הכנסת העשרים
מושב שלישי
פרוטוקול מס' 102
מישיבת ועדת המדע והטכנולוגיה
יום שני, כ"ד בשבט התשע"ז (20 בפברואר 2017), שעה 13:20
ישיבת ועדה של הכנסת ה-20 מתאריך 20/02/2017
אבטחת מאגרי מידע ביומטריים המצויים ברשויות המדינה
ח"כים נוכחים
פרוטוקול
סדר היום
אבטחת מאגרי מידע ביומטריים המצויים ברשויות המדינה - הצעה לדיון של חה"כ יוליה מלינובסקי
מוזמנים
¶
עמנואל אליסף - ראש אגף בכיר, משרד ראש הממשלה
גדעון קונפינו - מנהל אבטחת מידע, משרד רה"מ
רועי פרידמן - מ"מ ממונה יישומים ביומטריים, משרד ראש הממשלה
גילי בסמן ריינגולד - עו"ד, יועצת משפטית, הרשות למשפט, טכנולוגיה ומידע, משרד המשפטים
אורן אלימלך - ראש אגף סייבר, משרד התחבורה
צור אהרון - ראש אגף התקשוב, משרד התחבורה והבטיחות בדרכים
אלון סבן - רע"ן אלמוג, משרד הביטחון
ירון אביגד - ראש ענף יישום מבצעים שב"ס, משרד הביטחון
עומר פרידמן - יועץ אבטחת מידע, משרד המשפטים
יורם אורן - יועץ, משרד הפנים
שי חיימוביץ - ר' החטיבה לביטחון מערכות ונושאים מיוחדים, משרד הביטחון
יורם עמדי - סנ"צ, ראש מדור אבטחת מידע, משטרת ישראל, המשרד לביטחון פנים
אלעזר כהנא - סגן יועמ"ש המשטרה, המשרד לביטחון פנים
שבתי גרברצ'יק - מלווה חטיבת הדוברות מ"י, המשרד לביטחון פנים
סיגל רוסין - ראש הנחיית צוות סייבר, המשרד לביטחון פנים
גבריאל כהן - מרכז אבטחת מידע, משרד הבריאות
עדו רעם - רמ"ד טכנולוגיה אבטחת מידע, משרד החוץ
רפאל פרנקו - ראש אגף בכיר להסדרה, רשות הסייבר
אבנר בן אפרים - יועץ אבטחת מידע, המטה הלאומי ליישומים ביומטריים
יואב זקס - רח"ט טכנולוגיות בלוט"ר, המועצה לביטחון לאומי
נוית בושוער שלג - עוזרת ראשית, הממונה על היישומיים הביומטריים
אילן לוין - מנכ"ל הלשכה, לשכת טכנולוגיות המידע בישראל
יוגב שמני - מנהל אגף מערכות מידע, רשות האוכלוסין
עירית וייסבלום - מנב"ט, רשות האוכלוסין
חנה אביסרור גולדרייך - מנהלת אגף מערכות מידע, שירות התעסוקה הישראלי
משה אורן - cto, שירות התעסוקה הישראלי
תומר קרמר - אבטחת מידע, הלשכה המרכזית לסטטיסטיקה
פרופ' אלי ביהם - לשעבר דיקן הפקולטה למדעי המחשב בטכניון, התנועה לזכויות דיגיטליות
רועי לאופר - ראש אגף סייבר ואבטחת מידע, רשות שדות התעופה
אלכסנדר גורדון - קידום מו"פ ופרויקטים,AG-inspire
צבי דביר - מוזמן/ת
רישום פרלמנטרי
¶
עופרה ארגס - חבר המתרגמים
אבטחת מאגרי מידע ביומטריים המצויים ברשויות המדינה, הצעה לדיון של ח"כ יוליה מלינובסקי
היו"ר אורי מקלב
¶
בוקר טוב. אני מתנצל על האיחור. אני לא זוכר שאיחרתי לפתיחת ישיבה של ועדת המדע והטכנולוגיה. חלק מהדרישות של ועדת המדע והטכנולוגיה להיות גם מדויקת לא רק מתקדמת. הדיונים יותר מעל פי רוב מתחילים בזמן ולא באיחורים אבל הפעם היינו בוועדת חוקה, מילאתי את מקומו של יושב הראש הקבוע בוועדת חוק בחוק תעודות הזהות הביומטריות וזה היה המחולל של הדיון הזה, לכן יש קשר בין הדיון הזה לבין הדיון שקיימנו עכשיו בחוק הביומטרי.
היו"ר אורי מקלב
¶
אני מתנצל. הסברתי שיש קשר בין החוק הקודם, החוק שאנחנו דנים בו בוועדת חוקה, ולחוק הזה. שם חשבנו שאנחנו מחפשים מלוכה, אנחנו דנים על חוק ביומטרי, מאגרים ביומטריים, והכנסת, ועדות משותפות של ועדת החוקה ועדת המדע וועדת הפנים, למעשה חוק הזיהוי הביומטרי שבעיקר הבעיה היא לא העתקת הזהות החכמה שנדרשת עם טביעות אצבע ותמונות פנים אלא בעיקר המאגרים שיש בנושא, המאגרים הביומטריים או מאגר ביומטרי שאנחנו יוצרים בגלל החוק הזה. וכן זכות ולא זכות ועושים את זה באופן וולונטרי ולא וולונטרי, דיונים ארוכים.
בתוך הדברים חברת הכנסת יוליה מלינובסקי מנסיונה וגם מתוך השכלתה והידע שלה באה ואומרת "בעוד אתם דנים בדברים גבוהים יש מאגרים לא קטנים, גדולים מאוד שקיימים בתוך משרדים ממשלתיים או בגופים ציבוריים שהם לא פחות בעיתיים שצריכים את תשומת הלב שלנו ואת ההתייחסות שלנו למה שקורה במקומות אחרים כגון משרד התחבורה, דברים שיש מאגרים, מאגרים שיש ברשות האוכלוסין שאנחנו דנים בזה, משרד הביטחון, כולל הצבא, המשרד לביטחון פנים, שירות התעסוקה הישראלי.
חברת הכנסת מלינובסקי שדיברנו על כך - - -
היו"ר אורי מקלב
¶
טביעות האצבע שלך נמצאות בתוך המאגר של שירות התעסוקה הישראלי ורשות שדות התעופה. אני לא מדבר על גופים ציבוריים, אני לא מדבר על רשויות מקומיות. יש מאגרים כאלה ואחרים שיכול להיות או שיש רצון, אבל אנחנו מדברים על מה שקיים היום, מאגרים מאוד מאוד גדולים. חברת הכנסת מלינובסקי ביקשה לדעת מה נעשה בשמירה ובשימוש במאגרים האלה, באבטחת המאגרים האלה.
בעוד שאנחנו דנים במאגרים בעצם הגופים, הרגולטורים במובן הזה שזה גם רמו"ט ובעיקר הממונים על יישומים ביומטריים באו ואמרו "אנחנו לא מסתכלים בעניין הזה רק בנושא השמירה, אנחנו מסתכלים על זה במבט הרבה יותר רחב שזה ניהול מאגרים ויישומים ביומטריים בשירות המדינה, הרבה יותר רחב והם יצאו היום לאור ההערה או ההצעה לוועדת המדע, שאנחנו נקיים דיון מיוחד בכל הנושא של אבטחת מידע, אנחנו מקיימים דיון יותר רחב. גם אבטחת המאגרים הביומטריים, אבל לא פחות גם עצם ניהול המאגרים והיישומים ממילא חלק מתוך הדברים האלה זה גם אבטחה.
יציגו לנו כאן מצגת ועוד גופים ממשלתיים ואחרים, אם ירצו להתייחס במהלך הדיון. נפתח בדבריה של חברת הכנסת יוליה מלינובסקי. בבקשה.
יוליה מלינובסקי (ישראל ביתנו)
¶
תודה רבה כבוד היושב ראש. אני חייבת להגיד שהנושא של מאגרי מידע עניין אותי עוד לפני שנכנסתי לכנסת, כי יש בזה משהו מאוד מאוד רגיש. כפי שאנחנו יודעים, עוקבים אחרינו ברשתות חברתיות ויודעים איפה אנחנו נמצאים פיזית במקום ומציעים לנו פיצה על זה, אלה. אבל יש גופים רגישים, למשל בצה"ל יש מאגר ביומטרי מלא, ברבנות הצבאית הראשית, שזה כולל טביעות אצבע של כל המתגייסים מ-1974, זאת אומרת כבר 43 שנה, לצורך זיהוי.
יוליה מלינובסקי (ישראל ביתנו)
¶
כן. ברור לנו למה הוא נוצר, לא בנסיבות משמחות אבל עדיין זה מאגר ענק. והייתה לי שאלה איך מאבטחים אותו, מה עושים איתו, מה צה"ל והרבנות עושה כדי לעמוד בסטנדרט של היום. נחשפתי שרמו"ט, שבעצם זה הגוף שאמור לפקח כדי לתאם עם הרבנות הצבאית זו משימה לא פשוטה, זאת אומרת אפילו הגוף, כפי שנמסר לי, שהגוף שאמור לפקח על המאגר הזה מתקשה ליצור אפילו קשר עם הממונים עליו וברור שמה שאדם אחד יצר, השני יכול לפרוץ. זה בטוח. זאת אומרת אין אפילו שאלה מה קורה עם המאגר הזה.
במשטרת ישראל יש מאגר ענק של טביעות אצבע, כל אחד שפעם היה חשוד במשהו, יש טביעות אצבע שלו וזה מאגר ביומטרי לכל דבר ועניין. מה משטרת ישראל עושה עם המאגר הזה ובאיזה שימושים, וגם השאלה איך מאבטחים את זה.
לשכת התעסוקה, כפי שאמרתי, היום מאוד פשוט כשאתה חותם אבטלה. אתה בא למכונה, שם אצבע – חתום. האם נשמרים הנתונים האלה? צה"ל שומר, ברור למה. משטרת ישראל שומרת את טביעות האצבע ברור למה, כי אחר כך אם יש זירת פשע הם עושים הצלבות, ומה קורה בלשכת התעסוקה? עד לכמה זמן זה שמור, אבל גם כן איפה זה מאוחסן, מי מפקח על זה? המון שאלות.
ברשות האוכלוסין יש פרטים של העובדים הזרים הנכנסים למדינה פלוס תמונה ביומטרית שלהם. נתב"ג – דובר שיהיה שם לכל מי שיש לו תעודת זהות ביומטרית. יש חברות פרטיות שהיום מאוד פופולארי במשק, במקום כרטיס החתמה, אדם מחתים את שעות הנוכחות שלו עם טביעת אצבע. ואני לא מדברת על חברות קטנות של 10 עובדים, שם אין בעיה כזאת. חברות גדולות עם אלפי עובדים זו היום השיטה שאדם מחתים את הנוכחות עם טביעת אצבע. מי מפקח על זה, איפה זה שמור, האם זה עומד בסטנדרט של היום?
משרד התחבורה, מעל שלושה מיליון בעלי רשיון נהיגה, יש תמונה ופרטים מזהים. וכפי שנודע לי, אולי אני קטונתי, שזה עובר למשטרת ישראל באופן אוטומטי. איך זה מתבצע?
יוליה מלינובסקי (ישראל ביתנו)
¶
בדיוק. יש הרבה גופים שכביכול אמונים על התחום, אבל בצד שני יש את רמו"ט, יש את משרד ראש הממשלה, אבל אני לא מרגישה שהנושא הזה מספיק נמצא בסדר יומנו ושנותנים לזה מספיק חשיבות כפי שלדעתי היא נמצאת. אני כבר לא אדבר על כך שיש רכבים, שגם כן רכב זה רכוש אישי, שיש עליו פרטים מזהים, זה גם כן מאגרי מידע על כל הבעלויות של הרכב.
יוליה מלינובסקי (ישראל ביתנו)
¶
אז מה שאמרתי קודם, יש הרבה גופים ממשלתיים שמחזיקים בצורה כזאת או אחרת פרטים ביומטריים, וגם כן היום במשק יש הרבה גופים פרטיים שעושים אותו דבר. אז מה המדינה עושה, מתכוונת לעשות, מה התוכנית כדי לרכז את כל הידע בזוג ידיים אחד שזה יהיה מספיק, א. מסודר, ב. שמי שמחזיק מאגר מידע יידע שחלה עליו גם אחריות על מה שהוא מחזיק, כי ממה שאני נחשפתי אליו ושמעתי, אני לא רוצה להעליב אף אחד, אבל אני מאמינה שכל אחד שנמצא במשרה שלו עושה עבודה כפי שהוא יכול, אבל ברמו"ט היום יש 30 אנשים, והם מופקדים על חצי מיליון מאגרי מידע. סביר להניח שהם לא מספיקים וגם הסמכויות שלהם, בוא נגיד ככה, עדיף לזלזל, אם כבר תפסו אותך לשלם קנס, מאשר להשקיע ולעשות את זה בצורה מיטבית. אלה בעצם השאלות.
ומשפט אחרון, אנחנו חיים בעידן טכנולוגי, ברור שזו הדרך, זה העתיד. היום אנחנו פותחים פלאפון עם טביעת אצבע. אבל מה שהמדינה מחזיקה או מה שיש עליו אחריות של המדינה, וגם כן כרגולטור בגופים עסקיים פרטיים, לדעתי אנחנו חייבים לשנות דיסקט, לשנות פאזה, לראות את זה כבעיה גלובלית כי כפי שדובר בוועדה המשותפת, גניבת זהות, אנחנו דואגים שם למאגר הזה, אבל אם מישהו ירצה הוא יכול לעשות את זה דרך מאגרים אחרים ודי בפשטות. תודה רבה.
