ישיבת ועדה של הכנסת ה-19 מתאריך 21/10/2013

ניהול אבטחת מידע ושרידות תשתיות אינטרנט ומחשוב עבור משרדי הממשלה - דוח מבקר המדינה 63ב', עמ' 277.

פרוטוקול

 
PAGE
2
הוועדה לענייני ביקורת המדינה
21/10/2013

הכנסת התשע-עשרה
נוסח לא מתוקן

מושב שני
<פרוטוקול מס' 50>
מישיבת הוועדה לענייני ביקורת המדינה
יום שני, י"ז בחשון התשע"ד (21 באוקטובר 2013), שעה 12:00
סדר היום
<ניהול אבטחת מידע ושרידות תשתיות אינטרנט ומחשוב עבור משרדי הממשלה - דוח מבקר המדינה 63ב', עמ' 277.>
נכחו
חברי הוועדה: >
אמנון כהן – היו"ר
מוזמנים
>
יובל חיו - מנהל חטיבה, משרד מבקר המדינה

ישראל אקשטיין - מנהל אגף, משרד מבקר המדינה

נחום בלבן - סגן בכיר למנהל אגף, משרד מבקר המדינה

ערן צדוק - מנהל ביקורת, משרד מבקר המדינה

ציפי שלזינגר - משרד מבקר המדינה

כרמלה אבנר - הממונה על התקשוב הממשלתי, משרד האוצר

אופיר בן אבי - מנהל ממשל זמין, משרד האוצר

רז הייפרמן - מנהל תפעול, משרד האוצר

אריה סיקסק-דוויק - מנהל תחום אבטחת מידע ממוחשב, משרד האוצר

מאיה עדולמי - מנהלת תחום תאום ובקרה בתקשוב הממשלתי, משרד האוצר

אופיר כהן
-
מנהל אבטחת מידע בכנסת

ירון רונן - מנהל שירות למערכות מידע, משרד החקלאות ופיתוח הכפר

עמית אשכנזי - מחלקת ייעוץ וחקיקה, משרד המשפטים

רן זרוק - מנהל אבטחת מידע בממשל זמין

טובה אלנתן - מרכזת ביקורת פנימית ותלונות ציבור, משרד התחבורה, התשתיות הלאומיות והבטיחות בדרכים

ערן גאון - מנהל רשתות, משרד התחבורה, התשתיות הלאומיות והבטיחות בדרכים

ציון מזרחי - מנהל אגף הרישוי, משרד התחבורה, התשתיות הלאומיות והבטיחות בדרכים

אביגדור דנן - היועץ המשפטי הטלוויזיה

אורן אריאב - מנהל מערכות מידע של המשרד, המשרד להגנת הסביבה

זיו סולומון - ראש תחום רגולציה במטה הקיברנטי הלאומי, משרד ראש הממשלה

עקיבא איסרליש - סגן המפקח הכללי, משרד ראש הממשלה

ויקטוריה רביץ - רפרנטית, משרד ראש הממשלה

רועי גולדשמידט - מחלקת המידע ומחקר של הכנסת

בוריס נסטיק - שירותי הנדסה ואבטחת מידע הטלוויזיה, מוזמנים נוספים
ייעוץ משפטי
תומר רוזנר
מנהל/ת הוועדה
חנה פריידין
רישום פרלמנטרי
סיגל גורדון
<ניהול אבטחת מידע ושרידות תשתיות אינטרנט ומחשוב עבור משרדי הממשלה - דוח מבקר המדינה 63ב', עמ' 277.>
היו"ר אמנון כהן
בוקר טוב ושבוע טוב, אני פותח את ישיבת הוועדה לענייני ביקורת המדינה בנושא: ניהול אבטחת מידע ושרידות תשתיות אינטרנט ומחשוב עבור משרדי הממשלה - דוח המבקר 63ב', עמוד 277. אנחנו נשמע את עיקרי ממצאי הדוח. נמצאים פה אריה סיקסק-דוויק, מנהל תחום אבטחת מידע ממוחשב, ומנהל ממשל זמין אופיר בן אבי, אני מקווה שתיקנתם כי הדוח כל כך חמור, כשאני קורא את הדוח אני לא מאמין שזה קורה לנו במדינה, מקבלים החלטות ממשלה, הכוונות רצויות וטובות לציבור וגם לטובת הממשלה, להיות בקשר, ממשל זמין, נקווה שיש לכם בשורות. נאפשר לנציג משרד מבקר המדינה, יובל חיו, מנהל חטיבה, לעדכן אותנו.
יובל חיו
אני תיכף אבקש מישראל אקשטיין, מנהל האגף, לגעת בממצאים העיקריים בקצרה. אני רק אומר בתחילת הדברים, שהתפיסה שלנו בעניין הזה, שניהול אבטחת מידע זה עניין קבוע, שיטתי ורציף. כלומר, זה לא פעולות שצריכות להיות על איזשהו גרף של עודף פעילות וחוסר פעילות אלא זה חייב להיות באופן קבוע. אנחנו גם אומרים, הנושא של הנהלים פה, הפרוטוקולים של העבודה הם קריטיים במטריה הזאת. זו היתה הגישה שלנו. אנחנו התייחסנו לכל נוהל, לכל מדיניות שקבעו הדרגים המקצועיים שנים קודם לכן בצורה רצינית לחלוטין ובעניין הזה אנחנו לא עושים מול הנורמות האלה פשרות ובטח לא במטריה הזאת.
במהלך הדוח מצאנו יותר מדי פערים בין התקנים, בין הנהלים, בין המדיניות שהוגדרה לבין המצב בפועל. אני אומר, שאנחנו מתרשמים ולמדים גם מדיווחים, שנעשתה פעולה די משמעותית במהלך השנה-שנה וחצי האחרונות לתיקון הדברים – אני מניח שהיושב ראש ירצה לשמוע את הדברים היום.

הערה אחרונה לפני שאני מסיים, המבחן שלנו גם בביקורת אף פעם לא היה מבחן שעד היום אנחנו עומדים על הרגליים והעסק עובד. זה לא הנחה אותנו בבחינת הדברים ואם אני יכול להציע, אסור שזה גם ינחה אותנו בעתיד. כלומר, זה שעד היום הצליחו לעמוד בצורה כזאת או אחרת מול התקפה כזאת או אחרת, אסור שהדבר הזה יטה מהכיוון הטוטאלי של קיום הנהלים והתקנים בתחום של אבטחת מידע.
ישראל אקשטיין
עיקרי הממצאים: הנהלת ממשל זמין לא הגדירה את הסיכונים ואת רמתם לגבי חלק מהפרויקטים ואת תתי הפרויקטים. רק בדצמבר 2010, כחמש שנים לאחר פרסום נוהל מדיניות אבטחת מידע של ממשל זמין מונתה ועדת היגוי לאבטחת מידע והרכבה לא תאם את ההרכב שנקבע בנוהל. נמצא כי ועדת ההיגוי לא התכנסה מאז מינויה בשנת 2010. כמו כן התחלפו חלק מהחברים ולא מונו תחתיהם חברי ועדה אחרים. מאחר שהוועדה לא התכנסה כלל, היא לא מילאה את תפקידה כנדרש בנוהל, לרבות גיבוש ועדכון המדיניות בתחום אבטחת מידע, התווית אסטרטגיות, פעילות ופיקוח על תכניות עבודה שנתיות, הערכת נזקים שנגרמו מתקלות וגיבוש המלצות לטיפול בהן.

מנהל אבטחת מידע וממשל זמין לא מילא חלק מהתפקידים שהוגדרו לו בנוהל מדיניות אבטחת מידע. מדובר בין היתר בקביעת רמת האבטחה הנדרשת לכל סיווג, הגדרת אמצעי ותהליכי טיפול ואבטחת רשומות והתוויית רמת אבטחה לוגית המחייבת לגבי רכיביהן השונים של מערכות המחשוב והתקשורת בהגדרה ובהענקה של הכשרות גישה למשתמשים על פי נוהל המדיניות ובקיום ביקורות על הפעילויות הנערכות במידע.

מנהל אבטחת מידע וממשל זמין כפוף, מהבחינה המקצועית ומהבחינה המנהלית, ישירות למנהל ממשל זמין. כפיפות זו עלולה להביא לידי פגיעה באי תלותו מפני שמתוקף תפקידו הוא נדרש לבקר חלק מהפעילויות של מערכות המידע בארגון המצויות בסמכותו ובניהולו של מנהל ממשל זמין. לא הוכנה תכנית המשכית עסקית בממשל זמין. רק בנובמבר 2012 מינתה הנהלת ממשל זמין בעל תפקיד אחראי להיערכות להמשכיות עסקית. למרות ההוראות המחייבות שנקבעו בנושא תכנית שיקום האסון ואף שכבר משנת 2008 קיימים באתר חלופי תכנית מפורטת להפעלת מערך שיקום האסון ונקבעה תדירות התרגול הנדרשת, לא נערכו תרגילים כנדרש. רק במועד סיום הביקורת פורסם ללקוחות ממשל זמין מסמך אמנת שירות הכולל מענה לתקלות, מענה לפניות שוטפות והתחייבות על רמת זמינות, כפי שדרשה ועדת ההיגוי של ממשל זמין.

לממשל זמין אין הסכם עם אף לא אחד מלקחותיו המגדיר מיהם מורשי הגישה למאגרי המידע של הלקוח הנדרש בחוק הגנת הפרטיות. ממשל זמין גם לא מסר דיווח שנתי לרשות למשפט וטכנולוגיה ומידע במשרד המשפטים, כנדרש בחוק הגנת הפרטיות ותוקף היותו מחזיק מאגרים של בעלים שונים. חוץ מסיכום ישיבה אחת בנושא סקר הנהלה שהתקיימה בנובמבר 2010, לא נמצאו מסמכים המעידים על כך שנעשו סקרי הנהלה בשנים 2009-2012. כמו כן, לא נמצאו מסמכים המעידים על יישום ההחלטות שהתקבלו בסקר ההנהלה בנובמבר 2010 ושהיו אמורות להתבצע עד סוף שנת 2011.
מערכת ניהול ותיעוד הרכש הממשלתי הופעלה במרץ 2010 למרות הימצאותן של בעיות במערכת בתחום אבטחת המידע. אישור זמני להפעלת המערכת שנתן מנהל אבטחת מידע, כשנה וחצי לאחר שהמערכת הופעלה ולאחר שנוהלו בה תשעה מכרזים, ניתן אף על פי שלא כל הבעיות במערכת טופלו, כפי שעלה בדוח שעשה צוות בדיקה של ממשל זמין.

