ישיבת ועדה של הכנסת ה-18 מתאריך 01/08/2011

דין וחשבון על פעילות הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים לשנת 2009 -2010 - פרק החתימה האלקטרונית

פרוטוקול

 
הכנסת השמונה עשרה

ועדת המדע והטכנולוגיה

1.8.2011

17

הכנסת השמונה עשרה
נוסח לא מתוקן

מושב שלישי

פרוטוקול מס' 101
מישיבת ועדת המדע והטכנולוגיה

יום שני, א' באב תשע"א (1 באוגוסט 2011), שעה 10:00
סדר היום
דין וחשבון על פעילות הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים לשנת 2009-2010 - פרק החתימה האלקטרונית
נוכחים
חברי הועדה: מאיר שטרית – היו"ר
מוזמנים
עו"ד יורם הכהן

ראש הרשות למשפט טכנולוגיה ומידע

עו"ד עמית אשכנזי
רשם הגורמים המאשרים, הרשות למשפט טכנולוגיה ומידע

עזמי טנוס

מפקח, הרשות למשפט טכנולוגיה ומידע

שי שרון


מתמחה, הרשות למשפט טכנולוגיה ומידע

מריה ג'מאל

סטודנטית, הרשות למשפט טכנולוגיה ומידע

ענת גלזנר

מנהלת מחלקת ביקורת ממוחשבת, משרד האוצר

עו"ד דניאלה רוט
יועצת משפטית, רשות המסים, משרד האוצר

זיו סלייטר

סגן מנהלת ממשל זמין

עזיא בן ברוך

ראש תחום כרטיס חכם, ממשל זמין, משרד האוצר

לבנה ליטני

יועצת אגף המיחשוב, הנהלת בתי המשפט

ערן בורג

יועץ מיחשוב, חברת לידאיט, רשות האכיפה והגבייה

זאב שטח

מנכ"ל קומסיין בע"מ

גדעון רצר

מנכ"ל פרסונל איי.די. בע"מ

שי זנדני


מנכ"ל קסלמן פתרונות בניהול סיכונים, PwC
עו"ד בן ציון אליקים
יחידת רגולוציה, בנק הפועלים

עו"ד שי דודפור

בנק הפועלים

עו"ד אמיר שוורץ
בנק הפועלים

יזהר לאופר

מנהל חלקת טכנולוגיות ומערכות מידע, קופת חולים לאומית

ריקרדו הרסליס

מנהל תוכנה, קופת חולים מאוחדת

בוריס רובינשטיין
מנהל פרויקטים, קופת חולים מכבי

יער אמיר

מיקרוסופט

רועי גולדשמידט

מרכז המחקר והמידע של הכנסת
מנהלת הוועדה
ענת לוי
רשמה וערכה
רות לובין
דין וחשבון על פעילות הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים
לשנת 2009-2010 - פרק החתימה האלקטרונית
היו"ר מאיר שטרית
בוקר טוב. התנצלותי על האיחור. אני מתכבד לפתוח את הישיבה. הרשות למשפט, טכנולוגיה ומידע אמורה להגיש לכנסת דוח פעילות אחת לשנה והוגש לנו דוח. יפתח את הדברים יושב ראש הרשות.
יורם הכהן
תודה רבה. בוקר טוב. רשות למשפט טכנולוגיה ומידע הגישה בפני הועדה הזו שני דוחות, האחד דוח לשנת 2009 -שהוגש באיחור בשל עומסים שהיו ברשות והשני הוא לשנת 2010.

הדוח שלנו בדרך כלל מאחד את הפעילות בתחום הגנת הפרטיות ובתחום החתימה האלקטרונית, שני התחומים שאנחנו הרגולטורים שלהם. כאן אנחנו עוסקים, כמובן, בפרק שעוסק בחתימה אלקטרונית, שזו בעצם הזהות הדיגיטלית. כמו שהדברים עולים מן הדוחות -ואני משער שקראתם אותם, אנחנו נציג את העיקר שלהם.

שוק החתימה האלקטרונית התאפיין במהלך השנתיים האחרונות בצמיחה שנבעה בעיקר מפעילות של רשות המסים והיוזמה של פיתוח אלקטרוני של חשבוניות לרשות, מה שגרר פריסה מאד רחבה יחסית של תעודות אלקטרוניות בקרב האוכלוסיה, פריסה שהולכת וגדלה כל הזמן. במשך כל התקופה הזו היה השוק תחת פיקוחה של הרשות ושל הרשם לגורמים מאשרים.

אני שמח להגיד שלפני מספר שבועות אישר הרשם את רישומה של חברה נוספת שנמצאת היום -למיטב ידיעתי, בתהליכי כניסה סופיים. מבחינת חלק מן הדברים שמתוארים פה בדוח זו בשורה מאד חשובה לשוק הזה.
כבר אמרתי בפעמים הקודמות
אני, בשל העבר שלי בתחום החתימה האלקטרונית ובשל הסכם ניגוד העניינים שלי לא עסקתי באופן ישיר בפיקוח על הגורמים המאשרים במהלך השנים האלו -2009 ו- 2010. זאת בשל הרקע שלי בחברת סקיורימנט שהיא זו שקשורה לפעילות החדשה שהחלה אבל, בתחילת השנה הזו אתמנה כרשם גורמים מאשרים וניגוד העניינים -שכלל לא היה מעולם, בכל מקרה פג תוקפו מזמן ולכן, אפשר לקיים את החלטת הממשלה לפיה ראש הרשות למשפט
וטכנולוגיה מחזיק את סמכויותיהם של שלושת הרשמים שתחת הרשות. אנחנו פועלים עכשיו להחזר של הענין הזה ולטעמנו אין שום מניעה לעשות את זה.


את כל התהליך -עד היום ובוודאי בשני הדוחות שמתוארים פה, ניהל עמית אשכנזי שהוא היועץ המשפטי של הרשות למשפט וטכנולוגיה וגם רשם גורמים מאשרים ואבקש ממנו להציג את עיקרי הדוח.
עמית אשכנזי
תודה, בוקר טוב. הדבר הראשון שיש לומר הוא שחלק מן העבודה החלה להיתמך בצורה משמעותית על ידי מחלקת רשות ופיקוח ונמצא אתי עורך הדין עזמי טנוס שמוכר היטב לגורמים המאשרים בעתיד ובעבר וגם לאחרים שעובדים מולנו.

בדיווח קודם שהגשנו בשנת 2008 נתנו גם סקירה יותר עמוקה של החוק ואז עברנו פה הרבה מאד דיונים בוועדה עם חלק גדול מאד מן הפורום הזה, סביב תיקון החקיקה, אני אעבור על הדברים בצורה מאד קצרה ואז נעבור אל העבודה שביצענו בשנתיים האחרונות.

נזכיר, החוק הישראלי קובע שתי דרגות של וודאות לחתימה אלקטרונית: חתימה מאובטחת וחתימה מאושרת, זה השירות שאנחנו מפקחים עליו ובמסגרת התפקידים של הרשם אנחנו אמורים לפקח על הפעילות. בזרוע המשפטית יש משהו שנקרא מסמך נהלים שהוא בעצם תקנון השירות. זה מסמך שמגלם גם את המחויבויות של החברה מול הלקוחות שלה, גם את המחויבויות של החברה מול מי שמבקשים להסתמך על השירותים שהיא נותנת, ובמבנה של החוק הישראלי -כך אני מבין את זה, גם את המחויבויות שלה כלפי הרשם. זאת אומרת שזה המנגנון דרכו אנחנו מנחים את שתי החברות בנושאים האלה שהם חשובים לנו ויש לזה פירוט בהמשך.

מהות השירות היא שנדרש הליך זיהוי קפדני של מבקש התעודה שהרי השירות הוא משרד הפנים של האינטרנט. על מנת להגן על אותו משרד פנים של האינטרנט נדרש מערך אבטחת מידע ברמה גבוהה מאד ובהקשר הזה מדובר על מערכת אבטחת מידע שארגון פיננסי למשל היה מחיל על עצמו וכדו'.

