ישיבת ועדה של הכנסת ה-20 מתאריך 16/06/2015

השלכות הונאות הסייבר על המערכת הבנקאית בעקבות ניסיונות הפריצה וחשש לזליגת פרטי חשבונות הבנקים

פרוטוקול

 
הכנסת העשרים

מושב ראשון

פרוטוקול מס' 5

מישיבת ועדת המדע והטכנולוגיה

יום שלישי, כ"ט בסיון התשע"ה (16 ביוני 2015), שעה 12:30
סדר היום
השלכות הונאות הסייבר על המערכת הבנקאית בעקבות ניסיונות הפריצה וחשש לזליגת פרטי חשבונות הבנקים
נכחו
חברי הוועדה: אורי מקלב – היו"ר
מוזמנים
אבנר זיו - ראש חטיבת טכנולוגיית המידע, בנק ישראל

שירלי אבנר - עו"ד, בנק ישראל

רחל יעקובי - מנהלת יחידת סיכונים תפעוליים, חטיבת הפיקוח על הבנקים

הדר שמר - ראש תחום קידום מדיניות, מטה הסייבר הלאומי, משרד ראש הממשלה

איציק קסיאל - רפ"ק, נציג יחידת הסייבר בגף החקירות ומודיעין, המשרד לביטחון פנים

לימור שמרלינג-מגזניק - מנהלת מחלקת רישוי ופיקוח, משרד המשפטים

נתן הרשקוביץ - מנהל מחלקת מערכות מידע, רשות לניירות ערך

אלי פטל - יועץ אבטחת מידע לאגוד הבנקים, אגוד הבנקים

טיבי רבינוביץ - מנהל קשרי חוץ וממשל, איגוד הבנקים

ברכיה רוזנברג - מנהל רגולציה, בנק לאומי

יאיר רובין - מנהל אבטחת המידע והסייבר, חברת "כאל"

אמיר שרייבר - מנהל אבטחת מידע וסייבר, חברת ישרכארט

גלעד קהת - סמנכ"ל מש"א ומטה

תומר אלקובי - לאומי קארד

אורלי בן-שמאי - יועצת רגולציה, לאומי קארד

רונן זריצקי - סמנכ"ל טכנולוגיות, ישראכרט

שחר אלון - יועמ"ש, CHECKMARX LTD

דניאל כהן - מנהל מכירות אזורי, CHECKMARX LTD

יהונתן קלינגר - עו"ד, עמותת אשנב, אנשים למען שימוש נבון באינטרנט

שי סימקין - מנכ"ל, האודן ישראל

רון ליברמן - שדלן, מייצג את ישראכרט
ייעוץ משפטי
איל לב-ארי
מנהל/ת הוועדה
ענת לוי
רישום פרלמנטרי
אתי אפלבוים

השלכות הונאות הסייבר על המערכת הבנקאית בעקבות ניסיונות הפריצה וחשש לזליגת פרטי חשבונות הבנקים
היו"ר אורי מקלב
בוקר טוב. אני פותח את ישיבת ועדת המדע והטכנולוגיה. על סדר-היום: השלכות הונאות הסייבר על המערכת הבנקאית בעקבות ניסיונות הפריצה וחשש לזליגת פרטי חשבונות הבנקים.

שינינו את כותרת הדיון ואני חושב שאנחנו צריכים לחדד על מה אנחנו דנים היום. הוועדה הזאת דנה הרבה בפריצות לסייבר ובהגנה על הסייבר. אנחנו יודעים שמדינות ומעצמות מתמודדות היום עם פריצות וחדירה לנתונים. אנחנו יודעים שהמלחמה היום נמצאת בטכנולוגיה ויש מאבק וניסיונות למנוע הפריצות והחדירות. אנחנו יודעים שנעשים דברים רבים.

אנחנו לא מדברים כרגע על פריצה למאגרים, שזה נושא נפרד ורחב מאוד. אנחנו דנו בזה ונדון בכך בעתיד. היום רצינו להתמקד בנושא של שימוש לא חוקי בפרטים דרך אפליקציות או בדרך אחרת, על-ידי אנשים שיש בידיהם את הנתונים האלה והם עושים בהם שימוש פלילי או לצורך הונאה.

בוועדה אנחנו עסוקים בחידושים הטכנולוגיים ובהתפתחויות הטכנולוגיות. אנחנו גם עוקבים אחר הדברים שנעשים כדי להגן על הפרט. אתם יודעים שהנושאים האלה דורשים מאיתנו מאמצים רבים מאוד וגם המדינה משקיעה בזה רבות. בחלקים מסוימים בתחום אנחנו מובילים בנושא.

מנגד, הציבור חושש שייעשה שימוש שלא כדין בפרטים שהוא נותן. אלה החששות שתמיד היו. היום, עם הטכנולוגיות החדשות משתמשים בדבר הזה כדי להעתיק פרטים, לאגור פרטים ואחרי זה לעשות בזה שימושים אחרים.

חבריי ואני היינו ערים לעניין הזה. הגשנו הצעת חוק וגם חוקקנו חוק שדורש ומחייב את חברות האשראי לדווח על עסקאות שנעשו. יש הבדלה בין עסקאות שנעשו מרחוק לבין עסקאות שנעשו תוך כדי שימוש בכרטיס עצמו. כפי שאתם יודעים, היום חברות האשראי צריכות לדווח על עסקה שנעשית מרחוק או שהיא נעשתה על-ידי שימוש בכרטיס. זה נעשה כדי לאפשר לאנשים שמשתמשים בכרטיס לבדוק את השימושים בכרטיס. אם, למשל, אתה רגיל לעשות קניות במקום מסוים עם כרטיס האשראי ופתאום אתה רואה שיש חיוב של בית העסק בעסקה מרחוק, זה יעורר אותך. זה פעמון שמצלצל. תמיד יש חשש שאתה תשאיר פרטים ומישהו יעשה בהם שימוש מבלי שתדע על-כך. החשש גובר כאשר אתה נותן פרטים למישהו בטלפון ואין לך יכולת לעקוב אחר השימוש.

היום יש אפשרות להעתיק את הפרטים בצורה מהירה. אנחנו נשמע גם לגבי כך. יש היום בדרך הצעת חוק שלפיה לא יהיה צורך לתת את כרטיס לקופאי אלא אתה בעצמך תעביר את הכרטיס, כמו שמקובל היום בהרבה מדינות. אם אתה קונה בסופרמרקט שכונתי, אתה זה שמעביר את הכרטיס ומקליד את הסיסמא.

אני עצמי מתמודד עכשיו עם חיוב כפול באיזו חנות. במקרה הייתי באיזו עיר בזמן מערכת הבחירות וחייבו אותי פעמיים. ראיתי אז שהתעסקו עם הכרטיס, ואז ראיתי שהיו שני חיובים דקה אחר דקה.

לכן אני מאוד מבקש למקד את הדיון בנושא הזה. נשמע מה בדיוק היה במקרה של גניבת כרטיסי האשראי, כדי לדעת אלו שימושים נעשו בכרטיסים? מה היו השימושים ומה אנחנו יכולים לעשות בעניין?