מנהל אבטחת מידע בממשל זמין לא גיבש תכנית הדרכה כוללת להגברת מודעות העובדים איך כל ההיבטים הנוגעים לאבטחת מידע אינו מעודכן בנוגע לעובדים חדשים בממשל זמין וממילא אין הם מקבלים את ההדרכה הנדרשת לפני קבלת הרשאת הגישה.
לסיכום, אבטחת מידע היא אבן יסוד בפעילותו של ממשל זמין ומשום כך עליו להעלות את הנושא לראש סדר עדיפויותיו. ממצאיו של דוח זה מלמדים על כך שממשל זמין לא יישם בהיבטים שונים הוראות ונהלים בתחום אבטחת המידע ובכך גדלה רמת הסיכון לפגיעה בתשתיות המחשוב ובשירותי המחשוב במשרדים הממשלה ובגופים ציבוריים.
היו"ר אמנון כהן
יושבת כאן הממונה על התקשוב הממשלתי, כרמלה אבנר, את בודקת שהם עובדים, שהכול מתנהל והכול בסדר? אני מבין שלא נעשו תהליכים בכלל.
כרמלה אבנר
אני לא חושבת שהדברים - - -
היו"ר אמנון כהן
אולי זה נעשה אחרי שהדוח הצביע.
כרמלה אבנר
נעשו תהליכים גדולים, התהליכים נעשו והתחילו להתבצע קודם לכן. זה תהליכים מתמשכים.
היו"ר אמנון כהן
כי החלטה של חשכ"לית ב-1997, נושא של ממשל זמין נכנס ב-1999, רק ב-2010 התחיל לזוז משהו, במשך עשור. אומנם בפועל לא קרה כלום אבל אנחנו לא סומכים על נס.
כרמלה אבנר
אני אפתח ואומר, קודם כל אני מודה על ההזדמנות לבוא ולהצטרף. אני חושבת שאבטחת מידע זה אחד מאבני היסוד של ממשל זמין. דוח הביקורת שנעשה כאן היה באמת דוח שהאיר את הנקודות השונות ואני מאוד מתחברת למה שיובל אמר כאן. זה שאף פעם לא קרה כלום זה לא אומר שאנחנו צריכים לנוח על זרי דפנה. יחד עם זאת אתם תשמעו את כל הפעילויות שנעשו, גם התחילו קודם לכן לפני הביקורת והגיעו בעצם לפרקן עם הביקורת. אתם גם שמתם כאן דגשים על נהלים שהקפדנו לשים ולשים אותם טוב יותר. יחד עם זאת אני רוצה לומר, זה שבעצם לא קרו דברים עד היום זה לא נס, נעשתה כאן עבודה מאוד מאומצת. אנחנו צריכים לזכור שכל התחום של הסייבר והתחום של אבטחת המידע הוא תחום מאוד דינמי ולצערנו לאחרונה אנחנו מגלים שתחום הסייבר הפך להיות ממש חזית נוספת בחזית שפועלת נגדנו במלחמה. אנחנו ראינו ב"עמוד ענן" התאמה, קורלציה, בין ההתקפות הפיזיות להתקפות הקיברנטיות שהיו. אנחנו רואים גם על פני ציר הזמן, שהדחיפות בין האירועים השונים היא דחיפות הולכת וגוברת. כלומר, זה שאנחנו מתאימים ובונים איזה שהם נהלים, הקצב שלנו היום הוא גם הקצב שאנחנו צריכים להתאים את עצמנו גם טכנולוגית, גם מבחינת הרכש, גם מבחינת הנהלים וגם מבחינת צורת העבודה שלנו. פרקי הזמן שקורים בין לבין התקפות כאלה שמחייבים אותנו שינויים בכלל של ארכיטקטורה ושינויי תפיסה, הם הרבה יותר מהירים ולכן זה לא שנעשית כאן עבודה במקרה, אלא בפירוש נעשית כאן הרבה מאוד עבודה. אפילו דברים שלא מגיעים לעיתונות, אנחנו מרגישים אותם בהתמודדות היום יומית שהם קיימים.
אני אתן דוגמה של שינוי קונספט שהיה. הקונספטים שהיו שנים אחורנית - והם עדיין קיימים, זה לא שאנחנו לא צריכים להתייחס אליהם אבל הם משנים היום את תפיסת העולם - זה כל הנושא של המשכיות בשעת חירום. שעות החירום מול תרחישי הייחוס שאליהם היינו מתייחסים היו אירועים כמו רעידת אדמה, טילים, הצפות, אירועים פיזיים והפתרונות הטובים ביותר לאירועים פיזיים היו מתקנים מקבילים בנפרד, מיקומים גיאוגרפיים שונים וגיבויים שונים. בעולם החדש שבו אנחנו יותר ויותר חשופים להתקפות קיברנטיות והתקפות זדוניות קיברנטיות, במידה והיינו מתייחסים לעולם שבו אנחנו עושים תהליכים של כפילויות פיזיקליות, זה לא היה עוזר, נהפוך הוא, היינו בעצם משכפלים את ההתקפה לעוד אתר. זה היה אומר, שמראש היינו צריכים להתחיל לשנות את כל קונספט ההגנה שלנו. כלומר, זה לא לבוא ולעשות את כל מה שהוא סינכרוני, שהוא בא ועושה את הגיבוי לעשות אותו אחרת.

