ישיבת ועדה של הכנסת ה-18 מתאריך 04/07/2011

לוחמה קיברנטית - היערכות מדינת ישראל למתקפות על רשתות מחשבים ותקשורת

פרוטוקול

 
הכנסת השמונה עשרה

ועדת המדע והטכנולוגיה

4.7.2011

14

הכנסת השמונה עשרה
נוסח לא מתוקן

מושב שלישי

פרוטוקול מס' 95
מישיבת ועדת המדע והטכנולוגיה

יום שני, ב' בתמוז תשע"א (4 ביולי 2011), שעה 11:00
סדר היום
לוחמה קיברנטית – היערכות מדינת ישראל למתקפות על רשתות מחשבים ותקשורת
נוכחים
חברי הועדה: מאיר שטרית – היו"ר
מוזמנים
חה"כ דורון אביטל

רן ישי


סמנכ"ל בכיר למינהל ומשאבי אנוש, משרד ראש הממשלה

עו"ד אורלי פישמן
יועצת משפטית, משרד ראש הממשלה

שירית פלמון

רמ"ח טכנולוגיות מל"ל, משרד ראש הממשלה

חגי לוין


משרד ראש הממשלה

עו"ד בוסנה ירדני
ע' יועצת משפטית, המשרד לבטחון פנים

עידית חכימי

מ' תחום החברה וההתנהגות, לשכת המדען הראשי, המשרד לבטחון פנים

צביקה קנפר

מ' תחום מדעים מדוייקים, לשכת המדען הראשי, המשרד לבטחון פנים

סנ"צ ז'קלין לוי

ראש אבטחת מידע במנ"ט, משטרת ישראל

סנ"צ אורית סבן

קצין יחידת בטחון שדה באח"מ, משטרת ישראל

סנ"צ עופר שנהב

רמ"ד פרויקטים של תשתיות מיחשוב, משטרת ישראל

סנ"צ מאיר חיון

רמ"ד ביחידת סיגינט, משטרת ישראל

סנ"צ ברוך מזרחי
רמ"ד סיגינט, משטרת ישראל

דר' משה גולדברג
ראש מת"ט (תשתית טכנולוגיות), משרד הבטחון

דר' נדב כהן

רע"ן תשתית מדעית, מפא"ת, משרד הבטחון

תא"ל אילה חכים
מ' יח' לוט"ים, צה"ל; חברת ועדת המיזם הקיברנטי, משרד הבטחון

אל"מ דניאל בירן
מח' אלקטרוניקה ולוחמה אלקטרונית, משרד הבטחון

אל"מ רון שבילי

רמ"ח מאל"א, מפא"ת, משרד הבטחון

מנחם גרינבלום

מנכ"ל משרד המדע והטכנולוגיה

פרופ' דניאל וייס

מדען ראשי, משרד המדע והטכנולוגיה

נתי גולדפינגר

יועץ בכיר למנכ"ל, משרד המדע והטכנולוגיה

מרים חיים

מנהלת לשכת מנכ"ל, משרד המדע והטכנולוגיה

כרמלה אבנר

מנהלת ממשל זמין, משרד האוצר

שוקי פלג

מנהל צוות, אגף מידע, ממשל זמין, משרד האוצר

עו"ד יורם הכהן

ראש הרשות למשפט, טכנולוגיה ומידע, משרד המשפטים

נועם קוריאט

מנהל תחום ארגון וניהול מידע, מינהל מדע וטכנולוגיה, משרד החינוך

תמיר שניידרמן

קב"ט תשתיות לאומיות, משרד התשתיות הלאומיות

יוסי סמולר

מנהל תכנית החממות הטכנולוגיות, לשכת המדען, משרד התמ"ת

גיל ארז


חבר ועדת ההיגוי למיזם הקיברנטי, המדען הראשי, משרד התמ"ת
דר' נילי מנדבליט
מנהלת תכנית fp7 security, משרד התמ"ת
פרופ' יצחק בן ישראל
אלוף (מיל'), יו"ר מולמו"פ ויו"ר סוכנות החלל הישראלית

חיים רוסו
חבר המועצה הלאומית למחקר ופיתוח אזרחי, סגן נשיא בחברת "אלביט", יו"ר ועדת החינוך בהתאחדות התעשיינים
דר' מרים ברקת

חברת המועצה הלאומית למחקר ולפיתוח אזרחי

פרידה סופר

מזכ"ל המועצה הלאומית למחקר ולפיתוח אזרחי

פרופ' רות ארנון

נשיאת האקדמיה הלאומית הישראלית למדעים

דר' מאיר צדוק

מנכ"ל האקדמיה הלאומית הישראלית למדעים

דורון רותם

ראש מינהלת מערכות שליטה ובקרה, מפעל מל"מ, התעשיה האוירית

פרופ' דני דולב

יו"ר הרשות למיחשוב, האוניברסיטה העברית בירושלים

רם לוי


מזכיר המיזם הקיברנטי, אוניברסיטת תל אביב

הנרי נוסבכר

יועץ למרכז החישובים הבינ-אוניברסיטאי

פרופ' איגור קנובסקי
ס' יו"ר מועצת ארגוני הסגל האקדמי במכללות האקדמאיות

עו"ד דורון אבני

מנהל מדיניות וקשרי ממשל, Google ישראל

שחר הררי

מנכ"ל חברת קומיטרי טכנולוגיות בע"מ

קובי פרידמן

סמנכ"ל חברת קומיטרי טכנולוגיות בע"מ

אבנר רביב

הפורום לבטחון ישראל, חברת מוטורולה ישראל

יניב סבג


מנהל מח' הנדסת רשתות ip ותמסורת, חברת פרטנר תקשורת בע"מ

צביקה בנדט

סמנכ"ל חברת שלדור (חברה שייעצה למיזם הקיברנטי)

נועם מני

יועץ אסטרטגי, חברת שלדור
מנהלת הועודה
ענת לוי
רשמה וערכה
רות לובין
לוחמה קיברנטית – היערכות מדינת ישראל למתקפות על רשתות מחשבים ותקשורת
היו"ר מאיר שטרית
שלום, בוקר טוב לכל המשתתפים הנמצאים אתנו, מנחם גרינבלום - מנכ"ל משרד המדע, פרופ' רות ארנון - נשיאת האקדמיה הלאומית למדעים, פרופ' יצחק בן ישראל, יו"ר המועצה הלאומית למחקר ופיתוח אזרחי וגם יו"ר סוכנות החלל הלאומית הישראלית ועוד מוזמנים רבים, המשרד לבטחון פנים, משרד הבטחון, משרד המדע והטכנולוגיה, משרד האוצר, משרד החינוך, משרד התשתיות הלאומיות, מועצה לאומית למחקר ופיתוח אזרחי, תעשיה אוירית, עיריות, מועצות, אוניברסיטאות, מכללות וכן הלאה.

הנושא שעומד היום בפנינו הוא ה cyberspace דהיינו, המרחב הקיברנטי הקיים בעולם והבעיה הזו מציקה לא רק לנו אלא לכל העולם כולו וכל המדינות דנות בכך ומחפשות דרכים להתמודדות עם ה cyberspace שאין עליו שליטה מוחלטת.

איך מתגוננים בפני מצב שבו מדינה יכולה להיות נתונה בסכנה גדולה מאד של התמוטטות כל המערכות שלה -לא רק הצבאיות אלא גם האזרחיות, שהרי היום מלחמה היא לא בהכרח באמצעות טנקים וצבא ומטוסים אלא שאפשר למוטט מדינה גם באמצעות המחשבים שלה כי הכל קשור למחשב, איך שלא נסובב את זה, כל מערכת שמפעילה משהו –אם זה המערכת הכלכלית של המדינה שהיא קשורה למחשבים, מערכת המים, החשמל, כולן קשורות למחשבים. עברו התקופות היפות שבהן היו עושים הכל בידים ואי אפשר היה למוטט את כל העבודה בבת אחת.

