PAGE
48
ועדת המדע והטכנולוגיה
10/01/2012

הכנסת השמונה-עשרה
נוסח לא מתוקן

מושב רביעי










*
<פרוטוקול מס' 116>
מישיבת ועדת המדע והטכנולוגיה
יום שלישי, ט"ו בטבת התשע"ב (10 בינואר 2012), שעה 11:30

<מוכנות ישראל למתקפת סייבר - בעקבות הפריצה לאתרי כרטיסי האשראי ע"י האקרים סעודים>

חברי הוועדה: >
רונית תירוש – היו"ר

רוברט טיבייב

יוליה שמאלוב-ברקוביץ

>
חבר הכנסת דורון אביטל
חברת הכנסת אנסטסיה מיכאלי
יורם הכהן - ראש הרשות למשפט, טכנולוגיה ומידע, משרד המשפטים

חיים ויסמונסקי - ממונה מדע וטכנולוגיה פרקליטות המדינה, פרקליטות המדינה, משרד המשפטים

מריה ג'מאל - מתמחה הרשות למשפט טכנולוגיה ומידע, משרד המשפטים

ליאת בן מאיר-שלום - משרד המשפטים

שני שרביט - ראש מינהלת הקמה - המטה הקיברנטי הלאומי, משרד ראש הממשלה

טל הרמתי - סגן בכיר לחשב הכללי, משרד האוצר

זיו סלייטר - סגן מנהל ממשל זמין, משרד האוצר

מיכל לוי - ממשל זמין ותהילה, אגף חשכ"ל, משרד האוצר

אופיר בן אבי - מנהל יישומים ממשל זמין, משרד האוצר

גיא ליפשיץ - ממשל זמין ותהיל"ה, משרד האוצר

שלומי מוסרי - ממשל זמין ותהיל"ה, משרד האוצר

מאיר חיון - רמ"ד איתן מחקר סיגינט אח"מ, המשרד לביטחון הפנים

ישראל רום - ר' מנ"ט שב"ס, המשרד לביטחון הפנים

גון קמני - מנהל, רשות האוכלוסין ההגירה ומעברי הגבול

יוגב שמני - מנהל אבטחת מידע, רשות האוכלוסין ההגירה ומעברי הגבול

דנה ברינה - ראש היחידה להגנת מע' מידע במרכז לעיבוד נתונים, משרד הביטחון

דניאל ברן - ראש מחלקת הגנה בסייבר, אגף תקשוב, משרד הביטחון

שי חיימוביץ - ראש תחום אבטחת מחשבים, משרד הביטחון

אסתר אפרת סמילג - סגנית היועץ המשפטי ומנהלת מח' אמנות, משרד החוץ

רחל יעקבי - מנהלת יחידת סיכונים תפעוליים, הפיקוח על הבנקים, בנק ישראל

יעל גורן חזקיה - יועצת, המועצה הלאומית למחקר ולפיתוח אזרחי

רם לוי - מזכיר המיזם הקיברנטי, המועצה הלאומית למחקר ולפיתוח אזרחי

נמרוד קוזלובסקי - מומחה בתחום משפט האינטרנט ואבטחת מידע

יהונתן קלינגר - יועץ משפטי, חבר הנהלה, עמותת אשנ"ב

אסף ויסברג - סגן נשיא האיגוד ISACA ישראל - האיגוד הישראלי לביקורת ואבטחת מערכות מידע

גיא מזרחי - מנכ"ל חברת "סייבריה"

אורן שני - מנכ"ל Secaudit

ארז מטולה - מומחה אבטחת אפליקציות, מייסד חב' "אפסק אבטחת אפליקציות בע"מ"

עידו שפירא - מנהל תפעול חברת אלטל

ג'קי אלטל - יועץ אבטחת מידע אלטל

גיל ארתר - סמנכ"ל פיתוח עסקי פלאקארד

דורון רונן - נשיא האיגוד ISACA, האיגוד הישראלי לאבטחת מידע

ניר פסי - חבר הנהלה ISSA, האיגוד הישראלי לאבטחת מידע

הדי רביב - יו"ר ועדת משפט ואתיקה, האיגוד הישראלי לאבטחת מידע

גלעד קהת - סמנכ"ל אגף מש"א ניהול סיכונים ורגולציה, חברת לאומי-קארד

ישי ורטהיימר - מנהל מחלקת ניהול סיכוני הונאה

אשר רשף - סמנכ"ל אגף מערכות מידע

גיל טופז - מנהל אגף ניהול סיכונים ואשראי

יאיר רובין - מנהל אבטחת מידע

אמיר קושילביץ - סמנכ"ל ניהול סיכונים וביטחון, חברת ישראכרט

אבי ויסמן - יו"ר הפורום ומנכ"ל מכללה לאבטחת מידע וסי, הפורום הישראלי

שי זנדני - חבר הנהלה ISACA

אריק קלינשטיין - שותף מנהל גלילות קפיטל פרטנרס

עידו אור - סטודנט

אראל מרגלית - יו"ר קרן הון סיכון JVP

רועי קונקול - עוזר ליו"ר קרן הון סיכון J.V.P

איתן עירון - פעיל המשמר החברתי

דבורה האוסן-כוריאל - חוקרת - סדנת יובל נאמן ומיזם הסייבר

אלכס גלאובך - ראש מינהל מחשוב תעשיה אווירית- מלמ

דרור בן דוד - מנהל תחום "סייבר", חברת מטריקס איי טי בע"מ

שמואל חן - דובר ועדת המדע והטכנולוגיה

נירה לאמעי-רכלבסקי

ענת לוי

אושרה עצידה
<מוכנות ישראל למתקפת סייבר - בעקבות הפריצה לאתרי כרטיסי האשראי ע"י האקרים סעודים>

בוקר טוב. אני פותחת את הישיבה שנושאה הוא: מוכנות ישראל למתקפת הסייבר – בעקבות הפריצה לאתרי כרטיסי האשראי על-ידי האקרים למיניהם.

בפתיח דבריי אני רוצה להתייחס לכמה דברים עקרוניים. ראשית, מאחר וישנם הרבה מאוד מוזמנים כאן, אני מבקשת מכל מי שיקבל רשות דיבור להציג את עצמו באופן מלא על מנת שהקצרנית תוכל לרשום את הפרטים.

אני מודה לכל מי שסייע לנו להביא את הדיון הזה בתקשורת בשידור חי. זה מאוד חשוב. אני גם רוצה להודות למי שבא לכאן זו הפעם השנייה באותו שבוע, ובהפרש של יום, לאחר שנוהלה ישיבה לכאורה דומה בוועדת הכלכלה אתמול- דבר שלא צריך להיעשות. זאת אומרת, לא צריך להטריד אנשים פעמיים. ועדת הכלכלה התעקשה להתייחס להיבטים הצרכניים של פריצה לאתרי כרטיסי אשראי. קשה מאוד להפריד בין השניים. אבל, כל מה שנוגע לצד הטכנולוגי של אותה פריצה יידון כאן היום.

אני גם מקדימה ואומרת שהדיון כאן לא יהיה רק סביב נושא כרטיסי האשראי. אנחנו מקיימים בחודש האחרון סדרה של דיונים שהחלו בעקבות אותה נפילה של אתרי ממשלה למיניהם, כמו גם אתרים של תשתיות לאומיות אחרות במדינת ישראל. אנחנו לא פיתחנו והרחבנו מי נפל. אבל, ברור לחלוטין שהנפילות הללו מעידות על כשל. יכול להיות שזה כשל מערכתי. לכן, אני מקיימת את אותה סדרת דיונים.

אני לא מתיימרת לומר שהוועדה הזאת אכסקוטיבית. דהיינו, יש לה יכולת ביצוע. אבל, בהחלט, הוועדה הזאת, כמי שמפקחת על הרשות המבצעת, צריכה לוודא שכל הגורמים ברשות המבצעת – קרי, משרדי הממשלה והרשויות שנגזרות מהם – לוקחים בחשבון שיש לנו בעיה רצינית. אני אומר בצורה הכי בוטה, אני חושבת, בעקבות סדרת דיונים שקיימנו, שהמלך הוא עירום, וצריך לקרוא לילד בשמו.

מדינת ישראל מתהדרת ביכולת טכנולוגית, ביכולת היי-טקיסטית, במוחות יהודים מצוינים מאין כמותם, ואני לא מקלה ראש בעניין. אני לא אומרת את זה בציניות. אבל, אותם מוחות כנראה לא מנותבים באופן האופטימאלי למקומות בהם אנחנו צריכים לגעת. אנחנו טובים בהרבה מאוד פיתוחים. אבל, אנחנו צריכים לעבוד. אני אומרת את זה במידת הצניעות, כי אני בוודאי לא אשת המקצוע. אבל, אני לומדת מהר, ואני מבינה שאנחנו צריכים להקדים תרופה מהר. אנחנו צריכים לחפש לא ברזולוציות נמוכות כאלה ואחרות איך אנחנו עכשיו מגינים על כרטיס האשראי, איך אנחנו נגן על אתר מסוים שנפל במשרד ממשלתי כזה או אחר. יש פה בעיה עקרונית שצריך לטפל בה. יש פה איום לאומי על מדינת ישראל ברמת טרור קיברנטי. זו רשת סייבר שמאפשרת בלחיצת כפתור שנעשית על-ידי אנשים מהגיל הצעיר ביותר עד הגיל המתקדם ביותר. הם עושים את זה בתמיכה של מדינות עוינות למדינת ישראל שקל להן הרבה יותר לתקוף את ישראל מהצד הקיברנטי על-ידי לחיצת כפתור מלשלוח טנקים ומטוסים, ולהשמיד את המדינה, או לחלופין טילים כאלו או אחרים כשאנחנו מקשים עליהם, כמו באיראן. פה הדברים הם זמינים יותר, הם מידיים יותר, והם מאיימים לא פחות מכל טיל בליסטי. אני לא רוצה להתהדר במילים. אבל, זה לא פחות יעיל מבחינת נזק מטיל גרעיני כזה או אחר.
אני לא מדברת על חיי אדם באופן מיידי. אבל, כשתשתיות חיוניות, חשובות לחיים היום-יומיים שלנו נופלות, אז אנחנו יכולים למצוא את עצמנו ללא יכולת לשתות מים, וללא יכולת להגיע ממקום למקום על מנת להימלט, או כל דבר אחר. אני לא רוצה לתת פה תסריט אימים. אבל, אני בהחלט רוצה לשים את המשקל הנכון על הבעיה הזאת שמתפתחת בטור הנדסי מהיר מאוד, במהירות, ואני לא רואה שאנחנו ערוכים.
מעבר לרשות למשפט מידע וטכנולוגיה, ותיכף עו"ד יורם הכהן יפתח את הדיון באופן מקצועי, אני כמובן הזמנתי גם את מי שעומד בראש רשות הסייבר שהקים ראש הממשלה. אני מכבדת את רצונו לא להופיע כרגע במפגשים כאלה. בדעה אחת ובסיכום מקובל, החלטנו שחודשיים ימים יש מקום לתת לאותו ראש רשות חדש, מר אביתר מתניה, על מנת שיבנה לו את התוכנית שלו, וגם הרשות תפעל בהתאם. יש פה נציגה בכל זאת של הרשות שהיא ראש מטה. למה את יושבת מאחור? את ממש לא רוצה לדבר אז את מאחור? יש פה מקום. אני מזמינה אותך כן להצטרף אלינו, בוודאי להקשיב. אבל, אולי גם להשמיע, אם יש מה להשמיע. אבל, אני אומרת שוב, אני מפנה את דבריי לרשות הסייבר כי היא הרשות המתכללת של כל הגורמים במשק, ולא במשק, שאמורים לעבוד על הנושא ולתת פתרונות.

אנחנו מצאנו שיש שיח בין אנשים, בין ארגונים, ובין רשויות שונות. אבל, אני גם מצאתי שיש מי שלא מחובר, לא באופן מכוון ומודע. אני חושבת שהמטרה הראשונה שלכם היא לתכלל את כל הגורמים הללו, ולוודא שכולם מרושתים. אתם לא גוף ביצועי. אבל, כגוף שצריך להבטיח שדברים יקרו, אני חושבת שהיה נכון להקים את הרשות. אנחנו נשמח שאתם תשתתפו באופן פעיל יותר בדיוני המשך שאנחנו נקיים.
כל מה שהבטחתי עד היום בסיכום דיונים קודמים לגבי יידועו של ראש הממשלה, ביידוע בהקשר של רעידות אדמה ומוכנות העורף שגם היא קשורה לנפילה של רשתות במקרים של פגעי טבע, אבל יש גם פגעים אחרים שהם לא פגעי טבע, אני יידעתי את השר העוסקים בדבר. אני גם כתבתי והפניתי את תשומת ליבן של הרשויות המקומיות דרך השלטון המקומי, דרך מר בוחבוט. אני עושה את כל מה שהבטחתי. כמו שרשות הסייבר תהיה הגורם המתכלל, ותוודא שאכן אנשים מיודעים, ומדווחים, ועושים את מה שצריך לעשות, אני גם מצידי, מבחינת הרשות המחוקקת, אדאג שכך ייעשה במסגרת דיוני הוועדה שלי.

אני מניחה שהיום אנחנו נדבר על כל מיני תקנים שצריכים להיעשות או להתבצע כדי להבטיח מוגנות על מאגרי מידע. אני יודעת שיש הפקרות רבה מאוד באשר לאגירת נתונים שלנו, בין אם זה על-ידי גורמים שאני קונה דרכם, או גורמים אחרים שמבקשים ממני מידע כי אני מבקשת משהו מאיזשהו משרד ממשלתי. היד קלה על ההדק, הנתונים שלנו נמצאים כמעט בכל מאגר. אני בטוחה שהם לא מאובטחים באופן נאות. צריך שיהיה מישהו שייאלץ אותם, וייתן תקינה –ייתן פשוט תו תקן. כשאני הולכת למסור פרטים שלי לגורם כזה או אחר, אני רוצה שיהיה לו מין 9,820 ISO או בלי 9,000, פשוט תקן 8,200, שבו אני אדע שאני יכולה להיות שקטה, ככל שניתן להיות שקטים, כי זה חתול ועכבר. אנחנו כל הזמן נסתובב קצת סביב הזנב של עצמנו. אבל, לפחות אני אדע שאני בידיים מקצועיות ובטוחות שבאמת רוצות לוודא שהנתונים שמסרתי לא ילכו לגורמים אחרים.

אנחנו גם נדון בהמשך על הפיקוח על מאגרי מידע לפי חוק הגנת הפרטיות וכו', אומרת לי היועצת המשפטית של הוועדה ובצדק רב.

היה לי פתיח די ארוך, ואני אבקש מעו"ד יורם הכהן לפתוח את הדיון המקצועי. תודה רבה.

תודה גברתי ובוקר טוב. אני רוצה להתחיל בלהודות למישהו שלא נמצא פה, וזה אותו אחד שקוראים לו OxOmar שתרם להעלאת המודעות של הציבור הישראלי לנושא אבטחת מידע באופן שאני חושב שהרבה מאוד תקציבי פרסום שהיינו עושים בנושא הזה לא היו משיגים את אותה מודעות. מבחינה זו, אני חושב שצלצול ההשכמה שקיבלנו בעניין הזה הוא דבר מאוד מאוד חשוב. אפשר להודות לו. הוא כנראה לא השיג את המטרה שהוא רצה להגיע אליה.
עם התברר פרטי האירוע הזה לפני כשבוע, הרשות למשפט וטכנולוגיה נכנסה לנושא מכיוון שהיה לנו ברור באופן מיידי שגם מדובר פה באירוע שהוא אירוע פלילי לפי חוק הגנת הפרטיות. יש פה גם היבטים של פריצה למחשבים ככל הנראה. אבל, ללא ספק גניבה ופרסום של מידע אישי, הוא אירוע שקשור לליבת העיסוק שלנו. הוא גם קשור לליבת העיסוק שלנו כרגולטור בתחום הגנת הפרטיות. לכן, במידה מסוימת אנחנו לקחנו סוג של אחריות על האירוע הזה בגלל שזה נפל במשמרת שלנו, וכך זה היה צריך להיות. אבל, אני חושב שלמה שקרא פה יש השלכות שהן הרבה יותר רחבות למשק הישראלי. כמובן שכל הגורמים הרלוונטיים צריכים להסיק את המסקנות שלהם בנושא זה.

בהקשר לשאלה של הסייבר או אירוע סייבר טרור – יש כמובן מאפיינים באירוע הזה שהם מאפייני אירוע סייבר טרור, מהסיבה הפשוטה שאותו האקר, או קבוצה של האקרים טענה ופרסמה את זה שהם מפרסמים את המידע הזה מתוך כוונה לגרום לישראלים לעמוד בתור ולהחליף כרטיסי אשראי, ושכרטיסי האשראי לא יהיו מקובלים במדינות העולם. ולכן, על פניו, מדובר באיזשהו סוג של מתקפה. לא אני הגורם המוסמך במדינת ישראל להגדיר אירוע מסוים כסייבר או לא. זה באמת משהו שהמערכת היום מתמודדת איתו. אני מקווה שאנשי מטה הסייבר שבהקמה שנמצאים פה יוכלו להתייחס לשאלות האלה, כי אני יודע שנעשתה עבודת מטה מאוד מאוד מסודרת בנושא הזה. כמו שאמרתי, זה נפל במשמרת שלנו, וזה קשור למידע אישי. לכן, אנחנו מטפלים בזה, ונמשיך לטפל בזה.
אגב, השוני באירוע הזה לעומת דברים שקורים בעולם היום-יומי הוא שהמידע הזה פורסם מתוך המטרה הזאת. אני חושב שחברות כרטיסי האשראי, ואני מקווה שהן יתייחסו לזה אחר כך – סחר במידע אודות כרטיסי אשראי ופרטיהם הוא לחם חוקן של חברות כרטיסי אשראי, וניסיונות הונאה כאלה ואחרים נעשים על בסיס יום יומי, כולל העברה של מידע כזה. לכן, השינוי הוא באמת בעצם הפרסום. בדרך כלל מוכרים את המידע הזה לכל מיני גורמים שרוצים לעשות בו הטבות כלכליות. פה עשו את זה מתוך אוריינטציה אחרת. זה לא מפחית מחשיבות העניין מבחינתנו, כי מה לנו אם זה למטרות כלכליות או למטרות של פגיעה? אנחנו צריכים לטפל פה בסוגיית אבטחת המידע שעולה מהסיפור הזה, וזה דבר שבהחלט חייב להיות מטופל.
אני רק רוצה להזכיר שאנחנו – הרשות – פרסמנו לפני כחודשיים פענוח של תיק שלטעמי הוא הרבה הרבה יותר חמור, וזה דליפת מרשם האוכלוסין של מדינת ישראל לרשת. אני יודע, ואני גם מקווה שמשרדי הממשלה היום מפנימים את המסקנות שיש כתוצאה מהתהליך הזה. חלק מזה כבר הופנם בכל מיני תהליכים. אבל, שם היה מדובר על מאגר מידע מקיף על אודות כל אזרחי מדינת ישראל. פה, בסופו של דבר, אנחנו מדברים על מידע שאגב הוא קצת שונה בהיבטים האלה, ואני לא מקל בו ראש. אבל, אני חושב שצריך לשים את הדברים בפרופורציה. ההבדל המשמעותי הוא שבאותו מקרה זה היה מידע שנאסף על-ידי גופי מדינה, ובמקרה הזה זה מידע שנאסף על-ידי גורמים פרטיים. ולכן, גם הרגולציה היא שונה, גם הטיפול הוא שונה.
מה רמו"ט עשתה בטיפול במקרה הזה? עם היוודעו אנחנו אספנו כמובן את המידע הרלוונטי על שני האירועים האלה של הפצת המידע. היו שני פרקים של הפצת מידע. לפי הבנתנו, בכל אירוע היו כמה פריצות מקבילות שנעשו לאורך שבעה חודשים. זה לא אירוע שקרה בתחילת ינואר או בסוף דצמבר.
באופן עקרוני, המדיניות שלנו היא שאנחנו, ובוודאי מחקירות פליליות, לא מוסרים מידע שהוא מידע של החקירה. מה שאני מוסר לכם פה הם דברים שאנחנו יכולים לומר אותם, מבחינתנו. הפרטים נגנבו ממספר חברות שבעיקר התעסקו ב-hosting, בהחזקה של אתרים, והן מעורבות בעניין הזה. אנחנו קיבלנו צווי חיפוש מבתי-משפט כדי להיות מסוגלים לחקור את הנושא הזה. עשינו איסוף של התשתית הראייתית הרלוונטית.
אני רוצה להזכיר שמדובר פה, בסופו של דבר, בעבירה פלילית ככל שאפשר יהיה להעמיד לדין מישהו על הנושא הזה. אני לא רוצה לייצר ציפיות. אבל, אנחנו בהחלט צריכים להתייחס, ואנחנו מתייחסים לאירוע כזה בבסיסו כאירוע פלילי. לכן, אנחנו עושים את זה ברמת הוודאות הנדרשת למשפט פלילי. יכול להיות שבסופו של דבר זה לא יידרש, אבל כך אנחנו מתנהגים עם המידע.

ברשותך, אני רק רוצה לוודא שהבנתי נכון. החוק של הגנת הפרטיות המדבר על מאגרי מידע מונח לפניי: לא ינהל אדם, ולא יחזיק מאגר מידע, אלא אם כן התקיימו הדברים הבאים. המאגר נרשם בפנקס וכו' וכו'. אתם אמורים לפקח שזה אכן קורה, ושכל התנאים האלה מקוימים?

