PAGE
2
הוועדה לענייני ביקורת המדינה
21/10/2013

הכנסת התשע-עשרה
נוסח לא מתוקן

מושב שני
<פרוטוקול מס' 50>
מישיבת הוועדה לענייני ביקורת המדינה
יום שני, י"ז בחשון התשע"ד (21 באוקטובר 2013), שעה 12:00

<ניהול אבטחת מידע ושרידות תשתיות אינטרנט ומחשוב עבור משרדי הממשלה - דוח מבקר המדינה 63ב', עמ' 277.>

חברי הוועדה: >
אמנון כהן – היו"ר

>
יובל חיו - מנהל חטיבה, משרד מבקר המדינה

ישראל אקשטיין - מנהל אגף, משרד מבקר המדינה

נחום בלבן - סגן בכיר למנהל אגף, משרד מבקר המדינה

ערן צדוק - מנהל ביקורת, משרד מבקר המדינה

ציפי שלזינגר - משרד מבקר המדינה

כרמלה אבנר - הממונה על התקשוב הממשלתי, משרד האוצר

אופיר בן אבי - מנהל ממשל זמין, משרד האוצר

רז הייפרמן - מנהל תפעול, משרד האוצר

אריה סיקסק-דוויק - מנהל תחום אבטחת מידע ממוחשב, משרד האוצר

מאיה עדולמי - מנהלת תחום תאום ובקרה בתקשוב הממשלתי, משרד האוצר

אופיר כהן
-
מנהל אבטחת מידע בכנסת

ירון רונן - מנהל שירות למערכות מידע, משרד החקלאות ופיתוח הכפר

עמית אשכנזי - מחלקת ייעוץ וחקיקה, משרד המשפטים

רן זרוק - מנהל אבטחת מידע בממשל זמין

טובה אלנתן - מרכזת ביקורת פנימית ותלונות ציבור, משרד התחבורה, התשתיות הלאומיות והבטיחות בדרכים

ערן גאון - מנהל רשתות, משרד התחבורה, התשתיות הלאומיות והבטיחות בדרכים

ציון מזרחי - מנהל אגף הרישוי, משרד התחבורה, התשתיות הלאומיות והבטיחות בדרכים

אביגדור דנן - היועץ המשפטי הטלוויזיה

אורן אריאב - מנהל מערכות מידע של המשרד, המשרד להגנת הסביבה

זיו סולומון - ראש תחום רגולציה במטה הקיברנטי הלאומי, משרד ראש הממשלה

עקיבא איסרליש - סגן המפקח הכללי, משרד ראש הממשלה

ויקטוריה רביץ - רפרנטית, משרד ראש הממשלה

רועי גולדשמידט - מחלקת המידע ומחקר של הכנסת

בוריס נסטיק - שירותי הנדסה ואבטחת מידע הטלוויזיה, מוזמנים נוספים

תומר רוזנר

חנה פריידין

סיגל גורדון
<ניהול אבטחת מידע ושרידות תשתיות אינטרנט ומחשוב עבור משרדי הממשלה - דוח מבקר המדינה 63ב', עמ' 277.>

בוקר טוב ושבוע טוב, אני פותח את ישיבת הוועדה לענייני ביקורת המדינה בנושא: ניהול אבטחת מידע ושרידות תשתיות אינטרנט ומחשוב עבור משרדי הממשלה - דוח המבקר 63ב', עמוד 277. אנחנו נשמע את עיקרי ממצאי הדוח. נמצאים פה אריה סיקסק-דוויק, מנהל תחום אבטחת מידע ממוחשב, ומנהל ממשל זמין אופיר בן אבי, אני מקווה שתיקנתם כי הדוח כל כך חמור, כשאני קורא את הדוח אני לא מאמין שזה קורה לנו במדינה, מקבלים החלטות ממשלה, הכוונות רצויות וטובות לציבור וגם לטובת הממשלה, להיות בקשר, ממשל זמין, נקווה שיש לכם בשורות. נאפשר לנציג משרד מבקר המדינה, יובל חיו, מנהל חטיבה, לעדכן אותנו.

אני תיכף אבקש מישראל אקשטיין, מנהל האגף, לגעת בממצאים העיקריים בקצרה. אני רק אומר בתחילת הדברים, שהתפיסה שלנו בעניין הזה, שניהול אבטחת מידע זה עניין קבוע, שיטתי ורציף. כלומר, זה לא פעולות שצריכות להיות על איזשהו גרף של עודף פעילות וחוסר פעילות אלא זה חייב להיות באופן קבוע. אנחנו גם אומרים, הנושא של הנהלים פה, הפרוטוקולים של העבודה הם קריטיים במטריה הזאת. זו היתה הגישה שלנו. אנחנו התייחסנו לכל נוהל, לכל מדיניות שקבעו הדרגים המקצועיים שנים קודם לכן בצורה רצינית לחלוטין ובעניין הזה אנחנו לא עושים מול הנורמות האלה פשרות ובטח לא במטריה הזאת.
במהלך הדוח מצאנו יותר מדי פערים בין התקנים, בין הנהלים, בין המדיניות שהוגדרה לבין המצב בפועל. אני אומר, שאנחנו מתרשמים ולמדים גם מדיווחים, שנעשתה פעולה די משמעותית במהלך השנה-שנה וחצי האחרונות לתיקון הדברים – אני מניח שהיושב ראש ירצה לשמוע את הדברים היום.

הערה אחרונה לפני שאני מסיים, המבחן שלנו גם בביקורת אף פעם לא היה מבחן שעד היום אנחנו עומדים על הרגליים והעסק עובד. זה לא הנחה אותנו בבחינת הדברים ואם אני יכול להציע, אסור שזה גם ינחה אותנו בעתיד. כלומר, זה שעד היום הצליחו לעמוד בצורה כזאת או אחרת מול התקפה כזאת או אחרת, אסור שהדבר הזה יטה מהכיוון הטוטאלי של קיום הנהלים והתקנים בתחום של אבטחת מידע.

עיקרי הממצאים: הנהלת ממשל זמין לא הגדירה את הסיכונים ואת רמתם לגבי חלק מהפרויקטים ואת תתי הפרויקטים. רק בדצמבר 2010, כחמש שנים לאחר פרסום נוהל מדיניות אבטחת מידע של ממשל זמין מונתה ועדת היגוי לאבטחת מידע והרכבה לא תאם את ההרכב שנקבע בנוהל. נמצא כי ועדת ההיגוי לא התכנסה מאז מינויה בשנת 2010. כמו כן התחלפו חלק מהחברים ולא מונו תחתיהם חברי ועדה אחרים. מאחר שהוועדה לא התכנסה כלל, היא לא מילאה את תפקידה כנדרש בנוהל, לרבות גיבוש ועדכון המדיניות בתחום אבטחת מידע, התווית אסטרטגיות, פעילות ופיקוח על תכניות עבודה שנתיות, הערכת נזקים שנגרמו מתקלות וגיבוש המלצות לטיפול בהן.

מנהל אבטחת מידע וממשל זמין לא מילא חלק מהתפקידים שהוגדרו לו בנוהל מדיניות אבטחת מידע. מדובר בין היתר בקביעת רמת האבטחה הנדרשת לכל סיווג, הגדרת אמצעי ותהליכי טיפול ואבטחת רשומות והתוויית רמת אבטחה לוגית המחייבת לגבי רכיביהן השונים של מערכות המחשוב והתקשורת בהגדרה ובהענקה של הכשרות גישה למשתמשים על פי נוהל המדיניות ובקיום ביקורות על הפעילויות הנערכות במידע.

מנהל אבטחת מידע וממשל זמין כפוף, מהבחינה המקצועית ומהבחינה המנהלית, ישירות למנהל ממשל זמין. כפיפות זו עלולה להביא לידי פגיעה באי תלותו מפני שמתוקף תפקידו הוא נדרש לבקר חלק מהפעילויות של מערכות המידע בארגון המצויות בסמכותו ובניהולו של מנהל ממשל זמין. לא הוכנה תכנית המשכית עסקית בממשל זמין. רק בנובמבר 2012 מינתה הנהלת ממשל זמין בעל תפקיד אחראי להיערכות להמשכיות עסקית. למרות ההוראות המחייבות שנקבעו בנושא תכנית שיקום האסון ואף שכבר משנת 2008 קיימים באתר חלופי תכנית מפורטת להפעלת מערך שיקום האסון ונקבעה תדירות התרגול הנדרשת, לא נערכו תרגילים כנדרש. רק במועד סיום הביקורת פורסם ללקוחות ממשל זמין מסמך אמנת שירות הכולל מענה לתקלות, מענה לפניות שוטפות והתחייבות על רמת זמינות, כפי שדרשה ועדת ההיגוי של ממשל זמין.

לממשל זמין אין הסכם עם אף לא אחד מלקחותיו המגדיר מיהם מורשי הגישה למאגרי המידע של הלקוח הנדרש בחוק הגנת הפרטיות. ממשל זמין גם לא מסר דיווח שנתי לרשות למשפט וטכנולוגיה ומידע במשרד המשפטים, כנדרש בחוק הגנת הפרטיות ותוקף היותו מחזיק מאגרים של בעלים שונים. חוץ מסיכום ישיבה אחת בנושא סקר הנהלה שהתקיימה בנובמבר 2010, לא נמצאו מסמכים המעידים על כך שנעשו סקרי הנהלה בשנים 2009-2012. כמו כן, לא נמצאו מסמכים המעידים על יישום ההחלטות שהתקבלו בסקר ההנהלה בנובמבר 2010 ושהיו אמורות להתבצע עד סוף שנת 2011.
מערכת ניהול ותיעוד הרכש הממשלתי הופעלה במרץ 2010 למרות הימצאותן של בעיות במערכת בתחום אבטחת המידע. אישור זמני להפעלת המערכת שנתן מנהל אבטחת מידע, כשנה וחצי לאחר שהמערכת הופעלה ולאחר שנוהלו בה תשעה מכרזים, ניתן אף על פי שלא כל הבעיות במערכת טופלו, כפי שעלה בדוח שעשה צוות בדיקה של ממשל זמין.

