ישיבת ועדה של הכנסת ה-18 מתאריך 09/01/2012

חשיפת כרטיסי אשראי ישראלים על-ידי האקרים זרים

פרוטוקול

 
PAGE
21
ועדת הכלכלה
09/01/2012

הכנסת השמונה-עשרה
נוסח לא מתוקן

מושב רביעי
<פרוטוקול מס' 715 >
מישיבת ועדת הכלכלה
יום שני, י"ד בטבת התשע"ב (09 בינואר 2012), שעה 12:10
סדר היום
<חשיפת כרטיסי אשראי ישראלים על-ידי האקרים זרים>
נכחו
חברי הוועדה: >
כרמל שאמה-הכהן – היו"ר
דני דנון
מוזמנים
>
עו"ד עמית אשכנזי - יועץ משפטי, הרשות למשפט, טכנולוגיה ומידע, משרד המשפטים

ליאת בן מאיר שלום - משפטנית, משרד המשפטים

אלעד קפלן - מתמחה, הרשות למשפט, טכנולוגיה ומידע, משרד המשפטים

אסף תכלת - ייעוץ וחקיקה (אזרחי), משרד המשפטים

כרמלה אבנר - מנהלת ממשל זמין, משרד האוצר

זיו סלייטר - סגן מנהלת ממשל זמין, משרד האוצר

שלמה מוסרי - ממשל זמין, משרד האוצר

שני שרביט - ראש מנהלת הקמה, המטה הקיברנטי הלאומי, משרד ראש הממשלה

שירית פלמון - המטה לביטחון לאומי, משרד ראש הממשלה

רם לוי - מזכיר המיזם הקיברנטי ויועץ סייבר למועצה, המועצה הלאומית למחקר ולפיתוח אזרחי

רחל יעקבי - פיקוח על הבנקים, בנק ישראל

מוטי גדכט - מת"ח פיתוח שירותים, חברת דואר ישראל

עו"ד יעל שיינין - רשות ההגבלים העסקיים

רפ"ק מאיר חיון - ראש מדור איתן מחקר סיגינט אח"מ, משטרת ישראל, המשרד לביטחון הפנים

גלעד קהת - סמנכ"ל אגף מש"א ניהול סיכונים ורגולציה, חברת לאומי קארד

עו"ד אתי אפללו - חברת ויזה כ.א.ל

תומר אלקובי - מנהל מחלקת ניהול סיכונים ורגולציה, לאומי קארד

עמרי נחום - מנהל תחום אבטחת מידע, חברת לאומי קארד

ישי ורטהיימר - מנהל מחלקת סיכוני הונאה, חברת כ.א.ל

גיל טופז - סמנכ"ל ניהול סיכונים, ויזה כ.א.ל

יאיר רובין - מנהל אבטחת מידע, כ.א.ל

רונן זרצקי - סמנכ"ל מערכות מידע ותפעול, חברת ישראכרט

עו"ד נועה נוה - חברת ישראכרט

ד"ר נמרוד קוזלובסקי - אוניברסיטת ת"א + חברת חוקי אינטרנט

עו"ד חיים רביה - מומחה משפטי בתחום האינטרנט

ד"ר טל פבל - המרכז הבינתחומי, הרצליה

אמיר קושילביץ - סמנכ"ל ניהול סיכונים וביטחון, חברת ישראכרט

עו"ד עופר קורלנדר - נציג "ויזה אירופה" בישראל

עו"ד ענת אבן חן - "ויזה אירופה"

צבי דביר - התנועה לזכויות דיגיטליות

עו"ד סלעית קולר - יועצת משפטית, המועצה לצרכנות

יצחק נוסצקי - מנכ"ל חברת אינטרספייס

אורי ליש - סמנכ"ל פיתוח וטכנולוגיות, וואלה שופס

אבנר עורקבי - יו"ר אהב"ה

נדב שלוש - הקליניקה החקיקתית במכללת ספיר

אוהד ליזון - הקליניקה החקיקתית, מכללת ספיר
מנהלת הוועדה
לאה ורון
רשמת פרלמנטרית
שרון רפאלי
<חשיפת כרטיסי אשראי ישראלים על-ידי האקרים זרים>
היו"ר כרמל שאמה הכהן
צהריים טובים. אנחנו פותחים ישיבה שלישית של ועדת הכלכלה. על סדר היום חשיפת כרטיסי אשראי ישראליים על-ידי האקרים זרים. אזרחי מדינת ישראל למודים ומכוח המציאות מתרגלים להתמודד עם האיומים הביטחוניים, הפיזיים, בין אם זה פיגועי טרור או איומים שנמצאים בגבולות. אבל בשבוע האחרון הופיע איום וירטואלי שנע על גבי רשת האינטרנט, ולפי הפרסומים עומד מאחוריו פשוט צעיר סעודי - -
דני דנון
עומאר.
לאה ורון
שחי במקסיקו.
היו"ר כרמל שאמה הכהן
שחי במקסיקו – זה נפלאות הכפר הגלובלי. השאלות שהכנסת צריכה לשאול הן מזוויות שונות, ואני גם יודע שיהיו דיונים בוועדות אחרות. אנחנו ועדת כלכלה שאחראית על תחום הצרכנות במדינת ישראל ועל פעילות תקינה של הכלכלה. הרי אם אנשים לא ירגישו בטוח למסור את פרטי אמצעי התשלום שלהם באינטרנט גם הכלכלה הישראלית תיפגע. ואם כאלה, מאות אלפים שעושים את זה מדי יום שמוסרים את פרטי האשראי שלהם או פרטים אישיים אחרים ומאמינים שמוסרים את זה למקום בטוח שבו הנתונים מטופלים אחר כך בצורה מקצועית, ומגלים אחרי זה שהנתונים מסתובבים באוויר, בכל העולם – יוצאים מישראל וחוזרים לישראל, ואנשים מנסים להפיק מזה רווח כלכלי כזה או אחר – זה מצב לא ראוי. מן הנכון שיהיה פיקוח ותהיה רגולציה שחברה שבוחרת ומזמינה צרכנים למסור לה את הפרטים האלה תדע גם איך לטפל ולשמור עליהם. לכן רצינו לשמוע מהם ממדי התופעה; מי אחרי במקרה של כשלים, מי אמור לפצות? לקוחות לא עשו שום דבר רע – פשוט קנו משהו באינטרנט, מסרו את הפרטים, ומישהו שהיה צריך לשמור על זה כמו שצריך, כנראה, לא שמר על זה כמו שצריך במידה הראויה והמספקת. על מי נופל הנזק במקרה הזה? שנית, לדעת מה עושה המדינה – היום זה רק צעיר סעודי – יכול להיות שמחר ארגון טרור יפעל בצורה הזאת או מדינה עוינת, והנזק עלול להיות פי כמה וכמה. כיצד אנחנו נערכים למצב הזה? אנחנו באמת מסתכלים בסוף ומנסים להתנקז לזווית הכלכלית של העניין, פחות הביטחונית והלאומית, אלא כלכלית צרכנית. זאת זווית הראייה של ועדת הכלכלה בנושא הזה.

חבר הכנסת דנון יפתח את הדיון אחרי, ומי שרוצה לדבר מטעם האורחים מוזמן לבקש רשות דיבור ממנהלת הוועדה.
דני דנון
תודה, אדוני היושב ראש. אני מברך על עצם קיום הדיון בוועדת הכלכלה. כיושב ראש ועדת משנה לבנקאות ועסקים קטנים הנושא קשור לוועדת כלכלה, ואני רוצה לבקש מאדוני היושב ראש להתייחס בדיון לנושא חברות האשראי שרובן נמצאות פה – עם מי הן מתקשרות. כי בפריצה שנעשתה נגנבו נתונים רבים מעבר לכרטיסי האשראי: אימיילים, כתובות – נתונים רבים מאוד. למיטב ידיעתי, חברות האשראי מתקשרות היום עם כל בעל עסק שרוצה. אין שום רגולציה שמחייבת אותו על תנאי סף לגבי איכות האתר או אבטחת המידע באתר. לכן אנחנו צריכים לשקול, אם לא נקבל תשובות מספקות היום, רגולציה כדי שחברות האשראי יצרכו לעשות בדיקת נאותות כזאת או אחרת או לקבוע תקן כדי להגיד עם איזה אתרים ניתן להתקשר או לא. אם ל, בעצם החברות אומרות שהן לא שולטות – זה נלקח מאתרים של קופונים או אחרים; אבל החברות הן אלה ששולטות בשוק, ולכן אנחנו צריכים לצאת מפה עם אמירה של התחלת מחשבה על רגולציה, עם מי החברות הגדולות מתקשרות.
היו"ר כרמל שאמה הכהן
מישהו מחברת כרטיסי האשראי נמצא?
קריאות
כל החברות נמצאות פה.
היו"ר כרמל שאמה הכהן
ישראכרט, איפה? פשוט ביקרתי במחלקת אבטחת המידע והביטחון שלכם לפני כשנה, והאמת היא שהתרשמתי שהפעילות שם היא באמת מקצועית ומעמיקה. איך אתם מתייחסים לסוגיה הזאת? האם יש סינון של ספקים שאתם מתקשרים איתם? לא רק מהזוויות האחרות שאתם בודקים, של הונאה ודברים כאלה, אלא כיצד המידע נאגר ונשמר אצלם? והנקודות האחרות שהתייחס אליהם דנון.
אמיר קושילביץ
שמי אמיר קושילביץ, אני סמנכ"ל ניהול סיכונים בישראכרט. אני אכוון בתשובה לפתיחה של הדברים שלך – דיברת בעיקר על הצד הכלכלי והצרכני שמטריד את הוועדה הזאת, ומן הסתם גם אנחנו רוצים בחיי היום-יום, מצד אחד לאפשר חיי מסחר וכלכלה תקינים, ומצד אחד למזער את הפגיעה בלקוחות ככל האפשר.
אנחנו בראש ובראשונה מקיימיים מערך מאוד צפוף, הדוק, מערך שפועל 24 שעות ביממה כל השנה, לנטר רמאויות מהסוג הזה בכרטיסי אשראי. אתה היית בביקור, וראית דברים שאנחנו עושים. אני מניח שגם חברות אחרות עושות בצורה דומה. אנחנו קוראים לזה "חדר אן-ליין" שיושב כל היום ומנטר. הנקודה הראשונה שחשוב מאוד לומר, למי שלא יודע, שהצרכנים בהיבט של נזק כספי מבוטחים לחלוטין.
קריאה
לגמרי?
אמיר קושילביץ
לחלוטין. כל לקוח שיש לו איזשהו שימוש לרעה בכרטיס ויפנה אלינו, כמובן, אחרי שנבדוק ונוודא שאכן היה שימוש לרעה בכרטיסו - -
לאה ורון
מהסכום הראשון. מההוצאה הראשונה.
אמיר קושילביץ
כל לקוח שיפנה על כל פנייה – שלום, קוראים לי הגברת כהן, אני רואה 10 שקלים בכרטיס שלי שאני לא יודעת מהם – היא תצהיר על העובדה שזה לא שלה ותקבל את הכסף באופן מידי. זה אחת מנקודות החוזק של השימוש בכרטיסי אשראי.
היו"ר כרמל שאמה הכהן
גם לרכישות בארץ וגם בחו"ל.
אמיר קושילביץ
רכישות בארץ, רכישות בחו"ל, רכישות בחנות, באתר אינטרנט – כל רכישה מסוג שהיא. אנחנו כמובן נבצע בדיקה כזאת או אחרת, אבל התשובה היא כן – הלקוחות מבוטחים. אני גם אומר עוד משפט בהקשר הזה: ברוב המקרים אנחנו מספרים ללקוחות שנעשה שימוש בכרטיס שלהם, ולא הלקוחות לנו. כי המערכות שלנו הרבה פעמים מאפשרים לנו לראות את זה הרבה לפני שהסטייטמנט הגיע אליו, שלא לומר שלא כל הלקוחות מסתכלים על הסטייטמנט – אבל אנחנו מתקשרים ואומרים, שים לב – אתה נמצא כרגע בהונגריה ואתה עושה משהו? הלקוח אומר, לא, אני לא נמצא – אנחנו מודיעים לו על חסימה מיידית.
יש לנו יכולות טכנולוגיות מאוד גבוהות, גם מהיכרות עם מה שקורה בעולם, לחסום ולנטר ברמה מאוד מהירה. גם באירוע הנוכחי, ולמעשה בשני המיני-אירועים שהרכיבו את השבוע האחרון, היכולת שלנו לחסום את הכרטיסים ולעצור מיידית כל אפשרות של נזק הייתה מאוד גבוהה, עשינו את זה באופן כמעט מידי. באירוע הראשון זה לקח משהו כמו פחות משעה, ובאירוע השני תוך עשר דקות מרגע שהייתה בידינו הרשימה כל הכרטיסים כבר היו חסומים. כלומר חשוב לומר שבאירוע הזה נזק כספי למעשה לא היה. גם אחרי האירוע ראינו שהיו באופן יחסי מעט מאוד ניסיונות לשימוש. כמובן, ניטרנו אותם וראינו אותם. הניסיונות היו בעיקר מכאלה שראו את הקובץ מצד שלישי, ואמרו, הנה הזדמנות, בואו ננסה להשתמש. אבל כמובן, לא הצליחו.
דני דנון
כמה מקרים כאלה היו? אני מכיר מקרה אחד של הבחור מטבריה.
אמיר קושילביץ
נכון, בחברה עמיתה שלנו.

