פרוטוקול של ישיבת ועדה

הכנסת העשרים-וחמש

הכנסת



2
ועדת החוץ והביטחון
20/12/2023


מושב שני



פרוטוקול מס' 119
מישיבת ועדת החוץ והביטחון
יום רביעי, ח' בטבת התשפ"ד (20 בדצמבר 2023), שעה 13:30



סדר היום:
 << הצח >> הצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה - חרבות ברזל), התשפ"ד-2023 << הצח >>   


נכחו:
חברי הוועדה: 
יולי יואל אדלשטיין – היו"ר
ינון אזולאי


מוזמנים: 
	קרן גל-און לכנו
	–
	סגנית יועמ״ש מערך הסייבר, משרד ראש הממשלה

	רפי סלמה
	–
	יועמ״ש תקשוב, משרד הביטחון

	בת חן הורביץ
	–
	ממונה משפטית למלמ"ב, משרד הביטחון

	טלי
	–
	מלמ"ב, משרד הביטחון

	נעם שלומאי קוניץ
	–
	מתמחה (אשכול ביטחון, מחלקה מינהלית), משרד המשפטים

	נטע קניגשטיין
	–
	ייעוץ וחקיקה - ייעוץ, משרד המשפטים

	שמרית וולף
	–
	משפטנית ייעוץ וחקיקה ( פלילי), משרד המשפטים

	אסנת הראל וינשטיין
	–
	רפרנטית באשכול ביטחון, משרד המשפטים

	עמית יוסוב עמיר
אפרת נחלון 
	–
–
	ייעוץ וחקיקה, משרד המשפטים
עו"ד, לשכה משפטית, משרד האוצר

	גל אסף
	–
	רכז שירותים מיוחדים באג"ת, משרד האוצר

	אורי שיין
	–
	ראש אגף בכיר מודיעין, מערך הסייבר

	שלמה צרפתי
	–
	כלכלן ראשי, מערך הסייבר

	ליאת גורפינקל
	–
	היועצת המשפטית, מערך הסייבר

	עדי בן-חורין
	–
	לשכה משפטית, מערך הסייבר

	שהם אלכסנדר-דהאן
	–
	מנהלת אגף מדיניות וממשל, מערך הסייבר

	איילת חן כהן
	–
	ראש תחום מדיניות רגולציה, מערך הסייבר

	טל מימרן
	–
	ראש תכנית המחקר, תכלית – המכון למדיניות ישראלית

	טמיר בר
	–
	רכז קשרי ממשל, תכלית – המכון למדיניות ישראלית

	ליאור פרנקל
	–
	מנכ"ל, התאחדות התעשיינים

	רון גרמה
	–
	מנהל פורום חברות הסייבר הישראלי, התאחדות התעשיינים

	מי-טל פרי 
	–
	עו"ד, התאחדות התעשיינים

	עמרי רחום טוויג
	–
	שותף, מחלקת סייבר וטכנולוגיות

	נועה אלפנט לפלר
	–
	דירקטור מדיניות ציבורית וקשרי ממשל




משתתפים (באמצעים מקוונים):
חן פליישר 	         –     עוזרת ליועצת המשפטית, בנק ישראל
אסף הראל 	         –      עו"ד, שדלן
מיכל שריג כדורי         –      עו"ד, מנהלת פורום חברות הצמיחה וקשרי ממשל
ניר גרסון                     –      הרשות להגנת הפרטיות


ייעוץ משפטי: 
מירי פרנקל-שור

מנהל הוועדה:
אסף פרידמן

ראש תחום מדיני:
שרה צוובנר

רישום פרלמנטרי:
הילה לוי


רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות.
<< הצח >> הצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבות ברזל), התשפ"ד-2023 << הצח >>


 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

צוהריים טובים, אני מתנצל על העיכוב. הוא נבע, כפי שאמרתי, מכך שכל הצוות המשפטי היה בדיון סוער על הצעת חוק אחרת, שאמורה לעלות עכשיו במליאה. אנחנו ממשיכים את הדיון בהצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבת ברזל), התשפ"ד–2023. אם אני לא טועה, סיימנו את ההקראה של סעיף 3, ואנחנו רוצים להתקדם. אני מזכיר לכולם, אנחנו קוראים את הסעיף, ואז שומעים הערות והצעות לשינויי נוסח. בבקשה, עידו. 

 << דובר >> עידו בן יצחק: << דובר >>   

4. תיעוד עובד מוסמך יתעד בכתב את ההוראות שנתן לספק לפי סעיף 3 וימסור לו נוסח כתוב של ההוראות שאינו מכיל מידע מסווג, בתוך פרק זמן סביר ממתן ההוראה; לעניין זה, "מידע מסווג" - מידע שסיווגו הביטחוני נקבע בידי מערך הסייבר, שב"כ, צה"ל או מלמ"ב, לפי העניין, כסיווג ברמת "שמור'" ומעלה.

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

יש הערות לסעיף זה? הצעות? 

 << דובר >> מירי פרנקל-שור: << דובר >>   

יש שאלה מתי הוא מעביר לו את הנתונים בכתב. גם לעניין משך הזמן הסביר, שלא יהיה יותר מדיי זמן סביר לעובד המוסמך לתת את ההנחיות, ובסופו של דבר תתקצר התקופה של הספק לתקן את מה שהוא צריך. אנחנו חשבנו שלעובד צריך להודיע בהקדם האפשרי, ולספק יהיה זמן סביר שאתם תקצו לו. אני חושבת שכן נטיל את החובה להודיע בהקדם האפשרי. 

 << קריאה >> נטע קניגשטיין: << קריאה >>   

- - -

 << דובר >> מירי פרנקל-שור: << דובר >>   

בהקדם האפשרי. ברגע שהוא נוכח, הוא צריך להודיע לו בהקדם האפשרי. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

איך זה בא לידי ביטוי בנוסח?

 << דובר_המשך >> מירי פרנקל-שור: << דובר_המשך >>   

זה צריך להגיע כבר בסעיף 3, כי יש פה שרשור שפונה אליו. הרי הוא צריך לפרט בפני הספק את התשתית העובדתית. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

את מחפשת לומר ב-3(1): העובד המוסמך יפרט בפני הספק בהקדם האפשרי את התשתית העובדתית וכן הלאה. 

 << דובר_המשך >> מירי פרנקל-שור: << דובר_המשך >>   

ואז אנחנו נכנסים לתוך זמן סביר, כי אני לא רוצה לקצר את המועד לספק. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

הכוונה ברורה. מתאים לכם?

 << אורח >> נטע קניגשטיין: << אורח >>   

הכוונה לתת את ההנחיות בכתב?

 << דובר >> מירי פרנקל-שור: << דובר >>   

זאת שאלה אחרת, ותכף נראה מה לגבי ההנחיות. הכוונה לבוא בדברים בהקדם האפשרי, כי ככל שאתם מגיעים בשלב מאוחר יותר, הזמן הסביר שלו מתקצר. אנחנו אומנם בסעיף 4, אבל אני חושבת שצריך לחזור לסעיף 3. זאת אומרת, ההתוויה צריכה להיות כזאת – העובד המוסמך צריך להגיע לספק בהקדם האפשרי, ולתת לו זמן סביר, כי ככל שהזמן הסביר שלכם יתארך, הזמן הסביר שלו יתקצר. 

 << אורח >> אסנת הראל וינשטיין: << אורח >>   

ב-3(2) כתוב: בתוך פרק זמן סביר שיימסר לספק. 


 << דובר >> מירי פרנקל-שור: << דובר >>   

כן, כן, אבל אני רוצה לאבחן בין הזמן הסביר להקדם האפשרי. בכל זאת לחדד את החובה שלכם. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

יש לכם בעיה שב-3(1) יהיה כתוב: העובד המוסמך יפרט בפני הספק בהקדם האפשרי את התשתית העובדתית והמקצועית לקביעה, וכן הלאה? אין לכם בעיה. זה מתכתב עם סעיף 2, שאומר: העובד המוסמך ייתן לספק הזדמנות לפעול באופן הולם, וכן הלאה. 

 << דובר_המשך >> מירי פרנקל-שור: << דובר_המשך >>   

דבר נוסף, בסעיף 4, מה זאת אומרת למסור לו את נוסח ההוראות? כאן מגיע הנושא שבכתב בפרק זמן סביר. 

 << אורח >> נטע קניגשטיין: << אורח >>   

יש תקיפות שצריך לטפל בהן באופן מיידי, בפרק זמן מאוד מאוד קצר. לפעמים לוקח זמן עד שניתן להעלות את הדברים על הכתב, ולכן, הכוונה היא שההנחיות יימסרו בעל-פה, ובפרק זמן סביר יימסר העתק גם בכתב. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

אני חושבת שצריך להעביר לו כמה שיותר מהר את ההנחיות בכתב, על מנת שלא תהיה מחלוקת – מה נאמר, לא נאמר, אלו היו ההנחיות וכולי. 

 << אורח >> נטע קניגשטיין: << אורח >>   

במקום: בתוך פרק זמן סביר, יהיה כתוב: בהקדם האפשרי?

 << דובר >> מירי פרנקל-שור: << דובר >>   

אני לא יודעת. 

 << אורח >> נטע קניגשטיין: << אורח >>   

בהקדם האפשרי נגזר במידה רבה ממאפייני תקיפת הסייבר. 

 << דובר_המשך >> מירי פרנקל-שור: << דובר_המשך >>   

אני חוששת מחוסר הבנה בין העובד שנותן את ההנחיות, לבין הספק שצריך לבצע את ההנחיות. 

 << דובר >> דרור גרנית: << דובר >>   

סעיף 4 הוא כמעט הגדרה בדיעבד. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

זאת השאלה, אם זה צריך להיות בדיעבד. ברור שהוא בדיעבד. 

 << דובר >> דרור גרנית: << דובר >>   

אם יש מתקפה שתבוא בעוד שבוע, אז אפשר להעביר בכתב והכול בסדר. אבל אם המתקפה היא eminent, היא קרובה והיא דחופה והכול בלחץ זמנים, סביר יותר להניח שהשיח ירוץ מהר בעל-פה בטלפונים. הוא יגיד לו: אני רואה את המתקפה והיא תגיע בשעות הקרובות. ואז, התיעוד בכתב שהוספנו, שציינו, אנחנו יודעים שהוא חשוב, אבל הוא כמעט תמיד יהיה בדיעבד. הוא יבוא לאחר מעשה. ולכן, לכתוב שהוא יינתן בהקדם האפשרי? נראה לי שזה מייצר דבר לא נכון, כי הדגש הוא לא על הכתב. בזמן ההתמודדות, השיח מתנהל בעל-פה - - - לכל הצרכים שהוא יצטרך להתמודד איתם. כשהמשקיעים שלו, הלקוחות שלו, בעלי המניות שלו, הרגולטורים שלו – לא יודע מי – ישאלו אותו: למה עשית מה שעשית? הוא יגיד: הינה, יש לי נייר כתוב. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

סעיף 3(1) שעליו דיברנו, לא מתייחס למה שבכתב או בעל-פה. הוא מדבר על התראה, אם אני מבין נכון. 

 << אורח >> ליאור פרנקל: << אורח >>   

סליחה, אני חושב שאם יש חברה שאנחנו יודעים שיש עליה תקיפה, אנחנו מבינים את המשמעות שלה ואנחנו יודעים מה להמליץ להם, זה צריך להגיע מראש בכתב. עם הדחיפות ועם הכול. הנחיות לחברה מגוף ממשלתי, בטח גוף עם ניחוח ביטחוני, צריכות להגיע מסודר בכתב, גם אם זה לוקח עוד שעה. אם לוקח לכם שבועיים לכתוב, זה אומר שחבל על הזמן. ברור שאם יש גם שיח, אפשר להתייחס, אבל ההנחיות המחייבות צריכות להגיע בכתב. 

 << אורח >> אסנת הראל וינשטיין: << אורח >>   

אבל לפעמים הסיטואציה היא שאתה לא יכול לספק - - -

 << אורח >> ליאור פרנקל: << אורח >>   

אני מבין, אבל הסיטואציה היא גוף ממשלתי. 

 << אורח >> נטע קניגשטיין: << אורח >>   

לפעמים עוד שעה כל כך רלוונטית, שהעיכוב של עוד שעה יכול לפגוע בחברה. 

 << אורח >> ליאור פרנקל: << אורח >>   

מצד אחד, אתם אומרים שההנחיות לא ספציפיות. אתם אומרים שאלה הנחיות כלליות. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

עובד אחד ישב, יקליד וישלח לו. 

 << קריאה >> קריאה: << קריאה >>   

זה לא עובד ככה. 

 << דובר >> דרור גרנית: << דובר >>   

זה עובד בפינג-פונג, זה עובד בשיח. נניח שאנחנו בעולם של שיתוף פעולה. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

בתום השיח, תוציאו לו סיכום בכתב. מה הבעיה?

 << אורח >> ליאור פרנקל: << אורח >>   

זה צריך להיות מיידי. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אנחנו מדברים על שני שלבים, אם אני מבין נכון – כבר אתמול בדיון אמרתי שאני לא טוען שאני מומחה בתחום. אם יש לי את סעיף 3(1) בחוק, שאומר שבהקדם האפשרי העובד המוסמך יפרט בפני הספק בהקדם האפשרי את התשתית העובדתית והמקצועית, זאת אומרת, ברמה המעשית הוא מרים טלפון לחברה, ואומר: חברים, אתם תחת מתקפה, כיוון כזה וכזה, פרטים כאלה וכאלה, תתחילו לפעול, אני מוציא לכם סיכום בכתב. לזה אנחנו מגיעים בסעיף 4, נכון?

 << אורח >> עמרי רחום טוויג: << אורח >>   

התרחיש הזה לא יכול לקרות, אדוני. ההודעה בסעיף 3(1) היא זאת שמתניעה את ההליך ונותנת אפשרות בזמן סביר להתגונן, ורק לאחר מכן תגיע ההוראה. יש הבחנה בין ההודעה בסעיף 3(1) לבין ההוראה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

על זה בדיוק אני מדבר. 

 << דובר >> דרור גרנית: << דובר >>   

במילים אחרות, התיעוד הכתוב לא נועד לצורך ההתמודדות עם תקיפת הסייבר. התיעוד הכתוב נועד כדי שאחרי זה לספק יהיה נייר, שהוא יוכל להיעזר בו מול מי שהוא צריך – לקוחות, משקיעים, רגולטורים, בעלי מניות. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

וגם אותו בעל חברה יוכל לומר: יש לי פה שלושה סעיפים, טיפלתי בכולם, זה מה שהעברתם, ולא להיכנס אחר כך לוויכוח – לא שמעתי אותך טוב בטלפון, חשבתי שאמרת A ואמרת בעצם Y.

 << דובר_המשך >> דרור גרנית: << דובר_המשך >>   

תוך כדי ההתמודדות צריכה להישמר הדינמיות של שיחה, שמתקיימת בין שני הצדדים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

מה הקשר בין הדברים? ברור שהוא לא עשה שגר ושכח. הוא שלח את המכתב או את הסיכום – איך שתקרא לזה – והוא ממשיך בדיאלוג. דרך אגב, אם אנחנו מעוניינים באמת שהוא יפעל, זה לא שיחת טלפון מאיזה חיים. זה מכתב עם הסמל המסוים שיש על המכתב וכן הלאה. 

 << דובר_המשך >> דרור גרנית: << דובר_המשך >>   

אדוני, זה לא מתכתב עם לוחות זמנים של תקיפה שהיא דחופה. הנחת העבודה היא שאנחנו בעולם שהמתקפה היא - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בסדר, אני לא כל כך מבין על מה אנחנו מתווכחים. בואו נרד קצת למציאות. אם בעל החברה רוצה לשתף פעולה או באמת נבהל מהמתקפה, הוא מתחיל לפעול מייד. המכתב הוא בעצם בדיעבד, ויהיה לו כל הסיכום לפעולות שהוא נקט, וגם סוג של צ'ק ליסט. דווקא אחד שלא כל כך רוצה לפעול, ואומר: עזוב, תפסיקו עם הבלגאן, שום דבר לא תוקף וזה לא פוגע באף אחד, לא יפעל על סמך דיבורים. הוא דווקא יפעל כשהוא יראה לפניו מכתב של מערך הסייבר או של השירות או משהו כזה. אז הוא יבין שהעסק רציני. 

 << אורח >> ליאור פרנקל: << אורח >>   

אנחנו נותנים מדי פעם אנקדוטה של שני חבר'ה בסלון. רוב החברות הן עם עשרות עובדים או יותר. מישהו מהם קיבל את הטלפון וזה לא תמיד המנכ"ל. לא תמיד המנכ"ל רלוונטי. הוא צריך להפעיל עכשיו את החברה לעשות דברים בתוך החברה. הוא לא יגיד: קיבלתי טלפון מ-ג'. הוא לא יעשה את זה. אנשים יגידו לו: עבדו עליך. 

 << אורח >> נטע קניגשטיין: << אורח >>   

מה שחשוב לחדד זה שכשיש תקיפת סייבר חמורה, יכולים להיות כל מיני תרחישים מבחינת דחיפות הפעולה. במקרה שבו מדובר בתקיפה שכבר מתרגשת עלינו, זה אינטרס של הספק שהיא תטופל בהקדם האפשרי, ושלא נמתין להתחיל לתת הוראות בכתב. לכן, המדרגיות שהצענו בהצעת החוק היא כזאת, שקודם כול מבטיחה את הגשמת האינטרס היסודי של טיפול בתקיפה, והתיעוד גם יינתן במועד המוקדם ביותר שיתאפשר. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

על זה כל השיחה. אנחנו עשר דקות באיזושהי מחלוקת שלא קיימת. 

 << דובר_המשך >> נטע קניגשטיין: << דובר_המשך >>   

אני חושבת שליאור מנסה לטעון שכל ההוראות מלכתחילה חייבות להיות - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בשפה יותר יפה אולי ומנוסחת היטב, ליאור אומר את מה שאני אמרתי לפני שתי דקות, שמי שרוצה לשתף פעולה ונבהל מהטלפון, יתחיל באותו רגע. הוא לא ייתן לנציג שלך לרדת מהקו, ויתחיל לשאול: תגיד לי מה לעשות, תגיד לי מה לעשות, וואיי, וואיי, אני אאבד את הלקוחות. אבל יכול להיות גם מקרה אחר, אחרת לא הייתם מביאים את החוק. לכן, כדאי שבסוף השיחה, אותו נציג שלך יגיד לו: בלוחות הזמנים התקשרתי אליך ישירות. תתחילו לפעול, והמכתב שלנו יוצא אליך או-טו-טו. מה מפריע בזה?

 << אורח >> ליאור פרנקל: << אורח >>   

הניסיון מלמד שהמכתב הזה הוא מייל בהרבה מקרים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

קל וחומר, בנו של קל וחומר. 

 << אורח >> ד"ר טל מימרן: << אורח >>   

אני ממכון תכלית. אני חושב שבשורש הדאגה או הפער עומדות כמה סיבות – הצדקה למשקיעים, שיקולים של אבטחת סייבר, איך לפעול, וגם היבטים של חשיפה משפטית. יכול להיות שיש פתרון יותר קל מתיעוד בכתב, כזה שלא מעכב, למשל להקליט את השיחה. יכול להיות שאפשר למצוא מנגנון שמפשר את הדאגות הללו.

 << דובר >> מירי פרנקל-שור: << דובר >>   

שיוציאו את ההנחיות בכתב. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

ואם הוא מדבר מהטלפון שלו כשהוא באוטו?

 << אורח >> ד"ר טל מימרן: << אורח >>   

שגוף המודיעין יקליט את השיחה, ואז יהיה תיעוד. השאלה אם זה עונה על הצורך. 

 << קריאה >> קריאה: << קריאה >>   

זה עושה את זה יותר שכונה. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

חשוב לנו להבהיר לגבי התיקון בסעיף 3, שלא תמיד יש פנייה לספק. כשיש פנייה, אין בעיה שהיא תהיה בהקדם האפשרי. גם בסעיף 4 אנחנו חושבים שאפשר לקבל את ההצעה שלכם, ולכתוב שזה יהיה בהקדם האפשרי בנסיבות העניין. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לסעיף 4 ביקשו עוד הערות?

 << קריאה >> קריאה: << קריאה >>   

אנחנו קיבלנו את הבקשות. 

 << קריאה >> קריאה: << קריאה >>   

בהקדם האפשרי, בנסיבות העניין. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

לא בנסיבות העניין. בהקדם האפשרי. ברור שזה בנסיבות העניין. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

ההקדם האפשרי הוא בנסיבות העניין. 

 << דובר >> עידו בן יצחק: << דובר >>   

או שאפשר או שאי-אפשר. אם הנסיבות הן כאלה שאי-אפשר - - -

 << קריאה >> קריאה: << קריאה >>   

יכול להיות שההבהרה הזאת חשובה כדי שלא יבואו ספקים ויגידו: רגע, לא נתת לי בכתב. 

 << אורח >> ליאור פרנקל: << אורח >>   

אבל הם יבואו, כי לא יכול להיות שאתם לא נותנים את זה בכתב. זה לא סביר ברמה קיצונית. זה פשוט לא סביר. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

חברים, באמת, כך לא נתקדם. אנחנו באמת מתווכחים על כלום. לסעיף 4 היו עוד הערות בזום, של עורכת הדין מיכל שריג כדורי. אחריה עורך הדין אסף הראל מאיגוד הבנקים, בבקשה. 

 << אורח >> מיכל שריג כדורי: << אורח >>   

תודה רבה, אדוני היושב-ראש, אני מפורום חברות הצמיחה. אני רוצה להצטרף לדברים של היועצת המשפטית בתחילת הדיון לגבי לוחות הזמנים. אני חושבת שזה יבוא לידי ביטוי גם בסעיף הבא – זאת אומרת, גם בסעיף 5 אבל גם כבר בסעיף 4. שעון העצר או הזמן הסביר שניתן לחברה – דרך אגב, זה לא ממש מצוין ברחל בתך הקטנה – יתחיל מהרגע שהיא קיבלה את ההודעה. זה לא יתחיל את אותה הודעה בכתב. הדבר צריך להתחיל להתגלגל מאותו רגע שהיא קיבלה את ההנחיה לעשות את אותו הדבר. זה מבחינתנו. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

תודה, אני מתנצל. אפילו בסטנדרטים של הכנסת, הדיון הזה מתנהל בצורה מוזרה. אנחנו נעצור להפסקה, אני צריך לעלות למליאה להציג הצעת חוק ומייד ארד בחזרה אליכם. הפסקה של כרבע שעה, להערכתי, ואיתכם הסליחה. הפסקה. 

 << הפסקה >> (הישיבה נפסקה בשעה 14:00 ונתחדשה בשעה 15:05.) << הפסקה >>   

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני מחדש את הישיבה. זאת לא הייתה הפסקה של רבע שעה, אבל הדיון במליאה התארך. בבקשה, נמשיך. שמענו את מיכל שריג כדורי, ולא שמענו בזום את אסף הראל מאיגוד הבנקים, בבקשה. 

 << אורח >> אסף הראל: << אורח >>   

שלום, ותודה רבה על האפשרות להתייחס. אני מדבר בשם איגוד הבנקים, ואנחנו סבורים שכאשר העובד המוסמך מפעיל את הסמכויות שלו כלפי הספק, שמספק שירותים גם לבנקים, עליו לעשות את זה בתיאום עם הפיקוח על הבנקים. אני אסביר. המערכת הבנקאית מחזיקה, כידוע, מידע רגיש על מספר רב של אנשים, ולתקינות של מערכות המחשוב של המערכת הבנקאית יש, כידוע, משמעות אסטרטגית והשפעה מהותית על יציבות המערכת, ובעצם על כל אחד מאיתנו. לצורך ניהול טכנולוגיות המידע שלהם, הבנקים נעזרים גם בספקי מיקור חוץ, שההתקשרות איתם כפופה למגבלות משמעותיות של בנק ישראל, כולל בהיבט של סייבר. 

