כנסת פתוחה

פרוטוקולים/ועדת מדע/6764



5
ועדת המדע והטכנולוגיה
1.7.2003

פרוטוקולים/ועדת מדע/6764
ירושלים, י' בתמוז, תשס"ג
10 ביולי, 2003

הכנסת השש-עשרה נוסח לא מתוקן
מושב ראשון




פרוטוקול מס'
מישיבת ועדת המדע והטכנולוגיה
שהתקיימה ביום שלישי, א' בתמוז התשס"ג, 1 ביולי 2003, בשעה 13:00

עבירות מידע בעידן ההיי טק

חברי הוועדה: היו"ר מלי פולישוק-בלוך
יגאל יאסינוב
עבד אלמאלכ דהאמשה

רוני דיין - מנהל אגף יישומי מחשב בחינוך, משרד החינוך
אבנר בן-אפריים - ר"חט ביטחון, קשר ומחשבים, משרד הביטחון
סנ"צ מאיר זוהר - ראש מפלגה עבירות מחשב, יח"ה
עו"ד נעמי אסיא - לשכת עורכי הדין
עו"ד נמרוד קוזלובסקי - מומחה בתחום משפט אינטרנט
עו"ד אביב איילון - מומחה התחום משפט אינטרנט
ברק רז - משרד הביטחון
דוד רגב - רע"נ אבטחת מידע במשרד העבודה והרווחה
יוסי גוטליב - סמנכ"ל טכנולוגיות /"אקספרט" מערכות משולבות
אלון שטרסמן - מנכ"ל "אקספרט" מערכות משולבות
דורון אופק - יועץ אבטחת מידע
יוסי אבני - מנכ"ל חברת "סקיוריטי"
דורית בכר - מפקחת ארצית על מידע ואתיקה, משרד החינוך
מוטי סדובסקי - "מיקרו סיסטמס"
עו"ד תמר בורנשטיין - משרד המשפטים
צלינה בן-גרשון - לשכת המדען הראשי במשרד הבריאות
ישראל רפופורט - מנהל האינטרנט בתנועה הקיבוצית
אפרים אבן - מנהל אגף מידע ב"בזק" בינלאומי
בלה שניידר - מנהלת חטיבה במשרד החינוך
צביקה פליישמן - אחראי תחום ממשלה, CA
אמציה קידר - עוזר מנכ"ל CA ישראל
קרין ברזילי-נהון - חוקרת בתחום האינטרנט, אונ' ת"א
חזי כץ - מנהל המחשוב בכנסת
דורון שקמוני - איגוד האינטרנט הישראלי
דניאל בר-אלי - מזכ"ל אונסק"ו, משרד החינוך
יקי אלמוזנינו - יח' תשתיות, משטרת ישראל
אריאל פוסצקי - מנהל אבטחת מידע ב"נטוויז'ן"
גדעון פרבר - אגף הביקורת, משרד רה"מ
רוממיה הלוי-סגל - ראש מועצת סביון
אמנון ארבל - פרוייקט להב"ה
מיקי בלהסן - מנהל אבטחת מידע ב"פרטנר"
מיכה וייס - מחלקת ביטחון מידע, צה"ל

ענת לוי

תמר בהירי (מהקלטה)



עבירות מידע בעידן ההיי טק

שלום לכל הנוכחים, ושלום לאלה שרואים אותנו בבית. אני שמחה שרואים אותנו גם בבית, כי אנחנו עוסקים בנושא שמחבר את כולנו למסך אחד - הטלוויזיה והמחשב. אותו מסך דרכו אנחנו יכולים להיות מקושרים לכל העולם ולכל מי שאנחנו רוצים, ולפעמים גם למי שאיננו רוצים.

בוועדת המדע והטכנולוגיה של הכנסת, אנחנו רוצים שהעידן שאנו קוראים לו עידן ההיי טק, אשר מאפשר לנו נגישות תקשורתית כל-כך גבוהה, לא ינוצל על-ידי גורמים שליליים. הדמיון הפורה והמעוות של אלה שאינם פועלים על-פי חוק, הוא כמעט בלתי נדלה, לכן אנחנו צריכים להיות אף יותר יצירתיים, כדי לחסום את כל החורים וכדי לתת מענה לכל מי שרוצה לשמור על החוק והסדר במדינת ישראל.

יש לנו בכנסת ועדת משנה לענייני אינטרנט בראשותו של חבר הכנסת מיקי איתן. הוא לא נמצא כאן, כי הוא גם יושב ראש ועדת חוקה, חוק ומשפט, ועדה פעילה מאד, לכן אינו יכול להיות בשני מקומות. בשבוע הבא תתקיים ישיבה על נושא האינטרנט. חשבנו כי מן הנכון יהיה שהוועדה הזו תתייחס לנושא עבירות מידע בעידן ההיי טק, משום שהעבירות הן לא רק בענייני אינטרנט, אם כי הוא הכלי העיקרי בו הפשע בא לידי ביטוי. אנחנו מדברים גם על חדירות למחשבים שלא כדין, אנחנו מדברים על טרור באמצעות האינטרנט. היינו עדים למקרה רצח של בחור צעיר שפותה להגיע דרך האינטרנט לאן שלא היה צריך ונרצח. הסתה, דברי שטנה, הימורים, הלבנת הון, פדופיליה ופגיעה בילדים, אלימות נגד נשים ופורנוגרפיה, גניבה ומרמה, שימור בכרטיסי אשראי, והרשימה עוד ארוכה. מרוב רצון לחיות בעולם ליברלי וחופשי שמאפשר חופש ביטוי, אנחנו רואים את הפרצות שהגורמים השליליים נכנסים דרכן, לצערנו.

יושבים כאן אנשים אשר מכירים את הנושא טוב ממני. אתחיל בעורך-דין נמרוד קוזלובסקי, שהוא מומחה בתחום משפט האינטרנט ודיני מחשבים. נשמע אחר-כך את סנ"צ מאיר זוהר - ראש היחידה לפשעי מחשב במשטרת ישראל, ואחר-כך נתייחס גם לאחרים. כל מי שירצה להתבטא, יוכל לעשות זאת.

אני רוצה לציין כי זוהי אמנם הישיבה הראשונה בה הוועדה מתייחסת לנושא, אך ועדת המדע והטכנולוגיה עסקה במגוון האדיר של עבירות מחשב גם בקדנציות הקודמות. יש לי כאן רשימה ארוכה של ישיבות שהחלו ב-1999, אשר עסקו בסיכוני האינטרנט והמחשב. אני רוצה שהישיבה הזו תמשיך לדון בנושאים אלה ולא נתחיל מההתחלה. קראתי את החומר, אני מכירה במקצת את הנושא, אנחנו צריכים להמשיך ולא להתחיל מאפס.

תודה רבה על ההזמנה, תודה רבה ליושבת ראש הוועדה, אנסה לסקור רעיון רחב מאד. אני חושב שלקט מכמה כותרות עיתונים, יכול לתת לנו את הכותרת לדיון בצורה הפשוטה ביותר. משטרה בלי עתיד: תוך זמן קצר תהפוך פשיעת המחשב לאחת הבעיות המרכזיות, אתן תצטרך המשטרה להתמודד, אבל כבר היום נמצאת היום בפיגור גדול אחרי הפושעים וספקי הפתרונות הפרטיים. הטכנולוגיה מתקדמת, המשטרה לא. מדינות המערב כשלו במניעת עבריינות אינטרנט. בתחזית שנתית, על-פי אנליסטים, רוב עברייני הרשת לא נתפסו ולא ייתפסו, וכי בתוך שנתיים תגדל הפשיעה פי עשרים. אנליסטים: ישראל מפגרת במיוחד באכיפת חוק דיגיטלי.

אם אנחנו רוצים קצת גאווה מקומית: ישראל מובילה בשיעור ההאקרים הגולשים. דבר נוסף, תקיפות מקוונות - תקיפה של אתרים ותקיפה של רשתות: ישראל שוב ראשונה בעולם. 33 תקיפות לכל 10,000 גולשים.

התופעה הזו צריכה להדאיג אותנו מאד, ואני חושב שמשום-כך הכנסת צריכה להיכנס לנושא. אומר מהו הסיכון, מהו האיום מולו אנחנו מתמודדים, אך אנסה לגעת גם בפתרונות. לבסוף אומר איך המשטרה צריכה להיערך ואיך צריכה להיראות אכיפת החוק בעידן זה.

אני מבינה שאתה לא מתייחס לשימוש לא חוקי בתוכנות?

פחות אגע בכך, אם כי זוהי אחת הבעיות.

גם בכך אנחנו מובילים בעולם.

אני חייב להודות כי יש גרועים מאתנו, למשל סין.

מי שנתפס בסין, מוצא להורג.

אגע יותר בעבירות מידע. המשמעות של מעבר לסביבת מידע. הרבה מאד מהפעילות היומיומית שלנו מתבצעת היום בזירת מידע ממנה אנו שואבים מידע ומתבססים עליו. אנחנו רוכשים בזירת מידע, אנחנו יוצרים אינטראקציות של מידע וחלק גדול מהמידע על הרכוש שלנו הוא באמצעות האינטרנט. מידע על הכסף שיש לנו, מידע לגבי חברות והערכת שוויין ועוד.

אין צורך לספר כאן על הפוטנציאל האדיר שיש לחברת המידע, גם בכל הנוגע לשינוי דרכי המסחר, אבל גם הפגיעות של המערכת הזו אדירה. אנחנו עוברים מעידן של עבירות פיזיות לעבירות מידע. אם רוב הסיכונים שאנו מתמודדים אתם היו פעם בגלל עבירות פיזיות המכוונות כנגד הגוף או כנגד רכושו של אדם, הם עברו טרנספורמציה בחברת במידע, והם מכוונים כלפי מידע הנוגע לאדם: גניבת זהותו של אדם, רצח וירטואלי - מחיקת אדם מכל מאגרי המידע, כדי לגרום לו נזקי מוניטין, או מניפולציות במידע, שינוי תדמיתו של אדם בסביבה ממוחשבת ועוד.

אתה מדבר על דברים שקורים, לא על דברים עתידניים.

נכון. בארה"ב הוגשו בשנה האחרונה 700 אלף תלונות על גניבת זהות. נגנבה זהותם של 700 אלף, ואנשים אחרים השתמשו בזהות שאולה כדי לקבל משכנתאות, כדי לבצע תרמיות ועוד.

במקום עבירות כנגד רכוש, אנחנו רואים עבירות המכוונות אל המידע שיש לאדם, בין אם אל המידע כגורם שיש בו ערך, למשל תיק ניירות הערך שלנו, הונאות או התקפות על תשתית המידע שיש לנו. אנחנו נתקלים שוב ושוב בתקיפות על תשתית המידע, על חומרי המחשב ועל רשתות המידע. כאן אפשר למנות שורה ארוכה של עבירות כמו וירוסים, חדירה לחומר מחשב, תקיפת אתרים, תופעות שעדיין אין להן מענה.

אומר מהן ההשלכות שיש לריבוי עבירות המידע: רשת האינטרנט נוקמת, כלומר אזור שלא מתמגן כראוי בסביבת מידע, הרשת מתנתקת ממנו. זה לא מתבצע בהתנתקות רשמית כמו ניתוק קשר בין מדינות, אבל הרשת תתקשר פחות לאזורים אלה, לא רוצה לצרוך מהם מידע, לא מסתמכת על מאגרי המידע שלהם, פחות מתקשרת אליהם מבחינה אלקטרונית ואף ניתקת מהם.

ידוע שהאוניברסיטאות בישראל לא נוקטות מדיניות אבטחת מידע, וכתוצאה מכך יוצאים מהן וירוסים והרבה מאד "דואר זבל". כאשר רואים שאזור מסוים ברשת לא מתמגן, הוא נחשב לאזור בסיכון. מה שעושים ספקי שירות הוא לנתק דואר או פניות שירות המגיעות מאותו אזור, או לחילופין הן חוסמות באמצעות פילטרים אוטומטיים את אותו אזור, כך שלא יכולה להיווצר אותה אינטראקציה בין האזורים הנגועים לבין האזורים בהם יש אבטחה. ישראל נמצאת בהחלט בפני סיכון, שלאט-לאט יתנתקו מאתנו כמו גם מאזורים נגועים אחרים, ופחות יתקשרו אלינו.

כדי להיות תחרותי וכדי להישאר חלק מזירת המידע, אתה חייב להבטיח שהסביבה שלך בטוחה ומוגנת. אם אתה לא מבטיח את זה, אתה נשאר מאחור, אתה גם לא תחרותי. השלכה נוספת שיש לכך - וועדת המדע צריכה להידרש גם לנושא זה - היא הפיתוחים הטכנולוגיים: פיתוחים טכנולוגיים שמבוססים על אמון, שנדרשים לכך שהגולשים יוכלו להסתמך אחד על השני, הולכים ונחסמים, ובוודאי לא רוצים לעשות זאת מול גולשים המגיעים מאזורים בהם ידוע שיש פריצות מידע חוזרות ונשנות.

