PAGE
32
הוועדה המשותפת לוועדת המדע והטכנולוגיה ולוועדת הפנים והגנת הסביבה

לחקיקת חוק הכללת אמצעי זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע

23.11.09


הכנסת השמונה עשרה






נוסח לא מתוקן

מושב שני









פרוטוקול מס' 19

מישיבת ועדת המדע והטכנולוגיה

יום שני, ו' כסלו תש"ע (23 בנובמבר 2009), שעה 11:00

דין וחשבון על פעילות הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים בשנת 2008 – פרק החתימה האלקטרונית

חברי הוועדה: מאיר שטרית – היו"ר

עו"ד יורם הכהן – ראש הרשות למשפט, טכנולוגיה ומדע, משרד המשפטים

עו"ד עמית אשכנזי – יועץ משפטי ורשם הגורמים המאשרים, משרד המשפטים

יצחק גורדון – ממונה, פרטיות וטכנולוגיה, משרד המשפטים

עו"ד הילה דווידוביץ - יעוץ וחקיקה, משרד המשפטים

מורן בר – מתמחה, משרד המשפטים

אילן יום טוב – סגן מנהל ממשל זמין, משרד האוצר

יובל כמראן – צוות כרטיס חכם וחתימה אלקטרונית, משרד האוצר

זיו סליטר – ממשל זמין, משרד האוצר

עו"ד דניאלה רוט – רשות המיסים, אגף מע"מ, משרד האוצר

בועז דולב – מנהל ממשל זמין ותהילה, משרד האוצר

אלירן אלימלך – סחר חוץ, משרד התמ"ת

סגן ג'ני לובובסקי- מפקדת פרקליטות צבאית ראשית, משרד הביטחון

מירב כהן – לשכה משפטית, משרד המדע והטכנולוגיה

עופר ישי – מומחה לחתימה אלקטרונית, אגף תקינה, מכון התקנים הישראלי

שים רסקין – מערכות מידע, רשות לניירות ערך

פרידה סופר – מזכ"ל, המועצה הלאומית למחקר ולפיתוח אזרחי

ריקרדו הסליס – מנהל תוכנה, קופת חולים מאוחדת

יחיאל גפנר – ראש אגף מחשוב ומערכות מידע, קופת חולים כללית

ישראל גולדנברג – אבטחת מידע, שירותי בריאות כללית

דורון שקמוני – איגוד האינטרנט הישראלי

אבי נגר - מנכ"ל חברת סקוירינט

זאב שטח - מנכ"ל חברת קומסיין

רועי צימר – מנהל תפעול, חברת קומסיין

עו"ד זאב מאי – יועץ משפטי לחברת קומסיין

עו"ד שרון מאי – יעוץ משפטי לחברת קומסיין

ארי סרור – חברת ARX
תמיר לביא – מנהל תפעול, חברת סקוירינט

משה שפר – מנכ"ל חברת שפר, עיבוד נתונים אוטמטי

עו"ד אייל שגיא – חברת מייקרוסופט בישראל

יעקב גרוסמן - מנכ"ל חברת וונדרנט, חתימות כבת יד אלקטרוניות עם יכולת ביומטרית

מהנדס איתי ויסברג – מנכ"ל חברת אותנטי מערכות

מיכאל פלדבאו – מנכ"ל רשום קום בע"מ

ד"ר גדי אהרוני - מנכ"ל חברת אלוגריתמים

יובל שיבולי- מנהל מכירו, מחקר אלוגריתמים ARX
דניאל זילברשטיין – מנכ"ל טסנת בדיקות תוכנה

עו"ד חיים רביה – מומחה בתחום המשפט והאינטרנט

איתי ינובסקי – הפורום הישראלי לאבטחת מידע

גל אלטון – יועץ לנושא חתימות דיגיטאליות

מאיה אייזנברג – משרד המשפטים

יער אמיר – משרד המשפטים

ניב לילאן – משרד המשפטים

אילנה ברודו – משרד המשפטים

ענת לוי

נוגה לנגפור - חבר המתרגמים בע"מ

דין וחשבון על פעילות הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים
בשנת 2008 – פרק החתימה האלקטרונית

בוקר טוב לכולם. חברים בוקר טוב, אנחנו פותחים בדיון. אני מברך את כל המשתתפים בדיון. זומנו פה כל האנשים הרלוונטיים. המטרה של הדיון היום היא לשמוע דיווח של רשם גורמים מאשרים. הקימו יחידה חדשה במשרד המשפטים שהיא מאחדת את כל הגורמים המאשרים במשרד המשפטים שפעם היו בעצם אגפים נפרדים במשרד המשפטים. על פי חוק הגורמים המאשרים אמורים לדווח לכנסת אחת לשנה. נכון שמתוך שלושת הגורמים רק שני גורמים אמורים לדווח אבל הרשמים מגישים היום דווח בשם שלושת הגורמים. בעתיד אמורים לתקן את החוק בעניין זה כדי להבטיח שהדיווח שנמסר לכנסת יהיה באמת דיווח של הגורמים המאשרים. אני אתן את רשות הדיבור כמובן לאחראי במשרד המשפטים, ראש הרשות שהוא יציג את העניין ואת הדוחות, ואז נפתח את הדיון. יורם הכהן ראש הרשות למשפט, טכנולוגיה ומידע. בבקשה.

בוקר טוב לכולם. הרשות למשפט, טכנולוגיה ומידע היא רשות חדשה במשרד המשפטים. אני מוניתי להקים אותה לפני שלוש שנים. היא מאחדת שלוש פונקציות רגולציה. היא רשות שניתנו לנו שתי משימות עיקריות. הראשונה שבהן היא להיות רשות הגנת המידע האישי בישראל. בעצם השם הפורמלי של הרשות הוא הרשות המשפטית לטכנולוגיות מידע והגנת פרטיות. המוקד שלנו הוא הממשק בין הגנת פרטיות וטכנולוגיית מידע. במשרד המשפטים על שנת 2006 היו שלוש פונקציות שהתעסקו בממשק בין משפט וטכנולוגיה. הראשונה בהם רשם מאגרי מידע שהיא מפקחת על קיום הוראות חוק הגנת הפרטיות. השנייה רשם שנותן נתוני אשראי, זה בעצם מקרה פרטי של הנושא של הגנת הפרטיות. השלישית היא רשם גורמים מאשרים שהיא הפונקציה הרגולטורית שמתעסקת בנושא של חתימה אלקטרונית.


למעשה מדינת ישראל גיבשה מודל מאוד מאוד ייחודי של הגנת מידע אישי מכיוון שהיא כללה תחום שנקרא הזהות האלקטרונית ביחד עם הפרטיות ושמה אותם תחת מעטפת אחת. ברוב המקומות בעולם הנושא של הגנת הפרטיות או שהוא עומד לבד או שהוא נושק לנושא של חופש מידע, אבל אנחנו שמנו את זה יחד עם זהות אלקטרונית וכל פעם שאנחנו מציגים את זה אנשים בוחנים את זה בעניין רב. בשלוש השנים האחרונות היה תהליך של לקחת שלוש קבוצות רגולציה שעצם היו תחת מנכ"ל משרד המשפטים והיו די מוזנחות מנקודת מבט של תשומת הלב של המשרד. לשים אותם תחת רשות שפועלת בצורה אחידה של רגולציה ואנחנו נמצאים בהקשר הזה בשלבים הסופיים של ההקמה של הרשות. יש תהליכים במדינת ישראל שתכופים בהם גם שינויי כוח אדם, גם שינויי תהליכים שלוקחים זמן. יש משאבים די מרשימים לתחום שלנו והיום הרשות נמצאת בשלבים האחרונים של תהליכי האיוש שלה. יש לנו 24 עובדים וביחס של גודל האוכלוסייה במדינת ישראל זה בהחלט בסדר.

אתם כותבים זה לא נראה בשלב זה בר השגה. מה הבעיה? חסר עובדים?

הבעיה היא לא כמו שאתה בוודאי יודע לא העובדים אלא התקנים לעובדים.


אחד הדברים שהנחו אותי בהקמת הרשות ומי שמכיר את העבודה שלי יכול להעיד על זה היום באינטראקציה ברשות היה לא להתפשר על איכות כוח האדם.

למה רק עורכי דין? אולי תשקול להעסיק בעלי תפקידים אחרים בכירים? אין יתרון לעורך דין בתחום האשראי על פני איש מקצוע בתחום.

כל עורכי הדין שהגיעו לרשות, קודם כל היה צריך לעשות מכרז פנימי. אם אתה מכיר את התקן לעורכי דין אז אתה מבין שזה רק לעורכי דין. הרשות היא ייחודית שבהגדרות התפקיד ברשות יש דרישה שיהיה רקע בטכנולוגיה ובנוסף רקע במשפט. אבל בפועל כל האנשים שהגיעו אל הרשות בפרט בטכנולוגיה למרות שהם עורכי דין הם עורכי דין עם רקע בטכנולוגיה, מי יותר מי פחות. אני למשל, מי שמכיר אותי יודע שיש לי ניסיון די עשיר בעולם הטכנולוגי. יש אנשים שיש להם ניסיון בחקיקה טכנולוגית. יש אנשים שיש להם ניסיון בטכנולוגיה ממש ונכון להיום זה חלק מהתהליך של קצב ההקמה של הרשות. זה לא כל כך טריוויאלי למצוא אנשים כאלה אבל אנחנו הצלחנו להגיע למצב שבו כל העובדים החדשים ברשות למשפט וטכנולוגיה חוץ מתקן אחד שהוא תקן מנהלי הם כולם אנשים עם רקע טכנולוגי וזה בא לידי ביטוי ביכולות של הרשות באופן שבו אנחנו מתפקדים.

כמה אנשים היום יש ברשות?

ברשות היום יש עשרים.

אז היעד הוא עוד ארבעה אנשים עד סוף 2009.

זה תהליך. אנחנו קולטים. השבוע יש לנו ועדת מכרזים לשני אנשים. בשלב הזה אנחנו מחפשים עורכי דין. ככל הנראה נייצר כמה תקנים שהם טכנולוגים אבל בהקשר הזה בשרות המדינה קל מאוד להביא עורכי דין, קשה מאוד להביא אנשי טכנולוגיה כעובדי מדינה ברמה גבוהה, מכיוון שהשכר במגזר הטכנולוגי הוא שכר הרבה יותר גבוה. לכן המודל שאנחנו הלכנו עליו היה להביא אנשים שיש להם רקע בטכנולוגיה ובמשפט. אנחנו נעזרים ביועצים מקצועיים ב-outsourcing בסוגיות מקצועיות. מי שעבד מולנו כבר ראה בין אם זה אנשי אבטחת מידע, בין אם זה אנשי אקריפטוגרפיה, בין אם זה אנשי נתונים, זאת אומרת המודל לעבודה הוא שהרשות כרשות היא רשות משפטית. אגב השם שלה הוא רשות המשפטית לטכנולוגית מידע והגנת הפרטיות. יש אצלנו את היכולת להבין סוגיות טכנולוגיות וכשאנחנו צריכים להתעמק בסוגיה טכנולוגית מעמיקה אנחנו בדרך כלל לוקחים יועץ שזה תחום ההתמחות שלו. קשה להביא אנשים טכנולוגים שמומחים בכל דבר. לכן המודל של לקחת אנשי טכנולוגיה נקודתיים ב-outsourcing הוא מודל יותר נכון.


בתחום הרגולציה ואנחנו תיכף נשמע על הרגולציה הספציפית שעשינו בנושא של חתימה אלקטרונית. אבל צריך לזכור שעיקר המשימות הרגולטוריות של הרשות הן סוגיות של הגנת מידע אישי, חוק הגנת הפרטיות ששם אנחנו בעיצומו של מהלך מאוד מאוד מרחיק לכת של שינוי הרגולציה בנושא של הגנת מידע אישי בתזכיר של חוק הגנת הפרטיות שיופץ בתקופה הקרובה. וזה לא נושא הדיון פה אבל אני יודע שאדוני מאוד מתעניין בנושא הזה. אנחנו נשמח לעדכן אותך בנושא.


אני תיכף אציג את המבנה הארגוני של הרשות כדי שתבינו איך אנחנו עובדים. כמו שאמרתי המשימה העיקרית היתה לקחת שלוש פונקציות שכל אחת מהן לא תפקדה אופטימלית בהיבטים שונים ולעשות אותן למשהו אחיד שעובד ברגולציה. באנגלית זה נקרא The Israel Information Technology Authority.


הרשות קיבלה את הסמכויות אליה בהחלטת הממשלה שהקימה את הרשות של שלושת פונקציות הרגולציה,, רשם מאגרי מידע, רשם גורמים מאשרים, רשם נתוני אשראי. כעיקרון הפונקציות האלה מסורות לי. הסמכויות הקבועות בחוק בחוקים השונים אמורות לפי החלטת הממשלה לעבור אליי באופן פרסונאלי בשל הרקע שלי בתחום החתימה האלקטרונית. בשלוש שנים האחרונות הסמכויות באופן פורמלי היו אצל עמית אשכנזי. לפי חוות הדעת של היועץ המשפטי של משרד המשפטים, ניגוד העניינים שלכאורה היה ותפקידי כבר פג אז אנחנו בתקופה הקרובה כבר נעביר את הסמכויות הפורמליות גם אלי ואז באופן עקרוני הרשות מפעילה את הסמכויות באמצעות המבנה שלה שהוא מחולק לשלוש מחלקות: מחלקת רישום ופיקוח מפעילה את כלל סמכויות הרגולציה, עוסקת בנושא של מתן רישיונות במקרה שלנו לשירותי נתוני אשראי וגורמים מאשרים. היום מטפלת בנושא של רישום מאגרי מידע בפיקוח על בעלי הרישיונות ועל נושא של המאגרים הרשומים. לידה יש מחלקה שהיא מחלקה חדשה במחלקת אכיפה. המחלקה הזאת לפני מספר חודשים קיבלה סמכויות חקירה פליליות בתחום של הגנת פרטיות בהסמכה של השר לביטחון פנים והיא מבצעת פעולות חקירה פליליות בסוגיות של הגנת פרטיות ונתוני אשראי, ומתמחה בהיבטים המאוד מעמיקים של חקירה פלילית במאגרי מידע ממוחשבים.

אנחנו מקימים שם היום מעבדה פורנזית שזו מעבדה שעוסקת בחקירת מחשבים. המחלקה הזאת נמצאת עדיין בתהליכי הקמה. בראש מחלקת רישום ופיקוח עומדת עורכת דין ריבקי דבש שהתעסקה בנושא של פרטיות במשרד המשפטים באמצעות חקיקה. בראש מחלקת אכיפה עומדת עורכת הדין מילי בך שהיתה ראש צוות חקירות ברשות הגבלים עסקיים. המחלקה המשפטית נותנת גם יעוץ פנים לפעולת הרשות וגם משמשת מוקד הידע של משרד המשפטים בכל מיני סוגיות של משפט וטכנולוגיה שיכולות לנוע מסוגיות שקשורות להגנת מידע אישי ולסוגיות שעולות בחקיקה. המאגר הביומטרי לדוגמה. מה הרקע המקצועי. סוגיות של PRM שזה עניינים שקשורים לזכויות יוצרים או הגנה אלקטרונית על זכויות יוצרים. חתימה אלקטרונית, מסמכים אלקטרוניים, דברים מהסוג הזה. עמית אשכנזי הוא ראש המחלקה וכמו שאמרתי עמית תפקד בשלוש השנים האחרונות גם כרשם גורמים מאשרים.


בשלב הזה אני רוצה להעביר את השרביט לעמית להציג דוח על פעילות הפיקוח שאנחנו עשינו. כיוון שלא נעשה דיון כזה בכנסת בשנה הקודמת אז אנחנו נסקור בסקירה שלנו בעצם שנתיים של פעילות. בשל הסכם ניגוד עניינים שלי אני לא התעסקתי בפעולות הרגולטוריות הישירות של בעלי רישיונות ומי שעשה את זה, זה עמית והוא יכול להציג את זה.

בוקר טוב. התפקידים הם בתהליכי מעבר עכשיו אל מחלקת רישום ופיקוח כך שבשנה הבאה אני מקווה שמי שיציג את הדברים תהיה ריבקי דבש. אני עושה מיד zoom in לחוק חתימה אלקטרונית. חשבתי בפתח הדברים רק כדי שתהיה שפה משותפת והנושא לא נדון זמן מה בכנסת.

אתה מדלג על העניין של מאגרי מידע?

כן.

למה?