היום המחשבים הפכו להיות חלק אינטגרלי מכל המערכות של המדינה ולכן הדבר הזה מחייב התייחסות לעומק ואני יודע שהסוגיה הזו נמצאת בדיונים בפורומים רבים בעולם, גם בתוך המדינות וגם מחוצה להן, מתוך נסיון לשתף פעולה, ללמוד אחת מן השניה ולראות איך אנחנו מתמודדים עם הסוגיה הזו.

בזמנו קיימנו פה דיון שהשתתף בו גם פרופ' יצחק בן ישראל ואמרתי שם שבענין הזה נקיים דיון. כידוע, יש יוזמה –שהוא מיד יציג אותה כאן, יוזמה של ממשלת ישראל להתמודד עם הסוגיה הזו ברצינות והיא קיבלה החלטה מאד הוגנת ורצינית להתמודד עם הסוגיה הזו ולנסות לטפל בה.

ביקשתי מפרופ' בן ישראל -שעומד בראש המועצה למחקר ופיתוח אזרחי, לדווח לוועדה מה עושים, מהן הכוונות, מהן התכניות ואחר כך נעבור לשאר הדוברים.
יצחק בן ישראל
תודה רבה. מה שאציג בפניכם היום הוא דווח על עבודה שנעשתה בשבעה שמונה חודשים האחרונים ביוזמת ראש הממשלה כדי לפתור את הבעיות שהציג יושב הראש.

לגבי האיומים, לא אדבר הרבה אלא אציג סרטון בן כשלש דקות, שחציו נלקח מה c.n.n. שעשו סימולציה עם מומחים ברמה בינלאומית ואספו דיווחים, וחציו השני מתכנית "60 דקות" שמדברת על כך. מכל זה לקחנו כשלש דקות ואחרי הסרטון אמשיך.

הצגת הסרטון

זה לגבי האיום. וכמו ששמעתם מן הנשיא אובמה כך גם האנגלים, הצרפתים, הגרמנים ולמעשה כל אחת מן המדינות בעולם הגדירה לעצמה מדיניות של סדר לאומי. זו המשימה שאנחנו קיבלנו מראש הממשלה, משימה שהוכתב בה החזון.

בסך הכל ישראל היום היא מרכז ידע עולמי בתחום ההייטק ותחום ההייטק הוא מאד קרוב ל cyberspace, המרחב התיחשובי הזה. החזון הוא שנהיה מרכז עולמי בתחום הזה באותה המידה שבה אנחנו בהייטק ואולי אף יותר ממנה, מסיבות מובנות: למען הכלכלה, החברה ולביסוס הידע והערכים שאנחנו רוצים לשמר כאן.

קיבלנו שלש שאלות מרכזיות שעליהן היה עלינו לעלות. האחת, מה עושים מבחינה לאומית כוללת, בכל המישורים –חינוך, תעשיה, בטחון, אקדמיה ובכל המישורים האחרים, מה עושים כדי ליצור את הסינגריה בין כל הגורמים הללו ולהפוך את ישראל למרכז כזה, פרויקט חד פעמי.

השאלה השניה היא שאלה צדדית יותר אבל חשובה לא פחות, והיא מהי הדרך להגנה והצפנה כי חלק גדול מן העיסוק במרחב הזה מחייב הגנה שעושים על ידי הצפנות ומי שרוצה לחדור צריך לפצח אותן. לשם כך צריך כושר חישוב שהוא מעל היכולות שנמצאות היום במדינת ישראל.

במהלך הדרך, לקראת סוף העבודה, קיבלנו שאלה נוספת -שלמזלנו הגיעה לקראת הסוף ולא בהתחלה, והיא איזה סדר צריך לעשות, מי אחראי על מה, איך מחולקות הסמכויות גם בין הגורמים שכבר קיימים ומבצעים עבודה.

על מנת לעשות את זה הקמנו שמונה תת-ועדות. ארבעת החיצים הירוקים הם נושאים שהוועדות מטפלות בהם מבחינת התוכן הפנימי והמקצועי. משמאל לימין, הראשון הוא מיחשוב העל והתשתית, בראש הועדה הזו עמד תת אלוף נגל -סגן ראש מפא"ת דאז והיום במל"מ, הועדה השניה היא צופן וסימולציה שבראשה עמדה פרופ' מינה טייכר ממולמו"פ, הועדה השלישית דנה בהגנה, ניתור ובקרה ובראשה עמד פרופ' דני דולב, והועדה הרביעית דנה בכל מה שקשור ליוזמה שלנו בראשה עמד פנחס בוכריס, שהיה מנכ"ל משרד הבטחון.

על ארבעת הועדות הללו עשינו בהתחלה שלש ועדות רוחביות, האחת דנה בשאלה מהן התועלות הכלכליות שיכולות לנבוע מן השילוב הזה בתוך המשק, ובראשה עמד יוג'ין קנדל -ראש המועצה הכלכלית במשרד ראש הממשלה, השניה דנה באקדמיה, גם מבחינת השאלה אילו תועלות יכולה האקדמיה להפיק מכך -כמו מיזוג המיחשוב למשל, ומה שיותר חשוב הוא איזה input נדרש מן האקדמיה ובראש הועדה הזו עמד פרופ' אודי גזית מאוניברסיטת תל אביב. השלישית, מדיניות וחקיקה -שהרי בסוף ניתן להיכשל בגלל הליך חקיקתי, אז פה היו לנו את מכון קוריאל ואת אוריאל ניצן -תת אלוף במילואים מן המל"ל, ואחרי כן הקמנו את הועדה האחרונה של ההסדרה.

לקחנו גם חברת ייעוץ, את "שלדור", רשומה בפינה הימנית העליונה בצד ימין, כדי לעשות את "עבודת הרגליים" בתעשיות. יש בארץ מאות חברות קטנות שכבר עוסקות היום בתחומים שמשיקים לענין הזה אז לעשות את כל "עבודת הרגליים" ולדבר איתן.

קודם כל, מתוך חמישה עשר חברי מולמו"פ, יש ששה או שבעה חברים שהיו משולבים בוועדת האלו למיניהן, חלקם אפילו כאן, מרים ברקת, חיים רוסו, ושולבו גם פרופ' מינה טכלר ונוספים. יש לנו כלי שקראנו לו הועדה העליונה למדע וטכנולוגיה שהקמנו אותו ad hock לצורך הענין הזה וחברים בו האנשים הרשומים מצד ימין. מבצעי המו"פ של המו"פ הממשלתי הם נשיאת האקדמיה למדעים, ראש מפא"ן והמדען הראשי בתמ"ת, אלה שלושת המיגזרים: אקדמיה, בטחון ותעשיה, שהם רוצים את רוב תקציב המו"פ הממשלתי. חבר בכלי זה גם פרופ' דני וייס שגם יושב כאן, המדען הראשי למשרד המדע שהוא יושב ראש פורום המדענים הראשיים שמוציאים את שאר הכסף הממשלתי.

מלבד זה משרד האוצר -כמובן ואחרים שיושבים כאן. בגלל שהנושא הפעם הוא cyberspace, הוספנו בצד שמאל את כל המונחים המקצועיים בהם נשתמש.

מעבר למשרד המדע, האקדמיה הלאומית למדעים, יחידה 8200 תת-אלוף אילה שיושבת כאן, יחידת המו"פ שאחראית -בין היתר על הצופן בצה"ל, רא"ם –רשות לאבטחת המידע שהוקמה בשב"כ ב 2002 ואתייחס לזה בהמשך. יש לה אחריות מסויימת לגבי חלק מן התשתיות הקריטיות במדינת ישראל. דובי שוורץ -המדען הראשי בוועדה לאנרגיה אטומית ויואב פולק מאגף תקציבים.