אגע באתגר המשולב. יש לנו אתגר כפול, ואנחנו צריכים לזכור תמיד שהוא משולב, ולא ניתן לקחת רק תחום אחד ממנו. הדבר הראשון, אנחנו צריכים הרתעה יעילה מפני הפרת חוק. כשם שיש לנו הרתעה פיזית מביצוע פשעים, אנחנו זקוקים להרתעת חוק גם בעולם הוירטואלי. אנחנו צריכים לסמן לעבריין הפוטנציאלי, כי גם בזירה זו מתבצעת אכיפת חוק, ומעשה הפשע לא משתלם. אנחנו צריכים להציג את פעולת אכיפת החוק גם בתחום זה, אך עד עכשיו נכשלנו לחלוטין. למעשה אין היום הרתעה מפני ביצוע עבירות בזירת האינטרנט, והמשטרה אינה מתמודדת עם עבירות האינטרנט בתחום ההימורים, הפדופיליה, סחר בסמים דרך אתרים שהם מסלקת סמים ועבירות הונאה וזיופים.

דיברתי עם ראש אגף המחשב במשטרה על תוכנת זיופים לאישורים פיקטיביים מקופת-חולים. אם אינך רוצה להגיע היום למשפט או הילד לא רוצה להגיע לבית הספר, אתה יכול לקבל אישור פיקטיבי מקופת-חולים. יש אתר אינטרנט הפועל בישראל ומציע את שירותיו לזיוף אישורי קופת-חולים. המשטרה יודעת על-כך ושותקת.

זה משהו מלפני שש שנים. הם החליפו את שיטת האישורים.

זה נכון. אני מסכים שהדוגמה ישנה. המסר לעבריין הוא שאין כאן אכיפת חוק, לכן הפשע משתלם. יש גם חלופיות: עבירה שהיתה בעולם הפיזי, לא כל-כך משתלמת והיא קשה לביצוע. בתחום האינטרנט לא מזיעים בעת ביצוע העבירה, ולכן עוברים אליו. אבל צריך לזכור כי לצד הרתעה יעילה, אנחנו חייבים כל הזמן לשמור על זכות היסוד של הגולשים. כדי להישאר תחרותיים בסביבת מידע, כדי להציע סביבת מידע שמאפשרת לישראל להיות שותף מלא לסביבת המידע, חייבים גם להבטיח שמירה על זכויות היסוד של הגולשים.

וכאן התחילה תופעה שניה שהיא מאד מדאיגה: פעם אחר פעם אנחנו מוותרים באכיפת החוק על זכויות הגולשים. לדוגמה, החוק הפרוצדורלי בישראל לעניין האזנות סתר ולעניין חיפוש ותפיסה, לא התאים את עצמו, וכאשר מתבצעת אכיפת חוק, היא מתבצעת בצורה דורסנית על חשבון זכויותיהם של הגולשים. כך לדוגמה, נלקחים מחשביהם לתקופות זמן ארוכות מאד, לצורך חקירה שמיועדת למסמך ספציפי.

יש לנו הצעת חוק בעניין זה.

אני יודע שישנה הצעת חוק, אני חותם עליה. הבעיה היא שהצעת החוק מונחת כבר שש שנים.

הצעת החוק החדשה שלי מנסה לתת לכך מענה.

אני חושב שזה דבר חשוב מאד. דבר נוסף, אנחנו חייבים לשמור על החופש שיש לגולשים, כמו חופש הביטוי וחופש ההתארגנות. לצערנו, במהלך אכיפת החוק, אנחנו רואים מצב בו הדבר הראשון שמבטלים הוא החופש שיש לגולשים. כך לדוגמה, המשטרה מתערבת בצורה לא ראויה ושלא לצורך בסכסוכים אזרחיים הנוגעים לחופש הביטוי בין הגולשים, ולמעשה משתמשת בחופש האכיפה שלה כדי לסייע לצד אחד אל מול צד שני. כל אלה דברים הפוגעים בצורה קשה ביותר בחופש הביטוי של הגולשים ברשת. המשטרה צריכה להדיר את רגליה מהתערבות כזו, כדי לא לפגוע בזכויות היסוד של הגולשים.

אני מציע רפורמה בארבעה שלבים. אנחנו צריכים רפורמה בדין הפרוצדורלי. אם יש היום חקירה של פשעי מחשב או של עבירות מידע, לקראת הגשה לבית המשפט, על-פי רוב היא תחסם בשלב זה, מכיוון שהדין הפרוצדורלי, דיני הראיות ודיני החיפוש והתפיסה, מכשילים את היכולת להשיג הוכחות על מנת להביא את התיק לבית המשפטי, על מנת להעמיד את החשוד לדין. כך למשל, דיני הראיות הישראלים לא עשו עדיין את ההתקדמות הנדרשת לקבילותן של הראיות העקרוניות. המשטרה יודעת שאם תנסה להוכיח מעשה עבירה, על-פי רוב זה לא יהיה קביל בבית המשפט על-פי ההליכים הפרוצדורליים. צריך לתקן את דיני הראיות. בספר שהקדשתי לנושא, הצעתי מספר הצעות. אני חושב שצריך להתקדם לקראת השלב של תיקון הראיות ותיקון דיני החיפוש והתפיסה לשני הצדדים.

למה אתה מתכוון?

ישנן שתי בעיות מרכזיות בדיני הראיות: אתה צריך להגיש את המקור. כאשר מדובר בראיה וירטואלית, אין לכאורה מקור, ולכן צריך תיקון שיאמר: הראיה הטובה ביותר. מונחת במשרד המשפטים הצעת חוק לתיקון הנושא שעדיין לא עברה. דבר שני, ישנם כללי ראיות שמגבילים הגשתה של ראיה שאין מי שיעיד לכאורה ממקום ראשון על מהימנותה, כלומר קיימת עדות שמיעה. והבעיה הגדולה, שישראל בניגוד לרוב מדינות המערב, לא התאימה עדיין את חקיקתה בצורה ראויה, מה שגורם להגבלת קבילותן של אותן ראיות.

ואתה אומר שבמדינות אחרות זה קיים?

כן, מדינות אחרות כבר עשו את הצעד הזה. ישנן הצעות חקיקה בישראל שעדיין לא עברו ממשרד המשפטים לקראת חקיקה.

האם משרד המשפטים עוסק בנושא?

אני חושב שניתן לשאול את נציגי משרד המשפטים. אני יודע שהיו הצעות חקיקה.

המומחית נמצאת בחו"ל.

עורך דין קוזלובסקי, מורך ורבך, כבוד השופט חשין, התייחס לכך בפסק-דין גנאם.

כבוד השופט חשין אכן נתן מענה מסוים בפסיקה, אבל הוא לא מקנה את הוודאות הנדרשת לשיטה משפטית שקיימת בעיקר בדיני הראיות הנדרשים לוודאות ולבהירות. כאן אתה צריך שהמחוקק יתערב, ואני מזמין אותו לעשות זאת. גם בדיני החיפוש והתפיסה לא קיימת הרתעה יעילה, מכיוון שהמשטרה מוגבלת מאד בכל הנוגע לתפיסת ראיות אלקטרוניות ולביצוע חיפושים יעילים. מצד שני, דיני החיפוש והתפיסה הם דורסניים: כאשר הם נותנים למשטרה דריסת רגל, הדבר נעשה תוך דריסה מהותית של זכויות הפרט.

דבר נוסף שאנחנו צריכים, והוא בעיני פחות חשוב, הוא להתאים את הדין המהותי: אנחנו צריכים להסיר עמימות שקיימת בתחולתן של עבירות שונות. כך לדוגמה בעבירת ההימורים: אנחנו רואים היום שישנם הימורים אלקטרוניים קשים, ויש יחס של זילות כלפי החוק. ב"ידיעות אחרונות" מופיעה פרסומת בנוסח: בוא להמר אתנו באינטרנט. מי שרוצה יכול להתקשר חינם באמצעות קו 800-1 ולקבל הכוונה כיצד לבצע את ההימורים, אבל המשטרה שותקת. ייתכן שישנם שיקולי מדיניות, מדוע לא לאכוף את החוק בכל הנוגע להימורים באינטרנט. חלק מהרציונל לאכוף את החוק על הימורים בעולם הפיזי, כמו התרבות פשיעה באותו אזור ועבירות נלוות, אולי לא חל על הימור באמצעות האינטרנט, אבל במצב הנוכחי, כאשר הוראת החוק לכאורה חלה על-כך, אבל אין אכיפת חוק, משדר מסר של זילות החוק והעדר הרתעה, ומכך צריך להימנע. לכן צריך להסיר את העמימות בכל הנוגע לתחולת העבירות.

ואם האתר לא נמצא בארץ?

האמת היא שרוב מדינות העולם פתרו את הבעיה הזו. הם מצאו שמכיוון שזה פונה לתושבים, ומכיוון שגם סליקת תשלומים בכרטיסי אשראי היא במקום, וגם הפניה היא לאנשים שנמצאים בטריטוריה, הרי שישנה סמכות שיפוט. גם מדינות כמו ארצות הברית ומדינות נוספות אחרות התמודדו עם התופעה ופתרו את הבעיה הפרוצדורלית בכל הנוגע לסמכות השיפוט.

מה שחשוב מכל בעיני בנקודה זו, הוא המודל החדש לפעולות רשות אכיפת החוק: המשטרה נרדמה בשמירה, אבל הבעיה הגדולה היא שהיא לא שינתה את תפיסתה לגבי מה שצריך לעשות. אני רוצה להציע מה לעשות: המשטרה צריכה לערוך רפורמה תפיסתית שאומרת, כיצד אנחנו משנים את עצמנו כדי להתמודד עם עבירות מידע.

בשל קוצר הזמן, אדלג על קטעים במצגת המראים כיצד אנחנו עוברים מעבירות פיזיות לעבירות מידע, ומה ההשלכות של המחסומים והפגיעה בתחרותיות שלנו. אגש לאתגר העומד בפני המשטרה. האתגר הוא הרתעה יעילה מהפרת חוק ושמירת זכויות היסוד. במצב הנוכחי קיים חסר באכיפה בהעדר ראייה מערכתית, ומצד שני פגיעה בזכויות.

דבר ראשון, המשטרה צריכה לשנות את התפיסה שלה מחקירת פשעים לבריאות הציבור. המשטרה לא צריכה להתמודד בצורה איזוטרית עם תלונות נקודתיות על עבירה שבוצעה. היא צריכה לראות כיצד למגן את הציבור מפני סוג הפשיעה הזה. המעבר צריך להיות לגישה חיסונית ומניעתית של אבטחת מידע. המשטרה צריכה לדאוג לחינוך לאבטחת מידע בישראל הלוקה בחסר. היא צריכה להפיץ מידע על סיכונים, במקום הגישה הנוכחית של המשטרה, לפיה היא שומרת את הסיכונים קרוב לחזה ואינה חושפת אותם לציבור. הרי כאן צריך לחשוף את הסיכונים, כדי שאנשים יידעו להתגונן מפניהם. רוב ההגנה היא פרטית. היא צריכה לאתר מוקדי מגיפה: ההתפרצות גדולה. ברגע שיש וירוס, הוא מתפרס על פני כל הרשת. אתה צריך לעצור אותו כבר בהתחלה. זוהי תפיסה של מיגור מגיפות: לאתר איפה נמצא הווירוס, או איפה מתחילה הפצה נקודתית של "דואר זבל", ולעצור את ההפצה. ברגע שהמשטרה עוסקת בחקירת פשעים בדיעבד, היא לא מאתרת את מוקדי המגיפה, והיא לא מבצעת טיפול מוקדם באזורים הצפויים לסיכון. לדוגמה, האוניברסיטאות בישראל לא ממגנות את עצמן, ופעמים רבות דווקא מהן יוצאים הווירוסים.

למה הן לא מתמגנות?

בגלל שיקולים של עלות-תועלת. אין היום הרתעה. גם אם הן גרמו לנזק בהיקף אדיר לכל סביבת הרשת, לא מוטלת עליהם אחריות פלילית או נזיקית על הנזקים האלה.

אבל לא האוניברסיטאות הן המוקד לווירוס.

הן לא גורמות לווירוס, אבל הן נקודת הרתעה יעילה. הן יכולות למנוע את הנזק בצורה הטובה ביותר, והתמקדות בהן תאפשר לנו למנוע את התפרצות הנזק. המשטרה צריכה להיות ערוכה לכך. דבר נוסף הוא תפיסה מערכתית של סיכונים: המשטרה תופסת היום סיכונים בצורה מאד נקודתית. היא מטפלת בפיקנטריה של עבירות. זו לא התייחסות רצינית לזירה שהכל בה תלוי ומשולב. הזירה הזו משולבת, ואזור נוגע בה באזור, כך שקיים אפקט הדומינו. עבירה אחת זולגת מהר לתחומים אחרים.

ניקח לדוגמה עבירות של מניפולציה בניירות ערך, שאינן עבירות הפצת וירוסים. מתחילים להפיץ ידיעה בפורום קטן, ומפיצים אותה באמצעות קישוריות לאזורים אחרים, כך שהיא תופסת את העוצמה ואת הכוח גם בשוק ניירות הערך. אם המשטרה מסתכלת על הדברים בצורה נקודתית, היכן בוצע מעשה עבירה, ולא עורכת אנליזה מערכתית, הרי שפעם אחר פעם אנחנו רואים את הכישלון המערכתי.