נכון.

האם זה רק לגבי אתרים של משרדי ממשלה?

לא, בכלל לא.

האם זה גם על הבנקים, גם על - - - ?

אם את רוצה אתייחס לסוגיית רישום מאגרי מידע בהמשך, כי היא נוגעת גם לשאלה של תקנות אבטחת מידע. אני בהחלט אתייחס לזה. אנחנו היום חוקרים עבירות פליליות בנושא של הגנת הפרטיות מכוח הסמכה של השר לביטחון הפנים, ותזכיר האכיפה שעבר קריאה ראשונה, וגברתי מכירה אותו, ואמור להיות נדון בכנסת, מסדיר את הסמכויות שלנו בהקשר הזה בצורה הרבה הרבה יותר מודרנית ונכונה. כרגע אנחנו פועלים מכוח הסמכה של השר לביטחון הפנים.

כמו שאתם יודעים, המידע הזה פורסם בכל מיני אתרים ברחבי העולם. אנחנו פנינו למחלקות ה - Abuse של האתרים האלה מתוך בקשה שהם יורידו. מי שמכיר, עבירות של מידע דיגיטלי - בדומה לרצח, אי-אפשר להחזיר לחיים את הגופה. המידע שדלף - אי-אפשר להחזיר אותו, יש לו חיים משלו. אנחנו מכירים את זה גם ממקרה של ה"אגרון". לכן, כמובן שצריכים להתמקד בעתיד ולמנוע את האפשרויות האלה. "אגרון" זה מרשם האוכלוסין. זה אירוע מ-2006 שנחקר על-ידינו, ופוצח.

איך אתם קוראים לאירוע, אם בכלל אתם קוראים לו, לפני כחודש של נפילת אתרי הממשלה?

אנחנו לא מתעסקים בו. זה לא בתחום האחריות שלו, כי אנחנו לא יודעים שום דבר על זה שנגנב מידע אישי שם. אם רוצים להתייחס לשאלה הזאת, אז זה אנשי ממשל זמין ומשרד האוצר.

זה מראה את המורכבות ואת הפיזור של האחריויות.

בוא נגיד כך – מידע היום מנוהל בכל-כך הרבה מערכות, ועל-ידי כל-כך הרבה גורמים. המידע המנוהל על-ידי המערכות הביטחוניות, מפוקח על-ידי גורמי ביטחון. ככל שיש שם מידע אישי אז זה גם חלק מסמכויות הפיקוח שלנו. באמת צריך להבין שזו מפה מאוד עשירה, כי כלכלת המידע של ימינו היא מבוססת מידע, והמידע הזה מעובד בהרבה מאוד מקרים.

כמה גורמים?

אין היום גורם, ואני לא יודע אם יכול להיות גורם אחד שיש לו אחריות לכל נושא של ניהול המידע במדינה.

האם אתה יכול לעשות לי סדר, ככל שאתה יכול, איך החלוקה? זאת אומרת, מי אחראי?

כן, קצת, אני לא יודע אם היא תהיה מקיפה. בכל מה שקשור לרשות למשפט וטכנולוגיה אני יכול להגיד שאנחנו רשות הרגולציה בנושא הגנת הפרטיות במידע. בהקשר הזה, גם בנושא של חתימה אלקטרונית שזה אזורים קצת דומים וקשורים.

האם גם על המאגר הביומטרי?

לא. לגבי המאגר הביומטרי - יש רשות ייעודית שהוקמה במשרד הפנים, והוא נמצא פה. הם אחראיים. יש כמובן קשר בין הרשות למשפט טכנולוגיה, או בין הפונקציה ברשות למשפט טכנולוגיה שנקראת רשם מאגרי המידע, כשיש חובות דיווח לפי חוק המאגר הביומטרי אלינו כיוון שמדובר במידע אישי. אבל, לשמחתי, הוקמה רשות ייעודית עם תפיסת אבטחת מידע עצמאית, וגם כזאת שמעוגנת בחוק.
גורמים נוספים רלוונטיים זה הרגולטורים הייעודים שנמצאים פה: בנק ישראל, אגף שוק ההון. זאת אומרת, על הגופים הגדולים מאוד יש רגולציה הרבה יותר פרטנית. למשל, חברות כרטיסי האשראי נמצאות תחת הרגולציה של בנק ישראל כדוגמה. מערכת הביטחון נמצאת תחת רגולציה בהיבטים של מידע ביטחוני גם של מלמ"ב וגם של שב"כ. יש עוד גורם מאוד מאוד מאוד חשוב שזה הרשות לאבטחת מידע בשב"כ שהיא אחראית בהקשר הזה על הגנה על תשתיות קריטיות שגם הן מגזר ממשלתי. אבל, יש לה גם זליגה לכיוון תשתיות שנמצאות במגזר האזרחי. יש כמובן את מטה הסייבר שנמצא בהקמה, יש את משטרת ישראל.

האם הסייבר אמור להיות מעל כל הגורמים כגורם מתכלל?

אני לא יודע להגיד. אני חושב ששני תוכל לתת איזושהי תשובה לגבי העניין הזה.

זה מעניין, תיכף נשמע אותה. אתה מוצא שיש מקום לתכלל את כל הגורמים?

אין ספק שבתפיסה של מדינה צריך להיות גורם מתכלל את הגורמים, ואז לראות איזה גורם צריך לטפל במה, והאם יש לו את המשאבים, ואיך עושים את האינטגרציה. אגב, כרשות למשפט וטכנולוגיה, בגלל שאנחנו so called הרגולטור הצעיר באזור, אנחנו מאוד מאוד מקפידים לייצר מנגנוני שיתוף פעולה עם המקבילים אלינו - וזה חשוב מאוד מבחינת המשק - כדי שלא יהיה מצב שבו אנשים יקבלו רגולציה סותרת, ויקבלו הנחיות מכל מיני גורמים. הסנכרון הזה צריך, קודם כל, להיעשות ברמה בילטראלית, בין רגולטורים לבין עצמם. צריכה להיות איזושהי ראייה מקיפה של הנושא הזה. זה לא אנחנו לצורך העניין. כן, בהחלט – אני חושב שמדינת ישראל הבינה, ואנחנו מתקדמים לעניין הזה. כמו שאמרתי, האירוע הזה הוא בית-ספר מצוין לכולם.
אני רוצה להשלים את התמונה לגבי השאלה מה אנחנו יודעים ומה נעשה. יש עניין אחד מאוד מאוד חשוב. אנחנו ברשות למשפט וטכנולוגיה יחד עם ממשל זמין, משרד האוצר, מנסים היום להקים אתר אינטרנט שיאפשר לאזרחי מדינת ישראל לדעת איזה סוגי מידע אישי על אודותם נחשף בקבוצה הזאת. גיבשנו מודל טכנולוגי מאוד מאוד נכון לעשות את זה שמצד אחד לא יגרום לכשל אבטחת מידע לכשעצמו. לצורך העניין, נניח שהמידע הזה היה מפורסם מחדש באתר ממשלתי. זה כמובן לא רעיון מאוד מאוד טוב. אבל, אנחנו מאוד מאוד קרובים להעלות את זה. כל אזרח יוכל להיכנס ועל סמך פרטי הזיהוי שלו עצמו לדעת איזה סוגי מידע דלפו לגביו. כמובן לא מה המידע הספציפי. הוא יוכל לדעת שכתובת האי-מייל שלו דלפה. זה משהו שאנחנו עובדים עליו עם ממשל זמין בשבוע האחרון. יש לזה כמובן שאלות טכנולוגיות ומשפטיות לא טריוויאליות. אבל, אני מקווה מאוד שזה יעלה בימים הקרובים.
יש לנו היום תמונה טובה, טובה מאוד אפילו, לגבי השאלה איך הפריצה הזאת נעשתה. אני חייב להגיד שברוב המקרים רמת אבטחת המידע שנצפתה היא נמוכה מאוד, עד בלתי קיימת. זאת אומרת, לא צריך היה להיות האקר מאוד מאוד מוצלח ומיומן בכדי לעשות את זה. אפרופו תרבות של אבטחת מידע, זה כמובן נושא שצריך לדבר עליו.

האם מותר לי להסיק שהרגולציה של בנק ישראל לא קיימת או קיימת במידה מאוד לא רצינית?

לא, אני לא חושב שזה קשור לבנק ישראל.

אבל, אני הבנתי קודם שמי שאחראי על נושא הבנקים וכרטיסי אשראי זה בנק ישראל. לכן, שאלתי מי אחראי על מה? מישהו פה צריך להיות אחראי.

שמי רחל (רוחה) יעקבי, הפיקוח על הבנקים.

בנק ישראל או הפיקוח על הבנקים – המוסדות הכפופים לו הם הבנקים כמובן. בנק ישראל או הפיקוח על הבנקים מפקח על הבנקים ותאגידי העזר מסוג של חברות כרטיס אשראי. הוא לא מפקח על בתי העסק. זה כדי לתת ההבהרה.

אבל, בית עסק מתקשר עם חברת אשראי, ואז מתאפשרת כל הפעולה. חברת כרטיסי אשראי לא מוודאת שבית העסק מגן על המאגרים שנצברים אצלו? זה הרי שרשור, אחרת מי יהיה אחראי על בתי העסק במדינת ישראל?

זאת שאלה. קודם כל, אני אומרת את העובדה. הפיקוח על הבנקים לא בדק ולא מפקח על בתי העסק. יש תקן, ואני מניחה שהוא עוד יעלה גם על-ידי נציגי חברות כרטיסי האשראי. זה תקן של גוף של חברות כרטיסי האשראי הבין-לאומיות שנקרא PCI DSS, והוא מדבר על היבטים של אבטחת מידע. הוא גם מתייחס לשאלה איך צריכה להתנהל אבטחת מידע בבתי עסק, איזה סוגי מידע רגישים לשמור או לא לשמור. אנחנו מצפים לפחות שחברות כרטיסי האשראי יאכפו את התקן הזה על בתי העסק.

מה זה "מצפים"?

לשאלתך מה אנחנו מצפים – כמו שאמרתי, עד עכשיו אנחנו לא אכפנו על חברות כרטיסי האשראי לאכוף את התקן. צריך להבין שבאירוע הנוכחי מיעוט הפרטים שדלפו – ושוב, אני לא רוצה לדבר בשמו של יורם הכהן, או בשמן של חברות כרטיסי האשראי – נגעו לכרטיסי האשראי. רוב הפרטים שדלפו, סדר גודל, אם אינני טועה, של מאות אלפי רשומות נגעו לפרטים אחרים שבכלל לא היו קשורים לכרטיסי אשראי. הם באמת נוגעים לנושא של הגנת הפרטיות.

יחד עם זאת, אירוע כזה אנחנו בוחנים כמו כל אירוע חריג שמתרחש במערכת הבנקאית, ומתרחשים מעת לעת. אנחנו מסיקים את המסקנות. ואם באמת נגיע למסקנה שצריכים לאכוף את התקן על חברות כרטיסי האשראי נאכוף. אנחנו לא יודעים, צריכים גם לברר. צריך גם בתיאום עם רמו"ט. יכול להיות שהם בחקיקה יאכפו את זה, אני לא יודעת. אלו סוגיות שצריך ללבן אותן.

מהמעט שבדקנו מול רשויות פיקוח מקבילות אלינו - דהיינו, רשויות פיקוח על בנקים בעולם - לפחות, לעת עתה, אני לא ראיתי רשויות פיקוח שמחייבות בנקים שנמצאים תחת הפיקוח שלהן לאכוף את התקן. אנחנו בדרך כלל פועלים על-פי סטנדרטים בין-לאומיים, ואנחנו תמיד מסתכלים מה קורה בעולם.

אני לא מאלה שחושבות שצריך לחוקק את עצמנו לדעת. יכול להיות שצריכה לבוא חקיקה, ואז לוודא שיש אחריות מבחינה שרשורית. זאת אומרת, שבנק ישראל יוודא וחברות האשראי מוודאות שכל התקשרות אל מול בית עסק תהיה תחת תקינה מסוימת. אני חושבת שאת זה הייתם צריכים לדעת כבר לפני שלוש שנים. למשל, כשהגשתי הצעת חוק - והזכרתי את זה בהזדמנות אחרת - לגבי הימורים בלתי חוקיים באינטרנט. הפטנט שלי דרך חקיקה היה להפסיק סליקה, לדרוש הפסקת סליקה של חברות אשראי אל מול אתרים שאני יודעת שיש בהם הימורים שהם בלתי חוקיים. החקיקה הזאת לא צלחה דווקא בגלל משרד המשפטים משום מה. אבל, לפחות אפשר היה להסיק מסקנה. זאת אומרת, אחריות בנק ישראל לא נגמרת אל מול הבנקים. הבנקים האלה עושים פעולות מול אנשים פרטיים ומול בתי עסק פרטיים. ואם יש תקינה, אז התקינה צריכה להיות לאורך כל הדרך, וזה מתפקידכם. אם אתם רוצים שאני או חבריי נחוקק חוק, וזה מה שייאלץ את הבנק, נעשה את זה. אבל, אני חושבת שזה מיותר. זה עניין של תקנה שאתם צריכים להחליט עליה. הייתי שמחה במהלך הדיון הזה לדעת האם אתם מתכוונים להחיל תקנה כזאת כי היא מתבקשת, או שהתשובה תהיה לא, ואז אני אדע שאני יוצאת מהדיון הזה ושיש לי הצעת חוק בדרך.

כמו שאמרתי לך, הנושא עדיין נמצא על שולחננו. אנחנו בוחנים את הנושא על כל ההיבטים שלו.

האם יש לך טווח זמן? מה זה "עדיין? דברים קורים.

דברים קורים, נכון. אנחנו בינתיים נמצאים עדיין בבדיקה של הנושא. יש לו הרבה זוויות. כמו שאמרתי לך, אם וכאשר תהיה החלטה אז כמובן שידעו על כך.

אני לא חושבת שזה מה שמרגיע את עם ישראל.

אין לי תשובה. שוב, צריך לראות את האירוע, מה היה כאן האירוע האמיתי, ואולי עדיף שנציגי חברות כרטיסי האשראי ידברו במקומי.

בסדר, אני מתייחסת לזה. אבל, אני מתייחסת יותר ברמה העקרונית.

אני לא מייצגת את הגנת הפרטיות. אנחנו לא מזלזלים בשום אירוע שמתרחש. כל אירוע חריג שמתרחש במערכת הבנקאית, אפילו כשאתר מתחזה שזה תופעה מאוד נפוצה, בטח בחו"ל חדשות לבקרים, כל אירוע כזה מדווח לנו. זאת אומרת, אין זלזול בשום אירוע שאפילו עומד להתרחש. אנחנו מאוד בעניינים, ומאוד בקשר עם הבנקים וגם פועלים – זה דבר אחד.

אגב, אני חושבת שעמיתי אולי ידברו. אבל, חייבים לזכור, וממה שאני יודעת, התקן הזה מבחינת לוחות זמנים הוא לא פשוט ליישום. זה תקן לא פשוט. אני לא רוצה לייצג אף אחד.

קודם כל, בוא נדרוש אותו. לא דורשים.

כאשר דורשים תקן צריך באמת לוודא את הישימות שלו, ובאיזה פרק זמן. התקן הוא תקן מורכב. ממה שאני יודעת, לא כל חברות האשראי הבין-לאומיות אפילו קבעו לוחות זמנים ליישומו. לכן, אני אומרת לך שהנושא מחייב בחינה. מבחינתנו, כרגולטור אין בעיה להוציא תקנה, אין בעיה לשלוח מכתב לחברות כרטיסי האשראי ולחייב אותן. יחד עם זאת, צריך ללמוד את הנושא על כל ההיבטים והזוויות שלו, ולראות באמת מה אנחנו מחליטים בעניין הזה.

אני מודה לך על הכנות. אבל, אני לא רגועה בכלל.

ראשית, אני מסכים עם רחל שהאירוע בהיבט של כרטיסי האשראי בו, הוא לא אירוע שבו נגרם נזק ממשי למשק הישראלי בהיבט הכספי שלו, וחברות כרטיסי האשראי יגידו. מבחינתנו, האירוע הוא אירוע שהתוצאה שלו היא פגיעה בפרטיות. אחת השאלות בהקשר של תקן PCI, ואנחנו בהחלט כבר בחנו אותו בהקשר של עזרה שלו בהגנת פרטיות, זה מי יהיה הגוף היעיל בנושא הזה. יכול בהחלט להיות שאפשר דרך תקן PCI לייצר אכיפה יעילה על נושא של שמירת מידע אישי. אבל, אם אינני טועה, התקן עצמו מתעסק, מכיוון שהוא בא מכיוון של חברות כרטיסי האשראי, במידע של כרטיס האשראי. אנחנו פה מתמודדים עם דליפה של מידע, או גניבה של מידע אישי, שהתוצאה של זה היא פגיעה בפרטיות וגניבת זהות ועבירות נוספות שיכולות להיות על בסיס זה. יכול להיות שאפשר בפלטפורמה של PCI או תקנים דומים כאלה לעשות שימוש. אבל, בהחלט צריך לבדוק את הנושא הזה.
אני באמת רוצה לדבר על אכיפה.

סליחה, אני מקווה שהבנת מה יורם אמר כאן. כלומר, גם אכיפת התקן היא לא בהכרח תמנע אירוע מהסוג הזה.

אני בכלל מאמינה שכל תקן לכשיקבע, יכול להיפרץ ביום מן הימים וימציאו תקן חדש מחמיר יותר. אני לא יודעת, אבל לפחות צריך לעשות מעשה.

לא רק בגלל זה, משום שבאירוע הזה דלפו המון נתונים שאינם קשורים בהכרח לתקן.

אני רוצה להגיד משהו כלפי העתיד. ראשית, לו תזכיר האכיפה שנמצא היום על שולחנה של הכנסת היה בתוקף, אנחנו היינו יכולים להטיל קנסות על הפרה של תקנות אבטחת מידע בשיעור של בין 160,000 ל-1,600,000 שקל – תלוי בגודל האירוע ומידת רגישות המידע.

האם עשיתם את זה?

לא.

יכולת למנוע קיצוץ רוחבי בממשלה אם היית מביא את הכסף ממקור אחר. היה לנו חינוך חינם לגילאי 3.

הדעה הזאת נותנת, אני יודע. אבל, לצערי, זה נמצא כרגע על שולחנה. זה באמת כתוצאה של תהליך חשיבה שאנחנו עשינו. אני מקווה שהכנסת תקבל את תזכיר האכיפה מהר ככל האפשר. ואז מתוך ההנחה שהציבור מפנים את הסיכון של קבלת העיצום הכספי, והוא מעריך את עצמו עכשיו שיש לו סיכון לקבל קנס של 160,000, והוא מועמד להשקיע במקרים האלה אבטחת מידע ב-30,000, נניח, אז אני מקווה שהוא יעשה את זה. הכלים האלה הם מאוד מאוד חשובים.

זה לא רק עניין הקנסות. גם אם יינתן פרסום לציבור שיש תקינה מסוימת, וככל שאתה עושה התקשרות מול כל גורם מסוים, תבדוק שיש לו תקינה – היום הציבור ער לכך. אני שמחה שמה שקרה קרה במינימום נזקים. אבל, מצד שני, לא נתנו כלים לציבור להתמודד מנגד, ואפילו לא קו טלפון שאני יכולה או לשאול או להתלונן. זה גם דברים שאני רוצה ללבן פה.

אגב, קו טלפון – ממשל זמין הרים Call Center לאירוע הספציפי הזה. אני חייב להגיד שהאירוע הזה מאוד מאוד הטריד את הציבור משום שביום הראשון שה - Call Center הזה נפתח הגיעו תוך שעתיים 3,800 פניות. זה אומר שהנושא הזה בהחלט מטריד את הציבור.
השאלה של ביקורות של צד שלישי, או איזשהו חותם – זה בהחלט דבר שצריך לחשוב GK לקדם אותו. זה יכול להיות דרך PCI או דברים אחרים. יש תקן אבטחת מידע ישראלי שנקרא 17799, ויכול להיות שיש גרסה מסוימת שלו. אני חושב שיש אפילו גרסה של מכון התקנים אליו. זה גם עניין של מודעות הציבור, הציבור צריך לדעת שהוא צריך - - -

הייתי רוצה ללכת עוד צעד קדימה. אני הייתי רוצה לראות מצב שרישיון עסק לא יינתן אם אתה לא מוכיח שיש לך תקינה שנקבעה כמחייבת. זה עולם חדש, צריך להבין את זה.

רעיונית אני מסכים לרעיון הזה. אבל, אני לא יודע מי אותו זה שייתן את רישיון העסק.

עסקים היום מחויבים ברישיון, בין אם זה על-ידי העירייה או כל גורם אחר.

אין היום שום מנגנון רישוי של הקמת אתר סחר אלקטרוני שזה המקרה הספציפי הזה. ככל שבונים מנגנון – ואגב, יש היום איזשהו תהליך סותר בממשלה שנובע מהכניסה ל-OECD של צמצום הנטל הבירוקראטי ו-doing business, וכל מיני דברים כאלה שמנסים להוריד – אז יכול להיות שבסיטואציה הזאת אולי נכון כן קצת להקשות על העניין הזה. אבל, זה בהחלט דבר שצריך להיבחן. אני לא פוסל אותו. ככל שאנחנו כרשות של הגנת פרטיות נצטרך להיות מעורבים בזה, זה כמובן לא נמצא במשאבים שלנו היום כרשות ככל שאנחנו נצטרך להעביר אנשים אצלנו לתת אישורים כאלה ואחרים.