אנחנו ראינו סדר גודל של כמה עשרות ניסיונות לשימוש שבמונחים שלנו זה ממש אפסי. גם בכמה עשרות, אני לא יודע את המספרים המדויקים, אני בטוח שחלק מהם ניסיונות אמיתיים של לקוחות אמיתיים שעדיין ניסו. אבל ממש ניסיונות מינוריים שנחסמו.

דיברתי על יכולת הניטור, דיברתי על יכולת חסימה. כמובן, יש לנו יכולת בקצב מהיר יחסית להנפיק ללקוח כרטיס חדש, לתת לו את הכרטיס. מעבר לזה, ברמת הצרכן, יש שירותים נוספים, שירותי ערך מוסף. החל משירותי SMS שאנחנו מציעים ללקוחות על כל קנייה, ואז הלקוח יכול לראות אם בוצעה קנייה שהיא לא שלו – הוא יכול לפנות אלינו; שירותים של קנייה בטוחה בכרטיסי web למיניהם; לישראכרט יש כרטיס שנקרא ישראכרט web, כרטיס לא מזוהה, מעין כרטיס וירטואלי שאינו מקושר לחשבון הבנק. אני מניח שלחברות האחרות יש מוצרים דומים, ואפשר דרך הכרטיס הזה.

כלומר המסר שלנו לצרכנים הוא שהקניות האלה הן קניות בטוחות שלא יכולות לגרום לנזק וגם אם קורה משהו אנחנו עומדים מאחוריהם בצורה מלאה.
היו"ר כרמל שאמה הכהן
האם עומאר הוא הראשון והחלוץ או שהיו מקרים דומים בעבר שפשוט לא קיבלו פרסום או יותר קטנים בהיקפם של אנשים שחדרו לתוך מאגרי המידע של עסקים ושלפו נתונים של כרטיסי אשראי?
אמיר קושילביץ
זה לא המקרה הראשון, זה כנראה לא החלוץ. בהיקף הזה אני לא זוכר מקרה כזה. בעולם, דרך אגב, אירוע בהיקף הזה נחשב אירוע די מינורי. בעולם אנחנו מכירים אירועים בהיקף של עשרות מיליונים. אולי אתם זוכרים, לפני כמה חודשים היה אירוע גדול של חברת "סוני". אבל אלה לא אירועים נדירים. היינו גם בקשר צמוד מאוד עם חברות האשראי הבינלאומיות: מאסטרכרד, ויזה העולמית, "אמריקן אקספרס". יש לנו מערך שלם של דיווחים מולם, וגם שם אנחנו יודעים שהאירוע הזה הוא אירוע יחסית גדול במונחים ישראליים – במונחים גלובליים הוא אירוע יחסית קטן. אנשים כדוגמת עומאר שעושים את זה פעם ב-, so called, כמובן, קיימים.
אני גם לא חושב שהאירוע הספציפי הזה לא היה בכלל אירוע כלכלי. זאת אומרת הוא לא עשה את זה למטרת גניבה. כמו שאנחנו מפרשים את האירוע היה פה ניסיון להביך את מדינת ישראל. אבל כמו שאמרתי – אם הוא היה כל כך רוצה לגרום נזק כלכלי הוא היה שומר את הרשימות לעצמו ולא מפרסם אותן באינטרנט.
היו"ר כרמל שאמה הכהן
זה האירוע הגדול ביותר שחווינו בתחום הזה?
אמיר קושילביץ
אני לא מכיר אירוע אחד המוני בסדר הגודל הזה. ההיסטוריה שלי לא מאוד ארוכה אחורה, אבל התשובה היא כן. זה אירוע יוצא דופן בגודלו יחסית.
היו"ר כרמל שאמה הכהן
תודה. גיל טופז, בבקשה.
גיל טופז
אני סמנכ"ל סיכונים בכ.א.ל.
מבחינתנו האירוע הוא של דליפת מידע ולא אירוע של כרטיסי אשראי. כמו שאמר אמיר מרגע שהדבר הזה פורסם – שעה אחר כך כבר לא היה אף כרטיס אשראי רלוונטי ברשת. מה שכן נשאר שם זה תעודות זהות של מאות אלפי אזרחים. היו שם 400 אלף רשומות בקובץ, ומתוכם, כמו שראינו בעיתון – 15-14 אלף כרטיסי אשראי, ושאר הרשומות הכילו מידע. אני ראיתי את המידע הזה בעיניים – היו שם המון כתובות אימיילים, שמות, תעודות זהות, סיסמאות – דברים שאם מישהו היה רוצה להנפיק דרכון עם תעודת הזהות, כתובת האימייל והתמונות שיש שם הוא יודע להנפיק דרכון ישראלי – פה נראה הרבה כאלה.
מהיבט חברות כרטיסי האשראי אנחנו כבר עובדים באבטחת מידע הרבה מאוד זמן, זה חלק מהותי מהעסק שלנו. אני יכול להגיד שמספטמבר שנה שעברה, מי שלא עומד בתקן מינימלי עם אתר אינטרנט – לא מגיע אלינו. אבל הנקודה, אם אתם באמת רוצים להתייחס לזה – אתם חייבים להסתכל על האתרים שקיימים במדינת ישראל - -
היו"ר כרמל שאמה הכהן
אבל מה היה קורה אם עומאר לא היה מפרסם את הרשימה? אם לעומאר היו מניעים אחרים, לא להביך את מדינת ישראל, אלא לעשות רווח כספי בדרך של הונאה. הקלות שבה אפשר לשלוף את הנתונים האלה היא הדבר שמטריד אותנו. איך אנחנו מתמודדים?
גיל טופז
התופעה הזאת היא לחלוטין רגילה בעולם כרטיסי האשראי. המקרים האלה מתרחשים כדבר סטנדרטי, יומיומי. ברחבי העולם כל הזמן נפרצים אתרים, ה-FBI מעורב בזה. בוועידה לפני שנתיים בברצלונה דובר על חשיפה של רשת רוסית שהיו בידיה מיליוני כרטיסי אשראי תקפים, לא כמו אצלנו, 14 אלף כרטיסים בודדים, אלא באמת הרבה. חשוב להבין שהרשויות בעולם מתמודדות עם זה ברמת הרשות האוכפת ולא משאירות לחברות המסחריות להתמודד. כמו שאמרתי, ראינו הרצאות של נציגי ה-FBI, נציגי האינטרפול. יש רשות אירופית שהוקמה כדי להילחם בתופעה הזאת כי היא חוצה גבולות. אתם רואים שיש מישהו שישב במקסיקו או בכל מקום מחוץ למדינת ישראל, ופרץ אלינו- ושוב, לא היה לו אינטרס ספציפי דווקא נגד ישראל, אבל הפושע הממוצע, לא מעניין אותו באמת מי בעל הכרטיס – הוא מעוניין להשיג כרטיס. בואו נזכור שבארץ יש עשרות אלפי אתרים שכשאנחנו מסתכלים כמה אתרים באמת סולקים עובדים עם חברות כרטיסי האשראי אנחנו מדברים על אלפים בודדים – פחות מעשרת אלפים, זה בטוח. בוודאות יש עשרות אלפי אתרים אחרים שמכילים הרבה מידע רגיש. לצורך העניין אתר One ששם התפרסם הכול הוא לא סולק ויש שם עשרות אלפי רשומות.
היו"ר כרמל שאמה הכהן
רמת האבטחה שאתם דורשים מעסקים שאתם מתקשרים איתם, זהה לפחות במינימום למקובל בארצות הברית או באירופה?
גיל טופז
הסטנדרט שאנחנו עובדים לפיו נקרא PCI; זה סטנדרט שחיברו אותו חברות כרטיסי האשראי, והוא סטנדרט שמחילים על כל הסולקים בעולם.
היו"ר כרמל שאמה הכהן
יש מקומות אחרים בעולם שמחילים רמת אבטחה גבוהה יותר?
גיל טופז
אני לא מכיר את כל העולם. אני יכול להגיד שלמיטב ידיעתי, התקן הזה מחמיר. אני בספק אם מישהו מוסיף עליו. גם התקן הזה די קשה ליישום. אנחנו עובדים כבר כמה שנים בארץ כדי לנסות להחיל אותו. זה עובד קשה - -
היו"ר כרמל שאמה הכהן
אז עומאר פיצח את ה-PCI או איפה שהוא נגע לא היה PCI?
גיל טופז
לא היה שם.
דני דנון
באנגליה אני יודע שהחוק יותר מחמיר. זה לא הסדרה עצמית כמו פה שאתם עושים מה שאתם רוצים, אלא שהחוק מחייב סטנדרטים מסוימים.
גיל טופז
אני לא בקי בחוק האנגלי, אבל למיטב ידיעתי, וזה מה שאני קיבלתי מחברת ויזה, זה שבאנגליה החוק מחייב כל אחד להחיל אבטחת מידע על מאגר מידע שהוא שומר, ואם הוא מאמץ את תקן ה-PCI שחברות כרטיסי האשראי פרסמו, חזקה שהוא עומד באבטחה.
היו"ר כרמל שאמה הכהן
למה המקום שנפרץ לא היה מאובטח ברמת PCI? אנחנו יודעים לומר?
קריאה
כי אין רגולציה.
היו"ר כרמל שאמה הכהן
האם חברות כרטיסי האשראי דורשות מינימום PCI, כן או לא? זה לא ברור לי כרגע.
גיל טופז
התשובה היא כן, אבל חשוב לומר - -
דני דנון
אתם דורשים מעצמכם, לא ממי שאתם עובדיים איתו.
גיל טופז
אנחנו דורשים גם מבתי העסק. יש לנו אנשים שעובדים בזה כבר הרבה מאוד זמן, כולל מתן ייעוץ לבתי העסק. חשוב לומר שלא תמיד טריוויאלי בשביל בית העסק להבין את הדרישה שלנו. הדרישה היא דרישה טכנולוגית. לא כל בתי העסק- -
היו"ר כרמל שאמה הכהן
השאלה היא האם זאת המלצה או דרישה. אם זאת המלצה בית העסק יכול להבין או לא להבין; אם זאת דרישה אין לו ברירה, אלא להבין. השאלה באיזו רמה הנורמה הזאת נתפסת על ידכם.
גיל טופז
אנחנו מנסים להבהיר להם שזאת דרישה. הייתי אומר שזאת מלחמה בלתי פוסקת במגרש הזה. זה לא טריוויאלי, ואנחנו לא יכולים ביום בהיר אחד להחליט שכל האתרים במדינת ישראל, שזה כמעט המצב – מנותקים כי הם לא עובדים עם PCI.
היו"ר כרמל שאמה הכהן
מה העלות של עסק בינוני שמתעסק בתחום הזה לעבור לרמת אבטחה של PCI?
גיל טופז
בעסקים קטנים עד בינוניים אנחנו מדברים על אלפי שקלים – לא משהו גרנדיוזי; לעסקים מורכבים יותר זה יכול להיות גם עשרות אלפי שקלים.
היו"ר כרמל שאמה הכהן
כלומר כדי לחסום אפשרויות של עומאר נוסף צריך אולי חקיקה שתחייב את הנורמה הזאת. חברת כרטיסי אשראי לא תתקשר עם בית עסק, אלא אם הוא נוקט אבטחה מינימלית של PCI. כי זאת לא הוצאה בשמים.
גיל טופז
שוב, אתר One לא סולק איתנו. זה לא היה עוזר לך החקיקה הזאת - -
היו"ר כרמל שאמה הכהן
עם מי הוא סולק?
גיל טופז
הוא לא סולק, הוא לא מקבל כרטיסי אשראי.
היו"ר כרמל שאמה הכהן
מאיפה היו לו הפרטים האלה?
גיל טופז
אתה רואה שהיה לו.
ישי ורטהיימר
סליחה, טור כרטיסי האשראי בקובץ היה מפוברק. קובץ של 400 אלף שורות – אנחנו פתחנו אותו - -
לאה ורון
סליחה, רק תציג את עצמך.
ישי ורטהיימר
ישי, מנהל סיכוני הונאה בכ.א.ל.

