PAGE
11
הוועדה לענייני ביקורת המדינה

21.7.2009

הכנסת השמונה עשרה






נוסח לא מתוקן

מושב ראשון









פרוטוקול מס' 24
מישיבת הוועדה לענייני ביקורת המדינה

יום שלישי, כ"ט תמוז תשס"ט (21 ליולי 2009), שעה 11:00

הגנת הפרטיות – אבטחת מידע ואיכותו במאגרי מידע ממשלתיים – דוח מבקר המדינה 59ב',
עמ' 859

חברי הוועדה: יואל חסון – היו"ר

מרינה סולודקין

אופיר פינס-פז

שר הפנים אלי ישי

עו"ד דניאל סולמון – יועץ משפטי מינהל אוכלוסין, משרד הפנים

עו"ד אודליה אדרי – יועצת משפטית משרד הפנים

אלון סבג – אגף מחשוב, משרד הפנים

ברכה פלאוט – מנהלת אגף ביקורת פנים, משרד הפנים

רו"ח נירית – אגף לביקורת פנימית, משרד הפנים

ניסים אליאסיף – רשות האוכלוסין, משרד הפנים

נחום בלבן – סגן מנהל בכיר, משרד מבקר המדינה

חנה יזרעלוביץ- מנהלת ביקורת בכירה, משרד מבקר המדינה

ערן צדוק – מנהל ביקורת, משרד מבקר המדינה

יהודה סרוסי – סמנכ"ל תמ"מ, המוסד לביטוח הלאומי

בובי פנדריך – מנהל היחידה לאבטחת מידע, המוסד לביטוח הלאומי

נחמה שפירא – מנהלת אגף שירות לקוחות, המוסד לביטוח הלאומי

ימין כנען – מנהל אגף ביטחון, המוסד לביטוח הלאומי

מנחם לזר – אחראי על אבטחת מידע, המוסד לביטוח הלאומי

עו"ד יורם כהן – ראש הרשות למשפט, טכנולוגיה ומידע, משרד המשפטים

יעקב זלצר – משרד ראש הממשלה

ויקטוריה רביץ – אבטחת מידע, משרד ראש הממשלה

אסף קרן – משרד האוצר

סנ"צ אלעזר כהנא- עוזר בכיר ליועץ המשפטי, המשרד לביטחון פנים

סנ"צ עדי זלצט- יחידת מחשב, המשרד לביטחון פנים

משכית בנדל – האגודה לזכויות האזרח

דבי גילד חיו – האגודה לזכויות האזרח

חנה פריידין

נוגה לנגפור - חבר המתרגמים בע"מ

הגנת הפרטיות – אבטחת מידע ואיכותו במאגרי מידע ממשלתיים –
דוח מבקר המדינה 59ב', עמ' 859

בוקר טוב, אני מתכבד לפתוח את ישיבת הועדה לענייני ביקורת המדינה בנושא אבטחת מידע ואיכותו במאגרי מידע ממשלתיים, דוח מבקר המדינה 59ב'. זה נושא מאוד מאוד מעניין שחשבתי שראוי שהוועדה תקיים עליו דיון. גם בנושא של אופן הניהול של המידע על ידי רשויות המדינה. בעיקר פה מדובר על משרד הפנים והביטוח הלאומי. גם אופן הניהול, אופן השימוש, פריצות שכנראה קיימת במאגרים האלה, מאגרים גם שמנוהלים במערכות ממוחשבות מאוד מיושנות, זליגת מידע לגורמים ראויים יותר, ראויים פחות, אבל גם לא תמיד עם הביקורת המתאימה ועם הסטנדרטים הברורים. הייתי מבקש בשלב הראשון, קודם כל אני מברך אותך אדוני השר שאתה נמצא איתנו כאן, אני מודה לך על ההשתתפות, וגם כל חברי הוועדה, והייתי מבקש מנציג מבקר המדינה להציג את הדוח ומשם נמשיך.

