הכנסת העשרים
מושב ראשון
פרוטוקול מס' 13
מישיבת ועדת המדע והטכנולוגיה
יום שני, ד' באב התשע"ה (20 ביולי 2015), שעה 10:30
ישיבת ועדה של הכנסת ה-20 מתאריך 20/07/2015
היערכות ישראל למתקפת סייבר וחשיבות ההגנה על תשתיות לאומיות
פרוטוקול
סדר היום
היערכות ישראל למתקפת סייבר וחשיבות ההגנה על תשתיות לאומיות
מוזמנים
¶
אביתר מתניה - ראש מטה הסייבר הלאומי, משרד ראש הממשלה
משקאוצן מיכאל - עוזר ראש מטה הסייבר הלאומי, משרד ראש הממשלה
שני שרביט - ראש אגף בכיר מדיניות וארגון, מטה הסייבר הלאומי, משרד ראש הממשלה
תמיר שניידרמן - מ"מ מנכ"ל המשרד, משרד התשתיות הלאומיות
עמית אשכנזי - יועץ משפטי, מטה הסייבר הלאומי, משרד ראש הממשלה
גדעון קונפינו - מנהל חט' אבטחת מידע וסייבר, משרד ראש הממשלה
פדר שמר - ר' תחום קידום מדיניות, מטה הסייבר הלאומי, משרד ראש הממשלה
אסף - השב"כ
אביהו - השב"כ
עמית רוזנר - ר' חטיבת מעבדות וסייבר, משרד הביטחון
גלעד בנט - רפ"ק, יועמ"ש סייבר, משטרת ישראל, המשרד לביטחון פנים
יהורם עמדי - סנ"צ רמ"ד אבטחת מידע, משטרת ישראל, המשרד לביטחון פנים
יקי זנו - תג"ד, ראש מנ"ט, שירות בתי הסוהר, המשרד לביטחון פנים
אילן יום-טוב - ר' תחום סייבר, המשרד לביטחון פנים
תמיר שניידרמן - מ"מ מנכ"ל המשרד; סמנכ"ל חרום ביטחון, מידע וסייבר, משרד התשתיות הלאומיות
יצחק שילוח - ראש תחום אבטחת מידע, משרד הפנים
עידו תלמי - מנהל אבטחת מידע, רשות האוכלוסין וההגירה
ענת אסיף - מחלקת יעוץ וחקיקה, משרד המשפטים
אלון בכר - ראש הרשות למשפט טכנולוגיה ומידע, משרד המשפטים
שי סופר - ד"ר, המדען הראשי, משרד התחבורה והבטיחות בדרכים
אורן אלימך - מומחה סייבר ואבטחת מידע, משרד התחבורה והבטיחות בדרכים
צור אהרון - מנהל אגף בכיר מערכות מידע, משרד התחבורה והבטיחות בדרכים
מונס שמואל - מנהל אבטחת מידע, משרד הרווחה והשירותים החברתיים
עדו מועד - מנהל ביטחון סייבר, משרד החוץ
שאול בן שושן - מנהל צוות אבטחת מידע, משרד החינוך
שמעון ברונר - מנהל אגף בכיר למערכות מידע, משרד הכלכלה
יורם ביטון - מנהל הסייבר ובדיקות חוסן, המוסד לביטוח לאומי
עדינה אשר - אחראית על אבטחת מידע, ג'ויינט ישראל
יצחק בן-ישראל - פרופ', יו"ר המולמו"פ ויו"ר סוכנות החלל הישראלית, המועצה הלאומית למחקר ולפיתוח אזרחי
יעל גורן חזקיה - יועצת קשרי ממשל, המועצה הלאומית למחקר ולפיתוח אזרחי
גורי זילכה - ד"ר, יועץ בכיר, המועצה הלאומית למחקר ולפיתוח אזרחי
רם לוי - הוועדה הלאומית למו"פ סייבר, המועצה הלאומית למחקר ולפיתוח אזרחי
פרידה סופר - מזכ"לית המולמו"פ, המועצה הלאומית למחקר ולפיתוח אזרחי
רחל יעקבי - מנהלת יחידת סיכונים תפעוליים וסייבר, הפיקוח על הבנקים, בנק ישראל
שירלי אבנר - מחלקה משפטית, בנק ישראל
יהונתן אתר - יועץ למנכ"ל בנק ישראל, בנק ישראל
פולינה זסלבצ'יק - חטיבת טכנולוגיית המידע, בנק ישראל
לבנת קופרשטיין דאש - עו"ד, איגוד הבנקים בישראל
אלי פטל - יועץ בנושא אבטחת מידע, איגוד הבנקים בישראל
צחי שטראוס - מנהל אמ"מ ואבטחת סייבר, בנק הפועלים
מיכה וייס - מנהל הגנת הסייבר, בנק המזרחי-טפחות
אייל עוקשי - אבטחת מידע, בנק דיסקונט
יחזקאל -חזי גריזים - סמנכ"ל לפרויקטים מיוחדים, התעשייה האווירית
צח הורוביץ - מנהל פיתוח עסקי מנהל מערכות סייבר תעשייה, התעשייה האווירית
אסף וייסברג - נשיא, האיגוד הישראלי לביקורת ואבטחת מערכות מידע
דורון רונן - נשיא שקדם וחבר הנהלה, האיגוד הישראלי לביקורת ואבטחת מערכות מידע
דני דולב - פרופ', ראש מרכז המחקר בסייבר, האוניברסיטה העברית בירושלים
איסר ישראל פאר - ד"ר, יועץ בכיר, אוניברסיטת בר אילן
דבורה האוסן-כוריאל - חוקרת, אוניברסיטת חיפה
אושרת כץ שחם - עוזרת מחקר, מוסד "שמואל נאמן" בטכניון
טל פבל - מומחי לאיומי אינטרנט וסייבר, MIDDLEEASTERNET
אילן לוין - מנכ"ל, לשכת מנתחי מערכות מידע בישראל
נעמי אברמסון - חברת נשיאות, לשכת מנתחי מערכות מידע בישראל
גדי עברון - יו"ר ועד מנהל מתא"ם - IL-CERT, חברות לאבטחת מידע
אבי קרטין - מנהל גוב - קרטין בע"מ, עיתונות ותקשורת
רועי גולדשמידט - המרכז למחקר ומידע, כנסת ישראל
רומן גרביץ - לוביסט (פוליסי), מייצג את תע"א
חן אגא - לוביסט (פרילוג)
היו"ר אורי מקלב
¶
בוקר טוב. בוקר טוב לכולם, אני מתנצל על האיחור הקט, מכובדי חבר הכנסת יואב קיש וחבר הכנסת אבי דיכטר, ייחדנו את הישיבה היום להיערכות ישראל למתקפת סייבר וחשיבות ההגנה לתשתיות לאומיות. לא צריך להכביר במילים על מילה שלא היתה ידועה עד לפני הרבה זמן, סייבר, כשהיום זה תחום התעניינות והתעסקות ופעילות של רבים וטובים. אנחנו יודעים שתחום הסייבר במרחב הקיברנטי מקיף הכול, מהנושא הביטחוני-הצבאי, הכלכלי, הלאומי, העסקי כמובן, הציבורי וגם הגורם הפרטי, גם בעת חירום גם בזמן רגיל.
הממשלה פעלה בכמה מישורים, ולאחרונה, לפני כמה חודשים, הממשלה הקימה את הרשות הלאומית להגנת הסייבר. נכון, התחום הזה היום לאו דווקא קשור לישראל, אבל כמובן ישראל צריכה ורוצה להיות מובילה בתחום הזה. כל מדינה מתמודדת עם התחום הזה, אבל אני חושב שבישראל כולה כולם צריכים להתמודד, לכולם יש חשש, אנחנו יעד ואסטרטגיה לרבים, גם לפצחנים חובבנים וגם למקצוענים: גם לארגונים, גם למדינות, גם לצבאות. אנחנו כמובן חשופים הכי הרבה, יעד לרבים, כך שאנחנו יודעים שאנחנו צריכים להשקיע הרבה בנושא, אנחנו גם משקיעים.
זה לא סוד שהתחום הזה הוא רחב מאוד, לא הכול גלוי. אנחנו צריכים להתמקד וחובתנו גם להתמקד בדברים שחובתנו לפקח עליהם ואנחנו צריכים לפקח עליהם, מה שאפשר לדעת. כדי להתחיל בדיון ביקשנו מד"ר אביתר מתניה, ראש מטה הסייבר הלאומי, שיציג לנו את הדברים העיקריים והתחום שהממשלה פועלת בו, התחום שהיא אחראית עליו, התחום שהיא מפקחת עליו, התחום שהיא אולי רק מנחה בו. אני יודע שהנושא הזה לרבים הוא גם עלום – מה מחויבות הממשלה, למה היא אחראית. ויש עוד נושא שרבים שואלים, והוא, מה המידע שיש לממשלה, כמה הוא נצור וכמה אנחנו יכולים לשתף, או שאנחנו מניחים לכל הגורמים, כל אחד בתחומו, להתמודד לבד.
אני מבקש ממך, ד"ר אביתר, גם להתמקד בנושא מה נקראות תשתיות לאומיות, לפי החוק על מה אתם אחראים ומה הגופים שפועלים בו, גם אם זה לא תחת החוק. ברשותכם, חברים, אני מבקש מאביתר, להציג את הנושא.
אביתר מתניה
¶
בוקר טוב, תודה רבה לך, ברשותך, אני רק אדבר במילה אחת על מטה הסייבר הלאומי. מטה הסייבר הלאומי שאני עומד בראשו הוקם בהתאם להחלטת ממשלה מאוגוסט 2011, הוא הוקם ב-1 בינואר 2012 כגוף המטה לממשלה, המייעץ לממשלת ישראל בעולם הסייבר, כשהוא פועל בשלושה צירים עיקריים: ציר המדיניות – המדיניות הישראלית בתוך הבית ומחוץ לישראל מבחינת הצדדים הבין-לאומיים, הבילטראליים, פורומים וכדומה ובבניית האסטרטגיה הישראלית בתחומים האלה, הנושא של המדיניות; הנושא השני זה קידום מחקר ופיתוח, על מנת לפתח כאן טכנולוגיות שיאפשרו לנו בטווח של מספר שנים להיות מוגנים ברמה מהגבוהות שאפשר לראות בעולם אם לא יותר משאר העולם; לבסוף, הציר השלישי זה ציר בניית העוצמה של ישראל כאחת המובילות בעולם בתחום הסייבר, בנייה של אקו-סיסטם של תעשייה, אקדמיה והון אנושי, שיאפשרו לנו עוצמות טכנולוגיות, תשתיות, תעשיית יצוא משגשגת, שיתרמו גם לביטחון שלנו לכלל הצרכים וגם לכלכלה. זה מטה הסייבר.
ב-15 בפברואר השנה, 2015, הממשלה קיבלה עוד שתי החלטות בנוגע להקמת רשות לאומית להגנת הסייבר, וכן בנוגע לכל הנדרש על מנת לבנות את החוסן של מדינת ישראל בסייבר, וזה אני אפרט בהתאם לבקשתך ואנסה גם לענות לשאלותיך המדויקות.
ראשית, אני אקדים במילה אחת. אני מניח שכולם כבר שמעו רבות על האיום. אנחנו נמצאים היום ולא לפני חמש שנים, אני רק אגיד שבמהלך שלוש, ארבע, חמש השנים האחרונות, אנחנו רואים את זה מיום ליום, ביתר שאת, איום הסייבר גדל, והוא גדל בשני כיוונים, גם ברוחב היריעה שלו, הוא מקיף יותר ויותר מרחבים, יותר ויותר סוגים של חברות וסקטורים בעולם, וגם בתחכום של התקיפות אנחנו רואים קבוצות של האקרים, קבוצות של פשע מאורגן, של טרור ואחרים, שמסגלים לעצמם יכולות ותחכום הולך וגובר בעולם הזה. המתקפות שידענו לפני שנתיים או שלוש הן פשוטות יחסית למה שאנחנו מכירים היום, והדברים רק ילכו ויתגברו, כך שאנחנו מדברים בעצם על כך שאיום הסייבר נמצא הן בעולם הפשיעה, הן בעולם הטרור.
אנחנו רואים את זה, ובבוא היום זה יהיה מה שנקרא, חלק מזירת המלחמה הבין מדינתית. כבר היום זה מתחיל להיות שם. האיום הזה הוא גם איום של קבוצות האקרים בודדות, האיום הזה הוא גם איום כשאנחנו ניכנס למה שנקרא, ה-"Internet of things", כל הבתים, המקררים, המזגנים וכדומה שמחוברים לאינטרנט, שזה רק ילך ויגדל ויתחילו גם מוטציות וטעויות מעצם פיתוחים לא נכונים שיתקיפו ויתקפו. אנחנו בעצם נמצאים בפני שדה שהולך וגדל.
יש הערכה שמספר הדומיינים שקיים היום בעולם יגדל פי מאה בימים של ה-Internet of things, כך שזה מה שצפוי לנו, וזה עולם שיש בו הרבה מאוד תועלות ודברים חיוביים, אבל צריך לראות איך בונים את ההגנה כנדרש, וכאן בדיוק נכנסת המדינות של מדינת ישראל.
האסטרטגיה שפותחה במדינת ישראל – ואני חושב שהיא אחת המובילות בעולם, פותחה לאורך שנתיים ונעשתה עם כלל הגופים במדינת ישראל, וגם מהלימוד של מה עושים בעולם, אני חושב שהיא היום מובילה – בנויה על שלושה צירים או שלושה עמודי תווך מרכזיים.
הראשון הוא כל מה שקשור בצד האופרטיבי של הגנה במקרה שבו יש תקיפות משמעותיות שיכולות לפגוע באינטרסים לאומיים בעולם הביטחון הלאומי. זה ציר שלם שבו יש עבודה מסונכרנת בין גופי הביטחון. ולאחרונה, להשלמת התמונה, כמו שציינתי, ב-15 בפברואר הממשלה החליטה על הקמת רשות לאומית להגנת הסייבר, שהיא יחד עם גופי הביטחון, השב"כ וצה"ל בראשם, יבנו את כל מה שנדרש על בסיס מה שכבר קיים, וקיימים דברים די טובים בעולם ליכולת להתמודד, לסכל, למנוע ולהתאושש מתקיפות משמעותיות ברמה הלאומית. זה ציר אחד.
הציר השני, ואני אשים אותו בצד, אני חושב שלוועדה הזאת, עד כמה שאני מבין ממה שדיברנו לפני, הוא החלק הפחות מעניין כרגע, אבל אפשר להרחיב בו. הציר השני, ואני חושב שהוא ציר מאוד-מאוד משמעותי, הוא אותו ציר של בניית החוסן הלאומי של מדינת ישראל בסייבר. מדוע הוא נדרש? אי-אפשר בתחום הזה רק לחכות שדברים יגיעו ולהתמודד אתם כשהם מגיעים, צריך לבנות, מה שנקרא, משק שלם שהוא חסין ככל האפשר למתקפות, שהוא יכול להתגבר על רוב הדברים בעצם זה שיש לו הגנות טובות, זיהוי של מתקפות בתחילת דרכן, היכולת להעביר מידע. יש כללים בעולם איך עושים את זה, איך בונים חוסן. הדמיון צריך להיות לגוף האדם. ככל שגוף האדם חסין יותר מפני הרבה מאוד מחלות שנמצאות בחוץ ובפנים הגוף, ככה צריך פחות ופחות לטפל בו כשקורים דברים משמעותיים. המטרה בבניית חוסן לאומי היא להגיע למצב שבו כלל הארגונים במשק נמצאים במצב שבו רוב הזמן הם מסוגלים להתמודד בזכות ההגנה שיש להם, בזכות העברת מידע מהירה כשיש תקיפות, בזכות הרבה מאוד דברים אחרים, ושוב אפשר לפרט אותם. רוב הזמן הם נמצאים במצב שבו לא באמת יש פגיעה ביכולת התפקודית שלהם, בהמשכיות התפקודית, והפגיעה היא מינימלית ככל הניתן, אבל כולם יודעים שאין הגנה טוטלית, ויש דברים משמעותיים, ואז, ככל שיש פחות כאלה, הרמה הלאומית מסוגלת לבוא ולהתמודד, כמו שציינתי קודם, אותה רשות לאומית יכולה להתמודד עם המתקפות המאוד משמעותיות כשקורות כשהן פחותות ככל הניתן.
אני רוצה להגיד משהו לגבי ציר החוסן הזה, ושאלת גם לגבי מקומה של הממשלה ומקומן של החברות, ואני רוצה לצטט מספר מעגלים בציר החוסן. השאלה המרכזית שעומדת בפני כלל מדינות העולם ועמדה לפנינו היא איפה נחלקת האחריות בין מה שנקרא, "הארגון", "החברה", לבין הגופים הלאומיים. לכולנו ברור שלא ניתן ולא אפשרי, וזה ממש לא הגיוני שהממשלה תיכנס לתוך הרשתות ולתוך המחשבים של ארגון, משום שבסופו של דבר זה ליבת העשייה שלו. מי שאחראי עליהם, מי שצריך אותם, מי שאחראי על התפעול שלהם, על התפקוד שלהם ועל מה שנעשה שם זה מנהלי החברה, וגם על האבטחה וההגנה שלהם. אף אחד לא יכול לקחת ולא רצוי לקחת את האחריות לבנות מערכות שלמות, בין אם אלה מערכות תפעוליות, בין אם אלה מערכות תוכנה אחרות – לא יכול ואי-אפשר לקחת אותן מהחברות.
קחו לדוגמה את סוני, התקיפה המפורסמת שהיתה על סוני או תקיפות אחרות, יש אחריות לאנשי אבטחת המידע של סוני, יש אחריות למנהלים של סוני, וכך לכל חברה, שכאשר הם בונים מערכות הן יהיו מוגנות כנדרש, לקנות את הטכנולוגיות הכי מתקדמות של אבטחת מידע, לקיים הליכים מסודרים – זאת האחריות של החברה, ואנחנו לא רוצים במדינה דמוקרטית שהממשלה תיקח את האחריות הזאת. א', היא לא מסוגלת, בגלל שהיא לא מסוגלת עכשיו לטפל בכל חברה, ב', זה דבר ממש לא נכון שהממשלה תכיר את כל מה שקורה בחברות, יש כאן פרטיות, סודיות עסקית, דמוקרטיה וכדומה. אנחנו רוצים לשמור את האחריות הזאת לחברות.
מצד שני, וזו בעיה אמיתית, אנחנו מבינים שאותו מנהל של סוני לא יכול להתמודד לבדו עם תקיפה אולי שבאה למשל מצפון קוריאה. זאת אומרת, יש גבול למה שניתן לצפות מחברה לעשות. מדוע? א', משום שאנחנו לא מוכנים שלחברה יהיו היכולות של הריבון לתקוף חזרה, לאסוף מידע, להתגונן; ב', משום שבסופו של דבר יש גבול ליכולת של חברה, אין לה את המגנים הכי טובים שיש במדינה, האנליסטים הכי טובים, לא נוכל לתת לכל חברה, אין מספיק כוח-אדם בשביל לאפשר לכל החברות את היכולת הזאת, ולכן אנחנו מבינים שיש גם צורך שהמדינה תתערב.
המקום הזה, הבידול הזה, הקו שם, היכן נגמרת אחריות החברה ומתחילה אחריות המדינה היא קו שהיה צריך לשרטט בצורה מאוד ברורה ובכל העולם מתמודדים אתו.