הגורם שמוסמך כיום להנחות את הבנקים בתחום הסייבר ולפקח על הגנת הסייבר בבנקים, הוא המפקח על הבנקים. למפקח, כגורם ממשלתי, יש ראיית רוחב, שלוקחת בחשבון גם את שיקולי הסייבר וגם את השיקולים של יציבות המערכת הבנקאית. לכן, במקרה של אירוע סייבר אצל ספק שירותים שמספק שירותים גם לבנקים או רק לבנקים, חיוני בעינינו שהמפקח על הבנקים יהיה בתמונה, ויוכל להביא לידי ביטוי את ההיבטים הייחודיים של המערכת הבנקאית, ולשקול את האיזונים הנכונים. בעינינו, ראוי לקבוע שיידרש למעשה אישור של המפקח למתן הנחיות לספק כזה, ולכל הפחות שהוא יהיה מיודע על מתן הוראות לספק כזה. המעורבות של המפקח על הבנקים היא חלק מהאחריות הכוללת שלו על הבנקים, לרבות בנושא הסייבר, וההערה הזאת, אגב, נכונה גם לספקים שמספקים שירותים לגופים אחרים, שנתונים לפיקוח של מאסדר ממשלתי בתחום הסייבר. 

על הרקע הזה אנחנו נציע לקבוע חובה מפורשת לקבל את הסכמתו של המפקח על הבנקים טרם הפעלת סמכויות כלפי הספק, אם הספק הזה מספק גם שירותים לבנקים. ניתן לעשות את זה בסעיף נפרד, או לשלב את זה ממש בשלהי סעיף 3. מבחינה מעשית, כדי לגלות אם הספק אכן מספק שירותים לבנקים, העובד המוסמך יוכל פשוט לשאול את הספק. זאת ההצעה, ותודה לכם. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

תודה, עורך הדין הראל. אתם רוצים להתייחס?

 << אורח >> ליאת גורפינקל: << אורח >>   

אנחנו הבנו שעורך הדין רונן ניסים מהלשכה המשפטית בבנק ישראל נמצא בזום. גם אנחנו שוחחנו איתם על הדברים, ואני אשמח שהוא יתייחס. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

יש לנו את נציג בנק ישראל בזום? אני לא כל כך הבנתי ואולי זאת גם שאלה אליו, איך בנק ישראל מנחה בתחום הסייבר. הוא מומחה לסייבר?

 << אורח >> עמרי רחום טוויג: << אורח >>   

יש יחידת סייבר. 

 << אורח >> נטע קניגשטיין: << אורח >>   

יש יחידה מגזרית במפקח על הבנקים ואנחנו עובדים מולה. בנק ישראל כארגון הוא למעשה תשתית מדינה קריטית, אבל יש את היחידה שהיא המפקח על הבנקים, שהיא היחידה המגזרית שמולה אנחנו עובדים בהקשרים האלה. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

אנחנו יכולות  לציין כבר כעת, שיש סעיף מפורש בחוק שאומר שהחוק לא בא לגרוע מסמכויות של אף גורם אחר. זה נותן בעצם את המענה למה שנאמר פה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

הוא דיבר על יידוע. אני לא מתחבר לקטע של אישור, אבל הוא דיבר על יידוע של המפקח על הבנקים, ואני חושב שאת זה כדאי לשקול. בבקשה, עורך הדין רונן ניסים. 

 << דובר >> רונן ניסים: << דובר >>   

תודה רבה. ההערה של איגוד הבנקים, אנחנו הצפנו אותה בשלבי החקיקה. הנושא חשוב גם לנו, ובאנו בדברים עם המערך. הגענו להבנות בנושא של שיתוף פעולה, שיבטיח את היידוע שלנו במקרה של ספקים מהותיים של המערכת הבנקאית. אנחנו רואים בזה באמת נקודה קריטית גם מבחינתנו להיות מודעים, קודם כול, שיש באמת תקיפת סייבר חמורה. זה משליך גם על הפעולות שלנו. כמו שהוזכר קודם, אנחנו מפקחים על המערכת בהיבטי הסייבר, וזה משליך על הפעולות שלנו וההיערכות שלנו כלפי המערכת. גם ביחס להוראות שיינתנו, כמובן, אחד השיקולים, וזה גם מופיע בדברי ההסבר, ההשפעה של הוראה-הנחיה כזאת או אחרת על המערכת הבנקאית שהיא שירות חיוני – זה נכון גם לשירותים חיוניים אחרים – היא במסגרת שיתוף הפעולה שלנו עם המערך אנחנו נפעל להבטיח שבאמת כלל השיקולים והראייה הרוחבית נשקלים, ורואים את כל ההשפעות וההשלכות של הנחיה כזאת או אחרת, או אירוע כזה או אחר. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

תודה. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

איפה יש התייחסות לזה בדברי ההסבר?

 << דובר >> רונן ניסים: << דובר >>   

מבחינת השיקולים, בין השאר אלה שיקולים של צדדי ג' שנתנו שירותים חיוניים. 

 << אורח >> ליאת גורפינקל: << אורח >>   

כמו שיש את המפקח על הבנקים, יש מנהל רשות שוק ההון, יש את הרשות לניירות ערך ואת הרשות להגנת הפרטיות. לא הכנסנו כל אחד. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני מסכים עם ההערה שלך. אם נכתוב ספציפית גוף כלשהו, אנחנו פותחים פה פתח לאין ספור - - -
 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

לא רק נפספס, אנחנו מביאים איתנו למעשה את כל הרגולטורים. החקיקה לא אמורה לפגוע במחויבות של גוף גם לעדכן, ושיתופי הפעולה נקבעים לא בתוך החוק. אנחנו רוצים לשמור עליהם. תודה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בבקשה, נמשיך?

 << דובר >> עידו בן יצחק: << דובר >>   

5. אופן הפעלת הסמכויות

	הסמכויות לפי סעיף 3 לעניין תקיפת סייבר מסוימת נגד ספק, או לעניין כמה תקיפות כאמור המתרחשות באותו מועד, יופעלו כלפי הספק בידי עובד מוסמך מקרב גוף אחד בלבד. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

יש הערות? אין. סעיף 6. 

 << דובר_המשך >> עידו בן יצחק: << דובר_המשך >>   

6. סודיות הגבלת שימוש ומחיקה

(1) אדם שהגיע לידיו מידע שהתקבל מספק לפי חוק זה, ישמור אותו בסוד, לא יגלה אותו לאחר ולא יעשה בו כל שימוש, אלא לצורך איתור תקיפת סייבר חמורה, מניעתה ובלימתה. 
(2) מידע שהתקבל מספק לפי חוק זה, יימחק בסמוך לאחר סיום הטיפול בתקיפת הסייבר החמורה, אלא אם כן קבע מנהל מוסמך שהמידע כאמור לזיהוי מאפייני תקיפת הסייבר; מידע שנקבע לגביו כאמור, יישמר בהיקף המזערי הנדרש. 
(3) בסעיף זה, "מידע" – למעט מידע על התוקף, התקיפה, מאפייני התקיפה ואמצעי הטיפול בה. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

יש לנו הערה. מדובר על אפשרות שאותו אדם – בדרך כלל זה עובד, אבל לא בהכרח – שהגיע אליו חומר שהוא חייב לשמור אותו בסוד, והוא לא עשה בו שימוש ראוי, אנחנו חושבים שצריכה להיות סנקציה. אנחנו מציעים לאמץ את הסעיף שקבענו בחוק איכוני השב"כ, סעיף 20 – עונשין: "אדם שגילה מידע שהגיע אליו לפי חוק זה, או עשה בו שימוש בניגוד להוראות סעיף 18(א), דינו – מאסר שלוש שנים". אנחנו חושבים שברגע שעובד או אדם שהגיע אליו מידע, והוא עשה בו שימוש לא ראוי, חייבת להיות סנקציה. 

 << דובר >> דרור גרנית: << דובר >>   

בחוק הזה יש איזון מאוד עדין. לא ראינו לנכון לקבוע בו סעיפים עונשיים, בפרט כאשר הגורמים שאמורים לקבל מידע ככלל, אלה עובדי מדינה וחלים עליהם - - -

 << דובר >> מירי פרנקל-שור: << דובר >>   

רק דין משמעתי. 

 << דובר >> דרור גרנית: << דובר >>   

לא. לא רק דין משמעתי. בחוק העונשין יש הוראה על שימוש שלא כדין במידע שהגיע לידיעתו של אדם; בחוק הגנת הפרטיות יש גם עוולה וגם עבירה, כאשר מדובר במידע אישי או מידע כהגדרתו בחוק הגדרת הפרטיות, כלומר מידע שנוגע לענייניו האישיים של אדם. בתוך המסגרת הזאת הרי אנחנו לא גורעים או מפחיתים מההוראות האלה שקיימות גם בחוק העונשין וגם בחוק הגנת הפרטיות. לכן, לא חשבנו שצריך לקבוע פה הוראה ייחודית או פרטנית. כמובן, יש גם את מה שאמרת. אפילו לא טרחתי להתייחס כי זה בעולמות המשמעתיים ולא הפליליים, אבל גם את זה אפשר לציין. האנשים שצפויים לקבל מידע על פי החוק הזה, בעיקרם הם עובדי מדינה, כלומר הם העובדים המוסמכים – או עובדי המערך או עובדי השירות, עובדי המלמ"ב. גם עליהם חל, כמובן, דין משמעתי, אבל זה עוד רובד מעבר לחוק העונשין ולחוק הגנת הפרטיות. בתוך מערך הדינים הזה, לא סברנו שנכון לקבוע הוראה עונשית ייחודית. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

נצטרף למה שאמר דרור. החוק הזה לא קובע סנקציה ולא לפה ולא לפה, אבל החקיקה הכללית במדינת ישראל חלה. עובד מדינה שמגלה מידע כזה, כבר נתון לעבירה פלילית של שלוש שנים. זאת אומרת, זה כבר קיים, ולשים על זה זרקור בחוק הזה, על עבירה שכבר קיימת – סעיף 117 לחוק העונשין. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

בכל זאת בחקיקה אנחנו כוללים סעיפים, למרות שיש לנו את החקיקה הכללית. 

 << דובר_המשך >> קרן גל-און לכנו: << דובר_המשך >>   

אנחנו מציעים לא לעשות את זה, בהינתן שאין סנקציה לכאן, גם לא לפרש. זה קיים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בכל פעם שרשומה המילה "עובד", היא מתייחסת בכל המקרים רק לעובד מדינה?

 << דובר_המשך >> קרן גל-און לכנו: << דובר_המשך >>   

נכון. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא יכול להיווצר מצב שיועץ חיצוני או אדם כזה, שמועסק על ידי מערך הסייבר, יהיה זה שמופיע בחברה?

 << דובר >> דרור גרנית: << דובר >>   

אני אענה בכמה רמות. ראשית, באופן עקרוני, העובדים המוסמכים הם עובדי המדינה. ההגדרה של עובד מוסמך – נסתכל עליה רגע.

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה בעמוד 359 להצעת החוק. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

כמו שאמרתי, אולי פספסתי או שכחתי. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה בהגדרות, ולא הגענו לזה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, לא. הגענו, עברנו על זה. עובד מוסמך – כל אחד מאלה: עובד השירות כהגדרתו בחוק שירות הביטחון הכללי. פה אין לי שאלות, זה ברור. עובד מערך הסייבר שהוסמך בכתב לעניין חוק זה בידי ראש חטיבת ההגנה במערך הסייבר. 

 << דובר_המשך >> דרור גרנית: << דובר_המשך >>   

השלישי זה עובד מלמ"ב. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

גם פה אין לי שאלות. אנחנו רואים שכולם עובדי מדינה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

פה כתוב: "אדם" ופה כתוב "עובד". בכל זאת, אני רוצה לדבר על כך שבחוק הזה אין סנקציה. בואו נאמר מתי אין סנקציה. אנחנו חוזרים למושכלות הראשונים, שלפי הצעת החוק, גופי המדינה מקבלים סמכות  להתערב בעסקים פרטיים של אנשים – לתכלית ראויה, ובכל זאת. אנחנו מנסים למצוא את נקודת האיזון. נכון שבתפיסה, ספק שלא מציית – לא קבעתם לו סנקציה. אבל אני חושבת שברגע שאתם מקבלים את הסמכות להתערב בעסקים פרטיים, בכל זאת, האמירה שזה חוק שאין בו סנקציה, אני חושבת שהיא לא מתאימה לאירוע הספציפי הזה. בכל זאת, יכול להיות אצלכם מידע, אפילו על ידי עובד – אני לא מקבלת את זה שיש דינים כלליים ויש דין משמעתי – ובכל זאת כן צריך להרתיע. עובד או אדם או יועץ – הייתי נשארת עם המילה אדם – שמגיע אליו מידע, משתמש בו לצורך לא ראוי, יש אמירה מפורשת שתחול עליו סנקציה פלילית. אני חושבת שזה מסר מאוד מאוד חשוב, וזה נדרש, לדעתי, לאיזון הראוי שאנחנו נמצאים בו בהצעת החוק. 

 << דובר >> דרור גרנית: << דובר >>   

למה חוק העונשין מזה וחוק הגנת הפרטיות מזה לא מספקים?

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה נכון תמיד לכל חוק. אני חושבת שיש פה הסדר לא טריוויאלי, ולכן אני חושבת שזה מתאים לקבוע פה הוראה ספציפית. יש לנו תמיד את חוק העונשין, למה לקבוע הסדרים?

 << דובר_המשך >> דרור גרנית: << דובר_המשך >>   

זאת שאלה שבאמת צריכה להישאר גם בהקשרים שאמרת. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

לא. אני חושבת שכאן צריך. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

אני אחדד שסעיף הגבלת השימוש עצמו, שעוסק במילה אדם, מרחיב את האפשרות למסור מידע לא רק לעובדי השירות ולא רק לעובדי מערך הסייבר. כתוב שלא יימסר מידע שיתקבל לפי חוק זה, אלא לצורך איתור תקיפה, מניעתה או בלימתה. כלומר, החוק מניח אפשרות למסור מידע כאמור, שהתקבל לפי החוק, גם למי שאינו עובד. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה מה שאמר יושב-ראש הוועדה. הוא יכול להיות יועץ?

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

הם לא מכוסים באותו סעיף 117 לחוק העונשין. 

 << דובר >> דרור גרנית: << דובר >>   

זאת הנקודה השנייה שבה אני חושב שאתה טועה, אבל אני אתחיל מהנקודה הראשונה שלדעתי אתה מפספס. ניסחנו את סעיף 6 באופן מאוד רחב, וצריך לראות שבסעיף 6 בעצם הרחבנו. לא אמרנו שהסודיות חלה רק על מה שחלה סודיות בהקשרים אחרים, קרי מידע אישי לפי חוק הגנת הפרטיות או סודות מסחריים לפי חוק סודות ועוולות מסחריות, אלא אמרנו שכל המידע כולו, אי-אפשר להעביר אותו, אי-אפשר להשתמש בו אלא לצורך הזה. נתנו כדוגמה את רשימת הכיבוד במסיבת החברה – גם בה, שאין בה לא מידע פרטי ולא סוד מסחרי ולא שום דבר – קיבלת את זה מכוח חוק זה. אגב תקיפת סייבר, לצורך המסוים של התנגדות לסייבר, אתה לא מפיץ את זה הלאה, כי אנחנו רוצים לתת insurance שאת המידע הזה, אנחנו לא לוקחים אותו, לא מעבירים אותו ולא עושים בו שום שימוש, אלא לצורך המסוים הזה.

 << אורח >> עמרי רחום טוויג: << אורח >>   

זה מובן, אבל אז מה הסנקציה בגין העברה אסורה כזאת?

 << דובר >> דרור גרנית: << דובר >>   

לעניין שאלת עובד הציבור. סעיף 117 – אני רוצה להזכיר שנכון שסעיף זה מדבר על עובד ציבור, אבל אם נחפש את ההגדרות של עובד ציבור בחוק העונשין - - -

 << אורח >> עמרי רחום טוויג: << אורח >>   

עובד מדינה, עובד רשות מקומית, עובד מועצה דתית וכן הלאה. זה מוסדר בסעיף 34(כד). 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

שלום, אני ממשרד המשפטים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

באת להציל את החבר הפצוע, ואנחנו מעריכים את זה. 

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

תחום עיסוקי הוא דיני הגנת הפרטיות. רציתי רק להבהיר, שפגיעה בפרטיות מוגדרת בחוק הגנת הפרטיות, בין השאר, בסעיף 2(7), כהפרה של חובת סודיות שנקבעה בדין לגבי ענייניו הפרטיים של אדם. לפי סעיפים 4 ו-5 לחוק, מעשה שהוא פגיעה בפרטיות הוא עוולה מסחרית ועבירה פלילית. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

האם השימוש במידע הוא לא פגיעה בפרטיות?

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

בוודאי. יש הרבה מידע שהוא לא אישי. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

ואם זה לא מידע אישי אלא מידע מסחרי?

 << אורח >> עמית יוסוב עמיר: << אורח >>   

מרגע שנקבעה בחוק שלנו חובת סודיות, באופן אוטומטי, הפרתה של חובת הסודיות לגבי ענייניו הפרטיים של אדם הופכת לעוולה אזרחית ועבירה פלילית, דינה חמש שנות מאסר. סעיפים 4 ו-5 לחוק הגנת הפרטיות. הדלתא היחידה שקיימת, וצריך לשים אותה פה על השולחן, היא אם מדובר במידע שהוא לא בגדר ענייניו הפרטיים של אדם. בעניין הזה, חוק הגנת הפרטיות לא חל, ואנחנו עוברים לשאלה של חוק העונשין, ואליה דרור התייחס. כל עוד מדובר על ענייניו הפרטיים של אדם, עצם העובדה שקבענו חובת סודיות, מאליה משמיעה שהפרתה מהווה עבירה פלילית לפי חוק הגנת הפרטיות. 

 << דובר >> דרור גרנית: << דובר >>   

תודה לך שהפנית אותי לסעיף. בסעיף 34(כד) מוגדר עובד ציבור. יש שם רשימה ארוכה, וזה כולל, כמובן, את כל עובדי המדינה. אני מפנה לסעיף 10 שאומר: נושא משרה או תפקיד על פי חיקוק, בין במינוי, בין בבחירה, בין בהסכם, אף אם אינו - - -

 << אורח >> עמרי רחום טוויג: << אורח >>   

ברור, אבל על פי חיקוק. אף אחד מהאנשים שהתקבל פה בתור יועץ הוא לא על פי חיקוק. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בדיוק. הוא לא על פי חיקוק. 

 << דובר >> דרור גרנית: << דובר >>   

אם המידע יועבר לו מכוח החיקוק הזה, ולכן, בין שהוא במינוי, בין שהוא בבחירה ובין שהוא בהסכם, ואף אם אינו עובד ציבור כהגדרתו - - -

 << אורח >> עמרי רחום טוויג: << אורח >>   

אני ממש מתנצל, אבל זאת לא המשמעות של מינוי על פי חיקוק. אין בחוק המוצע סמכות למנות אדם כלשהו, שאינו עובד - - -

 << דובר >> דרור גרנית: << דובר >>   

בהסכם. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

אבל אין סמכות לפי החיקוק הזה, ולכן זה לא ייכנס לקטגוריה של מי שמונה על פי חיקוק. אני לא מבין למה ההתעקשות. 

 << דובר_המשך >> דרור גרנית: << דובר_המשך >>   

כי זה בהסכם. 

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

אבל על פי חיקוק. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

הבנו את העמדות, ונצטרך להכריע בנקודה הזאת. 

 << קריאה >> קריאה: << קריאה >>   

מה ההתעקשות - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

גם אני רציתי לשאול את זה. אם הדברים כל כך ברורים, ודיברה היועצת המשפטית של הוועדה על סוג של איזונים, כדי שהצדק גם ייראה ולא רק ייעשה. בתקווה, בוודאי, שלא יהיה לנו אף מקרה של שימוש לא ראוי במידע. כך כולנו גם מבינים וגם מקווים, אבל אם נגיע לסיטואציה הזאת, חס ושלום, למה נצטרך גופי הוכחות מה חל על מה, ולא נכתוב פשוט בחוק? שנית, מכיוון שהחברות הביעו חשש איך יתייחסו לנושא הזה, זה פולשני, לאן ילך המידע, מה יגיד הדירקטוריון שלנו וכולי, למה בחוק עצמו לא יוגד באיזו רמת חומרה אנחנו רואים כל מסירת מידע לגופים לא מוסמכים. 

 << אורח >> ליאור פרנקל: << אורח >>   

זה צריך להיות גם מידע עסקי ולא רק מידע פרטי. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה כל מידע. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זה כל מידע, ועל זה בדיוק אנחנו מדברים. על זה דיברתי, שנצטרך להיכנס להוכחות אם הייתה פגיעה בפרטיות או לא הייתה פגיעה בפרטיות. 

 << דובר_המשך >> ליאור פרנקל: << דובר_המשך >>   

דבר נוסף, אותו עובד מוסמך, להבנתנו, אין הגדרה שאומרת מה ההסמכות שהוא צריך, רמת ניסיון, רלוונטיות לתחום, היכולת שלו לקבל את ההחלטות האלה או לא. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני מניח שלא ישלחו את מנהל החשבונות שלהם להנחות אותך בסייבר.

 << דובר_המשך >> ליאור פרנקל: << דובר_המשך >>   

אבל החוק מאפשר להם. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אבל סביר להניח שאם הם באמת מודאגים מתקיפה חמורה, לא ישלחו את מנהל החשבונות. 

 << דובר_המשך >> ליאור פרנקל: << דובר_המשך >>   

מישהו עם שנתיים ניסיון זה מספיק? מישהו עם עשר שנות ניסיון זה מספיק כדי לבוא ולהגיד לארגון שיכולה להיות לזה השפעה מהותית על חברות אחרות, כי אלה הארגונים שהם רוצים?

 << דובר >> דרור גרנית: << דובר >>   

אנחנו לא נכנסים לזה באף חקיקה. אנחנו לא קובעים את דרישות התפקידים של אף תפקיד. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

הנחת יסוד שלנו שמערך הסייבר, שבא עם ההצעה הזאת ומבלה כבר כאן יומיים, מעוניין שהפרצות האלה יטופלו בדרך המיטבית. זאת הנחת היסוד, אחרת אנחנו לא נחוקק את החוק הזה. זה ברור. 

לגבי הסוגיה עצמה, של הפניה לענישה, אנחנו נחליט. חשבתי להחליט בעצמי, אבל הצטרף חבר הכנסת ינון אזולאי, ונצטרך לבוא איתו בדברים מה נחליט. 

 << קריאה >> ינון אזולאי (ש"ס): << קריאה >>   

אם אני מפריע, אני יכול לצאת. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בבקשה, היועץ המשפטי. תמשיך. 

 << דובר >> עידו בן יצחק: << דובר >>   

7. דיווח

(1) מערך הסייבר, השב"כ ומלמ"ב ידווחו אחת לשבועיים ליועצת המשפטית לממשלה ולוועדת החוץ והביטחון של הכנסת בדבר המקרים שבהם ניתנו הוראות לספק לפי סעיף 3(4), הנימוק למתן ההוראות וסוגן.
(2) דיווח לפי חוק זה יהיה חסוי ופרסומו אסור.

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

יש הערות או שאלות?

