פרוטוקולים/ועדת מדע/8279




5
ועדת המדע והטכנולוגיה - 2.3.2004


פרוטוקולים/ועדת מדע/8279
ירושלים, כ"ח בניסן, תשס"ד
19 באפריל, 2004


הכנסת השש עשרה נוסח לא מתוקן
מושב שני



פרוטוקול מס' 63
מישיבת ועדת המדע והטכנולוגיה
שהתקיימה ביום ג', ט' אדר תשס"ד, 2.3.04, בשעה 13:00


ס ד ר ה י ו ם

עבירות מחשב בעידן היי-טק ; הפריצה למחשבי הבנקים - סכנה לחשבונות הציבור ; המאבק למיגור תופעת הפדופילים באינטרנט

חברי הוועדה: היו"ר מלי פולישוק-בלוך
עבד-אלמאלכ דהאמשה
יגאל יאסינוב
יעקב מרגי

בועז דולב, מנהל פרוייקט תהיל"ה (שירותי אינטרנט מאובטחים למשרדי הממשלה), משרד האוצר
עו"ד נעמה קאופמן, רפרנטית, משרד האוצר
סנ"צ מאיר זוהר, ראש מפלג עבירות מחשב, יחידה ארצית להונאה, המשרד לבטחון פנים
פיני שמואל, רמ"ד מתנדבים, המשרד לבטחון פנים
בלה שניידר, מנהלת חטיבת ישומים, משרד החינוך והתרבות
רפי הוידה, לשכת המדען הראשי, משרד התקשורת
אופיר כהן, ראש תחום אבטחת מידע, הכנסת
עופר ספורטה, יועץ לכנסת בענייני אבטחת מידע, חברת קומסק
רחל יעקובי, אחראית מיכון, הפיקוח על הבנקים
יורם ביטון, מנהל רשת האינטרנט, המוסד לביטוח לאומי
רפי יאיר, מחלקת מיבדק פנים, המוסד לביטוח לאומי
בובי פנדריך, אבטחת מידע, המוסד לביטוח לאומי
אלון גילון, סגן מנהל בתי המשפט
עו"ד יפעת בויאר, יועצת משפטית, המועצה לשלום הילד
אייל אדר, מנכ"ל חברת ITCOM ומומחה בתחום אבטחת מידע
אריק אורלב, בנק המזרחי






שמואל גלייזנר, מנהל מחלקת אבטחת מידע, בנק דיסקונט
דוד לוזון, ממונה על חטיבת התפעול והמיחשוב, בנק הפועלים
יוסי לוי, הבנק הבינלאומי הראשון
יצחק מלאך, בנק לאומי
אריה אופנר, מנכ"ל חברת CA
אמציה קידר, עוזר מנכ"ל, חברת CA
צביקה פליישמן, מנהל מגזר משרדי ממשלה, חברת CA
גלעד ירון, מנהל תחום אבטחת מידע, חברת CA
ניסים בראל, מנכ"ל חברת קומטק, יועץ איגוד הבנקים לאבטחת מידע
ארנסט קציר, סמנכ"ל חברת קומטק
יוסי אבני, מנכ"ל ANC
עוזי בטאט, סמנכ"ל שיווק ANC
עובד מזרחי, חברת TACT
מתי רם, מנהל צוות פיתוח, חברת TACT
אבי ויסמן, מנכ"ל חברת שיא סקיוריטי
רביב רז, יועץ ללשכת המהנדסים והאדריכלים
רו"ח יהודה ברלב, משרד רו"ח ברלב ושות'
דורון אופק, יועץ ומרצה בנושאי אבטחה והגנה על מידע
יהודה קונפורטס, עורך עיתון אנשים ומחשבים

ענת לוי

חבר המתרגמים בע"מ


עבירות מחשב בעידן היי-טק ; הפריצה למחשבי הבנקים - סכנה לחשבונות הציבור ; המאבק למיגור תופעת הפדופילים באינטרנט

בוקר טוב לכולם. לפני כשבוע שבועיים קראנו בעיתונות, אני חושבת שבאותו שבוע שני אירועים קרו, לכן הישיבה שלנו היום תתייחס לשני האירועים ששניהם תחת הכותר האחד, עבירות מחשב בעידן ההי טק.

אנחנו נחלק את הישיבה לשני חלקים, בחלק הראשון נעסוק בפריצה למחשבי הבנקים ובחלק השני נעסוק בתופעת הפדופילים באינטרנט. שני פשעים שכדאי שלא יהיו במקומותינו ומתפקידנו בכנסת לראות איך הגורמים האחראים לנושא דואגים ופועלים כדי ששני הדברים האלה לא יתרחשו.

אנחנו נדרשנו לענין בעקבות ידיעה שהיתה בערוץ 10 על מידע שנגנב ממחשב בבנק לאומי. אנחנו לא ועדת חקירה לנושאים אלה, בשביל זה יש משטרה שאני בטוחה שעושה את העבודה, אנחנו לא באנו לבדוק מי ומה ואם בכלל גנבו מבנק לאומי, אנחנו משתמשים בנושא הזה כדי לבדוק מה אתם האחראים בבנקים עושים כדי שאירוע כזה לא יתרחש.

זו הישיבה השניה שלנו בחודשים האחרונים, אנחנו כבר נפגשנו עם האנשים אשר על האכיפה. כדי להתחבר לישיבה הקודמת אני רוצה לומר שני דברים שקשורים לענייננו היום, אנחנו דיברנו על פשעים באמצעות האינטרנט, זה מתחבר לשני הנושאים שלנו היום ואנחנו ביקשנו ממשרד התקשורת, הגשתי הצעת חוק ושר התקשורת פנה אלי והציע שבמקום לתקן את הטעון תיקון בחקיקה אנחנו נפעל לשינוי תנאי הרשיון של חברות האינטרנט וזה מה שאנחנו פועלים. המטרה היא ליידע לגבי היבט חשוב לציבור בבית שישמע, ליידע את מי שרוכש אינטרנט לביתו ובמיוחד לילדיו, שידע במה זה כרוך, איזה סכנות מחכות לילד כשהוא נכנס לאינטרנט. הסכנות הן ללא גבול. אנחנו היום נתמקד בשתיים אבל כל פשע שאתם חושבים עליו שקיים בפועל, קיים וירטואלית והתוצר הוא לא וירטואלי בכלל, הפשע הוא פשע אמיתי.

אנחנו ביקשנו שכל אחד שמתחבר יקבל עלון מידע, שידע בדיוק איך זה קורה, מה קורה וגם כשהוא נכנס לאתר תמים כל כך כמו תפוז, שגם השם שלו נשמע כל כך ציורי, שידעו ההורים מה האפשרויות להגיע מתפוז לאתר פורנוגרפי, מה שפעם כשהיה לך ילד בן שש לא חששת שהוא יגיע לרח' הירקון לדוגמה לראות במו עיניו, היום הוא מגיע לרח' הירקון מהחדר שלו וכאן הסכנה היא גדולה. על כך נדבר במיוחד בחלק השני בהקשר של המשפחות והילדים.

אנחנו דיברנו כאן בישיבה הקודמת על הקמת משמר אזרחי או קבוצה של מתנדבים, ואני אשמח לשמוע איך זה מתקדם. אנחנו פנינו למשטרת ישראל, לשר לבטחון פנים בבקשה להקים משמר אזרחי, להשתמש במאגר הכוחות החיוביים שיש למדינת ישראל, הכוחות הטובים במחשב, כדי שיעזרו לכוחות המשטרה שכוחם כל כך דל, יעזרו להם בהתנדבות בדיוק כפי שזה קיים בתחום המאבק בתאונות הדרכים. אנחנו פנינו לכל האוניברסיטאות ולבתי ספר גבוהים שמלמדים מחשבים ונענינו בתגובות מאוד חיוביות ובתגובה להסכמתה של המשטרה להקים כזאת יחידה אנחנו הפנינו את כל מי שפנה אלינו ואת האוניברסיטאות אליכם, אני אשמח לדעת בהמשך האם משהו קורם עור וגידים.

אתמול בית משפט השלום בירושלים זיכה מכל אשמה את אבי מזרחי שהואשם בחדירה שלא כדין לאתר האינטרנט של המוסד. אני לא רוצה מפה לשבח מי שמנסה לפרוץ, אני לא רוצה לשלוח אנשים לפרוץ, לא זה תפקידי כחברת כנסת, אבל אני חושבת שאנחנו כן יכולים להשתמש באותם האקרים, מומחי מחשב צעירים ולא צעירים שיש להם את הידע, יש להם את המיומנות לנסות לבדוק את מידת האבטחה של מוסדות, כמו בנקים, בתי משפט, כנסת וכל מוסד שהוא, כדי לראות האם אנחנו מוגנים.

אני מנכ"ל חברת ITCON. חברת ITCON היא חברה המתמחה במחקר בתחום אבטחת מידע ובתכנון מערכות קריטיות מבוזרות. אנחנו עובדים בעיקר בפרוייקטים בנקאיים באירופה, עובדים עם הנציבות האירופאית ומשולבים בכמה פרוייקטים בארץ. הדברים שאני אדבר עליהם היום זה גם מהזווית של המחקר בנושא הגנה על תשתיות קריטיות והועדות שאנחנו יושבים בהם באירופה וחלק מהדברים שאנחנו עושים שם.

איסיפ זה פרוייקט של הנציבות האירופאית שתפקידו לכתוב את כל תוכנית העבודה של המחקר האירופאי בנושא הגנה על תשתיות קריטיות ואנחנו חברים במיזם הזה וגם חברים בצוות המשותף לאירופה וארה"ב בתחום של הגנה על תשתיות קריטיות. אחד הדברים המרכזיים שממנו יצאה הסקירה הקצרה שלי, שאנחנו הגענו אליהם ואחת המסקנות המרכזיות זה החשיבות של כל הנושא של security assessment, של בחינת מצב האבטחה. אם אתה לא יכול למדוד את זה אתה לא יכול לתקן את זה. הצעד הראשון המרכזי בכל תחום אבטחת המידע שעליו מתבססת כלל הפעילות וזה גם נוגע להיבטים עיסקיים, כי כל עולם הבנקאות בעיקר אם באזל 2 אומר לנושא של אבטחת מידע שנובעת מסיכונים עיסקיים ותהליכים עיסקיים ואנחנו כאנשי מיחשוב אמורים לדעת לענות נכון על כל הנושא של סיכון עיסקי וסקר סיכונים הוא הכלי המרכזי לנתח את הסיכונים העיסקיים.