היו"ר אורי מקלב
¶
תודה רבה על הדברים. אנחנו שוב מודים לך על הצפת הנושא והעלאתו. הועדה, על אף סדר היום הצפוף שיש לה, בפני הוועדה יש נושאים שונים, הקדמנו את הנושא הזה גם לאור ההתרשמות שלנו, אני אומר גם, זה השליך מהדיונים שעכשיו מתקיימים בכנסת בנושא הזיהוי הביומטרי. ולמה? אתם מכירים את הסיפור על בן שאב שלו סטר לו כשזה עוד לא נחשב עבירה על החוק, על כך שהוא קיבל ציון גרוע. אז זה לא בגלל שהוא קיבל ציון גרוע, אבל אם בשאר הציונים קיבלת ציונים מצוינים, סימן שאם אתה רוצה אתה יכול. אז למה כאן נכשלת? בכלל, הוא נתן לו על זה שהוא הצטיין, ובעצם על זה שהוא הצטיין בדברים אחרים הוא נענש.
כשדיברנו עכשיו וכשאנחנו מדברים בדיונים שלמים באה באמת הרשות הביומטרית שאמונה על חלק אחד שהוא נושא הזיהוי הביומטרי, אני התרשמתי והיא גם הניחה את דעתי באופן שזה נשמע. אבל מה? יש רשות מיוחדת, ובאמת המאגר נפרד מהפרטים, ויש שלושה אנשים שהם אמונים על כך, והם עוברים בדיקות כאלה וכאלה והחשש לזליגה הוא מאוד קטן ועוד ועוד ועוד, כל מיני שלייקס, כל מיני מעטפות שאנחנו עושים כדי לשמר את זה. אז אם זו הדרך, אם זה נכון, הבנו עכשיו איך צריך לשמור מאגרים ביומטריים. וגם על זה רוב הגופים מתנגדים לזה, ועם כל זה אומרים שזה ייפרץ ואי אפשר לשמור אותם ובסופו של דבר יהרסו אותם, במקרה הזה, הניחו את דעתי שבאופן הזה בלי ששימושים נוספים של כוחות הביטחון, המשטרה, לכאורה המאגר הזה צריך להישמר.
ואז שאלנו, ואז גם הגופים ידברו, איך אתם מדברים עכשיו על זה, הפער נעשה בין הגופים האחרים, אחרי שאנחנו יודעים איך באמת צריך לשמר מאגר ביומטרי ואנחנו - - - מה קורה במשרד התחבורה, מאגר ביומטרי כזה גדול שאין ספק שהוא לא מקבל בכלל בכלל, רחוק מלקבל את ההגנות שקיימות. הוצפו בינינו הסכנות שיכולות להיות כשיש לך את טביעת האצבע. יצא גם מסמך שלכם שאם אתה מאבד אותה, או שמישהו מקבל אותה, הוא מקבל את הדבר הכי שמור. דברים אחרים, מספרי זהות אתה יכול לשנות, אתה יכול להחליף אבל המאגרים, ברגע שזה נעשה – אם קראתי נכון את המסמך – אתם אומרים שזה הנכס היחידי שהוא הכי בטוח וגם אם אתה משתמש בו ו- - - הוא בעייתי לאין ערוך.
לכן חשבנו שבאמת חשוב לראות מה קורה במאגרים אחרים שהממשלה אחראית על זה, שיש רגולציה. אני אומר ברשותך גם, אני לא רוצה לגשת לגופים פרטיים, את הרחבת את הבעיה כולה אבל אנחנו נצטמצם במה שהרגולציה קיימת, ובמה שיש היום איזו הסדרה או ניסיון להסדרה, יש החלטות ממשלה שנמצאות ועל זה נרצה לשמוע איפה אנחנו עומדים בעניין הזה. ברשותכם אני אתחיל עם עו"ד גילי בסמן ריינגולד, היועצת המשפטית ברשות למשפט וטכנולוגיה רמו"ט, במשרד המשפטים. בבקשה.
גילי בסמן ריינגולד
¶
תודה. קודם כל תודה לוועדה וליושב הראש ולחברת הכנסת שבוחרים להקדיש זמן לנושא המאוד חשוב הזה. באמת אנחנו בעיצומם של הדיונים על המאגר הביומטרי, הוא ללא ספק הקריטי והמשמעותי ביותר עם הסיכון הרב ביותר אבל כמו שאמרתם, יש עוד לא מעט יישומים ומאגרים אחרים שעושים שימוש בזיהוי ביומטרי. כמה מילים על רמו"ט, הרשות למשפט טכנולוגיה ומידע, אנחנו למעשה הרשות להגנת מידע אישי בישראל, סמכויות הפיקוח שלנו חלות על כלל מאגרי המידע בישראל, גם ציבוריים וגם פרטיים ועל כל סוגי המידע האישי. כן חשוב להזכיר שמעבר למידע הביומטרי יש עוד סוגים של מידע אישי, מידע כלכלי, מידע בריאותי, בתחום החינוך ועוד ועוד שגם המשמעות שלהם לא פחות חשובה.
הסמכויות של רמו"ט מתחילות קודם כל באחריות על הרישום הפומבי של מאגרי מידע, ניהול של פנקס מאגרי מידע, הסכמה או סירוב לרשום מאגר, ניהול הפנקס, הצגתו לציבור וממשיכות לפיקוח על קיום של הוראות החוק והתקנות, שיכול להגיע להטלת קנסות מנהליים על הפרות. אני לא מסכימה עם זה שלפעמים יותר קל לשלם את הקנס, יש משמעות לקנס מינהלי כשאתה מטיל אותו על חברה, וכמובן שזה יכול להמשיך לביצוע חקירות פליליות כשמדובר על הפרות חמורות. אנחנו כן מקווים שבקרוב יקודם תיקון, תיקון 12 שנוגע לסמכויות האכיפה שלנו ובאמת יאפשר לנו גם להטיל עיצומים כספיים הרבה יותר משמעותיים במקרה של הפרות שנוגעות לאבטחת מידע.
רמו"ט גם מהווה גורם מנחה, מפרסמת הנחיות שוק לציבור ומלווה ומייעצת גם לחקיקה וגם לפרויקטים ממשלתיים. למשל ראש רמו"ט היה חבר בוועדה המייעצת לתקופת המבחן של המאגר הביומטרי, חברים בצוות של גיבוש המדיניות של הממונה על יישומים ביומטריים.
בצוותים האלה המשימה שאנחנו רואים לנגד עינינו היא להכניס תפיסה של PRIVECY BY DESIGN לתהליך. צריך להבין שהטכנולוגיות בפני עצמן, היישומים הם לא ניטראליים. כל טכנולוגיה, כל יישום שמכניסים מבטא איזו שהיא השקפת עולם מסוימת, בין אם נתנו עליה את הדעת ובין אם לא, מבטא איזה שהם ערכים מסוימים, ואנחנו שם כדי להבטיח שהמערכות האלה יעוצבו מתוך הכרה בזכות לפרטיות והגנה עליה, להבטיח שזה יהיה ערכים של שמירה על פרטיות, של שליטה על המידע של מי שהמידע אודותיו נאסף, של אופן האיסוף, בחירה בחלופה הפוגעת פחות ודברים מסוג זה.
המקור החוקי להגנה על פרטיות נשען על שני נדבכים עיקריים: אנחנו מדברים על חוק יסוד כבוד האדם וחירותו ועל חוק הגנת הפרטיות וברור שאיסוף של נתונים ביומטריים עשוי להוות פגיעה בפרטיות ולכן צריך לעשות בהתאם, בהקפדה יתרה על דרישות החוק. הדרישה המרכזית היא כמובן הסכמה של מי שהמידע נאסף עליו, והסכמה כזאת צריכה להיות הסכמה מדעת.
ברור שכאשר מדובר ברשות ציבורית שאלת ההסכמה הופכת להיות מורכבת יותר בשל פערי הכוחות, וכאן גם נכנסים באמת היסודות של תכלית ראויה ומידתיות, האם הפגיעה היא במידה שאינה עולה על הנדרש, האם יש פתרון חלופי שהפגיעה שלו פחותה יותר, ובאמת צריך תמיד לחשוב ברקע עבור מה מוקם המאגר ומי משרת את מי, המדינה את האזרחים או להיפך, כשמכניסים כזה - - -
היו"ר אורי מקלב
¶
אנחנו מדברים על אותו עולם? אנחנו לא מדברים על מאגר שנעשה, על מאגר שנוצר. איך אנחנו מתמודדים במאגר שנוצר, נניח בשירותי התעסוקה או משרד התחבורה. גם לזה אתם מתייחסים? אני מניח שלא הכוונה למאגר, אבל יש מאגר כתוצאה, פועל יוצא.
גילי בסמן ריינגולד
¶
גם אם המאגר כתוצאה הוא מאגר לכל דבר ועניין, חלות עליו החובות של הרישום, של הדיווח, של ההסכמה.
היו"ר אורי מקלב
¶
מישהו מיידע מישהו ברישיון נהיגה שהוא הולך להיות במאגר? שהוא נכנס למאגר? שכל תמונה שאתה מביא לרישיון נהיגה, הוא נהפך למאגר ביומטרי?
היו"ר אורי מקלב
¶
מה זה משנה, זה מאגר ביומטרי לכל דבר. מה השאלה בכלל? זה מה שמדאיג אותנו, שאתם בכלל לא חושבים שאתם צריכים להיכנס - - - אני לא רוצה להפריע לך, אבל אנחנו נמצאים, את אומרת דברים שאנחנו מסכימים איתם - - -
גילי בסמן ריינגולד
¶
אני אדלג לדברים של אבטחת המידע. ביקשו ממני לתת קצת רקע, אני אדלג ישר לנושאים של אבטחת המידע. נמצא איתי פה - - -
היו"ר אורי מקלב
¶
השאלה אם יש לנו כאן נאה מקיים. נאה דורש זה בסדר, השאלה אם יש כאן נאה מקיים בעניין הזה. זה נראה רחוק מאוד מתוך סף הדרישות שאתם מעמידים.
יוליה מלינובסקי (ישראל ביתנו)
¶
מתי בפעם האחרונה בדקתם את המאגר של הצבא או של משטרת ישראל. האם הם בכלל נותנים לכם - - -
היו"ר אורי מקלב
¶
למה לא ללכת למשרד התחבורה שהוא כן, נניח שיש ויכוח לגבי המשטרה. למה שלא תלכי למשרד התחבורה, לרשות התעסוקה?
יוליה מלינובסקי (ישראל ביתנו)
¶
כי מה שיש בצבא ומה שיש במשטרת ישראל, זה אדרבא ואדרבא ביומטרי. אם פה מתווכחים.
גילי בסמן ריינגולד
¶
אנחנו מפקחים על כל המאגרים. יש באמת מאגרים יותר רגישים שהפיקוח ייעשה בתיאום. נכון, לאחרונה לא נבדקו המאגרים האלה, יכול להיות שאנחנו נוסיף את זה לתכנית העבודה.
גילי בסמן ריינגולד
¶
גם היום החוק קובע חובה על בעל מאגר מידע, גם על מי שמחזיק את המאגר או מי שמנהל אותו, חובה לאבטח את המידע, לדאוג לשלמות המידע. יש לנו היום תקנות שמתייחסות לאבטחת מידע, אם כי אני חייבת להגיד שהתקנות היום באמת קובעות עקרונות בסיסיים בלבד. בדיוק בגלל זה בימים אלה ממש ואני מקווה שאולי אפילו נספיק במושב הנוכחי, לאשר את תקנות אבטחת מידע החדשות שאמורות לקבוע סטנדרטים יותר מעודכנים, יותר מתאימים למציאות הטכנולוגית של היום, וכמובן יחולו גם על מאגרים ביומטריים. באמת בתקנות החדשות אפשר לראות התייחסות מפורשת למאגרי מידע ביומטריים. על פי רוב תחול עליהם רמת האבטחה הגבוהה ביותר. אנחנו רואים גם שם ממש הגדרה מפורשת של מהו מידע ביומטרי.
גילי בסמן ריינגולד
¶
מידע ביומטרי, מידע המשמש לזיהוי אדם שהוא מאפיין אנושי פיזיולוגי ייחודי הניתן למדידה ממוחשבת. התקנות ממש מנסות להתאים את עצמן למציאות הקיימת כדי להתייחס במידה רבה של חשיבות למאגרים שונים, וכן כשיש למשל זיהוי של מאגר של 10 עובדים בחברה ברור שהסיכון פה הוא הרבה פחות משמעותי מהמאגר הביומטרי.
היו"ר אורי מקלב
¶
זיהויו של אדם יכול להיות על ידי קול, זה יכול להיות על ידי העין שלו וזה יכול להיות על ידי כל - - - אבל תמונות למשל, בהגדרה שלכם, תמונות שיש על רשיון הנהיגה, זה לא זיהוי?
היו"ר אורי מקלב
¶
מידע ביומטרי בסיסי. הרי זה נעשה בשביל הזיהוי. איך אפשר להגיד שלא, זה לא נעשה בשביל לפאר ולעטר את הרישיון.