בדוח הגנת הפרטיות, אבטחת מידע ואיכות במאגרי מידע ממשלתיים נעשה בתקופה מנובמבר 2008. בדקנו את הפעולות במשרד הפנים ובמוסד לביטוח לאומי למימוש דרישות חוק הגנת הפרטיות והפסיקה בדבר הגנת הפרטיות ואבטחת מידע במאגרי מידע שבאחריותם. כמו כן נבדקה איכות הנתונים במרשם האוכלוסין. עיקרי הממצאים, בעניין רשות האוכלוסין, ההגירה ומעברי הגבול במשרד הפנים. מצאנו שלא מונה ממונה לאבטחת מידע לא במשרד הפנים ולא ברשות האוכלוסין, בניגוד לדרישות חוק הגנת הפרטיות והתקשיר. הערנו שבהעדר נוהל מאושר לאבטחת מידע של רשות האוכלוסין מן הראוי שהרשות תבחן לאמץ את נוהל המסגרת כנוהל מחייב לאבטחת מידע והתאמות המתחייבות. בשנים 2006-2007 הוצעה למכירה על ידי אלמוני באתר האינטרנט תוכנה המכילה נתונים על מרשם האוכלוסין הכוללים קשרי משפחה בין אזרחים. בישיבת ועדת הפנים והגנת הסביבה של הכנסת במרץ 2007 ביקש יושב ראש הוועדה חקירה משטרתית בעניין. בעקבותיה פנה משרד הפנים למשטרה בבקשה שתחקור בעניין. בינואר 2008 שלח משרד הפנים למשטרה לבקשתה רשימה של לקוחות שמקבלים קובצי עדכון גדולים מהמערכת שייתכן שמידע זלג מאחד מהם. במרץ 2008 סגרה המשטרה את תיק התלונה בטענה שלא ניתן לחקור כל כך הרבה חשודים ולכן העבריין לא נודע. בין המסמכים שמסר משרד הפנים למשטרה היה סיכום בדיקה שבו נכללו כעשרה גופים שקיבלו עדכוני מרשם בהיקפים גדולים ואחד מהם אף זוהה כמקבל נתונים בצורה דומה למבנה המאגר שהופץ באינטרנט. אפילו גוף זה לא נחקר על ידי המשטרה. לא נמצא שמשרד הפנים והמשטרה שיתפו פעולה בחקירה. שיתוף פעולה כזה היה עשוי להניב תוצאות חיוביות. יש לראות בחומרה את כישלונה של רשות האוכלוסין בהגנה ושמירת פרטיותם של אזרחי המדינה. במרץ 2008 הוחל במערך המחשוב של מרשם האוכלוסין ברישום יומן שימוש להלן לוג לשם מעקב אחר שאילתות שהציגו עובדי משרד הפנים ללקוחות חיצוניים. בבדיקת נתוני הלוג במרץ-יולי 2008 מצא משרד מבקר המדינה כי הוצגו שאילתות באמצעות הרשאות הגישה של 78 ממשתתפי המערכת כשאלה שהו בחו"ל בלי שהיתה להם לכאורה גישה למערכת. נוסף על כך נמצא שהוצגו שאילתות באמצעות הרשאות הגישה של חמישה ממשתמשים שלפי הרישומים במערכת אביב נפטרו לפני מועד ביצוע השאילתות. באוגוסט 2008 כעשר שנים לאחר שמוחשב מרשם האוכלוסין הוגש לראשונה לרשות האוכלוסין דוח סקר סיכונים על מערכת אביב. בסקר הסיכונים עלו ליקויים בתחומים אלה: ניהול סיסמאות, הפעלת מערכות שליטה ובקרה, כלי ניהול ייעודיים, הצפנת נתונים, עדכון גרסאות מערכות הפעלה ובדיקת נתוני קלט ממקור חיצוני. הליקויים מצביעים על פרצות העלולות להוביל לדליפת נתונים רגישים או לשיבוש הפעילות השוטפת בעקבות ניסיונות התקיפה או טעויות אנוש שלא התגלו.


משרד מבקר המדינה מעיר כי הבדיקה במסגרת סקר הסיכונים לא היתה שלמה מפני שרשות האוכלוסין הגבילה את היקפה. הבדיקה נעשתה רק בסביבת הייצור. עוד נמצא כי במסגרת סקר הסיכונים לא אישרה רשות האוכלוסין בדיקות חדירה למערכת, סקר הסיכונים למערכת אביב שהיא מערכת מידע עיקרית של משרד הפנים בוצעה לראשונה רק ביוני 2008 אף שהנתונים ממרשם האוכלוסין פורסמו כבר ב-2006 באינטרנט וקיים חשש שזלגו ישירות מן המערכת. מדוח מבקרת הפנים מאפריל 2008 על לשכת אילת עולה כי במשך שנים ניצל לרעה מנהל מרשם האוכלוסין באילת את מעמדו ואת הגישה הבלתי מוגבלת כמעט שהיתה לו אל משאבי מערכת אביב.