כי החובה להגיש דוח לועדת המדע הוא בענייני חתימה אלקטרונית.

על מאגרי מידע זה לא חל?

לא. זה דוח לפי חוק הגנת הפרטיות שמוגש פורמלית.

יכול להיות שבעתיד יהיה איזשהו הגיון לאחד את כל הדיון בדוח של הרשות בוועדה אחת. נכון להיום חוק הגנת הפרטיות הוא בסמכות של ועדת חוקה ולשם אנחנו מדווחים. וחוק הגנה אלקטרונית הוא אגב מפוצל.

מאגרי מידע על פי תקנון הכנסת זה תחום ספציפי של ועדת המדע. לכן מן ההיגיון הוא לאחד את כל הדיווח של הרשות במקום אחד ולא לפזר אותם לוועדות שונות. כי בדוח שאתם כתבתם אני ממש מוטרד כשאתה כותב שיש לפי הנתונים, אתם מציעים היום להכיר את המהלך, בואו נקדיש כמה דקות לעניין הזה לפני שנעבור לעניין של חתימה אלקטרונית. לפי הנתונים שאתם כותבים בדוח על מאגרי מידע אני פשוט מוטרד כי אתם כותבים פה שבשביל ליישר קו אתם הולכים להקל על חלק ממאגרי המידע כך שבסוף 2010 יקבלו אישור 1500 מאגרי מידע שהיה להם משעמם. הנה, "ישור קו לגבי מאגרי מידע שהגישו בקשות רישום בעבר וטרם קיבלו אישור כאמור למרות חלוף 90 הימים, כ-1500 מאגרים. מטרת מהלך זה היא לצמצם את מספר מאגרי המידע הממתינים לאישור בשליש" . זאת אומרת, אם זה בשליש יש כ-5000 מאגרי מידע בלי רישיון. "צמצום מאגרי המידע הממתינים לאישור רשם לעשרות ספורות בסוף שנת 2010". זאת אומרת העניין פה הוא ממש פצצה. כיוון כשאני רואה את המלחמה, מעניין שאין פה את אנשי אבטחת הסביבה ואינטרנט והחברה להגנת האזרחים, כולם פה, אני לא ראיתי פה את הפעילים המרכזיים.

כי הדיון נסוב על חתימה אלקטרונית.

יש פראות מוחלטת בשמירה על מאגרי מידע והדבר היחידי שהולך להיות באמת מוגן הכי חזק דווקא עליו יש התקפה. כל היתר, כל מאגרי המידע הקיימים היום שהוקמו בלי חוק, בלי אישור, בלי הגנה, בלי כלום, כולל אגב טביעת אצבעות, איש לא מפקח עליהם.

אז אני רוצה להגיד בעניין הזה כי זה לחלוטין בתחום הטיפול שלי. ראשית, אני אשמח מאוד אם הכנסת תייחד דיון ספציפי לנושא הזה של הגנת פרטיות ומאגרי מידע בישיבה של הוועדה אנחנו נשמח מאוד. לגבי מאגרי המידע הרשומים, זה יותר התייחסות לגבי איזשהו תהליך בירוקרטי . יש תהליך היום של מאגרי מידע שקבועים בחוק הגנת הפרטיות, צריך לרשום אותם אצל רשם מאגרי מידע. אני אגיד משהו קצר על העניין הזה, זה דיון די ארוך

הנקודה היא שצריך להיות איזה הליך של פיקוח עליהם.

ההליך של הפיקוח אנחנו מטפלים היום בהגדלה מאוד משמעותית מצד אחד של סמכויות האכיפה שלנו שזה דבר אחד וגם שינוי במשטר הרגולטורי להתאים אותו. חוק הגנת הפרטיות הוא חוק מ-1981. המנגנון של רישום מאגרי מידע הוא חוק שגובש בעולם שבו היו 300 מחשבים במדינת ישראל. אנחנו נמצאים היום שבחדר הזה להערכתי יש סדר גודל של לפחות מאתיים מאגרי מידע שלכאורה היו צריכים להירשם אצל רשם מאגרי מידע כיוון שכל אחד בטלפון שלו ואני מניח שלרוב האנשים פה יש טלפונים חכמים, יש להם את האי מיילים שלהם שהם מקבלים כך שאנחנו צריכים לשנות את המשטר הרגולטורי. רישום מאגרי מידע לא תורם לדעתי ברוב המקרים שום דבר להגנת הפרטיות. לכן אנחנו מכינים תזכיר ואנחנו עשינו על זה עבודה מאוד מאוד יסודית ברשות למשפט טכנולוגיה, ולאחרונה מול גורמי המקצוע במשרד המשפטים כדי להתאים את הסביבה הרגולטורית במדינת ישראל למאה העשרים ואחת ולא לשנת 81, ואני אשמח מאוד אם הוועדה תזמן פגישה בקשר לנושא.

אני אזמן ובוא נקבע אם כן שהיום אנחנו לא דנים במאגרי מידע. שאני לא אגיד שדנו. לא דנו.

מאגרי מידע, אנחנו נשמח מאוד. אנחנו חושבים שזה נושא שחשוב לדון בו.

נעבור לחתימה אלקטרונית.

חתימה אלקטרונית. אני חוזר ככה על כמה דברים בסיסיים. במסגרת הדוח כתבנו את הדברים במפורט, גם בדוח של השנה וגם בדוח של שנה שעברה. למצגת בעיקרון יש שלושה חלקים. חלק אחד נועד להסביר שוב רק את מונחי היסוד כדי שתהיה שפה משותפת. חלק שני נועד לדבר על פעולות הפיקוח. קצת כי הדברים הכתובים ואני לא רוצה להעמיס שקפים. אני יכול לפרט כמובן בהתאם לשאלות חברי הוועדה. הדבר השלישי זה דברים נוספים שהם לא פיקוח על הגורם המאשר שאנחנו עושים בהקשר של חוק חתימה אלקטרונית.


אז החוק נועד להגביר את הוודאות לגבי פעולות משפטיות המתבצעות באופן אלקטרוני. השיטה, הסדרת תוקפה המשפטי ומעמדה הראייתי של החתימה. זה בעצם מה שהחוק הזה עושה. הוא קובע מתי משהו טכנולוגי יוכר במשפט. מונחים יסודיים בחוק, חתימה אלקטרונית מאובטחת, חתימה אלקטרונית מאושרת, תעודה אלקטרונית, גורם מאשר. חתימה אלקטרונית מאובטחת אלה ההגדרות. אני אחזור על זה אחר כך אם צריך. מהטכנולוגיה למשפט יש לנו שתי הנחות יסוד מעולם ההצפנה בכלל. אלה מאפשרות לנו בכלל להתקדם. אנחנו מניחים שבין שני יסודות ייחודיים יש קשר חד ערכי. ניתן להשתמש בשיטות הצפנה מקובלות במפתחות. כתוצאה מזה בחוק יש לנו ביטוי שנקרא אמצעי חתימה ואמצעי לאימות חתימה, שניים שמקיימים ביניהם קשר חד ערכי. זה לא משפטי, זה טכנולוגי.


איך זה בא לידי ביטוי בחיים? יש לנו את כרטיס תמוז שאנחנו רואים אותו. עליו יש משהו שנקרא אמצעי חתימה. טעות מקובלת היא שהכרטיס הוא אמצעי החתימה, ולא היא. אמצעי החתימה זה הסוד שנמצא על השבב. על השבב יש כל מיני סודות. זה בעצם הסוד ההצפנתי. לאותו מפתח שאנחנו רואים פה ששמור בסוד על הכרטיס יש לו בן זוג שנקרא בחוק אמצעי לאימות חתימה. זה אותו מפתח ציבורי. הציבורי אין בעיה להוציא החוצה, אין בעיה להשתמש בו. איך זה עובד במציאות?


בחתימה אלקטרונית מאובטחת יש לנו מסר אלקטרוני שהוא מסמך שאנחנו רוצים לחתום. כאן כתוב מסמך טקסט אבל יש לנו שימושים של חתימה על תמונות, חתימה על מסמכים סרוקים. יש להם שימושים משפטיים. אנחנו משתמשים בכרטיס באמצעות אמצעי החתימה חותמים אותו ואז שולחים את המסר אבל לא עם המפתח הפרטי שהוא סודי אלא עם הבן זוג שלו. וכאשר זה מתקבל הנמען מקבל עכשיו את המסר ויודע לבדוק באמצעות המפתח הציבורי את האמינות של המסר, שהוא לא השתנה.

מפתח ציבורי הוא אצל כולם אותו מפתח?

לא. הוא הבן זוג של המפתח הפרטי אבל הוא פומבי. לכל מפתח פרטי יש בן זוג ייחודי שלו. לכל אדם יש מפתח ציבורי אחד שמזהה אותו וככה אתה יודע שהמסר התקבל.


רק נקודה לחדד. הרבה פעמים לכרטיס יש קוד גישה כמו כספומט. קוד הגישה הזה לכרטיס זה לא המפתח. זה גם חשוב. קוד הגישה נועד לוודא שאתה באמת רוצה לחתום. המפתח הוא בתוך השבב, אתה לא רואה אותו. ואז התוצאות המשפטיות לפי החוק כי אמרנו המטרה של החוק היא לייצר את הדבר הזה כקביל חוקית. סעיף 3 לחוק אומר שהקובץ הזה שהתחלנו איתו, המסר האלקטרוני במקור הוא קביל משפטית, ואנחנו גם יודעים מאיפה הוא התקבל. הוא יהיה קביל בכל הליך משפטי ויהווה ראייה לכאורה שהחתימה היא של בעל אמצעי החתימה שהמסר האלקטרוני הוא זה שנחתם על ידי בעל אמצעי החתימה.


כשהסעיף הזה התקבל ב-2001 ועד היום גם הוא חידוש מאוד משמעותי בדיני מחשבים בישראל כי הוא מאפשר לקחת קובץ ולהגיש אותו לבית משפט בפרוצדורה. זה חידוש די חשוב.

גם קובץ קיים שלא נחתם על ידי האיש עצמו?

כן. כן.

זאת אומרת היום יש הכרה משפטית? אם אני סורק קובץ כלשהו יש הכרה משפטית לאימות הקובץ הזה?

כן.

איך?

מה בעצם אומרת החתימה? זו שאלה מהענף המשפטי שנקרא דיני ראיות. אבל מה בעצם אומרת החתימה? אנחנו עושים פה אנלוגיה למה שנקרא העתק מהימן למקור. אני עכשיו נותן לך את המסמך הזה שאני כתבתי אותו ואתה חותם עליו עם החתימה שלך. החתימה שלך מעידה שזה המסמך שהיה בפניך. לפעמים יש לזה חשיבות. למשל, בהליכים משפטיים עורך דין מגיש כתב תביעה שהוא עצמו כתב אבל הוא מצרף לזה כל מיני מסמכים שהוא קיבל מהקליינט. לא מסמכים שהוא ייצר.

למשל מסמכים של ממשלה שנאגרו במחסנים אינסופיים של מאות קילומטרים של מדפים, תיקים וניירת אינסופית שעולים למדינה הון עתק. אחת המחשבות של ממשל זמין היה לבטל את כל הסיפור הזה ולפרק את המחסנים הללו ולהחזיר אותם לשימוש תעשייתי במקום אחסון של ניירות ולהפוך את הכול לדיגיטאלי. כמובן שהבעיה שעלתה על הפרק מיד היתה, לפי חשבוני זה היה חוסך למדינה מאה מיליון שקל בשנה רק מה שנקרא אחסנה. הבעיה שעלתה היא שיש ארכיב ממשלתי. מאות קילומטרים של מדפים. אתה סורק את הארכיב הממשלתי הזה. מי יאמת שהמסמך הזה שנמצא בארכיב הממשלתי הוא מסמך אמת? חל עליו חתימה אלקטרונית. מי מאשר את זה? מישהו שבארכיב? מחסנאי? ארכיבר? הגנז הממשלתי? זה פטור בחוק. אני שואל אותו מבחינת החוק.

בחוק יש פתרון לזה.

יש לי תשובה ארוכה ותשובה קצרה. שוב זה שווה דיון נפרד. זה קשור לעולם אחר שאנחנו מטפלים בו שנקרא ארכיב אלקטרוני. יש תשובה דור א' ותשובה דור ב'. תשובה דור א' באמת כמו שנאמר יש תקנות העדות שאלה תקנות שחלות על מה מותר לעשות כשאתה רוצה להגיש לבית משפט לא את המקור אלא הצילום שלו. ומה שהתקנות האלה הסדירו בעבר זה את עולם המיקרופיש. ואז בא מנהל בתי המשפט השופט בועז אוקון לפני כמה שנים ואמר שאין לו את המקום בארכיונים והוא מבקש שיסדרו איזשהו פתרון. בעקבות זה תוקנו תקנות העדות ונוסף שם הסדר לנושא של אפשרות לסרוק מסמכים ולבאר את המקור. הפרשנות שמופעלת בתוך המדינה בחלק מהמקומות משתמשת בחתימה אלקטרונית. זה פתרון דור א'.


ואתה שואל שאלה מאוד מדויקת שהתשובה לה היא עדיין משתנה איך בעוד עשר שנים ידעו שבאמת זה נכתב נאמן למקור באותו ארכיון? הרעיון שאנחנו חושבים עליו וקיים היום רק במקום אחד משפטית, עשינו אותו בתקנות המשכון. יש במשרד המשפטים יחידה מיוחדת. יצרנו שם מוסד משפטי שנקרא חתימה מוסדית של רשם המשכונות. כלומר יש פונקציה של רשם המשכונות, יש לו חתימה אלקטרונית עם תעודה אלקטרונית של המדינה. התעודה אומרת זה רשם המשכונות. אתה עכשיו עושה שאילתא דרך ממשל זמין ואתה רואה רשם המשכונות על החתימה.

מה לגבי הגנז?

נגעת בנקודה. בגנז המדינה משך שנים ויש על זה דוחות מבקר המדינה לא היה טיפול מספיק בעניין הזה בגלל בעיות של משאבים. בשנה האחרונה גנז המדינה גייס צוות גדול והוא מקדם את זה בקצב מהיר הרבה יותר מכל מה שהוא עשה עד עכשיו. שווה דיון נפרד. זה פתרון דור ב'. אין עדיין פתרון רוחבי. זה מה שאני יכול להגיד משפטית כרגע.

התקנון של המדינה קובע שכל משרד צריך בעצם להעביר את כל הארכיב שלו לגנז הממשלתי. בפועל אגב זה רחוק מאוד מהמציאות. כל משרד מחזיק במרתף שלו ארכיב. כל משרד שוכר ארכיבר חיצוני, זה בא מחברות די מפורסמות שזוכות במכרזים, הם לוקחים מהמשרד נגיד 30-40-50 ארגזים. מאחר והמדינה משלמת להם לפי ארגז לאחסון אז להם זה נהדר לבוא לקחת כמה שיותר ארגזים. עכשיו צוברים בארגזים האלה את כל הזבל, תסלח לי. מתייקים הכול. הארכיברים עושים חיים משוגעים. לוקחים את הארגזים האלה, שומרים אותם אצלם. אני לא יודע מתי אי פעם מישהו באחד המשרדים פנה לאותו ארכיבר ואמר לו אני צריך תיק מסוים. אם מישהו יודע מה כתוב שם אני צנצנת. זה סתם בזבוז כסף, זמן, מקום וכן הלאה. עכשיו זה אבסורד. אני כבר לא מדבר על הגנז הממשלתי. עכשיו זה כבר בסוף שנגמר העניין, ומתייאשים, ונגמרת קדנציה. מעבירים כל חומר לגנז הממשלתי אז הוא כבר תוקע את זה בתוך מאות קילומטרים אחרים שאף אחד לא יודע מה גורלם. הדבר הזה מחייב, נכון זה לא אחריות שלכם. זה אחריות של האוצר. ממשל זמין וכל זה. אני גם מעיר לכם בקשר לממשל זמין.

אנחנו מעורבים בזה, תומכים בזה משפטית. במכרז האחרון של שירותי הגנה של המדינה שבועז הזכיר יש פרק שמדבר על איך אנחנו מבטיחים לאורך זמן. יש פה דברים. אנחנו מקבלים את ההערה.

