פרוטוקול של ישיבת ועדה הכנסת העשרים-וחמש הכנסת 56 ועדת החוץ והביטחון 19/12/2023 מושב שני פרוטוקול מס' 118 מישיבת ועדת החוץ והביטחון יום שלישי, ז' בטבת התשפ"ד (19 בדצמבר 2023), שעה 13:40 סדר היום: << הצח >> הצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה - חרבות ברזל), התשפ"ד–2023 << הצח >> נכחו: חברי הוועדה: יולי יואל אדלשטיין – היו"ר רם בן ברק שרון ניר יבגני סובה מוזמנים: שי – ר' המערכה לטכנולוגיה וסייבר, משרד הביטחון טלי – ר' החטיבה לתיאום ואסדרה ביטחונית, משרד הביטחון בת חן – ממונה משפטית למלמ"ב, משרד הביטחון עדי – מפמ''ר עליונות, תקשוב, משרד הביטחון מוריה – ייעוץ משפטי, משרד ראש הממשלה מעיין – ייעוץ משפטי, משרד ראש הממשה רס"ן רפי סלמה – יועמ'ש תקשוב, משרד הביטחון אלון קינסט – מרכז בכיר כלכלה ורכש באגף החשב הכללי, משרד האוצר אביתר פרץ – מנהל תחום התקשרויות במינהל הרכש באגף החשב הכללי, משרד האוצר אביבה וייס – מנהלת מחלקת רישוי, משרד האוצר גל אסף – רכז שירותים מיוחדים באג"ת, משרד האוצר אפרת נחלון – עו"ד בלשכה המשפטית, משרד האוצר נטע קניגשטיין – ייעוץ וחקיקה - ייעוץ, משרד המשפטים אסנת הראל וינשטיין – רפרנטית באשכול ביטחון ייעוץ וחקיקה (ציבורי), משרד המשפטים דרור גרנית – ייעוץ וחקיקה, משרד המשפטים שמרית וולף – משפטנית ייעוץ וחקיקה (פלילי), משרד המשפטים עמית עמיר – עו"ד, משרד המשפטים נעם שלומאי קוניץ – מתמחה (אשכול ביטחון, מחלקה מינהלית), משרד המשפטים רועי פרידמן – ראש אגף בכיר אסטרטגיה והתעצמות, מערך הסייבר יובל סיני – רמ"ח הגנה אקטיבית, מערך הסייבר מירי זילברשטיין – ראש תחום בכיר תעשיות, מערך הסייבר עדי בן חורין – עורכת דין, מערך הסייבר איילת חן כהן – ראש תחום מדיניות רגולציה, מערך הסייבר טל קורל – אגף מדיניות ואסטרטגיה, מערך הסייבר שלמה צרפתי – כלכלן ראשי, מערך הסייבר עמית דורון – אגף מדיניות ואסטרטגיה, מערך הסייבר שהם אלכסנדר-דהאן – מנהלת אגף מדיניות וממשל, מערך הסייבר ליאת גורפינקל – יועצת משפטית, מערך הסייבר קרן גל און – סגנית יועמ"ש, מערך הסייבר אורי שיין – ראש אגף מודיעין והכוונה, מערך הסייבר ליאור פרנקל – יו"ר פורום הסייבר, איגוד ההייטק הישראלי רון גרמה – מנהל פורום חברות הסייבר הישראלי, איגוד ההייטק הישראלי עינת גרינפלד – מתאמת קשרי ממשל, בנק ישראל חן פליישר – עוזרת ליועצת המשפטית- מחלקה משפטית, בנק ישראל רונן ניסים – עוזר ליועצת המשפטית- מחלקה משפטית, בנק ישראל ניר גרסון – ס' מנהל מחלקת יעוץ משפטי ואסדרה, הרשות להגנת הפרטיות אסף הראל – עו"ד, איגוד הבנקים בישראל לבנת קופרשטיין דאש – יועצת משפטית, איגוד הבנקים עינת יוסוב – עו"ד, איגוד הבנקים טל מימרן – ראש תכנית המחקר, תכלית - המכון למדיניות ישראלית טמיר בר – רכז קשרי ממשל, תכלית - המכון למדיניות ישראלית צחי שלום – ראש מינהל טכנולוגיות דיגיטליות ומידע ראש, מרכז השלטון המקומי הדס תמם בן אברהם – נציגת לשכת עורכי הדין אלי דוידי – נציג לשכת עורכי הדין חנן טוויזר – יו"ר הוועדה הארצית לביקורת ומערכות מידע, לשכת רואי החשבון בישראל עמרי רחום טוויג – שותף, מחלקת סייבר וטכנולוגיות שי עג'מי – ראש אגף מדיניות לי צילה קפון דפני – עו"ד נועה אלפנט לפלר – דירקטור מדיניות ציבורית וקשרי ממשל ירון שילת – דירקטור מדיניות ציבורית יוחאי אבוקאי – ראש תחום ציות לרגולציות נוכחים באמצעים מקוונים: מיכל שריג כדורי – מנהלת פורום חברות הצמיחה וקשרי ממשל, חברת WIX. ייעוץ משפטי: מירי פרנקל-שור עידו בן יצחק מנהל הוועדה: אסף פרידמן רישום פרלמנטרי: רמי בן שמעון רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות. << נושא >> הצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה - חרבות ברזל), התשפ"ד–2023, מ/1688 << נושא >> << יור >> היו"ר יולי יואל אדלשטיין: << יור >> צוהריים טובים. אני פותח את ישיבת ועדת החוץ והביטחון. אנחנו עוסקים בהצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה - חרבות ברזל), התשפ"ד–2023. מדובר בהצעת חוק ממשלתית, לכן אבקש ממערך הסייבר להציג את ההצעה. בבקשה, מכובדיי. << אורח >> ליאת גורפינקל: << אורח >> תודה רבה על הדיון הזה. כדי להיכנס לגוף החוק, קודם כל נסביר את הצורך המבצעי שעליו אנחנו נשענים ומשם ניתן ברשותכם פירוט קצר של מה אנחנו רוצים. << אורח >> אורי שיין: << אורח >> במשך 74 יום מתמודדים עם כמות תקיפות סייבר משמעותיות במרחב הציבורי. כמות התקיפות שהתרחשה במהלך 74 הימים האלה היא בין פי 4 לפי 5 יותר מהשגרה. התקיפות האלה מכוונות לתשתיות האזרחיות, חלקן תשתיות שתומכות את מאמץ הלחימה דרך תשתיות אזרחיות כאלה ואחרות. חלקן תוקפות את המרחב האזרחי ביתר שאת. אנחנו מתמודדים עם התקיפות האלה בהכלה. אבל ממש עם תחילת ההתקפה התחיל גל תקיפה משמעותי מאוד. מספר רב של קבוצות, מעל 10 קבוצות, תוקפות אותנו בישראל במשך כל הזמן הזה. בהתחלה התקיפות היו מבוזרות מאוד ועם הזמן נהיו הרבה ממוקדות. אשמח להרחיב יותר בדיון סגור כי קשה להיכנס לתוכן המקצועי בדיון. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> בסדר. נחזור להצעת החוק עצמה. << אורח >> ליאת גורפינקל: << אורח >> על רקע הצורך הזה, במהלך המלחמה במרחב הסייבר עלה הצורך להקנות סמכות. אנחנו מבקשים מתן הוראות לספקי שירותים דיגיטליים וחברות אחסון שמזוהים כמעין Hub מרכזי באמצעותו ניתן לממש את התקיפות ולהגיע למספר רב של ארגונים. הבקשה שלנו היא לתקופת הלחימה בלבד, זה גם נמצא בגוף הוראת השעה. הסמכות מוקנית כאשר מגדירים שמדובר בתקיפת סייבר חמורה. תקיפת סייבר חמורה היא תקיפה שמעלה חשש ממשי לפגיעה בביטחון המדינה, טובת הציבור והשירותים החיוניים. כאשר נכנסים לאזור של תקיפה חמורה, ניתנת הסמכות לשלושת הגופים שמטפלים במימד הזה: שב"כ, מערך הסייבר ומלמ"ב, לתת הוראות כדי לסייע לארגונים להתמודד עם התקיפה. קבענו תהליך מדורג מאוד בשיח שלנו עם החברות מכיוון שאנחנו יודעים שאין רגולציה ואין בסיס משפטי לשיח קודם ואחר עם החברות הללו. אנחנו מחויבים להציג תשתית משפטית ועובדתית לבסיס שקבענו לתקיפה חמורה. אנחנו נותנים לספקים אפשרות להתמודד עם התקיפה בדרך שהם יכולים להציע בזמן סביר או לחילופין הם יכולים להצהיר שהם עומדים בתקנית אבטחה שמצמצמת את היכולת להתרחבות התקיפה. מאותו רעיון מסדר ממנו הגענו אל החוק ולאותו מגזר, שכרגע הוא לא מחויב, אבל יש אפשרות להתפשטות רחבה מאוד ולעלייה אקספוננציאלית של מספר התקיפות, אנחנו מאפשרים לגופים שדאגו מבעוד מועד שרמת האבטחה שלהם בהתאם לתקינה מצמצמת את היכולת להתרחב ומאפשרת להתמודד עם תקיפות סייבר, להתנהל בהתאם לשיקול דעתם. אם עברנו את כל התהליך הזה והספק עדיין לא מצליח להתמודד עם התקיפה באופן הולם, אז ניתנת סמכות למתן הנחיות. כאן אנחנו נכנסים לגוף החוק. הסמכות למתן הנחיות לספקים כיצד להתמודד עם התקיפה, בין אם בפעולות בחומר מחשב ובין אם בדרישת ידיעות ומסמכים. באותו זמן אנחנו צריכים להתחשב הן בשיקולים של עלות כלכלית, הן בשיקולים של מידתיות, לנקוט באמצעי שפגיעתו פחותה והן בהיבטי פרטיות. קבענו גם סעיפי סודיות ומחיקת מידע שהם סעיפים אוחרים. גם יש מנגנונים לפיקוח: אפשר להשיג על ההחלטה המינהלית בבית משפט לעניינים מינהליים וכמובן שאנחנו נדווח כל שבועיים ליועצת המשפטית לממשלה ולוועדה המכובדת הזו. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> תודה לכם. יש עוד גורמים מטעם הממשלה שרוצים להתייחס? בשלב זה אין. << אורח >> דרור גרנית: << אורח >> - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> ברור, ברור. למערך הסייבר אני אומר שאם אתם רוצים את התמיכה שלי, תמצאו פטנט להתמודד עם הקמפיין הפרו פלסטיני על הטלפן שלי בימים האחרונים שהשבית לי לגמרי את הטלפון, ולא רק לי, אני מבין. << דובר >> רם בן ברק (יש עתיד): << דובר >> גם אני מתנה את ההצבעה שלי בזה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> מצאנו קונצנזוס. << אורח >> ליאת גורפינקל: << אורח >> צריך לעשות את זה בהתאם למדרג. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אנחנו נשמע נציגי מספר גופים שהוזמנו. ליאור פרנקל, בבקשה. << אורח >> ליאור פרנקל: << אורח >> תודה רבה. אני יושב-ראש פורום הסייבר של איגוד ההייטק. אנחנו חלק מהתאחדות התעשיינים. בנוסף לכך, אני יזם ומנכ"ל של חברת Waterfall Security שהיא חברת סייבר ישראלית. בשגרה פורום הסייבר עובד על חיזוק החוסן של המגזר היצרני בישראל ולסייע לחברות הסייבר הישראליות כסקטור. אנחנו כמובן עובדים בשת"פ בונה ופורה עם מערך הסייבר באופן קבוע, מכירים ומבינים את השיקולים. אנחנו כמובן בעד החיזוק של יכולות המדינה להתמודד עם תקיפות סייבר משמעותיות וקל וחומר תוך כדי המלחמה אנו תומכים ומחזקים. עם זאת, דעתנו היא שהחוק המוצע הוא מוגזם, הוא נראה לנו ככלי לא מידתי ויש לו פוטנציאל נזק די גדול לחברות במגזר ההייטק במיוחד וגם בחברות בינלאומיות ששוקלות להיכנס לפה וצריכות להבין את המצב החוקי. לדעתנו היה עדיף להשתמש באחת מתשתיות הרגולציה הקיימות של - - - או של מלמ"ב שב"כ, להרחיב ולשפר אותה. זו גם המלצתנו גם עכשיו. אנחנו מוטרדים מכך שאין נושא של שיפוי בחוק הזה. כשמגיע גוף מדינתי על-פי חוק ומייצר השפעה והתערבות על תשתיות של חברה פרטית שהוא אינו מכיר אותה – זו הרי ההגדרה פה, אלה חברות שאנחנו לא מכירים ולא מפקחים עליהן ביום יום – ההשפעות של זה יכולות להיות הרסניות לחברה: מניעת פעילות, נזקים למידע של לקוחות, תביעות מלקוחות וכולי. הנושא של שיפוי צדדים שלישיים על נזק שקרה חייב להיות מטופל בחוק – כל הנושא הזה נמצא בערפל. אנחנו חשים שההגדרה של חברות בתחולת החוק – אני לא עורך דין, אני מקווה שאני אומר את זה בצורה נכונה – רחבה ועמומה ומישהו עם גמישות מחשבתית יכול להגדיר כמעט כל חברת הייטק שיש מערכות מחשוב ומידע ולקוחות כנמצאת תחת החוק הזה, נראה לי שזו לא המטרה. היינו ממליצים לצמצם ולהגדיר ממש בצורה מדויקת את ההגדרה של התחולה מבחינת החברות. בנוסף, אותו עובד מוסמך אשר מטעם הגופים שבחוק הוא זה שנמצא בקשר עם החברות ומפעיל אותן ואומר להן מה לעשות, בגלל פוטנציאל הנזק ובגלל ההשפעה, אנחנו חושבים שצריכה להיות לו הגדרה למינימום הסמכה ויכולות. כרגע הן לא מוגדרות. מישהו שמתקשר או מגיע מטעם מערך הסייבר, מטעם השב"כ, לארגון קיים שיכול להיות חברה מורכבת עם המון השפעות – אנחנו מניחים כך, לחברה קטנה שלא מעניינת אף אחד לא היו מגיעים. אדם כזה חייב להיות עם מינימום שנות ניסיון, עם הכשרה רלוונטית, אולי עם יידע בתחום העיסוק השל החברה. כשהיא חברה בתחום data centers, אז שיהיה מישהו שמכיר את זה ואם זו חברה יצרנית של תרופות, לדוגמה, שיהיה מישהו שמכיר את התחום, אחרת איך הוא יידע לעשות את העבודה שלו בצורה רצינית? זה נושא מהותי. אלה עיקרי ההערות הספציפיות שלנו. כפי שאמרתי, לדעתי, היה נכון לקחת חוק קיים ולהרחיב אותו. אני מבין שזה כנראה לא יהיה המצב, אבל אלה עיקר ההערות שלנו. שלחנו רשימה מפורטת יותר ואנחנו מקווים שייקחו אותן בחשבון. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> תודה, ליאור. כמוך, אני לא עורך דין, אבל בנוסף לזה אני גם לא בא מתחום הייטק אבל אני רוצה להבין. מה שמדאיג אותך כנציג החברות האלה בדיון זה לאו דווקא הוצאות שנגרמות, אם יש כאלה, לחברה מעצם ההתערבות, זאת אומרת, אם אני בא אליך בתור נציג מערך הסייבר או השב"כ ואומר: תעשה כך וכך. ובשביל זה אתה צריך אולי לקחת מומחה נוסף או שעות ייעוץ, זה פחות מדאיג אותך. מדאיג אותך שיכול היווצר מצב שאם נתת שירות לחברת תרופות, לצורך העניין, ועד שתתארגן מחדש אתה לא מסוגל לתת שירות נאות, יכולה החברה להפסיק איתך את החוזה או לתבוע אותך אפילו. אני מבין נכון? זאת אומרת, לא הוצאות מיידיות אלא נזק אגבי או עתידי יכול להיגרם. << דובר_המשך >> ליאור פרנקל: << דובר_המשך >> כן. << דובר >> רם בן ברק (יש עתיד): << דובר >> אם לא היו ניגשים אליך ולא מנסים למנוע, היה נגרם נזק גדול יותר, אפילו אולי פי 10. << אורח >> ליאור פרנקל: << אורח >> את זה אי-אפשר לדעת. << דובר >> רם בן ברק (יש עתיד): << דובר >> אפשר לדעת. << אורח >> ליאור פרנקל: << אורח >> יכול להיות שהיה נגרם נזק יותר גדול, יכול להיות שהנזק שנגרם בגלל השינויים. אותו מנחה שמבקש את השינויים לא מכיר את הארגון. יכול להיות שהנזק הפוטנציאלי של זה גדול יותר. יכול להיות שהוא יפתור את הבעיה אבל חברות לקוחות שלי יתבעו אותי כי הפסקתי לתת להן שירות. אומנם מנעתי את תקיפת הסייבר, אבל יש לי חוזה עסקי איתם. הייתי צריך לתת להם שירות אבל לא יכולתי לתת. << דובר >> רם בן ברק (יש עתיד): << דובר >> אבל לא רק מנעת את התקפת הסייבר עליך, אתה גם מנעת את האפשרות שדרכך יגיעו אליהם. << אורח >> ליאור פרנקל: << אורח >> לא לכל תקיפת סייבר הנזק - - - << דובר >> רם בן ברק (יש עתיד): << דובר >> אנחנו מדברים על תקיפות סייבר שיכולות לגרום לנו נזק. אתה אומר שאנחנו ניכנס אליך למחשב ובגלל שנעשה את זה בצורה לא מקצועית נגרום לנזק במחשוב שלך. אני חושב שאם זה ורה, צריך לפצות אותך, נגיע לזה. צריך להבין שכאשר יש תקיפת סייבר שלא מטופלת הנזק הוא פי כמה. << אורח >> ליאור פרנקל: << אורח >> פי מאה. אני מסכים . אני חושב שהשורה התחתונה היא שהנושא הזה מורכב מאוד. כמו שאמרתי, נכון היה לעבוד על תשתית קיימת שכבר יש בה את האיזונים האלה ויש בה את המחשבה הזו מראש. אם נגרם נזק בגלל ההנחיות האלה, צריך להיות שיפוי בחוק. כמובן שיש מקרי קצה וכל מיני נושאים וקשה לחשוב על הכול מלמעלה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> תודה. משרד המשפטים, דרור, אתה רוצה להתייחס בשלב זה? << אורח >> דרור גרנית: << אורח >> נאמרו פה כמה וכמה דברים שהם לא מדויקים או מפספסים את הדיוקים שניסינו לייצר. אולי ניגע בזה תוך כדי ההקראה ואז אפשר יהיה לדבר על זה באופן קונקרטי ביחס לטקסט. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אני גם מציע כך. אם הבנתי נכון את מר ליאור פרנקל, הוא גם אמר שהוא מבין שלא נבטל עכשיו את החוק. אני מציע שבמסגרת ההקראה תתייחסו להצעות הספציפיות שעלו כאן לתיקונים אלה ואחרים. עורך הדין ד"ר עומרי רחום טוויג, בבקשה. << אורח >> עמרי רחום טוויג: << אורח >> תודה. אני שותף במשרד פישר-בכר, מרכז את תחום הסייבר וטכנולוגיות המידע במשרד וכפועל יוצא, מייצג חברות טכנולוגיה רבות שההצעה הזאת תשפיע עליהן. בכובע אחר אני מרצה וחוקר בפקולטה למשפטים באוניברסיטת תל אביב בתחום דיני הסייבר. לכן חשבתי שהדיון הזה הוא דיון רלוונטי להיות בו. קודם כל, מילה טובה בפתיחה לייעוץ המשפטי של מערך הסייבר שעשה הליך שיתוף ציבור ראוי, מפרסום התזכיר ועד הצעת החוק. לקחתי חלק בתהליך הזה. חלק מהדאגות של התעשייה באו לידי ביטוי וזה ראוי לציון – לא תמיד זה קורה. בכל זאת, צריך לזכור שכרעיון מארגן, שלהצעת החוק הזאת יש תכלית ספציפית מאוד שבאה לידי ביטוי בדברי ההסבר, כמו שגם הציגו מערך הסייבר. זו הוראת שעה ספציפית ומסננות התחולה השונות שמופיעות בהצעה הן בהחלט מאפשרות קונספטואלית להפוך את הסמכות הפולשנית יחסית שניתנת לגופים מדינתיים מדתית יותר, אבל אלוהים נמצא בפרטים, בכל אחת מהמסננות האלה יש עדיין חריקות ניסוח. אנחנו ניכנס אליהן בהקראה. מה שצריך להנחות אותנו כשאנחנו מסתכלים על ההגדרות התחולה השונות זה, אחד, שכל אחד מהרכיבים אכן מתכתב עם תכלית החוק כפי שהיא באה לידי ביטוי בדברי ההסבר. זה לא חוק כללי, זה חוק ספציפי כהוראת שעה למטרה ממוקדת מאוד; שתיים, לזכור שבסוף – זה מתכתב גם עם דבריו של ליאור – הסמכות האולטימטיבית שניתנת או שמוצעת בהצעת החוק הזאת היא סמכות להפקיע מעסקים פרטיים את שיקול הדעת שלהם איך לנהל אירוע סייבר. נכון שבמצבי קצה שבהם גוף פרטי לא מתמודד בכלל עם אירוע סייבר, אז בוודאי שכל הנחיה רק תועיל ותשפר את המצב. אבל בהחלט יכולים להיות מצבים – וזה גם עונה אולי לדבריו של חבר הכנסת – בהם יהיו מחלוקות מקצועיות. כלומר, בהחלט יכול להיות שארגון שמכיר את עצמו ומכיר היטב את מערכות המידע שלו ומעסיק מומחי אבטחת מידע, יחשוב שנכון להתנהל באירוע אחרת מאיך שגורמים מדינתיים אחרים חושבים. ההצעה כאן מציעה להפקיע את שיקול הדעת הזה. יכול להיות שבנסיבות מסוימות זה מוצדק במסגרת כוחה הכופה של המדינה, אבל יש לזה השלכות וההשלכות האלה חייבות להילקח בחשבון, ככה שזה לא תמיד מצב של אפס או אחד, גם במובן ההשלכות וההשפעות השליליות או החיוביות שהתערבות כזאת יכולה לייצר. אנחנו נדבר על הפרטים כשנגיע להקראות הסעיפים אבל בסוף צריך לזכור עוד דבר: זו אומנם הוראת שעה, אבל זה חוק חדש באופיו במסגרת הסמכויות שניתנות לגופים – לחלק מהגופים הייתה סמכות, לשב"כ כמובן יש סמכויות מסוימות גם היום, נדבר על חוק השב"כ החדש כשנגיע אליו יום אחד – ורשויות אחרות, נציגי מלמ"ב או נציגי מערך הסייבר, מקבלים סמכויות חדשות שלא היו על השולחן עד היום. כל מי שעוסק או מעורב בתהליכי חקיקה יודע שיש איזשהו Anchoring effect. ברגע שעובר דבר חקיקה עם הגדרות מסוימות, עם סעיפי תחולה מסוימים, כשיעבור יום אחד חוק הסייבר הכללי יש להניח שהוא ישאב השראה מדבר החקיקה הזה. לכן צריך להיות מדויקים על אף שמדובר בהוראת שעה שתפוג בשלב מסוים. תודה רבה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> טל מימרן ממכון תכלית, בבקשה. << אורח >> טל מימרן: << אורח >> תודה, אדוני היושב-ראש. ראשית, אנחנו מברכים על מהלך החקיקה הנוכחי. הוא מהלך נחוץ בעת הנוכחית במסגרת מלחמת קוממיות שמאתגרת גם את מרחב הסייבר ונכון שכל מערכות המדינה יתגייסו סביב המאמץ הזה. באותה נשימה, חשוב לזכור שהמהלך הנוכחי מהווה שינוי תפיסתי פרדיגמטי במערך היחסים שבין גופי מודיעין וביטחון לבין השוק הפרטי. אנחנו נציג שלושה צעדים קונקרטיים על מנת לוודא שהמהלך הזה יהיה גם בר יישום ובר קיימא ויהפוך למכפיל כוח שבו גם השוק הפרטי וגם גופי המודיעין והביטחון יוכלו להירתם יחד סביב המאמץ המשותף. הדבר הראשון שנציע הוא להגדיר את כללי המשחק בצורה ברורה יותר, למשל, לגבי חלוקת אחריות במהלך ההתמודדות עם התקפת סייבר וגם היבטים טכניים כמו אופן העברת הדרישה, בכתב או לא, באמצעות איזה נציג וכן הלאה. הדבר השני שאנחנו מציעים הוא למקד את העיסוק והניהול של מידע שייאסף אגב הפעלת הסמכות. חשוב להגדיר באיזה מאגרי מידע יוחזק המידע, האם ניתן להעביר אותו ממאגר מידע ממשלתי אחד לאחר ואם כן, באילו תנאים. מתי בדיוק מוגדר מועד סיום התקיפה במתקפת סייבר חמורה. כמובן, אפשר לשקול סנקציות נגד מי שלא עומד בדרישות למחוק מידע ומי שמייצר נזק כתוצאה מזה. הדבר השלישי נובע משני הדברים הראשונים. לאור העובדה שיכולות להיווצר אי-הבנות או אי-הסכמות במהלך התמודדות עם תקיפת סייבר חמורה, ראוי לשקול מנגנון ערעור שאינו שיפוטי, שיהיה נתון לרשות שלטונית אחרת ויאפשר לחברות הפרטיות להביע את עמדתן אם לגבי לקיומו של חשש ואם לגבי אופן ההתמודדות איתו. נסיים באמירה עקרונית שברור לנו שמדינת ישראל של אחרי ה-7 באוקטובר היא מדינה אחרת. אנחנו נמצאים בהליכים של שינוי מבחינת האופן בוא אנו מאזנים בין ערכים שונים וגם מבחינת מתן סמכות ואחריות שאנו דורשים מגופי ביטחון ומודיעין, וראוי שהם יקבלו את הכלים לממש את הפוטנציאל שלהם. באותה נשימה, כפי שציין חברי עמרי, לא ניתן למנוע את האפשרות שמה שקורה כאן הוא בעצם פיילוט שיבסס מהלך רחב יותר בהמשך או שפשוט כמו שקורה במדינת ישראל, הזמני ייהפך לקבוע. אנחנו ממליצים על שלושת המעדים הקונקרטיים הללו, אבל כאמור אנחנו בעד חיזוק מעמדו של מערך הסייבר הלאומי. תודה רבה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> טל, מה אתה רואה בעיני רוחך כשאתה מדבר על גוף לא שיפוטי מולו חברות יכולות להביע את דאגתן? << דובר_המשך >> טל מימרן: << דובר_המשך >> יכולה, למשל, לקום ועדה מתוך שלושת הגופים הרלוונטיים או מתוך גוף שלטוני אחר שלא נתון באירוע, למשל, הרשות להגנת הפרטיות או גורם אחר שיאפשר העלאת קובלנות וגם פתרון של בעיות באופן מהיר יותר מאשר פנייה לבית המשפט. הדבר חשוב גם בשביל לתת ביטחון ואמון לתעשייה פרטית שתרצה לשתף פעולה וגם בשביל להתוות את הדרך קדימה. כל מחלוקת שתיפתר מהר היום, תוכל לחסוך אותה מחלוקת בעתיד. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> רעיון מעניין רק צריך לעבד אותו. אם נעסוק עכשיו בהקמת גוף נוסף, אני מזכיר לכולנו שאפילו הוראת השעה הזו היא ל-6 חודשים ואני עוד לא אומר שאנחנו אישרנו את ששת החודשים האלה, עד שנקים את הגוף - - - << דובר_המשך >> טל מימרן: << דובר_המשך >> אין ספק, המנגנון צריך להיות תואם להיקף המהלך. << דובר >> מירי פרנקל-שור: << דובר >> קיימנו ישיבת הכנה עם כל גופי הממשלה בסוף השבוע שעבר. הרבה מההערות העברנו אליכם, גם הצעות לפתרון. בנקודה הספציפית הזו אנחנו גם סוברים שפנייה לבית המשפט לעניינים מינהליים לא רלוונטית לסד הזמנים שצריך לתת כרגע את המענה. חשבנו גם שצריך להקים פה איזו ועדה. זה לא סיפור גדול. יש כבר תקדימים בחקיקה. היא צריכה להיות באמת רלוונטית לאירוע שעליו אנחנו מדברים, שיותר נצלול אליו ונלמד אותו כאשר נקרא לפרוטרוט את הצעת החוק. בהחלט מסכימים להערה הזאת. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אין הרבה דוברים, אבל יש עוד כמה. אני מבין, מירי, את מה שאת אומרת, אבל מניסיוני אם נתחיל להקים עכשיו ועדות בין כמה גופים בהסכמת כל השרים הרלוונטיים ובקצב שעובדת הממשלה, בוודאי במצב הנוכחי, אז לקראת סיום תוקף החקיקה אנחנו נהיה עם גוף שאפשר לגשת אליו. << דובר_המשך >> מירי פרנקל-שור: << דובר_המשך >> לא צריך הסכמות. כבר יש לנו הצעה לפתרון. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אני סומך עליכם. נעבור למיכל שריג כדורי בזום, בבקשה. << אורח >> מיכל שריג כדורי: << אורח >> תודה רבה, היושב-ראש. אני מתנצלת שאני לא יכולה לנכוח פיזית, אני לא נמצאת בארץ כרגע אבל היה לנו חשוב מאוד לעלות. אני מנהלת את פורום חברות הצמיחה וקשרי הממשל של חברת WIX. הפורום מורכב מ-25 חברות הייטק בוגרות, חברות צמיחה ישראליות. מעבר לזה שגם אנחנו ניהלנו איזשהו שיח במסגרת שיתוף הציבור ואני מודה מאוד למערך הסייבר על התהליך הזה שהוא חשוב מאוד. אני רוצה להוסיף על דברי חבריי שדיברו לפני כן שלושה דברים. אחד, הסוגייה של תחולה רחבה מאוד של החקיקה על כל סוגי החברות. אנחנו חושבים שחשוב מאוד להצליח להבחין בין חברות ברמת הבגרות והבשלות שלהן להתמודד עם תקיפות סייבר. אין דין סטרטאפ קטן או חברה בסר גודל כזה או אחר כדין חברה בינלאומית שמעסיקה 70 אנשי מקצוע שעובדים יום ולילה בהגנת סייבר. כרגע החקיקה לא נותנת לזה מענה. הדבר השני הוא להזכיר לכולנו כשנצלול לפרטים ונתחיל להתפלפל על סעיף כזה או אחר, בגדול בסיטואציה הנוכחית אנחנו באותו צד. אנחנו לא רוצים להיות מושא לתקיפת סייבר. הנזק הראשון והחמור ביותר נגרם לחברה כמונו שסובלת מתקיפת סייבר, ובוודאי מדובר בתקיפת סייבר חמורה, גם במובן העסקי, גם במובן הלאומי, גם בכל מובן. המטרה היא, בראש ובראשונה, להימנע מהדבר הזה, לדעת למנוע אותו, להכיל אותו, להתמודד איתו ולצמצם נזק ככל שהוא קורה. אנחנו עובדים בדבר הזה, חברות הצמיחה עובדות בדבר זה 24/7. זאת אומרת, זה לא שיש כאן שני צדדים, אנחנו כולנו באותו צד. אני חושבת שמאוד מאוד חשוב, כמו שחבריי אמרו, להסתכל על האיזון שנוצר בסיטואציה הזאת בין ההתערבות הממשלתית, ובעצם הפקעת הסמכות המקצועית מחברות עסקיות. הנקודה השלישית היא בעצם שהמשחקים שלנו, לצורך העניין, מגרש המשחקים שלנו הוא מגרש משחקים גלובלי ולא פנים-ישראלי. כשאני צריכה לבוא ולהסביר את החקיקה הזאת, אני מסבירה אותה לבעלי עניין, משקיעים, חברי הנהלה, לקוחות בחו"ל, ואנחנו תמיד צריכים לזכור שהנזק שנגרם – פה אני קצת חולקת על חברי, סוגיית השיפוי היא משמעותית וחשובה, אני רגע רוצה לשים אותה בצד. כאשר אני רוצה להגיד: ההייטק הישראלי deliver, אנחנו יודעים לעבוד, אנחנו יודעים להגן על עצמנו מתקיפות סייבר, אנחנו יודעים להמשיך לעבוד גם במלחמה. וזאת אמירה שאנחנו מוציאים החוצה בכל עת. סיטואציה כזאת בה הממשלה אומרת בחקיקה: אני לא סומכת על החברות הגלובליות המדהימות שלי ואני מפקיעה מהן את הכוח לנהל כמו שהן רואות לנכון. היא בעייתית ואותה אנחנו מרגישים שצריך לאזן. אז שוב, אנחנו באותו צד. אנחנו חושבים שצריך להבחין פה בין חברות בדרך שצריכה להיות מתוחכמת מספיק ואנחנו צריכים כל הזמן לחשוב איך החקיקה הזאת נתפסת בעולם כי שם הנזק המרכזי שלנו כשעוברת חקיקה כזאת שהיא פחות דמוקרטית או יותר פולשנית. אלה שלוש הנקודות שאני רוצה לציין לקראת הכניסה לסעיפים. תודה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> יש עוד דוברים מטעם ארגונים שהוזמנו שרוצים בשלב זה לדבר? לא. רק לפני שנשמע התייחסויות להערות, וזה עלה אצל כמה דוברים, כשהוצג לנו הצורך בחקיקה, עלה שהדאגה של גורמים רלוונטיים: של מערך הסייבר, של השב"כ, לאו דווקא מן החברות הגדולות, המבוססות, שנותנות שרות ובדרך כלל יש להן – אני לא מכיר את המבנה, כמו שהודיתי – איזו מחלקת בטיחות או מומחה או יועץ שמטפל בזה, אלא דווקא מחברות פחות מבוססות, בלי לפגוע באף אחד, שבהרבה מקרים עובדות מן הבית בכלל, ואין להן משרדים יפים באזור התעשייה הרצליה פיתוח או משהו כזה, חברות של אדם אחד או שניים. ושם בעצם עיקר הבעיה כי שם לא ניתן טיפול נאות לנושא של תקיפות הסייבר. אני מדייק? << אורח >> ליאת גורפינקל: << אורח >> אדוני היושב-ראש, חשוב להבין שאנחנו מרגישים שהמדרג שמוזכר כאן, למעשה נותן את המענה לרבות מהטענות שעלו כאן. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אני שאלתי שאלה ספציפית. האם, כמו שאומרים בבית הזה, כוונת המחוקק – במקרה זה זאת הממשלה –הייתה לטפל בחברות, כמו שאמרתי, פחות מבוססות, עם מיעוט עובדים, גם חברות שאינן בעלות אמצעים לתת מענה נכון וסביר. << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >> החשיבות היא מתן מענה ראוי להיבטים של היערכות נכונה ומתאימה בהגנת הסייבר על הארגון. לגופים גדולים, לרוב יש להם גם את המודעות. מכיוון שהם יודעים שזו המומחיות, אלה השירותים שהם מספקים למשק, מן הראוי שהשירותים האלה יהיו מוגנים ומאובטחים ולכן הם משקיעים הרבה מאוד תשומות ברמת הגנת הסייבר של השירות. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> עד כאן אנחנו מסכימים לגמרי. אבל כפי שאמר גם ליאור פרנקל, מלשון החוק אפשר להבין שזה בעצם כל חברה, אין איזושהי הפרדה, אין איזושהי הגדרה של חברה. זה גם מתקשר לדברים של הדוברת האחרונה של מיכל, שמחר יכולים לבוא גם לנציגות של מיקרוסופט או אינטל כאן במדינת ישראל ולומר: אנחנו לא מרוצים מכם, אנחנו רוצים להיכנס ולטפל כפי שאנחנו מבינים. << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >> אז כאן נכנס הנושא של המנעד והמדרג שקבענו. זאת אומרת, ככל שחברה בוחרת לטפל בעצמה ולהתמודד בעצמה התקיפה, זה נמצא בגוף החוק. אנחנו לא נמצאים אפילו בהפעלת סמכות. אנחנו מגיעים ומבינים איך החברה רוצה לטפל ויש לה את חופש הפעולה המלא לטפל ולהתמודד עם התקיפה בעצמה. מה גם שיש לצד זה גם את ההוכחה שיש להם את היכולות על-ידי זה שהם מצהירים שהם עומדים בתקינת אבטחת סייבר. יש שתי אפשרויות שמונחות בפני אותו ספק עוד לפני שהגענו בכלל למתן הנחיות. לגבי מתן הנחיות, חשוב להבהיר שאנחנו לא מדברים על נגיעה במערכות המחשוב, כפי שעלה כאן אולי מתוך אי-הבנה. אנחנו נבהיר את זה גם בקריאת הסעיפים. אנחנו נותנים לחברה הוראות שייסעו לחברה להתמודד נכון יותר עם התקיפה. לא נוגעים במערכות המחשוב שלהם, לא מבקשים מהם לזוז הצידה ומבצעים פעולות שונות. << דובר >> רם בן ברק (יש עתיד): << דובר >> אפשר להבין את החוק כך שמאפשרים לכם להיכנס לתוך החברה ולבצע פעולות. ככה אני הבנתי את החוק. << אורח >> ליאת גורפינקל: << אורח >> לא. זו לא הכוונה. נדקדק בזה וזה כתוב בצורה מאוד מפורשת. אנחנו הגבלנו את עצמנו. הכול מתבצע על-ידי החברה. << אורח >> ליאור פרנקל: << אורח >> זה לא משנה אם האצבעות שלכם או האצבעות של הספק כי ההנחיה היא שלכם. זה לא משנה. << אורח >> ליאת גורפינקל: << אורח >> זה משנה מאוד. אנחנו לא מתערבים - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> ליאור, כאן אני דווקא אתן לך דוגמא של הוועדה הזאת: אנחנו חיים את החיים הבלתי אפשריים האלה. עוד בתקופתי כיושב-ראש הכנסת ישבתי עם היועצת המשפטית לא פעם בדיונים כי אנחנו מונחים על-ידי כל מיני גופים מקצועיים במדינה לגבי ביטחון מידע ושמירה על הסוד וכל הדברים האלה, אבל אני לא יכול לתת לאף אחד מן הגופים האלה להיכנס ואפילו לגעת עם האצבע באף אחד מן המחשבים כי אני מפקח עליהם. זאת אומרת, זה לא המקרה שלך, אני רק נתתי את זה כאיזושהי אסוציאציה, שיש הבדל באמת מאוד מהותי אם אומר לי נציג השירות, לצורך העניין כמו שקורה כאן: תשמעו חברים, יש איזה חשש לחדירות בשיטה אחרת ואתם צריכים לטפל בזה. ואז גופים שנמצאים כאן מטפלים בזה, לבין זה שהוא יישב לי פה בחדר סגור ללא פיקוח על המחשב ויכנס לשם. אלה דברים שונים לחלוטין. << אורח >> הדס תמם בן אברהם: << אורח >> אדוני היושב-ראש, אני רוצה להתייחס לסוגיה אחת, להיבט האסטרטגיה שמתווה המערך לטובת ניהול המשבר, כאשר הוא טרם הפקעת הזכות, ואם הוא נכנס כבר פנימה – אז ממש בזמן הפקעת זכות השימוש. עצם האסטרטגיה עצמה מקימה הרבה מאוד חבויות אחרות: נזיקיות, תביעות צד ג' וכולי. החוק לא מתייחס לאחריות שיש לגוף המנחה באירוע, אלא רק לטובת ההנחיה. זאת אומרת, אם אתם כגוף מנחה שמחליט לפעול באסטרטגיה מסוימת לטובת הטיפול באירוע, יש אפשרות שהחשיפה או הנזק לצד ג' או ללקוחות יהיה גדול יותר. לא ראינו התייחסות לסוגיה הזאת במסגרת החוק, אז נשמח שתפרטו יותר ואם פספסנו משהו, אז בפירוט החוק. אני רק אגיד בגדול שהחוק מבורך, חשוב מאוד. מדינת ישראל נמצאת באירוע סייבר מתמשך עוד הרבה לפני ה-7 באוקטובר, ואין ספק שזה הלך והתעצם. אז החוק הוא ראוי וחשוב. באמת, רק בדיקת האיזונים. ועוד אמירה אחת, כשניכנס לסעיפים אז ניכנס לזה אולי קצת יותר, על אותו הספק יש חובות רגולטוריות לדיווח על אירוע, שלא מצוינות במסגרת החוק הזה והדבר הזה יכול ליצור קצת בלבול בקרב הספקים כי מרגע שהוא חושב שהמערך מטפל, הוא לא נדרש לבצע הנחיות נוספות: דיווח לבנקים, לרשות להגנת הפרטיות וכולי. אולי לזה צריך לבצע איזושהי חשיבה כמדינה, כי אם המדינה נכנסת לאירוע, אולי צריך לתת משהו מתכלל יותר. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> תודה, הדס. בבקשה, חבר הכנסת רם בן ברק. << דובר >> רם בן ברק (יש עתיד): << דובר >> זה ברור לגמרי שאנחנו לא אוהבים בכנסת לחוקק חוקים שפוגעים בפרטיות, במיוחד לאור התקופה האחרונה שעברנו, אבל לא ניכנס לזה עכשיו. יש חשדנות טבעית לכל גורם ממשלתי שמנסה להיכנס לקרביים של גורם פרטי ואנחנו לא אוהבים את זה. אז נרגעתי קצת כשהבנתי שכאן מדובר במתן הנחיות ולא בגישה, כמו שאני הבנתי, גישה פיזית לתוך מערכות מחשב. זה הרגיע אותי מאוד. אני חושב, אדוני היושב-ראש, שבחוק הזה יש חשיבות גדולה ואני מציע כמובן לאשר אותו, אבל אני הייתי קובע בהחלטה שהוא לשישה חודשים ואי-אפשר להאריך אותו. אם רוצים להאריך, צריך יהיה לבוא עם חוק חדש אחרי שתחקרנו את מה שהיה בששת החודשים האלה, שמענו את ההערות של האנשים שאולי היו בחיכוך עם החוק הזה, ורק אחרי זה לאשר חוק חדש ולא באופן אוטומטי להאריך בעוד 6 חודשים ובעוד 6 חודשים, בגלל הרגישות. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> כיוונת לדעת גדולים. לא התכוונתי לעצמי, התכוונתי ליועצת המשפטית. טוב, יש לי הצעה. אני מציע שאנחנו נעבור באמת לקריאה של החוק – להקראה, כפי שמקובל לומר כאן – סעיף-סעיף, נשמע את הערות, נעשה דיון איפה שצריך. אני גם אומר לנציגי המקצוע ממערך הסייבר ולאחרים, כעיקרון התכוונו לעשות גם חלק חסוי לקבלת מידע ונתונים וכן הלאה. זה, תסלחו לי על השפה הלא פרלמנטרית, זה בלגן לא קטן. כלומר, אנו צריכים להוציא את כולם ולאחר מכן להחזיר את כולם ולהחזיר את החדר למצב של דיון פתוח, כי אנשים בטח ירצו לשמוע את הקראת הסעיפים ולהעיר את ההערות שלהם. לכן אני מציע שאנחנו נתחיל בהקראה ונשמע את כל הערות על הסעיפים. אם אתם תרגישו שמכיוון שלא קיבלנו את הדיווח החסוי ואת הנתונים וכן הלאה, בכל רגע אתם יכולים לעצור אותי. ולומר, אדוני היושב-ראש, זה לא הולך לכיוונים הנכונים מכיוון שאתם לא מבינים את מהות הטיפול שאנחנו מציעים. אנחנו מבקשים בכל זאת לעדכן אותך ואת חברי הוועדה. אנחנו מיד נעשה את זה. סיכמנו? אוקיי. << דובר >> רם בן ברק (יש עתיד): << דובר >> מה גם שאנחנו רובנו מכירים את הנתונים. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> זה ברור. אבל אני אומר שאם החברים ירגישו שמכיוון שאנחנו לא מבינים את המטרייה אז לוקחים את זה לכיוונים לא נכונים, אז אני משאיר להם את הזכות לבקש חלק חסוי. בבקשה, עידו תתחיל את הקריאה. << דובר >> עידו בן יצחק: << דובר >> "הגדרות 1. בחוק זה – "חומר מחשב", "מחשב", "פלט" ו"תוכנה" – כהגדרתם בחוק המחשבים; "חוק המחשבים" – חוק המחשבים, התשנ"ה–1995‏; "חוק להסדרת הביטחון" – חוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח– 1998; "מלמ"ב" – הממונה על הביטחון במערכת הביטחון כמשמעותו בסעיף 21 לחוק להסדרת הביטחון; "מנהל מוסמך" – אחד מאלה או ממלא מקומו: (1) ראש יחידת המודיעין וההכוונה בחטיבת איומי סייבר בשב"כ; (2) ראש מרכז תגובה (IR) במערך הסייבר; (3) ראש היחידה הטכנולוגית במלמ"ב; "מערך הסייבר" – מערך הסייבר הלאומי כהגדרתו בחוק להסדרת הביטחון; "ספק" – אחד מאלה: (1) מי שעיסוקו באספקת שירותי אחסון או שירותים דיגיטליים, ומתקיים חיבור פיזי או לוגי, קבוע או עיתי, או שמתבצעת העברת חומר מחשב קבועה או עיתית, ממחשבי הספק למחשבי מקבל שירותיו; (2) מי שעיסוקו באספקת שירותי תחזוקה, ניהול או בקרה של שירותי אחסון או שירותים דיגיטליים; "עובד מוסמך" – כל אחד מאלה: (1) עובד השירות כהגדרתו בחוק שירות הביטחון הכללי, התשס"ב–2002, שהוסמך בכתב לעניין חוק זה בידי ראש חטיבת איומי סייבר בשב"כ או בידי ממלא מקומו; (2) עובד מערך הסייבר שהוסמך בכתב לעניין חוק זה בידי ראש חטיבת ההגנה במערך הסייבר; (3) לעניין ספק של הגופים המנויים בפרטים 2 ו־3 לתוספת הראשונה לחוק להסדרת הביטחון – עובד המלמ"ב שהוסמך בכתב לעניין חוק זה בידי ראש היחידה הטכנולוגית במלמ"ב; "פעולה להגנת סייבר בחומר מחשב" – מתן הוראות למחשב בשפה קריאת מחשב לצורך הגנת סייבר, ובכלל זה הוראה לסריקה, עיבוד, הסרה של חומר מחשב הנוגע לתקיפת סייבר, התקנת סוג תוכנה שפעולתה מוגבלת לרשת הספק בלבד, חסימה או ניתוק של מחשב, או יצירת עותק של חומר המחשב; "הפעולות הצבאיות המשמעותיות" – הפעולות הצבאיות המשמעותיות שעליהן החליטה ועדת השרים לענייני ביטחון לאומי לפי סעיף 40 לחוק-יסוד: הממשלה‏, והודיעה לגביהן לוועדת החוץ והביטחון של הכנסת ביום כ"ג בתשרי התשפ"ד (8 באוקטובר 2023); "צה"ל" – צבא הגנה לישראל; "שב"כ" – שירות הביטחון הכללי; "שירותי אחסון" – שירותי אחסון של חומר מחשב הניתנים בעבור אחר, או שירותי אספקת תשתית לאחסון או לעיבוד של חומר מחשב; "שירותים דיגיטליים" – שירות שהוא אחד מאלה, הניתן בעבור אחר: (1) שירותי תוכנה לרבות כתיבה, התאמה, שינוי, בדיקה, תמיכה, מחקר ופיתוח; (2) שירותי ניהול או הפעלה של מערכות מחשבים המשלבות חומרה, תוכנה וטכנולוגיות תקשורת; (3) שירותי עיבוד נתונים, הזנתם או שחזורם, התקנה והגדרת תצורה של מחשבים, התקנת תוכנה או שירותי הגנת סייבר; (4) אספקה או התקנה של מחשבים או של ציוד בקרה, המהווים חלק ממכונות וציוד תעשייתי; "תקיפת סייבר" – פעולה או חשש ממשי לפעולה, שנועדה לפגוע שלא כדין בשימוש במחשב או בחומר מחשב השמור בו, לרבות – (1) שיבוש פעולתו התקינה של מחשב או הפרעה לשימוש בו; (2) מחיקת חומר מחשב, שינויו, שיבושו או הפרעה לשימוש בו; (3) אחסון או הצגה של מידע או פלט כוזב, או שיש בהם כדי להטעות, בהתאם למטרות השימוש בהם; (4) חדירה לחומר מחשב כהגדרתה בסעיף 4 לחוק המחשבים; (5) האזנת סתר לתקשורת בין מחשבים כמשמעותה בחוק האזנת סתר, התשל"ט–1979‏; (6) גישה של גורם שאינו מורשה למידע השמור במחשב, ובכלל זה בדרך של פגיעה בתהליך הזדהות, או הוצאתו שלא כדין של מידע לרבות בדרך של העתקתו, על ידי גורם כאמור; (7) הפרעה או מניעה של חיבור של מחשב לרשת תקשורת.". << יור >> היו"ר יולי יואל אדלשטיין: << יור >> עד כאן סעיף 1. בבקשה, הערות, הצעות, בבקשה. כן, ליאור. << אורח >> ליאור פרנקל: << אורח >> זו ההערה שלנו מקודם. ההגדרה של חברות היא מאוד מאוד מאוד רחבה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> תפנה אותנו לתת-סעיף. << דובר >> עידו בן יצחק: << דובר >> בעצם שירותים דיגיטליים, אתה אומר. << אורח >> ליאור פרנקל: << אורח >> כן, זו הגדרה מאוד מאוד רחבה, שירותים דיגיטליים. כמעט כל חברת הייטק נותנת שירותים דיגיטליים. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> יש לך הצעה? איך היית מנסח פה? << דובר_המשך >> ליאור פרנקל: << דובר_המשך >> אני לא יודע. זו ההגדרה שהממשלה רוצה. אם יש סקטור ספציפי, אז בואו נגדיר את הסקטור הספציפי או את תחום העיסוק בצורה מדויקת, כי כרגע - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אתה אומר שכל חברה שיש לה מחשבים יכולה להיכנס להגדרה. << דובר_המשך >> ליאור פרנקל: << דובר_המשך >> אני לא אומר את זה בציניות. זה מכיל בתוכו הגדרה מאוד רחבה. << דובר >> רם בן ברק (יש עתיד): << דובר >> ליאור, אבל למה לא? << אורח >> ליאת גורפינקל: << אורח >> חשוב להבין ולדייק. כמו שעומרי אמר, יש כאן מספר מסננות: יש את ההגדרה של שירותים דיגיטליים ושירותי אחסון עבור אחר, ועליהם יש את ההגדרה של ספק. "ספק" מדבר למעשה על הקישוריות הקבועה או העיתית או מתן שירותי תחזוקה. זאת אומרת, אנחנו מגיעים לספקים רק כאשר אנחנו מבינים שמי שנותן את השירותים הדיגיטליים ואת שירותי האחסון הוא למעשה ספק שיש לו חיבוריות קבועה מבחינת מערכות המחשוב והוא נותן שירותים עבור אחר. על זה יש מסננת נוספת שנקראת "תקיפה חמורה". אנחנו מגיעים רק כאשר יש חשד לתקיפה חמורה שפוגעת בביטחון המדינה, ביטחון הציבור ושירותים חיוניים. זאת אומרת, יש כאן מספר נדבכים שהם קומה על קומה על קומה. אז יכול להיות שההגדרה עצמה היא הגדרה רחבה, אבל עליה אנחנו מוסיפים מספר קומות כך שאנחנו מגיעים לבסיס שמטריד אותנו כמדינה בימי לחימה. את זה צריך להבין. << דובר >> רם בן ברק (יש עתיד): << דובר >> מה גם שאפשר לקחת חברה קטנה מאוד ודרכה להגיע לחברה מאוד גדולה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> זאת הדאגה העיקרית שלהם. << דובר_המשך >> רם בן ברק (יש עתיד): << דובר_המשך >> אנחנו צריכים פריסה רחבה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> כן, עמרי, רצית להעיר. << אורח >> עמרי רחום טוויג: << אורח >> תודה אדוני. קודם כל, אני מסכים שבאמת הגדרת שירותי אחסון ושירותים דיגיטליים הן הגדרות רחבות. אבל זה נכון ששני המונחים האלה קשורים קשר הדוק להגדרת ספק, שהוא בעצם המסננת העיקרית שאמורה לקשור בין נותני השירותים האלה לבין תכליתו של החוק, שהיא כאמור, מניעת התפשטות של מתקפות בין ספק שירותים טכנולוגיים ללקוחותיו. לקוחותיו, במובן שגם הם עסקים במדינת ישראל. כדי לגדר בצורה יותר טובה את ההתייחסות למצבים האלה, אפשר בהגדרת המונח "ספק" – אגב, להגדרת המונח "ספק" יש שתי חלופות: אחת, ספק השירותים העיקרי, מי שנותן את התשתית הטכנולוגית שעליה מתבצעות פעולות המחשב השונות; והשנייה, מי שעוזר לספק העיקרי בשירותי תחזוקה. יש בעיניי גליץ' מסוים בין החלופה השנייה לבין הגדרות שונות בהגדרת נותני שירותים דיגיטליים, כי גם שם יש התייחסות לשירותי תחזוקה, שירותים נלווים שהם לא השירות העיקרי. אבל בהגדרה העיקרית של ספק, כדי שניתן את המסננת הזאת בסיפה של סעיף (1), מדובר על שירותים שנותן הספק מחשבי הספק למחשבי מקבל שירותיו. אני חושב שחשוב להבהיר כאן שמקבל שירותיו צריך להיות עסק בפני עצמו. כשיש גוף שהמחשבים שלו משמשים למתן שירותים למשתמש קצה, בוודאי שיכול להיות סיכון סייבר בשירותים. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אבל זה לא אותו דבר. << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >> לא סיכון הסייבר שהחוק הזה עוסק בו. אז זאת הגבלה אחת. ההגבלה השנייה, אני חושב שצריך לחדד אותה או לפחות להציע אולי איזשהו קנה מידה. שימו לב שההגדרה של ספק שנכנס לקטגוריה היא מי שהחיבוריות שלו עם מקבלי שירותיו, פיזית או לוגית – זה לרוב זה יהיה לוגית – היא קבועה או עיתית. הרציונל ברור, אי-אפשר שזה יהיה קבוע לחלוטין כי אז בניתוק רגעי יוצאים מתחולת ההגדרה. מצד שני, מה זה עיתי? האם חיבוריות שלי כספק שירותים אחת לחצי שנה ללקוח שלי מכניסה אותנו לגדרי הסיכונים הרלוונטיים לחוק? המונח עיתי חייב להיות באיזשהו קונטקסט של תדירות גבוהה. כלומר, תדירות מתמשכת יום יומית. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> זאת אומרת קבועה או בתדירות גבוהה, זה מה שהיית מציע. << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >> כן. אני חושב שזה בהחלט יכול להיות חידוד. אבל שוב, הסיפה של מקבל השירותים, או להגדיר את המונח "מקבל שירותים" או להגדיר את "מקבל שירותיו" שהוא עסק. << דובר >> מירי פרנקל-שור: << דובר >> כל סעיף כאן חשוב לתכלית החוק. ההערה שלך לגבי "עיתי", איך היא מתכתבת עם תכלית החוק? << אורח >> עמרי רחום טוויג: << אורח >> גם בדברי ההסבר, אם קראתי אותם נכון, כתוב שהמטרה כאן היא להפחית את ההסתברות שתקיפה שנותן שירותים מסוים תנצל את החיבוריות הגבוהה שיש לאותו גורם. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> בשפה פשוטה: שדרכו יגיעו למערכות הרבה יותר חשובות. << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >> שאלת התדירות של החיבוריות הזאת בוודאי משפיעה הסתברותית על היכולת להתפשט. << אורח >> דרור גרנית: << אורח >> היו פה שתי הערות, ולאחת מהן אני אציע את התשובה ולשנייה – הגורם המקצועי. בשאלה הראשונה על הספק שירותים עבור אחר, יושם אל לב שגם בהגדרה של שירותי אחסון וגם בהגדרה של שירותים דיגיטליים נכתב במפורש שהשירותים ניתנים עבור אחר. << אורח >> עמרי רחום טוויג: << אורח >> אבל האחר יכול להיות אדם אינדיבידואל פרטי. אני אתן לכם דוגמא. קחו לדוגמה כל שירות לאנשים פרטיים שבו מעלים מידע לאינטרנט, לשירות הזה. שירות אחסון שניתן לאנשים אינדיבידואליים למידע שלהם, שהם עובדים איתו, קבצי Word שהם עובדים איתם במחשב. כשמשתמשים בשירות הזה רק אנשים פרטיים, בהחלט יכול להיות שאם תהיה תקיפת סייבר של הספק, ידלוף כל המידע שלהם – יש חוק הגנת הפרטיות, יש חוקים אחרים שעוסקים בסיכון הזה. התרחיש הזה לא מייצר סיכון שרשרת. << אורח >> דרור גרנית: << אורח >> הוא לא עונה על הקריטריונים. אמרה פה קודם ליאת, וזה נכון, זה ייפול בנדבכים האחרים << אורח >> עמרי רחום טוויג: << אורח >> אני לא יודע. גם על הנדבכים האחרים עוד נדבר. אנחנו נדבר עליו שם, גם שם זה עוד לא - - - << אורח >> ליאת גורפינקל: << אורח >> - - - הגדרה של תקיפה. << אורח >> עמרי רחום טוויג: << אורח >> אני לא בטוח, כי גם ההגדרה ההיא לא מתייחסת בהכרח לסוגייה הזו. אין סיבה לא לתפוס את זה גם בהגדרה הזאת, עם כל הכבוד לגישת המסננות. הייתי מציע שבסיפה של הגדרת ספק של פרט (1) להגדרת ספק, לכתוב: ממחשבי הספק למחשבי מקבל שירותיו ובלבד שמקבל השירותים הוא עסק. נגיד, לצורך העניין. << דובר >> עידו בן יצחק: << דובר >> יכול להיות גוף שאינו עסק, גוף ממשלתי. << אורח >> דרור גרנית: << אורח >> או עמותה גדולה. << אורח >> עמרי רחום טוויג: << אורח >> אין בעיה. ובלבד שלא מדובר ביחיד. ובלבד שמקבל השירותים אינו יחיד. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> כן, יש בזה משהו, רק צריך ניסוח נכון. יש פה גופים ממשלתיים, יש עסקים ויש עמותות. עמותה יכולה היום להיות עם עשרות אלפי אנשים. << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >> וכולם אינם יחידים. אני חושב וכולם אינם יחידים. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> חד-משמעית. << אורח >> אסנת הראל וינשטיין: << אורח >> פה מתעוררת שאלה נוספת כי זה יצריך בעצם לבקש את רשימת הלקוחות שלו. << אורח >> ליאור פרנקל: << אורח >> זה מגיע מראש, כי אתם אומרים שיש השפעה גדולה. אז אם אתם לא יודעים שיש הרבה לקוחות, לא הייתם באים לזה מראש. ברור, אחרת איך אתם מגדירים שזה חמור אם אתם לא יודעים מיהם ספציפית הלקוחות. << אורח >> אסנת הראל וינשטיין: << אורח >> אנחנו לא מבקשים את רשימת הלקוחות. כדי להבין מי מלקוחותיו יחידים או רק יחידים, הגופים יצטרכו את רשימת הלקוחות שלו ואז עולה השאלה של פגיעה בפרטיות. << אורח >> עמרי רחום טוויג: << אורח >> קודם כל, אני לא בטוח שעולה השאלה של פגיעה בפרטיות, יש דרכים לפתור אותה. ואם יש בעיה של פגיעה בפרטיות, אז יש פה עוד רכיבים שיכולים לפגוע בה. אני חושב שזה לא חייב להיות מנדטורי שספק יגלה את רשימת לקוחותיו. אם הוא חושב שהוא לא נכנס לקטגוריה והוא חושב שזה גורם מפחית עומס רגולטורי, אז תהיה לו הזדמנות להציג בפניכם מידע ולהראות שהוא לא נכנס לקטגוריה הזאת. אבל לפחות לשמור את האפשרות שזה יקרה, כי בהחלט יש נותני שירותים כאלה שנמצאים מחוץ לסקופ הקונספטואלי של מה שאתם מתכננים להשיג כאן. << אורח >> קרן גל און: << אורח >> שקלנו את הדברים האלה במהלך הניסוח של החקיקה. וכמה שזה קוסם, אולי, כשלב ראשון, ככל שמעמיקים ברעיון הזה רואים שהוא בעצם לא ישים. יש עוסק מורשה – האם הוא יחיד או לא יחיד? זה יכול להיות אדם אחד. יש נתונים שאנחנו לא יודעים. הרף המאוד גבוה שבעצם יגיע עוד מעט בסעיף (2) הוא שאנחנו, כל הגופים הביטחוניים, יכולים לפנות רק כשיש חשש ממשי לתקיפת סייבר חמורה שמסכנת את ביטחון המדינה ואת כל מה שדובר, כגון, ביטחון הציבור וכן הלאה. זה רף מאוד מאוד גבוה. זה הרף שמהווה את המסננת המרכזית. כשניסינו לצמצם את ההגדרה של תקיפה, ראינו שזה לא נותן את המענה המבצעי שבשבילו בעצם נועד החוק. אני אגיד שההגדרות האלה גם מתכתבות עם הגדרות שקיימות בעולם בשינויים מסוימים, ברור, אבל זה לא משהו נדיר. צמצום של ההגדרה הזאת ירחיק אותנו מהמטרה של החקיקה הזאת, שהרף המהותי נמצא בסעיף הזה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> מבלי להיכנס לפרטים אופרטיביים, כרגע הקריטריון היחידי לגבי החומרה או המשמעות של תקיפת הסייבר הוא, כנראה, הצד האדום, האויב, מנסה כל הזמן להגיע למשהו. אם אין לכם רשימת לקוחות, אם אתם לא יודעים למי חברת, לא יודע מה, חיים וינקל, שירותי דיגיטליים, נותנת שירות, אז זה מתבסס רק על דבר אחד: שמישהו בקצה השני מנסה להגיע אליו. << דובר_המשך >> קרן גל און: << דובר_המשך >> אבל אנחנו יודעים לנתח – את זה יסביר אורי – מנסים להגיע כל הזמן להרבה מאוד גורמים. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> זהו. זה מה שאני אומר. << דובר_המשך >> קרן גל און: << דובר_המשך >> תקנות שעת החירום, שהן מאוד דומות וכבר תקפות כמעט 3 שבועות, לא הפעלנו אותן. זאת אומרת, אנחנו לא בקלות עוברים את הרף הזה. זה שמישהו שמנסה להגיע - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> זה לא הקריטריון היחידי. << דובר >> מירי פרנקל-שור: << דובר >> השאלה הזו מתחדדת כאשר אנחנו נקרא את סעיף (2) בו אנחנו מגדירים מה זו תקיפת סייבר חמורה. ואנחנו גם שאלנו, איך אתה יודע שתקיפת הסייבר היא חמורה כאשר אתה לא יודע מי נמצא לך בקצה. << אורח >> עמרי רחום טוויג: << אורח >> אני מסכים מהותית לחלוטין לדברי היועצת המשפטית, אבל אז כל גישת המסננות קצת מתערערת. זאת אומרת, כל מרכז הכובד נופל על המסננת האחרונה. זה בסדר, אבל אז אולי נצטרך להיות יותר קפדניים איתה. << דובר >> מירי פרנקל-שור: << דובר >> אני חושבת שלדון בסעיף הגדרות לפני שאנחנו ההסבר כולו זה לפעמים קשה, אז אני מציעה שנשים בצד את ההערות ואת הדיון בהגדרה של ספק ושירותים דיגיטליים, נמשיך ונחזור לזה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אני רוצה לוודא שמישהו מאיתנו רושם את ההערות. הייתה הערה לגבי ההגדרה של החברות, של מה זה ספק שירותים דיגיטליים. ואני גם אבקש הסבר, תחת הכותרת של שירותים דיגיטליים, לגבי סעיף(4) "אספקה או התקנה של מחשבים או של ציוד בקרה המהווים חלק ממכונות וציוד תעשייתי". אנחנו עוסקים בסייבר, אז אני מכיר דרכים נוספות לטפל במחשבים, אבל איך זה קשור לתקיפות הסייבר, אדוני? << אורח >> אורי שיין: << אורח >> ציוד בקרה מתייחס לכל מערכות בקרה שמוחצנות לאינטרנט. ראינו באפריל 2020 כבר את תקיפת בקרי המים על מתקני התשתית בישראל. זה נכון גם להפעלות מערכות כריזה שהיו פה גם בבחירות האחרונות. אז זה גם מערכות כריזה. זה מתחבר גם לשאלה אחרת, סליחה היושב-ראש, אני משתף, אבל גם לנושא של העיתי, זאת אומרת, ספק שמגיע אחת לתקופה לשדרג מערכת או לתחזק אותה, זו הכוונה לעיתי, ולכן החיבור הוא לא לוגי קבוע. לכן זה מתייחס לשתי השאלות האלה, גם לנושא של התדירות וגם לנושא של מערכות הבקרה שמוחצנות לפעמים באופן חסר אחריות ולפעמים באופן מאובטח בצורה טובה. זה מתייחס למגזר הזה. יש מערכות קירור שמוחצנות לאינטרנט. יש המון מערכות שבסוף יש בקר שמפעיל איזשהי מערכת פיזית מאחורה – אנחנו מתייחסים למי שנותן שירותים לאוכלוסייה הזאת. << אורח >> עמרי רחום טוויג: << אורח >> למה זה לא נכנס בפרט (2) להגדרת ספק? פרט שתיים כולל את מי שעיסוקו באספקת שירותי תחזוקה, ניהול או בקרה לשירותי אחסון, מחשוב ודברים אחרים. אז זה פשוט קצת - - - << אורח >> ליאת גורפינקל: << אורח >> זה אחד פלוס אחד. שתי ההגדרות עצמן, זה סעיף (4) וגם - - - << אורח >> עמרי רחום טוויג: << אורח >> כן, אבל שוב, סעיפים (4) ו-(5) להגדרת שירותים דיגיטליים נכנסים ממילא בפרט (2) להגדרת ספק. זו כפילות. << אורח >> ליאת גורפינקל: << אורח >> זה נדבך על נדבך. << אורח >> עמרי רחום טוויג: << אורח >> לא. הוא נכנס לתחולה מעצם זה שהוא נותן שירותים דיגיטליים, כי הוא נכנס בפרט (4) או (5), לצורך העניין, להגדרת נותן שירותים דיגיטליים. << אורח >> ליאת גורפינקל: << אורח >> לא. << אורח >> עמרי רחום טוויג: << אורח >> איך לא? זו תחולה ישירה מכוח פרט (1) להגדרת ספק. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> טוב. רשמנו פה את ההערות, ולפני ההצבעה אנחנו נחזור לזה. בבקשה, עידו, בוא נמשיך עם סעיף 2. << דובר >> עידו בן יצחק: << דובר >> "תקיפת סייבר חמורה 2. (א) מנהל מוסמך רשאי לקבוע כי תקיפת סייבר שמתרחשת או עומדת להתרחש היא תקיפת סייבר חמורה, אם מצא כי יש חשש ממשי שיש בה כדי לפגוע בביטחון המדינה, בביטחון הציבור או בקיום האספקה והשירותים החיוניים, ובשל כל אלה (בחוק זה – תקיפת סייבר חמורה): (1) התרחשותה במהלך תקופת הפעולות הצבאיות המשמעותיות; (2) קיומו של חשש ממשי שהיא בעלת השפעה משמעותית שאינה מוגבלת לספק הנתקף; (3) מאפייניה, לרבות מיתאר התקיפה או זהות התוקף. (ב) הסמכות הנתונה למנהל מוסמך לפי סעיף קטן (א) תהיה נתונה לראש חטיבת הגנה בסייבר בצה"ל, לעניין תקיפת סייבר שהוא מצא כי יש בה כדי לפגוע ברציפות התפקוד המבצעי של צה"ל, בשל האמור בפסקאות (1) עד (3) של אותו סעיף קטן.". << יור >> היו"ר יולי יואל אדלשטיין: << יור >> עד כאן סעיף 2. יש הערות, הצעות, לשינויים? << דובר >> רם בן ברק (יש עתיד): << דובר >> לי יש הערה מחמירה דווקא. אם יש לכם במערך הסייבר מידע על מתקפה שיכולה לסכן מהלכים צבאיים של הצבא או לפגוע באוכלוסייה, אז למה שלא ניתן לכם את האפשרות גם להיכנס למערכות? אתם תלויים עכשיו בטוב ליבן של החברות. << אורח >> עמרי רחום טוויג: << אורח >> כן, כן. התשובה היא כן. << אורח >> ליאת גורפינקל: << אורח >> ניסינו להיות מידתיים. << דובר >> רם בן ברק (יש עתיד): << דובר >> ברור, גם אני רוצה. האם בחוק אחר שאני לא מכיר אותו, שאתה כראש מערך הסייבר רואה שיש איום מהותי על אוכלוסייה, על בנק הדם בבית חולים, על הפסקת מי שתייה או ערבוב מי ביוב עם מי שתייה – מהסוגים האלה, מהדברים האלה, זה לא דמיון שלי מה שאני אומר עכשיו – האם יש לך את האפשרות להתערב פיזית בחוק אחר, לא בחוק הזה? << אורח >> ליאת גורפינקל: << אורח >> בכל מקרה, אנחנו כמערך הסייבר לא מתערבים באופן פיזי. גם לגבי התשתיות הקריטיות שלנו, שנמצאות בחוק להסדרת הביטחון, אנחנו מנחים להעלות את רמת - - - זה תהליך ארוך - - - << דובר >> רם בן ברק (יש עתיד): << דובר >> אתם לא רוצים להיות - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אבל באותו זמן הוא בחופשה. זו חברה של שני אנשים, אחד בחופש והשני עם תעודת מחלה מקופת חולים. אתם או שירות הביטחון הכללי, מזהים כאן מה שמכונה סכנה ברורה ומיידית – מה עושים במצב כזה? << אורח >> ליאת גורפינקל: << אורח >> למערך הסייבר אין סמכות להתערב באופן אקטיבי במערכות. << אורח >> מוריה: << אורח >> לנו יש סמכויות, כפי שאתם מכירים. אנחנו עושים בהן שימוש במקרה הצורך. אלה, כמובן, דברים שיוכלו להתמסר בדיון סגור. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> רק רצינו להיות רגועים. << דובר >> רם בן ברק (יש עתיד): << דובר >> אתם עובדים בשיתוף פעולה עם מערך הסייבר, אז יכול להיות מצב בו אתם פונים אליהם - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> בזה אין לנו חשש. << אורח >> דרור גרנית: << אורח >> יש גם תזכיר חוק לתיקון חוק השב"כ, שמסמיך באופן מפורש לבצע פעולות כאלה. << אורח >> ליאור פרנקל: << אורח >> אז למה צריך את זה? << יור >> היו"ר יולי יואל אדלשטיין: << יור >> לא הכול מגיע לרף. אני לא רוצה שעל כל האקר בן 16 שמנסה באמת לשבש ולפעמים גם מצליח, תהיה פה אזעקת אמת בכל פעם. << דובר_המשך >> ליאור פרנקל: << דובר_המשך >> אבל זה הרף שאומר: תקיפת סייבר חמורה, ביטחון המדינה. ביטחון המדינה השב"כ יתכבד ויטפל. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> כן, אבל לפני ביטחון המדינה יכולה להיות גניבה של כרטיסי האשראי של רשת חנויות שהיא חברה מספקת להם שירותים. זה לא אירוע בסדר גודל שדיבר עליו רם בן ברק, אבל זה חמור. << דובר_המשך >> ליאור פרנקל: << דובר_המשך >> לא בטוח שזו דוגמה לאירוע שאתה רוצה שתהיה הנחיה כזאת. זה סיכון עסקי. << דובר >> רם בן ברק (יש עתיד): << דובר >> אבל עם הנחיה אין בעיה, ליאור. מה אכפת לך שינחו אותך? אם אתה עכשיו בעל חברת כרטיסי אשראי - - - << אורח >> ליאור פרנקל: << אורח >> אם אני חייב לממש את ההנחיה בצורה חוקית, כמו שאמר עמרי, כניסה - - - << דובר >> רם בן ברק (יש עתיד): << דובר >> אבל לא נכנסים. הבנתי שלא נכנסים. << אורח >> ליאור פרנקל: << אורח >> הכניסה היא ככה או ככה, זה - - - << דובר >> רם בן ברק (יש עתיד): << דובר >> בחברה שלך אתה נכנס, רק שאתה מונחה על-ידם. אני לא רואה עם זה בעיה. בהתחלה חשבתי שהם נכנסים פיזית. ברגע שהם לא נכנסים פיזית אלא מנחים אותך, אתה יכול להגיד להם: תקפצו לי. אז הם יחליטו אם לפנות לשב"כ או לא. << דובר >> מירי פרנקל-שור: << דובר >> אני רוצה להבין את הסוגייה של השירות. על-פי חוק השב"כ היום, יש לכם אפשרות להיכנס למחשבים של - - -? << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אני לא חושב שאנחנו צריכים לפרט כאן. רק סמכות, כן. << דובר_המשך >> מירי פרנקל-שור: << דובר_המשך >> על-פי חקיקה של חוק השב"כ, יש לכם סמכות? << אורח >> מוריה: << אורח >> קודם כל, יש בחוק השב"כ היתר ח"ס לפי סעיף 10 וזה נעשה במקרים מסוימים ורלוונטיים. כמו שאמרתי, אפשר להרחיב על זה בדיון חסוי. זה לא הפורום. << אורח >> קרן גל און: << אורח >> בהתייחס למה שאמר חבר הכנסת בן ברק, זה בדיוק האתגר שהיה כאן. זאת אומרת, בין פעם אחת, לקחת את כל הסמכויות שאנחנו רוצים, שאנחנו יודעים שאנחנו כבר בעולם של תקיפת סייבר חמורה שמסכנת את ביטחון המדינה, לבין לא לעשות כלום. האיזון הוא בדיוק באמצע. כמובן שעושים איזון, אז כל אחד רוצה למשוך את - - - למקום אחר, אבל יש פה הצעה מאוד מאוזנת שנותנת את זה. << אורח >> אורי שיין: << אורח >> אדוני, אני מבקש להוסיף. חשוב להגיד שאנחנו מביאים לחברה מידע שהוא מידע קונקרטי לגבי תקיפה, שהיא לא יכולה להשיג אותה בדרך אחרת. לגבי תחולת החוק, אנחנו קודם כל אומרים לו: תעשה בבקשה שימוש במידע ותכיל את התקיפה. אנחנו לא מתכוונים להחליף אותו בהנחה והוא מבצע פעולות שמניחות את הדעת, מצליח לעצור את התקיפה. מערך הסייבר סיים את תפקידו פה כל עוד אנחנו רואים שאותו וקטור כניסה נסגר והאירוע הזה לא יכול לחזור לעצמו יום אחרי. בהנחה שאנו רואים תקשורת של תוקף שממשיכה לעבוד גם אחרי שהוא הצהיר על פעולות, פה אנחנו בבעיה אחרת, ואז אנחנו צריכים לתת לו הנחיות מתוך זה שאנחנו ממשיכים לראות את התקיפה פעילה. << אורח >> רפי סלמה: << אורח >> אני אשמח להוסיף. יש גם סעיף שמירת דינים. זאת אומרת, סמכויות שקיימות היום, בין אם בדין או בין בהסכמים, נשמרות גם אחרי החוק הזה. זה נותן מענה לחלק מהמקרים שתיארת כאן, אבל לא לכולם. זה במקרה של שני הילדים שמפעילים את המערכות. << אורח >> עמרי רחום טוויג: << אורח >> שתי הערות לסעיף 2. האחת נוגעת לשאלת ה"עומדת להתרחש". בוודאי שכשמתרחשת תקיפת סייבר חמורה, אמורה להיכנס לפועל הסמכות. "עומדת להתרחש", זה מונח קצת חמקמק. איך אנחנו יודעים שעומדת להתרחש? מה מידת הוודאות? מה מידת המידע? חלק מהחובות כאן של העובדים המוסמכים זה גם להסביר לגוף המונחה מהי התקיפה ואת עצם קיומה. אני חושב שחייבים לקבוע איזשהו רף של ודאות, ודאות קרובה. איך אדוני אמר, ודאות קרובה לקיומה של תקיפה. << אורח >> ליאת גורפינקל: << אורח >> הרף הוא חשש ממשי. << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >> לא. "עומדת להתרחש", מנותק מחשש - - - << אורח >> אורי שיין: << אורח >> אני לא עורך דין, אני אדבר בשפת המקצוע שלנו. כשאנחנו מזהים נגישות ודאית של תוקף בתוך הרשת שלך, רק שהוא עדיין לא הפעיל את כלי המחיקה, אני אומר לך שכביכול יש חשש ממשי. זה אומר שהוא כבר השיג את הנגישות ועכשיו זה רק תלוי בזה שהתוקף מחליט לבצע את הפעילות. << אורח >> עמרי רחום טוויג: << אורח >> אבל זו כבר חדירה לחומר מחשב, והיא כבר עולה כדי תקיפת דרייבר. זה כבר קורה. היא לא עומדת להתרחש, היא מתרחשת. אני מבין מודיעין. אני מבין שכשיש מודיעין וברור שיש מודיעין סייבר, וכשיש מודיעין אפקטיבי אז יש ודאות קרובה שתקיפה הולכת ולהתקרב. << אורח >> ליאת גורפינקל: << אורח >> חשש ממשי. << אורח >> עמרי רחום טוויג: << אורח >> המונח הוא לא "חשש ממשי", סליחה. << דובר >> עידו בן יצחק: << דובר >> - - - מתייחס לפגיעה - - - << אורח >> עמרי רחום טוויג: << אורח >> נכון. לא לעצם קיומה של התקיפה. << אורח >> אורי שיין: << אורח >> קשה מאוד להתייחס בדיון הפתוח לדבר הזה. << אורח >> הדס תמם בן אברהם: << אורח >> במה זה שונה מהמצב הקיים היום? היום אתם מעבירים לחברות דיווחים כאשר יש חשש ממשי. << אורח >> ליאת גורפינקל: << אורח >> נכון. זה לא שונה מהמצב שקיים היום. השינוי המרכזי בכל התהליך הוא שאנחנו תמיד נעדיף לפעול בשיתוף פעולה למול הארגונים, זאת נקודת המוצא. אני חושבת שיש כאן תקדים לגבי המנעד המאוד מפורט שכתוב פה לגבי התהליך עצמו. אנחנו מגיעים לארגונים, וככל שיש שיתוף פעולה, אנחנו בכלל לא נכנסים לתוך החוק הזה. אנחנו מביאים את המידע הערכי. המטרה היא לסייע לארגונים להתמודד. אנחנו מביאים גם את הידע שלנו המאוד משמעותי, גם ביחס לגופי התקיפה והמתווה שבו גופי תקיפה פועלים, ואנחנו נותנים את המידע הזה ככל שמתאפשר וככל שביכולתנו כדי שאותו ארגון יוכל להתמודד עם התקיפה ובכלל לא להיכנס לדל"ת אמותיו של החוק. היינו מעדיפים שלא להפעיל את החוק. אבל במקומות שאנחנו רואים שהארגונים בוחרים שלא להתייחס בכלל לאותו מידע ערכי, הם יודעים להתקשר אלינו אחר-כך ולהגיד לנו: צדקת, החברה נמחקה. היינו מעדיפים להקדים תרופה למכה, ככל שמדובר פה באירועי לחימה ולא היינו רוצים ששירותים חיוניים יפלו בגין אותה התעלמות של אותו גורם. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> תודה. טל מימרן, בבקשה. << אורח >> טל מימרן: << אורח >> קודם כל, כהנחת מוצא, יש לי תחושה שרוב היושבים בחדר מאמינים בחשיבות של החוק ומאמינים ביכולת המקצועית של מערך הסייבר ושאר גופי המודיעין לממש את הסמכות שתינתן להם כתוצאה מהחוק. << דובר >> רם בן ברק (יש עתיד): << דובר >> הקמנו אותו בשביל זה. << אורח >> טל מימרן: << אורח >> בדיוק. אני חושב שעיקר השינויים או עיקר הדגש של הדיאלוג, טוב יהיה אם הוא התמקד במישור שיתוף הפעולה והתקשורת שבין מערך הסייבר לבין חברות פרטיות, ואני חושב שראוי לתת למערך הסייבר שפועל כבר כמה שנים בלי הסדרה חוקית מספקת, וכן הלאה, ומיצב את עצמו כגוף ביטחון ומודיעין מהשורה הראשונה, מגיע להם לעשות את הפיילוט הזה בנסיבות הקיימות, בצורה הכי טובה שתאפשר להם לממש את התפקיד שלהם. אז למשל, בנוגע למחלוקת האם להחריג אדם פרטי או לא, אני דווקא לא הייתי ממהר להחריג אנשים פרטיים, גם בגלל המורכבות החוקית שצוינה, וגם כי המשפט "חוזק השרשרת הוא כחוזק החוליה החלשה ביותר" נכון גם למרחב הסייבר. אם אדם פרטי הוא החוליה החלשה, אז אני לא חושב שצריך להגביל את מערך הסייבר להתמודד בסוגיה. דבר שני, אני חושב שמערך הסייבר ישכיל להתנהל אחרת מול סטרטאפ בן יומו או מול צ'ק פוינט. במובן הזה, הכבדת יתר על היכולת להוציא לפועל או אפילו לזהות קיומו של חשש או תקיפה מתקיימת או עלולה להתרחש, עלולה דווקא לפגוע בפיילוט הזה, ואנחנו עוסקים כאן בפיילוט, בסופו של דבר. דבר אחרון ברשותך אדוני, לא כל תקיפת סייבר היא זהה לאחרת, ולכן אם יש חשש שמגיעה תקיפת DDOS שמטרתה להקריס את האתר זה אירוע אחד, ואם יש חשש שמגיעה תקיפת וויפר שבסופה יימחק מידע באופן בלתי הפיך, זה אירוע אחר לגמרי. יכול להיות ששם נכון לייצר מדרגות או להבנות שיקול דעת. באופן כללי אני חושב שדווקא צריך לתת למערך הסייבר לרוץ קדימה עם הפיילוט הזה. << דובר >> מירי פרנקל-שור: << דובר >> ליאת, אם נוסיף לאור הדיון למרות מה שנאמר עתה, יש ודאית קרובה או חשש ממשי שעומדת להתרחש, אני חושבת שזה נותן לכם את המענה, למרות שבהגדרת תקיפת סייבר יש "חשש ממשי". אני רואה, נכון. אני לא בטוחה שזה מעלה או מוריד, אבל אם זה נותן איזשהו חיזוק יתר, אני חושבת שזה לא מפריע לכם. << אורח >> ליאת גורפינקל: << אורח >> מבחינתנו זה מה שכתוב. זאת אומרת, אפשר לכתוב "חשש ממשי לתקיפה". ברמת ודאות קרובה, זה רף גבוה מדי. << דובר >> מירי פרנקל-שור: << דובר >> אז חשש ממשי. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> חשש ממשי. << אורח >> עמרי רחום טוויג: << אורח >> סליחה, אבל "חשש ממשי" בהגדרת תקיפה הוא לעצם הפעולה שמהווה תקיפה, ו"החשש הממשי" בסעיף הזה הוא לעצם היותה תקיפת סייבר חמורה. אלה שני מדרגים שונים. << אורח >> אסנת הראל וינשטיין: << אורח >> אנחנו חושבים שזה מספק בתקיפת סייבר. אבל אם אתם חושבים שזה - - - << דובר >> מירי פרנקל-שור: << דובר >> לאור החשש שעלה אפשר להוסיף. << אורח >> עמרי רחום טוויג: << אורח >> ברשות אדוני, רק גם לפרט (2) לאותו סעיף קטן (א), שהוא בעצם המסננת שדיברנו עליה גם קודם בהקשר של הגדרה של ספק, אז אחד התנאים כאן להפעלת הסמכות לקיומה של תקיפת סייבר חמורה הוא שקיים חשש ממשי שהיא בעלת השפעה משמעותית שאינה מוגבלת לספק הנתקף. מה זה "אינה מוגבלת לספק הנתקף"? האם אינה מוגבלת לספק הנתקף כי היא משפיעה על לקוח אינדיבידואלי אחד שלו או - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אבל עוד פעם, כאן דווקא בהתמשכות הדיון, אני מאוד התחברתי להערה שלך לגבי, כמו שאמרתי, קולקטיב הלקוחות, אם זה עסק או אם זו עמותה או אם זה גוף ממשלתי. עכשיו כשאני חושב על זה, אם יש לו אוסף של יחידים שהוא מספק להם שירותים, ויכול להיות אוסף גם מאוד גדול, אז כדאי להגן עליהם. << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >> מעולה. אז אפשר גם לשנות את מטרת דבר החקיקה הזאת. זו לא מטרת החקיקה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> לא, לא. םם הוא מספק שירותים דיגיטליים ובמסגרת השירותים האלה יש לו, כמו שאתה אמרת, לקוחות קצה ומספרם הוא יחסית גבוה ומנסים להגיע אליהם, כמו שאמרתי, לצורך פרטי זיהוי – לא ניכנס פה לכל האפשרויות – אבל הוא יכול לתת שירותים לחברים כמו "צוות" פורשי צה"ל ועוד כל מיני גופים כאלה. << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >> אני מסכים לחלוטין שזה סיכון סייבר אמיתי, רק שפשוט לא זו תכלית דבר החקיקה הזה. דבר החקיקה הזה לא מתמודד עם אירועי סייבר בכלל. << אורח >> דרור גרנית: << אורח >> אמר פה ד"ר מימרן משהו שאני חושב שהוא מאוד נכון וצריך רגע לקחת אותו בחשבון. יש פה בהכרח שיקול דעת של המערך בהרבה מאוד נקודות לאורך התהליך. הזיהוי של ספק שהוא מתאים וצריך וראוי ונכון, בעצם הזיהוי של המתקפה, בעצם הגדרתה כחמורה בהמשגה שיש חשש אמיתי, ואנחנו נראה את זה בעוד כל מיני נקודות, יש מרחב של שיקול דעת שהוא אינהרנטי לדבר הזה. זאת אומרת, הוא נובע באופן אינהרנטי מהמגוון האדיר של הגופים הפוטנציאליים שהם יכולים או לא להיכנס בתוך ההגדרה של ספק, מהמגוון המאוד מאוד גדול של סוגי תקיפות ודפוסי תקיפה. ולכן אתה לא תצליח למסגר את זה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> לא ניתן לנסח את זה, אתה אומר, בשום חקיקה. << דובר >> מירי פרנקל-שור: << דובר >> דרור, אנחנו צריכים לדאוג שנקודת האיזון זה מה - - -בין שתי הקצוות - - - << אורח >> עמרי רחום טוויג: << אורח >> במיוחד כשאין ביקורת שיפוטית מלכתחילה על פעולה כזאת. << אורח >> דרור גרנית: << אורח >> אנחנו נראה בהרבה מקומות - - - << דובר >> מירי פרנקל-שור: << דובר >> לכן אנחנו מנסים לדייק אותם. << אורח >> דרור גרנית: << אורח >> אנחנו חושבים שבסופו של יום, זה עולם של סבירות מינהלית. זאת אומרת, זה עולם של שיקול דעת מינהלי סביר שהגורם המקצועי פה צריך להידרש אליו פר קייס, ולהגיד: רגע באירוע הזה, זה כן או לא חשש, זה כן או לא אמיתי, זה כן או לא חמור, ומה האמצעי הנכון, ומה פרק הזמן. זה תמיד יהיה תלוי הנסיבות של המקרה. << דובר >> מירי פרנקל-שור: << דובר >> מצד שני, אתה לא נותן מענה - - - << אורח >> דרור גרנית: << אורח >> לא אמרנו "תנו לנו סמכות לעשות מה שאנחנו חושבים שנכון ותשלחו אותנו עם זה הביתה". << דובר >> מירי פרנקל-שור: << דובר >> זה נכון, דרור, אבל אתה נותן מענה לאותן חברות, במיוחד חברות קטנות, שאני בשיח אתכם קוראת להן חברות סלון. אני לא חושבת שהמענה להתמודד עם הנחיות לא נכונות שאנחנו נראה את זה בהמשך, נותן את המענה לסבירות ההחלטה של הרשות. << אורח >> נטע קניגשטיין: << אורח >> אני רק אוסיף, מירי, שלצד שיקול הדעת שכפי דרור הסביר, הוא רחב במובן מסוים כי זה נדרש כדי לתת את המענה המדויק ביותר, הצד השני של התהליך שעוד לא הגענו אליו בהקראה זה השיח. ויש את הצד השני, את אותו ספק שבכמה וכמה הזדמנויות ניתנות ניתנת לו האפשרות להשיב. הגופים יציגו לו את התשתית, ואז הוא יגיד: רגע, אתם טועים בזה ובזה ובזה ולכן הפתרון צריך להיות אחר, אני בכלל לא ספק. יש שיח, הם לא יטפלו בתקיפה ככה ושום דבר יעניין אותם. << אורח >> ליאור פרנקל: << אורח >> אבל זה לא מול גוף שלישי שיכול להיות כזה בורר אובייקטיבי. זה מולכם לצורך העניין. אתם תגידו כן, אני אגיד לא – בסוף תגידו: החלטנו, נמשיך. << אורח >> ליאת גורפינקל: << אורח >> ניתנה הנחייה - - - << אורח >> ליאור פרנקל: << אורח >> אני חייב לבצע אותה. << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >> אתה חייב לבצע אותה, אבל אין כאן שיניים שאוכפות. << דובר >> מירי פרנקל-שור: << דובר >> אין סנקציה. << אורח >> ליאור פרנקל: << אורח >> זה שאין סנקציות זה לא משנה את היותה דרישה חוקית. << אורח >> ליאת גורפינקל: << אורח >> זה חלק מהעניין של המידתיות. << אורח >> נטע קניגשטיין: << אורח >> מערך הסייבר, כל גופי המודיעין והביטחון השונים עסוקים בתקופה הזאת, אין להם עניין להתעסק בתקיפות קטנות, בספקים שעושים את עבודתם נאמנה ומגנים על עצמם. באמת, הרעיון הוא לתת מענה לתקיפות הסייבר חמורות ביותר. כשהם יעשו את השיח הזה עם אותו ספק שיסביר להם שהם לא בכיוון, המודיעין שהיה להם לא היה נכון, הספק הוא בכלל לא מקושר לאף גורם, אין פה חשש אמיתי – אז הם ישמחו ללכת אחורה ולהגיד תודה רבה, בהצלחה, אין צורך במעורבות. << דובר >> מירי פרנקל-שור: << דובר >> - - - של מדינה ספקים - - - << אורח >> דרור גרנית: << אורח >> הרבה פעמים זה קורה הפוך: אנחנו רואים מספר רב של נתקפים עד שאנחנו מבינים שהגורם המשותף הוא בעצם אותו ספק לקוח ואז אנחנו בעצם פונים אליו. זאת אומרת, אנחנו מגלים את אותו ספק דרך אותם לקוחות ולא הפוך. אני מדבר במקרה של תקיפה ולא חשש. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> כאן יש לנו את החשש הממשי. גברת מיכל שריג כדורי מבקשת גם בסעיף (2) להתייחס. בבקשה. << אורח >> מיכל שריג כדורי: << אורח >> חשוב לי להדגיש, בגלל שחברי הוועדה מייצרים איזושהי הבחנה בין הנחיה לבין ביצוע הפעולה עצמה, וגם שמענו עכשיו אמירה שכאן בחדר, בבית, אנחנו כולנו יכולים להסכים, אין לגורמי הביטחון רצון להתערב או להתעסק. העולם שלנו, של חברות צמיחה גלובליות – אני אתן דוגמה מאחת מחברות הפורום, אפילו החברה שלנו WIX עם מעל 220 מיליון משתמשים, זה לא עניין שמישהו יגיע ויעשה אנפלאג למחשב. שיתוף הפעולה פה, האחריות שאנחנו החברות לוקחים על מודיעין שנקבל, חייבת להיות מלאה. רק אנחנו יודעים להפעיל כמו שצריך את המערכות, להפעיל את ההגנות שיש לנו. זאת אומרת, זה לא עניין של לאפשר או לא לאפשר. לחברות בסדרי הגודל שלנו אין מישהו שיכול להחליף את העשייה שלנו. ומהצד השני, כשיש הנחיה, זה לא עניין של בא לנו או לא בא לנו להקשיב או לא להקשיב, אם יש סנקציות, אם אין שיניים. זה לא עובד ככה. חברה בסדר גודל שלנו שהיא ציבורית, כשאני מקבלת הנחיה, אני מצייתת לחקיקה. קיבלתי הנחיה מנדטורית כזאת או אחרת מגוף רשמי, אני מבצעת אותה. אין לי מנעד של טוב, זה נראה לי, זה לא נראה לי. כמו שהזכרתי בפתח דבריי, אנחנו בזירה בינלאומית, אנחנו נמדדים באמות מידה בינלאומיות, חלקנו חברות ציבוריות. לכן חוסר ההבחנה בין סוגי הספקים הוא קריטי. אני לא התייחסתי לאבחנה בסדרי גודל של חברות ויכולות ובשלות הגנת סייבר, אבל זה אומר שאנחנו נותנים כאן הרבה מאד כוח, שאנחנו מבינים וסומכים על רשויות המדינה שלנו ועל גופי המדינה ועל מערך הסייבר שישתמשו בשום שכל. זה לא משהו שאנחנו יכולים לבוא איתו לבורסה, ליוזרים, לדירקטוריון הבינלאומי ולהגיד: לא, לא, אל תדאגו, מערך הסייבר לא רוצה באמת להשתמש בכוח. כרגע החקיקה נותנת את הכוח, ולכן אני רוצה גם שלא נייצר איזו אבחנה ונגיד: טוב, אם זה רק הנחיה זה לא נורא. ההנחיה הזאת נותנת איזושהי הפקעה של הסמכות שלנו לפעול באופן שאנחנו רואים לנכון אל מול התקיפה. לכן הסעיף הבא שניכנס אליו, סעיף 3, הוא קריטי - - - << דובר >> רם בן ברק (יש עתיד): << דובר >> את מסכימה שבמידה ויש איזושהי תקיפת סייבר שמאיימת על ביטחון המדינה, לא על החברה שלך, לא על הקליינטים שלך, אלא על ביטחון המדינה, מסכימה שזה מחובתו של מערך הסייבר להגיד לך: תקשיבי, יש תקיפה שמסכנת את הביטחון, שווה לעשות ככה וככה וככה? << אורח >> מיכל שריג כדורי: << אורח >> חד-משמעית. << דובר >> רם בן ברק (יש עתיד): << דובר >> זה הכול. זה החוק. << אורח >> מיכל שריג כדורי: << אורח >> חד-משמעית הייתי רוצה שהם יבואו ויגידו לי שהולכת להיות תקיפה. הם יודעים טוב ממני איך להתמודד. זו שאלה שאנחנו רגע - - - << אורח >> דרור גרנית: << אורח >> האמירות של הדוברת לא מתכתבות עם מה שעשינו בחקיקה, כי סעיף 3 בדיוק בונה את ההבניה המאוד מאוד מאוד מדורגת של מה שנקרא מסלול דרדור. אנחנו לא באים עם הנבוט בראש, דופקים בדלת, פורצים פנימה, יאללה, תעשה. משתלטים לך על המחשב, תופסים לך את המקלדת ומתחילים. לא. פונים, מספקים מידע, מקיימים שיח. << אורח >> ליאת גורפינקל: << אורח >> מאפשרים לפעול בעצמו או להראות תקינה. יש את כל התהליכים הללו עוד טרם הפעלת - - - << אורח >> מוריה: << אורח >> צריך להבין שהגופים אם לא ייתנו הנחיה אחת אם הגוף עצמו יטפל בתקיפה באופן עצמאי לא תינתן הנחיה אחת. << אורח >> דרור גרנית: << אורח >> החשש שמביעה הדוברת - - - << דובר >> מירי פרנקל-שור: << דובר >> יש מחלוקת איך צריך לטפל. << אורח >> מוריה: << אורח >> קודם כל ניתנת להם ההזדמנות לטפל בעצמם. << דובר >> מירי פרנקל-שור: << דובר >> איך אתם יודעים שהוא טיפל נכון בהתאם - - - << אורח >> ליאת גורפינקל: << אורח >> בהתאם למה שהוא מבהיר. הוא מבהיר מה הוא הולך לעשות. יש תהליך שהוא מבקש לפעול בעצמו, זה נכון. התקיפה מתנהלת בדל"ת אמותיו של הארגון, והוא מכיר את המערכות הכי טוב ואנחנו בנינו את אותה הבניה בשום שכל בגלל הרעיון המסדר הזה. הזירה היא בדל"ת אמותיו. האינטרס שהוא יתמודד עם התקיפה הוא משותף, ואם הוא מכיר היטב את המערכות שלו ויש לו את היכולת להכיל את התקיפה, אנחנו לא מתערבים. חשוב להבין את זה. << אורח >> אורי שיין: << אורח >> אחת הדרכים שאנחנו יכולים לדעת שהתקיפה בעצם לא הופסקה זה על ידי היכולת שלנו והיכולות של השותפים שלנו לראות שעדיין יש תקשורת עם אותו מחשב תוקף. למרות שכביכול נאמר שהם סגרו את הפרצה אנחנו ממשיכים לראות את זה. ולכן יכול להיות שהם ביצעו פעולות, יכול להיות שלא במקום הנכון או לא באיכות הנכונה במקרה הזה, ולכן אנחנו רואים את התקיפה ממשיכה << אורח >> דרור גרנית: << אורח >> הדוברת דיברה על הבחנה בין חברות גדולות ורציניות לבין – חשבנו רבות על הניסיון למתוח את הקו הזה, להגיד מי היא החברה שהיא טובה ומקצועית לבין מי היא החברה שהיא לא מספיק טובה לא מספיק מקצועית. והגם שבעולם המעשה אתה יכול להגיד: טוב, אני יכול לשער שחברות כמו גוגל או אינטל או מיקרוסופט, הן כנראה יודעות להתמודד אל מול החברות הסלון, כפי שקראה להם מירי, שם יש יותר סכנה ופוטנציאל. לא ידענו לגדר את זה למשהו קונקרטי, תכף נדבר על התקינה. אולי הדבר הכי קרוב לפתח הזה, אבל גם חברת ענק בינלאומית מאוד רצינית וגדולה עשויה להיות נתונה למתקפה חמורה מאוד. פוטנציאל הנזק הוא אדיר. זה מחזיר אותי לסיפור של המדרגיות שנאמר בסעיף 3: שיקול הדעת ניתן, קודם כל, לחברה ואמצעי הפעולה הם, קודם כל, בידי החברה והאפשרויות לזהות את התקיפה ולהתמודד איתם ולהכיל אותה הן, קודם כל, עליה ובידיה. לכן בדיוק בגלל ההנחה שאומרת שיש חברה שהיא גדולה ורצינית ומקצועית – היא יכולה להיות גם חברה קטנה – אבל אם היא רצינית ומקצועית ויודעת להתמודד - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> בקיצור, אתה אומר שגם כאן אי-אפשר להגיע להגדרה מדוייקת, כי זה תלוי מאוד בהתנהלות החברה, הבעלים של החברה, סוג התקיפה, ההתייחסות לתקיפה וכן הלאה וכן הלאה. << אורח >> אלי דוידי: << אורח >> הדוברת ציינה כמה פעמים שהם ארגון גדול. פרקטית בשטח, תוקפים גם את הגדולים, לא רק את הקטנים. ברגע שתוקפים את הגדולים אז יש שם סיכון יותר גדול. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> מבחינת הנזק. << דובר_המשך >> אלי דוידי: << דובר_המשך >> בטח. אם לא תהיה רגולציה ולא יבואו ויגידו: חבר'ה, תוקפים אתכם, תסדרו את המצב, תתקנו את המצב. יכול לבוא לדירקטוריון של אותה חברה, לא משנה עכשיו איזו חברה, ויגיד: למה אני צריך להשקיע עכשיו 5 מיליון דולר בשביל לשפר את המצב? תשאירו אותו, אז מה? אז הם אמרו לנו, אז מה אם אמרו לנו? אבל זה אנחנו לא רוצים להיות במצב הזה. אנחנו רוצים להיות במצב שאם באמת באה הרגולציה ואומרת: חבר'ה, אתם בסיכון. אז שמישהו ייקח את ההערה הזאת ויבדוק את עצמו. זאת המטרה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אנחנו נתקדם. מירי, בבקשה. << דובר >> מירי פרנקל-שור: << דובר >> אני מבקשת לדייק מונחים בסעיף 2(א). ביטחון הציבור – באיזו תקיפת סייבר אתם רואים ביטחון הציבור ומדוע לא מדובר על שלום הציבור? למשל, אטרף לא הייתה נכנסת. ההתקפה על אטרף לא הייתה נכנסת להגדרת הרף. שירביט - - - << אורח >> אורי שיין: << אורח >> שירביט – תלוי במידע שדולף משם. יש המון דוגמאות. << דובר >> מירי פרנקל-שור: << דובר >> השאלה היא מה זה ביטחון הציבור. מה אתם רואים כביטחון הציבור ומה ההבדל בין זה לבין שלום הציבור? << אורח >> אורי שיין: << אורח >> תקיפות שיכולות להשפיע על התרעות שווא ומצבי ביטחון במתחמים שונים שאפשר לייצא למרחב הציבורי. אנחנו רואים גם התרעות שווא במערכות בטיחות, שריפות וכולי, ממש יכול להגיע לפגיעה פיזית. אנחנו רואים פגיעה או חוסר אמון במערכות רפואיות. << דובר >> מירי פרנקל-שור: << דובר >> זה ביטחון הציבור? << אורח >> אורי שיין: << אורח >> זה גם ביטחון. תקיפה, שיבוש או כניסה לשלטון המקומי. יש שם מידע שיכולים לעשות בו שימוש גורמים – אני לא רוצה בבקשה לפרט פה. יודע אני יכול לפרט בדיון סגור. גם, למשל, בעת הזאת, 74 ימי לחימה, גם שיבוש בחברות קבורה. כמה שזה נשמע הזוי, אפשר לבצע דברים כאלה וזה יכול לייצר פגיעה משמעותית מאוד. אנחנו באירוע לא טוב. כל מה שקשור להשבתה של מערכות קירור, זה ממש עד נזק פיזי. אני יכול להמשיך ולתת עוד מספר דוגמאות. << אורח >> ליאור פרנקל: << אורח >> דילגנו על סעיף ההגדרות, אבל יש בו עוד חלק שמשפיע גם על ההגדרה הזאת. << דובר >> מירי פרנקל-שור: << דובר >> לא דילגנו. אולי נחזור אליו. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> לא דילגנו, אנחנו אמרנו שממשיכים ורשמנו את ההערות שהיו. << אורח >> רפי סלמה: << אורח >> צריך להגיד שכל הסעיף הזה הוא רק פתיחת שער. זה נראה לי מאוד חריג. שכדי שעובד יפנה לחברה, הוא צריך לקבל אישור ממנהל בכיר. אתם מפספסים את האירוע הזה. ישר דילגתם לסעיף 3 תוך כדי שאנחנו מדברים על סעיף 2. אבל עכל מה שסעיף 2 אומר זה שאנחנו פותחים את השער בפני העובד המוסמך לפנות לחברה על-ידי מנהל. זאת אומרת, יש פה עוד מסננת שדילגנו עליה וויתרנו עליה אבל חשוב שתבינו את האירוע הזה, זה אירוע קיים. << דובר >> מירי פרנקל-שור: << דובר >> הוא צריך להגדיר שאכן זו תקיפת סייבר חמורה כדי שנתחיל - - - << אורח >> רפי סלמה: << אורח >> ישר דילגנו למתן הוראות, אבל עצם הפניה צריכה לקבל אישור מגורם בכיר. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> ברור. בבקשה, עידו. << דובר >> עידו בן יצחק: << דובר >> אומר מראש שבפסקה 3 יש שינוי לאחר שבאנו בדברים עם הממשלה. כרגע נקרא אותו, קודם כל, כמו שהוא נבנה. "התמודדות עם תקיפת סייבר חמורה 3. נקבע לפי הוראות סעיף 2 כי תקיפת סייבר שמתרחשת או עומדת להתרחש, נגד ספק, היא תקיפת סייבר חמורה, והודיע על כך עובד מוסמך לספק, לאחר שהזדהה לפניו, יחולו הוראות אלה: (1) העובד המוסמך יפרט לפני הספק את התשתית העובדתית והמקצועית לקביעה כאמור, ככל שאין בכך כדי לחשוף מקורות מידע, שיטות או אמצעים; (2) העובד המוסמך ייתן לספק הזדמנות לפעול באופן הולם לצורך איתור התקיפה, מניעתה או בלימתה, בתוך פרק זמן סביר שיימסר לספק, והכול בהתחשב במאפייני תקיפת הסייבר; (3) הספק יעדכן את העובד המוסמך בדבר הפעולות שביצע לצורך איתור התקיפה, מניעתה או בלימתה או ימסור לעובד המוסמך תצהיר בנוסח שבתוספת בדבר אספקת שירותי האחסון או השירותים הדיגיטליים ללקוחותיו, או בדבר אספקת השירותים כאמור שהם מושאי התקיפה בלבד, תוך יישום הנחיות אבטחה בהתאם לתקן NIST 800–53 Security and Privacy Controls for Information Systems and Organizations. לעניין כלל השירותים שהוא מספק, או לעניין השירותים כאמור שנגדם בוצעה התקיפה, והכול בתוך פרק זמן סביר כאמור בפסקה (2); (4) לא מסר הספק תצהיר כאמור בפסקה (3), ומצא העובד המוסמך כי הספק לא פעל באופן הולם לאיתור התקיפה, מניעתה או בלימתה, כאמור בפסקה (2), רשאי העובד המוסמך, אם מצא שהדבר נדרש לצורך איתור התקיפה, מניעתה או בלימתה, ולאחר שהודיע לספק על כוונתו לתת לו הוראות לפי פסקה זו ונתן לו הזדמנות להשמיע את טענותיו, לתת לספק הוראות, בכתב או בעל פה, שיבוצעו בידי הספק, ובכלל זה הוראות לביצוע פעולות להגנת סייבר בחומר מחשב או הוראות למסירת ידיעה או מסמך לרבות העתק מחומר מחשב, לידי העובד המוסמך; (5) במתן הוראות לספק לפי פסקה (4) – (א) ישקול העובד המוסמך את השפעתן האפשרית על הזכות לפרטיות, על פעילות הספק ועל צד שלישי, וכן את העלות הכלכלית המוערכת של יישום ההוראות והשפעתן האפשרית על הרציפות התפקודית של הספק, למיטב ידיעתו של העובד המוסמך, ואם הספק מסר הערכה לעניין זה – בהתחשב בהערכה שמסר; (ב) יורה העובד המוסמך לנקוט אמצעי שפגיעתו פחותה לצורך איתור התקיפה, מניעתה או בלימתה; (ג) יפרט העובד המוסמך את המועד האחרון לביצוע ההוראה; (6) נתן עובד מוסמך לספק הוראה לפי פסקה (4), יפעל הספק בהתאם לה עד המועד האחרון שנקבע לביצועה כאמור בפסקה (5)(ג), וידווח על אופן ביצועה לעובד המוסמך עד המועד האמור.". << דובר >> מירי פרנקל-שור: << דובר >> קודם כל נתייחס לפסקה (3) לעניין התקינה. סברנו במפגש שהתקיים עם נציגי הממשלה שאנחנו מבינים את נושא התקינה אבל מצד שני שאלנו אם נכון להתמקד בתקינה מסוימת. צריך להיות כאן איזשהו סעיף נושם שיאפשר להוסיף תקינות נוספות. מי אמר שצריך דווקא להתחבר לתקינה אמריקאית? ההצעה שלנו, שמקובלת על הממשלה, היא ליצור תוספת לחוק, להעביר לשם את התקינה האמריקאית ואפשר להוסיף לתוספת תקינות נוספות, אם הן יעלו אל פני השטח. << אורח >> דרור גרנית: << אורח >> יצוין שבשביל הדבר הזה הצענו מנגנון. הצענו להוסיף סעיף שיופיע בסוף סעיף 10. יש בו איזשהו מנגנון, שאפשר יהיה לדבר עליו אם אתם רוצים לדבר עליו כשנגיע לסעיף 10 או שאתם רוצים לדבר עליו כבר עתה, אבל בממש בכותרות, יש בו איזשהו שיקול דעת מקצועי משותף של הגורמים המוסמכים שנותנים את דעתם. מגיעים למסקנה שתקן מסוים הולם או לא. משהגיעו למסקנה שכן, הם מעבירים המלצה לדרג נבחר שיוכל בצו באישור הוועדה - - - << דובר >> מירי פרנקל-שור: << דובר >> איזה תהליך. << אורח >> דרור גרנית: << אורח >> זה ההסדר בתמצית. << דובר >> מירי פרנקל-שור: << דובר >> אדוני היושב-ראש, התייחסנו לנושא התקינה שמופיע בסעיף (3). סברנו שלא נכון לעגן את התקינה כתקינה יחידה בחוק אלא ליצור איזשהו סעיף יותר גמיש שיאפשר להוסיף תקינות נוספות אם באמת יהיה צורך. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> הסטנדרט של התקינה המדוברת. << דובר_המשך >> מירי פרנקל-שור: << דובר_המשך >> כן. שגורמי הביטחון יחשבו שהוא סטנדרט נכון. יש כאן הצעה של ממשלה איך לאשר תקינה. אני רק יכולה לומר שהתהליך הוא מאוד מסורבל, הוא לא פשוט. כדאי אולי לקרוא אותו כדי שכולם ידעו במה מדובר. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> בבקשה. << דובר >> עידו בן יצחק: << דובר >> אקדים ואומר שהתקן שמופיע עכשיו, התקן האמריקאי הזה, לא יהיה בתוך סעיף (3), הוא יעבור לתוספת לחוק; והתווסף סעיף שיגיד כך: "ראש הממשלה, בהיוועצות עם שר הביטחון, רשאי להוסיף תקנים לחלק א' לתוספת ולהתאים לכך את נוסח התצהיר שבחלק ב' לתוספת, על פי המלצה משותפת של ראש מערך הסייבר, ראש שירות הביטחון הכללי והממונה על הביטחון במערכת הביטחון. המלצה כאמור תינתן אם יש בתקן שמוצע להוסיפו כדי להבטיח ברמת סבירות גבוהה את הגבלת השפעתה של תקיפת סייבר חמורה מעבר לספק הנתקף וטיפול הולם בתקיפות סייבר חמורות." << אורח >> ליאת גורפינקל: << אורח >> חשוב להבין מבחינת הסיפה של הסעיף שזה הרעיון המסדר שאיתו התחלנו. זאת אומרת, הגענו לאזורים הללו בגלל החשש להתרחבות התקיפות לארגונים אחרים. התקינה aמאפשרת איזשהו opt out מהחוק מתוך הבנה שיש כאן יכולת להתמודד עם תקיפות, היא מאותו רעיון מסדר שיהיו מספיק בקרות שימנעו את ההתרחבות של התקיפה. זאת אומרת, שהארגון נערך מראש ברמת הגנת הסייבר שלו כדי ליצור בידול בין הלקוחות, שהתוקף לא יוכל לקפוץ מארגון לארגון. ככל שתקינות הללו יראו שיש כאן צמצום של היכולת להתרחב, אז דעתנו תנוח. << דובר >> מירי פרנקל-שור: << דובר >> אני מדברת רק על הפרוצדורה. אמרתי לכם שאין לנו כלים להתמודד עם נושא התקינה, אבל יכול להיות שיעלו תקינות מהשטח. אבל התהליך שאתם מציעים הוא סבוך, מגושם ובאמת יש שאלה אם הוא יכול לצאת לפועל: ראש הממשלה שצריך להתייעץ שר הביטחון ואחר כך, על-פי המלצה המשותפת של גם של המלמ"ב, גם של השב"כ - - - << אורח >> דרור גרנית: << אורח >> לא אחר-כך אלא לפני כן. << אורח >> מוריה: << אורח >> אנחנו מעבירים המלצה. << דובר >> מירי פרנקל-שור: << דובר >> אתם מעבירים המלצה. אנחנו אומרים "מביאים המלצה", על-מנת להגיע להסכמה זה באמת צריך להיות תהלים שנושם זה לא פשוט. << אורח >> דרור גרנית: << אורח >> צריך להגיד בכנות, זו מטריה סופר מקצועית, מאוד טכנולוגית. << דובר >> מירי פרנקל-שור: << דובר >> ובכל זאת, אנחנו מדברים על מציאת נקודת האיזון בין המדינה לבין החברות הפרטיות. << אורח >> דרור גרנית: << אורח >> תרשי לי להסביר את הרציונל והמנגנון שהצגתי. זו מטריה מאוד מאוד מקצועית, מאוד מאוד טכנולוגית. מבלי, חלילה, למעט בכבודם כנראה שראש הממשלה ושר הביטחון לאו דווקא בקיאים בפרטיו של תקן מסוים כזה או אחר לענייני הגנה בסייבר. זו באמת מטריה של הגורמים המקצועיים. להגיד שהתקן הזה מספק את המענה הביטחוני או מספק מענה טוב מספיק או בסבירות גבוהה או לא, ולכן הם צריכים לגבש המלצה שתהיה מוסכמת עליהם – הם אלה הגורמים בעלי האוטוריטה המקצועית – הם מביאים את המלצתם בפני הדרג הנבחר. הדרג הנבחר שבאמצעות חקיקת משנה אמון על הבאת התיקון הזה. זה הרציונל. << אורח >> קרן גל און: << אורח >> אוסיף עוד משהו. החוק הזה הוא משולב לשלושת הגופים. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אנחנו מבינים את זה. אנחנו רק חושבים עד כמה פרקטית ההצעה הזאת. << דובר_המשך >> קרן גל און: << דובר_המשך >> כמו שהצלחנו להביא את ההצעה הזאת ביחד וכמו שיהיה טיפול - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> לא על זה אני מדבר. מתוך היכרות עם המערכת של שנה שנתיים, אני חושש מאוד שבאמת אישור תקן חדש ייקח שנים. << דובר_המשך >> קרן גל און: << דובר_המשך >> נגיד בכנות הנדרשת שבשלב הזה לא זיהינו תקן אחר. זה נפתח לאור הבקשה לגמישות כדי לייצר - - - בהחלט יוצג מענה. אמרנו שיש 3 אפשרויות לחברות. עמידה בתקן הזה שמבדל בין סביבת לקוחות ומקטין מיידית את החשש מאותה תקיפה, הוא דרך יציאה החוצה. הדרך השנייה היא טיפול הולם שכל אחד, גם אם הוא לא עומד בתקן הזה, יכול לבצע כשהוא נתקף. << אורח >> חנן טוויזר: << אורח >> אני שותף במשרד פאהן-קנה. אני מגיע מלשכת רואי החשבון. אני יושב-ראש הוועדה שאחראית על ביקורת מערכות מידע. הנושא של הגדרת התקן הספציפי הזה, אני אאיר את עיני הוועדה, בסוף זה תקן שהוא מצהיר הצהרה: אני עומד בהנחיה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אני עומד בתקן. << דובר_המשך >> חנן טוויזר: << דובר_המשך >> עכשיו, על פניו אתה יכול להצהיר ואתה יכול לעבור למסלול שהוא יהיה, לצורך העניין, מלא חורים: אתה לא עומד מאחורי זה ואתה אומר שאתה עומד מאחורי זה. אני חושב שעצם הבחירה בתקן הזה היא לא נכונה. יש תקנים שמאפשרים אבחנה ודאית שהגוף עומד בסטנדרטים מינימליים, כמו שדובר. דרך אגב, כל עולם התוכן של בקרה על לשכות שירות – אני מגיע מהעולם הזה שמדברים על זה – לשכת שירות זה גוף שנותן שירותים לאחרים, מטבע הדברים גם לספקים, ויש תקינה מאוד מכובדת סביב הדבר הזה בארצות הברית וחלק מ-ACP האמריקאי וגם פה בארץ חברות ישראליות מיישמות את זה כחלק מהדרישות לעבודה עם השוק האמריקאי. זה נקרא: SOC service organization control report type 1, type 2. זה מחייב את הגופים לבצע בקרה אפקטיבית על-ידי גורם חיצוני בלתי תלוי. לא רק הצהרה, אלא לבוא ולהסתכל ולראות שהבקרות שאותו אותו ספק מתכנן ואמור ליישם אכן קורות. אני מציע, כרגע לפחות, לא להחליף אלא להוסיף אלטרנטיבה ואפשרות. אני חושב שגוף מסוים שרוצה באמת להגיד לעולם: תראו איך אני מיישם בסופו של דבר את בקרות הסייבר בצורה טובה כפי שהמערך היה רוצה, הוא יידע, בסופו של יום, לעמוד בתקן הזה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> לא הבנתי את ההצעה המעשית. את הרישה הבנתי, זה שרשום לך על הקיר "אני עומד בתקן כזה וכזה", לא אומר כלום. מה הסיפה, מה אתה מציע? << דובר_המשך >> חנן טוויזר: << דובר_המשך >> אני אומר, מלבד התקן הזה, אם המערך בכל מקרה רוצה שהדבר הזה יהיה, אז הכול בסדר. רק אני אומר שלא להשאיר אותו הוא עומד לבד, אלא להוסיף. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> מה להוסיף? << דובר_המשך >> חנן טוויזר: << דובר_המשך >> להוסיף תקן שנקרא SOC type 2, ממש ככה. לפי רפרנסים מסוימים, אפשר לדבר על זה אחרי זה offline, מה הדומיינים שצריכים להיות בפנים. זה הדבר הזה יבטיח לכם חוסן משקי בוודאות מעבר להצהרה. אני מכיר מניסיון - - - << אורח >> ליאת גורפינקל: << אורח >> ההצעה שמונחת כרגע על השולחן פותחת את האפשרות לשיח. עשינו עבודת מטה מקיפה לגבי התקינה. מבחינת מומחי התקינה שלנו, זו התקינה. זו לא הייתה החלטה של מה בכך ואנחנו מכירים את התקן שאתה מדבר עליו. אנחנו מכירים גם את האמירה שאמרת שהוא יכול לעמוד בתצהיר, שהוא יקבל תצהיר לא מדויק, אני לא רוצה להגיד לא אמיתי, אנחנו מכבדים את האנשים שחותמים – מדובר פה בתצהיר עורך דין. זה המכניזם באמת לתקינה שהיא, ללא הסמכה. אנחנו חושבים שהבקרות באותה תקינה הן מספיק גבוהות כדי לצמצם את התקיפה. לגבי SOC type 2, אפשר לדון על זה לעומק. כרגע, לפחות מבחינת גורמי התקינה שלנו, אנו חושבים שזה לא נותן את המענה המיטבי לצמצום היכולת להתרחב. כרגע יש כאן הצעה שלמעשה מאפשרת את השיח הזה. << אורח >> חנן טוויזר: << אורח >> במקום לייצר שיח עד שיגיע הפתרון לשיח ועד התשובות לשיח ואז איזו תקינה תהיה, ואז יהיו פה עוד דברים, אני מציע שכבר עכשיו בתזכיר עצמו תהיה כבר היכולת - - - << אורח >> דרור גרנית: << אורח >> לא. יש פה הצעה לשבץ כבר עתה בתוספת - - - << דובר >> מירי פרנקל-שור: << דובר >> להוסיף תקן. << אורח >> דרור גרנית: << אורח >> להוסיף תקן. אני אומר בכל הכבוד לדובר וגם לשאר הנוכחים, זו מטריה מקצועית מדי עם רזולוציה פרטניות מדי, שזה לא השולחן לנהל אותה. צריכים גורמי המקצוע להידרש להצעה. אם ישתכנעו שהתקן שמציע האדון הנכבד או תקן אחר די בו, הוא הולם וראוי, אנחנו לא מבקשים להקשות, נדמה לי שזה עולה בבירור מלשון ההצעה. אנחנו נציג מנגנון לקיום הדיון הזה בפורום הנכון. לבוא ולקיים את הדיון הזה פה - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אני זורם איתך ואפילו יותר מזה. אני שואל דווקא אותך כנציג משרד המשפטים בדיון, אפשר להגיע להסכמת שלושת הגופים לגבי התקן מבלי לערב באירוע את ראש הממשלה ואת שר הביטחון? אפשר להכניס, נגיד, אפילו כאן בחוק שהתנאי הנדרש - - - << דובר_המשך >> דרור גרנית: << דובר_המשך >> כלומר שהתנאי הנדרש יהיה - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> שראשי שלושת הגופים - - - << דובר_המשך >> דרור גרנית: << דובר_המשך >> מסכימים ביניהם והם יוכלו לעדכן את - - - מבלי להידרש לדרג פוליטי? << יור >> היו"ר יולי יואל אדלשטיין: << יור >> כן. << דובר >> מירי פרנקל-שור: << דובר >> אנחנו אף פעם לא משנים תוספת על ידי דרג מדיני. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> לכן שאלתי את משרד המשפטים. << אורח >> נטע קניגשטיין: << אורח >> הרכיב הזה במנגנון לא נובע מזה שגורמי המקצוע לא יכולים לגבש המלצה ולקבל החלטה, אלא שחשבנו שמכוון שמהות ההחלטה בסוף הופכת להיות שינוי של התוספת, נכון שהדרוג שמקבל את החלטה יהיה הדרג המדיני. << דובר >> מירי פרנקל-שור: << דובר >> אז מדוע לא ראש הממשלה יכול לשנות את התוספת? ברור שראש הממשלה לא ישנה על דעתו את התוספת. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> לא חברים, זה לא יקרה. אני אומר לכם, זה לא יקרה. << אורח >> דרור גרנית: << אורח >> יש פה עניין נורמטיבי עקרוני, לכן רצינו לתת את הכבוד הראוי לדרג הנבחר ולראש הממשלה ולשר הביטחון בהיותם דרג נבחר. שינוי הנורמה והרחבתה, שזו המשמעות של תיקון התוספת, בעולם רגיל נורמלי אנחנו חושבים שזה המקום. יש מקומות שבהם אנחנו קובעים. אגב, בחוק נתוני נוסעים קבענו איזשהו מנגנון שהמנהל יכול לתת ההוראות. בהוראות היה חופש נרחב, אם אתה זוכר, בסעיף (3) - - - << דובר >> עידו בן יצחק: << דובר >> - - - את התוספת. << אורח >> דרור גרנית: << אורח >> לא. זה לא היה בעניין של תוספת. היה שם איזשהו קו עדין בין הוראות מינהליות שקובע מנהל כדרג מקצועי לבין תקנות שקובע השר. אז בעולם הזה אפשר לשחק באיזשהו מקום, אם אדוני מציע שיעשה את זה הדרג המקצועי בהסכמה של שלושת השחקנים המקצועיים, אני חושב שאנחנו יכולים לחיות עם זה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> זאת השאלה. היועצת המשפטית של הוועדה אומרת שללא דרג נבחר אין תקדים לזה. << דובר_המשך >> דרור גרנית: << דובר_המשך >> בחוק נתוני נוסעים, בסעיף 3, אני אפנה אותך ספציפית להבחנה בין 3(ג)(1) ל-3(ד), אם אני זוכר בעל-פה את מספרי הסעיפים, יש שם איזה כוונון עדין מאוד, וגם שם, אגב, עשינו מה שהצענו גם פה, לא אמרנו שלמנהל יש סמכות לקבוע הוראות, אז הוא יקבע הוראות וזהו, אלא הביננו את שיקול דעתו באמירה שהוא יכול לבנות את ההוראות בכפוף לתקינה בינלאומית, סטנדרטים וכדומה שקבענו שם. << דובר >> עידו בן יצחק: << דובר >> זה כמו שפה אנחנו לא קובעים בחוק איך מערך הסייבר יפעיל את הסמכויות שלו ומה הוא יגיד בדיוק לכל חברה. זה נותן את החופש בתוך כללי המשחק העקרוניים שנקבעים פה. << אורח >> דרור גרנית: << אורח >> לכן הצענו את התכלית שאומרת שזה בעצם נותן לנו סבירות גבוהה שזה מונע את ההתפשטות. << אורח >> מוריה: << אורח >> אני יכולה להגיד שמצד הגופים אנחנו יודעים להגיע להחלטה משותפת באופן מהיר ועובדים יחד. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> השתכנעתי שזה אכן ככה. אני רק מחפש מנגנון. בהצעה הזאת – אני אומר את זה בלי ציניות ועל סמך היכרות – צריך שראש השירות, בין 20 הנושאים שיש לו לראש הממשלה, יכנס לאליו לפ"ע ויגיד: נושא ראשון, אדוני, תחתום לי עכשיו על הצו. זה תקן שלראש הממשלה אין מושג ירוק, בלי לפגוע בראש ממשלה כלשהו, על מה מדובר ומה זה הצירוף הזה של אותיות ומספרים, כמו שגם לי אין וכמו שאני חושב שלאף אחד שהוא לא ממערך הסייבר כאן, אין. לכן אני מנסה להיות פרקטי. אני רוצה שחברה בסוף תוכל לא להיות תקועה רק עם תקן אחד שמוצע כרגע בחוק, אלא עם דברים שגורמי מקצוע יגדירו כדברים שמספקים אותם, אבל זה לא יקרה אם זה אצל ראש הממשלה בהתייעצות עם שר הביטחון. << אורח >> ליאור פרנקל: << אורח >> אני רוצה לחזור מעט אחורה. אולי אני מפספס כאן את הטקסט ואת הכוונה, אבל אנחנו פה במניעת תקיפה חמורה שהיא כרגע קורית. אם אני אותו ספק ואתם באים ואומרים לי: אתה עכשיו תחת התקפה. הכול טוב, אני בא וחותם לכם על זה, וחותם באמת, זה גם המצב, וההתקפה ממשיכה מה עושים? מה זה עוזר? << אורח >> ליאת גורפינקל: << אורח >> בעיקרון, אותן בקרות אמורות למנוע את ההתרחבות של התקיפה, ולכן בחרנו את התקינה הספציפית הזו שיש בה בקרות. << אורח >> ליאור פרנקל: << אורח >> אני יודע. אני שואל במציאות. במציאות אני עומד בתקינה והתקיפה ממשיכה. << אורח >> ליאת גורפינקל: << אורח >> אתה לא טועה. לצורך העניין, לא ממשיכים לשלב של מתן הנחיות. << אורח >> ליאור פרנקל: << אורח >> אני עומד בצד שלכם – זו לא המציאות. אני יכול לעמוד בצורה אמיתית בתקינה, גם בתקינה הזו. << אורח >> ליאת גורפינקל: << אורח >> לכן בחרנו תקינה שיש בה בקרות ופחות תהליכים וענייני - - - כי היה לנו קל ללכת - - - << אורח >> ליאור פרנקל: << אורח >> הטענה שלכם, שהיא נכונה, שתקיפות הן מורכבות, יש המון סוגים, יש הרבה יכולות לתקיפה. בטח, אנחנו באים מהעולם התקינה שנים אחורה, אני יכול לעמוד בתקינה? בטח הצהרה אישית. היא לא תחסום את התקיפות האלה. התקינה הספציפית הזאת, אני יכול לעמוד בה והתקיפה עדיין תמשיך. << אורח >> ליאת גורפינקל: << אורח >> להבנתנו היא תמנע את ההתפשטות, ואז אנחנו מגיעים מנקודת - - - << אורח >> ליאור פרנקל: << אורח >> אבל אני שואל במציאות, אבל בפועל יקרה שלא. אז מה? אז אני בחוץ? בפועל זה ימשיך – אני בחוץ? << אורח >> הדס תמם בן אברהם: << אורח >> אבל אם אתם רואים שלמעשה אותו וקטור תקיפה עדיין נמצא בתוך המערכת, אין לכם סמכות לעבור לשלב הבא? << אורח >> ליאת גורפינקל: << אורח >> אין סמכות לעבור. << אורח >> ליאת גורפינקל: << אורח >> זה נוגד את כל מטרת החוק. זה ניהול סיכונים שהוא לא נכון. הרי אתה אומר לי, תעשה אתה, אני אומר לך: תקשיב, אני פעלתי, עשיתי. הטענה שלכם היתה שאם התקיפה ממשיכה, אז אני עכשיו יכול להנחות. << אורח >> שי: << אורח >> הצהרת וחתמת בפני עורך דין שאתה - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> כן, בבקשה, אדוני. << דובר_המשך >> שי: << דובר_המשך >> אני ראש יחידת הסייבר. שלושת הגופים הגיעו למסקנה – התבקשנו במסגרת הליך החקיקה לספק תקן כדי להקל על הרגולציה וכדי לאפשר לחברות שעושות את העבודה כמו שצריך בנושא הסייבר, לעזוב אותנו ושאנחנו נעזוב אותן. התקן הזה, למי שמכיר אותו, יש לו המון בקרות. התקן הזה נבחר בניגוד לתקנים אחרים כי יש לו בקרות ספציפיות שנוגעות לאיך החברה מתנהלת לפני, תוך כדי ואחרי אירוע הסייבר. חזקה על חברות שהצהירו בצורה אמיתית שהן עומדות בתקן, הן יודעות שהן עומדות בתקן, ככל שאנחנו נצביע בפניהן על תקיפה כזאת או אחרת שמתקיימת בחברה, חזקה עליהן שיידעו לטפל בתקיפה הזאת, גם אם בצורה פחות טובה או יותר טובה, הן יידעו להתנהל. ככל שהתקיפה תמשיך כי התוקף מורכב או השתמש במגוון שיטות כאלה ואחרות, הן יידעו להמשיך להתנהל. אנחנו מאמינים שהן יידעו להמשיך להתנהל ולהתגונן בצורה טובה או בצורה סבירה כנגד התקיפה ולא יצטרכו את ההתערבות שלנו או את ההנחיה הספציפית שלנו. אגב, חברות שעומדות בתקינה הזאת, מן הסתם ישמחו. ישמחו לקבל הנחיה מקצועית של הגופים המונחים, של גופי הסייבר במדינה, כדי לעזור להן להתמודד עם התקיפה, כי הן מבינות מה החשיבות של התקיפה ומה הנזק הפוטנציאלי שהתקיפה תוכל לעשות להן. לכן אני לא חושב שיש פה בעיה. אני לא מאמין שחברה תאשר או תחתום על משהו שהוא בניגוד לאמת. ככל שיש לה כזה מסמך, אז היא תדע להתנהל ואנחנו סומכים עליה. << אורח >> ליאור פרנקל: << אורח >> אני לא מצליח להבין את ההיגיון. << אורח >> רפי סלמה: << אורח >> זה לא ימנע ממנה לקבל סיוע אם היא רוצה. אין אפשרות לתת הנחיות. אם היא רוצה לקבל סיוע של מס"ל, היא תקבל אותו. אין שום בעיה עם זה. << אורח >> ליאור פרנקל: << אורח >> אנחנו לא מדברים פה על הסכמה. בהסכמה לא צריך את החוק. אנחנו מדברים על מצב שאתם באים ואומרים לחברה מה לעשות. היא עשתה את זה. התקיפה ממשיכה, אתם מנחים אותם מה לעשות. זה החוק. אבל יש תקיפה. אתם באים לחברה, היא אומרת לכם שהיא עומדת בתקן, והיא עומדת בתקן באמת – התקיפה ממשיכה, ואתם אומרים: הכול בסדר, טפל בזה בעצמך. זה הפוך - - - << אורח >> רפי סלמה: << אורח >> אבל היא יכולה לסייע. אם הוא פונה למס"ל, מסייעים לו. << אורח >> ליאור פרנקל: << אורח >> אבל זה לא הגיוני. << אורח >> אורי שיין: << אורח >> מאותו רגע זה עובר לשלב שיתוף הפעולה, ככל שאתה מעוניין בכך. << אורח >> ליאור פרנקל: << אורח >> אין חובה בתקן לשתף פעולה. אני יכול לעמוד בתקן ולהגיד לך: אל תתקשר אליי יותר. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> שי, רצית להשלים את הדברים. << אורח >> שי: << אורח >> יש עוד סעיף בחוק שתכף נגיע אליו, שאם התקיפה לא סוכלה תוך זמן סביר או לא עמדת בהנחיות, עדיין אני אתן לך את ההנחיות ואתה - - - << אורח >> ליאת גורפינקל: << אורח >> אלא אם אני עומד בתקינה. << אורח >> שי: << אורח >> לא. התקינה היא השלב הראשון. << אורח >> קרן גל און: << אורח >> אדוני, כמו שאתם רואים, זה בדיוק האיזון שאנחנו מנסים לחפש. << אורח >> ליאור פרנקל: << אורח >> זה איזון שהוא לא נכון. << אורח >> קרן גל און: << אורח >> הוא אומר שאפילו התקינה הזו לא מספיקה. כפי ששמענו מחברו שאמר שיש אפילו תקנים אחרים שמספיקים. אנחנו אומרים שזאת בדיוק עבודת המטה שנעשתה, לבחור בפינצטה את התקן שגורמי המקצוע חושבים שהוא מספיק. זאת אומרת, בנסיבות האלה הוא נותן את הבידול בין הספק הנתקף ללקוחות שלו. הוא היחידי כרגע שאותר כמספיק, כי אכן קשה מאוד למצוא תקינה רלוונטית ואותרה אחת כזאת. אנחנו אומרים בפתיחות שיהיה מנגנון להרחיב, אם יימצא. אבל קשה מאוד למצוא תקינה שנותנת את המענה הספציפי לכך שהתקיפה לא תתפשט. זו התקינה היחידה שאותרה. היא תקינה מאוד רחבה: כ-480 עמודים, עם בקרות ספציפיות איך לבצע, זה לא עומד ברמת הכותרות, וזו התקינה שלדעתנו נותנת את המענה בהקשר של החוק הזה. << אורח >> ליאור פרנקל: << אורח >> אבל אנחנו לא פועלים פה בבנייה של חוסן. << דובר >> מירי פרנקל-שור: << דובר >> אני בכל זאת חושבת שהכללה של תקינה ספציפית בחקיקה היא זרה קצת לנושא. המנגנון צריך להיות מנגנון נושם, וצריך להתקיים שיח. כפי שנאמר קודם, אנחנו מדברים פה על תקדים, צריך גם לקחת את זה בחשבון. אני מציעה שנוציא את התקינה מהחקיקה. אתם תפרסמו תקינה לאור הבעייתיות. ההצעה שלי כזו: לא נציין את התקינה הספציפית הזו בחקיקה. אתם תפרסמו, במיוחד כאשר אני רואה שהמנגנון לשינוי הוא מנגנון שלא יאפשר להוסיף תקינות נוספות, מערך הסייבר יפרסם את התקינה באתר וצריך להתקיים שיח. אם יהיה תקן נוסף, אז הוא יפורסם באתר. אני חושבת שכל המנגנון הזה של הכנסה לחוק הוא הבעייתי. << אורח >> נטע קניגשטיין: << אורח >> תהיי חייבת להתייחס בתוך החוק לאפשרות שייקבע תקן. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> לא, לא. זה מה שמציעה, אם אני מבין אותה נכון, היועצת משפטית, שתהיה התייחסות על-פי רשימת התקינה שתפורסם על ידי מערך הסייבר. << דובר >> עידו בן יצחק: << דובר >> לא נכתוב בהתאם לתקן NIST אלא בהתאם לתקן שפרסם מערך הסייבר. << אורח >> דרור גרנית: << אורח >> אני רוצה להבין. התחלנו מחקיקה ראשית. בעקבות ההערה שלכם אנחנו אמרנו שאנחנו קובעים את זה בחקיקה ראשית אבל מציעים שאפשר יהיה לקבוע בחקיקת משנה להשאיר את הרשימה. עכשיו את אומרת לנו: לא, בואו נוציא את זה החוצה, נשים את זה בדרג - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> כי בשביל זה נועד הדיון. אנחנו לא מומחים לכל תקינה של סייבר. << דובר_המשך >> דרור גרנית: << דובר_המשך >> אני רק רוצה לוודא שאנחנו מבינים. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> את ההצעה של היועצת המשפטית של הוועדה הבנת נכון מאוד. << אורח >> גל אסף: << אורח >> היה שיח ממשלתי מאוד נרחב על החוק הזה ואחת המסקנות שלנו הייתה שצריך לייצר ודאות לשוק על מי זה חל ועל מזה לא חל ולייצר תמריץ לאמץ תקנים. נציגי מערך הסייבר אמרו פה בצדק שלקחו תקן מאוד מחמיר ופותחים שיח גם לתקנים נוספים שיגיעו בהמשך. אני חושב שהוודאות הזאת לשוק, אם נמצא תקן שכל הגורמים הביטחוניים פה שאני לא מערער, אומרים שזה מספק אותם בניהול סיכונים, אני חושב שנכון לתת את הוודאות הזאת לשוק. אם זה לא מעוגן בשום מקום, מחר זה גם יכול להימחק ואז פתאום הוודאות שנתנו לשוק נעלמת. זאת אומרת, אני מסכים ומבין את החשש של היושב-ראש מהקושי להוסיף. לגבי זה אני תמיד אשמח להוסיף, אבל מה שכבר הגענו להסכמות לגביו, אני אשמח שיעוגן ברמת ודאות גבוהה כדי שהשוק יידע. אם לזה אני מתכוונן, אז יש לי ודאות. אם נצליח להגיע להסכמה על עוד תקנים, אז נוסיף עוד תקנים. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אם נגיע להסכמה, זה לא יעזור לאף אחד אם אחד אם המנגנון המוצע יישאר בתוקף. << אורח >> אפרת נחלון: << אורח >> אדוני היושב-ראש, התשובה לחשש שלכם מסרבול של המנגנון היא בוודאי לא הוצאה של התקן היחיד שהצליחו להסכים עליו בינתיים מלשון החוק. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> יכול להיות. אני אף פעם לא מתאהב בהצעות שלי. אני רק אומר שיש פה בעיה: כלול תקן אחד, עלה פה חשש שלא בטוח שכל חברה ששמה את הפלאק על הקיר שהיא עומדת בתקן הזה באמת במאה אחוז עומדת בתקן הזה והמנגנון של להוסיף תקנים נוספים, לפחות שמעתי מאחד המשתתפים שאולי הם דווקא נותנים מענה – אני חוזר ואומר שאני לא מומחה בתחום – שהם נותנים מענה אפילו יותר סביר. המנגנון שהוצג כאן הוא מנגנון של דרך ללא מוצא. הוא לא מוביל לשום מקום. כן, בבקשה עמרי. << אורח >> עמרי רחום טוויג: << אורח >> אם זה המצב, אז למה לא להשאיר את התקן הזה כמו שהוא ולהוסיף או בתקן אחר שקבע ראש מערך הסייבר כתקן מספק ופורסם, וכדי להבנות את שיקול הדעת ואת התהליך ואת לוחות הזמנים, בשים לב שאנחנו בהוראת שעה שאם אני מבין נכון, תוקפה כולו יהיה חצי שנה, אז לקבוע איזשהו מנגנון של מי מעלה לדיון תקנים, כולל השוק שיוכל להעלות תקן לדיון, לא רק דיון פנימי שעולה בתוך המערך, ואיזה שהוא סד זמנים שבו תתקבל החלטה האם כן או לא לאשר תקן כזה, והוא יקבע בנוסף בהוראת מינהל. << אורח >> טל מימרן: << אורח >> אני חושב שברמה העקרונית הדיון הוא נכון ויצירת גמישות במנגנון קביעת תקנים זה נכון. ברמה המעשית אני בספק גדול שאחרי עבודת מטה ארוכה בחצי השנה הקרובה ישנו את ההמלצה. כל עוד מגדירים יכולת לשנות, להתאים, לעדכן, זה נראה - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> מבחינת הקונסטרוקציה המשפטית, אני רוצה להבין, אם באמת ניקח את ההצעה הזאת ויהיה כתוב התקן NIST 800-53 או תקן נוסף כפי שכפי שיפרסם מערך הסייבר הלאומי בהסכמת שירות הביטחון הכללי ומלמ"ב, כקונסטרוקציה משפטית, אני לא מתייחס לתוכן, זה מתאים? << דובר_המשך >> טל מימרן: << דובר_המשך >> כן. << דובר >> מירי פרנקל-שור: << דובר >> אני מציעה, אם אפשר, בכל זאת להעביר אותו לתוספת, כיוון שיש פה איזה דיסוננס בין קביעת תקן בחקיקה לבין איזשהו פרסום. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> שאלתי בדיוק על זה. << אורח >> עמרי רחום טוויג: << אורח >> רק לחדד שלא תהיה הסר של תקן קיים בלי שתהיה לו חלופה, שלא ייווצר ואקום. << דובר >> מירי פרנקל-שור: << דובר >> אני מציעה למרות הכול, אם זו - - - << אורח >> ליאת גורפינקל: << אורח >> חשוב לי שזה לא יהיה רק ראש מערך הסייבר הלאומי אלא בהסכמה משותפת של כל הגורמים, כי הובהר לנו שאנחנו לא יכולים לקבל את ההחלטות עבור - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אמרתי את זה חד-משמעית. << דובר >> מירי פרנקל-שור: << דובר >> לאור זה, המלצתי היא להישאר בתוספת. היא בכל זאת נותנת איזשהו איזון מסוים, ואם ההחלטות לא יהיו סבירות - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> התקינה תישאר בתוספת עם התוספת כפי שכפי שאמרתי אותה. עידו ינסח את זה. << דובר >> מירי פרנקל-שור: << דובר >> לפי ההצעה הזו - - - << אורח >> ליאת גורפינקל: << אורח >> הסעיף יישאר כפי שהצענו? << דובר >> מירי פרנקל-שור: << דובר >> הסעיף יהיה כך: ראש הממשלה בהיוועצות שר - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אני לא מוכן לחוקק אות מתה. זה סוג של עיקרון. אין מצב שאנחנו נגיע למשהו תוך חצי שנה, גם אם מחר מנהל לשכת ראש הממשלה יקבל את הבקשה. אין מצב. פשוט לא קיים. << אורח >> קרן גל און: << אורח >> חשוב לנו שהתנאי המהותי של מתי מוסיפים את התקן, גם הוא יישאר. שלא תהיה פה עכשיו איזושהי אשליה. זאת אומרת, התנאי המהותי שהצענו בשיח, שזה תקן שמבטיח את הבידול והחציצה הבין הספק והלקוחות ואת הטיפול הראוי בתקיפה, זה יישאר בחוק להבהיר שרק תקנים כאלה יאושרו ושלא תהיה איזו אשליה אחרת. << דובר >> מירי פרנקל-שור: << דובר >> לא יודעת אם זה רק ספק ולקוחות. << אורח >> חנן טוויזר: << אורח >> אני גם הייתי מעלה את הרף. הדקלרטיביות, לדעתי, פוגמת בכל התהליך הזה. אם התקן הזה לא היה דקלרטיבי והיה תהליך של איזושהי חוות דעת עליו, אז אני חושב שבאמת אין מקום אחר. אני יכול לומר לכם מהכרותי את התקינה שתיארתי לפני כן SOC2, זה משהו עם ריידר, אפשר תמיד להוסיף עליו נדבכים, גם NIST ועוד תקינה נוספת כדי להגיע להבנה אם הגוף עומד בזה או לא עומד בזה. בסוף, הדקלרטיביות פה היא החיסרון בגישה. << אורח >> ליאת גורפינקל: << אורח >> אנחנו מקבלים את האמירות שלך. מצד שני, יש גם תקנים שיש להם הסמכה והם בכלל לא עומדים בשום רף של בקרות. הם תקנים שהם תהליכיים, הם תקנים שמבנים תהליכים בתוך הארגון ולאו דווקא מחייבים בקרות. אנחנו התייחסנו לבקרות וזה מה שהיה חשוב לנו: לא מדובר פה בתהליך. << אורח >> חנן טוויזר: << אורח >> אין בעיה. אם את רוצה את התקן הזה והוא כל-כך חשוב לך, אז את יכולה להגיד שאת רוצה לקבל חוות דעת של גורם בלתי תלוי שאתה עומד בתקן הזה. זאת אומרת, אם את מוסיפה את ההארכה הנוספת ואומרת: ברגע שיש לי חוות דעת של גורם בלתי תלוי שאתה עומד בתקן הזה, אז ההצהרה שהוא נותן היא לא קלה. יש לך גורם חיצוני שלוקח אסמכתאות ועושה ביקורות ונותן בסופו של דבר את הדעת על כך שזה מיושם. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> חברים, אנחנו חייבים להתקדם. את הניסוח אתם תציעו בתוספת. << דובר >> עידו בן יצחק: << דובר >> נגיד את העיקרון. את התקן נעביר לתוספת. מספר 2 בתוספת יהיה: תקן שפרסם ראש מערך הסייבר, בהסכמת ראש השב"כ וראש מלמ"ב ופורסם באתר מערך הסייבר וברשומות. << קריאה >> קריאות: << קריאה >> - - - << דובר_המשך >> עידו בן יצחק: << דובר_המשך >> אתם רוצים - - - << אורח >> ליאת גורפינקל: << אורח >> כן, בוודאי. זו הבניית שיקול הדעת להוספת התקנים. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> מקובל עליי. << אורח >> אסנת הראל וינשטיין: << אורח >> כשכותבים תקן נוסף שנקבע, זה משתמע כאילו יש שם כבר תקן. כרגע עוד אין. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> תכתוב בלשון עתיד, כפי שיקבע. << אורח >> ליאור פרנקל: << אורח >> יש לנו תקיפת סייבר מהותית עם כל ההגדרות הקשות שהיו לנו. באים לחברה, והחברה אומרת: אני עומדת בתקן. הצהירה בצורה אמיתית, והיא עומדת. גם אם התקיפה ממשיכה, גם אם הנזק קורה, אתם מושכים ידכם. אני טוען שגם במצב שאין לי תקינה, אתם אומרים לספק, אתה צריך לעשות כך וכך. ישבנו ביחד, אמרנו אלה 20 הדברים שאני צריך לעשות. עשיתי אותם, הצהרתי על זה. גם אם התקיפה ממשיכה, אתם צריכים למשוך ידכם. זה צריך להיות חזק באותה מידה. אין הגיון שעל איזה משהו גנרי אני אקבל את זה, ועל משהו ספציפי שביקשתם ועשינו – החברה תצהיר – גם אם התקיפה ממשיכה, אני קיבלתי פס כי עשיתי את כל מה שצריך. << אורח >> ליאת גורפינקל: << אורח >> ההיגיון המסדר מאחורי הרעיון הזה, וזה בדיוק השיח שגם אנחנו ניהלנו בדל"ת אמותינו ביחד עם שותפינו, האם אנחנו בוחרים כאן תקינה. מכיוון שבאמת אנחנו מגיעים למקום שאנחנו לא ממשיכים לתת הנחיות, האם אנחנו בוחרים באותה תקינה שמבטיחה לנו – לא מבטיחה במאה אחוז כי אין מאה אחוז בסייבר, את זה הבנו – אבל מבטיחה ברמת ודאות גבוהה מאוד שאין התרחבות של התקיפה, ואז זה אותו רעיון מסדר - - - << אורח >> ליאור פרנקל: << אורח >> אני מסכים. אבל - - - << אורח >> ליאת גורפינקל: << אורח >> אם אין התרחבות של התקיפה אז מבחינתנו החשש - - << אורח >> ליאור פרנקל: << אורח >> אני מסכים - - - << אורח >> ליאת גורפינקל: << אורח >> - - יורד משמעותית ולכן אנחנו גם מתעקשים להשאיר את הסיפה. << אורח >> ליאור פרנקל: << אורח >> אבל זה באותו מצב שאם אני ביצעתי את ההנחיות שלכם והצהרתי על כך, אני גם צריך לקבל את אותו פרי פס, אלא אם אני אומר לכם: לא רוצה לדבר איתכם, נדרדר מאמצים. אם אני אומר: בסדר, עשיתי הכול, אני רוצה פרי פס על זה כמו להגיד הצהרתי. כמו הצהרתי - - - << אורח >> אורי שיין: << אורח >> אני לא מבין מה הכוונה בפרי פס, סליחה. << אורח >> ליאור פרנקל: << אורח >> כשאני מצהיר שאני עומד בתקן, גם אם התקיפה ממשיכה, אתם מחוץ לתהליך כבר. << אורח >> ליאת גורפינקל: << אורח >> בגלל שיש לך את הבקרות שמונעות את התרחבות התקיפה. כשאתה עושה פעולות, לא בהכרח יש לך כאן בקרות מובנות שכבר הטמעת. << אורח >> ליאור פרנקל: << אורח >> בסדר. << אורח >> ליאור פרנקל: << אורח >> בנית את הארגון שלך, אין לך יכולת, גם אם אתה עושה את הפעולות שהצהרת עליהן, למנוע את התקיפה אם אנחנו ממשיכים לראות שידורים. << אורח >> ליאור פרנקל: << אורח >> אבל גם אם אני עומד בסטנדרט, לא. זה באותו חוזק של דבר. אם אתם יודעים מה להגיד לי לעשות, ועשיתי והצהרתי על זה גם, אני לא סתם אומר לכם. << אורח >> עדי בן חורין: << אורח >> אני אחדד פה משהו. למערך הסייבר, ונדמה לי שגם שאר הגופים יסכימו עם האמירה הזו, אין שאיפה עקרונית לתת הוראות כופות. ככל שהחברה תטפל באופן הולם בתקיפה, אז לא יינתנו הוראות כופות וזה גם מה שכתוב בנוסח החוק. << אורח >> ליאור פרנקל: << אורח >> אני מסכים. אני רק אומר שאם יש לי דרך להתמודד עם זה בהצהרה על עמידה בתקינה גנרית, בטח שאני יכול להתמודד עם זה בהצהרה בעמידה של הנחיות ספציפיות שקיבלתי ועשיתי אותן. זה צריך להיות מספיק חזק. << אורח >> אלי דוידי: << אורח >> - - - הגוף הזה לא עשה - - - << אורח >> ליאור פרנקל: << אורח >> עשה. הצהרתי. אני גם יכול לא לעמוד בתקינה. אנחנו לא מניחים שאנחנו משקרים. << אורח >> אלי דוידי: << אורח >> הצהרת. ואז ממשיכים לתקוף אותך - - - << אורח >> ליאור פרנקל: << אורח >> אבל בתקינה הוא מוותר לי על זה. זו בדיוק הנקודה. אני אומר שזה בסדר, אני מבין את ההיגיון, אבל בטח כשהוא מבקש ממני דברים ספציפיים ועשיתי אותם, והסכמנו עליהם ועשיתי אותם, ואני גוף משתף פעולה, עשיתי כל מה שביקשו ממני – תעזבו אותי, אני אמשיך לעשות את הדברים. זה נראה לי הדבר הנכון. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> ליאור, המהות היא למנוע את תקיפת הסייבר. אני מבין את ההיגיון שלך. << דובר_המשך >> ליאור פרנקל: << דובר_המשך >> אבל הם אומרים שאם אתה עומד בתקינה והצהרת, גם אם התקיפה ממשיכה, אנחנו לא נתערב יותר. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> זה מוזר באמת. מה אתם אומרים על זה מבחינה מקצועית? אז הוא עומד בתקינה, אבל דרכו מפילים, כמו שנאמר פה, את מערך המים במדינת ישראל. אז מה? << אורח >> ליאת גורפינקל: << אורח >> אתה צודק, כבוד היושב-ראש, אני חושבת שהמנעד הרחב של הדיון כאן הסביר שלא בחרנו בכל תקינה אלא בחרנו בתקינה שמקטינה מאוד ברמת הוודאות את - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> הלכה למעשה. יושב לידך מי שאחראי על הנושא הזה, הוא עומד בכל - - - << אורח >> עמרי רחום טוויג: << אורח >> זה תמריץ. << דובר >> מירי פרנקל-שור: << דובר >> הוא עומד בתקינה - - - << אורח >> קרן גל און: << אורח >> אחת מההוראות של התקינה היא שאם התקיפה ממשיכה, הוא צריך לנתק את המערכות. אז התקינה מסדירה את זה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אתם אומרים שההנחיות באות מן התקינה. ממשיכים לתקוף, תעשה אל"ף; עוד פעם ממשיכים – תעשה בי"ת. << אורח >> ליאת גורפינקל: << אורח >> לכן בחרנו בתקינה שיש לה בקרות. זה נכון שיש שם את - - - ההסמכה שהוא יכול להיות בעייתי, אבל עדיין בחרנו - - - << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >> זה גם תמריץ לשוק לאמץ את התקינה הזאת מראש. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> הבנתי את זה. מירי, בבקשה. << דובר >> מירי פרנקל-שור: << דובר >> בדברי ההסבר נאמר שהחוק המוצע אינו שולל את האפשרות של הגופים לסייע לספק בהסכמתו להתמודד עם התקיפה בדרכים אחרות. כאן בסעיף 3 מדובר על הנחיות, אבל לא נאמר במפורש שהספק יכול להסתייע, במיוחד כאשר אנחנו מדברים - - -, אנחנו יכולים לדבר על עלויות. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> תפני אותה לסעיף 3. << דובר_המשך >> מירי פרנקל-שור: << דובר_המשך >> זה לא בסעיף 3. בדברי ההסבר נאמר שהחוק המוצע אינו שולל את האפשרות של הגופים לסייע לספק בהסכמתו להתמודד עם התקיפה בדרכים אחרות. אני חושבת שהדבר צריך לקבל ביטוי גם בחקיקה עצמה, במיוחד כאשר מדובר בספקים קטנים ומבקשים את הסיוע. העובד המוסמך יסייע לו או לכל מישהו אחר שיכול - - - << אורח >> קרן גל און: << אורח >> זה מטיל חובה לסייע? << דובר >> מירי פרנקל-שור: << דובר >> אני חושבת שכן. אם הוא מבקש, אז כן. אתם אומרים את זה בדברי ההסבר. << אורח >> קרן גל און: << אורח >> זו דרך הפעולה של המערכים. אבל הפחד המרכזי הוא שמכלל הן אתה שומע לאו. החוק הזה מתייחס לתקופה מוגבלת ולסקטור מאוד מוגבל והסיוע בהסכמה מוצע אתם שומעים את זה דרך 119 לדוגמה, במערך הסייבר, לכל מי שמבקש סיוע. יש אלמנטים רבים של סיוע בהסכמה. זה כתוב בדברי ההסבר. אנחנו לא רואים שנכון לעגן את זה בהוראת השעה הזאת עכשיו ספציפית, כי יכול להשתמע שאם צריך לעגן בחוק, מה זה אומר לגבי כל המשק שאנחנו עוזרים לו בלי שזה מעוגן. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> לא, לא. אתם באים לגוף שבאותו רגע תחת מתקפת סייבר חמורה, ואני עוד פעם חוזר על אותה דוגמא, בגוף הזה עובדים שני אנשים, אחד בחו"ל והשני חולה, הם אומרים: אין לנו מושג מה אתה רוצה מאיתנו, אף אחד מאיתנו לא מומחה להגנת הסייבר, רק נתנו שירותים בתחום שאנחנו מבינים בו. אין לנו בעיה שהנציג שלכם שהגיע, יעזור לנו. אז מה עושים במצב כזה? << אורח >> קרן גל און: << אורח >> בפועל זה מה שקורה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> לא, לא. אבל מה זה "בפועל זה מה שקורה"? ואם הנציג שלכם אומר לו: חביבי, יש לי 30 חברות כרגע לטפל בהן, אני לא אשב פה לטפל בבעיות שלך. << אורח >> אפרת נחלון: << אורח >> תשובה לגיטימית, אדוני היו"ר. אי-אפשר לבוא ולהטיל חובה לתת את הסיוע לכל ספק שבה ומבקש את זה. המערך צריך לנהל תעדוף של המשאבים שלו. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> זאת אומרת, מבחינתנו שימשיכו דרך אותה חברה לא מוצלחת, לא בסדר, חוצפנית, אני מבין את הכול, אבל דרכם עכשיו יפילו לי, אני לא יודע מה, את רשת שופרסל, אבל אנחנו נהיה צדיקים ונגיד לו אי-אפשר להעסיק את מערך הסייבר. << אורח >> גל אסף: << אורח >> אם זה אירוע של ביטחון, אז המערך יתערב. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> למה זה ביטחון? אמרתי שופרסל. איזה ביטחון? << דובר_המשך >> גל אסף: << דובר_המשך >> אני מבין. << דובר >> מירי פרנקל-שור: << דובר >> מה זאת אומרת "אם זה אירוע של ביטחון"? היא הנותנת, אנחנו - - - << אורח >> גל אסף: << אורח >> אנחנו באים פה לעשות הסדר מצומצם מאוד על העניין של מתקפות סייבר חמורות, שיש חשש שיפגעו בביטחון הלאומי. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> נו, קל וחומר. << דובר_המשך >> גל אסף: << דובר_המשך >> מענה לחוסן בכל המשק, אני חושב שיש פה - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> רק חברה שפנו אליה, אני לא מדבר איתך על כל המשק. << דובר_המשך >> גל אסף: << דובר_המשך >> אני חושב שיש פה חשש ל-Moral hazard, מה שנקרא. אנחנו בעצם אומרים פה תמריץ: מי שיהיה לא טוב, מי שיתנהל ברשלנות, המדינה תבוא ותסייע. מי שיתנהל טוב, המדינה לא תבוא ותסייע. אנחנו מייצרים פה תמריץ שלילי מאוד. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> בשעתיים האחרונות היינו בדיון הפוך: איך החברות לא רוצות שייכנס אליהן מישהו וייגע במקלדת. << אורח >> גל אסף: << אורח >> בשבילן נועד החוק הזה. מי שהוא רשלן, אז צריך לחשוב - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אלה שני דברים שבאו אליי להסביר את החוק, בדיוק שני הדברים האלה. סליחה, זה היה דבר אחד שהסבירו לי, והדבר השני הייתה השאלה הראשונה שלי. הסבירו לי שזה דווקא נועד לחברות. כי אמרתי: מה, החברות לא יודעות לטפל בסייבר? הן מהתחום. אמרו לי: אדוני, אבל יש כאלה. איך המשפטית אומרת כל הזמן? חברות סלון כאלה. אמרתי בשביל מה צריך חוק? היה מישהו שאמרתם לו: אתם תחת מתקפה. וענו לכם: טוב, אין לי זמן בשבילך? אמרו: כן, היו מקרים כאלה לכן צריך חוק. אז זה מה שהסבירו לי. הדבר שני הוא השאלה ראשונה שאני שאלתי. אמרתי, אם אתם מדברים על חברות קטנות שהמחזור שלהם קטן, אז מי יטיל עליהם את כל ההוצאות האלה ואיך הם יטפלו בזה? לא רק מרוע הלב, אולי אין להם, אולי הם לא מבינים. כרגע אתה אומר לי לא, אנחנו כמדינה לא ניתן את השירות הזה. אז אנחנו באירוע רציני או לא באירוע רציני? << דובר_המשך >> גל אסף: << דובר_המשך >> אני אומר שזה לא בעניין החוק הזה. אנחנו אומרים שהחוק הזה נועד לטפל בסרבנות שפוגעת בביטחון המדינה. הוא לא נועד לפגוע לפתור את כל בעיות - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> הוא לא סרבן. הוא חברה של איש אחד שנמצא כרגע בפאלו אלטו, מנסה למכור את החברה שלו למישהו, והאירוע קורה בארץ. << אורח >> אורי שיין: << אורח >> אדוני היושב-ראש, אנחנו במקרה של פנייה, כולל 119, במקרה של תקיפה אנחנו מספקים את ההנחיות לכל הגופים על מנת להכיל את התקיפה. לפעמים חלק מההנחיות זה לבצע פעולות שהוא בעצמו לא יודע. מכיוון שאנחנו לא נוגעים בה מקלדת ואנחנו לא ניגע המקלדת, אנחנו דורשים ממנו לקחת שירות או לעשות בעצמו, כי אנחנו לא מחליפים אותו בשירותי ה-IT שלו ובשירותים אחרים. אבל אנחנו נותנים לו את ההנחיות איך לבצע מיטיגציה, איך להכיל את התקיפה. את זה אנחנו עושים. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אבל אני עוד פעם מתעקש איתך. לדבר אחד, פרשתי מן הכנסת, הקמתי חברה, מתקשר אליכם ל-119 ואומר: חבר'ה, אני שמעתי שסייבר כרגע זה איום גדול, תעזרו לי קצת לארגן את הדברים. זה מצב אחד. מצב שני, אתה או מי מטעמך בא לחברה ואומר לו כך וכך, ומציג לו גם את החוק שאנחנו נחוקק, ואומר לו: כדאי לך לשתף פעולה. והוא אומר: לא יכול, לא יודע, נפלתי, כרגע אני במינוס, אין לי מומחה ראוי, תעזרו לי. << דובר_המשך >> אורי שיין: << דובר_המשך >> במקרה שיש פה תקיפה חמורה שמהווה סכנה לביטחון הציבור, אז כמובן שמערך הסייבר ייכנס ויסייע בכל מה שהוא יכול. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> הכול תקיפה חמורה. << דובר_המשך >> אורי שיין: << דובר_המשך >> לכן במקרה הזה אנחנו בהחלט נכנס ונסייע, אין פה בכלל שיקול דעת. << אורח >> מוריה: << אורח >> אנחנו בזה ימים רבים כשדנו בחקיקה הזו. שיקול הדעת לשים את ההבהרה הזאת בדברי ההסבר ולא בחקיקה נבע בדיוק מזה שאנחנו לא רוצים לייצר תמריץ שלילי. לספקים יש אחריות: יש להם אחריות כלפי הלקוחות, יש להם אחריות לרמת הגנה טובה. אנחנו לא רוצים שיגיע מצב שנכתוב שורה כזאת של מערך הסייבר או השירות או מלמ"ב אחראים לתת סיוע בנוסח כזה או אחר, והדבר הזה יהווה משהו להיתלות בו, שאם לא סייעו לי, אז לא טיפלתי. << אורח >> ליאת גורפינקל: << אורח >> בדיוק. החשש הוא מתמריץ שלילי. << אורח >> מוריה: << אורח >> אנחנו יוצרים תמריץ הפוך ולכן היה חשוב לנו להבהיר שסיוע יינתן ועדיין לא לקבע את זה כעוד שלב באותה הדרגתיות כי אנחנו מודעים בדיוק למגזר ולקושי ולזה שהרבה חברות לא עומדות ברף המינימלי, ואנחנו לא רוצים לייצר עוד מדרגה שתגרום להם עוד פחות מזה. << דובר >> מירי פרנקל-שור: << דובר >> צוריה, יש הבדל בין הטלת אחריות וצריך למצוא את דרך המלך שמצד אחד אתם נמצאים פה באירוע חמור, באירוע של פגיעה בביטחון המדינה, אספקת שירותים חיוניים, ביטחון הציבור, ומצד שני אתם מאוד מאוד נזהרים על עצמכם. צריך למצוא דרך. אם כתבתם את זה בדברי ההסבר, וזה הגיוני, כי אני סומכת על החברות הגדולות שהן יטפלו, נכון? אנחנו בכלל לא שם באירוע. אבל אני חושבת שאם באמת אתם כרשויות המדינה, כשמתרחש אירוע כזה, אנחנו יכולים למצוא את הדרך לא בחיוב ממשי כדי שתהיה איזושהי רשלנות. צריך למצוא את הדרך ולעגן בכל זאת איזו כניסה שלכם לבקשה של חברות קטנות, כניסה שלכם לסיוע באירוע. << אורח >> מוריה: << אורח >> ניסינו. נעשה ניסיון כזה. דברי ההסבר בינינו שיקפו את הדבר הזה, כמו שגם הבנתם, שיינתן סיוע. << אורח >> קרן גל און: << אורח >> זה איזון דק. זה איזון דק. החובה היא של החברה. << דובר >> מירי פרנקל-שור: << דובר >> כל הזמן אנחנו פה באיזון - - - << אורח >> קרן גל און: << אורח >> כן, נכון. זה החובה היא של החברה. היא מנהלת שירותים מסוכנים, שיכולים להתפרס בתקיפה למגוון לקוחות, כי היא צריכה להתנהל באחריות. החובה היא שלה. אנחנו באים כמדינה ואומרים לה: שימי לב, נתקפת. החובה לטפל היא שלה. דובר פה על נזיקין בתחילת הדיון, זה הולך לכל הכיוונים. << דובר >> מירי פרנקל-שור: << דובר >> מצד אחד, יש לה חובה לטפל, ומצד שני יש פה פגיעה בביטחון המדינה. << אורח >> קרן גל און: << אורח >> נכון. ולכן אנחנו - - - << דובר >> רם בן ברק (יש עתיד): << דובר >> - - - שיטפלו בזה. הרי - - - << דובר >> מירי פרנקל-שור: << דובר >> מה זה "אם תהיה פגיעה בביטחון המדינה"? אם אין פגיעה בביטחון המדינה, אנחנו לא - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> כל החוק הוא על תקיפות חמורות. << דובר >> רם בן ברק (יש עתיד): << דובר >> יש כאן עשרות אלפי חברות ומאות אלפי תקיפות מדי יום, נכון? ואנחנו רוצים להגיע - - - << דובר >> מירי פרנקל-שור: << דובר >> לא כל אחד הוא אירוע סייבר חמור. << דובר >> רם בן ברק (יש עתיד): << דובר >> לא. אבל הוא יכול להתפתח לזה ולכן יש כאן את התקינה הזאת שהיא תנהג לפיה ואני יכול לבקר אותך ולראות שאתה עושה את הדברים הנכונים. << אורח >> ליאת גורפינקל: << אורח >> אנחנו חוששים מהיפוך הנטל מההבנה שזה לא האחריות של הארגונים. יש כאן אמירה שהארגונים עצמם הם אלה שצריכים לדאוג להגנת הסייבר ולא המדינה תבוא לחלץ אותם בכל זמן נתון. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> זה ברור. מחלצים את הלקוחות, את המדינה, אולי תעשייה אווירית או רפא"ל. << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >> יש כאן חשש לאמירה שתתפרש לא נכון, שהאחריות היא לא על הספק. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> זה ברור. אני מנסה להגיע - - - << אורח >> קרן גל און: << אורח >> בפועל אנחנו מסבירים שהציבור לא יופקר. הציבור לא יופקר בפועל. אנחנו לא צריכים לכתוב את זה בחוק. אנחנו יכולים להתחייב פה. כמו שאדוני היושב-ראש אמר, בסוף זה סיכון לביטחון הציבור או בטחון המדינה. אנחנו אומרים שהוא לא יופקר, וזה כתוב אפילו בדברי ההסבר. לעשות את המדרגה הנוספת, ולהעלות את זה לחובה משפטית שכתובה בחוק, אנחנו אומרים שזו כבר תהיה טעות במצב הדברים. << אורח >> ליאת גורפינקל: << אורח >> יש פה פער שיכול ליצור תמריץ שלילי לחברות בדיוק החובה הזאת. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אתם חוששים ממשהו אחד, אבל אני חושש בדיוק ממשהו הפוך: שבגלל השניים שבאמת אוחזים בטלית ומגלגלים את האחריות דווקא לא לכיוון שלהם אלא לכיוון השני, זה אומר אין לי אמצעים ואין לי מומחה, תעשו בעצמכם אם זה כזה חמור. והמדינה, במקרה זה נציג שלכם אומר: חבר'ה, אני צריך לטפל בעוד 20 חברות, אני לא יכול. ובסופו של דבר ייפגעו, כמו שאמרתי, בואו לא נגזים, ברור לי גם שאם מפילים את חברת החשמל, אתם תתערבו ולא תחשבו פעמיים. אבל אמרתי, רשת מרכולים או רשת חנויות אופנה או מה שזה לא יהיה, ובסוף לך תדע מה ייקחו משם, כולל פרטים של לקוחות ועוד אני לא יודע מה. << אורח >> קרן גל און: << אורח >> גם פה, במדרג שהחוק בנה, אנחנו נתערב. אם זה ספק מהספקים שנכנסים לחוק והוא לא מילא אחר ההוראות, בין אם הוא לא רוצה, בין אם הוא לא יכול, הוא לא טיפל באופן הולם בתקיפה, הוא נכנס למצב של מתן הוראות שבהחלט זו מעורבות צמודה מאוד של אחד מהגופים בשביל למנוע את הסיכון הזה. זה בדיוק המדרג שכתוב. << דובר >> מירי פרנקל-שור: << דובר >> ננסה להציע. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> הבנתי מן התשובות שהבעיה היא ניסוחית. אתם לא חולקים מהותית שצריכים לעזור במצב כזה אבל לא מצאתם ניסוח. << אורח >> ליאת גורפינקל: << אורח >> אנחנו לא רוצים להעביר מסר לא נכון למגזר עצמו. אנחנו רואים בהם כאחראים לרמת הגנת הסייבר שלהם. כשאנחנו מעלים את זה לנורמה משפטית, יש לזה משמעות, כמו שזה הובהר כאן, איך שזה נתפס במשק. אנחנו לא רוצים לייצר כאן היפוך של נטל, החשש שלנו ושקלנו את זה ובסופו של דבר הזכרנו את זה בדברי ההסבר בצורה מושכלת ולא בגוף החוק מכיוון שאנחנו לא רוצים להעביר מסר הפוך. יש כאן אמירה מאוד משמעותית של מה אנחנו כמדינה אומרים לאותו עוסק. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> ברור. << אורח >> אורי שיין: << אורח >> אדוני היושב-ראש, אני חייב לתת אנלוגיה מהעולם הפיזי. בסוף, גם בניהול הסיכונים הפיזיים, ניקח דוגמא מצה"ל בשאלה איפה ממקמים "כיפת ברזל". בסוף יש מערך החלטות. בסוף יש שיקול דעת שאנחנו פועלים לפי חומרת האירוע. לא תמיד נצליח להגיע לכל - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> האנלוגיה שלי שונה לגמרי. האנלוגיה שלי היא: אם שוטר שנמצא כרגע בעוטף עזה, לצורך העניין, בשטח צבאי, ורואה שמתרחש משהו, הוא אומר: אבל זאת לא אחריות שלי, צה"ל פה אחראי וצה"ל זאת מערכת משומנת – האחריות עליהם, הם צריכים לטפל. זאת האנלוגיה. << דובר_המשך >> אורי שיין: << דובר_המשך >> האנלוגיה היא השאלה אם יש לי שוטר אחד, לאיפה אני שולח אותו? << אורח >> רועי פרידמן: << אורח >> החשש הוא, אדוני, שזה ייצור את אותו תמריץ שלילי. בגלל שזה תמריץ שלילי, משאבנו מוגבלים ואנחנו לא נוכל לטפל בכל - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> הבנתי את הטיעון. זה טיעון בהחלט במקום, זה לא מצוץ מן האצבע. אבל יש פה גם בעיה לכיוון השני. << דובר >> מירי פרנקל-שור: << דובר >> אם יש מישהו שבאמת הוא לא רשלן ולא מעודדים אצלו שום דבר, והוא מבקש את הסיוע - - - << אורח >> קרן גל און: << אורח >> הסיוע יינתן. כך למעשה פעלו עד היום וימשיכו לפעול. החוק נועד לתת מענה לסיטואציה - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אנחנו צריכים להתקדם. אם תהיה לך הצעה לניסוח, אז אנחנו נשמע. גברת מיכל שריג רצתה להתייחס לסעיף הזה. בבקשה. << אורח >> מיכל שריג כדורי: << אורח >> תודה רבה. מאוד חשוב לי להתייחס לסעיף הזה, כי אני מרגישה שאני לפחות קצת הלכתי לאיבוד בדיון, ואני מרגישה שהמהות קצת הלכה כאן לאיבוד. דיברנו מלכתחילה שהתכולה הרחבה מאוד של החוק שמוחל על אחרונת חברות הסלון, כמו גם על חברה ציבורית גדולה, וגם חברה שהגנת הסייבר שלה היא לעילא ולעילא ויש לה את טובי המומחים בעולם דינה כדין חברה שאין לה בכלל אנשים וכמו שאמרת, אחד בחו"ל ואחד חולה. החוק לא מבחין. כולם באותו סל. אנחנו אמרנו שזה צריך להיות ככה כי מערך הסייבר השכיל – ואנחנו מתחברים מאוד לאסטרטגיה שלו – לעשות מדרגות. זה חל על כולם, אבל על החברות שרמת הבשלות ויכולת ההתמודדות שלהן עם תקיפות כאלה היא לעילא ולעילה והן עומדות בתקינה כזאת או אחרת, תכף נדבר על התקינה, בסיטואציה כזאת אנחנו ניתן להן את המידע, נרים להן דגל אדום, נגיד להם שהן עומדים בפני תקיפה, תטפלו. אנחנו יודעים שחברות בסדרי גודל כאלה באמת מחזיקות את מיטב ומירב המומחים והם יידעו לטפל בדבר הזה. האם הם התנגדו לשמוע את עמדתו של המחוקק? של המערך? בוודאי שהם לא התנגדו. האם מומחה הסייבר של WIX, של מנדל של סייברארק, יתנגד לקבל את המלצתו, חוות דעתו, של אותו אדם כשהוא מגיע ואומר לו: אתה עומד בפני תקיפה, אני הייתי עושה כך או אחרת? בוודאי שהוא לא יתנגד. האם מוצדק להפקיע את הפררוגטיבה של חברה בשלה, ציבורית או פרטית – אבל פרטית זה בטוח. כלומר, מגזר עסקי – מלטפל בדבר הזה כשיש לה באינטרס, זה לא שאין לה אינטרס. << דובר >> מירי פרנקל-שור: << דובר >> אני לא מצליחה להבין את ההערה שלך. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> כן. למה את חותרת? מה את אומרת? << אורח >> מיכל שריג כדורי: << אורח >> אני חותרת לזה שהיכולת לייצר אבחנה בסעיף 3, בין חברה, חברת סלון שלא בשלה ולא יודעת, ומערך הסייבר צריך להתערב יותר כשיש דגל אדום כזה, לבין חברה שהוא רק צריך להתריע ולא להתערב. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> כן, אבל - - - << דובר_המשך >> מיכל שריג כדורי: << דובר_המשך >> האיזון יושב בסעיף 3. בסעיף 3 נקבע האיזון שאומר שאם את עומדת בתקן כזה וכזה שהוא סופר מחמיר, זה אומר שאת יודעת לטפל בזה. אני אתן לך את עמדתי - - - << אורח >> דרור גרנית: << אורח >> אבל זה לא התנאי היחיד. זאת אפשרות. התקן שנקבע בסעיף 3 - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> שיעבור כנראה לתוספת. << דובר_המשך >> דרור גרנית: << דובר_המשך >> מה שנקבע בפסקה (3) שבסעיף 3 אומר: הספק, אחרי שפנו אליו ומסרו לו את המידע, נתנו לו את ההזדמנות לפעול, הוא צריך לחזור לעובד המוסמך ולהגיד לו: תקשיב, עשיתי כך וכך, ואני חושב שבזה הצלחתי לבלום את התקיפה. אם הגורם המוסמך, העובד המוסמך, מבין שהתקיפה נבלמה, בזה תמה הסאגה, העניין נגמר. לחילופין, יכול אותו ספק להגיד: נכון, פנית אליי, הצגת לי שאני תחת תקיפה או שאני עוד שנייה תחת מתקפה. אני אומר לך שאני עומד בתקן שהוא תקן NIST או תקן אחר שייקבע או לא בעתיד. ובזה הוא יוצא ידי חובתו. אבל יש לו את שתי אפשרויות. זה לא רק העמידה בתקן. יש לו את האופציה להגיד, אני מטפל, עשיתי כך וכך ובזה פתרתי את הבעיה. << אורח >> מיכל שריג כדורי: << אורח >> המציאות עובדת קצת אחרת. רצפת הייצור נראית אחרת. המציאות לא עובדת ככה. הרי ברור לכולנו שאם חברה בסדרי הגודל ובשלות בחברה ציבורית, מודעת או יודעת, בין אם היא יודעת ובין אם כי מערך הסייבר אמר לה שהיא עומדת בפני תקיפה חמורה, היא תעשה כל שביכולתה ויש לה את היכולת כי יש לה את המומחיות, כי היא עומדת בסטנדרט. היא תעשה כל שביכולתה בשביל למנוע את התקיפה הזאת ולעצור את זה. << אורח >> דרור גרנית: << אורח >> מצוין. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אנחנו השתכנענו בזה מלכתחילה. << אורח >> מיכל שריג כדורי: << אורח >> תנו לי לסיים. איפה הנזק קורה עכשיו? הנזק קורה כשאני הולכת היום לדירקטוריון שלי או ללקוחות שלי או לבורד שלי, ואומרת להם: המדינה לא סומכת עליי לעשות את זה. אתם צריכים לשמוח על זה שמערך הסייבר התייחסו אלינו ויעזבו אותנו בשקט. אבל יש להם היום את הכוח להפקיע ממני ולהגיד לי לא להשתמש בתוכנה הזאת אלא בתוכנה אחרת, או לא לעשות ככה אלא אחרת. << אורח >> מוריה: << אורח >> זה לא נכון. << אורח >> מיכל שריג כדורי: << אורח >> ככה זה נתפס בעולם. כחברות בינלאומיות כשאנחנו מתמודדים עם החקיקה הזאת, אנחנו צריכים להסביר למה למרות שאנחנו המומחיות מספר אחד בעולם לדבר הזה, ויודעות להתמודד ומשקיעות מיליוני דולרים בכל רגע נתון לדבר הזה, עדיין המדינה מרגישה שהיא יכולה לקחת ולהפקיע מאתנו את היכולת לנהל את זה באופן שאנחנו מוצאים לנכון. אני אומרת שכשיש איזשהו סטנדרט של SOC2, של NIST, לא משנה – עכשיו נתווכח על התקן, איזה תקן, איך תקן אחר – אבל בעצם הוא אומר שחברה בסדר גודל כזה, שיודעת להתמודד עם תקיפות הסייבר, אנחנו נעבוד בשיתוף פעולה. זה אומר שהסטנדרט והיכולות שלה מספיקים. << אורח >> מוריה: << אורח >> מיכל, אני רוצה להשיב לך. את חוזרת על הנקודה הזו בכמה וורסיות מתחילת הדיון. כבר ניתן מענה, אבל אני אנסה לחזור עליו שוב. את החברות הגדולות שיודעות לתת מענה סייבר ברמה גבוהה אנחנו מסננים דרך התהליך. התהליך הזה אמור לסנן. יש לכם רמת הגנת סייבר טובה, מומחים לסייבר, תטפלו בתקיפה באופן עצמאי. נשמח ונגיד לכם שלום כידידים. << אורח >> מיכל שריג כדורי: << אורח >> מי מבטיח לי את זה? << אורח >> מוריה: << אורח >> מי מבטיח לך? כך כתוב בחוק. << אורח >> מיכל שריג כדורי: << אורח >> איפה כתוב בלשון החוק שאם אני מטפלת, שלא תחלקי עליי או תגידי לי לעשות אחרת? << אורח >> מוריה: << אורח >> בסוף אנחנו מתייחסים למצב עובדתי, זה כתוב בחוק. אם התקיפה נבלמה, אני אומרת לך שלום ולא ממשיכה לשלב הבא. זו כל הכוונה. << אורח >> מיכל שריג כדורי: << אורח >> מה זאת אומרת "התקיפה נבלמה"? יכול להיות שגם אם תאלצי ואני אעשה מה שאת אומרת - - - << אורח >> מוריה: << אורח >> אני לא מנחה אותך, מיכל. אני קודם כל אומרת לך שאת נתקפת או הולכת להיתקף ועכשיו בבקשה, אני מבקשת שתטפלי בתקיפה הזאת ותבלמי אותה באמצעים שיש ברשותך בפרק זמן מסוים, שהוא מותאם לסוג התקיפה ולמאפיינים שלה. ככל שטיפלת בה, אנחנו לא ממשיכים איתך קדימה. << אורח >> נטע קניגשטיין: << אורח >> זה גם כתוב במפורש בדברי ההסבר, מיכל, תסתכלי. << אורח >> מוריה: << אורח >> אנחנו יודעים לראות אם התקיפה ממשיכה או לא ממשיכה. זו ההבנה שלנו. אנחנו יודעים לראות אם טיפלת בתקיפה, אם התוקף כבר לא אצלך בתוך המערכת, את זה אנחנו יודעים לראות ואנחנו לא נמשיך. אני גם אתייחס לצד השני שאמרת, לגבי הבורד ולגבי התרגום. בסוף כולנו מבינים שההוראה הזאת היא הוראת שעה, יש בה היבטים פולשניים והיא מותאמת למצב שישראל נמצאת בו עכשיו. היא תחומה בזמן. אין לנו עניין להגיע אליכם אם אין צורך בזה. ואם אתם תטפלו, כפי שאת אומרת, ברמה כל- כך גבוהה, אנחנו לא נתראה, חוץ מהשלב הראשון בו נודיע לכם שנתקפתם או שאתם עומדים להיתקף – אני מניחה שאתם שמחים על הדבר הזה. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> תודה, מיכל. << אורח >> מיכל שריג כדורי: << אורח >> - - - תסמכו עלינו שלא נחזור אליכם. << אורח >> מוריה: << אורח >> אני לא ביקשתי שתסמכי עליי. זה החוק ואפשר לקרוא אותו שוב. זה החוק. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אנחנו קוראים את החוק. תודה ליועצת המשפטית של השירות. מיכל, אנחנו הבנו את הנקודה שלך. אני קצת חושש שאנחנו נכנסנו פה לאיזה לופ כי לפני 5 דקות ניסינו להוכיח שהמערך צריך לגלות פעלתנות יתר, ואם צריך אז גם לעבוד בעצמו. כרגע אנחנו במצב הפוך, שהמערך יגלה פעלתנות יתר ואיך לעצור אותו. << אורח >> מיכל שריג כדורי: << אורח >> בגלל שהסל של החברות הוא אחד. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> אני מבין אותך. אני פתחתי בזה את הדיון, אילו הייתה נמצאת איזושהי הגדרה. אבל כולנו מבינים שאי-אפשר למצוא הגדרה: אתם חברה טובה ואתם חברה לא טובה. << דובר_המשך >> מיכל שריג כדורי: << דובר_המשך >> אבל התקינה היא סוג של - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> התקינה ישנה. אם את אומרת לבורד: אל דאגה, נכון ששמעתם שיש איזה חוק, אבל התקינה והניסיון שלנו מחריגים אותנו ואני לא צופה שום בעיה. << דובר_המשך >> מיכל שריג כדורי: << דובר_המשך >> נכון, נכון. לכן התקינה - - - שתישאר. ולא רק - - - << יור >> היו"ר יולי יואל אדלשטיין: << יור >> היא תישאר. << דובר_המשך >> מיכל שריג כדורי: << דובר_המשך >> לא רק שחשוב לי שהיא תישאר, גם חשוב לי שהיא תהיה תקינה כזאת שלוקחת בחשבון את השוק, את הסטנדרט הגבוה של השוק. כרגע היא לוקחת רק את התקינה האמריקאית ולא את ה-SOC. זה מאוד מאוד חשוב לי. << יור >> היו"ר יולי יואל אדלשטיין: << יור >> טוב חברים, כפי שאני מעריך, יש לנו פה עוד לא מעט זמן לדיון ולסיכומים ולהערות. אנחנו לא נוכל להמשיך את הדיון עכשיו, ולכן אנחנו נקבע ישיבה נוספת על החוק, אני מניח שאפילו אולי מחר, כי אנחנו יכולים לשבת גם בזמן המליאה מחר, נכון? עוד לא ברור. אז אנחנו נקבע. אני אומר למערך הסייבר ולשאר הגופים המעורבים, למשרד המשפטים, אנחנו מבינים את סד הזמנים ולכן אנחנו לא מתכוונים לדחות את זה מעבר למועדים שסיכמנו. אז אם לא מחר, אז בימים הקרובים אנחנו נקיים ישיבה נוספת, ושם גם נסכם את הכול ונצביע. אני רק מציע שמכיוון שאם כבר הגענו למצב הזה שאנחנו צריכים לעשות הפסקה בדיון, אז אולי בחלק מן הנקודות – אני אומר את זה ליועצים המשפטיים שלנו – תבואו בדברים. אולי נבוא כבר עם פתרונות מוכנים ומוסכמים לפעם הבאה. הערות נשמעו, לפחות בשלושת הסעיפים הראשונים שקראנו. ואם יש משהו בהמשך שאתם חושבים שיעלה גם הערות או מחלוקת, אז גם כן תנסו לסכם. אני אומר את זה גם לגופים שגילו עניין רב בחוק, אם זה התאחדות התעשיינים או לשכת עורכי הדין, או גורמים נוספים שהיו כאן, אם יש לכם הערות ספציפיות גם למה שנאמר או למה שעוד לא הגענו אליו, אני מציע שתחדדו אחרי הדיון דברים יותר ברורים לייעוץ המשפטי של הוועדה, ונשתדל מאוד לקחת את הדברים בחשבון. עד כאן. אני נועל את הישיבה הזאת ונמשיך את הטיפול בהכנה לקריאה שנייה ושלישית בהמשך, כפי שייקבע. ישיבה זו נעולה. << סיום >> הישיבה ננעלה בשעה 16:14. << סיום >>