אנחנו רואים שיש גידול משמעותי בסיכונים, יש כל הזמן התקפות חדשות, ההתקפות מורכבות יותר ויותר, כלי התקיפה הם זמינים, ניתן היום להוריד מהאינטרנט כלי תקיפה מאוד פשוטים שקל לתפעל אותם, לא תמיד צריך לדעת ולהבין לעומק אבטחת מידע או מחשבים, יש מחוללי תקיפה שיכולים או לייצר כלי תקיפה או לייצר וירוסים. אחד הדברים שראינו כשבחנו את תחום הבנקאות באירופה זה את הגידול בפגיעות. המערכות נהיות יותר ויותר מסובכות, הארגונים יותר תלויים במערכות, יש מעבר לרכיבי מדף מה שנקרא component over the shelf ומעבר לפרוטוקולים פתוחים וזה אומר שקל יותר להתקיף את מערכות המידע בפרט שיש באינטרנט בסיסי נתונים של פגיעויות. יש גידול בסיכון, יש גידול בפגיעות ובתלות שלנו במערכות וגם יש גידול בכוונות. התחום הזה מתחיל להיות בעייתי, אנשים מגלים אותו, בין אם הם האקרים, בין אם מכל תחום של לוחמת מידע, ארגוני פשע, קבוצות אנרכיסטיות, חלק גדול מהמציאות שלנו עובר לעולם האינטרנט, כמו שחלקים מכלל החברה עוברים גם חלקים מתחומי הפשע.

אם אנחנו מסתכלים על הסקר של CSI מאוד מעניין לראות לפי הסקר הזה דווקא את המיקוד של האירועים של שנת 2003 ש36%- זה ונדאליזם, 35% זה התקפות של מניעת שירות ורק לאחר מכן זה גניבה ופעילות שקשורה במידה של טרנזקציות ורק 4% זה הנושא של הונאה כלכלית. חלק גדול מהתקיפות זה תקיפות למניעת שירות וגם בראייה של עולם בנקאות צריך כל הזמן לחשוב מה יותר משמעותי, האם הנושא של נתינת שירות ללקוחות בעיני זה אחד הנושאים הכי מרכזיים, הנושא של היכולת תמיד לספק את המשימות שאתה אמור לבצע ושהם המשימות המרכזיות של הארגון.

בשלוש שנים האחרונות מתחילות להיווצר כמה תפיסות חדשות בתחום אבטחת מידע, השתתפתי בכמה כנסים סגורים של הנציבות האירופאית ועם האמריקאים וארבעת התחומים האלה הם התחומים המרכזיים שעלו שם. הנושא הראשון, המעבר מאבטחת מידע ולהסתכל בהיבט של אנשי המיחשוב בלבד להיבט של הגנה על המשימות הקריטיות של הארגון. איך הארגון יכול לבצע את המשימות שלו ותפקידנו כאנשי מיחשוב להבין מה המשימות הקריטיות של הארגון ולהגן עליהם בכל מצב. זה גם מאוד יושפע מבאזל 2 שזה תיקנון שמתחיל להופיע באירופה, השאלה מה המשימות הקריטיות שלנו ואיך אנחנו כאנשי מיחשוב אמורים להגן עליהם.

הנושא השני הוא, בעבר הגנו בעיקר על ההיקף, אבל ההגנה ההיקפית היא לא מספקת, חלק משמעותי מהאירועים הם פנימיים, אז יש מעבר מתפיסה שלא רק שאנחנו לא יכולים להגן רק על ההיקף, אנחנו חייבים להגן גם על המערכות הפנימיות וגם על אירועים בין אם בזדון, בין אם בשוגג שנוצרים ע"י אנשים פנימיים. וזה גם אומר להגן על הסביבה אבל גם להגן על המערכות החדשות. היום כשמפתחים פרוייקטים בנקאיים חדשים אבטחת מידע זה חלק מרכזי מתכנון הפרוייקט כחלק מארכיטקטורת הפרוייקט. מהיום הראשון של הפרוייקט עד האישור.

אתה אומר אבטחת מידע מהגורמים הפנימיים בתוך הבנק. הרי כבר היה נדמה לי בבנק לאומי אירוע שיו"ר ועד המנהלים נכנס למאגר של החברים שלו שעובדים איתו, מסיבות כאלה או אחרת והאיש פוטר מעבודתו. זה היה בתקשורת, לא גיליתי שום סוד. הקלות שבה מישהו מורשה חתימה שמתפקידו להיכנס לחשבונות של אחרים, יכול לעשות שימוש לרעה באמצעות האינטרנט או באינטרנט, מהבית שלו או מתוך הבנק, היא קלות בלתי נסבלת. איך אנחנו מונעים ולא מגלים אחר כך בדיעבד שמישהי גנבה לנו 250 מליון שקל.

הנושא הזה הוא מאוד משמעותי. חלק גדול מהמנגנונים שאנחנו מפעילים זה מנגנוני בקרה ומנגנוני וידוא שאדם, בשלב הראשון הנושא קשור בלאפיין שאדם מסויים יכול לבצע רק פעילות מסויימת ושאם הוא חורג ממנה זה מתריע. אבל יש גם אפשרות ע"י מערכות של אינטליגנציה מלאכותית לגלות שאם הוא מבצע גם משהו במסגרת הדברים שמותר לו, אבל אם יש שם משהו חריג, הבקרה קופצת. אנחנו ראינו את זה באירוע של בנק הדואר, אנשים הצליחו לחדור, מה שעזר לבנק הדואר לגלות את האירועים בצורה מהירה יחסית זה מערכות בקרה במעגל נוסף ויש היום מערכות בקרה מאוד טובות של ספקים שחלקם ישובים כאן באולם שהם מסוגלות, כשזה מתוכנן נכון, לתת לך את האפשרות לגלות מהר כשקרה אירוע ולהגיב.

אני רוצה לשמוע מהאחראי בבנק לאומי מה אתם עושים בנושא הזה.

יש לנו מדיניות לאבטחת המידע ובהתאם למדיניות אנחנו מיישמים את כל המנגנונים שקבענו במדיניות. חלק ממה שפה הציגו זה חלק מהמדיניות והוא גם התחיל לגעת בחלק מהמנגנונים. אנחנו מיישמים עשרות מנגנונים על מנת,

תהיה יותר ספציפי, אל תדבר על המדיניות, אם אתה מדבר על המדיניות אני רוצה לנצל את העובדה ולברך את בנק ישראל, אני קיבלתי את ניהול טכנולוגיית המידע ונראה לי שאם את מקיימים הפועל את מה שכתוב פה אז אולי, אני לא ידועת אם דיינו זה בידי המומחים, אבל זה בהחלט התייחסות מאוד רצינית ואני בהחלט מברכת על כך.

תהיה ספציפי, איך אתה מונע, הוא דיבר על מעגלים נוספים שאחד מבקר את השני.

לגבי הנושא של טכנולוגיית המידע, זה מתייחס לתקופה מה1.1- והבנקים גם לפני שהיתה הוראת החקיקה עשו דברים ופעלו גם בהתאם להנחיות וגם בהתאם להוראות החוק. וזה בא לעשות סדר נוסף ולתת דגש נוסף על מה שפה הוצג בתחום אבטחת המידע משנה לשנה לאור התפתחות הנושא, דורש תשומת לב יותר ספציפית.

אני אתן דוגמה למספר מנגנונים שבנק לאומי מיישם כפי שגם גופים אחרים מיישמים על מנת למנוע את הדברים האלה, על מנת לבקר, על מנת להציף כאשר הם קורים. הפרדת סביבות עבודה, יש סביבות עבודה מחשביות שמורשים לגשת אליהם רק אנשים מסויימים מתוקף תפקידם, וגם האנשים שמורשים לגשת הם מורשים לגשת לעשות סוג פעולה מסויים, או קריאה של האינפורמציה או כתיבה של אינפורמציה או משהו משולב. להגיע לאינפורמציה לא מגיעים בצורה ישירה, יש מספר מנגנונים שבודקים מעבר לנושא של האם בן אדם מורשה או לא מורשה, אם בכלל הפעולה הזאת מורשית, אם הפעולה הזאת חוקית, אם בכלל אפשר לעשות את הפעולה הזאת, כי פעולה בנקאית היא בדרך כלל פעולה דו צדדית, מעבירים מצד א' לצד ב', הפעולה צריכה להיות שלמה וסגורה.

יש נושאים שתוך כדי פעילות אנחנו בודקים אותם בגלל הרגישות הגבוהה הן של הרגישות הכספית והן הרגישות של הלקוחות ובזמן אמיתי בודקים באמצעי בקרה נוספים האם אותה גישה שנעשתה היא גישה מורשית מעבר למה שאמרתי קודם.

כשאתה אומר בודקים, מי בודק את מי?

המערכות הן מערכות אוטומטיות, חלק מהמערכות שדורשות אישור של אדם אז אדם צריך לאשר אותם.

זה תמיד אותו אדם.

זה לא תמיד אותו אדם. בבנק לאומי יש 10,000 עובדים ולא אותם אנשים בודקים את אותם אנשים. יש סמכויות ואחריות וכל אחד פועל באחריותו.

כל אחד חוזר לאותם לקוחות בסופו של תהליך.

בגלל העיסוק הרב של הבנק במגוון גדול של נושאים וכמות האנשים בבנק מבחינת האחריות של נושאים אז זה מתפצל בין הרבה מאוד אנשים, ברור שחלק מהפעולות מגיעות לאותם אנשים, כשאני מדבר על אנשים ועובדים מדובר על הצד העיסקי ולא על הצד הטכנולוגי.

יש לנו מנגוני איתור שתוך כדי פעילות בזמן אמת אנחנו עולים על דברים שלא נראים סבירים שמראש הגדרנו אותם מבחינת החוקים שהם לא יכולים להיעשות וזה מאותת לכל מיני עובדים במערכת שמתבצעת פעילות בלתי סבירה כפי שהבנק הגדיר אותה.

אדם לא יודע מתי יגיעו אליו באיתור?

אדם לא יודע, כל טרנזקציה שהיא לא טרנזקציה שהוגדרה מיד תאותר.

אנחנו מדברים על מעבר מהגנה כלפי החוץ להגנה מקצה לקצה, בין אם אנחנו מגנים על סביבת העבודה שלנו, חלק ממעגלי האבטחה שהוזכרו כאן, בין אם אנחנו בודקים איך המערכות שאנחנו מתכננים יש בהם מנגנוני אבטחה ואיך הם ביחס למנגנוני אבטחה שיש כבר בסביבה העיסקית שלנו. כל הרעיון הוא להתחיל לחשוב בצורה רב תחומית בחתכים השונים הטכנולוגיים ולראות את הקשר בין הטכנולוגיות השונות, תקשורת, ישומים, התנהגות של משתמשים במערכת, איך ניתן לבנות תפיסה שהיא יותר כוללת.

הנושא הבא זה מעבר מאבטחת מידע להגנה על תשתיות קריטיות. התפיסות העכשוויות בנושא הגנה על תשתיות קריטיות מדברות שבכל ארגון יש שלוש שכבות, השכבה הפיזית, שכבת הסייבר והשכבה האנושית. ניתן להזיק למערכת של ארגון או לתפקוד שלו ע"י תקיפה בכל אחת מהרמות האלה והשאלה המרכזית איך אנחנו מצליחים להגן מכל ההיבטים. גם אם פגעו באדם אחד או שניים, גם אם פגעו במערכת מידע מסויימת וגם אם ברמה הפיזית חדרו ואותו סיפור של בנק הדואר זה שילוב של חדירה פיזית ותקיפה לוגית.