עד כמה שידוע לוועדה האיש בכלא.

כן? אבל אנחנו הולכים על מסקנות שנעשו בעקבות הדוח הזה. בין השאר למעשים אלה הנפקת דרכונים שלא כדין לביצוע מניפולציות בתאריכים שונים במרשם. בעקבות הדוח פותח במערכת אביב מנגנון בקרה בשם הרשאת מנהל שחייב לקבל אישור ממחושב של עובד מטה הרשות להשלמת תהליך הנפקת דרכון או לעדכון רטרואקטיבי של המע"מ. השינוי שהוחל בו ביוני 2008 גרם לעיכובים בטיפול בתושבים מפני שעובדי המטה לא היו תמיד זמינים לאשר את הפעולות. ביולי 2008 הוענקו גם למנהלי לשכות וסגניהם חלק מההרשאות. הענקת הרשאת מנהל לבעלי תפקידים בלשכות רוקנה מתוכן את הבקרה ואת ההשקעה ליישומה.


על רשות האוכלוסין להכין נוהלי אבטחת מידע, להקפיד על יישומם, לאייש את התפקידים הנחוצים למילוי דרישות חוק הגנת הפרטיות. השאר זה על ביטוח הלאומי.

אני רוצה שנתמקד במשרד הפנים. אדוני אתה שר חדש במשרד והדוח הזה הונח על שולחנך.

הדוח מתייחס לתקופה שלא הייתי שם.

לכן הדוח הזה, לפחות הוועדה חושבת שהוא צריך להיות כתוכנית עבודה בהקשר של הדבר הזה. וברשותך תתייחס גם לעובדה של המערכת, של ניהול המערכת, הפיקוח על המערכת, העובדה שהמערכת היא מאוד ישנה וההשלכות שיש לדבר הזה. איך אתה מתייחס לדוח הזה?

תודה רבה, אדוני היושב ראש. חבריי מכל משרדי הממשלה השונים. מכובדי נציג המבקר. ראשית אני באמת רוצה לברך גם מבקר המדינה וצוות עובדיו שעשו עבודה מצוינת. בפרוש עבודה מצוינת. אני מוכרח לומר בכל תפקידיי בממשלות ישראל בעבר בכל המשרדים שניהלתי דוח מבקר המדינה עמד לנגד עיני בכל הדיונים המקצועיים שהיו לי עם אגפי המשרד כאשר דוח מבקר המדינה שקשור לאותו אגף מונח על שולחני. בראשית הדיון אני מבקש לא רק את ההתייחסות אלא תיקון לליקויים שהמבקר מצא. כך היה הנוהל הזה נר לרגליי בכל משרדי הממשלה. הנוהל הזה גם ממשיך במשרד הפנים. לא פעם אני אומר לעצמי שהביקורת הבונה הזאת מבחוץ שבאים ובודקים ואומרים דברים זה מעבר ליופי שבדמוקרטיה אלא מאיר את עיני עובדי המשרד והעומד בראשו לתקן ולהביא לתיקונים מאוד משמעותיים כאשר כל מטרתנו לתת את השירות הטוב והנכון ביותר לאזרחי מדינת ישראל. כאשר אני עובר על הדוח ועל הערות המבקר מצד אחד אני מוכרח לומר נעשה לי רע, משום שדברים שאסור שיקרו וחבל שקרו, אבל מצד שני השאיפה היא באמת לשפר ולתקן, וזה לא משנה אם הייתי באותה תקופה או לא, כפי שנאמר לכם על ידי יושב ראש הוועדה זה לא התקופה שבה הייתי. זה לא משנה. יכול להיות שגם בתקופה שאני מכהן במשרד התגלו דברים ששר מטבע הדברים לא יכול להחליף אף פקיד ולעקוב אחרי כל התנהלות. ותפקיד מבקר המשרד ומבקר המדינה לנסות להאיר את עיניו. גם מבקרים במשרדי ממשלה שכיהנתי בהם קיבלו ממני גיבוי מלא וגדול להעיר את תשומת ליבי ואת עיניי במקומות שהתגלו שם אי סדרים הוא התגלו דברים שחייב השר לתת את ההתייחסות ותשומת ליבו. התגלו פה דברים בעיניי חמורים. אני הנחיתי את המנכ"ל, אני מנחה גם את עובדי המשרד, הם התחילו כבר בשיפורים ותיקונים של חלק מהדברים. יש מאבק של תוספת תקציב. תקנים. מנהל אבטחת וכולי. אני בא מכיוון שאנחנו מחויבים לעשות הכול על מנת לתקן ולשפר את הדברים. כפי שאמרתי אני לא יכול להישאר ברוב הדיון. מפאת החשיבות של הוועדה והנושאים שהועלו פה באתי לכמה דקות. שיניתי את כל סדר היום לתאריך שנקבע פה מראש. אני מנחה גם את עובדי המשרד, הנחיתי גם את המנכ"ל לעשות הכול במהירות האפשרית לשפר, לתקן ולהתייעל. גם אם יש דברים שיש מגבלות קשות תקציביות מול האוצר. אדרבא. אפשר לבוא ולהגיש את זה בפני. אמרתי את זה בדיון הפנימי במשרד. להגיש דברים אלי. אני אבוא למשרד האוצר, נקבע סדר עדיפויות ודחיפות. אין לי ספק שבמסגרת ההערות שנציג המבקר פה העיר יש פה דברים שלא סובלים דיחוי. ועם כל מגבלות התקציב זה צריך להיות בראש ובראשונה מבחינת המשרד, מבחינת משרד האוצר. כך נעשה, כך ננהג. אני רוצה לסיים שוב בתודה רבה לעבודה המצוינת שעשיתם. נפגשתי בכם גם במשרד התמ"ת לפני כן ולפני כן במשרד העבודה והרווחה. אתם עושים עבודה מצוינת. תמסרו את הערכתי ותודתי גם למבקר המדינה. אני מאוד מקווה שבביקור הבא נמצא את עצמו ששיפרנו אם לא את הכול, את הרוב. אני מקווה מאוד שאת הכול. כי המגמה היא לתקן ללא יוצא מן הכלל בלוח זמנים קצר ככל שניתן את כל הליקויים בעצם.