הענין הבא עוסק בהיבט יחודי של השירות הזה והוא תקנים ודרישות יעודיות בתחום ההצפנה. השירות הטכנולוגי מבוסס על שימוש בהצפנות ושימוש בהצפנות בצורה נכונה ואחראית ומדוייקת. זה נושא שגם עליו אנחנו נותנים את הדעת.

לגבי זמינות גבוהה ומיידית של מאגר התעודות הבטלות, למעשה, החוק קובע חובה על הגורם המאשר לפרסם את רשימת התעודות הבטלות על מנת שהמסתמך יידע מול מי הוא עובד וזה נושא מאד עקרוני שקשור למהירות של השירות.
היו"ר מאיר שטרית
תעודה בטלה - האם היא לא בטלה אוטומטית ברשת?
עמית אשכנזי
לא, בענין הזה הגורם המאשר צריך להפעיל איזשהו מוקד, לקבל את הפנייה ולבטל את התעודה. או אז הוא צריך לפרסם את זה ברשת. כדי להפוך את התעודה לכזו שהעולם יודע שהיא מבוטלת צריך לעשות תהליך.

בתשובה לשאלת יושב הראש, המשתמש עצמו לא יכול לבטל כי אין לו אותה. זה כמו במקרה שאבד כרטיס אשראי ועליך לדווח על כך.
היו"ר מאיר שטרית
האם מאשר החתימות יכול לבטל במרכז? כי אז מי שירצה להיכנס אל פרטי התעודה הזו לא ימצא אותה.
יורם הכהן
זה מחייב את מי שמסתמך לוודא מול איזושהי רשימה שהוא מקבל חתימה, צריך לעשות תהליך של חתימה. האמת היא שהמודל מאד דומה לתהליך שקורה במקרה של איבוד כרטיס אשראי, אם אני רוצה לקבל תשלום ממישהו עלי לבצע בדיקה שהכרטיס בתוקף. רעיונית זה אותו הדבר כמו החתימה האלקטרונית רק שהטכנולוגיה שונה לחלוטין.
עמית אשכנזי
שוב, זה איזשהו תרשים שהצגנו כאן בעבר בצורה יותר מפורטת לגבי תהליך של חתימה מאושרת ובעצם הדגש כאן הוא על מה שקורה למטה, יש לנו גורם מאשר שמסומן פה ב "Ca" והוא זה שעושה את הזיהוי ומאשר שפעולת החתימה נעשתה.

לגבי ההסתמכות, כמו שאמרנו, מרגע שהתעודה יצאה לאויר העולם, ובטח בחוק הישראלי, המשמעות היא שגורמים מסתמכים יכולים להסתמך עליה ועל הזיהוי זאת אומרת, בשונה מדוא"ל שחתום על ידי בן אדם והאדם כותב בתחתיתו את שמו, בתעודה אלקטרונית מהות החוק ומהות השירות הן שכשאני צורב אותה אז יש גורם נוסף שלוקח אחריות על הזהות של מי שביצע את פעולת החתימה.

כפי שציינו גם בדוחות קודמים, גם בעולם וגם בישראל ברמה המסחרית האזרחית השירות הזה לא מאד "תפס" כי עולם המסחר האזרחי מוצא לעצמו פתרונות שלא מחייבים חתימה אלקטרונית ממוחשבת אבל השירות כן "תפס" אצל המסתמכים שלא אוהבים לקחת שום סיכון, ושהם נדרשים לתוקף משפטי חד ערכי למה שהם מקבלים ואני מדבר -כמובן- על המדינה.

המדינה, כאשר היא מקבלת מסמכים חתומים היא רוצה להיות באפס סיכון ולהשתמש בטכנולוגיה הממוחשבת ולכן, כשרשות המסים עברה לדיווחים ממוכנים היא יישמה את חוק החתימה האלקטרונית והמשמעות המיידית של הדבר הזה היתה שכל מי שצריך לדווח -בהתאם לסדרת הפעימות שרשות המסים קבעה, צריך לרכוש לעצמו תעודדה אלקטרונית על מנת לבצע את הפעולה הזו. זה המצב בתחום הדיווחים לרשות לניירות ערך ובתחום המכרזים מול משרד הבטחון אבל בעצם אפשר לומר שמאפיין מרכזי של השוק הזה הוא שאנשים לא קונים תעודות אלקטרונית כדי להתקשר עם אנשים אחרים אלא כדי לעשות פעולות מול ממשלה.
היו"ר מאיר שטרית
איפה עומדת הממשלה בענין של ההכנות לשימוש בתעודת זהות אלקטרונית? להקים חברה, לעמוד בתנאים וכו'.
עמית אשכנזי
אני לא הגורם המוסמך לענות כי אנחנו הקפדנו על עצמנו -בתור גורם מפקח- להתרחק מן הנושא.

בתשובה לשאלות הנוספות של יושב הראש: אנחנו אמורים לפקח. אנחנו נמצאם בדיונים עם הממשלה והיינו בדיונים עם "פרסונל איי. די." וכמו שאנחנו בדיונים עם "קומסיין" הם באים אלינו ומציגים את הדברים. הממשלה עושה הרבה מאד. היא עושה הרבה אבל אני לא רוצה להתחייב על שום דבר שהוא באחריות משרד הפנים ומשרד האוצר. יש הרבה עבודה.

לגבי עיצום כספי, הפעילות שלנו ב 2009 וב 2010 ברובה היתה המשך ישיר של הפעילות משנים קודמות אבל העיצום הכספי היה חידוש משמעותי שנכנס לתוקף ביולי 2010 וזה בזכותך. כאמור, התווספה לנו זכות של עיצום כספי על הפרת הנחיה. יחד עם זאת, חלק מן הדברים שקרו ב 2009 נעשו במציאות שבה לא היה לנו עיצום כספי ואז, ב 2009, אחרי דיונים מאד ארוכים שנמשכו זמן שאני לא רוצה להגדיר אותו כרגע מול חברת "קומסיין", נאלצנו להשתמש ב"נשק יום הדין" ואמרנו להם שאם הם לא מתקנים את הבעיה עד 31 בדצמבר אז נבטל להם את הרשיון. זה נשק כבד כי המשמעות המיידית היא שאת הדיווחים לרשות המסים ולרשות לניירות ערך אי אפשר לקיים אבל היינו במצב שהתאים לכך. כיום, אחרי שקיבלנו את העיצום הכספי המצב השתפר. עדיין, יש עוד מה לעשות ונדבר על כך בהמשך.

היינו בדיאלוג מאד ארוך מול חברת "קומסיין" על אותו מסמך נהלים שנקרא סי.פי.אס. הדיאלוג הזה נבע גם מן הצרכים העסקיים של "קומסיין", גם מן הצורך להתאים את המבנה לתקן -שהוא חדש בישראל, וגם כדי להכניס לאותו מסמך את הלקחים שלנו מן הפיקוחים ולהסדיר היבטים של הגנת הצרכן במסמך הנהלים.

אנחנו, כרשות רגולטורית, המשכנו להשקיע הרבה מאד אנרגיה באבטחת מידע של הגורם המאשר. עשינו פיקוח ופיקוח המשך ופיקוח נוסף בנושא של פעילות ההוצאה לאור בלשכת עורכי הדין כגורם רושם ובעצם, המודל שקיים גם בעולם וגם בישראל -ואולי עכשיו יתפוס עוד תאוצה הוא שגורם מאשר יכול להסמיך לשכת זיהוי שהזיהוי ייעשה לא על ידו, כמו למשל ההוצאה לאור של לשכת עורכי הדין. יצויין שאפשר להעתיק את המודל הזה בקלות למשרד הבריאות או לרשות הדואר וזה מאפשר לגורם המאשר להתמקד בפעילות הליבה שלו באבטחת מידע, הצפנות ופעולות הזיהוי ולעשות אותן בצורה שהיא יותר קלה לאזרחים וללקוחות. נכון לרגע זה הגורם היחיד חוץ מ"קומסיין" שמאושר לפעולה הזו הוא ההוצאה לאור של לשכת עורכי הדין. פנתה אלינו חברה נוספת ואני לא יודע מאיזו סיבה אבל הרושם שלנו היה שזו היתה פנייה ואחר כך מחקו אותה והחזירו אותה ובסופו של דבר הוצאנו אישור עקרוני כדי לתת לה incentive להתקדם ואנחנו עכשיו כנראה נתקדם איתה. בחודשים האחרונים היתה שם התקדמות.