אני הבנתי מהתקשורת לפחות שזה אותו דפוס כמו שהיה בבנק לאומי, או שחושדים שהיה בבנק לאומי.

אני לא יודע לגבי הדפוס של בנק לאומי אז קשה לי לדעת.

מה שהתקשורת אמרה שהיה בבנק לאומי, לפחות לפי הבדיקות הפנימיות שבנק לאומי עשה עד שהוא הפסיק את הבדיקות שלו, אז לא היה אירוע בבנק לאומי כפי שהתקשורת הציגה.

אחד השינויים המהותיים באיך מסתכלים על אבטחת מידע זה היכולת תוך כדי תקיפה לתת את השירותים המרכזיים של הארגון, זה שקף של משרד ההגנה האמריקאי בעקבות 11 בספטמבר. עד 11 בספטמבר הם בעיקר היו עסוקים בהגנה על הסודיות ובבנית אירועים, הם שינו את כל התפיסה שלהם. אני פגשתי את חמשת המדענים שהיום מפתחים את זה בארה"ב, הם אפילו חשבו איך ניקח מתוך הגוף האנושי מנגנונים שיאפשרו לנו לבדוק מה זה יצירות של איברים, מה זה שונות של פעילויות, איך נבנה מודל של מערכת ואיך נבנה מודל של ארגון שיכול לתפקד בכל מצב, להגדיר מה הן הפעילויות הקריטיות שלו ואת זה תמיד לבצע.

הכותרת של השקף היא לא מדוייקת כי חסרה פה מילה. פעילות תוך כדי היותך נתון בתקיפה, או מגננה, כי אתה לא תוקף.

הערה נכונה, יתוקן. תוך כדי היותך מותקף. פה אני כאיש מקצוע רוצה להתייחס לחלק מההתייחסות לאירועים שקרו. אני במובן הזה הייתי רוצה דווקא תוך כדי השקף הזה להתייחס לחלק מהאירועים שקרו. אנחנו כאנשי אבטחת מידע ראינו ורואים שתמיד יש תקיפות ותמיד אירועים קורים, לא ניתן למנוע אירועים. השאלה היא איך אנחנו מגיבים לאירועים שקורים, זה הדבר המרכזי וזה הדבר החשוב ביותר.

התחומים שאופיינו כתחומים המרכזיים זה הנושא של קביעת מדיניות ובחינת תאימות למדיניות ופה אנחנו רואים חשיבות מאוד גדולה לתקן 357, ביצוע סקרי סיכונים.

אני מבקשת לדייק, זה לא תקן, זה הוראת ניהול בנקאית.

בחינת תאימות לנהלים זה הנושא המרכזי שממנו הכל נגזר. הנושא הבא זה ביצוע סקרי סיכונים, גם למערכות חדשות וגם לסביבה הקיימת כי כל הזמן יש שינויים וכל הזמן יש התפתחויות. תכנון פתרון אבטחה כחלק מתכנון מערכות חדשות, הקמת צוותים לכתיבת נהלים לטיפול בתקלות, הנושא של טיפול בתקלות שזה גם נהלים וגם צוותים ויש לזה גם את כל ההיבטים של ביטוח אירועי, זה תחום חדש שמתחיל להיכנס עכשיו, איך אתה מנתח אירועים ומעביר את המידע לרשויות החוק, כל הנושאים האלה הם מאוד בנפשנו כשאנחנו מסתכלים על הארגונים שאנחנו אמורים להגן עליה.

יש את הנושא של הסכמי שירות בנושא אבטחת מידע שזה ענין מאוד לא פשוט, איך בתהליכי חוץ אתה דואג לקבל את השירות ברמה המתאימה ואיך אתה מגן על עצמך לאורך שנים כשאתה לא יודע איך הטכנולוגיה תשתנה וזה תחום מאוד מעניין של בחינה ומחקר ובחינת הקשר בין פעילות עיסקית לאבטחת מידע. חלק מבעיות אבטחת מידע זה שאתה אמור להגן על אנשים שאתה מדבר שפה שונה מאותם אנשים שאתה אמור להגן עליהם. כאיש אבטחת מידע וכאיש מיחשוב, יש היום פער גדול מדי בין השפה והעולם של אנשי אבטחת המידע לבין השפה והעולם של אנשי העסקים. איש אבטחת מידע הרבה פעמים הוא מתלהב מנושאים טכניים, הוא לא תמיד מבין כמה זה משמעותי לארגון, הוא עסוק הרבה פעמים בלכסות את עצמו.

מי עושה את האיפיון לאיש אבטחת המידע כדי שזה יתחבר לפעילות העיסקית ולא יפריע לה?

אני חושב שהנושא הזה מתחיל רק עכשיו, שני הצדדים מתחילים להבין שצריך פה דיאלוג, שזה שני תחומים שונים, שצריך להבין על מה בדיוק להגן.

מי שמבקש מכם עבודה צריך לאפיין לכם מה בדיוק הוא צריך. הוא צריך לאפיין את זה לפעילות העיסקית, הרי אנחנו לא החלל ריק, אנחנו בפעילות עיסקית של בנק.

עדיין כשאיש העסקים מדבר על סיכונים כלכליים ועל רווח, הרבה פעמים הוא אומר אבטחת מידע לא מכניס לי כסף, למה לי להשקיע ועדיף לי להשקיע במערכות שיכניסו לארגון כסף. אני רוצה שזה יהיה מוגן אבל למה לי להשקיע. זה היבט אחד. היבט שני זה איש אבטחת מידע שהוא לא תמיד מבין את הפעילות העיסקית של הארגון והוא מגן על דברים שהם לא תמיד חשובים. הדיאלוג הזה, הנושא הזה של דיאלוג ויצירת שפה משותפת מתחיל בצורה מאוד משמעותית בבאזל 2 שזה תיקנון שעכשיו מתחיל להיכנס בכיוון אירופה, שהוא אומר בואו נחשוב ביחד אנשי אבטחת מידע ואנשי עסקים מה הסיכונים המרכזיים לארגון שלנו ומכאן אנחנו יוצאים וחלק מהסיכונים הם בכלל כלכליים וחלק הם מיחשוביים ובוא נעשה איזון בין שני התחומים.

בואו נראה האם התאוריה היא גם בפועל. הייתי רוצה לשמוע את נציגי הבנקים. אתה ניסית להגיד לי איך זה עובד. קודם כל איך עושים את החיבור הזה בין הפעילות העיסקית לאיש אבטחת המידע שהוא לא בדיוק באותו ראש כמו מי שצריך לנהל את הבנק.

נושא האבטחה זה נושא מאוד רחב, גם אם נניח לרגע, כדי להמחיש את הבעייתיות שבדבר, נניח לרגע שהדיון הזה היה דיון חסוי, יש כאן בתוך החדר את מנהלת הועדה שהיא מתעדת את הדיון והיא יכולה לצאת, לקחת את התיעוד, לשלוח אותו, לשכפל אותו, להפיץ אותו, תוך כדי הדיון אנשים יכולים לכתוב פתקים, זאת אומרת שכשמדובר על אבטחת מידע זה במישור הרחב יותר של אבטחה. מצד אחד אנחנו רוצים לאפשר לאנשים לבצע את תפקידם ולצורך כך,

תסלחו לי שאני מפריעה לכם, זמננו מוקצב, יש לנו שעה לדון בנושא ועוד שעה לדון בנושא השני. אל תמרחו אותנו, אל תדברו סחור סחור, אני שואלת שאלה מאוד פרקטית וביקשתי תשובה פרקטית. אנחנו כאן דואגים שמא יש אפשרות ושמענו לא בבנק לאומי, בבנק לאומי שמעתי גם הבוקר, ככל הנראה, אולי המשטרה תיידע אותנו על משהו אחר, אולי סיפור שלא היה, פוטנציאלית זה וודאי שזה סיפור שיכול להתרחש כל יום. שמענו על הבנק הדואר סיפור שהיה והנזק הנלווה לזה אנחנו לא יודעים מה הוא, את השם אתי אלון אין ילד במדינת ישראל שלא יודע, אנשים שהיא דאגה לגנוב מהם 250 מליון מרגישים את זה טוב טוב בכיס, כל אחד מאיתנו צריך את הבנק, אני אישית משתמשת באינטרנט כדי לעשות את כל הפעולות הבנקאיות שלי, כמוני יכול כל אחד להיכנס כנראה אם הוא קצת יותר מתוחכם לחשבון שלי, זה כנראה לא כל כך מסובך, תנו לנו תשובות אמיתיות למה אנחנו יכולים לישון בשקט בלילה.

אנחנו מפעילים מספר רב של מנגנוני אבטחה שכל אחד מהמנגנונים האלה עומד בפני עצמו וכולם ביחד מהווים פתרון למערכת. כאשר לכל איום עוד בשלב יצירת המערכת נבחן מה בדיוק האיום על המערכת. כתוצאה מכך מערכות אבטחת המידע מותאמות לסוג האיומים של כל מערכת ומערכת. יש הבדל בין איום ממערכת אינטרנט לבין איום של מערכת שהיא נמצאת בחדר סגור. זה סוג איום אחר, סוג הפתרונות צריך להיות אחר, אבל אם בשלב פיתוח המערכת ובשלב החשיבה משולבים אנשי אבטחת מידע כדי להגדיר את האיומים ולהגדיר את הסיכונים וכנגזר מזה לייצר פתרונות תוך כדי פיתוח המערכת, יוצא שכשהמערכת מושלמת ברמת השטח היא כבר כוללת בתוכה את כל אותם פתרונות.

אתה אומר שאין פער בין אנשי האבטחה לבין אנשי העסקים.

לא רק שאין פער אלא הגורמים העיסקיים הם אלה שגורמים לחברות להתפתח, לא כל שהיה בשקפים זה דברים שעובדים, בשקפים הכל נראה בסדר. מה שאייל הציג הוא הציג את הדברים ברמה של תפיסות, ברמה של דיונים, ברמה של פורומים והדברים האלה יש קשיים טכנולוגיים לייצר אותם בחלק מהמקרים לפחות לגבי חלק מהתפיסות שהוצגו כאן, חלק מהדברים זה תהליך של מספר שנים עד שמגבשים את התפיסה, עד שרואים שהיא אפקטיבית, זה לא חוכמה לשים הרבה מנגנוני אבטחה כשבסוף שום דבר לא עובד. אפשר לישון בשקט, להמשיך לגלוש באינטרנט, המערכות כוללת מספר מנגנוני אבטחה שחלקם מנגנונים אקטיביים. מנגנונים אקטיביים פירושו שאני בפועל מעסיק האקרים ואומר להם בואו תנסו לפרוץ לאתר, אנחנו עושים את זה בתדירות מאוד גבוהה, כדי לבדוק עד כמה אנחנו מוגנים ובהתאם לזה אנחנו יודעים לכלכל את צעדינו.