הקו הזה במדינת ישראל שורטט בצורה הבאה, והנה אני מגיע לאותו רכיב החוסן. ראשית, האחריות למה שקורה בחברות היא שלהן באופן טוטלי, הן אחראיות על המערכות שלהן. המדינה פועלת בשלושה צירים: האחד, בציר של רגולציה, כל מה שקשור במה שנדרשת איזה חברה לעשות, איך היא אמורה להתמודד עם זה, וזאת דרך הרגולטורים הקיימים, השני בציר של – זה ציר מאוד מיוחד, שלא קיים בתחומים אחרים – סיוע, הדרכה, מידע, עזרה, שיתוף מידע על תקיפות, כל מה ששאלת לגבי מידע שיש בממשלה ובמקומות אחרים, באמצעות גוף שנקרא "CERT לאומי", CERT זה ראשי תיבות של Cyber Events Readiness Team, זה גוף שמקימים בכל מדינות העולם כגוף לאומי, ובמדינות אירופה גם מחייבים את המדינה להקים. אנחנו דומים בזה לאיחוד האירופי.
דרך אגב, ה-CERT הלאומי הזה לא בא במקום הרבה מאוד ידע שיש בקבוצות מתנדבים שעובדות בתחומים האלה, חברות אבטחה שעושות את הדברים הללו בשוק. אלה דברים מאוד-מאוד חשובים, אבל מעליהם יש את ה-CERT הלאומי שיכול להביא משאבים לאומיים, להיות מחובר לגופים דומים בעולם ולעזור או לסייע בהדרכה, בהתאוששות, בדברים שהם משמעותיים, וכן גם בכל מה שקשור בהעברת מידע בין חברות, על מנת להיות מוגנים ככל האפשר.
היו"ר אורי מקלב
¶
יצא לכם להעביר מידע שלכם כהתראה או מידע לחברות פרטיות על פעילות שאמורה להיות אצלם? האם יש פעילות כזאת היום?
אביתר מתניה
¶
כן, זה אחד הדברים החשובים ביותר שקיימים. כשיטה, ברגע שאתה יודע על תקיפה במקום אחר, אם שאר החברות במשק יכולות להתחסן ולדעת את הפרמטרים הטכניים של זה, אתה יכול לבודד תקיפות, ולכן יש חשיבות גדולה מאוד, מה שנקרא "העברת מידע". information sharing זה אחד הדברים היסודיים בהגנת סייבר בעולם, והוא נעשה במספר מישורים. קודם כול, בין אנשים שפועלים באותו סקטור, מאבטחי מידע שמכירים אחד את השני ומעבירים את המידע. הוא נעשה על-ידי קבוצות של מתנדבים, מאבטחי מידע מכל מיני סקטורים שעובדים ביחד, יש כאלה גם בארץ. הוא נעשה דרך חברות אבטחת המידע שמעבירות. ה-CERT הלאומי הוא מביא עוד חלק מזה בכך שהוא מביא מידע ממשלתי שאנחנו יודעים להגיע אליו, שיותר קשה להגיע אליו, וחברות פרטיות לא תמיד מגיעות, בזה שהוא מחובר לגופים מקבילים בעולם. למשל מחובר לחדר המצב האמריקני, מחובר ל-CERT של ארצות-הברית, מחובר לכל מיני מקורות שיודעים להעביר אלינו מידע, כי אותה תקיפה שמתבצעת שם יכולה מחר להתבצע אצלנו. אותה תקיפה מאוד מתוחכמת על בנק, אם נבין אותה ונדע להתגונן, לא תוכל להיות אצלנו, וכמובן הפוך.
אז יש רמות שונות, אבל הנושא הזה – אתה שאלת ואני עונה – הנושא של העברת מידע הוא קריטי, ואנחנו בונים היום מנגנונים, כבר היום. זה שנה פועל ה-CERT הלאומי, ואנחנו, מה שנקרא מגדילים ומגדילים את מספר החברות שמחוברות אליו, מגדילים את מקורות המידע שאנחנו יכולים להגיע אליהם, וכל זה מבלי להחליף, אלא להיפך, תוך כדי עידוד גם חברות אבטחה וגם גופים פרטיים ומתנדבים אחרים לעשות מה שניתן, אבל אנחנו חייבים להביא לתוכו משאבים לאומיים וגם ידע ממשלתי, ככל שאפשר, כדי להלבין אותו ולהעביר אותו לחברות. זה נושא חשוב מאוד.
היו"ר אורי מקלב
¶
בתחום שגלוי, מה אתה כן יכול להגיד לנו? לפי החלטות הממשלה או לפי חוק, על מה אנחנו כן אחראים? לא מה שקשור לתחום הצבאי הביטחוני והממשלתי, אלא בתחום הפרטי, במתקנים לאומיים, מה שאתם מגדירים, או סתם מתקנים, חברות פרטיות, שנמצאות תחת אחריות בחוק.
אביתר מתניה
¶
מה שקיים כרגע זו אותה החלטת ממשלה לגבי החוסן הלאומי מה-15 בפברואר – ציינתי שיש שתי החלטות – והיא שרטטה מספר מעגלים. אני אתחיל בראשונה, בהתאם למה שדיברתי על העברת המידע. קודם כול, הקמת ה-CERT הלאומי כגוף שמסייע בהעברת מידע, בהתאוששות, בכל הדברים האלה, ואנחנו הקמנו אותו, הוא בפעילות והוא הולך וגדל והוא יאפשר לעשות את זה ברמה הלאומית.
החלטה שנייה זה כל עולם הרגולציה. לפני הרגולציה זה הקמת כמה יחידות מאוד משמעותיות במגזר הממשלתי, שהן חלק מהבנייה הזאת של מי מנחה את מי. הראשונה זו יחידה בשם יה"ב – יחידת הגנה בסייבר – שהיא חלק מהרשות לתקשוב הממשלתית, שהיא אחראית, החל מה-15 בפברואר, תוך כדי הקמה כמובן, על כלל ההנחיה לכלל הממשלה. פעם ראשונה שיש דבר כזה לגבי הגנה בסייבר. יושב פה גם ראש החטיבה בתחום הזה, גדעון קונפינו.
דבר שני שקרה, וזה קרה עוד לפני החלטת הממשלה, זה הקמת יחידת הסייבר בלהב 433, במשטרה, שבעצם מטפלת בפשיעה.
הדבר הבא שהוא חלק ממעגל הרגולציה הוא הקמת יחידות אצל כל אחד מהרגולטורים, שיהיו אחראיות, יחידות הגנה בסייבר אצל כל רגולטור שאחראי במשק. אני אביא דוגמה. למשל יושב פה נציג של משרד האנרגיה, ומשרד האנרגיה הוא הממונה או הרגולטור של הביטחון בתחום הזה.
אנחנו עכשיו, בהתאם להחלטת הממשלה, סיימנו מיפוי של כלל הרגולטורים במשק, שכל אחד מהם אמור להקים יחידה, יחידה של הגנה בסייבר – יושב פה לדוגמה משרד האנרגיה – שהיא אחראית על כל הרגולציה של הסקטור הזה. אנרגיה, אותו דבר בתחום הפיננסי, אותו דבר יהיה בתחום הבריאות וכך הלאה. סיימנו מיפוי גדול מאוד, בהתאם להחלטת ממשלה, של איזה גודל יחידה צריך להקים באיזה מקום, על מה כל אחד אחראי, עשינו סדר, ואו-טו-טו אנחנו אמורים לסכם את הדברים הללו, ואנחנו מתחילים בהקמת היחידות. כל היחידות הללו, כולן, יונחו ויקבלו מידע וידע מיחידת-על שאנחנו מקימים באותה רשות חדשה, שהיא תצבור ידע על איך בונים רגולציה בעולם הזה, היא זאת שתסביר איך לבנות את ההנחיות, היא זאת שתטפל בדברים ברמה הלאומית ותדחוף את זה לתוך אותם רגולטורים שישתמשו בחוקים שיש להם, בין אם רישיונות ובין אם שיטות אחרות, על מנת ליישם את זה בכלל המשק.
היו"ר אורי מקלב
¶
אחריות, אבל על מי האחריות? אנחנו, כוועדה שמפקחת – הכנסת מפקחת – האחריות על מי? על אותן יחידות בכל - - -
אביתר מתניה
¶
גורם מכוון ומנחה. אני אסביר למה הכוונה.
היתה התלבטות האם להקים רגולטור חדש לכלל המשק בעולם הגנת הסייבר או להשתמש ברגולטורים קיימים. ההחלטה היתה להשתמש ברגולטורים קיימים משתי סיבות: האחת, מאוד לא בריא למשק מבחינה כלכלית שיש עוד רגולטור, הוא חוצה את כולם ויש עוד הוראות, והשנייה, משום שההתמחות היא שונה. ההתמחות בעולם האנרגיה שונה מההתמחות בעולם הפיננסי, שונה מההתמחות בעולם הבריאות. לכן בכל אחד אתה מקים יחידה שמצד אחד תקבל את הידע וההנחיה מהרשות הלאומית, מצד שני תבין בתחום הזה, אנרגיה או בריאות, והיא זאת שתהיה אחראית לבנות את הרגולציה הספציפית של המגזר, שהיא שונה בבנקים, בבריאות, באנרגיה או בתחבורה, בכל מקום.
מה שהרשות הלאומית הולכת לעשות היא אמורה לבנות את הידע, את היכולות ולהנחות את הרגולטורים האלה בעבודתם, שיעשו נכון את העבודה בהגנה בסייבר. הם יהיו אחראים על הסקטור שלהם, איזה רגולציה נדרשת. זה רק עולם הרגולציה.
אביתר מתניה
¶
הוא גורם מנחה. לרגולטור יש גם עצמאות חוקית למה שהוא אמור לעשות. לדוגמה, יושב פה נציג הרגולציה של האנרגיה, כמו שהוא אחראי על היבטי ביטחון של כלל החברות שהוא מפקח עליהן, הוא גם יהיה אחראי על היבטי הביטחון בסייבר ואותו דבר גם הרגולטור בעולם התחבורה, שאחראי על תחבורה יבשתית, אווירית ועל כלל הדברים הללו. הסייבר הוא חלק מזה. הוא חייב לראות את התמונה השלמה. אנחנו בונים לו יחידה ספציפית שהוא יוכל לבנות את הידע אתה ומביאים את הידע הזה ומנחים, אבל אי-אפשר לקחת ממנו את התמונה השלמה שעליה הוא אחראי. הסייבר לא נפרד משאר היבטי הביטחון במקרה של הרגולציה הספציפית הזאת. לממשלה, שלא היה גוף כזה, הקמנו את היחידה הייעודית בעולם הממשלתי, שהיא תהיה הרגולטור של כלל הממשלה.
התמונה שתהיה זה גוף ברשות הלאומית, שהוא בונה ידע, מפתח יכולות ומנחה את כלל הרגולטורים החדשים הללו בעבודתם, ואת היחידות הללו אנחנו עכשיו מקימים. זה מעגל הרגולציה.
במקביל, עושים עוד מעגל, אני חושב שהוא לא פחות חשוב, נקרא לזה "מעגל השוק", וזה לעשות סדר בכל מה שקשור בתקינה, במקצועות, בשירותים שניתנים בתחום הזה. אני אביא דוגמה רק מעולם המקצועות, שאנחנו מטפלים בו עכשיו.
מהם המקצועות שצריכים להיות בעולם הגנת הסייבר? איך אתה יודע אם אדם א' או אדם ב', שמציגים את עצמם בתור כאלה שיכולים לעזור בתחום או מבינים, האם באמת הם מומחים? האם הוא חשמלאי מומחה או אחד שעבד בילדותו בחשמל ואומר לך שהוא יכול? כל התחום הזה הוא היום תחום שמבחינת השוק יש בו כשל שוק, הקמנו ועדה ציבורית שהסכימה שיש שם כשל שוק ונתנה מבוא לאיזה מקצועות צריך להקים במשק בתחום הזה. זה למשל מעגל שלם שאנחנו הולכים לקדם, של מקצועות – מה יהיו המקצועות בשוק, איך יהיה עולם הרישוי שלהם, כיצד נעלה את רמת ההגנה של כלל המשק בזכות זה שהאנשים נדרשים להסמכה, לתעודה, ללימודים מסוימים, זה מעגל נוסף.
היו"ר אורי מקלב
¶
אלה יהיו אנשים מוסמכים ומקצועיים כדי לתת את השירות לחברות שמחויבות לו או שצריכות לו?
אביתר מתניה
¶
בדיוק כך. יהיו חמישה מקצועות, יהיה תהליך שלם של הסמכה ומבחנים וכדומה, והרגולטור יגיד לחברות: אתם חייבים לעשות X, Y, Z, רק אנשי מקצוע יוכלו לעשות את זה. כמובן נתחיל בהתחלה מחיוב הממשלה. יש דור מדבר, עד שנעשה את זה, ייקחו כמה שנים.
האביתר מתניה
¶
הרשות תהיה אחראית על זה.
כמו שאני אומר, יש מעגל שאני קורא לו "מעגל המשק, המגזרים", יש מעגל השוק שמספק את אנשי המקצוע, למשל גם תקנים. סיימנו עכשיו עבודה מאוד גדולה של אימוץ תקנים בין-לאומים בתחום הזה. אנחנו צריכים עוד כמה תקנים שחסרים. ואותם תקנים בין-לאומיים, גם הם, חלקם יהפכו למחייבים וחלקם לא מחייבים במדינת ישראל. יש פה פעולה בשני מעגלים או בשתי זרועות: המשק והשוק. השוק מבחינתי זה בעלי המקצוע התקנים וכדומה.
אני רוצה להדגיש עוד נושא אחד שהוא חשוב בעיני, והוא מעגל ההובלה הממשלתית. אחד הדברים שנקבעו בהחלטת הממשלה, ואני חושב שהוא חשוב ביותר, שהממשלה חייבת לתת דוגמה בעבודתה בתחום הזה. לא ייתכן לדרוש דברים מהמשק האזרחי בלי שהממשלה מובילה ונותנת דוגמה, ולכן גם הוקמה היחידה בממשלה, ולכן נקבע שבכל משרד ממשלתי יהיה ממונה שהוא בכיר, כפוף ישירות למנכ"ל, על כלל תחום הסייבר במשרד, ואותו ממונה יהיה חלק מוועדת היגוי ממשלתית, שאחראי על סיכוני הסייבר, על התקציבים לסייבר – תוכנית העבודה בתחום הזה. וכן נקבע שהחל מתקציב 2016 כל משרד ממשלתי וכל סוכנות ממשלתית חייבים להקצות 8% מתקציב ה-IT שלהם לטובת הגנה בסייבר.
היום בעולם – זה נעשה אחרי מחקר – אי-אפשר לבנות מערכות IT ולתחזק אותן, בלי שמטפלים בהגנה. ה-8% האלה, אחרי מחקר גדול שעשינו - - -
היו"ר אורי מקלב
¶
אנחנו קצת צפופים בזמן ובכל אופן שאלה. אולי אתה כן יכול לספר לנו כוועדה עם מה מתמודדים, מה שכן מותר לספר. תביא דוגמה של התמודדות שלנו בתחום מסוים, שהצלחנו להתמודד, על-ידי ממשלות, על-ידי גופים, על-ידי פצחנים. מה אתה יכול לספר בעניין הזה? אני מתקיל אותך?
היו"ר אורי מקלב
¶
הציבור צמא לדעת, רוצה לדעת, אולי גם זכותו לדעת. בכל אופן אנחנו ועדה ציבורית, ועדה של הכנסת, אנחנו מאוד-מאוד נוצרים את כל הנושא הזה, אנחנו שומעים עליו באופן חסוי, השאלה אם זה לא יותר מדי. אולי בסופו של דבר יתברר לנו שלא היינו גורם מפקח שלא היה לנו גורם שקיבל את המידע. בסך הכול גם גדולים מאתנו – טובים אני לא אומר – כמו ארצות-הברית, רק בתקופה האחרונה, תראה איזה שטף וצונאמי של מתקפות, לא משנה עכשיו אם זה סייבר בדיוק או לא סייבר, אם זו מתקפה או לא מתקפה, אבל תקלות ודאי שהיו בקנה מידה רציני מאוד, בין אם פריצה למאגר של 12 מיליון עובדים, שיתוק של חברות תעופה, כל המחלקות הקונסולריות של ארצות-הברית בכל העולם היו סגורות, שבועיים לא הנפיקו ויזות, ועוד דברים כאלה, ולא מניתי את כולם. הבורסה שהותקפה והפסיקה בפעילות שלה. יש דברים כאלה. השאלה האם ישראל גם היתה צריכה להתמודד עם דבר כזה והצליחה להתמודד עם דברים כאלה? איפה אנחנו עומדים?
עוד מילה אחת, ובזה אני מסיים את מה שאני מבקש ממך. בכל אופן, לאזרח הקטן, לעסק הקטן, איזה מילה יש לך להגיד לו? איך הוא צריך לפעול? יש אנשים שחלק גדול מהדברים האלה עלומים מבחינתם, הם לא יודעים. הם שומעים, הם קוראים, הם תוהים, אולי הם מודאגים, אבל הם לא יודעים מה עליהם לעשות.
היום בישראל גם גוף וולונטרי הותקף, וקיבלתי פניות מגופים וולונטריים, עמותות וולונטריות שמתעסקות עם עזרה לציבור, הם מותקפים והם צריכים להגן על עצמם, והם לא יודעים עד איפה. יש להם מאגרי מידע כאלה ואחרים שאם הם יתפרסמו, זה באמת דברים שהצנעה יפה להם. הצנעה מחייבת אותם בתחום הרווחה ועוד. קודם כול, מה הם חייבים? ומה אתה מציע להם לעשות?
לפני שאני אתן לך לענות, אני מקדם בברכה קבוצה של 25 מהנדסים ממכון התקנים. תודה רבה, שיהיה לכם יום מהנה בכנסת. בבקשה, אביתר, ואנחנו חייבים להתכנס, יש כאן הרבה שביקשו את רשות הדיבור.
אביתר מתניה
¶
דבר אחד, כשאתה שואל אותי מה המסר לאזרח או לעסק הקטן ולאו דווקא החברות הגדולות, אני אגיד את הדבר הבא: אני חושב שכאשר הם נתקלים בדברים או צריכים מידע או שיש להם בעיה, יש בגדול מספר גופים במדינת ישראל שהם יכולים לפנות אליהם. א', הם יכולים לפנות לחברות אבטחה, חברות ייעוץ, גופים וולונטריים, וזה לא באחריות הממשלה, לאיגוד האינטרנט שמקיים קו חם לאזרחים, שהוא מוצלח מאוד ועוזר להם כשיש להם שאלות, כשיש בעיות, גם בימים של מתקפות וגם בכלל.
מבחינת המדינה יש שני גופים ראשיים: האחד זה המשטרה. כשמישהו חושב שנעשה נגדו פשע, קודם כול, שילך וידווח למשטרה. יש יחידת סייבר, המשטרה יודעת לטפל ויודעת לעבוד עם הרמות הלאומיות. נמצאים פה גם נציגים שלה. אני חושב שזה אחד הדברים הטובים שקרו במהלך השנתיים האחרונות.
השני זה אותו CERT לאומי. כל חברה, עסק קטן או אזרח יכולים לפנות ל-CERT הלאומי, ובתוך אתר ה-CERT יש גם מידע רב מהאזרח ועד העסק הקטן ועד חברות גדולות ומנהלים בשאלות מה נכון לעשות, איך נכון לעשות, כיצד להתמודד, best practices בתחום הזה וכדומה. וכשיש דברים או כשקורים דברים, ה-CERT הלאומי יכול לעזור. אנחנו מרחיבים את יכולותיו על מנת שהוא יוכל לעזור לכלל המשק. זה בבנייה, ולא ביום אחד. יש כבר כמה מאות חברות שעובדות מולו ואפשר יותר. זה מעבר ליועצי אבטחת מידע, חברות, גופים וולונטריים מצוינים שקיימים בתחום הזה ואיגוד האינטרנט. מעבר לזה המדינה, כדי שיהיה גוף אחד שיודע בסוף לכוון את אותו אזרח או עסק ויודע להתמודד אתו, בין אם אחרי זה להפנות אותו למשטרה, בין אם לסייע לו, בין אם להגיד לו לפנות לכאן או לשם, קיים ה-CERT הלאומי, וזה המסר בתחום.