אני מבקש בכל זאת שתשמע אותי. יש משהו שאני רוצה להגיד לך. קודם כל הדוח הוא דוח חמור ביותר. צריך להגיד את הדברים בצורה מאוד ברורה, דוח חמור ביותר. מסתבר שהמערכת זולגת. ואני לא מאשים כאן אף אחד. לצערי גם בדיקת המשטרה לא גילתה לנו יותר מדי. איך אמרת למרות שזה לא נעשה בתקופתנו.

זו אחריות שלנו.

זו אחריות שלנו. אגב זה גם היה יכול לקרות בתקופתנו. ועדה אחרת כאן בכנסת בימים האלה מנהלת דיונים מרתוניים על קידום הצעת חוק הביומטרי. אני שואל את עצמי. הדבר הזה מחייב הקמת מאגר מאוד רגיש שמעולם לא היה בישראל, אני בספק אם היה בעולם. וכשאני קורא את הדוח הזה אני שואל האם זה לא חוסר אחריות משווע שיחוקק החוק הזה כאשר אנחנו עוד לא הפנמנו את הדוח הזה, קל וחומר לא תיקנו את הליקויים. הולכים להקים כאן, שר הפנים לשעבר מאיר שטרית נמצא באיזשהו בולמוס של חקיקה. אף אחד לא עוצר אותו. עכשיו בסופו של יום אתה תהיה אחראי כשר פנים על המאגר הזה, על החוק הזה, על השיגעון הזה. אני אומר בואו נעצור רגע. בואו נעצור, נלמד את הליקויים, נגיד למאיר שטרית ידידינו תמתין כמה חודשים. בואו נראה, לאן אתה רץ? הוא היום רץ למקום שאני חושש שאף אחד לא מבין מה קורה שם. אני רואה פה את סדרת הליקויים שהמבקר חשף. אני אומר לך אני לא רואה מי בונה מאגר שיפנים את כל הליקויים, יתקן אותם ויעשה את כל מה שצריך. אני אומר לך זה מאגר עוד פי אלף יותר מורכב ורגיש מהמאגר היום שבו משתמש משרד הפנים שהוא כמובן נמצא היום באינטרנט ובכל מקום. לכן אני פונה אליך ומבקש שתשתמש בסמכותך, תקיים אצלך דיון, ובמידה ותגיע למסקנה שצריך לעצור את החקיקה, אתה סגן ראש ממשלה, אתה שר הפנים. עם כל הכבוד לוועדה שהיום עוסקת בעניין הזה אפשר להמתין כמה חודשים לפני שנעשה טעויות קשות.