 << דובר >> מירי פרנקל-שור: << דובר >>   

בסעיף הדיווח, העברנו את עמדתנו למערך הסייבר. אני חושבת שצריך להרחיב ולעבות את סעיף הדיווח. היות ומדובר בהוראת שעה, על מנת שבסופו של דבר, אם יוחלט להאריך את הוראת השעה, תהיה בפני הוועדה התשתית העובדתית המרבית, האם יש צורך בכך או לא. כמובן, מה הלקחים שאנחנו מפיקים מההסדר, על מנת שנדע אם צריך לתקן אותו או לא. יש פה אומנם רשימה ארוכה, אבל אני חושבת שבסך הכול אין בעיה לדווח על כך לוועדה, ואני אומר מה אני חושבת שצריך להיות מעוגן בסעיף הדיווח. 

הדבר הראשון, כמות האירועים, ומה הסיבה שבגינה הוחלט על התקפת סייבר חמורה, אם מטעם של ביטחון המדינה - - - או ביטחון הציבור. דבר שני, האם היו אירועים שנוגעים לביטחון המדינה וכולי, והוחלט שאין בהם פגיעה חמורה, ולפרט. האם היו שיקולים כלכליים שנלקחו בחשבון, ובסופו של דבר הוחלט שלא להכריז על פגיעת סייבר כפגיעת סייבר חמורה. לגבי הספקים, מה אחוז הצייתנים ומה אחוז הסרבנים? לעניין ההסתייעות, האם הייתה בקשה להסתייעות או לא? מה היו מאפייני הספקים, שאצלם גילו את פגיעות הסייבר החמורות? ולגבי התקן, האם אנחנו יכולים לפלח מי ישתמש בתקן ומי לא ישתמש בתקן.

 << אורח >> עדי בן-חורין: << אורח >>   

רגע לפני שאנחנו צוללים לכל אחת מההצעות האלה, אני רוצה להפנות לדברי ההסבר בסעיף 7. שם פורט למה הכוונה, וחלק גדול מהדברים מופיעים בדברי ההסבר. כתוב שיפורטו הנימוק למתן ההוראות, סוג ההוראות שיינתנו. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

מה אתם מדווחים עד היום לפי תקנות שעת חירום? אתם מדווחים האם השתמשתם בסמכות או לא השתמשתם בסמכות, נכון?


 << אורח >> ליאת גורפינקל: << אורח >>   

לא, היה לנו דיווח אחד וכתבנו שלא השתמשנו. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

אבל אם תשתמשו, מה צריך לדווח?

 << אורח >> ליאת גורפינקל: << אורח >>   

בדברי ההסבר פירטנו, שככל שנשתמש, יפורט הנימוק למתן ההוראות, סוג ההוראות. ממש מובהר פה שזאת הכוונה. 

 << דובר >> עידו בן יצחק: << דובר >>   

מה שאמרת עכשיו מופיע גם בהצעת החוק עצמה, הנימוק והסוג. אנחנו מציעים מעבר לזה. 

 << אורח >> ליאת גורפינקל: << אורח >>   

ככל שניתנו הוראות – זה המצב. אם ניתנו הוראות, נפרט. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אם לא ניתנו הוראות, לא היה לך שימוש בחוק. 

 << דובר >> מ': << דובר >>   

אני אשמח להתייחס. קודם כול, הדיווח כאן הוא דיווח פעם בשבועיים, ואלה פרקי זמן חריגים מאוד. אין אותם בהרבה חוקים. אני רוצה לומר שכאשר אנחנו נעשה שימוש בחקיקה הזאת, זה אחרי שזיהינו תקיפת סייבר חמורה. אנחנו לא מושיבים אדם ייעודי בתפקיד איסוף הנתונים כדי לדעת מה כלל האירועים שהיו, או איזה אירוע הוא תקיפה חמורה או לא. ההרחבה הזאת מכריחה אותנו לייעד בן אדם שמדי שבועיים יאסוף את כל האירועים שהיו, מה הוחלט ומה לא הוחלט. בעצם, החוק נותן סמכות מאוד מאוד מצומצמת. על הסמכות הזאת אנחנו נפרט כל מה שצריך, אבל להרחיב את הדיווח ולהטיל על כל הגופים חובה מדי שבועיים לתת כזה דיווח רחב? נראה לי לא סביר. נטל שבטח בזמן המלחמה עם מאות אירועים שאנחנו מטפלים בהם, נצטרך לעשות. שוב, בן אדם שיצטרך לאסוף כמות כזאת של נתונים זה בן אדם שלא יעשה אצלנו משימות אחרות. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בואו נראה גם את הצד ההפוך של העניין. הצעת החוק הזאת היא מכורח הנסיבות ולתכלית ראויה, אבל היא חדשנית. יבואו אלינו בעוד חמישה-שישה חודשים, ויגידו: אנחנו מבקשים להאריך. אנחנו צריכים להחליט על סמך משהו אם להאריך או לא להאריך, ולא על סמך השאלה אם השתמשנו בחוק או לא. כמו שאמרתי אתמול בהקשר אחר, אני לא מוכן אף פעם לחוקק אות מתה. אם לא היה כלל שימוש, למה להאריך? אם היה שימוש, אנחנו רוצים להבין, אולי שום דבר לא עובד, אבל בדיווח לא מופיע שום דבר. 

 << דובר >> מ': << דובר >>   

אדוני, כמו שאמרתי, לגבי האירועים שנעשה בהם שימוש, הדברים מפורטים ואין בעיה לתת דיווח מפורט לגבי האירועים שבהם נעשה שימוש. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

על זה אנחנו מדברים. 

 << דובר_המשך >> מ': << דובר_המשך >>   

הדרישה כאן היא על כמות האירועים בסך הכול, על מה הוחלט שזה תקיפה חמורה או לא תקיפה חמורה. ממילא, אם זאת לא תקיפה חמורה, זה לא נכנס בגדר החוק ואני לא צריכה לאסוף את הנתון הזה. כמובן, אם הוועדה במסגרת הדיווח או לאחר חמישה חודשים, תרצה מהגופים פירוט נרחב יותר על סך האירועים שהיו, אפשר להגיע ולדבר, אבל הדרישה הזאת היא לעשות איזושהי סקירה של הנתונים בכל שבועיים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

יש כאן סתירה מסוימת ואני לא מבין. כשדיברה היועצת המשפטית של הוועדה על כך שהיא מבקשת דיווח כזה, דיווח כזה ודיווח כזה, הייתה מייד תגובה – אבל כל זה מופיע בדברי ההסבר. זאת הייתה התגובה, היא רשומה בפרוטוקול.

 << דובר_המשך >> מ': << דובר_המשך >>   

אני אומרת לא, כי האמירה הייתה שמה שמופיע בדברי ההסבר ואת זה פירטנו, את זה אנחנו ניתן. אין לנו שום התנגדות. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אז או שהדברים מופיעים בדברי ההסבר, או שאי-אפשר לתת אותם. אין גם וגם. 

 << אורח >> נטע קניגשטיין: << אורח >>   

יש רכיב אחד מתוך הפירוט שהיועצת המשפטית של הוועדה ציינה, שהוא בעצם לא באמת פיקוח לפי החוק. הרי אנחנו נכנסים לחוק הזה כשיש תקיפת סייבר חמורה, והיועצת המשפטית דיברה על הצורך לדווח גם על המקרים שבהם הייתה כנראה תקיפת סייבר, או חשש לתקיפת סייבר, אבל היא לא הייתה חמורה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

הבנתי. הינה, התקדמנו. אתם מבקשים לדווח רק על מקרים של תקיפת סייבר חמורה. נניח, יושב עובד זוטר ומטפל ב-300 מקרים, ושום דבר מזה לא תקיפה חמורה. הוא לא צריך לאסוף על זה. בסדר. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

נחדד עוד. לא רק תקיפת סייבר חמורה, אלא שהופעלו הסמכויות לפי החוק הזה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, לא. זה כבר משהו אחר. אז למה לא הופעלו? זה מה שאנחנו רוצים לדעת, אולי כל החוק מיותר. אולי כולם בתקינה. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

אני אסביר. אנחנו מדברים רק על סקטור מסוים. יש תקיפות סייבר חמורות שהן בכלל לא בסקטור הזה, והן לא קשורות לחקיקה הזאת. לכן, אנחנו מבקשים שהדיווח מהסעיף הזה יתייחס להפעלת סמכויות לפי החוק הזה, כי אנחנו לא בודקים ולא יורדים ברמת ייעוץ משפטי לכל הסקטורים שאינם רלוונטיים לחקיקה הזאת. אם הוועדה תדרוש דיווח על כל הנותנים אחת לחצי שנה או אחת לתקופה יותר משמעותית, יוצגו לה בדיון חסוי. יוצגו, כמובן, אבל לא בהקשר של החוק הזה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בשביל זה אנחנו לא צריכים לא טובה ולא את החוק, כי יש לנו ועדה שמטפלת בזה. 

 << דובר >> מ': << דובר >>   

שגרת האירועים היא שכאשר יש תקיפה, ניגשים לאותה חברה ומנהלים שיח עם בעל החברה. לצורך העניין, כשבעל החברה משתף פעולה, העובד מאחד הגופים לא שואל את עצמו האם מדובר בתקיפה חמורה או לא חמורה. הגוף משתף פעולה, ולכן רצים קדימה. כשאתם מדברים איתנו על איסוף, זה אומר בדיעבד לשבת ולעשות חקר עם כל העובדים שדיברו עם הגופים. זה התהליך. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זאת אומרת שמה שכתוב בחוק לא רלוונטי, כי החוק מופעל מרגע שיש תקיפה חמורה. אם חיים או יענקל התקשר לחברה, זאת אומרת שהוא חשב שזאת תקיפה חמורה. 

 << דובר_המשך >> מ': << דובר_המשך >>   

אני אסביר את הדברים. החוק לא מופעל מרגע שיש תקיפת סייבר חמורה, מכיוון שכשיש תקיפת סייבר, הדבר הראשון שכל הגופים כאן רוצים, זה לפעול בשיתוף פעולה עם הספקים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

חד-משמעית. ברור. 

 << דובר_המשך >> מ': << דובר_המשך >>   

לכן, ניגשים לאותו ספק רלוונטי ואומרים לו: מתרחשת תקיפה בחברה שלך. 

 << אורח >> ליאור פרנקל: << אורח >>   

ככה כתוב בחוק. החוק הופעל. 

 << דובר >> מ': << דובר >>   

רגע, תן לי לסיים את הדברים, ואני אסביר את הכול. אנחנו לא נכנסים לחוק, כל עוד הספק משתף פעולה ומסכים לקיים את ההנחיות. מתי אנחנו נכנסים לחוק? כשיש תקיפה והספק אומר לי: אני לא מוכן לבצע או לא מוכן לעשות כלום. 

 << אורח >> ליאור פרנקל: << אורח >>   

זה לא החוק הזה. 

 << דובר >> מ': << דובר >>   

כשיש שיח של שיתוף פעולה, הדברים מנוהלים באופן רגיל שוטף. 

 << דובר >> דרור גרנית: << דובר >>   

מה שמתכוונת מ' להגיד, הוא שאנחנו לא מגיעים לסעיף הכופה. מגיעים לפסקה (4) בסעיף 3. 

 << אורח >> ליאור פרנקל: << אורח >>   

וזה ההבדל. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

שמענו מה אמרה מ'. מה הבעיה? מדובר פה בסעיף דיווח. באמת, יש פה איזושהי תחושה שהחוק הוא חדשני, הכנסת מתבקשת להסמיך את רשויות המדינה לגבי חברות פרטיות, ובכל פעם שאנחנו קצת רוצים לעדן, אומרים: לא, לא. זה סעיף שיש לנו בחוק העונשין; דיווח בכלל לא זה. אי-אפשר. אנחנו חושבים שנקודת האיזון, צריך קצת להזיז אותה לאיזשהו כיוון, ואני לא רואה שזה גורם לכם לאיזושהי בעיה. 

 << דובר >> דרור גרנית: << דובר >>   

ראשית, השיח פה מתנהל ומתקיים וחלילה, אנחנו לא כופרים בסמכותה של הוועדה הנכבדת לשנות מההסדר שהצענו כהבנתה. בכל הצעה אנחנו דנים לגופה, והנקודה שהגופים מתייחסים אליה, היא אמירה שכתבנו, שהדיווח יחול על מקרים – יש בעולם – אני סתם זורק מספרים ואל תתפסו אותי במספר – 10,000 תקיפות שונות כנגד - - -

 << אורח >> ליאור פרנקל: << אורח >>   

אבל אתם הרמתם טלפון למישהו. זה לא 10,000 התקיפות האלה. זה לא אלה. אלה סתם מספרים. 

 << דובר >> דרור גרנית: << דובר >>   

רגע, שנייה. יש 10,000 תקיפות שונות בחודש, ובסוף מגיעים ל-100 תקיפות מתוך ה-10,000, שהן על ספקי IT, שעליהם הצטמצמנו מלכתחילה. מתוך 100 האלה, אומרים שלא לכל אחד מהם באים, אלא מצטמצמים לחמורות מביניהן. מתוך 100 הצטמצמנו ל-20. מתוך ה-20 האלה - - -

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

דרור, בוא נמקד. 

 << אורח >> ליאור פרנקל: << אורח >>   

על ה-20 האלה אי-אפשר לדווח. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה קודם כול פתיחת הדלת, נכון?

 << דובר >> דרור גרנית: << דובר >>   

מתוך ה-20 האלה, 15 ישתפו איתי פעולה. אלה שאני צריך להפעיל עליהם את ההוראה הכופה, יהיו 5. לכן, מה שאת הצעת - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, לא, לא. חברים, אני מציע שנצא מהנישה הזאת, כי אנחנו בדיון פתוח. הדברים שהוצגו לנו בצורה ראשונית – למה בכלל צריך את החוק – היו מאוד דומים למה שאמרה מ' ולמה שאמרת אתה. יש סרבנים, יש לפעמים בעיה. אחת השאלות הראשונות ששאלתי היו: אנשים לא רוצים הגנה על חשבון הברון? על חשבון המדינה? בטח שרוצים. אמרו לי: לא, יש כאלה שזה וזה ולא משיגים אותם וכן הלאה. עכשיו אנחנו מסתכלים על החוק, והוא הרבה יותר רחב. כל מה שאנחנו מבקשים זה גם פיקוח נאות, גם דיווחים נאותים. הבנו את הקושי ואתה לא יכול לכתוב: החוק יחול רק על חברות לא מסודרות, או: החוק יחול רק על חברה שאין לה מומחה מספיק טוב לענייני תקיפת סייבר. אני מבין את הקושי. אתמול היה על זה דיון, ואני מבין את הקושי. דווקא משום כך, אנחנו רוצים את הפירוט בדיווחים. 

 << אורח >> ליאור פרנקל: << אורח >>   

קודם כול, לדעתנו, ברגע שפונים לחברה, שם כבר צריך להתחיל לדווח. זה אירוע שמבחינת חברה הוא אירוע - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

כך זה מובן. כך אנחנו מבינים את החוק. 

 << דובר_המשך >> ליאור פרנקל: << דובר_המשך >>   

אנחנו מסכימים לזה. דבר נוסף, היינו רוצים או בפורמט הזה או במודל אחר, לתת לחברות אפשרות להביע את דעתן גם על האירועים שקרו. לא רק שאותם גופים יחליטו אם זה היה טוב או לא היה טוב, אם זה היה חיובי, אם היה נזק או לא היה נזק. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

על אירועים שקרו במובן של תקיפה או על פעולות שננקטו?

 << דובר_המשך >> ליאור פרנקל: << דובר_המשך >>   

כשפנו ואמרו לנו מה לעשות. מכיוון שכולנו רוצים ללמוד מהתהליך, הצד השני גם צריך להיות מסוגל להביע את דעתו. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

הנתונים יהיו חסויים. זה ברור. אפילו הייתה לנו התלבטות אם זה למליאת הוועדה.

 << דובר_המשך >> ליאור פרנקל: << דובר_המשך >>   

אני לא מחייב. אני לא אומר לחייב את החברות. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אנחנו לא רוצים לחייב. 

 << דובר_המשך >> ליאור פרנקל: << דובר_המשך >>   

לא צריך לחייב. הרי אלה חברות ספציפיות שפנו אליהן. יש רשימה. שייפנו אליהן ויגידו: יש עכשיו דיווח, האם אתם רוצים להביע את דעתכם? הרי לפי מה נחליט אם היו נזקים גדולים או לא? 

 << אורח >> נטע קניגשטיין: << אורח >>   

חברה שהיו איתה בקשר קיבלה את כל המידע מהעובד המוסמך. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא רק היו נזקים, אולי נמנעו נזקים גדולים. 

 << אורח >> ליאור פרנקל: << אורח >>   

אולי מבחינתם זה נפלא וזה יעזור לנו להגיד: החוק הזה מצוין. יכול להיות שהם יגידו שזה אירוע בעייתי. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני לא חושב שצריך לחוקק את מה שאתה אומר. אני חושב שטוב מאוד שאתה מעלה את זה. אנחנו כוועדה שומעים ובהחלט יכולים לקבוע, שבמידה ויהיו בקשות להארכת החוק וליציאה מעבר לחודשים האלה שבהם מדובר, נקיים ישיבה ונשמע את הלקוחות, ולא רק נשמע את הדיווחים מהצד של המדינה. הינה, הדברים נרשמו, שמעו אותם ממלאת מקום מנהל הוועדה והיועצת המשפטית, כך שזה יבוא לידי ביטוי. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אתה תמיד יכול לפנות - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בבקשה, רצית להשלים. 

 << דובר >> מ': << דובר >>   

אני חוזרת לנקודה שניסיתי להבהיר, וכנראה לא הבהרתי בצורה טובה. התהליך, כפי שהוא מתבצע בשגרה, עוד לפני החקיקה של החוק הזה, הוא שעשרות אנשים בגופים שלנו הולכים ומטפלים בתקיפות סייבר, ויש מאות כאלה. כשהשיח עם הספקים מתנהל בשיתוף פעולה ובנכונות, כתגובה ראשונה ולא כמשהו חריג ויש נכונות לטפל בתקיפה, אז התקיפה מטופלת ואף אחד לא נכנס לחוק הזה. הכניסה לחוק הזה היא רק במקום שאנחנו רואים שיש קושי, זאת אומרת, כשיש חוסר נכונות. ואז נעשית בדיקה האם מדובר בתקיפת סייבר חמורה, ואנחנו יכולים לממש את החקיקה הזאת בכלל. לכן, כל מה שנעשה בשגרה, באופן רגיל, ומתקיים בשיתוף פעולה, ממילא אף אחד לא יודע לשחזר את זה בדיעבד. אם אני אצטרך לאסוף דיווחים על הדבר הזה, אני אצטרך לתחקר את כל עשרות העובדים ולשאול אותם: התקיפות שטיפלתם בהם ונעשו בשיתוף פעולה, האם אנחנו יכולים להגדיר אותם בדיעבד כתקיפות סייבר חמורות? זה מגוחך, כמובן, כי זה לא הדבר שאנחנו רוצים להגיע אליו. אנחנו רוצים להגיע לכך שאיסוף הנתונים יהיה במקומות שנדרשנו להפעיל את הסמכויות בחוק הזה. זאת הכוונה. לגבי הפעילות הזאת, אנחנו ניתן את כל הנתונים שאנחנו נידרש להם.

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זה קצת הלך לי לאיבוד, אבל בסדר. מירי, יש לי הצעה לגבי הסעיף הזה. היו לך שלוש או ארבע נקודות. תגידי אותן נקודה-נקודה, ונראה אם נגיע למכנה המשותף. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

 לגבי כמות האירועים – אירועי סייבר אני מורידה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

מורידים. אנחנו מבקשים דיווח מפורט רק כאשר - - -

 << דובר_המשך >> מירי פרנקל-שור: << דובר_המשך >>   

כאשר אירוע סייבר הוכרז כתקיפת סייבר חמורה. מה הסיבה בגינה הוכרז כתקיפת סייבר, האם ביטחון המדינה, ביטחון הציבור או שירותים חיוניים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

יש לכם בעיה עם הפירוט הזה? אני לדידי חושב שעדיף לנו לקבל דיווח רציני ומפורט פעם בחודש, מאשר דיווח עם כמה מספרים שלא אומרים לי כלום בכל שבועיים. אנחנו נהיה מוכנים שהדיווח לוועדה יהיה פעם בחודש, אבל דיווח רציני. עם זה אין לכם בעיה? מירי, תחזרי, בבקשה. 

 << דובר_המשך >> מירי פרנקל-שור: << דובר_המשך >>   

כאשר החליט המנהל שאירוע סייבר - - -

 << קריאה >> קריאה: << קריאה >>   

מספר האירועים שבגינם הוכרז על תקיפת סייבר חמורה, והסיבה להכרזה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה מספר האירועים, ומה היה הנימוק בכל פעם. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אם זה ביטחון המדינה - - -

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

ביטחון הציבור או אספקת שירותים חיוניים. 

 << קריאה >> קריאה: << קריאה >>   

אפשר רק להבהיר, שהכוונה היא רק באותם מקרים שבהם המנהל המוסמך הכריז על תקיפת סייבר חמורה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

על זה אנחנו מדברים. 

 << קריאה >> קריאה: << קריאה >>   

וגם ניתנו הוראות. יכול להיות שיש מצב שיש תקיפת סייבר חמורה, הספק שיתף פעולה ולא נכנסנו למקום הכופה של סעיף 3(4).

 << אורח >> ליאור פרנקל: << אורח >>   

אבל נכנסתם, נכנסתם. הרמתם טלפון. 

 << דובר >> מ': << דובר >>   

לא נכנסנו. זאת השגרה. הרמת טלפון זה לעדכן אותך שאתה נתקף. זה קורה תמיד. 

 << אורח >> ליאור פרנקל: << אורח >>   

אבל זה לא נעשה בשגרה. זה תהליך שאתם אמרתם שאותו עובד מוסמך מקבל אישור מהמנהל שלו. זה אירוע ספציפי. 

 << דובר >> מ': << דובר >>   

לא, לא, לא נכון. 

 << דובר >> דרור גרנית: << דובר >>   

זה ההבדל בין חמישה מקרים שבהם הפעלתי את הסמכות, ל-20 מקרים שבהם - - -

 << דובר >> מ': << דובר >>   

אנחנו מעדכנים על תקיפה, לא מעדכנים על תקיפת סייבר חמורה.
 

 << אורח >> אסנת הראל וינשטיין: << אורח >>   

גם היום, בסיטואציה שבה יש תקיפת סייבר, יפנו לספק ויסבירו לו שיש תקיפת סייבר, ויבקשו את שיתוף הפעולה שלו – תעשה ככה, תעשה ככה – גם היום הדבר הזה קורה. החידוש של החוק והסיבה שבשמה כולנו כאן, זה סעיף 3(4).

 << אורח >> ליאור פרנקל: << אורח >>   

אבל הוא לא כתוב ככה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה לא כתוב, אנחנו לא מבינים את זה ככה. 

 << דובר >> דרור גרנית: << דובר >>   

הפעם היחידה שמופעלת סמכות, היא רק אם הגענו ל-3(4). 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

המנהל מחליט. יש פה מצב שחצי שולחן מבין הצעת חוק בצורה אחת - - 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

ממש כך, ממש כך, לצערי הרב. 

 << קריאה >> עידו בן יצחק: << קריאה >>   

אני יכול לנסות לגשר. הם אומרים שבלי (4) הם לא צריכים חוק, הם עובדים כרגיל. אבל אנחנו אומרים שנכון שבלי (4) אתם לא צריכים את החוק - - -

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אני לא בטוחה. לא יודעת, זאת שאלה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

רגע, רגע, רגע, אולי הוא יצליח לפשר. 

 << אורח >> ליאת גורפינקל: << אורח >>   

אנחנו צריכים את הסמכות. כרגע אין לנו בכלל סמכות. אנחנו נשענים על החלטות ממשלה, ואני מדייקת אותך. אנחנו צריכים את החוק באופן כללי, שואלים אותנו מי זה מעריך הסייבר. 