מנהל אבטחת מידע בממשל זמין לא גיבש תכנית הדרכה כוללת להגברת מודעות העובדים איך כל ההיבטים הנוגעים לאבטחת מידע אינו מעודכן בנוגע לעובדים חדשים בממשל זמין וממילא אין הם מקבלים את ההדרכה הנדרשת לפני קבלת הרשאת הגישה.
לסיכום, אבטחת מידע היא אבן יסוד בפעילותו של ממשל זמין ומשום כך עליו להעלות את הנושא לראש סדר עדיפויותיו. ממצאיו של דוח זה מלמדים על כך שממשל זמין לא יישם בהיבטים שונים הוראות ונהלים בתחום אבטחת המידע ובכך גדלה רמת הסיכון לפגיעה בתשתיות המחשוב ובשירותי המחשוב במשרדים הממשלה ובגופים ציבוריים.

יושבת כאן הממונה על התקשוב הממשלתי, כרמלה אבנר, את בודקת שהם עובדים, שהכול מתנהל והכול בסדר? אני מבין שלא נעשו תהליכים בכלל.

אני לא חושבת שהדברים - - -

אולי זה נעשה אחרי שהדוח הצביע.

נעשו תהליכים גדולים, התהליכים נעשו והתחילו להתבצע קודם לכן. זה תהליכים מתמשכים.

כי החלטה של חשכ"לית ב-1997, נושא של ממשל זמין נכנס ב-1999, רק ב-2010 התחיל לזוז משהו, במשך עשור. אומנם בפועל לא קרה כלום אבל אנחנו לא סומכים על נס.

אני אפתח ואומר, קודם כל אני מודה על ההזדמנות לבוא ולהצטרף. אני חושבת שאבטחת מידע זה אחד מאבני היסוד של ממשל זמין. דוח הביקורת שנעשה כאן היה באמת דוח שהאיר את הנקודות השונות ואני מאוד מתחברת למה שיובל אמר כאן. זה שאף פעם לא קרה כלום זה לא אומר שאנחנו צריכים לנוח על זרי דפנה. יחד עם זאת אתם תשמעו את כל הפעילויות שנעשו, גם התחילו קודם לכן לפני הביקורת והגיעו בעצם לפרקן עם הביקורת. אתם גם שמתם כאן דגשים על נהלים שהקפדנו לשים ולשים אותם טוב יותר. יחד עם זאת אני רוצה לומר, זה שבעצם לא קרו דברים עד היום זה לא נס, נעשתה כאן עבודה מאוד מאומצת. אנחנו צריכים לזכור שכל התחום של הסייבר והתחום של אבטחת המידע הוא תחום מאוד דינמי ולצערנו לאחרונה אנחנו מגלים שתחום הסייבר הפך להיות ממש חזית נוספת בחזית שפועלת נגדנו במלחמה. אנחנו ראינו ב"עמוד ענן" התאמה, קורלציה, בין ההתקפות הפיזיות להתקפות הקיברנטיות שהיו. אנחנו רואים גם על פני ציר הזמן, שהדחיפות בין האירועים השונים היא דחיפות הולכת וגוברת. כלומר, זה שאנחנו מתאימים ובונים איזה שהם נהלים, הקצב שלנו היום הוא גם הקצב שאנחנו צריכים להתאים את עצמנו גם טכנולוגית, גם מבחינת הרכש, גם מבחינת הנהלים וגם מבחינת צורת העבודה שלנו. פרקי הזמן שקורים בין לבין התקפות כאלה שמחייבים אותנו שינויים בכלל של ארכיטקטורה ושינויי תפיסה, הם הרבה יותר מהירים ולכן זה לא שנעשית כאן עבודה במקרה, אלא בפירוש נעשית כאן הרבה מאוד עבודה. אפילו דברים שלא מגיעים לעיתונות, אנחנו מרגישים אותם בהתמודדות היום יומית שהם קיימים.
אני אתן דוגמה של שינוי קונספט שהיה. הקונספטים שהיו שנים אחורנית - והם עדיין קיימים, זה לא שאנחנו לא צריכים להתייחס אליהם אבל הם משנים היום את תפיסת העולם - זה כל הנושא של המשכיות בשעת חירום. שעות החירום מול תרחישי הייחוס שאליהם היינו מתייחסים היו אירועים כמו רעידת אדמה, טילים, הצפות, אירועים פיזיים והפתרונות הטובים ביותר לאירועים פיזיים היו מתקנים מקבילים בנפרד, מיקומים גיאוגרפיים שונים וגיבויים שונים. בעולם החדש שבו אנחנו יותר ויותר חשופים להתקפות קיברנטיות והתקפות זדוניות קיברנטיות, במידה והיינו מתייחסים לעולם שבו אנחנו עושים תהליכים של כפילויות פיזיקליות, זה לא היה עוזר, נהפוך הוא, היינו בעצם משכפלים את ההתקפה לעוד אתר. זה היה אומר, שמראש היינו צריכים להתחיל לשנות את כל קונספט ההגנה שלנו. כלומר, זה לא לבוא ולעשות את כל מה שהוא סינכרוני, שהוא בא ועושה את הגיבוי לעשות אותו אחרת.

אנחנו מאוד מתחברים, זה אחד הדברים שמדירים שינה מעינינו, גם בגלל ההיערכות קדימה, גם בגלל ההיערכות השוטפת. אני אגיד עוד משפט, תיארת את הקשיים מהרגע שהממשלה מקבלת החלטה עד הרגע שהיא מבצעת אותה, פרקי הזמן האלה מאוד מקשים עלינו בעבודה אופרטיבית כיוון שכאן יש ממש אחריות יום יום לבצע את הדברים, כלומר, שאנחנו גם מתמודדים עם היכולת שלנו גם להשיג את התקציבים, גם לממש את התקציבים וגם לעשות את הדברים שהם נדרשים כדי שנוכל לתקן אותם.

מי אלה הנהלת ממשל זמין, מי ההנהלה הזאת?

אני מציעה שאופיר יציג, אופיר הוא מנהל ממשל זמין, אני מציעה שהוא יציג. אני גם רוצה להציג, שמשנת 2010 היו הרבה מאוד שינויים גם בהנהלה, גם בהתייחסות - - -

כתוב פה: הנהלת ממשל זמין לא הגדירה - - -

היו מספר הנהלות.

בתקופת הביקורת, הנהלת ממשל זמין לא הגדירה אפילו את הסיכונים. זאת אומרת, לא יודעים ממה להיזהר, מה לא לעשות. אני מתייחס לדוח, אני מבקש לקבל תשובות לדוח. את יכולה להגיד דברים יפים, אבל אני רוצה לקבל תשובות. אני אומר, הנהלת ממשל זמין לא הגדירה – יש היום הגדרות?

יש.

איפה, איפה זה כתוב?

בתשובה שהעברנו, התחלנו לבצע סקר סיכונים מלא בכלל התקשוב ובפרט בממשל זמין. כל הסיכונים מופו והוגדרו תהליכי עבודה לטיפול בהם.

כתוב: בדצמבר 2010, כחמש שנים לאחר פרסום נוהל מדיניות אבטחת מידע ב-2005. ב-2010, אחרי חמש שנים של ממשל זמין מונתה ועדת היגוי לאבטחת מידע בממשל זמין והרכבה לא תאם את ההרכב שנקבע בנוהל. נמצא כי ועדת ההיגוי לא התכנסה מאז מינוייה ב-2010. זאת אומרת, ב-2005 היו נהלים, ב-2010 מונתה ועדת היגוי שלא תאמה אבל גם לא התכנסה אף פעם ואז גם התחלפו חברים, היא עוד לא התכנסה אבל חברים כבר התחלפו באמצע ותחתם לא מונו אחרים. היום יש ועדת היגוי כזאת?

יש ועדת היגוי כזאת עם כתבי מינוי מסודרים, לוועדה נקבעו מפגשים סדורים.

כמה פעמים התכנסה הוועדה מאז הדוח שעליו הצביע המבקר? כמה פעמים צריך להתכנס, פעם בשנה, פעם בחודשיים, פעם בחודש? מה קבעתם?

אני אומר, על פי הנהלים הוועדה הזאת מתכנסת אחת לשנה, היא התכנסה בפברואר. אנחנו הגדרנו שתי ועדות, אנחנו גוף מונחה שירות הביטחון, גוף מונחה רא"ם – הרשות הממלכתית לאבטחת מידע, ויש בעצם שני פורומים, שתי ועדות שמתכנסות, האחת, ועדת אבטחת המידע של ממשל זמין שמתכנסת אחת לשנה, וועדה שמתכנסת יחד עם הגורמים - - -

הרכבה משקף את העבודה היום?

בהחלט. אני רוצה ברשותך - - -

שנייה, אני ממוקד מטרה, אני רוצה לדעת שהסעיפים בדוח טופלו או איפה אנחנו עומדים. אחד, אתה אומר, יש הגדרות ברורות. בשני אתה אומר, יש כבר את הנושא של ועדת היגוי, אבטחת מידע, החברים נבחרו ונבחנו והכול בסדר והיא כונסה כבר פעם אחת בפברואר.

בהחלט.

מי קבע שזה רק פעם בשנה? לא לפי מצב, לפי תרחיש כזה או אחר? למה קבעת פעם בשנה? אנחנו מדינה דינמית, כל יום יש חדשות.

הטיפול בנושא של אבטחת מידע הוא בהחלט דינמי, זאת אומרת, כשיש אירוע אז מתכנסים ומטפלים באותו אירוע, עד אז, זו ועדה שמתכנסת אחת לשנה והיא מטפלת בנושאים מערכתיים.

חשוב לציין, שהשנה הזאת, בגלל שלקחנו את הדוח ברצינות, ביקשנו לעשות עוד ועדת ביקורת שתתכנס בעוד כחודש, ב-18 לנובמבר, שבה אנחנו נציג את כל מה שעשינו ואת כל מה שעוד נדרש להשלים. אז השנה הזאת כן יתכנסו שתי ועדות, בעזרת השם.

היתה בעיה של כפיפות, של ממשל זמין לאבטחת מידע, אנחנו לא רוצים שיהיה ניגוד. אנחנו רוצים שכל אחד יעשה את מלאכתו נאמנה, לפעמים יש ניגודי עניינים. גם בממשלה כאשר יש ניגודי אינטרסים, הם מעבירים משר לשר כדי שיהיה שיקול דעת נקי. גם פה צריך למצוא נוסחה, שבנושא מסוים יהיה אולי מישהו אחר.