באופן כללי, אנחנו גם נבקש לשמוע מה היכולות של העובדים להגיע לפרטים של אנשים? מה המעקב שעושות חברות האשראי בעניין הזה? האם יש איזה מעקב של חברות האשראי אחרי בעלי העסקים? האם יש איזו רגולציה? האם יש איזו הסדרה בעניין?

אנחנו יוצאים מנקודת הנחה שכל חברה רוצה להגן על הפרטים האלה וזה אינטרס שלה. אני לא צריך לחייב את זה. אף אחד לא מעוניין לפגוע באמינות שלו.

אנחנו רוצים לדעת האם העסקים עוקבים אחרי העובדים? האם יש מערכת שיכולה לעקוב אחר הדבר הזה?

אני הופתעתי ואולי גם כעסתי. חיתנתי ילד, ברוך השם, ותוך כדי ההכנות לחתונה, כרטיס האשראי נסגר. לא הבנתי מה קורה. זה כרטיס מכובד. גם לא עברתי את מסגרת האשראי. זיהו שימוש יתר שהוא לא השימוש הרגיל שלי וחסמו את הכרטיס. זה טוב שהחברות עושות דברים ועוקבות אחר השימוש בכרטיס, אבל אם סוגרים כרטיס כדאי להודיע על-כך. זה אומר שמצד אחד, יש מערכות הגנה ומעקב שמזהות שימוש לא רגיל. מצד שני, האם יש זיהוי גם לאנשים שנמצאים בשטח ולכאורה יכולים לעשות שימוש לא חוקי בכרטיס? קופאי או קופאית שנמצאים באיזו רשת יכולים להתחיל לאגור פרטים ובשלב מסוים לעשות בהם שימוש או להעביר את הנתונים לשימוש של גורמים פליליים.

אני מתנצל על הפתיחה הארוכה.

אני מבקש מנציגים של חברת לאומי כארד.
גלעד כץ
אני סמנכ"ל משאבי אנוש ומטה בלאומי כארד.

אני אתחיל דווקא בדברים שאמרת בסוף דבריך, לגבי הפעילות שאנחנו עושים למניעת הונאות בכרטיסי אשראי. הביטחון זה הלחם והחמאה שלנו. אם לקוח לא ירגיש בטוח להשתמש בכרטיס האשראי שלו, הוא יעבור להשתמש במזומן ובשיקים ואנחנו לא רוצים שזה מה שהוא יעשה. בגלל זה יש בלאומי כארד מחלקה שכוללת 40-50 עובדים, שכל ייעודם וכל תפקידם הוא למנוע הונאות בכרטיסי אשראי.

לאורך השנים אנחנו משקיעים השקעות גדולות במערכות מחשב שמטרתן לאתר פעולות של לקוחות שהן לא אופייניות ללקוח ושמעלות את החשש שבוצע ניסיון הונאה בכרטיס. זה מה שקרה אצלך וזה מה שקורה במקרים אחרים. אמרת שזה הכעיס אותך ובצדק, כי לקוח לא אוהבת.
היו"ר אורי מקלב
הכעיס אותי שהמערכת לא ביררה איתי קודם.
גלעד כץ
מייד אני אדבר גם על זה. אנחנו מנסים למצוא את האיזון בין למנוע את ההונאה לבין לא לפגוע בחוויית הקנייה או בשירות ללקוח. אנחנו משתמשים בכל מיני אמצעים. העדיפות הראשונה שלנו זה תמיד להתקשר ללקוח לפני שחוסמים לו את הכרטיס, באמת כדי למנוע את הסיטואציה שבה אתה היית. אבל אם אנחנו לא משיגים את הלקוח, או אם אנחנו רואים שקורות פעולות הונאה עכשיו וזה מאוד דחוף לעצור את הכרטיס, אז אנחנו קודם כל חוסמים את הכרטיס ואחר-כך פונים ללקוח.

יש לנו כל מיני מנגנונים. אנחנו שולחים מסרונים באופן שוטף ללקוחות על עסקאות מעל 500 שקלים. לקוחות שעושים עסקת רכישה באינטרנט, אנחנו שולחים להם מסרון. אם הוא רואה שזאת לא עסקה שהוא עשה, הוא מתקשר אלינו ואנחנו יכולים לחסום את הכרטיס. זה לגבי כל הפעילויות שאנחנו עושים.

הדוגמה שנתת היא הדוגמה הכי בסיסית והכי מטרידה. יכול קופאי, שבמהלך היום עוברים אצלו הרבה אנשים והוא מעביר את הכרטיסים, להעתיק את הפרטים ולרשום אותם בצד. צריך לזכור שהלקוחות תמיד מוגנים. בכל הנזקים שקורים פה, הלקוחות מזוכים על-ידי חברות כרטיסי האשראי וזה מה שהחוק אומר. אז אמנם אין פה פגיעה בכסף ללקוחות אבל ברור שזאת חוויה לא נעימה.

הפתרון שאתה הצעת, פתרון של חקיקה, הוא קיים בעולם ובעולם הוא הולך לקרות בארץ. יש כרטיסים חכמים, EMV, תקן אבטחת מידע, כרטיסים עם צ'יפ ולא כרטיסים שיש בארץ. בכל עסקה כזאת הלקוח נדרש להקליד קוד סודי. ברוב המקומות בעולם וכך זה יהיה בארץ, הלקוח בעצמו יעביר את הכרטיס והכרטיס לא יגיע לקופאי.

יושבים פה נציגי בנק ישראל והם יצאו כבר עם טיוטה של הוראה שמטרתה להעביר את כל שוק כרטיסי האשראי בארץ לאותם כרטיסים חכמים כדי שהלקוח לא יצטרך למסור את הכרטיס שלו לקופאי.
היו"ר אורי מקלב
העוזר שלי כבר מבין שזה מייתר על הצעת החוק שהכנו בעניין.

המקרה שקרה עכשיו ברשת חנויות, היה בשליחות של כנופיה ששלחו פקיד, או שזאת יזמה של פקיד שהעביר את המידע? אני אחדד. האם היה שם שימוש רגיל בהעתקת פרטים, או שזה היה שימוש באפליקציה שהעתיקה את זה בצורה מהירה? בטכנולוגיה של היום קל לצלם. אני לא נכנס לפרטים. הטיפול בעניין הזה הוא טיפול נקודתי אבל אנחנו מהמעשה הזה רוצים ללמוד על הכלל. אנחנו לא מסתכלים על הנושא הפלילי. הפניות שקיבלנו והנושא שהוצף, עסקו במידת השמירה והביטחון שיש לאנשים כאשר הם מוסרים את הפרטים שלהם. במוקדם או במאוחר כולם יעברו לשימוש בכרטיסי אשראי.