 << דובר >> עידו בן יצחק: << דובר >>   

מאחר שהוועדה בכל זאת מחוקקת החוק הזה – היא לא מתחילה ב-(4); היא מתחילה ב-(1), והיא רוצה לדעת מה עושים איתו, באיזה סיטואציות אתם משתמשים בו, לכן נדרשת חובת הדיווח גם על ההיבט הזה. בהמשך נצטרך לחוקק חוק קבוע – אני מניח, בשלב זה או אחר – וזה עוזר לנו להבין מה היקף התופעה, מתי פונים, מתי מגיעים ל-(4) ומתי לא מגיעים ל-(4).

 << דובר >> דרור גרנית: << דובר >>   

עידו, אם התכלית בבקשה שלכם לפירוט נוסף, זאת תמונה שחורגת ממה שחשבנו עליו כשכתבנו את סעיף הדיווח, אבל זה ניחא. מה שיותר חשוב, שזה לא נותן לכם תמונה שלמה. אם הדיון אומר: נבוא בעוד חצי שנה, כשתיגמר הוראת השעה, ונחשוב מחדש על הכול – הרי גם היום יכולה הוועדה, ואף אחד לא מערער על סמכותה, להגיד: מערך סייבר נכבד, תספקו לי, בבקשה, תוך פרק זמן נתון, דיווח על הפעילות שלכם. כמה תקיפות יש במדינה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה נורא פשוט ואני לא יודעת למה אנחנו מסתבכים. סעיף 2(א) קובע: מנהל מוסמך רשאי לקבוע כי תקיפת סייבר שמתרחשת או עומדת להתרחש, היא תקיפת סייבר חמורה. אני אומרת לך, שקבע המנהל לפי הוראות סעיף 2(א) - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

ידווח על כך לוועדה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

האם הוא קבע שתקיפת סייבר חמורה מתרחשת מכיוון שיש פגיעה בביטחון המדינה, או שיש פגיעה בביטחון הציבור או בקיום אספקת שירותים חיוניים. מה הבעיה? זה בסך הכול מה שמבוקש. 

 << אורח >> ליאור פרנקל: << אורח >>   

אלה אירועים נקודתיים, זה לא סלט. זה אירוע נקודתי. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני לא רואה בעיה עם הבקשה הזאת, למען האמת. רגע, חברים, אתם לא מקשיבים. אחר כך נגיד שלא הבנו אחד את השני, וניתקע עם הניסוחים. 

 << דובר >> דרור גרנית: << דובר >>   

אנחנו נבקש דקה להתייעצות. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

לא, לא. תנו לנו לגמור, ואחר כך תשבו. לא, לא על כל דבר. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

ירדנו מהעניין של כל דיווח אלא רק על תקיפת סייבר חמורה. בתוך תקיפת סייבר חמורה אנחנו מבקשים שלוש עילות להכרזה על תקיפת סייבר חמורה. הלאה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אם התקיימה תקיפת סייבר חמורה, אבל המנהל לא קבע שהתקיימה תקיפת סייבר חמורה משיקולים כלכליים. 

 << אורח >> ליאת גורפינקל: << אורח >>   

איך זה יכול לקרות?

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה קורה. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

שלא התקבלה משיקול כלכלי? על מתן הנחיות אמרנו שהוא יתחשב בשיקולים כלכליים. 

 << קריאה >> קריאה: << קריאה >>   

שיקולים כלכליים הם לא תנאי להכרזה על תקיפת סייבר חמורה. 

 << קריאה >> קריאה: << קריאה >>   

זה שיקול שיישקל אולי לאופי ההוראות שיינתנו. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני מציעה לרדת מהסעיף הזה. אני אומר גם שמהות החוק סותרת את הבקשה הזאת. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

מה אחוז המצייתים ומה אחוז הסרבנים; האם התבקש סיוע ממערך הסייבר. אם הוועדה תחליט שמערך הסייבר או אחד הגופים יתבקש לסייע, מה אחוז הפונים לבקשת סיוע?

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אתמול דיברנו על זה ארוכות – מה קורה עם חברה שאומרת: תודה לכם, מאמינים לכם, אין לנו שום יכולת לטפל בזה, תשלחו לנו מומחה או תביאו מישהו שיטפל?

 << אורח >> ליאת גורפינקל: << אורח >>   

אנחנו לא מביאים חברות חיצוניות שיסייעו לארגון. 

 << קריאה >> קריאה: << קריאה >>   

הוא לא שאל מה תעשו. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

עלתה כאן שאלה על חשבון מי זה יהיה. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

דיברנו על זה ארוכות, והסברנו שזה מאוד בעייתי מבחינתנו. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אבל עדיין לא הייתה החלטה של הוועדה. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

זה מאוד בעייתי מבחינתנו, כמו שאמרנו. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

דבר אחרון, מאפיינים של הספקים שאצלם התרחשו פגיעות סייבר. אני חושבת שזה ימקד אותנו. תאמינו לי, אני חושבת שזה דיווח ממש פשוט. 

 << קריאה >> קריאה: << קריאה >>   

זה דיווח פעם בחודש, נכון?

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

כן, פעם בחודש. 

 << דובר >> מ': << דובר >>   

אני חוזרת לנקודת איסוף הנתון לגבי תקיפות סייבר חמורות. אם זאת אמירה של הוועדה, אני אבקש שאנחנו נצא להיוועץ. אין לי איך לאסוף נתון כזה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

רגע, רגע, רגע, מ', אני לא מבין. אם כן, בשפה שמקובלת כאן בשעתיים האחרונות, תיקחו את כל הסעיפים הראשונים, תעבירו אותם לדברי ההסבר, כי אתם אומרים שממילא זה לא רלוונטי לשום דבר וזה קורה ביום-יום, ונתחיל ישר רק מסעיף 4, שרלוונטי לחוק הזה. אבל משום מה, לא עשיתם את זה. אתם הכנסתם את הסעיפים ואתם מבקשים מאיתנו לחוקק אותם. 

 << דובר_המשך >> מ': << דובר_המשך >>   

אדוני, אם זה לא היה ברור לחצי מהשולחן, יכול להיות שצריך להוציא איזשהו דיוק. בסוף אלה תקיפות שמטופלות ביום-יום. 

 << קריאה >> קריאה: << קריאה >>   

אבל אלה לא התקיפות. אתם הגדרתם את החוק. יש שם אדם שמחליט שזאת תקיפה חמורה. 

 << דובר_המשך >> מ': << דובר_המשך >>   

זה לא עובד ככה בפועל.

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אז למה לכתוב את זה בחוק? את יועצת משפטית, וזה מה שכתוב שחור על גבי לבן. זה מה שכתוב בחוק. 

 << דובר_המשך >> מ': << דובר_המשך >>   

אם יש תקיפת סייבר חמורה, אחרי שהחליט המנהל – זה בסדר. אבל המנהל החליט על תקיפת סייבר חמורה, אם הספק שמישהו מאיתנו פנה אליו לא רוצה לשתף פעולה, ואז הוא יבדוק האם הוא יכול לממש את החוק. באופן הרגיל, זה לא עובד ככה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

מנהל הוא אישיות בכירה בארגונים, נכון?

 << דובר_המשך >> מ': << דובר_המשך >>   

נכון. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אז אישיות בכירה בארגון החליטה שמתקיימת תקיפת סייבר חמורה – תתעדו. ביום זה וזה החליט המנהל וכולי. 

 << דובר_המשך >> מ': << דובר_המשך >>   

אני מנסה להסביר שייגשו למנהל כדי שיגדיר תקיפה כזאת כחמורה, רק במצב שיש קושי. במצב שאין קושי ושיתוף הפעולה מתקיים, לא ייגשו. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אנחנו לא מבקשים נתונים שהוא לא הגדיר. אם יהיו רק שני מקרים כאלה, תבואו ותגידו. אני מבין מה שהיא אומרת. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

יש תקיפת סייבר חמורה - - - בביטחון המדינה. הם מנהלים שיח, אבל אם יש לנו סרבן בקצה, רק אז הם הולכים למנהל. 

 << דובר_המשך >> מ': << דובר_המשך >>   

נכון, בדיוק. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זה לא מה שכתוב. 

 << אורח >> נטע קניגשטיין: << אורח >>   

מה שמ' אומרת הוא שהיא יכולה לדווח על מספר המקרים שבהם המנהל הכריז על תקיפת סייבר חמורה, אבל זה לא ימצה את מספר תקיפות הסייבר החמורות שהתרחשו. לפי שיטת העבודה של השירות, זה יתייחס רק - - -

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

נטע, זה לא החוק שאנחנו מדברים עליו. 

 << קריאה >> עידו בן יצחק: << קריאה >>   

החוק מתחיל בהכרזה של המנהל על תקיפת סייבר חמורה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זה מה שאמרתי, או שתעבירו את הכול לדברי ההסבר. תכתבו שם שבדרך כלל קובעים כך, אבל מה שרלוונטי זה רק סעיף 4 והלאה. 

 << אורח >> אסנת הראל וינשטיין: << אורח >>   

יכול להיות שהפער נובע מהעובדה שלא עשינו שיחה חסויה איך הדברים עובדים היום. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא נכון. ישבנו עם נציג המערך ונציג השב"כ בחדר שלי, שהוא חדר מסווג. 

 << דובר_המשך >> אסנת הראל וינשטיין: << דובר_המשך >>   

חלילה, אני לא מתכוונת שההליך פה – כוונתי שגם לפני החוק הזה הגופים פעלו מול ספקים. הם פנו לספקים כשהם זיהו תקיפות סייבר במרחב, בניסיון בשיתוף פעולה יחד איתם לפתור את תקיפת הסייבר ולהביא למניעה ולבלימה שלה. החידוש בחוק הזה הוא הסמכויות שדרושות לגופים. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אני אגיד לך מה החידוש בחוק הזה – הפער בין הפרקטיקה לבין זה שמגיעים לכנסת ומבקשים לעגן. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

מחוקקים. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה הפער. יש לכם פרקטיקה מסוימת שעל פיה אתם נוהגים, ועכשיו אתם מביאים את כל ההסדר ומעגנים נורמטיבית, אבל אתם עדיין בפרקטיקה. 

 << דובר_המשך >> אסנת הראל וינשטיין: << דובר_המשך >>   

זה לא שהצעת החוק יכולה להתחיל מבחינתנו מסעיף 3(4). סעיפים קטנים או פסקאות 1, 2, 3 רלוונטיות ונועדו להבנות באופן מדרגי את השיח מול הספק. 

 << אורח >> רון גרמה: << אורח >>   

את מגדירה בתנאי הסף לפנייה לחברה, הנחיה של המנהל. זה תנאי סף. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה לא מה שכתוב. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אם זה המצב, צריך לציין את זה בגוף החוק, כמו שהוצג לי וכמו שמ' אמרה בהתחלה. והיה שלא הגענו לשיתוף פעולה עם הספק, יפעיל המנהל את סמכותו וכן הלאה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אני לא בטוחה, מכיוון שזה לא כל כך פשוט שרשויות המדינה פונות חברות פרטיות - - -

 << אורח >> עמרי רחום טוויג: << אורח >>   

אגב, גם לספקים שפונים אליהם יש אינטרס לדעת האם פונים אליהם כי יש איזשהו אירוע ורוצים לטפל בו, או כי יש תקיפת סייבר חמורה ויש לה השלכה רוחבית על המשק. 

 << דובר >> דרור גרנית: << דובר >>   

סליחה, הסדר הוא הסדר הבא: המנהל מזהה תקיפה חמורה ומגדיר אותה כחמורה לפי סעיף 2, משכך העובד או מנהל החברה אומר לו: אנחנו רוצים במדרג של 1, 2, 3. זה סדר הדברים. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

נכון, זה נכון. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

ברשות אדוני, אני רוצה לחזור פסקה אחת אחורה. הייתה עוד הערה לעניין סעיף הסודיות. סעיף קטן (ג) לסעיף 6 קובע מהו מידע שבעצם מוחרג מחובת הסודיות. "בסעיף זה, "מידע" – למעט מידע על התוקף, התקיפה, מאפייני התקיפה או אמצעי הטיפול בה". בדברי ההסבר – זה נוסף בהצעת החוק ולא היה בתזכיר – הובהר שהתקיפה כאן כוללת גם את זהות הנתקף. כלומר, זהות הנתקף – הארגון שפנו אליו וביקשו ממנו לבצע פעולות – לא תהיה כפופה לחובת הסודיות. זאת בעיה קשה במשק. אני יכול להגיד שארגונים רבים במשק חוששים מאוד מהעובדה שיפרסמו את שמם בהקשר של תקיפות כאלה. מעבר לשיימינג, לא ברור למה זה נדרש. זאת נראית לי סוגיה שצריך להתמודד איתה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

מה אתם אומרים? אנחנו לא רוצים שלחברה של ליאור, למשל, יצא שם שהיא חברה לוזרית. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אם החברה לוזרית, לא כדאי - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אבל יש לפעמים גם ערכים סותרים בחיים. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

אני יכולה להסביר. זה נובע ממספר היבטים ושיטות עבודה, וננסה בדיון להסביר כמה שאפשר. לפעמים, הנתקף הוא הספק שמספק את השירות. אנחנו רוצים לפנות למי שעלולים להיות נתקפי המשנה, ולכן אנחנו חייבים להגיד: אתם קיבלתם שירות מחברה מסוימת - - -

 << קריאה >> קריאה: << קריאה >>   

אבל זה יכול להיות תחת סודיות. לא לפרסם את זה. 

 << דובר_המשך >> קרן גל-און לכנו: << דובר_המשך >>   

סליחה, אני אסביר עד הסוף. לכן, כדי שלא יהיו אי-הבנות, לצורך איתור תקיפת הסייבר ובלימתה, לפעמים יצטרכו להגיד גם את זהות הנתקף. לכן, זה כתוב בדברי ההסבר ולא בגוף החוק. זאת לא מטרה בפני עצמה; אין מטרה לפרסם את זהות הנתקף, אבל לצורך התמודדות עם תקיפת הסייבר, לפעמים זה חיוני. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

למה זה מוריד את זה מסודיות? הרי אני יכול לשתף אחרים. 


 << אורח >> קרן גל-און לכנו: << אורח >>   

לא. אין מדובר בפרסום, מדובר על העברת מידע. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אני לא מבינה את ההערה. אתה מבקש להגדרת מידע להוסיף את זהות הנתקף. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

לא, לא, לא. להפך, סליחה. המונח מידע לא מוגדר כמונח כללי. סעיף קטן (ג) אומר מה לא ייחשב מידע, ולכן גם לא יהיה כפוף. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אבל זה מתייחס לסעיף (ב).

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

וזה אומר שכל הפרטים האלה לא כפופים בחובת סודיות. כלומר, אין חובת סודיות לגבי התוקף – זה בסדר – מאפייני התקיפה, אמצעי הטיפול בה, התקיפה עצמה, על עצם קיומה – בסדר – אבל ברגע שבדברי ההסבר אומרים שהתקיפה עצמה כוללת גם את זהות הנתקף, זה אומר שזהות הנתקף יוצאת באופן גורף מחובת הסודיות. ברור שלפעמים, לצורך טיפול בתקיפה, צריך להשתמש גם בזהות הנתקף, אבל זה כבר נכנס בסעיף 6(א), שמניח ממילא שאדם שמגיע אליו מידע משתמש בו לצורך איתור התקיפה. סעיף הסודיות אוסר אך ורק שימוש שלא קשור לאיתור התקיפה, מניעתה או בלימתה. הפטור הגורף הזה מאפשר לכל אדם שהגיע אליו מידע לגבי זהות הנתקף, לפרסם אותו ברבים.

 << אורח >> קרן גל-און לכנו: << אורח >>   

רצינו לדבר על עוד נדבך, שהתקשר בדיוק להערה שנאמרה פה לדוגמה מצד הבנקים. יש מצבים שבתיאום המוקדם, לצורך המניעה של התקיפה, צריכים לדווח לעוד גורמים, כדי שהם יידעו להתגונן. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני שואל שאלה ואני סומך על המומחיות שלכם הרבה יותר מאשר על שלי. שאלה משפטית לגמרי. בסעיף 6(א), אדם שהגיע לידיו מידע שהתקבל מספק לפי חוק זה, לא יגלה אותו לאחר ולא יעשה בו כל שימוש, אלא לצורך איתור תקיפת סייבר חמורה, מניעתה או בלימתה. אם לצורך בלימתה, למה צריך בדברי ההסבר להוסיף את הנתקף?

 << דובר_המשך >> קרן גל-און לכנו: << דובר_המשך >>   

כי החוק קובע חובת סודיות ענקית, שכמעט אין לה אח ורע בחקיקה אחרת, וזה לטובת מה שעמרי אומר. הסעיף אומר שאדם שהגיע לידיו מידע – איזה מידע? מידע שהוא כל המידע, למעט על התוקף, התקיפה וכן הלאה. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

נכון. ולכן אין חובת סודיות לגבי מה שהוא "למעט". אין חובת סודיות לגבי המידע הזה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אני חושבת שיש בעייתיות קצת בהעברת מידע. כאשר מדברים על מה הוא צריך לשמור בסוד, מידע לא צריך להיות "למעט", אלא זה בדיוק מה שהוא צריך לשמור בסוד. כלומר, הוא צריך לשמור בסוד את המידע על התוקף, על התקיפה, על מאפייני התקיפה וכולי. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, לא, לא. הוא צריך למסור. 
 << דובר >> דרור גרנית: << דובר >>   

מירי, הפוך. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אדם שהגיע לידיו מידע שהתקבל מספק לפי חוק זה, ישמור אותו בסוד, נכון? את מה הוא צריך לשמור בסוד?

 << דובר_המשך >> דרור גרנית: << דובר_המשך >>   

את כל המידע שהגיע אליו. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, לא. יכול להיות שהגיע אליו מידע על לקוחות של אותה חברה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

יש לנו הגדרה של מידע בסעיף קטן (ג). מה זה מידע? למעט, כלומר שלא כולל, מידע על התוקף, על התקיפה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

מצוין, זאת אומרת שאם במסגרת הטיפול הוא קיבל מספרי כרטיסי אשראי של הלקוחות של אותה חברה, הוא ישמור את זה בסוד ולא יעשה בהם שום שימוש. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

נכון, לא צריך להיות "למעט". זה בדיוק המידע שצריך לשמור בסוד. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

הוא מדבר על זה עם כל מיני גורמים שמטפלים. מה זה לשמור בסוד?

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה בוודאי. זה במסגרת הטיפול בתקיפת סייבר חמורה. 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

הסעיף נועד להגן על המידע של החברות. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בדיוק. ככה גם אני הבנתי את זה. 

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

אם הספק שנתקף מחזיק תיקים רפואיים של אזרחי מדינת ישראל.

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה (ב). 

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

לא, זה כל 6. 
 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה גם (א) אבל זה (ב).

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

הרעיון הוא שאנחנו גם רוצים לשמור על הסודיות וגם לחייב את המחיקה. מה שאנחנו רוצים להגן עליו, זה המידע של האזרחים, הלקוחות, העובדים, ושל העסקים עצמם. על התוקף אנחנו לא רוצים להגן. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

ואנחנו מבקשים להגן גם על זהות הנתקף, ולא רק על לקוחותיו. 

 << דובר >> דרור גרנית: << דובר >>   

יכול להיות בהחלט שנרצה לעדכן ואפילו בפקודה פומבית לציבור: דעו לכם, יש הודעה שמתחזה להיות הודעה מחברת פלוני, אבל בעצם זה וירוס איראני שתוקף.

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

נכון. 

 << אורח >> אורי שיין: << אורח >>   

אני מבקש להתייחס מקצועית. הסעיף הזה נועד על מנת שאנחנו מגיעים, חוקרים ומנתחים את התקיפה עצמה. אנחנו מוצאים מזהים טכנולוגיים, שחלקם יכולים להיות כתובות של תשתיות של תוקף, ואיתם אנחנו יודעים לצאת בהתרעה רחבה למשק ובעצם להגן על המשק מפני התקשורת הזאת כתקשורת זדונית. ככל שאנחנו לא יכולים לעשות שימוש, אנחנו לא יכולים להגן על המשק, וזאת בדיוק הסיבה לכך שהסעיף זה מחריג את נושא התקיפה, על מנת שנוכל להגן על הציבור הרחב. 

 << קריאה >> קריאה: << קריאה >>   

זה כבר כלול בסיפא של 6(א).

 << דובר_המשך >> אורי שיין: << דובר_המשך >>   

הטיפול מאוד מאוד אובייקטיבי בהתאם לגוף הספציפי. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

כי זה לא נכלל במה שאתה צריך לכלול בסוד. תסכלו על הגדרת מידע – אתם אומרים "למעט". זאת אומרת, אתם שומרים על המידע, למעט מה שכתוב בהגדרה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני לא מודאג, כי "הם" זה אנשי מערך הסייבר והשב"כ. אני לא חושב שהם מחתימים על הטפסים – כשאתה בא אליו, אתה מחתים אותו על טופס סודיות? סיווג? משהו? לא. אני לא רואה שום בעיה עם זה. 

 << אורח >> רפי סלמה: << אורח >>   

מה החידוש בהוראה הזאת? אני מפנה אתכם לתקנות אבטחת מידע. שם מטילים חובה על הגוף שנתקף, אם יש אירוע אבטחה חמור, להודיע למושאי המידע. 

 << קריאה >> קריאה: << קריאה >>   

סליחה, זה לא נכון. אל תגיד. אין חובה כזאת. יש חובה וזה קיים - - - של הרשות להגנת הפרטיות. זאת לא חובה. 
 << דובר_המשך >> רפי סלמה: << דובר_המשך >>   

אני יודע לקרוא. כשאני קורא את התקנות, שם נאמר שרשאי להורות. פה האמירה אפילו יותר צנועה. אנחנו לא מחייבים אותך כחברה להודיע, אלא יש ערך בזה. אין חיסיון על זה שחברה נתקפה. אם היא הייתה רשלנית ופעלה בצורה לא טובה - - -

 << קריאה >> קריאה: << קריאה >>   

מי אמר שהיא הייתה רשלנית? 

 << דובר_המשך >> רפי סלמה: << דובר_המשך >>   

אבל זה מה שאתה מבקש לעשות. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

לא, זה לא מה שאני מבקש. 

 << אורח >> רפי סלמה: << אורח >>   

אז תסביר למה לחסות את זה. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

לא אמרתי לחסות את זה. אמרתי שיהיה קשר מקצועי בין הסיבה להשתמש בשם הנתקף לבין – אבל זה לא מה שכתוב כרגע בסעיף. 

 << דובר >> דרור גרנית: << דובר >>   

לעניין שם הנתקף, בוא נראה אם אנחנו מסכימים על המהות, ואז נראה אם אנחנו מסכימים לכך שיש מענה בטקסט. אנחנו מסכימים שיהיו מקרים שבהם יהיה נכון לחשוף את שם הנתקף, כי צריך להגיע ללקוחות שלו, כי יש כל מיני דברים. יהיו מקרים שנכון יהיה לחשוף, ויהיו מקרים שאין צורך בדבר הזה, ואז אנחנו נעדיף להימנע מזה. 

 << אורח >> ליאור פרנקל: << אורח >>   

הסיפא בסעיף 6(א) מטפלת ברכיב הראשון שציינת. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

נכון. 

 << דובר >> דרור גרנית: << דובר >>   

אני רוצה להגיד שאגף הטיפול, אנחנו הכנסנו הוראת מידתיות והיא קבועה בסעיף 3(5). סעיף זה אומר: בכל מקרה, יורה העובד המוסמך לנקוט אמצעי - - - לצורך איתור התקיפה, מניעתה ובלימתה. 