למעלה משמונים איש, כמעט כולם עבדו בהתנדבות. עבודה שנמשכה כאמור, שבעה שמונה חודשים.
מימצאים עיקריים
לגבי ועדת ההגנה, ראשית, התקפות קיברנטיות אינן בדיוני אלא קורות לנו כל יום. אנחנו יום יום נתונים במתקפות כאלו, חלקן רק מטרידות, מישהו הורס אתר ושם בו תמונות של חיזבאללה, למשל, הדבר מטריד אבל אין זה איום אמיתי, לעומת זאת, חלקן האחר עלול לגרום נזק גדול. הענין אינו תיאורטי אלא מציאותי. איתות ראשון קיבלנו בהתקפה על אסטוניה, מעבר לדוגמאות שגם אובמה הזכיר, היתה התקפה על אסטוניה כי האסטונים הרגיזו את הרוסים, הרגיזו את מצבת החיל האלמוני ממקום אחד למקום שני והיתה התקפה -די פרימיטיבית אמנם אבל כזו ששיתקה את אסטוניה למשך מספר ימים, באמצעות העמסת יתר של רשתות התקשורת. זה אינו דבר תיאורטי וצריך להתכונן אליו.

שנית, מדינת ישראל מצויה במצב לא רע, אין זאת שאנחנו מתחילים מאפס אלא שבתחומים מסויימים אנחנו אפילו מחזיקים ביתרון משום שהתחלנו מוקדם יותר משאר העולם, בעיקר בתחומים הנוגעים לבטחון. בזכות העבודה שנעשתה בבטחון אז כבר בשנת 2002, לפני עשור, ישבה הממשלה והחליטה שצריך לצרף למערכות המוגנות בישראל את התשתיות הקריטיות כמו חשמל, מים ודברים מן הסוג הזה והאחריות הוטלה על הרשות לאבטחת המידע בשב"כ ולהם יש רשימה של תשע עשרה תשתיות כאלו. יוצא שיש חצי כוס מלאה.

יחד עם זאת, יש חצי כוס ריקה כי יש הרבה מערכות -שלפני עשר שנים, כשישבו על המדוכה, הן לא היו כל כך ממוחשבות ולא כל כך גלויות למחשב כפי שהן היום והיום, במצב בו יש וירוסים ותולעים הן חשופות בצורה שעלולה לשתק את המדינה עם פגיעה בבורסה, למשל או בבנקים ובעוד אינספור דוגמאות שאפשר לתת. לכן, זוהה פער מרכזי בהגנה הקיברנטית על המרחב האזרחי שלא כולו מוגן.

הדבר נובע, בין היתר, מכך שלא היה קיים -עד היום- מטה לאומי שיעשה את העבודה הזו ויראה את הפערים האלה. בנוסף, הטכנולוגיה רצה מהר ויש לבדוק את הדברים יום יום ושעה שעה. לכן הוקם המטה הלאומי שארחיב עליו בהמשך.
יש פער במודעות לעוצמת האיום
אנשים מבינים את האיום הזה כהפרעה בחיבור לאינטרנט או לרשת או לאתרים ולא מבינים את העומק של הדבר הזה וחסרה פעילות של מחקר ופיתוח. כששאלנו מה צריך בשביל להגן אז איתרנו שטחים רבים –שהגדרנו אותם, שלגביהם אין מספיק מחקר ופיתוח במדינה.

בשורה התחתונה, לשאלה של ראש הממשלה, מצאנו שלישראל יש את האנשים ואת היכולות וגם את התקציבים -כי לא מדובר פה בתקציבי עתק, כדי להיות שחקנית מובילה בעולם בתחום הזה של הגנה קיברנטית.

באשר לועדת חישוב העל, אין בישראל היום מחשבי על וזה נובע, בין היתר, מזה שאנחנו לא חתמנו על הסכמים לאי הפצת נשק גרעיני ולכן, מה שמוגדר כמחשב-על אסור למכירה לישראל. ההגדרה של מחשב על משתנה מדי יומיים ומה שהוגדר לפני עשר שנים כמחשב-על נמצא היום על שולחנות רבים. מכל מקום, מחשבי-על אסורים למכירה לישראל, לפי הגדרתם המשתנה.

נשאלת השאלה האם אפשר וצריך לעשות מחשב כזה בישראל אז קודם כל, לגבי השאלה אם אפשר, מצאנו שהרכיבים הכי קריטיים למחשבי-על קיימים בידע הישראלי. יש חברות ויש מרכזים באקדמיה אבל לא כל המרכיבים נמצאים בידע שלנו. קראנו להם "איים" כי יש תחומים שאין לנו ואם נרצה אותם נצטרך להקים אותם.

אדגים. במחשבי-על ישנים היו לוקחים את המעבד ומעלים את המהירות שלו אבל היום לא עושים כך אלא לוקחים עֲנָן, צֵבֶר, פלאסטר של מעבדים ומחברים אותם בתקשורת מהירה מאד ונוצרת מהירות חישוב טוטלית מצטברת שהיא פורצת את התחומים שאנחנו קוראים להם מחשבי על. הרכיב הקריטי, מבחינת חומרה, הוא התקשורת בתוך הענן הזה ומבחינת תוכנה הענין מסתבך כי למשל, תוכנה שרצה עד היום במחשב מסוים, והמהירות שלו, במקום שני ג'יגה הועלתה לשבעה ג'יגה אז התוכנה תוכל לרוץ במחשב החדש והתוצאות תתקבלנה במהירות יותר גדולה אבל, אם במקום מעבד אחד מתקבל משהו מבוזר ויש לחלק את העבודה בין המעבדים אז יש הרבה בעיות של אלגוריתמים ואמינות התוכנה וכל מיני דברים שדורשים נסיון של שנים. הידע לגבי התחום הזה אינו מפותח ואם אנחנו רוצים להיות שם נצטרך לדאוג לפיתוח הידע הזה.

חלק מן הצרכנים באופן טבעי, לא מודע לאופציות החדשות שיכולות להיפתח בפניו ולכן יש להסתכל מה עושים במקומות אחרים בעולם ולראות איזה יכולות זה נותן שם.

לגבי רוחב הפס, יש צואר בקבוק שהוא לא שייך רק לסייבר אלא בכלל למדינת ישראל והוא רוחב הפס והעברת המידע. יש תכנית לעבור לעשרה ג'יגה ברוחב ואני לא יודע איפה היא עומדת אבל בלי זה שום דבר בסוף לא יזוז.

מתפרסמת מדי חצי שנה רשימה של חמשת המחשבים המהירים בעולם וכשאני רשמתי את השקף הזה, לפני חודשיים, המחשב הראשון היה סיני, לפני שלושה שבועות המחשב היפני עבר אותו ויוצא שהשקף הזה לא מעודכן. כשמדברים על המחשבים המהירים האלה אז מדברים על אלפי טרה-פלופים, זאת אומרת, המחשבים שאנחנו מכירים מחושבים לפי ג'יגה, הטרה היא אחרי הכפלה פי אלף ואנחנו מדברים על אלפי טרה פלופים, זאת אומרת, פי מליון יותר מן המחשבים המוכרים.

אם נרצה לעשות בארץ מחשב על, יהיה עלינו לשאול איזה מחשב בדיוק צריך והיה צוות מיוחד שחשב על כך ושאל מה יתאים לנו ומה יקדם אותנו בכל אופן, מצאנו כאן, שברשימה של חמשת המחשבים המהירים בעולם, ארבעה מתוך השבעה הראשונים - הרכיבים הקריטים שלהם ניבנו על ידי חברה ישראלית. מלאנוקס, שקנתה חברה שניה שעסקה בכך. אינטל, אגב, מכינה את המעבדים. יש לנו בעצם את כל היכולות החומרתיות בארץ ועלינו רק להחליט האם אנחנו צריכים מחשב כזה ולעשות בהתאם.
ועדת הצופן והסימולציה
העובדה שהצופן הוא קריטי לתחום הזה היא ברורה. בצד האקדמיה יש לנו בארץ את האנשים המפורסמים והראשונים בעולם בתחום הצופן. לעומת זאת, בצד של האפליקציות, החל ממחקר יותר אפליקטיבי וכלה בתעשייה – אנחנו חלשים. עדיין כאמור, בצד התיאורטי יש בארץ את מיטב המומחים בעולם.