אני רוצה שתתייחס במקרה הספציפי הזה לקלות שבאגירת הפרטים ואיך המערכת שלכם עוקבת אחרי מי שמקבל את הכרטיס? אני מבין שיש לכם מעקב על בעל הכרטיס אבל מה עם זה שמקבל את הכרטיס? האם אתם מבקשים ממעסקים שיעקבו אחרי דברים כאלה? ביקורות שהם עושים מול אנשים שמחזיקים אצלם מידע רב. כפי שאמרת, פרטים רבים יכולים להגיע לאדם במשך יום אחד.
גלעד כץ
קודם כל, צריך לזכור שמדובר באחריות של בתי העסק. לי אין שליטה איך בית עסק פועל. אני יכול לבקש ממנו, אבל אין לי שום יכולת אכיפה על בית עסק ומה הוא עושה עם המידע שיש אצלו. יש פה נציגים של "רמות", שקשורים לתקנונים ולתקינה בארץ. יש תקן בינלאומי של חברות האשראי הבינלאומיות, שאנחנו מבקשים מבתי עסק להחיל אותו, שמטרתו היא בדיוק למנוע את מה שאתה חושש ממנו. מטרתו לוודא שבתי העסק לא ישמרו נתונים כדי שלא ישתמשו בהם לזייף כרטיס אשראי.
היו"ר אורי מקלב
אתם עושים חוזים עם בעלי העסקים. האם יש סעיף שמחייב את העסק למעקב ולביקורת ולנקיטת אמצעים כדי למנוע את הדברים האלה?

אני לא יודע מה הסיבה מדוע אותה קופאית עשתה זאת רק עם כרטיסים של לאומי כארד.
גלעד כץ
לא רק לאומי כארד. היו שם 80 כרטיסים ו-20 כרטיסים היו של לאומי כארד. שאר הכרטיסים הם של החברות האחרות.
היו"ר אורי מקלב
טוב שאתם מסבירים את זה.

אני פונה לבנק ישראל. האם יש לנו דרישה מחברות האשראי להכניס משהו שמחייב את בתי העסק כדי להגן על הלקוחות שלהם?
שירלי אבנר
אני מבנק ישראל.
היו"ר אורי מקלב
דיברנו על מחויבויות שאנחנו רוצים להעביר לכאן, כמו שקיים במדינות אחרות בהן יש הסדרה בעניין הזה.
שירלי אבנר
אנחנו נציג את ההוראות של הפיקוח על הבנקים בנושא.
רחל יעקבי
אני מהפיקוח על הבנקים. גלעד מלאומי כארד התכוון לתקן PCI, שהוא תקן שחברות כרטיסי האשראי הבינלאומיות מפנות אותו בין היתר לחברות כרטיסי האשראי. למעשה הוא חל על בתי העסק. צריך לזכור שהפיקוח על הבנקים לא מפקח על בתי עסק. אנחנו מפקחים על תאגידים בנקאיים ועל חברות כרטיסי האשראי. נכון שחברות האשראי מחייבות אבל הן הגדירו בזמנו לוחות זמנים. לוחות הזמנים לעיתים הם גמישים ולעיתים הם משתנים. גם ההחלה של התקן תלוי בסוג בית העסק, מבחינת לוחות הזמנים. לתקן יש כמה סוגים, אם זה בתי עסק אינטרנטיים או בתי עסק פיזיים. אחרי האירוע הסעודי חשבנו שבאמת יש בתקן הזה כדי לסייע למנוע ככל שניתן, או לצמצם את הסיכונים שמידע רגיש ייחשף מבתי עסק.

כפי שציינתי קודם, אנחנו לא יכולים לחייב בתי עסק. הבנו שנוקטים מהלכים מול בתי העסק באמת כדי לוודא שהם אוכפים את התקן. זה תהליך מתמשך ולוקח זמן, כי זה תקן מאוד מורכב והוא נועד לבתי העסק הגדולים. יישום התקן לא פשוט והוא כרוך בהרבה מאוד משימות. האחריות היא לא של הפיקוח על הבנקים.
שירלי אבנר
אני רק אחדד משהו בהיבט המשפטי מבחינת ההגנה שיש ללקוחות במקרה של שימוש לרעה בכרטיסי אשראי. יש הגנה ספציפית במקרה של שימוש לרעה.
היו"ר אורי מקלב
הגנה ביטוחית?
שירלי אבנר
נכון.
היו"ר אורי מקלב
בסופו של דבר, גם אם לאדם יש ביטוח על רכושו הוא לא רוצה שיפרצו לביתו כדי שיקבל את הביטוח. איך מונעים את עצם השימוש. אנחנו לא מדברים רק על ההיבט של הפיצוי על הנזק.
שירלי אבנר
נכון. מבחינה פיקוחית מנסים לצמצם למינימום את האפשרות של פריצה. יש תחומי אחריות או חובות שהוטלו בהוראות שהוצאו על-ידי הפיקוח על הבנקים, כדי באמת לצמצם את האפשרות שזה יקרה. אני צריכה שתמקד אותי מבחינת ההתייחסות שלנו.
היו"ר אורי מקלב
שמענו שחברות האשראי אומרות שהן פועלות לפי הנחיות של בנק ישראל. בנק ישראל אומר שהם עובדים מול הבנקאים וחברות האשראי ולא מול בתי העסק. אלה באמת הסמכויות שיש להם. עדיין בתוך המרחב הזה, יש פעולות שאתם יכולים לעשות, או צריכים לבקש מחברות האשראי והגופים הבנקאיים שמתעסקים בזה. האם הם עושים פיקוח לראות שבעל עסק לא אוגר את הפרטים שיש לו? מי מפקח על-כך שבעל עסק או מישהו בתוך העסק לא יפעל בניגוד לחוק? איזה פעולות מרתיעות נעשות?

האם יש בהסכם של חברת האשראי מול בעל העסק סעיף שמחייב אותו בעניין הזה?
שירלי אבנר
צריך להבחין בין הלקוח שהוא בעל הכרטיס לבין בית העסק.
היו"ר אורי מקלב
אני מדבר על בית העסק. בית העסק עושה הסכם עם חברת האשראי. חברת האשראי עושה הסכם עם בעל העסק. לדוגמה, יש עסקים שמחתימים את הלקוח לאחר הקנייה ויש כאלה שלא. אני מניח שזה חלק מהסכם בין בעל העסק לחברת האשראי. זה נכון?
שירלי אבנר
גם לזה יש התייחסות בחוק כרטיסי חיוב מבחינת עסקה במסמך חסר.
היו"ר אורי מקלב
אני יודע שיש חברות אשראי שלא שילמו לבעלי עסקים בעקבות כך שהם לא החתימו את הלקוח. יש עסקים שהם פטורים. אני מניח שזה עוד הסכם שנעשה בין חברת האשראי לבעל העסק. אני מניח שאז יש סוג אחר של עמלה. אני אומר דברים מידע אישי חינם. אני טועה?
גלעד כץ
לא. יש הסכם בין כל חברות כרטיסי האשראי עם בתי העסק. אין פיקוח רשמי של המדינה על בתי העסק. אם אני אגיד לבית עסק שאני מפסיק לעבוד איתו, הוא יכול לעבוד עם מישהו אחר. הוא יכול לעבוד עם בנק זר שייתן לו את השירותים שאני נותן לו.