אבל צריך להגיד גם וזה כן נוגע לכם שהיתה הצעת חוק ממשלתית שהיתה מקלה מאוד את הסריקה של המסמכים זו הצעת חוק של העתק מקור, ומשרד המשפטים משום מה לא המשיך בה וההפסדים שנגרמים למשק האזרחי לעומת המשק הממשלתי הם רבים יותר. משרד המשפטים לא המשיך את זה. לא השיתו עליו חוק רציפות בכלל. פשוט זנחו את זה לפני כמה שנים. כשאתה עובד מול גופים ציבוריים כמו בנקים וחברות ביטוח וחברות ביקורת יש להם צורך אמיתי בסריקה של מסמכים. היתרונות הם לא רק בחיסכון הכספי אלא גם בזמינות של המסמכים האלה.

אני רק אגיד כי חיים רביה היה גם בדיון ההוא. זה משיק. זה בהחלט משיק. הרעיון להשתמש בחתימה אלקטרונית, בגלל זה אמרתי הוא היה חוק פורץ דרך ב-2001 בעולם של המסמכים הממוחשבים והוא חוק שקיים. הוא עבר כאן. יש בו היום הקלות שמאפשרות לנו לפתור בעיות במקומות אחרים. זה מה שאנחנו עושים. לצורך העניין נתנו את הדוגמה של חתימה על מסמכים סרוקים. חתימה אלקטרונית מאובטחת. בקיצור חתימה אלקטרונית מאובטחת ככה היא נראית בפרוצדורה, ככה היא נראית בתוצאות המשפטיות.


אני אעביר הלאה. מה שחסר בתהליך הזה, זה איך אתה יודע מי הוא בעל אמצעי החתימה. איך אתה יודע בקשר לאותם 5 מיליון? ולזה יש שני פתרונות. פתרון אחד הוא שאתה מכיר אותו מראש ופתרון אחר הוא הפתרון של גורם מאשר לפי החוק. זה גורם שמצוי תחת הפיקוח שלנו והתפקיד שלו זה, כמו שאומרים על רגל אחת, זה זיהוי של בעל אמצעי החתימה. הוא צריך לדעת מי הבן אדם הפיזי מאחורי זה ולספק לו תעודה. וגם כאן כמו המפתח הזה זו תעודה אלקטרונית. לא הכוונה כאן לכרטיס. הכוונה לקובץ. ואז כשאתה מקבל את הקובץ אתה אומר בעצם כל האנשים האלה שאנחנו רואים בתמונה מסתכלים על התעודה ואומרים אנחנו יודעים מאיפה זה בא. למה? כי הם סומכים על הגורם המאשר. המשלים של החובה הזאת הוא שהגורם המאשר צריך לקיים מרשם מקוון וזמין של תעודות אלקטרוניות שהוא פתוח לכולם. בתעודה כתוב איפה בודקים את הטופס של התעודה. לפי המספר הסידורי של התעודה.

זאת אומרת, אם בא אלי אדם ואומר לי זו תעודה שלי מאושרת, זו תעודה חתימה אלקטרונית, אני יכול להיכנס לאיזשהו אתר ולפי השם שלו לאתר באמת מי זה האדם הזה.

זה עוד יותר מתוחכם מזה. המערכות היום יודעות לבדוק את הדבר הזה באופן אוטומטי. התעודה בנויה באופן סטנדרטי. אתה אדם פרטי שמקבל תעודה.

אתה שולח לי מסמך מאיזשהו מקום ואומר לי, זה מסמך שלי ואני חתמתי עליו. אני כאדם פרטי יכול לוודא את זה?

כן.

אני לא גורם מאשר.

לא. אתה מסתמך. זה חשוב מאוד שתוודא את זה.

אני שואל שאלות פשוטות.

אני נורא שמח שאתה שואל שאלות פשוטות. בדרך כלל אלה השאלות הכי חשובות כי אלה השאלות שישפיעו.

איך אני יכול לבדוק?

בעיקרון התעודה בנויה במבנה סטנדרטי. בתעודה יש את השם של בעל התעודה ועוד כל מיני פרטים וגם כתוב השם של הגורם המאשר שהנפיק אותה. הוא לצורך העניין שר הפנים. למטה יש קישור אינטרנט. כאשר התעודה הזאת מגיעה אליך למחשב יחד עם אותו מסמך חתום מתבצעים בעצם שני תהליכים. תהליך אחד, בודקים את המסמך שלך מול התעודה שהמסמך אכן לא השתנה. זה התהליך שסימנו פה מפתח ציבורי, מפתח פרטי. בתוך התעודה יש את המפתח הציבורי. בודקים שהמסמך לא השתנה. הדבר השני שקורה, המערכת שלך לצורך העניין ה-outlook באופן אוטמטי בודקת שהתעודה של מי ששלח לך לא ברשימה הזאת באותו אתר באינטרנט. אתה לא רואה את זה אבל בסוף התהליך נדלק לך ירוק או אדום. כלומר זה תהליך לגמרי אוטמטי. לא מצפים באמת מבן אדם שייכנס לרשימה של קבצים ויבדוק. זה כמו, דוגמה הכי פשוטה להמחשה, כשמעבירים כרטיס אשראי בסופר והוא כותב מתקשר לאיזשהו מקום, אז זה פחות או יותר מה שקורה רק באופן אוטמטי. זה בא אוטמטית built in במערכות ההפעלה.

זה פרוטוקול קבוע מראש שקיים בכל המחשבים.

כלומר אדם יכול לשלוח לך באופן פרטי הביתה מסמך ולהגיד לך זה מסמך שלי. מה שהוא צריך לעשות זה בעצם להעביר את התעודה שלו במחשב שלו. נכון?

כשהוא חותם. הוא חתם על המסמך, שלח לך מסמך. עכשיו אתה קיבלת את המסמך. המחשב שלך רואה שזה קובץ מסוג מיוחד. זה קובץ עם חתימה עליו. ואז הוא עושה עליו כל מיני בדיקות. אחת הבדיקות היא שהמסמך לא השתנה מאז שהוא יצא ושתיים, שהתעודה הזאת לא בוטלה. הוא שולח שאילתא אוטמטית לאינטרנט. לכן מאוד חשוב המרשם של התעודות.

מישהו יכול לשלוח לאי מייל שלי מסמך כזה. יש לי אי מייל בכנסת. הוא יכול לשלוח לי מסמך כזה חתום ונראה איך זה עובד.

אני רק רוצה להוסיף על דבריו של עמית. בעצם מה שעמית מתאר לך זה תהליך של תקשורת בין מחשבים. מחשב אחד שולח את זה, מחשב שני אומר כן בדקתי. זה תהליך של תקשורת בין מחשבים כי לעיתים נדמה שזה תהליך של תקשורת בין אנשים שזה מקבל וזה שולח שזה כמו מעטפות נייר. זה לא כמו מעטפת נייר.

עכשיו יש פה עוד נקודה שהיא מאוד חשובה שצריך לדעת והיא בעצם נקודה שהשקענו עליה הרבה מאוד זמן בכמה הקשרים. עשינו עליהם פיקוחים. זה דבר מאוד מעניין. המערכת לא מסוגלת לבדוק את רשימת התעודות הבטלות, אפילו אם התעודה בתוקף היא צועקת והיא יוצרת את הקול. אתה מקבל התראה שהתעודה לא בתוקף. זאת אומרת שאם האתר הזה של התעודות הבטלות לא באוויר אפילו אם הכול בסדר המערכת אצלך צועקת. לצורך העניין אתה עכשיו רשות ניירות ערך. קיבלת דיווח מחברה. אם אתה לא מצליח לבדוק את התעודה כי האתר הזה לא באוויר אפילו אם התעודה בתוקף, הכול בסדר, המערכת לא תאפשר. לכן השירות הזה של זמינות זה שירות שגם בתקנות לפי החוק וגם במציאות המסחרית שירות חשוב מאוד לקיים אותו בצורה זמינה.

אני מיקי רשום קום. חשוב לציין שהתעודות תקפות בתקופה מסוימת. שנתיים בדרך כלל. כל זמן שהמונה מספיק אצל מר שטח.

כל זמן שמשלמים את האגרה.

בדיוק. אבל מה שמעניין זה שאחרי שנתיים פתאום כל המסמכים שקיבלת הופכים להיות אש וגופרית. פתאום הכול לא תקף. כל מה שקיבלת במשך שנתיים.

אז מה המשמעות של הדבר הזה? אותו גורם מאשר,אותו משרד פנים של האינטרנט לפי החוק הישראלי מה הוא אמור לעשות? הדברים המרכזיים שוב זה על קצה המזלג. ראשית הוא צריך לזהות בצורה טובה את האנשים כי אם אתה מסתמך על זה שהוא זיהה פלוני אלמוני אז אתה רוצה שבאמת אותו פלוני אלמוני יהיה. בעניין הזה התקנות צפו את החולשה של התעודה הישראלית בדור הקודם, מה שכולנו מייחלים לדור הבא והן דורשות שזיהוי של בן אדם יהיה לא רק עם תעודת זהות, אלא עם תעודת זהות ודרכון, ועל בסיס שאילתא למרשם האוכלוסין. אתה בטח מכיר את זה מחוק איסור הלבנת הון. כמו שבנק צריך לזהות היום לקוח שלו גם על סמך שאילתא כדי לוודא שהתעודה אמיתית. למה? מפני שאנחנו מדברים פה על זה שזו תעודה אלקטרונית שתמשמש בהקשר האלקטרוני והיא בדיוק כמו תעודת זהות רק בעולם האלקטרוני. לכן הגורם המאשר חייב על פי התקנות לוודא את האמינות של הזהות ופה הוא מסתמך על אותם זיהויים רשמיים של המדינה פלוס שאילתא למרשם אוכלוסין. כלומר הוא מחובר בתקשורת למרשם אוכלוסין, מבצע שם שאילתא.


הדבר הנוסף הוא כמובן מערך אבטחת מידע ברמה מאוד גבוהה על כל התהליך החל משלב הזנת הבקשה כי אתה לא רוצה שמישהו יזין פרטים לא נכונים ויתערב בדרך. כמובן עד לקודש הקודשים המקום שהוא חותם עם המפתח שלו על התעודות. זה לצורך העניין החתימה של שר הפנים. אני שוב משתמש בדוגמה של משרד הפנים כי אתה מכיר את הדברים האלה אז זאת האנלוגיה הקלה. בתחום הזה מעבר לאבטחת מידע באופן כללי יש פה גם דרישות ותקנים ייעודיים של עולם ההצפנה והעולם הכללי שנקרא PKI Public Infra Structure . גם כאן אנחנו לא המצאנו שום גלגל.אנחנו מסתמכים לגמרי על תקנים עולמיים ובאופן ספציפי על תקנים מאירופה כי החוק שלנו מועתק במידה רבה מהחוק האירופאי אז קל לנו. עשינו שם הרבה עבודה של קונקרטיזציה מעבר לכותרות. ודיברנו על זמינות גבוהה ומיידית של מאגר תעודות בטלות. כאשר הכנסת חוקקה את החוק היא לא הלכה לגישה האמריקאית או גישה אירופאית מסוג מסוים שמשאירה את זה לכוחות השוק שאומרת אדם יספק את השירות, מי שירצה יקנה, מי שלא ירצה לא יקנה, כמו שיש לנו בהרבה שירותים במסחר האלקטרוני. אלא מונה רשם במשרד המשפטים שהתפקיד שלו לפקח על הפעילות לפי החוק. אני אומר את זה כי יש גישות גם אחרות. אפשר היה לחשוב על עולם אחר אבל לצורך העניין זו כרגע ההנחה. החוק מן הרשם, הרשם צריך לעשות פיקוח, צריך לעשות רישוי. יש לו סט של תקנות שאומרות מה הוא צריך לבדוק אצל הגורם המאשר.


מכאן אני יורד למה עשינו מבחינת פיקוח. אני מוניתי לתפקיד בינואר 2007. כאשר אני נכנסתי לתפקיד היו שני גורמים מאשרים. חברת סקייורנט וחברת קומסיין. חברת סקויירנט בשלב מסוים הודיעה שהיא מסיימת את הפעילות לפי החוק והדבר הזה דרש שורה של פעולות כדי לוודא המשך השירות לציבור. סקויירנט הצליחה מאוד בשיווק למדווחים לרשות ניירות ערך ויצא שכמות מאוד מאוד משמעותית של המדווחים לרשות ניירות ערך היו להם תעודות של סקויירנט. ולכן כאשר סקויירנט הודיעה על הסגירה התחיל תהליך מאוד משמעותי ברשות ניירות ערך, של מה הם עושים אם ברגע מסוים לאנשים אין תעודות כי זה אומר שזה סוגר את המערכת. הדבר הזה היה לא טריוויאלי לביצוע. קומסיין הצליחה בסופו של דבר בהסתייגות שאני אתעכב עליה קצת בלוח הזמנים לקבל את הלקוחות של סקויירנט אבל המהלך הזה של הודעה על סגירה, העברת הפעילות, קבלת כל המסמכים, הוא מהלך לא טריוויאלי. גם לגורם המאשר יש אחריות נמשכת כי המסמכים ממשיכים להיות תקפים עוד הרבה זמן.


בנוסף ב-2008 התחלתי לבצע ביקורות בקומסיין לגבי קיום נהלים. הרשם הקודם דרור ארם שהיה הרשם הראשון לפי החוק עסק הרבה מאוד בשלב ההקמה של הגורם המאשר במובן של אישור נהלים, קיום נהלים. נהלים זה דבר מאוד חשוב באבטחת מידע בכלל. הוא מאוד חשוב לפיקוח כי הגוף המפקח לא יכול להיות בחברה כל יום אבל הוא יכול לדעת פחות או יותר איך זה עובד לפי נהלים. ובהקשר הספציפי של ניהול פעילות של גורם מאשר גם הסטנדרטיזציה העולמית שמה דגש מאוד משמעותי על נהלים.

בפיקוחים אני גיליתי מספר פעמים אי התאמה בין הנהלים הכתובים לבין הפעילות בשטח. אני אגע בכמה נקודות לדוגמה. הדוגמה הבולטת שמתוארת בדוח ולצערי חייבה גם פעילות יותר משמעותית היא כפועל יוצא של אותו תהליך של הנפקת אלפי תעודות לרשות ניירות ערך. התעודה האלקטרונית שהגורם המאשר חתם איתה על אותם מונפקים עמדה לפוג בעצמה. כלומר הוא חתם על תעודה עם תעודה שעומדת להיגמר. הדבר הזה יצר מצוקת זמן מאוד משמעותית ברשות ניירות ערך כי היה חשש שאותה תעודה, אמנם זיהו 5000 איש אבל התעודות לא שוות אז צריך לעשות איזשהו חידוש. תהליך החידוש לא בוצע לפני הנהלים אבל דווח לי שהוא בוצע לפי הנהלים. נמסרו לי מסמכים שמראים שהוא בוצע לפי הנהלים. מנהל האבטחה של החברה באותה עת הציג לי מסמכים שזה בוצע לפי נהלים. רק בבדיקה מדגמית של מצלמות האבטחה של החברה גיליתי שזה לא בוצע לפני נהלים בצורה משמעותית. כתוצאה מהדבר הזה אני גיליתי עוד דברים מעניינים על העבודה של מנהל האבטחה באותה תקופה. אני אתן דוגמה מהתקופה הזאת של 2007. דבר מאוד משמעותי באבטחת מידע ואצל גורם מאשר עוד יותר זה מה שנקרא הפרדת תפקידים. אתה לא רוצה שבן אדם אחד יחזיק את המפתח. ואז באותה ביקורת עצמה הציגו לי בצורה מאוד ציורית, והייתי צריך לתאם שתהליך מסוים צריך לבצע עם 6 אנשים ולכל אחד יש מפתח שלו. כלומר אפילו אי אפשר להראות לי את התהליך בלי אותם שישה אנשים. ואז הסתבר לי כתוצאה מבירור שנעשה בעקבות גילוי התרמית הזאת שלמנהל אבטחה היה בכספת שלו מפתחות רזרביים של כל אותם שישה אנשים.

אני נכנסתי לתפקיד ב-2007. הביקורת בוצעה בספטמבר 2007. החברה פועלת מ-2002. הם קיבלו את הרישיון. זה הטריד אותי העניין הזה כי זה פער משמעותי. אני אתן דוגמה נוספת מודרנית יותר גם על אותה נקודה. היא גם מדגימה את הקושי של גוף מפקח כי אני בא לפיקוח בעיקרון, אני בא לפיקוח מתואם, מציגים לי את הדברים. יורם אמנם מנחה אותנו לעשות מה שנקרא פיקוח בהפתעה שזה לא יהיה מסדר המפקד כי אנחנו יודעים שכאשר עושים מסדר המפקד אז אנשים מתכוננים.