איך אתם מוצאים אותם?

אנחנו פונים לפורום שיושב כאן ואחריו יש עוד קבוצה גדולה מאוד בתעשייה שמתעסקת בדברים האלה, אנחנו גם מעסיקים חבורה בחו"ל שיש להם יכולת שהיא מוכרת ברמה הבינלאומית ובהתאם לזה אנחנו פועלים בצורה אקטיבית.

מאז שהתחלתם לפעול דרך האינטרנט במיוחד אבל בכלל במערכות מחשב, יש תלונות, במספרים, האם יש תלונות, האם אנשי המשטרה בקשר איתכם כל הזמן או שאתם מסתדרים?

נכון להיום עוד לא היתה אף תלונה שהיה בה משהו.

כל תלונה מגיעה אליהם?

לא. יש תלונות של לקוחות שנדמה להם שמישהו פרץ לחשבון שלהם, עד היום לא היה אף אירוע כזה. המשטרה ואנחנו לא קשורים בנושא הזה. אני יכול לתת שתי דוגמאות שבאחת המשטרה היתה מעורבת. היתה שמועה שהתרוצצה בשוק שיש אתר שנקרא בנק הפועלים, האתר המרכזי שלנו נקרא הפועלים, שמישהו התחזה והצליח לגנוב. פנינו למשטרה והם חזרו אלינו ובפועל האתר הזה הוא אתר של בנק הפועלים, הוא לא אתר מתחזה וכך גם ניתנה התשובה לכל האנשים שפנו. דוגמה שניה, התקשר אלי לקוח בשש בבוקר שהוא חשש שהוא עשה פעולה באינטרנט לפני חצי שעה ומאז הוא לא יכול להיכנס ונראה לו שמישהו גנב את כל כספו. בדקתי את הנושא הזה ע"י תיאום הפעולות שהוא עשה הסברתי לו שחסמנו אותו כי הוא עשה מספר דברים שעוררו חשד ולכן כאקט מונע חסמנו את דרכו. המערכת פעלה בדיוק כמו שצריך.

נראה לי שעד עכשיו דיברו יותר ברמה של הצהרות, אני אנסה לתת היבט קצת יותר ספציפי של הנושא מנקודת מבט של הבנקים בכלל ושל בנק המזרחי בפרט. אבטחת מידע בבנקים זה נושא מאוד חשוב ומרכזי בפעילות של הבנקים מהרבה סיבות ולא רק בגלל האירועים שהיו. נושא חוק הגנת הפרטיות חל על המערכת הבנקאית, מדובר במידע פיננסי של הלקוחות שזה המידע בין הכי רגישים, חוץ מהמידע הבריאותי הוא בין הכי רגישים שיש ללקוחות ובנושא של אמון הלקוחות במערכת הבנקאית זה נושא קריטי לתפקוד תקין של המערכת. לכן אנחנו רואים את הנושא הזה כנושא מאוד חשוב ומרכזי בפעילותנו ומשקיעים הרבה מאוד משאבים גם בכסף וגם בכוח אדם,

כמה כסף?

אין לי פה נתונים, אני אוכל להעביר נתונים על ההשקעות שלנו.

מליוני דולרים בבנק לאומי.

מדובר בהשקעות בהיקף גדול שהולך וגדל בשנים האחרונות בעיקר בגלל הנושא של כל מערכות הבנקאות בתקשורת שהתפתח ודרש הרבה יותר השקעות ממה שעשינו בעבר.

זה חוסך לכם גם כסף, כל ההתקשרות של אנשים דרך האינטרנט, בפעילות בבנקים?

זה לא חוסך כסף במובן הזה,

כי אני לא זוכרת איך נראית פקידת הבנק שלי.

זה נכון, זה לא חוסך כסף כי גם קודם אני מניח שלא הסתובבת יותר מדי בסניף ועשית את רוב הפעילות בטלפון. זה מה שרוב הלקוחות היום עושים. מה שאנחנו רואים זה בעיקר גידול בהיקפי הפעילות אבל לא על חשבון הפעילות הקיימת, יכול להיות שזה חוסך במובן הזה שלא צריך להגדיל את כוח האדם כדי לענות על הביקוש הגדל והולך, אבל אנחנו לא רואים מגמה של גידול או של צמצום.

לגבי ההתמודדות עם נושא סיכוני אבטחת מידע. מעגלי אבטחת המידע מאובטחים במספר מעגלים, יש מעגל של הגנה פיזית, יש מעגל של הגנות לוגיות שמאפשרות רק ללקוחות מורשים להתחבר למערכת כולל בדיקה של הרשאות כולל בדיקה של סוגי הפעילויות שאותם לקוחות מורשים לעשות. גם בהתאם להוראות של בנק ישראל הרשת הפנים בנקאית, רשת התקשורת הפנימית של הבנק שמשרתת את כל מערך הסניפים והמטה, אסור לה להיות מחוברת לרשת התקשורת החיצונית. חייבת להיות הפרדה מוחלטת בין שתי הרשתות כדי למנוע מצב של חדירות או התקפות על הרשת הפנימית של הבנק. הבנקים כולם פועלים בהתאם לזה. למשל לצורך קישור לרשת האינטרנט מתוך הבנק הקמנו מערך תקשורת נפרד שונה מהרשת הפנימית כדי למנוע אפשרות של חיבור בין שתי הרשתות. זה דוגמה של הגנה שהיא בהיבט הפיזי ומעבר לזה יש את נושא ההגנה הלוגית שזה הרשאות, לא כל אחד יכול לעשות כל דבר. למשל סניף יכול לגשת אך ורק לנתונים של אותו סניף, הוא לא יכול לגשת לנתונים של חשבונות בסניף אחר, זה דוגמה של מידור פנימי שקיים בתוך הבנק עצמו, כמובן שלקוח יכול להיכנס אך ורק לחשבונות שלו.

אבל גם באותו סניף אתה צריך לעשות את המידור או לפחות בקרה צולבת, כי אם זה אותו פקיד שכל הזמן חוזר לאותם לקוחות,

אין מצב כזה, כל פעם חוזר הסיפור של אתי אלון, הסיפור של אתי אלון לפי דעתי הוא תולדה של מצב שבו ללקוחות לא היתה גישה ישירה לחשבונות שלהם אלא אך ורק דרך אותה פקידה שזה אתי אלון. לא היתה להם מערכת של מסחר באינטרנט ולא היה להם עמדות שירות עצמי וכתוצאה מזה נוצר מצב שכל הפעילות שלהם כולל המידע שהם קיבלו מהבנק עצמו התרכז אצל פקידה אחת וזה מצב שהוא מאוד מסוכן ואנחנו ראינו את התוצאות שלו. זה מצב שלא קיים במערכת הבנקאית, המצב הזה של פקיד אחד שהוא היחיד שנותן שירות,

עובדתית היה.

בבנק הספציפי הזה, אני מדבר כרגע על הבנקים האחרים, אני לא יכול לדבר בשם כל הבנקים. מעילות והונאות היו ותמיד יהיו, השאלה היא איזה אמצעי בקרה הבנק מפעיל כדי למנוע אותם מלכתחילה ע"י שילוב של הרבה מאוד בקרות פנימיות ואיזה מאמצים הוא משקיע כדי לאתר אותם במהירות האפשרית כאשר הם קורות.

אני לא רוצה להיכנס לעבירות הבנק כנושא בפני עצמו, אלא הדגש הוא שבגלל עידן ההי-טק, בגלל הכלי הזה שנקרא אינטרנט שאנחנו בעצמנו עושים את הפעולות מבחוץ, החשיפה או החשש מחדירה היא יותר גדולה והבקרה גם יותר מסובכת.

עד כמה שזה נשמע אבסורדי, המערכות האלה הם המערכות הכי מוגנות היום במערכת הבנקאית והסיבה לזה היא שהמערכות האלה מלכתחילה תוכננו כבר בשלב התכנון של המערכות, שולב נושא אבטחת מידע כמו שאייל אמר שהיום צריך לשלב את נושא אבטחת המידע משלב התכנון של המערכת ולא כמשהו שנעשה בסוף התהליך ובכל המערכות האלה תוכננו מערכי אבטחת המידע כחלק אינטגרלי של התכנון של המערכת ושל הקמתה. מעבר לזה יש כללים מאוד ברורים של בנק ישראל שמנחה איך הבנקים צריכים לפעול מבחינת מערכי ההגנה והוא לא מאשר מערכת שלא נראית לו מוגנת מספיק. אם ניקל לדוגמה את מערכת הבנקאות באינטרנט שאת משתמשת בה, יש לה היום מעגלי אבטחה של הצפנה מקצה לקצה אל המחשבים של הבנק כדי למנוע עיוות של הנתונים ברשת בדרך כזאת או אחרת, יש לה מערך הגנה שמורכב מזיהוי משתמש וסיסמה אישית והאלמנט השלישי זה כשאתה מתחבר אתה יכול לגשת אך ורק לנתוני החשבון שלך. כל הבנקים הגדולים למיטב ידיעתי, גם אנחנו, עושים נסיונות חדירה מבוקרים כל שנה ע"י שימוש באלה שמתמחים בנושא שמבינים איך עובדים האקרים ואיך מפעילים את אותם כלים שההאקרים מפעילים כדי לנסות לחדור למערכת ועד היום לא הצליחו לחדור במערכות, בטח לא לגרום נזקים, אבל אף אחד לא מבטיח לנו ולא נותן לנו ערבות בנקאית שזה לא יכול לקרות.

אתה אומר לנו שאתם מאוד מוגנים אבל אולי הדרך כפי שעשו בבנק הדואר היא הדרך הנכונה לחדור אליכם. לחדור פיזית לבנק, להגיע למאגרי הקבצים פיזית ואז לעשות בהם שימוש.

זה מעגל ההגנה הבא שאני רוצה להתייחס אליו, כי זה כבר המעגל שהיום כבר לא מספיק להתייחס רק להגנה היקפית, אנחנו חושבים ככה גם שזה לא נכון להתייחס רק להגנה היקפית אלא צריך גם להגן על המערכות הפנימיות גם מפני מצב שבו אולי פורץ יכול לחדור את הרשת החיצונית ואז הוא לכאורה יכול לעשות בה כל דבר וגם מפני עובדים. זה אלמנט סיכון נוסף. לכן יש לנו מערכות מידור פנימיות שמונעות, לא כל עובד וודאי לא כל גורם חיצוני יכול להיכנס למערכות. צריך לזכור שהמערכות הבנקאיות המרכזיות עובדות על מחשבי IBM מרכזיים שהאקרים לא מכירים את זה, ארגוני פשע אולי כן מסוגלים לעשות את זה אבל אצלנו למשל המחשב המרכזי הוא לא מחובר באופן ישיר לאינטרנט, בדיוק בגלל זה.