התקשורת רצה, והסיפור התפוצץ בגלל מאות אלפי שורות מקובץ שהיה שייך ל-One. כרטיסי אשראי שהיו בקובץ הזה – בכל שורה היו כרטיסי אשראי, שכולם היו מפוברקים. למעשה, אותו האקר שם שם כרטיסי אשראי מזויפים כדי להפחיד את הציבור. בקבצים האחרים היו כרטיסי אשראי אמיתיים.
היו"ר כרמל שאמה הכהן
איזה קבצים?
ישי ורטהיימר
היו כמה קבצים - -
היו"ר כרמל שאמה הכהן
מאין הוא השיג אותם?
ישי ורטהיימר
היו קבצים מאתרי מסחר אלקטרוני שבהם היו אכן כרטיסי אשראי – אלה שנחסמו מיד ולא נגרם מהם נזק.
היו"ר כרמל שאמה הכהן
איזה אתרים נפרצו?
ישי ורטהיימר
אנחנו לא סולקים, אז קשה לנו לומר, אבל לפי מה שפורסם מדובר באתרי קופונים. אבל החברה שסולקת צריכה להתייחס, ולא אנחנו.
היו"ר כרמל שאמה הכהן
מי מתקשר עם אתרי הקופונים האלה? ישראכרט, כ.א.ל- -
ישי ורטהיימר
מתקשרות חברות כרטיסי האשראי. חשוב לומר שהנזק לפרטיות הגדול היה מאות אלפי רשומות. השאלה ששאלת – האם אנחנו יכולים לדרוש אבטחת מידע מאתר האינטרנט? פה מדובר באתרים שאין להם קשר איתנו, והם לא סולקים איתנו - -
היו"ר כרמל שאמה הכהן
לאתרי הקופונים יש קשר איתכם?
ישי ורטהיימר
לאתרי קופונים, כן. אני אומר שוב, מתוך 400 אלף רשומות מאות אלפי רשומות לא היו קשורות לכרטיסי אשראי.
היו"ר כרמל שאמה הכהן
אם עומאר מזייף פרטי כרטיסי אשראי זה לא מעניין אותנו בכלל - -
ישי ורטהיימר
מעניין מאוד אותנו.
קריאה
אבל הוא לא זייף את תעודות הזהות שם, והוא לא זייף את האימיילים שם - -
היו"ר כרמל שאמה הכהן
אז אימיילים ותעודות זהות הוא גנב מ-One?
ישי ורטהיימר
הוא גנב אי מיילים, והוא גנב סיסמאות. יש שם מאות עובדי ממשלה ועשרות עובדי תעשיות ביטחוניות על הסיסמה שלהם, האימייל והפרטים שלהם בבית והטלפון שלהם, ואין לזה קשר לכרטיסי אשראי. יש פה פרשת כרטיסי אשראי – אנחנו טיפלנו בה מהר, והנזק הכלכלי הוא אפס; הנזק לפרטיות הוא גדול יותר.
היו"ר כרמל שאמה הכהן
למה מבחינתכם רמת PCI לא חייבת להיות חובה באתרי קופונים?
ישי ורטהיימר
אנחנו דורשים אבטחת מידע. כבר יותר משנה לא מצטרף אף אתר לסליקה אינטרנטית ללא עמידה ב-PCI.
היו"ר כרמל שאמה הכהן
כלומר בשנה האחרונה אתם לא מצרפים אף אחד - -
ישי ורטהיימר
בשנה וחצי האחרונות חברת כ.א.ל לא מקבלת לסליקה אתרים שלא עומדים ב-PCI.
היו"ר כרמל שאמה הכהן
וכמה אתרים שסולקים לא עומדים ברמת PCI?
ישי ורטהיימר
יש כמה אתרים שעדיין לא סולקים - -
היו"ר כרמל שאמה הכהן
זה עשרות, זה בודדים?
ישי ורטהיימר
אני אסביר. לוחות הזמנים שאנחנו עובדים לפיהם הם לוחות הזמנים של ויזה. התקן הזה יותר הוחל על-ידי ויזה, עלינו. לוחות הזמנים הם כאלה. הרגולציה בישראל שהיא וולונטרית שלנו אומרת שעד מרס יעמדו כל בתי העסק האינטרנטיים ב-PCI. כך ויזה קבעה לנו.
היו"ר כרמל שאמה הכהן
עד מרס השנה?
ישי ורטהיימר
מרס השנה. זה מה שויזה קבעה לנו. אנחנו מנהלים את הסיכונים שלנו. צריך לזכור שזה ניהול סיכונים שלנו.
היו"ר כרמל שאמה הכהן
כלומר בית עסק שלא יעבור ל-PCI, אתם לא תיתנו לו שירות.
קריאה
הבעיה היא שאין חובה - -
היו"ר כרמל שאמה הכהן
רגע, אבל הוא לא ענה.
ישי ורטהיימר
התשובה היא – מה שויזה קבעה לנו הוא שעד מרס לא סולק בישראל אתר מסחר אלקטרוני - -
גלעד קהת
אבל חשוב להבין שזה לא פותר את הבעיה.
היו"ר כרמל שאמה הכהן
אני הבנתי שזה כן פותר את הבעיה.
ישי ורטהיימר
אין לזה קשר לדיון על פרטיות, אין לזה קשר לנתונים שדלפו.
גלעד קהת
אני אסביר למה זה לא פותר את הבעיה. אני גלעד קהת מלאומי כארד, סמנכ"ל ניהול סיכונים ורגולציה.