יואב קיש
¶
שלום, בוקר טוב. ברור לי שעיקר המשימה שלכם זה כנראה סייבר הגנתי, זאת אומרת, בנושאים ההתקפיים יש אולי גופים אחרים בצבא או במקומות כאלה שמטפלים בזה. אחד הדברים שלי נאמרו לפחות על-ידי מומחים – אולי אני טועה, אז תתקן אותי – זה שכדי לדעת לעשות סייבר הגנתי טוב, אתה צריך לפחות גם להיות חשוף לעולם ההתקפי, כי אחרת אתה יכול להיות בבועה שלך ולא להבין מה קורה מסביב.
קודם כול, הייתי שמח לשמוע – למרות שעוד פעם אני חוזר, אני מבין שהפוקוס שלך הוא הגנתי – איך אתם מתחככים בעולם ההתקפי, אם בכלל, בשביל לשפר את היכולות ההגנתיות שלכם. זו שאלה אחת.
שאלה שנייה שהיא מאוד מטרידה אותי בהקשר אחר, אבל הייתי שמח לשמוע התייחסות שלך, וזה לא חייב להיות בשביל לנטרל קצת את החום שלה. אם מדינה אחרת היתה עושה מאגר זהויות שהיה מאוד אטרקטיבי למדינות אחרות והיה משמש מעין מטרה, מה ההערכה שלך שאותו מאגר עם ההגנה הכי טובה שאפשר לתת לו – האם יש סיכוי שייפרץ או לא? ראינו את זה אומנם בארצות-הברית, אבל אולי שם לא היו כל-כך ערניים, אני לא יודע, אני אשמח לשמוע. בעיקרון, אפילו אולי זו שאלה תיאורטית, האם יש אפשרות לארגן מאגר שלעולם לא ייפרץ או שזה לא ממש אפשרי? תודה.
אביתר מתניה
¶
יש הבדל בין דיסציפלינות הגנתיות לדיסציפלינות התקפיות. יש הבדל. אני אסביר בפשטות, זה לא כמו מטוס שהוא גם תוקף וגם מגן בקרבות אוויר. יש הבדל. תיקח מחר אדם שלמד להיות מתקיף מעולה, ושים אותו להיות אחראי על אבטחת מידע של בנק, אין לו המיומנויות הנדרשות. אלה שני דברים מאוד שונים.
אביתר מתניה
¶
אני אגיד בדיוק איפה היא צריכה להיות, כי אתה צודק שצריכה להיות. תביט על זה קצת כמו בלון, שהמגן חייב כל הזמן לשמור על הבלון, והמתקיף רק צריך למצוא לבוא עם סיכה ולמצוא את החור הקטן. זה באמת מיומנויות מסוג שונה, ואלה לא מסוגלים מחר בבוקר להחליף את אלה, ואלה לא מסוגלים את אלה, אלא אחרי לימוד מעמיק.
איפה צריך חיבור? לא יכול להיות שמתקיף מיומן לא יבין איך מגנים ואיך עובדים הדברים האלה, אחרת הוא לא יוכל להתקיף כמו שצריך. הפוך אותו דבר. גם מגן טוב, אם הוא לא מבין איך פועלים ההאקרים, איך פועלים מתקיפים, הוא לא ידע איך לבנות את אוגדותיו כראוי ואיזה מערכות לפתח. לכן אני אומר: הדיסציפלינות שונות, אבל במעלה ההר נדרש שיהיה קשר בין שני הדברים. איפה מתקיימים הקשרים האלה בדרך כלל? א', בעולם הטכנולוגי, באותן מערכות שמפתחות טכנולוגיה על מנת להגן, מי שמפתח אותן זה כאלה שבסופו של דבר מיומנים בדברים האלה, ולכן יודעים לקשר. אתה לא מפתח מערכת הגנה בלי שאתה מבין איך הדברים האלה קורים.
ב', בסופו של דבר, וציינתי את זה, הפוקוס שלנו הוא באמת לאומי, בניית כלל היכולות של המשק, תשתיות מדעיות, טכנולוגיות, מו"פ הגנתי ובניית מה שנקרא "ההישג ההגנתי". אבל לא סתם ציינתי שיש מעגל שלם של הרשות הלאומית שאנחנו אמורים להקים ביחד עם גופי הביטחון, ששם מתרחש גם בסופו של דבר הקשר הנדרש על מנת שההגנה תיבנה לא בתוך בועה, אלא ככזאת שמבינה מה נדרש לקרות.
אביתר מתניה
¶
בסופו של דבר, בגופים הלאומיים יודעים לחבר את הדברים על מנת שלא נהיה בריק. אתה צודק, לא יכול להיות שאתה בונה הגנה בריק מבלי שאתה מבין איך האקרים עובדים או איך עובדות מתקפות.
אתה יכול לראות גם אצל חברות אבטחה מובילות בעולם וגם אצל גופי הגנה אחרים, יש להם את אלה שמתחקים אחרי הדברים האלה ויודעים היטב איזה טכנולוגיות מפותחות בעולם הזה, היכן החולשות, מה קורה. אלה דברים שצריכים להיות כמובן חלק מבניית הגנה נכונה.
אביתר מתניה
¶
הנושא של הגנה על מאגרים הוא דבר לא טריוויאלי ועל מנת להגן עליהם כנדרש, נדרשת מעטפת שלמה של הגנה, וככל שהמאגר יותר גדול או יותר מעניין תוקפים היא צריכה להיות יותר משמעותית, עם הרבה מאוד אמצעים טכנולוגיים, עם תפעול נדרש, על מנת להגיע למקום שבו אתה מסוגל להגן על הדברים כנדרש, או גם כאשר דברים נפרצים שלא ייפגע לך כל מה שקיים.
דרך אגב, בנושא הזה, בסופו של דבר, במעלה הדרך, אין הבדל בין מאגר לבין ההולכה של החשמל במדינת ישראל או תשתית המים במדינת ישראל או דברים אחרים. לכל אחד מהם אתה חייב לעשות מעטפת כזאת שאתה מסוגל להגן עליה בהתאם לאיומים ולשים גם גופים תפעוליים וגם טכנולוגיים בהתאם לחשיבות שלהם, על מנת שתוכל להגן, וגם כשהם נפגעים, כי אין דבר שלא נפגע. זה יהיה המינימום הנדרש.
אני אזכיר לך – אולי לא ציינתי בהתחלה, והייתי צריך לציין – שבשנת 2002 מדינת ישראל היתה הראשונה בעולם שהבינה שנדרשת הגנה על תשתיות קריטיות מפני "תקיפת מחשבים", אז קראו לזה, "תקיפה בסייבר", והקימה גוף מוצלח וייחודי במסגרת שירות הביטחון הכללי, שאחראי על ההנחיה, ועל הרגולציה ועל העבודה מול החברות האלו, שנקראות "תשתיות קריטיות", על מנת להגן עליהן ברמה יותר גבוהה ממה שהיה נהוג בשאר העולם. יש מספר עשרות כאלה במדינת ישראל, יש ועדה ממשלתית שלמה שאני עומד בראשה, שמחליטה על-פי מיפוי שעושה השב"כ, מי ראוי שיהיה תשתית קריטית, זה עובר לכנסת, ובכנסת מחליטים על זה. זו דוגמה. התשתיות הקריטיות הן כאלה שבהן אתה שם את מקסימום המשאבים הלאומיים בשביל להגן עליהן, בגלל שאתה חרד שיקרה שם משהו.
יואב קיש
¶
מה שאמרת בין דבריך שאי-אפשר להבטיח אפס סכנה כמו שאי-אפשר להבטיח שישתקו את רשת החשמל או רשת אחרת, וצריך למזער את הנזק. השאלה האם אפשר לייצר מצב שבו אולי חיבורים מינימליים, אני לא יודע, לייצר מצב שאין חשיפה לדבר הזה, שאפשר להגיד שהעסק מוגן?
אביתר מתניה
¶
אתה נכנס פה לנושאים עמוקים טכנולוגית, אבל שיטות ההגנה בין השאר בנויות על בידול בין מערכות, קשרים מינימליים, קשרים חד-כיווניים, אמצעים של זיהוי ברגע שמשהו לא בסדר קורה ולעצור את זה בזמן, אמצעים שלא מאפשרים למידע לצאת וכך הלאה וכך הלאה. זה עולם שלם שיש בו תורה ויש בו סדר ויודעים לעשות דברים.
היו"ר אורי מקלב
¶
קודם כול, אנחנו רוצים להודות לך. זו החלטה שלך – מכיוון שהדיון הזה משודר, אני מקבל מאזרחים בקשה לשאול האם ישראל בתקופה האחרונה עברה ניסיון למתקפה רבתית והצלחנו למנוע אותה.
אביתר מתניה
¶
אני יכול לענות שישראל כמו כל מדינה בעולם מותקפת כל הזמן, הן על-ידי ארגוני פשיעה, הן על-ידי טרור וגם קבוצות אחרות, ויש עליות ומורדות.
אביתר מתניה
¶
לא, בגלל שמספר התקיפות – מודדים את זה במיליונים – זה פחות מעניין, מעניין מה התקיפות המשמעותיות.
אביתר מתניה
¶
אני אגיד את הדבר הבא: ברמה האיכותית אנחנו רואים שבכל פעם שיש עימות כזה או אחר, זה יכול להיות מבצע צוק איתן או מבצעים קודמים לו או שיש אירועים מיוחדים, יש תמיד עלייה בהתקפות על מדינת ישראל. מבחינה איכותית מדינת ישראל, כפי שאמרתי, הרשויות הקריטיות שלה מוגנות ברמה לא רעה יחסית לשאר העולם. תרשה לי להיות צנוע בדברים האלה, תמיד צריך להיות זהירים ולא יהירים, כולנו בוגרי אירועים אחרים שהיו במדינה, ואנחנו רואים מתקפות ויש גם נזקים בארץ, רואים אתרים שמושמדים, רואים הרבה מאוד דברים. הייתי אומר שהעבודה המשמעותית שנעשית גם על ידינו וגם על-ידי גופים אחרים שיושבים כאן היא לבנות את החוסן של מדינת ישראל, על מנת שבתוך מספר שנים, על-פי החלטות הממשלה, נהיה חסינים ויכולים לעמוד בפני התקפות משמעותיות והרבה יותר רציניות, שיהיו בתוך מספר שנים.
היו"ר אורי מקלב
¶
לעת עתה, תודה רבה אביתר. אנחנו נבקש לשמוע את האלוף במילואים, חבר הכנסת לשעבר, יושב-ראש הוועדה הלאומית למחקר ופיתוח אזרחי ויושב-ראש סוכנות החלל הישראלית וחתן פרס ישראל, פרופ' יצחק בן ישראל. בבקשה. תרשה לי להגיד את הדברים, ואלה חלק מהתארים.
היו"ר אורי מקלב
¶
חבר הכנסת אברהם דיכטר הוא גם יושב-ראש ועדה מיוחדת של ועדת החוץ והביטחון לנושא הסייבר, לכן יש לו ודאי אמירה חשובה פה בוועדה. סיכמנו שאחרי דבריך הוא יתייחס. לא רק כשאלה, אלא התייחסות.
יצחק בן-ישראל
¶
בתור יושב-ראש המועצה הלאומית למו"פ, המולמו"פ, היה לי הכבוד כבר לפני חמש שנים לעבוד בראש צוות שהציע לממשלת ישראל את המדיניות, בתמיכת הממשלה וראש הממשלה במיוחד. אחת התוצאות שלו היתה הקמת מטה הסייבר הלאומי.
אני רוצה להדגיש נקודה שעברה בין השיטין במה שד"ר מתניה אמר ואולי לא היתה כל-כך מודגשת, שהפתרון שראינו לנגד עינינו – יושבים פה כמה חברים בצוות, בקהל – הוא מורכב ממה שקראנו לו "אקו-סיסטם שלם", אין לזה מילה טובה בעברית. זאת אומרת, בניגוד להרבה שטחים אחרים בחיים, שבהם אתה יכול פעם בכמה שנים להביא את כל המומחים, ישבו, יבנו איזה תוכנית חומש, ימליצו המלצות, ואחר-כך נחכה לטקט הבא – בניגוד לעניין הזה קצב ההתפתחות של מה שאנחנו קוראים "סייבר", שזה אומר המחשבים, התקשורת שבין המחשבים – קצב ההתפתחות של הטכנולוגיה הזאת הוא כל-כך מהיר, שכמעט אין סיכוי לעשות את זה רק פעם בכמה שנים, וצריך מערכת חיה שמגיבה באופן כמעט אוטומטי על השינוי באיומים, על השינוי בטכנולוגיות, על השינוי בהלכי הרוח לפעמים של הציבור, כי מדברים בסוגיה שהיא לא רק טכנולוגית כאן, היא אינטר דיסציפלינרית, רב-תחומית במובן הרחב ביותר.
ולכן ההמלצה הראשונה היתה להקים מטה סייבר לאומי בתור גוף שיפקח על זה בזמן אמיתי, אבל זו לא ההמלצה היחידה. ללא שאר האלמנטים, כשזה בעיקר תשתית אוניברסיטאית חזקה, בהרבה תחומים – סייבר זה דבר רב-תחומי. בהרבה תחומים לא היתה בידינו תשתית. בחלק מהתחומים אנחנו מובילים בעולם, בחלקם זה לא היה בידינו – תשתית תעשייתית חזקה, זה דבר חשוב בצורה בלתי רגילה, כי לא בכל פעם שתתגלה בעיה, נלך ונקנה בחוץ איזה פתרון, זה יהיה מאוחר מדי לפעמים. אתה צריך את המערכות האלה מחוברות זו בזו במין מערכת חיה ונושמת, מה שאנחנו קוראים לו "אקו-סיסטם", בשביל לקיים בסוף את ההגנה הזאת, ואביתר נמנע מלזרוק מספרים, כי כמו שהוא אמר, המספרים פחות חשובים, התקיפות האיכותיות יותר חשובות, אבל בתקופות של מתח אנחנו מגיעים למספרים שנמדדים במיליונים ביום.
יצחק בן-ישראל
¶
כל מיני. מדינת ישראל היא אחד הגופים שכל מי שיש לו בעולם טענה נגד ישראל בכלל או אפילו נגד אמריקה, הוא רואה לעצמו חובה לתקוף אותנו. זה יכול להיות קבוצות אידיאולוגיות, זה יכול להיות פושעים, זה יכול להיות כמובן טרוריסטים וזה יכול להיות כמובן המדינות העוינות אותנו, שאפילו היום נמצאות כל יום בכותרות. זה מגיע מכל הכיוונים, והכול מצטבר למדינה די קטנה.
עכשיו אני חוזר למועצה הלאומית למו"פ, לכן אחרי ההקמה ואחרי כל הגופים האלה יש לנו גם ועדה לאומית שבאופן קבוע יושבת ועובדת עם חלק גדול מהגורמים שיושבים כאן, כמובן עם מטה הסייבר הלאומי, שמסתכלת לא על הקיים, לא על מה שצריך לעשות בשנה, שנתיים, חמש השנים הקרובות, כי זה אחריות של המטה, אלא צעד אחד קדימה בגלל הדבר הזה. הוועדה הלאומית למו"פ של סייבר, עומד בראשה ד"ר דני גולד, שמוכר לנו מנושאים אחרים. כל הדבר הזה היה תובנה עיקרית של אותו צוות שבשבילו הוקם המטה.
אחר-כך יש תובנה שנייה, והיא קשורה מאוד להגנה על תשתיות קריטיות, וגם היא נאמרה על-ידי אביתר, אבל אני רוצה רק לתת לה זווית אחרת. למרות שזה חובתו של כל גוף להגן על עצמו, כמו שכל עסק קטן צריך להגן על זה שלא יגנבו לו את הכסף מהקופה, עדיין זה לא מספיק.
בתחום הזה של הסייבר, הדוגמה הכי טובה שאני יכול לתת זה טרור. אחרי האינתיפאדה השנייה, בגלל מתאבדים למיניהם, הגענו למצב שאפילו כמעט עד היום, כשזה כבר כמעט 13 שנה, משהו כזה, או 12 שנה מסיומה של האינתיפאדה, הגענו למצב שעד היום בכל מסעדה או קולנוע עומד מישהו עם סקנר ובודק אם אין לך במקרה מתכות על הגוף או דברים כאלה. ברור לכולנו שמי שרוצה להגן על המסעדה שלו לא מספיק לו בן-אדם עם סקנר. זו החוליה האחרונה בשרשרת שבה אם נכשלו כל ההגנות הקודמות, הטובות יותר, היעילות יותר, בסוף צריך גם את הדבר הזה, אבל בלחימה האמיתית בטרור אתה צריך ללכת אחורה, כמה שיותר למקור שממנו יוצאות ההתקפות. וזה אומר, אם אנחנו מדברים על האינטרנט – כשאנחנו אומרים "סייבר", אני תיכף אסביר, זה לא רק אינטרנט – אם מדברים על האינטרנט, זה אומר שאתה צריך ללכת אחורה ולהסתכל על כל מה שזורם ברשתות למיניהן לפני שהוא מגיע אליך. מה שאומר שגוף לא יכול להגן על עצמו בעצמו, אתה מוכרח פה איזו סמכות ממשלתית שתעשה את זה.
היו"ר אורי מקלב
¶
אי-אפשר לקרוא לזה מתקפה? אתה משייך את זה עדיין לתחום ההגנה? האם זה לא בהגדרה מתקפה?
יצחק בן-ישראל
¶
בשביל להגן על עצמך מפני המתקפה, אתה צריך להסתכל מה הולך להגיע. זה כמו שבשביל להגן על עצמך ממחבל, קודם כול כדאי שתתפוס אותו בגדר לפני שהוא הגיע לתל-אביב, ואפילו עוד יותר טוב, לפני שהוא יצא.
יצחק בן-ישראל
¶
גם זה. כבר עברת לצד ההתקפה. אני עדיין בתחום ההגנה, בתחום ההגנה יש לך הרבה מאוד מה לעשות לפני שאתה עובר לתחום ההתקפה.
לכן ארגונים בודדים חייבים אומנם לעשות את המעטפת סביב עצמך, אבל זה לא מספיק, אתה מוכרח משהו, והמשהו הזה רחב יותר, המשהו הזה חייב להיות ממשלתי, הוא לא יכול להיות משהו לא ממשלתי בצורה כזאת או אחרת.
הנקודה האחרונה שאני רוצה להעלות, ובזה אני אסיים, זה שללא משים, מבלי שנתנו לעצמנו אולי דין וחשבון, עברנו שלושה שלבים עיקריים בתחום הזה – ועכשיו אנחנו נמצאים בעיצומו של השלישי – והם לא טריוויאליים בכלל. התחלנו להתעסק בהגנה – אני מדבר עכשיו על ההגנה – לפני כמה עשרות שנים, משום שהרעיון המרכזי היה שמידע הפסיק להיות מאוחסן בתיקים פיזיים, התחיל להיות מאוחסן במחשבים, בגלל שהוא התחיל להיות מאוחסן במחשבים היו הרבה מאוד גורמים בעולם, החל מגורמי מודיעין וכלה בגורמי פשע למיניהם, שראו לעצמם צורך לגנוב את המידע שלך, זה אומר לחדור למחשבים. לכן קראנו לתחום הזה כולו "אבטחת מידע". השם נשאר עד היום, למרות שהוא שינה את המשמעות.