גילי בסמן ריינגולד
¶
אני כן רוצה להוסיף שבאמת באותם מאגרים שנוצרים, צריך להבין, חלק מהמאגרים שתוארו כאן נוצרו בכלל לפני שרמו"ט קמה, כמו שירות התעסוקה או מאגר משרד התחבורה, אבל באמת לגבי מאגרים חדשים שנוצרים וגם קיימים, אנחנו משתדלים לייעץ, לבחור בחלופות הפחות פוגעניות של הפגיעה בפרטיות, אם זה נוגע לאפשרויות השמירה, שמירה של תבניות ולא של אימג'ים, במאגר הביומטרי – ההמלצה של הועדה המייעצת הייתה להסתפק בתמונות פנים והביאה אסמכתאות לכך. הצפנה, אנחנו מנחים להצפין את הנתונים שנשמרים, להפעיל תהליכים של ניטור, של בקרה, של התראות, לקבוע מורשי גישה מוגבלים וברורים עם היקף גישה לבסיס NEED TO KNOW, ככל שניתן הימנעות ממיקור חוץ ואם בכל זאת, אנחנו ערים למציאות, אם בכל זאת יש שימוש במיקור חוץ אז יש כללים מאוד ברורים ויש הנחיה של רמו"ט איך לעשות את זה, היא בעיקר נוגעת למחיקה של המידע, לאפשרות להפסיק את הקשר עם הספק, מחיקת נתונים היסטוריים, מחיקה של מידע עודף כמו שתיארה חברת הכנסת, לשכת התעסוקה, אין סיבה שזה יישמר גם שנה או שנתיים אחרי הטביעת אצבע.
היו"ר אורי מקלב
¶
מה אתם מנחים? נתונים שהיו, נניח אדם בא ללשכת התעסוקה, הוא בא לקבל קיצבה, מה שהוא צריך לקבל אחרי שנה הוא כבר לא משתמש בזה וכבר לא משתמשים בו, הוא כבר לא רלבנטי. כמה זמן אחרי שהוא רלבנטי לעניין ושהוא קשור לעניין, עדיין - - -
גילי בסמן ריינגולד
¶
לא, אבל יש פה הבחנה בין זיהוי לאימות. במקרה של לשכת התעסוקה זה רק לאמת שבאמת הגעתי לשם ולא נתתי למישהו אחר על הדרך או במקרה של עובדים להעביר את הכרטיס שלי. במקרה של אימות, ONCE אימתת, אין באמת הכרח מעבר לתהליכי בקרה - - - להמשיך.
היו"ר אורי מקלב
¶
זו ההוראה שלכם? זה חלק מההוראות שיש לכם לגבי אותם גופים שיש להם מאגר כזה? האם יש לכם הוראה - - -
היו"ר אורי מקלב
¶
אז אולי צריך להכניס את זה, לפי דעתי, סתם תובנה טובה, בחוק שעכשיו דנים בקשר למאגרי מידע, אפשר - - -
היו"ר אורי מקלב
¶
זהו, אין הוראה. אנחנו שואלים בכלל, לא רק שלא שומרים, שואלים אם יש הוראה שלא לשמור. אנחנו יודעים שאין הוראה לא לשמור, אז וודאי שישמרו. אז קודם כל אנחנו צריכים לייצר את ההוראה שלא לשמור. להגדיר את זה. אני מבין שיש דברים, צריך לקחת את הגופים, יש גופים שיגידו שהם צריכים את זה בשביל דברים אחרים, אבל צריך להגדיר, ואז יכול להיות שגם לגבי מאגרי מידע שהם לא ביומטריים, צריך גם לחשוב על זה שמדובר על גופים פרטיים, כמו שירות לקוחות שהם צריכים את זה בשביל להציע כל מיני דברים. אבל כשמדברים עם משרדים שנותנים שירות שהוא יכול להיות נקודתי והוא באיזה שהיא נקודת זמן נגמר. זה חלק מהחשש. אני רוצה שתסיימי, רק בדקה אחת תגידי מבחינה חוקית מה המצב המשפטי שלנו. כל מי שיש מגבלה, רק צריך הסכמה בשביל לאגור מידע ביומטרי או מעביד יכול לעשות את זה ברצון, שלא ברצון, הוא רק צריך הסכמה או לא צריך הסכמה.
גילי בסמן ריינגולד
¶
בואו נפריד. כמובן שזו רשות ציבורית, צריך הסמכה מפורשת בחוק, לעמוד בכל המגבלות של עסקת ההגבלה וחוק יסוד כבוד האדם וחירותו. לגבי מעביד, בקצרה אני לא אצליח להסביר. ההסכמה ביחסי עובד-מעביד היא מראש פחותה, יש פערי כוחות מאוד ברורים ולכן יש על זה חוות דעת, כרגע מחכים להכרעה בבית הדין הארצי בעניין של שעוני נוכחות ביומטריים שיש שם עמדה של היועץ המשפטי לממשלה, שבמפורש אומרת שכשיש חלופות שהן פוגעות פחות, במקרה הזה של טביעת אצבע למשל על כרטיס ולא על מאגר, ראוי ללכת עליהן, וכמובן שההסכמה תיבדק ביתר שאת והיא צריכה להיות מלווה בהסבר ויידוע על הסיכונים ושקיפות, וכל זה כשאנחנו כפופים ליחסי עובד מעביד - - -
היו"ר אורי מקלב
¶
השאלה המשפטית היא רק על המאגר של טביעות אצבע או גם של עצם השימוש בטביעות אצבע בכרטיס כניסה, והאם זה צריך בהסכמה או לא בין עובד למעביד.
גילי בסמן ריינגולד
¶
בוודאי שזה צריך להיעשות בהסכמה. אבל מראש ביחסי עובד-מעביד יש לך איזו שהיא בעייתיות בהסכמה כי עובד לא באמת חופשי ל - - -
יוליה מלינובסקי (ישראל ביתנו)
¶
זה כבר לא ממשלתי, זה כביכול ציבורי, זה רשות מקומית, אבל אני רוצה לשאול שאלה פרקטית. את יכולה לתת עבור 2016 קצת נתונים מה אתם כרשות, כמה קנסתם, כמה בדקתם, כמה זה, כי למשל עכשיו אמרת שבצה"ל לא בדקתם, במשטרה לא בדקתם, זה רגיש. לשכת תעסוקה לא בדקתם, אז מה בדקתם?
גילי בסמן ריינגולד
¶
מה שבדקנו אני יכולה להעביר בשמחה, זה מפורסם בדו"ח השנתי שלנו. אבל אנחנו בהחלט לוקחים לתשומת ליבנו ונשקול לעשות פיקוח על המאגרים היותר רגישים האלה.
היו"ר אורי מקלב
¶
הם הלכו על הגופים הפרטיים יותר מהר, אני מבין שאת הדגש הם שמו על גופים פרטיים לפני הגופים, בהנחה - - -
גילי בסמן ריינגולד
¶
לא רק על גופים פרטיים. גם על גופים ציבוריים, גם היה פיקוח מאוד גדול לפני שנתיים על העברת מידע בין גופים ציבוריים ועמידה בהוראות החוק, יצא בדו"ח בעניין הזה. אנחנו עושים כמיטב יכולתנו.
היו"ר אורי מקלב
¶
בשלב הזה תודה רבה. יכול להיות שבהמשך נרצה עוד התייחסויות שלך. רועי פרידמן, ממלא מקום ממונה יישומים ביומטריים בבקשה.
רועי פרידמן
¶
הנושאים שעלו פה סביב השולחן אלה המורכבויות שאנחנו עוסקים בהן בארבע השנים האחרונות שאנחנו בהן גיבשנו את המדיניות הלאומית האינטגרטיבית ליישומים ביומטריים. אז אם כך, בעוד שהנושא של התיעוד הלאומי החכם הוסדר היטב בחוק, התיעוד הלאומי והמאגר הביומטרי מוסדרים בחוק הכללת אמצעי זיהוי ביומטרי, אנחנו נפגשים - - -
רועי פרידמן
¶
אנחנו נפגשים פעמיים בשבוע כדי לדון בו. נושא של יישומים ביומטריים אחרים, עד לאחרונה טרם הוסדר ככלל, וקיימים בישראל הרבה יישומים ביומטריים במגזר הציבורי. אלה הן רק דוגמאות, מגזר ציבורי, מגזר פרטי.
יוליה מלינובסקי (ישראל ביתנו)
¶
תראה כבוד היושב ראש, תראה כמה יש - - - ביומטריים בשוק היום, במגזר הציבורי זה.
רועי פרידמן
¶
תיכף בהמשך המצגת אני אספר על התהליך שביצענו. היישומים האלה כיום, המדיניות שגובשה ואושרה, מסדירה את הפעילות של היישומים.
היחידה קיימת מזה כחמש שנים. החלטת ממשלה מאפריל 2012 הטילה עלינו לגבש מדיניות לאומית אינטגרטיבית ליישומים ביומטריים. המדיניות הזאת גובשה והוגשה בחודש ספטמבר 2016 וכעת אנחנו נמצאים בתחילת שלב מימוש המדיניות.
המדיניות היא מולטי דיסציפלינרית, כמו שהבנו התחום של יישומים ביומטריים כולל מספר תחומים, אם זה תחום הטכנולוגי הביומטרי, אם זה נושא של אבטחת מידע שהיה אחד מהנושאים שבגינו גבירתי ביקשה את הדיון הזה, הגנה על הפרטיות שרמו"ט תיארו היטב קודם, ונושא של תקינה והסדרה.
החזון שלנו שבא לידי ביטוי במדיניות זה איפשור של יישומים ביומטריים באמצעות גישה מאוזנת. למעשה, אנחנו סבורים שהמדיניות מתווה את שביל הזהב שמאזן בין התועלות של יישומים ביומטריים שברורות לכל מי שבא לבצע יישום כזה, ובין הסיכונים השונים שזה סיכונים לפרטיות, סיכונים לאבטחת המידע וסיכונים לביטחון באופן כללי.
המדיניות מונה מספר עקרונות
¶
עקרון ההתייעלות לאפשר התייעלות איפה שניתן, לצמצם סיכוני אבטחת מידע, הגנת פרטיות כמו שגילי ציינה, תכנון לפרטיות, PRIVACY BY DESIGN, מיזעור כמות הנתונים, מניעת זליגת שימושים – ועל זה אני אומר מילה – זה אומר שאם נלקחה ביומטריה לצורך מסוים לא ניתן להשתמש בה לאחר מכן לצורך אחר ללא הסכמה של מי שהביומטריה נלקחה ממנו, שמירה על קיום התכלית וכמובן אי אפשר בלעדיו, שמירה על כבוד האדם וטיפול בחריגים.
לא הסתפקנו רק במדיניות. מדיניות הוא מסמך HIGH LEVEL שמסדיר תחום, גיבשנו גם קוים מנחים. קוים מנחים, GUIDE LINES, זה כלי פרקטי שמאפשר לבעל יישום ביומטרי להבין מה מסכת השיקולים שבאמצעותה הוא יודע שהוא מקים את היישום הביומטרי בצורה הנכונה.
אחד האתגרים שלנו פה היה איך להתייחס במסמך אחד של קוים מנחים ליישומים ביומטריים שנעים החל מכניסה למשרד אדריכלים לדוגמה, שמתבצעת באמצעות טביעת אצבע ששם יש 15 עובדים במשרד שנכנסים באמצעות טביעת אצבע, ויישומים לאומיים כמו שדובר עליהם פה, שיש מאות אלפים או מיליונים של תושבים ביישומים. ועשינו את זה באמצעות קביעת תבחינים. בצורה מובנית באמצעות קביעת תבחינים, אלו דוגמאות לתבחינים, מה המגזר, ממשלתי/ציבורי/פרטי, גודל המאגר, סוג הנתונים שנשמרים, הוזכר נושא של TAMPLATE ו- IMAGE, טמפלייטים מוצפנים, מיקום האכסון – האם האכסון מתבצע בישראל או בחו"ל לדוגמה, האם היישום - - -
רועי פרידמן
¶
זה נושא שאנחנו צריכים לבדוק במסגרת הליך הליווי שתיכף אני אספר עליו. זה עשוי להישמר בענן לדוגמה, יכול להיות יישום ביומטרי שהנתונים הביומטריים נשמרים בענן - - -
יוליה מלינובסקי (ישראל ביתנו)
¶
לא, אבל אסור לשמור בענן את היישומים הביומטריים, במיוחד של הגופים הממשלתיים. זאת אומרת זה חד משמעי, זה ברור.
רועי פרידמן
¶
את צודקת בחשש שלך. ואם נשמרים נתונים ביומטריים בענן, במגזר הציבורי זה לא קורה למיטב ידיעתי. במגזר פרטי, ראוי לתת לזה את ההתייחסות הנכונה, והקווים המנחים שאנחנו הגדרנו נותנים ליישומים ביומטריים ששומרים מידע שלא בחצר המזמין, ניקוד אחר.
רועי פרידמן
¶
המדיניות ככלל והקווים המנחים גובשו בתפיסה של כלל המשק. יכולת האכיפה על פני המגזרים השונים היא שונה בהתאם לסמכות שניתנת בידינו. אני אמשיך ואני בשמחה מזמין שאלות בהמשך.
רועי פרידמן
¶
בשביל זה אני מדבר. בהתאם לתבחינים בעל היישום מבצע ניתוח של היישום שלו, קובע את הניקוד ומנותב לשלושה מסלולים, מסלול נמוך בינוני או גבוה, זה תהליך פשוט יחסית ובהתאם לזה מוגדרת הנחיה בשלושה נושאים – בנושא הטכנולוגיה, אבטחת המידע והפרטיות.
יוליה מלינובסקי (ישראל ביתנו)
¶
על זה דנו בדיון על תקנות רמו"ט, ופה אתם מפספסים דבר מאוד חשוב. יכול להיות גוף פרטי קטן שמחזיק מאגרי מידע רגישים ביותר. נתתי דוגמאות, עמותה שהתעסקה עם אימוץ וכל התיקים דלפו לאינטרנט. זה לא קשור לביומטרי, ההגדרה שאתה עשית, גדול/קטן/ בינוני לא נכונה כי לפעמים שב"כ הוא גוף לא גדול, מחזיק במידע ענק.