עוד שני דברים חשובים ובזה אסיים. ראשית, אחריות הנהלה. אני חייב להגיד שלקרוא להנהלה באתרים הספציפיים שאנחנו מדברים עליהם זה קצת תפיסה מרחיקת לכת. אני חושב שיכול להיות שההנהלה, המנהל והעובד, זה אותו בן-אדם. גם זה מקודם במסגרת תזכיר אכיפה. הגופים צריכים להבין שיש עליהם חובה. אגב, אני מעריך שאתרי המסחר האלקטרוני הגדולים שפועלים בארץ יש להם אבטחת מידע ברמה כזאת או אחרת. אני לא יכול לקבוע קטגורית לגבי כל אחד מהם. אבל, מי שהוא רציני הוא יודע להפנים והוא מבין את הסיכון. אנשים צריכים להבין שלהקים פעילות באינטרנט שאוספת מידע בלי ליישם אבטחת מידע זה כמו לבנות בית בלי לשים ברזל בקירות.

מי שמקים, זה לא מעניין אותו. הוא רוצה כסף מהיר וקל.

לסיום, אני רוצה עכשיו להתקשר באינטרנט לביצוע עסקה מסוימת, מה אני צריכה לחפש?

קודם כל, את צריכה לשאול עצמך את השאלה למה אוספים ממך את המידע הזה. לאנשים יש נטייה היום למסור מאוד מאוד בקלות פרטי מידע על עצמם מבלי לשאול את השאלה הזאת, וזה משהו שאנחנו קוראים לציבור מזמן. אם אתה עושה עסקה בכרטיס אשראי יכול להיות שאתה צריך למסור את כרטיס האשראי. למה אתה מוסר את כל המידע הזה? זה דבר אחד.
לגבי להסתכל – אז כן. תשאל את עצמך את השאלות: האם אני במקום ראוי? כמו שלא היית נכנס לעסק מפוקפק וקונה ממנו משהו.

אני רוצה לשלוח עכשיו את הפרטים של כרטיסי האשראי ולרכוש לי מוצר מסוים. מה אני צריכה לחפש בחברה שמציעה לי את המוצר שאני מאוד רוצה אותו? האם יש שם איזושהי תקינה?

אין היום משהו שאפשר להגיד שאתה יכול לחפש כאזרח הפשוט.

אז רק לשאול את עצמי ולתת לעצמי תשובות. בעצם אנחנו אומרים: בואו לא נעשה שום סחר אלקטרוני.

לא, לא. אני לא רוצה שהתוצאה של הדיון הזה תהיה שסחר אלקטרוני לא יתקיים, כי סחר אלקטרוני זה דבר מאוד מאוד חשוב. זו נקודה חשובה. אני חושב שיש פה איזשהו תהליך - - -

תן כלים. האזרחים שצופים בנו עכשיו רוצים כלים לדעת מתי לעשות את העסקה ומתי לא לעשות, ועם מי לעשות ועם מי לא לעשות.

אם הם צריכים רק למסור את פרטי כרטיס האשראי, ובהנחה שאיסוף פרטי כרטיסי האשראי נעשה בפרוטוקול מאובטח שנקרא SSL, אז זה - - -

אני אזרח פשוט, אני לא מבינה בפרוטוקול.

זו הבעיה בעולם הזה, אנשים לא יודעים.

אז מה המסקנה שלי? אני לא אעיז לעשות.

גם אם היה לנו תו תקן כזה שהיה מוטמע באתר – ואגב, אותו SSL יש בו היבט של תו תקן שמוטמע בתוך האתר – אז האזרח שמגיע לשם, והיו שמים לו איזושהי תמונה שלאתר הזה יש תו תקן, תו תקן הזה יכול להיות מזויף באותה מידה.

אז איזה כלים אתה נותן?

אני חושב שמנקודת מבט של הרגולציה, אנחנו נצטרך לפתח מודל יותר עשיר שיגרום לעסקים האלה להפנים את הסיכון בעניין הזה. יכול להיות שהאוכף היעיל במקרה של סחר אלקטרוני זה חברות כרטיסי האשראי, ודרכן להגיד: אם אתה לא מראה לי משהו, אני לא עושה את הפעילות.

זה מביא אותי לשאלה הקודמת האם חברות האשראי מוודאות שכל ההתקשרויות מול בתי העסק הן אכן התקשרויות מאובטחות, וקיבלתי תשובה שלא. והמסקנה שלי היא לא לעשות סחר אלקטרוני. הנה הבהלתי את כולם, בואו נשמע איך כן עושים.

אני מודה לך לעת הזאת. טל הרמתי, סגן בכיר לחשב הכללי, אני יודעת שלא ביקשת רשות דיבור. אבל, בכל זאת אם אתה רוצה להוסיף משהו בעניין אתרי ממשלה וכו'. אולי כן לעשות עסקים באתרי ממשלה, לשלם מסים בכרטיס אשראי?

קודם כל, כן לעשות עסקים עם משרדי ממשלה, אנחנו נשמח. לפני שאני מגיע לנושא של משרדי ממשלה, אני רוצה לומר דברי רקע. קודם כל, אנחנו כבר מזמן חיים בעולם וירטואלי. מי שמשלה את עצמו כיום שההתקפה הזאת שהתגלתה היא התקפה היחידה שקיימת בכל נקודת זמן אז הוא פשוט טועה.

זאת אומרת, היו עוד התקפות שלא סיפרתם עליהן.

לא, אני אדייק. בכל נקודת זמן, עוד אנחנו מדברים, מתקיימות התקפות מסוגים שונים על אתרים שונים. אני תיכף אדבר על התקפות על אתרי הממשלה. אבל, התקפות, פשע כזה או אחר בתחום הסייבר, בתחום הווירטואלי, קיימות כל הזמן. ההבדל בין ההתקפות שאנחנו חווים כל הזמן לבין ההתקפה הזאת הוא שלמתקיף היה אינטרס כלשהו ליידע את הציבור על כך שהיתה התקפה. אבל, התקפות מהסוג הזה אנחנו חווים כל הזמן. יושבים פה הגורמים הבכירים בממשל זמין שהם אמונים על הגנה על אתרי ממשלה, והם יכולים לספר שהתקפות כאלה יש מאות או אלפים ביום, ובתקופות יותר בוערות, בטח בפאן הפוליטי, אז מדובר על עשרות אלפים.

הפחדת אותנו, יופי. מה הכלים שאתה נותן לנו להתגונן?

אני רוצה לומר כמה דברים בנושא הזה. קודם כל, הממשלה השקיעה בעבר ומשקיעה בעתיד בכל נקודת זמן, וגם תשקיע ככל שיידרש, להגן הגנה, לטעמי לפחות – ויושבים פה גם מומחים מחוץ לממשלה ואולי גם הם יוכלו להעיד – שהיא באופן יחסי טובה על אתרי הממשלה.

זה מה שקשור לממשל זמין?

בדיוק, זה בנושא של ממשל זמין.

האם המאגר הביומטרי לא קשור למרות שהוא משרד ממשלתי?

לא, הוא לא קשור. אבל, יושב פה גם מנהל הרשות הביומטרית. אם נרצה להעביר אחר כך את הדיון לפסים האלה אז נוכל.
אנחנו משקיעים הרבה מאוד משאבים. אנחנו גם יודעים שגופים שהם הגופים האסטרטגיים במשק – בין אם זה בנקים, בין אם זה גופים שהוגדרו כתשתיות קריטיות של מדינת ישראל – משקיעים - --

סליחה, בנקים עוד לא הוגדרו כתשתיות קריטיות.

אמרתי גם בנקים וגם גופים שהוגדרו. אבל, את צודקת. התהליך הזה נמצא כרגע בתהליך. אבל, גם גופים שהוגדרו כתשתיות קריטיות - יש ארבעה גופי ממשלה כאלה, ועוד הרבה גופים מחוץ לממשלה, כמו: חברת החשמל, מים וכן הלאה - משקיעים הרבה מאוד משאבים, וגם מונחים על-ידי אותו גוף שהוזכר פה, על-ידי הרשות לאבטחת מידע, בהיבטים של איך לשמור על המידע שלהם, ואיזה מאמצים לעשות.

למה התחלתי ואמרתי שאנחנו חיים בעולם וירטואלי? משום שהמתח הזה שאנחנו חווים בין הרצון, מצד אחד, של הגופים לתת שירותים, בין אם זה שירותי מסחר או אחרים, ולעשות עסקים, לבין הצורך להגן על התהליכים האלה ועל המידע הזה, הוא מתח מתמיד. הדוגמה הקלאסית של המתח הזה זה ממשל זמין בעצמו. ממשל זמין – אחריותו, מצד אחד, לאבטח ולשמור 24/7 על כל אתרי הממשלה. מצד שני, המנדט שלו הוא לספק שירותים זמינים, טובים, ושקופים ככל האפשר לכל אזרחי מדינת ישראל בכל נקודת זמן. המתח הזה קיים תמיד. הוא גם קיים אצל אותם גופים שהקימו בצורה פחות מאובטחת, או יותר מאובטחת, פתרונות של עסקים שבסופו של דבר נותנים שירות תמורת כסף של הציבור.

טל, לסיום אני לא רוצה להישאר ברמה אקדמית.

אני מייד מגיע לרמה הפרקטית. קודם כל, לשאלתך, מה הציבור צריך לעשות. אני מצטרף פה לברכות של יורם. אני חושב שדווקא האירוע האחרון עשה שני דברים. ראשית, הוא הגביר בצורה משמעותית את המודעות. שנית, התפרסמו בשבוע האחרון על-ידי הרבה מאוד גופים – גם על-ידי ממשל זמין, אבל לא רק – הרבה מאוד הנחיות והוראות של עשה ואל תעשה. באופן אישי, אני מכיר פה מספר אנשים שמשתתפים פה בדיון שפרסמו בעיתונות הנחיות כאלה או אחרות לאזרחים. האירוע הזה יצר הגדלה מאוד גבוהה של רמת המודעות, וגם איזשהו צלצול אזהרה שלנו האומר: הנושא הזה קיים ברקע כל הזמן - אנחנו יודעים את זה - עשו בבקשה את המאמצים כדי להגן ככל האפשר על הציבור.

אני אסטה לכיוון אחר, לגורמים שמתמחים באבטחת מידע כדי שיאתגרו אותנו על מנת שנצא מהזחיחות שלנו, ואני אומר באופן בוטה, שאנחנו עובדים ומגבשים ומסדרים לעצמנו את החיים באופן הכי מאובטח. אני אפנה לאראל מרגלית יושב-ראש הון סיכון JVP.

שלום ותודה שהזמנתם אותי. מאוד עודד אותי לשמוע את טל מהחשב הכללי כי הוא אמר את הדבר הבא: אנחנו בכל רגע נמצאים בעולם וירטואלי. עניין כרטיסי האשראי הוא לא מקרה חריג בכלל. הרי עכשיו ב-Apple כולם משתמשים עכשיו באפליקציות הענן, וכולם שמים מידע ברשת. רבותי, רשומות רפואיות, מידע פיננסים, ואפשרות לעשות העברות פיננסיות של החשבונות שלכם, דברים שהם הדברים העדינים ביותר והקרובים ביותר לליבכם, היום נמצאים במצב שבו הם חשופים.
אני מדבר ברמה מטפורית כדי שתהיה איזושהי תמונה בראש לאנשים שהם לא טכנולוגיים. עד לא מזמן עיקר ההגנה בעולם היתה מין תפיסה של קו בר-לב, Fire Wall, קו מז'ינו. אתם זוכרים מה קרה לקו בר-לב ב-73', ומה קרה לקו מז'ינו ב-40'. הוא נפרץ. רוב הפרדיגמות של הגנת הסייבר בעולם נפרצות חדשות לבקרים.

אנחנו ב-JVP נמצאים פה בירושלים. אגב, יושבים בתחנת הרכבת, אתם מוזמנים לראות. יש שם הרבה יזמים. הישראלים מתעסקים בזה כל הזמן.

אנחנו לא עושים עכשיו - - -. פתחתי ואמרתי שהמוח היהודי הוא משהו מיוחד.

כן. יש לנו שלוש חברות עכשוויות שמתעסקות בזה, וכמה מהן מגינות על הבנקים הגדולים בארצות-הברית ובמקומות אחרים בעולם כל הזמן. כן הכניסו שם כמה סטנדרטים חדשים שכדאי לאמץ, גם הבנקים גם במערכת המשפט האמריקאי, גם ה-CIA.

האם אתה מוכן לדבר על העקרונות ולא על המוצרים?

אני לא מדבר על מוצרים, אני מדבר על זה שמתעסקים בדברים האלה בכל מיני מקומות בעולם.

יש כיום על השולחן מוצרים של חברות ישראליות כאלה ואחרות, וגם חברות לא ישראליות, שמסוגלים להתמודד עם הבעיות במערכת הפיננסית, במשאבים הלאומיים, ובפרטיות.

האם אתה אומר שלא פונים אליהן?

אני אומר שצריך להתעורר ברמה אחרת. ועדת הסייבר שהקים ראש הממשלה לפני שנה – זה דבר חשוב. אבל, חייבים להכניס אותה להילוך שני, שלישי ורביעי. זה אומר את הדבר הבא. ראשית, צריך לעשות ועדה משותפת לממשלה, לכוחות הביטחון, ולסקטור ההי-טק שמתעסק בנושאים האלה יום יום, ומשרת את הלקוחות הרגישים ביותר בעולם, ולקבוע את הסטנדרטים להגן על הישראלי ולהגן על ישראל. הישראלי זה פרטיות, ישראל זה המשאבים הלאומיים. צריך להגיד מה הסטנדרטים אותם אנחנו רוצים ליישם כ-Wish list לאומי. זה לא דבר כל-כך ארוך. המוצרים ברובם קיימים ומוגדרים, וצריך להגדיר את הסטנדרט שאנחנו בוחרים לעצמנו בכל נושא.

הבעיה - זה לא רק מוצרים, זה גם תרבות.

אבל, קודם כל תגדיר את הסטנדרט לכל תעשייה ולכל סקטור. אני אומר לך שאנשים ירוצו כדי לראות מה קורה, ויאמצו חלק מהדברים האלה. אבל, קודם שתהיה הגדרה ברורה, גם אם ייקח שלוש שנים להגיע אליה.

שנית, יש כמות גדולה מאוד של חברות ישראליות שמספקות היום את הפתרונות הרגישים ביותר בעולם. והיה ואנחנו נשב ונדע מה רוצים, אפשר לשים את הדברים על השולחן ולספק אותם היום.
שלישית, יש בערך 50 - 70 נושאים שלמים שלא מוגנים היום ושצריכים לפתח. תסלחו לי, אני יזם, אבל אני אומר לכם שזוהי הזדמנות לחבר בין צורך ובעיה לבין הזדמנות בלתי רגילה. לישראל יש היום את הכוחות להפוך למרכז המצוינות העולמי בהגנת הסייבר. אגב, מי שיודע להגן על סייבר, יודע גם להתקיף בסייבר.
משרד האוצר, משרד התמ"ת, דרך המדען הראשי, משרד ראש הממשלה והגופים, צריכים להגדיר את המטרות הלאומיות. כלומר, לאן עוד לא מגיעים. אני אומר לכם שבין החברות הקיימות לבין 20 – 50 חברות חדשות, יכולות לקום ולענות על זה. הדבר הזה ישלם את עצמו. לא הממשלה צריכה להשקיע בזה. אבל, הממשלה צריכה להגיד מה היא רוצה, ומה היא רוצה ליישם. הכסף יהיה. למה? כי ברגע שיש לבנק הישראלי את הבעיה, היום אנחנו פותרים לו את הבעיה. גם הבנק השוויצרי את אותו פתרון. לכן, הדבר הזה הוא גם כדאי מבחינה לאומית, והוא גם כדאי לאותם יזמים מבחינה כלכלית. אלו אותם אנשים ששירתו במערכות הביטחון, והיום הם הולכים לעשות את הדבר הגדול הבא.

הדבר הזה של השותפות הזאת גם בהגדרת הצרכים שאנחנו רואים בכל העולם, וגם בהגדרת המשימות שאפשר לבצע, זאת הדרך להביא במהירות הגדולה ביותר את הפתרונות עכשיו לפרטיות ולהגנה על משאבים לאומיים. אבל, זה עוד דבר. זה הדרך להתחיל לבנות היום את הפתרונות שיצטרכו מחר, כי זאת המלחמה הבאה – שלא יהיה פה ספק לאף אחד. תודה.

תודה רבה. אני רק אומר בשורה אחת שהמסקנה שלי מדבריך היא שאתה בעצם דורש שרשות הסייבר – אני מתרגמת את זה כך – תפרסם סטנדרטים לאבטחת מידע, ובעקבות זה חברות הי-טק ישראליות ייצרו את המוצרים. ואז ככל שהמודעות תהיה גבוהה, או ככל שאנחנו במסגרת חקיקה או כל תקנה אחרת, נאלץ כל מיני גורמים שעוסקים באגירה של מידע פרטי, בתי עסק, לעמוד בסטנדרטים האלה. זאת אומרת, שניצור איזשהו מסחר שנע בין חברות הי-טק שמייצרות מוצרים לבין בתי עסק, למרות שזה לא רק בתי עסק. מי שיאתגר אתכם - חברות ההי-טק – לייצר זה אותה רשימת סטנדרטים שתפורסם. מי שיאתגר את בתי העסק לרכוש את הפתרונות זוהי אותה מודעות שניצור כלפי אזרחים. כשאני ארצה לקנות מוצר, אני ארצה באמת לראות שאתה מאובטח כך או אחרת. אני באמת מצפה גם לרשימת סטנדרטים שתפורסם, וגם לאיזושהי תקינה או תו תקן כך שאזרח פשוט שלא מבין טכנולוגיה יוכל להגיד: אני רוצה לראות בצד את אותו עיגול שמתקן – 8200.

אני מציע לרשות הסייבר היום להזמין אליה חמישה עד עשרה מהמובילים ושנגדיר את ההמלצות ביחד.

נכון. אני כבר כתבתי לי את זה במסגרת ההמלצות. לא צריך להמציא את הגלגל מחדש. היתרון שראיתי ברשות מתכללת הוא שלא ייתנו לכל משרד להתמודד לבד מול משהו שמשרד אחר כבר קיבל את המוצר מוכן כי הוא כבר התמודד עם זה. לא צריך להמציא את הגלגל מחדש בכל יחידה.

למיטב זכרוני מההצגה של פרופסור בן-ישראל בוועדה הזאת לפני מספר חודשים, זה בדיוק התהליך שהיה בתהליך של הקמת מטה הסייבר. זה התפרצות לדלת פתוח,ה משום שאותה רשימת יעדים ואותה חשיבה על השקעה שבעצם הרבה מאוד מהפעילות תיעשה על-ידי המגזר היזמי בישראל, היא כבר מגולמת בהמלצות של מטה הסייבר, ככה שזה בפנים.

בסדר גמור. אני מודה לך על הדברים הממוקדים.
אני רוצה, בבקשה, לשמוע את נשיא האיגוד הישראלי לאבטחת מידע רו"ח דורון רונן.

שלום. האיגוד הישראלי מסונף ל-ISACA הבין-לאומי שיש לו 195 סניפים ב-160 מדינות בעולם. הוא מאגד 100,000 אנשי מקצוע בתחומים של טכנולוגית המידע: גם הביקורת, גם האבטחה, גם הממשל, וגם ניהול הסיכונים.

אני אבקש להתייחס לנושא בארבעה רבדים: חברות כרטיסי האשראי, עסקים, הצרכנים, והחוליה החסרה שתיכף אני אדבר עליה. ראשית, מנקודת מבט האזרח, האחריות הראשונה היא על חברות כרטיסי האשראי ולא על הצרכן עצמו. ברור לכולנו וגם לחברות כרטיסי האשראי שלפני שחברת כרטיסי האשראי מאשרת עסקה, היא צריכה לבדוק את המהימנות שלה. הרובד השני הוא העסקים עצמם. עסק שמונה למכור מוצר או שירות באמצעות האינטרנט חייב לוודא שהאתר שלו מאובטח. אף אחד הרי לא ירצה לעבוד עם עסק שהוא לא מאובטח. לכן, רצוי שהוא ישתמש באנשי מקצוע, מומחי אבטחת מידע. כמובן שהיקף אבטחת המידע מושפע מגודל ומורכבות העסק. הממד השלישי – ופה אני רוצה קצת להרחיב – לגבי הצרכן, מעבר למודעות שדובר עליה כאן זה הערנות. לא אחת אזרחים תמימים נכנסים לאתרים שרמת האבטחה שלהם והם עלולים להינזק מזה. השאלה, איך גברת כהן מחדרה יודעת שהיא נכנסת לאתר מאובטח? אם אדם רוכש ברשת הוא צריך להיות מודע לכך שייתכן שהאתר בו הוא מבצע את הרכישה הוא לא מאובטח. אם היינו שואלים את הגברת כהן מחדרה מה הקוד הסודי של הכספומט שלה, סביר להניח שבימינו היא כבר לא היתה מוסרת לנו אותו. אותו הדבר לגבי פרטי כרטיסי האשראי. אני לא בא להגיד שאין להשתמש – מה שנרמז כאן – באינטרנט לביצוע עסקאות. זה חלק חשוב מעולם העסקים, וזה אפילו מוזיל בחלק גדול מהמקרים את עלות העסקאות. אני בסך-הכול אומר: להיות מודעים לסיכונים.