בשלב מסוים הבנו – זה היה במדינת ישראל כבר לפני 15-20 שנה, זה לא היום – הבנו שמחשבים זה לא רק דבר שאתה שם בו מידע, אלא כמעט כל מערכת בחיים שלנו מבוקרת צ'יפ של מחשב, כולל מיזוג האוויר בחדר הזה, או הטלוויזיות כאן – כל הדברים האלה מבוקרים בצ'יפ של מחשב, ולמעשה אפשר באותן הטכניקות שנועדו לפרוץ למחשבים לפגוע לנו במערכות חיים אחרות שמבוקרות על-ידי מחשב. קראנו לזה תמיד "בקרים" ולא מחשבים, אבל זה אותו דבר. ולכן עברנו בלי ששינינו את השם, כי אין מילה טובה בעברית לסייבר, עברנו מרעיון של אבטחת הגנת מידע להגנה על מערכות החיים שלנו, כולל החשמל, התשתיות הקריטיות, שזה כל נושא הדיון שאנחנו מדברים עליו כאן. "אבטחת סייבר" אנחנו קוראים לזה בינינו לבין עצמנו.
הוזכר פה ברמז על-ידי אביתר – בשנים האחרונות אנחנו מדברים על internet of things, על זה שכל מכשיר בבית יהיה לו צ'יפ של מחשב, הוא יהיה מקושר לכל המכשירים האחרים, או לחברת חשמל או לכל הדברים האחרים, וכל מיני פטנטים כאלה שיעשו את החיים שלנו הרבה יותר יעילים, אבל - - -
יצחק בן-ישראל
¶
אתה לא תרצה שמישהו, בגלל שיש לו בבית מקרר עם צ'יפ והוא מתקשר אוטומטית בלי יד אדם עם חברת חשמל, שמישהו ישתק את חברת החשמל מהמקרר שלו בבית. זה לא הגנה על מידע, זה לא הגנה על פרטיות, זה הגנה על התשתיות הקריטיות, שהן יהיו פרוצות ברגע שנתחשב עד לרמה הזאת של הדברים שאנחנו קוראים להם "internet of things". ולכן צריך להתחיל להתייחס, והיום אנחנו בעיצומו של השלב הזה לדעתי, לטכנולוגיות האלה של אבטחת סייבר לא כאל טכנולוגיות של הגנה על משהו בכלל, אלא כאל טכנולוגיות שמאפשרות את הקידמה, כי בלי מינימום של הגנה לא יהיו לנו כל הדברים האלה שאנחנו חולמים עליהם, הם פשוט לא יתקיימו.
יצחק בן-ישראל
¶
כן. זו סוגיה שגם בה יצא לי לעמוד בראש איזה צוות שטיפל בה לפני שנה בערך. הגנה על פרטיות היא בעיה קשה בתחום הזה, משום שיש כאן שני ערכים סותרים: יש ערך אחד שאומר שאני צריך ביטחון – זה לא תיאוריה, זה עניין אמיתי של חיי היומיום – ומה שהסברתי כרגע, הביטחון הזה בתחום הסייבר מחייב לעשות איזה מוניטורינג של מה שרץ ברשת כולה, ולכן אתה פוגע בפרטיות. הדוגמה הכי טובה זו פרשת סנודן בארצות-הברית, ומה שהוא חשף, וה-NSA מתוך רצון להגן על ביטחונה של ארצות-הברית, בין היתר, פגע בפרטיות של אזרחי ארצות-הברית. אם זה לא אזרחי ארצות-הברית זה עוד חצי צרה, וזה נאסר דרך אגב בחוק שהועבר בקונגרס לפני חודש-חודשיים, לאחרונה, בעקבות החשיפה הזאת.
יש פה שני ערכים מתנגשים, ואנחנו לא רוצים להגיד שאחד הוא דומיננטי ובשני אנחנו לא מתחשבים. אי-אפשר. הביטחון נורא חשוב, הפרטיות גם חשובה, אנחנו לא רוצים להגיד: נזניח את האחד ונקיים את השני. ולכן צריך למצוא איזו דרך, וזה מה שעומד בתמצית החלטת הממשלה האחרונה, מינואר השנה, דרך שמאזנת בין שני הערכים האלה בצורה כזאת שתהיה מקובלת על הציבור ותהיה מעשית כשבסופו של דבר תהיה מאוזנת בין שני הדברים האלה ולא אחד על חשבון השני, ואני מניח שיגיע הזמן גם לדבר על זה יותר.
היו"ר אורי מקלב
¶
תודה רבה, פרופ' יצחק בן-ישראל, יכול להיות שבהמשך עוד נרצה את ההתערבות שלך. חבר הכנסת אברהם דיכטר, אתה יושב-ראש ועדת משנה של ועדת החוץ והביטחון, שדנה בהגנת הסייבר, אני מניח שלא רק בנושא הביטחוני, גם במתקנים אסטרטגיים, בתשתיות לאומיות.
אברהם דיכטר
¶
קודם כול תודה, גם לאביתר וגם לבן-ישראל. למדינת ישראל יש היסטוריה מאוד מעניינת בתחום הזה של הגנה על דברים קריטיים, ב-1968 חטפו לנו מטוס נוסעים לאלג'יר, ומאז כל שיטת ההגנה של מדינת ישראל על מטוסים ישראליים השתנתה דרמטית. היא באמת ייחודית בעולם, ללא ספק. אגב, touch wood, גם לא חטפו מאז מטוס, למרות שהיו ניסיונות. ב-1972 השתלטו לנו על שגרירות בחו"ל, ומאז השגרירויות מאובטחות אחרת לגמרי – בנקוק הכוונה. ב-1995 נרצח לנו ראש ממשלה, ואבטחת ראש הממשלה השתנתה דרמטית מאז. היינו אנשים לוגיים, הפכנו ברבות השנים להיות אנלוגיים וב-20 השנים האחרונות אנחנו דיגיטליים. כל אחד מאתנו מייצר תשדורת מרצון או שלא מרצון. ההבדל בין הדיון הזה או הוועדה שעוסקת בנושא של הסייבר לבין ועדת המשנה שאני עומד בראשה הוא הבדל מאוד משמעותי, כי אני פחות מודאג. א', אני מודאג בבסיסי מיום לידתי, שלא תהיה טעות - - -
אברהם דיכטר
¶
נולדתי מודאג, אבל אני פחות מודאג בקשב שיש למערכות הקריטיות, האזרחיות או הביטחוניות או הממלכתיות, גם בקשב וגם בהשקעה, כי שם תמיד יש אנשים ויש משאבים. אפילו במערכות האזרחיות – אני פחות מודאג מבנק שיאבד מיליונים או עשרות מיליונים בגין מתקפת סייבר, לא חשוב אם יאבד בנזק או יאבד בגניבה – אני יותר מודאג מ-8 מיליון אזרחים שכל חודש ייקחו מהם שקל אחד, הבנק לא יעסוק בזה, האזרח, אף אחד מאתנו לא ירגיש בזה, אבל מישהו יתעשר ב-8 מיליון בחודש, שלא לדבר על הסיני שיתעשר ב-1.3 מיליארד. פה אני מודאג.
אם אני הולך לחברות קטנות, אזרחיות, לא חשוב איזה סוג של חברות, אני צריך טופס 4 מחברת החשמל, טופס, אני לא יודע מה שמו, מכיבוי אש, אבל אין לנו טופס 4 לחלק הסייברי של אותה חברה, ואגב היא מחזיקה לא מעט אינפורמציה גם עסקית, אבל גם פרטית שלך.
אם אני שואל את האזרח שמחזיק מחשב בבית, אני שואל אותו מה עשרת הדיברות – סליחה על ההשוואה, אבל להבדיל – אני נותן לאזרח ומעדכן את עשרת הדיברות האלה. אומר לו: נכון ל-20 ביולי 2015, ובצדק אמר פרופ' יצחק בן-ישראל – חסכת לי את ההקדמות – באיזה תדירות אתה מעדכן את עשרת הדיברות האלה, חמשת הדיברות האלה או 15 הדיברות האלה שאזרח, כל אחד מאתנו, יודע להבין. ויש היום the state of the art של הגנה על המחשב הפרטי, שאלה שש החברות שעומדות בתקן או 16 החברות, לא חשוב, ולעסקים הקטנים, זה מה שאתם צריכים לעשות, וטופס 4 מתעדכן בביקורת שיעשו אחת לכך וכך, כי כמו בצנתור אתה לא מתקן את חדרי הלב דרך כניסה ישירות ללב, אתה מחליט מאיפה אתה נכנס – אתה נכנס מהיד, נכנס מהרגל, נכנס מכל צינור פנוי אחר.
אנחנו רגילים לחשוב מאסונות גדולים, זאת אומרת, גם בארצות-הברית, כל אמריקני, מהנשיא של ארצות-הברית עד אחרון האזרחים, אף אחד לא האמין שאפשר להוריד את התאומים בניו-יורק, אף אחד לא חשב שזה בר ביצוע – אני זוכר ב-1993 שפוצצו שם מכונית תופת עם עשרות קילוגרם חומר נפץ, הרסו שם איזה שתיים-שלוש קומות, לא משהו דרמטי – ותראה בסוף, ב-11 בספטמבר בא מטוס לכל בניין וכל הסרט השתנה לגמרי.
ופה אני מסכים לחלוטין עם פרופ' בן-ישראל, זה לא הבניין, זה האמצעי שממריא מכל מקום שהוא, וכשהוא נכנס לבניין, הוא עושה את העבודה. זאת אומרת, בסוף אתה צריך לשאול את עצמך איך אתה מתמודד עם הנזק האופציונלי או הפוטנציאלי שכל אחד מאתנו ביודעין או שלא ביודעין עלול למצוא את עצמו מבצע או פלטפורמה למישהו שרוצה לבצע. אז אנחנו ממוקדים במערכות הקריטיות – האנרגיה, המים ושאר המערכות הקריטיות – אנחנו עם מודעות הולכת וגוברת, ובאמת נדמה לי שתחום הסייבר זה התחום היחיד, אם אני זוכר, שבו סוף מעשה במחשבה תחילה, כל התחומים האחרים היתה תחילה במעשה והמחשבה באה לאחר מכן, לפעמים בעקבות האסון.
לסיום. בסופו של דבר זה כמו מים, גם האקרים שלא לדבר על קבוצות האקרים או מדינות, בסוף הם מחפשים איפה אפשר באמת להיכנס למערכת, ואם קשה בישראל, יעברו למדינה אחרת, יותר קטנה, יותר גדולה, בסוף היעד, גם של הוועדה הזאת וגם של הגוף שאביתר עומד בראשו – היעד הוא לא לפתור את בעיות העולם, אלא לוודא שמי שרוצה להיכנס לישראל, למערכות, יראה שזה קשה, אולי בלתי אפשרי בשלב זה, אבל גם קשה, ואז אתה מסנן עשרות אחוזים שמנסים, שפונים למקומות שקל להם, וכך זה עובד אגב. כך זה עובד בטרור וכך זה עובד בפשיעה – עקרון הבלון הידוע – וכך זה עובד גם בתחום הזה.
אני חושב שחשוב מאוד והמהלך הזה הוא מאוד משמעותי – איך נותנים ציוד וצידה לגופים הלוא ממוסדים, שזה לא בראש הקשב שלהם, אבל הם יכולים לעזור לפתור הרבה מאוד בעיות, והאינטרוול פה הוא קצר, זה נכון, אבל אלה החיים. ועדה שבעבר הקמנו ובדקנו אותה פעם בחמש שנים, היום נקים אותה ונבדוק פעם בחמישה חודשים. בעוד 20 שנה – חוץ ממך, אורי, כמובן, לך לא יהיה מחליף - - -
אברהם דיכטר
¶
באמת עוד 20 שנה האינטרוול יהיה של חמישה ימים. אני לא חושב שזו הבעיה שלנו, גם הכלים, גם האוטומציה.
השאלה ששאלו או ההערה של אביתר לגבי התקיפה וההגנה, בסוף לעובדה הזאת שהפכנו להיות דיגיטליים אין רק איומים, יש גם הזדמנויות, ואלחמדו לאללה לא מעט הזדמנויות, וצריך לדעת לנצל את ההזדמנויות האלה. הבעיה שאת ההזדמנויות האלה יהיה קשה מאוד לנצל באופן אופטימלי, אם אנחנו כל הזמן נצטרך להתמודד עם חורים בהגנה. ולכן הדיון הזה, אני חושב, הוא חשוב מאוד, כדי לצמצם עד סתימת החורים בהגנה, כדי לפנות לעצמנו גם קשב וגם משאבים לעשייה. אני לא אומר להתקפה, אלא לעשייה.
אני מקווה מאוד שבהיבט האופרטיבי, בסוף אזרח מדינת ישראל יהיה לו manual כזה שהוא יודע – אם עשית את עשרת הדברות האלה, אתה על העסק הפרטי שלך, על המחשב הפרטי שלך, על הגופים היותר גדולים, אבל לא בקשב הלאומי הכבד, אתה יודע לתת מענה טוב. מענה לא אידיאלי, אבל מספיק מרצה. זה יכול להיות מהלך מאוד משמעותי בשיפור התמונה שלנו בישראל. תודה רבה.
היו"ר אורי מקלב
¶
תודה רבה. אמרת דברים חשובים מאוד, גם שאלנו לפני כן את אביתר, והשאלה אם כל המידע הזה שיש לו, במקום שמנית, האם הנגישות קלה וברורה ולא מסובכת, מכיוון שכפי שאמר חבר הכנסת אברהם דיכטר הנושא הביטחוני, הצבאי, יכול להיות שהמתקנים, התשתיות הלאומיות, ציבור האזרחים חושב והוא יודע וזה גם לא מדאיג אותו כרגע, או שיש אנשים שאמונים על כך, לשמור עליהם ולטפל בהם. דווקא המידע העסקי שלו – לפעמים זה קטן יותר, לפעמים זה גדול יותר – המידע הפרטי שלו, בין אם פריצה למאגרים, מידע של בתי חולים, קופות חולים, זה יכול להיות דברים כאלה וחשיפתם, הגנת הפרטיות, אני לא מדבר כבר על החלק הפלילי והמוסרי שיש בחלק הזה, שזה בהחלט מדאיג אנשים, או "כלי הכופר" שכך קוראים לזה, סחיטה על-ידי מחשבים, כשזה יכול להיות גם איש קטן מאוד. היום הרבה חשופים לכל מיני הונאות או סחיטות על מידע שחשוב להם מאוד אישית, מאנשים פליליים שמתמקצעים איך לקחת לך את המידע הזה ודורשים ממך כופר כשאתה מבקש אותו חזרה. זה מצד אחד.
מצד שני, אי-אפשר להגיד שאזרחי ישראל לא מודאגים מכך שיום אחד רכבת ישראל תהיה מותקפת במתקפת סייבר והיא לא תפעל, או שחברות תעופה בישראל יהיו מותקפות. יש שני חלקים בדאגה שלהם: קודם כול, ההיבט המורלי, שמצליחים לעשות את זה, זה גם חלק מהדאגה והחשיבה ואזרחי ישראל רוצים לדעת תשובה בעניין הזה, אבל גם בחלק המעשי בסופו של דבר. ובחלק הזה גם כן דורשים מאתנו, כחברי כנסת, כוועדות, לדעת האם אנחנו מפקחים על הפעילות ושנעשית פעילות בעניין הזה, ויש מי שדואג, ויש מי שמגן על עצמו בעניין הזה ויש מי שמפקח בעניין הזה. לכן אנחנו באמת רוצים לכוון את הוועדה לכיוון הזה, לכן הזמנו עוד גורמים כמו בנקים ומשטרה ועוד שורה שלמה של אנשים שנמצאים בתחום האזרחי ולא פחות בתחום הצבאי, הביטחוני או המתקנים האסטרטגיים.
חבר הכנסת חיים ילין, לא בירכתי אותך, אתה כך מצטנע בצד. מי שלא יודע חושב שאתה מההגנה על הסייבר ולא יודע שאתה חבר כנסת פעיל. מי שלא יודע, אני אומר, יכול לחשוב שאתה בחלק המקצועי של העניין ולא חבר כנסת.
חיים ילין
¶
אני זוכר את הדיונים שהיו, כשאמרו שהרבה יותר קשה ליירט את האבן שזורקים מעזה מאשר טיל. זאת אומרת, הרבה יותר קשה להתמודד עם לאו-טק מאשר עם היי-טק.
אני אומר את הדברים האלה, כי השאלה שנשאלה לפני זה היתה האם ניתן להגן ועד כמה ניתן להגן. בעוד כמה חודשים יש תת ועדה של המאגר הביומטרי, בכוונה אני מעלה את הדיון הזה, כי המאגר הביומטרי הוא לא עניין פוליטי. אם ניתן לאבטח מאגר ב-100%, אין דיון בכלל, אז הכול מאובטח, אבל אנחנו יודעים שאין 100%. 60 מיליארד שקל זה תקציב הביטחון, גם אם ישימו עוד 20 מיליארד אולי יהיה יותר ביטחון, אבל לא יהיה 100% ביטחון. והשאלה היא שאלה כלכלית כספית, ומצד שני, מה ההיתכנות.
הנושא השני שעלה שצה"ל קיבל החלטה להקים זרוע או יחידת סייבר בצה"ל. איך שיתוף הפעולה והאם יהיה שיתוף פעולה? יש לנו נטייה להיות כל אחד לעצמו. יש לי אנטנה ליד הבית, ארבע אנטנות, כי הם לא יודעים לשתף פעולה מרוב אגו, כל היחידות המובחרות וכל מה שאתה רוצה, וכל תורן 80 מטר. פלאפון, סלקום ואורנג' יודעים לשתף פעולה, כי יודעים שזה כסף, פה כנראה אין בעיה של כסף, אז אין שיתופי פעולה. פה השאלה אם יהיה שיתוף פעולה.
הדבר השלישי. דיברו פה קצת על התעשייה. מה הסכנה שיש למדינת ישראל שיוצאי אותן יחידות ימכרו את הווירוס והאנטי וירוס. אנחנו מכירים את זה מצוין בעולם. איזה דרך יש שאותו קיר של הגנה לא יוכר על-ידי האויב? ברגע שאתה יודע מה המערך ההגנתי, קל מאוד לפתח מנגנון התקפי. בסוף הכול זה כמו הביצה והתרנגולת, לא יעזור כלום.
השאלה אם בכלל בכל הרעיונות האלה זה אותו מאגר. בסוף נצטרך, גם היושב-ראש וגם אני, נצטרך לתת חלק מהתשובות האלה. האם מאגר חייב להיות מחובר? האם הכספת הזאת יכולה להיות כמו לפני 200 שנה, אף אחד לא יכול להתקרב אליה, שומר אחד שומר עליה בנשק, וזהו? מי יכול להיכנס לשם אם היא לא מחוברת?
אביתר מתניה
¶
הפעם אני ממש מצליח לזכור...
אני אתחיל מהתעשייה. תעשיית הגנת הסייבר בישראל היא מהמתקדמות בעולם גם בחדשנות שלה, גם בפתרונות שלה וגם בהיקף שלה. אנחנו מייצאים מעל 3 מיליארד דולר בשנה טכנולוגיות ומוצרים, אנחנו שניים רק לארצות-הברית, יש כאן כ-250 חברות קטנות וגדולות.
הנושא של ההגנה הוא נושא שלא נמצא בפיקוח על היצוא, אבל אין שום דאגה בתחומים האלה. מה שלא יפותח פה, יפותח מחר במקום אחר. בדרך כלל האנשים שיוצאים ממערכת הביטחון יודעים היטב מה אפשר ומה אי-אפשר ומה נכון. על אף כל זאת ביצענו עבודת מטה מאוד גדולה, יחד עם משרד הכלכלה, משרד החוץ ומשרד הביטחון, לראות איפה נכון שמדינת ישראל תגביל את התחומים האלה בנושא של יצוא וכדומה. אנחנו נמצאים קרוב לסיום שלה.