רועי פרידמן
¶
שתי תשובות לזה. אחת – עניין הסמכות על הסקטור הפרטי, בוא נשים את זה בצד כרגע. הנושא השני, באמת ביומטריה ולא מידע ככלל, ושלוש - הקווים המנחים קובעים גם שאם יש טעמים מיוחדים אז אפשר להחמיר יותר, ולדוגמה, הנתונים הביומטריים של קבוצת אוכלוסייה רגישה, ראוי שיחמירו יותר.
יוליה מלינובסקי (ישראל ביתנו)
¶
אוקיי, אבל אנחנו קצת, אני רוצה לשאול אותך. מדיניות, מתווה, מצגת מצוינת, גם אני יודעת לעשות את זה. אני יכולה לדבר על החלל, אם יגידו לי לדבר.
יוליה מלינובסקי (ישראל ביתנו)
¶
שאלה. עד כמה אתה כממונה על יישומים ביומטריים, בדקת צה"ל, בדקת משטרה, בדקת לשכת תעסוקה, בדקת - - -
רועי פרידמן
¶
אני אפרט, אם אפשר, אני חושב שאחרי השקף הזה יהיה שקף שייתן לך מענה לשאלתך. הקווים המנחים קובעים מספר נושאים שצריך לתת עליהם את הדעת בעת גיבוש יישום ביומטרי. ראשית כל, שיקולי הנהלה. יש פרק של שיקולי הנהלה. פרק של היבטים טכנולוגיים של הביומטריה, פרק של אבטחת מידע, הגנה על כבוד האדם וקוים מנחים לשימוש במיקור חוץ, מדובר הרבה פעמים ביישומים שהם מוצרי מדף ולכן ראינו לנכון להגדיר קוים מנחים ספציפיים.
בעת גיבוש המדיניות, כמו שאמרתי, זה תהליך של כארבע שנים, ביצענו היוועצות לאורך ולרוחב. אני מזהה פה סביב השולחן גופים ממגזרים שונים שביצענו איתם היוועצות, אם זה גופי מטה ממשלה, לדוגמה רמו"ט, תקשוב ממשלתי, מטה הסייבר, הרשות לאבטחת מידע בשירות הביטחון הכללי, אם זה מיישמים בעלי יישומים במגזר הציבורי בעניין הקווים המנחים, ויצאנו גם להיוועצות עם הציבור הרחב, ששם לדוגמה ה- - - לזכויות דיגיטליות, גם הם קיבלו את הקווים המנחים.
שאלת עם מי ביצענו היוועצות במגזר הציבורי. אז ככה, לפני כשנתיים וחצי, זו רשימה של גופים שנפגשנו איתם, הצגנו להם את הקווים המנחים.
רועי פרידמן
¶
לא, בוצעה לפני כשנתיים וחצי ההיוועצות הזאת. לקח לנו לא מעט זמן, ואני אומר את זה באנדר-סטייטמנט, לתאם את המדיניות עם כלל הגורמים הממשלתיים הרלבנטיים. בין היתר רצינו שהמדיניות תהיה - - -
רועי פרידמן
¶
נפגשנו עם קופות חולים, ייתכן אגב שיש יישומים נוספים. זו ההיוועצות שקיימנו לטובת גיבוש המדיניות והקווים המנחים. שאלת לגבי גופים כמו צה"ל, אז החלטת ממשלה 4510 הטילה עלינו לגבש הסדרים מיוחדים עם מה שמכונה הגופים המיוחדים, צה"ל, שב"כ, מוסד, מלמ"ב משטרה ושירות בתי הסוהר. עם חלק מהגופים האלה כבר סיימנו וגובשו הסדרים מיוחדים, עם חלקם אנחנו עדיין נמצאים בתהליך.
המדיניות קובעת, ופה זה החלק היותר פרקטי, המדיניות והקווים המנחים קובעים שיבוצע הליך ליווי. למעשה יחידת הממונה על היישומים הביומטריים תלווה יישומים ביומטריים על פי התבחינים שתיארתי קודם, על מנת לוודא תאימות למדיניות והקווים המנחים. את זה אנחנו עושים יחד עם שותפים שלנו, גופי מטה רגולטורים שעימם גיבשנו את המדיניות.
צור אהרון
¶
ישבו איתנו בשלב ההיוועצות, מה כולל המאגר שלנו, למדו אותנו, שמעו את דעתנו לצרכי מה המאגר שלנו, את מי אנחנו משתפים איתו וברגע שאנחנו עובדים לפי הכללים האלה לצורך העניין. הקדמתי את ה - - -
יוליה מלינובסקי (ישראל ביתנו)
¶
יש לי תחושה שהמוח כבר מתפוצץ, המילים יפות, הכל מצוין, אבל אני לא מרגישה שקורה משהו.
יעל כהן-פארן (המחנה הציוני)
¶
אבל למשל, שאלה, כמו משרד התחבורה, שירות התעסוקה, כל מי שיש לו כבר מאגרים, איך זה עובד עכשיו, מספטמבר?
רועי פרידמן
¶
התחלנו בתהליך ליווי לפני כחודש וחצי, יידענו את כלל מנכ"לי משרדי הממשלה ולרוחב הממשלה, יידענו אותם, יש מדיניות, "ככל שאתם מנהלים יישום ביומטרי או בכוונתכם לנהל יישום ביומטרי פנו אלינו על מנת שנתחיל בתהליך הליווי, נציג לכם את המדיניות, הקווים המנחים ונוודא את התאימות למדיניות". אחד הגופים שנשלחה אליהם המדיניות והקווים המנחים וביקשנו להתחיל את התהליך זה משרד התחבורה, שירות התעסוקה לדוגמה וגופים נוספים. אנחנו בתחילתו של תהליך כזה.
אם לסכם, וזה השקף האחרון, הגישה שלנו היא גישה של שלוש שכבות. ראשית כל גובשה מדיניות שהיא תשתית נורמטיבית לעיסוק בתחום הזה שחובקת את התחום מכל הקווים, גובשו קוים מנחים, זה ארגז הכלים, זה כלי פרקטי שמסייע לבעלי היישומים וגובש תהליך ליווי שיסייע לבעלי היישומים לצלוח את הלבירינט של ניהול יישום ביומטרי. זהו. אשמח לשאלות.
יעל כהן-פארן (המחנה הציוני)
¶
אתה הצגת, מה אני מתכוונת "באוויר"? יש מדיניות, יש ארגז כלים, זה נורא כאילו, תן לי דוגמה למה קורה עכשיו, מה היה עד עכשיו, למשל בשירות התעסוקה שיש לו את טביעת האצבע שלי. מה היה עם המאגר שלו עד עכשיו ואיך זה השתנה היום.
רועי פרידמן
¶
הנענו את התהליך, שלחנו להם מכתב. קיימנו איתם גם בעבר מספר פגישות בנושא על מנת שהם יפעלו על פי המדיניות והקווים המנחים, ואנחנו מוודאים תאימות למדיניות.
יעל כהן-פארן (המחנה הציוני)
¶
אולי כדאי שבעלי המאגרים עצמם יציגו איך זה עובד, מיד נשמע אותם. רק השאלה אם יש כללים מחייבים שזה הכל ככה, יש מדיניות, - - -
רועי פרידמן
¶
אני יכול לומר שאצלנו היישומים הביומטריים על ראש שמחתנו. בתיעדוף שלנו, זה הדבר הראשון בתיעדוף. זה לא שיש לנו אינספור תפקידים ולצערנו הרב זה נדחק לתיעדוף נמוך. זה הנושא הראשון בתיעדוף שלנו.
יוליה מלינובסקי (ישראל ביתנו)
¶
אני רוצה לשאול את המשטרה, לצורך העניין. איך אתם שומרים על המאגר שלכם, שזה ביומטרי לכל דבר. והאם אתם מכירים את המדיניות.
אלעזר כהנא
¶
בשונה מ-, אני לא יודע אם כל הגופים, אבל בוודאי רוב רובם של הגופים, המאגרים הביומטריים שהמשטרה מנהלת, הפליליים, מוסדרים בחוק. החוק הוא חוק סדר דין פלילי, סמכויות אכיפה, חיפוש בגוף או נטילת אמצעי זיהוי מאוד מפורט, איזה מאגרים, ממי אפשר לקחת, מה נכנס למאגר, מה מושווה למאגר. מי מורשה גישה. איפה זה נשמר. יש תקנות שמנחות כולל גם את רמת ה-ISO שצריך כדי לשמור על המאגר, איפה הוא נשמר פיזית, למי אפשר להעביר מידע.
אלעזר כהנא
¶
לא, זה חייב להישמר במקום מסוים.
בשונה מכל הדברים שנאמרו, אצלנו הדברים האלה מוסדרים ברמת חקיקה ותקנות מאוד מאוד מפורט.
אלעזר כהנא
¶
המדיניות שלהם לצורך העניין, בהקשרים האלה לא חלה עלינו על פי החלטת ממשלה, אנחנו מונחים על פי חוק ותקנות. אנחנו הרבה יותר מחמירים מהמדיניות.
אלעזר כהנא
¶
יש פה מומחה אבטחת מידע של המשטרה, ראש מדור אבטחת מידע, תיכף הוא ידבר על איך זה נשמר פיזית, או שלא ניכנס פה לאיך, כי אנחנו לא רוצים שמישהו יידע איך, אבל השמירה היא מאוד טובה. דרך אגב גם רמו"ט שנאמר פה שכן היו, ביקרו אצלנו, ראו את הדברים.
אלעזר כהנא
¶
אולי היא לא, לא יודע מתי היא הייתה, אבל אני חושב שניר שנמצא פה יודע להגיד פה שהיו אצלנו, ביקרו, אני לא יודע איזו רמה של בקרה או פיקוח הם קיימו, אבל היה דיון כזה גם עם אנשי המאגר - - -, משום שעל פי החלטת ממשלה אנחנו צריכים לקיים שיחה עם הממונה, ישבנו, אנחנו צריכים למסד נוהל עבודה משותף - - -
אלעזר כהנא
¶
אנחנו מאוד מאוד מסודרים מבחינת החקיקה. אנחנו מפוקחים בעניין הזה מכל מיני גורמים. א. אנחנו כמובן חייבים בדיווחים לכנסת על פי חוק, בהקשר של ניהול המאגר שלנו, על השימושים בו אנחנו מחויבים כמובן מול משרד המשפטים, כל שינוי, כל דבר צריך אישור של ייעוץ וחקיקה. כמובן מבקר המדינה, אני לא יודע להגיד מתי, אבל בוודאי שהוא מבקר אותנו. כמובן הכל מגיע לבתי משפט, כשאני בא לבית משפט עם תיק פלילי ומגיש דנ"א, תמונה או טביעת אצבע, כמובן שהסנגור מבקש לראות מה הנהלים שלי, על פי מה עבדתם, איך הגעתם לתוצאה הזאת, איפה זה נשמר. דרך אגב, החוק מחייב גם לגבי מחיקה, מה מוחקים, מתי מוחקים, מתי לא מוחקים.
אלעזר כהנא
¶
לפי חוק רק דנ"א נמחק, אחרי תקופות שונות לכל מיני מצבים. איך זה נשמר, בקיצור, הדברים מאוד מאוד מפורטים.
היו"ר אורי מקלב
¶
אני מבין שזו הנקודה שהדנ"א הרבה יותר מפותחת במשטרה מאשר היום הנושאים של טביעות אצבע והדנ"א היום הרבה יותר מתקדם בשימושים, בוודאי בכוחות הביטחון, בגופי הביטחון, בוודאי הדנ"א הוא היום החלק שהוא, הפיתוחים שיש שם מגיע לדברים שלא קיימים בטביעות אצבע. אנחנו שואלים ככה: אני גם יוצא מנקודת הנחה שהמשטרה רוצה לאבטח את המידע שלה. משרד התחבורה, אני לא אומר, גם כל אחד רוצה לאבטח את המידע שלו, אבל אצלו זה פחות על סדר היום. אצלכם זה לא רק שאתם רוצים גם שהדברים האלה לא ייפרצו, יש מי שמעוניין מאוד מאוד כדי לפרוץ. בוודאי שאתם רוצים בשבילכם לדעת את זה, זה אין ספק. אבל לכם יש שני סוגי מאגרי מידע. יש לכם מאגר מידע של אנשים שבאים לתת טביעות אצבע, לוקחים מהם את טביעות האצבע, ויש מאגר של טביעות אצבע שנלקחות על ידכם שלא מרצון. נניח יש זירת פשע ושם היה שוד בנק ויש שם טביעות אצבע, אתם יכולים לקחת עשר טביעות אצבע ולתת לכל אחד מספר זיהוי שלו, כפי שאמרתם את זה בוועדות אחרות, מספרי זיהוי שלא אמיתיים, מספרי זהות של המשטרה, שלכם. והגישה למאגר הזה, לכל שוטר יש?
אלעזר כהנא
¶
אז אני אמרתי, אני לא זוכר אם אדוני בדיוק נכנס, מי רשאי להיכנס, למי ניתן להעביר, הכל מוסדר בחוק ובתקנות אחד לאחד.