המציאות הוכיחה שרוב המעילות היו מתוך המנגנונים הפנימיים. מאז הפרשיות האחרונות אם בנק ישראל הוסיף מגבלות או הבנקים הוסיפו מגבלות או עוד מידור.

מעילות היו ותמיד יהיו ובהגדרה מעילות זה תמיד של עובדים פנימיים. אנחנו בהחלט עושים הפקת לקחים מכל אירוע של מעילה. אנחנו בודקים בדיוק מה היו האמצעים שבהם נקט אותו עובד גם אצלנו ואנחנו גם עושים הפקת לקחים מאירועים שקרו בבנקים אחרים עפ"י המידע שיש לנו ומנסים לסגור פרצות שמתגלות. אחד הנושאים שאנחנו יישמנו בעקבות הסיפור של אתי אלון זה אישור אלקטרוני. לטרנזקציות ספציפיות צריך להינתן אישור אלקטרוני ע"י מורשה חתימה בסניף, זה כבר לא פעולה שמבוצעת ע"י אדם אחד אלא היא מחייבת קבלת אישור מעובד נוסף. אישור אלקטרוני באמצעות המסוף. האלמנט של הבקרה פה שזה לא נסגר ע"י עובד אחד.

חתימה אלקטרונית לא יכולה לעזור לכם פה בענין הזה?

אנחנו משתמשים באישור אלקטרוני. זה לא חתימה במובן שאנחנו מדברים עליו.

אנחנו כאן העברנו חוק חתימה אלקטרונית.

אנחנו מתייחסים לחוק חתימה אלקטרונית בהקשר אחר לגמרי, זה יותר בהקשר של עבודה מול לקוחות כדי להבטיח שכשהוא חותם על מסמך שזה אכן הוא חתם ולא מישהו אחר. לא צריכים את זה במערכת הפנימית כי במערכת הפנימית כל עובד מזדהה מראש ע"י סיסמה אישית או ע"י כרטיס מגנטי כך שאנחנו יודעים בדיוק במי מדובר. הבעיה של חתימה אלקטרונית היא יותר בהעברה ברשת כשאתה לא יודע מי הגורם שעומד מולך ואז יש את הבעיה.

האם את מרגישה שהפיקוח שלכם על הבנקים בנושא הזה הוא מספק, יש מקום לשיפור, מה את יכולה לומר על זה, הבנקים עושים כל מה שכתוב בנייר הזה?

אנחנו מכירים בחשיבות של אבטחת המידע, קבענו מסגרת של כללים והנחיות שעל פיהם אמורים הבנקים לפעול כדי לקיים ניהול נאות.

שאלתי שאלה מאוד ספציפית, קבעתם הנחיות, איך אתם מפקחים שהבנקים אכן עומדים בזה.

אנחנו לא יכולים לנהל את הבנקים, האחריות על קיום הניהול התקין והנאות של הבנקים,

לא ניהול, שאלתי על הפיקוח.

אנחנו מפקחים. יש לנו כמה כלי פיקוח. אחד מכלי הפיקוח הוא אותה הגדרה, אותה הוראת ניהול בנקאית שיושבת על שולחנך שהיא מגדירה הרבה מאוד מההיבטים שהוצגו במצגת של אייל אדר כולל מה שהוזכר ע"י נציגי הבנקים.

איך את יודעת שהם משתמשים בכלי הזה?

אנחנו לא יודעים, יש לנו כלי נוסף של ביקורת שאנחנו בוחנים, אנחנו לא יכולים להיות בבנקים כל הזמן ולבדוק את כל מערך טכנולוגיית המידע ואת האבטחה שלו כל הזמן, האחריות גם על המעקב והניתוב והבקרה חלה על הבנקים. כשאנחנו מוצאים לנכון לבדוק בתהליכי ביקורת את אותם נושאים, את אותם אירועים חריגים שהם מעניינינו, אנחנו באים לבנקים ובודקים אותם. צריך להבין שהפיקוח על הבנקים הוא לא במקום הבנק עצמו, אנחנו בודקים ועושים את הביקורות אבל לא תמיד לא כל הזמן ולא בכל המערכות.

אתם מכירים את המערכות, את הנהלים ואת המערכות בכל הבנקים שיושבים סביבך?

כשאנחנו בהליך ביקורת אותו נושא שנבדק וודאי שהוא נבדק על פני הרכיבים השונים שלו לרבות הנהלים, לרבות מעורבות גורמי הניהול הבכירים, דירקטוריון והנהלה, החיבור בין הגורם העיסקי לבין טכנולוגיית המידע ויש לו ביטוי אצלנו.

מצאתם שלא עבדו עפ"י הנהלים?

בכל ביקורת מטבע הדברים מוצאים ממצאים כאלה ואחרים ואנחנו מעירים והבנק מתבקש לתקן את הליקויים.

ואתם מפקחים שהוא אכן עושה זאת.

דו"ח ביקורת לא נסגר מבחינתנו עד שאחרון הליקויים מתוקן.

אתם פועלים עם האנשים שיושבי בצמרת של המערכת של המיחשוב או פר בנק?

השאלה היא אם יש לנו פעילות רוחב בתחום אבטחת המידע או פעילות ספציפית?

האם אתם רק מול המנגנון הבכיר של אבטחת המידע והמיחשוב בכלל של הבנק, או שאתם גם הולכים לסניפים ספציפיים ובודקים מה קורה שם בשטח עצמו?

לגופו של ענין. עושים את זה מעת לעת. אם התחום הוא מענייננו ואנחנו חושבים שזה תחום שהוא פרוץ או תחום שרמת הסיכון בו גבוהה, אנחנו ניגש ויכול להיות שבמקרים מסויימים אנחנו נעשה איזה שהיא בדיקה רוחבית של נושא מאוד ספציפי. גם זה קורה לעיתים.

סך הכל את מרוצה מהמצב של אבטחת המידע בבנק?

אני לא יכולה להגיד ואולי אסור לי להגיד.

איזה סוג של ליקויים גילית שזה מפריע לך או את חושבת שזה לא בסדר וצריך לתקן אותם, משהו מהותי.

אנחנו מחייבים את הבנקים לבדוק שאמצעי האבטחה שהם מתקינים במערכות אכן אפקטיביים, זה לא מספיק שמתקינים אמצעי אבטחה אלא צריך לוודא שהמערכת על בסיס מתמשך אינה חשופה, לבדוק האם קיימות חולשות נוספות למערכת ולבדוק את האפקטיביות של אמצעי האבטחה. הבנקים מחוייבים על ידינו לערוך סקרי בטיחות בהתבסס על הערכת הסיכונים. הבנקים מתחייבים לעשות הערכת סיכונים כתנאי מקדים להטמעת אמצעי אבטחה. על בסיס הערכת הסיכונים הם יודעים לזהות איזה מערכות יותר מסוכנת ואז לדעת איזה אמצעי אבטחה לשים באיזה מערכת. איננו מסתפקים בהערכה חד פעמית, אנחנו מדגישים שההערכה צריכה להיות על בסיס מתמשך לאור שינויים פנימיים שקורים במערכות הבנקים, לאור איומים חיצוניים כמו וירוסים, לאור שינויים טכנולוגיים חיצוניים.

אריק אורלב אמר שבבנק למסחר אחד הליקויים בבקרה היה היעדר בקרה נאותה ללקוח בדמות עמדת שירות או אינטרנט ללקוחות הבנק. באוגוסט הפצנו הוראה שמחייבת את כל הבנקים להקים עמדות שירות בסניפים שלהם. יש לזה חשיבות שהלקוח ביוזמתו בזמן שהוא מוצא לנכון וללא התערבות המערכת ידע מה קורה בחשבון שלו.

אנחנו מתמחים באבטחת איכות של מערכות משימה בכלל זה אבטחת המידע שלהם וודאי שמערכות הבנקים ושל חברות רפואיות זה מערכות משימה קריטית. הוצגו פה לפני כן שלל של דברים שהסיכון הזה באבטחת מידע הוא לא רק סיכון טכנולוגי אלא יש פה גם סיכון של מרכיב אנושי ומרכיב הגישה למערכות מידע וגם המרכיב של הפיזיקה או של המערכות הפיזיות. אנחנו חושבים שמדידה של סיכון זה דבר מאוד חשוב לכן אנחנו רוצים להציג לכם מערכת פרי פיתוח ישראלי שנותנת את הפתרון לתת אינדיקציה של כל הבעיות שיש בהם סיכוני אבטחת מידע.

אנחנו מבקשים לחשוף בפניכם בפעם הראשונה מערכת ייחודית חדשה לניהול סיכוני אבטחת מידע. זה תוכנה שפותחה בארץ במשך מספר שנים, המערכת מותאמת להוראת בנק ישראל 357 ולתקן האיזו הישראלי לאבטחת מידע שנקרא 17799. משמעות התקנת המערכת היא ניהול כל סיכוני אבטחת המידע בארגונים גדולים ובינוניים, חיסכון עצום בזמן כסף ומשאבים וקבלת תמונת און ליין של מצב אבטחת המידע בארגון. המערכת היא פרי פיתוח ישראלי, ומטרתה לשמש כלי ניהולי מדרגה ראשונה.

אני חלק מצוות הפיתוח שהגה ופיתח את המערכת. המערכת לוקחת את תהליך אבטחת המידע שמורכב משלושה שלבים עיקריים, שלב של הגדרה מדיניות ונהלים, שלב של ביצוע הערכת סיכונים ובדיקה איפה אנחנו נמצאים ביחס לאיפה שהגדרנו שאנחנו רוצים להיות, ושלשב שבו לנוכח המצב הקיים אנחנו מתחילים לנהל את הסיכונים ובהתחשב בתקציב שלנו ובמשאבים הנתונים אנחנו מנסים לצמצם אותם. המערכת לוקחת את התהליך הזה וממכנת אותו ונותנת לו מטריה ניהולית. היא עושה את זה ע"י כך שהיא ממפה את נכסי המידע החשובים בארגון ועבור כל נכס מידע נוכח מודל הסיכונים שלו, היא בונה מסגרת אבטחתית ואז היא באה ובודקת איפה אנחנו נמצאים ביחס לאיפה שאנחנו צריכים להיות פר נכס מידע ומבצעת אגרגציה של הנתונים לתמונה.

בדרך כלל התהליך הזה, המחזור הזה של ניהול אבטחת מידע אורכו כשנה וחצי שנתיים. אם ניקח את התדירות בין סקר סיכונים אחד למשנהו זה פחות או יותר המצב בשוק. זה גורר אחריו חוסר אופטימיזציה רב גם בהשקעות באבטחת מידע וגם בתמונת הסיכונים, כי אם בצעתי סקר סיכונים לפני שנה אני לא בטוח שבגלל הדינמיות של השוק ובגלל הדינמיות של הארגון הוא נותן את תמונת המצב שלי היום. כך שהמערכת שלנו מנסה לאפשר ניהול סיכונים דינמי על בסיס מדיד שאותו קבע הארגון.