לגבי תקלה חמורה בפרסום רשימת תעודות בטלות CRL. זו נקודה שמפורטת מאד בדוח. היא נקודה מאד מפחידה ובהתנהלות של הגורם המאשר היו שלש תקלות משנה. יש לומר -והדברים גם כתובים בדוחות של שנים קודמות, שחלק מן התופעות שראינו קרו לנו בעצם גם בשנים קודמות ואלה לא דברים שהפתיעו אותנו. לא ראינו התמודדות אמיתית עם התקלות. התקלה היתה בזה ש"קומסיין" לא דאגה לכך שרשימת התעודות הבטלות שלה תהיה תקפה באופן זמין, פירטנו בדוח את הענין הטכני, ואני כרגע מפשט. הפירוט הטכני נמצא גם באתר. השורה התחתונה היתה שכתוצאה מתקלה בחברה הרשימה לא היתה מעודכנת, וזו תקלה מאד חמורה כשלעצמה מן הסיבה שהסברנו קודם, שהרי החוק מטיל אחריות על מסתמך לבדוק את הנושא הזה ו"קומסיין" -במסמך הנהלים, אומרת לציבור שאם הרשימה הזו לא תקפה אז "דעו לכם שמשהו לא בסדר", זאת אומרת היא בעצמה אומרת את הדבר הזה במסמכים שלה ועכשיו אנחנו נמצאים בנקודת מבט של לקוח ומסתמך ואנחנו מדברים על מסתמך של המדינה שנמצא במצב בו הוא לא יודע מה לעשות. לפי התיחקור שלנו ההתראות קפצו גם אצל המסתמכים ובתגובה אומרות הרשות למסים והרשות לנירות ערך שהן לא יכולות להיות במצב שיש תקלה כזו והן בעצמן לא שמות לב אליה.

הדבר הבא שקרה הוא שבחצות הלילה ובתדירות די גבוהה התחילו לצאת מסרונים -לפי מערכות ההתראה שאנחנו אישרנו, לששה אנשים בחברה, ולמרות זאת עד הבוקר שום דבר לא קרה. יש ששה אנשים וששה הסברים. יש יותר מעניינים ולא ניכנס לזה משום צנעת הפרט של האנשים האלה אבל זו מבחינתי בעיה. אחר כך כשהגיעו כבר למשרד לא הבינו באיזו תקלה מדובר ולבסוף קרה הדבר המטריד ביותר בעיניי והוא תקלה חוזרת שוב ושוב שבה גם ה log של מה שקורה - התמלא. אסביר, יומן הבקרה של מערכת המחשב אמור לצבור את הפירוט של האירועים והוא זה שמאפשר לנו בזמן אמת לראות איזה מכשיר נפל ומאפשר לנו לדעת שמדובר בתקלה ולא בפריצה או כל דבר אחר. זה התמלא והדבר הזה פשוט הפסיק לצבור פעילות. בנוסף, הוא התמלא שבועיים לפני האירוע הזה זאת אומרת שכשבאנו לתחקר את האירוע לא היה לנו כלי חוץ מאשר האנשים עצמם וזה תמיד פחות טוב. במהלך אותו בוקר, עד שהבינו מה בדיוק הבעיה לקח די הרבה זמן.

יחד עם זאת, יש פה טווחי בטחון ויש לומר שהפעולה שגרמה לתקלה היא לא פעולה שנעשית כל יום אלא פעולה שנעשית לפי הנהלים של "קומסיין", פעם במאה ושמונים יום ופשוט שכחו לעשות אותה.

בשל כך כל האירוע הזה התגלגל ואז הארועים הנוספים קרו. החברה ביצעה תחקיר וקיבלנו מסמך מאד מרשים עם בירור הנושאים וסנקציות אישיות שהוטלו על אנשים והבטחה שהדבר הזה לא יקרה ולא יחזור על עצמו וכו' וכו'.

להערת יושב הראש, יכול לקרות שנקבל טלפון בשעה חריגה וכדוגמה, בדוח 2008 רשום מקרה שבו התקשרו אלי ביום העצמאות ולמדנו דברים מן התקלה.

לגבי מסמך הנהלים, בשנת 2011 גילינו דברים נוספים והם יהיו בדוח הבא. במסגרת הדיונים עם "קומסיין" על מסמך הנהלים דרשנו -בניגוד למה ש"קומסיין" ביקשה- שהגבלת האחריות של "קומסיין" לנזקים שנגרמים בשל רשלנות שלה לא תרד מתחת למה שהיה במסמך הנהלים הקודם קרי, חמש מאות אלף שקל. במסגרת הדיונים מולנו ההצעה שקיבלנו "מקומסיין" היתה עשרת אלפים שקל. אנחנו מדברים על מצב שבו אין בכלל מחלוקת ש"קומסיין" נמצאה חבה ברשלנות זאת אומרת, יש לנו אזרח, הוא קנה תעודה מ"קומסיין" ונגרם לו עכשיו נזק. יש להוכיחו כמו שמוכיחים נזק לפי החוק אבל אם הנזק הזה מגיע לעשרת אלפים שקל ואחד ו"קומסיין" אומרת "לא", אז יש לי הגבלת אחריות להפעיל. העמדה שלנו היתה שבמצב דברים כזה, כשלאזרח אין ברירה אמיתית אלא לקנות מ"קומסיין" -כי הוא חייב לדווח לרשות המסים, אין לו דרך אמיתי להתגונן בפני הנזק שעולה על עשרת אלפים שקל ומסמך הנהלים לא יכול להגביל את האחריות על הענין הזה.

לשאלת יושב הראש, הם יכולים להגביל את האחריות.
היו"ר מאיר שטרית
בדיון שהיה בזמנו, אחת הטענות של קומסיין היתה שיש להם אחריות לכל פעולה כספית שמישהו עושה בתעודה. האם יגבילו אותה לעשרת אלפים שקל?
עמית אשכנזי
כך הם ביקשו, אנחנו התנגדנו לזה ואקדים לומר משהו כדי ליצור את ההקשר של הענין עם הפיקוח. בספטמבר 2010 -אחרי הרבה מאד דיונים ומשאים ומתנים וישיבות עם עורכי דין וויתורים שלנו ושלהם, הגענו לסיכום בו היה כתוב חמש מאות אלף שקל ואז, עקב בקשה קטנה לתקן סעיף כלשהו עלה בי חשד שהדברים הם לא כפי שדיברנו ואז ביקשתי מ"תהילה" לקבל שתי תעודות של משתמש קצה והפלא ופלא, אני קורא בתעודות שיש הגבלת אחריות של עשרת אלפים שקל. שאלתי את "קומסיין" וביקשתי גם פירוט והסתבר שמדובר באלפי תעודות שהופקו אחרי הנחיה שלי על הגבלת האחריות, התעודות הופקו עם הגבלת אחריות לעשרת אלפים שקל. במצב דברים כזה הפתרון הוא לכאורה לומר ל"קומסיין" שאני מבקש ביטול של כל התעודות ושיקראו לכולם חזרה ויפיקו להם תעודות חדשות אבל המשמעות היא 'לטרטר' את כל אותם אלפי אזרחים -שגם כך החתימה אלקטרונית קשה להם- ולבקש מהם לבוא למשרדי "קומסיין". במקביל, "קומסיין" לקחה אחריות ואמרה שהיא לוקחת אחריות עד חמש מאות אלף שקל על כל התעודות שבתוקף. ההצעה שלהם -בעקבות האירוע הזה- היא הצעה סבירה.