אני מודע לכך שהוועדה בראשותו של מאיר שטרית שר הפנים לשעבר מקדמת את החוק של תעודות חכמות ודרכון וכולי. זה דבר חשוב מאוד. זה נדחה אצלי למעלה מעשור. עוד לפני שאני הייתי שר הפנים וגם כשהייתי עוזר שר הפנים. זה מתגלגל כבר 15 שנה. זו בושה וחרפה. תעודות הזהות החכמת. לא חוכמה גדולה מאוד מצידנו כולנו במהלך שנים רבות. לא הייתי מאשים את שרי הפנים לדורותיהם בעניין הזה. אבל סוף סוף זה מגיע לסיומו. והנקודה של הביומטרי היא הערה שכבר העירו את תשומת ליבי מספר אנשים. אני בוחן את העניין. אני בודק אם יש אפשרות לעשות הפרדה בעניין. ואם נלך להחיל את התחום הזה רק לאחר ההגנה וביטחון לגבי המידע ואבטחת המידע. אני מודע לזה ואני גם מעריך את ההערה שלך. תודה רבה.

אני מודה לך אדוני השר. בואו נחזור לעניין של הביטוח הלאומי ואז נעמיק בדיון בשני הנושאים.

במוסד לביטוח לאומי קיים ליקוי מבני מתמשך בעניין אבטחת מידע. הוועדה העליונה לאבטחת מידע בראשותו של סמנכ"ל משאבי אנוש דאז התכנסה לראשונה בספטמבר 2006 ופעלה במשך כתשעה חודשים. הממונה על אבטחת מידע כפוף ישירות לסמנכ"ל תקשורת ומערכות מידע מתוקף תפקידו של הממונה על אבטחת מידע הוא נדרש לבקר חלק מפעילות מערכת המידע של הארגון שהם תחת סמכותו של סמנכ"ל תקשורת ומערכות מידע. כפיפות זו פוגעת באי תלותו. נוסף על כך הוא אינו מקבל עליו את מרותו של הקב"ט בהתאם לכללי שירות הביטחון הכללי מ-2004. מן הראוי שהנהלת הביטוח הלאומי תגדיר מבנה יעיל לניהול אבטחת המידע במוסדה ותפעל באופן מיידי ליישומו.


לדעת משרד מבקר המדינה יש לראות בחומרה שכבר בנובמבר 2003 התריעה מבקרת הפנים על מחדלים באבטחת המידע בפני הנהלת הביטוח הלאומי ועד דצמבר 2008 לא נעשה סקר סיכונים ומבחני חדירה על ידי חברה חיצונית. ביוני 2005 התחייב הביטוח הלאומי בפני בג"ץ לרשום את כל הפעילות של כל משתמשי התקשורת בביטוח לאומי. בספטמבר 2006 החליטה הוועדה העליונה לתקשורת ולמערכות מידע לרכוש את תוכנת האינטלינג שמאפשרת לעשות זאת. הביקורת העלתה כי עד לסיומה בנובמבר 2008 לא היה אפשר להציג שאילתות על המידע ולכן לא סיפקה התוכנה ליחידת ביקורת הפנים את הכלים הדרושים לעבודתה. על מנת לשפר את המצב יש לנקוט את הצעדים האלה. (א) על רשות האוכלוסין להכין נהלים. במוסד לביטוח לאומי יש להפעיל ולנצל את כל המערכות לאבטחת מידע אשר הפעלתן תוכננה כבר ב-2007. יש לערוך סקר סיכונים, להגדיר מדיניות אבטחת מידע ולהסדיר את המבנה הארגוני הנחוץ לאבטחת מידע במוסד לביטוח לאומי בכלל ואת שיתוף הפעולה בין הקב"ט למנהל החטיבה למערכות מידע בפרט. מן הראוי להגביר את המודעות של העובדים לחובת השמירה על נהלי העבודה בענייני אבטחת מידע לשם מניעת חריגות מההוראות והנהלים ראוי שיפורסמו במסגרת פנים ארגונית העבירות שעברו העובדים ואמצעי המשמעת שננקטו כלפיהם תוך שמירת פרטיותם וראוי שנושא המשמעת יוצג בקביעות בהנהלות הארגונים.

תודה רבה. אני מודה לך. אני רוצה לרדת לעומקו של הנושא ולהבין את הנושא הזה. נמצא כאן אלון סבג מאגף המחשוב של משרד הפנים. ניסים מה תפקידך?

מנהל מערך המחשוב ברשות האוכלוסין.