אלעזר כהנא
¶
היא יכולה לעשות השוואה. אני יכול להגיד "שימי טביעת אצבע פה" ואז אני יכול לבדוק אם יש ליף בהנחה שמותר לה, לא כל דבר מותר לכל אחד, אבל בהנחה שמותר לה לפי חוק לקחת - - - ואז הוא עושה השוואה והוא אומר האם אני מזהה את האדם הזה או לא. אבל הוא לא יכול לגשת להוציא - - -
אלעזר כהנא
¶
מה שמותר יוכלו לעשות השוואה ולראות אם את בכלל מופיעה במאגר. בהנחה לא מופיעה אצלנו במאגר אז - - -
אלעזר כהנא
¶
אני לא יכול להכליל דבר כזה במאגר. סתם ללכת ברחוב אחרי בנאדם ולקחת טביעת אצבע, אחרי שהוא שם את האצבע - - -
היו"ר אורי מקלב
¶
לא, אלעזר, אני שואל משהו אחר. יש שוד בנק, זירת פשע, לקחו משם עשר טביעות אצבע. יכול להיות אפילו זה ששדד בכלל לא נמצא, הוא הלך עם כפפות. אבל לקחו עשר טביעות אצבע, שכיום המשטרה, זה לא נמצא במאגר שלה, מה שהיא רוצה להשוות את זה למי שנמצא כבר, אבל זה נמצא אצלה במאגר. עשר טביעות אצבע שנלקחו מאותה זירה ושנמצאים אצלה, הם מקבלים מספרי זיהוי.
אלעזר כהנא
¶
לפי החוק, יש הגדרה בחוק באיזה מצבים טביעת אצבע מהסוג הזה מותר להכניס למאגר. ברגע שהוא נכנס למאגר, הוא מושווה. אבל זה פשוט כתוב בחוק, זה סעיף בחוק סדר דין פלילי. זו לא איזו המצאה שמישהו מתווה לעצמו מדיניות.
יוליה מלינובסקי (ישראל ביתנו)
¶
שאלה אחרונה למשטרה, אתה איש מחשבים, אתה אחראי על ה - - - אנחנו דנו מאוד עמוק בנושא של אבטחת מאגר המידע הביומטרי, מה שקשור למשרד הפנים. האם אתם עומדים, אני מאמינה שגם אתם עובדים עם רשות הסייבר, ויש לכם הנחיות. איך אתם מאבטחים את המידע הרגיש שיש לכם?
יורם עמדי
¶
אני ראש מדור אבטחת מידע. אנחנו גוף סוברני מבחינת אבטחת המידע. אנחנו לא כפופים, מתוקף זה שאנחנו גוף מיוחד, אנחנו גוף שאחראי לגבי אבטחת המידע אצלו. ומתוקף כך, כבר לפני כמה שנים טובות גיבשנו מתודולוגיה לאבטחת מידע, אנחנו לא שומרים בענן. יש לנו מתודולוגיה מסודרת איך אנחנו שומרים את החומר, באיזה מעגלים אנחנו מגנים, אם זה ברמת הפיזיקה, הכניסה למבנה, הן ברמת התקשורת, ברמת האפליקציה, ברמת המי מורשה לגשת למידע. מערכות פנימיות שלנו שמוודאות את זה. הרשת שלנו כמובן היא רשת מופרדת, אין לנו שום יציאה החוצה, היא רשת פנימית, היא לא בענן.
רפאל פרנקו
¶
אני ראש אגף בכיר להסדרה ברשות הסייבר. קצת על נושא מאגרי הביומטריה, קודם כל לתת תשובה לגבי לפחות הממשלה, שזה המיקוד. כל חומר שרוצה לעלות לענן, יש ועדה שמקבלת החלטה. כלומר, ארגון ממשלתי לא יכול לעלות לענן אם הוא לא עובר ועדה, הועדה היא בראשות ראש יה"ב שיושב מולי עם נציגי הגופים. הגוף מסביר, ואני יכול להגיד לכם שאנחנו מאוד מאוד קשים עם הנושא של עליה לענן בכלל ומידע ביומטרי בפרט. למיטב זכרוני אין תקדימים בנושא.
רפאל פרנקו
¶
נכון. לגבי הביצוע בפועל חשוב לי להגיד בנושא הזה שרשות הסייבר רואה את עצמה כמתכללת את נושא ההגנה בכל מה שקשור לסייבר, כולל הנושא של פרטיות, כולל הנושא של ביומטריה ותורת ההגנה מכסה את כל האספקטים וגם – לשאלתך גבירתי חברת הכנסת – גם תבצע את הפיקוח הלכה למעשה. כלומר, רשות הסייבר, בעצם זה שהיא העמידה בכל משרד ממשלתי ממוני סייבר, אותם צוותים שאתם מכירים, בתיאום עם הנחיה ישירה והנחיה עקיפה, חלק מ- - - ההגנה נוגעת בפירוש בכל מיני היבטים שהם שותפים שלנו שם ואנחנו מתואמים בהקשר הזה.
לגבי מאגרים, ראשית חשוב לומר שבגלגול הקודם, לפני שרשות הסייבר קיבלה את האחריות למאגרים, נעשו שתי פעולות מרכזיות. אחת – מופו מאגרי על, ובכלל זה של המדינה, לאו דווקא ביומטריה. בעולם של מאגרים ספציפית, משרד התחבורה עבר ביקורת מקיפה למאגרים שלו כולל על נושא התמונות שהן לא ביומטריות, הן באיכות ביומטרית. זו האמירה ולכן האמירה היא אכן נכונה. בסך הכל אפשר לומר שיצאו מהביקורת הזאת בצורה סבירה ומעלה עם הרבה דברים לתקן כמו בביקורת, אבל עברו ביקורת מאוד מאוד מקיפה.
רפאל פרנקו
¶
חשוב לומר בהקשר הזה שרשות הסייבר פועלת בסך הכל מאפריל 2016 ובהחלט רואה את האירוע הזה כאירוע שהיא מובילה אותו מבחינת הביצוע בפועל, כאשר אנחנו עובדים מבחינתנו מול כל השותפים שאני קורא לזה, חונים בעולם הסייבר. בעולם הסייבר יש את העולם הביטחוני ויש את העולם הכלכלי ויש את העולם של הפרטיות ויש את העולם של הביומטריה, ואם אנחנו מדברים מהאספקט של הביומטריה, אבל בסופו של דבר, כל הדבר הזה מבחינתנו חונה בתורת הגנה לאומית שאנחנו מוצאים אותה ומביאים אותה בסוף בתוך הגופים או לגופים, כולל פיקוח, כולל ביקורת וכולל הנחיה עם המובילים בתחומם, כאשר כל אחד מוביל בתחומו.
לשנה הנוכחית כבר אנחנו, לקראת סוף שנה אנחנו ניערך לביקורות עם יחידת הביקורת שאנחנו מרימים ברשות הסייבר, שגם היא תחת פיקודי. היא כבר תיקח בחשבון גם את ההיבטים של פרטיות וגם את ההיבטים של השותפים שלנו ככל שהם מה שנקרא, מוכנים עם התשתית שהם הציגו כאן. אנחנו נהווה מכפיל כוח עבורם בכל הקשור לפיקוח ובקרה ואולי אפילו גם עולם ההנחיה.
היו"ר אורי מקלב
¶
איזה הנחיות יש לכם לגבי כשמתבצעת פריצה למאגר, הציבור יודע, איפה אתם עומדים בעניין הזה?
רפאל פרנקו
¶
אני מניח שכבוד היושב ראש וגם הנוכחים כבר מכירים את הסרט הלאומי שקם בבאר שבע. הסרט הלאומי בבאר שבע כבר כיום מטפל בעשרות מקרים בחודש, חשוב לומר, העשרות מקרים האלה יכולים להיות ממקרים פשוטים ועד מקרים יותר מורכבים ויותר ממודרים, שלא הייתי רוצה לפתוח אותם כאן ברשותכם, אבל מטופלים ברמה של החל מצוותי FIRST RESPOND, מה שנקרא, מגיבים ראשונים. רשות הסייבר מנהלת כרגע מספר אירועים בצירים יחסית מאוד מאוד מורכבים בהגנה על המשק הישראלי.
רפאל פרנקו
¶
כרגע אנחנו עובדים עם מדיניות החשיפה. חשוב לנו קודם כל, לקחנו לנו את הזמן קצת לרוץ ולנהל כמה מקרי הגנה כאלה בפועל, לפני שאנחנו רצים ומייצרים חשיפה לתקשורת ולציבור. ואנחנו כבר ברבעון שני, אנחנו רוצים להתחיל לפרסם נתונים על פעילויות לציבור. החצי שנה הזאת אנחנו בעיקר פועלים מתחת לסף הרעש הכללי, בעיקר עובדים על הגנה.
רפאל פרנקו
¶
בהחלט. תפקידו של הסרט הוא לעבוד מול הציבור. תפקידו של אגף החשיפה לחשוף לציבור ולהעלות את רמת המודעות להגנה ולסיכונים ברשת מכל הזוויות ומכל ההיבטים ובהקשר הזה רשות הסייבר לגמרי רואה באזור הפחות ממודר שלה עבודה גם למול האזרח ומול הציבור שזה המכפיל כוח שלנו מול המשק.
היו"ר אורי מקלב
¶
זה נכון להגיד שגם גופים וולונטריים היום חשופים לניסיונות של פריצה ולפגיעה סייברית? עמותות וולונטריות הן חשופות, או הן יעד? מה שאתה יכול להגיד?
רפאל פרנקו
¶
חשוב לומר שאנחנו עדיין לפני מעבר של חוק הסייבר, למען רגע לסייג, וכולנו יודעים שאנחנו עובדים על חוק הסייבר, אבל לצורך העניין אני מבדיל בין הנחיה לבין הגנה. בהינתן אירוע שמעניין, אני קורא לזה כרגע שמעניין, על פי תורת ההגנה שאני לא אפרט אותה כאן, אנחנו נכון להיום מגיעים לחברות פרטיות בהסכמה, ומייצרים אצלם הגנה וחוסן. ברשותכם לא הייתי רוצה לפרט איזה ארגונים.
יוליה מלינובסקי (ישראל ביתנו)
¶
אנחנו לא צריכים פרטים טכניים. אני עכשיו שואלת אותך שאלה, אני לא מבינה, לא מומחית גדולה במחשבים. ולא מתיימרת. אמר נציג המשטרה שהמאגר שלו סוברני ולא תחתיך, נכון?
יוליה מלינובסקי (ישראל ביתנו)
¶
וגם רמו"ט לא בדקו אותו אף פעם. יש פה מישהו מצה"ל? יופי. סביר להניח שאם אני אשאל אותו, גם המאגר שלו בחיים לא נבדק.
יוליה מלינובסקי (ישראל ביתנו)
¶
עד כמה אתם בטוחים שהמאגר הצבאי עומד בכללי הסייבר וגם בכללי רמו"ט, כי מה שאני שמעתי, שאפילו ניסיונות לבדוק אותם, שמי שמחזיק את המאגר הזה זה הרבנות הצבאית, שאין עם מי לדבר.
יוליה מלינובסקי (ישראל ביתנו)
¶
אני רוצה לסיים. ממה שאני שמעתי, שוב פעם, אני לא מומחית גדולה אבל ניסיתי קצת לברר מה קורה שם, שהמאגר הזה של הצבא, בלשון המעטה לא עומד בשום קריטריונים של היום. ככה אמרו לי.
היו"ר אורי מקלב
¶
בסדר, אבל לא זאת השאלה. השאלה היא שהצבא עושה את המאמצים לשמור, זה אין ספק בעניין. השאלה שנשאלת פה האם הגופים שאנחנו מדברים כמו הממונה על היישומים הביומטריים, כמו רמו"ט או רשות הסייבר, האם יש להם איזה ממשק עם הצבא או לא לגבי הנחיות? אמרו לנו כאן, אמר עכשיו רועי פרידמן וגם אמר את זה רפאל, שיש היום הסדרים. מגיעים היום להידברות גם עם הצבא, כדי לעמוד בסטנדרטים.
רפאל פרנקו
¶
אני רוצה לענות. ראשית, רשות הסייבר חתמה על הסדרים באמת עם הצבא, עם המוסד, עם המשטרה, עם שירות הביטחון הכללי, עם צה"ל. זה לא הנחיה ופיקוח, זה בהחלט הסדר, הסדר שהוא הרבה יותר רך, אבל הוא קיים.
גדעון קונפינו
¶
אני מנהל היחידה להגנת הסייבר בממשלה, ברשות התקשוב הממשלתית, במשרד ראש הממשלה. היחידה שלי מנחה את משרדי הממשלה ויחידות הסמך בכל נושא הגנת הסייבר. למשל בנושא הענן, אם יש בקשה לנושא ענן - - -
גדעון קונפינו
¶
כל גופי אבטחת המידע, כלומר רמו"ט, השב"כ ורשות הסייבר, מכונסים ביחד בראשותי, כדי ל - - - למשרדי הממשלה המלצות אם אפשר ללכת לענן ואיך לבצע את זה. שום דבר ביומטרי לא הועבר לענן ציבורי.
היו"ר אורי מקלב
¶
לא זאת הייתה השאלה. מול משרדי ממשלה, אנחנו הולכים על המשטרה והולכים על צבא, אז נלך על המשרדים, נלך לתעסוקה. אני לא רוצה ללכת רחוק. הנחיה אני מניח שיש, והבנו. השאלה אם יש גם פיקוח ומה המשמעות של פיקוח?
יעל כהן-פארן (המחנה הציוני)
¶
אם אפשר להוסיף לשאלה, הרי אתם התחלתם לפעול רק בחצי השנה האחרונה. מה היה לפני כן? אולי גם שירות התעסוקה, אם יש כאן נציג יגידו. ואיך אתם עכשיו מפקחים על השינוי?