יכול להיות שהדרך הנכונה לגרום לבתי עסק לעשות את הפעילות הזאת ולדאוג לאבטחת המידע של פרטי הלקוחות שלהם זה בחקיקה. יש גם משהו שלא קשור לכרטיסי האשראי. למשל, למגה, קמעונאית המזון, יש מועדוני לקוחות. הם אוגרים את כל הפרטים של הלקוח.
היו"ר אורי מקלב
זה קשור לחוק מאגרי המידע.

אני דיברתי בשני היבטים. אמנם בנק ישראל לא עומד מול העסקים אבל הוא כן רגולטור של חברות האשראי. אתם יכולים לדרוש מהם איזה דרישות הם צריכות לדרוש מהעסקים. מה חברות האשראי צריכות לדרוש מהעסקים? מה יש בהסכם ביניהם?

האם צריך חקיקה כדי לגרום לכך שבעל עסק לא יאגור את המידע הזה ויפעל כדי שעובדיו לא יעבירו את המידע? אנחנו צריכים לתת ביטחון בעניין הזה. אני לא דורש מחברות האשראי לעשות משהו שלא מחייבים אותם.

איזה סעיפים ודרישות יש במחויבות שיש לבעל העסק בשמירת החיסיון של המשתמש? מלבד שימוש פלילי שהוא יכול לעשות בכרטיס הוא יכול לעשות שימוש במידע סביב הרגלי צמיחה. בעידן היום יכול להיות מידע שהגופים מעבירים לגופים חיצוניים אחרים. אני מעביר את הכרטיס שלי ומזהים את הרגלי הצריכה שלי, מה מעניין אותי ובעקבות זאת הם רוצים לעשות עוד שימוש. זה מידע רחב יותר שהם יכולים לעשות. אתם יודעים לא פחות טוב ממני.

אנחנו חוזרים עכשיו מדיון עם חברת פייסבוק. היה לנו דיון לא קל בעקבות המקרה הטראגי שבו עובד מדינה התאבד לאחר שמישהו השמיץ אותו בפייסבוק. הוא לא עמד בזה ואנחנו יודעים את הסוף הטראגי של העניין הזה. דרשנו מחברת פייסבוק, כי לא יכול שהם בלי כתובת. לא יכול להיות שהם לא דורשים שום דבר. לא יכול להיות שהם לא מתערבים בעניין. במרחב שיש היום, אנחנו יודעים שכמה שהטכנולוגיה מתקדמת, אנחנו צריכים להפעיל יותר חסמים, או דברים שיסדירו את העניין.
שירלי אבנר
יש מגבלות. מה שאדוני אומר זה פתרון במישור ההסכמי. הסכמים לא יכולים לפתור את הבעיות האלה שאדוני הציג. הרגולציה שלנו היא כאמור מול חברות כרטיסי האשראי. הם יכולים אולי לכפות סעיפים מסוימים או פרטים מסוימים על בתי העסק. אבל מה קורה אם בית העסק מפר את ההסכם? הרגולציה במקרה הזה היא לא במישור שלנו, אלא יותר במישור של רשות משפט טכנולוגיה ומידע, הגנת הפרטיות, מאגרי מידע.

אני מרשה לעצמי להעביר אליך את השרביט.
לימור שמרלינג מגזניק
אני מנהלת מחלקת רישוי ופיקוח.

אנחנו ברשות מפעילים את חוק הגנת הפרטיות. אנחנו רגולטור שהייעוד שלו הוא קידום הגנת הפרטיות מכוח זכות היסוד לפרטיות בישראל. בייחוד אנחנו שמים דגש על מידע אישי שמנוהל במאגרי מידע ממוחשבים. הסמכות שלנו פרוסה על כלל המשק הישראלי, גם על הגופים הציבוריים ומשרדי הממשלה, כל התאגידים, כל העסקים. אנחנו מדברים על סדר גודל של חצי מיליון גופים במדינת ישראל, שמנהלים מידע אישי בצורה ממוחשבת.

אופן הפעולה שלנו כרגולטור על היקף כזה רחב ועם המשאבים שהמדינה הקצתה לנושא, הוא כן להפעיל סמכויות פיקוח ולעשות פעולות אכיפה, במקרים שבהתאם למדיניות אנחנו סבורים שיש בהם השפעה על כמות אוכלוסייה נכבדה במשק, אירוע בעל פגיעה משמעותית וגדולה בפרטיות.

אני אסב את תשומת ליבו של אדוני לדוגמה שנתת בתחילת הדיון לגבי השימוש באפליקציה. לראייתי, ליבת האירוע היא אירוע של גניבה ושל הונאה. העובדה שנעשה שימוש בטכנולוגיה כדי לממש אותו, היא גורם שהזכרנו גם בדיון הקודם. קורים היום הרבה מאוד דברים במימד הסייברי האינטרנטי, הטכנולוגי, שקרו קודם במימד המציאות הפיסי שלנו וממשיכים לקרות גם שם. העובדה שזה קרה באמצעות כרטיסי אשראי, עדיין לא משנה את העניין שליבת העניין היא הונאה וגניבה שהיא בליבת הפעילות של משטרת ישראל.
היו"ר אורי מקלב
את צודקת. אבל יש הרגשה שאנשים מסתובבים עם ארנק פרוץ ופתוח לכל. אם תהיה פריצה לכספות, לא ישאלו מה נגנב מהכספות אלא עצם היכולת לפרוץ לכספת שאמורה להיות מוגנת, זה מה שיטריד.

אם נדע שכל אחד יכול לעבור ליד הרכב שלי והוא יכול לזהות את הקוד הסודי שלי, זה מטריד, מעבר לנזקים. אנחנו דנים בקלות של השימוש בנתונים.
לימור שמרלינג מגזניק
מבחינת האחריות המשפטית והחובות, חוק הגנת הפרטיות קובע חובה קודם כל כללית, על כל מי שמנהל מידע אישי בצורה ממוחשבת. פה נכנסים תחת ההגדרה הזאת גם חברות כרטיסי האשראי, גם בעל העסק וגם בנק ישראל עצמו במערכותיו כגוף ציבורי. כל גורם שמנהל מידע אישי, חב בחובות אבטחת מידע. ישנן גם תקנות שיש בהן מפרט בסיסי שלטעמנו הוא לא מספיק, של חובות אבטחת מידע. הוא לא מפנה לתקן כזה או אחר, לא ל-PCI ולא לתקן הישראלי 27001, שאולי היה יכול להיות מתאים.

אנחנו נגשנו לשרת המשפטים טיוטת תקנות מפורטות לאבטחת מידע שאנחנו רוצים לקדם אותם. זה כבר היה לפני שתי ממשלות. אנחנו נשמח לקדם אותן כדי שיחלו חובות אבטחת מידע מפורטות הרבה יותר.