זה לא פותר את הבעיה משתי סיבות: קודם כול האינטרנט הוא עולם בינלאומי אוניברסאלי. כמו שלאומי כארד, כ.א.ל וישראכרט יכולות לסלוק בית עסק כך גם בנק קפריסאי יכול לסלוק את אותו בית עסק ישראלי. אין משמעות. חברות כרטיסי האשראי הישראליות יכולות לסלוק אתרים בחו"ל, ובנקים בחו"ל יכולים לסלוק אתרים ישראליים. גם אם החלטנו שאני לא סולק בית עסק אינטרנטי שלא עומד בסטנדרטים, מחר תבוא חברת כרטיסי אשראי מיוון, מקפריסין או מאיי קיימן, ותסלוק אותו. ועדיין ישראלים יעשו עסקאות באתרים האלה, ועדיין אם אבטחת בית העסק לא מספיק טובה, אני לא מספיק כי אני לא הגוף היחידי שמפקח.
היו"ר כרמל שאמה הכהן
השאלה היא האם מחוקק יכול להטיל גם הגבלה על בית העסק?
גלעד קהת
זאת הנקודה. ביום חמישי בלילה כשהקובץ השני התפרסם – חשכו עיניי, ופחות כמנהל סיכונים בלאומי כארד, כי היו שם 48 כרטיסים של לאומי כארד מתוך 11 אלף הכרטיסים. יותר כאזרח. הסתכלתי על הרשימה, והיה שם קובץ אקסל מסודר מאוד: שם פרטי, שם משפחה, כתובת, טלפון, סלולרי, אימייל. אם אני עושה PCI אני מוודא שאין כרטיס אשראי בבית העסק – אין שום נתון שקשור לכרטיס אשראי. כל שאר הנתונים האלה יהיו בבית העסק, אני לא יכול למנוע ממנו, זה לא התפקיד שלי למנוע ממנו – הגנב לא יוכל לעשות שום פעולות בכרטיס אשראי, אבל כל הפרטים הפרטיים של האזרחים יהיו שם.
היו"ר כרמל שאמה הכהן
אה, רגע, אני רוצה להבין, PCI לא מונע פריצה, הוא רק מונע הישארות של פרטי כרטיס אשראי?
גלעד קהת
כן, זה הרעיון.
הוא מבקש שני דברים
הוא מבקש קודם כול למחוק פרטים שקשורים לכרטיס אשראי – מספר הכרטיס, נתוני פס מגנטי – והוא תקן שמגדיר סטנדרטים של אבטחת מידע. בית העסק צריך לעשות סקר שבודק את רמת האבטחה, צריך אנטי וירוס, צריך בדיקות רשת וכן הלאה. אבל כל שאר הנתונים שלא קשורים לכרטיס אשראי, לא רלוונטיים. בגלל זה מה שמטריד אותי זה אכן רגולציה, כמו שאמרתם. אבל לא רגולציה עלינו. עלינו יש רגולציה. ויזה מגדירה לנו. יושבים פה נציגי הפיקוח על הבנקים – תאמינו לי, המפקח על הבנקים והמנכ"לית שלי היו בטלפון באמצע הלילה, ואני ורוחה דיברנו ביום שישי – יש לי רגולטור שדואג לי. ואני עושה מה שהרגולטור אומר לי, ואפשר להיות רגועים בהקשר שלנו. אי אפשר להיות רגועים בנושא הזה, אבל אפשר לדעת שאנחנו מטפלים בנושא הכי טוב שאפשר, בארץ.

לדעתי, נמצא פה נציג הרשות למשפט, טכנולוגיה ומידע, נכון?
לאה ורון
עורך דין עמית אשכנזי.
גלעד קהת
יפה. הם עשו עבודה מאוד טובה בעניין הזה. מה שחשוב שייצא מהוועדה פה זה לקרוא למדינה לתת עוד משאבים לנושא הזה. בסדר, זה נושא מטריד ברמה הצרכנית, כרטיסי אשראי – זה לא הבעיה המהותית שעלתה בפרשה הזאת של הסעודי.
היו"ר כרמל שאמה הכהן
אני רוצה פשוט כדי שנבין – PCI פותר את האבטחה של פרטי כרטיס אשראי. כל הפרטים הפרטיים האחרים כמו שם, תעודת זהות, כתובת, טלפון – עדיין פרוץ.
גלעד קהת
לא קשור לכרטיסי אשראי.
היו"ר כרמל שאמה הכהן
אין לזה פתרון בעולם?

ד"ר נמרוד קוזלובסקי, מומחה בתחום האינטרנט מאוניברסיטת תל-אביב.
נמרוד קוזלובסקי
רק לגילוי נאות, גם מחברת חוקי האינטרנט, לא רק מהאוניברסיטה. חברות כרטיסי האשראי הישראליות נקטו בצורה ראויה להערצה בהתמודדות שלהן בפרשה הזאת. הן צודקות לחלוטין בכל מילה שהם אמרו כאן. זה נכון מבחינת מיגור ההתמודדות של הצרכנים, אבל הנזק הוא אדיר עשרות מונים ממה שמתואר כאן בשל העובדה שהדרך שבה פועלת כרגע חסימת כרטיסים, לא על-ידיהם, שיש גופים שכל מה שהם עושים, לוקחים רשומות של אתרי אינטרנט פרוצים, דואר אלקטרוני פרוץ, תעודות זהות שנמצאות במאגרים, ומציפות אותם לאתרי מסחר אלקטרוני בעולם, דוגמת ebay, amazon ודומיו שקונים את הרשימות כאמצעי מיגון וחוסמים בעצם טרנזקציות מהחשבונות האלה שהם חושבים שהם חשודים.
יוצא מצב שגם אם חברות כרטיסי אשראי פעלו בצורה מושלמת להתמודד עם 15 אלף כרטיסים שהיו בתוקף ושלקוחותיהם היו עלולים להיפגע, יצא מצב שבתוך הרשומות האלה – ומי שניתח אותן לעומק – היו הרבה יותר כרטיסי אשראי שאינם עוד בתוקף. זאת לא בעיה רק של כרטיסי אשראי כי אני לא יכול לעשות עסקה תרמיתית, אבל ניסו להזין אותם באתרי מסחר אלקטרוני או הוזנו מהרשומות, ולאחר מכן אתה נחסם, אתה נחשב חשבון בעייתי.

הרבה מאוד ישראלים מוצאים את עצמם שהפרשה הזאת תלווה אותם עוד תקופה ארוכה כי מכיוון שהמזהים החד-ערכיים שלהם נגנבו, אפשר להתחזות להם, וכתוצאה מכך הם ייחשבו חשבונות בעייתיים.

יתרה מכך, חברות כרטיסי האשראי אומרות לנו את האמירה האמיתית: זאת פרשה אדירה של גניבת זהות. בואו נשים את הדברים על השולחן: פרשת כרטיסי האשראי היא פרשה מינורית גם בקנה מידה עולמי וגם בשל העובדה שהטכנולוגיה של כרטיסי האשראי בשלה לעצור דרך אלגוריתמים מתמטיים עסקאות שנראות חשודות. אבל גניבת זהות – בוא נבין מה המשמעות – אדם שתעודת הזהות שלו, הדואר האלקטרוני שלו, הסיסמה שלו, הפרטים שמשמשים אותו: הכתובת שלו, הטלפון שלו – כולם בעצם רשומה ציבורית לכל אין דורש – כרגע כפוף לכך שינסו לחדור לדואר האלקטרוני שלו גורמים עוינים – זה קרה לאחר פרשת המרמרה שגנבו 144 אלף רשומות של אזרחים ישראלים, והם סיפרו שהחיים של חלקם הפכו לסיוט – נכנסו לדואר האלקטרוני, מחקו תכתובות, שלחו בשמם פורנוגרפיית קטינים, מחקו להם אתרים, ניסו להתחזות להם באתרים, עשו עסקאות תרמיתיות בשמם. דבר נוסף הוא שהישראלים האלה, שעכשיו הזהות שלהם חשופה נמצאים במצב שכל הזמן הם צריכים להיות בבקרה מתמדת מה קורה עם החיים הדיגיטליים שלהם. וזה לא קשור לחברות כרטיסי האשראי. תקן PCI לא יפתור את זה. תקן PCI הוא תקן נכון. אגב, אני מצטרף לחברות כרטיסי האשראי – זה לא טוב שהם יהיו האוכף הפנימי, כי כמו ששמענו כאן, לפעמים יש להם אינטרס נוגד, הם לא רוצים לאבד אתר שעוד לא עומד ב-PCI, אז נותנים לו משך שירות. אני קורא למחוקק – זה צריך להיות הוראה מפורשת שמי שלא עומד בסטנדרט מינימום לא שומר פרטי כרטיסי אשראי וסולק. זה במישור הכלכלי שמעניין את הוועדה.

אבל נדבר על הבעיה האמיתית – הבעיה של זליגת הפרטים האישיים והזהות. יש לנו כרגע תשתית מחוררת בחוק במדינת ישראל שלא מתאימה. חוק הגנת הפרטיות במדינת ישראל הניח שהפגיעה בפרטיות הוא באיסוף מידע אודות אנשים – שאני אבקש ממך פרטים ואז קיומם של הפרטים יפגע בפרטיות. הוא לא הניח שאבטחת מידע היא המגן האמיתי להגנת הפרטיות של אנשים ולהגנה מפני גניבת זהות, והוא לא עודכן בהתאם. לכן הדבר הבסיסי שנעשה במדינות מתקדמות, כמו לדוגמה החוק בקליפורניה מ-2003 שהפך לתקן, או חקיקה דומה – קובע כללים מאוד ברורים. בעצם בארבעה פתרונות שאתה יכול לחוקק בחודש אתה פותר את הבעיה הזאת. אתה אומר, לא ניתן לאסוף מידע מזהה מאנשים אם אתה לא עומד ברף אבטחה מינימלי, וכמובן, מצמיד לזה חבויות, אם לא עמדת בו; הוא קובע שמי שאוסף מידע מזהה רגיש חייב לעמוד בהוראות מסוימות לגבי איסוף מידע רגיש, וההוראות הן לעניין הצפנה או גיבוב של המידע – זאת פונקציה שהופכת אותה ללא קריא; ולעניין הפרדת רשומות מזהות זו מזו – וקובע לצדן חובה למניעה מוקדמת.