לשאלת יושב הראש, "קומסיין" הודיעה על כך במכתב לאזרחים ופירסמה שתי מודעות בעיתונות לאזרחים. כל הפרטים התפרסמו באתר שלנו ואני מפרסם אותם באתר שלי כי הנזקים עלולים לקרות גם בעוד מספר שנים.

כל התעודות שבתוקף מאותו מועד מכוסות עד חמש מאות אלף שקל. הענין חל רק על "קומסיין" כי רק היא הפיקה. יצא שישבנו, דיברנו, סיכמנו, כתבנו ובמציאות קרה משהו לגמרי אחר. זה משהו שקשה לי להסביר אותו אבל זה לגבי פיקוח.

לגבי ההנחיות, הענין הוא גם המשך של שנת 2009 בה הוצאנו סידרה של הנחיות והמטרה שלהן היא גם לטפל בכל מיני דברים שנשארו פתוחים בתקנות חתימה אלקטרונית וגם לאפשר יותר גמישות לשוק תחת שמירת העקרונות של החוק, אני תיכף אדבר על הנחיה אחת חשובה שנקראת הנחיה 2/2010 ובכך אסיים. הרעיון של ההנחיות הוא להשאיר איזשהו מרחב שיקול דעת יותר גדול לגורם המאשר עם פחות התערבות שלנו, בלי לפגוע באינטרסים של החוק.

הנחיה 2/2010 נועדה להשלים את תקנה 5 בתקנות. תקנה 5 עוסקת במערכת הליבה של הגורם המאשר וזאת המערכת המיוחדת שיש בעסק שנקרא גורם מאשר כי אלה השירותים שהוא נותן; הוא מזהה אנשים, הוא מפיק תעודות, הוא מפיץ אותן, מנהל רשימת תעודות בטלות, מפיץ את המידע הזה החוצה, ובישראל יהיה גם השירות הנוסף -שמופיע פה כאופציונאלי, והוא הפקת הכרטיס החכם.

לגבי הכרטיס החכם, אחרי התייעצויות עם הרגולטורים בחו"ל אימצנו תקן אירופאי ועשינו לו "גיור" מסוים לעברית, עם הפניות משלנו, כך שבעצם שרות הליבה של גורם מאשר חייב להיות מוצר מדף מחוץ לארץ שיקבל הסמכה של מעבדה בחוץ לארץ, מה שמאד מאד מאד מצמצם את היצע המוצרים ואני מדבר על שלושה מוצרים פחות או יותר. הגורם יכול להרכיב לעצמו מערכת אבל כדי להראות שהיא תקינה וכדי לסטות מדרישת מחוקק המשנה שהמערכת צריכה תקן, הוא צריך להראות שהוא עומד בתקן הזה. הדרך שהוא עושה את זה היא באמצעות חוות דעת בלתי תלויה של גורם שאנחנו מאשרים אותו.

הכניסה לתוקף של ההנחיה הזו היה תהליך מאד משמעותי גם ב"קומסיין" וגם בתהליך הרישום של "פרסונל איי.די.", כי דרך התהליך הזה נחשפו כל מיני דברים לגבי השאלות איך הם עובדים, איך הם רוצים לעבוד והשתמשנו בתקן האירופי כסוג של שאלון ובקרה על הדרך שלנו לפרש את מה שצריך לקרות.

עדכונים מן האיחוד האירופאי מופיעים בדוח, היה מפגש באפריל 2010 ומאז היה עוד אחד. באפריל 2010 השתתפתי במפגש הרשמים התקופתי בפולין ויש דברים מעניינים שקורים באיחוד האירופאי. האיחוד חייב את מדינות אירופה לקבל חתימות אלקטרוניות לפי הרמה הגבוהה, החתימה המאושרת שונה בין מדינות אירופה בשירותים מסויימים כי היו הבדלים בפרשנות של 27 מדינות אירופה לגבי יישום החוק. לדוגמה, הרשם הגרמני אמר: "אני לא מקבל את החתימות מאנגליה כי האנגלים לא בודקים כמו שצריך" והצרפתי אמר שהוא לא מקבל מן האיטלקי כי האיטלקים הם מאד ליברלים בנושא מסוים וכו'. באה הנציבות ועשתה סדר כי מי שנפגע מזה הוא האזרח האירופאי בקבלת השירותים שלו מול הממשלה. הם יצרו רשימת גורמי אמון כלל אירופאיים כלומר, כל רשם מדווח והרשימה הזו מנוהלת באופן ממוכן. היא נקראת trusted service list.

במקביל למה שנקרא החזון של הנציבות לגבי מסחר אלקטרוני וממשל זמין הם עושים רוויזייה לחתימה האלקטרונית ו'מסתכלים החוצה' כדי לראות איפה הם יכולים להקל בדרישות כדי לעשות את הדבר הזה אוניברסאלי.

הנושא של תעודות זהות חכמות ומסמכי זיהוי חכמים "תופס" גם שם ולכן צריכים לראות איך משלבים בין חתימה אלקטרונית למסמכי הזיהוי וזה נושא שמעסיק אותם.

לפני כחצי שנה יצא שימוע מאד מעניין והוא שאלון של הנציבות לכל השחקנים. הדמויות שמטפלות בנושא הזה בנציבות התחלפו ועכשיו יש שם מישהו מאד נמרץ והוא רוצה לקדם דברים כך שאני מניח שבשנה הקרובה נראה שינויים שחלק מהם יהיו רלבנטים גם בישראל וצריך יהיה לחשוב ולשקול איך להכניס אותם גם לכאן.
זאב שטח
ראשית, לגבי התקלה שהיתה ב 2009, אני מאשר שהיתה תקלה חמורה שלא היתה צריכה להתרחש, הדברים נכונים אבל צריך להסתכל על זה בקונטקסט המתאים: מי שלא עושה לא נופל. תקלה לא צריכה להתרחש אף פעם אבל יש לקחת את זה בתוך מיכלול של שמונה שנים שבהן אנחנו פעילים ולא היתה לנו תקלה כזו ושוב, לא מכחיש שזה קרה, זה דבר שלא צריך לקרות ואין לי מה לומר פרט לכך שאני מצטער על שהתקלה התרחשה. היא לא גרמה נזק כלשהו, לא פורסמו crl's.


לגבי הסכומים של הגבלת האחריות, כאן אני חולק על דרך הצגת הדברים. היה פה מצב, וקודם כל יש לומר, אני לא משפטן אבל אשתדל לומר את הדברים. החוק מקנה ל"קומסיין", לפי הבנתנו -וכאן אנחנו אולי חלוקים עם הרשם, להגביל את הסכום שעליו אנחנו אחראים. זה לא אומר שזה הסכום שעליו עושים את הטרנזקציה הכספית מכיוון שעל זה אין לנו שליטה, אדם יכול לעשות טרנזקציה כספית גם על מליון דולר ואנחנו לא מבטיחים לו אחריות. הטרנזקציה שהוא עושה לסכום החובות שלנו על התרשלות בגין הפקת פעולה, אין לה קשר, לטעמנו, עם האחריות וזו הפרשנות שלנו, יכול להיות שהרשם חושב אחרת.
היו"ר מאיר שטרית
אז מהי משמעות האחריות שלכם? הרי הרעיון הוא שחתימה אלקטרונית משמעה שכשאני מזדהה איתה האיש מקבל ממני את המסמך הרלבנטי והוא בטוח שאני הוא אני. נאמר שמישהו רימה, השתמש בתעודה מאושרת בשמי והעביר מליון דולר. זה נזק שלכאורה אתם אומרים שאתם לא אחראים אבל איך הצליחה תעודה שלי להגיע אל מישהו אחר?
זאב שטח
יכול להיות שיום אחד זה יגיע לבית המשפט והוא יפסוק אבל כרגע, בתפיסתנו -ואנחנו גם מזהירים בענין הזה במסמך הנהלים שלנו, אין לנו שום יכולת לדעת ולפקח על מה שעושה המשתמש עם החתימה שלו אבל, וכאן אני מבקש להשלים כדי שאומר את הדברים גם על רקע דברים אחרים, כי צריך לקבל פרופורציה על כל נושא החתימה האלקטרונית בהיבט רחב. לכן מבקש להשלים.