התשתיות החיוניות תלויות זו וזו, ויש לנו סיכון שהוא הרבה מעבר לסיכון הפלילי - סיכון של טרור ממוחשב, של ניסיון לפגוע בתשתיות החיוניות שלנו, תשתיות שנמצאות בידיים פרטיות. אם המשטרה לא תיערך בגישה מערכתית להתמגנות, אם לא תציע לכל היחידות המשולבות להתמגן ביחד - ניווכח פעם אחר פעם שהיחידה החלשה ביותר תפיל את כל המערכת. לכן המשטרה צריכה לאתר את צווארי הבקבוק.

יש החלטת ממשלה, ובכל זאת אתה תוקף את המשטרה.

אני מסכים בהחלט. כאשר אני מדבר על פעולות רשות האכיפה, אני מסתכל על-כך בצורה יותר כוללת. לא בהכרח מדובר במשטרה.

דבר נוסף, שותפות באכיפת החוק, שאינה קיימת אצלנו בעוד שברוב מדינות העולם היא קיימת. לאו דווקא המשטרה או הגורם הציבורי הם בעמדה הטובה ביותר, כדי לטפל בפוטנציאל הנזק. הרבה פעמים דווקא המגזר העסקי או המגזר הטכנולוגי טובים יותר במניעה ובאבטחה. לכן אנחנו צריכים לפנות אליהם ולראות כיצד אנחנו יכולים ליהנות מן היתרונות שהמגזר הפרטי מציע, כי רוב ההגנה הביזורית נמצאת בנקודות הקצה. צריך להתייחס למגזר העסקי ולמגזר הטכנולוגי, ולראות איך יוצרים מודל של שיתוף פעולה. כל זה לא נמצא היום בדפוסי החשיבה שלנו.

יש כאן כמה הצעות כלליות על חשיבה יצירתית בתחום ההרתעה. היום מתייחסת המשטרה רק למבצע העיקרי. היא מנסה להרתיע מישהו, לדוגמה, מפני משלוח וירוסים או משלוח "דואר זבל" שמציף את הרשת, אבל רוב מדינות העולם כבר עברו לחשיבה של הרתעה באמצעות צדדים שלישיים: כיצד על-ידי מתן תמריצים או הטלת חובות על ספקי שירותי אינטרנט, למשל בכל הנוגע לאמצעי תשלום וסליקה לחברות בהן יש עבירות, או על מנועי חיפוש שמאתרים את התוצאות - אני יכול להשיג תוצאה הרבה יותר טובה של הרתעה.

פעם אחר פעם מסבירים לנו, למה קשה לאתר את מי שמפעיל את אתר ההימורים, אבל אם לחברת כרטיסי יהיה אסור לסלוק עסקאות שמקורן בהימורים, כפי שהדבר נעשה ברוב המדינות המתקדמות, הרי שנשיג הרתעה באמצעות צדדים שלישיים וחנקנו את צינור הכסף.

איך הם יידעו שהכסף מועבר להימורים?

אנחנו מטילים עליהם חובה לבדוק. כאשר מדובר בהיקף גדול של הימורים, הם יודעים שאלה כספי הימורים. פעמים רבות הם יודעים מהו מקור העסקאות, אבל אין להם שום תמריץ להימנע מהסליקה עם הפרמיות הכרוכות בה, אלא אם המדינה מתערבת ומפעילה עליהם את גורם ההרתעה.

דבר נוסף הוא הרתעה באמצעות אכיפה פרטית: לחשוב מה תפקידם של גורמים פרטיים, שהם על-פי רוב מנגנון הסעד העצמי הראשון. המשטרה לא עורכת את החשיבה הזו, אלא חושבת על ריכוזיות בהפעלת כוח ולא על ביזור הכוח.

ברשותכם, בגלל מגבלה בזמן, לא אגע בשאר התחומים במצגת הזו, למרות שנקודה חשובה נוספת היא מיידיות וזמינות היחידה המקצועית. זוהי בעייתה הגדולה של המשטרה היום. המבנה הארגוני של פשעי מחשב הוא כזה, שאתה מגיע לתחנת המשטרה המקומית ומתלונן, הטיפול מתחיל בתחנה, לעיתים רואים שישנה סוגיה של מחשבים והיא מגיעה ליחידה הפיקודית אשר שולטת על נושא המחשב, אך היא מחליטה על-פי תעדוף אם היחידה המקצועית תעסוק או לא תעסוק בסוגיה הזו. כל זה גורם לשהוי משמעותי ולחוסר יכולת של המשטרה לטפל בנקודה בה הנגע ולמנוע את התפשטותו מן הרמה המקומית.

המבנה המשטרתי לא מתאים. צריך לחשוב על מיידיות וזמינות של היחידה המקצועית. היחידה המקצועית היא זו שצריכה להתמודד עם הראיות האלקטרוניות ועם הזירה הדינמית שנוצרה כאן. היא זו שמכירה את הזירה, והיא זו שצריכה לפעול בה. פעולתה תגביר את ההרתעה, שכן היא תוכל לתפוס את הראיות באופן שניתן יהיה אחר-כך להביאן לבית המשפט. הכשל המרכזי הקיים היום הוא ששוטרים אשר אינם מכירים עבירות מחשב, הם אלה שתופסים את הראיות. דבר נוסף הוא מידיות המענה, אשר יאפשר לעבור מגישה של טיפול בתלונה בדיעבד לחשיבה מודיעינית מערכתית של המשטרה, אבל זה מותנה במיידיות ובזמינות של היחידה המקצועית.

איך עושים זאת מבחינה מבנית ותקציבית: יש לי שורה של הצעות אשר בוודאי תעלינה לדיון, ואני חושב שרובן אינן שנויות במחלוקת. דבר ראשון, היום המשטרה פועלת כך שמבחינה פיקודית היא תוצאה של שריד היסטורי: היחידה הארצית לחקירות הונאה, שולטת על פשעי המחשב. היא מתעדפת את הפעילות שלה, מבלי שיהיה קשר בין היחידות מבחינה רעיונית, ובאופן שלמעשה שיתוף הפעולה ביניהן מסכן את הפעילות היעילה של יחידת פשעי המחשב. צריך מפקדה ריכוזית ואיכותית לעבירות מידע, תוך ניתוק התלות הפיקודית. דרך אגב, היחידה הזו צריכה להימצא בעדיפות גבוהה מאד של המשטרה. היחידה המודיעינית הכפופה שלה, היא זו שצריכה לבצע את האיתור המערכתי ואת מיפוי השטח, לא לשם העמדה לדין, אלא כדי לאתר מוקדי סכנה, על-פי אותה תפיסה של בריאות הציבור המניעתית והחיסונית. צריך להיות מרכז טכנולוגי לחקירת עבירות מידע.

אני גאה בסגן ניצב מאיר זוהר ושוטריו, שבאמת עושים עבודה נפלאה באמצעים המדעיים שעומדים לרשותם, אבל זה כמעט נראה משעשע לראות את שולחן העץ הקטן, עליו יש מחשבים כמעט מפורקים, אשר אמורים לחקור את עבירות המחשב בישראל. בכל מדינה נורמלית - ויש לי הכבוד לעבוד עם חוקרי המחשב בארצות הברית, שם אני גר - הקימו מרכזים טכנולוגיים יעודיים לחקירת עבירות מידע. יש מעבדות פורנזיות (לחקר הראיות האלקטרוניות, אותן ראיות מיוחדות). זה מצריך את החומרה והתוכנה הייעודית, את התקצוב שלה ובין היתר גם את הממשק בינה לבין מערכת המשפט. כלומר, במקום תוכנות פרטניות אשר הומצאו על-ידי יחידת פשעי המחשב במשטרה, שיש חשש לגבי מעמדן בבית המשפט, יש להצטייד בתוכנות שכבר פותחו, אשר עומדות לאחר מכן במבחן בית המשפט.

דבר נוסף, צריך מרכז הכשרה לחוקרי המחשב. ההכשרה של חוקרי המחשב שונה לחלוטין מזו של חוקרים אחרים. גם כאן ההסמכות שישנן במשטרה בוודאי לא מספיקות, ואינן מזמינות את ההתייחסות המערכתית. אני חושב שההכשרה הזו צריכה להיות ייעודית, כדי להכשיר את החוקרים שיועדו לתחום זה. פרק זמן משמעותי צריך להיות מוקדש להכשרה זו, לא כפי שהדבר נעשה היום, במהלך מה שנקרא במשטרה "הכשרה אגב תפקיד". משמעות הדבר, אין לנו זמן כדי להכשיר אותך. תוך כדי עבודה, אולי גם תלמד משהו. זו לא השיטה להתמודד עם הבעיה. הפושע שניצב מול החוקר, הכשיר את עצמו קודם לכן.

דבר נוסף הוא יחידת קישור לתעשייה במגזר הפרטי: המשטרה חייבת להבין את המודל לשיתוף פעולה. היא חייבת להפסיק את הניתוק ואת הבידוד שלה מהמגזר הפרטי, ולמעשה צריכה להיות יחידה המקשרת את המשטרה עם המגזר הפרטי, על מנת למפות את הסיכונים ולהפיץ את המידע עליהם.

דבר ידוע הוא שפעמים רבות הווירוס מאותר, אבל אחרי שאותר וכולם יודעים שהוא משתולל, יש עדיין delay של מספר חודשים, עד שיחידות הקצה, המשתמשים הקטנים כמונו, או המחשבים העסקיים, באמת מוגנים מפניו. עד שהמידע נעשה פומבי, עד שגם האבטחה מבוצעת, יש delay ארוך מאד, וזאת בזמן שלכל פושע יש את כל המידע כיצד להפיץ את הווירוס או להפיץ "דואר זבל", מבלי שהפרצה תיסגר.

למשטרה או לגופי אכיפת החוק במדינות העולם המערבי, נודע תפקיד מרכזי ביידוע הציבור מפני הסיכונים, ובהזמנת הציבור להוריד את תיקוני האבטחה. לפעמים הציבור חושש להוריד את תיקון האבטחה, בהעדר ידיעה אם הגורם המציע את הפתרון הוא גורם מהימן. זה יכול להיעשות על-ידי המגזר הפרטי, אבל לא פעם שווה לו לספוג את הנזק מאשר לבצע את הפעולה הזו.

דבר נוסף הוא היענות בזמן אמת לערוץ פניות הציבור ליחידת המחשב. מה שאני מציע הוא איוש קבוע של יחידת המחשב, כדי לתת מענה אמיתי. הרבה מאד מהדברים שאנו מגלים, למשל הודעות של נפגעי עבירות מחשב בנקודת הקצה, יכולות לקבל את המענה, אם מסבירים להם בזמן אמת כיצד להתמגן ולהיכן לדווח. כאשר אנו נמצאים ב-delay של כמה חודשים, עד אשר הנושא מגיע לחקירה, הרי שאף פעם אין לנו מענה בנקודת הזמן המתאימה.

אני חושב שאם השינוי המבני הזה יתבצע, וזה כרוך כמובן בתוספת תקנים למשטרה, בשנוי המבנה הארגוני של היחידה הזו ובשינוי תפיסתי לגבי דרך עבודתה. אם כל זה יתבצע, יש לנו את היכולת להתמודד עם הבעיה בצורה הרבה יותר טובה.

מה שאני מבקש מהמחוקק, הוא לבצע את השלב הראשון, כלומר לתקן את הדין הפרוצדורלי גם בדיני הראיות וגם בדיני החיפוש והתפיסה, שהיום לוקה בחסר. יש לבצע את התיקונים הנדרשים בכל הנוגע לטיפול בעבירות המהותיות. קיימת עמימות האם החוק חל או אינו חל על עידן המידע. התיקון הזה חייב להתבצע, שאם לא כן, נישאר במצב של עמימות ופשיעה לא מטופלת.

לא התייחסת לאלימות ופורנוגרפיה.

צריך להבחין בין שני דברים: הפורנוגרפיה נכנסת לתחום חופש הביטוי, ושם באמת לא הייתי רוצה לראות התערבות משטרתית.

דיברנו על חסימת טלפונים או טלוויזיה. האם גם כאן אפשר לחסום בדרך כלשהי?

חסימה מלאה של פורנוגרפיה תהיה קשה מאד, ולדעתי גם לא חוקתית ולא רצויה מבחינת חופש הביטוי, אבל היא ניתנת לביצוע במידה גבוהה.

אני שואלת מבחינה פרקטית.

מבחינה פרקטית וטכנולוגית, אתה יכול להצמית את המרכזים הפורנוגרפיים אליהם גולשים. אם תעשה זאת, תוכל לדכא בצורה משמעותית את צריכת הפורנוגרפיה. אתה לא יכול למנוע זאת לחלוטין, אתה עדיין יכול להעביר פורנוגרפיה באמצעים מוצפנים, מבלי שיידעו שזוהי פורנוגרפיה. גם העברה מגולש לגולש אינה מאותרת.

לגבי פדופיליה, הנושא מטריד יותר. שם אנחנו בהחלט יודעים שהתופעה אסורה על-פי חוק, אנחנו יודעים מהי הסכנה בפדופיליה, וגם בתחום זה ישראל מתגאה: אנחנו הראשונים בתחום הפדופיליה באינטרנט. אנחנו המקור ממנו שואבים אחרים את החומר.