אחד הדברים הראשונים שניסיתי זה שפעולות פיקוח ככל שאפשר לא תהיינה מתואמות. מבחינה אפקטיבית מה שאתה מגלה בפיקוח לא מתואם מראש לעומת פיקוח מתואם מראש זה שונה לחלוטין.

אז אני אתן עוד דוגמה אחת כי באמת הדוח מפרט. דוגמה נוספת שנותנת את הצבע זה יום העצמאות לפני שנה וחצי. אני קיבלתי טלפון מרשות ניירות ערך שהמערכות שלהם מתריעות שאותה רשימה שדיברנו עליה לא מעודכנת. הם הגדירו לעצמם משיקולי זהירות חובות על הגורם המאשר לפרסם רשימה כזאת בתדירות מאוד גבוהה, כדי שאם קורה משהו הם מיד יודעים ויש להם זמן לתקן. מאחר שהיה יום העצמאות היה קושי להשיג את אנשי החברה. בסופו של דבר תוך זמן די קצר הם חזרו אלי והכול היה בסדר והם תיקנו את התקלה. ביצענו תחקיר. בסוגריים אני חייב לומר שהחברה למדה לתחקר את עצמה ומ-2007 שנתקלתי בדרך כלל בהכחשות היום כשיש תקלות ותקלות לפעמים קורות אז רמת התחקור היא הרבה יותר טובה. בתחקיר נאמר לי שהתקלה תוקנה בידי בן אדם אחד. ואז ביקשתי להבין איך זה יכול להיות שהתקלה תוקנה בידי בן אדם אחד. אני חייב להסביר פה נקודה שדילגתי עליה.


כשאני בא לפיקוח ומבקש לראות את קודש הקודשים, את המחשב הזה שמייצר את התעודות תמיד נכנסים איתי שני אנשים. למה? כי טביעות האצבע שלהם זה ברמה שטביעות אצבע מפעילות את המחשב. ואז שאלתי איך יכול להיות? הלוא אני בפיקוחים תמיד, אתם גם מקפידים שיהיו שניים. איך זה יכול להיות שאחד הפעיל, תיקן לבד? אז אמרו לי, אמנם צריך שתי טביעות אצבע אבל זה לא בהכרח צריך להיות של שני אנשים שונים. ככה זה מוגדר. ואז באותו רגע, אנחנו ישבנו בחדר ישיבות של החברה, אני שאלתי את זאב שטח אם את הדבר הזה הוא יודע? בחברת קונסיין בפעילות הזאת לפי מה שאני מקבל ממכון התקנים שמבקרים גם כן את הפעילות יש כ-12 איש. זה לא חברה ענקית בהקשר הזה. 12 איש עובדים פה על הפעילות. ואני שאלתי את מר שטח האם הוא ידע על הדבר הזה, הוא אמר לי שלא. אז אני גם את זה מציין כי זה אור אדום מאוד משמעותי בשבילי. אני בפיקוחים בא ומראים לי דברים. מסמכים.


בנושא אבטחת המידע במהלך שנת 2008 קיימתי סדרת פגישות על רקע הממצאים האלה גם עם החברה, גם עם מר שטח, עם עורך הדין שלו, ואני הסברתי להם את תפישת הפיקוח שלנו. תפישת הפיקוח שלנו אומרת שהאחריות בראש ובראשונה היא על החברה. אבל אנחנו גילינו אינדיקטיבית, ואנחנו גם לא מסוגלים לעשות לחברה בדיקת אבטחה מהמסד ועד הטפחות כי זה גם לא התפקיד שלנו. אנחנו עושים בדיקות מדגמיות. זה מה שאנחנו מסוגלים לעשות. אנשי מקצוע בתחום הזה מבינים את הדבר הזה. אני ביקשתי מהם לעשות סקר סיכונים עצמאי ולהגיש לי את הממצאים שלהם. בתהליך הזה אחרי דין ודברים כזה או אחר הם הסכימו איתי וביצעו סקר סיכונים ואפילו העבירו לי את הממצאים שלו. סקר הסיכונים בוצע על ידי איש מקצוע מטעמם. אני ביקשתי שזה יהיה מטעמי.

עמית סליחה זה לא אחרי דין ודברים. אני אמרתי לך שאני פונה בברכה ויש לי להציע לך אפילו אדם שמצוין לעניין הזה. זה לא היה בעימות אלא זה היה ברצון רב.

אני לא מסכים איתך שזה לא היה בעימות ויש לנו מכתבים. עזוב. בוא נגיד שאני לא מסכים איתך.

אני עשיתי את זה עוד לפני שאתה בכלל אישרת את זה. אתה כותב לי את זה. אני עשיתי את זה ואתה אמרת לי למה ביצעת את זה לפני שאני אישרתי את הבן אדם. אני רצתי לזה לפני שאתה בכלל ביקשת. אז אל תגיד שזה היה בעימות. אני לקחתי את הבן אדם והוא כבר עשה את הסקר בלי שאתה ידעת את זה בכלל.

בסדר. באפריל 2008 הדבר הזה סוכם עם חברת קונסיין. סוכם שיהיה תהליך שייגמר לכל המאוחר באוגוסט כי הדוח הוגש די מהר, והדוח היה מקצועי. אני שם את הדברים על השולחן. ישבנו עם האיש של קונסיין באופן בלתי תלוי. התרשמנו שהוא עשה דוח מקצועי. אמרנו ראשית מקובל עלינו שהם לקחו אותו, שנית מקובל עלינו הדוח. עכשיו בואו נראה תוצאות.

יש מקום שתציין גם את הדברים הטובים.

בקיצור הדוח היה בסדר, הממצאים היו די קשים דרך אגב. אבל בסדר. זה מראה שנעשתה עבודה מקצועית. עכשיו נשארה השאלה איפה פורעים את הצ'ק? זאת אומרת מתי אנחנו רואים את התיקון? מתי הוא נותן לנו דוח שהוא רואה שהכול מתוקן? ופה התחלנו ביוני, עברנו ליולי, גלשנו לספטמבר אחרי החגים. אני בסוף דצמבר כי זה דוח על 2008, אמרתי תראה, אני רוצה לבוא לראות בעיניים מה קרה. מה שקרה קרה. תנו לי אחר כך הסברים. נכון לסוף דצמבר 2008 הדוח הזה שישב כמה חודשים טובים לא בוצע.

זה לא נכון עמית. אתה יכול להגיד לא בוצע במלואו. למה אתה לא מוסיף את המילה במלואו?

נכון להיום הדוח הזה בוצע דרך אגב אבל זה כמובן לא בלוחות הזמנים שדיברנו עליהם. נושא נוסף שאני אגע בו בתמצית שקשור ברישוי ופיקוח הוא הנושא של אישור להנפקה באמצעות לשכת עורכי הדין.

מה הכלים שיש בידיכם לאכיפה?

הדבר היחיד שאני יכול לעשות זה למחוק את קונסיין מהמרשם או לאסור עליה להנפיק תעודות.

זה אתה לא יכול לעשות. אתה שבוי.

אלמלא היה חוק גורם אחד היית עושה את זה?

החוק לא נותן לך כלים או אמצעים כדי ליצור אכיפה. צריך לתקן את זה בחוק.

אנחנו המלצנו על זה שיהיה תיקון שיאפשר את הסנקציות שיש לרגולטורים אחרים.

סליחה, אני מבקש להבין. האם אלמלא היה גורם אחד אמצעי הפיקוח היו מצדיקים את התניית הרישיון או מחיקתו מהמרשם? הסיבה היחידה לא לעשות את זה, זה העובדה שקיים גורם אחד.

זה לא מה שהוא אמר. מה שהוא אמר זה שהכלי היחידי שיש בידיו לאכיפה הוא ביטול אישור הרישיון שלהם. לא בהכרח היה משתמש בזה. אבל הוא רק אמר שזה הדבר היחידי שיש בידיו היום לעשות.

רגולציה מודרנית לא יכולה להיות שהכלי היחידי שיהיה זה אפס או אחד. זאת אומרת או סגירה או המשך. יש כלים ברגולציה אחרת שאנחנו מפעילים למשל בנתוני אשראי יש לנו. עיצומים כספיים, כל מיני סנקציות מהסוג הזה שנותנים בין האפס והאחד הזה גוונים נוספים.

חשוב לתקן את החוק.

כשחוקקו את חוק החתימה האלקטרונית כנראה לא חשבו שנדרשים כלים כאלה ובדיעבד אנחנו היום מבינים שכלים נדרשים.

אז תבקשו לתקן את החוק כדי שיהיו לכם כלים כאלה?

ביקשנו. זה מופיע בדוח. אז לגבי הנושא של הוצאה לאור של לשכת עורכי הדין אני רוצה להתעכב על זה רגע כי זה חשוב וזה נושא שיש לו הרבה פוטנציאל. גם בעולם יש לו פוטנציאל. הרעיון בנושא הזה הוא שהגורם המאשר נותן רשות למישהו מטעמו לעשות את תהליך הזיהוי. בהקשר של המערכת, אותה מערכת של הגשת כתבי טענות חתומים אלקטרונית לבית משפט הגורם הטבעי לעשות את הפעולה הזאת היה לשכת עורכי הדין כי היא יודעת לזהות שני דברים, אחד את הבן אדם ושתיים, מאוד חשוב למערכת שהוא עורך דין. הם מנהלים את המרשם של עורכי הדין. לכן לבקשה הזאת היה הרבה היגיון. התהליך הרגולטורי לקח מספר חודשים עד שהדברים היו לשביעות רצוני. בביקורת הראשונה התברר שרכיבים משמעותיים שסוכמו לא בוצעו. אבל לאחר מכן הם תוקנו. שוב, מאחר שאין לי כלים אז הדבר שאני ביקשתי הוא התחייבות אישית של שני המנכ"לים. שכאילו זה משהו שמחייב אותם אישית יותר. זה לקח מהדבר הזה. אז זה ככה בקליפת אגוז על הדברים שעשינו בתחום הרישוי והפיקוח.


מכאן אני עובר לזרוע השלישית שלנו שגם עליה רציתי להגיד מספר מילים. אני יכול להרחיב הרבה או מעט. אחד הדברים שראינו זה שיש צורך מאוד גדול להיכנס לקהילה הבינלאומית של הפעילות בתחום הזה. כי בארץ יש מעט גורמי ידע. אנחנו רוצים ללמוד מהלקחים של הקולגות שלנו שפועלים בערך באותה סביבה משפטית כי הדין האירופאי דומה אלינו. כתוצאה מזה אנחנו התקבלנו כחברים בפורום של הרשמים האירופאים. שמו FEZA. ב-2008 אפילו הזמנו אותם לישראל. המפגש נערך בישראל עם גורמים מהולנד, הונגריה, איטליה, גורמים נוספים. במישור הבינלאומי אנחנו פועלים שהנושא הזה של חתימה אלקטרונית ייכנס להסכמי הסחר של ישראל כדי לאפשר מסמכים חתומים בין ישראל לאירופה. וזה מופיע בתוכנית הפעולה השנתית.


נושאים נוספים שטיפלנו בהם ומופיעים בדוח הם במצב יותר מתקדם. צוין הנושא של האלגוריתמים. החוק לא מבוסס על הצפנות. נושא ההצפנה מחייב עדכון מעת לעת כי כל פעם מתפתחת היכולת לפרוץ את ההצפנה. אנחנו קיימנו דיון ציבורי במשרדי הרשות בספטמבר על בסיס נייר של מומחה ישראלי להצפנה, ד"ר בני פנקס, שכתב לנו חוות דעת בעניין הזה. זה נושא שדיברנו עליו עוד בשנת 2007. הוא יגיע אליך כי בעצם עשינו טרום שימוע לקראת תיקון התקנות. אז הוא יגיע בהקשר של תיקון התקנות לפי החוק.


נושא אחרון שאני רוצה לגעת בו. מגיעות אלי הרבה שאלות על ההבדל בין חתימה מאובטחת לחתימה מאושרת. בהקשר הזה מצאנו צורך ופרסמנו איזשהו מסמך שכבר גרסה יותר מתקדמת שלו בעקבות דיון ציבורי, על ההבדלים בין חתימה מאובטחת לחתימה מאושרת כי החוק נותן כלים ולא תמיד משתמשים בהם. וזה נושא שבעצם נועד להגביר את המודעות לגבי מה יש בחוק. זה חוק די איזוטרי אבל יש לו הרבה פוטנציאל כמו הדוגמה של הסריקה שדיברנו עליה.

תסביר מה ההבדל בין חתימה מאובטחת לחתימה מאושרת.

בחתימה המאובטחת כל הנושא של הקישור בין זהות לאמצעי חתימה לא קיים. לתעודה מאובטחת אין תעודה אלקטרונית של גורם מאשר. יכול שתהיה לה תעודה אלקטרונית אבל לא של גורם מאשר. זאת אומרת בחתימה מאובטחת אתה צריך לדעת עם מי אתה מתקשר מראש. או תוך הסתמכות על מישהו אחר שאיננו גורם מאשר. יש דוגמאות מעשיות. דוגמה אחת היא בצבא. בצבא יש מערכת כזאת. שמה מנפיקים תעודות אלקטרוניות לא לפי חוק חתימה אלקטרונית. אתה חותם עליהן. הפונקציה בצבא שמוסמכת לאשר זהויות. אבל בטרמינולוגיה של חוק חתימה אלקטרונית זאת חתימה מאובטחת כי את התעודה לא הנפיק גורם מאשר אלא גורם בצבא. אבל בצבא זה מספיק טוב.


דוגמה שנייה היא הדוגמה שבתוך הממשלה. יש לנו חתימות מאובטחות של עובדי מדינה על כרטיסי תמוז. מי שמנפיק את התעודות האלה, הגורם שיודע לזהות זה הקב"ט. יש תהליך. זה לא תהליך שדומה לתהליך של הגורם המאשר. תהליך יותר חלש. אבל לממשלה זה מספיק. זאת חתימה מאובטחת וחשוב לומר, וזאת נקודה שאנחנו מדגישים אותה, כי זה לא חוק הגורם המאשר. אני אומר את זה בצורה עממית. זה חוק חתימה אלקטרונית. הוא נועד לתת גם אפשרות חתימה מאובטחת. החוק עצמו וזה נלמד מתוך החוק. סעיף 3 לחוק חתימה אלקטרונית שכתוב שם באותיות קטנות זה שחתימה מאובטחת יש לה תוקף משפטי. אבל היא לא עושה כל מיני דברים וזה בעצם העניין של הזיוף.

חתימה מאושרת היא מקרה פרטי של חתימה מאובטחת.

אפשר לשאול שאלה. אם אתה אומר שתעודה אלקטרונית המונפקת בחתימה מאובטחת איננה לפי חוק אז איך החתימה עצמה מאובטחת לפי החוק? איפכא מסתברא. אתה לא חושב? התעודה עצמה אתה אומר איננה לפי חוק אלקטרונית.

זה לא מה שהוא אמר מר שטח. הוא אמר שיש חתימה מאובטחת וחתימה מאושרת. החוק מאפשר את שתיהן. חתימה מאובטחת היא לא חתימה מאושרת.

האמן לי שאני מאזין בקשב רב ויודע גם לפרש את מה שהוא אומר. בחוק כתוב תעודה אלקטרונית תעודה שהנפיק גורם מאשר. אין תעודה אחרת לפי החוק שמישהו אחר יכול להנפיק. אולי לצערם של המחוקקים.

זה בגלל שחוק חתימה אלקטרונית נכס את המונח.

נכס או לא נכס זו פרשנות אבל המשפט עצמו כותב תעודה אלקטרונית תעודה שהנפיק גורם מאשר. דהיינו כפי שאמר עמית בצדק אותה חתימה מאובטחת התעודה שקיימת בה איננה תעודה לפי החוק. משמע אם התעודה איננה לפי החוק גם החתימה איננה לפי החוק.

לא נכון.

אז התעודה לא לפי החוק והחתימה כן לפי החוק?

החתימה לפי החוק עונה על ההגדרות שבחוק או על החזקות. לא צריך שהיא תהיה מלווה בתעודה של גורם מאשר.

אבל היא מלווה בתעודה שאיננה לפי החוק.

לא צריך. זו רק אחת מארבע דרכים שיש בחוק.

אמר לך התעודה איננה לפי חוק חתימה אלקטרונית. התעודה.

חוק חתימה אלקטרונית לא דורש שתהיה תעודה בחתימה מאובטחת.

