סמכויות האכיפה ובין היתר שינוי – במקום הטלת קנסות מנהליים שיש איזה מנגנון שהוא חלף פלילי, מנגנון אחר של עיצומים כספיים שכוללים גם עיצומים כספיים על סעיף 17, על נושא של הבטחת מידע. עיצומים כספיים שהסכומים שלהם הם משמעותיים הרבה יותר והם תלויים ברמת אבטחה של המאגר. אבל הם יכולים להגיע גם למאות אלפים ויותר מזה של שקלים במקרה של הפרת התקנות והחוק. זוהי הסביבה המשפטית.

מעבר לכך הרשות פועלת גם במסגרת של תיקונים אחרים כדי לעדכן את החוק. גם במסגרת של החוק הנוכחי, בפועל הרשות מבצעת הרבה פעולות מניעתיות. הרשות מזה כמה שנים שינתה את המדיניות שלה והפכה להיות הרבה יותר יוזמת, גם מהבחינה האכפיתית. הרשות מקיימת תהליכים של – אנחנו קוראים לזה תהליכי סקר סיכונים בהם אנחנו בוחנים את כל המגזרים, התופעות, המגמות, הטכנולוגיות שמבחינתנו הם משמעותיות ושיש בהם סיכון משמעותי לפרטיות. אנחנו ממש מגדירים את סדר התיעדוף לפעילות יזומה שלנו. זה מוגדר גם בפעילות הכללית של המדיניות של הרשות, מבחינת המחקרים שאנחנו עושים, ההנחיות שאנחנו מוצאים, אבל זה גם מגיע גם לרמה שלנו למטה במדיניות האכיפה שבמסגרתה אנחנו קובעים את התחומים שבהם אנחנו רוצים להתרכז, כי אנחנו מרגישים שהתחומים האלה מסוכנים יותר לפרטיות של נושא המידע. זה יכול גם פונקציה של רגישות המידע וגם פונקציה של כמות המידע שמחזיק גוף – בשל כך הקמנו בתוך הרשות מערך שלם שנקרא מערך פיקוח הרוחב. המערך מבצע הליכים מכוח הסמכות המנהלית שלנו וכבר מ-2018 התחלנו בפועל אתן דוגמאות: ב-2019 ביצענו 233 פיקוחי רוחב במגזרים כמו מרפאות בריאות הנפש. זה המגזרים שבחרנו באותה שנה: בריאות הנפש; מכונים במעבדות רפואיות; מועדוני לקוחות גדולים; פלטפורמות לימודיות וחינוכיות לקטינים, שירותי אחסון ועיבוד מידע, זה היה בשנים 2018, 2019. ב-2020 עוד 244 פיקוחי רוחב על רשויות מקומיות, על בתי אבות; חברות סיעוד; סוכנויות ביטוח; על תאגידי גז וביוב, call centers, חברות שמסייעות במימוש זכויות רפואיות. השנה אנחנו יוצאים למהלך של כ-200 פיקוחי רוחב, הפעם על חברות קמעונאיות של מזון ודלק, חברות כוח אדם והשמה - -

אני מציעה מתישהו להכניס חברות ביטוח אולי.

- - וקרנות ביטוח וגמל ייעודיות למקצועות. וגם מרפאות כירורגיה וקוסמטיקה רפואית. זה הפן היוזם שלנו.

ואז אתם בוחנים רק את הממד של מאגר המידע ואם הוא מנוהל כנדרש על פי חוק או שיש היבטים נוספים?

בפועל אנחנו בוחנים מספר קטגוריות שונות שכוללות: העברות מידע, אבטחת המידע, האחריות התאגידית וכל האספקטים של חוק הגנת הפרטיות. בסיום כל הליך כזה אנחנו מפרסמים דוח מגזרי. הדוח המגזרי הזה כולל את עמידת הגופים בקריטריונים באופן אגרגטיבי, חזקות, חולשות במגזרים. אנחנו כמובן מעבירים את זה לרגולטורים של אותו מגזר. אנחנו מפרסמים את זה כדי שחברות אחרות באותו מגזר יבינו את הסיכונים העיקריים שלהם באותו מגזר. אנחנו מבצעים פיקוחי מעקב גם על גופים שבחנו ונתנו להם – זה עוד אחד מהדברים שאנחנו עושים, אנחנו נותנים הנחיות לתיקון ליקויים ספציפיים שניתנו בכל חברה וחברה שבחנו, אבל אנחנו עושים גם פיקוחי מעקב על החברות הללו וגם על חברות אחרות באותו מגזר שלא ביצענו את אותו הליך פיקוח כדי לראות האם באמת רמת ההגנה על הפרטיות השתנתה בעקבות אותו מערך. זה איזשהו תהליך תחקורי לבחינת ההשפעה שאנחנו מייצרים לאותו מערך של פיקוח רוחב.

לגבי מה שבדקתם, עוד לפני הבדיקה החוזרת – מה הן התובנות?

לכל מגזר ומגזר אנחנו מפרסמים דוחות.

באופן כללי, אתה מתרשם שהנושא של הגנת הפרטיות - - -

בדרך כלל מגזרים שיש בהם רגולטור המצב הוא יותר טוב כי יש להם הנחיות והם פועלים תחת הנחיה. יש מגזרים שבהם גילינו שיש סוגים שונים של גופים, לדוגמה, בתחום הרפואי, גופים גדולים שיחסית עובדים בצורה מאוד מסודרת וגופים קטנים שעובדים בצורה מאוד לא מסודרת, עם רמות סכנה לפרטיות גבוהות מאוד.

אני יכול להגיד שבעקבות הדוחות שאנחנו מפרסמים וההנחיות לתיקון ליקויים אנחנו רואים שינוי משמעותי בשוק, גם מבחינת ההכנה של גופים שעוד לפני שאנחנו מגיעים אליהם, כבר מייצרים את התהליך הפנימי – שהוא במסגרת החובה של הרבה מאוד גופים, תלוי ברמת האבטחה שלהם. סקרי סיכונים שהם מבצעים, ניתוחים של סכנה לפרטיות ועוד מנגנונים שקיימים בחוק או שאנחנו ממליצים על שימוש בהם. אנחנו רואים בהחלט שיפור במגזרים, בוודאי במגזרים בהם היינו, אבל באופן כללי בכל המגזרים אנחנו מפרסמים את זה. אנחנו מפרסמים את השאלונים שלנו. נוצרה פעילות שלמה, שניונית של גופים שמסייעים לגופים כדי לעמוד בהנחיות, התקנות והחוק. זו הפעילות היזומה העיקרית שאנחנו מבצעים.

מעבר לכך, יש גם את פעילות הפיקוח הרגילה שלנו שניזונה בעיקרה מתלונות, פניות ומידע שאנחנו מקבלים מהתקשורת ומגופים מסוימים. יש גם חובה במסגרת של תקנות הגנת הפרטיות ואבטחת מידע, יש חובה לכל גוף שאירע אצלו אירוע אבטחה חמור, דוגמת האירוע הספציפי הזה לדווח לרשות. זה מה שקרה במקרה הנדון, כאשר חברת שירביט דיווחה לנו על אירוע אבטחה. במסגרתו אנחנו פותחים, כמו שנעשה גם במקרה הזה, בהליך אכיפה. במסגרת ההליך אנחנו בוחנים הן את האירוע ואת ההתנהלות של החברה במסגרת האירוע והן את המצב של החברה עוד לפני כן – המוכנות שלה, ובסופו של דבר קובעים אם הממצאים מראים כך, אם נמצאות הפרות של החוק. זאת הפעילות שלנו במסגרת האכיפתית, שאכן יש בה מגבלות לאור לשון החוק והסמכויות.

בהיעדר השיניים לנשוך.

כן אציין שגופים שעוברים חוויה כפי שעברה חברת שירביט, יש להם שלל של נזקים גדולים. החל מהעלויות הרבות שכרוכות כרגע בטיפול באירוע ובהפעלה של כל המנגנונים כדי לתקן את הנזקים שנגרמו. יש את הפגיעה במוניטין שהיא מאוד משמעותית. וגם במסגרת הפגיעה במוניטין, אני מזכיר שכשאנחנו קובעים הפרה, יש לזה גם משמעותיות משפטיות. וכאמור, יש לנו הכלים להנחות את הגוף הן במהלך האירוע, לדוגמה, בנושא של דיווח לנושא המידע ועדכון שלהם. גם זה נעשה במקרה הנדון, כאשר הורנו לחברה לעדכן את נושאי המידע לגבי האירוע.

הכוונה היא למבוטחים?

המבוטחים, כן. ולבסוף במקרה הצורך, בחברה ש: או לא מצב אבטחת המידע במקרה הזה, אבל זה יכול להיות גם אירועים אחרים של פרטיות, במצב שבו היכולת לנהל את מעבר המידע, או להחזיק אותו או להיות בעלים שלו – לא יכול לספק אותנו, אנחנו פשוט לא מאשרים לה להחזיק את מאגר המידע. במקרה לדוגמה זה לא מאפשרים לה לחבר אותו למערכות המקוונות עד אשר נדע שבאמת האירוע עצמו נגמר, הובן באופן מלא ויודעים שחיבורים כאלה לא יגרמו להתקפה נוספת או להרחבת הדלף או לכל מיני דברים שקורים לפעמים במקרים האלה. כאמור, במקרים קיצוניים אנחנו מבטלים את הרישיון של אותה חברה ואפשר לומר סוגרים.

אפשר רק שאלת הבהרה: אתה אמרת כמה ביקורות ביצעתם, אבל בהינתן אלפי גופים במשק שמחזיקים מאגרים כאלה, החל מאמצעי התשלום ועד למידע רפואי, מבחינת האחוזים, לאיזה פלח אתם מגיעים באופן אקטיבי?

הרשות להגנת הפרטיות היא גוף קטן יחסית. גוף שמונה כ- 45 עובדים והוא הרגולטור של כלל המשק. אבל אנחנו לא הרגולטור היחיד, יש לכל המגזרים המשמעותיים גם רגולטורים נוספים שגם להם יש הנחיות בתחום אבטחת המידע. אנחנו מגיעים לכל מי שאנחנו יכולים, כאמור אנחנו מתעדפים את זה על ידי אותו סקר סיכונים שדיברנו כדי שבמסגרת האכיפה היזומה נגיע לחלקים היותר חשובים. אם אתה שואל אותי על אחוזים, האחוזים הם קטנים, אין ספק, אבל בהחלט אנחנו משתדלים להגיע למקומות החשובים. אם לצורך העניין היינו ב-70 וכמה עיריות ורשויות מקומיות מתוך כ-270, אז כמובן שזה יחסית חלק קטן. מצד שני בחרנו את הרשויות הגדולות והמשמעותיות שבהם יש מאגרי מידע רגישים מאוד. היום צריך להבין שבעיריות ורשויות מקומיות מחזיקים במידע רגיש מאוד על התושבים. הוא כולל מידע כמו תיק התושב ועד הסביבה הרווחתית והחינוכית ואפילו עד מצלמות האבטחה שמצלמות אותנו ברחוב.

הרצון שלי הוא מצד אחד להגיע לרשויות הגדולות ומצד שני לפעמים גם לבחון את החברות הקטנות שבהם אנחנו יודעים שסיכוני הפרטיות יותר גדולים בגלל חוסר תקציב או חוסר יכולת או מיומנות מקצועית להגן על המידע ולעשות בו שימוש בהתאם לחוק.

תודה.

אגב, הזכרת רשויות, מנקודת מבטך, מה מצב הגנת הפרטיות לפחות במה שאתם בדקתם? הם חלק מהמוזמנים אז אשאל אותם בעצמם, אבל אתה הרגולטור.

אנחנו לא הרגולטור של הרשויות, אנחנו רגולטור בתחום הגנת הפרטיות. ובאספקט שלנו שבחנו, הממצאים היו קצת כמו שאמרתי קודם, אנחנו רואים שוני בין גופים גדולים ומסודרים לבין גופים קטנים ובדרך כלל חסרי תקציב, שמתמודדים עם הנחיות, גם ממשרד הפנים וגם איתנו במסגרת החקיקה. בסופו של דבר באים בטענות שאין להם תקציבים לבצע את כל מה שכתוב בתקנות או שאין להם את היכולת לעשות את זה. זה כמובן מבחינתנו לא מקל על החובה שלהם. גוף שלא יכול להחזיק מאגר מידע, שלא יכול לשמור עליו – מבחינתי לא צריך להחזיק אותו.

חלק מהתובנות שאנחנו מסיקים מהדוחות המגזריים האלה הם גם תובנות שבעקבותיהם אנחנו מבצעים דיונים עם הרגולטורים הרלוונטיים. ובמקרה לדוגמה של רשויות מקומיות, יש לנו שיח גם בנושא זה עם משרד הפנים ורגולטורים אחרים שקשורים לעניין הזה. כמו כן, גם הוצאה של הנחיות וסיוע לגופים הללו גם במסגרות שונות. לדוגמה במסגרת של העיר החכמה – איך הופכים להיות עיר חכמה בלי לסכן את הפרטיות של נושאי המידע. איך לעשות תסקיר השפעה על פרטיות, שזה מנגנון מוקדם לשימוש במידע, לדוגמה לא צריך להחזיק במידע שהוא לא רלוונטי, אם פעם הגישה הייתה: בואו תנו לי את המידע וכבר נדע מה לעשות אותו.

בעיה של מידע עודף.

כן, בעיה של מידע עודף, בהחלט. את הפעולות האלה אנחנו מבצעים לא רק ברמה האכיפתית, אלא בהחלט גם ברמת ההנחיה, ברמת שיתופי הפעולה עם הרגולטורים האחרים, עם גופים ספציפיים.

ההנחיות שלכם בעניין הזה מחייבות אותם?

יש רמות שונות של הנחיות שאנחנו מוציאים. יש הנחיות שהם מבחינתנו הנחיות רשם, כלומר גילוי דעתו של הרשם זה מבחינתנו מחייב את השוק, ומי שלא עומד בהם מבחינתנו גם נקבעה לו הפרה. יכול להיות שהוא ירצה לקחת אותנו לבית משפט כדי להתווכח על הפרשנות שלנו, זו זכותו. יש גם הנחיות שהם ברמה יותר פחותה, הם יותר המלצות, הם יותר יידוע של מה כדאי לעשות במקרים כאלה ואחרים.

כשאתם בוחרים את - - -

בהחלט, אנחנו מפרסמים אותם ברמה שונה ואנחנו מגדירים כל אחד ואחד מהם. לחלק מההנחיות אנחנו עושים תהליכים שלRIA , כיוון שיש להם השפעה על המשק.

תודה. את רוצה להתייחס, חברת הכנסת מרב מיכאלי, בבקשה.

תודה רבה גברתי. צריך להגיד, ישראל שמחזיקה מעצמה אומת סטארט-אפ וראש הממשלה שלנו מתפאר במטה הסייבר שלה. כמות יחסי הציבור שנעשתה על מטה הסייבר, שזה להבנתי ורק לא הבנתי אלא באמת כמו שמגדיר החוק, התפקיד שלו זה לתת כלים וקריטריונים לכל הגופים האזרחיים בדיוק בשביל למנוע את הדברים האלה. במלוא הכנות אשמח להבין גברתי, שנצא מהדיון הזה בוועדה בהבנה איפה הכשלים. בואו, תנו לנו לעזור לכם. למה זה לא קורה? למה מטה הסייבר שנמצא תחת אחריותו של ראש הממשלה – לא תגידי לי שזה נמצא לדוגמה במשרד הרווחה: משרד חלש, רזה מדי, מורחב, בסדר – זה נמצא במשרד ראש הממשלה, איך נאמר: המעצמה התוך מדינתית, יש שיטענו גם בין מדינתית. למה הוא לא מצליח להשתלט על האירוע הזה? אני יכולה לקבל תשובה לדבר הזה?

בהמשך הדיון נגיע לכל הנציגים שהוזמנו פה לדבר. אגב, לגבי מה ניתן לעשות: אם אני לוקחת רק את מה ששמעתי עד כה, מבלי להתייחס למה שאת אמרת – כבודם של הדברים במקומם וראוי שיתייחסו לזה הדוברים הבאים – אבל לגבי מה שאני שמעתי עד כה מהרשות להגנת הפרטיות, יש חסר עצם בנושא של הסנקציות שיכולה הרשות להגנת הפרטיות להטיל על גופים. ומכאן בעיני מובן גם שהגופים מתייחסים לזה אולי בחלק מהמקרים – פחות ברצינות, פחות חוששים, פחות נותנים לזה את תשומת הלב הראויה. אין ספק שזה שינוי שצריך להגיע גם מהממשלה וגם מבית המחוקקים. ובעיקר לקדם דברים שנוגעים להגנת הפרטיות ולא לעצור אותם.

ברשותך גברתי, יש דברים שנוגעים לפרטיות, כלומר, זכויות הפרט. אני כאזרחית, עשיתי ביטוח בחברת ביטוח מסוימת וזכותי שהפרטים שלי יהיו מוגנים. אבל יש לזה לחלוטין אספקטים של ביטחון לאומי, למה מטה הסייבר אמור להיות גורם מעורב?

לכן אמרתי – אני רק התייחסתי למה שנאמר עד כה.