אני יכול לומר שהמסר הוא, כמו בכל מדיניות העולם, שלא תהיה הגבלה על ההגנה, למעט עם פתרונות ברמה האסטרטגית ל"מדינות שיכולות לשנות מציאות", מה שנקרא, או בעולמות שאסורים במדינת ישראל כמו התקפה וכדומה. זאת אומרת, הצלחנו לאזן פה בין הצורך גם הביטחוני וגם הכלכלי, בין בניית תעשייה משגשגת שמשקיעים רוצים לבוא ולעשות הכול לבין מגבלות בעולם הביטחוני, מקומות של מערכות שיכולות לתרום לאמל"ח או ביטחון. בקרוב הולך לצאת על-ידי משרד הביטחון ועל-ידי המטה קול קורא לציבור עם המחשבות שלנו, לשמוע תגובות וכן הלאה, על מנת לסיים את התהליך באופן מסודר. זה הנושא הזה.
לגבי הנושא ששאלת על שיתוף הפעולה בין הגופים. ההחלטה של צה"ל להקים זרוע סייבר, בעיני היא החלטה חשובה ונכונה ביותר, משום שזה יאפשר לצה"ל, מעבר לאיגום המשאבים שלו בתחומים האלה, להיות אחד הגופים המובילים בעולם, בזה שהוא בונה את הדיסציפלינה בתור דיסציפלינה אחת. לא מחולקת בין גופים, אלא מתוך ההבנה שכמו שפעם נכון היה להקים זרוע אוויר – בהתחלה חיל-האוויר לא היה זרוע נפרדת – נכון היום להקים זרוע כזאת על מנת לבנות דיסציפלינה שלמה של איך הסייבר הופך לחלק מהנושא כולו. ולצבא יש אחריות מאוד גבוהה בסייבר, בין השאר להביא מודיעין לרמה הלאומית, לתמוך בהגנה הלאומית, מעבר כמובן לצרכים האחרים שלו.
יש שיתוף פעולה מעולה בין הצבא לביננו. הצבא תורם גם באנשים מושאלים בשביל להקים ידע ויכולות ברמה הלאומית, הצבא מעורה בדברים, שותף לאסטרטגיות, האנשים שלו יחד עם האנשים שלנו חושבים איך לבנות את הדברים כך שלמשל ההגנה על צה"ל תתמוך בהגנה הלאומית, כי צה"ל הוא גוף ענק ויש לו הרבה ידע והוא מתקדם בנושא. ומצד שני צה"ל נשען על הרמה הלאומית, משום שההגנה היום על תקשורת, על אנרגיה וכדומה חיונית גם לצה"ל. לכן מתקיים שיתוף פעולה מעולה שהולך ונבנה תוך כדי, אני חושב, גם הבנה בדיוק איפה הרמות האזרחיות צריכות להיות לעומת הצבא, איפה נכון לשתף פעולה ואיפה לאגם משאבים, רק לא לבזבז אנשים מיותרים.
לגבי השאלה הראשונה שלך בנושא מאגרים. אני רוצה להתייחס בגדול למאגרים, ואחרי זה ספציפית לשאלה שלך. בגדול, ההבנה היום, שלא היתה לפני 20 שנה, שכאשר אתה ניגש למאגרים כמו בכלל לתכנון תשתיות חשובות בעולם הסייבר, יש חשיבות מראש לתכנן אותן בצורה כזאת שהן יהיו מוגנות ככל האפשר, מה שלא חשבו לפני 20 שנה כשבנו כל מיני דברים. זה לא היה אחד מהנושאים, ולכן הרבה מאוד נמצא טלאי על טלאי בדברים ישנים.
אני אומר את זה כאמירה כללית גם לתשתיות חדשות וגם למאגרים חדשים. יש עכשיו למשל את הנושא שמדובר בו, מאגר אשראי וכדומה. אנחנו עכשיו נכנסנו לנושא, כדי שמה שלא ייעשה, ייעשה בצורה מתוכננת היטב, תוך כדי שקילת כל השיקולים הנכונים, כי עולה הרבה להגן על דברים, יש אחריות כבדה, זה דורש תפעול גדול וצריך לשקול את הדברים. ואם הוחלט שכן, צריך לתת את המעטפת הנדרשת. אני חושב שהתשובה של הביטחון תמיד צריכה להיות – לבנות את המעטפת הנדרשת כך שהמדינה תוכל להתקדם לאן שהיא רוצה להתקדם אחרי שהיא שקלה את המשמעויות.
ספציפית למה שאתה שואל, יש מספר גופים. דווקא במאגר ששאלת עליו, המאגר ביומטרי, צריך לזכור שמעבר לרשות הביומטרית יש כאן הרבה גופים שמעורבים בזה, גם הממונה על הניסויים הביומטריים שעומד בראש ועדה שבוחנת את כל מה שקורה, גם רמו"ט, יושב כאן ראש רמו"ט, רשות למשפט וטכנולוגיה, שאחראית על פרטיות. חשוב לציין שזה מאגר שהוא תשתית קריטית, והוא גם מאגר מסווג, זאת אומרת, הוא מקבל את מרב התכנון ההגנתי במדינת ישראל. ואני חושב שבדברים האלה צריך להביא את כל הגופים הרלוונטיים לדיון מאוד מקצועי, שעושים אותו, ואני אחטא כמי שלא עוסק בזה ביומיום, כמי שלא מכיר את הדברים הספציפיים, אם אני אתייחס ספציפית לנושא המאגר הזה. אני אחטא למקצועיות שלי, לאינטגריטי שלי ולכלל הגופים שמעורבים בזה, והם האחראים על זה.
חיים ילין
¶
זה נכון. היינו בשלוש ישיבות, התחושה היא שדי מרחו אותנו. אתה יכול להגיד שהמערכת ב-95% היא פיקס, אין שום בעיה, אף אחד לא יחדור, אבל זה בדיוק כמו אותה המאית שצריך הרץ של 100 מטר כדי לרדת מה-10 שניות. המאית הזאת – ייקחו לו שנתיים להתאמן להגיע לזה. אותו 1% שנשאר פתוח – אתה יודע, זה יכול לעלות כמו תקציב המדינה כדי שיהיה 100%. יש הכול בביומטרי – יש פה 8 מיליון איש ומחר בבוקר הטרור יכול לחטוף את כל הזהויות האלה, יש פה צנעת הפרט, יש תחושת הביטחון, יש הביטחון של המדינה, יש הכול שם. רצינו לשמוע גם כי לא היית בדיונים האלה.
היו"ר אורי מקלב
¶
אני מציע שנייחד דיון מיוחד על זה, על כל הנושא הביומטרי. יכול להיות שנשמע תשובה ברשותך מעו"ד אלון בכר, ראש הרשות למשפט, טכנולוגיה ומידע.
אני אומר מראש, דווקא לך, שהרחבנו בדברים. הדברים חשובים, אבל הזמן רץ. נצטרך להתקדם ולתמצת בדברים. אני אומר לך ולכל הדוברים האחרים, ויש רשימה ארוכה. בבקשה.
אלון בכר
¶
אני אומר כמה דברים, כדי להכניס גם כמה היבטים אזרחיים לדיון הזה. הבנתי שאזרחים פונים אליך, מאוד דואגים לפרטיות שלהם ולמידע שלהם. אני מתאר לעצמי שזה הדבר שהכי מטריד את האזרח הקטן.
היו"ר אורי מקלב
¶
אני אשאל אותך עוד שאלה שביקשו ממני לשאול אותך. סייבר והגנת הפרטיות – הילכו שניהם יחדיו?
אלון בכר
¶
קודם כול, כדי שנעשה קצת סדר במינוחים ובשמות, הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, כינויה רמו"ט, היא רשות הגנת הפרטיות והמידע האישי בישראל.
חשוב שהוועדה הזאת וגם הציבור ידע שהפעילות שלה כרשות הגנת המידע היא חלק משכבות ההגנה במערך הסייבר הישראלי. היינו שותפים גם לדיונים בהקמת גופים חדשים, אנחנו עובדים בשיתוף פעולה הדוק עם כל הגורמים, מטה הסייבר הישראלי וכל שאר הגורמים שעוסקים בעניין.
הדגש שלנו, כמובן מכוח הסמכויות שלנו והתפקיד שלנו על המידע האישי של האזרחים, שהמידע יישמר במאגרי מידע דיגיטליים, כשהיום כולנו מבינים ששם שומרים את המידע של האזרחים, כמעט אין מאגרי מידע אחרים.
חשוב לומר בכמה מילים שהרשות פעילה בכל המגזרים, גם הממשלתי וגם העסקי. היא מפעילה גם סמכויות הנחיה, גם פיקוח וגם אכיפה, הן מינהלית והן פלילית, בהקשר של עבירות מידע אישי.
אנחנו עוסקים בכמה עניינים כשביחד עם גופים אחרים ובפעילות שלנו יקדמו את הנושא של הפרטיות בצורה משמעותית, במיוחד בעידן שבו אנחנו נמצאים, שבו הסכנות, בין בתקיפה ובין כתוצאה מההגנה, לפרטיות של האזרחים היא די גדולה.
אנחנו מקדמים חקיקה והקצאת משאבים לעניין. בקרוב יושלמו ויוצאו תקנות אבטחת מידע במאגרי מידע, שיביאו בתהליך כלל משקי לשדרוג החוסן הלאומי ושדרוג היכולת של הארגונים השונים בהגנה על המידע שלהם. זה משהו שכבר נמצא בשלבים מאוד-מאוד מתקדמים, יגיע לשרת המשפטים ובקרוב וגם לכנסת.
חשוב לומר שאנחנו עוסקים בפעילות פנימית שלנו ובשיתוף עם גורמים אחרים בחיזוק האפקטיביות של ההגנה. שוב, בעידן המשתנה הזה.
מה שחשוב לדעת, ואני מקווה שזה גם ירגיע וגם ישפוך קצת אור על הפעילות שלנו בשיתוף עם הגורמים האחרים, שהמציאות היום משתנה והיום הגבולות בין ביטחוני לאזרחי, בין מידע כללי עסקי למידע אישי ופרטי, מאוד-מאוד מיטשטשים, ומכאן גם החשיבות הגדולה בהקמת הגופים החדשים ובעבודה המשותפת בין כלל הגופים.
אני יכול לומר שאנחנו עובדים בשילוב ידיים מאוד-מאוד מרשים, הלוואי שכל הממשלה תעבוד בשיתוף פעולה כזה, כדי לצמצם את הטווחים האלה וכדי שההגנה על המידע האישי תשולב בהגנה על המידע האחר.
שוב, אני אומר רק במשפט אחד, אני חושב שאביתר יסכים אתי ואני שמח שאנחנו רואים עין בעין בדברים האלה בכל הדיונים שאנחנו נמצאים בהם, שבאמת בצד הצורך להעצים את ההגנה ברמה הביטחונית – בצד זה קיימות גם סכנות למידע האישי של האזרחים, הן מצד גורמים חיצוניים והן מצד גורמים פנימיים לצורך העניין, אפרופו אח גדול וחששות מוצדקים של אזרחים מהתפתחות גם באזור ההגנה. בהקשר הזה אנחנו משתדלים להיות הגורם המאזן שנמצא במקומות הנכונים, להביא גם את נקודת מבטו של האזרח, גם את נקודת מבטו של המידע האישי שמאוד-מאוד חשוב לכולנו שעדיין יישמר ככזה. דיברת על מידע רפואי, מידע פיננסי, מידע אינטימי אחר, כדי שבתוך המערך הגדול הזה הדברים ייבנו נכון והאיזונים והבלמים יהיו בתוך המערכות פנימה.
אלון בכר
¶
כן. לשאלה הקודמת, כאשר מישהו מרגיש שנפגע המידע האישי שלו, פרצו לו למחשב או דברים מהסוג הזה, שוב, אחד מהגופים שהוא אמור לפנות אליהם, ובתקנות גם יהיה חייב לפנות אלינו אם הוא גורם שמחזיק מידע על מספר לא קטן של אנשים, הוא הרשות למשפט וטכנולוגיה שאמונה על הטיפול בהקשרים האלה וגם יכולה לאכוף ולסייע בהגנה ולהנחות איך לעשות את הדברים נכון יותר.
אביתר מתניה
¶
אנחנו בדרך לחתום. נעשתה עבודה במדינה. מי שהוביל לזה זה משרד החוץ ומשרד המשפטים. אנחנו סנכרנו את העבודה שלהם עם כלל הגופים, כולל מערכת הביטחון והמשטרה. הוחלט לחתום.
אלון בכר
¶
אני רק אומר מילה אחת על הביומטריה, רק כדי שזה לא יישאר תלוי באוויר. אני בוודאי לא דובר של רשות האוכלוסין ולא של הרשות לניהול מאגר ביומטרי, אבל כחבר הוועדה המפקחת על תקופת המבחן של המאגר, אני יכול לומר רק דבר אחד שכן חשוב שהציבור ידע. עבודת הפיקוח על התנהלות המאגר, על המבנה שלו, על השמירה על הנתונים בו ועל מה ייעשה בו, היא מאוד-מאוד רצינית. אני חושב שישבנו בדיונים של הוועדה מאות שעות, גם נכנסנו לקרביים של התהליכים, של המבנה, גם שמענו מומחים מכל מקום אפשרי והמובילים בתחום.
ובהקשר הזה חשוב שנדע שתקופת המבחן אומנם הוארכה במספר חודשים, הונח דוח עם המלצות של הוועדה המפקחת לגבי מה נכון לעשות בהמשך. אני חושב שאם יהיה יישום של ההמלצות של הוועדה והמשך פעילות אינטנסיבית בבנייה נכונה ובתפעול נכון של המאגר הזה, אני חושב שזה לא בהכרח המאגר שהכי צריך להדאיג את אזרחי ישראל. יש דברים אחרים – אני חושב שאביתר רמז לזה – יש מאגרים לא פחות חשובים ולא פחות רגישים שנדרשת הגנה משמעותית מאוד עליהם, ואנחנו וגופים אחרים כמובן עושים כל מה שאפשר כדי שההגנה הזאת תהיה יותר טובה. זה חשוב מאוד שתהיה מודעות לציבור. אני חושב שהוא צריך להיות מודע לזה שיש הרבה מאוד מידע והרבה מאוד מאגרים, ולא רק הביומטרי צריך להטריד אותו. אם יש משהו בהקשר הזה שהכנסת יכולה לעשות, זה להעלות את זה שוב לדיון הציבורי ולמודעות.
חיים ילין
¶
הביומטרי מטריד כי כל אחד שותף שם. במה שהתושבים לא יודעים או האזרחים לא יודעים שהם שותפים, זה לא מדאיג אותם.
היו"ר אורי מקלב
¶
המידע הביומטרי זו פרשייה בפני עצמה, כולל הגנה על האזרחים. דווקא כן הייתי שואל אותך. התלבטנו אם לקיים את הוועדה הזאת כוועדה משודרת או לא. חשבנו לעשות את זה בחדר הוועדה, הגם שבחדר הוועדה זה פתוח וחשוף לאינטרנט, אבל בסופו של דבר - - -
חיים ילין
¶
אני מבקש שאם יהיה דיון על המאגר, שיהיה יחד עם דיכטר ועם הוועדה שלו, כי לדעתי זה משליך על כל הוועדות.
היו"ר אורי מקלב
¶
דיכטר מוזמן תמיד. הוועדה אומנם לא בתחום אחריותנו, הוועדה הביומטרית, אבל אנחנו שותפים. הוועדה שלחה נציגים לוועדה. אתה נציג מטעם הוועדה.
היו"ר אורי מקלב
¶
האם אתה יכול להביא דוגמה עם מה התמודדתם והצלחתם להתמודד בתחום ההגנה על הפרטיות העסקית או הפרטית?
אלון בכר
¶
יש הבדל בין מניעה לבין פיצוח של פרשות אחרי שהן נעשות. רמו"ט טיפלה בכמה תיקים מאוד משמעותיים, אחד מהם זה באמת התיק של גניבת מאגר מרשם האוכלוסין.
אלון בכר
¶
זה היה לאחר מעשה. זה אירוע שהתרחש עוד לפני שרמו"ט בכלל החלה את הפעילות המשמעותית שלה. יש תיקים נוספים שאנחנו לא יכולים אפילו להתייחס אליהם, לדבר עליהם, שרמו"ט עשתה בהם פעילות מאוד משמעותית. רמו"ט עושה פעילות רב-שכבתית במובן הזה שהיא גם עושה פעילות מניעתית, היא מוציאה הנחיות, היא קובעת סטנדרטים, היא עושה פעולות פיקוח ופעולות הנחיה בקרב הגורמים שעוסקים בזה והיא גם עוסקת בפעילות של חשיפה וגילוי במקרים שבהם יש ענייני מידע אישי. שוב, זה המקרה המובהק שהיתה חשיפה לאחר מעשה. יש בהרבה מאוד מקרים אחרים, כולל מקרה מרכזי אחד, שבאמת עליו קשה להרחיב בדיון שמצולם ופתוח לציבור, שבו רמו"ט לקחה אירוע שהיה אירוע שנראה היה ונחזה להיות אירוע מידע אישי וחשפה מה עומד מאחוריו, ואני חושב שהיא הביאה לתובנות משמעותיות ביותר לכלל הגורמים העוסקים בזה, כולל גופי הביטחון.
אלון בכר
¶
- - היא למקום מוגן יותר ובנוי נכון יותר. שוב, אנחנו מבינים לגמרי כשנשאלו השאלות על 100%, אין 100% בשום דבר, כולל לא באזור של הפרטיות. אנחנו מנסים להעלות את האחוזים כמה שיותר קרוב לזה, ונעשה הכול כדי שזה יהיה כך.
תמיר שניידרמן
¶
צהרים טובים, אני לא אוכל להתייחס לאותם 8 מיליון אזרחים שאבי דיבר עליהם, אני אוכל להתייחס רק לחלקת אלוהים הקטנה שתחת אחריות המשרד.
אנחנו בהחלט מודעים לאחריות שלנו מול התשתיות הקריטיות. חלק גדול מהתשתיות הקריטיות, שהן תחת הרגולציה של המשרד, מונחות על-ידי הרשות לאבטחת מידע בשירות הביטחון הכללי. ירדנו רמה אחת למטה, לאותן תשתיות שהופרטו בשנים האחרונות. יש הפרטה גדולה מאוד של תשתיות, גם בתחום החשמל, גם בתחום המים, גם בתחום הגז הטבעי, חברות דלק וחברות גפ"ם.
ברגע שהבנו שלא נוכל להשאיר את הנושא ללא טיפול, ללא הנחיה, ליווי, פיקוח ובקרה, הבסיס החוקי שעליו התבססנו זה הרישיון, אותו רישיון שהשר נותן ליזמים בהתאם לאותן אבני דרך שהם מתבקשים לעמוד בהן גם לנושא של אבטחה פיזית חמושה, אבטחת מידע, סייבר ורציפות תפקודית. כמובן שנכון לעשות את זה כבר בשלב התכנון, וכמו שאביתר אמר, לא טלאי על טלאי.
לקחנו את הרישיון, כתבנו נהלים, וביצענו ועדיין מבצעים ימי עיון, פגישות מודעות עם מנכ"לים, מקבלי החלטות, מנהלי אבטחת מידע, מנהלי IT, תרגילים. אנחנו גם מפיצים מידע יומי, רבעוני וקונקרטי. אנחנו משקיעים הרבה כספים בכוח-אדם שמלווה את אותן תשתיות, מנחה אותן ומוודא שאותו סקר סיכונים שהם עשו בתחילת הפעילות הוא גם ממומש אחר-כך בתוכניות העבודה. בהמשך גם נבנה ובונים מרכז סייבר מגזרי. הוא עדיין לא פעיל, אבל אנחנו בשלבי בנייה מתקדמים של מרכז סייבר מגזרי של אנרגיה ומים, שהוא חלק מתפיסת ההגנה הלאומית שקבע מטה הסייבר הלאומי.
המטרה שלנו כמובן זה שמירה על הרציפות התפקודית של משק האנרגיה והמים, לשמר את החוסן הלאומי וגם לתמוך במאמץ המלחמתי.