חשבתי שבלגיה.

לא. בלגיה אלופה באכיפה. היו שם 700 פדופילים שנעצרו לאחר מבצע אכיפה גדול מאד. לשם המחשה, הייתי מחבר את המחשב, ומראה לך כאן כיצד אני יכול להציג עשרות אתרים פדופיליים ועשרות קבוצות דיון. בלחיצת מקש יכול כל חוקר משטרה לאתר אותם, לגלות היכן הם נמצאים ולהתמודד אתם, אבל זה לא נעשה.\

אני רוצה לראות במה מדובר.

עבירות כמו פדופיליה והסתה והמרדה הן עבירות ביטוי. הן עברו מן הסביבה הפיזית לסביבת הרשת, בשל העובדה שאין וקום בפשיעה. ברגע שאתה מגלה כי זירה מסוימת היא זירה בה אין אכיפת חוק, העבריינים הם הראשונים לגלות את זה, והם עוברים לזירה הזו. הם יודעים שאין אכיפת חוק, הם יודעים שהם נהנים מהיתרונות של אנונימיות ואי השארת עקבות, הם יודעים שיש בעיה של סמכות השיפוט, שכן הם פועלים בתחום שהוא מחוץ לטריטוריה - ולכן הם עוברים לזירה הווירטואלית כדי לבצע את העבירות האלה.

עוצמת העבירה היא אותה עוצמה, ההיקף כאן הרבה יותר גדול, היכולת לגרום לנזק על-ידי עבריין בודד הרבה יותר משמעותית בזירה מחוברת ומקושרת, אבל הדבר היחיד שחסר הוא הרתעה אמיתית ואכיפת חוק. היא לא קיימת מבחינתם, לכן אנחנו רואים את ריבוי העבירות האלה.

תודה רבה לך. נתת לנו דוגמאות רבות הפותחות פתח לעולם המעוות של הפושעים. התמונה עוד יותר מדאיגה מכפי שחשבתי. שמעתי כאן רחשים מצד אנשים שלא היו שבעי רצון מהניתוח שלך. מאד נשמח לשמוע שכל מה שנאמר כאן לא נכון.

אנחנו הרי גם הוועדה לטכנולוגיה. קראתי לא מזמן בעיתון שבמסגרת הצמצום בתקציב, הדבר הראשון היה צמצום התקציב הטכנולוגי של המשטרה. אני לא יודעת אם זה מתייחס גם לתחום שאנחנו עוסקים בו היום.

האם תוכל לאשש את החשש שהמשטרה עושה עוול לעצמנו ולה, כאשר היא מקצצת בכלים המאפשרים לה לפעול. אם כן, מתפקידנו כוועדת הכנסת, לדרוש מן הממשלה לפעול.

אני מסכים עם חלק מדבריו של עו"ד קוזלובסקי. אני בהחלט מסכים עם האמירה שהמשטרה ניצבת בפני אתגרים טכנולוגיים חסרי תקדים שלא הכירה בעבר. לכן הקימה הממשלה את מפלג עבירות המחשב ביחידה הארצית לחקירות הונאה, על מנת לתת מענה לכל תופעות הפשיעה שהוזכרו כאן.

מתי זה קרה?

המפלג אתחיל לעבוד בשנת 2001. בנוסף למפלג עבירות מחשב, יש את מערך חוקרי המחשב הנותנים עזרה ראשונה בסיסית בשטח. הכשרנו שלושה מחזורים של מערך כזה, אשר משתדל לתת מענה ראשוני לעבירות בסיסיות שאינן דורשות התמקצעות יתרה.

מפלג עבירות מחשב עוסק בשלוש קטגוריות עיקריות: הראשונה היא עבירות המחשב כהגדרתן בחוק המחשבים שחוקק על-ידי הכנסת בשנת 1995. החוק מגדיר את העבירות בהן המחשב הוא קורבן העבירה: פורצים אליו, חודרים אליו, משבשים את פעולתו, מתקינים בו וירוסים או סוסים טרויאניים ושאר מרעין בישין, מפילים אותו וכיוצא באלה, כולל תופעת החדירות למחשבים. במהלך השנים האחרונות אנחנו עדים להתרבות מעשי החדירה לשרתי המחשב על-ידי האקרים ישראלים, גם בארץ וגם בעולם. אנחנו מתמודדים עם תחכום הולך וגובר של עברייני מחשב, אשר לפעמים מקדימים אותנו ביכולות המקצועיות ובידע המקצועי שיש להם.

יחד עם זאת, הצלחנו לתפוס עברייני מחשב רבים, אשר חדרו לכל מיני מערכות, גם למערכות מחשוב מוגנות, והצליחו לבצע עבירות שונות ומגוונות, כמו ריגול תעשייתי, גניבה של מידע, גניבה של כרטיסי אשראי ועשיית שימוש בהם.

אתה יכול לתת לנו מספרים?

קיים חשש שמדובר רק בקצה הקרחון של פריצה למחשבים.

לפני חצי שעה צלצל משהו לוועדה, ואמר שחברה גדולה מאד בארץ שמונה אלף איש, לא יכולה לעבוד כבר יומיים בגלל וירוס. אנחנו מדברים כאן על פגיעה כלכלית קשה.

נכון. אני לא חושב שזו עבודתה של המשטרה, אלא לאחר מכן.

זוהי עבירה שיש בה אלמנטים כלכליים. יש לתת לכך משקל רב יותר בעבודת הממשלה, משום שזה כדאי מבחינת המשק הישראלי.

לפני שנה וחצי, כאשר עדיין לא ידעו שהנושא יהיה כה חשוב, הנזק שנגרם כתוצאה מווירוס האהבה שפרץ למערכות היה 13 וחצי מיליארד דולר.

מי אתה?

בכנסת הקודמת, הייתי עוזרו של סגן השר דאז והשר היום אליעזר זנדברג. הייתי פעיל בוועדה, הייתי ממונה על החקיקה בתחום האינטרנט. הוזמנתי לכאן.

הקטגוריה השניה בטיפול המשטרתי היא אותן עבירות קלאסיות בעגה המשפטיות, שבעבר נעשו ללא מחשבים, והיום השכיל עולם הפשע להבין כי הוא יכול להעצים את פעילותו הפלילית, וגם להקשות על המשטרה. בגלל ההיבטים הטכנולוגיים ובגלל הזמינות של המחשבים עליה דובר כאן, הם יכולים להקשות על המשטרה לאתר את מבצעי העבירות בכרטיסי אשראי, הונאות, פדופיליה, סמים, זיופים והימורים - שלל עבירות. עולם הפשע הבין שבאמצעות המחשבים יעשה זאת הרבה יותר טוב, והוא יהיה הרבה יותר נגיש לקורבנות פוטנציאליים.

יש להזכיר שעד לתקופה מסוימת היתה בעיה קשה בנושא הפדופיליה, ולאחרונה עקב הטיפול המשטרתי הממוקד, במסגרת מבצע ארצי שנוהל על-ידנו באמצעות אנשי המחשב המיומנים, ניהלנו בשנתיים האחרונות כמה מבצעים. בשנתיים האחרונות הגיעו תלונות רבות בעיקר מרשת האינטרפול ברחבי העולם, על ישראלים המפיצים חומר על פדופיליה באמצעות האינטרנט. החומר הרב עובד על-ידי חוקרי מפלג עבירות המחשב, ומתוך הכמות הגדולה של התלונות, נמצאו מספר תיקים בהם דובר בעבירות מובהקות של פדופיליה וניתן היה לאתר את החשודים. בנובמבר 2002 התקיים מבצע ארצי, במהלכו פשטו חוקרי יח"א בשיתוף חוקרי עבירות מחשב מיומנים מכל המחוזות, על חשודים שונים, אחד בכל מחוז. החקירה נוהלה אצלנו, והתיקים הועברו לפרקליטות.

על איזה מספר מדובר?

מדובר על 8 תיקים, אבל נפתחו עוד כ-15 תיקים במהלך התקופה הזו. מעת לעת אנחנו מוצאים עוד אתרים לפדופילים.

מה מספר הפדופילים בארץ?

עד לתקופה מסוימת, זו היתה בעיה קשה, כי לא היתה אכיפה נאותה. היום, תודות לסיכול ממוקד, גם בעקבות פניות של ועדת המדע והטכנולוגיה בכנסת, נערך טיפול ממוקד והתופעה הולכת ופוחתת. כאשר הם רואים שיש מענה חוקי וקיימת ענישה, התופעה הולכת ונעלמת.

היא ממש נעלמת?

לא לגמרי. אפשר לומר שהם ירדו למחתרת.

יותר קשה להם לפעול, אך זה לא אומר שהתופעה נעלמה.

מאחר והדברים נרשמים, צריך להיזהר: שלא ייאמר חלילה שמדינת ישראל מהווה מטריה למספר בל ייאמן של פדופילים.

חס וחלילה.

אנחנו בוודאי לא במקום הראשון. אני ממשרד הביטחון, ואני אחראי על החטיבה לביטחון קשר ומחשבים. אני אמנם לא עוסק בפשעי מחשב, אלא יותר בהגנה על מידע בהיבטים של ביטחון המדינה.

למיטב ידיעתי, הם פשוט עברו למדינות אחרות, למשל במזרח אירופה. זוהי תופעה נודדת, כי הצרכנים קיימים בכל העולם, והבעיה היא למצוא את היצרנים.

הקטגוריה השלישית של משטרת ישראל, והיא אולי העיקרית היום במה שנוגע לעבירות מחשב, היא בתחום בדיקת המחשבים - computer forensic, בעיקר מחשבים שנתפסים אצל חשודים ברציחות , למשל במקרה המדען מרחובות שנאשם ברצח כפול, או פימשטיין שרצח את בתו. זה יכול להיות גם בכל תחום פלילי אחר: זיופים, מרמה והונאה.

למעשה, בכל בית או עסק ישנם מחשבים שמבחינת החוקר יכולים להרחיב את הראיות הנדרשות לו, על מנת להמשיך בחקירתו ולקשור את העבריינים לעבירות המיוחסות להם. כך גם מן הצד של הקורבן, כמו במקרהו של אותו נער שפותה להגיע מירושלים ומשם לרמאללה, ולאחר מכן נרצח. ישנם גם סוטים למיניהם, אשר יוצרים קשר עם נערים וילדים באמצעות הרשת.

איך אתם עוקבים אחריהם?

יש לנו בעיה לעקוב.

אתם עוקבים רק לאחר שמוגשת תלונה, או שיש לכם גם דרך פעולה מניעתית?

בעקרון, אנחנו פועלים בעקבות תלונה. יש לי קצין מודיעין אחד, שנמצא כרגע בקורס. אני מסכים עם הדעה שיש לחזק את היכולת המודיעינית שלנו. אני לא מכחיש שהמשטרה עסוקה מעבר לאמצעיה ולכוח האדם שלה.

אני לא באה להטיף ביקורת, אני רק רוצה לעזור לך ולנו למצוא מה חסר ומה צריך תיקון. אני לא רוצה שיאמרו כי הכל נהדר, אנחנו עובדים, הנה תפסנו עשרה אנשים. טוב שתפסתם, טוב שאתם עובדים ושאתם חושבים שזה חשוב, אבל בוא תעזור לנו לשים את הדגש על מה שלא בסדר, כדי שנוכל להתקדם.

חשוב להבין שאני מייצג את משטרת ישראל ואת המערכת כולה, לא רק בתחום עבירות המחשב. הייתי אומר שהדבר המרכזי הדרוש לשיפור המצב הוא מה שהעלה כאן נמרוד, הנושא המבני. בעולם כולו יש יחידות ארציות לפשעי היי-טק.

האם יש גם לנו?

לא. יש לנו מפלג שהוא יחידת אם, יחידת ההונאה ביחידה הארצית , שאינה קשורה באופי פעילותה לעבודה שאנחנו מדברים עליה כעת. מכך נגזרים תכתיבים, מדיניות ופעילות שונה מזו שהיתה אמורה להיות.

כמה אנשים במשטרה עוסקים בנושא הספציפי הזה?

מפלג עבירות מחשב מונה 9 אנשים.

כאשר אנחנו צריכים 900 או 90. ענת מזכירה לי, אנחנו רוצים הרי לקדם את ההיי-טק כמנוף לצמיחה, ואנחנו מחפשים מקומות עבודה בתחום זה. אולי גם אצלכם אפשר למצוא כמה מקומות עבודה למובטלים. 9 אנשים לא יכולים לכסות את מה שקורה במדינה בתחום המקיף כל-כך הרבה עבירות. מה שצריך להיות הוא קודם כל שינוי התפיסה. השר לביטחון הפנים והממשלה כולה צריכים להבין שכמות העבירות באמצעות האינטרנט הוכפלה ואף יותר, אך אנו מתייחסים לכל הנושא בקלות דעת. צריך לעשות חשבון,מה הנזק בעבירות אלה לעומת עבירות אחרות. אולי נמצא שהיקף הנזק מתאזן.

הכשרנו גם מערך של חוקרי מחשב מיומנים, אשר אמורים לתת עזרה ראשונה ומענה בסיסי. לצערי, לא תמיד הם יכולים לתת את המענה, אבל עדיין קיים המערך הזה. לפעמים אנחנו יודעים שהתלונות לא תטופלנה בצורה מקצועית, בגלל חוסר מיומנות, הכשרה מקצועית ואמצעים.

