ôøåèå÷åì ùì éùéáú åòãä

ôøåèå÷åì ùì éùéáú åòãä

àåîðéè÷

2018-03-18OMNITECH



הכנסת העשרים

מושב רביעי

פרוטוקול מס' 161

מישיבת ועדת המדע והטכנולוגיה

יום שלישי, ה' באדר התשע"ח (20 בפברואר 2018), שעה 13:00

1. הצעה לדיון מהיר: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי, של חה"כ יוליה מלינובסקי (מס' 8999)

2. הצעה לדיון מהיר: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי, של חה"כ יעל כהן-פארן (מס' 9001)

3. הצעה לדיון מהיר: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי, של חה"כ שרן השכל (מס' 9062)

חברי הוועדה: אורי מקלב – היו"ר

יעל כהן-פארן

שרן השכל

מרגלית לוי - יועצת משפטית לרשות הביומטרית, משרד הפנים

עצמון מינס - ראש רשות, הרשות לניהול המאגר הביומטרי

עמיר אריהן - מנהל אגף מערכות מידע, הרשות לניהול המאגר הביומטרי

מאיר גופשטיין - ראש אגף הגנת הפרטיות, רשות המאגר הביומטרי

עידו תלמי - מנהל אבטחת מידע, רשות האוכלוסין וההגירה

עירית ויסבלום - לשכה משפטית, רשות האוכלוסין וההגירה

גדעון קונפינו - מנהל אבטחת מידע וסייבר, משרד ראש הממשלה

עמנואל אליסף - ראש אגף בכיר, פיקוח, מערך הסייבר, משרד ראש הממשלה

רועי פרידמן - מ''מ ר' היחידה להזדהות וליישומים ביומטרי, משרד ראש הממשלה

נעמה בן צבי - יועצת משפטית, משרד ראש הממשלה

עלי קלדרון - הממונה על האכיפה המנהלית, הרשות להגנת הפרטיות, משרד המשפטים

אלכסנדר בליי - המדען הראשי, משרד המדע והטכנולוגיה

יוסי קאליפא - מנהל תחום מדעי החיים, משרד המדע והטכנולוגיה

חיים פלחצנסקי - ממונה אבטחת מידע, הלשכה המרכזית לסטטיסטיקה

ענת לוי

ס.ל., חבר תרגומים

1. הצעה לדיון מהיר: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי, של חה"כ יוליה מלינובסקי (מס' 8999)

2. הצעה לדיון מהיר: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי, של חה"כ יעל כהן-פארן (מס' 9001)

3. הצעה לדיון מהיר: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי, של חה"כ שרן השכל (מס' 9062)

נפתח, ברשותכם, ישיבה של ועדת המדע והטכנולוגיה. היום יום שלישי, שנכפל בו פעמיים כי טוב, ה' באדר תשע"ח, ה-20.2.2018. על סדר יומנו ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי. זה בעצם דיון מהיר של חברת הכנסת מלינובסקי, שהיא לא נמצאת פה ובאמת היא לא מרגישה טוב, אנחנו מאחלים לה רפואה שלמה. הנושא הזה מאוד חשוב לה, היא הציעה את זה ויזמה את הדיון יחד עם חברת הכנסת יעל כהן-פארן וחברת הכנסת שרן השכל, שבהמשך תיכנס. אז באין אף אחת מהמציעות זה התפקיד שלך להציג, חברת הכנסת יעל כהן-פארן.

אני רק רוצה לתת את המתכונת של הדיון, כך אני מרגיש בדיון הזה, שהוא לא דיון של עריפת ראשים וגם לא טענות שיש לכם צורך להתגונן. אנחנו בעצם, מה שאני מבין, רוצים להגיע לבירור העובדות, כדי שנדע לתקן, אם צריך לתקן, ואם צריך הפקת לקחים. לפעמים אני מרגיש שאנשים נבהלים וכשמתגוננים אומרים משהו אחר וכשמסבירים את העובדות זו צורה אחרת של דיון. המתכונת של הדיון שאני מבקש באמת היום שאנחנו נשתמש בה, או נדון בה, זו מתכונת כזו של בירור העובדות. חשוב לנו להגיע לבירור העובדות וחשוב לנו גם שאם יש תקלות נתקן אותן , אם לא תיקנו, וגם הפקת לקחים לגבי העתיד. בבקשה.

תודה. אז קודם כל תודה, אדוני היושב ראש, על קיום הדיון, באמת בלוח זמנים מאוד ראוי להערכה. אני יודעת שהוועדה עמוסה.

את חלק מאלה שמעמיסים, את שותפה ל - - -

כן, לעומס.

שיידעו, כיושבת ראש של ועדת המשנה של הוועדה את פעילה מאוד וגם טובה מאוד, יעילה מאוד.

תודה. אז לפני כחודש וחצי, משהו כזה, נחשף ליקוי משמעותי באבטחת שרתי מערכת זימון התורים של מינהל האוכלוסין. כל אדם היום שרוצה להגיע ולהנפיק תעודת זהות או דרכון צריך להזמין תור מראש, אגב, משהו שבאופן אישי חוויתי אותו כמשימה בלתי אפשרית, אבל נשים את החוויה האישית שלי בצד. אז מי שזימן את התור הזין את המספרים, תעודת זהות, שם, טלפון, ובעצם פושעי סייבר, בוא נגיד ככה, לא עשו עבודה חוקית, אבל בקלות רבה נכנסו למאגר הזה וקיבלו את כל הרשימות של כל האנשים שנרשמו כדי לקבוע תור ומספרי הטלפונים שלהם וכנראה פרטים נוספים.

זו הייתה כתבה שנחשפה בכלכליסט לפני, כמו שאמרתי, כחודש, בתחילת ינואר, ובעצם מזמיני התורים של רשות האוכלוסין וההגירה היו חשופים, כל פרטיהם האישיים, כיוון שהשרת כנראה לא היה מאובטח בכלל, אחרת איך האקרים, בוא נגיד ככה, לא מתוחכמים, לא ממשלה זרה שיכולה להפעיל גורמי ביון מתוחכמים, אלא ממש האקרים חובבנים - - - זה ממש ליקוי חמור שמעלה שאלות לגבי היכולת של רשות האוכלוסין במשרד הפנים לאבטח מאגרים. כמובן יש לה מאגרים מאוד רציניים וסודיים, כמו שאנחנו יודעים, דיברנו כאן רבות על המאגר הביומטרי, האם באמת נעשית עבודה רצינית ונכונה של פיקוח ובקרה על מערך אבטחת המידע, גם המאגר הזה וגם מאגר המידע הביומטרי.