אני אסביר כי אולי יש פה באמת אי הבנה תמימה. החתימה המאובטחת מה שאנחנו אומרים זה שהיא קבילה משפטית. זה אני לומד מסעיף 6 לחוק. אם לחתימה המאובטחת הזאת בא משהו שנקרא בעולם הטכנולוגי, לא בחוק, תעודה, סרטיפיקט. אם זה בא עם סרטיפיקט זו שאלה שהיא חיצונית לחוק. אבל אם יש או אין זה לא גורע מהתוקף המשפטי שלה. אם רוצים תעודה לפי החוק רק מגורם מאשר.

אני מבין שחלק מהחוק הוא בעצם בצד העסקי.

זה עיקרון כללי של המשפט. חוץ מהממשלה. זה עיקרון החוקיות.

זה נכון אגב. זה בדיוק מה שהחוק קובע באופן בסיסי. העיקרון הבסיסי אומר בצד העסקי הפרטי כל מה שלא אסור מותר. בממשלה זה לא חל. זה נכון. השאלה שלי, האם יש מניעה לאדם פרטי או לעסק פרטי שיש לו 500 עובדים לעשות לעצמו תעודות עם טביעות אצבעות לדבר אחר? למיטב ידיעתי אין מניעה. עובדה שעושים את זה בכל מקום. אפילו שירות תעסוקה עשה את זה. ויש לו 600 אלף טביעות אצבעות. זאת אומרת מותר. אין איסור לעשות תעודה מסוג כלשהו למישהו כדי לאבטח מי האיש שמזהה אותו. התעודה לא נחשבת כתעודה מאושרת. זה דבר אחר. זה החוק קובע בצורה מפורשת. לכן הויכוח הוא מיותר.

סעיף 12 לחוק זה נושא שגם כללנו בדוחות, הוא תוצר של ועדה מייעצת לגורמים מאשרים שפעלה בשנת 2004 בראשות פרופסור דני דולב מהאוניברסיטה העברית. היו חברים בה אנשים שחלקם נמצאים פה, דורון שקמוני היה חבר בוועדה, והיא גם מבוססת על הניסיון העולמי ויש לה חשיבות לקראת פרויקט תעודת זהות. אמרנו שאתה יודע שפלוני הוא מי שהוא טוען שהוא כי אתה מסתמך על התעודה של הגורם המאשר. עכשיו, עולה השאלה איך אתה יודע שהגורם המאשר הוא הגורם המאשר? אז יש היום שתי אפשרויות. אחת, אתה יכול להיכנס לאתר משרד המשפטים, כתוב שם זה הגורם המאשר. אפשרות אחרת היא שמשרד המשפטים כלומר הרשם כפי שהוא נתן לקומסיין תעודה שמעידה שהם נרשמו במרשם יחתום ממש באותה טכנולוגיה עם החתימה שלו על התעודה שלהם שאיתה הם מנפיקים את התעודות. ויש לזה בסיס בסעיף 12 לחוק חתימה אלקטרונית רק המימוש של זה מחייב אופרציה קטנה של גורם מאשר ומשרד המשפטים. הוא חותם פיזית על אותה תעודה שאיתה הם חותמים על התעודות שהם מזהים. הדבר הזה הוא דבר שמקובל בחלק ממדינות העולם. הוא נועד לתת ודאות למי שמסתמך בצורה הכי פשוטה שבאמת זה הגורם. והפוך, אם הגורם הזה יש איתו בעיה אז כמו שנתנו את הדוגמה קודם באופן אוטמטי אפשר לבטל אותו והמחשב כבר יודע לבד לבדוק כי זה רץ אוטמטי.

באיזה ממדינות העולם זה מקובל?

זה קיים בגרמניה.

בגרמניה המדינה חותמת על הגורמים המאשרים?

לגמרי.

לא עד כמה שאני יודע.

אז אני הייתי שם אז ראיתי.

היא חותמת על תעודה אבל לא על התעודה של הגורם המאשר כי אחרת המדינה הופכת לגורם המאשר.

אני לא מסכים.

עכשיו אתם לא מתייחסים לעניין של נתוני אשראי?

לא. מאותה סיבה שלא התייחסנו להגנת הפרטיות. אין עליה אפילו חובת דיווח לכנסת.

בנתוני אשראי אין חובת דיווח בעניין הרגולטורי. אגב דיווח על נתוני אשראי מדווח לועדת הכלכלה של הכנסת.

אוקיי. אז אתם סיימתם בעצם. הדיון היה רק בעניין של חתימה אלקטרונית. אני מבקש לומר לכל החברים שנמצאים פה ושיש להם עניין בחתימה אלקטרונית תהיה היתה צריכה להיות עשעבה ביום שני הקרוב בנושא של חוק חתימה אלקטרונית. לא תהיה ישיבה כזו כי יש מה שאני קורא הטרדה פרלמנטרית נגדי. החוק לפי הטכנולוגיה, לפי המקובל בתקנון הכנסת אמור לעבור לועדת המדע כי זו הועדה שדנה בזמנו כוועדה משותפת בחוק חתימה אלקטרונית. מאחר וזה עבר במליאה בחוק רציפות נאמר במפורש שהדרישה לעבור לוועדת מדע אבל מאחר ובטעות בכנסת הקודמת החוק עבר לוועדת חוקה אז היה צריך הליך, ללכת לועדת הכנסת ולהעביר את החוק לועדת חוקה ולועדת מדע. עשינו את הכול בהסכמה. היתה ועדת כנסת שהסכימה עקרונית לעניין הזה. כאשר הגענו להצבעה אחד מחברי הכנסת של ישראל ביתנו, אני לא רוצה לנקוב בשמו, כנראה נפגע מזה שאני כשר לא אישרתי הצעות חוק שלו, אז הוא אמר אני אעשה אותו דבר, אטרפד חוק. אז הוא הגיש התנגדות ושכנע את ראש ועדת חוקה ללכת לועדת הכנסת. תבינו מה זה פוליטיקה, לשכנע, ללכת נגד העברת החוק לוועדה למרות שמן הדין הוא שזה יעבור לפה. באמת בישיבה שלפני שבוע זה לא עבר. בגלל ההתנגדות שלהם. ראש הוועדה נתן זמן ואמר עד היום שיודיעו. עד היום לא הודיעו. היום בבוקר הייתי בוועדה, היתה הצבעה, החוק עבר לפה. עכשיו הגישו בקשה לרביזיה. אני מודה שעשיתי טעות. הייתי צריך לבקש רביזיה במקום להצביע עליהם, הייתי סוגר עליהם את הדלת. אבל אני לא חשבתי שהם ילכו עד הסוף עד כדי כך אז בלית ברירה אני צריך לחכות עד שוועדת הכנסת תעביר לפה. אז אני מצטער. לכן לא תהיה ישיבה ביום שני על חוק חתימה אלקטרונית. אנחנו נקיים את זה ברגע שהחוק יעבור לפה לוועדה. אני התחננתי שזה ייגמר. ועדה פלרמנטרית. אז נתגבר על העניין. רשות דיבור בבקשה למי שביקש, זאב שטח מנכ"ל קונסיין בבקשה. מה יש לך לומר להגנתך?

אני אוסיף אחר כך כמה דברים.

למי שלא מכיר שמי זאב מאי. אני היועץ המשפטי של קונסיין. אני מלווה את הפעילות של החברה שנים רבות. אנחנו עוסקים כאן כרגע בדוח שבחלקו עוסק בשנת 2007, אולי בחלקו 2008, אנחנו כבר בסוף 2009. מן הראוי לבוא ולומר מספר דברים שקצת יאזנו את התמונה. נאמרו כאן דברים שהם קשים מבחינתנו. קודם כל נקודת המוצא שכולם חייבים לדעת אותה שנכון להיום במשך כל שנות הפעילות של קונסיין כגורם מאשר לא אירעה ולו תקלה אחת שאנחנו יודעים עליה והיא מדווחת בכל מה שקשור בשימוש בתעודות אלקטרוניות שקונסיין הנפיקה. כלומר נכון להיום אנחנו מדברים על אפס תקלות בכל התחום הזה של חתימות אלקטרוניות בישראל.


נקודה נוספת, נאמר כאן בצדק על ידי עמית שישנן גישות שונות בעולם ביחס לנושא הרגולוציה והמעורבות של השלטון המרכזי בפעילות של גורמים מאשרים. אין אף מדינה בעולם כיום למיטב ידיעתי שיש בה גורם מאשר ממשלתי. במרבית מדינות העולם הנושא הזה ניתן באופן בלעדי לסקטור הפרטי ללא מעורבות ממשלתית. בישראל מצאו איזשהו שביל ביניים.

אין פיקוח ממשלתי במדינות האלה?

פיקוח יש בחלקן. בארצות הברית למשל, שוב דוגמה קיצונית לכיוון ההפוך, פיקוח יש אבל המעורבות דהיינו שהממשלה היא זו שמנהלת את פעילות הגורם המאשר בזה אנחנו לא נתקלנו, לפחות למיטב ידיעתי ואני עוסק בזה די הרבה.

פה הממשלה מנהלת את הגורם המאשר?

נכון לרגע זה מתקיים שיתוף פעולה פורה בין הגורם המאשר לבין הרגולטור. מבחינתנו אנחנו לא רואים את זה בצורה שונה מהדברים שאני אומר. אנחנו מברכים את הרגולציה. כל מה שאנחנו מבקשים, זה משהו שאדוני אוהב לעשות בו שימוש, אנחנו רוצים עוקץ אבל גם דבש. במילים אחרות אנחנו חושבים שרק ראוי וזה נאמר כאן בשפה מאוד רפה שמישהו יקום ובצורה הגונה יבוא ויאמר שהגורם המאשר, חברת קונסיין עשתה צעדים עצומים לקראת שיפור הפעילות שלה, שיפור התפקוד שלה, ואין להשוות בכלל את המצב היום לגבי המצב שאליו מתייחס הדוח לפני שנתיים או שלוש או אנשים כאן הלכו אחורנית להיסטוריה לפני ארבע וחמש שנים, כאשר חייבים להבין שזה היה תחום בתול לחלוטין בישראל. אף אחד לא ידע להתעסק בזה, אף אחד לא ידע את המשמעות של הדברים. זאת היתה למידה תוך כדי התקדמות. אין לי ספק בכלל שלגבי כל אחד ואחד מהיושבים כאן אם תישלח איזושהי משלחת של בקרה או פיקוח לעסק שלו תמצאנה תקלות. עסקים יותר ותיקים, עסקים פחות ותיקים. נמצאו תקלות, התקלות תוקנו לדעתי בצורה מלאה. יש עד היום בעיות שמתעוררות. אני רק יכול לתת את הדוגמה הטובה ביותר.


אני אתמול בערב הייתי בחברה. נכנסתי למדור שעוסק בהנפקת תעודות. יש שם אזור קבלת קהל די גדול. היו שם עשרות אנשים. התחלתי לשוחח עם האנשים. שאלתי אותם אם יש להם הערות, תלונות. התלונה שקיבלתי וששימחה אותי היתה מתייחסים אלינו כאן כמו במרתפי השב"כ. כלומר מידת התחקור והבדיקה והמאמצים שנעשים כדי לוודא שלא תגרמנה תקלות ושהזיהוי יהיה ודאי כי זה באמת המנדט של הגורם המאשר לוודא את תהליך הזיהוי הגיע לרמות כאלו שאני משוכנע בתור מי שצורך שירותי משרד פנים למשל שהפקיד במשרד הפנים לא מבצע בדיקה כל כך מעמיקה כמו הבדיקה שנעשית בחברת קונסיין.


מה שאני אומר מן הראוי לבוא ולציין בדוח ולצערי הדין וחשבון הזה כפי שהוא מנוסח מסיבה שלטעמי איננה ראויה בא ומדגיש רק את הנקודות השליליות בה בעת שהיה בהחלט מקום לבוא ולהגיד שנעשתה כאן פעולה מאוד ממושכת ויסודית כדי להגיע לסטנדרטיזציה גבוהה ברמה כזאת שהיום פונים אלינו ממדינות שונות בעולם לשמש כגורם מייעץ בהקמת גורמים מאשרים. זאת עובדה.

קודם כל אני שמח שמתקיים פה הדיון הזה ואני רואה פה קהל רחב. האנשים שיושבים פה מכירים היטב את נושא חתימה אלקטרונית. צריך לזכור שזה לא שהוקם כאן מפעל למכוניות. זה תחום שהוא פורץ דרך לא רק בארץ. הוא גם פורץ דרך בעולם. אנחנו קיבלנו את הידע איך לעשות את זה מחברה שהיתה הכי גדולה בזמנו בעולם, חברת וריסיין. למעשה לא ידענו שום דבר. המתקן שנבנה אצלנו כולו נבנה לפי מודל אמריקאי, שחדר המפתחות צריך להיות 30 מטר מרובע. זה מבוצע על ידי 10 אנשים. 10 אנשים 3 מטר מרובע. לא מילימטר פחות אחרת אתה לא מאושר. בגלל שבנינו את זה בצורה כל כך אורתודוכסית נוצר מצב שחברות הגיעו אלינו בכללן חברת מיקרוסופט כאשר עשינו פרויקט משותף עם החשב הכללי בממשל זמין. אמר לי בחור שהיה שם, למה אתה לא מגיש בקשה למיקרוסופט להיות גורם מאשר ברמה העולמית? שבכל העולם יכירו בקונסיין? אמרתי לו, מי אני? אמר לי, לא. יש לך מתקן יפה. תגיש בקשה, זה ייקח אמנם כמה שנים אבל בסוף אתה תאושר. באמת הגשנו את הבקשה ואושרנו והיום למעשה המצב הוא, כשדיברנו מקודם על תקשורת מחשבים, גם אם אתה שולח מסמך חתום לחברך בניו יורק או בקייפטאון הוא מיד יגיד לך, מאיר שטרית וחתום אלקטרונית כי מדובר בתקשורת מחשבים ולא משנה מה אומר המחוקק הישראלי. לא שלא משנה. זה לא משנה בניו יורק. בניו יורק הוא לא מכיר את החקיקה הישראלית. הוא מכיר מערכת הפעלה אומרת לי שזה חתום ובסדר או לא. כנ"ל הוכרנו על ידי גוגל. כנ"ל הוכרנו על ידי מוזילה. היום למעשה קונסיין היא החברה הישראלית היחידה שמוכרת בעולם מבחינה טכנולוגית. הגשנו בקשה לנוקיה בשביל הטלפונים וגם לדובי.


הנושא הזה הוא חשוב. לפעמים מדברים איתי על זה וחושבים ששילמנו כסף בשביל לקבל את הרישיונות האלה. לא שילמנו גרוש אחד. פשוט באו אלינו ביקורות מאירופה ומארצות הברית. עשו ביקורת כשם שהרשם עושה, ביקורת יותר חמורות אפילו, ומצאו שאנחנו מתאימים.

אתה אומר שהתעודה המאושרת בארץ היא עם קבילה גם באירופה?

בדיוק. בכל העולם.

אין קבילה היום בשום מקום חוץ מאשר בישראל. צריך לדייק. היא מוכרת אבל משפטית היא לא קבילה לצערי אני אומר, כי אנחנו ניסינו.

בביקורי האחרון באירופה נתתי הרצאה בשגרירות אחרי השגריר הצרפתי לגופים שרוצים לשתף פעולה עם ישראל והיה שם הרשם הברזילאי וישבתי איתו. הוא סיפר לי שהיה להם גורם מאשר אחד והם היו בבעיה. אחר קמו עוד ועוד. היום יש להם 8 גורמים מאשרים.


יש להבדיל בין הכרה של המחוקק במדינה המקומית להכרה של המחשב. מבחינה פרקטית יש לזה חשיבות לאין ערוך מהמחוקק. מי הולך לבדוק את החוק? כשאתה כבוד יושב הראש תבוא ותבדוק אתה לא תבדוק אם זה מקיים עכשיו את כל הוראות החוק. אתה תגיד המחשב שלי אומר לי שזה בסדר מסמן ירוק, מבחינתי זה בסדר. ומי אומר את הירוק הזה? אומרת מערכת ההפעלה. אם את האור הירוק נותנת מערכת ההפעלה יש לזה חשיבות מאוד גדולה.