זה לא יכול להיות שכשמדובר באספקטים של ביטחון לאומי, זה יהיה רק בין הרשות להגנת הפרטיות ובין הגופים ברמת איזה סנקציות יש או אין עליהם. סליחה, זה לא מספיק טוב.

לא. אם את לוקחת ממה שאמרתי ולוקחת מזה מסקנה שזה מה שצריך לעשות ואז אפשר ללכת הביתה – אז לא.

אוקיי.

אבל, היות שזה מה שהספקנו לשמוע עד עכשיו, הנה נקודה שבוודאי צריכה להתקדם ולהיות מטופלת בצורה מאוד רצינית ובצורה בעיני מאוד מהירה וחבל שלא נעשה קודם. תודה, חברת הכנסת מרב מיכאלי.

לא פתחתי ואמרתי: תודה רבה גברתי על הדיון, קשה להפריז בחשיבותו.

מסכימה איתך, תודה רבה. נמשיך עם הרגולטור של כל תחום שוק ההון, ביטוח וחיסכון. עמית גל נמצא איתנו, סגן בכיר לממונה על שוק ההון. בבקשה אדוני.

תודה רבה, אני מצטרף לברכות על הדיון הזה, אנחנו כמובן כמו שאתם יכולים לתאר, נמצאים בטיפול באירוע הזה בצורה אינטנסיבית. תכף אתאר את הפעילות שלנו, במצב עניינים רגיל. אני מסכים בהחלט עם החשיבות של הדיון בעניין הזה, וגם בפורום הזה.

אני מגיע מרשות שוק ההון, ביטוח וחיסכון.

ברשותך, עמית גל, חברי חבר הכנסת קוז'ינוב, רוצה שאלה מקדימה, תתייחס אליה בהמשך דבריך.

עמית, כשאתה מתייחס לכלל הפעילות, האם באירועים כאלה כמו של חברת ביטוח מסוימת. האם אתם גם בתמונה מבחינת ניהול משא ומתן מול אותם התוקפים? כי בסוף יש פרטי מידע רגישים מאוד, דרישת כופר, יש פה אינטרס של הציבור. תשלום מול חשיפת פרטים – האם אתם שם בניהול המשא ומתן ומה עמדתכם בדרך בכלל?

אתייחס בהמשך. אתאר רגע את מסגרת הפעילות של הרשות והפעולות שמבצעת הרשות. רשות שוק ההון היא הרגולטור הפיננסי שמפקח על כל חברות הביטוח והגופים המוסדיים ובהם: קופות גמל, קרנות פנסיה. תחת הפיקוח של הרשות נמצאות מעל 120 חברות ביטוח ומעל 80 חברות מנהלות. הפיקוח של רשות שוק ההון מתבצע מתוקף כמה חוקים: שני העיקריים שבהם הם חוק הפיקוח על שירותים פיננסיים (ביטוח) וחוק הפיקוח על שירותים פיננסיים (קופות גמל). במקרה של פיקוח על חברות ביטוח, מתפקידי הרשות הם גם אבטחה של יציבות חברות הביטוח, אבל גם כמובן שמירה על עניינם של המבוטחים. במקרה הזה עניינם של המבוטחים נוגע לכל ההיבט הרחב של שמירה על כספם, וגם שמירה על פרטיותם. גם בהיבט הזה מפקחת הרשות.

רשות שוק ההון כרגולטור פיננסי מתמקדת ובוחנת את התחומים שבהם היא מתמקדת בפיקוח על בסיס תמונה של ניהול סיכונים. נושא של סיכון הסייבר עולה ברגולטורים פיננסיים בעולם וגם בארץ בשנים האחרונות כאחד מהסיכונים הבולטים. בשנה החולפת עוד לפני התפרצות משבר הקורונה ואירועים נוספים שהיו בסביבה, הוא הפך לסיכון מספר אחת. ולכן רשות שוק ההון מקצה משאבים גדלים והולכים ומתייחסת לסיכון הזה גם בצורה שוטפת כאחד הסיכונים הבולטים על חברות ביטוח ועל גופים מוסדיים.

בהקשר הזה, אתאר בקצרה את תחומי הפיקוח של רשות שוק ההון, אבל לפני כן אשלים את האמירות של הנציג של הרשות להגנת הפרטיות. התמונה של הפיקוח של רשות שוק ההון היא אף רחבה יותר בעייננו מבחינת העניינים של המבוטחים שעליהם אנחנו רוצים לשמור. וכמובן, גם ברמה המערכתית וברמת היציבות של הגופים הפיננסיים. בנושא הזה אנחנו מקפידים מאוד לשמור על זכויות המבוטחים ועל משאבי הפיקוח. בהקשר הזה צריך להבהיר שחלות עדיין גם על גוף מוסדי תקנות הגנת הפרטיות, אבל חלות בנוסף לכך על הגוף הפיננסי כל ההוראות שלנו והם משמעותיות. והם לא הוראות – נקרא לזה – שסותמות כמה פינות, הן הנחיות מאוד מפורטות ומאוד מתקדמות. אני לא אהיה זה שאעיד על עצמנו, אבל הם מהמתקדמות ביותר שיש במשק, והם מסתכלות גם על נושאים של הגנת הפרטיות, על נושאים של יציבות פיננסית, ועל נושאים של הסטנדרט המקובל ברגולטורים פיננסיים בעולם.

הדרישות הללו התפתחו – לא צריך לספר פה לפורום שנמצא – ואיומי הסייבר מתפתחים בקצב גבוה מאוד. ואחריהם אנחנו גם עוקבים. הרגולציה הפיננסית, ובכלל בתחום הגנת סייבר ושמירה על הפרטיות מתקדמת בקצב מאוד מהיר. בנושא הזה, ההנחיות שלנו מתעדכנות, הן התעדכנו כבר כמה פעמים בשנים האחרונות. וכשאני אומר התעדכנו, יש לנו הוראות מאוד מקיפות. חוזר שנקרא: ניהול סיכוני סייבר בגופים מוסדיים. חוזר שהעלויות והמורכבות של הגופים המוסדיים לאמץ אותו היו כבדות מאוד.

הוא לא המלצה, הוא מחייב?

הוא מחייב את כל הגופים שפועלים אצלנו בלי הקלות ובלי הנחות. כל הגופים מחויבים לעמוד בו. ההיערכות שלו הייתה מאוד מורכבת. אנחנו לא השארנו אותו כמו שהוא, את ההטמעה שלו אנחנו לוונו גם במסגרת תהליך שלווה על ידי שאלון. לא זרקנו את ההנחיות ונתנו לגופים למלא אותם. כאמור, לוונו אותו בשאלון, ביקשנו לראות את רמת העמידה בכל סעיף וסעיף מתוכו. במקומות שבהם לא הייתה עמידה, וידאנו סגירה של הפערים האלה. ובעניין הזה, אנחנו ממשיכים גם לעקוב אחרי הצורך לעדכן אותו. אציין שגם בתחום הזה – ותכף אדבר על פעולות הביקורת ובאכיפה השוטפות שלנו – את החוזר הזה אנחנו משלימים בעמדות ממונה שמתפרסמות.

סקרים ספציפיים או מבדקי חדירה שאנחנו עושים בגופים ובעקבות כך אנחנו מוציאים גם עמדות ממונה שמדברות על כשלים ספציפיים שהתגלו. נהגים שהיו טובים יותר או טובים פחות, והציפייה הסבירה או הציפייה של הממונה איפה צריכים לעמוד הגופים. פרסמנו כמה וכמה כאלה, גם בעקבות תרגילי המשכיות עסקית, שתרגלו מתאר של תקיפת סייבר, שכמובן עולים ממצאים ואת הדברים האלה אנחנו מלווים את הסגירה.

אתם מקיימים תיאום גם עם הרגולטורים המקבילים שלכם?

מיד אגיע לזה, לא אקח את המקום של מערך הסייבר. תפיסת הפיקוח שלנו היא שאנחנו הרגולטור שפועל מכוח החוקים שלנו. אנחנו בעלי הסמכות המלאה והאחריות המלאה לשמירה על הוראות הרגולציה בגופים שלנו. בהתאם להחלטת ממשלה אנחנו פועלים גם בתיאום עם מערך הסייבר הלאומי, שמשמש כגוף הכוונה. גוף הכוונה שנותן לנו עמדות מקצועיות ודגשים אל מול האיומים, אל מול ההתפתחויות הטכנולוגיות.

גם בשוטף וגם בקרות אירועים?

כמובן. בשוטף יש פעילות הכוונה שוטפת. ממשק על בסיס יום-יומי ובו אנחנו מתאמים ומחזיקים את תמונת המצב של הענף אצלנו ושל המפוקחים, ושומרים על קשב מאוד קרוב לדברים האלה. כדוגמה לפעולות, ביצענו בשלוש-ארבע השנים האחרונות, רשות שוק ההון ביצעה מבדקי חדירה. על אף שהגופים המפוקחים חווים במבדקי חדירה על בסיס הרגולציה באופן עצמאי, כולל כללים שלנו לגבי הסקת מסקנות, הטמעת המסקנות האלה בגופים, אנחנו ביצענו מבדקי חדירה עצמאיים כביקורת חיצונית על הגופים. מעל 20 מבדקי חדירה בגופים שונים. מבדקי החדירה האלה הביאו למסקנות. לוונו את התיקון של המסקנות האלה באותם גופים שהתבצעו. כמובן שהאחריות על הגופים, אבל אנחנו לוונו את הדבר הזה במעקב אחר תיקון הליקויים האלה. הדברים האלה התפרסמו בעמדות של הממונה כדי שגופים שבהם לא התבצעו מבדקי החדירה, יוכלו להסיק את המסקנות.

אנחנו מבצעים מעבר למבדקי החדירה ביקורות נוספות בתחום היותר רחב של הגנת הסייבר. הגנת הסייבר היא לא הרגולציה הרלוונטית היחידה שלנו – יש גם רגולציות בנושא המשכיות עסקית, במיקור חוץ ועבודה של שרשרת אספקה של הגופים המוסדיים והיכולת שלהם להגן על המידע שעובר דרכם ובכלל במובן הרחב היותר – ניהול טכנולוגיות המידע. בשנים האחרונות ביצענו ביקורות במעל 20 גופים גם בתחומים האלה. ביקורות מתבצעות בתחום הגנת הסייבר באופן שוטף, גם בשנת 2020 התבצעו כמה ביקורות בגופים. בתוכנית העבודה לשנת 2021, הונעו ביקורות בגופים נוספים.

מטבע הדברים אנחנו לא יכולים להתייחס להליכים ולביקורות ספציפיות שנמצאות בגופים. מבחינת הסמכויות שלנו, קיימת סמכות להטלת עיצומים כספיים. בשנים האחרונות על נושא של כשלים טכנולוגיים בחברות ביטוח גדולות הוטלו עיצומים משמעותיים מאוד, בסדרי גודל של מיליוני שקלים. הדבר הזה הוא כמובן כלי אחד, אבל כלי שאנחנו משתמשים בו יחד עם פעולות הבקרה השוטפת, האכיפה השוטפת ותיקון הממצאים. אנחנו עושים בנושא הזה של טכנולוגיות המידע לכל אחת מחברות הביטוח, תהליך הערכה שנתי שבו אנחנו מסתכלים על החשיפה.

נבהיר שאנחנו מודעים לכל תמונת הגנת הסייבר בגופים המוסדיים, ומבצעים פעולות על מנת להגביר את הציות להוראות ומשתמשים בסמכויות שלנו בעניין הזה.

גם עכשיו בתקופה הזו? כי כן אשמח לשמוע ממך אם המבוטחים והחברים בגופים המוסדיים יכולים להרגיש רגועים במציאות כזו, חשוב לי לשמוע ממך על כך.

בדבר הזה אגיד כך: נושא הגנת הסייבר תופס מקום הולך וגובר, ואני יכול להגיד שההנחיות שלנו הן הנחיות מהמפורטות והמתקדמות שיש בתחום הזה. כמו שאמרתי קודם: אנחנו לא משאירים את ההנחיות ועוזבים, אנחנו נמצאים בפוקוס מאוד שוטף על העניין הזה. ככל שישנם כשלים, אנחנו מבררים אותם. אנחנו נמצאים כרגע – וכמובן לא נתייחס לפרטים – גם בתוך התהליך הזה בנושא של בירור. הבירור מתייחס גם לנושא פרטי האירוע עצמו וגם להיבט של רמת הציות של הגוף עצמו. לא אכנס מעבר לכך.

רמת הציות או הציוד?

הציות להוראות. בנושא הזה, מעבר לנושא הציות להוראות, אנחנו זוכרים שאנחנו נמצאים פה בתוך אירוע, שבאירוע יש חשש משמעותי לדלף של מידע של מבוטחים. והסיכון שבו פעולות שתבצע החברה מכאן והלאה, ישפיעו על ביטחונם ועל עניינם של המבוטחים, ולכן אנחנו מלווים את הפעולות שמבצעת החברה מקרוב.

היית עכשיו מאוד כללי בתיאור.

אנחנו מלווים, לא אכנס לפרטים בעניין הזה. בנושא תשלום כופר – זה נושא שהוא אולי סוגיה רחבה יותר. תשלום הכופר זה נושא שעלה ונידון, זו סוגיה ששווה לדון בה ברמה המשפטית, וברמה של מוטיבציה של תוקפים.

מבחינתכם, האם יש מדיניות סדורה של הרשות איך מתנהלים באירוע כזה כשיש דרישת כופר? מצד אחד יש חשש רוחבי, שאם אתה משלם – זה גם יחזור על עצמו, ומצד שני אם אתה לא משלם – אז פרטים של מאות אלפי אנשים ידלפו. גם כך דלפו.

נכון.

האם יש מדיניות?

לא. בנושא הזה אין מדיניות, לא שלנו, ולמיטב ידיעתי לא מדיניות ממשלתית בנושא תשלום כופר. בנושא הזה אנחנו כן עוקבים מקרוב על פעילויות החברה. הנושא הזה של ההתנהלות, כולל משא-ומתן ותשלום כופר, הוא נושא שהוא באחריות החברה, ככל שלא מזוהה על ידנו נושא שיכול לגרום לאיזושהי חשיפה מערכתית.

שוב, אם תוכל לצאת מהמסגרת הכללית ולדייק טיפה יותר. מה הכוונה במשפט האחרון שלך: פעילויות שיכולות לחסוך – המידע גם כך נחשף. כל מי שנכנס לערוץ הטלגרם של אותם ההאקרים רואה את המידע הזה, וכנראה שגם מקבל גישה לסך כל המידע. לכן מה הכוונה בליווי?

נכון. המידע שנחשף כולו וכבר דלף – הוא לא מידע שהוא חשוף לתוצאה של הדיון על תשלום הכופר או לא בהכרח, כי זה מידע שכבר דלף. תשלום הכופר נובע מהסיכון שמידע נוסף ידלוף, אבל מפאת הרגישות של הנושא, אני לא חושב שאנחנו צריכים בפורום הזה להתייחס לפרטים של אותו משא-ומתן מכיוון שהנושא עדיין בבירור ולא כל הפרטים שלו התבררו.

תודה רבה.

תודה רבה לחבר הכנסת קוז'ינוב. עמית, יש משהו נוסף שרצית להוסיף? אני אשמח לדעת – ואם תרצה משפט סיום כדי שנוכל להמשיך ליתר הדוברים – החיוב של גוף הוא לדווח לכם במידי מרגע שייודע לו האירוע?

נכון.

זאת אומרת, זה הפורמאט.

נכון.

אוקיי. תודה לך עמית גל, סגן בכיר לממונה על שוק ההון. אני מבקשת עכשיו לפנות אל מי שהיה בעבר בתפקידים בתוך הממשלה ובעל ידע רב בתחום הגנת הפרטיות ובכלל בתחומים משיקים. עורך דין, יורם הכהן, שהיה אצלנו בוועדה בישיבות אחרות, בנושאים אחרים, מנכ"ל איגוד האינטרנט הישראלי ומצוות המייסדים של עמותת פרטיות ישראל. בבקשה.

תודה רבה גברתי, ותודה על ההזמנה לדבר פה, האירוע הזה בשבילי יש בו למען האמת קצת מן דז'ה-וו – בשנת 2012 בתפקידי כשאני הייתי רגולטור, היה אירוע שנקרא ההאקר הסעודי, שמזכיר מאוד במאפיינים שלו.

אולי רק תגיד למי שלא יודע, באילו תפקידים כיהנת?

בניתי והקמתי את הרשות, מה שנקראת היום הרשות להגנת הפרטיות, ונקראה אז הרשות למשפט וטכנולוגיה. בשנת 2012 היה אירוע שבו פרץ האקר או קבוצה של האקרים, למאגרי מידע ופרסם אותם מתוך מטרה – ואני חייב להגיד שאנחנו לא יודעים לגבי זה - - - מתוך מטרה לגרום לתושבי מדינת ישראל ללכת ולהחליף את כרטיסי האשראי שלהם. בעניין הזה אני רוצה להגיד – אנחנו ניסינו אז לדחוף – ואגב התקנות לאבטחת מידע והגנת הפרטיות הם תוצאה של אותו אירוע. הם קיבלו פוש אז, ולצערי הם בסוף תוקנו רק בשנת 2018.