לגבי הסכומים, אנחנו קיבלנו את סמכותו של הרשם בענין הזה למרות שבחוק זה לא כתוב, זאת אומרת, בחוק כתוב "הגורם המאשר רשאי להגביל את הסכום". לא ניכנס לזה כרגע אבל לא כתוב "באישור הרשם" או דברים כאלה, למרות שהרשם הנוכחי, בשונה מן הרשם הקודם - - -
היו"ר מאיר שטרית
איפה זה כתוב, בחוק המקורי?
זאב שטח
כן בחוק המקורי.
היו"ר מאיר שטרית
אז עד פברואר האחרון, מה היתה- - -
זאב שטח
אנחנו קיבלנו את המדיניות של חמש מאות אלף שקל שהרשם הנוכחי ביקש ובסופו של דבר, אחרי דין ודברים, אמרנו שלא נתווכח ונקבל את הענין של חמש מאות אלף שקל. היה צורך, היו מספר תעודות ויש להציג את זה: אנחנו היום נמצאים עם ששים אלף תעודות בחוץ, בין חמישים וחמשה לששים אלף תעודות. היה סדר גודל של מספר אלפי תעודות שנותרו ישנות, שנותרו מעידן קודם שלא תוקנו. ופתאום כשניתנו - הסתבר שיש מספר אלפי תעודות שצריך לתקן. מיד כשהדבר הובא לידיעתי אמרתי שזה כשל ולא לזה התכווננו, זה לא קרה בכוונה, מיד כתבתי מכתב לרשם, בלי עורך דין, ואחר כך עורך הדין שאל אותי מה פתאום הסכמתי על כל התעודות אבל כתבתי לרשם שאין לי בעיה עם חמש מאות אלפי השקלים האלה, זה כשל ולא נעשה בזדון. אז יש להציג את זה נכון. התעודות היו ישנות ומיד תיקנו את הדבר. אגב, סך הביטוח שאנחנו משלמים עלה; כיוון שעברנו את סף החמישים אלף תעודות אנחנו מבטחים את עצמנו בסכום הרבה יותר גבוה.


אציג את הדברים על רקע הנושא שדובר פה והוא חתימה מאובטחת. יש פה איזה משהו שלפי דעתי זועק לשמים ולפי דעתי גם רמו"ט וגם משרד הרשם צריכים לטפל בו כי מצד אחד יש פיקוח מאד גדול על חתימה מאושרת עד כדי דקויות של אי פרסום crl וזה בסדר, אנחנו מקבלים את הפיקוח הזה ובזמן האחרון המימשק שלנו עם משרד הרשם הוא מימשק טוב אבל הענין הוא שצצות כמו פטריות אחרי הגשם כל מיני חתימות שקוראות לעצמן חתימות מאובטחות במרכאות. כמו שאמרתי ב 2001 שזה מה שיקרה. אפשר להסתכל בפרוטוקולים ואמרתי שכל חנות תבוא ותגיד: אני מפיקה חתימה מאובטחת. איך זה עומד בפרופורציה לרמת אבטחה?


המדינה - יש לה מספר כובעים, יש את משרד המשפטים, יש את משרד האוצר ויש נוספים ואין פה אחידות בגישה של המדינה לענין הזה, זאת אומרת, מצד אחד יכול שאנשים ישתמשו בחתימה מאובטחת כדי לחתום על חשבונית שעה שמקבל החתימה -רשות המסים, למשל, אומרת ומצהירה, שאין לה שום אפשרות לבדוק את זה וזה גם לא תפקיד שלה. היא לא מתכוונת לבדוק אם מישהו קנה חתימה של מתחזה שתהיה חתימה מאובטחת. מבחינתה, על השולח ועל המקבל לבדוק אם החשבונית מאובטחת, אם הוא פירסם crl או לא וזה הזוי. למה שגורם מאשר בכלל ישקיע מליונים אם אני יכול להגיד שזו חתימה מאובטחת ויקנו את זה לצורך חתימה על חשבוניות?

לשאלת יושב הראש שלא נשמעה, גם זה חייב להיות באיזשהו מינימום של פיקוח. זה בלי פיקוח לחלוטין. יש להבין, אם יש איזה יצרן 'בלופר', שאין לו תעודה מאובטחת והתעודה שלו לא מתקרבת אפילו למאובטחת, אנשים עדיין יקנו ממנו כי אין שום פיקוח על הענין הזה. ונכון שעל המאושרת צריך להיות פיקוח כי יש פיקוח והכל בסדר ואנחנו משתדרגים כתוצאה מן הפיקוח אבל -אולי אני לא מבטא את הדברים נכון, יש כאן דיספרופורציה בין הזילות של המאובטחת - -
היו"ר מאיר שטרית
האם אתה רוצה להכריח את כל האנשים - - -
זאב שטח
לא להכריח אלא שהמדינה צריכה -לפחות במסמכים שהיא מקבלת, לקבוע איזשהו סף להגדרה מהי מאובטחת ואני כבר לא מדבר על מאושרת. שאם מישהו יגיד שהוא רוצה לעשות מאובטחת - - -
היו"ר מאיר שטרית
במיסוי, מה הדרישה?
זאב שטח
במיסוי, בחתימה על חשבוניות אין דרישה.
היו"ר מאיר שטרית
מה הדרישה?
עינת גלזר
מה שזאב מדבר עליו הוא שונה. יש את נושא הדיווח של החשבוניות הפיקטיביות, קובץ pcn874 שבעצם צריך לדווח עליו והוא באמת חתימה אלקטרונית מאושרת והחשבוניות האלו - -
היו"ר מאיר שטרית
כל חשבונית שמישהו מעביר - - -
עינת גלזר
כן, יש מהלך.
היו"ר מאיר שטרית
יוצא שההבדל הוא בחשבון. כל חשבון שהוא מדווח על מע"מ הוא מדווח בחתימה מאושרת!?
עינת גלזר
נכון, בחתימה מאושרת, זה מהלך שהוא הדרגתי, בהתחלה רק עבור עוסקים מעל מליון שקל, אחר כך עבור עוסקים שמעל ארבעה מליון שקל וכו'. זו כמובן חתימה מאושרת וזה מה שעמית הזכיר בהתחלה.

מה שזאב מדבר עליו הוא בעצם חקיקה מוקדמת מאד שנעשתה בנובמבר 2002 ומדברת על משלוח מסמכים ממוחשבים, הענין נמצא בהוראות הפנקסים סעיף 18 ב' שמדבר על זה שאדם ששולח חשבונית בין ספק ללקוח יכול לשלוח אותה בצורה ממוחשבת בהתקיים תנאים מסויימים. בזמנו ישבתי בוועדה שקבעה את הכללים וחוק החתימה האלקטרונית היה בחיתוליו- - -
היו"ר מאיר שטרית
למה מישהו צריך להתערב בחשבונית?
עינת גלזר
הענין הוא שבעצם הרעיון הוא להגן על הקשר שבין אדם אחד לשני כי אנחנו יודעים שחשבונית שעוברת בצורה של קובץ נתונה לשינויים ואילו אני מסתמכת על אותה חשבונית אז יש למנוע מצב שבו מישהו מצד אחד שולח חשבונית על סך מאה אלף שקל ובספרים שלו הוא ירשום מליון שקל. ככל שזו הוצאה. יש כאן insentive לשני הצדדים: האחד ירצה להקטין את החשבונית והשני להגדיל אותה ואנחנו צריכים לדאוג שלא נעשים שינויים בחשבונית. החתימה האלקטרונית תאפשר את ההגנה הזו.