הועדה עסקה גם בסימולטור, כשרוצים לפתח אמצעי בתחום הרשת, יש לְדַמוֹת את הרשת וזה לא דבר פשוט. לשם כך יש לדמות את כל הבלאגן שמתרוצץ ברשת וכו'. הועדה אפיינה את הסימולטור הזה ויהיה לו שימוש נוסף: אנשים שתפקידם יהיה להגן על המערכות הקריטיות במדינה יידרשו לתירגול והסימולטור הזה יוכל לספק את הדרישה. יוצא שהסימולטור הזה ישא בשני תפקידים שונים.

לגבי האקדמיה, כמעט כל התחומים בארץ -שהם מפותחים ומגיעים לרמת של תעשייה וכלכלה, מתחילים באקדמיה. גם רוב המחקר -בניגוד למדינות אחרות שיש להן מכוני מחקר ממשלתיים, אצלנו המחקר נעשה כמעט כולו באקדמיה. שלא לדבר על הכשרת האנשים, הסטודנטים שגומרים את התארים ואם אנחנו רוצים שתחום התיחשוב יהיה חזק כמו שאר תחומי ההייטק במדינה אז יש להתחיל באקדמיה.

מעבר לכך, הגענו למסקנות שהאקדמיה היא כבר שלב מאוחר מדי לצורך כך כי אי אפשר להגדיל את מספר הסטודנטים במקצועות מסויימים, למשל, אם אין מספיק ילדים שלומדים מתימיטיקה ופיזיקה ברמה של חמש יחידות. או אז הוספה המלצה שמשרד החינוך יצטרף לענין והוא הסכים לשים חמישים מליון שקל מתקציבו להגדלת המודעות לתחום הסייבר שהרי בסוף הכל הוא בחזקת כלים שלובים, אי אפשר לבנות את הבית מן הגג.

מבחינת האקדמיה, נדרשים שני מרכזים שלא קיימים היום, האחד הוא בתחום הקיברנטי, בעיקר בצד של האלגוריתמים והשני הוא בתחום חישוב העל כלומר, בשאלה איך מפרקים את הבעיות לבעיות של חישוב על.

אני מדבר על מרכז אקדמי, כי היה הרבה עיון בשאלה האם צריך מחשב על כנותן שירותים ולא זה מה שהמלצנו, אני אישית חושב שבסוף צריך גם את זה אבל המחשב שאותו המלצנו לבנות כאן–ותיכף אתאר אותו בפרק ההמלצות, הוא לא נועד לתת שירותים אלא נועד להיות כלי ניסוי, מעין מעבדה במרכאות, לקבוצת מחקר שתפתח מחשבי על.

לגבי חקיקה, רוב העולם מתלמד בענין הזה של החקיקה משום שאפשר לשתק מדינה -לא רק על ידי פגיעה במערכות הממשלתיות והביטחוניות אלא גם דרך המערכות הפרטיות כמו בנק פרטי, למשל, או בורסה. האפשרות שהמדינה נכנסת אל תוך המערכות ומגנה עליהן, עלולה להתנגש עם ענייני פרטיות ומתוך כך עם השאלה איזה סוג של מדינה אנחנו רוצים להיות כי אנחנו הרי לא רוצים להיות כמו איראן ולכן, רוב מדינות העולם מתלבטות לגבי נקודת האיזון הנכונה. זו הסיבה לכך שמדינה כמו ארצות הברית, למשל, שהחליטה להגן, היא מגנה רק על התשתיות הממשלתיות בינתיים. אמנם אובמה הכריז שהוא רוצה להגן גם על התשתיות האחרות אבל תהליכי החקיקה שם אינם פשוטים. מבחינה זו, אגב, המצב בישראל הוא יותר נוח כי חוק הסדרת הבטחון מאפשר לממשלה להחליט החלטות כאלה, אולי בגלל שאנחנו יותר מודעים לאיום.

עדיין, נדרשת חקיקה ועוד יהיה צורך להתמודד עם זה. תידרש חקיקה לגבי כל מיני דברים שצריך לעשות אותם והועדה ישבה ואיתרה את כל המקומות האלה.
תועלות כלכליות
הועדה הזו, שבראשה ישב יוג'ין קנדל, מצאה שכדי שנהפוך את המשק למרכיב חשוב בדבר הזה, עלינו לעשות צעדים שהיום לא קיימים. לגבי הראשון אתחיל מדוגמה. כשמערכת הבטחון מבקשת, למשל, לפתח טיל או פצצה או מערכת לוחמה אלקטרונית היא לא מפתחת אותו בתוך הצבא, ואמנם הצבא משתתף, תורם קציני פרוייקט, מְלווים, נותן תקציבים אבל הפיתוח עצמו נעשה בתעשיה האזרחית והתעשיה הזו, אם היא היתה מוכרת את התוצר שלה חזרה למערכת הבטחון בלבד אז היא היתה מזמן פושטת את הרגל, והיא היתה במצב כזה, אגב, בתחילת שנות ה-90 וההיחלצות שלה מהמשבר שהיה אז נבעה מזה שהמערכת הבטחון הבינה שהיא חייבת לאפשר לתעשיה יצוא. אמנם לא כל דבר -כי זה בטחון וזה יכול לפגוע חזרה בנו אבל, צריך –עד גבול מסוים, לאפשר את היצוא.

תחום ה cyberspaceנשאר אחד ה"איים" האחרונים, הבודדים שבהם רוב העבודה מתבצעת בתוך הגופים הביטחוניים. יש מעט מאד out sourcing -מיקור חוץ, ואין מספיק שקיפות בהיתרים זאת אומרת, שאם אנחנו רוצים שהחברות ישקיעו ויתרמו אז עליהן לדעת ולהבין מה יאפשר להן בסוף לייצא ומה לא ולשם כך נדרשת שקיפות ולכן, שני הצעדים שרשומים בסוף הפיסקה הראשונה הם "דרושה ליברליזציה בשקיפות בהיתרי היצור והגברת מיקור החוץ", הם שני אלמנטים קריטיים, השתתפו בוועדה הזו גם גופי הבטחון –וחלקם גם מפא"ת, ראש המת"ת שנמצא אתנו כאן, גם אילה מאגף התיקשוב ונציגות מ-8200.

בתשובה לקריאה של יושב הראש, כשאני אמר ליברליזציה ושקיפות אין הכוונה לפתוח הכל, חס וחלילה, תמיד בסופו של דבר, לפי חוקי מדינת ישראל , כל דבר שיש לו פוטנציאל בטחוני ורוצים לייצא אותו אז יש תהליכים והם יישמרו אבל עדיין, צריך לפתוח את הדברים וזה ענין של מידה והגופים הממונים על הענין הזה השתתפו בצוות. כולם הסכימו אז העבודה התחילה להתבצע.

הערה, באופן כללי, כיוון שהעבודה נמשכת כבר כמעט שנה, אז חלק גדול מן ההמלצות החלו כבר להתבצע, תוך כדי עבודה. הגופים יושבים יחד וראש המת"ת לא מחכה שראש הממשלה יאשר את המלצות הצוות כדי שהוא יקים מרכז מצויינות. ברגע שהשתכנענו, בעבודה משותפת, שצריך כזה דבר אז הוא התחיל להקים אותו או המדען הראשי בתמ"ת עשה "מאגד", "מאגד סייבר" תוך כדי העבודה הזו, לא חיכה להוראות נוספות ויש עוד דוגמאות שאפשר לתתן.

מצאו שצריך פונקציה מרכזית שהיא המטה הלאומי, שיפקח על כל הדברים האלה. המטה הלאומי הזה, אדגיש לגביו, שתפקידו לא רק הגנה במובן של בטחון אלא כל ההגנות שנדבר עליהן, לשלב את התעשיה עם האקדמיה עם הבטחון ביחד וזה אומר, עידוד התעשיה ומו"פ והתקציבים שנַתָּנוּ לו, כולם עם הפנים לקראת יצירה של סינרגיה משלושת הגורמים וזה תפקידו המרכזי של המטה הלאומי הזה.