הכנסת צריכה – וזה ממשיך את ההערה שלך – לשאול את עצמה את השאלה האם היא כגוף המחוקק מספקת את הכלים הנכונים כדי להגן על הפרטיות במקרה הזה? הציבור מציית בסופו של דבר, רוב הציבור מציית לחוקים, והוא מסתכל על הסיכון המשפטי שלו. ברגע שלרגולטור אין כלים מספקים כדי לאכוף את התקנות המצוינות של הגנת הפרטיות – אני חושב שכל מומחה אבטחת מידע ואני רואה שבזום יש הרבה מהם, כל מומחה יחשוב שהתקנות האלה הן תקנות טובות, הם מודרניות. גם בראייה השוואתית עולמית, התקנות לאבטחת מידע של הגנת הפרטיות בישראל נחשבות די מתקדמות. אבל אם אין אכיפה שלהן, ואם אין כלים – לא לרגולטור – ואין הפנמה בשוק, אז אנשים בסופו של דבר עושים את ההערכות שלהם. למרבה הצער, הם עושים את זה בדיעבד. אחרי אירוע כזה אני בטוח שיש הרבה אנשים שבודקים האם זה קורה. זה לגבי העניין של אכיפה ואבטחת מידע.

חוק הגנת הפרטיות, ובמקרה הזה לפחות מהמידע שהתפרסם כבר לגבי התקיפה הזו, אפשר לראות בהחלט תופעה של עודף מידע. זה עיקרון חשוב באבטחת מידע. הוא לא נחשב הכי חשוב כי אנשי אבטחת מידע אומרים: אוקיי, יש לי משימה, יש לי מידע ואני צריך להגן עליו. כשאתה מסתכל על העקרונות של הגנת הפרטיות שמסתכלות על מינימיזציה של מידע, הם בעצם עקרונות מעבר לזה שהם עקרונות פרטיות, הם עקרונות אבטחת מידע. הסתכלתי על האירוע הזה שבו מפורסמים צילומים של תעודת זהות. בשביל מה ארגון צריך לשמור צילומים של תעודת זהות?

רק אגיד, סליחה עורך הדין הכהן, שבעניין הזה נגעת ממש בנקודה שעסקתי בה והגשתי הצעת חוק פרטית. אני מקווה שזה יקודם בכל זאת אולי בזמן שנותר לנו בכל מקרה, לא משנה מה יהיה משך חייה של הכנסת הזו, שהיא תקודם לחוק מחייב. ההצעה קובעת שגוף שאיננו ממשלתי, לא יכול להחזיק אצלו העתק של תעודת זהות או פרטים מתוך תעודת הזהות. בדיוק בגלל הסיבה הזו שאתה אומר, של עודף המידע. וסליחה שקטעתי אותך, בבקשה.

אני שמח מאוד. אני מקווה שיקדמו. התפיסה הזאת של מינימליזציה של מידע שהיא תפיסה יסודית בפרטיות, היא משהו שצריך לקדם אותו, גם בהקשר של תעודות זהות. אגב, הסיפור הזה עם תעודות הזהות, זו חשיפת אבטחת מידע מאוד גדולה, בגלל היעדרה של תעודת זהות חכמה במדינת ישראל, אז אנחנו מסתמכים היום בתהליכי זיהוי מרחוק על תאריך הנפקת תעודת הזהות. ברגע שמחזיקים מאגרי מידע עם כל התמונות האלה, אז אפשר לגשת אליהם והמידע הזה הוא מידע שיתחילו לסחור בו.

אני חושב שצריך לעשות תהליך, ואני מקווה מאוד שגופי המדינה הרלוונטיים עושים את זה, הם עשו את זה בעבר ועושים את זה עכשיו. באיזשהו ניתוח – כי אני מכיר את זה מפרשת דליפת מרשם האוכלוסין, שבהתחלה ההתייחסות אליה בקרב הגופים הביטחוניים הייתה: אהה, בסדר, אז דלף פה פנקס הבוחרים. וכשאתה עושה ניתוח מעמיק של המשמעות של דליפות מידע כאלה אתה מבין שהבעיות פה הם לא רק בעיות של פרטיות. הבעיות הם בעיות של ביטחון המדינה, שבמקרה הזה כבר מדובר על זה ששירביט מבטחת את עובדי המדינה, זה לא דבר מסווג. וכשאתה מסתכל לעומק, למידע, אתה מתחיל להבין שיש לו מופעים בכל מיני מקומות, ולכן צריך תפיסת ניהול מידע כללית, מדינתית. יכול להיות שמגיעות בכלל דרישות לשמור מידע מכיוון של הוראות רגולציה מסוימות שדורשות ממך לשמור או הוראות כלליות למשל של דיני הראיות, של רשומה מוסדית, שמחייבות אותך להיות מסוגל להוכיח כל מיני דברים אחר כך. ואז הגוף כשהוא עושה לעצמו את ניתוח הסיכונים, אז הוא אומר: אהה, אז אשמור את זה כי אני צריך משהו מתישהו בעתיד. מדינת ישראל צריכה לגבש אסטרטגיה בעניין הזה והדבר הזה לא נעשה.

אוקיי.

רק ברשותך גברתי הערה – כשניהלנו פה מאבק על המאגר הביומטרי, בדיוק מהדברים האלה חששנו. אדוני אומר כל זמן שאין תעודות זהות חכמות – אבל אנחנו חוששות ממה שיש כשכן יש דרכונים ביומטריים היום, ומי ערב שמצב האבטחה שלהם טוב יותר?

מהמאגר.

כן, כן, מהמאגר. את זה אמרתי, כשנאבקנו נגד המאגר הביומטרי, אחד הדברים המרכזיים שחששנו ממנו.

אני חושבת שזה עדיין מאבק שמתנהל על טביעות האצבע, אבל זה דיון אחר, בחדר אחר, ביחד גם איתם.

כן. זאת בעיה לכשעצמה. פשוט בגלל ההערה שלך שאין תעודות זהות חכמות, אני אומרת גם מה שיש חכם, אז מפחיד פחד מוות כשזאת רמת האבטחה.

מכיוון שאני הובלתי את התנגדות הפנים של תיק המאגר הביומטרי: אין תעודות חכמות בגלל המאגר הביומטרי, כי התעקשו על מאגר ביומטרי ולא קידמו את התעודות החכמות. זה המצב שלנו.

כי המדינה הבינה את הסכנה והורידה את החומרה. אנחנו מקווים שבקרוב תוריד לגמרי את החובה לטביעות אצבע.

כן, בסדר גמור.

המאבק ממשיך, ואני בכל אופן הבעתי את דעתי, ואמשיך להביע אותה בתוקף, בוועדה המשותפת שמתנהלת בנושא הזה. המציאות מוכיחה לנו שאנחנו לצערנו צודקים. לצערנו לא עושים את זה מספיק מהר ומספיק בזמן. תודה, עורך דין יורם הכהן. רגע לפני שנעבור למערך הסייבר הלאומי שגם איתנו, נמצאת איתנו עורכת הדין נעמה מטרסו, מנכ"לית עמותת פרטיות לישראל, בבקשה.

שלום, תודה רבה על הדיון החשוב הזה, מהאירוע של שירביט והדיון שהיה בעקבותיו, אנחנו מבינים כמה מצב אבטחת המידע והפרטיות בישראל הוא כן קריטי וחשוב והוא לא מספיק עולה לדיון. בטח כשאנחנו רואים שמידע, גם מהדברים פה שנאמרו, הוא לא רק נכס משמעותי-עסקי של חברות רבות, הוא גם נכס של המדינה, של רשויות מקומיות, של מצלמות אבטחה. והמקום שלו בסדר העדיפויות צריך לחלוטין להשתנות.

אדבר בקצרה בשביל לא לגזול מזמנם של אחרים, אנחנו צריכים לשים את הנושא של פרטיות ואבטחת מידע בספקטרום שהוא לא רק רגולציה כמו דיברתם, והוא לא רק אכיפה, אלא גם כוחות שוק וגם כמו שעו"ד יורם הכהן ציין, לא רק רגולציה פרטית, אלא רגולציה אחרת שתומכת בנושא של שמירת מידע. והזכרת את הנושא של שמירת תעודות זהות, ואולי זה לא מספיק. אם דיברנו על תעודת זהות חכמה, ואנחנו לוקחים תעודת זהות וממנה מחלצים מידע כמו תאריך הנפקה, וזה ההזדהות שמשמשת היום בהרבה מאוד מקרים, אז זה לא מספיק. צריך לשנות את ההזדהות שאיתה אזרחים ניגשים לשירותים ממשלתיים שיש בהם מידע רגיש מאוד.

אני רוצה לדבר על ארבע בעיות מרכזיות. הבעיה הראשונה היא מה שהזכירו פה, הנושא של מינימליזציה של מידע, מידע עודף. חברות רוצות להשיג כמה שיותר מידע כי גם הטכנולוגיות של "ביג דאטא" מורידות את זה ללא צורך וללא בחינה משמעותית ומהותית ולא מתעכבות למה אנחנו צריכים את המידע הזה. אין גם איזשהו תהליך רוחב שמתבצע בחברות, של בדיקה מהרגע שהמידע נכנס לסיסטם עד הרגע שהוא יוצא. מה עושים איתו? מי ניגש אליו? לא מדברים בכלל במונחים של בעלות עסקית על מידע. אם אנחנו מסתכלים על מידע של משאבי אנוש, נכון שאנשי אבטחה אחראים על האבטחה שלו, אבל בסוף צריך להיות גורם בתוך החברה וצריך לתמרץ את הדבר הזה, שיהיו אנשים שיהיו אחראים על המידע ברמה המהותית שלו. כלומר, מישהו שיודע מי צריך לגשת למידע. האם ספקים חיצוניים צריכים לגשת למידע הזה או לא, ושינהלו אותו. זה אגב תוצאה של תקנות שהן חדשניות, תקדימיות, ומעולות כמו שצוין פה לבין חוק שהוא מאוד מיושן וצריך לגשר על הפער הזה בהקדם.

הדבר השני זה הנושא של יכולת זיהוי ותגובה של אירועים. בעולם של אבטחת מידע מבינים שמאוד קשה למנוע אירועים. אירועים יקרו, ואנחנו צריכים לעשות את המקסימום כדי להגן, למנוע ולזהות בזמן. הנושא של זיהוי בזמן הוא נקודה קריטית – לפני שהייתי בפרטיות לישראל, עסקתי הרבה מאוד באבטחת מידע וניהול אירועי אבטחה, גם בצד המשפטי וגם בצד הטכנולוגי ומניסיוני הנקודה של זיהוי ותגובה היא הנקודה הכי קריטית לנזק שיכול להיגרם למידע. כלומר, אם אנחנו מזהים את זה בצורה מהירה כמה שיותר. ואגב הממוצע העולמי עומד על 280 יום.

מהרגע של הזיהוי?

של הזיהוי.

זה נשמע לי המון זמן.

זה המון זמן? לא בטוח, הרבה פעמים - - -

חשבתי שתגידי 280 שעות.

לא. זה הממוצע העולמי.

לא מרגע שהסתבר להם שקרה, אלא מרגע שחדרו אליהם.

שהייתה חדירה. חדירה ראשונית לא תמיד עושה נזק. לפעמים זה רק בשביל לחפש מידע. בכל מקרה, זה הממוצע. עלות ממוצעת של אירוע נאמדת ב-3.8 מיליון דולר. ובארה"ב זה מן הסתם הרבה יותר גבוה. היכולת של ארגונים להגיב בצורה מהירה ויעילה – לדעתי היא מוטלת בספק במדינת ישראל ואנחנו רואים את זה בשירביט, את הניהול התקשורתי המאוד חשוף וערום שהאירוע מואר. בעיני זאת נקודה שצריך להתייחס אליה: איך מגיבים לאירוע ואיך אנחנו מוודאים שחברות מגיבות טוב – לחברות יש את כל הכלים להגיב לאירוע בצורה טובה שתצמצם את הנזק לאזרח, בטח בצורה שעכשיו אנחנו ראינו איך בקבוצות וואטסאפ עוברות תעודות זהות של אנשים. המידע שם נפרץ לגמרי והיה משוחרר ולא היה שום גינוי של הדבר הזה.

אגב, יש לכם המלצה איך לזהות יותר מהר אירועים כאלה?

גם בהיבט של הרגולציה צריך לשים דגש יותר על איזושהי תגובה ולא רק להגנה. כי אתה כל הזמן עוסק הרבה בנושא ההגנה, אבל פחות בנושא של התגובה לאירוע ותרגול של התגובה לאירוע.

מבחינת רגולציה אפקטיבית, דיברו פה הרבה על אכיפה, וראינו את גם באירופה ורואים את זה גם בחברות ישראליות שאוספות מידע על אירופאים והם תחת רגולציה אירופאית – יש שינוי מהותי, ועלי התייחס לזה שארגונים שהם תחת רגולציה לעומת ארגונים שהם לא תחת רגולציה – יש פער משמעותי ביניהם. באירופה הפחד מהקנסות הוא מאוד משמעותי לתימרוץ של ארגונים להטמיע אמצעי אבטחה והגנת מידע. ואם אנחנו מסתכלים על הנתונים, כי בישראל ובאירופה נכנסו התקנות פחות אותו יותר במקביל, במאי 2018: באירופה לפי הדיווחים, דווחו 160,000 אירועים. אני לא משווה את ישראל הקטנה לאירופה הגדולה, אבל בישראל דווח על 150 אירועים, זה הדיווח של הרשות להגנת הפרטיות. פרסמתם את זה בינואר 2020, ואני חושבת שלכל עין ברור שזה לא כל האירועים שקרו. במקביל, חברת קספרסקי בישראל פרסמה נתונים על 1,500 פרצות בארגונים, 1,500 ארגונים שהייתה להם פרצת אבטחה מוכרת, שגם דיברו על זה שזה אותה פרצה בשירביט. כך שברור ש-150 אירועים שדווחו זה מעט מאוד לישראל בתקופת זמן של שנה וחצי. שוב, אדגיש שהנתונים הם מינואר 2020. אני לא יודעת מה הנתונים היום. זה אגב מעניין.

באירופה הקנסות עמדו על סך כול של 126 מיליון דולר, גם כשמשווים את זה למדינות בסדר גודל שלנו או קטנות מאיתנו כמו לדוגמה דנמרק – היו 9,800 אירועים ו-390,000 דולר בקנסות. כך שהסדר גודל הוא באמת שונה. יש פה מקום להשוות כשנכנסו שני ההיבטים האלה במקביל.

הדבר האחרון והכי חשוב בעיני זה הנושא של מלמטה למעלה, מהחברות עצמן. לחברות היום אין באמת תמריץ להתעסק בנושא של אבטחת מידע והגנה על הפרטיות. בהרבה חברות אנחנו רואים שהנושא של פרטיות ואבטחת מידע נזנח לכיוון תשתיות, AT, יעוץ משפטי, אין גורם אחד שאחראי על הגנת הפרטיות. ממונה על הגנת הפרטיות. זה דבר ראשון. דבר שני – אין לציבור היום יכולת לתבוע תביעות ייצוגיות בנושא של הפרת פרטיות. התביעות הייצוגיות שראינו בנושא הזה הלכו דרך, עשו עיקוף דרך חוק הגנת הצרכן, ובעילה צרכנית ניסו לתבוע את הפגיעה בפרטיות ואת הפגיעה במידע. זאת נקודה חשובה. הנקודה האחרונה בהקשר הזה היא הנקודה של אחריות הדירקטוריונים. דירקטוריונים יושבים ומבקרים, יש פה היום ביקורת על חברות וחברות ציבוריות וחברות פרטיות – אין מספיק דיון היום בדירקטוריונים על הסיכונים כשמידע, ואני מזכירה, הוא נכס העיקרי של מרבית החברות, בטח חברות של טכנולוגיה, בטח במעצמת סייבר כמו ישראל. חשוב שגם תהיה הסדרה של מה דירקטוריון צריך לקבל מבחינת דיווחים – אם זה ניהול סיכונים, אם זה מבדקי חדירה שחברות עושות. צריך להביא את זה לסדר היום של הנהלות ושל חברות.

בהיבטים שמנית שהם חשובים מאוד, את יודעת להגיד למשל – רשות שוק ההון סיפרה לנו פה שיש להם הנחיות מחייבות שהם מאוד רחבות, שם לדוגמה חלק מהעניין הזה של חובת דיון בדירקטוריונים וממונה אבטחת מידע, דווקא כן יכול להיות.

מהמפקח על הבנקים, מה שאני זוכרת מהנהלים של המפקח על הבנקים, אני לא בטוחה של רשות שוק ההון, יש איזושהי התייחסות לנושא של דיון בנושא של אבטחת מידע.

באיזו סוג חברות או ענפים את רואה את החסר הכי משמעותי בנושא הזה של אבטחת מידע?