אנחנו מאוד מתחברים, זה אחד הדברים שמדירים שינה מעינינו, גם בגלל ההיערכות קדימה, גם בגלל ההיערכות השוטפת. אני אגיד עוד משפט, תיארת את הקשיים מהרגע שהממשלה מקבלת החלטה עד הרגע שהיא מבצעת אותה, פרקי הזמן האלה מאוד מקשים עלינו בעבודה אופרטיבית כיוון שכאן יש ממש אחריות יום יום לבצע את הדברים, כלומר, שאנחנו גם מתמודדים עם היכולת שלנו גם להשיג את התקציבים, גם לממש את התקציבים וגם לעשות את הדברים שהם נדרשים כדי שנוכל לתקן אותם.
היו"ר אמנון כהן
מי אלה הנהלת ממשל זמין, מי ההנהלה הזאת?
כרמלה אבנר
אני מציעה שאופיר יציג, אופיר הוא מנהל ממשל זמין, אני מציעה שהוא יציג. אני גם רוצה להציג, שמשנת 2010 היו הרבה מאוד שינויים גם בהנהלה, גם בהתייחסות - - -
היו"ר אמנון כהן
כתוב פה: הנהלת ממשל זמין לא הגדירה - - -
כרמלה אבנר
היו מספר הנהלות.
היו"ר אמנון כהן
בתקופת הביקורת, הנהלת ממשל זמין לא הגדירה אפילו את הסיכונים. זאת אומרת, לא יודעים ממה להיזהר, מה לא לעשות. אני מתייחס לדוח, אני מבקש לקבל תשובות לדוח. את יכולה להגיד דברים יפים, אבל אני רוצה לקבל תשובות. אני אומר, הנהלת ממשל זמין לא הגדירה – יש היום הגדרות?
אופיר בן אבי
יש.
היו"ר אמנון כהן
איפה, איפה זה כתוב?
אופיר בן אבי
בתשובה שהעברנו, התחלנו לבצע סקר סיכונים מלא בכלל התקשוב ובפרט בממשל זמין. כל הסיכונים מופו והוגדרו תהליכי עבודה לטיפול בהם.
היו"ר אמנון כהן
כתוב: בדצמבר 2010, כחמש שנים לאחר פרסום נוהל מדיניות אבטחת מידע ב-2005. ב-2010, אחרי חמש שנים של ממשל זמין מונתה ועדת היגוי לאבטחת מידע בממשל זמין והרכבה לא תאם את ההרכב שנקבע בנוהל. נמצא כי ועדת ההיגוי לא התכנסה מאז מינוייה ב-2010. זאת אומרת, ב-2005 היו נהלים, ב-2010 מונתה ועדת היגוי שלא תאמה אבל גם לא התכנסה אף פעם ואז גם התחלפו חברים, היא עוד לא התכנסה אבל חברים כבר התחלפו באמצע ותחתם לא מונו אחרים. היום יש ועדת היגוי כזאת?
אופיר בן אבי
יש ועדת היגוי כזאת עם כתבי מינוי מסודרים, לוועדה נקבעו מפגשים סדורים.
היו"ר אמנון כהן
כמה פעמים התכנסה הוועדה מאז הדוח שעליו הצביע המבקר? כמה פעמים צריך להתכנס, פעם בשנה, פעם בחודשיים, פעם בחודש? מה קבעתם?
אופיר בן אבי
אני אומר, על פי הנהלים הוועדה הזאת מתכנסת אחת לשנה, היא התכנסה בפברואר. אנחנו הגדרנו שתי ועדות, אנחנו גוף מונחה שירות הביטחון, גוף מונחה רא"ם – הרשות הממלכתית לאבטחת מידע, ויש בעצם שני פורומים, שתי ועדות שמתכנסות, האחת, ועדת אבטחת המידע של ממשל זמין שמתכנסת אחת לשנה, וועדה שמתכנסת יחד עם הגורמים - - -
היו"ר אמנון כהן
הרכבה משקף את העבודה היום?
אופיר בן אבי
בהחלט. אני רוצה ברשותך - - -
היו"ר אמנון כהן
שנייה, אני ממוקד מטרה, אני רוצה לדעת שהסעיפים בדוח טופלו או איפה אנחנו עומדים. אחד, אתה אומר, יש הגדרות ברורות. בשני אתה אומר, יש כבר את הנושא של ועדת היגוי, אבטחת מידע, החברים נבחרו ונבחנו והכול בסדר והיא כונסה כבר פעם אחת בפברואר.
אופיר בן אבי
בהחלט.
היו"ר אמנון כהן
מי קבע שזה רק פעם בשנה? לא לפי מצב, לפי תרחיש כזה או אחר? למה קבעת פעם בשנה? אנחנו מדינה דינמית, כל יום יש חדשות.
אופיר בן אבי
הטיפול בנושא של אבטחת מידע הוא בהחלט דינמי, זאת אומרת, כשיש אירוע אז מתכנסים ומטפלים באותו אירוע, עד אז, זו ועדה שמתכנסת אחת לשנה והיא מטפלת בנושאים מערכתיים.
אברהם זרוק
חשוב לציין, שהשנה הזאת, בגלל שלקחנו את הדוח ברצינות, ביקשנו לעשות עוד ועדת ביקורת שתתכנס בעוד כחודש, ב-18 לנובמבר, שבה אנחנו נציג את כל מה שעשינו ואת כל מה שעוד נדרש להשלים. אז השנה הזאת כן יתכנסו שתי ועדות, בעזרת השם.
היו"ר אמנון כהן
היתה בעיה של כפיפות, של ממשל זמין לאבטחת מידע, אנחנו לא רוצים שיהיה ניגוד. אנחנו רוצים שכל אחד יעשה את מלאכתו נאמנה, לפעמים יש ניגודי עניינים. גם בממשלה כאשר יש ניגודי אינטרסים, הם מעבירים משר לשר כדי שיהיה שיקול דעת נקי. גם פה צריך למצוא נוסחה, שבנושא מסוים יהיה אולי מישהו אחר.
כרמלה אבנר
אני אשמח להתייחס לנקודה הזאת כי בדיוק עכשיו יצאנו מפגישה. אל"ף, התקשוב הממשלתי זה גוף שהוקם בשנה וחצי האחרונות ולכן אנחנו גם היום מסדירים את כל ממשקי העבודה וגם את כל תפיסות העבודה בהיבטים האלה. ממשל זמין ובכלל גם גופי מערכות המידע בכלל משרדי הממשלה יש להם CISO – chief information security officer, זה מי שאחראי על מערכות האבטחה והוא צריך להיות חלק מתוך המערך שמבצע את התהליכים עצמם בתוך המשרד, זה הגוף המבצע. יחד עם זאת, אנחנו מקימים היום שתי פונקציות של הנחיה ובקרה, האחת, גוף רגולטיבי שנמצא בתקשוב הממשלתי שמסתכל ויתכלל את כל הרגולציות הרוחביות במשרדי הממשלה. וספציפית באוצר כדי למנוע עוד איזשהו נושא של ניגוד עניינים תחת היחידה של הקב"ט יוני מור. אריה יושב כאן לצדי, גם סיכמנו שנעביר להם עוד תקציב כדי שיתבצע עוד תהליך של בקרה שהוא בעצם לא בקרה, לא מתוך ממשל זמין, לא מתוך התקשוב הממשלתי אלא מגוף שהוא גוף חיצוני, כדי שיעשה בקרה ספציפית על הגופים התפעוליים המונחים, שזה מרכב"ה וממשל זמין.
היו"ר אמנון כהן
פתרו את הבעיה?
יובל חיו
על פניו אני מקווה שההסדר הזה יוצר איזה שהיא הפרדה. צריך להבין ומי כמוכם יודעים, כשהתקציבים מוגבלים והאמצעים מוגבלים, ברגע שמגיע ממונה אבטחת מידע ואומר, אני צריך אל"ף, בי"ת וגימ"ל כדי להיות בסטנדרט הנכון, המנהל של המערכת כולה, המנהל של מערכות המידע לפעמים נמצא באילוצים שהוא לא יכול לספק לו את העניינים האלה. אם המצב הזה יביא אותנו למציאות שנעשה הנחות בתחום הזה בעקבות האילוצים, אנחנו נהיה במצב לא טוב. שמעתי פה את ההסדר, אני לא אתן התייחסות לעניין הזה, אנחנו באופן עקרוני אמרנו, חייבת להיות הפרדה, המצב שהיינו בביקורת לא היה מצב טוב, שם היתה גם כפיפות מנהלית, גם כפיפות תפעולית, הוא היה מתחת למנהל ממשל זמין לאורך כל הגזרה.
כרמלה אבנר
צריך לחדד גם את הנושא שמעבר לעדכון, יהיה גם גוף נפרד שהוא מחוץ למערכת ההיררכית. ממשל זמין מוגדר כמערכת קריטית ונעשו ביקורות שהן לא חלק מהתהליך השוטף של ממשל זמין, ביקורות של רא"ם. כלומר, היום נתנו פתרונות להנחיה ובקרה של הפעילויות, ואני חושבת, אבי, אתה יכול להציג כאן גם את ההתכוונות המאוד משמעותית בהנחיה.
היו"ר אמנון כהן
תיכף תציג, נלך לפי סעיפים ולאחר מכן תציג. עוד כתוב: לא הופנו תכניות להמשכיות עסקית בממשל זמין, רק בנובמבר 2012 מינתה הנהלת ממשל זמין בעל תפקיד אחראי להיערכות להמשכיות עסקית. הנושא הזה עובד? יש מישהו בעל תפקיד אחראי להיערכות?
אופיר בן אבי
מונה בעל תפקיד, גויס מישהו ייעודי לנושא הזה של המשכיות עסקית והקמת אתר חלופי לממשל זמין ולתקשוב הממשלתי. אני חייב לציין, שלא כל התהליכים הבשילו והתקציבים לא הוקצו כדי להקים את המערך הזה במלואו. אנחנו נמצאים בתהליך אל מול אגף התקציבים במשרד האוצר כדי להשלים את המהלך הזה.
היו"ר אמנון כהן
מה הלו"ז?
אופיר בן אבי
קשה לי לציין פה לו"ז כי הדברים לא תלויים בי.
היו"ר אמנון כהן
בכמה כסף מדובר?
אופיר בן אבי
מדובר בכ-40 מיליון שקלים על פני שנתיים.
היו"ר אמנון כהן
ולגבי הסעיף הבא: תרגילים ותרגולים, סימולציות כאלה - - -
אופיר בן אבי
גם פה, בוצע תרגיל במאי האחרון בתקשוב הממשלתי שתרגל את כל היחידות, כולל ממשל זמין.
היו"ר אמנון כהן
כל כמה זמן אתם עושים היום תרגולת? קבעתם איזשהו נוהל?
אופיר בן אבי
אנחנו קבענו שאחת לשנה יתבצע תרגיל. מכיוון שבעבר לא בוצעו תרגילים מהסוג הזה, בהיקף כזה, התרגיל הזה משמש אותנו כבסיס וכתכנית עבודה לכל הפערים שעלו בתרגיל הזה והוא בעצם הפך היום לתכנית עבודה להיערכות להמשכיות עסקית.
היו"ר אמנון כהן
לגבי אמנת שירות בין כל הגורמים, יש כבר?
אופיר בן אבי
אמנת שירות פורסמה, היא פורסמה ביולי 2012, האמנה הזאת מטופלת, זה משהו שהוא דינמי ואנחנו מעדכנים אותו בשוטף, יצאו הרחבות ותוספות לאמנה הזאת וככל שיצטרפו שירותים ומערכות לממשל זמין האמנה הזאת תעודכן.
היו"ר אמנון כהן
לגבי הסכמים עם הלקוחות כנדרש בחוק הגנת הפרטיות, איפה זה עומד? איך הם מקבלים, בלי הסכמים?
אופיר בן אבי
כשמדובר על מאגר מידע, האחריות על מאגר מידע הוא של בעל המאגר. לצורך הדוגמה, אנחנו - - -
היו"ר אמנון כהן
הציוד של אזרחים, יש לכם חומרים רגישים ביותר.
אופיר בן אבי
זה שהמאגר שנמצא באחריותנו - --
היו"ר אמנון כהן
אז יש פה צנעת הפרט, חוק הגנת הפרטיות.
אופיר בן אבי
מאגרי המידע הם בבעלות משרדי הממשלה. זאת אומרת, האחראי על המאגר, על המידע שנמצא בתוכו, הוא אותו משרד ממשלתי שמפעיל אותו ויצר אותו. מאגרי מידע שנמצאים באחריותנו כדוגמת מאגר המידע של שירות הטפסים, נרשם במאגרים ובוצע תהליך מסודר.