 << אורח >> ליאור פרנקל: << אורח >>   

זה רק ביחס לסמכות שלו לתת הוראות לספק. אנחנו מדברים על השאלה מה הוא עושה עם המידע אחרי שהוא נתן הוראות לספק. 

 << דובר >> דרור גרנית: << דובר >>   

בעיניי, זה חל גם כאן, אבל הנקודה היא שאם אנחנו מסכימים שיהיו מקרים שבהם יהיה נכון לחשוף את שמו, ויהיו מקרים שבהם זה לא יהיה נכון ולא יהיה צורך לחשוף את שמו, זה עניין של מידתיות ושיקול דעת. לתפיסתי, פסקה (5)(ב) בתוך סעיף 3 חלה גם על הדבר הזה. אם אתם רוצים להכניס אותה פעם נוספת גם בתוך הדבר הזה – אפשר.
 << אורח >> ליאור פרנקל: << אורח >>   

מכיוון שלפעמים זה יכול להיות בעל השפעה מאוד גדולה על החברה, האם אפשר לעשות תהליך שזה לא העובד המוסמך אלא שזה הבכיר שאישר, המנהל המוסמך, וכן, שתהיה לחברה אפשרות להביע את דעתה בעניין? כי יכולה להיות לזה השפעה מהותית. 

 << דובר >> דרור גרנית: << דובר >>   

באותם מקרים שבהם צריך לעשות שימוש בשם הנתקף, יכול להיות שאתה צריך לעדכן רק את הלקוח המסוים שלו. 

 << אורח >> ליאור פרנקל: << אורח >>   

עם זה אין בעיה. אנחנו מדברים פה על דברים פומביים. 

 << דובר >> דרור גרנית: << דובר >>   

בתוך סל המקרים שבהם נכון לעשות שימוש בשם הנתקף, יש מקרים שבהם אתה עושה שימוש מאוד מאוד מצומצם. אתה פונה רק ללקוח מסוים של הספק הזה, ואתה יודע שגם הוא הודבק. ויש מקרים שאתה צריך להפיץ את זה לכל העולם. לכן, הסיפור של מידתיות מאוד בשיקול דעת. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אם אני מבינה נכון, מה שליאור מבקש שאם יוחלט לחשוף את שם הספק - - -

 << דובר >> דרור גרנית: << דובר >>   

לחשוף למי? 

 << קריאה >> ינון אזולאי (ש"ס): << קריאה >>   

הוא אומר לך שזאת פגיעה בחברה. אם אתה חושף את זה לאלה שמקבלים ממנו את השירות, אין בעיה, אתה אומר להם שהם הותקפו, והם יודעים להתמודד עם זה. אבל אם אתה אומר שאתה לא יודע להגיד לכל הלקוחות שלו ואתה צריך לתת לזה פומביות, שלא עובד זוטר יעשה את זה, אלה המנהל. זה מה שהוא מבקש, דבר הגיוני. 

 << קריאה >> קריאה: << קריאה >>   

ההצעה של היועצת המשפטית היא שפרסום השם של החברה ברבים - - -

 << קריאה >> ינון אזולאי (ש"ס): << קריאה >>   

יהיה על ידי מנהל ולא על ידי עובד. 

 << קריאה >> קריאה: << קריאה >>   

ובכל מקרה, לא תכלול את זהות הנתקף כפטור גורף במה שהוא למעט מידע. 

 << קריאה >> קריאה: << קריאה >>   

הכוונה לפרסום יזום על ידי מי מהמערכים. אין לנו שליטה, כמובן, על מה שמפורסם. 

 << דובר >> דרור גרנית: << דובר >>   

מאה אחוז. בסדר. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

- - - קודם כול, זה יהיה המנהל ולא העובד, ומעבר לזה, לאחר ששמע את עמדת הספק בנושא. 

 << דובר >> דרור גרנית: << דובר >>   

בסדר, ובלבד שזה פרסום ברבים. אני רוצה לבדל ממה זה – זה להבדיל מאשר הפנייה, למשל - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

ללקוח של החברה. יש לך את זה ב-6(א). 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

דרור, גם אם יש לו לקוחות רבים ואתה יודע להגיע אליהם באופן פרטי, אין בעיה. אבל כשאתה רוצה פומביות, הוא רוצה משהו אחר. 

 << דובר >> דרור גרנית: << דובר >>   

יכולה להיות סיטואציה שצריך להפנות את המידע לרשות להגנת הפרטיות, שהיא תבחן את הפעלת סמכויותיה, אולי קרה פה משהו בניגוד לחוק הפרטיות. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בסדר גמור, זה ברור. 

 << קריאה >> קריאה: << קריאה >>   

מה שחשוב לנו זה באמת החידוד של הפרסום ברבים. 

 << קריאה >> קריאה: << קריאה >>   

ושפרסום ברבים לא כולל לדוגמה לקוחות. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

אם את יודעת מי הלקוחות שלו, את מודיעה להם אחד-אחד, אבל אם את לא יודעת להגיע לכל הלקוחות, זה ברבים. בזה הוא מבקש שיהיה המנהל. 

 << קריאה >> קריאה: << קריאה >>   

קודם כול, הספק יכול להודיע בעצמו. 

 << קריאה >> קריאה: << קריאה >>   

הכוונה היא לפרסום פומבי ברבים. 

 << דובר >> דרור גרנית: << דובר >>   

הספק לא מקבל את המידע שלו מכוח חוק זה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

השאלה מתי אתם פונים ללקוחות של הספק. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

לפעמים מייד. אם הלקוח הוא גוף תמ"ק, אנחנו לא ממתינים. 
 << קריאה >> קריאה: << קריאה >>   

אין לך בעיה עם גוף תמ"ק. אנחנו לא מדברים פה על גוף תמ"ק. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

אם הוא נותן שירותים לגוף תמ"ק. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

על זה אנחנו מדברים כרגע. אני חוזר ואומר שכל הפעולות, כפי שמפורט בחוק, לצורך איתור תקיפת סייבר חמורה, מניעתה או בלימתה – החוק מאפשר לכם בלשון מפורשת לעשות את זה. אמר דרור בהגינותו, שיש מקרים שצריך ליידע את כל העולם, ובמידה ואתם רוצים לקבל החלטה כזאת, צריך לקבל אותה באישור מנהל בכיר. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

אני אוסיף, שאם מטרת השימוש בשם הנתקף היא לא לצורך איתור התקיפה, מניעתה או בלימתה, אז למה לפרסם?

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני מסכים. 

 << אורח >> רפי סלמה: << אורח >>   

יכול להיות שהלקוחות ירצו לנהל סיכונים, להבין אם חברה נתקפה, אני לקוח שלה, אני לא מונע את התקיפה ולא בולם אותה, אבל אני כלקוח צריך לדעת. 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

יש חובות דיווח לחלק מהחברות. יש לך את זה במקומות אחרים. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

יש מנעד להפעיל שיקול דעת, כמו שהוחלט עכשיו, להבנתי, על ידי הוועדה, להפעיל שיקול דעת לפני פרסום, לבין לקבוע חובת סודיות מוחלטת. אלה שני דברים שונים. 

 << אורח >> רפי סלמה: << אורח >>   

אני חושב ש-(א) לא קובע חובת סודיות מוחלטת. מלכתחילה הוא לא קובע אותה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

להפך, הוא פוטר מסודיות. 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

כשמודיעים לרשות מדינתית אחרת, לפעמים יש לה הסמכויות שלה, וזאת לא בלימת תקיפת הסייבר הזאת. יש רשויות מוסמכות אחרות שעושות עוד דברים. לכן, להפעיל שיקול דעת לפני פרסום בפומבי, זה רצוי. לקבוע חובת סודיות מוחלטת כמו שהיה נקבע פה, אם לא היינו ממעטים מהגדרת מידע, היינו יכולים ליצור תקלה.

 << אורח >> עמרי רחום טוויג: << אורח >>   

אני רוצה לתאר תרחיש קיצון. תחשבו על מצב שבו האירוע נבלם. עבר מידע למערך או לאחד מהגופים, ידועה זהות הנתקף. האירוע נתקף ואין יותר תכלית בשימוש במידע. המידע הזה התגלגל לאדם, אפילו לא עובד המערך. אם בסעיף 6(ג) אנחנו מחריגים את זהות הנתקף מכל חובת הסודיות, כל אדם שהמידע הגיע לידיו יכול לצאת בידיעה בתקשורת: דעו לכם, הייתה תקיפה. זה לא לגיטימי, סליחה. זה פשוט לא מקובל. 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

לכן אני אומר שוב, שאי-אפשר לא להחריג בהגדרת מידע את זהות הנתקף. אני אתן כמה דוגמאות: מערך הסייבר רוצה להודיע למפקח על הבנקים, לא כדי לבלום את התקיפה, אלא כדי להבטיח את יציבות הבנק שנתקף. הוא רוצה להודיע, ואם אנחנו נקבע שזהות הנתקף היא בגדר מידע שחלה עליו חובת הסודיות - - -

 << אורח >> עמרי רחום טוויג: << אורח >>   

יש הסדר של העברת מידע בין גופים ציבוריים. יש הסדרים כאלה. 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אבל הוא לא יוכל, כי יש חובת סודיות. 

 << קריאה >> קריאה: << קריאה >>   

חובת סודיות לא מונעת ממך להעביר את זה לאחרים תחת אותו הסכם סודיות. 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אנחנו ניצור תקלה רבתי. יש עוד רשויות מדינה אחרות מוסמכות, ומה שאתה הצעת לגבי פרסום ברבים, שהוא לא העברה לרשות מדינה מוסמכת אחרת או ללקוח ספציפי שנתקף, אלא פרסום ברבים, זה בסדר. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

כדי שנבין עד הסוף, חברה מסוימת מספקת שירותים דיגיטליים ללקוח. היה אירוע, הוא נבלם והכול טוב ויפה, או דווקא כן התפרסם שהותקף לקוח, לצורך העניין בנק. מתראיין בתקשורת מנהל הבנק ואומר: באמת סבלנו מתקיפה חמורה. אומנם, אתם צריכים לדעת שהבנק מוגן, אבל יש חברת חיים ויענקל שמספקת לנו שירות מסוים ברמה שולית, ודרכם הצליחו התוקפים לחדור. הוא אומר את זה בראיון לעיתון כלכליסט. למוחרת, אותה חברת חיים יענקל לא קיימת יותר. זה ברור לכולנו, נכון? 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אבל בתוך הגדרת מידע יש את זהות הנתקף. זה נשמר בסוד. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

לא, לא. דברי ההסבר מבהירים שלא. 

 << דובר >> עידו בן יצחק: << דובר >>   

אנחנו לא בדברי ההסבר, אנחנו בחוק. אנחנו נפרדים מדברי ההסבר לשלום כשהחוק הזה נכנס לתוקף. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

רשום: כל מידע, למעט – כלומר, מה לא נכלל בהעברת מידע. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

בפסקה האחרונה לדברי ההסבר, סעיף 6, כתוב: אינו כולל מידע על התוקף, לרבות זהות הנתקף. זה כתוב ברחל בתך הקטנה בדברי ההסבר. 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

מה זה תקיפה? אם תקפו מישהו. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

במילה תקיפה אתם מתכוונים לזהות הנתקף. 

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

אדוני מעלה שאלה שנוגעת ליחסים בין שני גופים פרטיים.

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אל תלך למשפטיים. הבוקר קיימנו פה ישיבה ארוכה מאוד עם הצנזורה הצבאית. ברור שגם אצלם אין יכולת לשמור על הכול. אני אומר לך, כשזה לגיטימי לגמרי שמישהו, כדי לפאר דווקא את המוסד שלו, יגיד: נכון, הגיעו אלינו עם איזושהי תקיפה, אבל זה היה דרך חברה כזאת וכזאת - - -

 << אורח >> ליאת גורפינקל: << אורח >>   

לכן ההצעה של עמרי מקובלת עלינו, ככל שלא מדובר בפרסום פומבי. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

הוא רוצה מעבר לפרסום פומבי. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

זאת הדוגמה שנתן יושב-ראש הוועדה. 

 << קריאה >> קריאה: << קריאה >>   

אלא לצורך מילוי הוראות החוק. 

 << דובר >> דרור גרנית: << דובר >>   

בעולם הקיים היו, בלי החוק הזה, נניח שיש דוגמה שנתן אדוני היושב-ראש, יש בנק והוא הותקף דרך ספק משנה שלו. יום אחרי שסיימו עם התקיפה, יוצא מנכ"ל ואומר: הותקפנו בגלל שפרצו אלינו דרך הספק הזה ופתרנו את הבעיה. יום למוחרת יכול אותו ספק לתבוע אותו. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

נו, נו. 

 << קריאה >> ינון אזולאי (ש"ס): << קריאה >>   

וזה עדיין לא אומר שהוא לא ניזוק. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

ויכול להיות שהוא גם בן דוד שני. נו, באמת. 

 << דובר >> דרור גרנית: << דובר >>   

בחוק הזה אנחנו לא באים לספק לו הגנה מפני הנזק הזה. 

 << קריאה >> ינון אזולאי (ש"ס): << קריאה >>   

אנחנו גם לא באים להזיק לו. 

 << אורח >> רפי סלמה: << אורח >>   

הוא הזיק לעצמו לפני שהזקנו לו. אני לא מבין על איזה אינטרסים אתם מגנים פה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

על זה שיתפרסם - - -

 << דובר_המשך >> רפי סלמה: << דובר_המשך >>   

- - - של אותה חברה על אינטרסים של אחרים, של הלקוחות, של אזרחי המדינה, של ביטחון המדינה. זה לא איזון. אתה שם את החברה שנתקפת מעל כולם. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

למה? כל מה שקשור בטיפול במקרה, כפי שקראתי בסעיף 6(א), יש לך את כל הכלים. אתה לא מתחשב בשום דבר כשאתה צריך לטפל בתקיפת סייבר חמורה. 

 << דובר_המשך >> רפי סלמה: << דובר_המשך >>   

נוצר פה מצב שיש רק את החברה עצמה, ואין שום אינטרסים אחרים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זה מתייחס לתיקון הנוסף שהיה פה, לגבי פרסום ברבים. אני שומע את מה שאתה אומר, ויכול להיות שמה שיגיד נציג מערך הסייבר הוא שהחברה הזאת היא פשוט סכנה לביטחון המדינה. הם לא מקשיבים, אין להם שום כלים, הם עובדים ברשלנות, ובאותו זמן, כנראה יש להם איש שיווק מעולה שחתם עם כל מיני גופים ביטחוניים או סמי-ביטחוניים מסחריים גדולים. במקרה כזה, יאשר המנהל, כפי שאנחנו מציעים, ממש פרסום ברבים. אני לא רוצה לומר שיימינג, אבל פרסום ברבים שהחברה הזאת מותקפת ואין לה אמצעי הגנה. אנחנו לא על זה מדברים; אנחנו מדברים על משהו אחר. אנחנו מדברים על מקרה של חברה שטיפלה והכול, אבל השם שלה לא אמור להישמר בסוד. ואז, בעצם, מותר לכל אחד לדבר עליה בראיון. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

ההיבט הנוסף הוא ההיבט של המחיקה. המערכים לא מוחקים את השם של זהות הנתקף – זה מופיע בסעיף הבא. זה לא יימחק, זה מידע רלוונטי. 

 << קריאה >> קריאה: << קריאה >>   

אז תכתבו את זה בסעיף המחיקה. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

הסעיף הזה חל שני הסעיפים כרגע, ואנחנו מסבירים שבחלק מהמקרים זה בילט-אין, כדי להמשיך את הטיפול. אנחנו חושבים שההגדרה פה רחבה אפילו ביחס לחקיקה אחרת. בדרך כלל, הסודיות היא על מידע רגיש. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אוקיי, תציעי את זה. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

עמרי, אני חושבת שאם אנחנו כותבים שפרסום ברבים או פרסום פומבי לעניין זהות הנתקף תהיה רק לאחר החלטת מנהל, ולאחר ששמע את הנתקף או הספק.

 << אורח >> עמרי רחום טוויג: << אורח >>   

ויהיה אסור למעט זה? 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

כן, או רק באישור. 

 << אורח >> עמית יוסוב עמיר: << אורח >>   

אני אחדד. פרסום פומבי ברבים של מידע אודות זהות הנתקף, שהתקבל לפי חוק זה. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

לפי חוק זה, אין ספק. לא לייצר איסור כללי לדבר על תקיפות. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

ברור, ברור. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

סליחה, היושב-ראש, ואם מעבירים למדינה אחרת, זה על ידי עובד מוסמך או על ידי מנהל?

 << אורח >> עמית יוסוב עמיר: << אורח >>   

מה שמוגן בסודיות – מוגן בסודיות; מה שלא מוגן בסודיות – יש שיקול דעת לגופים, יש קשרי עבודה עם גופים מקבילים ברשויות אחרות. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

העברה של המידע על אותה חברה שנתקפה, אתה מעביר אותו לגורם בחו"ל. אתה צריך אישור של עובד מוסמך או של מנהל, כמו שהם רוצים?

 << אורח >> עמית יוסוב עמיר: << אורח >>   

יש כללי העברת מידע לגורמים בחו"ל, אבל זה לא בדיוק העניין כאן. 

 << אורח >> נטע קניגשטיין: << אורח >>   

לא בטוח שזה נופל תחת פרסום ברבים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, לא, זה משהו אחר. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

איך אתה מונע שזה לא יתפרסם ברבים שם? אני לא יודע מה אומר ההסכם בין המדינות, והאם קיים משהו כזה. 

 << קריאה >> קריאה: << קריאה >>   

מה שמועבר בין גופים ביטחוניים זה בדרך כלל ממצאים טכנולוגים. השם של החברה פחות מעניין את הגוף הביטחוני מהצד השני של הים. יותר מעניינים אותו הממצאים הטכנולוגיים של התקיפה. גם אם כן, זה תמיד סודי. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

כן, רצית לדייק משהו. 

 << אורח >> נטע קניגשטיין: << אורח >>   

כשמדובר על פרסום יזום משלושת הגופים, ולא פרסום בעולם אם המידע הגיע למישהו. מדובר בפרסום יזום משלושת הגופים, עליו יחול השימוע כי רק אנחנו יכולים לבצע את השימוש ולא מישהו אחר. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אם יש פרסום שיוצא מגוף אחר, היה דלף באיזשהו מקום. זה בעייתי כשלעצמו. 

 << אורח >> אסנת הראל וינשטיין: << אורח >>   

זאת לא סיטואציה שבה גופים יכולים לשמוע את הספק. זה משהו שהוא מחוץ להסדר הזה. 

 << קריאה >> קריאה: << קריאה >>   

למה? למה? כמו שאת מבקשת מהם את שאר המידע שלך לא לפרסם. 

 << דובר >> דרור גרנית: << דובר >>   

צריך להיזהר שלא לייצר פה חסינות שלא קיימת היום. היום, אם יש גוף שנתקף, אין לו חסינות מפני זה שיתפרסם במשק שהוא נתקף.

 << קריאה >> קריאה: << קריאה >>   

אנחנו מדברים רק על מידע שהגיע אגב הפעלת הסמכויות לפי החוק הזה. 

 << קריאה >> קריאה: << קריאה >>   

רק אם המנהל מבקש לפרסם. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

כן, כן. חד-משמעית, זאת הכוונה. יש לנו נציג מהרשות להגנת הפרטיות, ניר גרסון, בבקשה. 

 << דובר >> ניר גרסון: << דובר >>   

אחר צוהריים טובים ותודה על רשות הדיבור. אני חושב שהגעתם בינתיים לפתרון מספק, כי מאוד חשוב, כמו שנאמר קודם, לא להרחיב את הסודיות גם על זהות הנתקף. להרחיב במידה שתמנע להעביר מידע לרשות להגנת הפרטיות, שתחום העיסוק שלה – היא אומנם לא עוסקת במתקפות סייבר – חופף ומיועד להגן על אינטרס מאוד דומה. לכן, אני חושב שהפתרון שהוצע עכשיו נותן מענה הולם. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

קיבלנו את זה כמחמאה. תודה רבה, ניר. נמשיך כי אנחנו ממש חייבים להתקדם. 

 << דובר >> עידו בן יצחק: << דובר >>   

8. שמירת דינים
)א( הוראות חוק זה באות להוסיף על הוראות כל דין אחר ולא לגרוע מהן.
)ב( בלי לגרוע מהאמור בסעיף קטן )א(, הוראות חוק זה באות להוסיף על כל הוראה בעניין הנוגע להגנת סייבר, לפי החלטת הממשלה או הסכם, ואולם בכל מקרה של סתירה יגברו הוראות חוק זה.

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

יש הערות מהותיות? אין. התקדמנו. 

 << דובר_המשך >> עידו בן יצחק: << דובר_המשך >>   

9. תיקון חוק בתי משפט לעניינים מינהליים – הוראת שעה

בתקופת תוקפו של חוק זה, כאמור בסעיף 11, יקראו את חוק בתי משפט לעניינים מנהליים, התש"ס–2000, כך שבתוספת הראשונה, בסופה יבוא: .65 "החלטה של רשות לפי חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה - חרבות ברזל), התשפ"ד–2023.

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

לגבי הסעיף הזה, אין ספק שצריכה להיות ערכאת ערעור. אני רק חושבת שפנייה לבתי משפט מינהליים היא לא הפרוצדורה המתאימה לאירוע. צריך לעבוד במהירות וכולי, ולכן, אני יכולה להציע לוועדה שלוש אופציות: 1. בחוק להסדרת הביטחון בגופים ציבוריים יש ועדת ערר לעניין הנחיות מקצועיות, שמונה שלושה חברים: א. נציג הגוף שהקצין המוסמך – או מערך הסייבר או השב"כ או מלמ"ב, בדיוק כמו שיש לנו כאן. ב. נציג ציבור בעל כישורים, ניסיון והכשרה בתחום הביטחון והאבטחה שימנה – כאן זה ראש הממשלה או השר או שר הביטחון, לפי העניין. אנחנו חושבים שכאן יכול להיות נציג ציבור שימנה ראש מערך הסייבר. ג. נציג ציבור – זה יכול להיות נציג משרד האוצר – ניסיון והכשרה בתחום הניהול והכלכלה שימנה שר האוצר יחד עם ראש הממשלה. אפשר קצת לעדן. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

להוריד את הדרג. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

להוריד את כל ההתייעצויות הרלוונטיות. או ממש לאמץ את ועדת הערר לפי סעיף 11 לחוק להסדרת הביטחון בגופים ציבוריים, או ועדת ערר חדשה, שממש אפשר במשיחת מכחול להקים, או לפחות עיון חוזר של נציג מעבר למנהל המוסמך, אולי יחד עם נציג אוצר, מכיוון שתמיד יש כאן שיקולים כלכליים. הוא יוכל לתת מענה מהיר שאותו אנחנו מחפשים. אני חושבת שזה פשוט יותר פרקטי ונכון לסיטואציה הנוכחית. 

 << אורח >> ליאת גורפינקל: << אורח >>   

השאלה היא האם זה במקום ההליך בבית משפט?

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

כן. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

אנחנו לא רוצים לתת - - -

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אוקיי, אז זה יהיה בנוסף. אני חושבת שכרגע, להוראת השעה - - -

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

היועצת המשפטית, אם זה בנוסף, אנחנו למעשה מאריכים מאוד את התהליך, והיד תהיה מאוד מאוד קלה לרוץ לאותה - - -

 << קריאה >> קריאה: << קריאה >>   

אנחנו מתנגדים לזה. 

 << דובר >> מי-טל פרי: << דובר >>   

חייבים לאפשר גישה תוך 12 שעות לערכאה שיפוטית.