לגבי תקציבים, כאן אתם רואים קטע ממכתב שעליו חתומות כמעט כל החברות הרב לאומיות שמחזיקות מרכזי פיתוח בארץ כמו מיקרוסופט ואינטל. הוא נכתב בעקבות אירוע שקרה במקביל לעבודה שלנו, כשראש הממשלה אמר בטלויזיה שאנחנו עובדים ואז מיד כולם קפצו וכולם רוצים להיות שותפים, גם בהשקעה של משאבים ולכן, כשאדבר על תקציבים אדבר על כך שחלק מן התקציב שאנחנו רוצים לגייס לטובת הענין הזה יבוא מן המיגזר העיסקי, גם על סמך מכתבים מן הסוג הזה. בנינו חבילה שלמה וכאמור אדבר עליה כשאדבר על התקציב.

ההיבט הקרימינלי, עשינו הרבה דיונים על השאלה האם צריך מרכז לאומי שאליו מגיעים כל הדיווחים על התקפות ב cyberspace ושהוא מנהל אחר כך את ההגנות. מבלי להכריע בשאלה אם צריך כזה או לא, הנה דוגמה, רק לשם המידע, של חברת שנקראת r.s.a. Israel, היא יושבת בהרצליה פיתוח ומבצעת משהו דומה עבור הבנקים הגדולים בעולם. הבנקים הגדולים בעולם זה נגד פשע, ואני מוכרח דרך אגב, להכות כאן על חטא. היינו ממוקדים הרבה יותר באיומים בטחוניים ורק לקראת סוף העבודה הבנו שיש גם את מימד הפשע ולכן העבודה עם המשטרה החלה מאוחר מאד והיא עדיין בתחילתה. עוד נמשיך לעבוד אתה. בכל אופן, המלחמה הפשע מניעה את הטכנולוגיה בתחום ה cyberspace, הבנקים שמנויים עליהם מקבלים כמליון פניות –בשעה או ביום, כדי לעשות טרנזקציות ברשת. אי אפשר לבדוק מספר כזה גדול אחד לאחד באופן ידני ולכן יש שם מערכות שהותקנו במחשבים של הבנקים האלו, מערכות של ubs, chase manhattan ואחרות, שמסננות חשודים, בכל מיני דרגות סינון ובסוף, מה שנשאר חשוד מגיע להרצליה, מכל העולם. שם יש חדר -כמו בתמונה כאן, שבו יושבים עשרות אנשים מול צגים והם יכולים לטלפן אל זה שעשה את הטרנזקציה ולשאול אותו האם באמת עשה אותה אם לאו. הדבר דומה לוידוא עיסקת אשראי. קרה לחלק מכם שמישהו העביר כרטיס אשראי ופתאום מגיע טלפון לשאול אותו אם באמת בוצעה העיסקה על ידו אם לאו. כך חוסכים מיליארדי דולרים בשנה כי כשתופסים פושע הם מחשבים רטרואקטיבית כמה כסף חסכו, ומסתבר שחסכו מיליארדי דולרים בשנה.


להלן ההמלצות שהגשנו בסופו של דבר, בכותרות בלבד. ראשית, להקים מטה סייבר לאומי, מדובר במטה שיהיה כפוף ישירות לראש הממשלה. היו כל מיני אופציות וזה מה שהוחלט על ידי הממשלה. יהיה לו תקציב של כמאה מליון שקל שאותו הוא יוציא דרך הגופים הרגילים שעושים מו"פ בארץ זאת אומרת, דרך המדען הראשי מהתמ"ת, דרך מפא"ת, דרך האקדמיה, והכל בפרוצדורה של מעין matching, זאת אומרת, גוף אחד משלם אחוז מסוים, הגוף השני משלם אחוז מסוים ובעצם המאה האלף הם יותר למינוף. לשאלת יושב הראש, המינוף הוא קודם כל מול הגופים הממשלתיים שזה המדען הראשי בתמ"ת, האקדמיה, הות"ת ומפא"ת.

ועוד בתשובה לשאלת יושב הראש אומר כך: בחישוב חמש שנתי, הכסף הוא בערך חמש מאות מליון של התקציב הזה, מיליארד מן הגופים האלה, ומיליארד נוספים מגופים חיצוניים. הכל בהסכמה על ידי הגופים הללו. בסך הכל חמש מאות מליון שקל לשנה. מאה הוא נותן, מאתיים גופי ממשלה אחרים ומאתיים נוספים –ללא התחייבות אבל יש לנו בסיס טוב לחשוב שהמיגזר העיסקי-הפרטי יתן לנו את הסכום. זה סכום שלא עונה לכל הצרכים ומיד נגיע להמלצות, כי יש צרכים שדורשים סכומים יותר גדולים אבל זה טוב להתחלה. ראש הממשלה היה מאד ברור בסיכום שבו אישר את התקציב שזו רק התחלה וזה יגדל. כל זה יהיה בניצוחו של מטה הסייבר.
לגבי אחריות
במרחב האזרחי ברובו, אין כלל אחריות, לא ברור מי אחראי על הנחיית הגופים להגנה, למעט ממיגזר מצומצם יחסית של תשתיות קריטיות. המלצתנו היתה -והיא נתקבלה, בהסכמת השב"כ ובהסכמת הממשלה, שהסמכות שיש היום לרא"ם, הראשות לאבטחת מידע, לגבי התשתיות הקריטיות, תורחב למרחב האזרחי.

המדינות והרגולציה. דיברתי על השקיפות ועל מיקור החוץ, יש עוד דברים שונים ולא אכנס כאן לפרטי הפרטים למרות שהם חשובים. אנו מאמינים שאם אנחנו רוצים שלמערכת הבטחון יהיה בסיס טוב להישען עליו, כמו בשאר תחומי הטכנולוגיה, היא צריכה תעשית סייבר חיה, חיה בזכות עצמה.
לגבי מו"פ, יש מספר דברים
קודם כל באקדמיה יש יותר מחקר ופחות פיתוח, וזה חלק מן הפערים של המו"פ, אז יש באקדמיה, יש בתעשיה, יש בתעשיה לטובת יצוא ויש בתעשיה לטובת הבטחון הפנימי. הגדרנו את התכניות, הגדרנו יעדים, ניסינו לאמוד את התקציבים הנדרשים לדבר הזה ובסוף חילקנו אותו ביחס שעליו דיברתי קודם. זה כולל את מרכזי המצויינות.

על מחשב העל דיברתי קודם.
סימולטור ומעבדת הסמכה
יש להקים סימולטור כזה ומעבדת הסמכה. מעבדת הסמכה היא סוג של קביעת תקן. יש מוצרים שהם טובים להגנה אבל מישהו צריך לתת את התקן ולומר: זה דבר טוב ומקנה הגנה ברמה מסויימת וכו'. לשאלת יושב הראש, בתחומים מסויימים זה קיים כמו בענין הצופן, למשל, שקיים בתוך מערכת הבטחון ואנחנו רוצים –על סמך מה שקיים, להרחיב את הקיים כשהסמכות תהיה בסופו של דבר משותפת לרא"ם ולמערכת הבטחון. הגדרנו את הדברים שיש לעשות.
חינוך
אמרתי קודם שהגענו למסקנה שלא די בהשכלה הגבוהה אלא יש להעלות את המודעות לסייבר כבר בגיל הצעיר של התלמידים.
פיתוח כלים לחירום
קודם כל יש לדעת איך נתבצעה התקיפה. הזכרתי את הדוגמה של r.s.a. והבנקים. שנית, יש צורך בשיקום מייידי. יש לדעת מה עושים, איך משתקמים, מהם הגיבויים, איך חוזרים לחיים. חלק מן הכלים קיימים בשוק וצריך רק לדאוג שהם יהיו למערכות הקריטיות וחלק מן הכלים לא קיימים ויש לפתח אותם.

מעטפת הגנת cyberspace לאומית, הכוונה למערכת דומה למה ש r.s.a. מבצעת עבור הבנקים בחוץ לארץ אבל מדובר על משהו לאומי, כלומר, לא כל מפעל לעצמו ולא כל תשתית לעצמה אלא משהו שהוא מקיף.