זאת שאלה אחת שעליה הדיון. והשאלה השנייה, שגם הוא נתון שפורסם בתקשורת, שהאחראית על אבטחת המידע במאגר הביומטרי, לא במזמיני התורים, הועסקה כעובדת של חברת קבלן ולמעשה זה בניגוד לחוק כי החוק קובע שמי שעוסק במאגר הביומטרי, בטח באבטחה שלו, אחראית על אבטחת המידע של המאגר הביומטרי, חייב להיות מועסק על ידי המדינה, עובד מדינה. זה בחוק, עד כמה שאני יודעת, כראש מערך האבטחה. הסוגיה הזו נידונה בבית דין לעבודה ואותה עובדת, שלא התקבלה להיות עובדת קבועה תובעת את זכויותיה ולוחמת על מקומה, אבל בזה התגלה למעשה שבמשך שלוש שנים, אם לא יותר, היא הייתה מועסקת כמנהלת אבטחת המידע כשהיא עובדת קבלן.

אלה שתי הסוגיות שביחד הן נושא הדיון כאן. בעיניי הן מעלות ספקות באמת כבדים ושאלות רבות על ההתנהלות של הרשות ומשרד הפנים והיכולת לאבטח בצורה אחראית ובטוחה את המאגר הביומטרי שבו יש את הפרטים האישיים ביותר של כל אזרחי ישראל. תודה.

תודה רבה. הצגת את זה קצר וממוקד בעניין. חשוב לנו לדעת איזה פרטים נחשפו, אנחנו יודעים שממספרי טלפון, מה עוד הפרטים שנחשפו. אני רק רוצה לציין, זה גם נכון, לתת את הקרדיט, אתם גם כותבים בפנייה שלכם בדברי ההסבר שזו כתבה שפורסמה בכלכליסט.

כן, ובדה-מרקר הכתבה השנייה.

הכתבה השנייה בדה-מרקר. נמצא כאן מישהו מהעיתון הזה? מי ההאקר שמצא את זה.

לא הזמנו אותו.

לא נראה לי, הזמנו אותו?

לא, אבל הוא כותב כאן בתוך הכתבה, ראיתי שככה - - -

השם שלו מוזכר, רן ברזיק.

הוא לא היה האקר, הוא בסך הכול השתמש בטעות, בגלל כתובת IP או - - -

קוראים לו רן ברזיק. הוא לא פה, אבל הוא בהחלט מתעסק בתחום הזה הרבה כאיש אבטחת מידע.

הוא אומר שהוא הגיע לזה לא מתוך מטרה שלילית - - -

במקרה. הוא הגיע במקרה.

במקרה, בטעות. צריך לשמור על בן אדם, לא סתם להפליל מישהו.

לא, חס וחלילה, לא להפליל.

רבותיי, מי מתחיל אצלכם ברשות? שם ותפקיד.

צהריים טובים. שמי עידו תלמי, אני מנהל אבטחת המידע ברשות האוכלוסין וההגירה וגם אחראי וממונה הגנת הסייבר ואני אענה למה שנאמר בפתיח לגבי תקלת המסרונים. אז קודם כל אני אנסה טיפה לדייק בעובדות של מה שאנחנו מבינים ממה שקרה. דבר ראשון, מדובר על תקלה, בהחלט תקלה ותקלה תפעולית שחשפה לאותו בחור מספרי טלפון של אזרחים, שמות לשכות וכתובתן ומהות זימון התור שהאזרח ביקש.

מכיוון שחברת הכנסת יעל כהן-פארן לא הצליחה להגיע למצב כזה ששולחים לה מסרון, אני גם לא ניסיתי, איך זה עובד? אני מטלפן - - -

מיד אני אסביר.

אולי תסביר לנו כדי שנדע איך זה עובד. מה המסרון בעצם אומר? 'אתה מוזמן ביום זה וזה ללשכה זו וזו'.

כן.

וזאת בעקבות פנייה שלי דרך הטלפון או אישית?

לא, באינטרנט.

אני אסביר את התהליך מהתחלה כדי שיהיה ברור.

כדי שיהיה יותר ברור, יש לנו גם אנשים שצופים בנו, חשוב לתת את התמונה המלאה.

ככל שאני יכול להיכנס לפרטים, מפאת הרגישות של העניין, הרגישות הביטחונית של מערכות הרשות.

ביטחונית או אבטחתית?

תציג אפילו ברמה של מה האזרח חווה, זה לא רגיש, זה כל אחד יכול לחוות.

בהחלט. לאזרח ישנה אפשרות היום להגיע דרך הסלולר או דרך האינטרנט אל אתר של זימון תורים שמפורסם גם באתר gov.il, באתר הממשלה וגם במקומות אחרים. דרך האתר הזה הוא קובע תור, הוא מכניס את פרטיו האישיים שכוללים מספר טלפון של מבקש השירות ותעודת הזהות. הנתונים נעים דרך האינטרנט לממשל זמין, שהוא השער של רשות האוכלוסין לעולם ומממשל זמין זורמים לתוך המערכות הפנימיות של רשות האוכלוסין וההגירה. שם נקבע התור במערכות שלנו. בתגובה לדבר הזה המערכת מוציאה הודעה מאוד לאקונית ופשוטה שכוללת, מבחינת מידע ביוגרפי, אך ורק את מספר הטלפון של האזרח. לא כוללת לא שמות, לא תעודות זהות, לא כתובות ולא שום מידע אחר.

את הטלפון הזה שהמערכת מוציאה אנחנו שולחים דרך חברה חיצונית לחלוטין שלא קשורה בשום צורה ובשום תקשורת מחשבים, בשום אופן - - -

איך אתם שולחים את זה?

אנחנו מעבירים את זה דרך האינטרנט, מעבירים להם את ההודעה, כולל מספר הטלפון. אז אם אתה קבעת תור ללשכת באר שבע, לצורך השיחה - - -

אבל זה ודאי שלא דרך דו סטרית, זאת אומרת מי שנכנס לאותה חברה והתברר שנכנס בקלות הוא יכול עכשיו להיכנס - - -

אין שום קישוריות באשר היא. אותה חברה, אם היא רוצה להיכנס למערכות הרשות היא כמו כל אדם בעולם שיעבור את כל מחסומי ה - - -

אוקיי. ולה עובר מספר הטלפון עם?

עם כתובת הלשכה, שם הלשכה והשירות שאותו הוא הזמין. זה יכול להיות בקשה לחידוש דרכון, בקשה לתעודת זהות, או אחד מעוד שבעה שירותים שאנחנו מאפשרים.

למה אתם עושים את זה דרך חברה ולא עושים את זה לבד? כבר בדקתם הכול, אז מה? טוב, ספר לנו.

זו שאלה טובה. בעיקר מדובר על נושא של עלויות, הפחתת עלויות - - -

פיתוח של היכולת הזאת?

לא פיתוח. קיימת בממשלה יכולת לשלוח, העניין הוא שנכון להיום אנחנו מבינים שזה משהו בערך פי חמישה בעלות מאשר אם נעבוד עם חברה אזרחית.

איך זה יכול להיות? סתם מעניין אותי, מי גוזר פה קופון? איפה הרווח של החברה, איפה הרווח של משרד ממשלתי ש - - -

לממשלה עולה יותר.