היו"ר אמנון כהן
אז על מה מדבר המבקר, אין הסכם עם לקוחות?
אופיר בן אבי
פה לא ברור לי איזה הסכם אנחנו צריכים לעשות מול לקוחות, אבל משרד שמחזיק מאגר הוא זה שצריך לפעול מול רשם - - -
ערן צדוק
חוק הגנת הפרטיות קובע גם הלכות לגבי מחזיק במאגר מידע וממשל זמין שמחזיק במאגר מידע, צריך שיהיה לו הסכם מי יכול לגשת, מי יכול לראות וכו'.
אריה סיקסק-דוויק
כן, אבל זה צריך להיות בעזרתו של המשרד, ממשל זמין לא צריך לגשת למשרד ולהגיד לו בוא נחתום על ההסכם.
יובל חיו
לא קבוע בחוק מי ניגש למי, ההלכה קבועה גם למחזיק. האחריות היא הדדית.
ערן צדוק
מאחר והגישה שלנו היא גישה מערכתית ונמצאת פה ראש מטה התקשוב הכלל ממשלתית, אנחנו כרגע לא ניכנס האם המשרד צריך לבוא אליכם או אתם למשרד, אנחנו סבורים שהדבר הזה צריך להיות מוסדר, לא משנה מי יבוא למי בסופו של דבר אבל ההסכם צריך להגדיר את המרכיבים האלה כי זה נדרש על פי הסרגלים שעבדנו מולם.
היו"ר אמנון כהן
בוועדה הזאת לא פעם אני נתקל שכל אחד זורק על השני, בסוף המידע זורם לאן שהוא לא צריך לזרום ויש גם גופים שמאוד רוצים את האינפורמציה הזאת ובסוף יגידו, בדיון בוועדה לביקורת המדינה זה זרק על זה וכך זה נגמר. אני חייב לקבל פה היום אחריות מי עושה מה, אנחנו צריכים לסגור את הסיפור הזה כי זה דברים רגישים. בהסתכלות שלכם אתם יכולים להגיד זה התחום שלו הוא צריך לסגור את זה, אבל יש את משרד ראש הממשלה שהוא מתכלל ודואג לכול. אתם כאחראים על הגוף, אתם יכולים להוציא הנחיות, לפחות ליידע אותם שיש לכם את הדבר הזה לעשות מיגון כזה או אחר כדי שזה לא יזלוג למקום שלא היינו רוצים להגיע. ולא לזרוק את זה עליו, להגיד זה עניין שלו וזהו, אני לא מקבל את הגישה הזאת. לכן זה נראה כך, אין נהלים, לא מתכנסים.
כרמלה אבנר
בואו נעשה את ההבחנה ואנחנו מקבלים את זה ויושב פה גדעון קונפינו, שהוא בעצם הגיוס החדש למטה התקשוב שאמור להסתכל - - -
היו"ר אמנון כהן
מה תפקידו בכוח?
כרמלה אבנר
הוא מנהל האבטחה - - -
היו"ר אמנון כהן
אני דורש ממך, לא מאף אחד אחד, מצדי את האחראית.
כרמלה אבנר
אני אחראית באמצעות אנשים ומה שאני מנסה להגיד, שגם מבנית אנחנו גייסנו אדם חדש שיסתכל וייתן את ההנחיות ואת הרגולציות האלה במשרדי הממשלה - - -
היו"ר אמנון כהן
אז מי יהיה אחראי על ההסכם בין כל הלקוחות?
כרמלה אבנר
הדוח הזה מתייחס לממשל זמין ספציפית רק כאן, חשוב שאנחנו נבהיר, המטרה והמגמה של ממשל זמין הוא לא להחזיק את מאגרי המידע כדי לא ליצור כפילויות, בדיוק כדי לא לייצר את אותו פוטנציאל של נזקים שקיימים. אנחנו מקבלים את ההערה, שאנחנו במטה התקשוב, לא ממשל זמין, נוציא שוב ריענון למשרדי הממשלה כדי לעשות את אותם הסכמים ואת ההסתכלות של רישום המאגרים.
היו"ר אמנון כהן
אתה מקבל את זה אדוני?
יובל חיו
כן, בהחלט, נראה לי ענייני ובונה קדימה.
היו"ר אמנון כהן
בסדר. סקר הנהלה - - -
אופיר בן אבי
ברשותכם, בנושא הזה ישבנו עם רמו"ט – רשות משפט וטכנולוגיה – כדי לפרוט את הדברים על מנת שנוכל ליישם את זה בצורה הטובה ביותר.
היו"ר אמנון כהן
מי נמצא כאן ממשרד המשפטים? לגבי סקרי הנהלה.
אופיר בן אבי
בדומה לוועדת ההיגוי של אבטחת מידע, גם פה מתבצע סקר הנהלה אחת לשנה בצורה מסודרת. גם הפער הזה נסגר אל מול שנים קודמות.
היו"ר אמנון כהן
יש מי שעוקב אחר הדברים, אחר יישום ההחלטות?
אופיר בן אבי
כן, בוודאי, כמנהל היחידה אני זה שעושה את המעקב. ביחידה יש בעל תפקיד שהוא זה שמרכז גם את ועדת אבטחת המידע וגם את סקר ההנהלה, תפקידו לעקוב אחר המשימות ולוודא ביצוע.
היו"ר אמנון כהן
טיוטת נוהל שלא אושרה, לא על ידי מנהל אבטחת מידע ולא על ידי ועדת ההיגוי של ממשל זמין, מה קרה, איך יצאה טיוטה בלי שאתם תעברו על זה מבחינה מקצועית, לאשר, לא לאשר?
אברהם זרוק
כבוד היושב ראש, אתה רוצה להתייחס לסעיף 10?
היו"ר אמנון כהן
אני מבין שטיפלתם ב-10, לא?
אברהם זרוק
טיפלנו בכל הליקויים.
היו"ר אמנון כהן
אני יודע, אתה רואה.
אברהם זרוק
במקביל לקחנו את כל הדוחות שנכתבו ואנחנו פורטים אחד לאחד האם טופל גם על דוחות אחרים בצורה מסודרת ומה שנדרש תיקון מקבל תיקון. מה עוד שמבחינתנו אנחנו הגדרנו את זה כסטופר, אם לא תוקנו כל הליקויים עד רמה נמוכה, אנחנו לא מאפשרים למערכת לעלות לאוויר.
היו"ר אמנון כהן
יפה.
אופיר בן אבי
אני רוצה להתייחס ל-11, ברשותך, אני טיפה ארחיב כאן. הנושא הזה עולה לאורך כל הדוח, אני בהחלט לא מקל בעניין הזה. אני חייב לציין, שאני לא מכיר גוף אזרחי שמתייחס לנושא אבטחת המידע כמו שאנחנו מתייחסים אליו ופועלים ביום יום. כל אתר אינטרנט וכל מערכת מידע שמתארחת אצלנו עוברת בדיקות קפדניות ולא מעט אנחנו מוצאים את עצמנו, שמשרדי ממשלה בוחרים לא להגיע בגלל שהסטנדרטים הם גבוהים. אני אציין רק דוגמה אחת, הבוקר אני בשיחה עם שירות בתי הסוהר שבחרו לקחת את אתר האינטרנט שלהם כי יותר נוח לשים אותו בחוות שרתים מסחרית כי שם אין סטנדרטים של אבטחת מידע. בוודאי אבטחת המידע באה על חשבון הנוחות והנוחות פה, המשרדים מעדיפים לפעמים לבחור בנוחות ולא באבטחת מידע. אז עשינו פעולה מאוד מעמיקה, כל נושא הנהלים והפרוטוקולים, זה צוין בהתחלה, ממשל זמין מוסמך היום לתקן תמר 3, פרק זמן של עשרה חודשים ממצב של תת הסכמה, אנחנו מוסמכים היום על תקן תמר 3, אנחנו השקענו זמן ומשאבים רבים כדי לעמוד בתקן הזה שבין היתר גם מגדיר את הדברים שעולים כאן, המעקב, הפערים וסגירת הפערים, זה חלק גדול מאותו תקן של שירות הביטחון הכללי.
והיו"ר אמנון כהן
לגבי טיוטות?
אופיר בן אבי
כל הסיפור הזה היה כדי שלא ייווצר מצב שיש טיוטות שלא מאושרות.
היו"ר אמנון כהן
מי הכין את הטיוטות?
אופיר בן אבי
בדרך כלל מי שמכין אותה זה אנשי אבטחת מידע. אנחנו הגדרנו תהליך מסודר - - -
היו"ר אמנון כהן
איך מוודאים שזה לא יקרה בפעם הבאה?
אופיר בן אבי
הכנסנו מערכת מידע שבעצם כל התהליכים והפערים מוזנים אליה וכל מי שיש לו משימה ופער קיים הוא מקבל משימה אליו לדואר האלקטרוני ומוודא שהיא מטופלת.
היו"ר אמנון כהן
אתה הבנת את זה?
יובל חיו
אני הבנתי.
אברהם זרוק
המערכת עצמה לוקחת את הנוהל עצמו ומפרקת אותו לבקרה.
היו"ר אמנון כהן
מישהו צריך לעבור עליו לפני שהוא מופץ.
אברהם זרוק
זה ברור. בוודאי.
היו"ר אמנון כהן
מה בוודאי. כתוב פה שלא.
אברהם זרוק
אז התשובה היא שכן.
היו"ר אמנון כהן
זה מה שאני רוצה לדעת. כל אחד יכול לכתוב נוהל וישלח, השאלה, מישהו שנמצא בפירמידה למעלה מסתכל? נלקחו כל ההיבטים בנוהל הזה? אולי יש דברים שצריך להוסיף, להוריד, רגישות, מישהו מלמעלה מסתכל? מי בודק מלמעלה לפני שזה יורד למטה?
אופיר בן אבי
יש את כותב הנוהל, לאחר מכן יש אישור של מנהל אבטחת המידע בארגון ולאחר מכן אישור שלי כמנהל היחידה. רק לאחר מכן זה נכנס - - -
היו"ר אמנון כהן
זה הוסדר עכשיו?
אופיר בן אבי
כן, בהחלט.
יובל חיו
כרמלה אישרה נוהל כזה? כלומר, זה מגיע אלייך לאישור?
כרמלה אבנר
עד היום לא, אבל אנחנו - - -
היו"ר אמנון כהן
ואת סומכת עליהם כל הזמן? כי ראיתי שלא הכול עובד שם יפה.
יובל חיו
על פניו זה נראה לי נוהל די קריטי: פעולות לביצוע בעת מתקפת מניעת שירות הוא לא נוהל שולי, הוא נוהל שעומד בשדרה המרכזית של הפעילות.
כרמלה אבנר
גוף ממשל זמין הוא הגוף המקצועי שזאת האחריות שלו להוציא נהלים. גם היום כשאנחנו בונים את התקשוב הממשלתי, ישנם נהלים וסטנדרטים שיוצאים מהתקשוב הממשלתי רוחבית לכל משרדי הממשלה וישנם נהלים שבעצם יבואו מהגוף המקצועי של ממשל זמין והם יהיו אותם הסטנדרטים ונהלים טכנולוגיים שייצאו הלאה. אנחנו נמצאים היום בתהליך של הגדרות, לבנות מה כן ומה לא, איפה נרצה חתימות נוספות ואיפה נרצה חתימות אחרות, אנחנו נבחן את הדבר הזה. נכון להיום, ממשל זמין הוא הגוף המקצועי, יש שם גם את ההיררכיה הפנימית של הגוף המקצועי שמובל על ידי אבי זרוק וגם את הגוף הניהולי שמונחה על ידי אופיר, שהם אלה שמוסמכים וחותמים על הנהלים.
היו"ר אמנון כהן
את תהיי רגועה? מישהו צריך לפקח על זה בסוף.
כרמלה אבנר
אמרתי, שאנחנו כרגע בוחנים מחדש אם יש צרכים נוספים - - -
היו"ר אמנון כהן
כמה זמן לוקח לבחון את הנושא הזה?
כרמלה אבנר
אני חושבת שזה ייקח לנו מספר חודשים. צריך גם לזכור, כמו שכבר אמרנו – והיה לנו דיון על כך בדיוק השבוע - - -
היו"ר אמנון כהן
לקראת הדיון שלנו.
כרמלה אבנר