המערכת מותאמת למספר סטנדרטים בינלאומיים שכבר הוזכרו כאן ע"י הנוכחים, ביניהם האיזו 17799, זה מערכת לניהול אבטחת מידע, תקנת באזל היא תקנה פיננסית של בנקים, תקנה שבה צריכים לעמוד גופים בורסאיים אמריקאיים ותקנה שקיימת באירופה, למשל יש לנו מערכת שמותאמת לתקן הולנדי 7510. היא מותאמת גם למערכת של בנק ישראל, להוראה 357 של בנק ישראל שכמו שצויין כאן היא הוראה מאוד טובה ומאוד עמוקה והיא מאפשרת מדידה של התאימות של הבנק לתקן ע"י כך שהיא לוקחת את הבנק, מפרקת אותו לנכסי המידע שלו, בין אם הם טכניים או בין אם הם גיאוגרפיים, בודקת מה מצב אבטחת המידע בכל נכס מידע ומבצעת אינטגרציה של הנתונים. כך שמנהל הבנק יכול לראות תמונה איפה הוא נמצא ביחס לאיפה שהוא הגדיר שהוא רוצה להיות. לדוגמה כלי של סימולציה, עלות תועלת, כמה תעלה לי פעילות מסויימת, בכמה אני אצמצם את סיכוני, ואיך אני מתקדם מכאן הלאה.

המערכת נמכרה בישראל לגופים פיננסיים, לחברות אשראי וגם באירופה.

הבנקים קונים מחו"ל?

הבנקים עושים שימוש במגוון של שירותים שהם קונים גם בחוץ וגם מהעולם החיצון ואנחנו משתמשים בפיתוחים טכנולוגיים שפותחו בחו"ל ומיישמים אותם למערכות שלנו. אנחנו גם נעזרים בחברות מקומיות שפיתחו מוצרים לאבטחת מידע שגם נמכרות בעולם ואנחנו עושים בהם שימוש במערכות שלנו. אנחנו גם נעזרים במרבית החברות שיושבות פה גם בביצוע סקרי סיכונים וגם בביצוע נסיונות חדירה למערכת.

אנחנו נעזרים בהרבה מיזמים ישראליים בתחומי האבטחה וגם בפלטפורמה שנותנת להם ידע בארגונים פיננסיים וגם ברעיונות.

אני לא סתם שואלת את השאלה, כי במסגרת מאמצינו פה בועדה לקדם את נושא ההי-טק בכלל אנחנו במיוחד רוצים לקדם חברות הי-טק ישראליות. אנחנו נקיים פה בועדה בקרוב מאוד ישיבה בנושא של קידום תעשיות ההי-טק בישראל.

אנחנו רוצים להכריז ולהקים ועדת משנה לענייני הי-טק כדי לשים את הדגש ולא להרפות מנושא ההי-טק במדינת ישראל כי זה מה שיכול להוביל את מדינת ישראל לעתיד טוב יותר, כי זה העתיד שלנו. אנחנו נכריז בזאת על הקמת ועדת משנה לנושא ההי-טק שאני אעמוד בראשה מפני שאני כל כולי חיה את הנושא הזה ומנסה לקדם אותו. מי בעד? אושר.

הועדה תעסוק בכל הנושאים, יש לנו ועדת משנה לענייני אינטרנט ספציפית, אנחנו נמשיך לעסוק בעבירות מחשב כי זה הצד הרע של ההי-טק אבל אנחנו בהחלט נעסוק בקידום תעשיות הי-טק בארץ מכל ההיבטים של נושא ההי-טק החל מהטכנולוגיות החדישות שיש היום למשל נושא הננו-טכנולוגיה, ביוטכנולוגיה, החיבור בין התעשייה המסורתית לבין ההי-טק, איך אנחנו יכולים להפוך את התעשייה שלנו ליותר הי-טקית. אני חמש שעות ביליתי עם סטף ורטהיימר כשהוא ניסה לשכנע אותי שהוא בסך הכל לואו טק ואני ניסיתי להראות לו שהוא שיא ההי-טק. הנושאים האלה ורבים אחרים, כל מה שהמילה הי-טק מתחברת אליו, טכנולוגיה מתקדמת, כל התחומים האלה.

אני רוצה טיפה לפזר את ערפל הקרב שהיה פה. לגבי הבנקים, אני חושב שחשוב מאוד לדעת שהבנקים עושים היום עבודה מאוד גדולה בנושא של אבטחת מידע ויש להם אינטרס ברור. ברגע שתהיה פריצה למערכות שלהם הם יפסידו כסף וזה בניגוד לגופים אחרים הם מיד רואים ויש להם השלכה מיידית על מה שכרגע הם מקבלים ולכן אני בטוח שהם יעשו את העבודה הטובה ביותר והם עושים את העבודה הטובה ביותר ומבחינה זאת אני חושב שאין לנו בעיה.

אני חושב שאפשר לסווג את הבעיה בצורה טיפה שונה.

אם נדמה היה לך או נשמעתי כאילו אני באה בטענות אליהם שהם לא עושים מספיק, זה לא בגלל שחשבתי שאין להם אינטרס לעשות זאת, אני ידועת שהם משקיעים הרבה מאוד מליונים, אני ידועת שהם דואגים לאינטרס העיסקי שלהם, עדיין מתפקידנו לבדוק, עובדה, מקרה אתי אלון היה, ולא היה כל כך מזמן. הפגיעה בבנק הדואר היתה, אז אנחנו צריכים לעזור להם לעשות את תפקידם.

אנחנו מדברים על סוג נסיון פריצה חדש שמרבית הגופים בארץ לא נערכו אליו. מדובר על נסיון פריצה פנימי ע"י זה שפורצים ממש לתוך המשרד או הבנין שבו כרגע מתנהלת פעילות, מתחברים למערכת התקשורת הפנימית ומנסים לעשות שם דברים. אם נחבר רשת בין המחשב של אייל לבין קו התקשורת של הכנסת, אנחנו מיד נוכל לקבל מידע לגבי רשת הכנסת ואני לא יודע עד לאן נגיע. כשאנחנו מדברים על אבטחת מידע בתוך ארגון אז אני יכול להגיע ממש עד אלייך.
כשאנחנו מדברים היום על אבטחת מידע באינטרנט זה מצויין, כרגע מה שמאוד מפחיד אותי לפחות זה איך אנחנו מגנים על המידע בתוך הארגון וזה מה שקרה שם. זה שהם הצליחו לבדוק ולמצוא שגנבו להם מידע מתוך הארגון זה כבר הישג גדול. אני לא בטוח שאם נסתכל על כל אחד מהארגונים נוכל לדעת אם הם יודעים אם עשו להם משהו בתוך הארגון או לא, כי הם בכלל לא נמצאים שם. מדובר היום על רוב הארגונים במשק. צריך לדעת שיש כאן בעיה קשה ולא צריך לקחת את מה שבנק ישראל אומר בתור משהו, צריך לדעת שהיום יש בעיה כללית וכל מי שיש לו עסק או ארגון או חברה וגם במשרדי ממשלה, לא מוכנים היום ולא יודעים איך להגן על עצמם בתוך הרשת וזה בעיה מאוד קשה והמודעות צריכה להיות מאוד גבוהה. בבנקים יש מודעות יותר גבוהה מאשר במקומות אחרים.

אחת הדרכים לפתרון זה שצריך להקים מנגנון שבו מזהים את הבן אדם שנכנס לתוך המערכת וגם את האביזר. אם זה מחשב או דבר אחר, שיזדהה בתוך הרשת. ועד שלא יהיה מנגנונים כאלה שיעבדו בכל מקום, גם מכיוון האינטרנט ע"י אזרחים, כשאת דיברת קודם על זה שבן אדם שלח פקס' אז הוא הזדהה מרחוק באמצעות מערכת הפקס' מול הבנק וזה זיהוי חלש.

אני רוצה לעבור לניסים בראל. אתה יועץ אבטחת מידע לאיגוד הבנקים.

אני מנהל את חברת קומסק ובין היתר אנחנו יועצים לבנקים בישראל. צריך לזכור שיש פה איזה שהוא נושא כבד שמתמודדים בו מצד אחד הצרכנים, אותם גופים שצריכים להתגונן ומאידך יש כנראה אינטרס לגופים רבים כאלה ואחרים ממניעים שונים לנסות ולתקוף ולהשיג את היעדים שלהם. הנקודה היא רק הענין של עלות תועלת והניתוח של רמת הסיכונים והניתוח של כיצד ארגון יכול להשיג את המטרות העיסקיות שלו. אני חושב שזה כבר יהיה מיותר להגיד עוד פעם שהבנקים בישראל הם בין הגופים היותר מוגנים, הם בהחלט יותר מוגנים גם במונחים בינלאומיים בהשוואה לבנקים אחרים שבהם אנחנו יועצים בעולם, אין שום ספק שהבנקים בישראל בוודאי לא אליהם צריך לבוא ולחפש שם את החולשות, אנחנו יועצים לבנקים האלה, חלק מהמליונים מגיע אלינו ואנחנו עושים חלק מזה כעבודה.

צריך להסתכל במישור יותר רחב ולראות האם בגדול התשתיות הלאומיות של מדינת ישראל אינן פגיעות. לא המערכת הספציפית של בנק זה או אחר ויש דיון על זה בכינוס האינטרנט השנתי שבו אנחנו ננסה להציג האם מדינת ישראל ערוכה להתקפות על מערכות המחשב הקריטיות שלה. אז יש החלטת ממשלה והיא הקימה איזה רשות לאבטחת מידע על המערכות התשתיתיות, לא מערכות בטחוניות, ושם לא בהכרח יש מענה לכל הדברים האלה כי שם גם נושא הקוסטרפורמנטס מקבל מימדים אחרים.

אני אשאל את הביטוח הלאומי, אין כאן ענין של עלות תועלת, אין לכם את הדרייב להשקיע את המליונים הרבים, מה קורה.

אני חושב שבהיבט של השקעה באבטחת המידע המוסד לביטוח לאומי משקיע לא מעט. לא הבאתי פרטים על סכומים כספיים אבל אנחנו משקיעים. אנחנו משקיעים גם בהיבט של התגוננות בפני איום חיצוני, אנחנו משקיעים גם בהיבט של התגוננות פנימה למרות שיש שתי קלישאות שאותן אני חפץ להגיד. האחת, בדרך כלל רוב הארגונים משקיעים את מירב הכסף באבטחת המידע בהתגוננות נגד יריב חיצוני, ב80-90%- מהפעמים הפריצות הם דווקא ע"י מורשים מבפנים. המילה פריצה אני לא בטוח שהיא נכונה כי זה בדרך כלל מעילה באמון. הם נתנו אמון בעובד והוא מעל בו וניצל אותו לרעה. עוד קלישאה שאני חייב להגיד, היא, התפקיד שלי הוא מאוד מתסכל, אני עובד קשה מאוד ובסופו של יום המטרה שלי היא שלא יקרה שום דבר.