הצרכן צריך להיות מודע איך הוא בכלל הגיע לאתר. האם הוא הגיע ישירות דרך הפניה מחבר, או שזה אתר שהוא גלש בו בעבר. האם הוא ביצע בו רכישות בעבר או שהכניסה נעשתה בכלל דרך הפניה מאיזשהו מייל שהוא קיבל, או דרך לינק מאתר אחר. ואז הוא צריך לחשוב פעמיים ולחשוד. אנחנו זוכרים את המקרה שקרה של אתר מתחזה: בנק פועלים ובנק הפועלים שהיה אתר שהוא דומה. אנחנו גם מודעים לעוקף הניגרי שעושה את העבודה שלו דרך מיילים.
נקודה נוספת – בגלל שחיוב כרטיס האשראי, במיוחד כאשר מדובר בספק מחו"ל, הוא לא מיידי, אז אפשר לבדוק בחלק מהמקרים את האמינות. אתן דוגמה אישית. אשתי ואני הזמנו חופשה במלון בפריז. לפני ההזמנה בדקנו באתר המלון עצמו, וערכנו גם השוואת מחירים מול ספק שנותן שירותים לא ישירות מול המלון. מצאנו ספק שירותים שהוא יותר זול, והחלטנו לרכוש דרכו לאחר שקיבלנו המלצות לגבי הספק הזה מחברים. אבל, בזה לא הסתפקנו. בגלל שהחיוב נעשה עתידית וקרוב יותר למועד החופשה, שלחנו מייל למלון וביקשנו לוודא האם הספק מוכר להם, האם ההזמנה בוצעה, והאם היא שולמה כהתחייבות של הספק כלפיהם, וכך ארגנו את עצמנו פחות או יותר לגבי אמינות הספק.

המלצה נוספת לאזרח הפשוט. צריך גם לבדוק מה הכתובת שמופיעה כשאנחנו עומדים עם הסמן על הלינק באתר. האם היא זהה למה שרשום בלינק, או שמא היא כתובת אחרת לגמרי. אבל, הבעיה היא שהאזרח הפשוט לא יודע, ולא יכול לדעת האם באמת האתר של הספק מאובטח ולא דולף משם מידע.

כאן אני מגיע לרובד הרביעי לחוליה החסרה. בגלל מורכבות המצב, אני חושב שכן צריך להטיל על גוף ממשלתי, קיים או חדש, לקחת על עצמו את התפקיד של הסמכת אתרים בהיבט של אבטחת מידע. הגוף הזה יהיה אחראי גם לאישור המהימנות ולרמת האבטחה של אתרים. כמובן שההסמכה הזאת צריכה להתבצע לא כמבצע חד-פעמי, אלא באופן שוטף. הגורם הזה יפרסם את ההסמכות באתר שלו, באתר הממשלתי המאובטח, וכך אזרחי ישראל ידעו אלו אתרים הם מהיותר מאובטחים, ויחליטו האם הם רוצים לבצע את הרכישות.

זה נראה הכי פשוט וקל. אבל, מי יעשה את זה?

אנחנו נותנים רישיונות לשני גורמים במשק שפועלים באינטרנט. הם עוברים אצלנו מבחני אבטחת מידע לפני שהם מקבלים את הרישיון. האחד הוא שירותי נתוני אשראי והשני הוא חתימה אלקטרונית. רמת אבטחת המידע שאנחנו דורשים מהם היא כמעט מהגבוהות שנדרשות במגזר האזרחי בישראל. אבל, זה תהליך מאוד מאוד יקר וארוך. יש לזה השלכות כספיות דרמטיות על האתרים. אני אמרתי קודם, אני לא פוסל את זה רעיונית. אבל, צריך להבין מה המשמעות של זה.

למי זה עולה כסף? לכם?

לא. לדעתי, יש לגלגל את זה לעסק. כמו שעסק מאבטח את עצמו אבטחה פיזית, הוא צריך גם לאבטח אבטחה לוגית את האתרים שלו, והוא צריך לקבל אישור לכך שהוא מוסמך.

אני לגמרי מסכימה איתך.

בהחלט גורמים כמו רמו"ט או הסייבר וכו' הם גורמים שצריכים לטפל בנושא הזה.
רעיון דומה יש בחוק שירות נתוני אשראי, כל אלה שמבצעים את הסליקה. זה חוק משנת 2004. יש שם תקנה 64(7) האומרת שעל מבקש רישיון למתן שירות נתוני אשראי להציג חוות דעת של מבקר בדבר נאותות מערכות המידע, מערכות הבקרה, ואמצעי האבטחה, ובאמת העלות היא עליו. מה שאמרתי עד עכשיו הוא לגבי עסקים בארץ.
מה עושים לגבי עסקים בחו"ל? דיברנו על זה בשבוע שעבר בוועדה הזאת. אם ישראל תחתום על אמנת בודפשט מ-2001 שחתומות עליה 46 מדינות, היא תאפשר לבצע את אותו שיתוף מידע בין-מדינתי, והיא אולי תוכל לתת פתרון גם לאתרים שהם בחוץ. האחריות על כך היא על משרד המשפטים ומשרד החוץ לחתום על האמנה.

לסיום, למרות מה שנאמר או ייאמר כאן, אין חסינות או הגנה מוחלטת מפני דלף מידע. אפשר רק לצמצם את זה למינימום האפשרי.

ברור. מייד ארצה לראות סדרת שקפים של ד"ר קוזלובסקי. אבל, לפני זה אבי וייסמן יו"ר הפורום הישראלי לאבטחת מידע, ממש בקצרה. אני גם רוצה להפנות אליך שאלה. אולי תגיד לנו איזה מידע הוא לגיטימי, כי פה די מחזירים לנו, לאזרח, את הכדור לעשות חושבים, ולשאול את עצמו למה מבקשים ממנו זה וזה. כנראה שאני לא אתן את הקוד הסודי לבנק שלי, וזה כבר הוטמע. איזה דברים אסור לנו לתת לעולם, או לחלופין אלו דברים כן אפשר לתת יותר.

לשאלה השנייה – יש מומחים יותר גדולים ממני כדי לענות. את שואלת: מה יכול האזרח לעשות. האזרח הזה משול לילד קטן שיושב בבית-ספר בעת התקפת טילים. זה לא ממש תלוי בו. אני עומד לעבור את ה-100%: 20% מהעניין הוא יתרום, 20% המורה שלו, 20% הנהלת בית-הספר, 20% העירייה, ו-20% המדינה. אנחנו יושבים רק על 20%-10%. זה לא ממש הנושא העיקרי. הוא לא יכול לעשות כלום. אם אני רוצה ללמד מה צריך לעשות כדי להגיע ל-60% ביטחון, אני צריך קורס בלתי אפשרי של עשר שעות לכל אדם מ-7 מיליון אנשים במדינת ישראל. זה לא ניתן לביצוע.
לכן, אני מציע להתמקד במה שהרשויות יכולות לעשות על מנת להגן על האזרח ברחוב בעת התקפת טילים, כי האזרח הוא באמת חסר אונים. צריך לזכור את הבעיה, זה לא מפתח, זה לא מנעול פיזי, וזה לא שרשראות. העולם הווירטואלי נמצא בחסרון, בבעיה טכנולוגית. נכון להיום, לתוקף יש יתרון עצום טכנולוגי על פני המגן. לכן, אם אנחנו רוצים אבטחה טובה של גוף קטן עם שלושה עובדים שמשווק באינטרנט, הוא לא יכול לספק יותר מ-98% ביטחון במחיר שהוא יותר קטן מפשיטת רגל. יש כאן דילמה עצומה, הטכנולוגיה נגדנו.

הגדרת את זה יפה.

אז מה אתה מציע? כרגע הציעה לנו הרשות שאנחנו, האזרחים, נשאל את עצמנו שאלות. עכשיו אתה אומר: אל תשאלו שאלות, חבל על הזמן. לכו לקורס.

לא בנושא של האזרח. לא, גם קורס לא.

אני יודעת, בציניות. אז מה בכל זאת?

את יכולה לתאר כמה זמן צריך ללמוד מחשבים?

את התשובות ליקטתי מכמה דוברים כאן. האחת מהן היא רגולציה, השנייה היא אכיפה, השלישית היא מודעות של הציבור, כי זה לא בא במקום, לסדרת פעולות. כמו שלמדנו לא לקטוף פרחים ולחצות מעבר חצייה, יש סדרת פעולות שמלמדים גם ילד וגם מבוגר.

מי ילמד?

גיא, אתה מוכן, בבקשה, לענות לחברת הכנסת, או ג'קי?

בסדר, אני מבקש לפני סוף הדיון. לא סתם ביקשתי שהישיבה תהיה משודרת. אני רוצה לתת מינימום של כלים לפחות להתחלה להתמודדות. זה לא כמו להגיד למישהו: יש רעידת אדמה, תיכנס תחת המשקוף, או אם יש טיל תשפוך אקונומיקה על השטיח – עד היום יש לי כתם מעיראק. אחר כך מגלים שזה לא עוזר וזה לא עוזר. תנו כלים בסיסים. אני גם רוצה לדעת מה הרשויות יכולות או צריכות לעשות. ואם זה דרך רגולציה אז הנה אנחנו פה, נשמח לשמוע. לנו אין הרבה עבודה, אנחנו נשמח לקדם חקיקה. האם יש לך תשובות?

קוראים לי גיא מזרחי, ואני מנכ"ל של חברת סייבריה שעוסקת בתחום הסייבר הביטחוני.

יש לי תשובות, אבל יש לי גם כמה הערות. קודם כל, נאמר פה הרבה על איומים. הגדירו פה סייבר טרור, וצריך לשים את הדברים על השולחן. כל אחד מהאנשים המקצועיים כאן יגיד את האמת. אבטחת האתרים האלה היתה פשוט ביזיון. לא מדובר בסייבר טרור, מדובר פה באירוע אבטחת מידע מאוד מינורי שגרם לבעיות מאוד רציניות. זה לא טרור קיברנטי, זה לא אירוע סייבר. זה פשוט פשיעה של בעלי אתרים ובוני אתרים שבנו את האתרים האלה ברשלנות.

ואי-אפשר להעניש אותם.

אני לא פה כדי להעניש. אני כאן כדי להעריך מבחינה מקצועית מה קרה, ומה שקרה הוא פשוט מזעזע.

איך יכולתי לדעת שאני עושה עסקים עם פושעים?

בעיה, אני אתייחס לזה עוד שנייה אחת.
דיברתם קודם על תו תקן שרוצים לתת לאתרים. יש שתי בעיות עיקריות. האחת, יש תו תקן כזה והוא לא מיושם. יש תקן שהוא תקן אבטחת מידע, וברוב המקרים הוא לא מיושם. בחו"ל כשניסו לעשות דברים כאלה, חברת - -- הוציאה איזשהו מוצר שקוראים לו Hacker Proof, ועוד כל מיני מקומות אחרים ניסו פלומבה על אתר אינטרנט שאומר: האתר הזה הוא אתר מאובטח. אני מודיע חד-משמעית: אתר שחתום בפלומבה כזאת של Hacker Proof הוא אתר פריץ כמו כל אתר אחר.

אז אני חוזרת להמלצה האחרת שיהיה גורם אחד שמסמיך, ואני אפנה לגורם המסמיך לשאול האם הוא מאובטח. לא אשאל את בעל העניין: האם אתה מאובטח. הוא בטח ישקר לי.

ודאי. יש כאן עוד בעיה אחת רצינית שאני ראיתי. במהלך האירועים האחרונים פשוט לא היה לבעלי האתרים את מי לשאול מה עושים. זאת אומרת, אנשים התקשרו אליי בהיסטריה כי כשעושים האקר בגוגל מגיעים אליי ממש מהר. הם אמרו לי: רגע, מה אנחנו עושים עכשיו עם האתר שלנו אם יפרצו לנו? אין הנחיות מדויקות של מה קורה ומה הדקה שאחרי פריצה לאתר, וזו בעיה. זו גם בעיה שמונעת מאיתנו יכולת חקירה מדויקת, וגם בעיה משום שגם בעל לאתר שכן רוצה לעמוד בסטנדרטים הנכונים ולהיות הוגן עם הלקוחות שלו, אין לו את הדרך לעשות את זה.

אם מישהו מודאג עכשיו, והוא פונה למומחה לאבטחת מידע ברמה שמסתובבת פה בחדר, באמת הם לא יגידו ואין להם מה להגיד לו מיידית לעשות?

שים לב שאתה אומר: במידה והוא פונה למישהו ברמה של החבר'ה שמסתובבים כאן. נכתבו כבר הרבה מאמרים על שוק אבטחת המידע כשוק של לימונים שאין לך דרך באמת להבין אם הלימון הזה תקין או בעייתי בתוך השק הגדול הזה. יש המון חברות. אני לא מנסה להשמיץ, אבל כל חברה יכולה לכתוב על עצמה שהיא חברת אבטחת מידע. גם אחת החברות שבנתה את האתרים הפגיעים, מגדירה את עצמה כחברת אבטחת מידע. יש גם בעיה עם הסיפור הזה.

האם אתה חושב שהמקצוע הזה צריך להיות מקצוע מורשה?

בוודאי.

על-ידי המדינה או על-ידי השוק? זאת אומרת, האם אתה צריך הסמכות של כל מיני גופים כמו מייקרוסופט וכד', או שאתה רוצה שמדינת ישראל שתכריז על זה כמקצוע כמו רואה חשבון או עורך דין וכד'?

הייתי מעדיף שמדינת ישראל תטפל בזה. ההגדרות ברמת הגורמים הטכנולוגיים הן בסוף הולכות ומובלות על-ידי חברות בעלות אינטרס. MCP אוMCSE , או כל הגדרה אחרת שפעם היתה במייקרוסופט, נחשבה חודש-חודשיים כמשהו טוב, ואחר כך נהיה זילות של המושג. לצורך העניין, מהנדס מייקרוסופטי זה משהו שהיום כל ילד שעושה - - -

גברתי, הפורום עוסק בזה כבר שלוש או ארבע שנים יחד עם מנהלי אבטחת המידע בישראל, וזו בעיה נוראית.

אני רוצה להוסיף לשאלה איך אזרח יכול להגן על עצמו. קודם כל, יש לו בעיה כי מבקשים ממנו הרבה פעמים פרטים שלא אמורים לבקש אותם. רק עכשיו נרשמתי לכנס אבטחת מידע ואחד הפרטים שנאלצתי לספק היה מספר תעודת זהות כשאין לי שום הבנה למה צריך לבקש את הדבר הזה ממני.

אפשר להשתמש בכרטיסי אשראי חד-פעמיים שאפשר לקנות בדואר. אפשר לעשות שיקול לגבי השאלה איזה פרטים נותנים.

זה מה ששאלתי קודם והבטחתם לומר לי. מה לגיטימי לתת? אני אשאל שאלות תם. אומרים לי: תני לי את שלוש הספרות שמופיע מאחורי כרטיס האשראי. אם לא, אין עסקה.

לגיטימי לתת – זו שאלה קשה. נאלצים לתת את זה. אני מניח שהחבר'ה מכרטיסי האשראי ידעו יותר טוב ממני לענות על מה הן צריכות כדי לחייב את הלקוח. כל מה שצריך כדי לחייב לקוח צריך לתת. הבעיה היא שאני כלקוח לא יודע האם הפרטים שנתתי יישמרו בצורה מוצפנת, או לא יישמרו. אין לי דרך לדעת את זה. השקיפות של בעל האתר זה משהו שהייתי רוצה לדעת.

אני עדיין לא קיבלתי מה כן אפשר.

אם תעבדי עם כרטיס אשראי שהוא לא כרטיס האשראי העיקרי שלך, כרטיס אשראי חד-פעמי מהסוג שאפשר לקנות בדואר ישראל, אין לך פה באמת בעיה של כרטיס אשראי. גם אם הוא ייגנב, ייגנב סכום מאוד מוגבל של כסף. הבעיה פה היא לא כרטיס האשראי, הבעיה פה היא תעודת הזהות שלי שאני לא יכול לגרום לזה שיחליפו לי אותה אם מישהו גנב את הפרטים האלה. הצמדה לכתובת שלי, לדברים שקניתי שיכולים להגדיר מה תחומי העניין שלי, ואולי גם דברים מביכים עליי. יש הרבה סיבות למה אנשים קונים דברים באינטרנט. אחת הסיבות היא שהם לא רוצים ללכת לחנות לקנות. אף אחד לא יכול לדעת האם האתר בו הוא קנה באמת ממסך אותו.

זאת אומרת, ההמלצה המיידית כרגע היא לעבוד מול כרטיסי האשראי חד-פעמיים כאלה.

חברות כרטיסי האשראי לא יאהבו את זה.

זה רק מראה כמה העסק מסובך.

ד"ר קוזלובסקי, תשתדל לדבר ממוקד. אתה תוזמן לכל הדיונים הבאים שלנו גם כן, ואני מודה לך על כך שאתה מגיע.

ראשית, אני חושב שמה שנעשה פה הוא מהלך חשוב מאוד. ועדת המדע ויושב-ראש הוועדה הרימו את הכפפה להגיד שיש פה בעיה מערכתית, זה לא אירוע נקודתי שאנחנו מתעסקים בו. ועדת המדע לבדה ראתה פריצות סייבר לאתרי ממשלה ולאתרים פרטיים. היא ראתה את בעיית הריגול העסקי והשימוש בסוסים הטרויאניים והיא דנה בה בעבר. לאחרונה היא דנה בבעיית מרשם האוכלוסין, דנה לאחרונה בבעיית ה-Darknet של הפשע המאורגן' וכיום בכרטיסי האשראי.
אבל, אני חושב שצריך להבין משהו מאוד משמעותי. הפגישות שאנחנו עושים כאן – אם בסופן הן יהיו קצת פורקן, וכל אחד יספר את הפרספקטיבה שלו, הן יהיו שיעור חברה נחמד. שיעור החברה הזה לא יוביל, בסופו של דבר, לשינוי בחיי המעשה. אני קורא כאן: תפקידה של הכנסת הוא לחוקק, תפקידה לפקח על הרשויות שפועלות, בין אם להקצות להן תקציבים, ובין אם לבקר את פעולתן.

אני חייב לומר שאנחנו נרדמנו בשמירה. אני רחוק מלהסכים לכל הטפיחות על השכם שהיו פה בישיבה. אנחנו נרדמנו בשמירה, אנחנו יודעים את מצבו העגום של אבטחת המידע בסייבר הישראלי מזה שנים ארוכות. כל מי שעוסק בתחום יאמר לך בצורה ברורה מאוד שרוב רובם של אתרי האינטרנט הישראלים – ואני מדבר פה רק על המגזר האזרחי, אני לא נוגע לבעיית הסייבר הממשלתית – לא חושבים על אבטחת מידע, אינם מתייעצים באיש אבטחת מידע, ואבטחת המידע שלהם היא יד המקרה.
אני אומר לך יותר מזה. לקראת הדיון הזה עברתי על כמה תקציבים של אתרי אינטרנט על מנת לראות כיצד התקציב שלהם נבנה. יש שם תקציב לעורך-דין שזה דבר נפלא, יש שם תקציב לרואה-חשבון, יש שם תקציב לניקיונות. תקציב לאיש אבטחת מידע לא מצאתי בהם, או תקציב אמיתי להתמודדות עם בעיית אבטחת המידע. רובם נבנים בלי שום היוועצות עם אבטחת מידע בסיסית. לכן, אני מסכים עם מה שגיא מזרחי אמר לפני רגע.
לאירוע הזה יש שתי פנים. תקף את מדינת ישראל גורם עוין, כפי הנראה גורם שרצה לפגוע באזרחי ישראל, בבטן הרכה שלהם, במידע האישי שלהם, באמצעי התשלום שלהם. אין פה ספק שהגורם הזה ביצע פעולה שהיא פעולה זדונית ואפקטיבית. בהיבט של מה שקרה עם הנתקף, הקורבן זה פשוט אתר אינטרנט שהתרשל ולא עשה אפס באבטחת המידע שלו לדאוג כאשר הוא לוקח פרטים.

אם אנחנו רוצים לעבור לפסים פרקטיים, וכך ביקשה יושבת-ראש הוועדה, אני חושב שבסופה של ישיבת הוועדה הזאת צריכה לצאת הצעת חקיקה מסודרת, ופה הבשורה שאני רוצה להציע. אני סבור שבמספר סעיפי חקיקה שניתן להעביר אותם תוך שבועות ספורים, לא יותר מזה, אנחנו נרים בקפיצת מדרגה, אקספוננציאלית, את רף האבטחה בסקטור האזרחי הישראלי שזו הבטן הרכה. הכול ביכולתה של הכנסת לעשות.

מי שמאמין באמונה של התמריץ של האתר לאבטח את עצמו, המציאות מוכיחה אחרת. יתרה מזאת, לאתר ממש אין אינטרס לאבטח את עצמו בשל העובדה שלא הוא הניזוק מפריצת הפרטים, והמבנה החוקי גם לא מטיל עליו את האחריות. ולכן, יש פה בעיה כלכלית פשוטה. הוא מחצין את הסיכון של הנזק, של גניבת הזהות, של הפגיעה בפרטיות, על המשתמש שלו.