אני אשמח להתייחס לנקודה הזאת כי בדיוק עכשיו יצאנו מפגישה. אל"ף, התקשוב הממשלתי זה גוף שהוקם בשנה וחצי האחרונות ולכן אנחנו גם היום מסדירים את כל ממשקי העבודה וגם את כל תפיסות העבודה בהיבטים האלה. ממשל זמין ובכלל גם גופי מערכות המידע בכלל משרדי הממשלה יש להם CISO – chief information security officer, זה מי שאחראי על מערכות האבטחה והוא צריך להיות חלק מתוך המערך שמבצע את התהליכים עצמם בתוך המשרד, זה הגוף המבצע. יחד עם זאת, אנחנו מקימים היום שתי פונקציות של הנחיה ובקרה, האחת, גוף רגולטיבי שנמצא בתקשוב הממשלתי שמסתכל ויתכלל את כל הרגולציות הרוחביות במשרדי הממשלה. וספציפית באוצר כדי למנוע עוד איזשהו נושא של ניגוד עניינים תחת היחידה של הקב"ט יוני מור. אריה יושב כאן לצדי, גם סיכמנו שנעביר להם עוד תקציב כדי שיתבצע עוד תהליך של בקרה שהוא בעצם לא בקרה, לא מתוך ממשל זמין, לא מתוך התקשוב הממשלתי אלא מגוף שהוא גוף חיצוני, כדי שיעשה בקרה ספציפית על הגופים התפעוליים המונחים, שזה מרכב"ה וממשל זמין.

פתרו את הבעיה?

על פניו אני מקווה שההסדר הזה יוצר איזה שהיא הפרדה. צריך להבין ומי כמוכם יודעים, כשהתקציבים מוגבלים והאמצעים מוגבלים, ברגע שמגיע ממונה אבטחת מידע ואומר, אני צריך אל"ף, בי"ת וגימ"ל כדי להיות בסטנדרט הנכון, המנהל של המערכת כולה, המנהל של מערכות המידע לפעמים נמצא באילוצים שהוא לא יכול לספק לו את העניינים האלה. אם המצב הזה יביא אותנו למציאות שנעשה הנחות בתחום הזה בעקבות האילוצים, אנחנו נהיה במצב לא טוב. שמעתי פה את ההסדר, אני לא אתן התייחסות לעניין הזה, אנחנו באופן עקרוני אמרנו, חייבת להיות הפרדה, המצב שהיינו בביקורת לא היה מצב טוב, שם היתה גם כפיפות מנהלית, גם כפיפות תפעולית, הוא היה מתחת למנהל ממשל זמין לאורך כל הגזרה.

צריך לחדד גם את הנושא שמעבר לעדכון, יהיה גם גוף נפרד שהוא מחוץ למערכת ההיררכית. ממשל זמין מוגדר כמערכת קריטית ונעשו ביקורות שהן לא חלק מהתהליך השוטף של ממשל זמין, ביקורות של רא"ם. כלומר, היום נתנו פתרונות להנחיה ובקרה של הפעילויות, ואני חושבת, אבי, אתה יכול להציג כאן גם את ההתכוונות המאוד משמעותית בהנחיה.

תיכף תציג, נלך לפי סעיפים ולאחר מכן תציג. עוד כתוב: לא הופנו תכניות להמשכיות עסקית בממשל זמין, רק בנובמבר 2012 מינתה הנהלת ממשל זמין בעל תפקיד אחראי להיערכות להמשכיות עסקית. הנושא הזה עובד? יש מישהו בעל תפקיד אחראי להיערכות?

מונה בעל תפקיד, גויס מישהו ייעודי לנושא הזה של המשכיות עסקית והקמת אתר חלופי לממשל זמין ולתקשוב הממשלתי. אני חייב לציין, שלא כל התהליכים הבשילו והתקציבים לא הוקצו כדי להקים את המערך הזה במלואו. אנחנו נמצאים בתהליך אל מול אגף התקציבים במשרד האוצר כדי להשלים את המהלך הזה.

מה הלו"ז?

קשה לי לציין פה לו"ז כי הדברים לא תלויים בי.

בכמה כסף מדובר?

מדובר בכ-40 מיליון שקלים על פני שנתיים.

ולגבי הסעיף הבא: תרגילים ותרגולים, סימולציות כאלה - - -

גם פה, בוצע תרגיל במאי האחרון בתקשוב הממשלתי שתרגל את כל היחידות, כולל ממשל זמין.

כל כמה זמן אתם עושים היום תרגולת? קבעתם איזשהו נוהל?

אנחנו קבענו שאחת לשנה יתבצע תרגיל. מכיוון שבעבר לא בוצעו תרגילים מהסוג הזה, בהיקף כזה, התרגיל הזה משמש אותנו כבסיס וכתכנית עבודה לכל הפערים שעלו בתרגיל הזה והוא בעצם הפך היום לתכנית עבודה להיערכות להמשכיות עסקית.

לגבי אמנת שירות בין כל הגורמים, יש כבר?

אמנת שירות פורסמה, היא פורסמה ביולי 2012, האמנה הזאת מטופלת, זה משהו שהוא דינמי ואנחנו מעדכנים אותו בשוטף, יצאו הרחבות ותוספות לאמנה הזאת וככל שיצטרפו שירותים ומערכות לממשל זמין האמנה הזאת תעודכן.

לגבי הסכמים עם הלקוחות כנדרש בחוק הגנת הפרטיות, איפה זה עומד? איך הם מקבלים, בלי הסכמים?

כשמדובר על מאגר מידע, האחריות על מאגר מידע הוא של בעל המאגר. לצורך הדוגמה, אנחנו - - -

הציוד של אזרחים, יש לכם חומרים רגישים ביותר.

זה שהמאגר שנמצא באחריותנו - --

אז יש פה צנעת הפרט, חוק הגנת הפרטיות.

מאגרי המידע הם בבעלות משרדי הממשלה. זאת אומרת, האחראי על המאגר, על המידע שנמצא בתוכו, הוא אותו משרד ממשלתי שמפעיל אותו ויצר אותו. מאגרי מידע שנמצאים באחריותנו כדוגמת מאגר המידע של שירות הטפסים, נרשם במאגרים ובוצע תהליך מסודר.

אז על מה מדבר המבקר, אין הסכם עם לקוחות?

פה לא ברור לי איזה הסכם אנחנו צריכים לעשות מול לקוחות, אבל משרד שמחזיק מאגר הוא זה שצריך לפעול מול רשם - - -

חוק הגנת הפרטיות קובע גם הלכות לגבי מחזיק במאגר מידע וממשל זמין שמחזיק במאגר מידע, צריך שיהיה לו הסכם מי יכול לגשת, מי יכול לראות וכו'.

כן, אבל זה צריך להיות בעזרתו של המשרד, ממשל זמין לא צריך לגשת למשרד ולהגיד לו בוא נחתום על ההסכם.

לא קבוע בחוק מי ניגש למי, ההלכה קבועה גם למחזיק. האחריות היא הדדית.

מאחר והגישה שלנו היא גישה מערכתית ונמצאת פה ראש מטה התקשוב הכלל ממשלתית, אנחנו כרגע לא ניכנס האם המשרד צריך לבוא אליכם או אתם למשרד, אנחנו סבורים שהדבר הזה צריך להיות מוסדר, לא משנה מי יבוא למי בסופו של דבר אבל ההסכם צריך להגדיר את המרכיבים האלה כי זה נדרש על פי הסרגלים שעבדנו מולם.

בוועדה הזאת לא פעם אני נתקל שכל אחד זורק על השני, בסוף המידע זורם לאן שהוא לא צריך לזרום ויש גם גופים שמאוד רוצים את האינפורמציה הזאת ובסוף יגידו, בדיון בוועדה לביקורת המדינה זה זרק על זה וכך זה נגמר. אני חייב לקבל פה היום אחריות מי עושה מה, אנחנו צריכים לסגור את הסיפור הזה כי זה דברים רגישים. בהסתכלות שלכם אתם יכולים להגיד זה התחום שלו הוא צריך לסגור את זה, אבל יש את משרד ראש הממשלה שהוא מתכלל ודואג לכול. אתם כאחראים על הגוף, אתם יכולים להוציא הנחיות, לפחות ליידע אותם שיש לכם את הדבר הזה לעשות מיגון כזה או אחר כדי שזה לא יזלוג למקום שלא היינו רוצים להגיע. ולא לזרוק את זה עליו, להגיד זה עניין שלו וזהו, אני לא מקבל את הגישה הזאת. לכן זה נראה כך, אין נהלים, לא מתכנסים.

בואו נעשה את ההבחנה ואנחנו מקבלים את זה ויושב פה גדעון קונפינו, שהוא בעצם הגיוס החדש למטה התקשוב שאמור להסתכל - - -

מה תפקידו בכוח?

הוא מנהל האבטחה - - -

אני דורש ממך, לא מאף אחד אחד, מצדי את האחראית.

אני אחראית באמצעות אנשים ומה שאני מנסה להגיד, שגם מבנית אנחנו גייסנו אדם חדש שיסתכל וייתן את ההנחיות ואת הרגולציות האלה במשרדי הממשלה - - -

אז מי יהיה אחראי על ההסכם בין כל הלקוחות?

הדוח הזה מתייחס לממשל זמין ספציפית רק כאן, חשוב שאנחנו נבהיר, המטרה והמגמה של ממשל זמין הוא לא להחזיק את מאגרי המידע כדי לא ליצור כפילויות, בדיוק כדי לא לייצר את אותו פוטנציאל של נזקים שקיימים. אנחנו מקבלים את ההערה, שאנחנו במטה התקשוב, לא ממשל זמין, נוציא שוב ריענון למשרדי הממשלה כדי לעשות את אותם הסכמים ואת ההסתכלות של רישום המאגרים.

אתה מקבל את זה אדוני?

כן, בהחלט, נראה לי ענייני ובונה קדימה.

בסדר. סקר הנהלה - - -

ברשותכם, בנושא הזה ישבנו עם רמו"ט – רשות משפט וטכנולוגיה – כדי לפרוט את הדברים על מנת שנוכל ליישם את זה בצורה הטובה ביותר.

מי נמצא כאן ממשרד המשפטים? לגבי סקרי הנהלה.

בדומה לוועדת ההיגוי של אבטחת מידע, גם פה מתבצע סקר הנהלה אחת לשנה בצורה מסודרת. גם הפער הזה נסגר אל מול שנים קודמות.