כמה זמן אתה בתפקיד הזה?

בערך 10 שנים.

זאת אומרת אתה ממונה על תפעול ותפקוד מערכת אביב. נכון? אז בוא תסביר לנו, קודם כל מערכת אביב כמה זמן היא קיימת?

11 שנה.

זאת אומרת היא חידוש של מערכת ישנה יותר.

אמת. אבל זה קצת מטעה כשאנחנו אומרים מערכת אביב זו לא הטכנולוגיה שלפני 11 שנה. המערכת שודרגה כל הזמן גם מבחינת בסיס הנתונים, גם מבחינת מערכות הפעלה.

אבל אין ממונה על אבטחת המאגר?

יש. אני אנסה להסביר. אין ממונה אבטחת מידע לפי מה שכתוב פה אבל המערכת מונחית על ידי הרשות לאבטחת מידע של שירות ביטחון כללי ואני הוסמכתי כממונה תשתיות מידע כממונה תמ"ת. זו תשתית מידע קריטי ואנחנו עובדים תחת ההנחיה המקצועית שלהם. אנחנו מבצעים את ההנחיות שלהם. כל ההנחיות שלהם, אין שום הנחיה שלא בוצעה עד היום. הציון שלנו למשל השנה עלה ל-82.

קודם כל אנחנו הולכים פה בעניין של שאלות ותשובות. כי אנחנו למדנו את הנושא ומנסים להבין אותו לעומק. אז קודם כל תענה לשאלה שהיא מאוד פשוטה ושואלים אותה גם אנשים ברחוב. איך זה יכול להיות שמרשם האוכלוסין זמין ונמצא בידיים לא מורשות והיום כמעט כל אדם יכול להשיג, להוריד את הקובץ הזה, איך הדבר הזה קרה? תסביר את זה. כי אני יודע שיש לכם באיזושהי צורה לקוחות חיצוניים או גורמים שכנראה המרשם הזה מגיע אליהם בצורה מורשית או לא מורשית. תגדיר לי מי הלקוחות ותסביר בצורה פשוטה איך זה יכול להיות שאינטרנט או בכלל בדרך לא דרך אנשים משיגים את הקובץ של מרשם האוכלוסין.

מבחינת המערכת אני חושב שהיא די מוגנת. עוד הפעם להגיד שהיא מוגנת מאה אחוז אני לא אגיד אבל היא מוגנת. המערכת זו לא מערכת שנמצאת באוויר שבאינטרנט וכולם רואים אותה. אני מדבר על מערכת אביב. עכשיו מתוך מערכת אביב אנחנו מוסרים מידע רק לפי חוק לכל מיני גופים. למשל למפלגות. המפלגות מקבלות פנקס בוחרים. עכשיו אנחנו חייבים לתת להם לפי חוק. אין לנו פה שיקול דעת. בנוסף לזה יש בערך 300 שירותים שהיום אנחנו נותנים בצורה כזאת או אחרת לכל מיני גופים, משרדי ממשלה וכולי, לפי חוק. מי שרוצה לדעת לאיזה גופים ואיזה נתונים הם מקבלים ובאיזו תדירות ובאיזו צורה יש באתר האינטרנט של משרד הפנים רשימה של הלקוחות ומה הם מקבלים. כלומר זה לא סודי. יש את הרשימה, כולם יודעים ומי שרוצה גם יכול להיכנס ברמה אפילו של שדה נתון מסוים מי מקבל, למה וכמה. עכשיו בכדי למסור מידע יש לנו ועדה במשרד עם הלשכה המשפטית ולפי חוק הגנת הפרטיות ממלאים לנו טפסים, חותמים לנו. מאוד מחמירים אצלנו בעיקר בתקופה האחרונה. יושבת עורכת דין אודליה אדרי מהלשכה המשפטית שהיא האחראית המשפטית על האישורים שאנחנו נותנים. כלומר אין פה מצב שנותנים פה אישורים ככה. זה רק לפי חוק לגופים שמוכיחים לנו שלצורך הסמכות שלהם בחוק הם צריכים לקבל את הנתונים האלה. עכשיו אותם גופים מקבלים נתונים. יש כאן אנשים מביטוח לאומי, מקבלים מידע לפי חוק.

לפני מבקר המדינה הוצגה רשימת אותם 300 לקוחות?

יש אותה באינטרנט. אם הם היו מבקשים הם היו יכולים לקבל. 300 שירותים לא לקוחות כי לפעמים יש לקוח שיש לו יותר משירות אחד.