זה לא עניין של - - -

אנחנו רואים את זה בכול, למה האוצר מפריט כל הזמן? בגלל שמיקור חוץ הוא הרבה יותר זול, הוא עולה למערכת הרבה יותר זול.

בסוף דבריי אני אתייחס גם - - - אני גם ממונה על הגנת הפרטיות, בהחלט הייתה פה פגיעה בפרטיות, אנחנו לא מתעלמים ממנה, אבל אנחנו לא חושבים שעוצמתה כעוצמת הפרסום בעיתון, אבל זה יהיה בסוף דבריי, ברשותכם.

החברה הזאת הייתה חשופה ולא היו שום אמצעי הגנה.

בדיוק. הסיפור הוא, אני לא יכול להיכנס מפאת זה ש - - - יש לי את הדוח, אני עוד שנייה אספר גם מה עשינו. יש לי פה את הדוח, אני לא יכול להיכנס לפרטים כי בסופו של דבר זו חברה מסחרית, אבל שרתי החברה לא היו מאובטחים כראוי ואותו בחור שהזין הצליח להזין לחברה וכמובן, כמו שנאמר, ליירט את המידע.

בעקבות התקלה הזו, וזה חשוב לציין, כבר יום אחרי שנודע לנו על התקלה, אנחנו שלחנו צוות תגובה לחברה הזאת שבדק את כל מערך החברה, את כל מערך ה-IP של החברה וכבר שם נתן להם הנחיות לביצוע. אנחנו בתהליכים היום של הפסקת הפעילות עם אותה חברה והעברת הפעילות שלנו לחברה מקבילה.

למה? בגלל בעיות אבטחה, או בגלל שהחלטתם - - -

אין לנו טולרנס לבעיות כאלה, אנחנו לא מוכנים שחברות שאנחנו עובדים איתן, גם אם זה היה בשוגג וגם אם זה היה בחוסר תשומת לב או בזדון - - -

סדר גודל של כמה, רשומות של כמה אנשים, של כמה טלפונים?

בזמן החשיפה אנחנו מדברים על בסביבות 150,000 אס.אמ.אסים שנשלחו בזמן החשיפה, שהיא מתחילת דצמבר 17' ועד - - -

כמה אס.אמ.אסים הרשות שולחת בחודש? לקבל אינדיקציות.

קצת קשה לי לענות על השאלה הזאת, כי אנחנו עובדים עם עוד ספק בנושא הזה. אין לי את הנתון ה - - -

אבל ה-150,000 זה בערך חודש? זה המספר של האס.אמ.אסים - - -

התקלה להבנתנו התחילה ב-11.12.17 והסתיימה ב-3.1.18, סדר גודל של 20 יום.

למה אתה מתייחס כתקלה? שמישהו נכנס או ש - - - השאלה שלי היא כזאת, אתם התחלתם את המהלך ביוני, ב-1 ביוני אפשר היה להתחיל להזמין תורים, אז במשך כל חצי השנה הזו הייתם מודעים לבעיית אבטחה בחברה הזאת או שפשוט לא הייתם מודעים לה?

לא, לא היינו - - -

המצב היה אותו מצב. למה הוא מתייחס לתקלה? התקלה היא עצם זה שמישהו נכנס.

תקלה זה שהיה אפשר להיכנס.

התקלה לא נבעה מתחילת ההתקשרות עם החברה, אני רק אומר - - -

איך אתה יודע?

יש לי פה את הדוח.

הדוח שהם עשו? על מי נכנס אליהם?

הדוח שאני עשיתי.

לא, אתה יודע מי נכנס ומתי?

לא, אני יודע מתי הם העלו את השרת הבעייתי שיצר את התקלה. יום אחרי האירוע שפורסם אנחנו שלחנו צוות מטעמנו שהיה שם - - -

כמה זמן השרת היה בשימוש?

זה מה שאמרתי, מ-11.12.17 ועד 3.1, כלומר סדר גודל של 20 יום.

ב-20 יום יש לכם 150,000 מסרונים רק בחברה אחת?

150,000 מסרונים.

זאת אומרת אנחנו מדברים על כמויות גדולות מאוד.

כן. חשוב לציין שזה לא רק מסרונים שאנחנו מודיעים לאנשים על התור, אלא זה גם מסרונים שאנחנו מדברים על זה ש'התור שלך הוקדם', 'התור שלך התאחר', 'אתה ממש קרוב' - - -

לאותו אחד יכול להיות כמה מסרונים, זה לא חייב להיות 150,000 איש.

אמת.

בהוראות העתידיות, או לחברות אחרות, איך אתם מקבלים, כל כמה זמן שומרים? כמה זמן ההוראה שלכם לשמור על אותם - - -

הם מוחקים מיד. גם הסתכלנו ובדקנו את זה, המידע בחברה, המידע שנשלח לאחר שהוא יצא כאס.אמ.אס נמחק משרתי החברה. אין כזה דבר לאגור מידע בשרתי החברה.

איך אתם יודעים את זה?

אנחנו יודעים את זה כי בדקנו את זה. ביום ששלחנו - - -

איך אתם היום מפקחים על חברות אחרות שהם לא לוקחים את מספרי הטלפון האלה ומשתמשים לצרכים אחרים, צרכים מסחריים, יכול להיות? האנשים האלה, נניח אם זה דרכונים, האנשים יודעים שהם רוצים לנסוע לחוץ לארץ - - -

חברת תיירות.

ואז חברת תיירות, ואז מלונות ובדיוטי פרי, הם לוקחים את המאגר הזה ומציעים הצעות מסחריות.

חברות שמציעות הלוואות, צריך כסף לנסוע לחו"ל. כמה אנחנו מופצצים מהחברות האלה. מאיפה הם מקבלים את הטלפונים שלנו?

בסמוך לתקלה, חוץ מזה שטיפלנו בחברה שעשתה את התקלה, שלחתי גם צוות מטעמי, צוות אבטחת מידע גם לחברה המקבילה וגם שם וידאנו שאין פערים שיכולים לגרום לאותה תקלה או תקלה דומה ואנחנו עכשיו בקשר מתמיד עם אותה חברה ונותנים להם הנחיות לשיפור במספר נושאים שמצאנו שקיימים אצלם ואנחנו מבצעים על זה מעקב והם התחילו כבר ליישם את זה.

הם צריכים כבר לשלם לכם, לא אתם להם, לפי איך שאתם מחכימים אותם.

זה טיבו של אירוע אבטחת מידע, לצערי, זה שאחרי שהוא קורה אתה עסוק בלטפל ב - - -

אוקיי. אז אנחנו בסופו של דבר לא מדברים על שמות ולא מדברים על מספר זהות, אנחנו מדברים על מספרי טלפון של אנשים ואתם היום יכולים להגיד שהאירוע נגמר והפקת הלקחים לגבי העתיד? איך אתם יודעים ששרת לא טוב ייכנס?