איך פותרים את זה? בתור התחלה רציתי להיות קצת פרובוקטיבי. יש לי את כל הפתרונות. זה היה יכול להיות גם סיכום מצוין לישיבה כאן. במרץ 1998 היתה ישיבה בוועדת המדע, וחברת הכנסת דליה איציק היתה אז יושבת-ראש הוועדה. הגיעו כל הטייפ-קסטינג. הגיע האקר, והגיע איש משטרה והגיע איש אבטחת מידע, והגיע איש הרשויות. בדיוק כפי שאנחנו יושבים בחדר הזה, כולם סיפרו. הנער הדגים במחשב נישא איך הוא פורץ לאתר וגונב ממנו את הפרטים. לאחר מכן הוא התרברב ואמר: אני לא מתוחכם מידיי. אבל, אני יכול להגיע גם לאתרים של כרטיסי אשראי ולקבל שמות ומספרים, ולא תאמינו כמה קל אפילו לשלוח מכתבים בשם שרי הממשלה. לאחר מכן הציעה המשטרה שיתגברו אותה בתקציבים ובכוחות, ואולי יהיה אפילו משמר אזרחי וולונטרי שיעזור לה. ראש אגף חקירות אמר ש-50 חוקרים מיוחדים התמנו והוכשרו עוד 25 נוספים, ויש עוד קורסים רבים בדרך. היא גם רכשה ציוד מחשב מתוחכם כדי להתמודד עם התופעה. מי שישב אז בכסא של מנהל ממשל זמין אמר שיש תקיפות באלפים על בסיס יום-יומי. אזכרו את הפריצה באותו שבוע לביטוח הלאומי בכפר-סבא, ולמע"מ בנתניה, ואמרו שיש בעיה כי כל דיון כזה יוצר תהודה לאנשים לפרוץ לעוד אתרים ממשלתיים. מנהל האבטחה למשרד רגיש אמר אז שצריך לקבוע תקנים ויש את התקנים, והדרך היחידה היא אם יעמדו בתקנים. אהוד אבנר, שאינני יודע מי הוא, אמר שצריך תקני רשות לאבטחת מידע, ולהפסיק לעמוד במערכת בשיטת ה"סמוך".

עברו 13 שנה, ההמלצות הן אותן המלצות. הכנסת אותה כנסת, והגיע הזמן לחוקק. אפשר לעשות את זה בכמה שלבים קצרים.

נשמח.

הרעיון – יש כמה עקרונות פשוטים, ולאחר מכן תוכנית עבודה. אגב, אני חלקתי עם כמה חברי כנסת, יושב-ראש הוועדה, גם מסמך מפורט שהוא לא ברמת מצגת, ממש איך הסעיפים האלה צריכים להיראות.

הדבר הוא כזה. בתור התחלה – תפיסת הפרטיות שמציגים לנו כרגע היא תפיסת הסכמה. איזה מידע אתה מסכים לתת, וההנחה היא שההגנה על פרטיות היא שאני שומר על איזה מידע אני נותן, ומסכים לתת. התפיסה הזאת קלוקלת. בפועל מי שלא רוצה לחזור ולגור במערות החשוכות ולהסתובב כפרימיטיבי, חייב למסור כל הזמן את פרטיו האישיים. תבינו איזה דינאמיקה מוזרה היתה פה. יש פה את הרשויות האמונות לכך, יש פה את המחוקק, יש את משרדי הממשלה שאמורים היו לטפל בנושא, ובסוף חוזרים לאזרח הקטן ואומרים לו: את היית צריך להיות מודע ולהתמגן, פוי, פוי, פוי. זה שטות, הוא לא היה יכול לעשות שום דבר.

התפיסה האמיתית היא תפיסה למעבר לאבטחת מידע. הדרך להגן על פרטיות היא בדרך של לחייב אבטחת מידע אישי שאנחנו מוסרים.

ד"ר קוזלובסקי, מי אמר את הדבר הזה שאתה אמרת?

אני שמעתי הרבה אנשים שאמרו: המודעות. המילה מודעות עולה הרבה.

כן דיברו על כך שאזרח צריך לדעת שלא בקלות הוא צריך למסור פרטים. ולכן, זה הוביל אותי לשאלה אלו פרטים נכון למסור, ואלו פרטים לא נכון למסור. אתה אומר: עזבו את האזרח. אני הבנתי את זה מהחבר אבי וייסמן.

אני אומר יותר מזה, חס וחלילה שיצא מסר מוועדה בכנסת בוועדה המתקדמת הטכנולוגית שאנחנו לא נשתמש בסייבר.

נמרוד, כדי לא ליצור אנטגוניזם למצגת שלך, תהיה פחות מיליטנטי. בוא נעשה את זה ברוח חיובית. אתה אומר: בואו לא נפיל את זה על האזרח. מה עוד?

דבר נוסף - חקירה בדיעבד אין לה שום משמעות. אני יכול לספר את סופה של החקירה במקרה של האקר הסעודי. קראתי את הפרק האחרון של הספר. סופה של החקירה הוא שיגיעו ל-IP במדינה זרה שהוא כנראה IP מומצא. חקירה בדיעבד זה אחרי שהנזק קרה. המידע על האזרחים מתגלגל, ועכשיו מחפשים איזה מישהו כדי להוציא פורקן ציבורי. הדרך לאבטחת מידע היא במניעה מוקדמת, לא בחקירה בדיעבד.
דבר נוסף - הבעיה הגדולה באבטחת מידע היא שהקורבן האמיתי הוא זה שהפרטים שלו כרגע נחשפו, והוא קורבן לגניבת זהות ולפוטנציאל שלה, לא האתר שנפרץ. האתר אומנם היה שער הכניסה, אבל הנפגע זה אנחנו. ואם הנפגע זה אנחנו, מה שחייבים לעשות זה לחייב אותם באיתור מוקדם, ולחייב אותם לדווח מרגע שהם גילו את זה. פה אנחנו לא צריכים להמציא את הגלגל. כך פעלו מדינות אחרות, כמו קליפורניה, שהחקיקה שלהן הביאה להגברת רף אבטחת המידע בצורה דרמטית.
דבר נוסף - יש לנו פה בעיה כלכלית. אני חושב שכל הדיון שמדבר על תקנים ממסך את הדיון. כמו שכנסת ישראל לא תתעסק בקביעת מהו תקן המיגון הנכון לרכב בכל נקודת זמן בפני החלקה. היא קובעת את מערכת התמריצים לבעל הרכב לבדוק את הרכב, היא קובעת את מערכת התמריצים לחברת הביטוח לבדוק שהוא עשה את המיגון, והיא קובעת את האחריויות שלו אם הוא לא יתמגן במקרה תאונה.

יש פה בעיה כלכלית פשוטה. היום אין מבנה תמריצים נכון. השחקנים שבמשחק הזה שהם: האתר, הלקוח שלו, הרשות הממשלתית, חברת אבטחת המידע שיודעת לבדוק את זה, וגם רשויות החקירה, לא נבנו להם התמריצים ומבנה של אחריות וחסינות. בכמה צעדים אפשר לבנות מערכת של תמריצים. כל עבודתה של הכנסת צריכה להיות בבנייה בכמה סעיפים את התמריצים לאבטח בצורה נכונה, ולאחר מכן לעזוב את זה מכיוון שהתקינה תגיע לכך שנגיע לתקן הוולונטרי. כך קורה עם רואה-חשבון. אנחנו אומרים: אתה צריך להגיש דין-וחשבון שנתי, ורואה-חשבון יאמת אותו. אנחנו לא נכנסים לבדוק לרואה-חשבון האם בתקן X או תקן Y. לכך יש את הגופים המקצועיים שלו שמאמצים את התקנים.
דבר נוסף – אם כבר נכשלנו והמניעה המוקדמת לא הצליחה ומגיעים לחקירה, אם יש משהו ללמוד מהפרשה הזאת, התנהלנו איום ונורא בחקר האירוע הזה ובניהול האירוע הזה. כל אחד זרק המלצות, כל אחד חקר. בערוץ 2 התגלה לנו הפיצוח הגדול.

מי זה "אנחנו התנהלנו"?

מדינת ישראל ורשויותיה התנהלו גרוע בחקירת האירוע בשל העובדה שאם אנחנו רואים פיצוח בערוץ 2, זה נקרא סיכול חקירה. זה אומר שאם כרגע האקר – בין אם הוא סעודי או מקסיקני – יושב בבית שלו ומבין שהוא היעד, הוא כרגע מוחק את הראיות, הוא מעלים כרגע את ה-IP, והוא כרגע גם יוצר אליבי. יתרה מזאת, לא היה לנו גוף אחד, שמקובל במדינות אחרות, שהוא גוף מתכלל של אירוע, ושל איך מטפלים באירוע כזה.

אנחנו חיים בריאליטי.

בואו ניכנס להמלצות. בצורה מאוד פשוטה אתה אומר לאתר: בתור התחלה, אין עליך שום חובה. אם אתה רוצה לפעול, אתה לא צריך לא רישוי, לא תקן, כלום, כל עוד אתה לא אוסף מידע אישי מזוהה אודות אנשים. כי רק ברגע שהתחלת לאסוף מידע אישי מזוהה אודות אנשים אתה מגלגל עליהם סיכון משמעותי להיות קורבנות גניבת זהות ושימוש בפרטים שלהם. באותו רגע שהחלטת, וזו החלטה עסקית, שאתה רוצה לאסוף ולשמור מידע אישי מזהה אודות אנשים, שזו החלטה עסקית משמעותית, אז אתה צריך לעבוד ברף אבטחה מינימאלי. זה לא תפקידו של המחוקק לקבוע את רף האבטחה הזה, אם כי אני חושב שרמו"ט כגוף המקצועי יכול לאמץ מעת לעת תקני אבטחה כתקנים שייחשבו כסבירים. אגב, בהמלצה המפורטת, אני אפרט מהו רף אבטחה מינימאלי בהתאם לסוג המידע והפגיעות שלו.

קראת את המסמך שרמו"ט הפיצה לפני שנה בנושא הזה?

אני חושב שרמו"ט עשתה עבודה טובה מאוד באותו מסמך, רק הבעיה האמיתית היא שעד שלא היתה לנו שעת הכושר כאן, המסמך הזה נדחק לתחתית המגירה. אני חושב שיש לחזק את העבודה החשובה של רמו"ט ולהעמיד את העבודה שלה כרגע בהבנה שזה עדיפות לאומית בשל העובדה שאנחנו 13 שנה מדברים על הליקוי, אבל לא מחוקקים אותו.

הדבר הנוסף - איסוף ושמירת מידע אישי יתאפשרו רק לאחר שמנהל המאגר מקבל אישור מחברה מוסמכת בדין. כן, את החברות שעושות את הסקרים צריך להסמיך. רמו"ט הוא הגוף המתאים. אנחנו לא תמיד יודעים מה משקפות ההסמכות האזרחיות. רמו"ט צריך לבדוק. יש בישראל עשרות חברות אבטחת מידע מעולות שיכולות לעשות את הבדיקה הפשוטה הזאת. טענת הנטל הכלכלי היא טענה שגויה. הבדיקה הבסיסית הזאת עולה כמה מאות דולרים במקרה הטוב.

אתה צריך כבעל האתר לעשות סקר סיכונים תקופתי ובדיקת חדירות. בואו נסביר מה זה בדיקת חדירות למי שיושב בחדר והוא לא מהתחום. אנחנו היום בעצם מחכים שיבוא האקר סעודי ויתקוף את האתר שלנו, ויספר לנו שהוא פרוץ. אבל, הדרך האמיתית לעשות את זה היא שאנחנו נתקוף את האתר שלנו ונראה האם הוא פרוץ. כך חברות עובדות. אגב, באותו סט כלים. ההאקר הסעודי השתמש בסט כלים שהוא סטנדרטי ברשת. אתה תוקף את האתר, ואם אתה מוצא שהאתר פרוץ אחרי הסקר הזה, אסור לו להמשיך לאסוף ולשמור מידע אישי עד שהוא לא מתקן אותו.

נדמה לי שאתה אמרת קודם שתהיה שקיפות, שהוא יודיע שהאתר שלו נפרץ.

ודאי. אגב, יש פה שתי נקודות קטנות האומרות - ואני חושב שפה אני מאמץ את דבריו של ראש הרשות בעניין הזה - ששמירת מידע האישי היום נעשית בתצורה שהיא הרבה פעמים בלי הצדקה. אין לי סיבה, בשביל להשלים טרנזקציה מסוימת, לקבל את כל הפרטים, כולל הסיסמא, כולל הדואר האלקטרוני. פה צריך לומר: אם אתה רוצה לשמור מידע אישי מעבר לנדרש, מידע עודף, אתה חייב את ההסכמה ואת המודעות של האדם.
ופה החולשה האמיתית. כל הצרה הזאת שנפלה עכשיו על ישראלים שהם הקורבן של גניבת זהות – והפרשה רחוקה מלהסתיים, היא תלווה אותם תקופה ארוכה. הם יצטרכו כל הזמן לבדוק מי משתמש באמצעים שלהם, האם מישהו חדר לדואר האלקטרוני או אם מישהו התחזה אליהם - הדרך היחידה היא שבסיסמאות גישה או אמצעי אימות, אין דבר כזה לשמור אותם בתצורתם המזוהה. סטנדרט אבטחת המידע הבסיסי אומר: אם קיבלתי כתובת דואר אלקטרוני או סיסמא, אני מיידית מרבב אותה - מה שנקרא "פונקצית הש". אני בחיים לא שומר אותה בתצורה שניתן להשיג אותה.

נעבור לשלב הבא. אם כבר היה אירוע אבטחת מידע, ואתה כבעל אתר יודע שהאתר שלך כרגע נפרץ, או שאתה יודע מה שנקרא compromised, שהנתונים של הלקוחות שלך כרגע בסכנה, אין לך את הזכות, כמו שקרה כאן שבעלי האתרים האלה ידעו תקופה ארוכה שהאתר שלהם פרוץ. חלק מהאתרים ידעו משך חודשים ארוכים שהאתר שלהם פרוץ ולא עשו כלום. אפילו חברות אבטחת מידע מסוימות הוציאו דוחות עליהם, ולא נעשה כלום.

מה אתה מצפה?

יש חוק בקליפורניה. ההמלצה שלי, הכנסת תיכנס לאחר מכן ל-Google Translate ותתרגם את החוק מקליפורניה. אני מוכן לקבל אותו, כולל שגיאות הכתיב שיש ב- Google Translate .

האם אתה יודע מה התוצאה של ה-Bridge Notification האמריקאי?

כן, אני יודע אותה מצוין.

קודם כל, אנחנו בוחנים את כל הנושא של חקיקתו של חובת כשל אבטחת מידע. אחת הבעיות של עם חובתו של כשל אבטחת מידע – דרך אגב, זה כלי חשוב מאוד שאני בהחלט בעדו – זה שאנשים מתחילים לקבל עשרות ומאות דוחות. בסופו של דבר, הזאב-זאב גורם לזה שאנשים מתעלמים מזה. אם אתה צריך לדווח גם על כל סיטואציה שבה מחשב נייד נגנב, ואתה מתחיל לקבל דוח אחרי דוח אחרי דוח אחרי דוח, אתה מאבד את האמון בכלל בכל המערכת. לכן, לתרגם באופן אוטומטי את החוק האמריקאי זה ממש ממש אבל לא הפתרון הנכון. כל העולם היום מתעסק בבחינת השאלה מה קו הגבול הנכון של חובה של דיווח.

אני חייב לומר שאני קראתי בחודשיים האחרונים דוחות של כמעט כל חברות המחקר שעוסקות בתחום הזה שמהללות את תוצאתו של החוק האמריקאי. אגב, להערתך, החוק האמריקאי קבע את קו הגבול בצורה מאוד מאוד מדויקת. הוא קבע שרק אם אתה שמרת מידע אישי רגיש באופן שאינו מוצפן, וידוע לך שהמידע האישי הרגיש שאינו מוצפן דולף ממך, compromised. ולכן, הרף הזה גרם לכך שבארצות-הברית כרגע נעשה סקר מה קרה ב-2003 לפני חקיקתו, ומה קורה היום. היום אין אתר אינטרנט שעולה בקליפורניה או שומר נתונים על קליפורנים שלא מיידית הולך ועושה את בדיקת אבטחת המידע והצפנת הנתונים, כי הוא יודע את התוצאה הנוראית שלו. במקרה והוא יצטרך לדווח, יהיה מושא לתביעה ייצוגית.
אגב, הטיוטא של רמו"ט היא טובה בנושא הזה. אבל, אני חושב שצריך לנצל את שעת הכושר. רמו"ט קמה בשעת כושר, אחרי פרשת הסוס הטרויאני, עם רשימת מטרות מה צריך לעשות. יש לנו שעת כושר נוספת. הגיעה העת שאנחנו נתרגם את ההצעות האלה לחוק.

כרגע יש בעיה אמיתית במבנה התמריצים. אין עוולה נזיקית מפורשת בשל התרשלות בקיום אבטחות מידע. יותר מזה, יש מצב שבו אני ביודעין לא עשיתי שום אבטחה, האתר שלי לא נבדק ולא כלום, התרשלתי כלפי כל האזרחים לחשוף אותם לגניבת זהות. אין שום סנקציה פלילית או אחריות למנהל או לדירקטור. אחריות למנהל ולדירקטור גורמת להם להשקיע כמה מאות דולרים ב - - -.

יש תפקיד מאוד חשוב לרמו"ט, ואני חושב שהוא שונה מהתפקיד שהוצע כאן. רמו"ט לא צריכה להתחיל לבדוק את כל האתרים. זה לא ישים, זה רק יגרום לכשל. אבל, רמו"ט כן צריכה להיות מונחית בחוק להתחיל לעשות בדיקות אבטחה מדגמות יזומות לאתרים. כלומר, בדיקת חדירות יזומה שמתבצעת לאתר - אגב, ללא הודעה מראש – כאשר אתה מייד מיידע אותו בדוח. וכל פעם שאתה כראש הרשות תמצא שיש כשל אמיתי באבטחה, והצלחת אתה למצוא פרטים אישיים של אדם או סיסמאות, אתה תשתמש בסנקציות שיוקנו לך. מאותו רגע ואילך יבינו שיש פה שיניים אמיתיות לאכיפה המינהלית. אבל, היא תהיה מניעתית, לא בדיעבד.

הדבר החשוב – יהיו כמו מנגנוני הלשנה לרמו"ט. יהיה: אני מדווח ש-, אני יודע שהמידע שלי מאתר מסוים כרגע דלף. זה יחייב את רמו"ט לעשות את בדיקת היזימות. במקרה הזה כיוון שיש הרבה פעמים בעלי אינטרסים להודיע לך על הכשל, אתה תעשה בדיקה יזומה. אנחנו נמנע מבעוד מועד, והסנקציות שלך יהיו בעלות שיניים.
אני חייב להגיד שאת שמונת הסעיפים הראשונים שהצעתי ניתן לחוקק על-ידי מישהו שיודע לכתוב היטב הצעות חוק, שלושה סעיפי חוק בחודש.

האם אי-אפשר להגדיר דרגה של אבטחה לכל אתר ואתר?

בוודאי. אבל, אני אומר שתפקידה של הכנסת אינו לנתח האם PCI יותר טוב מ-ISO 27001 או מהתקן הישראלי 1799. התפקיד של הכנסת הישראלית הוא לחייב ברף ולהגיד: רף שמקובל על ארגון 1, 2, 3, - - -

מישהו צריך לבנות את הרף.

יש תקנים כאלה בשפע. יש בעיית עודף תקנים.

אנחנו כבר גיבשנו את אותו מודל שעושה הבדלה בין רמות שונות של רגישות של מידע, כיוון שאתה לא יכול לדרוש כמובן רמות אבטחת מידע בסדר גודל של המאגר הביומטרי מכל בעל עסק. יש פרופורציה. הדבר הזה נמצא במסמך שנמצא היום בטיוטת תקנות שנמצאת לפני תהליכי אישור. זה עושה את הדבר הזה תוך התייעצות עם ISACA, וגם עם שימוע ציבורי שעשינו, מכיוון שיש פה היבטים של המשק, של עלויות. כל הדברים האלה הופנמו.

כמובן שצריך לפרסם את הרף.

כן. הרף נקבע שם. יש חובת אבטחת מידע בסיסית שהיא מפורטת. מעבר לזה, גופים שאוספים הרבה מאוד מידע או אוספים מידע רגיש - וכמובן שמי שאוסף הרבה מאוד מידע רגיש נמצא ברף השלישי – יחולו עליו חובות יותר מרחיקות. הנושא עבר שימוע ציבורי.

אני חושב שרמו"ט כגוף מקצועי הוציאה ניירות עבודה מעולים. הבעיה האמיתית היא שלא נוצלו שעות הכושר לחוקק אותן.
את שמונת הסעיפים הראשונים בתוכנית העבודה ניתן לחוקק. הכנסת לא צריכה להבין כהוא זה באבטחת מידע ומה הם התקנים, אלא רק לבנות את מערכת התמריצים להתמגן ולדווח.

אל תזלזל ביכולות של הכנסת.

חס וחלילה. אני רק אומר שהכנסת לא צריכה להיכנס לזה. לא מזלזל, להיפך.