באמת שזה מצחיק, כי מההיכרות שלי עם השוק, גם חברות סייבר, שהם נותנות שרות סייבר, אז הרבה פעמים דווקא אצלם אני חושבת שיש הרבה פעמים בעיות. וגם חברות שלא תחת רגולציה. שם באמת יש חור מאוד גדול, וזה יכול להיות אגב חברות של 12 או 40 איש, חברה כאילו קטנה, שמחזיקה מידע על 2 מיליון אזרחים. יש חברות כאלה והן לא תחת רגולציה, והן לא נופלות תחת רגולציה של שוק הון או המפקח על הבנקים או רגולציות אחרות שקיימות בשוק. אנחנו רואים את זה גם ברמה המשפטית, כשאנחנו מסתכלים על חוזים, על מכרזים, אפילו מכרזים של המדינה, ההתייחסות לאבטחת מידע והגנת הפרטיות היא מאוד מאוד מצומצמת. זה משהו שצריך להשתנות גם מלמטה וגם מלמעלה.

תודה רבה, עורכת הדין נעמה מטרסו. נעבור למערך הסייבר, נמצא איתנו עורך דין עמית אשכנזי, יועץ משפטי של מערך הסייבר הלאומי. בבקשה.

תודה גברתי על הדיון החשוב, אנסה בקצרה לתאר את העבודה שלנו לאורך השנים בנושא הזה. החיבור בין הגנת סייבר לביטחון הלאומי הוא חיבור שקיים בישראל משנת 2002. ב-2002 החליטה הממשלה שגופים שהמחשבים שלהם מחוברים לתפקודים חיוניים, מצדיקים מעטפת הגנה ייחודית שניתנה על ידי שירות הביטחון הכללי, לפי החוק להסדרת הביטחון בגופים ציבוריים.

נלך קדימה לשנת 2011, בשנה זו הוקם מטה הסייבר הלאומי במשרד ראש הממשלה שמבקש להתמודד עם הסוגיה שאנחנו רואים את הסימנים שלה פה. הגנת הסייבר כאינטרס ביטחוני נשענת על היכולת להגן על רשת של ארגון שהבעלים שלו בשגרה, זה שמחזיק אותו, זה שקונה את הציוד, זה שמתפעל אותו וזה שגם מתפרנס ממנו, הוא ארגון, ארגון פרטי. וזאת זירת מדיניות ציבורית מאתגרת כי כיצד אתה עכשיו גורם לארגון לבצע את הדברים הנדרשים באזור הזה, ומתי אתה גם רואה את הערך המוסף המדינתי – דברים שעלו פה.

התפיסה המדינתית שאושרה בשנת 2015 מדברת על שתי קומות: קומה ראשונה, נקראה לה קומת היגיינה – המסכות, העמידות. היא הקומה שבה אנחנו רוצים שארגונים יפנימו לתוך תהליכי ניהול הסיכונים שלהם את הסיכונים שנובעים מסיכוני הסייבר. וכאן כמו שהוסבר גם קודם, במקומות שבהם יש רגולטור ייעודי, שיודע לנהל את הסיכון ולאסדר בגוף, מערך הסייבר הלאומי משמש בתפקיד מכוון. הגישה הזאת נובעת משני נימוקים: האחד – כאשר יש חברת ביטוח, מי שאמון על האינטרסים המוסדרים וחוקי הביטוח לגווניהם זה אותו ראש רשות שוק ההון, והוא מכיר את שלל הדברים הרעים שיכולים לקרות מטעויות בדוחות הכספיים או רעידות אדמה וכדומה. הדבר השני הוא שהוא יודע לאזן את זה כמו שעלה פה, בין היכולת של החברה לקיים את פעילותה ולהיות מוגנת, לבין העלויות של אותם היבטים. אנחנו כגופי הגנת הסייבר חותרים לזה שגוף שרוצה להראות שהוא מטפל בהגנת סייבר, ישקיע בין 10% ל-20% מתקציב המחשוב שלו להגנת סייבר. זו העמדה שלנו. אנחנו חושבים שגוף שעושה את זה, מצבו הרבה יותר טוב מגוף שלא עושה את זה. יש על זה גם נתונים מהעולם. בגדול בקומה הזאת, אנחנו מספקים את הידע ומבקשים מהרגולטורים הרלוונטיים בגזרתם לעסוק בנושא. אבל זה לא מספיק. וכמו שאנחנו רואים, וכמו שאמרה מנכ"לית עמותת פרטיות לישראל – יש חשיבות רבה גם לשתף מידע על מה שקורה במרחב הסייבר כדי לגרום לאנשים לסגור דלתות וחלונות, ולהתקין עדכוני אבטחה בזמן. ואת הפעולה הזאת של שיתוף מידע בין ארגונים, מבצע מערך הסייבר באמצעות אגף ה-CERT הלאומי בבאר שבע. וגם כאן, באירוע הזה ובאירועים קודמים. אנחנו מבצעים את אותם סריקות שתוארו פה ופונים לארגונים על מנת לגרום להם לסגור את הפרצות שעלולות להוות סיכון לאינטרס הציבורי.

בכל מקרה, הפעילות שאנחנו מתארים, כרגע מבוססת על החלטות הממשלה בנושא הסייבר. כאשר אנחנו פועלים משנת 2018 לקדם חקיקה מקיפה שהתפקיד שלה לייצב את כל המדיניות הזאת בתוך מסגרת שלמה שתיתן את התשתית לטווח ארוך לעיסוק בנושא.

אתה רוצה לתת לנו עוד מושג על אתם מנסים לקדם? בהקשר של החקיקה – אני לא כל כך הצלחתי להבין.

כן. בהקשר של החקיקה, הדיון בנושא החקיקה נוגע ביכולת לסנכרן את תחום הגנת הסייבר ברמת ההוראות, ברמת העמידות, והיכולת של מערך הסייבר לטפל בתקיפות כאשר הן קורות. זה בעצם מה שאנחנו מנסים לקדם בחקיקה. היכולת המשפטית להסדיר התמודדות עם סיטואציה שבה ארגון לא משתף פעולה עם פעולות הגנה.

במקרה הספציפי הזה זה לא המקרה, אז אין מה להיכנס לזה, אבל במקרים דומים, וזה היה חלק משמעותי מהדיון הציבורי. היום אנחנו מסתכלים על התמונה מהצד השני. במקרים רבים עלתה השאלה מתי המדינה יכולה לבוא לארגון שמנהל את מערכות המידע שלו ולהגיד לו: ארגון יקר ונכבד, אנחנו מבקשים להורות לך לעשות סט פעולות. זאת שאלה משמעותית שהיא בדיון הציבורי עד עצם היום הזה. השאלה השנייה שנגזרת מזה היא השאלה: נניח שאנחנו מקבלים שהאינטרס הציבורי מחייב את המדינה להתערב לטובת הגנת האינטרסים שדיברנו עליהם כאן, מה מותר למדינה לעשות?

בתוך הסוגיה הזאת, אחת הסוגיות שהיא כאילו הכי ממולכדת, אבל בעיני היא הכי פשוטה לפתרון, היא סוגיית היחס שבין הגנת סייבר לפרטיות. כל מי שמבין מעט במה עושה מגן הסייבר, מבין שמגן הסייבר וגם התוקף באותה מידה, לא קוראים תעודות זהות. זה לא מעניין אותם, הם לא קוראים מידע קריא על ידי אדם – הם נותנים פקודות בשפת מכונה למחשב. ובהתאמה לזה התוקף נותן פקודות למחשב כדי להדליף את המידע, ובהתאמה לזה מגן הסייבר שמבקש להבין מה קרה, מתחכך במידע בפורמט ממוחשב שעוסק בתקיפה. גם האירופאים שאנחנו אוהבים לצטט אותם, הסדירו את הדבר הזה באותה חקיקת פרטיות מקיפה שלהם. יש שם פטור – שלא אכנס לכל הפרטים שלו – לפעולות לטובת הגנת סייבר. וגם זה היום זה חלק מהאזורים שאנחנו צריכים לנהל אותם מאוד בזהירות. למרבה השמחה בנושא הספציפי, יש לנו גיבוי ממשרד המשפטים למסגרת העבודה שאנחנו עובדים עם ארגונים. הצלחנו להראות שאין פה פגיעה בפרטיות כשאנחנו מסתכלים על חומר ממוחשב. זה אחד האתגרים שבפירוש אנחנו מתמודדים איתם יום-יום. שוב, לא באירוע הספציפי הזה.

דבר אחרון ששכחתי לציין והוא משמעותי זה שבתוך מערך הסייבר נמצאת גם יחידת הממונה על יישומים ביומטריים. היחידה עוקבת אחרי פרויקט תעודת הזהות, ובפרט התריעה כבר באוגוסט על הסיכונים שבשימוש באותו תאריך הנפקה כפרט שמאפשר זיהוי. אנחנו בפירוש הגברנו את ההתראות בנושא הזה בתקופה האחרונה, וגם כמו שהזכיר עורך הדין הכהן, בודקים כרגע אפשרויות נוספות כדי למזער את הסיכונים שנובעים משימוש לרעה באותו תאריך הנפקה. גם בצד של להגיד לאנשים: תוציאו תעודה חדשה ואז תאריך ההנפקה ישתנה, אבל גם בצד של היכולת למנוע שימוש בתאריך הנפקה כרגע בתוך הממשלה, מרגע שהדבר הזה ידוע לנו.

כן, בבקשה, עורך הדין הכהן.

אני רוצה להצביע על המצב המוזר שמתואר פה, יש לנו פה גוף מצד אחד, מערך הסייבר הלאומי שהוא גוף עם יכולות גדולות מאוד מאוד, ואגב עם תקציב גדול מאוד, גוף שאין לו סמכויות פורמאליות, ואני בהחלט חושב שצריך לקדם את חוק הגנת סייבר. אבל המצב היום שבעצם חוץ מאזורים מסוימים, הם פועלים בלי סמכויות פורמאליות לטפל באירוע. מהצד השני, יש רגולטור שיש לו סמכויות, יש את סעיף 17 לחוק הגנת הפרטיות, יש תקנות מודרניות שאפשר לפעול על פיהם. הגוף הזה מתוקצב הרבה פחות וחסרות לו גם סמכויות אכיפה ואיכשהו המדינה צריכה להסתכל – ושוב אני פונה למקום הזה, כי זה המקום שבו מכינים את הדברים, ולפתור את הדילמה הזאת. בסופו של דבר, יש מצב של Lose-Lose . זה ממש מצב לא הגיוני.

לדעתי מה שקורה כרגע הוא שהמדינה לא מספיק שמה על זה דגש. זה לא מספיק בראש סדר העדיפויות. ולכן אני מקווה שדיונים כמו זה ונוספים שאני מקווה שנקיים פה בהמשך, וגם במקומות נוספים פה בבית הנבחרים, יסייעו לקדם את העניין הזה.

הבנתי שיש הנחיה או שציינת דבר מה לגבי הנפקת התוקף של תעודת זהות והנחיה למשרדי הממשלה שלא להשתמש בנתון הזה. מי מכם יודע להגיד לי עד כמה זה הוטמע? אני מתייחסת למשרדי הממשלה, לגופים פרטיים כבר אמרנו שצריך לטפל בזה בדרך אחרת, אבל בקשר לזה, יש משרדי ממשלה שעדיין פועלים כך? אני יודעת על מקום אחד שבמקרה יצא לי להיתקל בעצמי בדרישה הזאת – בהר הכסף, ובהר הביטוח, ששם עדיין דורשים תאריכי הנפקת תעודת זהות.

גם בביטוח לאומי בדברים מסוימים.

גם בביטוח לאומי אומרת פה נירה, מישהו מכם יודע? נעלה את רשות התקשוב גם.

כן. הדבר הזה הוא כמובן נושא שעלה לדיון עוד מהממונה על היישומים הביומטריים לפני שנה וחצי. זה דבר שבו הממשלה בכלל צריכה לראות איך מתמודדים איתו. ספציפית בנושאים של הר הביטוח והר הכסף, אנחנו מקיימים דיונים בשלב המוקדם לראות איך אנחנו מעלים את ההגנה על האתרים האלה. אבל ללא ספק בטווח הבינוני, נצטרך להתייחס גם לנושאים של הזדהות וזאת סוגיה רחבה ברמת הממשלה.

אני רק רוצה להתייחס לדברים של עורך הדין אשכנזי, אנחנו כרגולטור שמפקח גם על נושא הסייבר בצורה מאוד קרובה, שמים דגש גם באתגרי המדיניות שצוינו כאן בזה שקיים מערך סייבר לאומי שפועל כרגע מכוח החלטת הממשלה והתקדמות של חקיקת החוק כשתבוא. עדיין רואה שיקולים מסוימים, רחבים, שכוללים גם סוגיות של ביטחון וכמו שציין עורך דין אשכנזי, גם שיקולים של מתי להפעיל את הסמכות ולהיכנס לגופים ולהורות להם לגופים פרטיים לעשות פעולות. אני רוצה לחדד בעניין הזה שאנחנו רואים את זה כמשהו שצריך לשים אליו דגש, כאחריות הגופים, זה דבר שהוא רכיב בלתי נפרד – בטח אצלנו במגזר שבו יש דגש מאוד חשוב על הממשל התאגידי והאחריות של ההנהלה, ודירקטוריון ונושאי תפקיד בגוף. זה צריך להיות, לא אדבר על מגזרים אחרים במשק, אבל הנושא הזה של אחריות של אותם אורגנים בתוך הגוף הוא רכיב בלתי נפרד מהגנת הסייבר.

ויש לכם מענה לזה בחוק החברות מהבחינה הזאת?

לא בחוק החברות, בחוקי הפיקוח שלנו ובהנחיות שלנו בהחלט יש הנחיות נרחבות על אחריות של האורגנים, של הדירקטוריון, של אורגנים ספציפיים, שהוגדרו לצורך הגנת הסייבר והאחריות והחובות שלהם בתהליך הזה.

תודה, עמית. אגב, לגבי השאלה שלי, היא לא נענתה. אוקיי, מר קונפינו, ממשרד הדיגיטל. בבקשה אדוני, שלוש דקות ברשותך כי התקצרו לנו הזמנים ועדיין חשוב לנו לשמוע עוד לא מעט אנשים. בבקשה.

תודה רבה שאתם מעלים אותי כאן לדיון, היחידה להגנת הסייבר שברשות התקשוב הממשלתי במשרד הדיגיטל מנחה את כל משרדי הממשלה בהתאם לאותם החלטות ממשלה משנת 2015 שעורך הדין אשכנזי ציין. וכל הנושא של הגנת הסייבר של הרשתות הממשלתיות, היא העלתה את כל הנושא הזה לרמת מנכ"לי משרדי הממשלה ודואגת לוועדות היגוי של הגנת סייבר שמתכנסות באופן תדיר בכל משרדי הממשלה להגנת הרשתות הממשלתיות.

בנוסף לכך, בקשר לשאלה שלך, רשות התקשוב הממשלתי באמצעות יחידת ממשל זמין נותנת שירותים רוחביים לממשלה. וביניהם את האזור האישי, האזור האישי מחייב הזדהות חזקה ולא הזדהות עם תאריך הנפקה של תעודת זהות, ונותן כלל שירותים, ביניהם לחידוש רישיון רכב, שינוי כתובת. אנחנו בקשר עם רשות שוק ומשרד האוצר בכלל, כדי להכניס גם את הר הביטוח וגם את הר הכסף תחת מערכות ההזדהות הממשלתית. ושניהן מערכות שמרכזות את כל הנתונים מהאזרח במקום אחד וכן נותנת הזדהות ברמה חזקה, כמו שמקובל היום במערכות של הבנקים.

אתה מדבר בלשון עתיד כאילו שגילינו את זה הרגע – אפשר התייחסות יותר ספציפית, נגיד אולי החלטה אם זה יפסק. סליחה, אני לא מבינה את לשון העתיד שנשמעת לי רחוקה. אולי אני טועה, אשמח שתתקן אותי.

נושא ההזדהות הממשלתית בא לאפשר לכל משרדי הממשלה לתת שירות לאזרח בצורה מאובטחת, עם הזדהות מבוססת אס-אם-אס לטלפון, אחרי שהוא נרשם לשירות, כדי שהוא יוכל לקבל שירותים ממשלתיים. וזה פותר את כל הנושא של הזדהות עם תעודת זהות.

מר קונפינו, קיימנו על זה דיון, אנחנו מודעים לדבר. היה לנו פה דיון מעמיק לגבי GOV.IL והיה פה גם שחר ברכה. אנחנו בהחלט מברכים על הפעילות, אני שואלת ספציפית לגבי זה שעדיין יש גורמים ממשלתיים שמבקשים תאריך הנפקת תעודת זהות. אנחנו מבינים כמה זה חמור ולגבי השאלה הזו, לא הבנתי את התשובה – או שהבנתי את התשובה שהיא רואה פני עתיד רחוק ולא מדברת על משהו קונקרטי שעומד להסתיים בקרוב?

לא, זה לא עתיד רחוק. אנחנו פועלים כבר לפני מקרה שירביט להעביר גם את הנושא. זה בפעילות מול משרד האוצר, להעביר את הר הביטוח ואת הר הכסף להזדהות רק דרך ההזדהות הממשלתית.

ומה תאריך היעד?

זה דבר שעובדים עליו ברגעים האלה. עובדים עליו לפני מקרה שירביט, התהליך טרם הסתיים, אבל ההנחיה שלנו לכל משרדי הממשלה היא שכל שירות ממשלתי יינתן – גם כאלה שכבר עלו שיעברו לאזור האישי – שכל הזדהות עתידית שהאזרח צריך להזדהות מול שירותי הממשלה יתבצע דרך המערכת הזו.