 << דובר >> דרור גרנית: << דובר >>   

בדיוק. המשמעות של מה שגברתי מציעה, אומרת שבמקום שתהיה גישה לערכאה שיפוטית, שהיא בית משפט לעניינים מינהליים, תהיה ערכאת אמצע. 

 << אורח >> מי-טל פרי: << אורח >>   

בשום אופן לא. 

 << דובר >> דרור גרנית: << דובר >>   

צריך לדבר על ההצעות שהצעת, אבל בכל אחת מהפורמולציות, יהיה עוד איזשהו בלוק באמצע לפני שמגיעים לערכאה שיפוטית. 

 << קריאה >> קריאה: << קריאה >>   

עוד גוף, עוד סמכויות, עוד סרבול. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

אני חושבת שמה שנכון לסיטואציה הזאת הוא לבטל את הפנייה לבית משפט לעניינים מינהליים. 

 << דובר >> דרור גרנית: << דובר >>   

לא, זה לא עובד ככה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אי-אפשר למנוע מחברה לגשת לבית משפט. היא יכולה לגשת תיאורטית גם לבג"ץ. במחשבה שנייה, אני אוהב את ההצעה של החברים לו היא הייתה מזרזת את התהליך, אבל מכיוון שאנחנו בדרך למשפטיזציה בהרבה תחומים, איך נודיע שבתי משפט לא מוסמכים לדון בפניות? אין דבר כזה. ליאור קיבל פנייה ממערך הסייבר שהחברה שלו לא מגנה על הלקוחות. הוא מאוד לא מעוניין וחושב שזה שטויות, ולכן הוא הולך לבית משפט לבקש צו שיפוטי. ואם יש ועדה באמצע, הוא יגיד שזאת ועדה מטעם, ואני לא תומך בה, לא מכיר בה. אני הולך לבית משפט. 

 << קריאה >> קריאה: << קריאה >>   

היא באמת ועדה מטעם. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

אני חושבת שבסיטואציה הנוכחית, כאשר צריך לפעול מהר - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, לא, זה לא נותן. דווקא הם אומרים שזה לא נותן שום מהירות. 

 << אורח >> מי-טל פרי: << אורח >>   

לדעתנו זה רק יסרבל את זה. זה עוד גוף עם עוד סמכויות, שרק יסרבל את זה. אפשר לקצוב בזמן, שב-12 שעות אפשר לפנות לערכאות. 

 << אורח >> אסנת הראל וינשטיין: << אורח >>   

יש פה רגע מכונן כששני הצדדים של השולחן מסכימים. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

אני חושבת שבסופו של דבר, החברות לא יקבלו את המענה מבית המשפט, ואני אגיד לכם מדוע. אם מתקיימת תקיפת סייבר חמורה, בסופו של דבר, בית המשפט לא יוציא צו מניעה. בפרקטיקה של החיים, בסופו של דבר, יכול להיות שדווקא מענה - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

וועדה כזאת כן?

 << דובר_המשך >> מירי פרנקל-שור: << דובר_המשך >>   

מכיוון שמדובר בגורמים מקצועיים, ועדה כזאת יכולה אולי לשנות את ההנחיות, לבוא לקראת הספק. למרות ששני הצדדים לא מסכימים, עמדתי שזה יותר נכון לסיטואציה הזאת. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

טל, בבקשה. 

 << אורח >> ד"ר טל מימרן: << אורח >>   

אני לא בטוח ששני הצדדים לא מסכימים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

הם דווקא מסכימים. אנחנו מיותרים כאן. 

 << דובר_המשך >> ד"ר טל מימרן: << דובר_המשך >>   

אי-ההסכמה היא לגבי הוספת שלב אמצע או איתור או לא איתור של בית המשפט. המנגנון הזה חשוב בעינינו, קודם כול כי לאורך החוק הזה, יש לנו הדהוד של שלושה ערכים: ערך של פגיעה כלכלית, ערך של רצף תפקודי וערך של פגיעה בפרטיות. שלושת הערכים הללו דורשים מומחיות מסוג מסוים, ובוועדה תוכל להיות מומחיות שנותנת מענה מהיר ומקצועי, כזה שלא כפוף בסדרי דין וכן הלאה. הוועדה הזאת תוכל לצבור מומחיות שתשרת אותה בהמשך הדרך, וחשוב מכך, הוועדה הזאת תוכל גם להכווין קדימה את המדיניות לגבי המחלוקות. אי-אפשר לוותר בחוק – הפנייה לבית משפט היא זכות חוקתית – אבל אפשר לבטל את הפנייה המהירה או את קבלת התשובה המהירה מבית משפט, ולבחור מנגנון שמתאים יותר לשוק הזה. 

בשוק הטכנולוגי, למשל, בפייסבוק, מטא, יש לנו מועצה מפקחת שהיא אדמיניסטרטיבית, היא מעין שיפוטית. כלומר, המנגנונים המעין שיפוטיים מתאימים יותר גם לאופי של השוק וגם לאופי של הסיטואציה. 

 << קריאה >> קריאה: << קריאה >>   

למה לסבך? למה לסבך?
 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אדוני לא מרמז שלא לכל שופט בישראל יש את המומחיות בכל התחומים? אחרת, אני אבקש ממך לצאת מהוועדה. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

אני גם חושבת שיש הבדל בין ספקים קטנים לספקים גדולים. בגלל שהשוק כל כך הטרוגני, הספקים הגדולים שיש להם משרדי עורכי דין, יעדיפו לגשת לבתי המשפט, וספק קטן – זה גם עלויות להגיש עתירה מינהלית. יכול להיות שהוא יכול לבחור או גישה לבית משפט או לוועדת ערר. 

 << קריאה >> מי-טל פרי: << קריאה >>   

לא יהיה מיצוי הליכים. זה פשוט הופך את זה למאוד מאוד מסורבל. גם אם בית משפט יכריע לטובת המדינה, זה בסדר, זה דמוקרטיה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אדם סביר, ספק סביר, חברה סבירה יקבלו באהבה את השירותים, ועוד יביאו להם אחר כך בונבוניירה על זה שעזרו להם לטפל. 

 << קריאה >> קריאה: << קריאה >>   

זה קורה המון. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אנחנו מדברים על מקרים קיצוניים מסיבה זאת או אחרת, שיתגוננו מהעניין הזה. אם הוא יחליט להתגונן, ודאי הוא ילך לבית משפט. 

 << אורח >> ליאור פרנקל: << אורח >>   

דרך אגב, זה לאו דווקא כי הוא חברה רעה. יכול להיות שהוא באמת מאמין שהפעילות לא נכונה או לא מתאימה או מייצרת נזק לא סביר. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בסדר, נתתי מקרה קיצוני, כפי שאמרתי. יכול להיות שמישהו בוויכוח מקצועי, וטוען שמומחה הסייבר שלו, יכול להיות שהוא בעצמו יוצא שב"כ או 8200, מבין יותר מהנציג שלהם. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

זה סוג דיון שבית משפט אף פעם לא יכריע בו. בית משפט לא יתערב בשיקולים המקצועיים של הרשות. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

פה אני מסכים לגמרי עם היועצת המשפטית של הוועדה, שבית משפט ודאי לא יוציא צו במקרה כזה, כשמופיע בדיון חסוי נציג השירות, ומספר לו על זה שייפלו לנו כל התשתיות. 

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

אלא אם הייתה בעיה בפרוצדורה. יש הרי תהליכים פרוצדורליים שקבועים כאן, ובהחלט חשוב שיקפידו עליהם. אלה מצבים שבהם בית משפט בהחלט ייתן צו ביניים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בית משפט יכול להתערב בפרוצדורה, אבל לא במהות. 
 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

נכון, ולכן יש היגיון מסוים להוסיף רובד של מומחיות. 

 << אורח >> אסנת הראל וינשטיין: << אורח >>   

להוסיף פה עוד שכבה של ועדת השגה או ועדת ערר, זה יוצר נטל גם על החברות שלא יוכלו לפנות לבית משפט בלי למצות את ההליך הזה, וזה יכול גם לאיין את הטיפול המיטבי בתקיפת הסייבר, כי יש זמן מוגבל. 

 << קריאה >> קריאה: << קריאה >>   

ברור שסד הזמנים יש לו חשיבות מהותית. זה ברור. 

 << אורח >> ליאת גורפינקל: << אורח >>   

אני מזכירה שאנחנו מדברים רק לתקופת הלחימה. חשוב להבין שאנחנו נמצאים בתקופת הלחימה, וזה לא ההסדר הקבוע והגדול. 

 << קריאה >> מי-טל פרי: << קריאה >>   

אבל זה יהיה הבסיס. הלחימה יכולה להימשך עוד שנתיים. 

 << קריאה >> קריאה: << קריאה >>   

ועדת הערר שקבועה בחוק להסדרת הביטחון, אלה אומנם אותם גופים, אבל אלה שחקנים אחרים בתוך הגופים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זה מה שאמרתי, שאולי הם בכלל יגידו שאין להם מומחה סייבר בתוך השלישייה הזאת. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

הסיטואציה של החקיקה, כשאנחנו מדברים על תקיפת סייבר חמורה, כאשר כבר עברנו את כל הרף, ומדובר על ספק שסירב לשתף פעולה, והגענו למצב - - -

 << קריאה >> קריאה: << קריאה >>   

לא, לא, זה לא. אני יכול לערער מהפנייה אליכם. 

 << דובר_המשך >> קרן גל-און לכנו: << דובר_המשך >>   

בסוף יש תקיפת סייבר שצריך לטפל בה, ובשביל זה התכנסנו. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בואו נתקדם. אני לא חושב שנוכל, כי בעיניי, מי שירצה באמת להיכנס לעימות, זה לא ימנע ממנו לפנות לבית משפט או לבג"ץ. לדעתי, אנחנו רק נעכב את זה. אני גם לא יודע מה הזמינות של הוועדה הזאת במקרים כאלה. 

 << אורח >> ד"ר טל מימרן: << אורח >>   

כל ההגנות והאיזונים נדחים כאן. 

 << קריאה >> קריאה: << קריאה >>   

ממש לא. יש השגה מינהלית. 
 << אורח >> ד"ר טל מימרן: << אורח >>   

האיזון של הסנקציות – נדחה; האיזון של המנגנון הנוסף – נדחה. בעצם, המנגנונים שמגבילים בדיוקים של ההגדרות, רוב הדברים נדחו. אנחנו באמת מאמינים שוועדה כזאת תשפר את שיתוף הפעולה. כרגע אנחנו במצב שחברות הסייבר יכולות להרגיש שהעמדה שלהן מבוטלת לחלוטין. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא חברות סייבר; חברות שירותים דיגיטליים. 

 << דובר_המשך >> ד"ר טל מימרן: << דובר_המשך >>   

כן, כן. שחטיבת הגנת הסייבר שלהן חסרת משמעות בפני מערך הסייבר הלאומי. בעיקרון, הצהרנו על זה אתמול – מערך הסייבר ראוי לסמכות הזאת. המהלך הזה הוא מהלך חכם, אבל צריך לייצר מנגנונים שלא יבהילו את השוק. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

השיח שלכם הוא לא שיח שאולי מתקיים. הוא כן יתקיים באיזושהי ועדה.

 << אורח >> ליאת גורפינקל: << אורח >>   

יש את כל נושא השימוע שאנחנו מדברים לגבי השיח. אנחנו מדברים עכשיו בזמן לחימה, בתקיפה חמורה, על עוד שלב שהוא שלב ביורוקרטי לפני שבסופו של דבר מגיעים לבית משפט. 

 << דובר >> דרור גרנית: << דובר >>   

מירי, את רוצה לקדם שיח, ואנחנו רוצים שיח של שיתוף פעולה, למסגר אותו בתוך אכסניה של סכסוך - - -

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

הבחור מחברת הסלון לא ייגש לבית משפט לעניינים מינהליים. 

 << קריאה >> קריאה: << קריאה >>   

למה לא? בטח שהוא ייגש. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

הוא צריך להשיג עורך דין. 

 << דובר >> מ': << דובר >>   

יש לו כנראה עורך דין. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

אלו עלויות בזמנים שהוא לא יוכל להתמודד איתם. 

 << דובר >> מ': << דובר >>   

אנחנו מקבלים עתירות מינהליות כל הזמן. כל הזמן. 

 << דובר >> מירי פרנקל-שור: << דובר >>   

כשאתם מדברים על גישה לערכאות, צריך להבין מה זה גישה לערכאות. זה לקחת עורך דין, זה עלויות. 
 << דובר >> מ': << דובר >>   

וצריך לשים בצד השני את הנזק שנגרם גם לכלכלה, גם לספק וגם לביטחון המדינה מתקיפת סייבר שלא מטופלת. אלו האיזונים. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

את גם רוצה לעשות חינוך, את רוצה גם ללמוד מה צריך לעשות בעתיד. לכן, אני חושבת שהפתרון הנכון והאולטימטיבי הוא לא עתירה מינהלית. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אבל זה לא מונע. אילו היית אומרת לי שיש דרך כלשהי לומר: זה ותו לא, הייתי זורם איתך. אבל הוא יבוא לוועדה הזאת, יגיד שהם אנשים מטעם כי הם כולם מונו על ידי המדינה, ואחר כך הוא ילך לבית משפט. 

 << קריאה >> קריאה: << קריאה >>   

המאטריה הופכת את זה שסד הזמנים הוא קריטי. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בבקשה, אנחנו צריכים להתקדם. קדימה. 

 << דובר >> עידו בן יצחק: << דובר >>   

10. ביטול תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון)

תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד–2023 – בטלות. 

11. תוקף 

(1) סעיפים 1 עד 9 לחוק זה יעמדו בתוקפם עד תום שישה חודשים מיום פרסומו. 
(2) ראש הממשלה, בהתייעצות עם שר הביטחון ובאישור ועדת החוץ והביטחון של הכנסת, רשאי להורות בצו על הארכת תקופת תוקפו של חוק זה לתקופות נוספות שלא יעלו על שלושה חודשים כל אחת, אם מצא כי הדבר נדרש עקב התמשכותן של הפעולות הצבאיות המשמעותיות, ובלבד שסך כל תקופות ההארכה לא יעלה על שישה חודשים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

יש לי הערות. מעשית, זה לא מתכתב עם לוחות הזמנים של הכנסת כי אם אני מחשב נכון, אנחנו עכשיו בדצמבר, החוק יעבור בשעה טובה ומוצלחת ויהפוך לחוק. זאת אומרת, בסוף יוני יפוג תוקפו. מכיוון שאנחנו עובדים מול גורמי הממשלה, מבלי לפגוע, ואני לא מתכוון לאף אחד מהנוכחים, אבל הממשלה תיזכר בסוף יוני שפג תוקף החוק, ויבואו אלינו לקראת הפגרה. זה היה יכול להיות נחמד אילו היה מדובר בהארכה בצו. לזה אני לא מסכים בשום פנים ואופן. אני חושב שאנחנו, כמו שגם ראינו בדיון הזה, שהיה דיון ארוך, לא יודעים מה יעבוד, איך יעבוד. אין לי מושג ואני לא חושב שלמישהו באמת יש מושג איך אנחנו נחיה עם החוק הזה. אומנם, בתחום מצומצם, יחסית, אבל עדיין מאוד חשוב. 

לכן, הייתי מציע שנקבל עכשיו את החוק הזה לתקופה של חמישה חודשים, כלומר עד סוף מאי, ובמידה ויהיה צורך בהארכה, הממשלה תופיע כאן עד סוף מאי. יהיו לנו אז חודשיים לחוקק חוק חדש, ואם הכול יעבוד יפה, אני לא רואה שום נטל. פשוט תבואו עם החוק הזה, הדיווחים יהיו בידינו, הדיווחים מפורטים יחסית, נעשה פה הצבעה של עשרים דקות והכל ייגמר יפה. אם יהיו בעיות אמיתיות בחוק, אנחנו, ביוזמתכם, נרצה לראות בו תיקונים, לראות בו שינויים. כדאי להתכונן לזה שזה יכול להיות גם תהליך. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

אדוני היושב-ראש, אתה אומר שהממשלה תבוא במהלך מאי, ובעוד חמישה חודשים תגיע שוב לאותו מקום. השאלה אם לא כדאי לעשות, כמו שעושים בתקציב, למשל, ונותנים שישה חודשים, אבל תאריך הדד-ליין בשביל להגיש בקשה, יהיה עד סוף חודש מאי. לנו, כוועדה, יש חודש לדון בו ולהחליט אם כן. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

מעולה. אנחנו מאמצים את זה בכל הוראות השעה של הוועדה. 

 << דובר >> דרור גרנית: << דובר >>   

סליחה, לא הבנתי את המנגנון. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

המנגנון אומר שהחוק יחול לחצי שנה, אבל הממשלה, בשביל להאריך אותו, תוכל להביא בקשת הארכה עד סוף חודש מאי.

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אין לי בעיה לתת שישה חודשים, אלא שהניסיון שלי אומר, שב-20 ביוני, ימים ספורים לפני פקיעת תוקפו של החוק, לא יופיעו נציגי המשרדים. יופיע אחראי מודיעין במערך הסייבר יחד עם נציג בכיר של השירות ויחד עם נציג בכיר של מלמ"ב, ויסבירו לי באותו ובמופתים שממש מחר לא נצביע על החוק, המדינה תקרוס ולא יהיו לא מים ולא חשמל. זה מה שיהיה בפרקטיקה. לכן, רציתי לקחת איזשהו מרווח ביטחון לנושא הזה. 

 << דובר >> דרור גרנית: << דובר >>   

אני מבקש להבין, אדוני, את ההצעה של חבר הכנסת אזולאי. אתה בעצם כובל את ידיה של הממשלה מייזום של חקיקה ממשלתית. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

לא, אני לא כובל את ידיה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אם אין צורך, אין צורך. 

 << דובר_המשך >> ינון אזולאי (ש"ס): << דובר_המשך >>   

מה החשש של היושב-ראש? הרי אנחנו יודעים איך זה עובד – כשרוצים להאריך את תוקפו של החוק, מגיעים ברגע האחרון ואומרים: אין זמן, צריך להאריך את זה אחרת יישארו לנו יומיים עבודה. אני אומר שלא יישארו לכם יומיים עבודה; יישאר לכם חודש עבודה. עד סוף מאי הממשלה תבקש אם להאריך או לא. החוק קיים עוד חודש, אבל בחודש הזה יהיו דיונים, כמו שהיושב-ראש רוצה, שלא יבואו ברגע האחרון. אם הוא עושה את זה לחמישה חודשים, יבואו בשבוע האחרון של החודש החמישי. 

 << דובר >> דרור גרנית: << דובר >>   

חבר הכנסת אזולאי, ואם נביא עם הצעה חדשה ב-1 ביוני?

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

כדי שיהיה לנו מספיק זמן לדיון - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

דרור, תהיה איתי לרגע. הוא פשוט יותר מעורה בדברים שקורים בכנסת. אנחנו ניתן עכשיו שישה חודשים, עד סוף יוני. הממשלה תופיע בהגינותה עם הצעה באיזשהו פרק זמן סביר. איך נראה יולי בכנסת לקראת פגרה – אתה יודע. עם טונות של חקיקה, גם דברים ממשלתיים; חקיקה פרטית בקריאה ראשונה, שכולם מתים להעביר כי לא יודעים אם חוזרים מהפגרה או לא; חקיקה בשנייה-שלישית; הוועדות עמוסות, כל ועדה רלוונטית; במליאה לא רוצים לשמוע; הנסחות בלשכה המשפטית לא מסוגלים, קורסים וכולי. בואו, אנחנו לא עוסקים פה בתיאוריה; אנחנו עוסקים בפרקטיקה. לכן, אני רוצה להתרחק כמה שאפשר מסוף יולי לכיוון של איזושהי חקיקה רצינית, אם יהיה בה צורך. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

אדוני היושב-ראש, אני רוצה לחזור להסדר המקורי ופתאום אנחנו מגיעים לדבר על חמישה חודשים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, לא. לא תהיה הארכת מצב.

 << דובר_המשך >> קרן גל-און לכנו: << דובר_המשך >>   

בכל מקרה, אנחנו אומרים שיכול להיות שאנחנו כממשלה הגענו צנועים מדיי, ואנחנו רוצים פרק זמן ארוך יותר, אם אנחנו לא מדברים על הארכה בצו. אם אנחנו מדברים על הארכה בשלוש קריאות, אנחנו נבקש פרק זמן יותר ארוך שבו הוראת השעה תהיה בתוקף. כלומר, אם אנחנו לא מאמצים את אותו הסדר שעליו אנחנו מדברים, של הארכה בצו, אז לכל הפחות שפרק הזמן יהיה משמעותי יותר כדי שגם אנחנו נוכל ללמוד. יכולנו אנחנו לבקש פרק זמן של שנה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אנחנו בדקנו את זה, והכנסת חוזרת מפגרה בסוף אוקטובר. 

 << דובר_המשך >> קרן גל-און לכנו: << דובר_המשך >>   

אז נבקש לאחר הפגרה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

ההסדר הזה, שהוא הסדר ראשוני וחדשני, יהיה כמעט לשנה?

 << דובר_המשך >> קרן גל-און לכנו: << דובר_המשך >>   

לעשרה חודשים. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

- - - מחליטה שהפעולות הצבאיות - - -

 << דובר_המשך >> קרן גל-און לכנו: << דובר_המשך >>   

אנחנו לא מתחבאים מאחורי זה, וזה נמצא בגוף החוק. חשוב לי לומר שתקיפה חמורה, חלק מתנאי הסף של ההגדרה של תקיפה חמורה, זה קשר לאירועי הלחימה. זה נמצא בגוף החוק. ואם אין אירועי לחימה, אנחנו לא יכולים להכריז על תקיפה חמורה. חמישה חודשים זה לא פרק זמן ריאלי מבחינתנו. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני רוצה לחזור למה שאמרתי. אני מבין מה שאת אומרת ואני מדבר ברמת הפרקטיקה, על סמך ניסיון מאוד ארוך שנים. אין לי בעיה, ואנחנו יכולים להחליט – יש צדק מסוים במה שאת אומרת – אם אתם אומרים לנו כבר מראש, שלא יהיו הארכות בצו, תנו לנו פרק זמן יותר ארוך. מכיוון שזה יהיה אבסורד, ואנחנו לא יכולים לדעת שאנחנו נאריך את זה עכשיו עד סוף השנה, לכן, אני אגיד שאני זורם איתך וניתן שבעה חודשים, עד סוף יולי. לא נותנים הארכה, נותנים שבעה חודשים. התוצאה של זה תהיה, ואת זה אני אומר על סמך ניסיון, שאתם תבואו לכאן – לא את אישית. הצעת חוק חדשה תובא לכנסת ברגע האחרון, אנחנו לא נספיק לחוקק אותה, ונישאר באוגוסט-ספטמבר-אוקטובר בלי יכולת של מערך הסייבר לעשות את הדברים שעל פי טענתכם אתם צריכים לעשות. 

 << דובר_המשך >> קרן גל-און לכנו: << דובר_המשך >>   

אז אני מבקשת שנגיע אליכם באוקטובר, לאחר תום הפגרה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, זה לא. ואחרי תום הפגרה אנחנו נחזור, וייקח לנו עוד חודש-חודשיים לחוקק. 

 << אורח >> ליאת גורפינקל: << אורח >>   

ההסדר הזה היה מאוד מאוד מדוד ומאוזן, וגם אם אנחנו מדייקים את האיזון, האיזון היה קיים. גם אנחנו היינו צנועים בבקשה שלנו. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

גם ההסדר בחוק המצלמות מדבר על הארכה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בחוק המצלמות באו לבקש שתי הארכות של שלושה חודשים, ונתנו אחת. אני חייב לומר לכם, כמי שהיה בכל הדיונים על חוק המצלמות ובכל הדיונים כאן, אלה שני עולמות שונים. הרבה יותר מורכב כאן. 