יש לנו שותפים שזה הרשות לאבטחת מידע בשב"כ, מטה הסייבר הלאומי. לאחרונה גם התחלנו לשתף פעולה עם רמו"ט. אנחנו רואים חיבור ישיר בין המגזר הפרטי לממשלתי. חלק מהתשתיות הקריטיות הן חברות פרטיות, חלקן ממשלתיות וכמובן שיכול להיווצר איזה אפקט דומינו בין פגיעה בחברה פרטית לחברה ממשלתית, ולכן אנחנו לא מרשים לעצמנו להשאיר את זה ללא הנחיה וטיפול.
אנחנו גם קובעים תוכניות עבודה ביחד עם בעלי המתקנים ומנהלי המתקנים, כדי לשפר את ההגנה של תשתיות המחשב החיוניות באותם מתקנים. שיתוף הפעולה הוא מצוין, הוא פשוט מדהים.
חברות שאנחנו חושבים ביחד עם הרשות לאבטחת מידע, ביחד עם מטה הסייבר הלאומי, שצריכות להיות מונחות על-ידי גורם ממשלתי, זה מובא לוועדה שבראשה עומד אביתר, ועשינו את זה לא אחת בשנים האחרונות, שחברות שהונחו על-ידינו מונחות כיום על ידי הרשות לאבטחת מידע בשב"כ.
אנחנו לא משקיעים את אותה רמת השקעה בכל התשתיות, אנחנו קובעים רמת קריטיות למתקנים, ולפי רמת הקריטיות של המתקנים אנחנו משקיעים גם בהנחיה וגם במשאבים, כשלחברות זה נוח. לאותן חברות פרטיות זה נוח, כי יש להן POC1 שמולו הם עובדים, הוא מנחה אותם גם לאבטחה פיזית וחמושה – חומות, גדרות, מצלמות, מאבטחים, קב"טים – גם לרציפות תפקודית וגם איך להגן על תשתיות המחשב החיוניות. כמובן שאת הקריטיות אנחנו קובעים לפי יכולת הפגיעה בתפקוד כתוצאה מפגיעה במערכות המחשב, וגם ברמת ההשפעה על משק האנרגיה והמים.
כל מה שנוכל לקבל וללמוד ממטה הסייבר הלאומי ומהרשות לאבטחת מידע בשב"כ, אנחנו מקבלים בברכה. אנחנו רואים באיום הסייבר איום מרכזי, כמו איום המלחמה, כשהמטרה, כמו שאמרתי, היא לשמר את הרציפות התפקודית. תודה.
אברהם דיכטר
¶
תמיר, כשאתם נותנים רישיון, אז בתחומים של אבטחה פיזית הדברים יותר ארוכי טווח, האיומים שמתווספים או יורדים הם לא דרמטיים בדרך כלל. בסייבר, ואמר את זה כאן פרופ' בן-ישראל, העסק הוא מאוד דינמי. האיומים נכנסים בקצב מאוד מדאיג מבחינת החידושים שהם מייצרים, חידושים באיומים. איפה עומד הרישיון שאתם נותנים? הרי הוא רישיון שצריך לעדכן אותו או להתנות אותו בעדכונים. איך אתם מבצעים את המעקב ואת הפיקוח על זה?
תמיר שניידרמן
¶
שלוש שנים. למשל במתקני גפ"ם, גז הבישול, זה מתחדש בכל שלוש שנים, וכשאדם בא לקבל את הרישיון, הוא צריך להוכיח שהוא עומד בדרישות שלנו. לאותם מתקנים שהכנסנו ברישיון המותנה את סעיף הסייבר, כתבנו על בסיס זה נוהל הגנת תשתיות המידע הקריטיות, ובתוך הנוהל שכתבנו, כל מה שאתה אומר עכשיו מוגדר שם כבר מראש. כלומר, זה לא נגמר ברגע שהמתקן קם ומתחיל לעבוד. אנחנו מלווים ומתרגלים אותם ומשתפים אותם לאורך כל השנה. זה לא משהו חד פעמי. כל הזמן אנחנו בקשר אתם, כל הזמן אנחנו מלווים אותם, כל הזמן אנחנו משתפים אותם.
כשהיה התרגיל הלאומי בסייבר שהובילו הרשות לאבטחת מידע ומטה הסייבר הלאומי, אז גופי התשתית הפרטיים ביחד עם גופי התשתית הממשלתיים ישבו באותו שולחן, בניהול מנכ"ל המשרד, והבינו את ההשפעה שיכולה להיות בפגיעה במתקן תשתית ממשלתי על אותו מתקן שהיזם הפרטי מנהל. וכשאנחנו באים להנהלת החברה, אנחנו נותנים להם הרצאות מודעות, והיזם מבין את האיום, הוא נותן לא רק תקציבים, גם תקנים. שיתוף הפעולה הוא פשוט מדהים.
גדי עברון
¶
בשמחה. הייתי מנהל אבטחת המידע של תהיל"ה, הקמתי את ה-CERT הממשלתי ב-2004, הייתי מעורב ב-20 השנים האחרונות בנושאי הגנה על תשתיות קריטיות, אחר-כך בנושאי ביטחון באזרחות, החל משנת 2000 בעיקר. היום אני מנכ"ל של סטרטאפ ואני פה תחת הכובע של יושב-ראש ה-CERT הישראלי, שהוא עמותה רשומה.
אני אדבר על שלושה דברים: האחד, מה אנחנו, מי אנחנו, למה אנחנו - - -
גדי עברון
¶
לא הלאומי. ה-CERT הלאומי הוא דבר מדהים, כשלדעתי עושים שם את הסייבר היום, ובאים לאחד תחת קורת גג אחת, כמו שאביתר אמר, את כל מה שקורה כיום.
גדי עברון
¶
אנחנו אזרחים לחלוטין. אני בא לענות על השאלה של ה-8 מיליון.
ה-CERT הישראלי אפרופו הוא מתא"ם – המרכז לתיאום אבטחת מידע. הוקמנו בשנת 2011, כאשר יש פה טיפה היסטוריה. משנות ה-90 יש ניסיונות של הקמה של CERT במדינת ישראל, לא כל-כך הצלחנו למצוא תקציב, מעורבים בזה מי שהקימו את איגוד האינטרנט הישראלי, מי שהקים ותמך בהרבה מאוד ארגונים אחרים, ובסופו של דבר ב-2011, עם אירוע מכונן שתיכף נדבר עליו, של ההאקר הסעודי, החלטנו שאנחנו עושים מעשה. כמו שהרבה פעמים קורה במדינת ישראל, וכאזרחים – סטארטאפיסטים, אנשי קהילייה, אנשי קהילייה לשעבר, אנשי אקדמיה – אנחנו באים ביחד, מקימים עמותה רשומה ועושים את המעשה של הקמת CERT בישראל.
גדי עברון
¶
זה וולונטרי לגמרי, אין לנו שום תקציב, אף אחד לא הסכים לתקצב אותנו. רדפנו במשך יותר מ-20 שנים אחרי אנשים לצערי, אבל בסופו של דבר - - -
גדי עברון
¶
אנחנו לא מוכרים שירותים. אנחנו ארגון ללא משוא פנים, שלא קשור לשום ארגון אחר. כמובן אנחנו משתפים פעולה עם משטרת ישראל, משטרות ברחבי העולם, CERTs ברחבי העולם, ספקי שירות אינטרנט, בנקים. אנחנו עובדים עם כל מי שרק רוצה לעבוד אתנו. המטרה שלנו היא וולונטרית לחלוטין.
גדי עברון
¶
ה-constituency, שזאת באמת מילה שקשה לתרגם לעברית, הוא ישראל, ואנחנו מתמקדים בתחום האזרחי. זאת אומרת, התקפות מישראל ולישראל, התקפות מהעולם לתוך ישראל ומישראל לעולם.
שני האירועים המכוננים המשמעותיים שלדעתי הביאו את ההקמה של הדבר הזה: האחד, בשנת 2007 היה אחד האירועים המכוננים בתחום אבטחת מידע בעולם, שבו הותקפה אסטוניה כמדינה על-ידי אזרחים, חלקם יגידו שרוסיה עמדה מאחורי זה וגרמה לכך שאזרחים יתקפו, אחרים יגידו שזו היתה התארגנות עממית, אבל ראינו בצורה חד-חד-ערכית שפרט לתשתיות הלאומיות, שקל לדבר עליהן, של חברת חשמל לדוגמה ומים, ואחר-כך תשתיות קריטיות שניתן להגדיר, כמו לדוגמה בזק, יש כאן שתי רמות של תשתיות שקשה להתמודד אתן: השלישית היא נושא של גורמים אזרחיים, עסקים וכו', והשנייה היא אזרחים. מה זה משנה ברמת העיקרון אם ספקי השירות בישראל נופלים או ש-8 מיליון אזרחים עכשיו מתחילים לתקוף את המדינה כי המחשבים השתלטו עליהם, הם הפכו להיות זומבים?
באסטוניה הייתי שם לכתוב את הפוסט מורטם - - - ועזרתי בהגנה שם, ובאמת ההבנה הזאת שהאזרח הקטן הוא חלק מההגנה על מדינה הגיעה והתחילה להתממש אצלנו בראש.
מה שקרה לפני שנתיים בערך עם ההאקר הסעודי, שיומיים המדינה ברמה מסוימת הפסיקה לתפקד. בבנקים היו תורים ענקיים, בטלפון לא יכולת להשיג אף אחד, כבר ב-06:00 בבוקר מנכ"לים של חברות אשראי היו ברדיו והתראיינו, לא אנשי PR, במשך יומיים המדינה ברמה מסוימת הפסיקה לתפקד בגלל מתקפה שלא היתה מעולם. זאת אומרת, בא האקר סעודי ופרסמו בעיתונות הישראלית: תקשיבו, חבר'ה, גנבתי 360,000 כרטיסי אשראי של ישראלים.
גדי עברון
¶
כמובן. אני לא אדבר בשם הבנקים. לא באמת קרה יותר מדי, לא באמת נגנבו יותר מדי כרטיסי אשראי, גם אם כן, הבנקים ערוכים מעל ומעבר כדי לטפל בנושא, אבל עצם הפעילות בעיתונות, עצם הפניקה שנגרמה לאזרחים היתה משמעותית מאוד.
כאן בעצם הקמנו את ה-CERT, החל מ-2011. הפעילות היא בעצם מחקר ותגובה לאירועים, תיאום של אירועים בין גורמים שונים, ניטור של מה קורה, איך קורה, למה קורה ואיך אנחנו יכולים להגיב, שת"פ בין-לאומי והסברה ופרסום שהפכו הרבה יותר משמעותיים.
אני אביא מספר דוגמאות לשנה האחרונה של דברים שעשינו, כשהמטרה היא להגיד שיש פעילות ענפה באזרחות. וכמו שקרה גם בארצות-הברית, הפעילות הענפה באזרחות המשיכה להתפתח והגורמים האחרים התחילו לכנס את המדינה לתחום. חשוב מאוד לא להשאיר את הפעילות שכבר קיימת ושיתוף הפעולה שכבר קיים מחוץ לזה, חבל לאבד את כל הפעילות שנעשתה.
לדוגמה, חקרנו ושחררנו מידע על התקפה ממוקדת על ישראל, ההשערה שעל-ידי אירן, שבאה לתקוף גורמי ביטחון. השחרור של המחקר הזה היה בדצמבר האחרון. הקמנו חדר מצב בהתקפת Opisrael האחרונה על-ידי האקרים של אנונימוס. הם לא באמת קבוצה, אבל הרבה מאוד האקרים ברחבי העולם תחת דגל של אנונימוס מגיעים להתקיף את מדינת ישראל. ארגנו חדר מצב, ישבנו באירוח מאוד נחמד של חברת ארנסט אנד יאנג בתל-אביב ועשינו מספר דברים באותו יום. אחד הדברים החשובים ביותר הוא באמת תיאום מול העיתונות, שכל דבר ייכתב בעיתונות, אם אנחנו יכולים, ובגלל שאנחנו גורם ללא משוא פנים, יפנו אלינו. הצלחנו להוציא הרבה מאוד הודעות מרגיעות – לא באמת קורה שום דבר מיוחד, מה כן קורה, וגם את זה מאוד חשוב להודיע וכו'.
דוגמה להתקפה משמעותית שקרתה – ראינו את זה מודיעינית בחי – כנגד אתר ממשלתי. דיווחנו על זה מיידית לתהיל"ה, ומיידית הם הגיבו לאירועים, הם מאוד-מאוד מוכנים לנושא, וההתקפה נפתרה בזמן אמת. מספר דברים אחרים - - -
גדי עברון
¶
בתחום הזה של עולם הסייבר, בסופו של דבר, יש מידע שמגיע מכל כיוון. לדוגמה, לפני שהקמנו את ה-CERT היו ארבעה אנשים בישראל, ביניהם אני, שהיינו מקבלים בגלל הקשרים האישיים שלנו מידע מרחבי העולם – הנה מידע על התקפה מתוחכמת כנגד ארגון ביטחוני ישראלי. המידע הזה היה מגיע אלינו אישית. בהקמת ה-CERT גרמנו לכך שהרבה מאוד מהמידע הזה עכשיו מתכנס לגוף אחד. הייתי אומר דבר כזה: עם כל הפעילות הענפה של ה-CERT, הדבר הכי משמעותי שיצרנו זה משפך אחד. אם רוצים ליצור היום קשר על אירוע שקורה בישראל, ארגוני ה-CERT האחרים ברחבי העולם – אנחנו עובדים עם כמעט כל מדינות העולם, עם משטרות בעולם. רק לפני חודש, בגלל שהייתי בכנס בחו"ל מול חברה בריטית, העברתי מידע לגורם ישראלי על התקפה של האקרים רוסים.
כל הנושא של התיאום הבין-לאומי מגיע לפאנל אחד בישראל, ואנחנו מסוגלים, בין אם זה באזרחות, בין אם זה מטה הסייבר ובין אם זה בשב"כ, להגיד: הנה מה שדווח לנו, הנה האירוע, אנחנו רוצים להעביר לגורם האחראי – אנחנו לא גוף אכיפה, אנחנו בסך-הכול גוף התנדבותי – ומצד שני לתאם את האירוע.
היו"ר אורי מקלב
¶
מה משמעות הפעילות שלכם לגבי העסקים הקטנים, התעשייה הקטנה, לגבי האנשים הפרטיים? האם יש משמעות לפעילות שלכם?
גדי עברון
¶
אנחנו מאוד זהירים בנושאים האלה. שוב, אנחנו בסך-הכול גוף התנדבותי. יש גם גבול חוקי למה שאנחנו מסוגלים לעשות. אנחנו מאוד זהירים בנושא, אבל כן, אנחנו משתדלים - - -
גדי עברון
¶
אנחנו זהירים. אנחנו אומרים: כל דבר שיש לנו ספק לגביו, אין ספק, ואנחנו לא עושים. אנחנו באמת עד כדי כך זהירים.
היו"ר אורי מקלב
¶
רק תרשה לי שאלה אחת. אתה אומר שיש גם פעילות מישראל לעולם. למה אתה מתכוון? זה מתקפה או זה אירוע נקמה? אני לא יודע איך לקרוא לזה. על מה אנחנו מדברים על פעילות מישראל לעולם?
גדי עברון
¶
בסופו של דבר, מדובר במחשבים. הרבה פעמים אנחנו שוכחים שיש שני דברים בעולם הסייבר: האחד, אנשים – הרבה פעמים אנחנו מנסים לפתור בעיה אנושית עם טכנולוגיה ונכשלים. והשני, מחשבים – אנחנו מבלבלים את המחשבים עם האנשים. אם יש מחשב בישראל שהשתלט עליו האקר, אפילו מחו"ל – וגם לנו יש פושעים כמובן – והוא מבצע באמצעותו תקיפה לעולם, אז מישהו בעולם, CERT ברחבי העולם, ספק אינטרנט, בנק, מי שלא יהיה, ינסה למצוא מישהו בישראל – עם מי אני יכול לדבר שיחזור אלי ב-SLA של 24 שעות, 48 שעות, ויעזור לי לפתור את הבעיה. זאת אומרת, אם חס ושלום התקפה מיועדת מישראל או כל דבר אחר, גם אנחנו יושבים על הרשת הבין-לאומית, והרבה מאוד מהמשתמשים הישראלים הם לא בהכרח ישראלים, גם אם המחשב שלהם והאדם שיושב על המקלדת הוא ישראלי.
גדי עברון
¶
התשובה היא חד-משמעית כן. ישראל, כמו שאמרו כבר לפני, ואין צורך להרחיב, מותקפת הרבה מאוד. מה שמשמעותי מבחינתי, כמו שאמר איציק בן-ישראל, התחלנו את הפעילות הזאת כבר ב-2002 כדי להגן על ישראל. אני מאמין שאנחנו מתקדמים בהרבה, כמו שאביתר אמר, לעומת העולם. מצד שני, ההרגשה שלי כאזרח – אני לא פוליטיקאי, אני פשוט אגיד – היא שאנחנו לא מוכנים ואנחנו לא מוגנים. לא בהכרח, חס ושלום, כדי לבטל את הפעילות הענפה שעושים גורמים נכבדים בישראל, והם באמת עושים ומשקיעים, לא רק כסף, גם זמן של אנשים מאוד איכותיים, אלא שבסופו של דבר להגן כנגד אירוע סייבר – זאת הסיבה שכולם מדברים על תיאום ועל שיתוף מידע – כדי להגן נגד אירוע סייבר הרבה פעמים זה בדיעבד. ברמה מסוימת אנחנו יושבים בארמון שעשוי קלפים, כאשר כל קלף יושב במדינה אחרת. כך אני מדמיין את האינטרנט במקרים רבים. אין לנו פה גבולות ברורים, אין לנו פה עניין ברור שהמחשב הזה שייך לאדם הזה, האדם הזה הוא בהכרח מהמדינה הזאת, והקוד שאנחנו יושבים עליו, המחשבים שאנחנו יושבים עליהם, הם בסופו של דבר בנויים על קוד שהוא לא מאובטח וניתן למצוא בו חורים. אבל, וזאת הנקודה המשמעותית, אנחנו יודעים - - -
גדי עברון
¶
אני יכול להביא דוגמה ממה שאנחנו יודעים, אבל לסיים את הנקודה המאוד-מאוד חשובה הזאת. חשוב לי מאוד לא להיות אדם מפחיד. בעולם אבטחת המידע, במיוחד אצל מנהלי אבטחת מידע, והייתי גם כזה בחיי, יש לנו נטייה להיות מפחידים. אין לנו מידע. המטריקה לבוא ולהגיד מה קורה, לכן אנחנו באים ואומרים: זה יכול לתקוף אותנו וההוא יכול לתקוף אותנו, והנה, אנחנו לא מוגנים.
אז אני בא מחד ואומר
¶
לדעתי התשתיות האזרחיות חשובות, אם לא יותר, מהתשתיות הביטחוניות. התשתיות הקריטיות זה ברור מאליו. ומצד שני: לא, אנחנו לא מוגנים, לא משנה כמה אנחנו מנסים. אבל, אני לוקח צעד אחורה כי המטרה שלי היא לא להפחיד, המטרה שלי היא להגיד: הנה, כן, יש התארגנויות, יש מצב שבו הרבה מאוד אנשים באים ועושים על מנת להגן על המדינה. מצד שני, יש פה ארגון אזרחי התנדבותי, שעד היום לא הצליח לקבל תקציב מאף אחד, כדוגמה.