מר קונפינו, אני מבינה. אני שואלת: א' – לגבי תאריך היעד לגבי הר הכסף והר הביטוח? הוועדה מבקשת לדעת תאריך שבו העניין ייפסק ותתחיל ההזדהות שאינה קשורה לתאריכי הנפקת תעודת זהות. ב' – האם תוכל לומר לנו כמה עוד שירותים ממשלתיים או משרדי ממשלה משתמשים עדיין בנתון הזה ונגיד את זה בצורה הכי ברורה: לא כפי שהם נדרשים לעשות?

מבחינת רשות התקשוב הממשלתי ההעברה של הר הביטוח והר הכסף לשירות האזור האישי יכול להיעשות תוך ימים. מבחינת משרדים ממשלתיים שמשתמשים בתאריך הנפקת תעודת הזהות בתור הזדהות למערכת ממשלתית, אני לא מכיר עוד מערכות כאלה שמשתמשות בזה בתור הפרמטר היחיד.

זה עדיין חלק מהפרמטרים שאתם משתמשים בהם במערכת ההזדהות הממשלתית. אני מסתכל עכשיו באתר שלכם, בין אפשרויות ההזדהות יש שימוש בתאריך הנפקה של תעודת זהות. אני מדבר על ההרשמה למערכת ההזדהות הממשלתית.

מערכת ההזדהות הממשלתית, אתה מדבר על ההרכשה ולא על ההזדהות.

כן, על ההרשמה. ההרשמה למערכת.

ההרכשה, ההרשמה למערכת ההזדהות הממשלתית דורשת שני פרמטרים מוכמנים. אחד מהם יכול להיות תאריך הנפקה של תעודת זהות, הוא כמובן לא פרמטר יחידי, נדרש עוד פרמטר – אם זה כרטיס אשראי או נתון אחר מוכמן. כל הנושא הזה הוא בהתאם לתקנים בינלאומיים, אנחנו מאפשרים גם הזדהות עם תעודת הזהות החכמה ישירות כאשר זה מבטיח שתעודת הזהות מוחזקת על ידי אותו אזרח או אמצעים נוספים של הזדהות חזקה. התהליכים האלה נעשים יחד עם היחידה ליישומים ברומטריים שנמצאת במערך הסייבר והיחידה ליישומים ברומטריים והזדהות. הכול נעשה בתיאום.

סליחה מר קונפינו, עמית – זה מקובל עליכם כמערך סייבר שעדיין יש שימוש בתאריכי הנפקת תעודת זהות?

לא.

מר קונפינו? שאלתי את נציג מערך הסייבר, או את נציגו לפחות, האם מקובל עליהם שעדיין נעשה שימוש בתאריך הנפקת תעודת זהות. התשובה הייתה מילה אחת: לא. לכן אני מחזירה אליך את השאלה ואת הבקשה שלנו. קודם כל שאלה ואחר כך גם נבקש שתחדלו מלעשות זאת. השאלה היא למה אתם עדיין עושים שימוש בנתון הזה? שמעתי לגבי הר הכסף והר הביטוח שתוך מספר ימים זה יגיע לכדי סיום. אנחנו נבקש כוועדה לקבל על כך עדכון, ונעקוב אחרי זה בהמשך. כן, יש הנחיה של מערך הסייבר בעניין הזה. ולגבי יתר הדברים – רועי פה עדכן שחלק מההרכשה, אחת האפשרויות, ואת זה גם אתה אמרת, היא תאריך הנפקת תעודת הזהות. מדוע זה קורה אם יש הנחיה מפורשת שאוסרת על זה? אלא אם כן לא הבנתי משהו, אז מומחים מכובדים, תקנו אותי.

ההרכשה של משתמש בתאריך הנפקת זהות זה אחד משני נתונים שצריך להקיש, בנוסף לזה כרטיס אשראי ונתונים אחרים שהאזרח יכול לבחור. הכול נעשה בתיאום ובשיתוף בין היחידות.

אבל אני שומעת שהיחידות אומרות אחרת.

אם יורשה לי להעיר הערה: ברגע שחלק מהמידע הזה זמין כיום ברשת, זה ברור שזה דורש קודם פעולה ספציפית ביחס למידע הזה שזמין ברשת. אני מאמין ומקווה שמערך הסייבר פועל בהיבט הזה. אבל גם באופן כללי זה רק אינדיקציה לבעייתיות שבשימוש במידע הזה. המידע הזה כבר זמין ברשת, אז מה שנשאר לי זה להשיג כרטיס אשראי או דרכון או אמצעי מזהה אחר. ולכן כל המעמד של המידע הזה כמידע מוכמן מוטל בספק בקונסטלציה הנוכחית.

הנושא הזה נעשה בתיאום בין היחידות. ככל שמערך הסייבר - - -

איזה יחידות? מר קונפינו, אני באמת לא מצליחה להבין.

עם מערך הסייבר.

אבל אני שומעת תשובה אחרת. אתם רוצים לדבר כמה דקות ולחזור אלי עם תשובה אחידה? אני מוכנה, יש לי עוד דברים להתקדם בהם.

תמיד טוב לדבר בחוץ.

אוקיי, מקבלת, לא אמרתי את זה בציניות.

במענה לשאלתך: יש כאן מתח בין השימושיות, ודיברנו על זה בוועדה שלך גם בהקשרי חוק הנגשת שירותים דיגיטליים לציבור. ולכן יש פה שאלה רצופה של רמת ניהול סיכונים. כאשר הממונה במערך הסייבר מדרבן את הגופים שמספקים שירות לציבור, זה אינטרס חשוב מאוד והוועדה הזו מכירה אותו, לעבור לשיטת זיהוי אחרת.

כמו שאמר בצדק רועי, באזור שבו המידע הזה כבר בחוץ, אנחנו צריכים עכשיו לנהל את הסיכון בדרך אחרת לגמרי – כי בעוד שרמת ניהול הסיכונים הייתה קודם - - - לגבי הדבר הזה, זוהי העמדה המקצועית שלנו. כרגע מי שמנהל את הסיכון הזה בסוף זה בעל הבית של המערכת הזאת, לצורך העניין בממשל זמין זה רשות התקשוב ומשרד הדיגיטל שאומרים: הבנו, אנחנו מנהלים את הסיכון. זה המשמעות של האמירה הזאת. אנחנו לא שחקן וטו. אנחנו מראים את הסיכון.

אוקי, אז לפחות שלא יאמרו שזה בתיאום עם כל היחידות.

הדיאלוג בתיאום. אנחנו בוודאי - - -

תן לי להגיד את זה: הדיאלוג בתיאום, המסקנות לא. תישאר איתנו מר קונפינו, אנחנו עדיין בשיח. עורך דין הכהן, בבקשה.

רק רציתי להעיר שכל הדיון הזה הוא דיון שבין הממשלה לממשלה. ובסוף מה שהממשלה מדברת הם אזרחים. אבל מי ששם אותם פה בצד, זה המגזר העסקי, כי במגזר העסקי אין פתרון של הזדהות מרחוק. אם אני מסתכל עכשיו על פרשת שירביט ושמירת תעודת הזהות, זה נובע מזה שגם הם צריכים לייצר איזשהו מנגנון של זיהוי מרחוק וכל הדברים האלה.

פה אני חושב שמכיוון שוועדת המדע והטכנולוגיה היא האחראית על חוק חתימה אלקטרונית. חוק חתימה אלקטרונית היא הפלטפורמה המשפטית לתת את היכולת הזו לכל גוף במדינה, ולא רק למדינה. צריך לעשות דיון מעמיק בשאלה איזה מנגנון זהות דיגיטלי המדינה מעניקה לאזרחים שלה, לא רק באינטראקציה מול הממשלה, אלא גם באינטראקציה בינם לבין עצמם.

ברור.

- - - גם לעולם העסקי.

אני מסכימה איתך לגמרי שזה צריך לקרות גם בגופים הפרטיים ועל זה, אגב, עיקר המוקד של הדיון לטעמי היום. רק שמרגע שעלה העניין שבממשלה עצמה זה קורה – אז מה יגידו, אתה יודע.

נכון.

לכן מר קונפינו אני מודה לך שהצטרפת אלינו והצגת את הדברים. כוועדה אנחנו מבקשים שתבחנו בשנית את הנושא שציינת שעדיין מתקיים. אנחנו כוועדה מתנגדים לו, אני מתנגדת לו, אני חושבת שאם אנחנו שומעים דעה מקצועית מאוד ברורה שאומרת ששימוש בתאריך הנפקת תעודת זהות זה לא הדרך הנכונה והמתאימה כדי להגן על פרטיותם של האזרחים, צריך לאמץ את זה, להטמיע את זה, ובראש ובראשונה ממשלת ישראל. בוודאי שמערך הסייבר תומך בזה , אין שום סיבה שלא בהר הכסף והר הביטוח שאתה אומר שאתם פועלים לזה ואני מברכת את זה וכאמור אני מבקשת עדכון שבעוד מספר ימים זה באמת הפסיק. אבל גם לגבי יחידות אחרות או משרדים אחרים או שירותים אחרים ממשלתיים שמשתמשים בזה שלא ישתמשו בזה עוד וזה יתחיל קודם כל מהממשלה. כמובן שזה צריך להיות גם בגופים הפרטיים, אבל שזה יתחיל קודם כל בממשלה.

אני מבין ומקבל. אני רק רוצה לחדד: אנחנו לא מאפשרים הזדהות, בתהליך ההרשמה אנחנו מבקשים שני פרטים מוכמנים של האזרח כאשר עד מקרה שירביט שקרה בימים האחרונים היה מוסכם שאחד מהפרטים המוכמנים יכול להיות בנוסף לכרטיס אשראי או דרכון, גם תעודת זהות. אני מניח שנושא תעודת הזהות יכול להיפתר בכמה דרכים: איסור צילום של תעודת הזהות, העברת תאריך ההנפקה לגב התעודה כמו שבכרטיס האשראי ה-CVV נמצא שם. יש כמה דרכים שהמדינה צריכה לראות איך נכון לטפל בזה. בסופו של דבר, אנחנו צריכים לזכור שאנחנו רוצים לאפשר לאזרחים להירשם לשירותים דיגיטליים ולקבל את השירות הממשלתי ובנוסף לקבל את השירות בצורה מאובטחת.

זה לא אומר שזו הדרך היחידה מר קונפינו, אני לא כל כך מבינה את החידוד הזה מכיוון שלא זו הדרך היחידה לייצר הזדהות בטוחה. אמרו זאת גם המומחים. אגיד לך בתור אזרחית שבפעם הראשונה שביקשו ממני את תאריך הנפקת תעודת הזהות גם לא ידעתי אותו בעל פה והייתי צריכה ללכת לבדוק את זה. זה גם לא הכי נוח, אבל עזוב רגע את הנוחות, אנחנו מחפשים את הגנת הפרטיות של האזרחים. וגם זה נראה שפרוץ ברגע שאתם ממשיכים לעשות שימוש בפרט זה ומשום מה מתעקשים על זה. אני שוב חוזרת על הדברים שאמרתי קודם ואם בחידוד של הדברים ניסית ככה להיאחז בזה – לא אתה כאתה, מר קונפינו, זה חלילה לא אישית אליך אלא המשרד שאתה מייצג אותו והגופים המקצועיים שפועלים בו צריכים לקבל את הדברים ולדעתי להטמיע אותם מהר ככל הניתן ולא לנסות להיאחז ב-אולי מקרה חריג שכן נשתמש בזה. צריך להיות חד וחלק.

אני מסכים וחשוב מאוד שגופים ממשלתיים שונים יהיו מסונכרנים. אנחנו עובדים לפי תקני ISO בינלאומיים שהם גם תקנים ישראליים בנושא הזדהות. וברור כמו שאמרתי, גם למשרד הדיגיטל ורשות התקשוב הממשלתי שבמשרד ולי אישית שההרשמה צריכה להיעשות בהתאם לתקני ה-ISO וההרשמה למערכת ברמת אימות 3 – מה שאנחנו דורשים להזדהות ממשלתית, צריכה להיעשות על ידי שני פרטים מוכמנים של האזרח ולא על ידי פרטים גלויים. שירביט הביא אותנו ליכולת למצב חדש שבו אנחנו צריכים לשבת עם מערך הסייבר.

הרשה לי לחלוק עליך, אני חושבת שהמצב הזה היה לפני שירביט, לחלוטין היה לפני שירביט. מי שרוצה לסבר את אוזני אחרת פה מן המומחים – מוזמן. אני אומרת לך שלדעתי זה היה לפני שירביט, המידע העודף היה קיים עוד קודם, שירביט לא גילה לנו איזה עולם חדש. היות ואנחנו צריכים לסיים את השיחה הזאת, אז אני כן חוזרת על דברי ומבקשת באופן חד משמעי: תחדלו מלעשות שימוש בתאריך הנפקת תעודת זהות. אני מודה לך מר קונפינו, תודה.

נמשיך לפיקוח על הבנקים. איה גל עד, מנהלת יחידת הסייבר הפיקוחי בפיקוח על הבנקים.

שלום.

שלום ותודה שהצטרפת. מפאת הזמן אז נבקש התייחסות של שתיים-שלוש דקות שבהם תסבירי לנו כמי שאמון גם על הבנקים וגם על חברות כרטיסי אשראי – אם אני מבינה נכון – על הפעילות הממוקדת שלכם בתחום הזה ואיך את יכולה לנסות להרגיע או שלא, את אזרחי מדינת ישראל. אין ספק שאתם הגופים שתחתכם יש המון מידע רגיש על אזרחים. בבקשה.

ראשית אני מצרפת לברכות על קיומו של הדיון הזה, אעשה את זה בקצרה, הבסיס שמכוחו אנחנו פועלים זה פקודת הבנקאות, הבטחת ניהול תקין ושמירה על ענייני לקוחות. סיכון הסייבר כמובן מטריד אותנו, היא בין הסיכונים המטרידים ביותר גם בראייה של הפיקוח על הבנקים, וגם בראיית הגופים שאנחנו מפקחים עליהם. אנחנו פועלים מתוך שתי הנחות יסוד: א' – שהמערכת הבנקאית היא יעד אסטרטגי לתקיפות סייבר, מערכות בנקאיות הם יעד אסטרטגי, אבל אדרבא המערכת הישראלית. ב' – מניעה מוחלטת אינה אפשרית, ואת זה אנחנו אומרים כשאנחנו מסתכלים על האירועים שקורים בעולם ומבינים מי הם המגורמים שאנחנו פועלים מולם, ומי הם התוקפים שיכול להיות להם אינטרס לתקוף.

לפיכך אנחנו מנחים את הבנקים מצד אחד להמשיך ולהשקיע במניעה ככל הניתן, אבל יחד עם זאת להשקיע גם במאמצים לפתח יכולות לזיהוי מהיר של אירוע שמתרחש אצלם. ויכולות התמודדות ותגובה מהירות, כי זאת ההנחה שלנו שזה הדבר שיאפשר את הבלימה ולצמצם את הנזק.

בנוסף אנחנו מנחים אותם לפתח יכולות של עמידות במובן שגם כשגוף חווה אירוע סייבר, גם אם זה אירוע סייבר מהותי, הוא יכול להמשיך לתת לפחות את השירותים המהותיים ללקוחות. גם כשהוא מתמודד עם אותו אירוע. מבחינת הפעולות שאנחנו נוקטים מול הגופים המפוקחים על ידנו, אפשר להסתכל על זה בשתי זוויות: מצד אחד אנחנו פועלים בשלושה מעגלים של פעילות מול כל תאגיד בנקים וחברת כרטיסי אשראי באופן פרטני, ברמה של כלל המערכת וגם ברמה הלאומית. דרך נוספת להסתכל על הפעילות שלנו היא דרך הכלים הפיקוחיים שאנחנו מפעילים, אנחנו מפעילים את כל הכלים הפיקוחיים שיש בידי הפיקוח על הבנקים גם אל מול סיכוני סייבר. ופה אני מתכוונת גם להסדרה שפרסמנו בנושא של הגנת הסייבר. יש מספר הוראות וסעיפים בנושא.

אנחנו פועלים בתחום ההערכה השוטפת וזה כדי להיות מסוגלים לגבש תמונת מצב מערכתית ולזהות את מוקדי הסיכון במערכת הבנקאית. אנחנו מבצעים ביקורות בנושא סייבר ובנוסף אנחנו גם משקיעים באלמנטים של שיתוף מידע וידע בתוך המערכת וחיזוק עמידות למערכת הבנקאית.

כשאנחנו מסתכלים על הנושא הזה אז אנחנו מזהים בעצם כמה אלמנטים שהם מרכיבי מפתח להתמודדות שיאפשרו לגוף שעובר אירוע סייבר להתמודד. - - - מעורבות הנהלה בכירה ודירקטוריון באופן שוטף וניהול סיכוני סייבר; שיתוף מידע וידע; אנחנו מניחים שככול שאתה מכיר מה קורה ויודע להיערך אל הדברים מבעוד מועד כך תוכל למנוע אירוע גדל.

יש לכם נוהל מחייב לגבי איך לנהל אירוע אם חלילה קורה? אירוע של פריצה, דליפה.