את אותו האקר טננבאום מרמת השרון, צריך לגייס למשטרה. אנחנו צריכים לגייס את המתוחכמים ומבריקים ביותר בתחום זה, כדי להתמודד נגד המוחות המבריקים מן הצד השני.

בנוסף לכל אלה, אנחנו עוסקים גם בהכשרה בהדרכת חוקרי מחשב, לפיתוח שיטות, נהלים ותוכנות וכיוצא באלה. אנחנו כל הזמן מתקדמים, אבל כל זאת במסגרת מגבלות האמצעים. לדעתי, אנחנו עושים כמיטב יכולתנו.

אני בטוחה שאתם עושים כמיטב יכולתכם, אך לא נותנים לכם את הכלים המתאימים.

אני משרת במנהל הטכנולוגיות במשטרה, שהוא הגוף הטכנולוגי התומך בכל המגזרים. אני רוצה להתייחס לאותה כתבה שהיתה בעיתון על הקיצוצים: : כמו כל גוף ממשלתי אחר, עברנו גם אנחנו קיצוץ בשנה האחרונה. היתה מהפכה טכנולוגית במשטרה, שבשנים האחרונות מתחילים להרגיש את פירותיה. הקיצוץ בתחום שלנו במשטרה הרבה יותר קטן מאשר במגזרים אחרים, מתוך הבנה לחשיבות אותן מערכות טכנולוגיות, אך עדיין המרחק בין מה שמאפשרים לנו לעשות לבין מה שאנחנו רוצים גדול מאד. קיימות תכניות מגירה גם ביחידה הארצית לפשעי מחשב. הכל תלוי בתעדוף. מינהלת ההגירה היא תעדוף שנקבע על-ידי הממשלה, היחידה לפשיעה כלכלית היא תעדוף שנקבע על-ידי הממשלה. פרוייקט "אתגר" לפני שלוש שנים, גם הוא נקבע על-ידי הממשלה.

כלומר כאשר הממשלה רוצה להתלבש על נושא, היא יודעת לתת לכם את האמצעים. זה בדיוק מה שאנחנו צריכים לדרוש.

צריך לזכור כי ישנם גם היבטים אחרים שלא דובר עליהם, והם מקשים לא עלינו כמשטרה אלא דווקא עלינו כלקוח של מערכות הגנה. כדי שארגון יוכל להגן על עצמו, צריך לסגור פערים מסוימים בחקיקה. רוב מערכות ההגנה הן מערכות אקטיביות: הן מסננות, הן בודקות, הן קוראות את הדואר לפני שהוא יוצא, הן רואות מה את עושה. יש היום בעיה בהפעלה של מערכות כאלה. בתוך הארגון אנחנו מפעילים מערכות הגנה. אנחנו בדין ודברים ממושך עם היועץ המשפטי שלנו, מאחר והסוגיה הזו עדיין לא ברורה. עד כמה מעביד, עד כמה מעסיק יכול לחטט בדברים שעוברים דרכו. זהו דבר שצריך להתמודד אתו בצד החוקי. זה לא קשור למשטרה. ארגון שרוצה להגן על עצמו, מבצע האזנות.

האם האגף המשפטי שלכם נותן על-כך את דעתו?

האגף המשפטי שלנו נותן על-כך את דעתו. נוכל להעביר אליכם את ההמלצות.

תעבירו אלינו את הדרישות ואת ההמלצות. נתייעץ עם הגורמים המתאימים במשרד המשפטים. ישבתי אתם בשבוע שעבר, ודיברתי אתם על היבטים מסוימים.

לפני כ-6 שנים הייתי חבר בוועדה כמו זו, וב-18 במרץ 1998 הגשתי לה הצעה. הרעיון הוא לקחת אנשי היי-טק, אנשים אשר עוסקים בכך ביומיום, אנשים שהם "פריקים" של מחשבים וחיים את החומר. הם לא צריכים כל הדרכה או קורס, כי הם באים מהתחום, ולהתחיל להריץ באמצעותם את נושא ההגנה ומידור המידע. נאמר בחומר שחילקתם, כי אותם עבריינים משתמשים בחשאיות שהאינטרנט מספק. האינטרנט לא מספק שום חשאיות. לכל משתמש יש כתובת IP' לכל כתובת IP יש מספר טלפון. הממשלה צריכה להביא לחקיקת חוק שיש לערוך את האינפורמציה.

חבר שלי מפעיל אתר באינטרנט, מישהו החליט שהוא רוצה להיכנס לתוכו ולשנות בו דברים. היינו זקוקים בדיוק ל-5 דקות, כדי להשיג את מס' הטלפון והכתובת שלו.

בגלל שהוא לא ידע להתחזות.

הוא עשה עבודה טובה. לכל כספת יש מפתח בידיו של אדם מסוים, ויש עוד 5 שיודעים להעתיק את המפתח.

ככל שהמשתמשים ישקיעו יותר מאמץ טכני, כך יהיה אפשר יותר לזהות את העבריינים.

אם יהיו לנו עוד 300 מתנדבים שאינם זקוקים לקורסים, אני חושב שבאופן יחסי אחוז התפיסות שלנו יהיה קטן מאשר היום. צריך לערוך רשימת לוגים. לספקיות האינטרנט יש לוגים, אך אין הן שומרות אותו אחורה.

האם אתה מייצג את הספקיות? כי יש כאן נציגים של שתי ספקיות אינטרנט אשר שומרות את הלוגים.

מצוין. יש צורך לשמור על הלוגים האלה שאפשר לשאוב מהם אינפורמציה רבה. למשל, דובר כאן על גניבת זהות. אשר לווירוסים, לפי דעתי יש לחייב את ספקיות האינטרנט להתמודד עם בעיית הווירוסים. הלוקח הוא לא זה שצריך לטפל בכך, הוא בסך הכל רוצה גישה לאינטרנט, ועבור זה הוא משלם. מדהים אותי שחברות האינטרנט מציעות שירותי אנטי וירוס תמורת תשלום. זה חייב להיות חלק מהשירות שלהן.

יש אתרים רבים בישראל ובעולם, למשל אתר חבר'ה, שאנשים נכנסים אליהם, והם עושים שימוש שלא כדין באינפורמציה, ושולחים דואר זבל למנויים. כשם שהחוק אוסר משלוח פקסים בלי אישור ממני, כך הוא צריך להיות גם ברשימות התפוצה באינטרנט.

אשר לפדופילים, יש היום כלים יעילים מאד לסריקת דואר. אני מסוגל לדעת אם מישהו מפיץ דואר הקשור לטרור. היכולת קיימת, השאלה היא עד כמה אנחנו רוצים להפעיל אותה.

גם אם לא כל מה שאמרת ישים, הרעיון של משמר אזרחי לפשעי מחשב מוצא-חן בעיני.

אחרי ששלחתי את מכתבי, המשטרה שלחה אלי את תגובתה ואמרה שהנושא בטיפול.

הייתי בישיבה במסגרת אחרת בכנסת, וישב אתנו איש משטרה העוסק בתחום תאונות הדרכים. הוא סיפר בגאווה רבה, עד כמה המתנדבים בתחום תאונות הדרכים, כ-7000 במספר, עוזרים למערכת. המערכת כבר מתייחסת אליהם כאל חלק מעצמה, כי בלעדיהם היא תקרוס. אני חושבת שזהו רעיון מצוין. אנחנו צריכים למצוא את הדרך לתת את הכלים החוקיים לאנשים האלה, ולא לפרוץ יותר מדי פרצות בכל הנוגע לזכויות האדם וחופש הביטוי. נושא האזנות סתר מעוגן בחוק, וצריך לעשות את ההשלכות ממנו גם לתחום הזה.

ההצעה של משמר אזרחי בתחום ההיי-טק עלתה מספר פעמים. אני חושב שהיא מפתה מאד במבט ראשון, אך גם מסוכנת מאד. בהחלט ייתכן שאנשים המיומנים במחשבים, יוזמנו על-ידי המשטרה לסייע לה ככוח חוקר, תוך כפיפות ארגונית ומשמעתית למשטרה, ויסייעו באכיפת חוק. אך מה שקרה במדינות שניסו להקים משמר אזרחי, ונתנו לאנשים סמכות שיפוט ואכיפה, הדבר החזיר אותם לימי המערב הפרוע: כל אחד יכול לעקוב אחר כל אחד. ההצעות שהועלו כאן, לגבי שמירת לוגים ואיתור זהות של אחרים, הן מסוכנות מאד. רוב הפרקטיקות שציינת אינן חוקיות, וטוב שכך. לשמור לוגים, פירוש הדבר להתחקות אחר כל פעולה של אדם אחר. לאתר זהות, פירוש הדבר דומה.

אף אחד לא אמר ש-300 איש יתחילו לעקוב ולחפש אחר כל אחד מאתנו. התייחסתי לאותה יחידה של 7000 מתנדבים שעוזרים למשטרה, שגם הם עוברים הכשרה. הקריטריונים יהיו ברורים, והם יעובדו עם המשטרה. אני חושבת שעל פניו הדבר נראה ישים. אם הוא קיים בתחום עבירות תנועה, אין שום מניעה שזה יהיה קיים גם פה, אך צריך לבנות את הקריטריונים.

וירוסים הם בעיה כלל עולמית ולא ישראלית.

האם זה הופך את הבעיה לפחות כואבת?

לא, אבל הווירוס האחרון התפשט מאסיה ושטף 5 יבשות בעולם תוך 3 דקות. לעומת זאת, למצוא פתרון של אנטי וירוס, לוקח בין 12 ל-24 שעות לחברות הטובות. להטיל עכשיו את האחריות על מישהו, שאפשר יהיה גם לתבוע אותו והוא יהיה אשם, יש בכך קפיצת מדרגה. חברות שלמות חיות מהגנה מפני וירוסים, והן מנסות להיכנס היום גם לתחום ה-spam, כלומר דואר זבל. יש כמה תפיסות של מוצרים בשוק, שמי שרוצה יכול לרכוש אותם ולערוך סינון אשר יעיל לפחות ב-50-60 אחוז מדואר הזבל. את ה- 100 אחוז איש לא יצליח להוריד, כי מה שהוא spam עבורי, יכול להיות משהו פיקנטי ומעניין עבור מישהו אחר.

קל מאד לתבוע שהמשטרה תחייב מישהו לאבטח, אבל אם מדובר באבטחה פיזית, כל אחד מאתנו מגן על ביתו, על רכבו ועל ציודו האישי. כל אחד מעריך את הנזק, ולפעמים קונה ביטוח. חברת הביטוח מחייבת אותנו להתקין פלדלת בכניסה לדירה, או immbilizer בכלי הרכב. כל האמצעים האלה עולים כסף, אך בלעדיהם לא נוכל לרכוש ביטוח, או שהפרמיה תהיה גבוה במידה שתשכנע אותנו לרכוש את אמצעי ההגנה. ישנם אמצעי הגנה רבים, אך אי אפשר להגיד שהם נותנים מאה אחוז של הגנה. הם נותנים מידה סבירה של הגנה, כך שבחלק מן המקרים יהיה שווה לפורץ לעזוב אותך ולעבור למי שקל יותר לפרוץ אליו.

יש כמה דרכים לחייב אדם לנקוט באמצעי הגנה. הדרך הנכונה יותר היא על-ידי פעילות עסקית: אם אלו חברות הביטוח שתדרושנה להכניס אמצעי הגנה, והיום אני לא מכיר חברת ביטוח שדורשת את זה בפרמיה. אולי חברי במשטרה יודעים משהו שאני לא יודע. דרך אחרת לעשות זאת היא באמצעות חברה המחשבת את הנזקים האפשריים, ומחליטה שכדאי לה להשקיע בהגנה. בדומה לביטוח, חלק ניכר מאלה שקונים ביטוח רכוש, עושים זאת רק לאחר שפרצו אליהם בפועל.

למה אתה לא מטיל שום דבר על ספקיות האינטרנט?

מיד אגיע אליהן. קל לנו להטיל אחריות על חברות האינטרנט, אך בסופו של דבר זהו עסק. הן צריכות להרוויח. אם נחייב אותן לתת הגנה לכולן, נכניס את העלות למחיר השירות שהן גובות מכל אחד מאתנו. הן לא תעשינה זאת בחינם. המוצר הזה עולה להן כסף. יש חברות אנטי וירוס שהן משלמות לה עבור הזיכיון. הן מחזיקות כוח אדם כדי לעדכן את התוכנות, הן מחזיקות כוח אדם כדי לבצע את ההגנה בפועל. מי שישלם את המחיר הוא הצרכן שיהיה מוגן.