לא לקראת הדיון שלכם. כפי שאמרתי, אחד הדברים שכל הזמן אנחנו סביבם זה נושאים של אבטחת מידע, זה לא משהו שאנחנו יכולים לשים אותו בצד, אנחנו טוענים שזה אורח חיים, זה אורח החיים שלנו. היה לנו דיון, ברגע שבנינו את הפונקציה החדשה בתקשוב הממשלתי שמסתכלת רוחבית וההנחיה שלנו את מול משרדי הממשלה ואת הגוף שנמצא באגף הביטחון, בעצם מהם ממשקי עבודה ואיך אנחנו עובדים, כולל גם גוף מטה הסייבר שנוצר שהוא גוף חדש בממשלה וגם רא"ם. כלומר, כל התהליכים האלה של הסדרת הסמכויות והשינוי, זה שינויים. תסתכלו בשנה וחצי האחרונות כמה גופים חדשים קמו וצריך לבוא ולראות אותם. ממשל זמין היה הגוף המקצועי הבלעדי שעשה את זה, אנחנו חושבים היום להגדיר מהם גופי ההנחיה, מהי הרגולציה ומהם הנושאים. בשלב זה ההנחיות המקצועיות והטכנולוגיות יגיעו מממשל זמין.
היו"ר אמנון כהן
הבנתי. לגבי הדרכות, איך זה עובד, כל פעם במשרד אחר?
אופיר בן אבי
לא, זה לא משרד אחר, זה הדרכות של אנשים שפועלים ביחידת ממשל זמין. אחת לשנה מתבצעת הדרכה, יש כאן גם את התאריכים שביצענו את זה. מעבר לזה, כל עובד חדש שמצטרף לארגון, יש טופס מסודר שבו מנהל אבטחת המידע הוא זה שחותם על הטופס המגדיר את רמת ההרשאות שאותו עובד מקבל. אחת לשלושה חודשים אנחנו אוספים את כל העובדים החדשים והם מקבלים הדרכה פרטנית בנושא של אבטחת מידע.
היו"ר אמנון כהן
נחזור לסעיף 3: מנהל אבטחת מידע וממשל זמין לא מילא חלק מהתפקידים שהוגדרו לו בנוהל מדיניות אבטחת מידע. מדובר בין היתר בקביעת רמת האבטחה הנדרשת לכל סיווג וכו' וכו'. אני לא יודע מה הוא מילא, תענה לי, מה עשית שם? זו העבודה שלו, הוא לא מילא את התפקיד, קיבל משכורת ככה ב"חאווה".
יובל חיו
בעניין הזה, סעיף 3 הוא די יסודי כי מצאנו, לקחנו בדיוק את רשימת התפקידים שהוגדרה מלכתחילה לממלא התפקיד הזה וניסינו לעבור תפקיד תפקיד ולראות אם הדברים האלה נעשו. לאורך כל השורה הזאת למעשה ראינו שהפעולות האלה, לא בקביעת רמת אבטחה הנדרשת לכל סיווג, לא בהגדרת אמצעי טיפול ותהליכי טיפול באבטחת רשומות, התוויית רמת האבטחה הלוגית, בהגדרה ובהענקה של הרשאות גישה למשתמשים ובקיום ביקורות על הפעילויות הנערכות במידע.
היו"ר אמנון כהן
זה התפקיד למעשה.
יובל חיו
אני חוזר לדברים הראשונים, זו מטריה שחייבים לעבוד לפי פרוטוקולים מאוד ברורים ופה חשוב מאוד לשמוע על הסעיף הזה, לאן שהיושב ראש מכוון, איזה פעולות תיקון נעשו כי זה עומד ביסוד העניין.
היו"ר אמנון כהן
קודם כל, מי היה מנהל אבטחת המידע בתקופת הדוח?
אופיר בן אבי
שוקי פלג, הוא כבר לא עובד בממשל זמין.
היו"ר אמנון כהן
איפה הוא?
אופיר בן אבי
הוא מחוץ לממשלה.
היו"ר אמנון כהן
זה אחד שקיבל שכר מבלי שעשה את העבודה. יש תפקיד, המדינה אומרת, התפקיד חשוב, מגייסת עבורו אדם והאדם לא ממלא את תפקידו.
אברהם זרוק
מתחילת השנה אני נכנסתי לתפקיד, לאחר שהדוח הזה פורסם, לקחנו גם את הדוחות של מבקר המדינה וגם את דוחות הביקורת של רא"ם, התחלנו לעבור סעיף סעיף ולתקן את הדברים, בין אם זה ברמת הנהלים וכל מה שנדרש ובין אם זה ברמה הטכנולוגית, לקחת ולפרוט את הדברים על מנת שהם יבוצעו כנגזרת מתוך הנהלים עצמם. במקביל, לקחנו והתקדמנו בכל מה שקשור - - -
היו"ר אמנון כהן
אז תגיד לי, יש נוהל ברור בקביעת רמת האבטחה הנדרשת לכל סיווג?
אברהם זרוק
יש נוהל ברור, אנחנו החלטנו לאמץ בצורה מסודרת את הנהלים של רא"ם על כל המערכות של ממשל זמין.
היו"ר אמנון כהן
מה עם תהליכים לטיפול באבטחת רשומות?
אברהם זרוק
בכל מה שנדרש, אם זה טיפול באבטחת רשומות, אם זה טיפול - - -
היו"ר אמנון כהן
אתם יכולים לבדוק את זה ולהגיד לי שהכול בסדר?
יובל חיו
אם מבקר המדינה יאשר ביקורת מעקב, אנחנו ניכנס. אני רק אומר לך, שסיימנו את הביקורת הזאת, לא עצרנו, המשכנו ישר לבדוק את ההיבטים של אבטחת פיזית בממשל זמין. לא מן הנמנע כשאנחנו נסיים את זה, ניכנס ישר למעקב על הנושא הזה.
היו"ר אמנון כהן
אברהם ישלח לך, על פי התייחסות לדוח, את כל הליקויים שאתה מצביע עליהם ואתה תעבור על זה. אני צריך לדעת אם לקיים דיון נוסף בעניין או לא לקיים דיון נוסף, לא ברמה של חקירה, אלא ברמה שהצבעת על ליקוי, הוא מדווח לך שהליקוי טופל.
חנה פריידין
יש נציגה במשרד ראש הממשלה, שהם מקבלים את זה.
היו"ר אמנון כהן
אני לא יודע, משרד ראש הממשלה נותן דוח לראש הממשלה, אני כיושב ראש הוועדה מקבל מכם או שתעבירו לי, אני צריך לדעת, מדובר בנושאים חשובים, נושאים שלא כולם עוסקים בהם, זה מקצועי ברמה הכי גבוהה ואנחנו סומכים עליכם אבל אנחנו לא נסכים לאף אחד שלא יעשה את עבודתו, לשם כך אנחנו עושים ביקורת ומי שעשה וטעה, צריך לתקן, אומרים מי שעובד טועה, אז טעה ואנחנו רוצים לתקן, לא רוצים חלילה להירדם בשמירה, פה אם אתה נרדם בשמירה זה יכול להיות אסון כבד מאוד לא פחות ממלחמה. לכן אנחנו לא ניתן לזה לחמוק, אנחנו חייבים לעקוב אחרי זה. אני מתרשם שיש לכם רצינות, באתם לכאן ואתם מציגים את זה, אני מתרשם שלקחתם את זה ברצינות כתכנית עבודה אחר דוח מבקר המדינה, אבל בסוף אני צריך לדעת, למרות שיישמנו, מישהו צריך לבדוק את היישום הזה ברמת ביצוע ליקויים. משרד ראש הממשלה, אתם תבדקו את הדברים האלה כי אני צריך לקבל החלטה אם לקיים דיון נוסף. אני לא מסתפק במה שנאמר כאן אלא צריך לבדוק את הדברים. אני רואה רצינות, הפאזה השתנתה, החשיבה והראייה השתנתה, כרמלה שכנעת אותי שזה משתנה ושאתם לוקחים את זה ברצינות אבל אני צריך לבדוק גם לאחר תיקון הליקויים.
ויקטוריה רביץ
שלום, אני מאגף המפקח הכללי לענייני ביקורת המדינה, אנחנו בעצם עושים מעקב אחר תיקון הליקויים. התשובות הראשונות פורסמו בהערות בחודש יולי ואנחנו ממשיכים במעקב. מה שרציתי להגיד, זה לא דיון ראשון בנושא אבטחת מידע שאני משתתפת בו, בשנת 2009, כלומר לפני ארבע שנים התקיים כאן דיון שנגע להגנת הפרטיות ושמירה על כל המידע במאגרי מידע ממשלתיים. בעקבות הדוח הזה, בספר של מעקב אחר תיקון הליקויים שפורסם בנובמבר 2010, בסיוע הרשות המשפטית לטכנולוגיה ומידע, יחד אתם גיבשנו שאלון לבדיקת היבטים שונים של אבטחת מידע בכל משרדי הממשלה והממצאים פורסמו. מה שרציתי להגיד, שממשל זמין, עם כל הכבוד, זה גוף על, יש לו את התפקידים שלו אבל מתחתיו יש כ-30 משרדי ממשלה שהם בעצם האחראים על אבטחת המידע בתוך עצמם. עם כל הכבוד למשרד האוצר, הוא לא יכול לבוא ולהגיד למשרד כלשהו תעשה זה וזה כי אם המנכ"ל יעצור אותם זה לא יהיה. הממצאים שפורסמו פה ב-2010 הם מדאיגים מאוד כי 20%-30% מהממצאים זה לא תקין.
היו"ר אמנון כהן
הוא זה שאמרתי, כי זה נושא מקצועי ביותר, אני לא בטוח שכל מנכ"ל משרד מבין בזה עמוק. יש גוף שהוא מקצוען, משרד ראש הממשלה, שמרכז את זה. לכן לא מן הנמנע ליידע את המנכ"ל של אותו משרד או האחראי. בנושא הזה, נושא של סייבר, כל נושא המחשוב, נושא של ממשל זמין, צריך להיות גוף מלמעלה שמנחה מקצועית, לא אומר לו מה לעשות אבל מנחה, להיזהר ממשהו, למגן, אחרת הוא יבוא ויגיד לא ידעתי. זה נושא מקצועי, זה לא נושא ניהולי, הפונקציה הזאת שיושבת במשרד צריכה לטפל בדברים האלה, לכן כאן חייבת לרדת מלמעלה הנחיה כי הוא לא יודע.
כרמלה אבנר
המבנה הנכון להיום, יש את גוף הביצוע של ממשל זמין - - -
היו"ר אמנון כהן
איך עובד ממשל זמין במשרד הרווחה?
כרמלה אבנר
אין ממשל זמין במשרד הרווחה.
היו"ר אמנון כהן
הוא קיים רק במשרד ראש הממשלה, ומה לגבי 30 משרדי הממשלה?
אופיר בן אבי
יש להם דפי מערכות מידע.
היו"ר אמנון כהן
מה הסכנות שם?
כרמלה אבנר
הסכנות, שכל אחד תלוי במשרד עצמו.
היו"ר אמנון כהן
מי בודק שלא ינצלו את המידע לרעה? מי יודע להגיד - - -
כרמלה אבנר
היום ישנם מספר רגולטורים שמטפלים כל אחד--
היו"ר אמנון כהן
מספר רגולטורים זה לא טוב.
כרמלה אבנר
--והאחריות היא על המשרד. זה מה שניסינו להגיד קודם לכן, לממשל זמין יש את הכובע שהוא מעביר תעבורת אינטרנט ומארח אתרי ממשלה שבחרו להתארח בממשל זמין. מה שויקטוריה מציינת כאן וזה נכון, בכל משרד ממשלתי יש את גוף מערך המידע שלו, חלקם מנהלים את זה בעצמם, חלקם מוציאים את זה למיקור חוץ, חלקם מתארחים בממשל זמין וחלקם פר פעילות האינטרנט שלהם וחלקם בכלל עושים את זה במקומות אחרים. השינוי שאנחנו מדברים עליו היום זה שאנחנו כן נבוא ונסתכל למשרדי הממשלה, אנחנו לא יכולים להנחות, אנחנו לא יכולים לחייב את משרדי הממשלה, התקציבים הם באחריות משרדית, אנחנו יכולים לבוא ולחדד להם מחדש את הרגולציות ואת התפקידים של מה שהם צריכים לעשות. זה פן רוחבי אל מול משרדי הממשלה שאנחנו יכולים באמצעותו להסתכל על כל הדרישות, אנחנו גם נחדד את כל הדרישות של אבטחת המידע והפרטיות בתחום של ניהול מאגרי מידע, נעשה את זה בשיתוף עם הרגולטור.