כל מה שאני רוצה לומר זה, שראשית אנחנו עוסקים בתחום פורץ דרך. שנית, ההכרה שקונסיין הגיעה אליה בנקודת הזמן הזו כולל כל החברות הרב לאומיות. אנחנו מגיעים להסכם עם השקעה צרפתית שאנחנו מקימים גורם מאשר בצרפת משום שבצרפת אנשים נכנסים לפורטל ומורידים תעודה מה-browser, ויכולים לכתוב שהוא סרקוזי. אמרה המדינה זה מבחינתנו לא מוכר ולכן הם משוועים לזה שיקום גורם כמונו. פנו אלינו חברות טלקום ואמרו, אנחנו ניתן את ההשקעה, אתה תיתן את הידע ובוא תקים את הדבר הזה. אז אנחנו בהחלט הולכים גם למהלך הזה. הכוונה של קונסיין היא להיות גורם רב לאומי. אנחנו לא נעצור בישראל ולא נעצור בצרפת. התרשמנו שאין גורמים מאשרים רציניים כמו בישראל, בישראל תודות לחקיקה ותודות לרגולציה ותודות לפיקוח יש רצינות רבה ברמה גבוהה מאוד. כל התהליך של face to face וכדומה.


הדיון הזה מתקיים כאן על ידי משרד המשפטים למטרה אחת. יש למשרד המשפטים אג'נדה בעניין הזה מאז ינואר 2007. עד ינואר 2007 לא היתה אג'נדה כזאת. כאשר אני בזמנו ביקשתי מהרשם הקודם שיעזור לי לאשר כרטיס חכם שהמדינה בחרה הוא אמר לי אני לא מוכן לאשר את הכרטיס הזה. אתה תחליט אם אתה מאשר או לא מאשר. אתה הגורם המאשר. אני המדינה לא אקח אחריות על כרטיס. והיה ויכוח בין משרד האוצר לבין משרד המשפטים מי יאשר את הכרטיס שלא עמד בתקנות. עכשיו הגישה של הרשם הקודם היתה שיש גורם מאשר והגורם המאשר תפקידו לאשר. בשביל זה הוא הוקם. הגישה הנוכחית במשרד המשפטים זה שהם מאשרים. הם רוצים לאשר הכול כולל את העובדה שהם יהיו הגורם המאשר הממשלתי ולצורך המטרה הזו הם יורים את החיצים הבודדים האלה. מי שצריך להגיד אם אנחנו גורם מאשר טוב או לא טוב זה הלקוחות. לצערי הלקוחות משום מה הוזמנו ברגע האחרון.


יש לנו שלושה לקוחות מרכזיים. אחד זה רשות ניירות ערך. לקוח שני הוא משרד האוצר. לקוח שלישי, גברת אפרת עמרם שהיא הסגנית של משרד הביטחון, של זעירא. חשוב לשמוע את הלקוחות מפני שהלקוחות צריכים להעיד האם הגורם המאשר הזה מבצע את תפקידו. העובדה שאנחנו יחידים איננה באשמתנו. יקומו פה אותם מקטרגים שמן הסתם יגידו דברי קטרוג ויקימו בעצמם גורם מאשר. למה לא?


עכשיו, אנחנו פועלים אך ורק על פי הרגולציה. יש פיקוח וכל המעשים שאנחנו עושים הם לפי מה שכתוב בחוק. יכול להיות שצריך לתקן את החוק אבל אני לא יכול לסטות ממנו. יש לנו עשרות ומאות הנפקות ביום. באים אנשים ואומרים, שכחתי את תעודת הזהות. תעשה לי טובה ותאשר. אני אומר לו, אתה רוצה שאני אהיה עבריין? אסור לי לאשר אותך. אותו דבר אסור לי לאשר מכשיר חתימה שלא עומד בהוראות החוק. אדרבא, אני אשמח אם הרשם ייקח אחריות בעניין הזה, יש לו סמכות לפי החוק והוא בעצמו יכול לקחת אחריות ולאשר מכשירים. בבקשה שיבוא ויגיד שהמכשיר הזה יכול לשאת את אמצעי החתימה. אבל לבוא ולהתלונן שאני יחיד? אני לא אשם שאני יחיד. הסיבה שאנחנו יחידים היא כי אנחנו האמנו בזה. השקענו בזה מיליוני דולרים. זה שאחרים מפחדים להשקיע מה אני יכול לעשות? זה שיורים בנו כל מיני חיצים מורעלים ולהגיש תלונות וכל המהומה הזאת. הרי אם היה עוד גורם לא היו עושים את כל המהומה. אני שולל את זה. לא אני אעיד על זה. מי שמעיד עלי זה מיקרוסופט והחברות בעולם. הלקוחות.


גם הפרויקט שקיים עכשיו שאנחנו מנפיקים למס ערך מוסף ניסו לעצור אותו. ניסו להגיד בואו תחכו. כל הזמן שידרו לשוק לחכות ולחכות. השוק נשבר לו והוא לא רוצה לחכות. הוא בועט ברגליים. לכן עובדים איתנו. אנחנו עושים עכשיו פרויקטים מאוד מעניינים בתחום הרפואה עם מרשמים. בן אדם לא יצטרך ללכת לרופא. ב-70% מהמקרים הולכים לרופא בשביל לקבל חתיכת נייר חתום ואז אתה הולך ונדבק במחלות. אנחנו עכשיו עושים פרויקטים עם שתי קופות חולים גדולות שבמסגרתם הרופא יחתום אלקטרונית על אותו מרשם כרוני. חתימה אלקטרונית חוסכת פה לציבור לפי תחשיבים של משרד הבריאות מאות מיליונים שקלים וזמן עבודה של אנשים.

מאה אחוז. תודה רבה. אני רוצה להגיד לך מר שטח, אתה היחידי שעושה מהומה. אף אחד פה לא עושה מהומה. אני לא מבין על מה הטענה. תפקידה של רשות זה לפקח עליך. מאחר ואתה גורם יחידי מפקחים עליך. הפיקוח הוא נכון והגיוני ואם הם עלו על תקלות שהיו אצלך והתקלות תוקנו אז תבוא על הברכה, זה בדיוק התפקיד של הרשות. הרשות תפקידה לוודא שאתה תעמוד במסגרת החוק בדיוק בלי סטיות. אין הנחות.


אני מאחל לך הצלחה, שתהיה מוכר בכל העולם ושלא יצטרכו לעשות שום תיקונים. וגם יכול להיות מצב שאתה אומר אני מוכר בעולם אבל משפטית זה לא מוכר. גם זה עדיין אין סתירה בדברים שלכם. כשתהיה הכרה משפטית אז גם יהיה לך שירות יוצא מן הכלל. אתה תוכל לתת שירותים לכל מדינה.


נמצא איתנו גם עופר ישי, יושב ראש ועדת המומחים לחתימה אלקטרונית באגף התקינה במכון התקנים שסיפר לי קודם שעד היום בעצם עוד אישור תקן לחתימה למרות שעברו מאז 7 שנים. בבקשה עופר.

אני אדבר כשתהיה לי המצגת.

ביקש עורך דין חיים רביה. בבקשה. תציג את עצמך.

עורך דין חיים רביה. בדיון כאן היום אני מייצג את החברות ברונדרנט על מחקר אלגוריתמים שהן מפתחות של פתרונות חתימה אלקטרונית. אני מלווה את חוק חתימה אלקטרונית מאז תהליך החקיקה. הייתי בדיונים כנציג לשכת עורכי הדין. ייצגתי את סקויירנט בזמן שהיא היתה גורם מאשר רשום לפי החוק. עדיין אני מייצג אותם אבל הם מזה שלוש שנים אינם גורם מייצג לפי החוק. אני מייעץ גם למפתחי טכנולוגיות, גם לארגונים שרוצים ליישם את הטכנולוגיות.


אני שמח על הדיון הזה. זו פעם ראשונה לדעתי מזה 8 שנים שהכנסת מקיימת דיון רציני ושיטתי לחוק חתימה אלקטרונית. אני חושב שכל היושבים סביב השולחן יסכימו שהחתימה האלקטרונית בישראל לא הרקיעה למקומות שכולנו ייעדנו לה ויש לזה שורה של סיבות. סיבות שנעוצות בחקיקה, ברגולציה, ובחיי המעשה. אני אתחיל בסדר הפוך, דווקא בחיי המעשה. צודק זאב שטח כשהוא אומר שזה לא אשמתו שהוא גורם מאשר יחיד. קראתי במסמך התגובה שלך שהשקעת עשרות מיליוני שקלים בקונסיין גם אם זה סכום רב מכפי שהייתי מעלה על דעתי, גם מדובר רק במיליוני שקלים זו עדיין השקעה מכובדת. אתה אינך אשם בכך שאתה הגורם המאשר היחיד אבל בהיותך גורם מאשר יחיד אתה פועל בדרכים שהן דרכים שבכל הכבוד מזיקות לשוק. ואני אומר את הדברים בקצרה. אתה גם גורם מאשר, אתה גם משווק של טכנולוגיות מסוימות, אתה גם מפתח טכנולוגיות מסוימות ואתה גם מנהל פרויקטים של יישום. כל זה קולע אותך לניגודי עניינים. וניגודי העניינים האלה מתבטאים יום יום בחיי המעשה בשטח. מתקשרים אלי לקוחות שקיבלו מידע משפטי בכל הכבוד שגוי. ישנם מצבים שבהם חברת קונסיין מסרבת לאשר טכנולוגיות של חברות אחרות כולל טכנולוגיות שהן מלוות באישור במכון התקנים.

למה היא צריכה לאשר?

מפני שלפי חוק תעודה מאושרת הגורם המאשר צריך לאשר את אמצעי החתימה שלה. תעודה מאושרת שהיא מתלבשת על אמצעי חתימה זו ראיה לכך שאמצעי החתימה עומד בדרישות החוק.

למה הגופים האלה לא מקימים תחרות?

הגופים האלה עניינם בפיתוח טכנולוגיות. הם יצרנים של טכנולוגיות ומשווקים טכנולוגיות לא שירות של גורם מאשר. הם משווקים את זה בכל רחבי העולם. זה אבסורד שמתקנים שנמצאים באיטליה בפרלמנט האיטלקי לדוגמה בארץ נתקלים בקושי כאשר הם באים לאשר אותם.

זה לא אותו חוק.

זה בדיוק אותו חוק. הרגולציה באיטליה עוד יותר חריפה מהרגולציה בארץ. זאת תקלה מג'ורית. ואגב אני שמעתי בקפידה רבה את דברי הפיקוח. אני עורך דין זה 20 שנה. הרבה מאוד עוסק ברגולציה. אני לא זוכר רגולטור אומר על הגורם המפוקח שהוא רימה אותו. אלה דברים מאוד חמורים בעיניי. התקלות שבחוק הן מאוד ברורות. החוק כפי שציינת בצדק עורך דין אשכנזי איננו חוק הגורם המאשר. זה גם לא חוק חתימה אלקטרונית מאושרת. זה חוק שבבת עינו וליבו החתימה האלקטרונית המאובטחת. יחד עם זאת ניתנו בחוק הטבות מסוימות לחתימה המאושרת. אלה הטבות מרחיקות לכת. בין השאר חתימה מאושרת היא החתימה היחידה שאפשר לחתום בה כשנדרשת חתימה לפי חיקוק. הדין הישראלי יש בו אי סדירות גדולה בדרישות החתימה אבל בין השאר יש טפסים ותקנות. וטפסים כעניין שבשגרה משאירים מקום לחתימה. אומרים אז זאת דרישת חתימה לפי חיקוק. אי אפשר לזוז בלי חתימה מאושרת. התוצאה היא שוב קיפאון בשוק הזה וסטגנציה ואי אפשרות ליישם חתימה אלקטרונית מאובטחת במקרים רבים. אז זו תקלה אחת מז'ורית שבחוק.


תקלות אחרות הן תקלות שברגולציה זהירה מדי. ציין מר שטח בצדק, עורך דין אשכנזי גם אתה יכול להכיר באמצעים כאמצעים שמייצרים חתימה אלקטרונית מאובטחת. תקן אותי אם אני טועה. עניין בעובדה, במשך 8 שנים מאז היות החוק לא הוכר אפילו אמצעי אחד ככזה על ידי רשם הגורמים המאשרים. וזו תקלה.


ישנן תקלות אחרות שבתקנות אי בהירות ביחס לחתימה מאובטחת. האי בהירות הזאת ידועה לפחות זה 6 שנים ועדיין התקנות אינן מתוקנות.


ובסופו של דבר למה חתימה אלקטרונית לא התרוממה בארץ.

כמה תעודות מאושרות יש בשטח?

תלוי מאיזו נקודה. רשות המיסים עכשיו פתחה פתח ל-400 אלף עוסקים מורשים. שלב ראשון 30 אלף. אז אתה יכול לבוא ולהגיד זה בחקיקה שמ1.1.2010 צריכים 30 אלף איש להצטייד. עכשיו אנחנו בהליך של הנפקה ל-30 אלף האלה. אני לא יודע להגיד לך כמה יש היום אבל אני אומר לך שב-1.1 צריכים להיות 30 אלף רק לרשות המיסים פלוס ניירות ערך שזה עוד איזה 6000 פלוס הבריאות, רופאים שמדובר על עוד עשרת אלפים של מכבי ועוד עשרת אלפים של שירותי בריאות כללית. אלה דברים שהם בקנה בעבודה. לגבי היום יש מספר שהוא פחות מעשרת אלפים. הסיבה היא שלא בוצעו פרויקטים. זה לא הסיבה של הגורם המאשר. הרבה שנים הממשלה אמרה, חכו, חכו.

פעם אחת אני רוצה לתמוך בך זאב. כשהוא צודק הוא צודק. הממשלה לא הניעה פרויקטים בתחום הזה ואפשר היה לחשוב על אלף ואחד פרויקטים. כאשר היא כבר מניעה פרויקטים היא הולכת על פרויקטים גרנדיוזיים בסדר גודל כזה שסיכויי המימוש הטכנולוגיים שלהם מאוד שנויים במחלוקת כמו בכל הכבוד הפרויקט ברשות המיסים. אני ישבתי בפגישות עם רשות המיסים שבהם נאמרו הדברים. במקום לטבול את הרגליים במים לאט לאט והיו 8 שנים לשם כך רוצים לבצע קפיצת ראש ישר לתוך הבריכה ולהישאר עם תעודות מאושרות שבהן יש גורם מאשר אחד ויחיד.


אני רוצה לסיים בזה שבחוק ההסדרים במשק המדינה שקיבע את כל נושא הפרויקט של רשות המיסים יש פתח לאפשר עבודה גם באמצעות חתימות מאובטחות שיונפקו על ידי הממשלה או מי שהממשלה תכיר בו, ורשות המיסים תיטיב לעשות אם תתרום לקיומו של שוק משוכלל בכך שתכיר בגורמים מסוימים וכאלה שיכולים להנפיק חתימות מאובטחות ולא תסתמך רק על גורם מאשר אחד.

אתה אומר את זה מתוך ייאוש שלא יהיו חתימות מאושרות?

אז בעניין הזה אני לא אדבר. יושב כאן ד"ר גדי אהרוני מנכ"ל מחקר אלגוריתמים. בתחומים הטכניים הוא יודע את מה שאני לעולם לא אדע.

אבל אתה צודק בדבר אחד שהממשלה הרבה פעמים תוקעת את התהליכים באמצע. דוגמה הכי בולטת, הצורות הביומטריות שעכשיו הממשלה עושה פשרות. לכאורה בלי הפשרה הזאת תוך כמה שנים יהיו לנו ביומטריות, תעודות זהות עם חתימה אלקטרונית לכל מי שחפץ בכך ל-5 מיליון אנשים. לצערי הממשלה עכשיו היא עם רגליים רפות. בבקשה, הדובר הבא ד"ר גדי אהרוני, מנכ"ל מחקר אלגוריתמי. ספר קצת מה זה מחקר אלגוריתמי.

מחקר אלגוריתמי הוא ספק של טכנולוגיה של פתרונות של חתימה דיגיטאלית. אם אני לא טועה הפתרון הראשון בארץ של חתימה דיגיטאלית הוא שלנו, של ההנפקה הבנקאית. יש כ-20 אלף ארגונים בארץ שמעבירים את המשכורות של העובדים שלהם חתום דיגיטאלית על ידי המערכת של נסב. זאת מערכת משנת 1995. יש לנו הרבה מאוד פרויקטים גם בארץ של פתרונות של חתימה דיגיטאלית מאובטחת. עיקר הפרנסה שלנו היא לא בארץ לצערי כי בארץ יש השוק הוא קטן. הפרנסה שלנו היא בעיקר בארצות הברית ובאירופה. בחלק גדול של העולם הנאור לא קיים הנושא של תעודות מאושרות, לא קיים הנושא של גורם מאשר. לא בארצות הברית, לא בקנדה, לא באנגליה, לא באוסטרליה, לא בניו זילנד. כל המקומות האלה שמפגרים באיזשהו אופן אחרי המדיניות במדינת ישראל מסתדרים בלי תעודה מאושרת. מסתדרים עם תעודה מאובטחת.