היו"ר אורי מקלב
¶
אני רוצה להגיד לחברי הועדה וחברי הכנסת שאנחנו מקיימים דיון עוד מעט בעניין הזה, הגנה על משרדי הממשלה. זה דיון שנכנס באמצע, אבל אנחנו נקיים גם דיון מסודר, אבל התייחסות קצרה בעניין הזה.
גדעון קונפינו
¶
היחידה להגנת הסייבר בממשלה הוקמה בפברואר 2015, זו בעצם הרחבה של יחידת אבטחת המידע הממשלתית ברשות התקשוב הממשלתית, היא גוף שמנחה ומבקר את משרדי הממשלה בכל תחום הגנת - - -
היו"ר אורי מקלב
¶
אני כבר אומר לכם שבתחילת הדיון הבא, רבע שעה רק ייקח להסביר לנו ולהטמיע בדיוק את כל הגופים ומי אחראי ואיך זה מסתדר, זה יקח לנו קצת זמן. זה יקרה לאט לאט, אבל זה בישיבה הבאה.
היו"ר אורי מקלב
¶
אה, הוא גוף שצריך לציין - - - שמעתי את זה כבר אתמול, שבעצם שירות התעסוקה זה לא משרד העבודה והרווחה.
גדעון קונפינו
¶
הוא גוף סטטוטורי, הוא לא יחידת סמך. כלומר, לפי החלטת הממשלה, היחידה אחראית על משרדי ממשלה עם יחידות סמך, אולם אנחנו עובדים מולו בצורה מלאה כמו שאנחנו עובדים מול כל משרד ממשלתי. כלומר, הנחיות היחידה מגיעות - - -
גדעון קונפינו
¶
- - - כמו לכל יחידה אחרת. מבחינת בקרה, בקרה בשירות התעסוקה לא עשינו, מעצם זה שרק עכשיו קם גוף הבקרה ביחידה שלי. אבל עצם העבודה השוטפת, יש דיווח. כלומר זו לא בקרה שאנחנו הגענו לגוף, אבל כל הנחיה שאנחנו שולחים, אנחנו גם מוודאים קיומה על ידי דיווח של הגוף, ובהנחיות מסוימות הגוף דיווח, ביצע/לא ביצע.
היו"ר אורי מקלב
¶
אני מתנצל אם אני שואל את זה פעם שניה, ושלא בטוח שקיבלתי על זה תשובה. האם בהנחיה שלכם גם קיים כמה זמן צריך לאגור את המידע? כמו שאמרנו, אדם בא ללשכת התעסוקה, קיבל את מה שהוא קיבל, עברה חצי שנה. האם יש לכם גם בזה ביקורת, האם יש לכם הנחיה, האם יש בקרה? אם אין הנחיה אז גם לא תהיה בקרה.
גדעון קונפינו
¶
אני דיברתי באופן כללי .כל נושא הביומטרי הוא באחריות הממונה על היישומים הביומטריים שאנחנו מתכללים אותו לכיוון המשרד. כל ההתוויה תהיה לפי ה- - -
היו"ר אורי מקלב
¶
זה נמצא בחוברת הזו, התחלתי לקרוא. ממש הייתי צריך לעצור את עצמי כי רציתי לישון הלילה.
היו"ר אורי מקלב
¶
לא, הפוך. קודם כל זה אומר, אתה יודע, כשיש דרשה טובה נרדמים מהר. זה הסימן לדרשה טובה. מי הולך לבית כנסת ומגיע הדרשן, כשנרדמים סימן שהדרשה היא טובה. זה מהפנט אותך ובהיפנוט אתה נרדם. אבל זה כתוב טוב, אפילו בשפה שגם אני, עם הארץ, יכול להבין אותה ולקרוא אותה.
היו"ר אורי מקלב
¶
ואתה יכול להגיד לי למשל, אם אני רוצה להעביר לרזולוציה של שירות התעסוקה, מה למשל ההנחיה שלכם בעניין הזה? מה המשמעות, לא ישירות, אבל מה המשמעות?
רועי פרידמן
¶
בעניין מחיקה, מעת שאדם חדל להיות דורש תעסוקה בלשכת התעסוקה, יש למחוק את המידע הביומטרי שלו.
היו"ר אורי מקלב
¶
תודה. אנחנו נבקש מפרופסור אלי ביאן, לאחר מכן עידן לוין, מנכ"ל הלשכה ל- - - המידע בישראל.
חנה אביסרור גולדרייך
¶
לא, אנחנו אומרים שאנחנו מכירים. עובדים בשיתוף פעולה גם עם מנהל אבטחת המידע בתקשוב הממשלתי וגם עם הממונה על היישומים הביומטריים.
היו"ר אורי מקלב
¶
איך נראה לך, שאם תהיה עכשיו ביקורת של יואב, זה יהיה בסדר, תעמדו בזה? שנהיה עכשיו בבקרה של יואב או מישהו, אתם תעמדו בכבוד?
חנה אביסרור גולדרייך
¶
בקרה זה תמיד טוב. זה תמיד מקום לשיפור. אנחנו נשמח לבקרה, אנחנו גם פועלים לפי ההנחיות ובתיאום איתם, כאשר תכנית אבטחת המידע שלנו מבוקרת ומאושרת על ידם, אנחנו פועלים למימוש שלה במהלך 2017.
היו"ר אורי מקלב
¶
לא התלבשנו על לשכת התעסוקה, אבל בגלל שאתם באמת אולי די חדשניים בגלל המאגר הביומטרי שיש לכם, וחוץ מזה, יש כאן ניסיון אישי חינם, היא יוזמת הדיון לכם אתם בפוקוס, אבל לא בגלל שיש לנו איזה - - - עליכם, לא בגלל ש - - - הכל בסדר. אנחנו מברכים את הפיתוח הזה ושזה הקל מאוד.
אלי ביהם
¶
פרופסור אלי ביהם, התנועה לזכויות דיגיטליות. אני פרופסור בטכניון. ראש מרכז הסייבר בטכניון. אני יכול להאריך, אבל נקצר. אני שומע פה מגוון גופים שרוצים לעשות כמיטב יכולתם ובאמת מנסים לעשות טוב. אני רוצה להתייחס למדיניות, אני נורא שמח שקיימת המדיניות הזאת, לא בהכרח אני מסכים עם כל מה שכתוב בה, אבל המצב בלעדיה היה גרוע בסדרי גודל. ואז אני הולך, מסתכל פה ושומע את מה שנאמר פה בדיון, ואני לא אתייחס לכל מה שנאמר, אני רוצה לבחור שתי נקודות שמביעות לטעמי את הזעזוע שאני שומע פה מההתנהלות.
האחת – אני שומע שהמשטרה מחזיקה את המאגר שלה ברשת המשטרתית, זה בסדר שזה לא מחובר לאינטרנט, זה נפלא, אבל אני מתייחס לרשת שיש אליה גישה של עשרות אלפי שוטרים או אני לא יודע כמה.
היו"ר אורי מקלב
¶
הוא לא יכול לשלוף את המאגר, יש לך שאילתא. יש לך הגבלות בזה. זה סוג של שאילתא, אבל לא גישה ל- - -
אלי ביהם
¶
אני מתייחס למגוון של רמו"ט. רמה אחת זה האם יש גישה ברשת שאפשר בכלל לעשות פינג, לשלוח לשם פקטות, אני לא ראיתי, לא מכיר את המבנה של הרשת המשטרתית, זה נשמע לי קודם שיש גישה גם מהרשת שמגיעה לניידות עם אלחוט.
אלי ביהם
¶
אני מאוד אשמח לשמוע שהרשת הזאת מוגנת היטב ומנותקת אפילו מהרשת המשטרתית הכללית, ואז יש את השאלה של כמה שוטרים יש להם גישה, אני בטוח שיש חוק כזה או אחר שאני לא מכיר היטב. להערכתי כל דבר שיש אליו גישה של יותר מ-200 איש, אני רוצה להגיד עשרה, אבל נגדיל קצת את המספר, יש ממנו דליפות חוזרות ונשנות, כי בתוך עמנו אנחנו חיים, אנחנו יודעים שכשיש המון אנשים שיש להם גישה, אז אנחנו קוראים בעיתונים את אותם אנשים בביטוח לאומי שמוכרים ב-500 שקל - - -
אלעזר כהנא
¶
יש להם זכות להעביר דרך איזה שהוא מקום שאילתא שמפקידה איזו שהיא שאילתא, ואז משהו אחר משהו אחר ניגש למאגר. חבל לדבר דברים כלליים כשאתה לא מכיר את הנושא. זה לא המקום. גם אל תצפה שאני אספר לך איך - - -
אלעזר כהנא
¶
אבל אי אפשר, אם מחר בבוקר מישהו פה ומצטט ואומר "אבל המומחה אמר", וכשהוא באמת לא יודע - - -
היו"ר אורי מקלב
¶
אלעזר, עדיין פרופסור ביהם לא מזדמן פה בוועדה. אני לא יודע מה - - - לא סתם המשטרה שולחת אותך באופן מיוחד ואנחנו כאן - - -
אלי ביהם
¶
אני מתייחס למה שאני יודע ואני לא רוצה להמציא הרבה המצאות ולעשות הרבה ניחושים, אבל ממה שאני מבין, יש המון אנשים שיש להם גישה, וכשאני אומר גישה, זה האפשרות לשאול שאילתא ולא אכפת לי כרגע אם זה גישה ישירה, אם מתקתקים את זה ישירות למאגר, או שמישהו עושה להם את השירות. עצם זה שיש המוני אנשים, זה מיד אומר מתוך הכרותנו, בתוך עמנו אנחנו חיים, שיש אנשים שתמורת, לא יודע, 500 שקל או דברים אחרים, או כי בא להם לעשות שאילתא בשביל עצמם, עושים שאילתות פנימה, זה נכון פה. היינו בבוקר בדיון של המאגר הביומטרי, זה היה נכון לפי סעיף 16 במאגר הביומטרי, זה יהיה נכון בכל מיני דברים אחרים. אני נורא מוטרד מהמאגר הזה ואני יודע, זה מאגר שלפי החוק וקיים וצריך אותו, וצריך לבחון את הדבר. אני הייתי נורא שמח לשמוע יותר על הדבר הזה, אתם לא יכולים לספר לי, תמצאו את הדרך - - -
היו"ר אורי מקלב
¶
בדיון הבא שיהיה אני מניח שזה יהיה נושא ונוכל שם להרחיב. זה היה ממוקד למה שביקשה חברת הכנסת יוליה מלינובסקי. אנחנו לא מרחיבים בהכל, אבל אני מקבל את זה, בדיון הבא נוכל להרחיב בעניין. זה היה באופן כללי, זה היה יותר באמת לקבל את מה שעושה הממונה על היישומים הביומטריים, רשות הסייבר, לקבל את ההנחיות ואחרי זה אנחנו נפרוש לפרוסות גם בישיבה הבאה.
אלי ביהם
¶
הדבר הזה נורא נורא חשוב, והפרטים הטכנולוגיים שלו מאוד משמעותיים לתוצר. זאת אומרת דיון ברמה מאוד גבוהה, ב-HIGH LEVEL שלא נכנס לפרטים לא תמיד מכסה. ואני מאוד שמח כתוצאה מזה גם על הדיון הזה.
הדבר השני, חלק מזה זה עניין של הציבור וחלק מזה זה חינוך של הציבור או חינוך של הגופים, וחלק מזה - - -
אלי ביהם
¶
אני לא התלוננתי. אני אמרתי משפט מפורש על זה שלא חייבים לספר לי כל דבר. הנקודה שרציתי עכשיו להתחיל זו הנקודה שאומרת שיש לו פה את המגוון הגדול הזה של מאגרים. חלק מהם, יש הגדרות בחוק מי ייכנס אליהם, חלק מהם זה מאגרים שקיימים ואפשר לצאת, חלק מהם זה מאגרים שאני לא יודע בכלל על קיומם ונוצרו בלי לשאול אותי. אם יש מאגר של קופת חולים שמחזיק עלי משהו אני לא הכנסתי אליו שום דבר, לא מתוך מודעות לפחות.
השאלה עכשיו זה איך אנחנו מייצרים את התהליך שאנשים ידעו שיש, ידעו לבקש, אני אזכיר פה את המאגר של צה"ל. איך אני יכול ללכת לבקש לצאת משם? כשאני הכנסתי לשם נתונים זה היה טביעות אצבע על נייר, והיום טוענים שסרקו את זה, אני לא יודע, זה הפך לאלקטרוני. אפשר לעשות גם את השאילתא הפוכה, לא רק מהשם שלי להשיג טביעות אלא גם מהטביעות להשיג את השם שלי, לטעמי זה הפרת אמון אם בכלל העיזו לעשות דבר כזה, אם זה נכון אני לא יודע. אבל איך אני יכול ללכת לבקש? אין. אין אף אחד שיודע איך מבקשים לצאת משם, אם אפשר בכלל. איך אני מייצר לקופת חולים את הדרך שלי לעדכן את זה? איך אני מייצר בגופים האחרים? הייתה לנו פה רשימה נורא גדולה קודם על המסך של אוסף כל הגופים האלה, כמובן לכל אחד מהם צריך לבדוק, אני מאוד מקווה שהגופים אחראיים, ילכו ויבחנו את זה, ועל כל אחד מהדברים. בסופו של דבר איך יוצאים.