 << אורח >> ליאת גורפינקל: << אורח >>   

אנחנו יכולים לקבל הארכה בשלוש קריאות, אדוני היושב-ראש, אני רק אומרת שפרק הזמן יהיה יותר ארוך, ואנחנו נשמח להגיע לאחר הפגרה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, לא. זה לא יקרה. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

מה זה משנה אם תקבלי אותו בשלוש קריאות או בצו? הרי העבודה שלנו היא להביא לכם את התוצאה, אם תבואו בזמן. אם תביאו את זה בזמן, הוויכוח מיותר. אתם יודעים שלא תביאו את זה בזמן, ולכן אנחנו מתווכחים על זה היום. 

 << אורח >> ליאת גורפינקל: << אורח >>   

ההבדל הוא בחזרה לשלוש קריאות. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

אנחנו יודעים לעשות שלוש קריאות, אם תביאו את זה בזמן סביר שנוכל לדון בחוק. זה מה שאומר היושב-ראש. 

 << אורח >> ליאת גורפינקל: << אורח >>   

זה פרק זמן מאוד קצר, זה לא מאפשר את הניסיון. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אנחנו בדיון הפוך. אני מוכן לתת לכם שבעה חודשים, ואני מוכן אפילו להתערב איתך על כוס קפה כאן, במזנון הכנסת – הקפה לא רע – שהתוצאה תהיה שבאוגוסט, ספטמבר ואוקטובר תהיו בלי חוק. זה מה שאני אומר לכם. אתם רוצים? בבקשה. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

לכן אנחנו נבקש לאחר הפגרה, כדי שנוכל להגיע לשלוש קריאות.

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, זה לא. אנחנו לא יכולים להחליט עכשיו 11 חודשים קדימה. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

זה תהליך שיכול להתאים באמת - - -

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אני ממש לא מצליחה להבין. אם הולכים לפי ההסדר המקורי שאתם מציעים, אנחנו נמצאים בסוף יוני ואתם מגיעים עם צו. מה קורה כאשר מגיעים עם צו? קודם כול, כבר יהיו לנו דיווחים, ונוכל להפיק לקחים. אולי צריך להפוך את ההסדר ליותר מידתי, וזה לא מאפשר לוועדה לעשות את זה. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

לכן, היועצת המשפטית, אני לא מתנגדת לתהליך של שלוש קריאות. אני מקבלת את מה שאת אומרת. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

האופציה השנייה, מכיוון שאת מאריכה בצו או שאת לא מאריכה. הניסיון מלמד שהכנסת רוצה לפעמים להכניס שינויים. זה לא מאפשר את התהליך. לכן, אני אומרת שצריך למצוא מנגנון. ראשית, אני חושבת שהארכת חוק בצו לא נכונה. היא מחלישה את הכנסת והיא גם פוגעת בכל ההסדרים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

כאן זה אפילו לא עניין שמחליש את הכנסת. ברור שיהיו דברים שנצטרך לתקן. אולי מערך הסייבר יגידו: לא נתתם לנו מספיק סמכויות, זה לא עובד. זה לא רק עניין של מאבק בין הרשויות. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

אני יכולה לקבל את עמדת הכנסת כפי שהציגה היועצת המשפטית. אני רק מדברת על פרק הזמן הראשוני. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

תשמעי מה שאת בעצם אומרת: ביקשנו חצי שנה, והארכה בצו. עכשיו אני מבקשת לקבל את זה אפילו בלי הארכה בצו לכל התקופה. 

 << דובר >> דרור גרנית: << דובר >>   

תרשה לי, אדוני, ברשותך. באנו עם תפיסה מאוד מאוד נרטיבית. אגב, חשבנו מחדש על סעיף התוקף אחרי חוק המצלמות. אמרנו שאנחנו מבקשים את כל ההוראה הזאת לתכלית ולפיסה של חרבות ברזל, אגב הלחימה, אגב סיטואציית סייבר חמורה במיוחד. לכן אנחנו מבקשים חצי שנה. היות ואף אחד מיושבי השולחן הזה לא יודע כמה זמן תימשך הלחימה, אנחנו מבקשים מנגנון גמישות, שאגב התמשכות הלחימה בחרבות ברזל, נוכל להאריך. גם בזה, לא אמרנו עד אין קץ. אם, חלילה וחס, המלחמה תימשך עוד שנתיים, אנחנו לא שם. אמרנו שהמקסימום שאנחנו מבקשים שנוכל לעשות זה, זה שנה עם הארכות. אנחנו נבוא בכל פעם מפאת כבודה של הכנסת וכדי לתת לה את הכוח לשנות. 

אמרתי בחוק המצלמות ואני חוזר על הטענה הזאת כי אני חושב שהיא נכונה. היה ותחשוב הממשלה, או לחילופין היה ויחשבו חברי הוועדה לאורך הדרך שצריך לתקן את החקיקה עצמה, הסמכות ליזום חקיקה ממשלתית - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

חברים, ניסיתי להיות מעשי ומאוד ניסיתי לעזור, אבל לא רוצים – אני לא כופה. 

 << אורח >> רפי סלמה: << אורח >>   

הבוקר נדונה פה בוועדה שכנה עניין אחר שקשור לחרבות ברזל. שם הוועדה נתנה שנה. אני לא אומר שאנחנו רוצים שנה, אבל אני חושב שהמנגנון שניתן פה הוא מנגנון מאוזן. 

 << קריאה >> ינון אזולאי (ש"ס): << קריאה >>   

אתה רוצה שנה, אבל אתה מתבייש לבקש את זה. 

 << דובר_המשך >> רפי סלמה: << דובר_המשך >>   

ביקשנו שנה, והממשלה החליטה - - -

 << אורח >> ליאת גורפינקל: << אורח >>   

תקשיב, ינון, חשוב מאוד לומר שבגוף החוק יש הפניה לאירועי הלחימה. אנחנו לא מתחבאים מאחורי זה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

גם אתמול גילינו שאין מנגנון סיום מצב הלחימה. לא מתכנס קבינט מדיני-ביטחוני, יוצא מזכיר הממשלה ומודיע לציבור: הסתיימה המלחמה. אין מצב כזה. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

נכון, נכון, ועדיין, ככל שיכולנו לפרט את זה בחקיקה הראשית בגוף החוק, כדי שאי-אפשר יהיה - - - את החוק. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

עוד משפט אחד, ברשותך, אדוני. מאחר והגענו עד לפה ואנחנו בסעיף האחרון, כמו שאנחנו אומרים, המהות של החקיקה, כמו שהסבירה ליאת, היא שממילא אי-אפשר להפעיל אותה אילולא התקיפה היא אפרופו חרבות ברזל. לכן, שאלת התוקף במידה מסוימת טכנית. אם מקצרים את הזמן מדיי ואנחנו מגיעים לפגרה, אנחנו מבקשים לחזור בכל זאת למנגנון של צו, שאושר פה בוועדה בחקיקה אחרת, כדי שנוכל לבוא עם צו, עם ביקורת פרלמנטרית מעבר לפגרה, ואז לתקן את החוק שצריך. כשיהיה לנו מספיק ניסיון של 6 פלוס 3. אחרת, בחמישה חודשים אף אחד מאיתנו אין לו ניסיון. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, לא, זה לא יקרה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

חמישה חודשים זה הרבה מאוד זמן בהסדר הזה. 
 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

שישה חודשים. אני חושב שאתם מכניסים את עצמכם לסד זמנים – גם אותנו במידה מסוימת, אבל לא צריך לרחם עלינו. בסדר, אנחנו ניתן שישה חודשים, עם אפשרות להאריך את זה בחקיקה חדשה. אני אומר, תזדרזו. במידה ותרצו להאריך את החוק, תביאו אותו לא יומיים לפני שיפוג תוקף החוק הנוכחי. לגבי צו, כפי שאמרתי, אני מכיר את הטכניקה. מירי, היועצת המשפטית דיברה על זה באופן עקרוני, שזה מחליש את הכנסת. דיברתי גם על הדיון הספציפי הזה. כמו שאמרתי, בחוק המצלמות, כשהיו היבטים מסוימים אבל אפילו ארגונים, שבדרך כלל טוענים טיעונים חזקים לגבי פגיעה בפרטיות, לא טענו משהו, אמרתי: בסדר. 

 << אורח >> ליאת גורפינקל: << אורח >>   

אבל כאן יש מנגנון הגנה בילט-אין בחוק. זה על דרך קל וחומר לחוק המצלמות כי יש סעיף שאומר שההפעלה היא רק - - -

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זאת הייתה טעות בחוק המצלמות.

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

מותר לי לגלות לכם משהו? התכתבה איתי מישהי שדחתה את החתונה שלה וקבעה תאריך חדש. היא אמרה לי: אולי אתה היחידי שבאמת יוכל לומר לי אם להשאיר את התאריך או לא להשאיר את התאריך. אמרתי לה: לא רק אני, ואני לא מתחמק, אבל אף אחד בעולם לא יוכל לומר לך. אותו הדבר לגבי הלחימה. יכול להיות שבעוד שבועיים כל הסיפור יהיה מיותר, ויכול להיות שגם בעוד שנתיים הוא לא יהיה מיותר. לכן, זה פרק זמן סביר. הוא לא מתכתב טוב עם לוחות הזמנים של הכנסת, אבל אם אתם מבקשים, ניתן חצי שנה. כמו שאמרתי, אם תרצו להביא חקיקה חדשה ויהיה בה צורך, בהחלט נשתדל מאוד עד לפגרה לגמור אותה. 

 << דובר >> מ': << דובר >>   

אדוני, רק להוסיף דבר קטן, שבסוף, אנחנו, הממשלה, כשאנחנו מתייחסים למשך הלחימה או להארכה או לתקופה, מן הסתם העמדה צריכה להיות עמדה זהה וקוהרנטית. לכן, כשאנחנו מדברים על חוק המצלמות, זה לומר מה שאמרנו – עמדת הממשלה שהייתה בחוק המצלמות, היא העמדה כרגע. לכן, אנחנו מבקשים להסתכל על זה באותו אופן לגבי משך התקופה. כמובן, אף אחד לא יודע עד מתי הלחימה תימשך. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

מאה אחוז, רק שלגבי מהות הדיון, תסכימי איתי שאלה שני עולמות שונים. לא שמעתי שבחוק המצלמות יש מצב שיבואו חברות ויטענו שהן קורסות ופלשו להן ללב הפועם של החברה, כן נגרם נזק ולא נגרם נזק. שם זה היה משהו שונה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אין ספק שמידתיות ההסדר נשענת גם על דרך הארכת ההסדר. אין ספק שבמקרה הנוכחי, אופן ההארכה, דווקא בהצעת חוק, תורמת למידתיות. 

 << אורח >> ליאת גורפינקל: << אורח >>   

אני לגמרי מקבלת את עמדתך, היועצת המשפטית, לגבי ההארכה, ואני יכולה להבין מאיפה היא מגיעה. אני גם יכולה להסתכל מהצד שלנו, שזה הסדר שהוא ראשוני והיינו רוצים ללמוד, שתהיה אפשרות לתקן ולדייק, כי כל הזמן דיברנו על האיזונים. אני מדברת על משך התקופה שהוא קצר. ככל שהולכים למתווה הזה, של שלוש קריאות ואותו שיח, אנחנו רוצים שמשך התקופה יתארך, כדי שגם אנחנו נוכל ללמוד, נוכל להביא את התובנות ולצקת אותן בתוך ההסדר. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

חצי שנה זה מספיק זמן ללמוד. יכול להיות שתגיעו לכלל מסקנה שאין צורך וכולם משתפים פעולה במצב הנוכחי, ואז הדיון מתייתר. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

יכול להיות. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אבל אם תגיעו למסקנה שצריך את החוק, אבל יש כמה דברים שלא עובדים מבחינתכם או מבחינתם, תבואו ואנחנו נחוקק אותו. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

אני מקבלת את ההסדר, ואני רק מדברת על פרק הזמן. אני סבורה שחמישה חודשים בסך הכול כדי שנגיע באמת לא בדקה התשעים, זה לא פרק זמן מספיק. לכן, אני מבקשת להאריך את פרק הזמן. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני אומר לך עוד פעם, תשכנעי אותי עוד דקה, במיוחד שאני רואה שחבר הכנסת אזולאי הלך אז את צריכה לשכנע רק אותי. ניתן שבעה חודשים, אבל אני אומר לך מה יקרה – תבואו ימים ספורים לפני היציאה לפגרה, ואנחנו נגיד שפיזית לא יכולים. פיזית לא יכולים. שישי-שבת לא נשב, ופיזית לא יכולים. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

לכן ביקשתי לאחר הפגרה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זה כבר ממש אבסורד. זה ממש אבסורד. רוצים שניתן עכשיו גם את החצי שנה וגם את ההארכות במכה אחת. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

אנחנו נוכל לבקש לחזור להסדר המקורי. 

 << דובר >> דרור גרנית: << דובר >>   

זה עוד יתרון במנגנון הצו. מנגנון הצו, יכולה הוועדה לאשר אותו ואנחנו לא תלויים במליאה, והוועדה הזאת יודעת להתכנס גם בעת הפגרה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא צריך את מנגנון הצו. הוא לא יהיה, דרור. נו, אתה מבין מצוין. אתה מבין על מה אני מדבר. אלה שני דיונים שונים לגמרי. 

 << אורח >> ליאור פרנקל: << אורח >>   

אנחנו חושבים שאם בחמישה חודשים לא קרו מספיק אירועים כאלה ולמדנו, אין הצדקה. ואם יש, אנחנו תוך כדי לחימה. אנחנו מדברים לא על מצב רגיל אלא תוך כדי לחימה, ואמורים להיות הרבה אירועים כאלה. זה זמן מספיק, חצי שנה, מעל הראש. 

 << אורח >> ליאת גורפינקל: << אורח >>   

אנחנו כנראה חלוקים כאן. 

 << אורח >> ליאור פרנקל: << אורח >>   

אנחנו בטוח חלוקים. 

 << אורח >> רפי סלמה: << אורח >>   

אני מזכיר לאדוני שבמקור ביקשנו שישה חודשים פלוס שתי הארכות של שלושה חודשים, והממשלה בהגינותה הגיעה לכאן כבר עם ההצעה שאושרה שם. זאת אומרת, יכולנו להגיע לכאן עם הצעה של שישה חודשים פלוס שתי הארכות של שלושה חודשים, כמו שביקשנו במקור. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני לא מפקפק לרגע בהגינות הממשלה. אני רק רוצה לעדכן אותך שבדיון המקדים שהיה אצלי בחדר, אמרתי שלא יהיו שתי הארכות, תשכחו מזה כבר עכשיו. אני מודה שלא ידעתי עד כמה באמת המהות של החוק לא מתאימה להארכה בצו, כי את הכול אנחנו נצטרך ללמוד תוך כדי תנועה. לכן, הגעתי לכלל מסקנה שהצו לא מתאים. אני אשאיר לכם להחליט – אתם רוצים שישה חודשים או שבעה חודשים? אני אתן או זה או זה, מה שאתם תחליטו. אני מזהיר אתכם שבסוף תסתבכו עם ההארכה אם תיקחו שבעה חודשים, אבל זה עניין שלכם. 

 << דובר >> דרור גרנית: << דובר >>   

בכל מקרה אנחנו נסתבך עם ההארכה, ולכן אנחנו חושבים ששבעה חודשים עדיף. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

שבעה חודשים מגביל אותנו ל-31 ביולי, כמו שהסביר לכם היושב-ראש. זה יהיה סוף מושב - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

מטורף. זה יהיה משהו מטורף. 

 << דובר >> דרור גרנית: << דובר >>   

אדוני היושב-ראש, אנחנו בכל מקרה ניקלע לאותה סיטואציה. ונניח שאנחנו קובעים שישה חודשים ומגיעים ב-1 במאי, לא שזה ריאלי בעיניי - - 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

ואז יש לנו זמן. 

 << דובר_המשך >> דרור גרנית: << דובר_המשך >>   

- - עדיין ניקלע לאותה - - -

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

לא. אתה לא מגיע לסוף מושב. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אתה מגיע אחרי פסח, כולם רעננים, כולם רוצים לחוקק. 

 << דובר >> מ': << דובר >>   

רק הבעיה היא שזה פרק זמן קצר מדיי כדי להפיק תובנות אמיתיות. 

 << אורח >> ליאת גורפינקל: << אורח >>   

בדיוק. פרק הזמן קצר מאוד. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

כמו שאמרתי, גם אם היועצת המשפטית תכעס עליי, אבל אני אתם לכם להחליט ואני מזהיר אתכם. אני הזהרתי, אני את שלי עשיתי. בבקשה. 

 << דובר >> עידו בן יצחק: << דובר >>   

12. הוראת מעבר

הוראות שניתנו ופעולות שבוצעו לפי תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד–2023, לפני יום תחילתו של חוק זה, יראו אותן כאילו נעשו לפי חוק זה והוראותיו יחולו עליהן. 

תוספת (סעיף 3(3)) תצהיר ספק על אספקת שירותי אחסון או שירותים דיגיטליים תוך יישום הנחיות אבטחה בהתאם לתקן  NIST- 800-53 Security and Privacy Controls for Information Systems and organizations" – אנחנו נוסיף לוכסן לצורך השלמה אם יהיו תקנים נוספים "לפי חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה– חרבות ברזל(, התשפ"ד–2023.

אני ,................................. נושא/ת ת"ז מס' ,................................. נציג/ת חברת .................... )להלן – הספק) משמש/ת בתפקיד ,...................... כתובת ,................................................. דוא"ל ,.............................................. מספר טלפון ,..................................... מספר טלפון נוסף ,..................................... בהמשך לפניית העובד המוסמך אל הספק מיום ............................... בנוגע לתקיפת סייבר חמורה בהתאם לחוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבות ברזל), התשפ"ד–2023 (להלן – החוק), לאחר שהוזהרתי כי עליי לומר את האמת וכי אהיה צפוי/ה לעונשים הקבועים בחוק אם לא אעשה כן, במסגרת תפקידי מצהיר/ה בזה בכתב כלהלן: 1.  הספק מספק ללקוחותיו שירותי אחסון או שירותים דיגיטליים, כהגדרתם בחוק, או את השירותים כאמור שהם מושאי התקיפה תוך יישום הנחיות אבטחה בהתאם לתקןNIST- 800-53 Security and Privacy Controls for Information Systems and organizations בגרסתו העדכנית ותוך ניהול הסיכונים הרלוונטיים. 2. אם יחול שינוי בנוגע לאמור בתצהיר זה, במהלך התקופה שעד לסיום הטיפול בתקיפת הסייבר החמורה שבגינה נעשתה פנייה לספק, הספק יעדכן את העובד המוסמך בכך בלא שיהוי ובתוך זמן סביר. אני מצהיר/ה כי השם שלעיל הוא שמי, והחתימה שלמטה היא חתימתי, וכי תוכן תצהירי זה אמת.

 << אורח >> ליאור פרנקל: << אורח >>   

יש לנו הערה על סעיף 1. שוב, זה תצהיר. הספק מספק שירותי אחסון או שירותים דיגיטליים. הספק לא חייב להגדיר את עצמו בצורה הזאת. אתם פניתם לספק לפי ההגדרות שלכם, ומה שחשוב לכם זה שהוא עומד בתקן, ולא האם הוא קורא לעצמו מספק ללקוחותיו שירותי זה. 

 << דובר >> עידו בן יצחק: << דובר >>   

ההגדרה היא לא של הספק אלא של השירותים הדיגיטליים או של שירותי האחסון. 

 << אורח >> ליאור פרנקל: << אורח >>   

הספק מספק ללקוחותיו שירותי אחסון או שירותים דיגיטליים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא כהגדרתו בחוק, כהגדרתם בחוק. 

 << אורח >> ליאת גורפינקל: << אורח >>   

ביחס לשירותים, כי גם ההצהרה היא ביחס לשירותים. אם יש לו שירותים נוספים, זה לא רלוונטי. 

 << אורח >> ליאור פרנקל: << אורח >>   

אני חושב שתהיה לכם בעיה להוציא הצהרות כאלה, ויתחילו לעשות משא ומתן. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

חידוד אחד שהוא אומנם טכני, אבל הוא חשוב. ההגדרה של ספק כאמור מגדירה שני סוגים של ספקים: 1. הספק שמספק באופן ישיר את שירותי האחסון או השירותים הדיגיטליים. 2. ספק שהוא ספק נלווה. הוא נותן שירותי תחזוקה, בקרה או ניהול לשירותים העיקריים. הנוסח הזה לא מכסה את הספק השני. הספק השני יוכל לתת את התצהיר הזה על עמידה של הספק העיקרי ב-NIST או בתקן אחר. חייבים לתת לו אפשרות להצהיר שהשירותים המהותיים עומדים בתקן NIST. אין דרך אחרת להגן גם על הספק השני. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

מה אתם אומרים?

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

זה תיקון נוסח קטן. אפשר לעשות או שני נוסחים חלופיים לסעיף: הספק מספק ללקוחותיו שירותי אחסון, או לחלופין, הספק נותן לספקי שירותי אחסון או שירותים דיגיטליים שירותי תחזוקה, ניהול או בקרה. 

 << אורח >> ליאת גורפינקל: << אורח >>   

זאת אומרת שספק התחזוקה יבקש מנותן השירותים הדיגיטליים להצהיר בעצמו?

 << אורח >> עמרי רחום טוויג: << אורח >>   

נכון. יצהיר מטעמו, יקבל ממנו את - - - זה עניין טכני, אבל בלי לפתור אותו, הספקים לפי החלופה השנייה לא יוכלו ליהנות מההגנה הזאת. הצעתי נוסח לייעוץ המשפטי של הוועדה בסוף הדיון הקודם ואני יכול לשלוף אותו. אולי זה יכול לעזור. הצעתי שאחרי המילים: כהגדרתם בחוק, או את השירותים כאמור שהם מושאי התקיפה, או מספק שירותי תחזוקה, ניהול או בקרה לספק כאמור, ואז מחיקת המילים תוך יישום. במקומן ייכתב: ועל שירותים כאמור מיושמות הנחיות אבטחת מידע בהתאם וכולי. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

הוא מדבר על הספק של הספק. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אתה אומר שאם הוא נותן שירותי תחזוקה, הוא צריך לאשר את השירותים העיקריים. הוא יכול לאשר?

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

אם הוא מקבל הצהרה מספקת מהספק שלו הוא נותן את שירותי התחזוקה, אז בוודאי, הוא יכול להצהיר את זה. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

אז הספק השני צריך להצהיר. איך הוא יכול להצהיר בשם ספק אחר?

 << אורח >> עמרי רחום טוויג: << אורח >>   

אבל אתם לא פונים בהכרח לספק השני. אני לא מצליח להבין מה הבעיה. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

לא, הוא לא יכול להצהיר על שירותים של ספק אחר. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

אני מתחזק שירותי אחסון של מישהו אחר. אני מצהיר שהשירותים האלה, מיושם עליהם אותו תקן. הפנייה שלכם לא תמיד תהיה לספק העיקרי. טרחתם להגדיר ספק גם כספק התחזוקה, נכון? אחרת, למה צריך אותו. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

זה ספק לפי הגדרתו בחוק. זה תמיד ספק. זה התצהיר. אין אפשרות להצהיר על מישהו אחר. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

אבל כתוב פה שהספק מספק ללקוחותיו שירותי אחסון. אני, ספק התחזוקה, לא מספק ללקוחותיי שירותי אחסון. אני מספק ללקוח ספציפי שירותי תחזוקה. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

ואז אתה משרשר את האחריות לתצהיר. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

מה הבעיה עם זה?

 << אורח >> קרן גל-און לכנו: << אורח >>   

או את השירותים שהם מושא התקיפה. יש פה המשך. אם הוא מספק את השירותים מושא התקיפה, לפי התקן. 