ניקח למשל את הנושא של רשות המיסים. רשות המיסים מכירה את הלקוחות שלה הרבה יותר טוב מאשר הגורם המאשר. אין שום סיבה בעולם שהגורם המאשר יהיה באמצע התהליך הזה. אין שום סיבה בעולם שהזיהוי של הלקוח לא יתבצע על ידי רשות המיסים. הנושא של התעודה שאדם לא הביא, תרשה לי לנחש עורך דין זאב מאי, מכיוון שיש רק גורם מאשר יחיד שבעל העסק צריך ללכת אצלו להנפיק את התעודה, הגיע בן אדם ממטולה עם רישיון נהיגה, זאב שטח אמר לו , אני מצטער על פי החוק אני לא יכול לתת לך תעודה. אמר לו, אבל אני אסע עכשיו למטולה? בעיה שלך. אני היחידי. ואתה תעשה מה שאני אומר לך. אל תנפיק לו תעודה. אני חושב שאין צורך בתעודה.

אני הייתי רוצה לתת פתרון לרשות המיסים שהוא מבוסס על תעודה מאובטחת. אנחנו עובדים לפי מדיניות אירופאית. באירופה יש הרבה מאוד גורמים מאשרים. גם בצרפת יש הרבה מאוד גורמים מאשרים והם מכירים את העסק הזה והם לא צריכים עצות של אף אחד.

של תעודה מאושרת או מאובטחת?

של תעודות מאושרות. באיטליה יש לדעתי 12 גורמים מאשרים. גם בצרפת יש הרבה, גם בגרמניה יש הרבה. באירופה הלכו על הנושא הזה של גורמים מאשרים. אנחנו מחקים את השיטה האירופאית. יש הרבה חלקים בעולם, הזכרתי ארצות הברית, אנגליה, וכולי וכולי שהם לא קנו את הסיפור. זה נושא עסקי. כל אחד מזהה את הגורמים שאיתם הוא עובד בצורה עסקית. ואין צורך לעבור דרך גורם ממשלתי שמאשר או לא מאשר את הזהות של הצד השני.


אנחנו במצוקה. בתור ספק של טכנולוגיה של פתרונות של חתימה דיגיטאלית שהוא גם מתחרה של חברת קונדה. יש בלבול שלם בין הכובעים השונים שמר זאב שטח חובש. הוא חובש כובע של קונסיין, הוא חובש כובע של קונדה, הוא מבלבל בין הנושאים. אפשר לראות את זה גם במסמך שלו כשהוא מדבר על זה שקונסיין הקימה ועשתה. זו לא חברת קונסיין. זו חברת קונדה. אנחנו מתחרים בחברת קונדה. זאב שטח הוא יבואן של אמצעי חתימה דיגיטאלית, של חברות שנותנות פתרונות של חתימה דיגיטאלית. הוא מודיע ללקוחות שלו וגם ללקוחות שלי שהוא ינפיק תעודות מאושרות אך ורק לציוד שהוא מוכר אותו. לא אני ולא היצרנים האחרים. המצב כרגע הוא שבהיותו גורם מאשר יחידי בארץ הוא ממנף את כוחו כמונופול ויחד את התעודה המאושרת הוא מוכר גם ציוד ואת הפתרון השלם. הוא לא מאשר ציוד של חברות מתחרות. הוא לא מנפיק תעודות לחברות מתחרות. הנושא של תעודות מאושרות הוא בעיני נושא מעכב בצורה משמעותית של כל הפעילות של חתימות דיגיטאליות בארץ.

אני יכול לתת כראייה למשל את אחד הפרויקטים הגדולים שלנו שיש לנו עם בנק הפועלים. מדובר שם בהתקנה של מערכת של בנק ללקוחות העסקיים של הבנק. יש שם מערכת של תעודות מאובטחות שלנו. יש למעלה מ-40 אלף לקוחות עסקיים של בנק הפועלים שעובדים עם המערכת הזאת והמערכת הזאת גדלה בעשרת אלפים לקוחות של בנק הפועלים כל שנה. מנגד כבר שנתיים בנק לאומי מנסה להרים מערכת עם תעודות מאושרות של קונסיין. יש לדעתי אולי 15 לקוחות שהצליחו להתקין את הדבר הזה. הנושא הזה הוא נושא מעכב והוא נושא שגורם ליצרני פתרונות החתימה הדיגיטאלית שמתחרים בזאב לא להיות מסוגלים למכור בארץ. ואנחנו מבקשים שתי בקשות פשוטות. אחת, זה שההסתמכות בחוק על תעודות מאושרות, אותם תהליכים שמחייבים תעודות מאושרות הם בעינינו מיותרים. לדוגמה, הנושא של חוק ההסדרים. אם המחויבות להנפיק חתימה מאושרת עבור המערכת של רשות המיסים הוא נושא שהוא רק מעכב והוא מיותר ולא צריך היה לקיים אותו מלכתחילה ולא ברור למה רשות המיסים דרשה את הנושא של חתימות מאושרות. אפשר היה להשתמש בחתימות מאובטחות באותה רמה של אבטחה רק הרבה יותר בקלות. אפשר היה להשתמש בסניפי בנק הדואר, להנפיק תעודות מאובטחות וכל אזרח היה יכול לגשת לבנק הדואר הקרוב למקום מגוריו ולקבל את התעודות המאובטחות האלה ורשות המיסים היתה יכולה לזהות אותו באותה רמה ולדעתי אפילו ברמה יותר גבוהה מאשר שזה נעשה היום. זו דוגמה למקום שבו המחוקק נתן את המתנה לאותם גורמים מאשרים, ואני מסכים שזה לא אשמתו של זאב שיש רק גורם אחד. אבל זאת מתנה שאין צורך בה. אני יודע שהטענה העיקרית היא, לך תקים אתה גורם מאשר. אני יכול להסביר למה אני לא אקים גורם מאשר. אני יצרן של טכנולוגיות. אני לא יצרן של שירות. אני לא אתחיל לפתור כל בעיה שיש לי על ידי זה שאני אלך ואני אקים חברה שעושה את זה. יש דברים שאני עושה, יש דברים שאני יודע. בהם אני מתרכז.

הנושא הוא עניין של מישהו שיודע לייצר טכנולוגיה ומישהו שיודע לתת שירות וזה לא אותו ביזנס. אני לא יודע לתת שירות. אני כן יודע לתת טכנולוגיה. אנחנו מבקשים שמידת התלות בחתימות מאושרות תוקטן בהרבה בכמה שרק ניתן. יכול להיות שיש פה ושם הליכים שאולי המדינה מחייבת תעודה מאושרת אבל שמספר התהליכים האלה יהיה מינימאלי. ואנחנו גם מבקשים שאותו גורם ממשלתי שיכול להנפיק תעודות, שכל עוד שיש רק גורם מאשר יחיד שהגורם המאשר הממשלתי יהיה רשאי להנפיק תעודות כתחרות. אני יודע שזה מגוחך. אני מצטער. זה רע מאוד שהממשלה צריכה להגיע למצב שהיא מתחרה במגזר האזרחי. אבל במצב שיש היום לדעתי אין ברירה. או שירד הסיפור הזה של הצורך בתעודות מאושרות או שהמדינה תיתן אפשרות נוספת להנפקה של אותן תעודות.

אתה מתנגד באופן עקרוני לעניין של תעודות מאושרות ואתה חושב שתעודות מאובטחות מספיקות. הדבר השני שלא הבנתי למה קונסיין או שטח צריכים לאשר ציוד שאתה מביא לחתימה מאובטחת?

אני בא אליו עם ציוד שלי. הוא צריך להנפיק לי תעודה מאושרת. אני נותן ציוד של חתימה. על הציוד של החתימה צריך להנפיק תעודה.

הוא נותן כרטיס חכם לצורך העניין. לפי החוק הגורם המאשר כשבא אליו בן אדם יש שתי אפשרויות שהחוק והתקנות האלה פועלות. אחד, שבמסגרת תהליכי הזיהוי הגורם המאשר גם נותן לו את הכרטיס החכם, את האמצעי הפיזי שזה מוצר. זה לא תעודה אלקטרונית. זה חומרה.

הוא לא יכול לקנות את הכרטיס החכם במקום אחר?

בטח שאני יכול לקנות מהצרפתים. זה ביזנס שלי.

בא אליו לקוח ואומר אני רוצה להשתמש בחומרה שלך. הוא צריך את זה למאושרת. עכשיו כשהוא צריך את זה למאושרת יש לנו שני טיפוסי לקוחות, נעשה את זה פשוט. לקוח שבא ממטולה עם שני מסמכי זיהוי, אין לו כלום. הוא נכנס לקונסיין. קונה כרטיס חכם מקונדה או במקרה זה כרטיס שהמדינה נותנת. היא נותנת את זה לפרויקט. ואז הוא מקבל תעודה אלקטרונית על הכרטיס. זו אפשרות אחת. אפשרות שנייה שהבן אדם בא מהבית עם חומרה. אומר אני רוצה שתתקין לי את התעודה האלקטרונית ואת המפתח על החומרה שאני הבאתי מהבית. לא רוצה לקנות את זה מקונסיין. במצב הזה החוק מחייב את הגורם המאשר לוודא שהחומרה הזאת מספיק טובה. למה? בואו נלך למקרה קיצוני. בן אדם לא יכול לבקש שישימו לו את המפתח הפרטי על דיסק. זה צריך להיות על משהו שיודע לשמור על הסוד. לכן יש דרישות מינימום לחומרה.

למה קונסיין לא מאשר את החומרה?

כי זה חלק מהאחריות שלו לפי החוק במסגרת הנפקת התעודה. הוא צריך לוודא.

למה אתם לא יכולים לאשר?

אנחנו יכולים במקביל גם לאשר. אבל התהליכים של אישור חומרה הם כאלה שאנחנו מפנים לתקינה בינלאומית. כי לנו אין במשרדים מעבדות שבודקות את המהימנות של הדברים. נכון להיום אין בישראל גורם מוסמך לאשר את הטכנולוגיות האלה. זה לא כמו דברים שמכון התקנים שם עליהם תו תקן. המוצרים האלה כל כך מיוחדים שקונים אותם עם תו תקן רק מעשרה מכוני תקינה בחוץ לארץ. ניסינו אגב להקים פעילות כזאת בארץ והפלא ופלא לא היה לזה שוק. יש את זה בצבא לצורך פרויקטים מסוימים.

הפרויקט בצבא זה ציוד שלנו של תעודות מאובטחות שהן לא מאושרות. יש לנו הרבה מאוד פרויקטים בכל העולם. הציוד שלנו עומד בכל התקינה הבינלאומית. גם כשאני הולך עם דמעות בעיניים ומיילל לעמית ועמית אומר בצורה מפורשת לחברת קונסיין, אתם תנפיקו תעודה לציוד הזה, הוא ימשיך ויסרב ויעשה את כל התרגילים בעולם. הנושא הזה של הגורם המאשר היחידי בארץ גורם לסטגנציה.

כשיהיה דיון בחוק תעודה אלקטרונית תבוא. זה מעניין מה שאתה אומר ויהיה זמן לדון בזה. הדובר הבא זה יקי גרוסמן, מנכ"ל וונדרנט. ספר קצת על החברה.

וונדרנט הוקמה בשנת 98 ועוסקת בחתימה אלקטרונית שמבוססת על כתב יד ויכולת ביומטרית לזהות את החותם על פי חתימת כתב ידו. אם מספרים סיפורים על הצבא אז אנחנו נספר על חיל האוויר שם מותקנת המערכת שלנו ולמעשה היום ספר התחזוקה של המטוס שכל פעולה שמבוצעת במטוס נרשמת בו נחתמת על ידי המבצע, אם מישהו משך חלף או כלי לבצע עבודה הוא חותם ביומן התחזוקה של המטוס והחתימה הזאת נעשית בכתב יד שמזוהה ביומטרית. כך, שאם לא עלינו, נדרש לעשות תחקיר למקרה תאונה אווירית אפשר לדעת שחיים זה אכן חיים הוא זה שלקח את החלף והתקין אותו במטוס. הוא חותם על טבלט וזה עובר למחשב ויש מאפיינים דינמיים לחתימה שבעזרתם אני יכול לזהות את החותם.

זאת אומרת המחשב למד את החתימה שלו?

יש תהליך שנקרא enrolment . היום בבנק לאומי ובבנק הפועלים משתמשים בזיהוי ביומטרי בחתימת כתב יד וכל לקוח שמצטרף לשירות,

למרות שהחתימה יכולה להיות שונה.

נכון. גם את זה המערכת יודעת. זאת מערכת שלומדת את החתימה. יש תהליך שנקרא סחף או drafting. עם הזמן חתימתו של אדם משתנה.

ובעולם?

אז שמה בדרך כלל לא מיישמים ביומטריה. לוקחים תמונת חתימה כי אף אחד לא מעניין אותו לעכב לקוח בקופה. מעדיפים שתשים את הכסף ותלך. שם אתה חותם על טבלט.


אז החברה הוקמה ב-98. היא היתה מוצלחת מאוד כך שב-2008 בשנה שעברה למעשה מכרנו את הטכנולוגיה שלנו לשותפה אוסטרית. נעשה exit, ונשארנו כמפיץ בלעדי בשוק ואנחנו ממשיכים למכור בהצלחה פחות או יותר את היישומים שיש לנו בתחום.


אני די חדש בנושא ולכן אני מרשה לעצמי כל הזמן לשאול שאלות. אני בסך הכול שנה וחצי מנכ"ל החברה ואני כל הזמן לומד. אבל אני רוצה לפתוח בברכות זאב על המיזם בצרפת. אני מקווה מאוד שתצליח ושכל תשומת הלב שלך תפנה למיזם המוצלח הזה. ואולי סוף סוף תוריד מאיתנו את הטלפיים.


כמה הערות ברשותכם. קודם כל הרגולציה בתחום החתימה האלקטרונית. הרגולציה היא כבדה עד כדי דרקונית ולאו דווקא בגלל הרגולטור אלא בגלל החוק, התקנות והפרשנויות המסובכות שיוצרות חוסר הבנה ובלבול. אני 30 שנה בענף בתחום של מערכות מידע ובצד של המוכרים ולא הקונים אני כבר 10 שנים, ופעם ראשונה יצא לי שלכל תהליך מכירה אני צריך ללכת עם עורך דין כי אף אחד לא מבין את פרשנויות החוק. ואי אפשר למכור בלי עורך דין. מערכת תוכנה, טכנולוגיה פשוטה. ולא רק זה כי צריך גם להזים כל מיני משפטים שנאמרים ומופרכים ביסודם ולא ייאמר על ידי מי.


הערה נוספת. תחום החתימה האלקטרונית נמצא בכמעט תרדמת מכוח המציאות שבה מונופולים מטילים את צילם על הכבד ואינם מאפשרים כל חדירה של קרני אור שמש הדרושים לצורך צמיחה. אין צמיחה בשוק הזה.


מודה הרשם ואומר שאין לו את יכולת הפיקוח או האכיפה הנדרשים. אני מצטט, "החל מהלך ארגוני שטרם הושלם." לכן אני אומר שמחובתו של משרד המשפטים למצוא את הדרך להתיר את המונופול שנוצר בשוק על ידי הממשלה. אתם יצרתם את הבעיה, תסלחו לי, תפתרו אותה. כשלב מקדים אני מציע להגביר את השקיפות ואת פעילות הפיקוח והאכיפה על המונופול ולא על ידי הרשות להגבלים עסקיים. מי שיצר את הגולם הזה שיפקח עליו בבקשה.


למרות הכשלים והליקויים המתגלים בפיקוח לא פועלת הרשות באופן נחרץ לתיקונם בהיותה גם היא שבויה בידי המונופול שהיא יצרה בבחינת הגולם קם על יוצרו ואני לקחתי את המקרה של ההוצאה לאור של לשכת עורכי הדין שמספרים שם למה המצב הוא כל כך נורא אבל אי אפשר לעשות כלום.


בנושא חתימה אלקטרונית מאובטחת קיימת אי בהירות ועמימות וערפל שאופפים את הנושא והתקנות שמסביב זה לחם חוקם של גורמים אינטרסנטיים שתוצאות פעולתם הם דיכוי התפתחות השוק. השוק הזה לא מתרומם. וזה לא שאין חברות טכנולוגיות טובות כמו בכל תחום בגניוס היהודי.