כדי להגן נכון - וצריך להבדיל בין המגזר העסקי למגזר הפרטי, ובין המגזר העסקי שיש לו השפעה לאומית, למגזר שיש לו השפעה פרטית בלבד - צריך לטפל בשלושה גורמים: האזרח יטפל בעצמו, והוא יכול לרכוש היום את השירות בעלות זולה מספק האינטרנט שלו. חברה מסחרית צריכה להפעיל שיקול עסקי או את חברת הביטוח שלו, וחברה בעלת אינטרס לאומי כמו בתי-חולים, כמו שירות רכבות, כמו שירות שליטה ברמזורים או תאגידים לתחבורה, כמו שירותי דלק - צריכה לפעול על-פי שיקולים ממלכתיים. ישנה החלטת ממשלה שהתקבלה בדצמבר אשתקד, על-פיה הוקמה יחידה ממלכתית (אינני חלק ממנה, אבל איני רואה כאן את נציגיה, לכן אדבר בשמה), אשר קיבלה כוח אדם ותקציבים, והיא נועדה לתת את המענה בהיבט הלאומי, על מנת למנוע מקרים של לוחמת מידע, שיגרמו לשיבוש בקנה-מידה לאומי.

תחת מי היא פועלת?

שירות ביטחון כללי.

כמה עובדים בה?

יותר מתשעה. הם אנשים מוכשרים מאד. מה שוועדת הכנסת יכולה לעשות, דווקא בגלל שישנן כאן מצלמות הטלוויזיה, והדברים אולי יקבלו הד נוסף, הוא ליזום דברים בצד המודעות לנושא, החינוך והרצינות. כאשר הייתי ילד, קטפנו פרחים, עד שהחברה להגנת הטבע החליטה שפרחי הבר מוגנים, וערך מסע נגד קטיפת פרחים. היום מובן לכל ילד, שאסור לקטוף פרחים. לעומת זאת, הגישה הציבורית לווירוסים, לחדירות ולפריצות מחשב, היא כאילו זהו חלק מהעניין. חלק מהעניין הוא לגלוש לאתרים פורנוגרפיים ועוד.

לכן אני חושבת שצריך להחמיר בחוק, כדרך לחינוך.

חלק מהחינוך הוא להסביר לציבור שמדובר בנושא רציני. לכן כאשר אותו אנלייזר שהוזכר כאן עבר עבירה, יש בעיה לגייס אותו לשירות המשטרה.

אני מדברת על כאלה שכמותו מבחינת היכולות, אך לא מהבחינה העבריינית.

אחרים כמותו מגויסים במידת היכולת. כשם שהחוק להגנת הפרטיות הטיל חובה על מנהלי מאגרי המידע לא רק להירשם, אלא גם לעשות פעולות סבירות ואף מעבר לכך, כדי להגן על מאגרי המידע, אפשר להטיל בחקיקה על בעלי מאגרי המידע להגן במידה סבירה על המידע שלהם. אפשר לקבוע באמצעות תקנות או בכל דרך אחרת, לקבוע מהן הדרכים הנאותות לעשות זאת.

נראה לי שיש יותר מדי פרצות בחוק, לא רק בגישה למחשב. דיברנו כאן לפני שעתיים על הקרינה ממכשירים סלולריים, ואנחנו יודעים שהחברות הסלולריות מחויבות להתריע על הסיכונים של קרינה. כל מי שמקבל מכשיר טלפון, מקבל עלון ובו נאמר מה הקרינה שלו.

אני חושבת שאנחנו צריכים להתחיל בדבר הבסיסי ביותר: יידע כל רוכש אינטרנט, וכל מי שמתחבר לספקית אינטרנט, מה הסיכונים שיש בכך. רוב האנשים אינם מודעים לסכנות. הם מכניסים הביתה מוצר שאינם יודעים מה האפשרויות הטמונות בו מבחינת הפשע. כמעט בכל בית יש ילדים שמתחברים לאינטרנט, בהרבה מאד מקרים קונים את המחשב עבור הילדים, וההורים אפילו לא יודעים מה הילדים עושים. אני חושבת שאנחנו צריכים למצוא את הדרך להתקין תקנות שתחייבנה את ספקיות האינטרנט.

אני מקבלת את הטענה שלך שיש להגביר את המודעות. אני רוצה לשאול את מי שעניינו בחינוך, האם ברצונכם להתייחס לנושא.

הנושא האחרון שהעלית, נוגע לאמנה חברתית בין תלמידים, הורים ומורים, עליה חותמים תוך לימוד והבנת הנושאים הקשורים באינטרנט. הדבר קיים ואנחנו עושים זאת.

נעשית פעולה מקיפה במשרד החינוך בכל הנוגע למניעת עבירות מחשב, ולא רק עבירות מחשב. כתבנו תכניות לימודים המוקדשות לכך, פיתחנו חומרי לימוד בשיתוף עם אנשי המשטרה, ויש לנו גם משמר אזרחי של נוער בנושא עבירות אינטרנט. אנחנו עובדים עכשיו על חיבור קוד אתי בנושא המחשבים, ובמשרד פועלת יחידה בראשותה של גברת דורית בכר, המפקחת הארצית. העמדנו לרשותה צוותי מדריכים המפעילים עשרות מדריכים נוספים במערכת, על מנת להפעיל את התכנית הזו. אחד התחומים שפיתחנו הוא אתיקה וערכים ברשת. אנחנו מתמודדים עם הנושא בצורה מסיבית, וחלק מכך הוא אותה אמנה עליה חותמים תלמידים, הורים ומורים.

האם אתם מגיעים לכל תלמיד?

אנחנו מגיעים לכל תלמיד מגן הילדים ועד לתיכון, על-פי תכנית ספירלית שפיתחנו. האתיקה היא אחת משבע סוגיות שכל תלמיד מתמודד אתן. אנחנו מריצים את התכנית הזו במסגרת ניסוי כבר 5 שנים, אבל זו השנה השניה בה יש לנו יחידה אשר מטפלת בנושא בצורה מסודרת.

אנחנו שייכים למשרד החינוך ולאגף מנהל, מדע וטכנולוגיה. התפקיד שלי הוא בן שנתיים. המהפכה הטכנולוגיה חדשה, ואנחנו עדיין בתחילת דרכה. מערכת החינוך היא מערכת גדולה וסבוכה, שיש לה נושאים רבים לטפל בהם. אנחנו מדברים על 7 סטנדרטים, כאשר הסטנדרט השביעי הוא אתיקה וערכים ברשת. יש לנו גישה מעצבת וגישה מכוונת, ואנחנו דוגלים בשילוב בין השתיים.

אולי כדאי לומר שבחוזים שאנחנו יוצרים עם ספקי ה-ISP, אנחנו דורשים הגנות ברמות מסוימות, כלומר פילטרים וחסימות בתוך המערכת, דבר שעולה לנו יותר כסף.

כאשר מדובר בגיל הצעיר יותר, אנחנו מדברים על חסימות. כאשר מדברים בגיל המבוגר יותר, מדברים על הגישה המשלבת בין השניים: נותנים להם את האפשרות הבית-ספרית לפתח איזו שהיא אמנה בית-ספרית. אנחנו יודעים שכאשר חוסמים אתרים, זה רק מגרה אותם לחדור אליהם. אם אנחנו מדברים על האקרים או קראקרים, אנחנו רוצים לכוון אותם ולעצב אותם. כאשר הם קטנים, אנחנו חוסמים יותר. כאשר הם גדלים, אנחנו מכוונים יותר.

אנחנו עוסקים הרבה בנושא המודעות, על מנת להביא למודעות ההורים, המורים והתלמידים את הנושא כולו. אנחנו עושים זאת בשיתוף עם ועדי הורים, מועצות תלמידים, המשטרה ועמותות שונות, כמו עמותת "אשנב" הפועלת למען שימוש נבון באינטרנט. אנחנו עורכים ימי עיון רבים בנושא זה בכל מחוז ומחוז, בשיתוף עם ההורים והתלמידים, כדי להגביר את המודעות לסכנות שיש בתחום האינטרנט. לא מדובר רק בקניין רוחני וזכויות יוצרים, אחת הסכנות היא בכך שילד יושב שעות ליד המחשב בבית, וההורים אומרים שהכל טוב, כי הוא לא הולך לקולנוע ואינו חשוף לפיגועים. אבל אנחנו לא יודעים באיזה אתרים הוא מסתובב, עם מי הוא משוחח, איזה פרטים הוא מוסר ואיזה פרטים הוא מקבל. מה שאנחנו עושים הוא להעלות למודעות הקהל הרחב את הבעייתיות הקיימת בתחום זה.

משמח לשמוע את הדברים. אם אני קוראת בפרוטוקול של הוועדה מלפני שנתיים, אני רואה שחברת הכנסת מאור התלוננה על-כך שמשרד החינוך לא עושה דבר בתחום זה.

כל מה שעשינו הוא בעקבות אותה ועדה.

כאם לארבעה ילדים שחלקם עדיין במערכת החינוך, אני יכולה לומר שאף פעם לא נתקלתי באיזו שהיא אמירה בתחום זה, גם לא אצל מי שלומד במסגרת 5 יחידות בתחום המחשבים. התפקיד שלי הוא לא להיות אף פעם מרוצה, כי תמיד אפשר לעשות יותר.

אין לי קשר משפחתי לאנלייזר. את רוב מה שרציתי לומר, כבר אמרו אחרים. השאלה היא הדגשים. צריך לצאת מתוך כמה נקודות ברורות: אין שום סיכוי שהמשטרה תוכל לטפל בעבירות מחשב.

אתה עוסק בתחום זה בבתי המשפט?

לא. אין די עבירות מחשב המגיעות לבתי המשפט, כדי להעסיק שופט מיוחד לתחום זה.
יכול להיות שעוד כמה שנים צריך יהיה שופט מיוחד, היום עדיין לא.

אומר מדוע אין סיכוי שהמשטרה תצליח אי-פעם להילחם בעבירות מחשב, גם אם יהיו ביחידה 90 עובדים: רוב העבירות האלה דורשות התמחות ספציפית. גם אם תיקח את השוטר ותלמד אותו את מערכת ההפעלה הספציפית, לאחר שיתמחה בכך במשך חצי שנה, תהיה מערכת אחרת שלא יבין בה. מי שמכיר את העבריינים, יודע שמי שתופס אותם הוא המומחה הספציפי לאותו תחום. הסיכוי שהשוטר יהיה אותו מומחה ספציפי הוא נמוך. לא רק שאתה צריך לעסוק באותו תחום, זה משתנה משנה לשנה ומיום ליום. אין גם טעם להשקיע בשוטרים, כדי שילמדו את התחומים האלה.

היחידה שלהם יכולה לפנות למומחים הכי טובים בשוק, כדי שהם יתנו את המענה.

הסיבה השניה לכך שלא יוכלו להתמודד היא שלא יהיה יותר כסף למטרה זו. הבעיה הכלכלית תלך ותחמיר. אם ההמלצה תהיה לגייס יותר שוטרים או מומחים, זו תהיה המלצה בעייתית. באותה מידה אני יכול לבקש שיהיו יותר מורים מאשר שוטרים.

הפתרון שהוזכר כאן, ואני תומך נלהב בו, היא יחידת מתנדבים או משמר אזרחי. לעניות דעתי, זו הדרך היחידה בה אפשר יהיה להילחם בעבירות מחשב. זה הוכיח את עצמו בתחום התעבורה. בלעדי המתנדבים בתחום זה, לא היתה משטרת התנועה יכולה לעבוד.

צריך להבין, אין הכוונה לתת לאנשים סמכות לעצור אנשים אחרים, אלא להתלוות לשוטרים. לכל ספקיות האינטרנט בארץ יש אגפים המטפלים ב-abuse, ויש חברות המגדירות זאת כביטחון. לכל ספק אינטרנט יש קבוצת מומחים משלו. יש להן את האינטרסים שלהן, כי פוגעים בהן. הן יכולות להוות את השלד של אותו משמר אזרחי, יחד עם אנשי האקדמיה ואחרים. היתרון בכך הוא שזה לא עולה כסף ואפשר לעשות זאת.

כולם מדברים על הימורים באינטרנט. אני לא נכנס לשאלה אם זה מותר או אסור, אבל אם רוצים להפסיק את ההימורים האלה, בסך הכל צריך לפנות לחמש הספקיות הקיימות, לתת להן כמה הוראות, ותוך 24 שעות אפשר לבטל 95 אחוז מההימורים באינטרנט. צריך לומר להן: קחו את התוכנות, חפשו את אתרי ההימורים, תוך שנתיים אתם יכולים להוריד 85 אחוז מהם. אפשר לנתק אותם, אפשר לאסור עליהם התחברות מהארץ ובכך לסיים את העניין. מי שירצה מאד להמר, ימצא דרך לעשות זאת.

ברגע שיהיה משמר אזרחי, אפשר יהיה להפעיל אותו בתחום זה. נכון שיש בכך פגיעה בפרטיות, אבל אני כאדם שאין לו מה להסתיר, לא אכפת לי שיפגעו לי בפרטיות. יידעו איפה שוטטתי או איפה הבן שלי שוטט, שיהיה להם לבריאות.

אנחנו צריכים למצוא את האיזון הנכון בין הדאגה שלנו בעיקר לצעירים, שהם אולי המשתמשים הכי כבדים באינטרנט, והם יהיו הבוגרים של מחר, לבין הרצון שלנו לשמור על מדינה חופשית. אני באה ממפלגה שזהו דגלה: ליברליזם וחופש ביטוי, אבל לא בכל מחיר.

גברתי היושבת ראש, באתי ממפלגה שדברים אלה חשובים לה, למרות שלא זומנתי לישיבה הזו.