דבר אחרון שאני רוצה להגיד, הרבה פעמים הדיון על הנושאים האלה זה דיון של סקיוריטי. איך מאבטחים את המאגר. צריך לזכור שמאחורי המאגר, במאגר נכנסים נתונים של אנשים פרטיים, השאלה היא לא רק איך מאבטחים אותו אלא גם איך שומרים על האינטרסים של האנשים שיכניסו לשם את הדברים, זה לא אותה שאלה כמו סקיוריטי של מאגר, וצריך ללכת לבחון את זה. המדיניות מן הסתם דנה בזה, אבל כמאגרים שקיימים צריך לוודא שהדברים האלה קורים.
היו"ר אורי מקלב
¶
אני מקבל את מה שאתה אומר קודם כל מבחינת האחריות שיש למי ש - - - במאגר, מבחינת המודעות שיש לאנשים, זה נכון, אני לא חושב שיש לאנשים את המודעות בכלל, עוד לפני בכלל שהם, יש את המאגרים עליהם, אבל הדיון שלנו גם מוסיף לעניין הזה ואני חושב שהיית בדיון הקודם כשאנחנו ביקשנו שם, גם בזכותכם, - - - היום שמשרד הפנים לוקח את הזיהוי הביומטרי, אנחנו מבקשים ליידע ולא רק אם אתה מעוניין בתעודת זהות לעשר שנים, אז תשים טביעת אצבע. אנחנו מבקשים יותר מזה. זה חלק מתהליך. הדברים האלה זה דינמיקה שאנחנו צריכים להדביק את מה שקורה, אבל אני קצת רואה אור בקצה המנהרה כשאני רואה שהממשלה החליטה, ואנחנו נדון נבקר ונשמע עוד, כשיגיע הדו"ח, עוד דו"חות שיגיעו כאן לוועדה, ואני חושב שבזה אנחנו מתקדמים. זאת המטרה שלנו בעצם.
יוליה מלינובסקי (ישראל ביתנו)
¶
הכל מצוין אבל מה שמטריד פה, כפי שאני ספרתי עכשיו יש ארבעה גופים, רמו"ט, סייבר, אתם ואתה אדוני, שמתעסקים באותו דבר.
יעל כהן-פארן (המחנה הציוני)
¶
כן, אבל הם הרגולטור, והם מנחים את ההנחיות ואיפה הסייבר לא ברור, הם עוד בודקים את מקומם בזירה, זה יוצר בעיה.
היו"ר אורי מקלב
¶
אני אחרי פגישה שהייתה לי אתמול עם רועי ועם נעמה, ביקשתי שיעשו לי עץ מבנה כזה, ועשו לי, לא הבאתי את זה איתי או שכן הבאתי איתי - - -
קריאה
¶
אמרו לנתי אתה הרגולטור? אז אמרו לא, אני לא הרגולטור, היא הרגולטור. יש פה בעיה. כי יש פה כמה נושאים מעורבבים ולכן יש נקודות ממשק - - - נקודת המבט היא שונה לגמרי.
רועי פרידמן
¶
אדוני היושב ראש, האמירה שלנו שבאה לידי ביטוי במדיניות, היא שזה תחום שכולל מספר דיסציפלינות ולכן מה שאתם מרגישים, אתם מרגישים בצדק שהוא מוסדר על ידי מספר גורמים והמדיניות יוצרת את השלם הזה שבאמת לוקח - - -
היו"ר אורי מקלב
¶
הנה אני מחזיק כאן. זה נכון שגם, מה שאני מציע, ראיתי שגם הגרפיקה של המצגת היא מאוד טובה. אם נוכל לקבל פריבילגיה של חבר ועדת מדע המשתתף בדיון, מה שעשיתם אתמול בצורת המבנה, אני חושב שזה מאוד ישכיל אותנו, זה יעניין הרבה אנשים, גם את הועדה עצמה. מי אחראי ואיך אחראי, על רפאל, שאלתי, מי מעליו, ישירות בוקי כרמל אחראי עליו - - -
היו"ר אורי מקלב
¶
למה, אני הבנתי שראש רשות הסייבר זה בוקי, מקביל אליו זה מטה הסייבר, שהוא מקביל אליו אבל בתוך הסייבר שהוא מעליו, בעצם אביתר גם - - -
יוליה מלינובסקי (ישראל ביתנו)
¶
לא, זה היה מרתק. זה מעניין מאוד, אבל אני חייבת להגיד שאני לא מרגישה עדיין שאני יכולה לישון בשקט מכל מאגרי המידע שיש.
היו"ר אורי מקלב
¶
זה לא מרגיש בזה, שאנחנו מודים על האמת שעדיין הידע שלנו מוגבל בעניין הזה. במאמר מוסגר אני אומר לך, באווירה הסגורה שיש פה, אם תסתכלו על סדר היום של הועדות, ועדת המדע והטכנולוגיה דנה לאורך זמן אבל היום כל הוועדות, כל אחד בהיבט אחר, כולם דנים גם היום בעת הזו, ביום הזה, במספר ועדות דנו במקביל בדברים. היום ההתעניינות בעניין הזה, היום כל הנושא של הסייבר ובכלל הנושא של התקשוב הממשלתי או ממשל זמין מצד אחד, ולאחר מכן הגנות שיש והפריצות שיש והגנה על הפרטיות והמאגרים ועוד ועוד ועוד, היום נכנס, כמה וועדות היום? 4-5 ועדות - - -
היו"ר אורי מקלב
¶
שלוש ועדות, מחר גם יש - - - וזה הנושא היום ולאט לאט גם לומדים את הדברים ואני חושב שיחד עם זה גם תשובה למודעות. אילן לוין בבקשה.
אילן לוין
¶
שלום. אני מהלשכה לטכנולוגיות המידע. התפקיד שלנו זה לייצג את אוכלוסיית אנשי המקצוע בתחומי הטכנולוגיה - - - והמידע, וגם לתת לרשויות ולמי שצריך מידע אובייקטיבי כי אנחנו עמותה ומלכ"ר ואין לנו אינטרס לא כלכלי ולא פוליטי, לתת מידע אובייקטיבי על מה שקורה בתחום הטכנולוגי.
אילן לוין
¶
לפני שהייתי כאן, הייתי 25 שנים בצה"ל ביחידות מחשוב של הצבא, ואחרי זה הלכתי קצת לעסקים פרטיים, אחרי זה הגעתי ללשכה. אני רוצה להתחיל בצפירת הרגעה, אני רוצה להגיד לכולם בתוקף אותו חלק שלי להיות הגוף האובייקטיבי, שאני מכיר את רוב אנשי המקצוע שיושבים כאן ויכולים להיות די רגועים כי האנשים ששומרים עלינו הם כמה מאנשי המקצוע הטובים ביותר שיש בארץ.
אילן לוין
¶
גם ברמה בינלאומית. מנגד, אני רוצה להבהיר למי שלא מעורה בתחום הטכנולוגי, שלהגן על מאגר מידע ומאגרי מידע בכלל ולהגן על מאגר ביומטרי, גם על המאגר הארצי של משרד הפנים, להגן הגנה מוחלטת זה בלתי אפשרי לחלוטין, כל מה שאנשי המקצוע המעולים פה עושים זה להקטין סיכונים לעשות את הפריצה או את הגניבה של המאגר לקשים יותר ליקרים יותר, אבל לבלתי אפשריים הם לא יכולים, ואם למישהו יש ספק הוא יכול לראות את תוצאות הבחירות בארצות הברית, שהולך ומתברר שמישהו במרחק כמה אלפי קילומטרים קבע אותן. הנושא הכי חם בעיתונות המקצועית בתחום הסייבר בשנת 2017 הולך להיות איך לדאוג שפוטין לא יקבע את תוצאות הבחירות בגרמניה, אבל זו אנקדוטה.
אילן לוין
¶
אמרתי, אני לא רוצה להביע דעה בגלל השעה, אני רק אומר לכם עובדות מדעיות. מלחמת הסייבר היא מלחמה בלתי פוסקת בין התוקף בפוטנציה לבין המסכל בפוטנציה ובכל רגע ובכל שעה משתנה המציאות, כל אחד צריך ליזום איך להיות לפני השני. מדינת ישראל היא כבר לא מספר 1 בעולם כמו שהייתה לפני 20 שנה, היא במקום טוב, אבל לא במקום מס' 1 יותר, וקחו בחשבון כשאתם עושים את החקיקה, שהרשויות שקובעות את החוקים ואת החקיקה ואת האכיפה והכל, שבלתי אפשרי להגן על המאגר, - - - למצוא דרכים אחרות להגן עליו.
דבר אחרון שאני רוצה להגיד גם וקצת להרגיע, לא צריך יותר מדי להרחיב את ההגדרה של פרטי זהות ביומטריים. ההגדרה המקובלת בעולם היא שזיהוי ביומטרי הוא זיהוי חד משמעי. שהוא חד ערכי לכן זיהוי ביומטרי אמיתי זה דנ"א ורשתית העין, ודברים כמו אלה. לכן זה שמשרד התחבורה או משרדים אחרים מחזיקים תמונות, זה עוזר מאוד לזהות. זה לא זיהוי חד ערכי, כשזה לא סוד.
אילן לוין
¶
אתה צודק, התקן, אני יודע, החוק יכול לקבוע מה שהוא קובע, אבל גם מאגר התמונות המשפחתיות שלך בטלפון הסלולארי שלך - - -
היו"ר אורי מקלב
¶
אילן, לא חייב להיות שהגדרה של ביומטרי צריכה להיות משהו אוניברסלי. יכול להיות שכל גוף, כל מדינה יכולה להגדיר לעצמה מה היא כוללת בביומטריה. אבל המציאות היא שבחוק בתמונות פנים, אמנם כפי שאתה אומר, הם לא נותנים 100%, ומשתנים, ועוד דברים לאורך זמן, שזה גם, אבל בסופו של דבר אנחנו קוראים לזה זיהוי ביומטרי. גם הטביעות אצבע שזה נקרא, וברחוב תשאל כל מי ש - - -
היו"ר אורי מקלב
¶
אני שומע היום דברים אחרים. מה זה זיהוי? יכול להיות שזיהוי אצבע היא טביעה, אבל האפשרות להגיע, אתה לא תמיד יכול להגיד מהזהות לטביעת האצבע. יש הרבה משתנים בעניין הזה והרבה מפריעים לעניין הזה. גם כשאתה בא ושם את טביעת האצבע שלך עדיין זה לא אומר שאתה יכול לקבל זהות של 100% לא בגלל שטביעת האצבע היא אולי לא מזהה מקסימלית, אבל לא תמיד אתה מגיע להשוואה. אבל אנחנו לא שם.
רק שאלה קצרה, ומיד אני אתן למשרד התחבורה. האם אתה, אין כאן ייצוג לגופים הפרטיים, אני מבין שאתה מתעסק עם הגופים הפרטיים?
היו"ר אורי מקלב
¶
גופים פרטיים, כולל גופים מסחריים. האם היום במדינת ישראל הגופים הפרטיים, היום הם מודעים לזה ועושים את מה שצריך לעשות באופן כללי בנושא הגנה על סייבר, על מידע, על מאגרים?
אילן לוין
¶
מהגופים הגדולים עושים, חלק מהגופים הגדולים הפרטיים עושים הרבה מאוד. יש לנו ספקות אם זה מספיק, אני מדבר על גופים כמו בנקים או חברות ביטוח שמחזיקות מידע רגיש מאוד, לדעתנו הם לא עושים מספיק, אבל הם עושים הרבה ועוד יותר מזה הם עושים - - -
אילן לוין
¶
המידע שלך שבבנק או בחברת הביטוח או בביטוח בריאותי סיעודי, אם אתה שואל מה המידע שמוגן, הוא הרבה פחות מוגן מאשר הגופים שגדעון ואבנר ממונים עליהם.
היו"ר אורי מקלב
¶
זה חלק, אבל למשל אני אומר דוגמה ששמעתי, שיש ניסיון פריצה וניסיון לפגיעה נקרא לזה, בגופים וולונטריים, עמותות רווחה, שיש להן מידע גדול מאוד ומידע רגיש, מידע מאוד מאוד רחב שכולל הרבה דברים. מה הם מקבלים, יש לנו ממשק איתם? הם מקבלים הדרכה? אנחנו פונים אליהם? אנחנו נותנים להם? אנחנו מיידעים אותם בזה?
אילן לוין
¶
התייעצות לפעמים כן, אבל הפעילות האפקטיבית היא נמוכה מאוד, בעיקר בגלל העלות הגבוהה של לעשות משהו אפקטיבי.
עומר פרידמן
¶
כחלק מהפעילות השגרתית אנחנו מחפשים מידע גלוי ברשת האינטרנט, בכל מיני מקומות. איתרנו בחצי השנה האחרונה עשרות חברות פרטיות, חלקן וולונטריות, שבעצם תקלת אנוש של טכנאי שחיבר את המאגר שלהם לרשת האינטרנט חשפה מידע, מה ששמעתם מקודם, מידע על ילדים מאומצים שאנחנו איתרנו, עמותת האימוץ הגדולה בישראל. משרדי עורכי דין, רואי חשבון ועוד עשרות רבות ארגונים, אבחונים דידקטיים וכולי, בין אם זה גוף קטן-בינוני, שתקלת אנוש בטח חשפה את כל מאגר המידע לרשת.
הטענה היא שאין תקציב, בדרך כלל היא זאת שמונעת - - -
גילי בסמן ריינגולד
¶
בוודאי. וגם תחת התקנות החדשות, גם התקנות החדשות יחולו על כל הגופים. כשיש איזה שהוא ניסיון באמת לתת הקלה לאותם גופים קטנים וחסרי משאבים, אלא אם כן באמת הם מחזיקים מידע מאוד רגיש שאז אין מקום להקלות.