לפני כשנתיים נעצרו מספר עובדים שמעלו באמון ע"י זה שניצלו לרעה את הרשות שניתנה להם והסמכות שניתנה להם ומכרו מידע. הם הוציאו מידע ממחשב המוסד לביטוח לאומי ומכרו אותו לחוקרים פרטיים. זה מידע מאוד מבוקש היום. הם נתפסו בגלל יוזמה שלנו, יוזמה שאנחנו נוקטים בה כל הזמן למצוא מה נעשה בתוך המחשב, בתוך הרשת.

יש אצלכם כל כך הרבה מעגלים, כל כך הרבה כיוונים, כל כך הרבה אפשרויות למעול בכספים או למשוך אותם או לשנות, אין גבול למגוון פשעים שאפשר לעשות אצלכם. יש לכם מענה לכל מגוון העבירות האלה?

אני חושב לרגע מכיוון שלענות כן זה לעשות שקר בנפשי. משתדלים מאוד לתת מענה לכל דבר. לא פעם לצערנו אנחנו סוגרים את האורווה אחרי שהסוסים ברחו. המקרה שבו סוסים בורחים מהווה הפקת לקח לאפשרויות נוספות.

יש קשר בין המשרדים, האם יש איזה שהוא פורום ציבורי ממשלתי שבו אתם מחליפים דעות?

יש פורום במשרד ראש הממשלה. גם כנסים מקצועיים הערך המוסף שלהם הוא רב מהתועלת של הכנס כיוון שהכוח המקצועי נפגש ומחליפים דעות.

כמה כסף אתם משקיעים באבטחת מידע?

אני לא יודע להגיד לך, זה נתון שלא למדתי אותו טרם בואי, אבל אני יכול להגיד שבשנה שעברה היה תקציב לייעוץ בלבד ללא רכישת תוכנות וללא עוד דברים שעשינו כ800- אלף שקל. בנוסף לזה היו עוד תקציבים לרכישות.

התקציב של מערכות המידע במשרד האוצר הוא בסביבות 150 מליון שקל, התקציב של מערכות אבטחת המידע באוצר הוא כ16- מליון שקלים. בין 10 ל12%-.

אני רואה טעות שחוזרת על עצמה, כשבאים להעריך את הסיכון, סיכון לא צריך להיות מוערך עפ"י מספרים כמותיים אלא בצורה איכותית. לא כמה הבנק מגן על עצמו או כמה פריצות יש. בנקים זה מוסד שגם אם היו חמש פריצות מתוך מליון נסיונות הנזק של החמש פריצות יכול להיות מאוד גבוה. אם מדברים על מספרים אני חושב שרב החבוי על הנגלה וגם במשרדי עו"ד וגם במשרדי רואי חשבון שבהם לא נותנים לפרסם גניבת מידע של לקוחות שלהם כי זה יפגע במוניטין שלהם. אני יודע שלא ממהרים לפרסם מצבים של גניבת מידע או אם היה משהו ולא נגרם נזק.

אני חושב שהבעיה של הבנקים היא יותר מבפנים מאשר מבחוץ. אני חושב שאחת הבעיות היא היצמדות לסיסמה. אני רואה מורשה חתימה שלוקח את הכרטיס שלו ומעביר, לוקח כרטיס של מישהו אחר ומעביר וכך הוא יודע את הסיסמה שלו, ורמת הפיקוח והבקרה על זה לא מספיק טובה.

זו אמירה לא אחראית והשמצה.

לגבי כללי אבטחת מידע. כשמעצבים מערכת של אבטחת מידע צריך לדעת שגם אם המתקיף יודע איך מערכת המידע פועלת או השיטה שלה, יהיה לו קשה מאוד לבצע פגיעה כי ההשקעה תהיה הרבה יותר גדולה מהנזק שהוא יכול לפגוע.

מאחר ואנחנו נמצאים בבית המחוקקים אז ההערות שלי יתייחסו רק למה לדעתי אפשר לעשות בהקשר הזה. אני חושב שצריך להסתכל על התמונה הרחבה, הבעייתיות היא לא במגזר הבנקים, יש בעייתיות גדולה במדינת ישראל בכל מה שקשור בתשתיות קריטיות לאומיות, אני חושב שכדאי מאוד שבית המחוקקים כפי שיש רגולציה בתחום הבנקים תהיה רגולציה לגבי כל מה שקשור לתחום של תשתיות קריטיות.

בהיבט הזה אני רוצה להציע שיתוף פעולה ברמה של מרכזי בקרה שעסוקים כל אחד במגזר ספציפי. לדוגמה מרכז חמ"ל, מרכז בקרה בתחום הבנקאות שיתייחס לכל האיומים כפי שמתקבלים בכל אחד מהבנקים וישתף מידע ברמה של להפיץ איומים, לשתף מידע איך מתגוננים וכן הלאה, הנושא הזה בכיוון הזה הולך בארה"ב ושם למרות התחרות העיסקית בין החברות השונות יש שיתוף פעולה הדוק.

הכותרות בנושא של אבטחת מידע הרבה פעמים מטעות. לא ברור אם הסיפורים שמתפרסמים הם נכונים, לפעמים מתברר שלא כצעקתה, אבל הנושא עצמו גם אם הוא מגיע בגלל כותרת לא נכונה הוא חשוב.

אנחנו נוהגים בפרקטיקה מיוחדת לענין דיווחים שמתקבלים אצלנו על נסיונות פריצה מהותיים או חדירות בפועל. אחרי שאנחנו בודקים את האירוע בבנק הספציפי אנחנו אחרי שיקול דעת מפנים לבנקים מכתב שהם יבדקו את פרטי האירוע אצלם בבנקים על מנת לוודא שאותו סוג של תקיפה מוגן כהלכה אצלם ואם לא, ליישם את האמצעים הדרושים כדי להגן.

אני חושבת שצריך יותר שיתוף פעולה ויותר קשר ובנושאים האלה בהחלט אפשר להיות מתואמים. דווקא בנושאים האלה כן יש מקום לשתף פעולה, יש מקום ללמוד אחד מהטעויות של השני כדי שהאבטחה תהיה יותר מושלמת. אני רוצה לשאול את כב' השופט גילון, האם אתה רואה בפסק דין האחרון התייחסות שונה וכיוון אחר של מערכת המשפט בישראל לכל הנושא של עבירות מחשב.

אני רוצה לציין שהאתר של הרשות השופטת מאובטח ע"י חברת אבנט, זה אתר מאוד פופולרי שיש בו אלפי כניסות כל יום ובכל השתלמות שופטים יש לנו השתלמות מיוחדת לשופטים בעניינים של מחשב וקניינים רוחניים שזה קשור אחד לשני. ההשתלמויות היו בהתחלה כדי שנדע להשתמש בכלי וכמעט כבר כל השופטים עברו את ההשתלמות הזאת ועכשיו זה כבר יותר כניסה לעבירות לפי חוק המחשבים. פסק הדין האחרון של השופט אברהם טננבאום מבית משפט שלום בירושלים,

אני רוצה לציין שהשופט טננבאום היה פה בדיון הקודם ואולי הדיון שלנו תרם קצת לקבלת ההחלטה הנכונה.

אני לא להיכנס לפרטי פסק הדין שמשתרע על 31 עמודים ואני מציע לכל מי שמתעניין בנושא לקרוא את זה כי זה עבודת מופת. האשמה שהואשם בה הנאשם זה היה נסיון לחדור לאתר של המוסד, הנסיון הזה נכשל בגלל האבטחה והוא זוכה מכל אשמה. השופט קבע שמה שהוא ניסה זה רק לבדוק את רמת האבטחה של האתר ולא היתה לו שום מטרה, הוא לא חיבל ולא פגע בשום דבר ולא הזיק והוא טוען שזה פעולה רצויה ומבורכת שאנשים יבדקו את האתרים. הוא גם קבע שזה לא פריצה או נסיון לפריצה. הוא התייחס לחוק המחשבים והוא קבע שבענין ההגנה של החדירה למחשב לגבי ההגדרה, שאין הגדרה אחת מספקת לחדירה למחשב, עצם המושג חדירה הוא מושג הכרוך בעולם הגופני שבו יש לדברים נפח ומשקל. חדירה לעולם הפיזי פירושה מעבר גבול גדר קיר מחסום ו/או כל תחום מוחשי אחר. כדי לחדור צריך שיהיו גבולות ואתם צריך לעקוף ולעבור. אולם מה הכוונה בחדירה כשמדובר במחשב.

אני אעבור רק על ראשי הפרקים שהוא חילק את פסק הדין כדי שתדעו למה הוא התייחס. אשמה במערך הגילוי, שיטת אמנות פרוטוקולים ופורטים, שמות מספרים הקצאות וגלישה באינטרנט, העקרונות התיאורטיים של רשת האינטרנט, חורי האבטחה קירות אש ותוכנות אבטחה, קירות אש ותוכנות פסיביות ואקטיביות, הרקע המשפטי, עבירת החדירה למחשב במשפט הישראלי, הבעייתיות בהגדרת המונחים חדירה ושלא כדין, הגישות בעולם ובישראל בנוגע לעבירת החדירה, הבעייתיות הכללית בעבירה של חדירה למחשב, הבעיה בתפיסת האתר כמקום שניתן לחדור אליו והקשים מהחוק הפלילי הרגיל, בדיקת אבטחתו של אתר איננה אסורה לכשעצמה ותלויה בנסיבות, מדוע בעל אתר אינו יכול לוותר על בדיקת הגולשים האחרים, הרצון לפרש את חוק המחשבים בצורה התואמת לרוח ולמבנה האינטרנט, יכול להיות שפה זה מתקשר עם מה שאמרת, ואז הוא עובר מהתיאוריה למעשה והוא מזכה את הנאשם לחלוטין.

אני חושבת שאנחנו נטריד אותך פעם נוספת ונעשה דיון ספציפי על חוק המחשבים ועל העבירות האלה בהיבט המשפטי שלהם.

מספר התיק, זה בית משפט השלום בירושלים, תיק פלילי 3047/03, זה מדינת ישראל נגד אבי מזרחי. יש עוד פסק דין אחד מאוד מפורסם עם שם שהיום מאוד פופולרי, זה אהוד טננבאום, שם בית משפט השלום קבע עונש קל ובית המשפט המחוזי החמיר בעונש.

האקרים חוששים מהבנקאות הישראלית, חוששים ולא מתעסקים איתם. זה גוף מוגן, זה גוף מבוצר, זה גוף בעייתי עם תדמית חזקה. האקרים יעדיפו להתאמן במקום אחר, גם חובבנים וגם מקצועיים.