אז עשינו מספר פעולות. קודם כל בתוך הבית, חידדנו נהלים אצלנו בכל הנושא של התקשרויות, גם עם חברות כאלה. אנחנו נבצע בקרה חצי שנתית מול החברות שנותנות לנו אס.אמ.אס. אגב, אנחנו עובדים עם עוד חברות שנותנות לנו שירותים בנושאים אחרים. זה לא הדיון, אבל אנחנו היום מבצעים בקרות גם אצל גורמים אחרים שעושים שימוש במערכות הרשות. התחלנו את זה בשנה האחרונה, אנחנו בתהליך מאוד מאוד רחב של בקרה על כל מי שעושה שימוש בנתונים של רשות האוכלוסין וההגירה.

יפה. ממשל זמין, מישהו נמצא פה?

אני לא רואה.

אני יכול לענות בתור רשות התקשוב.

השאלה אם האירוע הזה, אני מאוד מעריך את השקיפות שהדברים נאמרים, הייתה כאן תקלה, האירוע הוא לא עוצמתי והוא לא עם נזק לטווח ארוך מאוד, והוא גם מצומצם וגם לא נתונים, אבל מטפלים בו, השאלה היא האם משרדים אחרים מפיקים לקחים? אנחנו הרי לא באים עכשיו, אנחנו רוצים לראות, האם יש משרדים שממשל זמין לומד את האירוע הזה ובעקבות כך מנחה חברות. הרי אם אתה אומר ש - - - משתמש, אין לי ספק שמשרדים אחרים גם מרבים בשימושים כאלה או אחרים עם חברות חיצוניות ושהם מקבלים שירותים כאלה ויכול להיות שהתקלה תחזור, לא רק אצלכם, גם במשרדים אחרים.

שלום, אדוני היושב ראש. שמי גדעון קונפינו, אני מנהל יה"ב ברשות התקשוב הממשלתי. ממשל זמין שייך לרשות התקשוב הממשלתי. ממשל זמין הוא גוף ביצוע, היחידה שאני אחראי עליה היא גוף מנחה למשרדי הממשלה. כמובן שאנחנו עושים שיתוף מידע בכל אירוע אבטחת מידע. יש לנו תהליכים, לא רק לתהליך הזה, תהליכים של שיתוף מידע כדי שאירוע אחד לא יישנה במשרד אחר.

אוקיי. יש מישהו שרוצה להוסיף בנושא הזה? בנושא השני, אני רוצה יותר להרחיב בו.

כן. כבוד היושב ראש, אני עלי קלדרון מהרשות להגנת הפרטיות. קודם כל אני רוצה לומר שלמרות שהמידע שנחשף הוא לכאורה לא מידע אישי עדיין החוק מגדיר בהחלט שמידע כזה צריך להיות מוגן על ידי רשות שמחזיקה אותו ברשות או בהסכמה במקרה הזה. צריך גם להבין שבמידה שהאקר שיושב על המידע הזה ויכול להשתמש במידע הזה, זה לא רק לצורך יצירה של מאגר לצרכים מסחריים, כמו שאמרתם, יכול לשבת האקר על המידע הזה ולדעת שעכשיו הוא פונה לאחד האנשים שהמספר הזה הגיע אליו ולהגיד לו 'כן, אני עכשיו מרשות האוכלוסין, תעביר לי פרטים נוספים', מה שנקרא social engineering, זה כלי ש - - -

ברור.

אל"ף, אנחנו עובדים באופן ישיר יחד עם רשות האוכלוסין ובנושא הזה אני רוצה להגיד שבמאי 2018 נכנסות תקנות חדשות של אבטחת מידע, כל הנושא של דלפי מידע מטופל גם במסגרת של התקנות האלה שמסדירות את נושא אבטחת המידע בצורה יותר מפורטת, מחייבות - - -

מה התפקיד שלך היום?

אני הממונה על האכיפה המנהלית ברשות להגנת הפרטיות, שנקרא לשעבר רמו"ט, הרשות למשפט, טכנולוגיה ומידע.

למה כתוב לך מנהל יה"ב?

לא, זה היה גדעון קונפינו שדיבר לפניי.

רמו"ט היה הנושא של הטכנולוגיה, נכון?

רמו"ט זה השם הקודם, רמו"ט היה רשות למידע, משפט וטכנולוגיה, היום אנחנו נקראים הרשות להגנת הפרטיות.

מדהים אותי שינוי השם הזה, להשאיר את אותו מנגנון - - -

קיימנו דיון מיוחד בשם.

המטרה הייתה לעשות פוקוס ולהתעסק בתחום הפרטיות. כמובן שטכנולוגיה היום זה חלק מ - - -

ברור.

מה שרציתי להוסיף, במאי 2018 נכנסות לתוקף תקנות אבטחת מידע של הגנת הפרטיות שכוללות חובת דיווח על דלפי מידע לא רק לגופים ציבוריים אלא גם לכל מי שנמצא במשק ומחזיק מאגרי מידע. כמו שאמרתי, המקרה הספציפי הזה הוא בהחלט פגיעה, פגיעה בחוק מבחינתנו, פגיעה בפרטיות של אותם אנשים. ברור שהנושא פה ספציפית לכאורה נתפס כקטן, אבל החשיבות שלו מובנת על ידי הגוף.

טוב שזה קרה על משהו קטן ומצומצם וצריך באמת להודות בעניין הזה, אבל הפקת הלקחים צריכה להיות הרבה יותר רחבה.

ורק אולי מילה אחרונה, לגבי השימוש בגופים במיקור חוץ. העובדה שמשתמשים בגוף במיקור חוץ, שזה לפעמים משיקולי עלויות או שיקולים אחרים, לא מייתרת כמובן את האחריות של בעלי המאגר ובעצם מייצרת אחריות נוספת על אותו מחזיק, על אותו גוף במיקור חוץ וכמובן האחריות הראשית נשארת על הבעלים, במקרה הזה על הרשות.

אנחנו גם מודים לחברת הכנסת שרן השכל, אחת מהמציעות. הזכרנו אותך בדברי הפתיחה, כפי שכתבתם בהצעה לדיון מהיר, יש שני חלקים לבקשה, חלק אחד זה האירוע שהיה, שאנחנו קיבלנו הסברים, אנחנו חושבים שהם מספקים, הנושא השני זה הנושא של העסקה של מנהלת אבטחת מידע ברשות לניהול המאגר הביומטרי. איך אתם רוצים להציג את זה?

אני אשיב, ברשותך. מאיר גופשטיין, מנהל אגף הגנת הפרטיות ברשות הביומטרית.

מר מינס, מתי שתרצה להתערב, אנחנו משתדלים גם בהיררכיה, אבל אם - - -

ברשותכם, אני אפתח בדיוק העובדות. ראשית, לא מדובר ב - - -

הרשות להגנת הפרטיות? לא, מהמאגר הביומטרי.