לגבי שלושת הדברים האחרונים – זה מה קרה אם היה כבר אירוע ואתה צריך להתמודד איתו, וזה כבר אם נכשלנו. אם נכשלנו, צריכים להיות שלושה דברים. אגב, הם יותר מסובכים, הם יותר דורשים זמן. זה לא חקיקת בזק. הראשון בהם – היום אין סמכויות מספקות לרשויות החקירה לחקור בזירה דיגיטאלית. אני לא אכנס לפרטים. אבל, סמכויות לשמירת המידע, להתחקות אחריו, להתגלגלות עם מצב. כאן יש תזכיר סדר דין פלילי לעניין סמכויות חיפוש ותפיסה בחומרי מחשב. כיוון שחלק מהסמכויות האלה חיוניות לגופי החקירה, צריך לקדם לפחות את החלק המחשבי. אבל, שם כיוון שיש איזונים משמעותיים עם זכויות אדם וסמכויות, זה לא פשוט.

צריך להקים CERT. ה-CERT הוא אותו גוף שהוא Response, שלא הוקם בישראל, אותו גוף של מה קורה אם היה אירוע - לתכלל את המענה באירוע.

הדבר האחרון הוא כבר דבר נדוש וחבוט. אמנת בודפשט הוזכרה בכנסת עשרים פעם. היא חיונית כי אחרת כל חקירת מחשבים, כפי שאמר חיים ויסמונסקי מהפרקליטות, תסוכל.

תודה רבה. אמנת בודפשט תידון ביום רביעי הקרוב במשרד החוץ. גונב לאוזניי שיש בעיה תקציבית. אני מקווה שזה באמת לא יהיה נימוק, ושאנחנו נתבשר שאכן אנחנו חותמים על האמנה.
שני, ראש המטה להקמת רשות הסייבר, בבקשה.

ראש מינהלת ההקמה של מטה הסייבר הלאומי, מטה הקיברנטי הלאומי. מטה, לא רשות.

ראשית, חשוב לנו מאוד להדגיש שאנחנו מצטרפים למה שנאמר כאן על-ידי סגן החשכ"ל לגבי זה שאירועים כאלה קורים בעולם.

זה אומר שהרשות תהיה קיימת לעולם ועד.

לא לשם זה אמרתי את זה, בוודאי לא לטובת איזושהי צפירת הרגעה.

כמה אנשים דיברו על המודעות הציבורית. היא בהחלט איזשהו פרודקט של האירוע הזה. חשוב להדגיש - בסוף בסוף, מי שמבין בהגנה יודע להגיד שלא שמים קו הגנה אחד. אף אחד לא מטיל על האזרחים את כל האחריות לכל מה שקורה, ואומר: איך לא עשיתם עד עכשיו מבלי שאף אחד הסביר לכם? ברור שאחד התפקידים של המטה הוא שהוא הולך לעסוק גם בהסברה וגם בהעלאת המודעות הציבורית ובמתן כלים לאזרחים איך באמת נכון להתגונן כחלק מאותם כלים שצריך כדי להצליח להגן על מדינת ישראל ברמה טובה יותר. לא תהיה הגנה מקסימאלית. אנחנו יודעים, האירועים האלה יקרו. אי-אפשר למנוע בצורה טוטאלית את הקיום שלהם.

זה ברור.

המטה הוא גוף מטה לצד ראש הממשלה, הממשלה והוועדות שלה. זה לא גוף ביצוע. התפקיד שלו לא יהיה לחקור אירועים מהסוג הזה. יש גופים שזה התפקיד שלהם, והם צוינו כאן. ביקשת להדגיש האם זה גוף שהוא מעל הגופים האחרים. כדי לנסות להסדיר קצת את השאלה מי אחראי על מה, אתן כמה מילים על כך. כמו כל התפקידים של משרד ראש הממשלה, הוא לא מעל משרדים אחרים. אבל, הוא כן גוף שמייעץ לממשלה על המדיניות הקיברנטית הנדרשת במדינת ישראל. ואחר כך, באמצעות מה שהממשלה מחליטה, מוודא שאכן החלטות הממשלה מיושמות, ושאכן הגופים פועלים כנדרש על מנת לקדם את ישראל למקום הנכון יותר.

אחד התפקידים המרכזיים של המטה, וזה מה שנעשה בחודשים הקרובים – אגב, בלי יום חסד אחד – זה הסדרה של התחום הזה במדינת ישראל. יש היום תשתיות קריטיות לאומיות במדינת ישראל שהן מטופלות, וכפי שצוין פה, על-ידי הרשות הממלכתית לאבטחת מידע, הן מונחות. יש הנחייה של תחום אבטחת המידע והסייבר בגופים האלה. יש חלקים שלמים במדינת ישראל שצריכים לראות כיצד, איזה גוף ובאיזה שיטה הולכים לטפל גם בהם.

בעיקר האזרחי.

בדיוק, החלקים האזרחיים, החלקים שקשורים יותר במגזר הפרטי. צריך לראות כיצד מדינת ישראל הולכת לטפל גם בהם. כשאני אומרת "טיפול", זה לא אומר שהם יקבלו את אותה רמת טיפול שמקבלות אותן תשתיות קריטיות במדינת ישראל, עיין ערך: חשמל ומים, אלא עלו כאן מגוון של אפשרויות שקשורות בחקיקה, בתקינה, בהסדרה, במתן כלים שהם לאו דווקא הכלים שניתנים היום בחלקים האחרים.

עלו כאן הרבה רעיונות. אבל, בסוף המטה הזה הולך לעשות בחינה מעמיקה של מה נכון לקדם, באיזה שיטה נכון לקדם, באיזה חלק במדינת ישראל מה נכון לעשות. וכן, בהחלט לפעול בשיטה של שיתוף פעולה מתקדמת שמשלבת גם את האקדמיה, גם את התעשייה, גם את הממשלה, גם את משרדי הממשלה, וגופי הביטחון הנדרשים, כדי להצעיד את מדינת ישראל למקום טוב יותר בטווח של כמה שנים, כך שהיא תהיה בקדמת הבמה. ברמה הבין-לאומית היא נמצאת כבר במקום טוב, ונכון שהיה תהיה במקום נכון, מתקדם יותר.

לגבי שיתופי פעולה – אין ספק שזו הולכת להיות שיטת פעולה של המטה, כך הוא הולך לעבוד. מי שהגה את המטה על-פי בקשת ראש הממשלה - ראש הממשלה הטיל על פרופסור איציק בן-ישראל לעשות עבודה בנושא הזה, והוא זה שהקים את המיזם הקיברנטי. אני יודעת שהוא הציג את זה כאן בפני הוועדה.

חשוב להגיד בסוף שהצמא שהוצג כאן סביב השולחן הוא צמא שאנחנו מכירים אותו. הוא בא לידי ביטוי גם באותה ועדת המיזם הקיברנטי שאני מניחה שעמיתיי כאן ירצו להדגיש לגביה. זהו צמא שאנחנו מודעים לו. אנחנו לא לוקחים לעצמנו יום חסד אחד – חשוב להגיד את זה. אנחנו עכשיו בשלבי הקמה. ד"ר אביתר מתניה אמור להציג כאן בעוד זמן כשיהיו לנו תוכניות קורקטיות, זה לא אומר שאנחנו לא נמצאים כבר עכשיו בשלב שבו אנחנו מנסים להבין לאן אנחנו הולכים עם הדברים.

זה יהיה בעוד חודשיים. תודה רבה.

הייתי מעוניינת לשמוע נציג של חברות האשראי. אתם לא נרשמתם. השיטה פה היא להירשם אם רוצים. אבל, אני בכל זאת אשמח לשמוע.

גיל טופז, סמנכ"ל סיכום ב-כ.א.ל.
האתרים שנפרצו לא היו אתרים של חברות כרטיסי האשראי או של בנקים, אלא הם היו אתרים רגילים. נפרצו אתרי קופונים, נפרץ אתרONE שהוא בכלל לא אתר שמוכר משהו. כלומר, הוא לא סולק עם אף אחת מחברות כרטיסי האשראי. לא היינו איתו בשום חוזה, ולמיטב ידיעתי גם חברות כרטיסי האשראי האחרות לא. כלומר, לא היה לנו שום מגע איתו כדי לוודא שהוא נמצא באיזשהו תקן של אבטחת מידע.

אבל, השתמשו באתר.

לא, לא השתמשו בו. הוא אסף מידע כי הוא החליט לאסוף מידע. אני לא יודע למה, אני לא מכיר את השיקולים שלו. מעבר לזה, כאשר ניתחנו את הקובץ, ראינו שמתוך 400,000 רשומות בקובץ, 15,000 כרטיסי אשראי. מעבר לזה, היו שם תעודות זהות, כתובות אי-מייל ודברים אחרים שלטעמי הם יותר חמורים, הואיל ושעתיים לאחר שהמקרה הזה פורסם כל כרטיסי האשראי היו לא רלוונטיים. אנחנו חסמנו אותם, ואי-אפשר היה לעשות בהם יותר שום שימוש.

אני רוצה לברך על המהלך המאוד מהיר ומרגיע שעשיתם. חסמתם, אבל גם הודעתם ששום נזק כספי לא ייפול על מי שנפגע. מבחינה זו, אני חושבת שפעלתם מאוד נכון. מהבחינות האחרות של לומר: הנה, עכשיו אנחנו מחפשים את אותו האקר סעודי – אנחנו חיים בריאליטי. הסיפור הזה הוא אסון טבע. אנחנו יוצאים למלחמה עם פלזמה.

השאלה היא האם נגרם נזק או לא לבעלי כרטיסי האשראי?

אפס.

לא נגרם נזק כספי, נגרם נזק גדול מאוד לפרטיות עם פוטנציאל של גניבת זהות, ועבירות פליליות אחרות. אבל, במובן הכספי לא נגרם נזק.

אני מסכים עם מה שאומר יושב-ראש הרשות. הנזק הגדול הוא לפרטיות. מספר כרטיס האשראי פה הוא לא נושא בכלל. אני חושב שמי שמספר תעודת הזהות שלו נחשף צריך להיות הרבה יותר חרד.

תעודת זהות אי-אפשר להחליף, ביומטרי אי-אפשר. כרטיס אפשר.

נכון. אגב, גם נושא כתובות המייל, שאחר כך אפשר להיכנס לאתרי הפייסבוק, וכולנו יודעים מה יש שם. למעשה, לא נגרם כאן שום נזק פיננסי במובן הזה מהאספקט של כרטיסי האשראי. לגבי הבהלה, או אולי התקשורת בחרה להציג את זה כך כי זה יותר סקסי, ואנחנו עכשיו התכנסנו לדיון על ההאקר הסעודי, וגם פתחת שנפרצו אתרי כרטיסי אשראי. אני חושב שכרטיסי האשראי - ואני לא אומר את זה מהמקום האינטרסנטי, אלא מהמקום של האזרח שחי פה - זה באמת לא הנושא. כמו שאמרתי, שעתיים אחר כך כרטיסי האשראי היו לא רלוונטיים. בפועל, אף אחד ממחזיקי כרטיסי האשראי לא קיבל נזק.
אמרתי, ואני רוצה להדגיש שוב, יש אלפי אתרים בארץ שלא מקבלים פרטי כרטיסי אשראי, והם עדיין שומרים מידע. הם שומרים תעודות זהות, הם שומרים כתובות אי-מייל, והם שומרים כל מיני דברים אחרים.

אנחנו חוזרים כל הזמן לאותה בעיה של שמירה על פרטים מזהים שלנו שהנזק או האיום בצידם הוא מאוד מאוד גדול.

נכון. אני רוצה לומר דבר נוסף. נושא פריצת אתרים הוא נושא שקיים בעולם כל הזמן, כל יום. אני השתתפתי בכמה סדנאות בין-לאומיות של חברות כרטיסי אשראי שמדברות על נושא של גניבות כרטיסי אשראי. אנחנו עוסקים בזה כבר שנים. אני יכול להגיד שרוב רובם של המקרים – אגב, בעולם, לא רק בארץ – למעלה, מ-90% מהמקרים שבהם האתרים נפרצים, הם נפרצים בגלל שאין שם אבטחת מידע. חשוב לומר שמי שמנסה להגיע לפרטי מידע רגישים כדי לעשות בהם איזשהו שימוש לתועלתו, הוא לא מחפש דווקא את האתגר הטכנולוגי. הוא מחפש את המידע, והוא ילך לאתרים הלא מאובטחים. לכן, אנחנו צריכים לטפל בהעלאת הסטנדרט פה בארץ של אבטחת המידע. אולי אי-אפשר יהיה להגיע ל-100% של הגנה, אבל אם אנחנו נגיע ל-90% או 95% הגנה, כפי הנראה הוא ילך לדלת של השכן. ואם זה לא יהיה בארץ אז זה טוב.

גיל, תודה רבה. חבר הכנסת רוברט טיבייב.

תודה רבה, גברתי היושבת-ראש.

שאלה לי אלייך, כמה ניסיונות פריצה היו לחברה שלך, באיזה סדרי גודל? האם הפריצות הן בשבוע, בחודש?

אתה מדבר על ניסיונות הפריצה ל-כ.א.ל?

כן.

לכ.א.ל, אני לא יודע. מעולם לא נפרץ לנו. אין לי את הנתון להגיד כזה דבר.

היו ניסיונות?

אני לא עוקב אחרי ניסיונות הפריצה לחברה שלי.

זאת אומרת, כמו שאני מבין מהתשובה שלך, לא היו ניסיונות בכלל של פריצה בחברת כ.א.ל.

אני מעריך שהיו. אבל, אני לא יודע לתת לך מספר כזה. בפועל, לא - - -

אם נעשה חקיקה שחברות תחויבנה להודיע על פריצות לאתרים שלהן אז נדע.

לא. אני יודע שלא היתה לנו פריצה, לא היתה אלינו פריצה. אתה שואל על ניסיונות פריצה. אין לי מושג לגבי הניסיונות. אבל, פריצות בפועל מעולם לא היו לנו.

אני לא רוצה למשוך את הדיון מעבר ל-13:30 - לפחות לשאוף לכך - ויש לנו עוד כמה דוברים. אני ממש מבקשת למקד ולנסות לדבר פרקטית. הדיון היה חשוב, והבנתי כמה דברים שחזרו על עצמם, ובסוף אסכם את זה. אם יש להוסיף על זה דברים פרקטיים, אני אשמח.
אנחנו נשמע קודם את עו"ד יהונתן קלינגר. לאחר מכן את ארז מטולה, ויש לי עוד ארבעה לפחות, שי חיימוביץ מייד.

אני רוצה להגיד שני דברים שעד עכשיו לא נאמרו. אני כמובן חוזר על כל הדברים הטובים שאמרו עד עכשיו.

דיברנו רק על אבטחת מידע באינטרנט, ועל מאגרים ממוחשבים. אף אחד לא שאל: מה קורה עם הפיצרייה השכונתית שלה אנחנו נותנים בטלפון גם כרטיס אשראי, איך אנחנו אוכפים את היכולת שלנו לדעת שהבחור בפיצרייה לא לוקח את הכרטיס גם כן, וששם יש נהלים של אבטחת מידע. צריך לזכור, גם שם יכולים לגנוב, וגם שם יכולים לפרוץ. אולי לא האקרים סעודים, אבל ארגוני פשע ישראלים. אני לא מדבר על זה שהלקוח לא ניזוק. אבל, יש נזק.
הדבר השני הוא על מה שאנחנו קוראים לו מספר תעודת זהות.

לא צריך לתת תעודת זהות כשאני קונה פיצה.

לא צריך לתת תעודת זהות בשביל להעביר את עסקת האשראי בכלל.

לא, זה לא מדויק.

בתחנת דלק אנחנו משתמשים בתעודת זהות.

לא מדויק? השאלה היא האם אפשר לאסור, לא על חברות האשראי, אלא על גורמים אחרים לבקש מידע שהוא לא ניתן להחלפה?

שאלה מצוינת. לא ניתן תשובה כרגע. אבל, אני בסיכום אבקש תשובה. זה הפרט הכי מזהה.

ברור, וזו השאלה שצריכה לעלות כאן: האם אפשר לאסור על אגירה של מידע מסוים שהוא מיותר?

אני מודה לך. כדרכך, אתה ממוקד מאוד.

ארז, בבקשה.

תודה רבה. שמי ארז מטולה, ואני מומחה אבטחת אפליקציות. הייתי רוצה לחשוף קצת מהכיוון שלי כיצד אני רואה את הדברים.

קודם כל, אני חושב שאנחנו מתמקדים יותר מידיי ברטוריקה של עכשיו, ומה אנחנו צריכים לעשות, ואיך לגלגל את זה לחברות עצמן, ומה האזרח צריך לעשות וכו'. אני חושב שאנחנו צריכים להסתכל קצת יותר קדימה. אני חושב שצריכים להסתכל לא עוד חודש קדימה ולא עוד שנה קדימה, אלא אנחנו צריכים להסתכל עוד שלוש-ארבע שנים קדימה. צריך גם לראות היכן הבעיה מתחילה. לדעתי, הבעיה מתחילה מאלה שבונים את האתרים האלו, בסופו של דבר, ואת אותן מערכות, כי כאן הבעיה נולדת. הבעיה נולדת מאותו אדם שעכשיו כותב את הקוד, ועכשיו מרים את המערכת, ושעכשיו הוא אחראי על אתר מסוים, והוא פשוט לא יודע מה הוא צריך לעשות. כמובן שאי-הידיעה מה הוא צריך לעשות, במקרים מסוימים היא פשע. אבל, אני בא מכיוון אחר. אני מסתכל על זה ברמה האקדמית. היום כל בוגר אקדמאי תואר ראשון במדעי המחשב, בין אם הוא למד באקדמיה, ובין אם הוא למד במכללה, או בכל מקום אחר – אין לו בקוריקולום אבטחת מידע, ומפה מתחילה הבעיה. הבעיה מתחילה בכך שכאשר אדם הולך להקים את המערכת שלו, הוא יודע לכתוב כך שהיא תהיה יעילה, והוא יודע לכתוב אותה מבחינת Software Engineering הכי טוב שיהיה, ואנחנו ידועים כאנשים טובים בתחום. אבל, מבחינת אבטחה, אם הוא לא בחר את הקורס הזה כקורס בחירה, לא יהיה לו את הידע הזה.
אולי הפתרון הוא לא כאן בכנסת, אלא הפתרון מתחיל מהאקדמיה, או במוסד להשכלה גבוהה, או מל גוף אחר שצריך לדאוג לכך בתוכניות הלימוד יהיה קורס חובה באבטחת מידע. אני מסתכל על זה כמו שאני מסתכל על כל אזרח היום. גם אם הוא לא עוסק באבטחה יום יום, הוא עבר צבא, מכיר את המונחים הכי בסיסיים. הוא עבר בטירונות הכי בסיסית, והוא יודע להחזיק נשק. כישראלים יש לנו את הידע הזה באבטחה פיזית. אני חושב שכל אזרח צריך לדעת את הדברים הבסיסיים באבטחת מידע מחשובי. תודה.

אני מודה לך מאוד. שי חימוביץ מהמלמ"ב. מה זה מלמ"ב?

הממונה על הביטחון במערכת הביטחון במשרד הביטחון.

הוזכרה פה מערכת הביטחון בכמה משפטים על-ידי חלק מהדוברים. אני לא רואה פה כרגע עמיתים שלי מגופי ביטחון אחרים. אבל, מערכת הביטחון יודעת להגן על עצמה. למערכת הביטחון יש אמצעים ייחודיים ואמצעים אקטיביים, ואפשר לדבר מפה ועד הודעה חדשה על הדברים ועל ההשקעה.

ראשית, אני לא חושב שההשקעה שמבצעת רפא"ל בהגנה על עצמה, נכון להטיל אותה על "הריבוע הכחול", או על כל מיני גופים אחרים. שנית, האירוע הזה הוא לא אירוע ביטחוני, אלא הוא אירוע פלילי. אם יהיה אירוע כזה ביטחוני אז יש גופי ביטחון. אני לא זיהיתי פה את עמיתיי שאמורים לעשות את זה. אבל, יש גופי ביטחון שאמורים להגן על המדינה בפני אירועים כאלה, והם מתעסקים בגופים קריטיים.
אם יוחלט שיהיה איזה גוף במדינה – וזה לא משנה אם זו תהיה המשטרה, או השב"כ, אבל מישהו שצריך להגן על אזרחי המדינה בפני אירוע כזה – אז זה מייצר בעיה של פרטיות. אף אחד לא חושב שהמשטרה צריכה להגן עלינו ביום יום, בלי שום קשר לסייבר, בלי להיות נוכחת ברחוב. אם ירצו שאיזשהו גוף יגן עלינו מהסייבר, הוא יצטרך להיות שם. אני לא יודע אם כולנו היינו שמחים ששירות הביטחון או המשטרה ישבו לנו על החוט, ויראו מה אנחנו עושים במטרה להגן עלינו.

לא הבנתי מה אתה אומר. אתה בעצמך אמרת שהשוטרים מסתובבים ולא בהכרח עשינו משהו.

אני אומר שזה עניין של השקעה. השוטרים מסתובבים ביום יום ושומרים שלא יגנבו אותנו, ושלא יעשו לנו רע. אבל, הם לא יושבים לנו על החוט ורואים מה אנחנו עושים באינטרנט.