לגופו של עניין, לגבי תקן PC IDSS, אני עדיין סבורה שהגורם היעיל לאכוף אותו על בתי העסק הוא חברות כרטיסי האשראי, מהטעם שאדוני ציין. יש להן התקשרות עם החברות, הן יודעות לעשות את זה. הן יודעות לעבוד לבית עסק שהן לא יעבדו איתו אם רמת אבטחת המידע שלו לא תהיה מספקת. בזמנו הם גם עשו את זה באירועים קודמים של רמות אבטחת מידע לא הולמות שנמצאו בגורמים.

אני חושבת שיש עוד דבר משמעותי שיכול לשפר את האירועים שאדוני מדבר עליהם והוא היישום של כרטיס האשראי שכולל גם סיסמה. הוא מקובל בעולם ועדיין לא נכנס לארץ. גלעד, אם לזה התכוונת, אני חושבת שזאת תהיה שכבת הגנה מאוד משמעותית. דהיינו, כרטיס אשראי שמחייב הקשת סיסמה אישית שהאדם עצמו יודע, לא יאפשר לקופאית להעתיק את הפרטים ולהשתמש בהם.
היו"ר אורי מקלב
תוך כמה זמן העניין הזה עומד להיות מיושם? איך אתם מתכוונים להטמיע את זה? זה יהיה תנאי? זאת תהיה דרישה? אלה תקנות?
רחל יעקבי
זה נושא שצריך לבחון כי היישום הוא לא קל.
קריאה
הוא דיבר על EMV.
רחל יעקבי
זה בתהליך.
היו"ר אורי מקלב
מה יעד הזמנים?
רחל יעקבי
היום יש לכרטיס האשראי פס מגנטי שניתן לשכפול בצורה קלה יחסית. ברגע שיהיה כרטיס חכם עם צ'יפ, אפשרות השכפול וההעתקה שלו יהיו הרבה יותר קשים. אני לא רוצה להגיד שזה יהיה בלתי אפשרי, אבל זה מאוד מקשה. אני יודעת שהנושא הזה נמצא בתהליך מול חברות כרטיסי האשראי והבנקים.

רציתי לומר עוד משהו. למען הסר ספק, הפיקוח על הבנקים באמת רואה בכל נושא אבטחת המידע חשיבות רבה ולא רק בנושא כרטיסי האשראי. יש הוראות שכבר קיימות מזה שנים רבות, החל מתחילת שנות ה-2000 בנושא אבטחת מידע, הוראת ניהול בנקאי תקין מס' 357 שיש לה חלק ניכר שדן בכל סוגיית אבטחת המידע. אני חייבת לציין שאנחנו ככל הנראה רשות הפיקוח היחידה בעולם, שהוציא לאחרונה, בחודש מרץ, הוראות שנוגעות להגנת הסייבר. עולם הגנת הסייבר כמובן גם כולל את עולם הגנת הפרטיות. כלומר, הכול קשור. הפרטיות היא נושא חשוב כשלעצמו והוא חלק מעולם הגנת הסייבר.
היו"ר אורי מקלב
בעל עסק או כל מי שאוגר מידע, העבירה הפלילית היא אגירת המידע או שמימוש במידע.
לימור שמרלינג מגזניק
לא. יש לזה שלב אחד קודם. חוק הגנת הפרטיות קובע ששימוש במידע אישי על אדם הוא פגיעה בפרטיות והוא גם עבירה פלילית, אלא אם ניתן למעבד המידע הרשאה חוקית לשימוש במידע, כמו הלשכה המרכזית לסטטיסטיקה שעושה את זה מכוח חוק, או ניתנה הסכמת האדם.

במקרה שאדם מתקשר בחוזה ומקבל כרטיס אשראי מחברה, ברור שהוא נותן את הסכמתו לשימוש בפרטים עליו אחרת הוא לא יוכל לקבל שירות.
היו"ר אורי מקלב
אבל אם הוא אוגר את המידע?
לימור שמרלינג מגזניק
אגירת המידע כשלעצמה, אם היא מתחייבת לצורך מתן השימוש היא יכולה להיות חוקית. אם היא לא מתחייבת והיא לא בהסכמה, היא יכול להיות עבירה.
היו"ר אורי מקלב
זה שימוש לאותה עת. האם בעצם האגירה יש עבירה על החוק?
לימור שמרלינג מגזניק
זה לא אוטומטי, זה תלוי בנסיבות המקרה.
היו"ר אורי מקלב
כאן מתחילה הבעיה. נניח שאותם בתי עסק אינטרנטיים מחליטים שהם אוגרים את המידע. יכול להיות שיש להן הרבה סיבות מסחריות לאגור את זה. הם לא עושים בזה שימוש שלא על דעתו. האם עצם המאגר הוא עבירה? אני כלקוח מוסר את הפרטים בשביל קניה מסוימת. אני ממש לא מעוניין שאתה תאגור את המידע הזה לצורך דברים עתידיים, גם אם אתה לא עושה בזה שימוש עכשיו. אני רוצה להיות בטוח בעניין.

אני גם חושש שתהיה פריצה לאותם בתי עסק אינטרנטיים. יכול להיות שכאן צריכה להיכנס חקיקה.
אבנר זיו
אני מנהל חטיבת הטכנולוגיה בבנק ישראל.

בדרך כלל מדובר בחברות גלובאליות שמבחינה חוקית צריך לבוק מה הן יכולות לעשות. יש חברות שזה הביזנס שלהן לאגור את הנתונים שלך, למרות שהן עובדות רק באינטרנט. למשל, חברת "פייפל" למשל.
היו"ר אורי מקלב
אתה חושב שזה העסק שלהם? אדם מצפה שכל פעם שהוא מתקשר ייקחו ממנו את הפרטים מחדש ושלא משתמשים בפרטים שאצלם.
אבנר זיו
חברה כמו "פייפל" זה השירות שהיא נותנת. היא מאפשרת לך לפתוח אצלם חשבון, להזין את כרטיס האשראי שלך ובפעם הבא לא להזין את מספר האשראי אלא להזדהות באמצעות חשבון ה"פייפל" שלך.
היו"ר אורי מקלב
אז במקרה הזה הסכמתי. אנחנו מדברים על מקרים בהם ההתקשרות היא חד פעמית בעיניי הלקוח. מה קורה עם בית עסק שלא משתמש אבל אוגר את המידע הזה.
יהונתן קלינגר
אני מעמותת "אשנב" והתנועה לזכויות דיגיטאליות.

אחד הדברים שחשוב לזכור הוא שבישראל, בניגוד למדינות אחרות, ואמרתי את זה פה בוועדה אחרי פרשת ההאקר הסעודי, שבישראל אנחנו משתמשים במספר הזהות שלנו כמפתח לזיהוי מול הרבה מאוד גורמים. אין שום סיבה שמועדון לקוחות בסופרמרקט יידע את מספר הזהות שלי וישמור אותו כמזהה החד ערכי. כלומר, אם לא היו שומרים מספרי זהות, אז דליפות של מאגרים כאלה אחר-כך, לא היו מאפשרים לעשות בהם שימוש והצלבה, שזאת הרעה האמיתית.