איך נוקטים מניעה מוקדמת במדינות עולם מתקדמות? אומרים לך שאתה חייב לקחת חברה שתפקידה "לשחק" את ההאקר, לנסות לחדור אליך לאתר בבדיקת חדירות ולראות אם היא יכולה. כל מה שעומאר הזה עשה זה להשתמש זה להשתמש בכלים אוטומטיים מהרשת למצוא אתרים "מחוררים". אין פה שום גאונות, אין פה שום תחכום. כל ילד שהיו לו הכלים היה לוחץ "אנטר" ועושה את זה. אבל אף אחד לא עשה את הבדיקה לאתרים האלה. פה המציאות האמיתית היא שדווקא הבעיה היא לא עם האתרים שסולקים, כי חברות כרטיסי האשראי משמשות להן שוטר, אלא כל האתרים שמניחים שאיסוף מידע פרטי מאזרחים משרת אותם, שאולי הם יעשו ביזנס מהפרטים האלה ולא נוקטים שום רף אבטחה. אבל אוספים פרטים הכי רגישים שמאפשרים לבד זהות. לגביהם צריך לחייב תקן מינימלי – הוא יכול להיות בעקרונות בחוק, בדיקת חדירות תקופתית; כאשר פה אתה יוצר מנגנון תמריצים אמיתי כי א', הם חייבים לבדוק בדיקת חדירות – הגוף שבודק אותם הוא כמו רואה חשבון, אם הוא כשל בבדיקה שלו, לאחר מכן יבואו אליו בטענות. אחרי בדיקת החדירות התקופתית אתה עובר לשלב הבא. אם כבר קרה אירוע, ומשהו נכשל, המודל בקליפורניה אומר שהדבר המרכזי הוא להודיע מוקדם ככל שניתן לאנשים ולחקור את האירוע. א', לדעת אם הוא אירוע שיטתי שהרבה מאוד היו חשופים לו, ושנית, להודיע לנפגע הפוטנציאלי – להודיע לאדם שהשם שלו ברשומה להחליף את הסיסמה שלו, להפסיק להשתמש באותו מייל וכדומה.

הדבר הזה בחוק בקליפורניה עובד מושלם. למי שבעצם מצא שהייתה פרצה אצלו ומידע חולל – חובת דיווח לנשואי המידע. כיוון שהוא גם מצמיד לזה חבויות פליליות ואזרחיות למי שמנהל את המאגר, היום בקליפורניה לא יעלה על הדעת שאתר שמחזיק פרטים של אדם מקליפורניה לא ינקוט רף אבטחה מינימלי – זאת התאבדות כלכלית מבחינתו.
הדבר האחרון שנוגע בדבר הזה
אתה פשוט בונה בחוק מנגנון תמריצים: מצד אחד חבויות ומצד שני חסינות מחבות למי שעמד ברף אבטחה. ואם כבר קרה אירוע, ואתה רואה שיש לך אירוע כמו שחווינו בארץ – ופה אני לא מסכים לקריאות ההרגעה מצד חברות כרטיסי האשראי – זה אירוע נוראי; זה אירוע שילווה ישראלים עוד הרבה שנים, והוא הוכיח לנו, זאת קריאת השכמה לציבור הישראלי על רמת האבטחה שהייתה לנו ועל הפרצות בחוק.
היו"ר כרמל שאמה הכהן
נא לסכם.
נמרוד קוזלובסקי
אם כבר קרה אירוע – מה שקרה פה בחקירה הוא פארסה, זאת בדיחה לא מוצלחת. אנחנו מקבלים בערוץ 2 את תוצאות החקירה של איזשהו אדם פרטי שאם התוצאות נכונות הוא סיכל חקירה, כי כרגע כבר אי אפשר לתפוס את הראיות, ואדם ייצר לעצמו אליבי אינטרנטי. חקירה צריכה להיות מלווה בשלושה דברים: דבר ראשון כמו בכל מדינה מתוקנת – CERT – Computer emergency response team- זה גוף שאחראי לתכלל את הטיפול באירוע. זה גוף שבשיתוף פעולה בין הגופים הציבוריים לבין הגופים האזרחיים ומתכלל טיפול גם באירועי אבטחה שגרתיים וגם בניהול אירוע. שנית, אתה חייב סמכויות חקירה לגופים. ידידי מאיר חיון ואנשי המשטרה היום לא מצוידים בכלי החקירה ובסמכויות האכיפה. תזכיר חוק חיפוש ותפיסה יושב על שולחן הכנסת כבר תקופה ארוכה. יש בו סמכויות לעניין חיפוש דיגיטלי, הם - - - בזה.
דבר אחרון – המישור הבינלאומי. אין חקירת מחשבים שהיא לא חקירה בינלאומית. עומאר הסעודי יכול להיות גם מלצרית משבדיה וגם נער זב חוטם מפינלנד, כי הוא מתכסה מאחורי כתובת IP שבעצם יכולה להיות מזויפת, והוא יכול להמציא אותה בכל התחברות מחדש. אגב, עומאר עצמו התחבר בשלוש זהויות שונות עד כה: מסינגפור, מרוסיה ומערב הסעודית. אין לו בעיה, הוא יכול בכל לחיצת כפתור לשנות את הזהות כי הפרוטוקול לא מגן על זה.

מה אתה צריך? שיתוף פעולה בינלאומי. פה ישראל כשלה. מ-2001 יש אמנה שהמדינות המתוקנות חברות בה, נהנות גם לשיתוף מודיעין וגם לסיוע בחקירה בזמן אמת. גישה לרשות השופטת דורשת 24/7 לתפוס ראיות ולהעביר אותן.
היו"ר כרמל שאמה הכהן
למה אנחנו לא שותפים?
נמרוד קוזלובסקי
ישראל בהתחלה סברה שיש מגבלה חוקית להצטרף בגלל תנאי כשירות. פרשנותי המשפטית היא שזה לא היה מגבלת כשירות, אבל נניח שצודק מי שפירש כך – מ-2007 פגם הכשירות הזה הוסר – חוקקנו את חוק זכויות יוצרים.
היו"ר כרמל שאמה הכהן
תודה.
נמרוד קוזלובסקי
חייבים הבוקר להצטרף לאמנה הזאת. זאת חתימה, ולאשר אותה פנימה.
היו"ר כרמל שאמה הכהן
תודה רבה. עורך דין עמית אשכנזי, יועץ משפטי של הרשות למשפט, לטכנולוגיה ולמידע במשרד המשפטים.
עמית אשכנזי
תודה רבה, אדוני. קודם כול אנחנו מאוד שמחים על הדיון. הוא באמת בנסיבות מצערות, אבל כמו שכבר נטבעה המטבעה הזאת – קריאת השכמה. הדברים הם חשובים. צריך להגיד שברמה המשפטית, למען לא ייצא הפרוטוקול חסר וחס וחלילה אף אחד לא יטעה – חוק הגנת הפרטיות שחל על איסוף המידע קובע בסעיף 17 חובת אבטחת מידע. יש בהתאם לתקנות הוראות שקשורות לאבטחת מידע. אז ברמה המשפטית אין היום ואקום, אין היום לקונה, ואנחנו פועלים בהתאם לנורמה הזאת גם בצעדים מידיים שנדרשים כדי לטפל נושא.
צריך להגיד עוד דבר שאולי לא נעים להגיד כשהרוחות מאוד סוערות ומגיעים אנשים עם המלצות מהירות לטיפול – ארבע נקודות לעושר, 9 נקודות לאבטחה. רגולציה זה מקצוע, ואדוני מכיר את זה, אני מניח, מנושא התכנון והבנייה. רגולציה זה מקצוע, זאת אמירה אחת שצריך להגיד אותה – וגם אבטחת מידע זה מקצוע. מי שמתעסק במקצועות יודע שאין תרופות פלא. ברשות ראינו את הבעיה של המודעות לאבטחת המידע במדינת ישראל ואנחנו מטפלים החל משנת 2010, כי קודם כול אנחנו מניחים, אולי בשונה מהנחה אחרת, שיש עסקים שרוצים לעשות את הדבר הנכון. הם רוצים פעם אחת לפתוח עסק באינטרנט כי זה טוב, פעם שנייה הם רוצים להגן על עצמם מפני סיכונים.
דבר שלישי שצריך לומר פה, והוא קשור באבטחת מידע, ושוכחים אותו כל הזמן זה הגורם האנושי. אחד הממצאים שאני יכול להזכיר כאן מהממצאים הראשונים שלנו הוא שבאחד העסקים לא הפעילו אנטי וירוס. רגולציה, PCI, תקנות – הבן אדם החליט לא להפעיל את האנטי וירוס, זה הכביד עליו. ואז אתה שואל את עצמך, מה עושים במצב כזה? איזה רגולציה בדיוק בסל הכלים שיש ברשותנו שאפשר להתמודד? אני לא מבטל את הדברים שאמר ד"ר קוזלובסקי. חלק מהדברים האלה כתבנו עלי ספר כבר קודם, וצריך לקדם את הדברים האלה במקביל, רק צריך לשים לב לא לשפוך את התינוק עם המים ולא להביא למצב שבו כל פעולה משקית מרימה נטל רגולטורי לא סביר.

אחרי הדברים האלה אנחנו מקדמים את שני הדברים שדיברנו עליהם עכשיו: א', תקנות בנושא אבטחת מידע לפי חוק הגנת הפרטיות. לשמחתי, האירוע הזה גרם לכך ששר המשפטים זימן ישיבה דחופה עכשיו. לכן ראש הרשות לא נמצא פה. אנחנו מקווים שבתקופה הקרובה מאוד יהיו תקנות ברמה הנורמטיבית. מי שירצה להיות בסדר, מי שירצה להגן על עצמו יהיה לו סל כלים לעשות את זה.
לאה ורון
התקנות יהיו וולונטריות?
עמית אשכנזי
התקנות לא יהיו וולונטריות, אבל למה אני אומר שרגולציה זה מקצוע? רגולציה זה מקצוע כי גם היום יש נורמה ויש תקנות. אבל אם כל עסק קטן צריך עכשיו לקחת חוות דעת או מד"ר קוזלובסקי או מעורך דין רביה או מהאנשים האחרים שיושבים פה כדי להפעיל את העסק שלו, אז הוא יפשוט רגל. אז אנחנו רוצים שהדברים יהיו ברורים.
חיים רביה
אנחנו לא כל כך יקרים.
עמית אשכנזי
בסדר.
נמרוד קוזלובסקי
אני כן, אני חייב לציין לפרוטוקול.
קריאות
- - -
עמית אשכנזי
רגע, לא הפרעתי לך.
קריאה
הצפנה וגיבוב עולים אפס.