האם עדיף שסעודי יראה מה אנחנו עושים? תסביר לי את האיזונים.

אני לא חושב שעדיף שסעודי יראה.

לפחות שהמשטרה שלנו תסתכל, לא סעודי.

מאה אחוז. אם הציבור יקבל את זה שזה בסדר שהמשטרה יושבת על החוט ורואה מה כל אחד עושה באינטרנט או מה מגיע לו באינטרנט, אז זו החלטה ציבורית.

למה צריך את זה? מאיפה מישהו הציע פה לשבת על החוט? אף הצעה פה לא דיברה על ישיבה על החוט, היא לא נדרשת. אתה צודק בוודאי שאם המשטרה היתה יושבת על החוט היינו הראשונים לקפוץ לגבי האיזונים לזכויות אדם והבקרות. אף אחת מההמלצות פה לא דיברה לשבת על החוט. כמו שאמר בצדק ארז מטולה, כשבונים אתרים בלי רמת אבטחה בסיסית, ובלי להכניס בהם את זה, ואף אחד לא עושה על זה בדיקה. לאחר מכן מגלגלים את הסיכון על הציבור שהמידע שלו שם חשוף. אנחנו לא מדברים על ישיבה של המשטרה על החוט, ולא לבצע שום האזנות כתוצאה מכך. בסך הכול, מבנה תמריצים בסיסי. להיפך, זו חקיקה מאפשרת פרטיות כי היא חקיקה שמגדירה את רמת האבטחה שתהיה על פרטיותנו. אני לא ישיבה מאיפה הישיבה על החוט הזה הגיעה לכאן.

הבנתי, אבהיר. אם אחזור לדבריו של אבי וייסמן – יש כמה גופים שצריכים לשאת בנטל. זה יתחיל באזרח הקטן שצריך להיזהר, הגופים שצריכים לשמור על מה שיושב אצלם, ובאיזשהו מקום גם המדינה. הגופים ישמרו על מה שנמצא אצלם – זה בסדר. אבל, השמירה הזאת היא מוגבלת. זה שהאדם ייזהר במה שהוא עושה, גם זה בסדר. אבל, גם זה מוגבל. בסופו של דבר, אם יחשבו שזה דבר שנצרך, אז שאיזשהו גוף ממשלתי יסייע, וייקח את השכבה שלו בדבר הזה.

לגבי זה שגופים יעשו אבטחת מידע ראויה – אפשר לשאול מה זה אבטחת מידע ראויה? אם מישהו הזמין בדיקת חדירות, ובדיקת החדירות יצאה תקינה שלא היתה חדירה, כדאי שיחליף את מי שעשה לו בדיקת חדירות. כל אתר שיאובטח באמצעים סבירים ייפרץ באמצעים שהם קצת גדולים מהסביר. כולם צריכים לשאת בשכבות שלהם. כל עוד לא תהיה הגנה בכל השכבות, אז אנחנו נישאר עם אירועים כאלה.

אני מבינה שאתה מייצג פה את השב"כ.

לא, לחלוטין לא. מלמ"ב - אבטחת מערכת הביטחון. האירוע לא בטחוני.

אני לא הבנתי את ההצעה שלך. האם אתה ממליץ שאתם תטפלו בזה?

לא, לא. לחלוטין לא.

האם אתה כבר אומר: עלינו אל תבנו? לא הבנתי.

קודם כל, עלינו אל תבנו. זה לא בתחום האחריות שלנו לחלוטין.

ואם הכנסת תחוקק חוק שאתם תעשו את זה? לפי מה שאני שומעת כרגע, אתה אומר: עליי אל תבנו.

זה לא בתחום האחריות שלנו. אנחנו מאבטחים את מערכת הביטחון.

גברתי היושבת-ראש, מה שאת עושה מאוד מבורך וגם השידור הזה. כנציגת ציבור, מאוד מטריד אותי נושא הפרטיות של בני אדם. אבל, יותר מטריד אותי הביטחון האישי שלנו, ביטחון באופן כללי. מחר מישהו יכול להיכנס ולכבות לנו את כל החשמל, ויכול להיות שייזרקו פצצות מהאחד לשני. כשאני שומעת אותך, נראה לי שאנחנו צריכים אולי ללכת כמה צעדים קצת קדימה, כי בעיקר מטריד אותי שאני מחר לא אשלח איזושהי פצצה על עצמי דרך איזשהו האקר. לכן, כשאתה בא ואומר: עליי אל תבנו, אני קצת מודאגת. אולי צריך לעשות ישיבה נוספת, אולי צריך לפתוח את זה. אבל, זה מה שקצת מדאיג אותי.

איך אני אגיד את זה בעדינות? תלווי אותי מתחילת הישיבה אז תהיי קצת יותר רגועה, או יותר מבולבלת. אנחנו בהחלט דנו בזה. גם בדברי הסיכום אדבר על הדברים. יש פה הרבה מאוד גורמים ציבוריים שהם מאובטחים לטוב או לרע - אני לא יודעת באיזה מידה. אבל, יש מי שמטפל בהם. ד"ר קוזלובסקי מדבר על הבטן הרכה האזרחית, ושם אנחנו פחות מאובטחים. אני כל הזמן מנסה להבין מי ייקח עלינו את האחריות ברזולוציות הרבה יותר נמוכות, ואיזה טלפון אדום יהיה לי כך שאני אוכל לחייג אליו במידה ותהיה לי שאלה לגבי טיסה לפריס או לגבי קנייה של שמלה, האם האתר הזה מאובטח, או האם אני צריכה לתת תעודת זהות או קוד סודי כזה או אחר, או מספר נעליים. כל הדברים האלה הם בדיוק הדברים שאנחנו התייחסנו אליהם במהלך הישיבה המאוד הארוכה הזאת, ונמשיך להתייחס. אני בסוף אסכם. אני ממש עושה לי פירמידה פה, ואנסה מכל המכלול לצאת עם איזושהי מסקנה ועם איזשהן החלטות. מה שברור הוא שיש פה מקום לחקיקה, ואנחנו בוודאי נשתף פעולה בעניין.

בסיכום שלך הייתי רוצה לדעת האם אני יכולה להיות רגועה, מעבר לבטן הרכה עליה הוא מדבר, לגבי ביטחונה של מדינת ישראל? האם בקטע הזה אני יכולה להיות רגועה?

לא. הדבר היחיד בו את יכולה להיות בטוחה הוא שמכל אומות העולם יש פה ריכוז של מוח יהודי הי-טקיסטי ברמה גבוהה. אנחנו צריכים להיות מנותב למקומות הנכונים.

ועדיין סעודי פרץ. הוא בטח יהודי.

רק עכשיו מסרו לי כי פורסם היום ש"אנונימוס" פרסמה אלפי כתובות מייל, סיסמאות מוצפנות ומידע אישי של בכירים בצבא ארצות-הברית, בריטניה ונאט"ו. אז עדיף לחיות פה.

אבל, אנחנו לקראת סיום ואני לא רוצה לפספס, גיל ארתר מחברת סליקה גדולה.

שלום, אני סמנכ"ל בחברת סליקה גדולה. אני מייצג את ספק השבא. יש 140 כאלה בישראל לפחות. אנחנו אחד מהם, אנחנו גדולים.

החלטת לדבר כשאמרתי שלא נעשה מסחר אלקטרוני.

לא, לא. אנחנו מעבירים מיליוני עסקאות.

אני מדבר על הפתרון. הפתרון החל כבר לפני מספר שנים. הפתרון הוא תקן PCI. התקן ברמה הכי גבוהה שלו הוא תקן שלוקח את האחריות על אחסון הנתונים על חברות הסליקה. כרגע יש מספר חברות סליקה שעומדות בתקן הזה. אם נתמקד באתר האינטרנט, דף הסליקה של אתר האינטרנט הוא של חברות הסליקה.

איך היית פותר את החדירה ל-ONE? הוא לא סולק.

והשאלה היא האם זה חל גם על מידע אישי, מעבר לפרטי כרטיסי אשראי?

ה-PCI לא מתאים למידע אישי.

בואו נתמקד כרגע באשראי, ונוכל לדבר גם על הפרטים אישיים.

- - -פה יש פתרון, וחברות האשראי עושות את הפתרון.

בנוגע לדף האבטחה, הדף הזה הוא של חברות הסליקה. אני מציע שיהיה שם אייקון קבוע של תקן. האייקון הזה יוביל למסמיך, לשרת של המסמיך עצמו. בעבר שתאריך ההסמכה עבר, תקפוץ הודעה וזה יועבר במסגרת החוק לרגולטור, והוא יורשה לעשות מה שצריך לעשות במסגרת החוק.
לצרכן – יכולים לפרסם איזושהי שיקופית כמה דקות, ויסבירו על האייקון הזה שנמצא בכל אתר. הצרכן ילמד את זה לאט לאט.

בנוגע לפרטים הרגישים, ובנוגע לאתר שלא סולק – אתר שלא סולק, חברת האשראי תפקח עליו ותראה שהוא לא - - -

אתר שהוא לא סולק. ילד יחליט להרים אתר ולאסוף כתובות, אני צריך ל - - -

שוב, הוא צריך לעמוד בתקן. אם הוא לא עומד בתקן - - -

אתה מציע שחברות האשראי יפקחו על אתר להיכרויות?

יש לך שתי אפשרויות של עמידה בתקן: או שזה חברת סליקה שכאלו יש במספר גדול בישראל, או שזה בתי עסק גדולים. ברגע שזה בית עסק גדול שרוצה לעמוד בתקן, אם הוא לא עומד בתקן הוא לא יורשה להחזיק פרטים אישיים. יש תקן נוסף שאפשר להוציא אותו במקביל, אותה דרך בדיוק עם מסמיך, שזה תקן לפרטים לרגישים – אייקון. אותו אייקון נמצא באותו מקום שנותן אפשרות לרגולציה לפקח על הפרטים הרגישים שמאוחסנים באתר. האתר לא מאחסן את הנתונים הרגישים. מי שמאחסן את הנתונים הרגישים היא החברה שמוסמכת לאפסן את הנתונים הרגישים - זה הכול. אם זה חברה גדולה אז החברה צריכה לעמוד בתקן עצמו ולאחסן את הנתונים הרגישים.

אני רוצה להבין. תקומנה מספר חברות שהוסמכו להוות מאגר של נתונים.

חברות סליקה, ספקי שבא.

חברות סליקה זה חברות אשראי, לא?

יושבת-ראש הוועדה, יש פה ערבוב בין דברים. ההצעה היא מאוד נכונה לגבי סליקה, ואני חושב שההצעה המוצעת פה לחייב ב-PCI בשביל לאבטח ברמת הסליקה היא הצעה חכמה ונבונה. היא לא פתרון לפרטים האישיים. חס וחלילה שנקבע לנו שיהיו מספר גופים במשק שרק הם הופכים להיות מאגרי מידע ענקיים שבהם אוספים את כל הפרטים של האתרים. אולי ההצעה לכנסת היא שרמו"ט תוסמך לא רק להגנה על הפרטיות, אלא להגנת אבטחת מידע בכלל בסקטור הפרטי. יש גוף מקצועי שיכול לעשות את זה.

החוק עוטף את שני הנושאים האלה: אייקון אחד לאשראי, אייקון אחד לפרטים אישיים.

אתם תעזרו לי בסיכום אם פספסתי התייחסות.

אני חייב להתייחס פה. אני אסף ויסברג, סגן נשיא ISACA. ההתייחסות תהיה קצרה מאוד.

כל הזמן נעים פה בין הצד של פרטים אישיים לצד של כרטיסי האשראי. אם מסתכלים על חוק הגנת הפרטיות, להבנתי לפחות, חוק שנחקק ב-1981, אם אני זוכר, ויש לו עוד תיקון ב-1986, הוא מדבר על סוגים שונים של נתונים שנחשבים כרגישים. הוא לא מדבר, למשל, על כרטיסי האשראי, מספרי כרטיסי האשראי ככאלה.

מספר אשראי כשלעצמו הוא לא מידע רגיש.

אני לא יכול להוסיף מה המשמעות של זה ברגע שאתה משלב את מספר כרטיס האשראי יחד עם שאר דברים.

אין לזה שום משמעות. אני יכול להקריא עכשיו את מספר כרטיס האשראי שלי, ועוד שלוש שניות לא תהיה לו משמעות.

כרטיס האשראי שלך אולי לא, שלי כן.

גם לא.

אני לא יכולה לרכוש באמצעות הכרטיס? אה, ברגע שמבטלים. הוא לא יודע שגנבו לו, אז הוא לא מבטל.

עם כל הכבוד לחברות האשראי שאתן גדולות וחסונות, יש פה ניסיון להסיט את הפוקוס מהמקום. יש כאן בעיה גלובאלית. הבעיה מדברת גם על נושא של מידע אישי, וגם על נושא של כרטיסי אשראי שיכול לייצר נזק.

לכולנו ברור המקרה הספציפי של הבחור הספק סעודי הזה, שכולם החליטו שהוא סעודי, זה שהוא ניסה לעשות פה טרור. הוא לא ניסה להשתמש בכרטיסים. אתם בזריזות רבה חסמתם - תודה רבה וכל הכבוד – גם את של אשתי. הנקודה הזאת לא פוטרת אף אחד. עד שלא ישימו את כל התהליך הזה כדבר הזה כדבר אחד עם אחריות אחת ולהגיד שמידע רגיש הוא כולל סט ארוך יותר של פרמטרים, ולא רק את מה שנוח לכם להגדיר כסט של פרמטרים רגישים, הדבר הזה לא ייפתר. במקרה הספציפי הזה מאחר ויש פה את כל הסיפור הזה שיצא לתקשורת, כי המטרה היתה לצאת לתקשורת, רצתם וסגרתם. מה קורה עם כל אותם מקרים שכולנו מבינים שקורים כל הזמן שלא מודעים לזה ונעשה שימוש כזה?

אנחנו לא פותחים עכשיו ישיבה על זה.

נאמרים פה דברים מתוך חוסר הבנה, וחשוב לתקן אותם. אין אזרח בישראל שפרטי כרטיס האשראי שלו דלפו בחמש השנים האחרונות – אני לא יודע להגיד לפני כן, אני מניח שהמצב הוא אותו דבר – והוא ניזוק כספית מזה. כל מי שבוצע הונאה בכרטיס האשראי שלו עקב דליפה, קיבל חזרה את הכסף - אפס נזק.

האמת היא שהסיפור הזה ממש לא מטריד אותי כי אתם נותנים. איך אמר לי אתמול נמרוד? יש לכם תמריץ לאבטח את עצמכם.

אנחנו היחידים שפועלים בשוק, אז לבוא ולהגיד שכרטיסי האשראי מהווים כאן איזשהו סיכון?

- - -מכיוון שלכם יש אינטרס בשימוש כרטיס אשראי במסחר אלקטרוני, ושבמהלך השימוש בכרטיס האשראי בתהליך אלקטרוני יש איסוף מסיבי של מידע, השאלה היא האם לא צריך את ההגנה הזאת גם על הפעילות הזאת?

שוב, ברגע שאתר ONE נפרץ פעם והיו שם עשרות אלפי כתובות מייל ותעודות זהות, הוא לא סולק כרטיסי אשראי, הוא לא מקבל כרטיסי אשראי. הוא לא בא במגע עם כרטיסי אשראי, והוא עדיין ייצר כזה נזק של עשרות אלפי פרטים. אגב, תקן ה-PCI לא נוגע לדברים אחרים, מלבד פרטי כרטיסי האשראי. ה-PCI לא יפתור את איסוף כתובות המיילים ותעודות הזהות, ורשימת הקניות שעשית, והתלונות שהתלוננת.

אבל, אם הוא מחייב הצפנה של פרטים - - -

לא, הוא לא מחייב.

עו"ד יורם הכהן, אני חושב שההצעה הזאת היא מצוינת. אם תהיה חובת הצפנה של פרטים שהם פרטים רגישים או ריבוב שלהם – וכולנו יודעים, פונקצית הש – אין ספק שהנזק ייעלם אם המידע ידלוף.

מה זה "פונקצית הש"? גם הצופים לא יודעים מה זה פונקצית הש?

פונקציה שמצפינה את המידע ושומרת אותו בצורה שהיא לא קריאה בתוך בסיס הנתונים או בתוך קובץ.

היא לא מצפינה, היא ממזערת.

הבנתם?

הבנו, הבנו.

אני פונה לצופים.

הבנו. הם הבינו את זה כבר באמצע הדיון.

אני חושבת שאחת נקודות המבט הבסיסיות שלנו צריכה להיות מניעת מאגרי המידע. אחד הדברים שהקפדנו לעשות בחוק הביומטרי, בהנחה שאותו מאגר שניתנה לנו חוות דעת משפטית שהוא אכן בעייתי, אבל החוק עבר יחד עם המאגר הביומטרי, היא בכל הנקודות בדרך לא לאפשר את אגירת המידע. כלומר, כל נקודה בדרך שבה אגירת המידע היא אפשרית, היא אסורה. אנחנו נראה במבחן הזמן אם באמת יקפידו על זה או לא. אבל, אחת הנקודות המבט החשובות היא לאסור את אגירת המידע. לכן, אנחנו צריכים לראות מראש איפה אגירת מידע מחויבת או לא מחויבת, לפני האיסוף.

אני חייב לומר כמה מילים להצעה הזאת. היא הועלתה כמה פעמים גם לגבי רשומות רפואיות ולגבי רשומות אחרות. יש איזושהי הנחה שאני יכול לאחר שהמידע נמסר לסכל את היכולת לאגור אותו. אין דבר כזה, אין חיה כזאת.

לא, אני רוצה לחוקק.

לכן, מה שבעייתי זה או ללכת להצעות כמו הצעות של עו"ד קלינגר שאומר: יש פרטי מידע שאסור לך לדרוש כמו תעודת זהות, או חובה כמו שאומר ראש הרשות עו"ד יורם הכהן שאתה מחויב בהצפנה או בריבוב של המידע - מה שנקרא הש – כדי שגם אם הוא יתפרץ הוא לא יהיה שמיש.

זה חלק מתקנות אבטחת המידע.

אני יודעת שיש חוקים ויש תקנות. השאלה היא כמה אנחנו אוכפים.

האם יש מישהו מציבור המשתתפים כאן שמעוניין להגיד כמה דברים קצרים? יש לי עוד חמישה דוברים, נסגרה הרשימה. תציגו את עצמכם, בבקשה.

ג'קי אלטל, יועץ אבטחת מידע. אני רוצה להתייחס לכמה נקודות. הנקודה הראשונה היא נושא המודעות שהעלה אותה מר אבי ויסמן, ומר ארז מטולה. אם ארז התייחס לפיתוח מאובטח וכיצד צריך לפתח אפליקציות, אבי התייחס להדרכות. אני חושב שצריך להתמקד בזה הרבה הרבה יותר ברמה הארגונית גם כתקן, איזה סוגי הדרכות צריך להעביר את העובדים. ברמה של האזרח הפשוט, אני לא חושב שאזרח יכול להתייחס לאיזשהו אייקון כזה או אחר שיופיע. בהנחה שהוא יודע שיש את האייקון הזה, מבחינתו הכול מוגן והכול תקין. כי אם אותו אזרח יתחבר לרשת שהיא לא מאובטחת, בכל בית-קפה היום ניתן להאזין ולקבל את הפרטים האישיים שלו רק באמצעות כלים בסיסיים שנמצאים באינטרנט.

לגבי ההתקפות שדיברנו עליהן, או OxOmar שהוא באמת נהיה כוכב גדול – הבחור בסך-הכול Script Kiddie. אנחנו מדברים על האקר ברמה הנמוכה ביותר. הוא ממש ממש לא מתוחכם. אני חושב שהוא אפילו לא השתמש בכלים שהם כל-כך מתוחכמים. אלו כלים שניתן להוריד מהאינטרנט. כל אחד יכול להפוך ל- OxOmarבקלילות מבלי להתאמץ ומבלי לדעת יותר מידיי מה הטכנולוגיות שאתה עובר.

מבחינת החברות – שמו של אחד האתרים שנפרצו הופיע ברשימה של אתרים שידוע שהם פגיעים להתקפות מסוימות, למעלה משלוש שנים באינטרנט.

איזה אתר?

אחד מהאתרים.

תגיד.

SALE 365. לדוגמא, זה אתר שהיה ידוע כאתר פגיע, לפחות שלוש שנים.

זה היה כתוב בעיתון.

כן, אני חושב שאני ציינתי את זה שם.

מעבר לזה, דיברו על המוח הישראלי. אני רוצה לבצע הפרדה בין תקיפה להגנה. אני אקח אנלוגיה של משחק כדורגל כדי שכולם יבינו בדך הפשוטה. אי-אפשר לקחת חלוץ ולהגיד לו לשחק עכשיו כבלם, ולקחת בלם ולהגיד לו להיות חלוץ.

אפשר, אבל אחר כך מפטרים את המאמן.

עוד לפני שמפטרים אצלנו במדינה.

זה לא עובד כך. יש אנשים שמתעסקים בתקיפה, ויש אנשים שמתעסקים בהגנה. יש כמובן אנשים שעושים את שניהם. אבל, זה חייב להיות ברור שללא מודעות של הציבור הרחב, שום תקן לא יעזור. תקן יכול למנוע התקפות כאלה? אני לא חושב. לא הייתי אומר שהוא יכול למנוע.

או לצמצם נזקים.