יש מי שעוקב אחר הדברים, אחר יישום ההחלטות?

כן, בוודאי, כמנהל היחידה אני זה שעושה את המעקב. ביחידה יש בעל תפקיד שהוא זה שמרכז גם את ועדת אבטחת המידע וגם את סקר ההנהלה, תפקידו לעקוב אחר המשימות ולוודא ביצוע.

טיוטת נוהל שלא אושרה, לא על ידי מנהל אבטחת מידע ולא על ידי ועדת ההיגוי של ממשל זמין, מה קרה, איך יצאה טיוטה בלי שאתם תעברו על זה מבחינה מקצועית, לאשר, לא לאשר?

כבוד היושב ראש, אתה רוצה להתייחס לסעיף 10?

אני מבין שטיפלתם ב-10, לא?

טיפלנו בכל הליקויים.

אני יודע, אתה רואה.

במקביל לקחנו את כל הדוחות שנכתבו ואנחנו פורטים אחד לאחד האם טופל גם על דוחות אחרים בצורה מסודרת ומה שנדרש תיקון מקבל תיקון. מה עוד שמבחינתנו אנחנו הגדרנו את זה כסטופר, אם לא תוקנו כל הליקויים עד רמה נמוכה, אנחנו לא מאפשרים למערכת לעלות לאוויר.

יפה.

אני רוצה להתייחס ל-11, ברשותך, אני טיפה ארחיב כאן. הנושא הזה עולה לאורך כל הדוח, אני בהחלט לא מקל בעניין הזה. אני חייב לציין, שאני לא מכיר גוף אזרחי שמתייחס לנושא אבטחת המידע כמו שאנחנו מתייחסים אליו ופועלים ביום יום. כל אתר אינטרנט וכל מערכת מידע שמתארחת אצלנו עוברת בדיקות קפדניות ולא מעט אנחנו מוצאים את עצמנו, שמשרדי ממשלה בוחרים לא להגיע בגלל שהסטנדרטים הם גבוהים. אני אציין רק דוגמה אחת, הבוקר אני בשיחה עם שירות בתי הסוהר שבחרו לקחת את אתר האינטרנט שלהם כי יותר נוח לשים אותו בחוות שרתים מסחרית כי שם אין סטנדרטים של אבטחת מידע. בוודאי אבטחת המידע באה על חשבון הנוחות והנוחות פה, המשרדים מעדיפים לפעמים לבחור בנוחות ולא באבטחת מידע. אז עשינו פעולה מאוד מעמיקה, כל נושא הנהלים והפרוטוקולים, זה צוין בהתחלה, ממשל זמין מוסמך היום לתקן תמר 3, פרק זמן של עשרה חודשים ממצב של תת הסכמה, אנחנו מוסמכים היום על תקן תמר 3, אנחנו השקענו זמן ומשאבים רבים כדי לעמוד בתקן הזה שבין היתר גם מגדיר את הדברים שעולים כאן, המעקב, הפערים וסגירת הפערים, זה חלק גדול מאותו תקן של שירות הביטחון הכללי.

לגבי טיוטות?

כל הסיפור הזה היה כדי שלא ייווצר מצב שיש טיוטות שלא מאושרות.

מי הכין את הטיוטות?

בדרך כלל מי שמכין אותה זה אנשי אבטחת מידע. אנחנו הגדרנו תהליך מסודר - - -

איך מוודאים שזה לא יקרה בפעם הבאה?

הכנסנו מערכת מידע שבעצם כל התהליכים והפערים מוזנים אליה וכל מי שיש לו משימה ופער קיים הוא מקבל משימה אליו לדואר האלקטרוני ומוודא שהיא מטופלת.

אתה הבנת את זה?

אני הבנתי.

המערכת עצמה לוקחת את הנוהל עצמו ומפרקת אותו לבקרה.

מישהו צריך לעבור עליו לפני שהוא מופץ.

זה ברור. בוודאי.

מה בוודאי. כתוב פה שלא.

אז התשובה היא שכן.

זה מה שאני רוצה לדעת. כל אחד יכול לכתוב נוהל וישלח, השאלה, מישהו שנמצא בפירמידה למעלה מסתכל? נלקחו כל ההיבטים בנוהל הזה? אולי יש דברים שצריך להוסיף, להוריד, רגישות, מישהו מלמעלה מסתכל? מי בודק מלמעלה לפני שזה יורד למטה?

יש את כותב הנוהל, לאחר מכן יש אישור של מנהל אבטחת המידע בארגון ולאחר מכן אישור שלי כמנהל היחידה. רק לאחר מכן זה נכנס - - -

זה הוסדר עכשיו?

כן, בהחלט.

כרמלה אישרה נוהל כזה? כלומר, זה מגיע אלייך לאישור?

עד היום לא, אבל אנחנו - - -

ואת סומכת עליהם כל הזמן? כי ראיתי שלא הכול עובד שם יפה.

על פניו זה נראה לי נוהל די קריטי: פעולות לביצוע בעת מתקפת מניעת שירות הוא לא נוהל שולי, הוא נוהל שעומד בשדרה המרכזית של הפעילות.

גוף ממשל זמין הוא הגוף המקצועי שזאת האחריות שלו להוציא נהלים. גם היום כשאנחנו בונים את התקשוב הממשלתי, ישנם נהלים וסטנדרטים שיוצאים מהתקשוב הממשלתי רוחבית לכל משרדי הממשלה וישנם נהלים שבעצם יבואו מהגוף המקצועי של ממשל זמין והם יהיו אותם הסטנדרטים ונהלים טכנולוגיים שייצאו הלאה. אנחנו נמצאים היום בתהליך של הגדרות, לבנות מה כן ומה לא, איפה נרצה חתימות נוספות ואיפה נרצה חתימות אחרות, אנחנו נבחן את הדבר הזה. נכון להיום, ממשל זמין הוא הגוף המקצועי, יש שם גם את ההיררכיה הפנימית של הגוף המקצועי שמובל על ידי אבי זרוק וגם את הגוף הניהולי שמונחה על ידי אופיר, שהם אלה שמוסמכים וחותמים על הנהלים.

את תהיי רגועה? מישהו צריך לפקח על זה בסוף.

אמרתי, שאנחנו כרגע בוחנים מחדש אם יש צרכים נוספים - - -

כמה זמן לוקח לבחון את הנושא הזה?

אני חושבת שזה ייקח לנו מספר חודשים. צריך גם לזכור, כמו שכבר אמרנו – והיה לנו דיון על כך בדיוק השבוע - - -

לקראת הדיון שלנו.

לא לקראת הדיון שלכם. כפי שאמרתי, אחד הדברים שכל הזמן אנחנו סביבם זה נושאים של אבטחת מידע, זה לא משהו שאנחנו יכולים לשים אותו בצד, אנחנו טוענים שזה אורח חיים, זה אורח החיים שלנו. היה לנו דיון, ברגע שבנינו את הפונקציה החדשה בתקשוב הממשלתי שמסתכלת רוחבית וההנחיה שלנו את מול משרדי הממשלה ואת הגוף שנמצא באגף הביטחון, בעצם מהם ממשקי עבודה ואיך אנחנו עובדים, כולל גם גוף מטה הסייבר שנוצר שהוא גוף חדש בממשלה וגם רא"ם. כלומר, כל התהליכים האלה של הסדרת הסמכויות והשינוי, זה שינויים. תסתכלו בשנה וחצי האחרונות כמה גופים חדשים קמו וצריך לבוא ולראות אותם. ממשל זמין היה הגוף המקצועי הבלעדי שעשה את זה, אנחנו חושבים היום להגדיר מהם גופי ההנחיה, מהי הרגולציה ומהם הנושאים. בשלב זה ההנחיות המקצועיות והטכנולוגיות יגיעו מממשל זמין.

הבנתי. לגבי הדרכות, איך זה עובד, כל פעם במשרד אחר?

לא, זה לא משרד אחר, זה הדרכות של אנשים שפועלים ביחידת ממשל זמין. אחת לשנה מתבצעת הדרכה, יש כאן גם את התאריכים שביצענו את זה. מעבר לזה, כל עובד חדש שמצטרף לארגון, יש טופס מסודר שבו מנהל אבטחת המידע הוא זה שחותם על הטופס המגדיר את רמת ההרשאות שאותו עובד מקבל. אחת לשלושה חודשים אנחנו אוספים את כל העובדים החדשים והם מקבלים הדרכה פרטנית בנושא של אבטחת מידע.

נחזור לסעיף 3: מנהל אבטחת מידע וממשל זמין לא מילא חלק מהתפקידים שהוגדרו לו בנוהל מדיניות אבטחת מידע. מדובר בין היתר בקביעת רמת האבטחה הנדרשת לכל סיווג וכו' וכו'. אני לא יודע מה הוא מילא, תענה לי, מה עשית שם? זו העבודה שלו, הוא לא מילא את התפקיד, קיבל משכורת ככה ב"חאווה".

בעניין הזה, סעיף 3 הוא די יסודי כי מצאנו, לקחנו בדיוק את רשימת התפקידים שהוגדרה מלכתחילה לממלא התפקיד הזה וניסינו לעבור תפקיד תפקיד ולראות אם הדברים האלה נעשו. לאורך כל השורה הזאת למעשה ראינו שהפעולות האלה, לא בקביעת רמת אבטחה הנדרשת לכל סיווג, לא בהגדרת אמצעי טיפול ותהליכי טיפול באבטחת רשומות, התוויית רמת האבטחה הלוגית, בהגדרה ובהענקה של הרשאות גישה למשתמשים ובקיום ביקורות על הפעילויות הנערכות במידע.

זה התפקיד למעשה.

אני חוזר לדברים הראשונים, זו מטריה שחייבים לעבוד לפי פרוטוקולים מאוד ברורים ופה חשוב מאוד לשמוע על הסעיף הזה, לאן שהיושב ראש מכוון, איזה פעולות תיקון נעשו כי זה עומד ביסוד העניין.

קודם כל, מי היה מנהל אבטחת המידע בתקופת הדוח?

שוקי פלג, הוא כבר לא עובד בממשל זמין.

איפה הוא?

הוא מחוץ לממשלה.

זה אחד שקיבל שכר מבלי שעשה את העבודה. יש תפקיד, המדינה אומרת, התפקיד חשוב, מגייסת עבורו אדם והאדם לא ממלא את תפקידו.