יחד עם זאת, משרד ממשל זמין הוא גוף הביצוע שיש לו גם אחריות תפעולית, יש חדר מחשב גדול ומכובד, שנעשתה עליו ביקורת פיזית, שעליו נעשית עבודה נפרדת ועבודה נוספת. לגבי האחריות, האחריות היא משרדית. אנחנו צריכים להבין, נכון להיום ישנם מספר גופים שמנחים, ישנם גופים כמו רא"ם שמנחים מערכות קריטיות - - -
היו"ר אמנון כהן
מישהו עושה את העבודה הזאת? יש מישהו שמפקח שהמידע לא יזלוג למקום לא רצוי? אם בכל הרגולטורים האלה מישהו אמון על זה, בסדר, פתרנו את הבעיה, אבל אם אין, צריך למצוא.
כרמלה אבנר
היום זה באחריות משרדית.
היו"ר אמנון כהן
אין גוף רוחבי שעושה את זה?
כרמלה אבנר
לא.
אריה סיקסק-דוויק
מה שקורה בעצם, שמשרדי הממשלה, כל אבטחת המידע במשרדי הממשלה לא מוסדר. כל התחום של אבטחת המידע במשרדי הממשלה אינו מוסדר. זאת אומרת, יכול להיות משרד שיש לו מנהל אבטחת מידע, יכול להיות משרד שהמלמ"ר הוא מנהל אבטחת מידע ונתקלתי בדברים האלה. נתקלתי אפילו במשרד שהחליט, בגלל קיצוצים, לבטל את תפקיד מנהל אבטחת המידע. זאת אומרת, זה מתחיל פה. למשרדים אין כלים מינימאליים לעשות את עבודתם. אנחנו צריכים להתחיל מהבסיס וזה לא מוסדר.
היו"ר אמנון כהן
אתה איש המקצוע, העלית את הנושא הזה בפני מישהו, שזה לא מוסדר?
אריה סיקסק-דוויק
אנחנו דיברנו, גדעון הרי נכנס לתפקיד, זה בדיוק אחד הדברים שהוא צריך להוביל - - -
היו"ר אמנון כהן
אבל אם אין לו סמכות, הוא לא יכול להוביל.
כרמלה אבנר
מישהו צריך להוביל את הדיון הזה, עד היום לא היה מישהו שיאפיין ויגדיר את הדיון הזה. היום פעם ראשונה יש מישהו שצריך לראות את הבעיה ולהעלות אותה לדיון.
היו"ר אמנון כהן
מי זה?
כרמלה אבנר
זה גדעון. גדעון יצטרך - - -
היו"ר אמנון כהן
הוא קיבל סמכות? זרקתם עליו אחריות, סמכות יש?
כרמלה אבנר
הסמכות שלו כרגע היא לצייר את הבעיה.
היו"ר אמנון כהן
בפני מי?
כרמלה אבנר
בפני התקשוב הממשלתי, שאנחנו נעשה על זה עבודה ביחד עם מטה הסייבר במשרד ראש הממשלה, ביחד עם רמו"ט, שנמצא במשרד המשפטים, ביחד עם רא"ם שנמצא במשרד ראש הממשלה תחת הגופים הביטחוניים. ישנם גם הגופים האזרחיים שגם הם מנחים מבחינת סטנדרטים שונים.
היו"ר אמנון כהן
אני מוטרד מאוד מהדוח הזה, אני קודם כל מוטרד כאזרח וכנבחר ציבור. כל אחד בתחומו מבין ועושה ורוצה לתקן את הליקויים, כך אני מתרשם, אבל אין פה ראייה מערכתית, אין פה ראייה שמישהו מתכלל, בודק את הדברים ומנחה כל משרד ממשלתי כזה או אחר כי אלה נושאים מקצועיים שצריכים להבין בו. לא כל מנכ"ל משרד, מוכשר ככל שיהיה, מתעסק בנושאים ניהוליים והוצאת המדיניות לפועל של אותו שר. אז נושא של אבטחת מידע הוא נושא מקצועי ברמה הגבוהה ביותר. לכן, כאשר אין גוף מתכלל, אין גוף שנותן למישהו אחריות, אם לא ניתן לו את הסמכות שהוא יידע להעביר את המסר, להעלות את זה לסדר היום, להביא את זה לדיון בממשלה שיש בעיה אמתית ולכן צריך לעשות אל"ף, בי"ת, גימ"ל, מישהו שמסתכל מלמעלה, כל משרד עושה מה שהוא מבין, לפעמים הוא טועה, לפעמים מידע יכול לזלוג כי כל אחד אחראי ובסוף אף אחד לא אחראי. אולי משרד המשפטים יעשה משהו או שיחשוב אם צריך לתת סמכויות עם אחריות. נותנים לו אחריות אבל אני לא יודע אם יש לו את הסמכות. איך אתה מסתכל על זה, אתה לא מוטרד?
עמית אשכנזי
אני אענה לאדוני וסליחה על האיחור. הדיון הזה חשוב מאוד כי בעצם הדיון הזה מצביע אצבע כלפי הדרגים הבכירים ביותר. נקודת המוצא היא, שאחריות מתחילה במודעות. הרבה פעמים ראינו – זו תופעה כללית שקשורה בנושא IT בממשלה, כלומר נושא המחשוב בממשלה באופן כללי ואבטחת מידע כחלק מזה, לא תמיד היה במודעות של מקבלי ההחלטות הבכירים ביותר, זה נתפס כנושא מאוד מקצועי ושם קרו כל מיני דברים.
היו"ר אמנון כהן
זו המלחמה הבאה, זו מלחמה אמתית, לא רק טנקים וטילים זה מלחמה, זה לא פחות מזה, דרך המחשבים יכולים לשבש את כל המערכות.
עמית אשכנזי
אני מסכים. אם כך, הנקודה הראשונה שאני רוצה להגיד, טוב שיש דיון כזה, פעם אחת. פעם שנייה, הדיון הזה מתרחש בתקופה יותר טובה לנושא הזה מאשר הזדמנויות קודם שהוא התרחש משום שבצד הזה של השולחן יושבים חבורה של אנשים במשרד האוצר וגוף מטה של משרד האוצר שאמור להתעסק בממשל IT. אז במובן הזה אנחנו במצב טוב יותר ממה שהיינו לפני שלוש שנים. הדבר השלישי שאני רוצה לומר, חוק הגנת הפרטיות, סעיף 17 לחוק, שזה חוק שאנחנו כרשות פיקוח ממונים עליו, מדבר על חובת אבטחת המידע. החוק הזה מטיבו לא מסדיר בכלל את התקצוב כי תקצוב לא מסדירים בחקיקה רגולטורית, זה עניין של הממשלה לעשות, אבל אנחנו ראינו כנושא מרכזי שהטענות שעלו פה, ואני חלוק עליהן, לגבי השאלה מה זה אבטחת מידע, לשאלה מה זה אבטחת מידע, איש מקצוע רציני יכול למצוא עשר תשובות, אם לא 15. ממשל זמין עצמם תואמים תקן ישראלי לאבטחת מידע כך שאני לא חושב שבהקשר הזה יש פה איזה בעיה שלא יודעים מה זה אבטחת מידע, זה רק עניין של תשומת לב ניהולי. בלי לפגוע בדבר הזה, אנחנו כרשות למשפט וטכנולוגיה התחלנו תהליך בשנת 2009 שיצא באופן פומבי ב-2010, של קביעת תקנות חדשות לאבטחת מידע לפי חוק הגנת הפרטיות. מדוע עשינו את זה? כדי למנוע את הטענה שאין סטנדרט ברור. המלצנו למשרד המשפטים להתקין תקנות שלמות כוללות בנושא אבטחת מידע. התקנות האלה עוסקות בשיטות ותהליכים מעבר לאירועים כמו מבקר המדינה או דוח חגיגי שבהם מנהל הארגון מבין מה יש לו בחצר האחורית. כי הבעיה המרכזית היא, שהרבה מאוד מנהלים, לא רק בסקטור הציבורי אבל גם בסקטור הציבורי, בכלל לא יודעים מה הם מחזיקים, נתחיל בזה. אחרי שעושים את זה, עושים לזה תהליכי ניהול סיכונים. תהליכי ניהול סיכונים לא הומצאו במשרד המשפטים. יש תהליכי ניהול סיכונים, אנחנו עשינו להם תרגום לשפה משפטית כדי שיהיה יותר קל, בסוגריים, כדי שיהיה לנו גם יותר קל לאכוף את זה אחר כך, כשאתה מצביע על נורמה ברורה, קל לך יותר לבוא לאכיפה.
התקנות האלה עברו שימוע ציבורי ב-2010 ואחר כך אמרו, רק רגע, צריך לברר - - -
היו"ר אמנון כהן
מי התקין את התקנות?
עמית אשכנזי
אנחנו הצענו טיוטת תקנות, היחידה שלנו. אבל על מנת שהתקנות האלה יותקנו נוצר עדיין צורך לייצר דיאלוג עם משרדי הממשלה. והנה באו משרד הממשלה, אדוני, ואמרו, סליחה, לתקנות האלה יש עלויות, אנחנו רוצים שמישהו יפתח פנקס צ'קים, אנחנו לא יודעים כמה זה ייקח לנו לבצע וכו' וכו', וזה דיון שבגללו התקנות האלה עדיין לא הותקנו.
היו"ר אמנון כהן
מ-2010.
עמית אשכנזי
כן. אני מאוד מקווה שבזכות אירועים מהסוג הזה פעם אחת, ובזכות העובדה שאנחנו אכן מנהלים מלחמה באופן יום יומי על אבטחת המידע כי בזמן שאנחנו מדברים פה יש כאלף תקיפות לדקה, יש הרבה מספרים, המודעות הזאת עולה ואני מקווה שעד סוף השנה נצליח להביא את זה לוועדת חוקה כדי שתהיה נורמה. זו הפעולה של משרד המשפטים - - -
היו"ר אמנון כהן
יש אומדן תקציבי לתקנות האלה לכשנאשר אותן? מישהו יכול לאמוד את זה?
עמית אשכנזי
אפשר לעשות אומדנים תקציביים גסים אבל אני רוצה לחדד את הנקודה, שיש מתח קבוע בין מנהלי IT, מנהלי תקשוב, לבין אנשי האבטחה. מנהלי התקשוב נמדדים כמה מהר, מבריק ויפה הם עושים את המוצרים. כלומר, כמה אתרי אינטרנט יש לנו עכשיו באוויר, עם לוגואים נחמדים ואפליקציות וזה נורא יפה. אבל אף אחד לא סופר כמה זה עולה לאבטח את הדבר הזה. ברור ששום משרד ממשלתי לא יפתח את שעריו ל פני שהקב"ט נתן אישור למאבטח ולמגנומטר ולתהליכים וזה מתוקצב.
היו"ר אמנון כהן
אז למה לא בנו? אם אתה רוצה להכניס אתר חדש לטובת הציבור, הכול בסדר, ולידו צריך להיות כל נושא של אחזקתו ואבטחתו. למה זה לא בא ביחד?
עמית אשכנזי
אני מסכים שזה צריך לבוא ביחד, אבל פה שיתוף הפעולה במישור שלנו, בינינו לבין ממשל זמין. אני חושב שאפשר להחזיר לכרמלה את רשות הדיבור על מנת שתסביר את העבודה שנעשית בתקנון אבטחת המידע כחלק מאותה פעולה שמבוצעת באת האינטרנט. אבל לשאלת התקצוב, אנחנו אומרים, סליחה, יש פה בעיה של אפליה מתקנת, יש תת תקצוב, שנים. כלומר, הטענה שעכשיו מישהו צריך לתקצב איזה משהו חדש היא טענה שלא ברורה לנו. הדברים האלה היה צריך לתקצב אותם מהבסיס, בזכות דוח כזה ודיון כזה מנהלים צריכים לשאול כחלק מהשאלה, לא רק כמה זה יפה, כמה זה נהדר, כמה זה יעזור לי למכור את מה שאני רוצה למכור או להעביר את המסר שאני רוצה להעביר, אלא כמה אני צריך להשקיע כדי לאבטח את זה. כרשות רגולציה אנחנו לא יכולים לעסוק בתקצוב.
היו"ר אמנון כהן
מי מחליט אם האתר הזה ייכנס לאותו משרד או לא, מי קובע? אין מישהו מלמעלה שאומר, אתם תיכנסו ותוכלו לרכוש? כל אחד עושה את הישר בעיניו.
עמית אשכנזי
בעניין הזה אני חושב שעדיף לשמוע את משרד האוצר כי תהליכי העבודה של אתרי האינטרנט הממשלתיים הם חלק מהביזור של ניהול ה-I.T בממשלה ונעשית פה עבודה.
היו"ר אמנון כהן
כרמלה, מי יכול להגיד לנו, אני רוצה להבין, המשרד רוצה למקסם את המידע לציבור או לתת לו אינפורמציה, שכמה שפחות יגיעו אליו, זה מבורך, אבל יחד עם זאת שיידע שלכל הנושא הזה יש את האבטחה, את האחזקה, אם אף אחד לא אומר, הוא אומר, אני קודם כל נותן לאזרח את השירות, אחר כך נדבר על זה.
כרמלה אבנר
אני רוצה לחזור ולומר, האחריות היא אחריות משרדית. מי שמתארח בממשל זמין – תיכף אנחנו נגיד שאנחנו רוצים להמשיך ולאכוף שמשרדי הממשלה יחויבו להתארח בממשל זמין - אז ישנם בעצם הסטנדרטים והבדיקה של ממשל זמין. ממשל זמין לא מאפשר לכל משרד להתארח ולהפעיל את המערכות שלו אם הוא לא עומד בסטנדרטים של ממשל זמין. ישנם משרדים כמו שאופיר תיאר מקודם, של השב"ס, שהחליט מטעמים של תקציב, טעמים אחרים, שיעילות אופרטיבית – כי זה מאוד נוקשה, כשאתה מגיע לממשל זמין אתה לא יכול לעשות מה שאתה רוצה – לארח בעצם את האתרים שלהם בחוץ ואז האחריות היא שלהם, זה לא מגיע דרך התקשוב הממשלתי, לא דרך ממשל זמין ולא דרך אף גוף אלא זו אחריות של המשרד עצמו.