הוא אחראי על הגנת הפרטיות במאגר.

אתה עובד מדינה.

עובד מדינה, כן. ראשית, מדובר בעובדת שהיא חלק מצוות - - -

אני רוצה להגיד מראש בעניין הזה, אני מבין שזה בהליך משפטי, כפי שאמרו חברות הכנסת. מה שלא נוגע להליך המשפטי, ביקשתם את זה ואני אאפשר לכם, מה שקשור למשפט אתה לא צריך להתייחס, זאת אומרת הנתונים שאין לזה שום זיקה למשפט, מה שקשור למשפט אתה יכול להגיד שאתה לא יכול בגלל דיון שמתנהל בעניין.

כן, מדובר בדיון ערעור שלה על מכרז שהיא השתתפה בו.

מה התפקיד שלה? מה היה? יש לזה השלכה.

אז אני אסביר. הגברת המדוברת היא חלק מצוות האבטחה, מ', היא איננה אחראית אבטחת המידע, היא לא מנהלת אבטחת המידע, היא מעולם לא הייתה ושימשה בתפקיד הזה, היא כפופה למנהל אבטחת המידע של הרשות הביומטרית, בחור בשם אבי, הוא עובד מדינה, משמש בתפקיד מנובמבר 2014. הסיבה שהיא חתומה על אחד המסמכים כאחראית אבטחת המידע, מכיוון שזה התואר שנתן החשב הכללי במסגרת תארי תפקידים שהמדינה יכולה לפנות לבתי תוכנה ולהשתמש בשירותים שלהם. זה תואר התפקיד כפי שהוא הוגדר על ידי חשכ"ל, לכן הגברת השתמשה בתואר הזה.

אז מה אתה אומר לנו? שזה תואר התפקיד, אבל זה לא התואר שלה?

אמת.

זה ישראבלוף? מה זה?

לא, זה ממש לא ישראבלוף. הוא גויסה על התואר הזה, דרך בתי תוכנה, אבל היא משמשת כחלק מצוות אבטחה. התפקיד שלה הוא לא תפקיד שהוא בעל סמכות, הוא לא תפקיד שהוא בעל אחריות. כמו שאני אומר, יש לה מנהל, מנהל אבטחת המידע של הרשות הביומטרית, הוא עובד מדינה, הוא משמש בתפקיד הזה מנובמבר 2014. זה התפקיד שלו, הוא לא עובד קבלן, הוא עובד מדינה, אני מדגיש. היא חלק מהצוות הזה, היא מטפלת בנושאים כמו תיאומי תדרוכים, נושאים שקשורים לרכש, נושאים שקשורים להצעות מחיר בתחום שבו היא עוסקת, בתחום אבטחת המידע, אבל בשום נקודת זמן היא לא הייתה אחראית על אבטחת המידע במאגר, או שניהלה את אבטחת המידע במאגר.

וכמו שאני אומר, התפקיד שלה הוא ללא סמכות או אחריות כלשהי בנוגע למדיניות אבטחת המידע או קבלת החלטות בתחום. יש לה בוס, יש לה מנהל שהוא עובד מדינה, הוא זה שמנחה אותה, הוא זה שנותן לה את המשימות והיא מדווחת לו.

עדיין תמוה בעיניי שכן יש לה הגדרה מטעם החשכ"ל, כמו שאמרת - - -

אין לנו שליטה על ההגדרות האלה.

מה זה 'אין לנו שליטה'? מה הייתה ההגדרה לפי החשכ"ל? אולי תדייק.

עוד פעם, יש מספר הגדרות לפי החשכ"ל, יש הגדרה אחת שהיא יכולה להיות עובד אבטחת מידע או אחראי אבטחת מידע כאשר התעריפים השעתיים של אותן הגדרות משתנים. אם אתה רוצה בן אדם שהוא איכותי אז אתה מגייס את זה עם התעריף הגבוה יותר, אבל השליטה על תואר התפקיד, אין לנו. זה מה שהם הגדירו, לא מה שאנחנו הגדרנו. ואני שוב מדגיש ואומר, מנהל אבטחת המידע או האחראי על אבטחת המידע ברשות הביומטרית זה לא היא, מדובר בעובדות שגויות.

אבל עדיין היה לה תפקיד כאחראית גם אם זה בדרג נמוך?

לא אחראית.

אוקיי, אז עובדת אבטחת מידע.

בדיוק. עובדת בצוות אבטחת המידע של הרשות, כן.

אוקיי, והאם לפי החוק כל הצוות יכול להיות קבלן חיצוני? אין מחויבות שגם אנשי הצוות - - - הרי אנחנו מדברים על מידע כל כך רגיש, האם מותר לכם לקחת - - -

לא, עוד פעם, אין לגברת או לעובדת הזאת שום גישה למידע הרגיש - - -

אני מדברת עכשיו לא על העובדת הספציפית, אנחנו מדברים על כל המערך של העובדים בצוות שעובד על אבטחת המידע של המאגר הביומטרי. על זה אנחנו מדברים, נכון?

נכון.

דיברנו בתחילת הדיון על המאגר הממשלתי המשטרתי, תאר לך שהמאגר המשטרתי הביומטרי לא היה מנוהל על ידי אנשי המשטרה, זה יעלה על דעתך? בעיניי זה לא יעלה על הדעת. אז אני שואלת עכשיו, כל העובדים במערך אבטחת המידע של המאגר הביומטרי, הם לא צריכים להיות עובדי מדינה?

אני אומר, ההעסקה של עובדים - - -

מה החוק? יש חקיקה בעניין הזה?

בדיוק, יש כאן יועץ משפטי?

אני חושב ש - - - נמצאת פה - - - חוק ועל זה תוסיף את הדברים. קודם נלמד - - - כן צריך או לא צריך, אני יכול להגיד שכן צריך.

הוא אמר שלפי החשכ"ל לפי הגדרת התמחורים היה צריך להגדיר אותה כאחראית אבטחת מידע, כי זה כאילו כוח אדם יותר איכותי שהוא יותר יקר, אז זה שתי הגדרות, עובד ואחראי, בגלל זה הבלבול.

לא אמרתי שיש בלבול.

לא, הבלבול הוא בהגדרה. כאילו היא כן הייתה חתומה - - -

מה שהגדיר החשכ"ל - - -

היא כן הייתה חתומה במסמכים מסוימים או לפחות לפי החשכ"ל היא הייתה מוגדרת כאחראית, אבל היא לא אחראית. זה מה שהוא אומר כאן, אם הבנתי נכון.

יש מעליה מנהל. חברת הכנסת, מאיר הדגיש את זה.

שמישהו מעליה מנהל אותה.

מנהל אבטחת מידע ברשות הביומטרית הוא עובד מדינה.

השאלה היא אחרת, אבל אם היא הייתה אחראית היא הייתה צריכה להיות עובדת מדינה?

בוודאי.