מתחילת השנה אני נכנסתי לתפקיד, לאחר שהדוח הזה פורסם, לקחנו גם את הדוחות של מבקר המדינה וגם את דוחות הביקורת של רא"ם, התחלנו לעבור סעיף סעיף ולתקן את הדברים, בין אם זה ברמת הנהלים וכל מה שנדרש ובין אם זה ברמה הטכנולוגית, לקחת ולפרוט את הדברים על מנת שהם יבוצעו כנגזרת מתוך הנהלים עצמם. במקביל, לקחנו והתקדמנו בכל מה שקשור - - -

אז תגיד לי, יש נוהל ברור בקביעת רמת האבטחה הנדרשת לכל סיווג?

יש נוהל ברור, אנחנו החלטנו לאמץ בצורה מסודרת את הנהלים של רא"ם על כל המערכות של ממשל זמין.

מה עם תהליכים לטיפול באבטחת רשומות?

בכל מה שנדרש, אם זה טיפול באבטחת רשומות, אם זה טיפול - - -

אתם יכולים לבדוק את זה ולהגיד לי שהכול בסדר?

אם מבקר המדינה יאשר ביקורת מעקב, אנחנו ניכנס. אני רק אומר לך, שסיימנו את הביקורת הזאת, לא עצרנו, המשכנו ישר לבדוק את ההיבטים של אבטחת פיזית בממשל זמין. לא מן הנמנע כשאנחנו נסיים את זה, ניכנס ישר למעקב על הנושא הזה.

אברהם ישלח לך, על פי התייחסות לדוח, את כל הליקויים שאתה מצביע עליהם ואתה תעבור על זה. אני צריך לדעת אם לקיים דיון נוסף בעניין או לא לקיים דיון נוסף, לא ברמה של חקירה, אלא ברמה שהצבעת על ליקוי, הוא מדווח לך שהליקוי טופל.

יש נציגה במשרד ראש הממשלה, שהם מקבלים את זה.

אני לא יודע, משרד ראש הממשלה נותן דוח לראש הממשלה, אני כיושב ראש הוועדה מקבל מכם או שתעבירו לי, אני צריך לדעת, מדובר בנושאים חשובים, נושאים שלא כולם עוסקים בהם, זה מקצועי ברמה הכי גבוהה ואנחנו סומכים עליכם אבל אנחנו לא נסכים לאף אחד שלא יעשה את עבודתו, לשם כך אנחנו עושים ביקורת ומי שעשה וטעה, צריך לתקן, אומרים מי שעובד טועה, אז טעה ואנחנו רוצים לתקן, לא רוצים חלילה להירדם בשמירה, פה אם אתה נרדם בשמירה זה יכול להיות אסון כבד מאוד לא פחות ממלחמה. לכן אנחנו לא ניתן לזה לחמוק, אנחנו חייבים לעקוב אחרי זה. אני מתרשם שיש לכם רצינות, באתם לכאן ואתם מציגים את זה, אני מתרשם שלקחתם את זה ברצינות כתכנית עבודה אחר דוח מבקר המדינה, אבל בסוף אני צריך לדעת, למרות שיישמנו, מישהו צריך לבדוק את היישום הזה ברמת ביצוע ליקויים. משרד ראש הממשלה, אתם תבדקו את הדברים האלה כי אני צריך לקבל החלטה אם לקיים דיון נוסף. אני לא מסתפק במה שנאמר כאן אלא צריך לבדוק את הדברים. אני רואה רצינות, הפאזה השתנתה, החשיבה והראייה השתנתה, כרמלה שכנעת אותי שזה משתנה ושאתם לוקחים את זה ברצינות אבל אני צריך לבדוק גם לאחר תיקון הליקויים.

שלום, אני מאגף המפקח הכללי לענייני ביקורת המדינה, אנחנו בעצם עושים מעקב אחר תיקון הליקויים. התשובות הראשונות פורסמו בהערות בחודש יולי ואנחנו ממשיכים במעקב. מה שרציתי להגיד, זה לא דיון ראשון בנושא אבטחת מידע שאני משתתפת בו, בשנת 2009, כלומר לפני ארבע שנים התקיים כאן דיון שנגע להגנת הפרטיות ושמירה על כל המידע במאגרי מידע ממשלתיים. בעקבות הדוח הזה, בספר של מעקב אחר תיקון הליקויים שפורסם בנובמבר 2010, בסיוע הרשות המשפטית לטכנולוגיה ומידע, יחד אתם גיבשנו שאלון לבדיקת היבטים שונים של אבטחת מידע בכל משרדי הממשלה והממצאים פורסמו. מה שרציתי להגיד, שממשל זמין, עם כל הכבוד, זה גוף על, יש לו את התפקידים שלו אבל מתחתיו יש כ-30 משרדי ממשלה שהם בעצם האחראים על אבטחת המידע בתוך עצמם. עם כל הכבוד למשרד האוצר, הוא לא יכול לבוא ולהגיד למשרד כלשהו תעשה זה וזה כי אם המנכ"ל יעצור אותם זה לא יהיה. הממצאים שפורסמו פה ב-2010 הם מדאיגים מאוד כי 20%-30% מהממצאים זה לא תקין.

הוא זה שאמרתי, כי זה נושא מקצועי ביותר, אני לא בטוח שכל מנכ"ל משרד מבין בזה עמוק. יש גוף שהוא מקצוען, משרד ראש הממשלה, שמרכז את זה. לכן לא מן הנמנע ליידע את המנכ"ל של אותו משרד או האחראי. בנושא הזה, נושא של סייבר, כל נושא המחשוב, נושא של ממשל זמין, צריך להיות גוף מלמעלה שמנחה מקצועית, לא אומר לו מה לעשות אבל מנחה, להיזהר ממשהו, למגן, אחרת הוא יבוא ויגיד לא ידעתי. זה נושא מקצועי, זה לא נושא ניהולי, הפונקציה הזאת שיושבת במשרד צריכה לטפל בדברים האלה, לכן כאן חייבת לרדת מלמעלה הנחיה כי הוא לא יודע.

המבנה הנכון להיום, יש את גוף הביצוע של ממשל זמין - - -

איך עובד ממשל זמין במשרד הרווחה?

אין ממשל זמין במשרד הרווחה.

הוא קיים רק במשרד ראש הממשלה, ומה לגבי 30 משרדי הממשלה?

יש להם דפי מערכות מידע.

מה הסכנות שם?

הסכנות, שכל אחד תלוי במשרד עצמו.

מי בודק שלא ינצלו את המידע לרעה? מי יודע להגיד - - -

היום ישנם מספר רגולטורים שמטפלים כל אחד--

מספר רגולטורים זה לא טוב.

--והאחריות היא על המשרד. זה מה שניסינו להגיד קודם לכן, לממשל זמין יש את הכובע שהוא מעביר תעבורת אינטרנט ומארח אתרי ממשלה שבחרו להתארח בממשל זמין. מה שויקטוריה מציינת כאן וזה נכון, בכל משרד ממשלתי יש את גוף מערך המידע שלו, חלקם מנהלים את זה בעצמם, חלקם מוציאים את זה למיקור חוץ, חלקם מתארחים בממשל זמין וחלקם פר פעילות האינטרנט שלהם וחלקם בכלל עושים את זה במקומות אחרים. השינוי שאנחנו מדברים עליו היום זה שאנחנו כן נבוא ונסתכל למשרדי הממשלה, אנחנו לא יכולים להנחות, אנחנו לא יכולים לחייב את משרדי הממשלה, התקציבים הם באחריות משרדית, אנחנו יכולים לבוא ולחדד להם מחדש את הרגולציות ואת התפקידים של מה שהם צריכים לעשות. זה פן רוחבי אל מול משרדי הממשלה שאנחנו יכולים באמצעותו להסתכל על כל הדרישות, אנחנו גם נחדד את כל הדרישות של אבטחת המידע והפרטיות בתחום של ניהול מאגרי מידע, נעשה את זה בשיתוף עם הרגולטור.

יחד עם זאת, משרד ממשל זמין הוא גוף הביצוע שיש לו גם אחריות תפעולית, יש חדר מחשב גדול ומכובד, שנעשתה עליו ביקורת פיזית, שעליו נעשית עבודה נפרדת ועבודה נוספת. לגבי האחריות, האחריות היא משרדית. אנחנו צריכים להבין, נכון להיום ישנם מספר גופים שמנחים, ישנם גופים כמו רא"ם שמנחים מערכות קריטיות - - -

מישהו עושה את העבודה הזאת? יש מישהו שמפקח שהמידע לא יזלוג למקום לא רצוי? אם בכל הרגולטורים האלה מישהו אמון על זה, בסדר, פתרנו את הבעיה, אבל אם אין, צריך למצוא.

היום זה באחריות משרדית.

אין גוף רוחבי שעושה את זה?

לא.

מה שקורה בעצם, שמשרדי הממשלה, כל אבטחת המידע במשרדי הממשלה לא מוסדר. כל התחום של אבטחת המידע במשרדי הממשלה אינו מוסדר. זאת אומרת, יכול להיות משרד שיש לו מנהל אבטחת מידע, יכול להיות משרד שהמלמ"ר הוא מנהל אבטחת מידע ונתקלתי בדברים האלה. נתקלתי אפילו במשרד שהחליט, בגלל קיצוצים, לבטל את תפקיד מנהל אבטחת המידע. זאת אומרת, זה מתחיל פה. למשרדים אין כלים מינימאליים לעשות את עבודתם. אנחנו צריכים להתחיל מהבסיס וזה לא מוסדר.

אתה איש המקצוע, העלית את הנושא הזה בפני מישהו, שזה לא מוסדר?

אנחנו דיברנו, גדעון הרי נכנס לתפקיד, זה בדיוק אחד הדברים שהוא צריך להוביל - - -

אבל אם אין לו סמכות, הוא לא יכול להוביל.

מישהו צריך להוביל את הדיון הזה, עד היום לא היה מישהו שיאפיין ויגדיר את הדיון הזה. היום פעם ראשונה יש מישהו שצריך לראות את הבעיה ולהעלות אותה לדיון.

מי זה?

זה גדעון. גדעון יצטרך - - -

הוא קיבל סמכות? זרקתם עליו אחריות, סמכות יש?

הסמכות שלו כרגע היא לצייר את הבעיה.

בפני מי?