צריך לזכור, שישנם הרבה מאוד רגולציות או הנחיות, עמית תיאר כאן את ההנחיות שנוגעות למאגרי מידע וכל הנושא של הפרטיות, ישנן הנחיות שיכולות לבוא מתוך רא"ם, אבל ישנם גופים שהם לא מונחים לא על ידי רא"ם, לא בהכרח משרדים המכירים בתחומים של ממשל זמין - - -
היו"ר אמנון כהן
מה, כל משרד יכול להוציא החוצה, מיקור חוץ?
כרמלה אבנר
כן. וכמו שנאמר כאן היום, ישנם משרדים שיש להם מנהל אבטחת מידע שהוא מחוץ למערך המידע, שלא מדווח למנמ"ר, שהוא כן מדווח למנמ"ר, כל האזור הזה בעצם של תחום אבטחת המידע אינו מוסדר בממשלה.
היו"ר אמנון כהן
מיניסטריאלית מי אחראי על כך, משרד האוצר?
כרמלה אבנר
משרד האוצר.
היו"ר אמנון כהן
מיקי איתן היה בעבר?
כרמלה אבנר
מיקי איתן היה בחלקו, היום כבר לא.
היו"ר אמנון כהן
אבל הוא לא הסדיר את כל הנושא הזה בחקיקה, בתקנות, בנהלים?
כרמלה אבנר
אמרתי, ישנם היום מספר גופים שהתהליך הזה לא מוסדר, תסתכל על מנהל מערכות מידע או על המשרד - - -
היו"ר אמנון כהן
את מפחידה אותי כרמלה, אל תרחיבי, את מפחידה אותי.
כרמלה אבנר
ישנו את מטה הסייבר שנותן לו הנחיות, ישנה רמו"ט שנותנת הנחיות, ישנם מנהל אבטחת המידע שיכול לתת לו הנחיות, ישנו הממונה על היישום הביומטריים שיכול לתת לו הנחיות.
היו"ר אמנון כהן
מה אתה מציע, איך נסדיר את זה? אני נמצא בבית המחוקקים, יש דברים שאפשר להסדיר בנהלים, יש דברים בתקנות ויש דברים בחקיקה. לכן, אם הממשלה לא יודעת, נקים צוות ונעשה חקיקה כמו שצריך, כולל עלויות, כולל כפיפות, סמכויות וכו'. הנושא כנראה חדש, הוא מתגלגל טלאי על טלאי אבל אין ראייה מערכתית. אין ראיה מלמעלה שחלילה לא ניקלע למצב שנגיד, ידענו אבל לא עשינו. זה לא רציני.
עמית אשכנזי
אני לצערי חייב להגיד, שכרגע אני לא רואה את ההתקדמות המערכתית לטפל בנושא. נעשים שורה של תהליכים ברמה הממשלתית, ברמת עבודת מטה ממשלתית. קודם כל ממשלת ישראל הקימה מטה סייבר לאומי שעושה עבודה רצינית מאוד בלייצר שולחנות משותפים של הגורמים הרלוונטיים. נמצא כאן נציג שלו שיכול להרחיב, אבל לצורך העניין, אין ספק שהקצב שהדברים מבוצעים, אני אומר את זה בצער, הוא לא הקצב - - -
היו"ר אמנון כהן
מה זה סייבר לאומי?
זיו סולומון
אני אתייחס. מטה הסייבר הוא גוף שהוקם בתחילת 2012 מתוקף החלטת ממשלה שעוסק הן בצד של תכלול הנושא הזה - - -
היו"ר אמנון כהן
אז אני שואל מי מתכלל, אף אחד לא מדבר.
זיו סולומון
אני עוד מעט אתייחס לכל הקשור למשרדי הממשלה, שזה הנושא שנמצא פה על הפרק, אני מדבר לא רק על משרדי ממשלה אלא על המדינה בכלל. בנושא של משרדי הממשלה, אני חושב שהדברים שאמרה כרמלה הם בהחלט תואמים ואנחנו רואים עין בעין אתה את הנושא של החשיבות של הקמת יחידה בתוך הממשלה שתהיה אחראית לנושא של אבטחת מידע. למעשה מה שהתחיל לעשות לאחרונה גדעון, כמובן פונקציה שיש לה אחריות וסמכות ברורה ורחבה - - -
היו"ר אמנון כהן
סמכות של מה יש לה?
זיו סולומון
סמכות לפעול אל מול משרדי הממשלה.
היו"ר אמנון כהן
מה הוא יכול להגיד למשל, את זה אתה לא מוציא החוצה למיקור חוץ?
זיו סולומון
לדוגמה. צריך לעשות עבודה מסודרת.
היו"ר אמנון כהן
לא, אני שאלתי על סמכות, לא שאלתי סתם, הוא יכול להביא לך עבודה והמלצות, אבל כשאין לו סמכות, הוא לא יכול להגיד כלום. צריך להסדיר את הסמכות שלו.
זיו סולומון
אני מסכים עם הדברים שאתה אומר.
היו"ר אמנון כהן
אני שואל, אתה אומר שיש לו סמכות ואני לא מבין, מה הסמכות שלו? שוב, פונקציה שהמדינה משלמת כסף, לא נתנה לו סמכות ואחר כך יהיה דוח נוסף והוא יגיד, שהוא לא עשה את זה ולא עשה את זה. לא בכוונה, הוא רצה לעשות את העבודה אבל אני כמדינה לא נתתי לו סמכויות.
זיו סולומון
אני מיד אגיע לתשובה.
היו"ר אמנון כהן
זה מה שחשוב לי, תגיע לזה עכשיו, אל תלך למקומות אחרים. יש לו סמכות? אם לא, תוריד את התפקיד, חבל על הכסף.
זיו סולומון
כרגע, במצב הנוכחי, גדעון הגיע רק לאחרונה - - -
היו"ר אמנון כהן
גדעון הוא מצוין, אני לא מדבר על גדעון, אני מדבר על הפונקציה הזאת.
זיו סולומון
הפונקציה צריכה להיות, כפי ששאלת אדוני היושב ראש, צריכה להיות לה סמכות לעבוד ולהנחות את משרדי הממשלה באמצעות המלמ"רים ומנהלי אבטחת מידע במשרדי הממשלה, לבצע דברים על פי תקן ברור, צריכה לעמוד בפני בקרה וביקורת בנושא הזה וכל מה שקשור.
כרמלה אבנר
אני אתייחס לזה. זה תחת התקשוב הממשלתי. בהיבטים שאנחנו מדברים כאן כרגע, הסמכות היחידה שיש לגדעון זה - - -
היו"ר אמנון כהן
אנחנו צריכים בסוף לפתור את הבעיה.
כרמלה אבנר
אני רוצה להגדיר מה הבעיה כי לטעמי כרגע לא הגדרנו את הבעיה. כמו שאמרתי, התקשוב הממשלתי הוא גוף שהוקם לפני שנה וחצי כאשר כל הסמכות שלו היא בעיקר היוועצותי, כלומר, משרד הממשלה צריכים להיוועץ בתקשוב הממשלתי. לכן כרגע התפקיד של גדעון הוא לבוא ולהראות את התהליכים ולהבין בכלל איפה הבעיה. אין לו סמכות כפי שהיינו רוצים שתהיה סמכות שהיא סמכות אוכפת אל מול משרדי הממשלה.
היו"ר אמנון כהן
מהי הגדרת התפקיד של גדעון כעת?
גדעון קונפינו
מנהל אבטחת המידע בתקשוב הממשלתי.
היו"ר אמנון כהן
ומה תפקידו של אריה, מה תפקידו של אופיר?
אופיר בן אבי
אני מנהל ממשל זמין.
היו"ר אמנון כהן
מה תפקידו של רז?
אופיר בן אבי
רז לא נמצא פה אבל הוא מנהל חטיבה.
היו"ר אמנון כהן
כמה מנהלים, תכלס אין להם סמכויות אז מה יעשו?
כרמלה אבנר
הדיון הוא רחב יותר.
היו"ר אמנון כהן
ולכן?
רועי גולדדשמיט
אני יכול להעיר הערה?
היו"ר אמנון כהן
איזה הערה?
רועי גולדדשמיט
בעניין הנידון.
היו"ר אמנון כהן
למה לא הבאת נייר כלשהו לפני הדיון?
רועי גולדדשמיט
לא התבקשתי. אני לא עובד מול הוועדה, אבל אני כן מלווה את העיסוק בנושא הזה במחלקת המחקר.
היו"ר אמנון כהן
היית מאיר את עיניי באיזה נייר שאתה יודע משהו.
רועי גולדדשמיט
אני אשמח. הנושא הזה מלווה כבר הרבה שנים את הדיונים בנושא התקשוב הממשלתי. כעיקרון, העילה להקמת התקשוב הממשלתי היה רצון ליצור תכלול של הנושא הזה. בפועל מה שקרה, שניתנה להם הסמכות העקרונית אבל לא ניתנה להם הסמכות האופרטיבית מול המשרדים. כלומר, לעבוד מול כל מלמ"ר ומלמ"ר, אפשר להמליץ המלצות, אפשר להגדיר סטנדרטים וזה אגב היה קיים בכובע שלפני התקשוב הממשלתי. כלומר, גם מנהל ממשל זמין בעבר הגדיר מדריך סטנדרטים שאמר לאתרים איך הם אמורים לעבוד, לאתרים של משרדי הממשלה באיזה סטנדרטים הם אמורים לעבוד, איזה שפות אמורות להיות שם, איזה סוג מידע וכו' וכולל גם אבטחת מידע. אבל בפועל כל משרד עשה את מה שעמד בראש סדר העדיפויות שלו ובהתאם לכלים השונים שהיו לו. כל עוד הכלים של כל משרד ומשרד הם כלים שונים ואין לו מחויבות לא להתארח בממשל זמין, כעיקרון יש איזה מחויבות אבל אף אחד לא אוכף את המחויבות הזאת ומשתמש בסטנדרטים שממשל זמין מתווה, לכן יש להם סטנדרטים אבל אין להם יכולת לממש אותם בפועל. זה נכון גם ביחס לאורגנים אחרים, זה לא שאין אורגנים שאמורים לתכלל, אך אין להם את הסמכות לתכלל את זה בפועל.
היו"ר אמנון כהן
עמית, איך נקראות התקנות שלך?
עמית אשכנזי
תקנות הגנת הפרטיות (אבטחת מידע), זה טיוטה לתקנות.
כרמלה אבנר
שהן תקנות גם למגזר הציבורי וגם למגזר העסקי.
היו"ר אמנון כהן
לכמה משרדי ממשלה יש היום את הנושא של ממשל זמין והם נכנסו לפרויקט הזה?
אופיר בן אבי
כל משרדי הממשלה היום נותנים שירותים לציבור באמצעות מערכות מידע. 70%-80% מאתרי הממשלה נמצאים אצלנו ואני יכול לתת לך דוגמאות, למשל משרד החינוך, אף אתר אינטרנט ואף מערכת מידע לא נמצא אצלם, הכול בחוץ.
היו"ר אמנון כהן
אז מי הרגולטור שלו?
עמית אשכנזי
אנחנו.
כרמלה אבנר
בתחום של אבטחת הפרטיות, זה תחום אחד.
עמית אשכנזי
אתר הכנסת לא נמצא אצלנו, עצמאי לחלוטין.
היו"ר אמנון כהן
טוב, איזה מידע יש לנו?
אופיר בן אבי
זה סמל לאומי.
היו"ר אמנון כהן
אתה אומר שהוא צריך להיות מאובטח?
עמית אשכנזי
בוודאי.
אופיר בן אבי
חייב להיות.
היו"ר אמנון כהן
אז למה הוא לא מאובטח?
אופיר בן אבי
אני לא יודע.
היו"ר אמנון כהן
הממ"מ, למה הוא לא מאובטח?
אופיר כהן
אני אופיר, מנהל אבטחת המידע בכנסת. הכנסת כן עושה שימוש בממשל זמין בהיבט - - -
היו"ר אמנון כהן
אני לא מדבר על שימוש, אני מדבר על אבטחה. שימוש זה בסדר, כולם עושים שימוש. אני צריך לדעת שידע מסוים כמו למשל כמה מרוויחה מנהל ועדה, לא יזלוג למקום אחר. מי הרגולטור להנחיות?
אופיר כהן
אני מנהל אבטחת המידע בכנסת, אני יושב תחת קצין הכנסת בכל ההיבט שקשור באבטחת מידע.
היו"ר אמנון כהן
מה הוא יודע על אבטחת מידע?
אופיר כהן
הוא מינה אותי כדי שאני זה - - -
היו"ר אמנון כהן
אני צריך גוף מקצועי, שאם יש לך בעיה, תקבל הנחיה מלמעלה מה מותר, מה אסור, מה למגן, יש התקפות, תקבל אזהרות. גוף מקצועי. הכפיפות שלך לקצין הכנסת מבחינה מיניסטריאלית, מצוין.
אופיר כהן
זה נכון, אני אומר רק, שהכנסת היא שונה ממשרדים אחרים מכיוון שהיא סוברנית להחליט - - -
היו"ר אמנון כהן
בנושא הזה אין שוני, זה לא שכר של עובדי הכנסת.
אופיר כהן
ברשותך, במקרה הזה, אם אפשר לבדוק את החקיקה בנושא ולראות שתמיד הכנסת נמצאת בעמדה שהיא סוברנית להחליט גם בתחום של אבטחת מידע.
היו"ר אמנון כהן
להחליט זה מצוין, אבל צריך לראות מקצועית, שאם יש התקפה, שאתה תדע עליה, שתהיה חשוף לה, ואם אתה לא מחובר, שהמידע יזלוג אליך שתדע להיערך אליו. קצין הכנסת לא יידע את זה. לכן מבחינה מקצועית, מה שמעניין, שהמערכת שלך מוגנת מספיק טוב על מנת שחלילה לא תספוג פגיעה ואתה מודע לכל הסכנות המתרחשות. כל מה שאתה יודע, זה בוודאי, אבל יש דברים נוספים שיכולים להיות, שיש גוף מקצועי שיש לו התראות נוספות. למשל, מערכת הביטחון, מישהו שיידע לשלוח לך את האינפורמציה הזאת, זה מה שאני צריך. אתה לא אשם, אני צריך לטפל בזה. אנחנו גוף לבד, לא רוצים מעלינו אף אחד שיגיד לנו מה לעשות, בסדר, ככה צריך להיות, הפרדת רשויות.
אופיר כהן
עוד משפט. אני כן מתחבר לאותם מקורות ידע שהזכרת קודם, לאו דווקא לממשל זמין, למקורות נוספים, גם במלמ"ב וגם ברא"ם, כל מי שיכול לתת ידע או יוצר שולחנות עגולים, אני שותף. אז שמעתי על משרדים שאין להם מנהל אבטחת מידע, שהמלמ"ר הוא זה שמחליט, יכול להיות ששם יש באמת בעייתיות שצריך לשפר.
היו"ר אמנון כהן
תודה רבה, אני רוצה לסכם.
יובל חיו
אני רק אומר, אנחנו נמצאים פה לדוח אבל אני מאזין לדיון הזה ואני חושב שנדלקה פה נורת אזהרה מאוד משמעותית. יושבים פה כל הצמרת המקצועית של מדינת ישראל מבחינת הנושא של אבטחת מידע, אחד אחרי השני מצביע על חולשה מבנית מאוד יסודית בנושא הזה, אפשר להגדיר את זה כנורת אזהרה משמעותית. תראו, אנחנו כבר לפני שנה שקלנו להיכנס לעשות ביקורת במטה התקשוב הממשלתי. זה גוף מאוד צעיר ולכן החליט מבקר המדינה להמתין ולתת לגוף הזה להתגבש כדי שאנחנו ניכנס ונעשה איזה שהוא צילום מצב איך הדברים מתקדמים. אני חושב שאנחנו ניקח את כל מה שנאמר פה כרגע כתשומה, נעביר את זה להנהלת המשרד לצורך בחינה במסגרת תכנית העבודה העתידית וייתכן שיתקבלו החלטות בעניין הזה בכיוון של ביקורת כדי למפות את הנושא ואולי לתת לו דחיפה.
היו"ר אמנון כהן
אני מסכם את הדיון. אני מתחבר לדברים שיש פה נורת אזהרה. אני מתרשם שכל נושא של אבטחת מידע במדינת ישראל הוא לא מוסדר ואין אף גוף מתכלל, שידריך ויכוון. לכן צריך לעשות פה עבודת מטה מעמיקה. בינתיים, ביחס לדוח, אני מבקש מכל אלה שהצביעו על תיקון הליקויים, שישלחו את תיקון הליקויים בהתייחסות לפי סעיפים, למשרד מבקר המדינה. אם הכול מוכן, זה בסדר, אם יש לכם השלמות, תשלימו. אני מבקש מכם ליידע אותי, איזה סעיפים טופלו כדי שאני אקבל החלטה אם לקיים דיון נוסף או שלא באותו נושא.