אולי היתה תקלה.

קיבלתי אפילו תזכורת.

אני מתנצלת, ואני שמחה שבכל זאת הגעת.

אני מנהל אבטחת המידע של נטוויז'ן. אני רוצה להתייחס לעבירות באינטרנט ולתחושת העדר הפליליות. מה שקורה היום בעיקר אצל הנוער, בגלל האנונימיות הקיימת בגלל תחושה של העדר פליליות, אם ניקח כל אחד מהיושבים בחדר הזה ונכניס אותו לחנות של תקליטורים שנוציא ממנה את הזבן, אני משוכנע שאף אחד מכאן לא ייצא עם תקליטור בידו. לעומת זאת, אם נחבר את כולם לאינטרנט מהיר, אתן להם תוכנה כזו או אחרת ואסביר להם מהיכן מוציאים שירים - יש לי תחושה אחרת בנוגע לכמות העבירות על זכויות היוצרים.

מה שאתה אומר הוא שאנשים אלה לא מודעים לכך שהם עוברים על החוק?

אני לא בטוח שהם לא מודעים, כמו שיש תחושה של העדר פליליות. אני מייצג כאן אך ורק את נטוויז'ן, אבל אני משוכנע שספקיות נוספות תסכמנה אתי. כל אחת מהספקיות מעבירה למעלה ממיליון פרטי דואר ביום. אנחנו מעבירים בין 2 ל-3 פרטי דואר ביום. לא סביר שנתחיל לסרוק, לבדוק, לתייק או לצנזר חס וחלילה חלק מפרטי הדואר האלה. לא יעלה על הדעת שנספק את הנתונים האלה ל"בזק".

הם יכולים להיות צומת, ברגע שאנחנו יודעים שסוג מסוים של קובץ או וירוס עובר, על מנת לסנן אותו. אני לא מדבר על צנזורה של תכנים.

מבחינה טכנולוגית, הדבר אפשרי בעלויות מסוימות. משמעות הדבר היא שאקרא את כל הדואר.

לא נכון.

אני הנציג הטכנולוגי של נטוויז'ן.

אתה לא צריך לקרוא את הדואר, כדי לסנן וירוס.

כדי לראות מה יש בדואר, אני צריך שהמחשב יפתח את הדואר הזה, יסתכל על הצרופה שלו ((attachment , ויבדוק מה הוא מכיל. כמו שלא יעלה על הדעת שניתן לבזק את האפשרות לחסום בפני אנשים מסוימים את האפשרות להשתמש ברשת הטלפונים, מכיוון שהם מטרידים אדם כזה או אחר, כמו שלא יעלה על הדעת שניתן לבזק את האפשרות להאזין לשיחות כאלה או אחרות, כך לא יעלה על הדעת לעשות זאת גם כאן.

זה לא מדויק. את שירות 056 אפשר לחסום. לא כל דבר שאדם רוצה להעביר דרך בזק, מותר לו להעביר על-פי חוק.

מה שקרה הוא שנעלמו השיחות בתשלום.

זה צמצם את התופעה.

אשר ללוגים, ספקיות האינטרנט שומרות את הלוג או את קובצי רישום היומן של גישת הגולשים לאינטרנט, אך בוודאי אינן שומרות ואסור שתשמורנה את מקום הגישה, את היעד ואת המקום של הגולש.

לאיזה פרק זמן?

זה עניין שלי, לצורך שמירת חשבונות ומס הכנסה.

למה אתה חושב שאסור להם לעשות זאת?

במידה ואתחיל לאסוף חומר, לאן כל אחד מהיושבים כאן בחדר גלש, יהיה לי מידע על פרטיותו של האדם, על נטיותיו המיניות, אולי על יכולתו הכלכלית וכן הלאה, מידע שאין סיבה שאיזו שהיא חברה אזרחית תחזיק.

אנחנו רוצים לדרוש מכם להעלות את רמת השירות על חשבונכם, כלומר שאתם תספקו את האנטי וירוס.

כל ספקיות האינטרנט הגדולות מספקות היום שירות אנטי וירוס שעולה בין 5 ל-10 שקלים.

האם תוכל לומר לנו כמה פעמים קרסה נטוויז'ן?

נטוויז'ן אינה קורסת.

אל תיתן פרשנות.

אני לא נותן פרשנות. אתה אולי שאלת שאלה שאינה ממוקדת. רשת התקשורת של חברת נטוויז'ן היתה במאה אחוז זמינות בשנת 2002. אם אתה מתייחס לאירוע של מחשבי דואר של אינטרנט זהב, ייתכן ששם זה קרה. הדיון הוא לא על זמינות ספק האינטרנט.

אם אנחנו דורשים מכם לספק את האנטי וירוס, בגלל שיש לכך השלכות כלכליות חמורות מאד עבור המשתמשים שלכם וכל תושבי מדינת ישראל, אם תערוך את האיזון בין עלות לתועלת, תיווכח שכדאי לכם להשקיע בכך. כאשר אתם רוצים כסף בשביל זה, זהו עניינו הפרטי של כל אחד אם הוא רוצה או לא רוצה לשלם. רובם אולי לא רוצים, לכן אנחנו יוצאים ניזוקים גם כחברה.

כל החברות הגדולות עושות את השיקול הזה. חלק מהיושבים כאן בחדר, לפחות חלק מחברי הכנסת, פנו אלי ואמרו שקיבלו איומים דרך האינטרנט והדוא"ל, אשר הגיעו בסופו של דבר דרך השרת של הכנסת הנמצא במשכן זה או דרך פרוייקט תהילה.

שמענו שזה לא פותר את כל הבעיות.

שירות האנטי וירוס שנספק, במידה והכל יהיה ברור, הוא עבור המשתמש הפרטי ולא עבור המשתמש העסקי שהדואר שלו אינו עובר דרכי. הוא עובר אך ורק דרך קווי התקשורת שלי ולא דרך שרתי הדואר שלי. יש כאן הבחנה טכנולוגית.

מה האחוז הפרטי ומה האחוז העסקי?

זה נתון עסקי שאינני מעוניין לחשוף אותו כאן.

אני מנכ"ל CA בישראל, חברת התוכנה השלישית בגודלה בעולם. אחד התחומים שאנחנו עוסקים בו הוא אבטחת מידע. אני רוצה להסב את הדיון לכיוון אחר: 70 עד 80 אחוז מהנזקים הכלכליים לארגונים, לא קשורים לחלוטין לתחום אבטחת מידע בכל הנוגע לאנטי וירוס. אנחנו מדברים כרגע על תחום חשוב ומטריד, אבל אין הוא לב העניין. לב העניין הוא למעשה הנזקים הנגרמים בפנים הארגון על-ידי גורמים המעונינים לגרום נזקים לגופים כאלה או אחרים. המהדרין אומרים שהנזקים האלה מהווים אפילו 85 אחוז מכלל הנזקים הכלכליים לארגונים. אני עוזב כרגע את הצד החברתי ואת משמעות הפשעים בהיבט זה. מדינה שרוצה לאפשר לעצמה בשנים הקרובות כלכלה מודרנית בה בנקאות מתבצעת דרך שירותים מקוונים, שבה הבריאות מבוצעת דרך שירותים מקוונים וכן הלאה, לנושא הפשיעה בתחום זה יש היבט רציני מאד המשפיע על היכולת שלנו להגיע לנקודה זו. לכן אנטי וירוסים שתופסים כותרות נפלאות מטרידים אותנו יום-יומיים - - -

מה הפתרון שלך לבעיות שאתה מעלה עכשיו?

אם אנחנו מסתכלים על הפתרון, אנחנו צריכים להבחין במעגלי השפעה. כל ארגון, בין אם הוא ארגון כלכלי או מוסדי, מוטלת עליו האחריות - והיא קיימת היום - לבצע הגנה על המידע.

החובה הזו מעוגנת בחוק?

כן. הצד החוקי והצד של הכנסת, אמורים להתבטא בהכוונה, באכיפה ובמתן דוגמה. אפשר להשתמש בגופי בקרה או להכפיף תחת מנגנוני החוק גופי בקרה ארגוניים, על מנת להבטיח שיבצעו אכיפות ובקרה עם ארגונים. מתבצעת פעולה דומה מן הסוג הזה גם בהיבט הבנקאות (איני רוצה לתת לה ציון כרגע). כלומר יש כרגע הנחייה המחייבת את הבנקאים ואת מערכת הבנקאות בכלל, לוודא שמתבצעת שמירה על מידע.

אבל זה אינטרס של העסק עצמו.

זה אינטרס רחב יותר, משום שאם אנחנו מסתכלים עכשיו על מספר רדיוסים של השוואה מעבר לארגון עצמו, אנחנו מדברים על ישות שהיא מדינה. ברמה הזו, לנו ככלכלה של מדינה שהחוליה החלשה שבה קובעת את הנורמה - - -

אני מבינה אותך, אני רק אומרת שלארגונים גדולים יש אינטרס לשמור על עצמם. אני לא צריכה לשכנע אותם בכך שיש להם אינטרס.

האינטרס קיים, אבל אנחנו מדברים על סדרי עדיפויות. אם לקחנו את הדוגמאות הקודמות ודיברנו על הכדאיות הכלכלית, ברגע שדברים מסוימים נקבעים בחוק, האינטרס הופך להיות אחר לגמרי. כלומר אם נקבעת רמת אחריות אישית של מנכ"לים או נושאי תפקיד אחרים, אשר מחייבת אותם לקחת צעדים פעילים ולדאוג להגן על כל הנתונים השייכים לנו, החשבונות האישיים שלנו וכל הנתונים הקיימים בארגונים שונים, ולהבטיח שהגישה אליהם תהיה מוגנת - הרי אנחנו כחברה בסך הכל מעלים את הסף.

אני מבינה אותך, אבל חוק החברות מחייב כל חברה. תפקידו או אחריותו של בעל משרה בחברה היא לעשות זאת.

חוק החברות מטיל עליהם גם את פקודת הנזיקין בסעיף 35 ו-36 . חוק החברות אף הגדיל ועשה, שהטיל את האחריות לא רק על נושא משרה, אלא גם על בעלי המניות.

האם יש צורך בחוק נוסף?

מה שצריך לעשות הוא פעולה שתכיל גם את נושא החקיקה ונושא האכיפה. אם לא תתבצע פעולה בו-זמנית בכל המישורים האלה, לא נפתור את הבעיה. הפרקטיקה של היום אומרת דבר מאד פשוט: אנחנו לא מוגנים. אם אנחנו מסתכלים על כותרות העיתונים, נראה שהרבה מאד מידע אישי דולף החוצה.

המסקנה הזו מקובלת עלי. החוק נותן לך את הפתרון מבחינת אחריותו של בעל משרה בחברה. אתה מדבר אתי על-כך שב-85 אחוז מהמקרים הנזק הכלכלי הנגרם לארגון הוא בגלל חוסר אחריות או חוסר תשומת-לב.

בסיפור של באג-2000 לא חוקקו חוק מיוחד, אלא אמרו שהדבר יטופל במסגרת פקודת הנזיקין.

קיימת לקונה חוקית. חוק הנזיקין מתייחס לנזיקין שגורם בעל משרה בחברה לבעלי המניות מתוך רשלנות. מה שנאמר כאן בצדק רב על-ידי מנכ"ל CA, וזו גם הבעיה של התמריץ שקיים בחברות, הוא שפריסת הנזק הרבה יותר רחבה מהחברה עצמה. בניתוח כלכלי פשוט, החברה מוכנה להשקיע את אמצעי הזהירות, לדוגמה מערכות הגנה בחברה, אשר מאתרות חריגה מתבניות פעילות אשר מלמדות על חריגה בלתי מורשית למאגר הנתונים.

צריך לחייב אותן לעשות זאת?

ישנם גופים כמו ה-FDA בארצות הברית, או ארגון הבריאות העולמי, שיצרו ספר חוקים או תקנות. אם אתה רוצה להיות חבר או לקבל אישור מארגון הבריאות העולמי, כדי לשווק את המוצרים שלך, אתה חייב לעמוד בסט מסוים של קריטריונים גם בנושא אבטחת מידע. בארץ אין לנו את הגופים האלה, גם לא מכון התקנים. אם נשווה אותו למקומות אחרים בעולם כמו מכון התקנים הבריטי, נמצא שהוא זה שמפיץ את ה-7799, שהוא אחד הסטנדרטים הבינלאומיים בתחום אבטחת מידע , אשר אומץ בישראל על-ידי מכון התקנים. מידת התפוצה שלו והאימוץ שלו בארץ היא אפסית לחלוטין. לעומת זאת באירופה ובארצות הברית גם אם הסטנדרט הזה אינו תופס במאה אחוז, בכל זאת הוא תפס. אם תהיה הכתבה ברורה מאד של סטנדרטים מסוימים בארץ, לאו דווקא סטנדרט 7799, נוכל לקדם את הנושא. היתה לנו כבר "שנת איכות", אבל " שנת אבטחה" עוד לא היתה, והבעיה הולכת וטופחת גם ברמה הארגונית וגם ברמה החינוכית.