יש פרק שעוסק בחקיקה והנחיות. מודה הרשם כי בידי הרשם אין סנקציות יעילות" ועל כך ייאמר מודה ועוזב לא ירוחם. זאת מכיוון שלמצב הקיים יש השלכות כבדות על השוק ועל הענף ובאחריות הוועדה הזאת לפעול לתיקון המצב במהירות ובנחישות.


לגבי הנייר שלך זאב שחילקת לנו פה, תודה. סעיף 5 מדוע יש רק גורם מאשר אחד? אני מסכים עם כל מה שכתבת ואני רק רוצה להוסיף שבעצם הודאתך על היותך מונופול דה פקטו אתה צריך לקבל על עצמך כללי פעולה בסיסיים שנדרשים בשוק שנדרש על ידי מונופול וזה שקיפות של כל הפעילות שאתה עושה, והשקיפות הזאת לדאבוני אינה קיימת.

הדובר האחרון יהיה עופר ישי, יושב ראש ועדת המומחים לחתימה אלקטרונית, אגף התקינה של מכון התקנים שידבר על העניין של התקינה.

קודם כל תודה רבה על האפשרות לשאת כאן את הדברים. מה שאנחנו נסקור זה את הפעילות שלנו ואנחנו נקשור את זה לדוח של הרשות שהוצג כאן. יש את הנושא של החקיקה ויש את הנושא של התקנים. אנחנו מנסים שהתקנים שקיימים ישולבו בתוך החקיקה הקיימת. לשאלתך, זה לא שאין תקנים. גם החקיקה שהיתה ב-2001-2002 כוללת תקנים. אבל באופן טבעי יש תקנים שיוצאים מתוקף, יש תקנים חדשים ויש תקנים שלא הוזכרו בחקיקה המקורית. לכן על פי תקנה 15 הרשם ברגע שהוחלף תקן מן התקנים הנזכרים בחוק צריך להודיע לגורם המאשר. מה שאנחנו בעצם מנסים לעשות זה להזרים מידע לרשות ולהודיע יש תקנים חדשים. בואו נראה מה אנחנו יכולים לעשות ואיך אנחנו מאמצים אותם. המטרה שלנו בעצם היא להחיל תקנים ישראליים. כלומר תקנים בינוניים קיימים. המטרה היא לעשות תקנים ישראליים ובמידת הצורך להתאים למדינת ישראל. בהרבה מאוד מהמקרים לא צריך התאמה מיוחדת. פשוט מאמצים אותם.

יש מקרה אחד שהוא ייחודי לישראל. חברי הוועדה, פרופסור אלי ביהם, עורך דין אורן כהן, רחל יעקובי מבנק ישראל, אני, יעקב מנדל נציג התעשייה ומשה שפר שנמצא פה בדיון. הכול במסגרת אגף התקינה של מכון התקנים. אנחנו מדברים פה על כך שהחתימה על המסמך כוללת שלושה מרכיבים שזה פונקצית ההשינג או הגיבוב. הנושא של הריפוד של הנתונים כדי שזה יתאים מבחינת האורך ללוגורותים של החתימה. אני אתרכז בשלושת המרכיבים האלה.


לא ניכנס פה לכל הפרטים של התקנים אבל כן הייתי רוצה להגיד ברמה של משפחות. התקנים שהוחלו בוועדה עד היום זה תקן 9796 שמדבר על חתימה דיגיטאלית. תקן נוסף 14888 גם הוא מתייחס לחתימה דיגיטאלית מסוג אחר. כל הנושא של ההשינג או התמצות ונושא של המדריך. כל הנושא של תוכן מפתח ציבורי. העיקר אני אתייחס פה לסטנדרטיזציה של תעודה דיגיטאלית בהקשר לשפות.


התקן הזה פורסם כתקן ישראלי אבל הוא לא מופיע היום בתקנות של חתימה אלקטרונית. בעצם ההמלצה שלנו לקחת אותו ולשלב אותו במקום המתאים בתקנות. מבחינת התמונה הכללית, החלק השני אושר, החלק הראשון בוטל, חלק שלישי אנחנו נטפל בו בשנה הבאה. אז זה תקן אחד. התקן השני משפחה נוספת הוא בעצם אושר כולו. כלומר קיים כולו כתקן ישראלי. החלק השלישי שלו אנחנו עשינו עבודה נוספת בזמנו, זה אושר באימוץ מהיר. אחרי זה עשינו את זה דרך הוועדה. הוא מכסה על לוגריתמים שמופיעים היום בתקנות. ה-DSA וה-ECDSA ובעצם מה שאנחנו רואים זה מופיע בתקנות רק תפנו, תגידו בהתאם לתקן זה וזה כדי שזה לא יהיה אמירה כללית שעלולים לפרש את זה בצורה שונה. והחלק השני הוא חלק מאוד חשוב כי בעצם הלוגרית הכי נפוץ והכי מפורסם ה-RSA לא היה מעוגן בצורה מסודרת בתקן איזו בצורה ישירה. זה תקן חדש. למעשה הועבר פרסום לציבור. השלב הבא שהוא יפורסם ואז בעצם ה-RSA יהיה גם כן מעוגן בתקן איזו מסודר.


כל הנושא של פונקצית ההשינג. התקן כולל ארבעה חלקים שכולם קיימים כבר היום כתקן ישראלי. גם פה החלק השלישי עשינו עבודה מיוחדת והוא מכסה פונקציות ספציפיות של השינג שחלק מהן נדונו בעבודה שנעשתה על ידי הרשות. גם פה אפשר לקחת את התקנים שקיימים ולהפנות אליהם מהתקנות.


זה התקן שמדבר על הנושא של הדירקטורים ובעצם על הנתונים בין היתר של התעודה האלקטרונית. התקנים היום יש הפניה לתקן בינלאומי. התקן עצמו, יש גרסה חדשה שלו ברמה הבינלאומית. אנחנו פועלים עכשיו להפוך אותו לתקן ישראלי. ופה יש נקודה אחת שהיא כן רלוונטית, כל הנושא של השפות. איך אתה מכניס בצורה סטנדרטית עברית, ערבית ואנגלית לתוך התעודה.


יש תקנים נוספים. לא הכול ברמה של תקנים. יש לנו תוכנית עבודה שאמורה להיות מאושרת במכון לתקנים והיא תשלים את התקנים הנוספים שמהם אני אדגיש את תקן 15946 שהוא גם כן מתייחס לאלוגרית טכנולוגית שגם כן קיים בתקנות וגם אליו ניתן יהיה להפנות ולסגור את המעגל במובן הזה.


הנושא שהתלבטנו בו זה הנושא של שילוב שפות לגבי תעודה דיגיטאלית. היום אין בעצם הגדרה אחידה איפה אתה שם את הפרטים בעברית, ערבית ואנגלית. זה נשאר לפי תקן בינלאומי. לא ירדו לרזולוציה של הדבר הזה.


לא הגדרנו את זה בצורה קשיחה לכל היישומים. אמרנו זה יישום אופציונאלי. זאת אומרת מי שרוצה לעבוד לפי תקן סטנדרטי יכול אבל מי שרוצה להקים לו מערכת קטנה שתנפיק לו 500 תעודות בערבית אז הוא לא חייב ללכת על התקן המלא. זה הפתרון שהצענו.


עשינו גם ישיבות, דיונים, ישיבות פתוחות עם התעשייה, גם עם משרדי הממשלה. הצגנו חלופה. פרסמנו את זה לציבור. הרקע של הדבר הזה נובע מהחוק והתקנות שמדברות על זה ששמו של בעל התעודה יופיע בתעודה. אם מדובר על תאגיד אז שם התאגיד צריך להופיע בתעודה. שמו של מורשה החתימה. ואם זה שמות של מוסדות. ובסעיף 14 כתוב שהמסמכים יהיו עברית כולל המידע בתעודות האלקטרוניות.


עולה השאלה של השפות. אז עברית אנחנו מחויבים לפי החוק. יש צורך בשימוש באנגלית כי זה יוצר סטנדרטיזציה. פונים אל זה גם בחוץ לארץ . וערבית זו שפה רשמית של מדינת ישראל שפה נוספת. לחלק מהאוכלוסייה קיימים פרטים בערבית. זה בעצם הרקע.


הנתונים הרלוונטיים זה שמות של אנשים, שמות של ארגונים ומוסדות, תיאורי תפקיד. היו לנו שלוש חלופות. אחת, במסגרת התעודה החלק הראשי, החלק הסטנדרטי, זה שכולם מסתכלים עליו בהתחלה. יש נתונים חלופיים שאתה יכול להוסיף. יש אפשרות ליצור אובייקט מידע מיוחד עבור מדינת ישראל. אנחנו לא הלכנו בדרך השלישית, הלכנו בדרך הראשונה והשנייה.


כשאתה מקבל תעודה דיגיטאלית אתה רוצה לדעת מי בעצם שלח לך אותה. מי חתם עליה. יש חלק שהוא ויזואלי שאתה יכול להציג את זה ואתה רוצה לדעת מי הפקיד, מה השם שלו או הבן אדם הפרטי. אז חשוב שאדם מן השורה שפותח את התעודה יוכל לראות את זה. מצד שני יש הרבה יישומים אוטומטיים. הם צריכים לדעת בצורה אחידה. השם הפרטי בערבית נמצא במקום הזה והזה והם ניגשים אליו ושולפים אותו. יש פה איזושהי סתירה. אנחנו גם לא התחלנו מאפס. יש היום יישומים ורצינו לקחת בחשבון שהם תואמים. מה שהגדרנו זה מסגרת גמישה. מצד אחד מבנה אחיד, מצד שני, מי שלא רוצה יכול ללכת לפי התקן הבינלאומי. הנתונים הראשיים של התעודה יהיו באנגלית. גם בגלל שהנתונים האלה נשמרים אחר כך בכל מיני בסיסי נתונים והמיונים בעברית עלולים להטעות. בעברית וערבית יופיעו באיזשהו מקום בתעודה בהמשך בצורה מסודרת. אנחנו מקווים שאחרי שנאשר את זה גם יאמצו את זה.


עוד נושא, תקפות הלוגריתמים. איזה כללים צריכים לעשות כדי שיהיו בתוקף. נעשתה בדיקה עצמאית על ידינו. השתלבנו בבדיקה של הרשות ואנחנו בקשר איתם בשביל לתת את חוות הדעת שלנו בנושא הזה.


עוד שני תקנים. דיברת על הנושא של תקנים לציוד ומבחינת אבטחת מידע. יש היום שני תקני איזו. מה שלא היה כל כך ברור בעבר. היה תקן אמריקאי. היום התקן האמריקאי הוא בעצם תקן איזו לכל דבר. בעמוד 17 בדוח מוזכר שהם מוכנים ללכת לפי קריטריון משותף שזה תקן איזו אחת ולא לטפל בפיפס. אנחנו מציעים שישקלו את שני הדברים.


אם אני אסכם את הדברים שלי. אנחנו פועלים גם להכין את התשתית. התכלית שלנו להכין תקנים, להעביר את האינפורמציה, להגביר את המודעות לשימוש בתקנים ואנחנו מנסים כמה שיותר לתאם עם הרשות כי הם בעצם אחד הגורמים החשובים ביותר. תודה רבה.

בקצרה. הרגולציה זה תהליך נמשך. אני שמח שקונסיין מכירה בשיפורים שבוצעו בעקבות הביקורות. גם בנקודת הזמן הזו פשוט אין זמן וזה לא המקום. אבל עדיין יש נושאים שהם פתוחים בינינו וצריך לטפל בהם. אנחנו שמחים שאתה רואה כמונו את הצורך בכלי אכיפה אפקטיביים יותר. אנחנו בהחלט רוצים לקדם את שיתוף הפעולה עם מכון התקנים. לגבי פרויקטים נוספים חלק מהלקוחות של קונסיין הגיעו אלי כדי לבדוק אופציה של חתימה מאובטחת. לכן הנושא של חתימה מאובטחת זו הערה משמעותית. אנחנו פה צריכים לקחת את רוח המחוקק של 2001 שהיתה רוח שרצתה להגן על הציבור ולראות איך אנחנו מאזנים בין טכנולוגיות לבין הגנה על הציבור.

האם תגישו הצעה לתיקון החוק בנושא הזה?

אני לא מופקד על הגשת הצעות חוק. אפשר לקיים על זה דיון מעקב. אנחנו יכולים לבדוק את הדברים. הדברים נשמעו. אני נדרשתי להתעסק הרבה מאוד בחתימה מאובטחת כדי לשדר לשוק שיש כלים.

אז אני אבקש מיושב ראש הוועדה חבר הכנסת שטרית, הציע עורך דין אשכנזי לקיים בנקודה הזאת דיון מעקב ואני חושב שזה מאוד חשוב שאדוני יקבע דיון מעקב כי זה בהחלט אחד החסמים הגדולים מפני יישום אינטנסיבי של חתימה אלקטרונית בישראל על כל התועלות המשקיות והאחרות שיש.

אני מקווה שתגיע לפה חוק החתימה האלקטרונית. אז יהיה דיון. היה חוק מסחר ותפעול. ראש הממשלה צריך לחוות דעה. אתם יודעים מה קורה עם החוק הזה?

כרגע לא אני שתוכל לענות על זה. אבל ככל הידוע לי כרגע הממשלה החליטה לא להחיל.

זה נושא שיש בו צורך דחוף. זו חריגה מנושא הדיון כאן.

חברים אני מודה לכל המשתתפים בדיון. היה דיון מעניין. למדתי הרבה דברים בדיון הזה. אני מודה לאנשי משרד המשפטים על הדוח שלהם וגם לאנשי קונסיין ולכל אלה שהשתתפו היום בדיון. ברור שזה פתח למחשבה הרבה נקודות ששוות דיון. אני מציע שכולם באמת יחשבו. כי בסופו של דבר הטכנולוגיה לא צריכה להיות מכשול. זה הפוך. הטכנולוגיה צריכה להיות לעזר לשרות. צריך להיות מצב שבו כל אזרח יוכל לקבל אישור, חתימה מאושרת או חתימה מאובטחת. הדברים צריכים להיות ברורים. אני מציע לומר את זה ליושב ראש הרשות. אתם צריכים לעשות מאמץ לסלק מהדרך מכשולים שמפריעים לתהליך הזה. אני כיושב ראש ועדת מדע אתמוך בכל מאמץ כזה כדי להביא לפישוט של הנושאים ודחיפת הנושא קדימה. אני רואה בזה חשיבות שאזרחים יוכלו לקבל את כל השירותים דרך מחשב מרחוק ולא לבוא פיזית לא למשרדי ממשלה ולא למקומות אחרים. כמו שקרה למשל עם הטאבו. אפשר לעשות את זה בהרבה מאוד תחומים ואני מאמין שחתימה אלקטרונית תשנה את המצב. אני מקווה שבשבוע הבא נעביר סוף סוף את החוק הביומטרי עם ההפשרה שהממשלה עשתה. נוכל להתחיל בהפקה של תעודות ביומטריות. בהתחלה מרצון לפי בקשת הממשלה. אני ראשון מתנדב. כל ההפחדות שמפחידים את הציבור אין להם ידיים ורגליים. הפחדות סרק. הדבר קיים בכל העולם. וגם כל השקרים שמפיצים שאין שום מדינה עם מאגר גם הם שקר מעוות. נכון שלמדינות אין תעודות זהות אבל ברוב המדינות שעשו דרכונים ביומטרים בכולם יש מאגר. צרפת, בריטניה, קנדה, ארצות הברית, ספרד, אוסטרליה ועוד. לכולם יש מאגרים בלי יוצא מן הכלל. שלא לדבר על כך שישראלים נמצאים במאגרים אחרים. כל מי שנכנס למדינה אחרת צריך לתת טביעת אצבעות. באמריקה לבד יש להם מאגר של מיליון ישראלים עם עשר טביעות אצבעות. שם באמריקה זה בסדר. ישראל לא. אז גם פה זה יהיה בסדר. אני מאמין. אם לממשלה הזאת אין רגליים חזקות לעמוד בשער אז היא לא תישאר פה לנצח ויבואו ויחליפו אותה. אני מודה לכל החברים. ונמשיך לעקוב אחרי הדברים האלה. אני מודה לכם על הדוח. אני איזום פה דיון על העניין של מאגרי מידע. תודה רבה.

הישיבה ננעלה בשעה 13:30