כל הצוות לא צריך להיות - - -

אני אדגיש שכל בעלי התפקידים שיש להם סמכות ואחריות בדרג של מקבלי החלטות או קובעי מדיניות ברשות הביומטרית הם עובדי מדינה, חד וחלק.

עורכת דין מרגלית לוי. לא רגילים כאן, אני כבר מכיר אותך שאת מגיעה לעוד ועדות, את לא כאן נציגת הצבא, ראיתי שיעל לא כל כך מבינה איפה היועצת המשפטית.

זהו, אני לא הבנתי.

אז זה מילואים וקיבלת שחרור בשביל הוועדה הזאת.

אני אכן במילואים, היה תרגיל מוסדות חינוך היום והייתי ב - - -

תגידי שהיית מנהלת התרגיל, לא תרגיל.

אני מקווה שלא פגמנו באיכות. אחראית אמיתית, לא אחראית רק לצורך תשלום.

בהגדרה אני מפקדת יחידת הקישור של עיריית ירושלים של ניר ברקת.

הייתי מחזיק תיק החינוך החרדי בעיריית ירושלים.

רק לעניין המשפטי, להבהיר את הנקודה. יש שני סעיפים בחוק שמדברים על עובדים ברשות הביומטרית. הסעיף הראשון מדבר על הכלל. הכלל הוא שכל עובד ברשות יהיה עובד מדינה ולא ימלא שום תפקיד אחר מלבד תפקידו זה. בעצם בתהליך עצמו של חקיקת החוק, הרעיון שבבסיס החקיקה או בסעיף הזה היה שלא יהיו עובדי מדינה ממשרדים אחרים שמתניידים ממשרד אחד לשני ועוברים דרך הרשות הביומטרית ולכן מוגדר באופן חד משמעי שעובד בתוך הרשות, הוא יהיה עובד מדינה ולא ימלא תפקיד אחר מלבד התפקיד הזה.

זה הכלל. החריג לכלל הוא בעצם סעיף 13 שמדבר על צוות עובדים שתהיה להם הרשאת גישה למאגר הביומטרי. המחוקק הכיר בעובדה שבתנאים מסוימים לא ניתן, יש מגבלה או אין יכולת, גם בתנאי השירות הציבורי, להעסיק אנשי מחשוב ברמה כזאת או אחרת שנדרשים לתפעול שוטף של המאגר הביומטרי, קיימת אפשרות להעסיק עובדים שאינם עובדי הרשות ושהם חיוניים לרשות ושלא נמצא להם שום מחליף אחר מבין עובדי הרשות ובתנאי שיחולו עליו כל התנאים שחלים על עובד מדינה, לרבות כל התהליך שהוא נדרש לאבטחת המידע, הסיווג הביטחוני, האישור הנדרש וכמובן ליווי. גם כשהוא נכנס למאגר הביומטרי הוא חייב להיות מלווה בעובד מדינה.

יש הגבלה באיזה תפקיד, או בתפקיד שיש גישה למאגר?

אנחנו מדברים על גישה למאגר. המחוקק אפשר בתהליך הזה לגייס עובדים מן החוץ ובתנאי שהם עוברים את כל מנגנוני הפיקוח והבקרה לרבות חתימה, אישור מפורש של השר ושל ראש הממשלה. זאת אומרת כל אחד כזה חדש שאנחנו צריכים, גם אם הוא עובד מדינה, אנחנו חייבים לעבור את התהליך הזה של החתמת השר, להסביר את הנימוקים, להחתים את ראש הממשלה באופן אישי, ורק אז הם מקבלים את האישור אחרי כל התהליך הזה.

זאת החקיקה החדשה שעכשיו עברנו, לפני שנה.

כן.

אני חייב להדגיש, שיהיה ברור, יש פה לפעמים בלבול בין הרשות הביומטרית, מאגר ביומטרי. כשאנחנו מדברים על המאגר הביומטרי אנחנו מתכוונים לצבר הנתונים, לליבה, הנתונים הרגישים ביותר שעליהם אנחנו מדברים כבר שנים. גישה לנתונים המסוימים האלה מתאפשרת לעשרה עובדים בלבד כאשר כל העובדים האלה הם עובדי מדינה ללא יוצא דופן.

למרות שהחוק מאפשר להעסיק עובדים חיוניים שאינם עובדי מדינה עובדתית, נכון להיום, אין עובדים שהם עובדי חוץ שיש להם הרשאת גישה למאגר. עובדתית, למרות שקיימת אפשרות כזאת.

אבל מי שאחראי על אבטחת המידע, יש לו - - -

אין לה גישה לנתונים הביומטריים.

אין לו גישה לנתונים, אני מבינה, אבל יש לו אחריות לאבטח אותם, ופה אני מעלה את החשש שאתה נותן לעובדים חיצוניים, לחברה חיצונית, להיות אחראית על בניית החומה שלך, אולי יגיע מישהו שיש לו אינטרס להשאיר איזה לבנה רופפת והם ידאגו לכך.

את צודקת, אבל החוק מאפשר היום.

אז זה מאוד בעייתי.

יכול להיות שיש לאקונה, אבל החוק אומר ככה, לגישה למאגר - - -

אין להם גישה, יש להם רק גישה לאבטחה.

לא, אבל גישה למאגר יכול להיות עובד חוץ ובתנאי שהוא עומד ב - - -

אני חייב לומר שגם בגופים אחרים - - -

לא, הם אומרים שלא.

באופן המעשי הפרקטי כולם עובדי מדינה, זה מה שהוא אומר, הוא מוסר הודעה, עשרה עובדים, לעשרה יש אפשרות ל - - -

עובדתית.

אני חייב לציין - - -

אתה לא חייב, אתה חייב כדי שאנחנו נבין.

אני אומר שגם - - -

רק שנייה, אנחנו מנסים להבין.

אבל רק שנייה, אין סערה פה, לא דרמה, בוא נבין את זה. אתה יודע דברים, אנחנו רוצים להבין. אנחנו בשלב ההבנה, אנחנו עוד לא רוצים תגובה, אנחנו רוצים להבין את הדברים. מה שאנחנו אומרים עכשיו זה רק לראות אם הבנו. אנחנו ככה אומרים, הגישה, שזה נניח הרף הכי גבוה, שצריך סיווג הכי גבוה, ששם גם הליבה של החשש שלנו. אני רוצה להגיד במאמר מוסגר, כשאנחנו דיברנו בדיונים, אנחנו ליווינו את החוק הזה, אני עמדתי בראש הוועדה כשניסן ביקש ממני לנהל את החוק הביומטרי - - -

זו הייתה ועדה משותפת.

נכון, מדע, פנים וחוקה.