בפני התקשוב הממשלתי, שאנחנו נעשה על זה עבודה ביחד עם מטה הסייבר במשרד ראש הממשלה, ביחד עם רמו"ט, שנמצא במשרד המשפטים, ביחד עם רא"ם שנמצא במשרד ראש הממשלה תחת הגופים הביטחוניים. ישנם גם הגופים האזרחיים שגם הם מנחים מבחינת סטנדרטים שונים.

אני מוטרד מאוד מהדוח הזה, אני קודם כל מוטרד כאזרח וכנבחר ציבור. כל אחד בתחומו מבין ועושה ורוצה לתקן את הליקויים, כך אני מתרשם, אבל אין פה ראייה מערכתית, אין פה ראייה שמישהו מתכלל, בודק את הדברים ומנחה כל משרד ממשלתי כזה או אחר כי אלה נושאים מקצועיים שצריכים להבין בו. לא כל מנכ"ל משרד, מוכשר ככל שיהיה, מתעסק בנושאים ניהוליים והוצאת המדיניות לפועל של אותו שר. אז נושא של אבטחת מידע הוא נושא מקצועי ברמה הגבוהה ביותר. לכן, כאשר אין גוף מתכלל, אין גוף שנותן למישהו אחריות, אם לא ניתן לו את הסמכות שהוא יידע להעביר את המסר, להעלות את זה לסדר היום, להביא את זה לדיון בממשלה שיש בעיה אמתית ולכן צריך לעשות אל"ף, בי"ת, גימ"ל, מישהו שמסתכל מלמעלה, כל משרד עושה מה שהוא מבין, לפעמים הוא טועה, לפעמים מידע יכול לזלוג כי כל אחד אחראי ובסוף אף אחד לא אחראי. אולי משרד המשפטים יעשה משהו או שיחשוב אם צריך לתת סמכויות עם אחריות. נותנים לו אחריות אבל אני לא יודע אם יש לו את הסמכות. איך אתה מסתכל על זה, אתה לא מוטרד?

אני אענה לאדוני וסליחה על האיחור. הדיון הזה חשוב מאוד כי בעצם הדיון הזה מצביע אצבע כלפי הדרגים הבכירים ביותר. נקודת המוצא היא, שאחריות מתחילה במודעות. הרבה פעמים ראינו – זו תופעה כללית שקשורה בנושא IT בממשלה, כלומר נושא המחשוב בממשלה באופן כללי ואבטחת מידע כחלק מזה, לא תמיד היה במודעות של מקבלי ההחלטות הבכירים ביותר, זה נתפס כנושא מאוד מקצועי ושם קרו כל מיני דברים.

זו המלחמה הבאה, זו מלחמה אמתית, לא רק טנקים וטילים זה מלחמה, זה לא פחות מזה, דרך המחשבים יכולים לשבש את כל המערכות.

אני מסכים. אם כך, הנקודה הראשונה שאני רוצה להגיד, טוב שיש דיון כזה, פעם אחת. פעם שנייה, הדיון הזה מתרחש בתקופה יותר טובה לנושא הזה מאשר הזדמנויות קודם שהוא התרחש משום שבצד הזה של השולחן יושבים חבורה של אנשים במשרד האוצר וגוף מטה של משרד האוצר שאמור להתעסק בממשל IT. אז במובן הזה אנחנו במצב טוב יותר ממה שהיינו לפני שלוש שנים. הדבר השלישי שאני רוצה לומר, חוק הגנת הפרטיות, סעיף 17 לחוק, שזה חוק שאנחנו כרשות פיקוח ממונים עליו, מדבר על חובת אבטחת המידע. החוק הזה מטיבו לא מסדיר בכלל את התקצוב כי תקצוב לא מסדירים בחקיקה רגולטורית, זה עניין של הממשלה לעשות, אבל אנחנו ראינו כנושא מרכזי שהטענות שעלו פה, ואני חלוק עליהן, לגבי השאלה מה זה אבטחת מידע, לשאלה מה זה אבטחת מידע, איש מקצוע רציני יכול למצוא עשר תשובות, אם לא 15. ממשל זמין עצמם תואמים תקן ישראלי לאבטחת מידע כך שאני לא חושב שבהקשר הזה יש פה איזה בעיה שלא יודעים מה זה אבטחת מידע, זה רק עניין של תשומת לב ניהולי. בלי לפגוע בדבר הזה, אנחנו כרשות למשפט וטכנולוגיה התחלנו תהליך בשנת 2009 שיצא באופן פומבי ב-2010, של קביעת תקנות חדשות לאבטחת מידע לפי חוק הגנת הפרטיות. מדוע עשינו את זה? כדי למנוע את הטענה שאין סטנדרט ברור. המלצנו למשרד המשפטים להתקין תקנות שלמות כוללות בנושא אבטחת מידע. התקנות האלה עוסקות בשיטות ותהליכים מעבר לאירועים כמו מבקר המדינה או דוח חגיגי שבהם מנהל הארגון מבין מה יש לו בחצר האחורית. כי הבעיה המרכזית היא, שהרבה מאוד מנהלים, לא רק בסקטור הציבורי אבל גם בסקטור הציבורי, בכלל לא יודעים מה הם מחזיקים, נתחיל בזה. אחרי שעושים את זה, עושים לזה תהליכי ניהול סיכונים. תהליכי ניהול סיכונים לא הומצאו במשרד המשפטים. יש תהליכי ניהול סיכונים, אנחנו עשינו להם תרגום לשפה משפטית כדי שיהיה יותר קל, בסוגריים, כדי שיהיה לנו גם יותר קל לאכוף את זה אחר כך, כשאתה מצביע על נורמה ברורה, קל לך יותר לבוא לאכיפה.
התקנות האלה עברו שימוע ציבורי ב-2010 ואחר כך אמרו, רק רגע, צריך לברר - - -

מי התקין את התקנות?

אנחנו הצענו טיוטת תקנות, היחידה שלנו. אבל על מנת שהתקנות האלה יותקנו נוצר עדיין צורך לייצר דיאלוג עם משרדי הממשלה. והנה באו משרד הממשלה, אדוני, ואמרו, סליחה, לתקנות האלה יש עלויות, אנחנו רוצים שמישהו יפתח פנקס צ'קים, אנחנו לא יודעים כמה זה ייקח לנו לבצע וכו' וכו', וזה דיון שבגללו התקנות האלה עדיין לא הותקנו.

מ-2010.

כן. אני מאוד מקווה שבזכות אירועים מהסוג הזה פעם אחת, ובזכות העובדה שאנחנו אכן מנהלים מלחמה באופן יום יומי על אבטחת המידע כי בזמן שאנחנו מדברים פה יש כאלף תקיפות לדקה, יש הרבה מספרים, המודעות הזאת עולה ואני מקווה שעד סוף השנה נצליח להביא את זה לוועדת חוקה כדי שתהיה נורמה. זו הפעולה של משרד המשפטים - - -

יש אומדן תקציבי לתקנות האלה לכשנאשר אותן? מישהו יכול לאמוד את זה?

אפשר לעשות אומדנים תקציביים גסים אבל אני רוצה לחדד את הנקודה, שיש מתח קבוע בין מנהלי IT, מנהלי תקשוב, לבין אנשי האבטחה. מנהלי התקשוב נמדדים כמה מהר, מבריק ויפה הם עושים את המוצרים. כלומר, כמה אתרי אינטרנט יש לנו עכשיו באוויר, עם לוגואים נחמדים ואפליקציות וזה נורא יפה. אבל אף אחד לא סופר כמה זה עולה לאבטח את הדבר הזה. ברור ששום משרד ממשלתי לא יפתח את שעריו ל פני שהקב"ט נתן אישור למאבטח ולמגנומטר ולתהליכים וזה מתוקצב.

אז למה לא בנו? אם אתה רוצה להכניס אתר חדש לטובת הציבור, הכול בסדר, ולידו צריך להיות כל נושא של אחזקתו ואבטחתו. למה זה לא בא ביחד?

אני מסכים שזה צריך לבוא ביחד, אבל פה שיתוף הפעולה במישור שלנו, בינינו לבין ממשל זמין. אני חושב שאפשר להחזיר לכרמלה את רשות הדיבור על מנת שתסביר את העבודה שנעשית בתקנון אבטחת המידע כחלק מאותה פעולה שמבוצעת באת האינטרנט. אבל לשאלת התקצוב, אנחנו אומרים, סליחה, יש פה בעיה של אפליה מתקנת, יש תת תקצוב, שנים. כלומר, הטענה שעכשיו מישהו צריך לתקצב איזה משהו חדש היא טענה שלא ברורה לנו. הדברים האלה היה צריך לתקצב אותם מהבסיס, בזכות דוח כזה ודיון כזה מנהלים צריכים לשאול כחלק מהשאלה, לא רק כמה זה יפה, כמה זה נהדר, כמה זה יעזור לי למכור את מה שאני רוצה למכור או להעביר את המסר שאני רוצה להעביר, אלא כמה אני צריך להשקיע כדי לאבטח את זה. כרשות רגולציה אנחנו לא יכולים לעסוק בתקצוב.

מי מחליט אם האתר הזה ייכנס לאותו משרד או לא, מי קובע? אין מישהו מלמעלה שאומר, אתם תיכנסו ותוכלו לרכוש? כל אחד עושה את הישר בעיניו.

בעניין הזה אני חושב שעדיף לשמוע את משרד האוצר כי תהליכי העבודה של אתרי האינטרנט הממשלתיים הם חלק מהביזור של ניהול ה-I.T בממשלה ונעשית פה עבודה.

כרמלה, מי יכול להגיד לנו, אני רוצה להבין, המשרד רוצה למקסם את המידע לציבור או לתת לו אינפורמציה, שכמה שפחות יגיעו אליו, זה מבורך, אבל יחד עם זאת שיידע שלכל הנושא הזה יש את האבטחה, את האחזקה, אם אף אחד לא אומר, הוא אומר, אני קודם כל נותן לאזרח את השירות, אחר כך נדבר על זה.