<עמית אשכנזי>
מאה אחוז, הצפנה וגיבוב. אז בואו נדבר עוד מילה אחת בנושא האכיפה. אנחנו גיבשנו הצעת חוק שעברה קריאה ראשונה, שיושבת עכשיו בוועדת הכנסת ומחכה לה – אולי ועדת הכלכלה תרצה אותה עכשיו – הצעת חוק בעניין סמכויות אכיפה לפי חוק הגנת פרטיות, שיש בה עיצומים כספיים משמעותיים, כולל הפרות של חובות אבטחת מידע, שזהו המקל. אני יכול להיכנס להצעות פה, אני לא בטוח שזאת הרזולוציה שאתה רוצה להיכנס בעניין הצפנות או לא הצפנות, מה המשמעות של זה לעסק קטן לייצר הצפנות. אני קצת מבין בהצפנות כי הייתי רשם חתימה אלקטרונית.
דבר אחרון שאני רוצה להגיד לעניין שיתוף הפעולה עם חברות כרטיסי האשראי – והדברים שהם אמרו פה הם מאוד חשובים. בכובע של ה"גזר" אנחנו רוצים לקדם את המודעות ואת קלות ציות לחוק, והסתכלנו בסבלנות רבה על התהליך שעשו חברות כרטיסי האשראי; הסתכלנו איך הן שמתקשרות חוזית עם בית עסק, מתקשות ביישום הנורמות, איזה צעדים הם עשו כדי להטמיע, ואתה שומע גם מהצד שלהם את ההתלבטות האם מרס 2012, אולי בתנאי הארץ ותושביה, כמו שראינו בהקשרים אחרים – יהפוך לאפריל, ואז יש פסח, ופתאום יהיה דצמבר, ואנחנו חיים בחברה שרוצה לקיים חיי כלכלה ומסחר. אבל כדי לתת תמריצים לציית לנורמה אחת, ומתוך המציאות הפרקטית שמי שמשקיע באבטחת מידע ומתייעץ לא יגביל את אבטחת המידע למספרי כרטיסי האשראי, אלא הוא רוצה להיות בסדר באופן כללי, ויפעל ככה שמי שיציית לתקן ה-PCI יקבל גם הקלות לפי חוק הגנת הפרטיות. למה? כדי להקל את הנטל הרגולטורי, בתנאי שהוא יישם את אותם אמצעים גם לגבי אותו מידע אישי שהוא אוסף. בהקשר הזה יש לנו אחדות מטרה, ואפשר להצדיק אותה בכך שביטחון, כידוע, הוא מוצר ציבורי. אני אסיים בזה, אדוני.
היו"ר כרמל שאמה הכהן
תודה. ד"ר טל פבל, המרכז הבינתחומי, הרצליה. בבקשה.
טל פבל
תודה רבה, אדוני. רציתי להתייחס לכמה דברים: דבר ראשון, לגבי מה שדובר כאן במידה מסוימת על מזעור בנושא של כרטיסי אשראי, כבר דובר על כך שהבעיה העיקרית היא גניבת הנתונים שהייתה פה. אכן, כ-400 אלף רשומות מפריצה לשישה אתרים שונים פחות או יותר, לפחות בגל הראשון, כפי שפורסם. נכון שזה לא 400 אלף כרטיסי אשראי, אלא רק 15 אלף, אבל גם 15 אלף אזרחים שעכשיו נקלעו לבעיה זאת בעיה נקודתית עכשיו שיהיו לה השלכות בעתיד.
דבר נוסף עלתה פה טענה שלא היה אינטרס לפגוע בישראל. בתור מי שקרא את ההודעות המקוריות של אותו עומאר, הוא בהחלט ציין שהיה לו אינטרס לפגוע; הוא אמר שהמטרה שלו היא להשיג כמיליון כרטיסים מתוך הנחה של 6 מיליון תושבים כי המטרה שלו היא להשיג שישית מכלל כרטיסי האשראי של התושבים. הוא ציין אפילו שהם השתמשו בכרטיסים האלה; הוא התגאה בכך שחלק מהציוד שהוא רכש היה באמצעות הכרטיסים הללו, וכתב מה הסיבות שעשה את זה. אחת המטרות הייתה שהוא רוצה לראות את הלחץ בבנקים ובחברות האשראי ולראות את המשתמשים עומדים בתור להחליף אותם. בהחלט היה כאן אינטרס.
מבחינת הניתוח של המקרה עצמו – הסיפור התפרסם ביום שני בלילה. במהלך הלילה בין שני לשלישי הורדתי את הקובץ הראשוני הזה, 32 מגה-בייט, ניתחתי אותו במידה מסוימת. עולה שהייתה פריצה לכמה וכמה אתרים, לא רק לאתר One. באתר One הייתה פריצה שבה 260 אלף רשומות של לקוחות נגנבו. כלומר הקובץ שאני נחשפתי אליו היה של 260 אלף רשומות. ניתן היה לדעת שזה של אתר One מהסיבה הפשוטה שכשמפעילים תיבת דואר שלהם עם סיומת @co.il וכשאתה ממיין, ראיתי שיש 50 אלף רשומות כאלה. הואיל ויש שם עמודה של 0 או 1, דגל כזה – האם הרשומה שייכת לעובד One אז עכשיו יש לי פרטים של 208 עובדים של חברת One.
פריצה נוספת הייתה של שני אתרי קופונים. אני מודה שעד היום לא שמעתי עליהם, ועשיתי אי אלו רכישות כאלה – אחד זה sale365 והשני זה קבוצתי. אני זיהיתי שמדובר באתרים הללו כיוון שהקובץ שנפרץ היה, לפחות לפי מה שהבנתי, כנראה, סוג של התקשרות למול חברת כרטיס האשראי של "אושר", "לא אושר". אחד השדות ברשומות האלה היה supplier – נקודה, ואז היה או sale365 או קבוצתי. ניתן היה לראות שלפחות באחד מהמקרים זה היה משהו מאוד פשוט, אפשר היה לראות את שאילתת ה-SQL שהורצה על בסיס הנתונים – select-x from, מהטבלה. מאוד פשוט.
פריצה נוספת הייתה גם לאתר שעוסק במכירת משחקי מחשב. שם הנתונים נגנבו בין מרס 2006 עד ינואר 2010. מספר של מאות אלפי רשומות, כולל הנחיות למשלוח, כולל מספר משלוח בדואר ישראל. כשנחשפים לנתונים האלה זה נתונים מדהימים. אחד הקבצים היה אתר תרומות שככל הנראה שייך לחב"ד – 1,600 רשומות.

הנתונים באמת מדהימים כיוון שזה לא רק מספר כרטיס האשראי ותעודת זהות ושם בעל הכרטיס, אלא קוד הזיהוי מאחור, שמות משתמש, סיסמאות. באחד המקרים גם מצאתי את שמי ואת פרטיי באחד הקבצים הללו. למזלי ולמזלו של בעל העסק הוא לא שמר את פרטי כרטיס האשראי שם. הוא לא ידע מהסיפור הזה. התקשרתי אליו ב-24:30 בלילה ועדכנתי אותו שפרצו לו את האתר וגנבו לו 22 אלף רשומות. הוא אמר שהוא פשוט למד מניסיון ולא שומר על מספרי כרטיסי אשראי. בשורה התחתונה זה גם אירוע של כרטיסי אשראי, אבל מעל ומעבר זה אירוע של דליפת מידע. חשוב לקחת את הדברים בפרופורציות, כיוון שנכון שהיה לנו האירוע הזה, אבל כמו שנחשף – והפרשה הזאת הסתיימה – היה לנו במשך שנים קובץ אחד שישב באינטרנט בשם "אגרון" שהיו שם נתונים לא על 400 אלף משתמשים, אלא למיטב ידיעתי, על כל תושבי המדינה. אני יודע על מקומות עבודה שכשהיו צריכים לבדוק נתונים על לקוחות לצורך הפעולה השוטפת שלהם, השתמשו במאגר הזה בלי לדעת שהמאגר הזה גנוב. מידע של אנשים שהשתמשו בזה הבנתי שהמידע שהיה שם היה משהו קטסטרופלי. זה לא רק מספר תעודת זהות, כתובת, שם וכדומה, אלא גם סטטוס וקרובי משפחה ויכולת ליצור לינקייג' בין אנשים לבין נתונים ברמה מאוד מפחידה. אז נכון, האירוע הזה הוא בהחלט תמרור אזהרה, אבל צריכים לקחת הכול בפרספקטיבה רחבה יותר, ואפילו העניין הזה של "אגרון" – ואני בטוח שיש עוד "חורים" כאלה – צריך להתייחס אליהם בהיבט הרחב יותר. תודה, אדוני.
היו"ר כרמל שאמה הכהן
תודה רבה. עורך דין חיים רביה, מומחה משפטי בתחום האינטרנט.
חיים רביה
תודה, אדוני. ראשית, למען הגילוי הנאות בכשירותי כעורך דין פרטי אני מייעץ לחברות בתחומים של הגנת הפרטיות ואבטחת מידע, אבל אינני נמצא כאן כנציגה של חברה כלשהי. בעברי אני חבר המועצה הציבורית להגנת הפרטיות, והייתי חבר בצוות שבחן במשרד המשפטים את הוראות החוק בנושא מאגרי מידע ואבטחתם והמליץ לשנות אותו.

אני רוצה לומר כמה דברים: ראשית, אנחנו חייבים תודה להאקר הזה בין אם הוא סעודי ובין אם הוא מקסיקני. באירוע שנזקיו הממשיים לעת עתה הם מוגבלים, הוא העיר את תשומת לבנו לסוגיה שהיא מאוד לא סקסית, אבל בכלכלה שנשענת כולה על מידע זה נושא שאין ערוך לחשיבותו. הנושא הזה הוא קצת כמו ביטוח. אנחנו שונאים לעסוק בביטוח, אנחנו שונאים לשלם דמי ביטוח, אנחנו מקטרים כל שנה למה אנחנו עושים את זה, אבל כאשר יש אירוע מתברר שעשינו דבר-מה חשוב מאוד.
אנחנו, אדוני, נמצאים בפתחה של שנה שיש המבטיחים לנו שתהיה שנה של חלילה מלחמה עם איראן. בשנה כזאת חובה עלינו לשים לב למה שקורה בתחום אבטחת המידע במדינת ישראל, לא רק בגורמים שנמצאים בדרך כלל מתחת לפנס וזכוכית המגדלת שלנו – לא רק לחברות סלולר ולחברות של שירותים פיננסיים, אלא לגורמים רבים אחרים שהתפקוד התקין של המשק הישראלי תלוי גם בהם, בין אם זה חברות שמספקות מזון, בין אם זה גורמים בתחום הבריאות וכיוצא בזה.
התשתית החוקית במדינת ישראל בכל הנוגע לאבטחת מידע היא מיושנת, חסרה, פרימיטיבית וגרוע מכול – משרד המשפטים מודע לזה. אותה הוראה שעורך דין אשכנזי ציין בצדק מחוק הגנת הפרטיות שמחייבת אבטחת מידע היא הוראה שאפילו אינה אומרת מהי אבטחת מידע. התקנות שהוא מציין שקיימות הן כמדומני משנת 86', בימים שרשת האינטרנט לא הייתה; הן תקנות שאין בהן אפילו התחלה של תשובה לצורכי הזמן הזה.