בנוסף, להגנת ה cyberspace המבוזרת, ומתחת לכותרת הראשית כאן יש הרבה מאד טכנולוגיות שמסבירות מה יש לעשות. טכנולוגיות תוצרת הארץ כמובן. עד שיוקם המטה הזה וימוסד בינתיים המעמד שאנחנו עשינו ימשיך עם ועדת מעקב אבל, ברגע שיוקם המטה נעביר את המטה ונסיים את עבודתנו.
היו"ר מאיר שטרית
תודה רבה. היכולת של מדינת ישראל להתגונן היא קריטית וכאמור, לא רק לה אלא שגם ארצות הברית מוטרדת, כמו שראינו בסרטון.

בדיון בינלאומי שהייתי בו שאלתי אם יש אפשרות לנתק את האינטרנט ברגע שקורה משהו ולא הצליחו לתת לי תשובה.
יצחק בן ישראל
אפשר. לפני מספר חודשים עבר חוק בארצות הברית המאפשר לנשיא לנתק את האינטרנט בכל המדינות שם. הבעיה תהיה בהגדרה של המצב הבטחוני באותו הרגע. כל המדינות בעולם יושפעו מניתוק כזה בגלל הקשר שלהן לשרתים.
היו"ר מאיר שטרית
על כל פנים, הענין חשוב ולא לחינם ראש הממשלה אישר תקציב ואמר את דעתו. עלינו לזכור שהמדינה משקיעה במערכת הבטחון מדי שנה כחמישים ושלושה מיליארד שקל כולל המענק האמריקאי וכאמור, כיום אפשר למוטט מדינה בלי טנקים ובלי מטוסים, מה גם שהצבא לא יוכל להושיע. לכן סכום של חמש מאות מליון שקל נשמע צנוע –יחסית, בהתחשב בסכנה.


יש לשאול מה קורה בשעת חירום? האם יש יכולת שיקום וכו'? האם יש d.r.p.? וכן הלאה. מבדיקה שאני עשיתי במשרדים שונים עולה שאין היום אפילו d.r.p. מספיק טוב, גם לא במשרדי הממשלה. לכן יש חשיבות גדולה מאד לעבודה שעשיתם. מה גם שתידרש חקיקה בענין הזה, חקיקה שתתן insentive, גם למערכות אזרחיות ואפילו להיטיב עם מערכות אזרחיות כדי לעודד אותן להגן על מערכות המיחשוב שלהן, כי ברגע שמערכות אזרחיות קושרות רבים מן האזרחים אז אם הן נופלות הרי שכל המחוברים אליהן ייפגעו.


הדוגמה הבולטת היא הקריסה של "סלקום" שקרתה לא מזמן ועד היום, אגב, הם לא מגלים מה היתה הסיבה. הדבר יכול לקרות, מן הסתם, גם במערכות אחרות.


וקריסת חברת טלפונים, ניחא אבל מערכות אחרות הן קריטיות לקיום. תבורכו על פועלכם. אני מודה לכל השותפים במאמץ. אני מוכן להיות כלי שרת בידיכם לצרכי חקיקה, ככל שתרצו לקדם את הענין.
איגור קנובסקי
במכללות האקדמיות יש עכשיו כח מחקר חזק, המכללות קיבלו זכות לנהל את המחקרים ואנחנו מחפשים את הנושאים המתאימים למחקר. אנחנו עושים מחקרים ישומיים ואנחנו יכולים להצטרף גם אל הנושא הזה ולתרום לו.


המשימה שעכשיו דיברנו עליה היא רצינית והיא תמידית, כלומר, אין לה מגבלת זמן ולכן יש להכין את התשתית עוד עם הסטודנטים. 50% מן הסטודנטים לתואר ראשון לומדים במכללות האקדמיות ובאותם מקצועות של מידע ומדעי המחשב אנו נדרשים לקורס נפרד לבטחון במרחב הוירטואלי וכדי לבנות את הקורס הזה, אותם המרכזים שכבר קיימים והוקמו לצורך המחקר, יקחו על עצמם להדריך את האנשים המתאימים כדי שכל סטודנט בתחומים האלה יקבל את הרקע ויוכל בעתיד שלו לתמוך בנושאים האלה.
דני דולב
מעבר לדברים הברורים, במסגרת הטיפול בנושא הזה חובה להגיע לציבור הרחב ולתודעה שלו, מעבר למה שאנחנו חושבים שצריך ואדגים. מסתבר שאחת ההתקפות שיצאה מישראל יצאה ממחשב של קיבוץ שהיה אחראי רק על ההשקיה ומכאן יוצאים שני דברים: האחד, כשאין מודעות אף אחד מאתנו לא מצפה שמחשב ששוכב בשדה ומפקח רק על השקיה יהיה נקודת התקפה והשני הוא שלכל אחד בציבור יש מה לדעת ולעשות בנושא הזה.

דוגמה שניה, התשתית היחידה שעבדה ביפן בקרות רעידת האדמה היתה האינטרנט וזה איפשר לציבור לתקשר ואיפשר לגורמים השונים ללמוד מה קורה. בקרות כאן שעות חירום אחד הדברים שיש לחשוב עליהם הוא איך לאפשר לציבור תקשורת מינימלית. הנושא הזה לא נמצא באג'נדה של אף אחד מן הגופים הרגילים כי כל אחד חושב על עצמו בשעת חירום. משתי הדוגמאות רואים שהנושא הזה מורכב ולא פשטני ובנוסף, שהוא לא בתפיסת ההגנה המקובלת בישראל. לשולחנכם איך לחשוב.


אני רוצה להודות לפרופ' איציק בן ישראל ולכל הצוותים הרבים, ביניהם הצוות שלי, עשרות אנשים שנתנו המון מזמנם עם נכונות מלאה כדי להירתם בחודשים ספורים.

נושא הפרטיות. על שולחנך, כבוד יושב ראש הועדה היה כבר דיון מאד ארוך בנושא הפרטיות ואנחנו כאן חוזרים אליו מזווית אחרת. ושוב, פרטיות חובה שתעמוד כנר לרגלינו, עם האיזון המתאים. ואפשר לעשות את זה כלומר, אנחנו לא חייבים ללכת לכיוון שבו נדרשת כל הפרטיות כדי להגן. יש למצוא את הדרכים לעשות אגרגציה, זה דורש אמנם יותר עבודה ויותר מאמץ אבל אפשרי, כמו בהפרדה בין מערכות שהוצעה בעבר, שבה רק בעת שילוב בין המערכות אפשר להגיע למידע פרטי. ונכון שהמשטרה והצבא מעדיפים את כל המידע בהישג ידם אבל חובתכם לדאוג שזה לא יהיה.
היו"ר מאיר שטרית
יש שלש מדינות שבהן הרחיקו לכת ושם הגוף המאבטח יכול להיכנס לכל מחשב של כל אזרח וזאת על פי חוק. בארצות הברית, אחרי אסון התאומים קיבלו החלטות מרחיקות לכת ביניהן היכולת של המימשל להיכנס לכל מחשב בארצות הברית.

עדיין יש למצוא את האיזון בין הפרטיות לבין ההגנה על המדינה. אני מאמין שאפשר לקיים את שני הדברים ביחד.