אני רוצה לחזור ולומר, האחריות היא אחריות משרדית. מי שמתארח בממשל זמין – תיכף אנחנו נגיד שאנחנו רוצים להמשיך ולאכוף שמשרדי הממשלה יחויבו להתארח בממשל זמין - אז ישנם בעצם הסטנדרטים והבדיקה של ממשל זמין. ממשל זמין לא מאפשר לכל משרד להתארח ולהפעיל את המערכות שלו אם הוא לא עומד בסטנדרטים של ממשל זמין. ישנם משרדים כמו שאופיר תיאר מקודם, של השב"ס, שהחליט מטעמים של תקציב, טעמים אחרים, שיעילות אופרטיבית – כי זה מאוד נוקשה, כשאתה מגיע לממשל זמין אתה לא יכול לעשות מה שאתה רוצה – לארח בעצם את האתרים שלהם בחוץ ואז האחריות היא שלהם, זה לא מגיע דרך התקשוב הממשלתי, לא דרך ממשל זמין ולא דרך אף גוף אלא זו אחריות של המשרד עצמו.

צריך לזכור, שישנם הרבה מאוד רגולציות או הנחיות, עמית תיאר כאן את ההנחיות שנוגעות למאגרי מידע וכל הנושא של הפרטיות, ישנן הנחיות שיכולות לבוא מתוך רא"ם, אבל ישנם גופים שהם לא מונחים לא על ידי רא"ם, לא בהכרח משרדים המכירים בתחומים של ממשל זמין - - -

מה, כל משרד יכול להוציא החוצה, מיקור חוץ?

כן. וכמו שנאמר כאן היום, ישנם משרדים שיש להם מנהל אבטחת מידע שהוא מחוץ למערך המידע, שלא מדווח למנמ"ר, שהוא כן מדווח למנמ"ר, כל האזור הזה בעצם של תחום אבטחת המידע אינו מוסדר בממשלה.

מיניסטריאלית מי אחראי על כך, משרד האוצר?

משרד האוצר.

מיקי איתן היה בעבר?

מיקי איתן היה בחלקו, היום כבר לא.

אבל הוא לא הסדיר את כל הנושא הזה בחקיקה, בתקנות, בנהלים?

אמרתי, ישנם היום מספר גופים שהתהליך הזה לא מוסדר, תסתכל על מנהל מערכות מידע או על המשרד - - -

את מפחידה אותי כרמלה, אל תרחיבי, את מפחידה אותי.

ישנו את מטה הסייבר שנותן לו הנחיות, ישנה רמו"ט שנותנת הנחיות, ישנם מנהל אבטחת המידע שיכול לתת לו הנחיות, ישנו הממונה על היישום הביומטריים שיכול לתת לו הנחיות.

מה אתה מציע, איך נסדיר את זה? אני נמצא בבית המחוקקים, יש דברים שאפשר להסדיר בנהלים, יש דברים בתקנות ויש דברים בחקיקה. לכן, אם הממשלה לא יודעת, נקים צוות ונעשה חקיקה כמו שצריך, כולל עלויות, כולל כפיפות, סמכויות וכו'. הנושא כנראה חדש, הוא מתגלגל טלאי על טלאי אבל אין ראייה מערכתית. אין ראיה מלמעלה שחלילה לא ניקלע למצב שנגיד, ידענו אבל לא עשינו. זה לא רציני.

אני לצערי חייב להגיד, שכרגע אני לא רואה את ההתקדמות המערכתית לטפל בנושא. נעשים שורה של תהליכים ברמה הממשלתית, ברמת עבודת מטה ממשלתית. קודם כל ממשלת ישראל הקימה מטה סייבר לאומי שעושה עבודה רצינית מאוד בלייצר שולחנות משותפים של הגורמים הרלוונטיים. נמצא כאן נציג שלו שיכול להרחיב, אבל לצורך העניין, אין ספק שהקצב שהדברים מבוצעים, אני אומר את זה בצער, הוא לא הקצב - - -

מה זה סייבר לאומי?

אני אתייחס. מטה הסייבר הוא גוף שהוקם בתחילת 2012 מתוקף החלטת ממשלה שעוסק הן בצד של תכלול הנושא הזה - - -

אז אני שואל מי מתכלל, אף אחד לא מדבר.

אני עוד מעט אתייחס לכל הקשור למשרדי הממשלה, שזה הנושא שנמצא פה על הפרק, אני מדבר לא רק על משרדי ממשלה אלא על המדינה בכלל. בנושא של משרדי הממשלה, אני חושב שהדברים שאמרה כרמלה הם בהחלט תואמים ואנחנו רואים עין בעין אתה את הנושא של החשיבות של הקמת יחידה בתוך הממשלה שתהיה אחראית לנושא של אבטחת מידע. למעשה מה שהתחיל לעשות לאחרונה גדעון, כמובן פונקציה שיש לה אחריות וסמכות ברורה ורחבה - - -

סמכות של מה יש לה?

סמכות לפעול אל מול משרדי הממשלה.

מה הוא יכול להגיד למשל, את זה אתה לא מוציא החוצה למיקור חוץ?

לדוגמה. צריך לעשות עבודה מסודרת.

לא, אני שאלתי על סמכות, לא שאלתי סתם, הוא יכול להביא לך עבודה והמלצות, אבל כשאין לו סמכות, הוא לא יכול להגיד כלום. צריך להסדיר את הסמכות שלו.

אני מסכים עם הדברים שאתה אומר.

אני שואל, אתה אומר שיש לו סמכות ואני לא מבין, מה הסמכות שלו? שוב, פונקציה שהמדינה משלמת כסף, לא נתנה לו סמכות ואחר כך יהיה דוח נוסף והוא יגיד, שהוא לא עשה את זה ולא עשה את זה. לא בכוונה, הוא רצה לעשות את העבודה אבל אני כמדינה לא נתתי לו סמכויות.

אני מיד אגיע לתשובה.

זה מה שחשוב לי, תגיע לזה עכשיו, אל תלך למקומות אחרים. יש לו סמכות? אם לא, תוריד את התפקיד, חבל על הכסף.

כרגע, במצב הנוכחי, גדעון הגיע רק לאחרונה - - -

גדעון הוא מצוין, אני לא מדבר על גדעון, אני מדבר על הפונקציה הזאת.

הפונקציה צריכה להיות, כפי ששאלת אדוני היושב ראש, צריכה להיות לה סמכות לעבוד ולהנחות את משרדי הממשלה באמצעות המלמ"רים ומנהלי אבטחת מידע במשרדי הממשלה, לבצע דברים על פי תקן ברור, צריכה לעמוד בפני בקרה וביקורת בנושא הזה וכל מה שקשור.

אני אתייחס לזה. זה תחת התקשוב הממשלתי. בהיבטים שאנחנו מדברים כאן כרגע, הסמכות היחידה שיש לגדעון זה - - -

אנחנו צריכים בסוף לפתור את הבעיה.

אני רוצה להגדיר מה הבעיה כי לטעמי כרגע לא הגדרנו את הבעיה. כמו שאמרתי, התקשוב הממשלתי הוא גוף שהוקם לפני שנה וחצי כאשר כל הסמכות שלו היא בעיקר היוועצותי, כלומר, משרד הממשלה צריכים להיוועץ בתקשוב הממשלתי. לכן כרגע התפקיד של גדעון הוא לבוא ולהראות את התהליכים ולהבין בכלל איפה הבעיה. אין לו סמכות כפי שהיינו רוצים שתהיה סמכות שהיא סמכות אוכפת אל מול משרדי הממשלה.

מהי הגדרת התפקיד של גדעון כעת?

מנהל אבטחת המידע בתקשוב הממשלתי.

ומה תפקידו של אריה, מה תפקידו של אופיר?

אני מנהל ממשל זמין.

מה תפקידו של רז?

רז לא נמצא פה אבל הוא מנהל חטיבה.

כמה מנהלים, תכלס אין להם סמכויות אז מה יעשו?

הדיון הוא רחב יותר.

ולכן?

אני יכול להעיר הערה?

איזה הערה?

בעניין הנידון.

למה לא הבאת נייר כלשהו לפני הדיון?

לא התבקשתי. אני לא עובד מול הוועדה, אבל אני כן מלווה את העיסוק בנושא הזה במחלקת המחקר.

היית מאיר את עיניי באיזה נייר שאתה יודע משהו.

אני אשמח. הנושא הזה מלווה כבר הרבה שנים את הדיונים בנושא התקשוב הממשלתי. כעיקרון, העילה להקמת התקשוב הממשלתי היה רצון ליצור תכלול של הנושא הזה. בפועל מה שקרה, שניתנה להם הסמכות העקרונית אבל לא ניתנה להם הסמכות האופרטיבית מול המשרדים. כלומר, לעבוד מול כל מלמ"ר ומלמ"ר, אפשר להמליץ המלצות, אפשר להגדיר סטנדרטים וזה אגב היה קיים בכובע שלפני התקשוב הממשלתי. כלומר, גם מנהל ממשל זמין בעבר הגדיר מדריך סטנדרטים שאמר לאתרים איך הם אמורים לעבוד, לאתרים של משרדי הממשלה באיזה סטנדרטים הם אמורים לעבוד, איזה שפות אמורות להיות שם, איזה סוג מידע וכו' וכולל גם אבטחת מידע. אבל בפועל כל משרד עשה את מה שעמד בראש סדר העדיפויות שלו ובהתאם לכלים השונים שהיו לו. כל עוד הכלים של כל משרד ומשרד הם כלים שונים ואין לו מחויבות לא להתארח בממשל זמין, כעיקרון יש איזה מחויבות אבל אף אחד לא אוכף את המחויבות הזאת ומשתמש בסטנדרטים שממשל זמין מתווה, לכן יש להם סטנדרטים אבל אין להם יכולת לממש אותם בפועל. זה נכון גם ביחס לאורגנים אחרים, זה לא שאין אורגנים שאמורים לתכלל, אך אין להם את הסמכות לתכלל את זה בפועל.

עמית, איך נקראות התקנות שלך?

תקנות הגנת הפרטיות (אבטחת מידע), זה טיוטה לתקנות.

שהן תקנות גם למגזר הציבורי וגם למגזר העסקי.

לכמה משרדי ממשלה יש היום את הנושא של ממשל זמין והם נכנסו לפרויקט הזה?

כל משרדי הממשלה היום נותנים שירותים לציבור באמצעות מערכות מידע. 70%-80% מאתרי הממשלה נמצאים אצלנו ואני יכול לתת לך דוגמאות, למשל משרד החינוך, אף אתר אינטרנט ואף מערכת מידע לא נמצא אצלם, הכול בחוץ.

אז מי הרגולטור שלו?

אנחנו.

בתחום של אבטחת הפרטיות, זה תחום אחד.