כן, הוא יכול לסכל. הוא יכול לתת את האפשרות או את הכלים לאנשים שעומדים בחברות ובארגונים לזהות את ההתקפות האלה מבעוד מועד ולהתמודד מולן.

תודה רבה.

שמי יעל, ואני נציגת המועצה הלאומית למחקר ופיתוח. בראש המועצה עומד היום פרופסור יצחק בן-ישראל.

שני דיברה על המטה הלאומי, ואני רוצה לדבר קצת על המיזם. המיזם הקיברנטי הלאומי עבד בערך כשנה, שנה פלוס, עם מנדט מראש הממשלה לבחון את כל הסוגיה הזאת. אני רוצה לתת מענה לכמה סוגיות שעלו פה: חקיקה ותקינה, אקדמיה, הגנה, ניטור ובקרה וכו' וכו'. חשוב לציין שעבודת מטה הסייבר הלאומי נעשית על סמך רוב ההמלצות שעלו מהמיזם הקיברנטי שאותו הצגנו בעבר כאשר חבר הכנסת שטרית היה יושב-ראש הוועדה.

חשוב לציין שהוועדה נתנה מענה לכל מה שעלה פה, אם זה אקדמיה, אם זה הקמת חוגים לסייבר וכו' וכו', ועניין חקיקה ותקינה. היא נתנה המלצות בכל תחום. היו שמונה תתי-ועדות בתחומים הללו. ניתנו המלצות בתחום הזה. על-פי ההמלצות הללו מטה הסייבר הולך לפעול. הם כמובן ירחיבו את ההמלצות. אבל, זה פחות או יותר הדברים.

לשאלתה של חברת הכנסת יוליה שמאלוב ברקוביץ, וגם במענה למה שאמרת – היתה המלצה להרחיב את סמכויות הרשות לאבטחת המידע בשב"כ כגוף ביצוע לטיפול במרחב האזרחי גם. מהסוגיה הקטנה מאוד של אבטחת כרטיסי האשראי, צריך להסתכל על סך-כל המרחב. בסופו של דבר, זה טרור. זה המענה שהמיזם רצה לתת – הגנה על כל המרחב הקיברנטי ברמה המאוד לאומית הזאת של ניתוק אספקת החשמל, לדוגמה, או ניתוק הכבל הימי וכו' וכו'.
רם הוא יועץ לתחום הסייבר במועצה הלאומית למחקר ופיתוח, והוא קצת ירחיב את דבריי בתחום היותר מקצועי. רק רציתי לתת מענה שהדברים האלה כן נעשו. היה פה בחור שהלך. אבל, כן נעשתה אינטגרציה בין מיטב המוחות, מיטב הגופים, נשיאת האקדמיה למדעים, מפא"ת.

האם ההמלצות של ועדת בן-ישראל מפורסמות באיזשהו אתר?

כן.

תאמרו איפה.

שוב, נעשתה אינטגרציה, גם בתחום הביטחוני עם מפקד יחידת 8200, - - -

יעל, אני לא רוצה לרדת לפרטים התיאורטיים האלה. אני שמחה שאת מרגיעה. אני רק מזמינה אותך לעשות לי בוחן פתע. אני אסכם בסוף, וכל מה שתחשבי שהוא כאילו כפילות של המלצה שממילא ניתנה, תעירי. בואי נראה שסגרנו את כל החורים.

שמי רם לוי, יועץ סייבר של המולמ"פ. אני שימשתי כמזכיר של המיזם הקיברנטי. קודם כל, אני כן רוצה להעביר מסר מרגיע. מהבחינה שאנחנו עשינו שכללה את כל הגופים דווקא גילינו שמצבנו לא כל-כך רע, לפחות לא בתחום של ההגנה של מה שנחשב אצלנו כחיוני לתפקוד המדינה.
אני חושב שהאירוע הזה, מעבר לזה שאנחנו מסתכלים עליו כאירוע של אבטחת מידע ואירוע של הגנה על הפרטיות, צריך להסתכל עליו גם במסגרת משפחה של אירועים אחרים לגמרי, משפחת האירועים של פגיעה בתפקוד המדינה. למה אני אומר את זה? קודם כל, בגלל שזה מה שאמר ההאקר בעצמו, שזו היתה מטרתו. וכן, כי כשאנחנו באים לבחון אלו מענים אנחנו נותנים לאירוע הזה, אנחנו צריכים לתת מענים שהם רלוונטיים לבעיות הרבה יותר גדולות. הסיבה לזה היא שגם אם ניתן עכשיו מענים שהם רלוונטיים לאבטחת מידע, לא בטוח שנפתור את בעיית אבטחת המידע של הבקרים של המזון בחברת "אוסם", או של רכבים שיש להם בקרים ממוחשבים, או של חברת החשמל, או של המון המון תשתיות לאומיות שנשלטות על-ידי מחשבים, וצריך לזכור את זה.

אמרת שאתה רוצה להרגיע, אבל אתה לא מרגיע. אני חשבתי ששם אני מסודרת, ושאת המזון שלי אני אקבל בזמן גם אם תהיה מתקפה קיברנטית. חשבתי שהבטן הרכה שלי היא בקטע האזרחי שלי כאשר אני קונה שמלה או טסה לפריז.

הבטן הרכה היא, וזו לדעתי השורה התחתונה, היא שיותר ויותר מערכות חיוניות נשלטות על-ידי מחשבים. כמעט כל המערכות האלה נשלטות על-ידי מחשבים, ולכן גם אפשר לפגוע בהן. זה אומר שאנחנו צריכים להשקיע מחשבה בשאלה איך אנחנו מגינים עליהן. איפה אנחנו רגועים? במקומות שהרשות הממלכתית לאבטחת מידע ותהיל"ה כבר עושים עבודה למעלה מעשר שנים.

אז איך פורצים כל יומיים מחשב של משרד ממשלתי זה או אחר? לא כל יומיים, אבל מספיק שזה קורה פעם אחת.

הסיבה לכך שזה קורה היא כי יש בעיות אבטחת מידע שהן אינהרנטיות כי בני אדם מפתחים אותן. יש דברים שאנחנו לא חושבים עליהם תוך כדי שאנחנו מפתחים אותם, ויש גם בעיות שעולות תוך כדי השימוש. למשל, הגורם האנושי. אדם יכול לבוא עם דיסק-און-קי ולגנוב כמות גדולה של אינפורמציה. אני לא אומר שכל הבעיות הן פתירות. אני רק אומר שהמדינה כבר התמודדה עם חלק מהבעיות. היא יודעת להתמודד איתן בצורה לא רעה. אבל, נוצרה בעיה חדשה. בגלל שהתמחשבנו בקצב נורא נורא מהיר נוצרו התשתיות התת-קריטיות והן לא חברת חשמל או המפעלים פטרו-כימיים שלהם כבר אומרים מה לעשות, אלא קבוצה של המון המון תשתיות שכל אחת בנפרד היא לא חיונית, ובכל אחת אני יכול לפגוע במאמצים יחסית לא גדולים. אבל, אם אני אפגע בהן ביחד אני כבר אגרום נזק תפקודי למדינה.

למה הבעיה הזאת נהייתה בעיה חמורה? כיוון שנכנסו שחקנים חדשים שהם Nation State Actors. זאת אומרת, המדינות נכנסו פנימה לתוך הסיפור הזה של הסייבר.

רם, לא הבנתי איפה אתה מרגיע אותנו.

אני מרגיע בזה שאני אומר כך. בכל מה שקשור להגנה על תשתיות חיוניות מצבנו לא כל-כך רע. יש המלצות שגיבשנו במהלך המיזם שהן רלוונטיות כמעט לכל תחום שנגענו בו. אולי המסר החשוב ביותר הוא שלא ניתן לפתור את זה לבד. זאת אומרת, צריכים לשבת ביחד - מטה הסייבר יחד עם ארגוני הממשלה, האקדמיה והתעשייה - כדי לפתור את הבעיות שהן רלוונטיות לכולן. אנחנו הגשנו את ההמלצות, הן אומצו על-ידי ראש הממשלה. מטה הסייבר יצטרך ליישם את ההמלצות האלה, וצריך לתת לו זמן.

תודה רבה. נציגת משרד החוץ, אמנת בודפשט, בבקשה.

שמי אסתר אפרת-סמילג. אני סגנית היועץ המשפטי ומנהלת מחלקת אמנות במשרד החוץ. אני רוצה להתייחס לאמנת בודפשט שהזכירו אותה כאן. ביוזמת משרד החוץ אנחנו יזמנו בדיקה של האמנה במגמה להצטרף אליה. לגמרי במקרה הישיבה נקבעה למחר. בכל בדיקה לפני הצטרפות לאמנה בודקים סעיף סעיף אם זה מתאים כן או לא לחוק הישראלי. אם זה אנחנו מתאים, אנחנו יכולים להצטרף. אם לא, צריך קודם לתקן את החוק לפני שאנחנו יכולים להצטרף אמנה.

היתה לכם הבעיה של חוק זכויות יוצרים. ב-2007 חוקק, זה נפתר.

אנחנו נבדוק את הכול. המגמה היא לבדוק מחר. דבר נוסף, אנחנו פנינו לכל משרדי הממשלה. הבדיקה היא כמובן של הממשלה, ההצטרפות לאמנה היא של הממשלה. אנחנו פנינו לכל מי שאנחנו חשבנו שהוא רלוונטי. אם יש איזשהו גורם - - -

כמה זמן זה ייקח להערכתך?

אין לנו - - -

תנדנדו למשרדי הממשלה, הם לא מבינים את האיום.

אני יכולה להגיד שהיתה היענות מאוד גדולה של כל משרדי הממשלה.

אנחנו נקיים דיון בוועדת המדע. האם פרק זמן של חודשיים ימים הוא סביר? אם כן, בעוד חודשיים, ונביך את כל משרדי הממשלה שלא ענו לך. אני מקווה שלא נביך ותודיעי שאנחנו כבר חתומים לגזור את הסרט.

להיפך, ההיענות היתה גדולה מאוד.

תודה רבה. אדוני, מילה על זה.

חיים ויסמונסקי, פרקליטות המדינה. אנחנו באמת נפגשנו בהקשר אחר בוועדת המדע ודיברנו על האמנה. לא יצא לי אפילו ללחוץ יד לגברת ממשרד החוץ. אני ממש מעדכן חם חם מהבוקר. הבדיקה המשפטית לגבי ההיתכנות להצטרף לאמנה – קרי, האם יש סעיפים שצריכים לתקן אותם – הביאה אותנו למסקנה שיש סעיף אחד שאנחנו כנראה נצטרך להציע בו תיקון חקיקה. אנחנו לוקחים את זה על עצמנו באופן מהיר ככל הניתן לפרסם את התזכיר. אבל, צריך לזכור, זה הליך חקיקה על כל המשתמע.

אם זה יבוא לוועדה שלנו, זה ילך מהר.

זה לא תלוי, לפחות לא בי כרגע. זה איזשהו סעיף באמנה – ARTICALE 6. בחוק הישראלי צריך לתקן סעיף שהוא מתכתב עם סעיף 6 לחוק המחשבים. זה סעיף פלילי עונשי. אני מבטיח שמשרד המשפטים יפעל מהר ככל הניתן. אבל, עדיין מדובר על הליך חקיקה.

אנחנו נדבר עם שר המשפטים שיגיע לכאן, ואז חוקה ישים לנו מכשול, וזה ייתקע.

המכתב של גברתי יגיע לשר המשפטים.

תודה רבה. אדוני, בבקשה בקצרה. אני חייבת לתת את הסיכום בשידור.

שמי ניר פסי, אני סגן נשיא איגוד ISSA. האיגוד עוסק או מאגד בתוכו אנשי אבטחת מערכות מידע בישראל.
אני רוכש באינטרנט, בעיקר מאתרים מחו"ל. ראשית, כי שם אני לא נדרש לתת תעודת זהות שלי שזה ערך שמאוד בעייתי לתת אותו. שנית, יש איזשהו שירות שחוסם מאחרים מאותם אתרים, להכניס לתוך מאגרי המידע שלהם את נתוני האשראי שלי. הדבר הזה קיים הרבה מאוד שנים, שירות שנקרא PAYPAL. אני ממליץ לחברות האשראי הישראליות כן לפעול בתצורה הזאת כי זה העתיד, וזה הדרך באמת למנוע פריצות מידע. הנתון היחיד שיש שם זה בסך-הכול כתובת מייל ללא הסיסמא של המייל שלי, ואין עם זה בעיה.

בוועדת החוק הביומטרי, כאשר גם דנו על הנושא הזה, היתה המלצה למנוע מארגונים או מחברות סחר לבקש מאנשים את תעודות הזהות שלהם. אני לא יודע איפה זה עומד היום. אבל, היתה בקשה. אנחנו רואים שהחוק הביומטרי עבר, אבל הדגש או האכיפה של הדברים האלה לא נעשית היום.
לגבי שקיפות או מרכז מידע – אנחנו מאוד תומכים ומעודדים את הדבר הזה. אנחנו בעד שאנשים יגלו את אותם מקרים בהם מידע שלהם נחשף ואמצעים להתגונן בהתאם.

לסיום, לגבי תקן PCI שאנחנו עוסקים בו אך ורק בנושאים פיננסיים – התקן נועד אך ורק לבקרות. חשוב להבין שכשאנחנו באים לחקירה – ופה אני מדבר מניסיוני, אני מומחה לתחום חקירות פורנזיות – ובשל כך כשאנחנו ניגשים לחקירה הבקרות הללו הן מאוד מאוד חשובות. אם כן תהיה כפייה של רגולציית PCI לכל אותם גופים במשק שעוסקים במסחר, אם זה באינטרנט, אם זה לאו, כן יהיו לנו, לגופי משטרה, או לגופים אחרים, אפשרויות לבצע את האכיפה או את החקירה שלאחר מכן.

אתה ממליץ. תודה רבה לכולם.
אני מנסה לסכם משהו שיתכלל את מכלול המסרים כאן.

ראשית, אני קוראת לרשות הסייבר – גם אם יעל אמרה שממילא גם פרופ' בן-ישראל קרא להם - לזמן ולשתף חברות ישראליות מובילות בנושא אבטחת מידע. גם אם תגידי שאתם עושים – נהדר. אבל, הנה, ביקשתי, ואנחנו נבדוק.

אני קוראת לרשות הסייבר לפרסם סטנדרטים לאבטחת מידע. אני מניחה שבעקבות פרסום הסטנדרטים ניחשף למוצרים ולפתרונות אותם יציעו חברות הי-טק ישראליות. גם רגולציה.
אני חושבת שעלו פה שתי בעיות. האחת היא מסירת פרטים מזהים. לכן, אני מבקשת – אני לא יודעת אם לבקש את זה מרמו"ט, נראה לי מרמו"ט – להגדיר מה זה פרטים מזהים רגישים, ובתוכם לשקול את ההצעה שעלתה פה לכלול בתוך זה גם את נושא מסירת תעודת הזהות. על פניו נראה כי מסירת תעודת זהות היא מידע רגיש שכנראה זה לא מחויב המציאות למסור אותו. בחו"ל לא מוסרים את זה. בוא נראה איך אפשר לעשות סחר אלקטרוני, למשל, בלי למסור מידע כל-כך רגיש שכל-כך מזהה אותנו. זה דבר אחד באשר לפרטים מזהים.
אני מבקשת מרמו"ט – ראשית, לפרסם סטנדרטים מה זה פרטים רגישים, ובתוכם לתת תשובה בהגדרה האם לתת מספר תעודת זהות או לא, והאם זה רגיש או לא.
הדבר השני שעליתי עליו כמוקש, יחד איתכם ובעזרתכם, הוא נושא שמירת אותם פרטים במאגרי פרטים, אגירת הפרטים. יכול להיות שיש מקומות שנחוץ לאגור פרטים. אני רוצה להתייחס לזה באופן הבא. מה שבטוח הוא שכל האתרים שאוגרים פרטים חייבים להיות מאובטחים. זאת אומרת, אבטחת מידע חייבת לחול עליהם. לפיכך, צריך לעשות כמה מהלכים. ראשית, לפנות לאקדמיה, למועצה להשכלה גבוהה – אנחנו נעשה את זה – לקיים קורס חובה שייכלל בתואר ראשון במדעי המחשב. אני גם אמליץ להם להתייעץ עם חברות אבטחת מידע מובילות בשוק הישראלי כשהם קובעים קורס חובה כדי להבין מה נדרש להילמד ללמוד במסגרת הקורס.

זה אבטחת מידע ופרטיות.

אבטחת מידע ופרטיות, בסדר.

שנית, בהקשר הזה אני מבקשת – ואני לא יודעת ממי לבקש, מרשות הסייבר או מרמו"ט – את הנושא של רישוי מקצוע של אבטחת מידע.

זה משהו שייבחן אצלנו.

רשות הסייבר. זה הא בהא טליא, יחד עם האקדמיה גם כן כחלק.

הפורום הישראלי עוסק בזה כבר שלוש-ארבע שנים, ונשמח לעזור.

גם –ISACA עוסקת בזה כבר שנים רבות, ונשמח לעזור.

מצוין. אם כן, רישוי המקצוע והחברה שעוסקת בכך.

אני מבקשת, וזה שוב כנראה מרשות הסייבר, סוג של גוף רגולטורי, או לא – אינני יודעת. אבל, גוף שיסמיך אתרים בישראל. וכמובן בהקשר הזה של אבטחת מידע יש מקום להמשיך בתהליך של חתימה על אמנת בודפשט.

אני פונה לרמו"ט. מאחר וביקשתי שתבחנו את נושא הגדרת פרטים מזהים, תבחנו גם בתוך העניין של תעודת זהות כן או לא, את ההמלצה שהיתה - אולי ברגולציה, ואז אנחנו נעזור - שאסור יהיה לשמור נתונים רגישים במאגרי מידע.

יש כבר הגדרה של מידע רגיש ומוגבל.

אולי אפשר לבקש פעולה חד-פעמית, אינני יודעת לומר את זה. אני אומרת את הדברים מתוך כל מה ששמענו. תשקלו את זה במסגרת אותה בקשה שלי שאתם תגדירו מה זה פרטים מזהים, האם לשמור אותם, האם מותר לשמור אותם. אם אסור אז בוא נעשה חקיקה שאסור. אם מותר רק באופן חד-פעמי לצורך עסקה אז בסדר, ומרגע זה ואילך למחוק. כל הרזולוציות האלה או הדיפרנסאציות הפנימיות.
הדבר הבא הוא הצפנה, אותו תקן של PCI. יש לתת את הדעת גם בעניין זה. הדבר השלישי שאני רוצה להתייחס אליו – ואני לא יודעת מי צריך לפרסם, אולי רשות הסייבר, אולי רמו"ט, ואולי אנחנו המחוקקים, רק תגידו – חובת שקיפות ופרסום פריצה לאתר.

זה תפקיד של המחוקק, זה חקיקה.

אז הנה לך חברת הכנסת שמאלוב, חובת פרסום לגבי אתר שנפרץ. בעל האתר חייב לתת פרסום בשקיפות מלאה שהאתר שלו נפרץ.

יש כבר שני סעיפים בחקיקה הישראלית לפחות.

זה קיים כבר? אנחנו נבדוק. נעשה חקיקה, ואם המחלקה המשפטית תגיד שזה קיים אז נוותר.

זה לא קיים. זה קיים לגבי מאגרים ספציפיים, לגבי המאגר הביומטרי, ומאגר - - -

אין חובה כללית, אבל יש חובה - - -. אפרופו, תעודות זהות – בתיקון של סעיף 29 של חוק מרשם אוכלוסין יש חובת הודעה כזאת במסגרת התקנות כך שזה חל בהרבה מאוד באזורים של - - -. אבל, אין חובת הליך כזה.

צריך חוק ספציפי על חובת דיווח על אירוע של פריצה, ולמי צריך לדווח. הדיווח גם לרשויות לצורך חקירה, וגם לנשואי מידע.

אם אני מוציאה כרטיס מועדון ל"משביר" והם רוצים תעודת זהות ואת הכול. האם אנחנו כוללים אותם?

כן, את מוסרת את המידע, והם שולחים לך מתי יש סוף עונה.

אני מקווה שאני התייחסתי למרבית הנושאים, לפחות, שעלו כאן. נתנו שיעורי-בית. אנחנו מצפים לשמוע את רשות הסייבר בעוד חודשיים, עם התייחסויות לדברים שביקשנו. אני מניחה שבאותה ישיבה גם רמו"ט תידרש לתשובות כאלו ואחרות.

אני קוראת לכם, כבדלת פתוחה, לפנות בכל רגע נתון ובכל נקודת זמן שאתם חושבים שפה צריכה להיות רגולציה. אנחנו נשמח לשתף פעולה עם החברים שמשתתפים בדיונים הללו.

אני אולי חייבת לומר לגבי נושא המסחר האלקטרוני שתקוע אצלנו בוועדות השונות בוויכוח איפה זה יידון. אני אומרת לפרוטוקול שאני קוראת לשר המשפטים לעגן בחקיקה את הממסחר האלקטרוני, ולקדם את הנושא הזה.

היתה הצעת חוק בעבר. היא היתה לא רלוונטית, לא מעודכנת. אולי יביאו אותה שוב בצורה מעודכנת.

יכול להיות שאנחנו נעשה מהלך כזה.

אני מאוד מודה לכם, הישיבה תמה.

<הישיבה ננעלה בשעה 14:10.>