נמצאים אתנו כאן אנשי מימשל זמין. אני מאחל הצלחה רבה למנהלת החדשה של הממשל הזמין ואני שואל: מה מידת ההתקפות והסכנה שיש על האתר הממשלתי gov.il?
כרמלה אבנר
צהרים טובים. כן, אנחנו חשופים ביותר להתקפות. אנחנו מגנים, ואני שמחה להגיד שלא נפרצנו. שוקי פלג, שאחראי על אבטחת המידע במימשל זמין והיה גם חבר בוועדות השונות, יוכל לפרט יותר.
שוקי פלג
בוקר טוב. כפי שכרמלה ציינה, אנחנו נמצאים בעולם הסייבר כבר למעלה מעשר שנים, כשממשל זמין הוקם. כמות ההתקפות שנעשית ביום יום על האתרים בממשל זמין, או נסיונות להתקפה מפורטים בדוח שהצגנו בוועדה לפני כשבוע ומיד נגיע לנקודה הזו, יש הרבה מאד נסיונות התקפה מכל העלם, כולם נעצרים וכולם מתועדים. ההתקפות הן מסוגים שונים, התקפות העיקריות הן נסיונות למניעת שירות ואדגים, זה בדרך כלל משקף את האירועים הפוליטיים שיש לנו. כשהיה משט המרמרה, למשל, היו אנשים שראו אותו ב c.n.n. והיו אנשים שראו אותו על מסכי הבקרה שלנו בצורה של נסיונות להתקפה על אתרים של ממשל זמין. הדבר גרם לחוסר זמינות של חלק מן האתרים למשך עשר עד עשרים דקות וזה פחות או יותר המטרה שלנו. להגיע למצב שבו אנחנו יכולים לעצור התקפות כאלו, שמגיעות מכל מקום בעולם, בזמן קצר מאד ולהמשיך את השירות למרות נסיונות ההתקפה. מתקפות מסוגים אחרים, כמו השחתת פני אתרים או הכנסה של קוד זדוני, ככל שידוע לנו לא קרו דברים כאלה בממשל זמין ואני אומר "ככל שידוע לנו" כי בעולם אבטחת המידע אין מאה אחוז של בטחון. אנחנו לא ראינו שום דבר כזה אבל זה לא אומר שלפני מספר שנים לא נכנס משהו ו"יושב" שם על ה gov.il אבל, אנחנו כרגע, נכון להיום, לא ראינו שום התקפה שהצליחה בנושא הזה.


בימים האלה אנחנו נערכים לקראת הפשעים הצפויים בעקבות הדיבורים על משט שיוצא לכיוון עזה ואנחנו נערכים כדי למנוע התקפות ולהחזיק שירותים של ממשל זמין, שהם תקינים זמינים לכל אזרחי מדינת ישראל.
יורם הכהן
קודם כל אני מצטרף לדברי פרופ' דולב בהקשר של הצורך לשמור על האיזון בין הפרטיות לבין הגנה מפני תופעות קיברנטיות ובהרבה מקרים הלחימה בתופעות משרתת את הפרטיות וזה היבט נוסף. כלומר, יש תופעות כמו המאבק בין גוגל ובין סין, על החדירה לג'ימייל שנגמר בסופו של דבר בחשבונות ג'ימייל של אנשים פרטיים שפרצו אליהם אז יוצא שההגנה על פרטיות ועל התשתית הכללית משתלבות.


לגבי האחריות שלנו, אנחנו נמצאים היום במהלך של עידכון החקיקה, זו שנוגעת לאבטחת מידע בהקשר של הגנה על פרטיות, באופן של עדכון התקנות שקשורות לאבטחת מידע ולפרטיות ואנחנו מקווים להרים את רמת אבטחת המידע בכלל המשק.

הפרטיות משתלבת עם הגנה על התשתית בסופו של דבר כי יש לקחת בחשבון שעסקים כעסקים שהם מגנים על הנכסים שלהם, שהם המידע העיסקי שלהם, בדרך כלל רוצים להגן, ומגנים. יש בעיה לא פשוטוה עם משרדי הממשלה ברמת ההגנה ואני לא מדבר על ממשל זמין אלא על מה שקורה בסופו של דבר ואנחנו מנסים להרים את זה כרגולטור.


לגבי שיתוף פעולה בינלאומי. בתפקיד, בין היתר, אני מייצג את ישראל ב oecd בהיבטים של מדיניות מחשב ותקשורת ושם עולים כל הזמן נושאי הצגה של מדיניות אבטחת מידע לאומיות של מדינות שונות. מסתבר שלוחמה קיברנטית מחייבת שיתוף פעולה בינלאומי בין המדינות שנקרא להן "מדינות טובות" זאת אומרת, כשמתקבלת התקפה מכיוון מסוים היא יכולה להגיע ממקום שנראה כמו עמית שלך ואי אפשר לדעת את זה ולכן שיתוף פעולה בינלאומי –לטעמי, הוא חלק משמעותי מחליפת ההגנה הזו ואני לא ראיתי בהמלצות שום התייחסות לענין הזה. זה משהו שצריך לקחת אותו בחשבון כולל עבודה מול אותם גורמים במימשל האמריקאי והצרפתי והבריטי ובכל המדינות שלצורך הענין האינטרס שלנו הוא שמירה על אותם ערבים וצריך לפתח את הנושא הזה.
דניאל וייס
ארחיב מעבר למימד הקיברנטי ואציע את המימד הבא שנצטרך לכלול אותו והוא המימד של רשתות חברתיות וטלפונים סלולריים. עד היום הם כבר הפילו שני מימשלים והצליחו לסבך את מי שרצה להיות נשיא צרפת וזה כלי לא פחות מסוכן. הוא לא קשור רק למחשבים כי הוא גם בסלולארים שלנו ונצטרך, ברגע שנגמור את הטיפול בזה, נצטרך להתחיל טפל ברשתות החברתיות מבחינת הסיכון של הרשתות האלה ואני מעלה את זה פה כנושא לשלב הבא של הדיונים מן הסוג הזה.
היו"ר מאיר שטרית
לגבי שיתוף פעולה בינלאומי, ראינו במצגת המלצות להצטרפות של ישראל בצורה פרו אקטיבית, מושכלת ושיטתית לתהליכים הבינלאומיים.
שחר הררי
תודה על ההזדמנות להציג את הדברים. נתבקשנו להציג את הנושא של גניבת זהות ואני לא יודע כמה שימת לב הנושא הזה קיבל. הדוגמה השכיחה היא רשתות חברתיות ומרבית הפריצות היום מגיעות משם. הפורץ "מתלבש" באופן מאד מדויק על עובד ארגון, כי הוא יודע שהוא גולש, למשל, ב my space והוא מכיר את החברים שלו במסנג'ר, הוא יכול בקלות להחדיר סוסים טרויאניים באימייל, למשל, וזו מערכת איומים שאין לה, למעשה, שום מענה בעולם.

יש פער בין החבר'ה הצעירים שיושבים אתנו והם מבינים אינטרנט ברמה מאד מאד גבוהה לבין מה שמנהלי אבטחה בבנקים, למשל, יודעים, והפער במידע, פער של שנה וחצי שנתיים במידע הוא עצום. זאת אומרת אין התאמה בין האיומים לבין ההגנה. אדגים. בבנקים, כל כמה שיש להם מערכות מאד מתוחכמות, 90% מהם שבישראל משתמשים באינטרנט explorer 6, וכולם כאן מרימים גבה כי הם מבינים על מה אני מדבר. חברות הבטוח כלל לא מודעות לענין ועוד.

עוד לגבי גניבת זכויות, אם מתקיף "התלבש" על עובד מבלי שהוא יודע ש"התלבשו" עליו, אז העובד למעשה חודר לארגון שלו עצמו. והוא לא יודע שהוא עושה את הפעולות האלה ואם נקח אותו לפוליגרף ימצא שהוא דובר אמת. מי שגנב את הזהות שלו נכנס בשמו למערכות מסויימות ושום מערכת אבטחה לא יודעת שזה תוקף כי הוא משתמש בזהות של העובד. זוהי שיטת הפעולה בשנים האחרונות בארגונים הגדולים.

כל הקונספציה של האבטחה, כל התפיסה של גניבת זהות ומהי המשמעות שלה הלכה למעשה, גם אופן הגדרת וירוסים וסוסים טרויאנים, כל אלה יצרו פה חלל ריק.