אתר הכנסת לא נמצא אצלנו, עצמאי לחלוטין.

טוב, איזה מידע יש לנו?

זה סמל לאומי.

אתה אומר שהוא צריך להיות מאובטח?

בוודאי.

חייב להיות.

אז למה הוא לא מאובטח?

אני לא יודע.

הממ"מ, למה הוא לא מאובטח?

אני אופיר, מנהל אבטחת המידע בכנסת. הכנסת כן עושה שימוש בממשל זמין בהיבט - - -

אני לא מדבר על שימוש, אני מדבר על אבטחה. שימוש זה בסדר, כולם עושים שימוש. אני צריך לדעת שידע מסוים כמו למשל כמה מרוויחה מנהל ועדה, לא יזלוג למקום אחר. מי הרגולטור להנחיות?

אני מנהל אבטחת המידע בכנסת, אני יושב תחת קצין הכנסת בכל ההיבט שקשור באבטחת מידע.

מה הוא יודע על אבטחת מידע?

הוא מינה אותי כדי שאני זה - - -

אני צריך גוף מקצועי, שאם יש לך בעיה, תקבל הנחיה מלמעלה מה מותר, מה אסור, מה למגן, יש התקפות, תקבל אזהרות. גוף מקצועי. הכפיפות שלך לקצין הכנסת מבחינה מיניסטריאלית, מצוין.

זה נכון, אני אומר רק, שהכנסת היא שונה ממשרדים אחרים מכיוון שהיא סוברנית להחליט - - -

בנושא הזה אין שוני, זה לא שכר של עובדי הכנסת.

ברשותך, במקרה הזה, אם אפשר לבדוק את החקיקה בנושא ולראות שתמיד הכנסת נמצאת בעמדה שהיא סוברנית להחליט גם בתחום של אבטחת מידע.

להחליט זה מצוין, אבל צריך לראות מקצועית, שאם יש התקפה, שאתה תדע עליה, שתהיה חשוף לה, ואם אתה לא מחובר, שהמידע יזלוג אליך שתדע להיערך אליו. קצין הכנסת לא יידע את זה. לכן מבחינה מקצועית, מה שמעניין, שהמערכת שלך מוגנת מספיק טוב על מנת שחלילה לא תספוג פגיעה ואתה מודע לכל הסכנות המתרחשות. כל מה שאתה יודע, זה בוודאי, אבל יש דברים נוספים שיכולים להיות, שיש גוף מקצועי שיש לו התראות נוספות. למשל, מערכת הביטחון, מישהו שיידע לשלוח לך את האינפורמציה הזאת, זה מה שאני צריך. אתה לא אשם, אני צריך לטפל בזה. אנחנו גוף לבד, לא רוצים מעלינו אף אחד שיגיד לנו מה לעשות, בסדר, ככה צריך להיות, הפרדת רשויות.

עוד משפט. אני כן מתחבר לאותם מקורות ידע שהזכרת קודם, לאו דווקא לממשל זמין, למקורות נוספים, גם במלמ"ב וגם ברא"ם, כל מי שיכול לתת ידע או יוצר שולחנות עגולים, אני שותף. אז שמעתי על משרדים שאין להם מנהל אבטחת מידע, שהמלמ"ר הוא זה שמחליט, יכול להיות ששם יש באמת בעייתיות שצריך לשפר.

תודה רבה, אני רוצה לסכם.

אני רק אומר, אנחנו נמצאים פה לדוח אבל אני מאזין לדיון הזה ואני חושב שנדלקה פה נורת אזהרה מאוד משמעותית. יושבים פה כל הצמרת המקצועית של מדינת ישראל מבחינת הנושא של אבטחת מידע, אחד אחרי השני מצביע על חולשה מבנית מאוד יסודית בנושא הזה, אפשר להגדיר את זה כנורת אזהרה משמעותית. תראו, אנחנו כבר לפני שנה שקלנו להיכנס לעשות ביקורת במטה התקשוב הממשלתי. זה גוף מאוד צעיר ולכן החליט מבקר המדינה להמתין ולתת לגוף הזה להתגבש כדי שאנחנו ניכנס ונעשה איזה שהוא צילום מצב איך הדברים מתקדמים. אני חושב שאנחנו ניקח את כל מה שנאמר פה כרגע כתשומה, נעביר את זה להנהלת המשרד לצורך בחינה במסגרת תכנית העבודה העתידית וייתכן שיתקבלו החלטות בעניין הזה בכיוון של ביקורת כדי למפות את הנושא ואולי לתת לו דחיפה.

אני מסכם את הדיון. אני מתחבר לדברים שיש פה נורת אזהרה. אני מתרשם שכל נושא של אבטחת מידע במדינת ישראל הוא לא מוסדר ואין אף גוף מתכלל, שידריך ויכוון. לכן צריך לעשות פה עבודת מטה מעמיקה. בינתיים, ביחס לדוח, אני מבקש מכל אלה שהצביעו על תיקון הליקויים, שישלחו את תיקון הליקויים בהתייחסות לפי סעיפים, למשרד מבקר המדינה. אם הכול מוכן, זה בסדר, אם יש לכם השלמות, תשלימו. אני מבקש מכם ליידע אותי, איזה סעיפים טופלו כדי שאני אקבל החלטה אם לקיים דיון נוסף או שלא באותו נושא.

מי צריך לתקן את התקלות? משרד המשפטים, השרה? אנחנו פונים לשרת המשפטים בנושא של הגנת הפרטיות, אבטחת מידע, הטיוטה שלה מתמהמהת מ-2010, אני מבקשים ממנה לקבל הכרעה בנושא הזה, אם צריך לתקן, לתקן, או לקבל החלטה אחרת, אבל לא יכול להיות שזה מתגלגל שלוש שנים. גם לצדו שיהיה תקציב, שתשב מול האוצר על מנת לתקצב את הנושא הזה. אני מקווה שזה פותר את הבעיה ולאחר מכן מגדיר את הסמכויות למישהו שיעשה את העבודה.

הייתי מציע, בתהליכי עבודה רבים בממשלה יש פרוצדורות כאלה שבכל מיני צמתים נכנס גורם והוא צריך לחתום, יותר חשוב מבקרה אחר כך, זה שבתהליכי עיצוב, בנייה, רכש של מערכות מידע גדולות של תהליכים שיש להם היבטי פרטיות משמעותיים, תיכנס התשומה של מנהל אבטחה. לשיטתי, אני מציע לוועדה את הדבר הזה, לדעתי זה יותר חשוב מאכיפה כי אכיפה אתה בא אחר כך ואם יש לך עשרה מפקחים אתה תגיע לפרויקט אחד, פה, מראש יבנו את זה בטוח, כמו טופס 4 בבנייה. לכן, לבקש ממשרד האוצר לתעדף את הנושא.

כרמלה, את שומעת? מנהלת הוועדה, תוסיפי את זה לסיכום שלנו, שאנחנו מבקשים מהגברת כרמלה אבנר שתטפל בנושא הזה, שההנחיות ירדו מלמעלה.

ואז האנשים שלה יהפכו להיות חזקים כי הם אלה שיחתמו.

כרמלה, אם צריך סמכויות בחקיקה, אנחנו ניתן, אבל אי אפשר להטיל מטלות על אדם כשאין לו את האחריות או הסמכות. חייבים לתת סמכות. אם צריך לשם כך חקיקה, נעשה את זה. תתייעצי עם המשרד, אם יש לך שם קושי, אנחנו יכולים להעביר גם הצעת חוק פרטית, רק שהמשרד יתמוך ונוכל לקדם את זה. שאדם לא יבוא בעוד שנה שנתיים, יעשה עבודה מצוינת אבל אין לו את הסמכות שהוא יכול לכפות משהו על מישהו. זה נושא חדש, נושא שלא כולם שמים לו לב ואתם הגוף המקצועי ביותר מבחינת המדינה ואתם צריכים להאיר את עינינו, גם נושאים רגישים, אם אתם מגלים שבמשרד מסוים שהוא נכנס לפרויקט שלכם יש עדיין חומרים רגישים בתוכו, אתם צריכים להוציא לו הנחיות איך הוא צריך למגן את עצמו, איך הוא צריך לעשות את הדברים האלה, שלא יגיד שזה עניין שלו. אנחנו כבר צריכים לקחת אחריות על עצמנו, יכול להגיד, הוא לא ידע, בתום לבו נכנס למצב שהחומר זרם להיכן שלא צריך. אני יוצא מודאג מהישיבה הזאת.

רק לחדד מבחינת הסמכויות, הסמכויות שיש לגדעון הן סמכויות של הנחיה, ישנן הנחיות הממונה על התקשוב הממשלתי וכמו שאמרנו, ההנחיות האלה הן הנחיות, הן מחייבות את המשרדים בסופו של דבר ככמות התקציבים, ככמות המודעות וככמות הרצון של המשרד עצמו, כלומר, אין היום איזה שהיא חקיקה שמחייבת אותם להשקיע את התקציבים או לשים את הדברים האלה בעדיפות ראשונה.

כרמלה, אני לא רוצה לשמוע שוב שאין חקיקה ואין תקציבים, אם צריך חקיקה, נחוקק, אם צריך לכך תקציב, נעבד חקיקה עם תקציב, בשביל זה אנחנו כאן. לכן לא עליכם לגמור את המלאכה, אתם עושים את מלאכתכם על פי כלים שיש לכם ביד כרגע.

הכלים הן הנחיות.

אם צריך להרחיב את הכלים ולקבל סמכויות נרחבות, בשביל זה אנחנו פה. אם אפשר להסדיר את כל הדברים הללו, בכייף. אם אתם יושבים בשולחן עגול עם שר האוצר והוא מבין את החשיבות של הנושא, גם יחידות הסמך, כל אחת מהן תקבל את התקציב שלה, כל אחת על פי הקידום, אפשר להתקדם אבל שר האוצר לא יכול לדעת את כל הבעיות של מדינת ישראל. לכן, אתם, במקצוע שלכם, בתחום שלכם, צריכים להציף את הבעיה הזאת, שזה יבוא לשולחן הדיונים ויכול להיות שצריך לפתור את זה ברמה הממשלתית. אתם צריכים להציף את הדברים האלה, ואתה, אל תרפה ממני עד שלא יאושרו התקנות.

תודה רבה, הישיבה נעולה.

<הישיבה ננעלה בשעה 13:25.>