 << דובר_המשך >> עמרי רחום טוויג: << דובר_המשך >>   

לא, הוא לא מספק אותם. הוא מתחזק אותם. סליחה, ההגדרה השנייה של ספק היא לא הגדרה של שירותים דיגיטליים. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

בפסקה 1, או שהוא מספק שירותי אחסון או שירותים דיגיטליים. מה שצריך להוסיף זה את שירותי האחזקה, אבל אתה לא יכול להצהיר שמישהו אחר, שאתה נותן לו את השירות, הוא פועל בהתאם לתקינה מסוימת. הוא יכול להצהיר רק על עצמו. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

בסדר, שיצהיר על עצמו. לא אכפת לי, אבל שתהיה לו אפשרות להצהיר משהו שנותן לו את ההגנה הרלוונטית. בחוק אין הגדרה של שירותים מושאי התקיפה. אין כזאת הגדרה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אנחנו מוסיפים שירותי תחזוקה. 

 << קריאה >> קריאה: << קריאה >>   

הוא נותן שירותי תחזוקה והוא עצמו עומד בתקן. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

עומד בתקן, בשים לב לשירותים הרלוונטיים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

צריך להוסיף את ההגדרה של שירותי תחזוקה או לא?

 << אורח >> ליאור פרנקל: << אורח >>   

האם הנוסח הזה, כי הוא בחוק, אפשר לשנות בו פסיק? 

 << אורח >> עמרי רחום טוויג: << אורח >>   

לא. 

 << אורח >> ליאור פרנקל: << אורח >>   

אז אולי תכתבו או נוסח דומה. הנוסח הזה יש איתו בעיות. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

לא, לא, לא. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

למה נוסח התצהיר צריך להיות בחוק? 

 << אורח >> אסנת הראל וינשטיין: << אורח >>   

לנו זה חשוב שהוא יהיה בחוק, כי גם ככה דובר רבות על כך שהתקינה הזאת היא ללא התעדה, ולכן, זאת החלופה היחידה שאפשר לעגן את התצהיר. 

 << אורח >> ליאור פרנקל: << אורח >>   

אפשר תצהיר מאושר על ידי עורך דין. אפשר הרבה דברים. הנוסח לא חייב להיות בחוק. 

 << אורח >> אסנת הראל וינשטיין: << אורח >>   

הנוסח מבחינתנו קריטי. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני דווקא מקבל את זה שאם הגופים באים עם נוסח, כמו שאנחנו ממלאים במשרד הפנים טופס סטנדרטי לכל דבר ועניין, או בביטוח לאומי, ולא מבקשים לכל אחד נוסח משלנו. זה מקובל עליי. 

 << אורח >> ליאת גורפינקל: << אורח >>   

לכן רציתי להעיר לנוסח שהוקרא. נאמר על ידי הייעוץ המשפטי או תקן אחר בגוף הנוסח של התצהיר הזה. אנחנו מבקשים שבתצהיר הזה לא יופנה לתקן אחר, אלא שבסעיף שאנחנו מאפשרים להוסיף תקינה, כבר נוסיף: או וייקבע תצהיר מתאים, כי התצהיר נגזר מהתקינה. 

 << דובר >> עידו בן יצחק: << דובר >>   

ברגע שעברנו ממשטר של תוספת להחלטה של הדרג המקצועי, אנחנו לא יכולים להוסיף עוד תצהירים בתוספת, כי הדרג המקצועי לא יכול להוסיף תצהירים בתוספת. 

 << דובר >> דרור גרנית: << דובר >>   

איך אנחנו בונים את זה? בחלק א' בתוספת תקן אחר שקבע הזה?

 << דובר >> עידו בן יצחק: << דובר >>   

כן. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זה בסדר, לפי הנוסח. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

לנושא של התצהיר, צריך להוסיף לתצהיר את פסקה 2 להגדרת ספק. זאת אומרת, שהוא נותן או שירותי תחזוקה, ניהול או בקרה, או שירותי אחסון. 

 << אורח >> ליאת גורפינקל: << אורח >>   

כל עוד ההצהרה היא של אותו ספק. 

 << אורח >> ליאור פרנקל: << אורח >>   

אין בעיה, זה לא מה שמטריד. לפחות לתת לו אפשרות להיכנס לקטגוריה. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

אדוני היושב-ראש, לגבי התצהיר בחוק, אולי יש, אבל אלה ממש מקרים חריגים שמביאים את נוסח התצהיר בחוק. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זה בתוספת, זה לא בגוף החוק. 

 << דובר_המשך >> ינון אזולאי (ש"ס): << דובר_המשך >>   

אבל זה מחייב והם לא יכולים לשנות כלום. אם מחר מתעוררת בעיה, הם צריכים לשנות את החקיקה בגלל זה. אם הגופים קבעו שזה התצהיר שלהם, הם מפרסמים אותו ולא יכולים לזוז. הגופים המסחריים לא יכולים לזוז מזה ימינה או שמאלה. אני לא מכיר דבר כזה. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

בהתאם לדברים של חבר הכנסת אזולאי, אפשר לרשום בהתאם לתצהיר שהתפרסם באתר מערך הסייבר. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

אף אחד לא משנה לכם את זה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

על פי נוסח התצהיר שיפרסם מערך הסייבר. 

 << דובר_המשך >> ינון אזולאי (ש"ס): << דובר_המשך >>   

מחר תצטרכו לעשות איזשהו שינוי בשבילכם, אם פתאום יתעורר משהו. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

תצהיר לתקן הזה? 

 << אורח >> ליאור פרנקל: << אורח >>   

תפרסמו אותו, אבל למה שיהיה בתוך החוק. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה גם נותן מענה למה שאמר ליאור. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

אנחנו מסבירים שזאת תקינה ללא התעדה. זה מה שדובר פה בישיבה הקודמת. 

 << אורח >> ליאור פרנקל: << אורח >>   

אנחנו לא אומרים שכל אחד יצהיר לפי הנוסח שלו. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

זה צריך להיות חלק מהתוספת. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

אם את מפרסמת תצהיר שזה שלכם - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

סליחה, את אומרת שבמצב הנוכחי, כפי שאתם מציעים, מי שאין לו תיעוד מתאים, עבר על החוק. ואם זה סתם טופס שלכם, אין עליו שום אחריות. זה מה שאת אומרת? מה ההבדל? אמרת שאין שום התעדה לעניין של התקינה, ואני מנסה להבין – מה ההבדל אם זה נוסח התצהיר שאתם הצעתם, או משרד המשפטים הציע, לצורך העניין, לבין משהו שנמצא בגוף החוק? זה מעלה את רף האחריות של מי שחתם על התצהיר אם זה בחוק? מה ההבדל?

 << אורח >> ליאור פרנקל: << אורח >>   

לא. ואם בארגון אין אדם אחד עם זכות חתימה אלא שניים, איך הם ימלאו את זה?

 << אורח >> קרן גל-און לכנו: << אורח >>   

כמו כל תצהיר שיודעים להוסיף - - -

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

כתבתם פה בלי עוד אחד. אם את נצמדת לחוק, את לא יכולה להוסיף פה פסיק. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

בנוסח שיפרסם מערך הסייבר באתר שלו. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני חושב שיש ממש בהערה הזאת. באמת, מחר תגלו שיש פה איזו טעות דפוס, ותצטרכו להביא חקיקה בשלוש קריאות. 

 << דובר >> דרור גרנית: << דובר >>   

בסעיף 26 לפקודת הפרשנות - - -

 << דובר >> עידו בן יצחק: << דובר >>   

למה זה כל כך חשוב שזה יהיה בחוק, אם אתם קובעים?

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

אתם קובעים את הנוסח ואתם מפרסמים אותו. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

כל המשרדים מפרסמים תצהיר באתר שלהם. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני אפילו לא חשבתי, ואמרתי שכמו שמשרד הפנים או ביטוח לאומי מפרסמים. גם מי שרוצה להירשם כחברה ממלא המון טפסים. 

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

והם לא בחוק. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני מציע שתשקלו את זה. 

 << אורח >> עמרי רחום טוויג: << אורח >>   

אם נוסח התצהיר לא יהיה בתוספת, לפחות בסעיף 3(3) יהיה צורך להוסיף שוב את אותו דבר שהיה חסר. סעיף 3(3) מדבר על מסירה לעובד המוסמך תצהיר בנוסח שבתוספת. עדיין יש סיפא שאומרת: בדבר אספקת שירותי אחסון או השירותים הדיגיטליים ללקוחותיו, או מתן שירותי תחזוקה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

ברור, ברור. חברים, הנושא האחרון שנשאר לנו לא פתור מכל הדיונים, אם אני מבין נכון, הוא הנושא של ענישה, שדיברה עליו היועצת המשפטית של הוועדה. עמדתכם הסופית שלא ניתנת לשינוי, בבקשה. דרור, יש לכם התנגדות עקרונית? אתה רואה בעיה משפטית?

 << דובר >> דרור גרנית: << דובר >>   

אין לנו התנגדות עקרונית. אנחנו פשוט חושבים שזה לא דרוש בתוך המארג. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

קשה לך לדבר, אז אני אנסה לדבר במקומך. אתה אומר שאתם תוכלו לחיות גם בלי זה, אבל אתם לא תגידו: אנחנו מושכים את הצעת החוק, גם אם זה ייכלל בהצעת החוק. 

 << דובר >> אפרת נחלון: << דובר >>   

אפשר רק לוודא האם הכוונה היא סנקציה לגבי מי שמסר מידע שהתקבל מספק? לזה הכוונה?
 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

מידע שהתקבל במסגרת תפקידו. 

 << דובר_המשך >> אפרת נחלון: << דובר_המשך >>   

מידע שהתקבל מספק או מידע שהתקבל, נקודה?

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

למה רק מספק? הוא מטפל באירוע סייבר חמור. זה קשור לאירוע סייבר חמור, הגיע אליו מידע והוא לא אמור להשתמש בו. הוא לא אמור בכלל לפרסם - - -

 << אורח >> עמית יוסוב עמיר: << אורח >>   

גברתי היועצת המשפטית, אנחנו ניסחנו כך את סעיף הסודיות. אני מציע שככל שאתם מחליטים לקבוע סעיף עונשין, שהוא ילך אחרי סעיף הסודיות. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה מה שאנחנו עושים. 

 << דובר_המשך >> עמית יוסוב עמיר: << דובר_המשך >>   

מידע שהתקבל מספק. המטרה היא לא להחיל את חובת הסודיות על הספקים עצמם. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה לא מספק. מי שהגיע אליו מידע לפי חוק זה. 

 << דובר >> אפרת נחלון: << דובר >>   

אבל זה גם ספק שפנה אליו עובד מוסמך, זה מידע שהתקבל לפי חוק זה. ופה אנחנו לא מתכוונים שתהיה סנקציה. הספק יכול לעשות דברים עם המידע הזה. לכן, סעיף 6 להצעה נוסח כ"מידע שהתקבל מספק". 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אפשר, כן. בסדר, נקבל את זה. 

 << דובר >> מ': << דובר >>   

אני אגיד שגם עמדתנו היא שאנחנו מתנגדים לקבוע סעיף עונשין. יש ערך לחוק הכללי שקיים. יש סעיפים גם עם עוולות נזיקיות וגם עונשין בחוק הגנת הפרטיות. ספציפית לשירות יש גם את סעיף 19, שמתייחס לשימוש לא נכון במידע שהגיע. לכן, הדבר הזה, בעינינו, מיותר לחוק הזה. כולנו מבינים את החשיבות ואת הרגישות, גם בלי שיתווסף סעיף ספציפי לחקיקה הזאת. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

הבנתי. כל מה שאני שומע שאמרו נציגי משרד המשפטים, השירות, מערך הסייבר, שאפשר להסתדר גם בלי זה, אפשר לחיות גם בלי זה. אבל זה לא משהו שיפסול את הצעת החוק, ולא מעלה קשיים משפטיים או משהו כזה. 

 << דובר >> דרור גרנית: << דובר >>   

לא שזה יפסול, אבל הנקודה היא שהיה לנו דיון בשאלות מה היקף הסודיות, כמה רחבה הסודיות, מה כן חל על השם הנתקף, מה לא חל על השם הנתקף. יש מידה של שיקול דעת במסירה או באי-מסירתו של נתקף. להתחיל לקבע את הדבר הזה כיסוד עובדתי של עבירה פלילית - - -
 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זה לא עניין של יסוד עובדתי. תיארת את זה, ואפשר לראות את זה הפוך. העובד שמודע ללשון החוק, ייזהר פעמיים לפני שהוא יפטפט. אני כבר לא מעלה על הדעת תסריטים גרועים יותר של שימוש באותו מידע. 

 << דובר_המשך >> דרור גרנית: << דובר_המשך >>   

בכל הכבוד, אנחנו מדברים על עובדים שהם עובדים בגופים מהיותר מסווגים במדינת ישראל. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני מבין, אני מבין. 

 << דובר >> מ': << דובר >>   

ומחזיקים מידע רגיש מזה כל הזמן. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אבל היו דברים מעולם. כפי שאמרתי, בתחום הזה אנחנו לא יודעים מה הוא שואב מתוך המחשב של איזושהי חברה שנותנת שירותים. אני חוזר שוב לאותה דוגמה – הבנקים. בפני עיוור לא תשים מכשול. 

 << דובר >> דרור גרנית: << דובר >>   

שוב אני אומר, ברור שהמקרים שיהיו לנו מאוד חדים וברורים, שזה ניצול לרעה. יהיה לנו את 117, יהיה לנו את חוק הפרטיות. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

דרור, היא הנותנת. כאשר יהיו לך המקרים האלה, יש הוראה בחקיקה וזה גם מוסיף הרתעה. זה יותר מאזן את ההסדר.

 << דובר_המשך >> דרור גרנית: << דובר_המשך >>   

במקרים שיהיו מובהקים, שעובד מוסמך יעשה שימוש לרעה, כמו הדוגמה שנתן היושב-ראש, עם מספרי כרטיסי האשראי שנשאבו, ברור לנו שזה יענה על שורה של עבירות בחוק העונשין. במקרה שהוא יעשה שימוש במידע פרטי, ברור שיהיה לנו את חוק הפרטיות. אבל יהיו מקרים שאנחנו עשויים למצוא את עצמנו עם חוסר ודאות, למשל, בדיון על השם הנתקף. האם כן או לא להעביר אותו – זה סביר או לא סביר? מידתי או לא מידתי בנסיבותיו של המקרה המסוים לפלוני או לאלמוני, בכלל לציבור או לא? אנחנו נגיע למקום מאוד מאוד מורכב לאכוף בפלילים. זה מצד אחד, כאשר מנגד, קהל היעד המדובר של העבירה הזאת, הם אנשים שה-essence הארגוני שלהם זה להיות עובדים בגופים הכי מסווגים שיש. 

 << אורח >> ליאור פרנקל: << אורח >>   

האירועים האלה קרו כבר בעבר. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

נתת עכשיו טיעונים, אני חייב לומר, דווקא למה כן לכלול את זה. כלומר, שום דבר לא אוטומטי, ומי כמוך יודע. יש חקירות ובתי משפט, וזה לא שעובד שמים עליו אזיקים ומייד הוא הולך לשלוש שנות מאסר. כמו שאמרת, יש פה לקונות מסוימות שיכולות להיווצר. זה לא מובהק לכיוון של שימוש בכרטיסי אשראי; זה לא מובהק לכיוון של פגיעה בפרטיות, אבל זה משהו שממש לא ראוי, וכולנו מבינים שזה לא ראוי. 

 << דובר >> דרור גרנית: << דובר >>   

לא, להפך. לא הסברתי את עצמי נכון. אמרתי שיש מקרים שיהיו מובהקים, כמו פגיעה בפרטיות, כמו שימוש לרעה בכרטיסי אשראי. אלה מקרים מובהקים, ואז בקלות רבה הם ייכנסו לתוך חוק העונשין. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זה ברור. 

 << דובר_המשך >> דרור גרנית: << דובר_המשך >>   

הבעיה שלנו תהיה באותם מקומות, למשל כשדיברו על שם הנתקף – האם ניתן או לא ניתן להעביר את שם הנתקף לגורמים מסוימים, ללקוחות מסוימים, לכלל הציבור, לרשויות?

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

כבר טיפלנו בזה, אל תלך לשם. אם יסתבר שלבן דוד של אותו עובד יש חברה מתחרה עם אותו נתקף, והוא עשה שימוש במידע – הוא אפילו לא הרוויח מזה, אבל הוא עזר לבן דוד ואמר: תדע שזה שכל הזמן לוקח ממך משרדים, נתקף עכשיו. 

 << דובר_המשך >> דרור גרנית: << דובר_המשך >>   

יהיה לנו מרמה והפרת אמונים. יהיו לנו סעיפים אחרים בחוק. זאת לא העבירה המתאימה בכלל. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

מבחינתנו סיימנו. נצטרך להעמיד את הדברים להצבעה. עוד הערות? 

 << אורח >> ד"ר טל מימרן: << אורח >>   

לגבי הסנקציה, אפשר לציין שיש נתיב מינהלי. אולי סנקציה מינהלית או סנקציה של שיפוי כלפי החברה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

זה לא מה שחיפשנו. ינון, גם את הניסיון שלך אני רוצה. שישה חודשים או שבעה חודשים – מה עדיף לקיום החוק?

 << דובר >> ינון אזולאי (ש"ס): << דובר >>   

שישה, זה ברור. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בסדר גמור. ופלילי? מה אתה אומר, לכלול או לא לכלול?

 << דובר_המשך >> ינון אזולאי (ש"ס): << דובר_המשך >>   

לכלול. 

 << אורח >> נטע קניגשטיין: << אורח >>   

לפני שאתם מצביעים, רציתם להוסיף סעיף שיתייחס לחובה להעמיד סיוע. אנחנו הבענו לזה התנגדות. לא ראינו את הנוסח, אז אנחנו לא יודעים. 

 << אורח >> ליאת גורפינקל: << אורח >>   

לא ראינו נוסח, ואנחנו ממש מבקשים שזה לא ייכנס. 
 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

דווקא זה זמן מצוין להכניס את הסעיף הזה, כי ראיתי שנציג האוצר הלך. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

נשארה נציגה אחרת. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

סליחה, סליחה. לא התכוונתי. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

הסברנו שזה מייצר הסדר שלילי מבחינתנו.

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

קיבלנו את עמדתכם, ורק בשים לב לדברי ההסבר, שהחוק לא שולל. 

 << דובר_המשך >> ליאת גורפינקל: << דובר_המשך >>   

נכון, החוק לא שולל. רק שלא יעלה לגוף החוק. תודה רבה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

בסדר גמור. אנחנו נצביע על הנוסח כפי שקרא סגן היועצת המשפטית לוועדה. למען הסר ספק, אני אומר שזה כולל את הניסוח של הענישה הפלילית, כפי שקראת, והפרסום ברבים. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

את העיקרון שפרסום ברבים או פרסום פומבי. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

פרסום ברבים, שמגיע להרבה אנשים. נכלול לפחות שלושה עיתונים בשלוש השפות המדוברות באותה מדינה. מה כתבנו: באישור המנהל או בהוראת המנהל?

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

לפי החלטת מנהל, אחרי ששמע את עמדת הספק. היה לנו גם – ההקדם האפשרי והזמן הסביר. את התצהיר אנחנו מסירים מהתוספת ואתם תפרסמו באתר המערך. שירותי תחזוקה ב-3(3). מה עוד היה לנו? סעיף הדיווח, כמו שסיכמת. להוסיף את החשש הממשי. 

 << דובר >> דרור גרנית: << דובר >>   

לעניין סעיף העונשין, מה הוא יקבע?

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

כמו שיש לנו באיכוני שב"כ – אדם שגילה מידע שהגיע אליו לפי חוק זה, שהגיע מספק או עשה בו שימוש בניגוד להוראות סעיף זה וזה, דינו מאסר שלוש שנים. 

 << קריאה >> קריאה: << קריאה >>   

רק לבקש שזה יהיה בניגוד לסעיף 6, בניגוד לסעיף הסודיות. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

כן, אנחנו נעשה את ההתאמות הנדרשות. 

 << אורח >> מי-טל פרי: << אורח >>   

אם יש משמעות לדברי ההסבר, למרות שזה לא מוגש לשנייה-שלישית, אם אפשר לפחות בדברי ההסבר שיהיו כתובות שתי מילים, שאותו עובד מוסמך יהיה בעל הכישורים והניסיון הנדרשים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אני לא אתמוך בזה. אני חושב שזה ניסוח פוגעני. אני רוצה לצאת מתוך הנחה, כמו שאמרתי, שהם עובדים שמבינים מה שהם אומרים, אחרת אנחנו בבעיה עם כל החוק הזה. 

אנחנו מדברים על שישה חודשים, למען הסר ספק, מיום פרסומו ברשומות. 

 << אורח >> ליאת גורפינקל: << אורח >>   

הבנו ממך, אדוני היושב-ראש, שאפשר לבקש שבעה חודשים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אבל לרוע מזלכם, אני מזכיר לך שאמרתי שאת רק צריכה לשכנע אותי. אבל הגיע חבר הכנסת אזולאי. 

 << קריאה >> מירי פרנקל-שור: << קריאה >>   

זה לא סתם עוד שישה חודשים, עוד שבעה חודשים. אנחנו אומרים שוב, שיש בזה - - -

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אתם חושבים שאני עושה הורדת ידיים; אני עושה בדיוק את ההפך. אני מנסה להיות בטוח שהחוק הזה, במידה ותצטרכו להאריך אותו, באמת תאריכו אותו. ואני יודע מה שאני אומר. 

 << קריאה >> קריאה: << קריאה >>   

הזמן קצר מדיי. 

 << אורח >> קרן גל-און לכנו: << אורח >>   

אדוני בוודאי יודע שכדי להגיע לתיקון אנחנו צריכים להפיץ תזכיר, להגיע לוועדת שרים. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

אתם יודעים מה? יש פה פרוטוקול, יש פה רשמת. אני אומר לכם ככה, שנניח שאני אשכנע את חברי חבר  הכנסת אזולאי וניתן שבעה חודשים. אם תביאו את החוק במהלך חודש יולי, אין שום סיכוי שאנחנו נספיק לחוקק אותו. אם זה ברור לכם ונהיר לכם, אנחנו ניתן שבעה חודשים. כי בחודש יולי כולנו נהיה באטרף ויהיה לנו פה מצבור של חקיקה. אם אנחנו עדיין בלחימה ובמצב כזה תביאו את החוק, יהיה לנו לקראת הפגרה כל הסיפור של מצב מיוחד בעורף, צו 8 ואני לא יודע מה עוד, וכל מיני חוקים שקשורים לאנשי מילואים. אנחנו פשוט לא נספיק, וזה צריך להיות ברור לכולם. 

שבעה חודשים מיום הפרסום ברשומות. כמו שאמרתי, אני מאוד סקפטי למה שיקרה עם זה, אבל אם אתם מבקשים יפה, אז נעשה את זה. 

אני מעמיד להצבעה את הצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבות ברזל), התשפ"ד–2023, לפי הנוסח ששמענו מהייעוץ המשפטי של הוועדה, עם התיקונים שהוצעו במהלך הדיון, לקריאה שנייה וקריאה שלישית. מי בעד, ירים את ידו. 
הצבעה

אושרה. 

 << יור >> היו"ר יולי יואל אדלשטיין: << יור >>   

תודה, הצעת החוק התקבלה פה אחד. אני מקווה שיהיה לכם כוח לחזור הביתה. תהיו זהירים וערניים ליד ההגה. תודה רבה, ישיבה זו נעולה. 


 << סיום >> הישיבה ננעלה בשעה 17:40. << סיום >>