בזמנו כשישבנו אז, החוק, כאמור, היה בחיתוליו - - -
היו"ר מאיר שטרית
חתימה אלקטרונית מאשרת שמי ששלח מסמך הוא פלוני. האם נכון?
עינת גלזר
החתימה האלקטרונית עושה שני דברים "בגדול": היא מזהה את השולח -שאני זו עינת, למשל ומצד שני היא גורמת לכך שאני יכולה לדעת בוודאות שהמסמך לא שוּנָה, שמסמך המקור הוא אותו מסמך ולא נעשו בו שינויים.
היו"ר מאיר שטרית
אני יכול לעשות בו שינויים אחר כך. את אומרת שאני יכול לשלוח חשבונית על סכום מסוים ואחר כך לשנות את החשבון בספרים שלי.
עינת גלזר
רק אם היא לא חתומה. את פקודת היומן תוכל לשנות אבל לא את המסמך של החשבונית. אם היא חתומה ותבצע שינוי אז אנחנו נראה את זה בחתימה.
היו"ר מאיר שטרית
זאת אומרת שאם תבדקי את הספרים שלו ותמצאי שהיא שונתה אז תוכלי לתבוע אותו.
עינת גלזר
נכון, הדווח המקוון היום -והיום אנחנו נמצאים הרבה שנים אחרי 2002 כך שהדווח המקוון פותר הרבה מן הבעיות כי אם פחדתי -ויש לזכור שהפחד שלנו בתור רשות המסים הוא לא הזיהוי, כי אנחנו הקפדנו שהחשבונית שרוצים לשלוח בצורה ממוחשבת אסור שהיא תהיה במזומן, היא חייבת להיות או בצ'ק או בהעברה בנקאית או בכרטיס אשראי כדי שלא יהיה ויכוח בשאלה "מיהי עינת?" אז הדבר היחיד שמענין אותנו באמת הוא שלא יזייפו את המסמכים. לכן היום - - -
היו"ר מאיר שטרית
אז למה אתם לא מחייבים את כולם לחתימה מאושרת?
עינת גלזר
אסביר. כשאנחנו ישבנו אז בוועדה ב 2002, פרידה ישראלי היתה יושבת ראש הועדה, התלבטנו וישבנו עם המון גופים, ישבנו אפילו אתךָ בזמנו, עם החֱברה שהיתה לך ובעצם הבעיה היתה האם לעשות חשבונית מאובטחת או מאושרת כאשר הענין היה שבעצם, אם נעשה אותה מאושרת אז נתקע גלגלים במהלך, לא היו אז כרטיסים חכמים ולכן ויתרנו על זה. בא זאב ואומר שמאז עברו הרבה שנים והיום יש כרטיסים חכמים והיום אולי כדאי כן לעשות את זה.

את הדבר הזה צריך לבחון, זה לא דבר שאפשר לענות עליו כאן כיון שמצד אחד יש את הדווח המקוון של החשבוניות -שפתר חלק גדול מן הבעיה אבל מצד שני יש שיקולים אחרים. אני יושבת בוועדה ברשות המסים בנושא הכרטיס החכם ואנחנו בודקים יישומים נוספים שאנחנו רוצים להכניס לדיווח מקוון -כמו 1301 שזה הדוח השנתי. אנחנו רוצים גם לאפשר לחתום אותו ויש כל מיני דברים נוספים אבל הדברים לא זזים בצורה מספקת, יש עדיין תקלות, זה לא זורם כמו שאנחנו רוצים ולכן כל מהלך כזה שבו נגיד לשוק שמעכשיו אין יותר מאובטחת אלא רק מאושרת צריך להיבחן וצריך לבחון את ההשלכות של זה. יכול להיות שזאב צודק אבל צריכה להיות ועדה נוספת שתבחן את זה.
היו"ר מאיר שטרית
האם מיכון כזה הוא בתקנות או בחוק?
עינת גלזר
תקנות. מי שיחתום על זה הוא יושב ראש רשות המסים.
זאב שטח
מבקש להמשיך.
היו"ר מאיר שטרית
בחשבוניות ובדיווחים שנעשים היום בצורה מאושרת, האם אתם מגלים רמאויות?
עינת גלזר
אנחנו לא יכולים - - -
זאב שטח
אתם לא יכולים - זה בדיוק מה שאמרתי. תנו לי רגע.
דניאלה רוט
יש הבדל בין החשבוניות שעוברות בין ספק ללקוח ובין הדיווחים החודשיים. הדיווחים שמוגשים למע"מ הם בחתימה מאושרת, וכן, יש, כבר גילינו הרבה דברים מאד מאד מעניינים, בסכומים אדירים, יש לזה פוטנציאל - - -
זאב שטח
אוה! זה חשוב. אבל אני רוצה להסביר.
היו"ר מאיר שטרית
רגע. אנחנו עכשיו בענין המסים. בצורה שזה עובד אצלכם, האם יש לכם תוכנות שמבליטות החוצה את מה שקורה?
דוברת
כן. יש. המערכת בנויה על זה שהיא מצליבה בין נתון שמשדר לספק ובין נתון שמשדר ללקוח, הם מחוייבים לרשום את מספר החשבונית ואת תאריך החשבונית וכל מיני נתונים שמאפשרים בדיקה. גם את המספרים של העוסק המורשה אפשר להצליב. לשאלת יושב הראש, כן, זה נעשה אוטומטית ומציף החוצה נתונים.
עינת גלזר
יש מספר רמות בהן אנחנו בודקים, יש מצבים שם שהם מדהימים, של אנשים שמדווחים על חשבוניות וכבר אין להם תיק במע"מ. למרות שאנשים יודעים שאנחנו עושים את ההצלבות הם עדיין ממשיכים לדווח וזה כמובן בחיתולים כי המערכת של הבדיקות היא בבנייה ולומדים תוך כדי פעילות.
זאב שטח
תנו לי להסביר את המשמעות הנוראה שיש פה ואני מתריע על כך כי יושב כאן מנהל רמו"ט והרשם כאן וחשוב מאד שהם ידעו את מה שאני עומד לומר.

יש היום מגמה -והיא מבורכת, של פורטלים בהם שמים את החשבוניות. אתה יכול לשלוח חשבונית, שם אותה בפורטל כלשהו ושם אתה מתנהל עם הארגון שצריך לשלם לך - שזה בסדר.

ברם, החברות האלה של הפורטלים, וזה בנושא חתימה אלקטרונית שעליו אומרת ענת: אני על הנושא הזה לא מפקחת, החברות האלו הרבה פעמים באות ללקוח ואומרות לו: "זה מאושר" ומבלבלות אותו אז כשאני נפגש עם לקוח אני שואל אותו: הרי הפורטל הוא מאושר ולא החתימה אבל הלקוח לא מבדיל בין החתימה לאתר ה web והנה, אחת החברות למשל, משתמשת בתעודה של ווריסיין -ויש מהן שאתה יכול להוריד מן האינטרנט תמורת אגורות ספורות וכתוב עליהן not verified זאת אומרת, הלקוח, הרי הוא לא מבין, כשהוא פותח את מסמך התעודה וכתוב not verify הוא לא מבין את המשמעות של הענין הזה. זה אומר שאני יכול להוריד תעודה ולכתוב שאני חבר הכנסת מאיר שטרית ואף אחד לא יידע מזה. זאת אומרת אני שולח בזהות בדויה חשבונית ויכול לכתוב שאני חברה כזו או כזו, אין על זה פיקוח. הרי מה ההבדל העקרוני בין מאובטחת ומאושרת? זה לא הענין שאני סוגר את המסמך אבל זה בדיוק מה שהחברות האלה אומרות, הן אומרות: "'מאושרת' סוגרת את המסמך" וגם אני סוגר את המסמך אבל זה לא הענין, הענין הוא הזהות הבדויה זאת אומרת, ב"מאושרת" אתה פוגש את האדם ואתה חייב לפגוש אותו ולזהות אותו -בין אם אצלך ובין אם אצל הגורם המאשר, עם שתי תעודות והכל פי החוק ועל פי הנחיות הרשם. לעומת זאת, "מאובטחת" - אין עליה שום פיקוח ואתה בהחלט יכול לתת תעודה של ענת או של דניאלה ולעשות מה שאתה רוצה. לך תדע איזה בלאגן נוצר כתוצאה מן הדבר הזה. מצד אחד אומרת רשות המסים שזה לא תפקיד שלה לפקח על הענין הזה והרשם, מבחינתו -גם בצדק, לא נכנס לענין של חתימות מאובטחות והוא אומר: זה בין השולח, רגע, רגע, רגע, הוא אומר שבענין הזה, זה בין השולח למקבל, זו בעיה שלהם לבדוק אם החתימה מאובטחת אז הדברים נשארים בלי פיקוח.