בזכות זה אני ניהלתי את זה, ואנחנו אז דיברנו על כך שהחשש שלנו לא על פריצה למערכות המאגר, החשש היותר גדול שלנו היה זליגה של המאגר. יש הבדל בין פריצה למאגר לבין זליגה של מאגר. אמרנו, פריצה למאגר הביומטרי, אז יש לנו עוד הרבה דברים במדינה, אם מישהו יגיע למאגר הביומטרי אז הוא יגיע גם לפצצת האטום שלנו ולדברים הרבה יותר חמורים, זה כמעט באותו סיווג. ככה ראש הממשלה הודיע, ככה שר הפנים הודיע, זה עבר ביקורת ואני חושב גם ביקורת מעשית של מי שעמד אז בראש הוועדה הביומטרית. שבועיים הוא ניסה לפצח את זה בכל השיטות וככה נאמר, מה שהיה מותר להגיד כאן בוועדה, ולא הצליחו. זאת אומרת זה היה המקסימלי שיש מבחינת הסיווג. ראש הממשלה עצמו, עם הרגישות הגבוהה שיש לו בעניין הזה, הוא אמר שזה בסדר. זה היה תהליך בשביל להניח את דעתנו בנושא הזה.

הבעיה הייתה הזליגה. זליגה יכולה להיות גם ממאגר הכי - - - אם עובד, כמו שקרה, לוקח נתונים ושם נגמר הסיפור. לכן שם דרישות הסף היו מאוד מאוד - - - שם, עם כל דרישות הסף, בגלל שחששו שבתוך, האוצר לא נותן ועוד כל מיני מגבלות שיש וצריך אנשים מקצוענים מאוד בעניין הזה, שלא רצו שהמגבלה של - - - תיפגע כדי לנהל את המערכת, נכון אמרו שאפשר להביא גם כאלה שהם לא עובדי מדינה, אבל בתנאי שהם עוברים ככה וככה, תנאים כאלה, עד שמי שחותם על אותו עובד צריך להיות שר הפנים וראש הממשלה. זאת אומרת אנחנו מדברים באמת על רמה שנתנו לו את כל העיגונים המקסימליים בעניין הזה. עכשיו, מה שאנחנו עכשיו רוצים לדון, אנחנו מבינים שאנחנו לא מדברים על הגישה, אנחנו מדברים ברף היותר נמוך, איזה ומה ההרשאה שלכם, אתם תסבירו מה ההרשאה, בכמה עובדים, המערכת שלכם היא כמה, 35 עובדים?

פלוס מינוס.

בערך, אז אנחנו מדברים בתוך ה-25 עובדים האחרים שבאו בלי הגישה, בואו תספרו לנו עכשיו מה קורה שם. אומרת לך - - - אבטחת מידע זה תפקיד מאוד - - -

אז מה שרציתי לציין ראשית זה שהעסקה דרך בתי תוכנה - - -

אני מתנצלת, יש לי את יום הקהילה הגאה, איחרתי גם בגלל הוועדות, אני מתנצלת שאני חייבת ללכת.

מאה אחוז, אנחנו נעשה את המסקנות ואנחנו נניח את זה על שולחן הכנסת.

בסדר, תודה.

תודה בכל אופן על היוזמה וההצטרפות לדיון המהיר.

מה שאני אומר זה שהעסקה של עובדי חוץ דרך בתי תוכנה או כפי שמכונה עובדי קבלן היא מקובלת בגופים אחרים במדינת ישראל, בגופים הרבה יותר רגישים או מקבילים לגוף שלנו מבחינת המידע והרגישות.

אני מתנצלת, אני צריכה לצאת.

במקרה של דיון מהיר הנוהל הוא שונה מוועדות אחרות, מדיונים אחרים, שיש פרוטוקול, כאן אנחנו מוציאים פרוטוקול כתוב עם סיכום ומסקנות של הוועדה שמגיעות לשר, השר צריך להגיב ובסופו של דבר זה עולה למליאת הכנסת, לידיעת חברי הכנסת. התהליך הוא קצת אחר, לכן חשוב לנו מאוד בדיוקים ושאלה יהיו דברי הסיכום גם.

אוקיי, לסיכום אני אומר שראשית העובדת - - -

אני עדיין לא מבין. אני עוד לא מבין איפה הבעיה. יש לכם אישור להעסיק עובדי חוץ? בסדר, מקובל, אני אומר ברמה היותר גבוהה, איפה עכשיו הבעיה?

הבעיה צצה מכיוון שהעובדת הזאת הייתה רשומה על אחד הטפסים כאחראית אבטחת מידע והטיעון בתקשורת, למרות שאנחנו הסברנו שלא מדובר בעובדות מדויקות, היא לא אחראית - - -

אחראית כן צריכה להיות עובדת מדינה?

בוודאי. ברגע שאתה - - -

למה?

ברגע שאתה מדרג קובעי המדיניות, מדרג מקבלי ההחלטות ברשות - -

אוקיי, עכשיו הבנו.

- - אתה נושא בסמכות ובאחריות.

כמה בעלי תפקידים בתוך הרשות הביומטרית צריכים להיות עובדי מדינה? כמה תפקידים אחראים כאלה יש?

משהו בסביבות 20 אנשים.

ורק חמישה הם מסוג - -

כן. מה שאנחנו אומרים זה ראש הרשות, מנהל אגף הגנת הפרטיות, מנהל אבטחת המידע, האחראי על בסיסי הנתונים, האחראי על הסיסטם, על התשתיות.

כל אלה עובדי מדינה?

מנהל מערכות המידע. הם עובדי מדינה, בוודאי, וגם ברוב המקרים העובדים שמתחתיהם.

וכמה עובדים לא מדינה אתם מעסיקים? עוד חמישה?

עוד שישה.

זה כל לא עובדי המדינה בתוך המערך הזה. ואתם אומרים שאותה מ', היא בעצם הייתה עובדת שאולי קראו לה לצורך המשכורת, לסיווג משכורת, קראו לה אחראית, אבל בעצם היא לא הייתה אחראית, היה לה מנהל מעליה שהוא היה אחראי וכשיש מנהל אין אחריות.

נכון. ההרשאות שלה אינן שוות להרשאות שלו, הוא מפקח עליה באופן שוטף.

אוקיי. מי רוצה להוסיף בעניין הזה? עצמון, אתה רוצה להוסיף משהו?

חשוב להדגיש נקודה אחת מרכזית, שעובדים שאינם עובדי הרשות, שוב להדגיש את זה, גם לפרוטוקול, אין להם הרשאת גישה למאגר. אני רוצה שזה יודגש. כמובן יש פתח בחוק שמאפשר את צורת ההעסקה הזו ושלמעשה אנחנו פועלים יחד עם הממונה על היישומים הביומטריים, ברשות הביומטרית, כדי לצמצם את היקף אותם עובדים ברשות הביומטרית.

אותם חמישה-שישה?

נכון.

עצמון, אתה רוצה להוסיף משהו? רק שם ותפקיד.