ולא מצאתם בין הלקוחות האלה מישהו שהוא לא ראוי שיהיה לו את המידע הזה?

זה הכול לפי חוק. בזמנו הנחת העבודה שלנו היתה עד לפני כמה שנים שעיקר הדליפה היא מהמפלגות. כלומר שמפלגה מקבלת פנקס בוחרים הולכת ואחר כך לא מקפידה ומישהו לוקח ומעתיק. עשינו תיקון חקיקה בחוק הבחירות גם לכנסת וגם לרשויות המקומיות וכבר כמה שנים אנחנו מסמנים כל קובץ כזה באיזשהו סימן שאנחנו שומרים אותו שאם נדע שזה הגיע לאיזשהו מקום נדע לפחות מאיפה הדליפה. מבחינת המפלגות שזה היקפים של 4 או 5 מיליון רשומות שהם מקבלים בכל בחירות, לפנקס הבוחרים.

למה סימנת רק את המפלגות?

גם זה לא דלף מהמפלגות. מה שהתפרסם באינטרנט זה יותר שדות מאשר מה שמעבירים המפלגות. כך שזה בטוח לא מהמפלגות. גם אבל לא רק.

אדוני אני יודע שהרבה יותר נוח להכות במפלגות.

אני לא מכה אף אחד וגם אני לא מוכה פה.

ראשית אתה מבוקר.

אני מבוקר, אין לי בעיה עם זה. לא אמרתי שזה רק המפלגות.

זה מה שמשתמע מדברייך. אז תסביר לי בבקשה חוץ מהמפלגות איזה קבצים נוספים סומנו?

אני אומר לפי חוק זה מה שהיה ב-2002.

מי סומן חוץ מהמפלגות?

אנחנו הצענו ללשכה המשפטית שלנו לסמן כל קובץ שיוצא מאיתנו. כרגע מסומן רק המפלגות אבל אני לא יכול לסמן בלי אישור משפטי.

אתה מפיץ פה מאות קבצים לכל מיני שירותים שאתה ציינת.

חלק מהם זה סתם שאילתות. כלומר זה שאילתות בתקשורת.

אבל אתה הפצת חוץ מהמפלגות לעוד כמה את הרשימות האלה. ויש לנו מידע שהרבה מהדוחות שנמצאים באינטרנט הם הרבה יותר מהשדות שיש למפלגות. אתה מציג מצג שההדלפות באו מהמפלגות. זה מה שאתה אומר. ואתה קיבלת החלטה אופרטיבית על זה. אמרת סימנתי רק את המפלגות. אני שואל לפני כמה זמן היה הסימון על המפלגות?

בערך ב-2002.

ומתי אתה ביקשת לסמן אחרים?

לפני שנתיים, שלוש שנים.

למה?

כי לפני כן לא היו דליפות. הדליפות שהיו באינטרנט היה איזה משהו ב-2002, זה היה האחרון, אחר כך כמו שאמרו פה, היתה דליפה אחר כך שב-2006 שעל זה הגישו תלונה למשטרה ששמה כבר היה יותר מהמפלגות.

הבנתי. בוא תתייחס לאבטחת המידע. זה אחד הדברים המרכזיים שקיימים ויש הנחיות ממשלה ברורות מאוד שצריך להיות ממונה אבטחת מידע.

אין היום ממונה.

מדוע אין? הדרישה בחוק היא לממונה אבטחת מידע והחוק הזה לא מקוים. זו עובדה. למה? אתה לא באת ואמרת לשר שלך או למנכ"ל אני צריך ממונה על פי החוק.

לא רק אני אמרתי. גם ביקורת הפנים אמרה. זה לא דבר חדש.

אז למה אין ניסים?

כי לא הקצו בן אדם לזה. צריכים להביא בן אדם. זה לא לקחת מישהו שהוא עושה 8 דברים ולהגיד לו עכשיו תהיה גם ממונה אבטחת מידע. צריך להיות מישהו שזה רק התפקיד שלו.

אין תקן לזה?

אין תקן לזה.

אם אין תקן, קל וחומר אין מכרז כי אין תקן.

אין תקן ואין מכרז. מה שהעמדה של המשרד כרגע ואני מביא את העמדה של המשרד שעם קבלת ביקורת הגבולות לרשות האוכלוסין השנה ימונה אדם שזאת תהיה העבודה שלו שיטפל רק בנושא אבטחת מידע.

כמה עובדים יש במשרד הפנים אתה יודע?