עומר פרידמן
¶
אנחנו מיד פונים אליהם לסגור קודם כל את הפרצה, אנחנו גם בודקים שזה נסגר, ומנחים אותם איך לתקן את הליקויים.
היו"ר אורי מקלב
¶
בעצם אנחנו עדיין רחוקים, אבל אנחנו בכיוון הנכון, כך זה נשמע. בישיבה הבאה שנעשה נשמע קצת - - - ואולי גם - - - אני מרגיש שהחובה הציבורית שלנו גם לייחד דיון לא רק למשרדי ממשלה וגופים ציבוריים גדולים. אני מרגיש שהחובה הציבורית שלנו גם במגזר הפרטי, כנ"ל הוולונטרי, בוודאי. אין ספק שיש הרבה מידע והרבה דברים רגישים והעובדה היא שגם נעשו ניסיונות גם מחוץ למדינה, לא בתוך המדינה, מכל מיני סיבות שאין כאן, מכל הסיבות שיש. אני לא רוצה להזכיר שמות אבל גוף גדול מאוד במדינה שכולנו מכירים אותו, גוף וולונטרי מאוד שיש לו מידע מאוד מאוד גדול, בצורה כזאת שכל אדם שלישי קיבל שירות שם, בסדר גודל כזה, שיש ניסיונות כל הזמן והם כן משקיעים בזה, אבל יש ניסיונות מגופים חיצוניים, לאו דווקא במדינה, גופי טרור דווקא, להיכנס, כי הוא ידוע כגוף שמחזיק בו הרבה מידע, נותן שירותים נצרכים מאוד. הוא גם יעד. וכשזה הגיע זה היה קצת מאוחר, הם תיקנו את הנזק. אבל זה הגיע, השלב הראשון היה מאוד לא נעים. אחרי זה נעשו עוד מאמצים.
כל אחד מכם אחראי על גופים כאלה, אבל אנחנו כאנשי ציבור צריכים להיות מודעים לעניין הזה וגם לקחת אחריות. נגיע למסקנות שצריך לתת מידע, לפרסם, עוד דברים, ליידע. הדיונים האלה, אני מרגיש שזה תורם לחלק מהמאמץ ליידע. משרד התחבורה בבקשה.
צור אהרון
¶
הגישה שלנו היא שמכל מלמדיי השכלתי. אנחנו שמחים שחלק מהנציגים שיושבים פה באו, ביקרו אותנו, כתבו נהלים. צריך לדעת שהמאגר של משרד התחבורה הוא כנראה הוותיק ביותר, הוא הוקם ב-1993, ואנחנו שמחים שסוף כל סוף יש גופים שיכולים להנחות אותנו, יכולים לקבוע תורה, יכולים לבדוק אותנו ולהמליץ לנו איך לנהוג על מנת שהמאגר שלנו יהיה מוגן יותר, ואנחנו שמחים לשתף פעולה עם כל הגופים, ארבעת הרגליים האלה שיש פה, כל אחד בתחומו הוא. אנחנו מבצעים איתם נהלי עבודה, חלק חדשים יותר, חלק ישנים יותר, ולאט לאט מיישמים את כל ההנחיות שלהם על מנת לעמוד בתקינה, בתפיסה ובכל אחד מהדברים. אני יכול להגיד שאנחנו שמחים על שיתוף הפעולה, שמחים על ההנחיה, שמחים על הבקרה, זה רק עוזר לנו לשפר את רמת ההגנה על המאגר שלנו.
היו"ר אורי מקלב
¶
אני אגיד לך למה אנחנו הרבה לוקחים את הדוגמה ממשרד התחבורה. קודם כל אני חושב שאתם ייחודיים, אני לא מכיר חוץ מהצבא, - - - שמחזיקים במאגר ביומטרי כזה גדול. אם אנחנו קוראים לזה מאגר ביומטרי, ודווקא הגופים שישתתפו בדיונים האחרים, נקרא לזה גופים שאני לא יודע אם נלחמים, אבל מעוררים על נושא של מאגרי מידע ומאגרים ביומטריים, הביאו כדוגמה בעוד אתם מלינים, אתם באים ועכשיו מחוקקים חוק על משרד הפנים או רשות האוכלוסין, איך אתם מתעסקים עם המאגר הביומטרי שיש לכם, יש מאגרים ביומטריים גדולים מאוד, בסדרי גודל גדולים מאוד כמו רישיונות נהיגה, שאף אחד לא יודע מה קורה איתם, והאם הם נשמרים, האם הם מקבלים את אותה הגנה שגופים אחרים עושים אותה, האם משרד התחבורה פועל בעניין הזה, מי יש לו הרשאה, כמה אנשים מטפלים בזה, האם ההגנות הן רגילות של כל מידע, או שבזה נותנים הגנת יתר, מתייחסים לזה כאל מאגר ביומטרי או סתם כמאגר מידע. אני חושב, כך אנחנו חושבים שצריך להיות שינוי בין מאגר מידע רגיל שהוא גם מאוד חשוב, לבין מאגר ביומטרי.
צור אהרון
¶
מבחינתנו אנחנו מתייחסים למאגר במלוא כובד הראש והמשקל, נותנים לו את הכלים הטובים ביותר שקיימים מבחינתנו בשוק. גם קצת - - -
היו"ר אורי מקלב
¶
סליחה שאני קוטע אותך, לפי שפת הפנים שלכם אני לא בטוח שהבנתם אותי. אני אתן לכם דוגמה שהביאו. ברגע שיש מאגר פנים, אצלכם גם כל המידע, כל הנתונים, צמודים לאותו מאגר נתונים, והיום בטכניקה הכי לא מתוחכמת ולא חדישה, לוקחים אסיפה, הפגנה, כינוס של מספר אנשים, של 100 אנשים, מצלמים אותם בצילום קר שעובר מיד, בטכניקה פשוטה מאוד, ומי שמחזיק את מאגר המידע שלכם יודע מי, לכל מי שיש רשיון נהיגה, בהנחה של-60%, 70% יש שם, 60% מהאנשים שהשתתפו, יודעים עליהם את הפרטים, מי הם ואיך התכנסו. זה דוגמה שהביאו. גם אומר נכון פרופסור אלי ביאר. צבי, אני מגזים בדברים שלי?
צבי דביר
¶
לא, אבל האמת היא שמשרד התחבורה גם כן, הבעיה של המאגר של משרד התחבורה שאנחנו יודעים שהמאגר ככל הנראה עבר לרשות הביטחון ללא הסדר חוקי.
היו"ר אורי מקלב
¶
זה אתה מעלה נושא אחר. אני מדבר איתך על עצם המאגר, כשמאגר כזה צריך להיות מאובטח במשנה תוקף. אם היו רק נתונים, דבר כזה לא היה השוואה למה לעשות. אבל כשיש לך מאגר פנים, יש לך תמונות פנים גם אם ברמה כזאת או אחרת, בסופו של דבר יכולים להגיע להרבה מידע ועוד דברים כאלה. אדם שמבקר בקניונים, לא משנה, אתה יכול להפליג בדמיון לאן - - -
רפאל פרנקו
¶
המאגר הזה הוגדר, כבוד היושב ראש, אכן כרגיש ואחד הרגישים שיש במדינת ישראל. וחשוב להגיד, לאורך כל הדרך קיבל תשומות.
היו"ר אורי מקלב
¶
המאגר לא הוכרז כאחד המאגרים הרגישים. טוב. אם מישהו רוצה להתייחס, ממש קצר, ליד השולחן. מישהו עוד ביקש ולא נתתי לו?
אורן אלימלך
¶
ראש אגף סייבר במשרד התחבורה. חשוב לציין ופרנקו ציין את זה שהמאגר הוגדר כמאגר על, ברמה הזאת, והוא קיבל לזה התייחסות, הוא עבר תהליך של ביקורת קפדנית של שירות הביטחון. אנחנו פועלים לפי הנחיות אבטחת מידע מזה שנים רבות והמאגר מוגדר כמאגר חיוני, רגיש, והוא מקבל את התשומות הנאותות. מעבר לזה מתבצעים צעדים נוספים, אנחנו עובדים בצמוד ובשיתוף גם לקצין האחראי שלנו, שזה השב"כ וזה עובר גם לרשות הסייבר כחלק מתהליך ההסדרה של המעבר, וזה מלווה.
צור אהרון
¶
לרשויות, המידע שאנחנו נותנים, א- הוא על פי חוק, וב- מה שאנחנו נותנים להם זה כתובת של בעל הרכב.
צור אהרון
¶
אנחנו משתפים לצורך אכיפה את כל המידע שלנו למשטרת ישראל. משטרת ישראל היא גוף שמבצע אכיפה בדרכים. אין גוף אחר חוץ ממשטרת ישראל. אם לא נעביר להם את המידע בדבר מי מורשה לנהוג, ומי לא רשאי לנהוג, איך היא תבצע אכיפה?
היו"ר אורי מקלב
¶
אבל כשיש לך למשל, אתה רוצה אזור מוגדר כנקי מזיהום רכב. יש שם מצלמות, המצלמות האלה או גם בכלל, הרשות המקומית מקבלת את ה - - -
צור אהרון
¶
העבודה היא משותפת עם המשרד להגנת הסביבה. כרגע יש פרויקט עם עירית חיפה, יש שם פרויקט של להגדיר אזור אויר נקי. מה שאנחנו מייצרים זה לפי הקטיגוריות שלהם, קובץ של מספרי רכב או שרשאים לנוע או שלא רשאים לנוע, הם לא מקבלים את הפרטים. במידה ויש כלי רכב שלא רשאי לנוע הוא מקבל את אותו רעיון, הוא מקבל קנס. והוא לא מקבל מעבר לזה מידע.
היו"ר אורי מקלב
¶
אני רוצה להעיר ממשהו שקיבלתי עכשיו תוך כדי דיון, שאי אפשר להגדיר כל עבריין חניה עבריין תנועה, לא נפליג בעניין הזה. עבריין חניה, זה עדיין בכחול לבן לא שילם את הכרטיס לרשות המקומית עדיין זה לא עושה אותו עבריין. אז נכון שהוא צריך לקבל את הקנס שלו, אבל בוא לא נהפוך את כל ה - - - אחרת נצטרך לפזר את הישיבה עכשיו, אם אנחנו לא יושבים עם עבריינים. מי שעבר עבירת חניה קיבל דו"ח, עשה עבירת תנועה, לא נפליג אבל זה תוך כדי.
היו"ר אורי מקלב
¶
כשאני הייתי נציג, סגן ראש העיר בירושלים, בשלב מסוים הגשתי הצעה לחנינה מסוימת, להסדרים מסוימים, אתה יודע מה שעשו באגף החניה? מיד בדקו, אורי מקלב, כמה דו"חות. אני גם מוכן להסתכן ושתבדקו גם מה עבירות התנועה שיש לי בכלל, אם יש לי. אחרי למעלה מ-40 שנים של נהיגה, ואם יש לי גם עבירות חניה, יותר מאוחר אתן לך את המספר ותבדוק. מה זה יתן.
היו"ר אורי מקלב
¶
אני רוצה לציין, ואני יודע את זה מפניה שהייתה לי בעניין הזה, של מישהו שעובד במשטרת התנועה דווקא וניסה לברר, מישהי שעובדת, משהו שקשור למשפחה שלה, אינפורמציה. אותו יום היא נשלחה מהמשטרה מיידית. זה לא היה משהו - - - היא רצתה אינפורמציה על משהו - - - אין ספק שהדברים האלה, אנחנו יושבים כוועדה - - - ישבתי עם הבנקים, האם כל פקיד בנק יכול לדעת. אנחנו היום צמצמנו מה קורה אצלי, איפה קורה אצלי, כל אחד נכנס. אני רוצה להאמין שיש בקרה במערכת ה- - - על כניסות ועל - - - ועל מי עשה, והאם הוא מוסמך ולמה. וכולי. משתדלים, אבל להגיד לך שהדברים לא - - כל דבר צריך תמיד תיקון וצריך זירוז וצריך לחדש אותו, כמו כולנו. כולנו בסופו של דבר בני אדם, ההסתאבות קיימת והשגרה קיימת. יש מישהו שעדיין לא התייחס? בבקשה צבי.
צבי דביר
¶
אני מהתנועה לזכויות דיגיטליות. משרד התחבורה זו דוגמה טובה לשאלה של האם צריך לאגור מידע, או מידע מיותר שלא צריך לאגור אותו והוא נאגר. אז באמת כולם מסתכלים על המאגר הביומטרי של רישיונות הנהיגה שהוא בחזית המאגרים, אבל יש מאגר, וסליחה שאני אולי מרחיב כאן את ההסתכלות, יש למשל את המאגר של כל הנסיעות שאנשים עשו ברב קו, כי פשוט משרד התחבורה אמר "טוב, אפשר כבר לשמור את זה". למאגר הזה כל פקיד שירות שיכול לתת שירות, יכול להסתכל על כל היסטוריית הנסיעות מאז ומעולם. ועקרונית, זה פשוט מידע שלא היה צריך להישאר. זה חוזר פשוט לשאלה של בואו לא נשמור מידע שאינו - - -
היו"ר אורי מקלב
¶
את הדיון הזה באמת הקדשנו יותר לביומטרי. נאמר מילות סיכום, בעניין הזה אני מודה לכל מי שהשתתף, הצגתם מצגות והחכמתם אותנו בעניין הזה. בישיבת ההמשך אנחנו נשלב את זה כבר עכשיו בנושא המאגרים, נשלב את זה במסגרת הדיון שאמור להיות עוד שבועיים, נושא השמירה על המאגרים. איך הכותרת של הנושא?