שני נושאים נוספים, רגע, תן לי לגמור ואחר כך תגיב, יש הרבה גורמים רושמים וסיפר עמית מקודם על גורם רושם אחד שיושב פה, ויושבים כאן גם נציגים של קופות חולים, - - -
היו"ר מאיר שטרית
מתי תתחילו לעבוד?
קריאה
אנחנו מחכים לאישורים.
קריאה
כחברה שניה, בשאיפה לקראת סוף החודש הזה. כסוכנות.
זאב שטח
אנחנו מדברים על כך שאפשר להיות גורם רושם. יושבים פה נציגים של קופות חולים -שגם הגישו בקשה, וגם לשכת המסחר בחיפה הגישה בקשה זאת אומרת שמונחות אצל משרד הרשם הרבה בקשות -והן חשובות, כי זה אומר שלא צריך לקום עוד גורם מאשר אלא אפשר -כמו שהצענו בזמנו למשרד הפנים ואמרנו, עד שיהיה גורם מאשר אפשר שמשרד הפנים יתפקד כגורם רושם ואז אפשר היה כבר להפיק את תעודות הזהות החכמות - - -
היו"ר מאיר שטרית
זו לא הסיבה לעיכוב.
זאב שטח
כרגע זו הסיבה.
היו"ר מאיר שטרית
ממש לא, זו לא הסיבה. הסיבה היתה חקיקה והפחד של הממשלה.
זאב שטח
כרגע זו עשויה להיות הסיבה. בכל מקרה, יש הרבה גורמים רושמים שיושבים פה וחלקם לא יושבים פה והבקשה שלנו למוסד הרשם היא לאשר את הגורמים האלה כי זה יפשט את התהליך ולא רק לשכת עורכי הדין יכולה להיות גורם רושם.

דבר נוסף שהתרעתי עליו כבעיה הוא הבעיה שבין הנחיות הרשם לנהלים. אנחנו עובדים לפי מסמכי נהלים, לפעמים הרשם מוציא הנחיות ואנחנו חייבים לציית להנחיות האלו. הבעיה היא שהנוהל נוגד הנחיה אז מה אני עושה כשאני מקבל הנחיה לפיה מן ה 1 לחודש אני חייב לעבוד כך אבל אני לפי הנוהל שלי אני עובד אחרת - - -
היו"ר מאיר שטרית
פונים לרשם ואומרים לו שיש סתירה.
זאב שטח
נכון, פנינו ויש פה סתירה אבל אני מעלה את זה בכוונה "און רקורד" כדי שיום אחד לא נואשם שפעלנו בניגוד לנוהל או בניגוד להנחיה.
היו"ר מאיר שטרית
ברגע שדיווחת לרשם ולא קיבלת תשובה אתה מכוסה.
זאב שטח
אנחנו פועלים בהתאם להנחיות אבל יש לנו בעיה שגם את הנהלים אנחנו חייבים לאשר אצל הרשם. הִצעתי הצעת ייעול בענין הזה ואני מקווה שהרשם יקבל אותה. עד כאן.
היו"ר מאיר שטרית
יש ענין אחר שמתפתח, מעבר לענין של תעודות הזיהוי -שאני מקווה שבנובמבר יחלו להפיק, ומעבר להתפתחות שהולכת ומתקדמת, יש ענין אחר והוא הרשומה הרפואית. זאת אומרת שלא משנה באיזה קופה אדם מטופל ולא משנה באיזה בית חולים הוא מטופל, כל המידע לגבי הטיפול הרפואי יהיה ממוחשב ונגיש לכל רופא בכל המערכת ולא משנה אם מישהו עובר מבית חולים אחד למשנהו - המידע יעבור. מה שקורה היום הוא שבית החולים האחד חוזר על כל הבדיקות שנעשו כבר בבית חולים אחר כי אי אפשר לראות את התוצאות. הדבר יחסוך כסף למדינה כי לא יהיה צורך לחזור על בדיקות. כל המידע הרפואי יהיה במחשב אחד, כל קופות החולים יעבדו עם אותה מערכת וזה רעיון שדחפתי ואני חושב שהוא חשוב כי רופא שיראה חולה יראה את כל המצב הרפואי שלו ולא יהיה מתן תרופות סותרות וכדו'. לזה יש משמעויות כי במקרה הזה, למשל, רישום תרופות לחולה כרוני -מה שכבר עובד בקופת חולים, הרופא שולח הודעה לבית המרקחת ואין צורך בהצגת המירשם. היה כאן ויכוח בנושא חתימה של רופאים, והויכוח על הרשומה הרפואית יהיה יותר חריף. ברשומה הרפואית ידעו גם מי הרופא שרשם. אני מציע, שהחברה שעומדת לעשות את העבודה של הרשומה הרפואית תהיה זו שעושה את כל מערכת הבריאות של פילדלפיה, שהיא יותר גדולה ממדינת ישראל בהרבה ושם עושים את זה כבר מספר שנים, יש להם נסיון מאד גדול ואני מציע לכם שתדברו אתה כדי ללמוד מן הנסיון שלה כי יש לזה השלכה גם עלינו בקרוב.
עמית אשכנזי
יש חתימה אלקטרונית לרופאים.
היו"ר מאיר שטרית
לא אצל כל הרופאים.
קריאה
בקופת חולים זה עובד כבר.
היו"ר מאיר שטרית
היה כאן ויכוח מאד גדול. מציע שתבדקו מה עשו בפילדלפיה. רשומה רפואית תשנה את המערכת.
בוריס רובינשטיין
אני אחראי גם על הביומטריה- - -
היו"ר מאיר שטרית
ביומטריה? האם יש ביומטריה ב"מכבי"?
קריאה
הביומטריה היא בגלל הסודיות של התיק הרפואי.
היו"ר מאיר שטרית
גם משרד הפנים מחזיק פרטים סודיים.
בוריס רובינשטיין
יש לנו אישור מ 2007. לשאלת יושב הראש, לא כל חבר "מכבי" מזוהה ביומטרית, זה עדיין וולנטרי. יש לנו 350,000 רשומים.
היו"ר מאיר שטרית
מה שמראה שאנשים לא מפחדים. איזו ביומטריה? החתמה של עשר אצבעות?
בוריס רובינשטיין
רק שתיים. אנשים מקבלים את זה יפה.
היו"ר מאיר שטרית
האם יש להם תעודה מזהה ביומטרית?
בוריס רובינשטיין
לא. יש להם כרטיס מגנטי והביומטריה היא במאגר. המבוטח מזדהה בשמו ומניח אצבע. במרפאות, למשל.

בתשובה להערות, זה לא בא במקום העברת כרטיס אלא בנוסף. אנחנו עובדים עם זה כבר כמעט חמש שנים והכל בסדר.

רציתי לתקן משהו בקשר לחתימה אלקטרונית. חתימה מאושרת כן עושים עכשיו לכל הרופאים. בשלב ראשון זה לרופאים רשומים, ובשלב שני זה לכל הרופאים אבל האישור לא עובר ישירות לבית מרקחת אלא למבוטח עצמו והוא יכול להדפיס אותו דרך האתר. עם זה הוא חייב לגשת לבית המרקחת כי כך הרגולטור קבע, שעדיין יש צורך במירשם.
היו"ר מאיר שטרית
האם הוא מדפיס את המירשם בבית?
בוריס רובינשטיין
כן, או בעמדות שירות או בכל מקום. כשהרגולטור יחליט שלא צריכים נייר אז אנחנו נוכל להעביר ישירות לבית מרקחת.
היו"ר מאיר שטרית
תודה רבה.
שי זנדני
בתור אחד שהקים את ה ca הראשון בארץ, עוד כחובש מדים בחיל האויר, ולאחר מכן ניסינו לעשות את זה כחברה מסחרית בשם גושפנקה, עוד טרום "קומסיין" ו"סקיור", אני אומר שאחד האתגרים הכי גדולים במדינה כרגע הוא המסה הקריטית של שימוש בתעודות כאלו כי אחד מן האלמנטים שהחבר'ה כאן מבינים הוא שלא משנה אם אתה מפיק תעודה בודדת או מאה אלף או מליון תעודות, ההשקעה שלך על מנת להיערך לסוג כזה של מהלך היא אותה השקעה ולכן האתגר של המדינה ושל הממשלה -זה מהלך שנעשה אבל לדעתי לא מספיק מהר ולא מספיק בתמיכה, הוא פשוט לעודד שימושים כמה שיותר של הדברים האלה. מה שאתה מנסה לעשות עם הרופאים הוא חשוב והוא מרתק וזה חשוב כי זה בדיוק יכול לעשות את אותה התייעלות או חסכון או שיפור וזה משהו שאין ספק שלרגולטור ולממשלה ולמחוקק יש תפקיד מאד משמעותי בהקשרים האלה. אנחנו רואים את זה בעולם בצורה מאד נרחבת.