לגבי פסק הדין, בתוך פחות מעשר שעות קיבלתי כמה מיילים, יש שמחה גדולה בקרב ההאקרים, הסיבה מאוד פשוטה, בית המשפט הנכבד דואג לצדק, למינהג ולחוק, אבל יש אפקטים צדדיים שאחד מהם הוא שההאקרים אומרים לי, זה משפט שחזר על עצמו, קיבלנו הכשר אם אנחנו לא מתכוונים להרע וקראתי את כל פסק הדין על כל 31 העמודים שלו, קיבלנו הכשר להתאמן אם אנחנו לא מתכוונים להרע. עכשיו לכי תוכיחי. יש דור שלם בבתי הספר שלומד האקינג, יש להם אופיון, אני עושה הכללה אבל מותר לעשות הכללה כל עוד זוכרים שזאת הכללה, יש אופיון מאוד מובהק להאקרים, יש כאן בעיה, אנחנו צריכים לשדר לציבור משהו נוסף, לא קיבלו הכשר להתאמן ולהגן על מערכות אבטחת המידע תשאירו את זה לחברות הללו לבנקים לגופים המסחריים, או תחת רגולציה, לא תחת הציבור כי הם לא יבינו בדיוק את פסק הדין, הם רק קיבלו הכשר להאקינג זה מה שהם הבינו. יש בעיה עם פסק הדין מבחינת ההאקרים כי הם חושבים שהם קיבלו הכשר.

נעבור למשטרה. איך אתם מפרשים את הענין.

אני ראש מחלק עבירות מחשב במשטרת ישראל.

פעם שעברה דיברת על 8 אנשים במחלק שצריכים לטפל בכל עבירות המחשב. מה יותר הכשר מזה לעשות עבירות, הרי זה אבסורד. שמונה אנשים במדינת ישראל מטפלים בכל מכלול עבירות המחשב.

בענין שהזכיר כב' השופט גילון, אני רוצה להבהיר חד משמעית ואני מכיר את כב' השופט טננבאום, חד משמעית אין הכשר לביצוע חדירה לא חוקית למחשב. הפסיקה הזאת לא מתירה חדירה למחשב. שיהיה ברור לכולם. יש פה תפיסה שגויה של הנושא. מה שכן הוא אומר, שחדירה, דרך אגב זה אותו שופט שאמר שפריצה למחשב כמוה כפריצה לבית והוא מחייב מאסר בפועל. אותו שופט גם אמר בפרשת רפאלי שלא חשוב אם נגרם נזק למחשב ולמידע שאגור בו, עצם החדירה היא עבירה על החוק. לכן השופט הזה לא מתיר חדירה או פריצה למחשבים. מה שכן הוא אומר, ישנה אפשרות של חדירה למחשב בשני שלבים, השלב הראשון זה בדיקה אם אכן יש שערים, זה לפני החדירה, ברגע שמבוצעת חדירה הוא ביצע עבירה על החוק עפ"י חוק המחשבים חדירה למחשב כפי שהמחוקק הגדיר, כי כולם תלויים במידע של המחשבים, וזה מאוד חשוב לאושיות חברה טכנולוגית, חברה מודרנית, חדירה למחשב היא שלוש שנות מאסר, חדירה למחשב לצורך ביצוע עבירה אחרת כגון לגנוב מידע או כרטיסי אשראי הוא חמש שנים. הוא לא מתיר חדירה למחשב אבל הוא הפריד בין שני השלבים. בשלב של בדיקת השערים אם היתה כוונה זדונית בצידה כן או לא, האם היתה כוונה פלילית כן או לא, במקרה הזה הוא קבע שלא היתה כוונה פלילית. הבחור אמר שהוא רצה לבדוק אחרי שהוא נרשם לאתר המוסד אם אכן הפרטים שלו שמורים. הוא לא חדר ולא ביצע חדירה למחשב.

זה לא שנתנו היתר להאקרים לפרוץ, פה הוא הדגיש את זה שהוא לא גרם שום נזק והוא לא התכוון גם לגרום שום נזק.

בהקשר של הבנק כמובן החקירה בעיצומה ואני מנוע מלמסור פרטים. חשוב לציין מנקודת ראותה של המשטרה שני כשלים עיקריים. הכשל הראשון זה בהשהייה מרגע קרות האירוע ועד הבאת התלונה למשטרה. זה כשל מרכזי. גופים פיננסיים וגופים אחרים לא ששים להתלונן במשטרה משיקולים שמבחינתנו הם שיקולים זרים. הכשל השני בענין הזה כפי שאנחנו רואים, זה שיתוף של גורמים זרים מבחינתנו בזירת העבירה. כל מיני גופי חקירה אחרים אזרחיים, מומחי אבטחה למיניהם בדקו בדיקה עצמית את הנושא הזה של המחשבים ואם היו ראיות לאיזה שהיא פריצה הם לא קיימים מבחינתנו כי לנו יש שיטות עבודה מסודרות עפ"י נהלים, אנחנו מגישים ראיות דיגיטליות עפ"י דיני הראיות בצורה קבילה לבית המשפט.

אתה חושב שבנקודה הזאת המחוקק יכול לעזור לכם?

כן. היתה פגישה עם נציגי בנק ישראל בענין הזה לפני כשנתיים, עם ראש היחידה הארצית לחקירות הונאה, יחד עם המפקח על הבנקים ודובר על צורך שבמקרים כאלה כן לערב יחידה מקצועית כמו שלנו על מנת שניתן מענה דיסקרטי וענייני כאשר קורה אירוע כזה ולא להסתיר אותו. כי בהסתרה מעשירים את הבעיה.

האם אנחנו צריכים להתערב בחקיקה ולעשות שינוי נוסף בחוק כדי שהם יהיו מחוייבים לפנות אליכם מיד כשהם מגלים את הענין?

לדעתי כן. לדעתי בקרות אירוע פלילי קורבן חייב להגיש תלונה במשטרה.

אנחנו מאוד השתדלנו שתקום יחידת המתנדבים, מה אתה יכול לספר לנו על זה?

אנחנו נמצאים כרגע בתהליך של הקמת היחידה. לפי התקנות אסור לנו היום להפעיל מתנדבים בתחום החקירה. הדרך הפשוטה היא לשנות את התקנות, תקנה לוקח זמן לשנות ולכן יש לנו אפשרות אחרת שזה הכשרה של היחידה או הכרזה של היחידה ע"י המפכ"ל. כרגע אנחנו נמצאים בתהליך מול המפכ"ל, אגף החקירות הגדיר כבר את הקריטריונים של הפעילות של המתנדבים באיזה תחומים הוא רוצה לפעול, הגיוס של המתנדבים הוא השלב האחרון. עוד לא הגענו לשלב הזה אבל זה השלב האחרון והקל. ברגע שהמפכ"ל יחתום על היחידה החדשה זה תהליך של מספר חודשים מצומצם שתהיה יחידה. שליש מהתהליך הזה מאחורינו, אגף החקירות הגדיר את הקריטריונים, אנחנו בפעילות מול המפכ"ל וברגע שהמפכ"ל יחתום אנחנו נפנה לאוניברסיטאות ולגופים שיש בהם מומחי מחשבים על מנת לגייס אותם.

אנחנו גם נפנה למפכ"ל על מנת לזרז אותו, אני לא חושבת שזה צריך לקחת עוד כמה חודשים, צריכים להחליט ולהתחיל לעבוד ובאותה הזדמנות גם נזכיר לו שיש לכם רק שמונה אנשים.

חוץ משמונת האנשים האלה שיש במחלק עבירות מחשב הכשרנו חוקרי מחשב מיומנים בשטח שיתנו מענה כי עבירות המחשב היום הם לא רק עבירות מחשב של פריצה וחדירה למחשבים אלא גם וירוסים וסוסים טרויאניים, היום זה מכת מדינה.

אנחנו רצינו לדבר שעה שלמה על הנושא של הפדופיליה ואנחנו נעשה לזה ישיבה נוספת. הנושא עלה בתקשורת לאחרונה, איך עם שמונה אנשים מטפלים גם בנושא הזה.

הראייה היא לא רק עבירות במחשב אלא גם אותן עבירות קלאסיות שבעבר נעשו ללא מחשב, מירמה, הונאות, זיופים, אפשר לזייף כל מסמך ושיהיה הרשמי ביותר באמצעות מדיית המחשבים.

האם אתה רואה תיגבור של תופעת הפדופיליה באינטרנט?

כן, אנחנו רואים עליה, אנחנו רואים עליה בתחום העבירות הפליליות שנעשו באמצעות מדיית המחשבים, אנחנו רואים שעולם הפשע השכיל להבין שבאמצעות המחשב וטכנולוגיית המחשבים הוא יעצים את פעילותו הפלילית מצד אחד, מצד שני זה יוצר קשיים באכיפה זה יוצר קשיים באיסוף הראיות הדיגיטליות ויש דרך מאוד מסויימת איך לעשות את זה וצריך לחזק את התחום הזה.

היום קראתי בעיתון שבבלגיה התחיל משפט של חולה נפש, מהדברים הרעים אנחנו יוצאים כדי לעשות את השינוי ואת השיפור ובין יתר הדברים שנאמרו שם שהפדופילים עצמם יצרו רשת תקשורת כדי להגביר את הפעילות שלהם. כאן אנחנו צריכים לתת מענה. אני חושבת שאם נחכה עוד כמה חודשים עד שכב' המפכ"ל יואיל ויחתום ואם נחכה עוד כמה שנים עד שיהיה לכם עוד שמונה אנשים, בינתיים ילדים נזוקים ואני לא מדברת על כסף, תחשבו מה קורה לאותם ילדים שנכנסים לתוך המערך הזה.

אני פונה מפה להפעיל לחץ, לחשוב על אותם ילדים שנפגעים בגלל הקלות הבלתי נסבלת שהעבריינים יכולים לפעול באינטרנט או באמצעים של הי-טק ואנחנו כל כך נזהרים וכל כך שומרים וחושבים שזה רק כסף. אנחנו צריכים להתחיל לחשוב על ההי-טק בצורה חיובית אבל גם מה שזה עושה ועל הנזק שזה גורם לאנשים. אני עדיין מזדעזעת כשאני שומעת שיש לך רק שמונה אנשים ביחידה. וכמות העבירות שיש, זה לא מענה ואני פונה מפה, שהציבור קודם כל ידע בבית, שאין לו בטחון בתחום הזה, זה לא נקרא בטחון ואני פונה לשר לבטחון פנים מתוך המשאבים שיש לו לעשות את סדרי העדיפויות כי הפשעים האלה צריכים לעבור מן העולם או לפחות למזער את הנזק.

אני מתנצלת בפני כל הנוכחים שלא הצליחו לדבר, זה עולם ומלואו, זה נראה לנו עולם וירטואלי אבל הוא מאוד מוחשי ואנחנו נעשה עוד ישיבות. אני מצטערת אם נשמעתי קצת קצרת רוח או קצרת זמן, זה רק נובע מלוח הזמנים הצפוף שלנו. תודה לכל מי שטרח ובא ואני מקווה שנצליח לשפר גם את זה.





הישיבה ננעלה בשעה 15:30