בחו"ל מתמודדים עם האיום הזה כבר שנתיים שלש, ולצערי, בארץ, במערכות האזרחיות, חלק מן המנמ"רים אפילו לא יודעים בכלל על מה אנחנו מדברים וזו תופעה שצריך לשים עליה דגש. ניסינו להגיע לוועדה שפרופ' בן ישראל הוביל ולא הצלחנו. לא רק אנחנו פועלים בתחום ויש פער בין מפת האיום הנוכחית -כפי שאנחנו רואים אותה, וכפי שאנחנו מדוּוָחִים לגביה לבין סוג ההתנהלות שהיא מתאימה לשנים שלפני שלש או ארבע שנים.
היו"ר מאיר שטרית
אביא את הדוגמה שהבאת בזמנו בפני הועדה. דובר בבנק הפועלים, אדם נכנס עם זהות של עובד בנק וחשף חשבונות של עשרות אלפי אנשים כשהוא יכל לעשות כל דבר בחשבון שלהם, בלי ידיעה של אף אחד מהם. המערכת חושבת שמי שנכנס הוא עובד הבנק וגניבת הזהות מתבצעת בצורה מאד קלה.
שחר הררי
לדוגמה, באתרי קהילות אפשר לזהות מישהו, להיכנס בתור חבר שלו ולעקוב אחריו. ברגע שהוא יעשה פעם אחת טעות קטנה בלי לשים לב, הוא נכנס לאיזשהו אתר, הוא לא יודע מה קורה מאחורי הקלעים, ודי במסנג'ר או באיזה לינק פרסומי דרך הדוא"ל, יש למעשה קרוב לחמישים תיאורים שונים איך אפשר לעשות את הדברים האלה, למעשה יש מתקפה ברקע והעובד לא יודע שהוא יצר אותה, הוא לא יודע שהוא מתקיף את הארגון, אין לו מושג והמערכת לא יכולה להגיד. אין מערכות שבודקות את זה. ואני מדבר רק על מערכות אזרחיות כי אני לא יודע מה קורה בצבא. סוגים כאלה של מתקפות הם הנפוצים ביותר. תראו מה שקורה היום בפייסבוק. הגולשים לוחצים על כפתורים כשאין להם מושג מהם וכשאנחנו מנסים להסביר את הדברים אנחנו נתקלים במבוכה.
נילי מנדבליט
שלום. אנחנו מבקשים לעורר את מודעות הוועדה והנוכחים לתכנית המסגרת האירופית, תכנית fp7, שישראל חברה בה, יש את תחום הבטחון שאני מטפלת בו, נושא הסייבר סקיורטי שם הולך וגדל. האירופאים עצמם עדיין לא החליטו על מדיניות הם מחפשים את המקומות להם יקצו את המשאבים.

דרך הועדות האלו אנחנו יכולים להשפיע על השאלה לאן המשאבים האלה ילכו כולל, למשל, לנושא של תקינה, כרגע יש תהליך של מיפוי של איזה תחומים בתחום הבטחון חסרה בהם תקינה ויגדירו את סדר העדיפויות ואנחנו -נציגי מדינות, יכולים שם להשפיע על השאלה איזו תקינה תהיה בסדר עדיפות יותר גבוה.

לגבי ההערה של פרופ' דולב על הפרטיות, אנחנו רואים, השנה במיוחד, את הנושא הזה עולה, זה משהו שמהווה כרגע בעיה שתחריף יותר ויותר עם ההשתתפות של הישראלים בפרוייקטים האלה בכלל. ככל שישראל תהיה ברורה יותר מהר לגבי המדיניות שלה בנושא הזה ובהתאמה שלה לסטנדרטים של האיחוד האירופי, זה יקל עלינו שם.
יורם הכהן
דוקא בענין הזה, השגנו לפני מספר חודשים הכרה של הנציבות האירופאית בכך שרמת הגנת הפרטיות במדינת ישראל תואמת את הרמה האירופאית. אנחנו כבר מעורבים בחלק מן האישורים לפרוייקט fp7 ואנחנו נותנים אישורים לאירופאים שישראלים יכולים להשתתף בפרוייקטים האלה ומן הבחינה הזו אנחנו בסדר.
נילי מנדבליט
אנחנו גם בקשר עם המחלקה שלכם והתחלנו לספק אישורים דרככם ועדיין, גם באיחוד האירופי עצמו הדברים משתנים מיום ליום. בחודש האחרון עלה הנושא שדני דולב הזכיר, נושא של אינטגרציה, של data basis, מה שמערכות הבטחון מבטיחות מול הנושא של הפרטיות, אלה נושאים שעלו, אבל אלה נושאים שיש חוסר התאמה לגביהם בין המדינות השונות של האיחוד האירופי והפרלמנט האירופי טרם קבע, יש בלאגן עוד אצלם ועלינו להמשיך ביחד אתם.
יורם הכהן
תערבו אותנו בתהליכים האלה.
נילי מנדבליט
הייתי שבוע שעבר בוועדה ובדיוק כאן אני מעוררת את המודעות לערב אתכם.
היו"ר מאיר שטרית
המסגרת היא השביעית וישראל שותפה למסגרות מחקר ופיתוח כבר הרבה שנים, היינו חברים גם בראשונה. המסגרת הזו מקצה כספים למחקרים משותפים בין מדינות אירופה וישראל בתוכן. הרעיון הוא שיש תחרות על נושאים שונים.
נילי מנדבליט
נושא הסייבר ספייס נמצא במסגרת השמינית, שתתחיל ב 2014 ואמור להיות נושא מאד רחב אבל אחרי שמוקצה כסף לנושא מסוים אז מתקיימת תחרות ואילו אנחנו מנסים להשפיע לפני ש - - -
היו"ר מאיר שטרית
למה מחכים ל 2014?
נילי מנדבליט
המסגרת השביעית נסגרת בסוף 2013 ועכשיו דנים בשנת 2014. ברור שזה יהיה גדול ועכשיו מדברים על התקציבים.

מנסים להשפיע כעת כי עכשיו זה הזמן להשפיע על סדר העדיפויות ועל המקום בו הכסף יהיה בתחרות בעתיד.
היו"ר מאיר שטרית
כדאי. ישראל תוכל ליהנות מן הכספים.
משה גולדברג
רק מילה לטובת מערכת הבטחוו. אנחנו לא מזהים את זה כעוד מהלך של הגנה בלבד אלא כפריצת דרך ויש כאן אנשים שמגוייסים –בין במדים ולא במדים, גם ליוזמה של איציק, ויש פה שינויים גם בתוך המערכת -שלא את כולם ניתן לפרט אבל אנחנו בהחלט מאחורי זה.
דורון אביטל
רק לומר שלום לבאים. מיזם הסייבר, כמו שביבי הגדיר את זה במסגרת היעדים להיות מחמשת המדינות המובילות בתחום ואין לי ספק, שיש את היכולות גם בתחום הטכנולוגי ויש צרכים שיכולים לפגוש יכולות וזה נראה לי פרוייקט נפלא.
רן ישי
עדכון: כרגע אנחנו בשלב של טרום הקמה. ראש הממשלה קבע את ה- 17 ביולי כתאריך להחלטת ממשלה. אני מקווה שלא נצטרך לבקש הארכה לענין הזה. רצוי לציין שמשרד האוצר הביע התלהבות מוגבלת מן הרעיון של תקציב תוספתי על חמש מאות מליון שקל וזה גם נמצא כרגע בדיון ולאחר החלטת הממשלה אז נתחיל , למעשה, בהקמה של המטה שממנו תיגזר כל הפעילות שפרופ' בן ישראל דיבר עליה.
היו"ר מאיר שטרית
האם הממשלה תומכת בחקיקה כדי להקים את הרשות הזו?
רן ישי
יהיה עלינו להגיע לחקיקה אבל לא נחכה לחקיקה אלא נתחיל במקביל.
היו"ר מאיר שטרית
הועדה תעזור בענין הזה.
רן ישי
בהחלט. מדובר על חקיקה עם התקדמות העבודה.
היו"ר מאיר שטרית
תודה רבה לפרופ' יצחק בן ישראל. הועדה תמשיך לעקוב כדי לוודא שהדברים מתבצעים. ראש הממשלה הציג עמדה נחרצת בצורך להקים את הענין הזה. כאמור, נעקוב אחרי ההתנהלות הזו באהדה ועם תמיכה. תודה רבה לכולכם.

הישיבה ננעלה בשעה 12:30

PAGE
14

קוד המקור של הנתונים