כשסופרמרקט אוסף מאגר מידע עליך וזה דולף, אז כולם יודעים מה קנית, איזה ממרח אתה אוהב ואולי גם את מספר כרטיס האשראי שהשתמשת בו לפני שנתיים וזה ניתן להפקעה. אבל כשאפשר להצליב את כל המידע הזה עם מאגרים אחרים שדולפים – יש חברות שמוכרות את זה באינטרנט שחור על גבי אינטרנט. הן ממש כותבות שהן עושות טיוב נתונים. הם לוקחים מאגרים שמצאו פה ושם בגוגל ומצליבים את כל המידע הזה מכל מיני מקורות, למטרה לא לשמה הם נמסרו.

בזמנו הצענו לקבוע שיש גורמים שלא ממש צריכים לשמור את מספר הזהות שלך ולאסור עליהם לשמור. אני לא מדבר על חברות האשראי והבנקים אלא על גורמים קטנים יותר, לאסור עליהם לשמור מספרי זהות. כל עוד זה לא יקרה, אז כל פעם שמאגר ידלוף, ישתמשו בו.
היו"ר אורי מקלב
מה לגבי פרטי האשראי?
יהונתן קלינגר
אני אומר שפרטי האשראי שלך הם שוליים. אנשים מחליפים כרטיס אשראי פעם בשנתיים-שלוש. אם הכרטיס דולף החברות מחצינות את העלות. הן יודעות לבטח את עצמן והן עושות עבודה מצוינת. הן לא יודעת לבטח דליפה של המידע האישי שלי. לדוגמה, מה הגבינה שאשתי אוהבת, זה מידע שמפרסמים ישלמו עליו הרבה מאוד כסף וכשהוא דולף, אני לא יכול לפנות לחברות האשראי והרבה פעמים גם לא לאתר שזה דלף ממנו.

חברות האשראי עושות עבודה יפה גם בלאבטח את המספרים וגם להנפיק לך מספר חדש כשזה דולף. הן סופגות את העלות. אם היה עולה לאינטרנט קובץ עם כל מספרי כרטיסי האשראי של כל הישראלים, אז הם היו סופגים עלות של כמה מיליוני שקלים.
היו"ר אורי מקלב
השימוש במספרים של כרטיס האשראי הוא גם ללא מספר תעודת הזהות שלך.
יהונתן קלינגר
הסטנדרט הוא שבעסקה אלקטרונית אתה צריך לתת גם את מספר הזהות והרבה פעמים גם את שלוש הספרות מאחור, כדי שזה לא ייחשב לעסקה במסמך חסר.
היו"ר אורי מקלב
המספר שנמצא מאחורי הכרטיס יכול להיות חלק מהמידע שיש לאותו בעל עסק. נניח בעל עסק אינטרנטי, הוא בהחלט יכול לבקש ממך את המידע הזה.
יהונתן קלינגר
אם הוא סולק את המידע הזה באינטרנט, הוא לא אמור לשמור את המידע. חברות האשראי עושות בדיקה על האתרים האלה. אני רואה שהם בודקים לקוחות שלי. הם בודקים שהמידע לא נשמר. אם מישהו ישמור את המידע הזה, אז חברות האשראי יסגרו לו את הברז הרבה יותר מהר מהמשטרה.
תומר אלקובי
אני מלאומי כארד.

כל בית עסק אינטרנטי שמבקש לפתוח חשבון סליקה אצלנו בחברה, אם הוא לא עומד בתקן PCI, או אם הוא לא משתמש בספק שנותן לו שירותי PCI, שנותנות דף תשלום מאובטח, אנחנו לא מאשרים אותו לסליקה. זה תקף כבר כמה שנים.
היו"ר אורי מקלב
האם בתקן של ה-PCI יש את הצורך שלו לבצע מעקבים?

היום אין חוק שעצם המאגר הוא לא חוקי. זה שחברות האשראי פועלות שלא יאגור זה בסדר, אבל בסופו של דבר אני חושבת שצריכה להיות חקיקה בעניין הזה. עצם המאגר צריך להיות לא חוקי. זאת פרצה שקוראת לגנב. צריך לבדוק את הדבר הזה.
איציק קסיאל
אני מיחידת הסייבר להב 433. אם לדבר על מגמות בנושא הזה אז, אם בעבר וגם כיום העבירות הן בעיקר עבירות של ניצול הזדמנות. אני עובד בסופר או בתחנת דלק יש לי הזדמנות. אנחנו לא רואים הכוונה של ארגוני פשיעה אבל אנחנו מתחילים לראות ברמה הבינלאומית ארגוני פשיעה שמסמנים לעצמם מטרות אסטרטגיות. זאת אומרת, זה כבר לא לגנוב 10 כרטיסי אשראי אלא מתחילים לסמן ארגונים פיננסיים. חברות גדולות, חברות מוגנות, מסמנים אותן כמטרה לביצוע עבירה רחבת טווח, להשתיל אנשים בפנים, לבצע גניבות טכנולוגיות גדולות שיהיה קשה לגלות אותן. זאת אומרת, זאת מגמה שאנחנו רואים בעולם ואנחנו מעריכים שזה גם יגיע לארץ. בסופו של יום גם יהיה מבצע 512 של הסייבר, של ארגוני פשיעה בהמוניהם. כרגע אין את זה כמגמה של ארגוני פשיעה בארץ ואנחנו מעריכים שזה ייכנס.
היו"ר אורי מקלב
יש שיתוף פעולה בינלאומי?
איציק קסיאל
יש שיתוף פעולה בינלאומי נהדר. גם הסליקות הן בחברות בינלאומיות. זה לא נעשה רק בארץ, זה נעשה גם בארץ וגם בחו"ל. יש לנו שיתוף פעולה עם גופי אכיפה, עם האינטרפול, עם האף.בי.איי. אין לנו בעיה של שיתוף פעולה.
היו"ר אורי מקלב
היה מידע שהיתה הונאה של מיליארד של חברות האשראי על-ידי חדירה. זה היה שוד הסייבר הגדול בהיסטוריה כי מיליארד דולר נגנבו מבנקים ברחבי העולם. זה נחשף רק לאחרונה.

זה אמנם לא הנושא שלנו אבל משמח מה שאתה אומר, שלא מדובר בפליליסט הקטן או באותם קופאי או קופאית שעושים שימוש אסור.
איציק קסיאל
לכן גם ההיערכות הגנתית שלנו כמשטרה, על ידי הפעלת מודיעין וגם ההיערכות של כל האנשים שיושבים כאן סביב השולחן צריכה להיות שונה. יש הבדל בין אדם שמנצל הזדמנות לבין ארגון מתוחכם, מתוכנן, שמטשטש את העקבות שלו, שיודע כיצד להעלים כספים. ההיערכות המודיעינית היא שונה לגמרי, גם מבחינתם וגם מבחינתנו אל מול הגופים האלה.
הדר שמר
אני ממטה הסייבר הלאומי. אין לי כל-כך הרבה מה להוסיף על מה שנאמר פה מכיוון שאנחנו עובדים עם כל הגופים שדיברו פה קודם לכן, על-מנת לראות איך אפשר להעלות את רמת ההגנה על הסייבר במשק בכלל.
היו"ר אורי מקלב
המדינה מעורבת בכל מה שנעשה בנוגע להגנה על האזרח? האם אתם מודעים ועוקבים אחרי מה שקורה?