מי צריך לתקן את התקלות? משרד המשפטים, השרה? אנחנו פונים לשרת המשפטים בנושא של הגנת הפרטיות, אבטחת מידע, הטיוטה שלה מתמהמהת מ-2010, אני מבקשים ממנה לקבל הכרעה בנושא הזה, אם צריך לתקן, לתקן, או לקבל החלטה אחרת, אבל לא יכול להיות שזה מתגלגל שלוש שנים. גם לצדו שיהיה תקציב, שתשב מול האוצר על מנת לתקצב את הנושא הזה. אני מקווה שזה פותר את הבעיה ולאחר מכן מגדיר את הסמכויות למישהו שיעשה את העבודה.
עמית אשכנזי
הייתי מציע, בתהליכי עבודה רבים בממשלה יש פרוצדורות כאלה שבכל מיני צמתים נכנס גורם והוא צריך לחתום, יותר חשוב מבקרה אחר כך, זה שבתהליכי עיצוב, בנייה, רכש של מערכות מידע גדולות של תהליכים שיש להם היבטי פרטיות משמעותיים, תיכנס התשומה של מנהל אבטחה. לשיטתי, אני מציע לוועדה את הדבר הזה, לדעתי זה יותר חשוב מאכיפה כי אכיפה אתה בא אחר כך ואם יש לך עשרה מפקחים אתה תגיע לפרויקט אחד, פה, מראש יבנו את זה בטוח, כמו טופס 4 בבנייה. לכן, לבקש ממשרד האוצר לתעדף את הנושא.
היו"ר אמנון כהן
כרמלה, את שומעת? מנהלת הוועדה, תוסיפי את זה לסיכום שלנו, שאנחנו מבקשים מהגברת כרמלה אבנר שתטפל בנושא הזה, שההנחיות ירדו מלמעלה.
עמית אשכנזי
ואז האנשים שלה יהפכו להיות חזקים כי הם אלה שיחתמו.
היו"ר אמנון כהן
כרמלה, אם צריך סמכויות בחקיקה, אנחנו ניתן, אבל אי אפשר להטיל מטלות על אדם כשאין לו את האחריות או הסמכות. חייבים לתת סמכות. אם צריך לשם כך חקיקה, נעשה את זה. תתייעצי עם המשרד, אם יש לך שם קושי, אנחנו יכולים להעביר גם הצעת חוק פרטית, רק שהמשרד יתמוך ונוכל לקדם את זה. שאדם לא יבוא בעוד שנה שנתיים, יעשה עבודה מצוינת אבל אין לו את הסמכות שהוא יכול לכפות משהו על מישהו. זה נושא חדש, נושא שלא כולם שמים לו לב ואתם הגוף המקצועי ביותר מבחינת המדינה ואתם צריכים להאיר את עינינו, גם נושאים רגישים, אם אתם מגלים שבמשרד מסוים שהוא נכנס לפרויקט שלכם יש עדיין חומרים רגישים בתוכו, אתם צריכים להוציא לו הנחיות איך הוא צריך למגן את עצמו, איך הוא צריך לעשות את הדברים האלה, שלא יגיד שזה עניין שלו. אנחנו כבר צריכים לקחת אחריות על עצמנו, יכול להגיד, הוא לא ידע, בתום לבו נכנס למצב שהחומר זרם להיכן שלא צריך. אני יוצא מודאג מהישיבה הזאת.
כרמלה אבנר
רק לחדד מבחינת הסמכויות, הסמכויות שיש לגדעון הן סמכויות של הנחיה, ישנן הנחיות הממונה על התקשוב הממשלתי וכמו שאמרנו, ההנחיות האלה הן הנחיות, הן מחייבות את המשרדים בסופו של דבר ככמות התקציבים, ככמות המודעות וככמות הרצון של המשרד עצמו, כלומר, אין היום איזה שהיא חקיקה שמחייבת אותם להשקיע את התקציבים או לשים את הדברים האלה בעדיפות ראשונה.
היו"ר אמנון כהן
כרמלה, אני לא רוצה לשמוע שוב שאין חקיקה ואין תקציבים, אם צריך חקיקה, נחוקק, אם צריך לכך תקציב, נעבד חקיקה עם תקציב, בשביל זה אנחנו כאן. לכן לא עליכם לגמור את המלאכה, אתם עושים את מלאכתכם על פי כלים שיש לכם ביד כרגע.
כרמלה אבנר
הכלים הן הנחיות.
היו"ר אמנון כהן
אם צריך להרחיב את הכלים ולקבל סמכויות נרחבות, בשביל זה אנחנו פה. אם אפשר להסדיר את כל הדברים הללו, בכייף. אם אתם יושבים בשולחן עגול עם שר האוצר והוא מבין את החשיבות של הנושא, גם יחידות הסמך, כל אחת מהן תקבל את התקציב שלה, כל אחת על פי הקידום, אפשר להתקדם אבל שר האוצר לא יכול לדעת את כל הבעיות של מדינת ישראל. לכן, אתם, במקצוע שלכם, בתחום שלכם, צריכים להציף את הבעיה הזאת, שזה יבוא לשולחן הדיונים ויכול להיות שצריך לפתור את זה ברמה הממשלתית. אתם צריכים להציף את הדברים האלה, ואתה, אל תרפה ממני עד שלא יאושרו התקנות.

תודה רבה, הישיבה נעולה.

<הישיבה ננעלה בשעה 13:25.>

קוד המקור של הנתונים