בשנת 2007, כאמור, אני הייתי חבר בצוות במשרד המשפטים שבדק את הסוגיות האלה, צוות בראשותו של המשנה דאז ליועץ המשפטי לממשלה יהושע שופמן שכיום הוא ראש המועצה להגנת הפרטיות. הצוות הזה המליץ על רביזיה בהוראות החוק שעניינן מאגרי מידע, בין השאר גם בסוגיה של אבטחת מידע הוא המליץ על רביזיה. שלושה ראשים לאותה רביזיה: ראשית לקבוע בחוק סטנדרט של אבטחת מידע – לא ברמה של תקן מפני שהתקנים משתנים, תהליך הגיבוש שלהם הוא איטי וכבד, ואילו האיומים משתנים לעיתים קרובות יותר; הוא המליץ לתת לרשם סמכויות להורות לאבטח מאגרים; והוא המליץ לחוקק בחוק הישראלי הוראת חוק כמו זו שבקליפורניה, שמחייבת בעלי מאגרים שלא הצפינו את נתוניהם לתת דיווח במקרה של פריצה למאגר.

מה נעשה עם המלצות דוח שופמן? ובכן, בתחילה הייתה אופטימיות גדולה, ועו"ד שופמן סבר שבתוך חודשים תוגש הצעת חוק. אלא שלא כך היה. הוקמה הרשות למשפט, טכנולוגיה ומידע; היא ישבה על המדוכה, בדקה את ההמלצות, סברה שאין די בהם, ובמאי 2009 הגישה למשרד המשפטים למחלקת ייעוץ וחקיקה, תזכיר חוק מפורט בנושאי הגנת מידע אישי. ומאז ועד עתה – אפס מעשה – לא קרה דבר וחצי דבר עד אשר בנובמבר משרד המשפטים באופן מוזר מאוד קרא מתזכיר החוק הזה את אותן הוראות שעניינן אכיפה וסמכויות הרשם, והוא מבקש לתקן את החוק המיושן שחובותיו עתיקות יומין ואינן ברורות, על-ידי הוספת סמכויות אכיפה חדשות. זוהי גישה שגויה לגמרי. אני מקווה שמהוועדה הזאת תצא קריאה למשרד המשפטים להגיש בכל המהירות הצעת חוק חדשה שעניינה באבטחת מידע והגנת מידע אישית. יותר מזה, אני קורא לאדוני להקים במסגרת הוועדה הזאת, ועדת משנה שתעסוק בתחום אבטחת המידע במשק הישראלי ותגלה בכך את דעתה של הכנסת שאבטחת מידע היא נושא שעוסקים בו לא רק כאשר האקר סעודי גורם לכך שעיתונים יוצאים בכותרות ראשיות, אלא גם ביום-יום. תודה.
היו"ר כרמל שאמה הכהן
תודה רבה על הדברים. דרך אגב, התחום הזה הוא תחום קצת מורכב לניסוח הצעות חוק על-ידי חברי הכנסת. אם מישהו מהמומחים פה והשותפים בדיון יכול להעביר הצעות ונוסחים שיעובדו על-ידי חברי הכנסת זאת תהיה תרומה גדולה לקידום חקיקה בעניין.
נמרוד קוזלובסקי
בציבור הישראלי יש הרבה אנשים שעוסקים בתחום שמוכנים בהתנדבות לעשות את העבודה הנדרשת ולהעמיד את הידע המקצועי ואת המומחיות לטובת הכנסת ולטובת הגורמים שעוסקים בדבר. כמו שעכשיו גוף וולונטרי לחלוטין מקים CERT, גוף למענה לאירועי אבטחת מידע - - - שיש לקונה ציבורית. אני, ואני חושב שגם חיים, אנחנו מוכנים לרכז צוות מומחים שוולונטרית יבוא להעמיד את המומחיות לטובת הוועדה. יש פה מטרה ציבורית גדולה, שהיא באמת לא סקסית ביום-יום.
חיים רביה
ברצון רב, אבל אין צורך בזה. הרשות למשפט, טכנולוגיה ומידע הגישה למשרד המשפטים הצעה מפורטת בתחומים האלה. מדוע משרד המשפטים אינו עושה דבר וחצי דבר?
היו"ר כרמל שאמה הכהן
אולי עורך הדין אשכנזי יודע?
עמית אשכנזי
אני שמח על ההתנדבות של עורך הדין קוזלובסקי. אני יכול להגיד שבינואר 2010 כשפרסמנו את - - - - אבטחת המידע זכינו בהחלט להתעניינות של הקהילה המקצועית. אני רוצה לציין פה בעיקר את ארגון "ISACA" והפעילים בתוכו שהקדישו כמה ישיבות לדיון באבטחת המידע. אני לא יודע כמה מהאנשים פה באמת היו שותפים לזה בתהליכים, אבל את כל הרגולציה שלנו אנחנו מנהלים באינטרנט עם טיוטות והערות. אז מי שמתעניין יכול לראות. כמובן, אנחנו נשמח לכל צוות חשיבה ולכל תרומה, בין אם זה עכשיו ובין אם זה גם כאשר העניינים יירגעו מעט.
לעניין התזכיר, אמת צריכה להיאמר שהועבר תזכיר למחלקת ייעוץ וחקיקה. לצערי האמיתי, אין בו רביזיה טוטלית בפרק ב' לחוק הגנת הפרטיות משום שהדבר הזה נשאר עדיין לעבודה מקצועית מול מחלקת ייעוץ וחקיקה. מה שהיה בתזכיר שהועבר למשרד המשפטים הם שלושה פרקים, שאולי עכשיו יחזרו – אחד מהם עוסק באכיפה, השני עוסק בייעול הרגולציה – צמצום רישום מאגרי המידע תמורת ניהול תקין של מאגרי מידע; ובשונה מעורך הדין רביה, לדעתי, אם אדוני יסתכל בתקנה 3 לתקנות אבטחת מידע הוא יראה שארגון נדרש לקבוע לעצמו נוהל איך הוא מטפל במידע ודיינו כמעט בזה. ברגע שבעל עסק ניגש למידע – וזאת התובנה הרגולטורית בעולם – ושואל את עצמו, איזה מידע יש לו פה, ומה עלול לקרות רע אם יקרה פה משהו רע כמו פריצה – אנחנו עשינו הרבה מאוד, וכל היתר זה טכניקה.
הדבר השלישי שהיה, וזה אגב ההערה של ד"ר קוזלובסקי שאני התעלמתי ממנה קודם בעניין – נדמה לי שהמילה הייתה "כשל" של משרד המשפטים בעניין ההצטרפות לאמנה למניעת פשעי מחשב. הרשות שלנו היא מהרשויות המובילות בצוותים של ה-OECD ושל רשויות להגנת הפרטיות בעולם. אנחנו אירחנו ב-2010 את הכנס הבינלאומי של הרשויות. באותו תזכיר היה פרק על שיתוף פעולה בין רשויות הגנת מידע שעניינו שיתוף פעולה מקצועי עם הקולגות שלנו. הפרק הזה קיים היום בחוק ניירות ערך ומאפשר לרשות לניירות ערך לעשות פעולות כאלה. אנחנו לא בטוחים שמכלול הפעולות שקשורות כאן צריכות להיעשות באמצעות הכלי של הדין הפלילי – את זה אני אומר בסוגריים – כי הוא כלי כבד. יש פעולות שכן, יש פעולות שלו.

לגבי תוכניות העתיד של משרד המשפטים – הדברים שעורך דין רביה אומר פה הם בהחלט דברים שאי אפשר לבטל אותם. מכתבים לפרוטוקול הוועדה מובאים לידיעת מקבלי ההחלטות. אני מקווה שאם הוועדה תקבע עוד דיון נוכל לבוא עם תשובות יותר טובות מהתשובה הזאת.
היו"ר כרמל שאמה הכהן
תודה. יש עוד מישהו שרוצה לומר משהו?
לאה ורון
אבל בכל זאת למה ישראל לא הצטרפה לאותה אמנה שהזכיר ד"ר קוזלובסקי?
עמית אשכנזי
הסיבה נעוצה בשלושה טעמים: טעם אחד, עניינו שאלות של פרשנות לגבי חיוב האמנה בנושא עבירות של קניין רוחני. משום שמדובר באמנה אירופית, האירופים כשבאו לכונן את האמנה צירפו לעגלה גם עבירות מהותיות של קניין רוחני שהן בניגוד למדיניות הממשלה לגבי מה שאנשים אוכפים באמצעות דין פלילי במה שהם עושים באינטרנט. הנושא הזה עדיין בסימן שאלה.
הסיבה השנייה היא שכאשר ישראל מצטרפת לאמנה היא מכריזה כלפי מדינות האמנה שהדין הפנימי שלה תואם אתה מה שקורה פה. והדבר הזה כרגע מתבצע.