היו"ר אורי מקלב
¶
קודם כול, תודה רבה. ההרגשה שלי, לא שאני יודע, שיש מודעות, אולי מודעות רחבה, אבל אני חושב שרבים לא יודעים איך לפעול בעקבות המודעות הזאת, מה הם צריכים לעשות, איך הם צריכים לעשות. אני לא מדבר על גופים גדולים שכל אחד, ודאי יש לו גם הנחיה ומחזיק לעצמו את אנשי המקצוע, מדברים על קשת רחבה ועשרות אלפים של גופים עסקיים או תעשייתיים או מסחריים ופרטיים כמובן. הם יודעים שיש בעיה, אבל אני לא חושב שהם יודעים מה לעשות. אני חושב שחלק מהמטרה של הוועדה הזאת זה לחשוף את הדברים האלה, להגביר את המודעות וגם לתת כתובת בעניין הזה, ואני אגיד את זה בסוף.
אברהם דיכטר
¶
בסופו של דבר אני חושב שהוועדה הזאת כמו כל ועדה בכנסת עוסקת בבחינת אחריות וסמכות. העמותה שאתה עומד בראשה או שעסקת בה כרגע היא עמותה שאין לה לא אחריות ולא סמכות מבחינה פורמלית. יש לה אחריות שאתם לקחתם על עצמכם, אחריות מאוד מבורכת, אחריות ציבורית, חברתית מרשימה, באמת, והפעילות שאתם עוסקים בה, את הסמכות אתם גוזרים מההבנה שלכם. זה שונה מהמנדט שיש לוועדת כנסת כאשר היא מדברת עם אביתר, שיש לו אחריות, ובמקרה הזה הוא קיבל אותה מהממשלה. במסגרת האחריות הזאת נגזרות הסמכויות שלו, ולכן באים אתו חשבון. בדרך כלל זה לא ליטופים, בליטופים המדינה לא עוסקת, בצ'פחות כן. כשיש תקלה, אתה אומר שכאסטרטגיה אתה לא מפחיד, הכוונה שאתה לא מפחיד משתמשים, אבל לגוף שיש לו אחריות, מטבע הדברים הוא גם מקבל תקציבים כדי לממש את האחריות שלו. אתה מלין על היעדר תקציבים או סיוע, זה מתחיל מהשאלה מה גזרת האחריות שלכם.
אברהם דיכטר
¶
עד לפני חודש הייתי יושב-ראש עמותה בתחום ניצולי השואה, שהיא היתה עמותה לכל דבר ועניין. בגלל שהיא קיבלה תקציב מסוים ממדינת ישראל, היתה לה אחריות על התקציב הזה. במסגרת פעילות שהיא עשתה מתקציבים אחרים שהעמותה גייסה בעצמה או תרומות שדאגתי להביא, אתה יכול להיות מאוד גמיש, יותר להפחיד, פחות להפחיד, אבל בסוף הוועדה הזאת – ועדת כנסת בכלל והוועדה הזאת בפרט – תפקידה לעבוד באופן מחייב מול הגופים שיש להם אחריות, ובתוקף האחריות גם קיבלו סמכויות, שלא לומר מעטפת תקציבית על-פי הנדרש.
גדי עברון
¶
אני שמח מאוד על כל הפעילות שמדינת ישראל עושה, על מטה הסייבר, על כל הפעילות שנעשתה מסביב. מצד שני, כמו בכל מדינה יש הרבה פעילות נוספת – באזרחות אנשים צריכים להגן על עצמם, מדווחים לעצמם, יוצרים פעילויות עצמאיות שלא קשורות למדינה, והתיאום חייב להיעשות גם בגלל שאפקטיבית כרגע כשרוצים ליצור קשר עם מדינת ישראל כיום, בין אם זה משטרות, מדינות, התקפות, מישהו שרוצה לקבל עזרה, ברוב המקרים יפנו אלי. אני לא אומר שזה מצב תקין, אני אומר שיש מקום ל-CERT אזרחי כמו בכל מדינה אחרת בעולם. זה שצריך להיות משהו מעוגן יותר וממשלתי, אין לי ספק בכלל, השאלה איך מתבצע שיתוף הפעולה ואיך מתקדמים, בלי לשכוח שיש גם אזרחים, ויש פעילות ענפה שמתבצעת כיום שאסור לאבד.
אברהם דיכטר
¶
בממשק שלכם, לצורך העניין מטה הסייבר או מה שהיום הרשות, נדמה לי שזה תפקיד מאוד משמעותי של עמותה פרטית כמו שאתה עומד בראשה, לבוא ולומר לאביתר: אנחנו ממליצים לכם מאוד – אם אני מחבר את זה לדברים שאמרתי לכם קודם – שתקבעו עשרת דיברות ליולי 2015. אולי תשנו את זה בדצמבר, אבל עשרת הדיברות למשתמש פרטי, אחד מה-8 מיליון, או לחברה עסקית. אלה עשרת הדיברות לדעתנו כעמותה, אנחנו רואים שזה מאוד אפקטיבי, זה קיים במדינות אחרות בעולם, שאולי אתם נמצאים אתן בקשר, ובסוף המטה יכול לאמץ את הכול, לא כלום או חלק מזה, ולומר: זה ה-guidelines העדכניים לאזרחי מדינת ישראל. זה שיתוף פעולה מאוד מבורך.
כטיפ, אני אומר לך
¶
בסוף כשיש גוף ממשלתי, ממלכתי, שרואה שיש עמותה אפקטיבית, שהיא עוזרת לו מאוד, ובמידה מסוימת אפילו מעין offload לגוף עצמו, שהוא לא יכול לגדול עד אין-סוף, ואז למערכות ממשלתיות יש טכניקה מאוד סדורה, פורמלית, מעוגנת בחוק, לעזור לעמותות כאלה, ואז יכולים להרוויח גם העמותה וגם הגוף הממלכתי.
אביתר מתניה
¶
אני רוצה להתייחס למה שהוא אמר, ממש בקצרה. הפעילות שלהם מבורכת, קודם כול, מעצם זה שהם לקחו אחריות, ויש להם ניסיון וקשרים בין-לאומיים מההיסטוריה שלו בכלל בתחום וגם בממשלה ושל אחרים, וגם בגלל שהם עשו דברים עוד לפני שהממשלה עשתה. אני רואה רק דברים טובים שקורים בנושא הזה.
אני חייב לציין שבסוף כמדינה, הממשלה צריכה לעשות את הדברים, ולא סתם הקמנו את ה-CERT הלאומי, שבסופו של דבר אפשר להביא אליו הרבה מאוד משאבים. זה מה שעשינו. היום אתה יכול למצוא בתוך ה-CERT הלאומי, באתר, il-cert.org.il, פשוט הסבר לאזרח הקטן, דרך העסק הקטן ועד מנהלים וכדומה. אני לא יכול לצפות מגוף וולונטרי, שאנשיו עושים את זה מעבר לעבודה שלהם – יש לו סטרטאפ שלם לנהל, שהוא לאחרונה גייס לו כסף – אתה לא יכול לצפות מהם לעשות מה שהמדינה מחויבת לעשות, והמדינה עושה את זה.
כל מה שאתה שואל קיים, הוצאנו לאחרונה מה שנקרא, "best practices" למנהלי אבטחת מידע. אנחנו עושים יותר ויותר. הפעילות של הגופים האלה תמיד תישאר פעילות מעניינת, בגלל שבסופו של דבר יש אנשים פרטיים ויש גופים שהקשרים שלהם ורמת ההיכרות שלהם היא כזאת שהם יכולים לתרום. ואני בפירוש חושב שלצד הגוף הלאומי, שמחויב לעשות מה שאתה אומר, עם משאבים ברמה אחרת ועושה את זה כבר היום, והוא רק הולך וגדל, טוב שיש לנו גופים כאלה, והעבודה המשולבת אתם חיובית. דרך אגב, אתו כמו עם איגוד האינטרנט של מדינת ישראל.
היו"ר אורי מקלב
¶
אני קצת מודאג מהצד השני, והדברים שנמנעים מלעשות בגלל שהם חוששים, בגלל שאין הסדרה. יכול להיות שהסדרה, אולי ביוזמה שלכם, תיתן להם אפשרות לפעול הרבה יותר חוקית, ותיתן להם הגנה לתחום הפעילות שלהם. אנחנו היום עסוקים בהגנה. מה זה עמותות וולונטריות? מחלקות אוכל לנצרכים. היום אנחנו מנסים לאפשר לאותן עמותות בהסדרה לקיחת אחריות על חלוקת אוכל כדי לאפשר לחלק אוכל. אני מביא דוגמה ממש מהקצה השני. באותה מידה זה קיים בכול.
אברהם דיכטר
¶
אורי, זה כמו בעולם שאתה מכיר. קח את זק"א, הרי זק"א לא קם כגוף ממלכתי, הוא קם כעמותה פרטית, למיטב זכרוני. היום אתה מנסה לדמיין את החיים בישראל בלי זק"א? בכלל אי-אפשר לחשוב על זה. אני לא יודע אם העמותה היא הזק"א בתחום – סליחה על ההשוואה - - -
אברהם דיכטר
¶
המערכות הישראליות לחירום לא יודעות לעבוד היום בלי זק"א, לא רק בארץ, בעולם. שמע, אתה נוסע בעולם, אתה שומע 'זק"א'. כמובן הם לא יודעים לבטא, הם לא מבינים, הם חושבים שזק"א זו מילה אחת, הם לא מבינים שזה ראשי תיבות. תראה גוף שקם מהליך די דומה להליך של העמותה שאתה מדבר עליה.
אברהם דיכטר
¶
זה מראה שהוא ארגון יהודי, לכן הוא מלין... ארגון יהודי מתחיל מזה שהוא מלין, אחרי זה הוא בודק מה הלאה...
היו"ר אורי מקלב
¶
נדמיין לעצמנו את תחום השיקום במדינת ישראל בלי "יד שרה". זו דוגמה איך אדם לא יכול להשתחרר מבית חולים בלי יד שרה. הם נמצאים בכל בתי החולים, כי המדינה לא יודעת לתת להם את המענה של מה שצריך לתת לאדם כשהוא צריך להשתחרר והוא זקוק למשהו לעזר.
אנחנו יכולים להרחיב בעניין הזה, אבל נבקש לשמוע את בנק ישראל.
רחל יעקבי
¶
אני מייצגת את הפיקוח על הבנקים. אני אחראית על נושא של ניהול סיכונים תפעוליים, הסייבר והפיקוח על הבנקים. רציתי להתייחס לכמה דברים שנאמרו כאן ברשותך, היושב-ראש.
ובכן, לנושא הרגולציה. אני חייבת לציין שמטה הסייבר הלאומי כמובן עושה עבודה ראויה ומקיפה. עם זאת, הפיקוח על הבנקים שהקים את יחידת הסייבר בתחילת 2012 כבר עשה הרבה מאוד פעולות בתחום חיזוק התמודדות המערכת הבנקאית – הבנקים וחברות כרטיסי האשראי – מול איומי הסייבר, מפני שהוא סבור וחושב שהם מהווים יעד אסטרטגי לתקיפה.
אחת מהפעולות היא הסדרה, רגולציה. אני חייבת כאן לציין בפורום הזה, שבדרך כלל הוראות הרגולציה של הפיקוח על הבנקים מתבססות על סטנדרטים והוראות בין-לאומיות כמו ועדת בזל, למשל, שעוסקת בין היתר בתחום ניהול סיכונים שונים בנושא הזה. גם מפאת האיום על מדינת ישראל נוכח המצב הגיאו-פוליטי, גם בגלל שהמערכת הפיננסית היא יעד לתקיפה, ובכללה המערכת הבנקאית, הוחלט להוציא הנחיה, הוראה, שקראנו לה "ניהול הגנת הסייבר", שהיא הוראה של עקרונות-על, ולמיטב הבנתנו היא ראשונה מסוגה בעולם שהוצאה על-ידי גוף מפקח על מערכת בנקאית ואולי על מערכת פיננסית בכלל.
נכון שעוסקים ברגולציה, אבל יש כבר רגולציה למגזר הבנקאי בתחום הגנת הסייבר, רגולציה שמביאה את התובנות של עולם איומי הסייבר, של עקרונות הגנת הסייבר, זה לא אבטחת מידע, זה - - -
רחל יעקבי
¶
ודאי בהיבט הלקוחות. אחת המטרות זה גם להגן. בהגדרה הפיקוח על הבנקים צריך להבטיח את יציבות המערכת הבנקאית וגם הגן על נכסי הלקוחות, הנכסים הפיננסיים של הלקוחות, בוודאי.
רחל יעקבי
¶
זה לא הוראה של צ'ק ליסט, היא לא נותנת ממש הוראות איך לעשות, היא מדברת ברמה של עקרונות, של תובנות – מהם העקרונות של העולם המיוחד הזה, עולם הסייבר שהשתנה.
רחל יעקבי
¶
רגע. קודם כול, תחולת ההוראה היא ב-1 בספטמבר. כלומר, ההוראה הופצה ב-16 במרץ שנה זו, נתנו לבנקים זמן להתארגן החל מ-1 בדצמבר. אגב, בהוראה הזאת יש הגדרה של תפקיד חדש שלא היה קיים במערכת הבנקאית, זה מנהל הגנת הסייבר, זה תפקיד בכיר, והוא אחראי על מכלול ההיבטים שקשורים להגנת הסייבר. זה באשר לרגולציה.
אגב, הופצה עוד הוראה של דיווח לפיקוח על הבנקים על אירועי הסייבר. זה הופץ ממש בימים האחרונים. זו הוראה שלא מתפרסמת לציבור, מפני שהיא כוללת דיווח על פרטים שעשויים להיות חסויים בעולם הזה, כלומר, חשיפת הפרטים האלה יכולה לשמש גורמים עוינים או בשפה של הסייבר יריבים שיש להם עניין לתקוף את ישראל. זה באשר לרגולציה.
רחל יעקבי
¶
עוד דבר אחד אני חייבת להגיד למה שנאמר כאן על-ידי גדי עברון. בתחילת 2012, זה היה לפני שלוש שנים ולא לפני שנתיים, הנושא שנקרא "ההאקר הסעודי", בהיבט של חברות כרטיסי האשראי נחשפו פרטים של כ-30,000 כרטיסי אשראי בשלוש החברות. אנחנו, הפיקוח על הבנקים, לא מזלזלים בשום אירוע וגם טיפלנו בזה ביסודיות. עם זאת, זה לא היה אירוע כפי - - -
רחל יעקבי
¶
לא נעצרה. זה היה יותר אירוע בהיבט הפרטיות, כי בנוסף – אני לא רוצה חלילה לא לדייק בדברי – נחשפו פרטים אישיים של נדמה לי כ-200,000 או 300,000 לקוחות, שזה נושא ששייך לתחום הגנת הפרטיות. בנושא של כרטיסי אשראי – 30,000. למרות זאת, טיפלנו בנושא וגם חברות כרטיסי האשראי טיפלו בנושא, הן הצליחו מייד להנפיק כרטיסים חדשים. מבחינת העוצמה, הווליום של האירוע לא היה אירוע בעצימות גבוהה מאוד.
עוד נקודה, וכאן, ברשותך חבר הכנסת מקלב - - -
היו"ר אורי מקלב
¶
זה היה אירוע, בכל אופן גדול יותר בכל קנה מידה. נמנענו מלדון בעניין הזה בשלב החקירות.
רחל יעקבי
¶
נושא של גניבה מבנקים – צריך להבין שמעבר להשלכה, לסיכון שבגניבת כסף, לבנקים יש סיכון נוסף שהפיקוח על הבנקים מביא בחשבון, וזה סיכון מוניטין. יכול להיות שאם באמת ייגנב סכום מאוד גדול מבנק, בשיטה כזאת או אחרת מכמה וכמה לקוחות, זה לא ימוטט את הבנק. עם זאת, התממשות של סיכון מוניטין בשפת ניהול הסיכונים זה בהחלט סיכון שראוי להתחשב בו, כי יש בו חלילה אימפקט או השפעה שיכולה להיות עוצמתית במצב כזה או אחר. זו רק הערה שרציתי להעיר.
היו"ר אורי מקלב
¶
תודה רבה. זה חשוב מאוד. התחום של הבורסה זה בכלל לא בתחום אחריותכם, זה כבר בתחום האסטרטגי או בתחומים אחרים שתחת פיקוח ממשלתי. פרופ' דני דולב מהאוניברסיטה העברית, ואחריו – מר גדעון קונפינו. בבקשה.
דני דולב
¶
אני באוניברסיטה העברית בראש מרכז מחקר בסייבר. שוב, גם בהנחיית אותה רשות. עמדתי בראש תת-הוועדה לנושא הגנה שאיציק בן-ישראל התייחס למכלול שלה. אני עוסק בנושא של ה-CERT הישראלי שבזמנו היה במסגרת מחב"א, אני הייתי יושב-ראש מחב"א כשמיסדנו את זה בשנות ה-90.
כל מה שנאמר, אני מברך על הכול. אני רוצה לציין עוד דבר אחד ולהרחיב את מה שאמרת. אנחנו לא צריכים רק זק"א, אנחנו צריכים גדנ"ע סייבר. אחת מההמלצות שלנו זה להטמיע בבתי הספר התיכוניים את המודעות לכל נושא הסייבר. כמו שכל אחד מאתנו, כשהוא רואה שקית חשודה, מייד מזעיק איזה גורם, אני רוצה שכל נער וכל אדם יהיה מודע לחלקו בנושא ההתראה. אותה הוועדה, שעמדתי בראשה, דנה בכל המכלול, כולל בנושא החינוך. בנושא המחקר אנחנו בפירוש מתגבשים כדי להביא חוקרים מדיסציפלינות שונות יחד להסתכל על אספקטים של סייבר, וכבר נעשו כמה קפיצות מדרגה. בהחלט מדינת ישראל עושה רבות ואני מברך על הכול, וכמו גבי, אנחנו לא מוכנים ליום הדין עדיין, אבל נהיה בסדרי גודל יותר מוכנים מאחרים, אם כל מה שהתחלנו לעשות גם יתבצע.
דני דולב
¶
יש מרכזי מחקר במספר אוניברסיטאות בארץ, אנחנו משתפים פעולה בינינו, וגם עם העולם, יש תוכניות מחקר עם הקולגות האמריקניות שלי, עם ה-BSF הישראלי. כלומר, הנושא הזה של הבנה מהי חזית היכולות בתחום הזה בפן האקדמי בכל העולם המערבי היום מכה גלים.
גדעון קונפינו
¶
צהרים טובים, תודה על רשות הדיבור. אני מנהל חטיבת אבטחת מידע וסייבר של רשות התקשוב הממשלתי במשרד ראש הממשלה.
דבר חשוב שקורה בשנים האחרונות - - -
היו"ר אורי מקלב
¶
אתם תישארו רשות תקשוב כל הזמן? האם תישארו גם כשקמה רשות? האם תהיו תחת האחריות? האם זה מיזוג בין הרשות שלכם היום לבין מה שיהיה בעתיד?
אביתר מתניה
¶
זו היחידה שציינתי, יהב, יחידת ההגנה בסייבר, שהיא חלק מרשות התקשוב הממשלתית, שקמה בעקבות החלטת הממשלה ב-15 בפברואר, והיא מוכוונת ומונחה על-ידי הרשות. הוא זה שמקים אותה.
גדעון קונפינו
¶
אנחנו הגוף שמנחה את משרדי הממשלה בתחום ההגנה בסייבר. כמובן בתיאום כל הגופים האחראים על-פי חוק, חוק הגנת הפרטיות, חוק הסדרת הביטחון, כדי להעלות את רמת ההגנה של משרדי הממשלה.
הנקודה שהתחלתי בה, שהיום סייבר זה דבר שכל אזרח וכל עובד מדינה יודע ומדבר על זה וקורא עליו בעיתון. זה אחד הדברים החשובים ביותר. ההגנה זה קודם כול המודעות והידע של העובד עצמו ושל האזרח שיש נושא כזה וצריך הגנה.
כשאני מסתכל לפני 20 שנה או 15 שנה, היתה קהילה מאוד מצומצמת, ותמיד אמרנו: אנחנו רוצים שתגיע המודעות אל כלל האזרחים.