דבר שני, הזכיר עמית את האיחוד האירופאי, ובכן, בשנת 2000 הוקם איגוד של שמונה בנקים גדולים בעולם, קראו לו איידנטראס והוא כלל גם את ברקליס ו hsbc ואת ניו סקוטלנד, שמונה בנקים גדלים שהקימו רשות שהפיקה תעודות לכל הלקוחות שלהם כדי ליצור אלמנט של trust עולמי בין הלקוחות שלהם. לדעתי בימים האלה זה מתחיל להתעורר. אז, אחרי מספר שנים גבו הרבה מאד כסף והגיעו לקצה העיסקי שלהם אבל זה משהו שברמה האירופאית בודאי מתחיל להיות שוב ולא ירחק היום שיהיה טראסט בין גורמים שונים ברמת המדינה וברמת הממשלה וחשוב מאד ש"נהיה שם" כי אז אתה עושה את אותם הדברים שאתה עושה פה בין ספק לבין מקבל גם ברמה העולמית וזה יכול לקצר עבורך תהליכים.


לגבי העולם של הזהות הדיגיטלית, בכל עולמות הסייבר סקיורטי והסייבר קריים, הוא הולך להיות המרכיב העיקרי. אלה הנתונים שאנחנו מזהים ואלה הנקודות העיקריות שאנחנו מנסים לזהות, את התקיפה או את נקודת הכשל או את נקודת החולשה בשרשרת האבטחה של ההזדהות וכאן, כמו שאמרתי, אם נדע לעודד את השימוש במסות האלו אז זה יהיה כבר built it אצל כל אחד מאתנו ולא נצטרך לקנות תעודות כאלה במאות דולרים כי הן יעלו דולרים בודדים. התשתית עצמה היא אותה תשתית.
היו"ר מאיר שטרית
תעודת הזהות החכמה והביומטרית תוכל לתת מענה גדול כמעט לכל אזרח בישראל שיהיה לו תעודת זהות.
עמית אשכנזי
לגבי ניהול הספרים, הדיאלוג בינינו לבין ענת, רשות המסים, קומסיין ועורכי דינה בנושא של חתימה מאובטחת הוביל לזה שפרסמנו נייר והוא נמצא באתר שלנו, הנייר נקרא הבדלים בין חתימה מאובטחת למאושרת. הענין נועד כדי להתמודד עם מצב שנתקלנו בו, ו"קומסיין" מתארת את הדברים באופן שהוא לא לגמרי מדוייק -מתוך אינטרס מסחרי שהוא למכור חתימות מאושרות, ואנחנו ממשיכים לעקוב אחרי השוק. הנייר נמצא, כאמור, באתר ואשמח להעביר אותו אליכם. המטרה שלו היא לא להתעסק עם מי שנמצא כאן סביב השולחן כי אם הוא כבר פה אז הוא מבין במה מדובר אלא דווקא עם אותם לקוחות.

הסיכונים שקשורים לנושא של חתימה מאובטחת ידועים היטב לרשות המסים והיא החליטה לעשות כך, כפי שהחליטה. אני חושב שההחלטה היא לא בלתי סבירה. לא בטוח שאני הייתי מחליט כך אבל זו לא החלטה שלי. אני מתעסק בחתימה אלקטרונית. ושוב, התמודדנו עם זה.

יש נושא שאנחנו מתלבטים בו כי הוא גם באיזורים של המאובטחת והוא חתימות גרפיות מכל מיני סוגים. נושא שאנחנו מסתכלים עליו וכל פעם עולה בו שאלה. האם חתימה גרפית של חברה כזו או אחרת תקפה לפי החוק, למשל והתייחסנו לזה בנייר אבל יש שאלה לגבי מצב שבו הצבור לא מבין. במקומות מסויימים רגולטורים ספציפיים התעסקו עם זה, למשל, משרד התקשורת הינחה שחתימה על חוזה סלולרי צריכה להיות בדרך כזו שללקוח יש סימן אחר ולא רק חתימה גרפית, יש חוזר של אגף שוק ההון בנושא הזה.

בתשובה לשאלה שלא נשמעה, חתימה גרפית - הכוונה היא שמישהו חותם בעט, לא חותם עם כרטיס חכם אלא עם עט במחשב ואז נשאלת השאלה מהו התוקף המשפטי של זה?

לגבי התעודות, בכל פעם ההסבר משתנה אבל בכל מקרה, לגבי היקף התעודות שהופקו עם מגבלת האחריות השגויה: לא יכול להיות מצב של טעות ב "טמפלט" כי הופקו אלפי תעודות אחרי המועד שבו היה ברור לכולם מה צריך לעשות וכל היתר כתוב בדוח. אני לא חושב שיש טעם להתווכח על זה כרגע.
זאב שטח
אתה מציג את זה לא נכון.
עמית אשכנזי
בסדר, כתוב בדוח. אני רק אומר שהדברים שאמרת פה לפרוטוקול הם לא נכונים, מי שמתעניין יקרא בדוח את הדברים הנכונים.


לגבי ההנחיות והנהלים, אני מתנצל וזו באמת בעיה שלנו. הייתי מאד רוצה להיות במצב שבו אני נותן הנחיה ואומר ל"קומסיין": תעשו את הנוהל ותעבירו אלי את הדברים, אני סומך עליכם אבל, לצערי, הנסיון עם קומסיין הוא שכשאני נותן הנחיה ומקבל את הנוהל חזרה אז בנוהל מסתתרות הפתעות.

אני עובד בתוך הרשות עם פיקוח מול גורמים אחרים ואנחנו לא עובדים כך אלא אנחנו מגיעים עד למקום שבו אנחנו נותנים הוראה רגולטורית ומשם זה ענין של העסק ואני לא מתעסק בענין פנימי. ב"קומסיין" המצב כרגע הוא שכל פעם שאני משחרר חבל אני מצטער על זה. לדבר הזה בהחלט יש משמעות מטרידה מבחינת משך הזמן שזה לוקח לתת להם תשובות -גם אצלנו וגם אצלם.
היו"ר מאיר שטרית
תודה רבה.
זאב שטח
בתשובה לשאלת יושב הראש, עכשיו עשינו טקס של 4096, זו מערכת חדשה שכבר מוכנה מספר חודשים. כרגע קיימות בחוץ כל התעודות שציינתי, ב 248. מקווה שהרשם יאשר לנו לעבוד עם 4096.
היו"ר מאיר שטרית
קודם כל אני רוצה להודות לכל אלה שהשתתפו בדיון. הדברים חשובים.

לגבי "קומסיין", יש לך כלי כספי שאתה יכול להשתמש בו מולה.

אני שמח שזה מתפתח בכיוון נכון ואני שמח שחברות נוספות משתפות פעולה. מאחל להן הצלחה. תחרות גם תוריד את המחירים ותשפר את השרות. זה טיבה של תחרות ובסוף האזרח נהנה. תודה רבה לכם.

הישיבה ננעלה בשעה 11:30

PAGE
17

קוד המקור של הנתונים