הדבר השלישי שלא דיברנו עליו בכלל, אבל זאת הזדמנות טובה להגיד – זה כסף. האמנה מחייבת להקים מוקד פעיל 24/7 שבו לא רק מבקשים עזרה, אלא גם נותנים עזרה. לזה יש משמעות תקציבית.
היו"ר כרמל שאמה הכהן
מה זה משמעות תקציבית? כמה כסף זה?
עמית אשכנזי
אני לא יודע. אני חושב שמתבצעת היום עבודה בנושא הזה. אני לא יודע להעריך כי זה פונקציה של היקף הפעילות.
היו"ר כרמל שאמה הכהן
תודה. מי שלא דיבר, בבקשה.
צבי דביר
צבי דביר, התנועה לזכויות דיגיטליות. עקרונית מה שהיה כאן תכל'ס זה האקר "צעצוע". הוא לחץ על כלים אוטומטיים, קיבל את הגישה לאתרים לא מאובטחים – הוא לא הבעיה המהותית שבפניה מדינת ישראל צריכה להתגונן. היו כבר פריצות הרבה יותר מהותיות: פרצו לחברת אבטחה שמתמחה באבטחת מידע בשם RSA, גנבו משם את הפרטים איך להתחבר בצורה בטוחה לכל מיני מערכות אינטרנט; פרצו ל"לוקהיד מרטין" – גנבו משם – אנחנו לא יודעים מה; גנבו סרטיפיקטים לחתימות על אתרים וסרטיפיקטים לחתימות על תוכנות. הדברים האלה זה דברים שגם צריך להבין שבסופו של דבר איזה אבטחות של ישימו, ניתן להגיע למידע. לכן כמובן יש הרמה הראשונה שלא כל האקר "צעצוע" יבוא עם מספריים ויפתח את הדלת כמו מה שהיה פה, שזה כמובן בשביל שלא יהיו כל הפריצות ש"תשימו מנעול, וזה יימנע", אבל צריך להבין שבסופו של דבר כל מידע שנאסף, מי שמספיק רוצה ויש לו מספיק אינסנטיב להגיע – במדינת ישראל זה כמובן מודיעין זר שאולי ינסה לפרוץ – יצליח. הייתי קודם בדיון על כרטיסי הרב-קו – בונים מאגר מידע, ולמידע הזה ניתן להגיע בגישה לא מורשית מרחוק או מקרוב – זה לא משנה. צריך להבין שכל מידע שקיים, מאוד קשה להגן עליו.
אני אסיים בדבר אחר. שאלו האם זאת הדליפה הגדולה ביותר שהייתה, וכבר בעצם נאמר שהדליפה הגדולה ביותר של גניבת זהות זה בעצם הדליפה של כל מאגר הרשומון, כל מאגר המידע של תושבי מדינת ישראל לדורותיהם. תמיד כשאתם פונים לבנק יש שאלת אבטחה – שם הנעורים של אמא. דרך המאגר הזה בשתי לחיצות כפתור אני יכול להגיע למידע הזה וקיבלתי גישה לחשבון הבנק של האזרח.
לאה ורון
יש עוד כמה שאלות: מה בית הספר היסודי שלמדת פה.
סלעית קולר
אתה בוחר על איזו שאלה אתה רוצה לענות.
צבי דביר
נכון. מה שאני אומר הוא שברגע שהמידע קיים אנשים שירצו מאוד – יגיעו אליו, ולכן צריך לחשוב תמיד בכיוון שמינימיזציה של המידע נאסף בשביל שיהיה מינימום סיכון ביטחוני וסיכון מסחרי ברגע שזה קורה.
סלעית קולר
יש עוד הערה אחת בשוליים של הדברים: המידע שנאסף על-ידי עוסקים – בדיוק יום לפני הפריצה באותו בוקר העברתי לעמית שאלה מהי רמת היכולת שלנו למנוע מלבקש אינפורמציה. למשל, אני מתקשרת לחברת ביטוח, ומבקשת הצעת מחיר, ודורשים ממני את מספר תעודת הזהות שלי. למה? ככה. למה? כי הם יכולים לאסוף את זה. ואם אני רוצה הצעת מחיר מהם הם יקבלו מספר תעודת זהות. זאת אומרת כמות המידע שדורשים מאתנו היא גדולה. היום מספר טלפון, למי שלא יודע, ואני הערתי את זה קודם, זה חשוב מאוד – לדעתי, טלפונים סלולריים צריכים לעבור תחת קו הפיקוח של הבנקים כי מדובר בכניסה לחשבון הבנק לכל דבר ועניין. צריך להבין את זה, צריך לדעת. לכן מספר טלפון בשילוב עם מספר תעודת זהות או בשילוב עם האימייל שלי זה כניסה לחשבון הבנק. את המידע הזה אנחנו הצרכנים נותנים בקלות רבה מאוד. אין פה עוררין – אנשים פשוט נותנים את זה כי הם צריכים לקבל שירות, וככה נותנים את השירות. צריך אולי להגביל גם את הרמה הזאת של מה שאפשר לבקש ממני, ואיך שומרים את זה במאגרים נפרדים כדי שלא כל האינפורמציה תצא בפעם אחת.
היו"ר כרמל שאמה הכהן
תודה. טל פבל, בבקשה.
טל פבל
רציתי להתייחס להערה האחרונה שנאמרה על המידע הרב שאנחנו נאלצים במקרים רבים למסור לחברות שונות, כמו מספר כרטיס אשראי, תעודת זהות וכדומה. הבעיה רחבה יותר מכיוון שהיום בעידן הרשתות החברתיות אנחנו מוסרים מידע רב, לא בהכרח מידע שאנחנו נאלצים למסור. סטטיסטיקה של פייסבוק מלפני שנה מעידה על כך שבממוצע כל משתמש פייסבוק מציב כ-90 פרטי מידע בחודש. פרטי מידע זה פוסטים, לינקים, "שֶרים", תמונות, סרטי וידיאו וכדומה, כשמדובר על כך שלכל אחד היו כ-130 חברים בממוצע. זה המון מידע שנאגר. המון מידע בעידן הזה שלנו זה לא מידע שנאגר בהכרח על-ידי גופים לצרכים של ביצוע עסקה כמו שהיה לנו במקרה הזה, אלא אנחנו מוסרים בצורה וולונטרית לחלוטין המון מידע בפורומים, ברשתות חברתיות ובכל מיני מקומות, והמידע הזה נאגר. אני תמיד אומר – האינטרנט לא שוכח, אף פעם לא. גם אם מחקתי משהו בפייסבוק אין לי אף פעם מושג אם לא שמו איזשהו "דגל" שמשמעותו, אל תציג את זה. מבחינתי הדברים לא נמחקים. בשורה התחתונה צריך לקחת את זה בחשבון ולהיות מודעים שהרבה מאוד מידע אנחנו מוסרים מרצוננו החופשי.
נמרוד קוזלובסקי
שלוש הערות קצרות: הערה ראשונה - ישנה הנחה שמובלעת בדברים של גורמים מסוימים שאם לעסקים תהיה קצת מודעות הם יעשו את מה שראוי וטוב, ובעצם צריך ללמד אותם קצת כי יש להם אינטרס לאבטחת מידע. ההנחה הזאת שגויה. לכן גם הנחת חקיקה שתלך על הנחה שיש להם אינטרס היא שגויה. לעסקים יש אינטרס לאסוף מידע עלינו, ככל שניתן. איסוף המידע הזה משמש אותם הרבה פעמים גם במודל העסקי שלהם, איך לנצל את המידע הזה. לכן הנחה וולונטרית לאבטחת מידע היא שגויה.

דבר נוסף - - - הוא אבטחת מידע. האינטרס שלהם הוא להסתיר את אירוע אבטחת מידע ולהעלים ראיות ולא לחקור אותו ליידע את הנפגעים. לכן אני מצטרף לקריאתו הנבונה מאוד של חיים רביה ללכת על חובות דיווח ודברים כאלה ומנגנונים בדומה.

הדבר השני נוגע לנושא של האמנה. כבר עשר שנים אני שומע את הכנסת דנה למה לא מצטרפים לאמנה, וכל פעם עולות סברות, אבל מעשה לא נעשה. לפחות כהבנתי, כמי שראש את החשיבות של האמנה במדינות אחרות, אני מציע אפילו שתהיה הקמה של צוות ספציפי מיידי שיבחן את ההצטרפות לאמנה. כהבנתי, היא קריטית ליכולת של ישראל לחקור עבירות מחשב. אם התירוץ הוא באמת כלכלי, שצריך שני תקנים בשביל מישהו שיאייש את המוקד הזה או שיש הנחה שאנחנו צריכים לעשות תיקונים מינוריים בחקיקה, נראה לי שהחסם קטן יחסית לתרומה האדירה שתהיה למדינת ישראל מההצטרפות.
היו"ר כרמל שאמה הכהן
תודה. אם אין עוד דוברים אנחנו נסכם את הדיון. ברור לכולם שהביטחון ברשת, בטח בערוצים הכלכליים שלה, לא פחות מהביטחון של הנכסים הפיננסיים שלנו במערכת הבנקאית ובמקומות אחרים. ברור לנו גם שהמצב כרגע שבו מתנהלים אזרחי ישראל והעסקים בכלכלה הישראלית אינו אופטימלי ואינו ראוי מבחינת אבטחת המידע וניהולו.
הוועדה ביקשה מהמומחים שהשתתפו בדיון והעלו רעיונות שונים להעביר נוסחים בהירים להצעות חוק בנושא הזה, שייבחנו לקידום בערוץ של חקיקה פרטית. בדרך כלל היוזמות האלה מקדמות גם את הממשלה ומאיצות בממשלה לקדם את החקיקות, את תזכירי החוק שנמצאים ומונחים – בין אם הם מורכבים ובין אם הם לא מגובשים מספיק – להבשיל אותם ולהגיש אותם לכנסת לאישור.

מסתבר שהאירוע של עומאר ההאקר הוא לא אירוע דרמטי בנזק שהוא גרם, אבל בהחלט יש לו משמעות כ"שעון מעורר" לכל מי שאמור לקבל את ההחלטות בסוגיה המורכבת הזאת. ברור שגם לאזרחים לא ברור מה מידת פוטנציאל הנזק. כלומר גם אני נתפסתי לעניין של כרטיסי האשראי בעיקר כי זה מאוד נגיש לכולנו, כולנו תמיד חוששים פן הכרטיס שלנו יהיה בשימוש של מישהו אחר, אבל בעצם כל הסיסמאות והפרטים האישיים יכולים להיות תשתית לנזקים הרבה יותר גדולים מאשר שימוש בכרטיס אשראי שגם ככה הפעילות שלו מאובטחת בצורה ראויה על-ידי חברות כרטיסי האשראי. כמי שביקר בלי קשר לאירוע הזה במחלקת הביטחון של אחת החברות, התרשמנו מהפעילות המקצועית והמסודרת בנושא. לכן מי שבא "לקלל" פה, אולי יצא "מברך" את מדינת ישראל בכך שהוא הניע תהליך של שיפור והשבחה של אבטחת המידע. כרגע הוועדה מחכה לכם, כי בניגוד לתחומים אחרים, לנו חברי הכנסת – גם מי שזה מעניין אותו – קשה לנו עם התקנים ועם המושגים האלה. תעזרו לנו לעזור לעם ישראל בעניין הזה. תודה רבה, הישיבה נעולה.
<הישיבה ננעלה בשעה 13:15.>

קוד המקור של הנתונים