עצמון מינס, אני ראש רשות המאגר הביומטרי. אני אגיד בצורה מאוד מאוד כללית שאנחנו מבינים מאוד מאוד מאוד את החשיבות של אבטחת המידע של הביטחון, גם הפיזי, גם טכנולוגי וגם הגנת הפרטיות. אנחנו משקיעים בזה המון תשומות, המון משאבים, המון תקציבים ולזכותם של מקבלי ההחלטות אפשר לומר שגם לא חוסכים מאיתנו שום דבר ולכן אני אישית מאוד רגוע בנושא אבטחת המידע והגנת הפרטיות של המאגר.

אוקיי. מישהו עוד מבקש?

רועי פרידמן, ממלא מקום ממונה יישומים ביומטריים. באופן כללי אנחנו סבורים שהרשות לניהול המאגר הביומטרי צריכה להעסיק את כוח האדם הטוב ביותר שניתן להשיג מבחינת ביומטריה, מבחינת אבטחת מידע. זה אינטרס שלנו כגוף פיקוח ואינטרס של הרשות לנהל את זה היטב ואינטרס של כל תושבי המדינה שהרשות הזאת תתנהל בצורה המקצועית ביותר. כמו שמרגלית ציינה אנחנו נמצאים בתהליך עבודה, בעבודת מטה, להגדיר היטב את התפקידים והתבחינים לתפקידים השונים וזה יתבצע.

יש עוד מישהו שרוצה להוסיף? אוקיי. אז אם ככה לדקת הסיום. קודם כל שמענו, אנחנו מודים לאלה שהעלו את הנושא לדיון מהיר, אני חושב שחשוב שנושאים כאלה לא יהיו רק בתקשורת, אלא גם יקבלו את ההיבט הציבורי וזה השולחן המתאים לדיונים האלה. אני חושב ששני הצדדים צריכים להיות מעוניינים בעניין הזה, גם הגוף המפקח, שזה אנחנו, וגם הגוף המבוקר. בסך הכול יש לכם הזדמנות לענות את התשובות האמיתיות, המקצועיות, ללא הפרעה, בצורה מושלמת, שלא תמיד ניתן בתקשורת, מטבע הדברים. חשוב מאוד שגם התקשורת כאן מילאה תפקיד חשוב, אנחנו התוודענו שוב, אנחנו יכולים להגיד שבסך הכול המערכות הממשלתיות כולן, ודאי גם הרשות הביומטרית, מקפידה ואמונה ויש מודעות, אין הפקרות בנושא של אבטחת מידע. זה חד משמעי.

אנחנו הרבה דנים כאן, השולחן הזה שומע הרבה דברים, הממשלה נמצאת בציון מאוד מאוד טוב על שלוחותיה, יש ערנות לדברים האלה, משקיעים הרבה אמצעים, גם מקצועיים, גם כספיים, הנושא הזה נמצא בסדר היום וכשזה קרה לא היינו צריכים - - - זה תרגיל שנעשה טוב, וכמו שאמרתי בתוך דבריי, הנזק הוא לא נזק, זה העלה לנו למודעות, לחדד את הנהלים ובדברים האלה אין אפס תקלות, אין דברים שהם במאת אחוזים, תמיד, כל הזמן קורים דברים וטוב שזה לא משהו דרמטי. אין כאן דברים דרמטיים, אבל בחלק הזה אני חושב שהאירוע היה, הסתיים בהצלחה ואני חושב שזה רק מחדד שאנחנו צריכים להמשיך לעקוב לא רק לגבי הרשות הביומטרית, אלא לגבי כל משרדי הממשלה, כפי שזה התבטא כאן שזה נעשה, חודדו הדברים ויש מעקב אחרי הבירור וחידשו, אפשר להגיד, נהלים חדשים שנעשו בעקבות כך, כך שמבחינת הנזק לא נגרם שום נזק. והנושא הזה, ככל שהממשלה צריכה להוציא למיקור חוץ, והיא צריכה, ולא נראה שהיא תפסיק את התקשרויות החוץ, אנחנו צריכים לחדד את הדברים ולשפר אותם וללמוד תוך כדי התקשרות איך אנחנו תמיד מתייעלים יותר ויודעים להיות טובים יותר ושמורים יותר. זה בחלק הזה.

בחלק הפרסונלי, של התפקיד. הדברים מתבררים בבית משפט, בתביעה. כן מכרז, לא מכרז, אני אפילו לא יודע אם לתפקיד שלה יש משמעות בתביעה שלה או לא, אבל זה לא משנה. אנחנו קיבלנו תמונה, שיקפו את המצב החקיקתי, שזה החלק החשוב, על מה מתבססת הרשות הביומטרית באפשרות שלה להעסיק עובדים. יש אפשרות, ניתנה בחוק אפשרות להעסיק עובדים שהם אינם עובדי מדינה, גם בתפקידים של גישה ביומטרית ובתנאי שעומדים בתנאים המחמירים ביותר והיא יכולה לתת הרשאה להיכנס למאגר הביומטרי גם לעובדים שאינם עובדי מדינה.

יצוין כי בפועל כל העובדים שיש להם הרשאה וגישה למאגר הביומטרי הם רק עובדי מדינה. במקביל. סך הכול השאיפה ואולי האחריות או הרצון, והרשות חותרת לכך, כפי שגם הוזכר פה, שכל עובדי הרשות הביומטרית, בגלל הרגישות שלה, יהיו כולם עובדי מדינה. כיום מועסקים מספר קטן שהוא בעצם 20% של עובדים, פחות מ-20% של עובדים שאינם עובדים - - - כל העובדים שהם בתפקידי אחראי, שהחוק מחייב שיהיו עובדי מדינה, נמצאים, ממלאים את מקומם רק מנהלים שהם עובדי מדינה.

אם אנחנו מפרידים את האירוע, את המקרה הזה, את העובדת, אנחנו באמת יודעים ונאמר פה, וכמובן שזו דרישה שמובנת, שבתפקידים שיש להם סמכויות, שהם קובעי מדיניות וכו', כפי שהחוק הגדיר את זה, ישרתו רק עובדי מדינה וכפי שנאמר פה, הם רק עובדי מדינה. מעבר לכך שאר העובדים, כפי שיכול להיות, להעסיק עובדי מדינה הרי זה משובח.

אנחנו ככה באופן כללי נסגנן את זה, אני אעביר את זה גם למציעים ואנחנו נניח את זה. אני חושב שזה היה חשוב מאוד, אני רואה את הישיבה הזאת, כפי שאמרתי בהתחלה, זו לא ישיבה שבאה במתכונת של עריפת ראשים וטענות וצריך להתגונן, היו הבהרות פה, לדעת את העובדות, גם לדעת אם התקלות האלה, התגברו עליהן, ידעו אותן, זיהו אותן, יודעים איך להתמודד איתן וגם מבחינת הפקת הלקחים, אין לי ספק שהלקחים ייושמו.

אני מודה למשרדים האחרים ששותפים איתנו, משרד המדע שנמצא פה ומי שהיה שותף איתנו, שיהיה לכם המשך יום טוב.

הישיבה ננעלה בשעה 13:55.