במסגרת ההוראות שלנו אנחנו דורשים מוכנות של התאגידים הבנקאיים לאירועי סייבר, לרבות ארגונים, ארגונים בכל מיני רמות. אנחנו בעצמנו מבצעים בין תרגול אחד עד שניים בשנה של כל המערכת הבנקאית, תרגולי שולחן עגול. בנוסף בשנת 2019 ובשנת 2020, קיימנו מבחן קיצון בתרחיש של סייבר מול גופי המערכת הבנקאית. כל זה מתוך המקום של דאגה שהתאגידים הבנקאיים וחברות כרטיסי האשראי יהיו מוכנים להתמודדות עם אירוע סייבר.

אוקיי, תודה לך איה.

רק שאלה: אתם מזהים מהחולשה למשל במיון עובדים, בכל מה שקשור לבנקים? מיקור חוץ, מיון עובדים יש עוד משהו שאתם שמתם עליו את הדגש? מיון עובדים זו חוליה חלושה אם אני מבינה נכון. אתה יכול לעשות יופי של מערכות, אבל אם אתה לא ממיין את העובדים מבחינת אמינות, זה יכול להגיע מבפנים.

כשאנחנו מתייחסים לאירוע יש הרבה חוליות חלשות ובאמת צריך לזהות אותם ולנהל אותם, בין אם זה היבטים של כוח אדם, בין אם זה היבטים של שרשרת האספקה. היבטים של כוח אדם זה בהחלט מקום שצריך לשים אליו את הדגש מתוך אותה אמירה שלנו שהטיפול בנושא הסייבר דורש ראייה מתכללת רחבה וחוצת ארגון. זה אומר שאתה לא יכול להסתפק רק לשים מערכות טכנולוגיות שאמורות למנוע אירועים, אלא גם צריך להסתכל על אלמנטים ברמת כלל הארגון. כמו למשל הנושא של מיון עובדים, של אמינות עובדים, מה אתה עושה כשעובד עוזב ואיך אתה מתנהל עם דברים כאלה. וההוראות שלנו נותנות לזה ביטוי.

תודה רבה. רציתי לשאול אם אפשר את עורך הדין קלדרון, בנוגע לשאלה ששאלתי את איה, אבל אתם בהיבט הרחב יותר. האם יש לכם מראש נוהל פעולה לגוף כלשהו – גם במגזר הפרטי ובעיקר בגופים שאין להם רגולטור שיכול להכווין אותם ולהכין להם כזה נוהל מפורט וברור למה צריך בקרות אירוע?

התקנות קובעות חובות מסוימות שקשורות לסקר הסיכונים והכנה לאירוע אבטחה חמורים. הם לא כוללות נוהל כיוון שהנוהל הזה הוא באמת מאוד ספציפי לכל ארגון וארגון, אנחנו מפרסמים המלצות ואנחנו בוחנים כשאנחנו בוחנים גופים לגבי הנהלים הספציפיים שלהם, אבל אנחנו לא מוציאים איזה הנחיה כוללת או מחייבת בעניין הזה.

הבנתי. זה משהו שאולי שווה לחשוב עליו כשמבינים שיש כל מיני גופים שמתנהגים בכל מיני התנהגויות שהם לאו דווקא ההתנהגויות הנכונות בקרות אירוע שכזה. דבר שני, בוודאי כשקורה אירוע שכזה שמדווח לכם – שאתם תהיו במעורבות הדוקה מאוד לגבי מה הדרך הנכונה והטובה להתנהל בה. בעיקר לטובת אותם אזרחים שהמידע שלהם חשוף.

בקרות אירוע, הגוף על פי החוק מחויב לדווח לנו באופן מידי. אכן יש לנו נוהל פנימי שמדבר על נוהל תפעול באירוע אבטחה שבו אנחנו מגיעים לגוף ומלווים אותו ומסייעים לו במידת הצורך או לפחות מוודאים שהוא עובד לפי נהלים מסודרים ובצורה נכונה מבחינתנו. במקרים כאלה, כשאנחנו רואים שזה לא המצב, אנחנו גם מנחים אותו או מסייעים לו בתהליך. אבל זה במקרים שבהם אנחנו כבר מדווחים על אירוע כזה.

כן. כאמור לא כל האירועים כנראה מגיעים אליכם. רועי, אתה רוצה לשאול משהו?

אני רוצה לשאול את מערך הסייבר, אבל אולי גם שאלה פתוחה למי שנמצא איתנו בזום.

בבקשה.

נחשפתי בטוויטר אצל אחד מחוקרי האבטחה הישראלים ה"white hats", יש מושג של כובעים לבנים וכובעים שחורים. כלומר, האקרים טובים - - -

אנחנו לא אוהבים את השימוש בצבעים, אנחנו נגיד אלו שמסייעים.

אוקיי. האקרים שמסייעים והאקרים שמחפשים לעשות סיבוב. אחד מהדברים שהחוקר הזה ציין זה שיש מודל כזה שקיים בחו"ל של תוכניות Bug bounty שמתגמלים מי שמזהה באגים במערכת ומדווח עליהם. השאלה אם למערך יש כוונה או דרך לתמרץ דבר כזה או האם כפרקטיקה, להשריש פרקטיקה כזאת בחברות שלא תייתר, אבל תצמצם את החשיפה של ארגונים ותגדיל את התמריצים לפתור חורים?

והיא גם באמת תחשוף פרצות ותייעל. השאלה היא לא רק למערך הסייבר אלא לכל מי שמחזיק ארגון. קראת את מחשבותיי. תודה על השאלה.

אנחנו עוקבים אחרי הנושא הזה זה זמן, ויש לנו בפירוש כוונה כזו. מי שמכיר את הנחית פרקליט המדינה על עבירת חדירה לחומר מחשב, רואה את תחילת העבודה שעשינו כבר עם פרקליטות המדינה בנושא הזה. יש שם אינדיקציות לפעולות שלמרות שעבירת החדירה היא עבירה פלילית, יהיו שיקולים של הפרקליטות לא להעמיד לדין. ובין היתר בעבודת המטה הבאנו את השיקולים של קידום הגנת הסייבר; מניעת נזק של ממש; אי הסתכלות על מידע אישי, ועוד תבחינים. תבחינים שבעצם עוזרים לנו להבחין בין אותו אחד שעשה את אותה פעולה, אבל הוא טוען שהוא white hat ועכשיו הוא אומר: צריך לתת לי פרס והוקרה, לבין אחד שעושה את זה והוא בעצם מתכונן לגנוב את המידע או לסחור.

אני מבינה שיש רק חברה ישראלית אחת – כך אמרו וכך קראתי – שעושה שימוש ב- Bug bounty.

אם אני לא טועה, אם גדעון קונפינו עדיין על הקו, אני חושב שממשל זמין עצמו פרסם תוכנית כזו, והוא אפילו מודל לארגונים. מה שאנחנו נעשה בתוך התפקיד שלנו – נציע המלצות לקווים מנחים לתוכנית כזאת, כשבהצעה שאנחנו נקדם, נהיה סוג של מוקד הדיווח. הסיבה היא כיוון שלפעמים אותם פצחנים לא מעוניינים שהארגון יקבל את הדיווח בצורה ישירה כי הם חשופים לכל מיני טענות על דברים. לכן אנחנו נייצר מצב שבו אנחנו יכולים להיות אזור מבטחים, בתנאי שכל מיני תנאים מתקיימים והעברת הדיווח. כמובן מבלי להיכנס חלילה למה שבאחריות התביעה הכללית והמשטרה, שזה תמיד היכולת שלהם להעמיד לדין. אבל אנחנו נייצר קווים מנחים לפעולה עתידית.

ברור. כאן אנחנו מדברים על מצב שאותם אנשים גם מקבלים תגמול על החשיפות שלהם.

הוקרה. אנחנו מדברים על הוקרה, ארגון יכול להחליט שהוא גם נותן תגמול.

מה זאת אומרת? למה לא ניתן לתגמל?

לא, בוודאי שניתן.

אין לך כבר ערוץ של דיווח וולנטרי אמין?

יש לנו ערוץ, אבל באזורים שהם יותר טריקיים, לא תמיד הדיווח הזה עובד בצורה מלאה. ובמענה לשאלה של רועי, אנחנו רוצים לייצר יותר וודאות משפטית לגבי המותר והאסור.

מר קונפינו, חזרת אלינו, רק בשביל משפט אחד: אתם משתמשים ב-Bug bounty?

באתר הממשלתי GOV.IL ישנו מקום לדווח על הימצאות של פרצות ואנחנו מטפלים בכל מי שפונה אלינו ומתייחסים. הדבר הזה פתוח לציבור, כל אחד יכול להעיר על פרצות אם קיימות אצלנו ברשות התקשוב, באתרים הממשלתיים שנמצאים אצלנו ב-GOV.IL. הדף הזה הוא דף פתוח. כל אזרח יכול להעיר לנו במקרה והוא רואה פרצה או אירוע ואנחנו מטפלים במזה במידי.

תודה רבה, נעבור לעורך דין גיל סלומון, סמנכ"ל רגולציה באיגוד חברות הביטוח. אגב, רק אגיד שלא מדובר רק בחברות ביטוח, יש המון מידע בהמון גופים. ברור שהמנעד שלנו היום קצת אולי מתחדד יותר על חברות ביטוח, בנקים וכרטיסי אשראי כי אי אפשר להתפרס על הכול. החשיבות הוא גם בדיון הכללי וההטמעה של הדברים שצריכים להיות גם בתוך הגופים האחרים ולא רק בחברות ביטוח וכיוצא בזה.

בבקשה, עורך הדין סלומון, שתיים-שלוש דקות לרשותך.

שלום לכולם, גברתי היושב-ראש זה באמת דיון חשוב, ורוב הדברים שנוגעים לחברות הביטוח נאמרו לפני כמה דקות על ידי הממונה על הפיקוח, הגוף שמפקח על חברות הביטוח. בכמה מילים אגיד שזה ברור שכל עניין הסייבר וניהול האבטחה הפך להיות פה תופעה עולמית שחברות הביטוח – לא רק – אבל חברות הביטוח מתעסקות בזה באופן יום-יומי ועושות מעל ומעבר. ובהנחיה של המפקח ושל הרגולטורים השונים, וגם שמענו אותם בדיון פה, הם מנחים אותנו כיצד לעבוד.

חברות הביטוח משקיעות משאבים עצומים במערך הסייבר שלהם כדי לשמור על הפרטיות של המבוטחים. לא חוסכים בכלום, כל דבר עושות, לא חוסכות – לא בכסף, לא במשאבים, לא בגיוס מוחות ולא בשום דבר אחר כדי להתמודד עם הדבר הזה. יש בקרות, יש פיקוח, אנחנו בקשר עם מערך הסייבר ועושים כל מה שניתן כדי למנוע אירועים מהסוג הזה.

אני כמובן לא יכול להתייחס לאירוע שקרה בחברת שירביט. אגב, זוהי אחת החברות הבודדות שהיא לא חלק מאיגוד חברות הביטוח. אני מקווה מאוד שהאירוע הזה ייפתר במהרה. אנחנו נעשה כל מה שאנחנו צריכים לעשות, לפי ההנחיות, וכמו שאמרתי – אנחנו לא חוסכים משאבים.

תודה, עורך הדין סלומון. נעבור לעורך דין יהונתן קלינגר, מהתנועה לזכויות דיגיטליות. אני מניחה שיש לו דברים חשובים להגיד בנושא שאנחנו דנים בו. בבקשה.

תודה רבה, אני מודה לכם. לא אחזור על מה שאמרו חבריי יורם הכהן ונעמה מטרסו, בנוגע למזעור מידע. אני רק רוצה להצביע על כמה חסרים שיש שהוועדה פה יכולה לתת יחסית בקלות ובמהירות ואגב בזול אם אנחנו מסתכלים על המשאב החקיקתי, כדי לתת לנו יותר כוח. לנו הכוונה לאזרחים.

הדבר הראשון זה להוסיף את זכות המחיקה של מידע. בחוק הישראלי אין לך זכות לפנות לגוף ששומר עליך מידע ולהגיד לו: גוף נכבד, המידע הזה לא דרוש יותר אצלך, אנחנו מבקשים שתמחוק אותו. סביר להניח שאם חברות ביטוח היו מוחקות מידע על אנשים שכבר לא מבוטחים אצלם מעבר לתקופת ההתיישנות אז עותק המידע שדלף היה נמוך יותר.

רק כדי להבין: אתה מדבר על מצבים שכבר מבוטח או משתמש או תושב כבר לא לקוח.

את לא לקוחה של שירביט. עברה תקופת ההתיישנות, לא יכולים לתבוע אותם יותר – שימחקו אוטומטית את המידע או שיאפשרו לך לפנות ולמחוק.

לא לתקופה שכן יש קשר אלא לתקופה שאין קשר.

בדיוק. הסתיימה התקופה. הבעיה שלנו היא שחברות כאלה מחזיקות מידע גם בשביל חיתום, גם בשביל עניינים שלהם עצמם, סיכונים וכדומה וגם בגלל הוראות של הרגולטור – הרבה פעמים יותר מדי זמן.

דבר שני זאת תקנה 20 לתקנות אבטחת מידע שבעצם הוציאה מהרשות להגנת הפרטיות את הסמכויות בנוגע לגופים שמפוקחים אחרת. בתקנה 20 לתקנות כתוב שאם יש גוף אחר שמאסדר אחרי אותם גופים כמו בנקים, חברות ביטוח וכדומה, אז הנחיות אבטחת המידע של אותם גופים, הרגולטור או הרשות להגנת הפרטיות יכולה להגיד: שהם מחליפות את תקנות אבטחת מידע.

רגע יהונתן.

זאת תקנה 25?

זו תקנה 20 אם אני לא טועה.

תכף נבדוק, אבל לגבי המהות: תחדד שוב פעם.

בעצם הרשות להגנת הפרטיות יכולה להגיד: הוראות אבטחת המידע של רשות שוק ההון הן מספקות. וחברת ביטוח שעומדת בהוראות האבטחה של רשות שוק ההון לא חייבת לעמוד בהוראות תקנות הגנת הפרטיות, כי ההנחיות של רשות שוק הן מספקות.

הבנתי. מייצרים פה מנגנון חלופי ותכף נשאל את עורך הדין קלדרון אם אתם עושים בזה שימוש.

לי ברור שהרשות להגנת הפרטיות צריכה עוד כוח. הדבר הנוסף זה כמובן הקנסות המגוחכים שהופכים את ההפרה להפרה מאוד יעילה. אם אני יודע שהקנס הוא מזערי – 25,000 שקלים בהליך של הרשות. בנוסף לכל זה, זה הערבוב של אבטחת מידע והגנת הפרטיות. אנחנו במדינה שבה מערבבים את שני הדברים, כי על אבטחת מידע קל לשפוך כסף. אפשר לקנות עוד firewall, להוציא עוד ציוד, להביא עוד כוח אדם, אבל כשמתכננים את המערכות לא יושב איש פרטיות ואומר: חברים, בואו לא נשמור את פרט המידע הזה. ויכול להיות שגופים – בגלל האירוע שקרה לנו היום – צריכים לשבת ולעשות חשיבה מחדש על כל מה שיש במאגרי המידע שלהם. האם הם באמת צריכים לשמור הקלטות של כל השיחות? דברים שראינו בדליפות של שירביט. האם חייבים לשמור את צילום תעודת הזהות או שאפשר להסתפק רק באימות של הזהות ואחר כך למחוק את המידע. האם באמת צריך להשתמש במספר הזהות כאמצעי הזדהות, לא רק בשמירה על צילום של עותק. והחשיבה הזאת, התהליך הזה צריך לבוא מהקדקוד, מכאן מהוועדה. השוק הפרטי לא מכוון את עצמו מספיק לשם, יש מעט גופים שמתחילים עם התהליכים האלה, ואצל שאר הגופים הרגולטורים מבקשים שישמרו יותר ויותר מידע, כי חלק מהעבודה שלהם זה לשמור על היציבות. שמענו פה גם את הפיקוח על הבנקים, גם את רשות שוק ההון, ושומעים, המשמעות שלהם זה יציבות. גם כשהיינו בדיונים על תקנות אבטחת מידע ונאבקתי ואמרתי: אני רוצה שכשיש אירוע אבטחת מידע יהיה דיווח לאזרחים – עמדו על הרגליים האחוריות כמה גופים ואמרו: לא. דיווח כזה יכול לפגוע ביציבות של המערכת הבנקאית, ולכן אנחנו נקפיא את זה והדיווח יהיה רק לרגולטור.

העובדה שהיום אין חובת דיווח לאזרחים, והאזרחים שמעו על הדליפה משירביט רק מהתקשורת ולא משירביט בזמן אמת ולא דרך הרגולטורים האלה ככל האפשר – היא בעיה. במיוחד שיכול להיות – ואני לא יודע אם זה המצב – שקורים אירועים, הם מדווחים לרגולטור, והם לא מגיעים לאזרחים, כי הם לא משמעותיים מספיק. יתכן גם שהם אפילו לא מדווחים וראינו מקרים כאלה גם כן, שאירועים היו ולא דווחו, עד שהתקשורת שמעה על זה ורק אז התחיל הדיווח. רק לא מזמן נסגרה תביעה ייצוגית באיזושהי הסתלקות מתוגמלת נגד אחד הגופים ואולי עלי קלדרון מהרשות להגנת הפרטיות ירחיב על זה אם הוא ירצה לתת את הפידבק שלו. בגדול אלה הנקודות שיש לנו להגיד, אשמח כמובן לעזור איך שצריך מבחינת ניסוח של הרגולציה. תודה.