הקמת מטה הסייבר והנושא הלאומי, שזה עלה לסדר-היום לא בחלקים המדעיים של עיתונות המדע או ה-science במדעי המחשב, המודעות שקיימת היום במדינה זה דבר מהותי להצלחתם של כל התהליכים שאנחנו עושים כאן.
יותר מזה, אני רוצה להזכיר דבר חשוב שקיים אצלנו. רשות התקשוב הממשלתית כוללת שלושה גופים: ממשל זמין, שהוקם בשנת 1997, גם בתהיל"ה הזכירו את השם שלו; יחידת השיפור לאזרח; עכשיו אנחנו מקימים את היחידה להגנת הסייבר.
ממשל זמין – כבר ב-1997 כשהוא הוקם, הוא הוקם בראייה של צורך בהגנה למשרדי הממשלה, בשער לאינטרנט. אז הוקם האינטרנט, אמרו שצריך להקים שער אחיד לממשלה, כדי להגן על חיבוריות הממשלה לאינטרנט. הדבר הזה קיים כבר משנת 1997, והוא רק הולך ומתחזק. הכוונה היום היא לתת הגנה הרבה יותר רחבה מזה, כלומר, הגנת הסייבר היא לא רק החיבור לאינטרנט, היא ההתקשרות שלך מול הספקים, היא העברת אינפורמציה, אם זה בתהליכים אלקטרוניים או בתהליכים אחרים, אם חיבוריות של מערכות המחשוב לאזרח. כתוצאה מזה, כשפעם, ב-1997, ראינו את השער לאינטרנט, היום אנחנו רואים את ראיית ההגנה בראייה הוליסטית ומשרדי הממשלה פועלים לפי החלטת הממשלה שהתקבלה ב-15 בפברואר לקדם את הנושא, כל משרד לגופו, אבל בראייה ממשלתית כוללת, וזה לא דבר פשוט.
ראייה ממשלתית כוללת – ההגנה צריכה להיעשות בצורה הזאת משתי סיבות: השירות לאזרח – האזרח רוצה את השירות שהוא מקבל, אם דרך מיזם ישראל דיגיטלית, אם דרך מערכות שהתקשוב מקים בתוך הממשלה פנימה. הוא רוצה את השירות לא בתור משרד מסוים, הוא רוצה לקבל שירות מהממשלה, והוא רוצה להיות בטוח שהשירות שהוא מקבל הוא שירות מאובטח ברמה כלל ממשלתית. נוסף לזה, הגורמים שמאיימים עלינו ביומיום הם גם תוקפים את הממשלה בתור גוף אחד, הם לא רואים את משרד X או משרד Y, הם רואים את ממשלת ישראל מולם, וכתוצאה מזה ההגנה צריכה להיעשות לא רק בראיית כל משרד ומערכותיו, אלא בראייה כוללת של כל משרדי הממשלה.
היו"ר אורי מקלב
¶
מה עם נושא התקצוב? מי קובע את התקצוב? כמה משאבים מקצים לזה? הרי הכנה והיערכות זו פונקציה של תקציב.
גדעון קונפינו
¶
נכון. החלטת הממשלה דיברה על תקציב, על חיוב משרדי הממשלה במינימום, כמו שד"ר אביתר מתניה אמר, במינימום 8%, וזה בא להעיר את המשרדים היותר חלשים, שלא הקציבו בכלל תקציב לנושא, 8% מתקציב ה-IT. זה תנאי כניסה לתוך התהליך הזה, ולפעמים התהליך הזה מחייב יותר כסף.
יש כסף מרכזי שניתן דרך מטה הסייבר להרמת הסטנדרט הממשלתי, אם זה תהליכים של עמידה בתקנים ישראליים שאומצו מתקנים בין-לאומיים ואם זה מהקמת תהליך מאוד מרכזי של ה-CERT הלאומי וה-SOC הממשלתי, שיקומו ויהיו מרכז הידע לכל נושא ההגנה של משרדי הממשלה. כלומר, הם גם יציפו את הנתונים מלמעלה כלפי מטה של איך להגן ואיך צריך לעשות את זה וגם יעלו מכיוון המשרדים כלפי מעלה, אם זה בצורה הוריזונטלית בין המשרדים ואם זה ברמה לאומית לאירועים שקורים, כדי לתת פתרון, כדי שלא נגיע למצב שהיה בעבר, שמשרד נתקף ואחריו משרד אחר נתקף באותו אירוע, כאשר הוא לא ידע לטפל או לא היו לו הכלים לטפל. הכוונה להרים את המשרדים דווקא היותר חלשים לרמת סטנדרט מינימלית שתוכל לתת מענה, הן ברמת הפרטיות, הן ברמת הביטחון והן ברמת הראייה הכלל ממשלתית, כדי להביא את ממשלת ישראל להיות באמת מובילה, כמו שכתבנו בהחלטת הממשלה, מובילה בתחום הגנת הסייבר.
היו"ר אורי מקלב
¶
הממשלה זה ממשלה, אבל בכנסת ישראל כבר כמה שעות אין אינטרנט. אני לא יודע מה המשמעות של הדבר הזה. אולי בעקבות הדיון בוועדה. תודה רבה. רפ"ק גלעד בנט.
גלעד בנט
¶
אני היועץ המשפטי של מערך הסייבר במשטרה. אנחנו נמצאים בממשק פעיל והדוק עם המטה הקיברנטי, מטה הסייבר הלאומי ורשות ההגנה בסייבר, שמוקמת בימים אלו. אנחנו נוטלים חלק פעיל בהגנה במרחב המקוון.
זאת תפיסה, זאת תפיסה של משטרה לאומית כשחקן פעיל ומרכזי בזירה הזאת. למשטרה לאומית יש כמה יתרונות יחסיים בהיבט הזה: אחד, השת"פ הבין-לאומי עם גורמי אכיפה מקבילים בעולם, ועולם הסייבר, כפי שנאמר פה על-ידי חלק מהדוברים. הרבה מעולם ההגנה מבוסס על שיתופי פעולה פעילים ואופרטיביים, יש שם ארבעה נתיבים של שיתופי פעולה – אני לא אכנס לזה – בתווך הבין לאומי שמשטרת ישראל מקיימת. אחד מהם, היותר מוכר, זה מוקד 24/7 שמוקם מתוקף אמנת מועצת אירופה, כפי שסייבר, אמנת בודפשט. למרות שישראל עדיין לא חתמה על האמנה, התשתית כבר קיימת במשטרת ישראל, ביחידת הסייבר, בצורת חדר מצב, ותיכף אני גם אסביר מה הוא עושה חוץ מזה, חוץ מהממשק הבין-לאומי.
משטרה לאומית גם יודעת לדבר עם האזרח, ולכן מאוד חשוב לשמר את היכולות שלה בהיבט הזה. אף-על-פי שהתפיסה המסורתית היא לדבר עם האזרח דרך התחנה, אנחנו לומדים שעולם הסייבר והאיומים הקיברנטיים מחייבים אותנו לשנות תפיסה באמצעות יצירת ממשקים מקוונים מול האזרח. בעולם הזה האיומים זזים הרבה יותר מהר מהיכולת של אדם שמתלונן להגיע לתחנה ולמסור מידע, והיכולת של המשטרה לתרגם את המידע הזה למשהו אופרטיבי, ולכן מערך הסייבר מונחה לגרור את המשטרה למאה ה-21 בהיבט הזה.
המשטרה היא גם האחראית היחידה, יש לה סמכות אקסקלוסיבית לנהל את ההליך הפלילי בהמשך לאירועי סייבר ומתקפות סייבר. ולא פחות חשוב אנחנו גם האורגן שבסופו של דבר יושב מול התוקף בחדר החקירות, מסתכל בו עין בעין, לומד אותו, מבין את המניעים, מבין את הפרסונה, ויש מנעד מאוד רחב של עבריינים בתחום הזה.
בסוגריים אני רוצה לומר שזה כבר סוג של ידיעה די רחבה בעולם, ובשנים האחרונות אנחנו מזהים יחס הפוך בין רמת התחכום הטכנולוגי, רמת השליטה הטכנולוגית של התוקף, ובין רמת התחכום של הכלי. למעשה אם לפני עשור האקרים היו אנשים ששלטו בקוד המקור והיו צריכים לשלוט בנבכי התוכנה בשביל לדעת ולזהות פרצות ולהיכנס דרכן, היום הכלים האלה מאוד נגישים, אנשים עם רמת ידיעה יחסית נמוכה בתחום הטכנולוגי יכולים להוריד אותם מהאינטרנט ולהשתמש בהם לצורכי תקיפה. יש הרבה מאוד תכליות של תקיפה: תכליות פליליות, תכליות אידיאולוגיות, כאלה שמוכוונות רווח.
למעשה מה שהופך אותנו להרבה יותר פגיעים הם שלושה אלמנטים: האחד, היפר ויראליות של הנתונים; השני, א-סימטריה ברמת האנונימיות בין הקורבן לתוקף; השלישי, קיומם של הרבה מאוד פרוקסים, הרבה מאוד גופים שמחזיקים מידע ששייך לנו.
אגב, אני באופן אישי הרבה יותר מוטרד מנתוני מיקום שלי שנשמרים בשרתים, הרבה יותר מוטרד מנתוני תוכן שלי שנשארים בשרתים, אס.אמ.אסים, ווטסאפים שאני שולח מאשר תעודת הזהות שלי או טביעת האצבע או נתונים ביומטריים שלי, דברים שיכולים ללמד עלי הרבה יותר, ולטעמי האישי פוגעים הרבה יותר בפרטיות אם הם יפלו לידיים של תוקף.
גלעד בנט
¶
נכון, אנחנו רואים שזה הופך את המאגרים האלה להרבה יותר רגישים, אגב לאו דווקא בידיהן של תשתיות קריטיות. חברות אזרחיות, חברות מסחריות, ששומרות הרבה נתונים שלנו ומקיימות מאגרי - - -
גלעד בנט
¶
אפשר לתרגם מה שלמדנו מפרשייה אחרת שאנחנו לא רוצים לדבר עליה פה וזה איך מידע עסקי הופך להיות איום משקי, שהוא הרבה יותר גדול מהמאגר - - -
גלעד בנט
¶
תחום הסחיטה הוא מאוד מפותח, הכלים הטכנולוגיים של נעילת קבצים, הקריפטולוקר, יש כבר כמה דורות של הווירוס הזה.
גלעד בנט
¶
זה בעצם כלי כופר, הוא נועל את הקבצים האישיים שלך במחשב המקומי, ככל שאין לך גיבויים במקום אחר, אתה נאלץ להחליט אם לשלם או לא לשלם. הכסף בדרך כלל מועבר באמצעות מטבעות וירטואליים, כמו ביטקוין, שמקשים מאוד את האיתור והמעקב אחרי האחראים, מושקע הרבה מאוד כסף והמון מאמץ טכנולוגי בשביל לפצח את האמצעים האלה, גם את הקריפטולוקר וגם את הביטקוין. אתגר טכנולוגי גדול ללא ספק.
אני רוצה להגיד מילה אחת על מטה הסייבר הלאומי ורשות ההגנה כמכפילי כוח. אנחנו רואים בשני הגופים האלה מכפילי כוח מהותיים במספר תחומים: האחד, בנושא שיתוף הפעולה שלנו עם גורמים בתווך הבין-לאומי, השני, בתחום מומחיות התוכן. המטה מרכז המון תוכן, המון ידע בנושא הטכנולוגי, מסייע בנושאים של סטנדרטיזציה של תהליכי עבודה, דברים שאנחנו נכנסים אליהם לאחרונה, והוא גם איזה שער למשטרת ישראל למדיניות הסייבר הלאומית ולהכנסה של האינפוט של המידע של משטרת ישראל לתוך תהליכי קבלת החלטות בנושא מדיניות, שזה מאוד-מאוד חשוב.
היו"ר אורי מקלב
¶
תודה רבה. היינו אולי מרחיבים אם היה יותר זמן. אין ספק שבמשטרה או בכל הנושא של הסייבר מבחינת המשרד לביטחון פנים יש היבטים רחבים מאוד וגדולים מאוד. היום, כפי שגם ציינת, כל המרחב הגלובלי נהיה מרחב אחד גדול בתחום הסייבר, זה לא נגמר במדינה. תחום המדינה הוא תחום לא רלוונטי, ודאי שזה מגיע לפשיעה, מגיע לתחום הפלילי ולתחום המוסרי. שיתוף הפעולה הגדול שיש לכם, אני קצת מכיר את זה מוועדת החוקה בתחום המוסרי, כמה שיש בעניין הזה מעקב בין-לאומי וטיפול בין-לאומי, אבל בסופו של דבר, מה שמדאיג אולי יותר, ואנחנו שואלים: האם אתם עסוקים רק בהגנה, במניעה, או בטיפול בעקבות משהו? האם שוטר מגיע לאירוע שקורה או שהיום יש לכם פעילות להקדים בצעד אחד, לחזות פני עתיד בעניין הזה ולהיות במקום לפני שאירוע קורה? בשונה אולי מהתחום הפלילי, הפיזי, אתה כמעט לא יכול לבוא לפני אירוע, אתה יכול, אבל רק בתחכום ובידע רב אתה יכול להיות במקום לפני. איך אמר לי פעם שוטר? על כל גנב אני צריך שני שוטרים. לא מספיק שוטר אחד על גנב אחד. על כל גנב צריך שני שוטרים.
גלעד בנט
¶
זו שאלה מצוינת, כי התשובה עליה ממחישה למעשה את ההבדל בין משטרת הסייבר לפני שנתיים והמשטרה שקיימת היום. המשטרה לפני שנתיים, שנתיים וחצי, היתה משטרה שמשבוססת על פורנזיקה. למעשה כל טיפול היה טיפול תגובתי, טיפול שעוקב אחרי התוצאה ועושה רוורס אינג'נירינג.
הערך היחסי של מערך הסייבר היום עומד על ארבע רגליים למעשה. אנחנו תוקפים תיק חקירה מארבעה כיוונים: שני התחומים המסורתיים, שזה פורנזיקה ותשאול, ושני התחומים הנוספים, שהם רגל מסייעת מהותית, האחד מהם תחום הטכנולוגיה, שלמעשה מאפשר לנו לבנות חליפה טכנולוגית לכל תיק לפי הצרכים שלו, והשני, שהוא תחום מהותי, הוא התחום המודיעיני, ובמענה לשאלתך מאפשר לנו להיות במקומות מסוימים לפני שהמקומות האלה מצליחים לייצר איזה אירוע פוגעני. השיטה הזאת בשנתיים האחרונות מוכיחה את עצמה, ואנחנו מנסים לשכפל אותה ולייצר אותה גם לשאר יחידות המשטרה שמתעסקות בסייבר. רק כדי לסבר את האוזן, היום המערך מונה כ-100 איש, 50 מהם יושבים ביחידת הסייבר הארצית ו-50 פרוסים במחוזות, ואנחנו מנסים להוות מוקד של ידע גם למחוזות בהיבט הזה.
היו"ר אורי מקלב
¶
אנחנו נמצא את ההזדמנות עוד להרחיב בעניין הזה. הגענו לשעה 13:00, שזה זמן הסיום. הדובר האחרון הוא אסף וייסברג, נשיא האיגוד הישראלי לביקורת והחלפת מידע.
אסף וייסברג
¶
ישר ולעניין. קודם כול, אנחנו עמותה מקצועית, שקיימת כבר 35 שנה ומסונפת ל-ISACA העולמית. ISACA זה איגוד ששנים עוסק בתכנים של ביקורת מערכות מידע, ניהול סיכוני מערכות מידע, אבטחת מידע, ובשנים הקצרות האחרונות בנושא הסייבר.
המשימה הטבעית שלנו כאיגוד היא להפיץ ידע ומתודולוגיות שהאיגוד העולמי מפתח ולהסמיך מומחים לתחומים השונים שציינתי. העסק הזה מתחבר למה שהיה פה קודם, הצורך להתחבר לתקנים מקובלים. ISACA העולמית היא גורם שמעורב בפיתוח של התקינה האמריקנית, אנחנו מביאים את זה לארץ, והשנה מתרגמים ספר רלוונטי בעברית, כדי להנגיש אותו לציבור.
דבר נוסף. עלה הנושא של הצורך להחזיר מקצועות סייבר וסטנדרטים ולהסמיך את הגורמים השונים, וההסמכות הקיימות באיגוד. ההסמכות ממש מתהוות בימים אלה בנושא של סייבר, הן בהחלט תקן אפשרי שניתן לאמץ, ואנחנו פה מושיטים יד ואומרים: יש לנו פה תשתית, יש לנו פה מנגנון והמערכת כבר שנים יודעת להסמיך מקצוענים בתחום.
בימים אלו יש לנו כבר פגישה עם מטה הסייבר, בתחילת אוגוסט, ושם אנחנו מנסים למפות את מקצועות הסייבר להסמכות שלנו, כדי לראות איפה אפשר לייצר זיקה ולתת סיוע והסמכה של מומחים והגדרה מה זה מומחים בתחומים השונים לפי המקצועות שהוגדרו.
דבר נוסף שעלה פה קודם, וזה משהו מאוד-מאוד התחלתי מבחינתנו, זה קייטנת סייבר. אנחנו נמצאים בראשיתה של יוזמה, אנחנו קוראים לזה, "תרומה לקהילה", ואנחנו נרצה לחבור לנוער ולקדם אותו למצב שהוא יוכל להתאים לקריטריונים, לסטנדרטים של יחידות הסייבר והמחשב בצבא. אם נוכל לקחת נוער, נקרא לזה "מסביבה פחות מקדמת", ולהביא אותו ליחידה הזאת - - -
היו"ר אורי מקלב
¶
אין ספק, צריך לגלות כישרונות. יש כישרונות חבויים שאנחנו צריכים לחשוף ולגרות לפעילות הזאת. בסוף נייצר כמו בכל דבר את המוח היהודי או המוח הישראלי, שיידע לתת מענה.
אני חייב לסיים. קודם כול, אני מודה לכם מאוד. אנחנו נמשיך לדון בדברים באופן פרטני.
יש לי רק כמה סיכומים ברשותכם. בגופים השונים יש ריבוי יחידות. אנחנו נפרט יותר את הדיון, זה רק דיון ראשון. אנחנו מודעים לכל המשתתפים על שיתוף הפעולה.
ועדת המדע והטכנולוגיה של הכנסת שמעה בעניין רב על הפעילות הממשלתית, האזרחית, בתחומי ההגנה במרחב הקיברנטי.
הוועדה רואה חשיבות רבה בהגנה בסייבר, לא רק על מתקנים חיוניים, אלא על כלל המשק, עד רמת האזרחים, ולכן רואה צורך בהעלאת המודעות של עסקים קטנים אזרחיים, וחשיבות ההגנה על התשתיות החשובות, האישיות, עד הטלפון החכם, הגנה על הפרטיות ועל המידע גם בתחום הפלילי והמוסרי.
אנחנו מציעים כי רשות הסייבר תפרסם הנחיות עשה ואל תעשה לציבור.
הוועדה מבקשת לקבל דיווח על הקמתן בפועל של רשות הסייבר הממשלתית והיחידות השונות, בהן היחידה להגנת סייבר בממשלה, מרכז השליטה והבקרה, היחידה להסדרת שוק שירותי הסייבר. כמובן גם יה"ב בפנים.
הוועדה גורסת כי יש לוודא שיתוף פעולה ותיאום ותיחום הסמכויות של כל השחקנים הממשלתיים בנושא הסייבר.
אנחנו לא רוצים להגיע ליום הדין בנושא הסייבר. אנחנו חושבים שצריכים לשאוף ולפעול כדי להיות ערוכים ומוכנים ככל האפשר. תודה רבה לכם.
הישיבה ננעלה בשעה 13:02.