אני חושב 1600 או 1800. כי עכשיו קיבלנו עוד עובדים.

לא מצאתם אדם אחד, תקן אחד? איפה מנכ"ל המשרד?

יש מנכ"ל למשרד. רואה חשבון גבי מימון.

אני חייב לומר לך, הרי ביצוע הנחיות ממשלה זה אחד הדברים המרכזיים של עובדי מדינה, של משרד ממשלתי. עשר שנים אתה נמצא במצב שאתה לא מבצע הנחיות ממשלה.

זה חוק חוק.

אני רוצה לשאול את היועצת המשפטית, את אודליה, החוק לא מתבצע תחתייך. מה קורה? מה את עושה בשביל זה?

זה לא תחתי.

זה תחתייך. מתי יצאה התראה ראשונה בנושא הזה מצידך?

ברגע שנודע לי שזו הדרישה של החוק אני אמרתי שזה מה שצריך להיעשות.

מתי זה נודע לך?

אני מטפלת בנושא הזה בערך שנתיים.

ראש הרשות למשפט טכנולוגי במשרד המשפטים.

אודליה תראי, מה זה הובא לידיעתך הדבר הזה. את הפכת להיות היועצת המשפטית של משרד הפנים.

אני לא היועצת המשפטית של משרד הפנים.

מי זה היועץ המשפטי?

זמרת.

יש משהו מאוד מוזר בהתנהלות. היועץ המשפטי לא נמצא כאן וגם המנכ"ל לא נמצא והשר היה פה עשר דקות. אני מודיע לכם אני לא מוכן לקיים דיון בצורה כזאת. אתם מביישים את הוועדה. אני הסכמתי עם השר כי אני הייתי בטוח שיש פה את הגורמים הרלוונטיים. זה שר חדש. אם זה היה שר שהיה מספיק זמן אני לא הייתי מוכן שהוא לא יהיה בדיון. אבל זה שר חדש. אני אומר לכם אני סוגר את הדיון כרגע. אני לא מקיים דיון בצורה כזאת. אני גם אודיע לכם וזה יירשם כרגע בפרוטוקול. אני מודיע שהוועדה לביקורת המדינה החליטה שהיא בוחנת מקרים של אחריות אישית וכשהיא מגלה אחריות אישית ורשלנות יש לוועדה הזאת את הכלים כולל פניה לנציב שירות המדינה וליועץ המשפטי לממשלה לבחון רשלנות במילוי תפקיד. אז אני אומר לכם שאני מתרשם שיש כאן רשלנות במילוי תפקיד.

אני מציע שהיועץ המשפטי של הוועדה יוציא מכתב מסודר לשר הפנים שיודיע לו מה הוראות החוק לגבי עבירה פלילית בשם הוועדה כמובן.

באמת אני לא מבין את זה. את יועצת משפטית. את עובדת עם היועץ המשפטי. היועץ המשפטי מעליך. בא לידיעתך שבמקרה יש פה חוק. מה זה במקרה? הרי אם אזרח היה פה מפר איזשהו חוק שקשור למשרד הפנים אתם הייתם רודפים אותו עד אין קץ. אבל אתם בעצמכם מפרים את החוק.

כי זה נוח.

הרשות לאבטחת מידע אומרת שזו עבירה פלילית. השאלה מה היועץ המשפטי לממשלה עשה בנושא.

אנחנו את השאלות האלה נציג בפני הגורמים הרלוונטיים. מי נמצא כאן מטעם הביטוח הלאומי?

אני.

מה תפקידך?

אני סמנכ"ל תמ"מ.

אני רוצה להפסיק את הדיון הזה. אני רוצה שבפעם הבאה גם מנכ"ל הביטוח הלאומי יגיע לישיבה. כי גם מבחינת הביטוח הלאומי. נכון שההערות לגבי הביטוח הלאומי פחותות אבל גם שם יש נושא עיקרי. אני אתייעץ עם היועץ המשפטי כיצד אנחנו נוהגים בדיון. יקוים דיון בהקדם שבו ידרשו להגיע אנשים שהם רלוונטיים לתפקיד. מי שלא יגיע יוצא נגדו צו הבאה של הוועדה כדי שהוא יגיע. והגיע הזמן גם שתכבדו את החוק שאתם ממונים עליו ובוודאי את הוועדה לביקורת המדינה בכנסת. אני נועל את הדיון. תודה רבה.

הישיבה ננעלה בשעה 11:30