תודה לך, עורך הדין קלינגר, גם בעקבות דברים שאמרת באחת הוועדות המאוד ראשונות התפתח הנושא של הצעת החוק שהזכרתי בתחילת הדברים. זה צעד אחד, נדרשים עוד לא מעט צעדים, זה צעד חשוב אבל צעד אחד, ואני גם מודעת לזה ואני מקווה שהדברים האלה יתקדמו בקצב מהיר. א' – יתקדמו וב' – בקצב מהיר. תודה לך, ואני רוצה לקבל את התייחסות עורך הדין קלדרון לדברים.

תקנה 20 לתקנות הגנת הפרטיות (אבטחת מידע) מאפשרת לרשם אם הוא בוחר בכך ואחרי שהוא ניהל בחינה משמעותית מאוד, לתת פטור מהחובות או מחלק מהחובות שכלולות בחוק ביחס למסמך מנחה שקשור בנושא אבטחת המידע, ואכן הרשות את זה ביחס לכמה וכמה מסמכים. לדוגמה לגבי תקן ISO 27001 שהוא תקן ISO בנושא אבטחת מידע, ואכן עשה את זה גם עם רגולטורים אחרים כמו שוק ההון, הבורסה.

לא הבנתי, אז כל מי שתחת שוק ההון - - -

לא בדיוק. אותו מסמך שמפורסם באתר הרשות, מקנה לגופים שתחת אותה רגולציה הנחה מסוימת ואנחנו מפרטים איזה סעיפים, איזה תקנות עליהם הן חלות.

אבל למה? למה שלא יהיה גם וגם? זה לא שאנחנו במרגישים "סופר" מוגנים מבחינת הפרטיות שלנו.

נכון. הדרך שבה אנחנו נותנים את אותו אישור הוא רק אחרי שאנחנו מוודאים שאותו גוף נותן הגנה מספקת – אם לגוף מסוים יש כבר הנחיה שהיא מפורטת מספיק, והיא כוללת הנחיה שהיא מבחינתנו טובה.

הרי אם היא חופפת אז ממילא עומד בשתי ההוראות המחייבות. אז מה העניין לפטור?

מתוך רצון לחסוך בעודף רגולציה. גופים שבכל זאת נדרשים לעשות.

יש כל כך הרבה מקומות אחרים לחסוך בהם.

השיקול הוא בהחלט שיקול של עודף רגולציה, ומבחינת אבטחת המידע אנחנו בשום מקום לא נאשר מצב שבו החפיפה הזאת תגרום לכך שיהיה חסר באבטחת המידע. אנחנו מוודאים שאותו גוף שתחת אותה רגולציה יהיה מוגן מבחינתנו, מבחינת ההנחיות של התקנות וההנחיות של אותו רגולטור ספציפי.

אם אנחנו מרגישים שלא, שיש מקומות שלא – אנחנו מציינים שתקנות כאלה וכאלה או שאנחנו לא מאשרים. וגופים רבים באו אלינו ורצו לקבל את אותה הנחיה או פטור ולא קיבלו בגלל שהנחיות שלהם לא היו ספציפיות מספיק. אבל גם כשאנחנו נותנים אותו, אנחנו מגדירים לגבי איזה תקנות היא יכולה להתאים. יכול להיות מצב שבו אם גוף מדווח לרגולטור בצורה מספקת מבחינתנו, שדורש ממנה לדוגמה לבנות תוכנית עבודה מסוימת, בצורה שיכול להיות שהיא שונה מהמתואר בתקנות, אבל היא עדיין מספקת – אז מבחינתנו זה יכול להיות מספיק.

אגיד כמי שחושבת שאתם כרשות להגנת הפרטיות צריכים לקבל הרבה יותר כוח, הרבה יותר יכולת להטיל סנקציות, והרבה יותר יכולת אכיפתית. אולי שווה שתמתינו עם האפשרות הזאת של מתן פטורים לשלב שבו תהיו מספיק חזקים, עם מספיק סמכויות אכיפה ומספיק סנקציות כדי שגם אנחנו נרגיש מספיק בטוחים לאקטים האלה – לא שאני חלילה מערערת על המקצועיות שבה אתם בוחנים את הדברים, אבל עדיין יש משמעות גם למה עושים באיזה שלב.

הם נעשים מאוד במשורה ואחרי בחינה מעמיקה מאוד ומקצועית של אנשים טכנולוגיים.

לא חשבתי שלא. אבל עדיין, קחו את הדברים לתשומת לב.

לא אכנס למקום של הגנת הפרטיות, אבל התפיסה שעומדת מאחורי הדבר הזה, כמובן שהדבר נעשה במשורה וכמובן ביחס לשוק ההון. והרעיון הוא להוריד בסך הכול מגבלות טכניות של תדיריות של בדיקות. אלה הכפילויות המרכזיות. כמו שאנחנו יכולים במבחן התוצאה, זה לא פוטר אף גוף, כולל האירוע שאנחנו בו מעמידה גם בתקנות האלה וגם בהוראות שלנו. ולכן אפשר לראות שגם במקרה הספציפי יש מעורבות של שני הרגולטורים בהיבטי הבירור.

בעניין הזה ברור לי שהגוף שאתה מייצג בעל אינטרס שכן יהיו פטורים.

זה נכון. אבל גם בדבר הזה צריך לזכור שגם משאבי הגנת סייבר הם משאבים יקרים מאוד, ואנחנו מעדיפים כתמונה כוללת, שיקצו אותם לא לכפילויות, אלא לתוספת. כך שנהיה במצב שבכל הנחיה נהיה במקסימום מבניהם ולא כפילויות.

הבנתי מה שאתה אומר, אני עדיין חושבת שדברים שאמרתי לעורך הדין קלדרון - - -

אפשר הערה אחרונה לגבי הנושא של חובת הדיווח?

משפט אחד. רק אגיד לאנשים בזום, אנחנו נעבור אחר כך לצחי שלום ממרכז השלטון המקומי, ונשמע גם חברה אחת מתחום הגנת הסייבר, את סייבר זון.

הרגולטורים פה התייחסו לנושא של דיווח לנושא המידע, אם רגולטורים באים ונכנסים לתוך אירוע ועוזרים לארגון להגיב, מן הראוי שכשמדווחים לנושא המידע על כך שהמידע שלהם דלף או נגנב, שיתנו גם כלים מה לעשות עם זה. הזכרת את זה בתחילת הוועדה, אני חושבת שזה מאוד חשוב, שהאזרחים היום מבולבלים ולא יודעים מה אפשר לעשות עם המידע הזה. הם לא יודעים על הר הכסף או הר הביטוח באופן ספציפי שתאריך ההנפקה שלהם יכול לסכן אותם. וחשוב לתת להם כלים – אם הם רוצים שיבחרו לנקוט באותם כלים כדי להגן על המידע שלהם.

אוקיי. עורך הדין קלדרון, זה מאוד חשוב, אתה רוצה להגיד על זה מילה?

כן. במקרה הנדון חברת שירביט הוציאה הודעה לנושאי המידע בדבר קרות האירוע. הרשות להגנת הפרטיות חשבה שהדיווח הזה היה לא מספק, ולכן היא הוציאה לה הנחיה שבמסגרתו היא נדרשה לפרט ללקוחות שהמידע שלהם דלף ולעדכן את הלקוחות, ואכן לפרט בפניהם איזה אמצעים יש בפניהם כדי לצמצם את הנזק. החברה עשתה זאת. אני לא יכול לפרט יותר מדי, אבל ההנחיה בוצעה על ידי החברה. במקביל אגיד שאנחנו מנהלים כרגע תהליכים גם כדי לעשות מה שנקרא בקרות מפצות בכל מיני מנגנונים שיש לנו יכולת או שליטה עליהם. לגבי המידע שכבר דלף – לייצר מנגנונים מפצים כדי שבכל זאת אותם אזרחים, בלי קשר לעובדה שהם מודעים לכך או לא, יהיו מוגנים יותר.

וגם במקרים אחרים ובאופן כללי אתם דואגים להביא מידע או שיובא מידע לידי האזרחים? בסוף, אנחנו מדברים פה על הציבור ועל הצורך להגן עליו.

ככל שמתקיים הליך אכיפה אנחנו כמובן מנועים מלפרט לגביו כי הוא מתקיים ואנחנו לא יכולים לדווח עליו.

לא, אני לא מדברת דווקא על מקרה הספציפי.

אני גם לא מדבר על המקרה הספציפי. אני אומר שבמהלך חייו של תיק אכיפה, אנחנו לא יכולים לדווח עליו לתקשורת, או לפרט פעולות כאלה ואחרות. במסגרת הסמכות שלנו – כמו שהשתמשנו פה בשירביט – אנחנו בהחלט מודיעים או מיידעים או מורים לחברה ליידע את נושאי המידע במקרה שבו יש משמעות לכזה מידע.

עד כמה הנושא של הבאת מידע לידי הציבור, לכל הפחות לציבור הנפגע או שיש חשש שנפגע, עומדת לכם ב - - -

זו בעצם מדיניות יחסית חדשה שהרשות הכניסה שדורשת היוועצות עם מערך הסייבר לפני פנייה ומתן הנחיה כזאת לגוף, שהרי יש לזה הרבה משמעויות, לא רק המשמעות של הגנת הפרטיות, אלא גם היציבות, ולא תמיד יודעים על האירוע ולפעמים רוצים לתכלל את האירוע כמה שיותר לפני שהם מוציאים אותו החוצה. ברור לכולנו שברגע שמודיעים לנושאי המידע, המידע כבר יצא. יש פה הרבה מאוד שיקולים, כן אגיד שזו מדיניות חדשה שאנחנו אכן מנסים לדחוף אותה קדימה כמה שיותר, כדי שבסופו של דבר, לאפשר לאנשים שנפגעו מדלף לדעת על כך ולפעול בהתאם. בנוסף, כמובן יש הנחיות שאנחנו נותנים לגוף כדי שיגן על הפרטיות ויצמצם את הנזקים של אותם נושאי מידע שנפגעו. ובסופו של דבר אנחנו מפרסמים במסגרת של טבלאות האכיפה אצלנו, כל מקרה בו אנחנו מוצאים גוף כמפר, אנחנו מפרסמים את העובדה הזאת. דבר שמאפשר ללקוחות של אותה חברה לדעת על כך. דבר שמקדם תביעות ייצוגיות ותביעות אישיות של אנשים שנפגעו.

תמיד כדאי לציין שאפשר להגיש תביעות כאלה.

דובר על כך שיש בעיתיות מסוימת.

אני שמעתי אחרת מנעמה.

אפשר דרך חוק הגנת הצרכן. זה לא - - -

לא דרך הגנת הפרטיות.

לא. וגם מה שראינו, עורך הדין יהונתן קלינגר ציין, שהתובענה האחרונה שהוגשה, לא בעניין שירביט, בעניין קודם הייתה הסתלקות מתוגמלת של התובע ואני לא יודעת אם - - -

זה מידע חשוף, לא?

את זה גיליתי ממקורות גלויים.

אני מנסה להבין על איזה תביעה מדובר?

תביעה ייצוגית במקרה של איתוראן, שהיה שם פיקוח של הרשות.

אבהיר מצדנו כיוון שהדבר עלה: אני חושב שהדבר ברור והבהרנו את זה בהתחלה, אבל נושא היציבות הוא לא הנושא הבלעדי שאנחנו נדרשים אליו. בטח גם נושא של זכויות המבוטחים. והנושא של הגילוי אל מול המבוטחים הוא גם דבר שאנחנו נותנים עליו את הדעת באופן כללי וגם במקרה הספציפי הזה.

אוקיי. מתי אתם חושבים שאפשר יהיה לקבל יותר מידע על האירוע הספציפי? אני מבינה שעכשיו אתם לא מוסרים אותו.

קשה להעריך. כשיתבררו הדברים.

יש חשיבות ציבורית לתשומה. להצפת המידע בצורה פתוחה וגלויה וכל המסתוריות הזו – זה משפט שחוק, אבל זכות הציבור לדעת. גם משפטים שחוקים הם לפעמים נכונים.

אנחנו מודעים לזה.

אנא תשומת לבכם לדבר הזה, לא נכנסנו לקרביים של האירוע, אבל חשוב שברגע שניתן יהיה, שזה יצוף בצורה פתוחה וגלויה. וגם אתם כרגולטורים תעשו את האקט הזה – לא צריך להכריח אתכם, פשוט תבואו ותצעדו צעד קדימה אל הציבור ותאמרו את הדברים בצורה ברורה.

ניתן את זכות הדיבור לצחי שלום, ממרכז השלטון המקומי. לא נשאר לנו הרבה זמן, צחי, אני מתנצלת מראש.

צוהריים טובים, אנסה לעשות את זה בקצרה, אני שומע את הדיון, הדיון מעלה המון סוגיות רלוונטיות גם לרשויות. הרשויות משתדלות לעשות כל מה שהן יכולות במסגרת הגבולות והכלים שמצויים בידיהן. הרשויות מתקשות מאוד לגייס כוח אדם לטובת העניין, דובר המון פה על הרגולציה – הרגולציה מדברת על הרבה דברים, אבל רגולציה ללא תקצוב ממשלתי – מקשה מאוד מאוד על הרשויות לקיים את הדברים בצורה מלאה. וכל אחת מצליחה לעשות בגבולות היכולת שלה.

מרכז השלטון המקומי הרים את הסוגיה הזאת לפני כחצי שנה.

צחי, אני רק אגיד משהו: ברור שתקצוב זה חשוב, אבל אם אין לרשויות יכולות להגן על המידע של תושביה, שלא תיקח את המידע. בסדר? אי אפשר להשתמש בו.

יש שני כובעים לסיפור הזה. פעם אחת אנחנו מקבלים מידע מטעם החוק, פעם שניה אנחנו ככול יכולתנו לתת את השירות המיטבי לתושבים. לדוגמה, ברור שמי שתפקד בתקופת הקורונה הוא השלטון המקומי שנתן מענים ויצא מגדרו, ואנשי הטכנולוגיה התפרעו בטירוף ופתחו מערכות והגנו על השירותים מבחוץ ונתנו כניסה רק כדי להמשיך ולתת שירותים לתושבים.

אנחנו עושים את כל מה שאנחנו יכולים במסגרת הגבולות שאנחנו יכולים לעשות והכלים שיש לנו. מצד שני, מרכז השלטון המקומי יצא ב-RFI לפני מספר חודשים להקים כיפת הגנת סייבר עבור כל הרשויות. אני מניח ומקווה שבחודש הקרוב אנחנו נפרסם את המכרז, ובעצם נתחיל להגן על הרשויות מקצה לקצה ונאפשר ניהול מרכזי, לבצע SIEM ו-SOC עבור הרשויות ובעצם לעשות ניתוחים וביצוע הגנה אקטיבית ופאסיבית עבור כל הרשויות במקביל.

צחי, אתם בהתייעצות עם מערך הסייבר ועם הרשות להגנת הפרטיות?

אנחנו הזמנו את כל הגופים להשתתף איתנו בתהליך הזה. חלקם נענו, חלקם לא. נשמח לשתף פעולה עם כל מי שמתעניין ומוכן להצטרף אלינו למסע הזה.

אתם יודעים על זה, חברים פה?

אנחנו מכירים ואנחנו מעודדים ונשמח שזה יתקדם בכל דרך שהיא.

בסדר גמור. גם הרשות להגנת הפרטיות בעניין?

אני באופן אישי לא מכיר, אבל אני מניח שכן. אנחנו בקשר טוב עם הרשויות המקומיות.

זה חשוב. זה מסוג הדברים שאתה שואל את עצמך – כי אם קצת הבהלת אותי שסיפרת לי על - - - זה אומר שאין הגנה אולי הכי מיטבית בעירייה.

יש הגנות. אני לא רוצה שזה ישמע כך שאין הגנות.

אני יודעת. אבל תמיד צריך לשפר ואנחנו בעד ואנחנו מברכים על זה. רק חשוב שזה יתבצע כמה שיותר מהר וכמה שיותר טוב.

אני מסכים ואני חושב שזה נכון. נשמח לשיתוף פעולה עם כל משרד ממשלתי או גוף אחר שיצטרף אלינו ויעזור במסע הזה.

תודה רבה לך, תודה שהצטרפת. זה נושא חשוב ואני קוראת לגופים הרגולטורים ללוות ולדאוג שיעשה כמה שיותר טוב וכמה שיותר מהר. נשמע אתcyberizen וביקש לדבר עורך הדין ישי זילברברג מלשכת עורכי הדין, חבר בוועדת הפרטיות.