יש לנו לקונה גדולה בחוק הישראלי, מכיוון שכמעט אין חקיקה שקובעת לארגונים מסוימים חובת אבטחה. החקיקה אף יותר בעייתית, מכיוון שאין לך התייחסות לנזקים החורגים מן המסגרת הארגונית שלך. לרוב יש spill over של נזקים, כלומר הנזק שלך מתפשט החוצה. עיקר הלקונה היא בחוק הגנת הפרטיות לגבי מאגרי מידע. אתה אוסף מאגרי מידע מזהה, והמידע הזה הוא בסיס להרבה מאד טרנזאקציות. במידת ההגנה או האבטחה שנדרשת יש רק חובת רישום, ואין חובת אבטחה אמיתית על המאגרים.

אנחנו עוסקים באבטחת מידע . כמי שנקרא פעמים רבות להתמודד עם פריצות למאגרי מידע, אנחנו מגלים שהרבה חברות לא מודעות לכך שיש כאן גם עבירה פלילית. במקרים רבים אנחנו מגלים שבוצעה פריצה או נגרם נזק על-ידי מישהו העובד בתוך החברה, או עובד לשעבר של החברה. אנחנו מבצעים תהליך של איסוף בצד המקצועי. יש תהליכים ברורים של איסוף חומר, כדי לא לפגוע בראיות. אנחנו לא עושים זאת לצורך משפטי, אלא על מנת שהחברה תדע מי העובד שעבר את העבירה. אם חברה לוקחת את אותם נתונים שאינם מהווים ראיה והולכת למשטרה כדי להגיש תלונה - - - (הדברים נאמרו בשקט, ולא נקלטו)

אני מגיעה לכאן ממשרד הבריאות. יש לי הערת שוליים: השבוע יושבת ועדת הלסינקי לניסויים גנטיים, ושם אנחנו עוסקים הרבה באחד משני החוקים שחוקקו במסגרת הוועדה הזו, והוא הגנה על מידע גנטי. אנחנו מבצעים פעולה שאולי מעכבת במידה לא מעטה את המחקר הרפואי, בכך שאנחנו דורשים הגנות, דורשים לבדוק אצל מי המידע ושולחים שאלון מפורט לכל אדם המבקש לערוך ניסוי. התחושה שאני יוצאת ממנה מכאן היא, שגם אם כל האנשים עושים את כל מה שאנחנו מבקשים, המידע עדיין פרוץ לחלוטין.

אני מאוניברסיטת תל-אביב, מוועדת התקשורת והמחשוב של אונסק"ו. הדברים שנאמרו כאן על-ידי מנכ"ל CA נכונים. הבעיה היא שלא ניתן להגן על פרצות מבפנים באופן יעיל.

דובר על-כך שתהיה אחריות של אלה שמנהלים.

בעניין זה החוק לא יעזור לנו, אין את האמצעים להגן מפני כשלים כאלה.

אם אדם יידע שהוא אחראי אישית לנזק שנגרם, הוא ידאג להגן.

חוק הגנת הפרטיות קובע שאתה אחראי על המידע.

רוב העבירות המבוצעות הן מסוג leaking of information - דליפת מידע. אם אני שולחת מידע על עסקה מאד גדולה המתבצעת בין שתי חברות בהיקף של 2.5 מליון דולר, אבל החברה השניה נותנת לי בתמורה לפספוס העסקה מליון דולר, שווה לי לעמוד בקנס שבית המשפט יטיל עלי תמורת הכסף הזה.

בנושא החסימה והסינון, נכון שיש המון תוכנות שמסננות וחוסמות, אבל לדעתי החסרון רב על היתרון, וזאת משתי סיבות: אם אנחנו עוסקים בסינון שנעשה באופן דינמי, זאת אומרת שבזמן אמת התוכנות יוצאות ומסננות, קודם כל זה מסנן יותר מדי. אתם יודעים שמה שקורה בארצות הברית הוא שתלמידים לא מגיעים לחומר אליו הם צריכים להגיע. השאלה היא אם המטרה שלנו היא לחנך אותם או לעצור מפניהם מידע חשוב שקשור לתחום שלהם. יש גם בעיה עם תמונות, אפרופו פורנוגרפיה: תוכנות הסינון הן מאד חלקיות. הן מסננות טקסט ולא מסננות תמונות.

יש את הגישה המעצבת, המשלבת בין שניהם.

אני מכירה את התוכנה האמריקאית המתבססת על הגישה הזו, אך יש אתה בעיה. אשר לחסימה, אנחנו נותנים רשימה של אתרים שאנחנו חושדים שהם רעים ופרובוקטיביים, אך אתרים משנים את אופיים. פרט לכך, כל יום מתווספים אלפי אתרים בעולם, ואי אפשר להשתלט עליהם. לכן הנושא של חסימה וסינון הוא בעייתי מאד.

נושא אחר שנמרוד ניסה להעלות, אך לא היה לו די זמן לכך, הוא ההסדרה העצמית. למשק יש המון פתרונות, למשל spamming, כל אותן רשימות של חברות שסרחו. אתה יכול להוציא את כל אלה שסרחו. אם הממשלה תסכים לשתף פעולה עם הסקטור העסקי שכבר יש לו את ההסדרה העצמית ברשתות, זה ימנע חלק נרחב מן הבעיה. הבעיה היא ששיתוף הפעולה היום לוקה בחסר.

אני רוצה להגן על העובדים שלי וגם על לקוחות האינטרנט. יש תוכנות סינון, אך הן לא מסננות את האתרים באתיופית או גרוזינית, אך הם הן מסננות את האתרים באנגלית, עברית ורוסית - אנחנו מגיעים ל-70-80 אחוז. כך אני מבטיח שהעובדים לא יוכלו להגיע לאתרים מסוימים. אנחנו מוכרים את השירות הזה גם לאזרחים, ואם חסמנו להם 70 אחוז מאתרי הפורנוגרפיה, גם זה משהו.

אחת הנקודות שעלו כאן, הוא השיתוף עם אותו מרכז תיאום. צריך להקים במדינת ישראל כמו בכל המדינות הנאורות בעולם, מרכז שנקרא CERT - computer emergency response team . הוא קיים בלמעלה מ-100 מדינות בעולם. הוא קיים גם במדינת ישראל, אמנם רק בשמו, אבל הוא לא פעיל. הנושא עלה כבר בוועדת המדע והטכנולוגיה. האחריות היא של המדינה להקים מרכז אשר יתריע, אשר יתאם, אשר יפיץ ידיעות. לא מדובר כאן במשאבי ענק, אלא במספר מועט מאד של אנשים אשר ירכזו את המידע. אנחנו עושים זאת בתוך הצבא לצרכים פנימיים שלנו.

קיים דבר כזה?

יש כתובת, אך אין שום דבר מאחוריה.

אני נשיא איגוד האינטרנט. נעשה מאמץ גדול להקים את הגוף שמיכה הזכיר לפני כשנתיים, אבל הוא לא צלח בסופו של דבר ואין גוף כזה כרגע.

למה לא הקימו אותו?

התחילו להקים אותו. אני חושב שהסיבה העיקרית היתה חוסר עניין מכיוון הסקטור העסקי וספקיות האינטרנט, לא מתוך רצון רע. אני חושב שלא היתה קיימת תחושת דחיפות.

אתה חושב שזה נחוץ?

אני חושב שזה מאד נחוץ, אני חושב שזה קריטי. השקענו בכך מאמצים גדולים מאד. נשמח להתניע מחדש את המאמצים האלה, אם ייווצר קוורום של אנשים שיביעו עניין ויגידו כן.

זה צריך להיות פרטי?

זה לא צריך להיות ממשלתי ריכוזי, זה לא צריך להיות של רשויות האכיפה, מכיוון שזה מייצר מייד רתיעה מסוימת אצל הסקטור העסקי. שיתוף הפעולה שנוצר אז הוא עם חשד מסוים. הרעיון היה להקים את הארגון על בסיס של non profit, על בסיס מלכ"ר, מעין קונסורציום שיהיה בו שיתוף פעולה בין הסקטור העסקי הכולל את ספקיות האינטרנט כשחקן ראשי ועוד כמה גופים מרכזיים, גם לרשויות האכיפה תהיה בו דריסת רגל וגם לממשלה תהיה בו יכולת הצצה, אבל לא משהו המנוהל באופן ממשלתי, מכיוון שכאן יכולים להיות מוקשים רבים. משקיעים הרבה עבודה בניסיון להסיר את המוקשים. הסרנו מוקשים, אבל בסופו של דבר כל העניין לא הסתייע.

נחשוב על-כך.

אני מייצג כאן את חברת ANC העוסקת באבטחת מידע. אני רוצה להציג מודל שמתחיל לעבוד בארצות הברית אשר נקרא HIPPA, אשר מגדיר כיצד רשויות של בתי-חולים חייבות להגן על מערכות המידע שלהן. בין השאר מגדירים שם את מדיניות אבטחת המידע כלפי כולם, מרמת הארגון דרך רמת המשתמש, ואפילו ברמה הטכנולוגית בכל הנוגע למערכות ההפעלה. זה אומר שאם אנחנו רוצים לטפל בבעיה, יש להטיל אחריות גם על ספקיות האינטרנט, כך שתשלוטנה על מה שקורה במחשב האישי שלי, אבל מדובר רק ב-security policy, כלומר סקריפטים שיאמרו לאן אני יכול לגשת, ואיזה סטנדרטים של מוצרים כולל מערכות הפעלה, יכולים להימכר במדינת ישראל: האם הן מאובטחות מספיק, קשות לפריצה, מנטרות את המידע המגיע אליהן ועוד.

יש לי הצעה פרקטית: אם אנחנו מדברים על הגנה, אולי כדאי להתחיל במקום בו אפשר להתחיל. הממשלה היא מקום טוב. אני מציע שנחייב את משרדי הממשלה לסנן תוכן באינטרנט, וגם להתקין מערכות הגנה של אנטי וירוס, כדי שלפחות לא יפיצו וירוסים. כך גם לגבי כל גוף נתמך על-ידי הממשלה, למשל עיריות.

זה רעיון נכון.

אני רוצה לקשר את הדברים למה שנאמר בפתיחת הדיון: היו שלוש שנים קשות מאד במדינת ישראל, וזאת מסיבות ביטחוניות ולא ביטחוניות אלא כלכליות. אני יושב שלוש שנים בוועדות שונות ובפורומים שונים, והברברת גדולה, אבל היום רואים תוצאות.

השאלה היא כיצד הוועדה מתקדמת מנקודה זו: ישנם ארבעה מישורים שבאחד מהם הוועדה לא צריכה לגעת, והוא המישור הטכנולוגי. המישור השני הוא המישור החינוכי נורמטיבי, השלישי הוא המישור החקיקתי שחייב להיעשות בו טיפול נבון, והרביעי הוא כמובן מישור האכיפה. בסופו של דבר זה מה שמחבר את כולנו. כאשר יהיה כסף, הכל יהיה.

ברוח הדברים של אביב שאני מסכים לכולם, אני חושב שאם אנחנו רוצים לצאת מן הדיון הזה עם הישג מסוים, מה שכדאי לעשות הוא צוותי עבודה קטנים שאשמח להשתתף בהם. אני חושב שיש כאן אנשים אשר עוסקים בכך כל הזמן.

זו בדיוק כוונתי.

במשרד המשפטים יש שלוש טיוטות של הצעות חוק שיצאו מהוועדה הקודמת, אך תהליך החקיקה לא מתקדם.

למדנו היום המון, למדנו שהמצב נוראי ויש לנו מה לעשות, ואני בהחלט מתכוונת לעשות, אבל אוכל לעשות רק אם תעזרו לי. לכן כל מי שהיתה לו כאן הצעה מעשית, מתבקש לשלוח אלי מכתב קצר ולעניין, שיאמר איזה צעדים יש לנקוט, באיזה תחומים צריך לשנות את החקיקה, כל אחד בתחומו.

באפריל קיימנו כאן ישיבה בה דנו בשאלה כיצד נקדם את נושא ההיי-טק במדינה. שמענו דעות מפי המומחים, קבענו צוות שיכין תוכנית, ואכן עשינו זאת ויש לנו תכנית שאנחנו מנסים לקדם. אני לא מבטיחה לכם שמחר נמצא את הכסף, או שבמשטרה יהיו יותר מ-9 אנשים שיעסקו בנושא, אבל אני מבטיחה לכם שנעשה את כל המאמצים כדי להביא את אלה שאחראים לכסף או צריכים לקבל את ההחלטה בממשלה, על מנת שיבינו שיש כאן שינוי תפיסה. נכניס להם את הדבר טוב-טוב לראש, כפי שאומרים ברדיו, שצריך להתחיל לחשוב אחרת. עולם הפשע עבר דירה, והם צריכים להבין זאת. לכן צריך להקדיש לכך כסף רב. זוהי דעתי. אשמח מאד אם תעזרו לי. אני לא מוכנה שתבואו לכאן בעוד שנתיים ותאמרו שיש כאן ברברת. תראו שזה לא יקרה.

אפילו המשטרה אמרה שיש התקדמות.

חשוב לי לציין שענת היא זו שיזמה את הישיבה הזו. חשוב מאד לעשות את העבודה ביחד. תודה רבה לכולכם.

(הישיבה ננעלה בשעה 15:05)