אנחנו מדברים עכשיו על קידום מדיניות, על פתיחת מטה מיוחד. יש הקמה של רשות מיוחדת לעניין הזה בגלל הצרכים האלה. אבל צריך לזכור שיש עוד גופים.

כפי שאמר נציג המשרד לביטחון פנים, המשאבים מצומצמים וצריך להיות מישהו שמרכז את כל המידע, את כל הפיקוח וכל מה שנעשה בתחום.
הדר שמר
מטה הסייבר הלאומי זה גוף מטה שהוקם על-מנת לקדם את תחומי - - -
היו"ר אורי מקלב
אתם הופכים להיות רשות.
הדר שמר
הרשות עוד לא הוקמה. הרשות זאת תוצאה של החלטת ממשלה מחודש פברואר, שאנחנו כמובן קידמנו אותה ואנחנו בשלבי הקמה שלה. יש דברים מסוימים שכבר התחלנו להקים ויש דברים שימשיכו ויקומו. הרשות תקום במתווה תלת שנתית.

הכוונה היא שהרשות תהיה גוף אופרטיבי, שבעצם מופקד על הגנת הסייבר במדינת ישראל. יחד עם זאת, זה גוף שימשיך לעבוד עם כל הגופים וזה לא מחליף את הגופים הקיימים היום במדינת ישראל.

המטה עובד בשיתוף פעולה עם משטרת ישראל, גם עם רמות, גם עם בנק ישראל ואחרים על-מנת לבחון איזה פעולות אפשר לעשות על-מנת להעלות את רמת הגנת הסייבר.

נאמר נכון קודם לכן, שיש אבחנה בין מה שנעשה באמצעות הסייבר, אבל זה פעולות פיזיות של אנשים, ומה אפשר לעשות כאמצעים שמעלים את רמת ההגנה בסייבר על-מנת למנוע פעולות כאלה ואחרות.
שחר אלון
אני יועץ משפטי בחברת "צ'ק מרקס", חברה ישראלית שפועלת היום ב-55 מדינות. באמת זה כבוד גדול לשבת עם ראשי הדיביזיות בתחום הסייבר של מדינת ישראל. איכשהו הגענו לדיון על כרטיסי אשראי או מקרה כזה או אחר של גניבה של 80 מספרים.

אני חושב שהבשורה שצריכה לצאת מהוועדה זאת לא עוד רגולציה לעסקים, בלי שיהיו פה עסקים כדי להגיב. נרצה לברך ונצא מקללים. כבר כך יש עודף רגולציה ויש הבדלים ענקיים בין עסק אחד לשני. צריך כאן קצת אולי יותר בזהירות.

אנחנו הגענו לדיון בכותרת המקורית שלו. הרצון שלנו להשתתף זה באמת לנדב את הידע שלנו מהשטח לטובת הגורמים הנוספים, כדי שבאמת נדע לייצר דיאלוג ועבודה משותפת בין כל גורמי העבודה: משרד ראש הממשלה, הגופים הפרטיים, חברות ביטוח, כדי שלא נגן על אותם 80 כרטיסים, אלא שבאמת נגן על הכרטיסים והפרטים של 8 מיליון אזרחי מדינת ישראל.

הדברים כבר פועלים בעולם. זה לא שאנחנו הכלכלה הכי חזקה בעולם כרגע שהמצאנו דברים. יש הרבה למידה. שיתופי הפעולה הם קריטיים. שיתופי הפעולה בין הגופים פה הם קריטיים. מה עושים ואיך עושים? במקום לייצר רגולציה חדשה, אולי שמהוועדה תצא הקריאה לחיוב יותר הסברה בתחום. העסקים אולי מתים לעוד מידע אבל אין להם את הידע או את המוכנות.
היו"ר אורי מקלב
זה גם בהגנה על עצמם. איזה מידע חסר להם? עסק שרוצה להגן על עצמו מבעיות או מפעילות סייבר כזאת או אחרת, אין לו חברות שהוא יכול לפנות אליהן ולקבל את כל המידע וההגנה?
שחר אלון
ההרגשה היא שאנחנו אומת הסייבר. הפחד הוא שאנחנו אומת הסייבר של מלחמת יום כיפור ולא של ששת הימים. הכוונה היא שאולי אנחנו מחמיאים לעצמנו במוכנות שלנו, אבל בפועל יש עדיין בוקה ומבולקה.
היו"ר אורי מקלב
אתה מדבר על התחום הביטחוני. אני מדבר על התחום העיסקי, הצרכני. לא הבנתי, אני מתנצל.
שחר אלון
אם היום בעל עסק רוצה לדעת מה הוא צריך לעשות - - -
היו"ר אורי מקלב
המושגים שלך לגבי ששת הימים ויום כיפורים מביאים אותנו למקומות אחרים. אנחנו עוסקים הרבה בעניין הזה וזה בתחום האחריות של הוועדה הזאת, כל הנושא של הגנת הסייבר. בעניין הזה נפעל הרבה. הפעם אנחנו עושים דיון יותר במישור הצרכני של העניין, החידושים הטכנולוגיים מול מה שקורה ואיך אנחנו מגנים על האזרח. אנחנו מבקשים להכניס את הנושא הזה לתוך הרשות.

אמרת שיש שיתוף פעולה. אנחנו חושבים שצריך להיות שיתוף פעולה באופן כללי וצריך לטפל בכל התחום הזה, גם בתחום הפרטני וגם בתחום הפיקוח.
שחר אלון
אם נרצה לעשות שינוי, אז אפשר לעשות זאת בחקיקה ובתקנות. אפשר להשאיר גם את המצב שכל גוף יבין לבד.
היו"ר אורי מקלב
כשאתה אומר חקיקה, למה אתה מתכוון?
שחר אלון
אתה העלית בעיה של כרטיסי אשראי, נמצא דרך לפתור אותה ונתקדם לבעיה הבאה.

דרך המלך בתחום הזה, שיאפשר גם לא להכביד יותר על הגופים השונים עם עוד רגולציה, זה אולי בצורה של המלצות. זאת אומרת, שהגופים המקצועיים ידעו לייצר מסמכים שיורו לעסקים מסוגים שונים איך לנהוג. זה קיים בתחום הבנקאות ובתחום כרטיסי האשראי. יצאו שורה של המלצות בתחומים השונים בהגנת הסייבר, שכל עסק יידע מה כרגע ההמלצה ושזה עדיין לא חיוב.