נעים מאוד, שמי יוסי רחמן, אני מנהל את חטיבת המחקר של חברת cyberizen. משפט על חברת cyberizen – אנחנו חברה פרטית שהוקמה ב-2012, החברה פיתחה פלטפורמה לאיתור ותגובה באירועי אבטחת מידע. גייסנו עד היום 400 מיליון דולר, החברה עצמה מוערכת במעל למיליארד דולר. אני מנהל את חטיבת המחקר של החברה, גם במסגרת cyberizen וגם במסגרת תפקידים קודמים שביצעתי, ניהלתי קרוב ל-400 אירוע אבטחת מידע בכל העולם ובהרבה מאוד תעשיות שונות – ממכרות נחושת במערב אוסטרליה, שדות נפט מול חופי ניגריה ובים הצפוני, תעשיה כבדה בדרום מזרח אסיה וגם חברות ביטוח ובנקים באירופה, ארה"ב וישראל.

יש נקודה ספציפית שאני רוצה להעלות שפחות נגעו בה במהלך הדיון הזה, וזו הבעיה הקשה של ארגונים פרטיים בכל הגדלים – בינוניים, גדולים, קטנים – סביב מחסור בכוח אדם איכותי ומקצועי בתחום אבטחת המידע. המספרים שאני אומר צריכים להיות של סדר גודל של 4 מיליון זוגות ידיים עובדות שחסרים – אל מול מצבה קיימת של 3 מיליון. זאת אומרת יש לנו יותר חוסר עולמי מאשר היצע. וכששוקלים את כל נושא הסנקציות והרגולציה – ואני לא מזלזל לרגע במשקל שלהם – צריך לזכור את האילוץ הזה. בעיקר לכל מה שנוגע למגזר הפרטי. אז יש חברות חזקות מאוד שיכולות להשקיע המון משאבים ולגייס את כוח האדם האיכותי הזה. כוח אדם שיבוא ויתרגם את הרגולציה ואת הנהלים ויתפעל את הטכנולוגיות. רוב הארגונים בכל המגזרים מאוד מתקשים לבוא ולסגור את הפער הזה. זאת לא גזירת גורל, אבל העניין הזה מחמיר עוד יותר את היכולת שלהם להתמודד עם אירועי אבטחת מידע כשהם קורים. וזה רק אם הם מגיעים לנקודה שבה הם בכלל מזהים שקרה אירוע אבטחת מידע. לצערי הרב כמו שהוזכר פה קודם, יש המון ארגונים שלוקח שבועות ארוכים ואפילו חודשים עד שהם עולים על העניין הזה.

יש לך איזשהו רעיון מה הדרך לפתור?

מה שעשו בהרבה מקומות בעולם, התחילו בקמפיינים שבאים לחנך קודם כול עובדים. בהרבה מאוד מקומות, בהרבה מאוד אירועים, החוליה החלשה היא העובד. אגב, גם בארגונים שמשקיעים המון בטכנולוגיה. מדינות יצאו בקמפיינים, בפרסומות, אם אני משווה את זה למדינת ישראל – פרסומות שיכולת לעלות בזמן מהדורת החדשות או בפריים טיים. הפרסומות באות ומחנכות עובדים, לפעול בצורה מאובטחת ברשת.

יש קמפיין מוכר וידוע שנקרא stop, think, connect – שמעודד עובדים לא לפתוח דואר אלקטרוני, לא לפתוח קישורים, לא לפתוח מערכות פרטיות בתוך מחשבים ארגוניים. ועל ידי זה לצמצם הרבה מאוד מהסיכונים שבפניהם הארגונים האלו קיימים. זה מאוד אפקטיבי וזה גם אפקטיבי בארגונים גדולים, בינוניים וקטנים. יש עוד קמפיינים שמעודדים שיתוף ידע בין מנהלי אבטחת מידע, בין הארגונים הגדולים והמתוקצבים לבין ארגונים קטנים יותר. זה מראה שאפשר לעשות פה שימוש גם במגזר הציבורי. פשוט שיתוף גם של טכנולוגיות, גם של פרסומים, גם של התנהגויות בתוך הארגונים ונהלים פנימיים שהותאמו בכל מיני תעשיות שיגרמו לזה שיהיה שיפור ביכולת להתמודד עם אירועי הבטחת מידע.

עוד משהו שעושים בעולם, זה פורומים התנהגותיים של ניהול אירועי אבטחת מידע. לדוגמה: מנהל אבטחת מידע בארגון חזק, שהוא בדרך כלל גם אוהב לשתף בידע, יכול לבוא ולתת טיפים למנהל אבטחת מידע בארגון שנמצא כרגע תחת מתקפה. כל אלו דברים שלא עולים כסף, שאפשר לממש אותם באמצעים טכנולוגיים – אפילו ברמה של וואטסאפ או כל מיני אמצעים טכנולוגים אחרים פשוטים וחינמיים שקיימים אצל רובנו היום בטלפונים שלנו. אלה דברים שבאמת משפיעים ומצליחים לעזור לארגונים האלו.

אני רוצה להדגיש את הנקודה הזאת – יש המון ארגונים שמכירים בחשיבות של אבטחת מידע, אבל פשוט לא מצוידים ולא מתוקצבים מספיק כדי לבוא ולהתמודד עם האיומים האלה. ואפשר לעזור להם.

תודה יוסי רחמן, רק אשאל אותך בתור הנציג היום לפחות – כי לא הספקנו את האחרים. חברות פרטיות שעוסקות בתחום הגנת הסייבר – שאלה גדולה ואני דורשת ממך לענות על זה בקצרה: איך היית מגדיר את רמת אבטחת המידע של הגופים במשק הישראלי? אני יודעת שזו שאלה מאוד כללית, אבל אני מניחה שיש לך משהו חכם להגיד על זה.

זה תלוי. יש את הגופים המפוקחים, גופים שיש להם את הרגולציות, הגופים האלו בחלקם הגדול נהנה גם מתקציבים גדולים ומגישה לכוח אדם איכותי. אני מדבר בעיקר על הגופים המוסדיים – בנקים וחברות ביטוח. אותם ארגונים משקיעים המון בתחום הזה ותמונת המצב שם טובה. יחד עם זאת, רוב הפעילות העסקית מתבצעת בארגונים בינוניים וקטנים, ושם תמונת המצב היא לא טובה לחלוטין. יש פערים מהותיים בין השמירה על המידע, בין אירועים שקורים שבכלל ארגונים לא מודעים אליהם אלא עד שהמידע כבר דולף, וגם אז לא כל הארגונים מודעים לזה. כך שממש בקצרה, יש פערים מהותיים בין ארגונים חזקים לבין שאר הארגונים.

אוקיי. תודה רבה יוסי רחמן שהצטרפת אלינו. אתה משאיר אותנו עם תחושה שיש עוד – טוב, האמת שכבר ידענו את זה מראש, אבל שיש הרבה מה לעשות, זה טוב לשמוע את זה גם מאיש מקצוע כמוך. בתקווה שזאת תהיה קריאת השכמה, שלא נצטרך עוד אחד כזה, של הרשויות במדינה, של הגופים העסקיים השונים. לא רק של המדינה, אבל גם, אני אומרת מדינה כי אנחנו כוועדה יש לנו את היכולת לבקר ולפקח ולקרוא להם בצורה יותר משמעותית, אבל גם לגופים העסקיים והגופים הפרטיים, בוודאי חשוב שיהיו מודעים. הרי אירוע כזה יכול להרוס חברה, אז בשביל מה להגיע לזה? מעבר לזה שצריך לשמור על תושבי מדינת ישראל ועל המידע שלהם, אבל גם אם הם רוצים לחשוב תועלתנית לעצמם, אז כדאי להם שיעשו זאת ויפעלו בעניין.

הדברים שאמר יוסי בתחילת דבריו, על חינוך עובדים, על פורומים התנדבותיים וכל מיני כלים. אתם חושבים על הכיוונים האלה? רק להבין שיש בכלל יש עיסוק בדבר הזה.

יש לנו תוכניות. חד משמעית זאת אחת המשימות שלנו שאנחנו מקדמים. זה נקרא ההון האנושי בסייבר. החל בתוכניות בשילוב האוניברסיטאות, הצבא, משרד החינוך, וכולל בניית מקצועות עצמם של מקצוע אנשי הסייבר. ולייצר כמה שיותר תמריצים לקדם את הדבר הזה. אפילו לאחרונה בתוכנית של רשות החדשנות במענקים להסב אנשים מעולם כזה או אחר לתוך עולם ההיי-טק, כחלק מהתמודדות עם משבר הקורונה. אנשים אצלנו הצליחו לשלב את מתן מענקים למוסדות שיכשירו ויעשו השמה לאנשים בתחום הגנת הסייבר. אנחנו כל הזמן עוסקים בזה.

אוקיי. זה חשוב מאוד.

יש אפשרות לחייב את המפוקחים להשתמש בטכנולוגיה הטובה ביותר שיש בשוק אם יש טכנולוגיה כזאת?

זאת שאלה קצת מורכבת לשלב הזה של הדיון. יש לנו אפשרויות לחייב את הגופים, אבל בתנאים מסוימים. אני חושב שקודם כל זה עמידה בסטנדרט.

הבנתי. אגב, אגיד את זה כך: להבנתי אתם יכולים לחייב הכול.

לכן התשובה היא מורכבת.

קחו את זה לתשומת לבכם. תעשו מה שצריך. אחרון הדוברים, עורך הדין ישי זילברברג, חבר ועדת הפרטיות של לשכת עורכי הדין שביקש להתייחס לעניין האכיפה. בבקשה

צוהריים טובים, אני רוצה להתייחס לשתי נקודות בקצרה. קודם כול העניין הראשון הוא העניין של ההוראות וההנחיות של הרשויות. אתן דוגמאות לדברים מאוד טובים שיצאו ממערך הסייבר, איך לסדר ראוטרים ביתיים, איך להקשיח מחשבים פרטיים, כל הוראה כזאת שיורדת ומדקדקת, היא הוראה שתעזור מאוד לשוק כיוון שלא כל החברות – כמו שאמרו קודם – הם גופים מפוקחים. היום אולי אנחנו מתייחסים לשירביט, לחברות ביטוח ובנקים, אבל הדלף העיקרי והגדול שיכול לצאת זה מכל מיני ארגונים בינוניים וקטנים ולכן ההנחיות וההוראות האלה שגורמות ליישום בשטח, בפועל – אפילו אני כעורך דין יכול לבוא ולהגיד להם: חברה אל תיקחו עכשיו איש אבטחת מידע ב-30,000 דולר. קחו ותיישמו את מה שרשות הסייבר אמרה, את מה שהרשות להגנת הפרטיות אמרה, זה הדברים הכי חשובים ולדעתי כדאי לשים על זה דגש.

העניין השני הוא עניין האכיפה. עניין האכיפה הוא עניין אקוטי וחשוב מאוד בנושא הזה של הגנת הפרטיות. אנשים לא חוששים. אתה יכול להגיד להם עד מחר: תעשו כך ותעשו כך. בסופו של דבר כשהם שומעים שהחבר שלהם – בין אם זה מתחום כזה או מתחום אחר, או לאחרונה שמעו נניח סוכני הביטוח התחילו אצלם אכיפה – מיד רצים אליך כולם ומכירים את הנהלים. אין משהו שלא ייפרץ, אבל ברגע שיש לך נוהל טוב, ברגע שאתה מקפיד על החלפת סיסמאות, ברגע שאתה מקפיד על גיבויים, הדברים הקטנים האלה – אז יבוא אליך האקר, ונניח שאתה לא ארגון כזה גדול, אלא בארגון בינוני או קטן – הוא ילך למקום אחר. לכן ההקפדה על הדברים האלה היא מאוד חשובה. לכן האכיפה פה לעניות דעתי, היא נקודה חשובה מאוד. זה עניין גם של תקציבים וכולי, אבל אני חושב שצריך לשים לזה דגש. ובהקשר הזה של האכיפה, נקודה אחרונה: אני חבר בוועדת תביעות ייצוגיות. חשוב מאוד – מקום שהאכיפה של הרגולטור היא כרגע אכיפה בחוסר. כמו שהיה בענייני הגנת הצרכן. חשוב מאוד להכניס את חוק הגנת הפרטיות באופן ישיר לתוספת השנייה לחוק הגנת הפרטיות, על מנת שניתן יהיה לאכוף בצורה אזרחית את כל העניינים של הגנת הפרטיות ולא רק בצורה עקיפה דרך הגנת הצרכן. יש על זה מחלקות פסיקתית גדולה מאוד – האם זה חל או לא. זאת נקודה מאוד חשובה ואני פונה לרגולטורים, אני לא יודע מי מהם, אם זה דרך משרד המשפטים או דרך הרשות להגנת הפרטיות, להוסיף את זה לתוך התוספת לחוק. תודה רבה.

תודה לך שי, הגענו לסיום הדיון החשוב הזה, אבל לא לסיום הדרך. הדרך הייתה צריכה להתחיל מזמן, היא התחילה מזמן, אבל צריך לתגבר את האמצעים, לתגבר את התקציבים, ובעיקר את תשומת הלב והקשב שיש למדינה ולרשויות השונות שלה ולרגולטורים השונים. וגם בהבנה ממשלתית, בהבנת סדרי העדיפויות של המדינה – כמה הנושא הזה חשוב וכמה דרוש שיתייחסו אליו בשיא הרצינות. ולעשות את הצעדים שנדרשים בהתאם לרצינות הזו שמצופה.

אם אין הפנמה של החובות בחלק מהחברות והגופים השונים, והאכיפה היא חלק מרכזי ואינהרנטי בסיפור הזה, נגעו בזה רבים מהדוברים, האכיפה היא חלק מרכזי וכן אם לא ייעשה דבר בנושא הזה, דברים לא באמת יוכלו לקבל את השינוי הרצוי.

שמענו שיש חקיקה בדרך – צריך לדחוף את זה בכל הכוח. אנחנו מצדנו כוועדה קוראים לממשלה לקדם את זה בצורה המהירה ביותר, כדי להביא את זה, כשרוצים אז אפשר להביא חקיקה גם בצורה מהירה ויש כזו כבר. זה לא משהו שצריך להמציא. לפחות לשלב הזה של הגברת הסנקציות בצורה משמעותית, זאת בדיחה מה ששמענו שקיים. צריך לעשות בזה שיפור משמעותי מאוד שפשוט עומד על הפרק וצריך לקבל את הצעד הנוסף הזה קדימה כדי שזה יכנס ודברים יאכפו. בלי אכיפה, לא תהיה הרתעה מספיקה. וגופים – גם כאלה שאין להם את הרגולטור שבאמת עוקב אחריהם, לא יעשו מספיק.

דיברנו על יכולת הזיהוי של אירועים בזמן. אני מניחה שאנחנו לא שומעים הרבה מתקיפות הסייבר וצריך לשפר את יכולת הזיהוי, את ההיערכות המקדימה לטיפול באירוע אם קורה. נאמר פה על הנושא של מכרזים של המדינה, נראה לי נעמה שאת הזכרת את זה, זאת נקודה מאוד חשובה, המדינה כחלק מהעובדה שהיא צריכה לשים את זה בראש סדר העדיפויות, היא צריכה גם לקחת בחשבון במכרזים שהיא מבצעת את הנושא הזה של הגנת הפרטיות ואבטחת מידע כנושא שצריך להתחשב בו. היא צריכה אולי אפילו לתעדף אותו ולתעדף גופים שהעמידה שלהם בקריטריונים האלה כפי שכמובן אנשי המקצוע יבנו, תהיה לזה התייחסות ויהיה לזה תיעדוף. זה לא תקציב, זה רק לשים את זה בראש סדר העדיפויות.

אסיים בנושא הזה של עודף מידע. מכל הכיוונים פה זה עלה. וזה נושא שגם מלמטה וגם מלמעלה, צריך להיות בקשב ובתשומת הלב של מי שעוסק בדבר הזה של איזה מידע אתה שומר ואיזה אתה שם במאגר מידע. וברמה הלאומית גם נידרש לזה, שלא כל דבר אפשר לשמור בכל מצב. נגענו באופן ספציפי, אמרתי את מה שאמרתי באופן כללי, ובאופן ספציפי אנחנו מתכוונים לעקוב כוועדה על הדיון שהיה פה בנושא של תאריכי הנפקת תעודות זהות. אקדם עד כמה שאני יכולה את הנושא הזה בגופים הפרטיים, אבל בוודאי הממשלה צריכה לדאוג שאצלה זה לא יהיה. ואנחנו מקווים לשמוע את העדכון בימים הקרובים ואנחנו נעקוב לוודא ששאר הגופים הממשלתיים לא משתמשים בנתון הזה.

כפי שהתחלנו, יש הרבה דברים שהם חשובים מאוד לציבור, אין זמן לחכות עם זה. צריך לפעול כמה שיותר מהר כדי שאירוע כמו שקרה לא יחזור. לא כמוהו ולא דומה לו, והציבור ירגיש יותר מוגן עם המידע אודותיו שמסתובב.

אני מודה לכל מי שהגיע לדיון כאן בחדר הזה, וגם כמובן בחדר הזום שאתנו, לכל מי שהשתתף ולא השתתף. תודה לצוות הוועדה, לאיילת, לנעמי, ליעקב הדובר, וכמובן לעורכת הדין נירה, היועצת המשפטית לוועדה. תודה רבה לכולם ושיהיה לנו המשך יום מוצלח, בטוח ובריא.


הישיבה ננעלה בשעה 14:00.