אנחנו בתחום שלנו, מסייעים לגופים לייצר קוד שהוא בטוח מפני חולשות אבטחה. זה תחום שהוא בשרשרת מזון מאוד נרחבת ואנחנו עוזרים לגופים לדעת שהקוד שהם פיתחו הוא בטוח. רוב הגופים פה הם משתמשים, אבל אנחנו רק חלק אחד בתוך שרשרת המזון.
היו"ר אורי מקלב
האם יש מידע כזה? אדם שרוצה לדעת מה יש בתחום, יש משהו מסודר שהוא יכול להיכנס אליו, אתר פרטי או ממשלתי, שממנו הוא יכול לדעת מה ההגנות שיש ומה הוא צריך לעשות.
לימור שמרלינג מגזניק
באתר ממשל זמין יש הנחיות אבטחת מידע גם למשתמשים פרטיים וגם לעסקים.
הדר שמר
כבר עכשיו יש אתר באוויר וכבר יש פונקציות מסוימות שעובדות ובהחלט אפשר לבקר באתר ולראות שם כל מיני דברים לציבור.
היו"ר אורי מקלב
עורך דין אלון אומר הרבה. זה מתאים לפתגם שאומר שעד שמגיעים לבית המרזח, גם צריך כוסית של משקה. הדרך ארוכה אבל יש מה לעשות בדרך.
שי סימקין
אני מייצג את עולם הביטוח. אני מייצג ברוקר בינלאומי ומתעסק בתחום הסייבר הרבה שנים.

אני רוצה לחזק את הדברים של עורך דין אלון. אני לא שייך לעולם הבנקאי ולא לעולם כרטיסי אשראי ולכן אני מדבר מנקודת מבט צרכנית. מה שמטריד אותנו זאת לא אותה קופאית שאוספת 80 או 90 של כרטיסי אשראי. אני מבטיח לך שבעודנו יושבים בישיבה הזאת, מאות אלפי ניסיונות חדירה. לכל יושב בארגון הזה היה ניסיון כזה או אחר. מתישהו יצליחו לגנוב מאיתנו האזרחים את הפרטים האישיים שלנו, את מספרי כרטיסי האשראי שלנו. גם במדינות שיש להם כרטיס עם שבב, עדיין גונבים את מספרי כרטיסי האשראי. לא 80 כרטיסי אשראי, אלא 80 מיליון כרטיסי אשראי וזה גורם לנזק גדול גם לכלכלה וגם לאזרחים.

אבל במדינות כמו ארצות הברית ואני מניח שגם השנה באירופה, יש חוקים שמתייחסים מתי הם צריכים להודיע לנו האזרחים שהיתה חדירה למאגר המידע. אין לנו שום חוק שאומר שאם היתה חדירה למאגר המידע שלהם, וזה לא משנה - - -
היו"ר אורי מקלב
יש הצעת חוק שלנו בעניין הזה.
שי סימקין
אנחנו חייבים לדעת שמישהו לקח את פרטי האשראי שלנו. יכול להיות שיש חדירה למאגר שיש בו מידע רפואי, ולאו דווקא חדירה למערכת הבנקאית ואנחנו לא נדע.
היו"ר אורי מקלב
גם בנושא המידע הרפואי קבענו הבוקר דיון. האם אנחנו מעוניינים שהמידע הרפואי שלנו יהיה נגיש במקרי חירום? אדם שהגיע לבית חולים מסיבה כלשהי בארץ העולם. האם אנחנו צריכים להנגיש את כל המידע עליו כדי להציל אותו. אנחנו קוראים לזה רשומה רפואית.

אתה העלית נקודה חשובה מאוד.
שי סימקין
אנחנו לא נוכל לעצור את הקדמה.
היו"ר אורי מקלב
אנחנו נקיים דיונים. אסור להזניח גם את הדברים הקטנים. בסך הכול האזרחים רוצים ביטחון מלא. הם סומכים על כך שבדברים הגדולים עושים את זה. הם רוצים לדעת שגם בדברים הקטנים השוטפים, אנחנו צריכים לתת להם ביטחון. אנחנו חושבים שחשוב לתת ביטחון צרכני ללקוחות ושיש לו הגנה ראויה.

הוא יודע שהוא לא יכול להילחם בפריצות והוא יודע שהחברות עושות זאת. הוא רוצה ביטחון בחיי היום יום שלו. כשהקמנו את הגיחון אני זוכר כמה דיונים השקענו כדי לשכנע אנשים לעבור להוראת קבע. לאנשים היה דימוי שאם הם נותנים הוראת קבע לתאגיד מים בסוף מחייבים אותם ועושים איתם מה שהם רוצים. הם מנעו מעצמם מלהשתמש בהוראת קבע. כל זה קרה בגלל שלפעמים היו גובים מהם סכומים גדולים מידי או שנויים במחלוקת. קודם כל גבו ממך ואחר-כך היית צריך להתווכח איתם.

מכיוון שחיובי המים יכולים להשתנות בגלל חיובים שונים, למשל נזילה בצינור הראשי וצריכה משותפת, אז אנשים לא רצו לתת הוראות קבע. אנשים רוצים לדעת שיש אמינות בצרכנות.

אני רוצה לסכם את הדיון. אני מקווה שלכרטיסי הדביט יהיה אותן הגנות כמו שלכרטיסי האשראי. כאשר אנחנו נוציא את הכרטיסים המוגבלים יותר, האם ניתן להם את אותה הגנה ואותו ביטוח? אנחנו רוצים שיהיה להם את אותו ביטחון שיש בכרטיסים המסחריים. אני מבין שזה עכשיו בתהליך אבל זאת הפנייה שלנו.

אני מבין שהתהליך של צמצום השימוש במזומנים ומעבר לכרטיסים הוא תהליך שהולך ומתרחב וצריך לתת את אותן הגנות.

אני רוצה להודות לכם על ההשתתפות, הנכונות ועל הדברים שאמרתם. אני חושב שאנחנו נוכל להעביר מסר יותר מרגיע בעניין הזה של חששות משימוש בפרטים שלא כדין, שלא בסמכות וללא הסכמה. חברות האשראי עושות את מה שנחוץ. צריך לקדם את ה-PCI. תהליכים כאלה יכולים לקחת זמן במדינה שלנו ואני חושב שאנחנו צריכים להאיץ. אני חושב שאנחנו צריכים לרוץ אחרי הקידמה ולהדביק אותה כדי שלא ניצור פערים בין השימושים לבין מה שקורה.

אנחנו צריכים לתת את הדעת על חקיקה ואזהרה בפני שימוש במאגר מידע שלא לצורך. גם לזה צריך לתת את הדעת.

אנחנו נקיים סדרה של דיונים שעוסקים בנושא ההגנה על הסייבר. יש חלוקה בין ועדת חוץ וביטחון לבין ועדת המדע. יש תחומים שוועדת החוץ והביטחון מפקחת עליהם ויש נושאים שעליהם ועדת המדע תפקח. הכוונה לגופים שהם לא מתקנים אסטרטגיים ולא גופים מיוחדים ואנחנו נעקוב אחריהם.

תודה רבה, הישיבה נעולה.

הישיבה ננעלה בשעה 13:45.

קוד המקור של הנתונים