פרוטוקול של ישיבת ועדה הכנסת העשרים-וחמש הכנסת 125 ועדת החוקה, חוק ומשפט 05/03/2024 מושב שני פרוטוקול מס' 276 מישיבת ועדת החוקה, חוק ומשפט יום שלישי, כ"ה באדר התשפ"ד (05 במרץ 2024), שעה 10:00 סדר היום: << הצח >> הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022 (מ/1496) << הצח >> נכחו: חברי הוועדה: שמחה רוטמן – היו"ר מוזמנים: עמית יוסוב עמיר – עו"ד במחלקת ייעוץ וחקיקה, משרד המשפטים שירה גרטנברג – ייעוץ וחקיקה, משרד המשפטים סוריא בשארה – ייעוץ וחקיקה פלילי, משרד המשפטים רס"ן רפי סלמה – יועמ"ש תקשורת ותקשוב, משרד הביטחון ראובן אידלמן – היועץ המשפטי, הרשות להגנת הפרטיות לינא כמאל טרודי – הממונה על האכיפה המנהלית, הרשות להגנת הפרטיות נעמה גורני לר – המחלקה המשפטית, הרשות להגנת הפרטיות יורם ביטון – ממונה אבטחת מידע, סייבר והגנת הפרטיות, המוסד לביטוח לאומי קרן גל-און – סגנית יועמ"ש מערך הסייבר, מערך הסייבר הלאומי מירה סלומון – ראש מינהל משפט וכנסת, מרכז השלטון המקומי נועה דיאמונד – עו"ד, מנחת הקליניקה לפרטיות, אוניברסיטת ת"א רחל ארידור הרשקוביץ – חוקרת, המכון הישראלי לדמוקרטיה שחף קצלניק – יועץ משפטי, התאחדות התעשיינים יעקב עוז – יו״ר ועדת סייבר ופרטיות, להב-לשכת ארגוני העצמאים והעסקים בישראל לירון בנדק – יועמ"ש, נשיאות המגזר העסקי טל מימרן – ראש תכנית המחקר, תכלית-המכון למדיניות ישראלית גלעד גנדלמן – רכז קשרי ממשל, תכלית-המכון למדיניות ישראלית אייל שגיא – שותף, משרד עו"ד עמר רייטר ז'אן ענר רבינוביץ׳ – מנכ"ל חברת privacy team ליאור אתגר – שותף, ראש מחלקת הגנת הפרטיות, משרד עו"ד אדרינסט עמרי רחום טוויג – שותף, מחלקת סייבר וטכנולוגיות מידע FBC & Co איה מרקביץ – Privacy Director בחברת Privacy Team אסף הראל – עו"ד, חבר המועצה הציבורית להגנת הפרטיות משתתפים באמצעים מקוונים: גלעד סממה – ראש הרשות להגנת הפרטיות צחי שלום – ראש מינהל טכנולוגיות דיגיטליות, מרכז השלטון המקומי ייעוץ משפטי: נעמה מנחמי אביה קירשנבוים ליבנר מנהל הוועדה: אלירן כהן רישום פרלמנטרי: סמדר לביא, חבר תרגומים רשימת הנוכחים על תואריהם מבוססת על המידע שהוזן במערכת המוזמנים הממוחשבת. ייתכנו אי-דיוקים והשמטות. << נושא >> הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022, מ/1496 << נושא >> << יור >> היו"ר שמחה רוטמן: << יור >> בוקר טוב. אנחנו בעניין הצעת חוק הגנת הפרטיות (תיקון מס' 14), התשפ"ב-2022. נעמה, ספרי לנו איפה אנחנו. << דובר >> נעמה מנחמי: << דובר >> אנחנו מתחילים את טבלת העיצומים הכספיים שעוסקת בתקנות אבטחת המידע שמתייחסות לסעיף 23כג(ה) בהצעת החוק. הוספת התוספת היא סעיף 17 להצעת החוק והיא תגיע אחרי סעיף 37 לחוק העיקרי. אולי הממשלה תרצה להציג קצת. << אורח >> ראובן אידלמן: << אורח >> שלום, בוקר טוב. יש כאן עניין קצת של טכניקת חקיקה במובן הזה שיש טבלה מפורטת שמפרטת את החובות לפי תקנות הגנת הפרטיות (אבטחת מידע). אלה לא חובות חדשות, התקנות האלה הותקנו בשנת 2017 על ידי שרת המשפטים דאז איילת שקד, הם אושרו על ידי ועדת החוקה של הכנסת ה-19 ונכנסו לתוקף בשנת 2018. << יור >> היו"ר שמחה רוטמן: << יור >> הכנסת ה-20, לא? << אורח >> ראובן אידלמן: << אורח >> אולי 20. << יור >> היו"ר שמחה רוטמן: << יור >> איילת שקד הייתה בכנסת ה-20. << אורח >> ראובן אידלמן: << אורח >> הכנסת שכיהנה בשנת 2017. << יור >> היו"ר שמחה רוטמן: << יור >> ככה גילית אותי שאני זוכר כנסות לפי מספרים, הבן אדם היחיד שעושה את זה. << אורח >> ראובן אידלמן: << אורח >> אחרי דיונים שהיו כאן בוועדה, חשוב להגיד שהתקנות גם עברו סבב של שימוע ציבורי לפני הנחתן ותהליך חקיקה מעמיק. התקנות האלה הן תקנות מקיפות, הן רגולציה מקיפה בתחום של אבטחת מידע ואפשר להגיד גם הגנת סייבר. למעשה הרגולציה המרכזית, אולי היחידה, שקיימת בישראל בתחום הזה. התקנות הן בתוקף בשש השנים האחרונות, זאת אומרת המשק עובד איתן, הרשות להגנת הפרטיות עובדת איתן והמהלך שאנחנו מבקשים לעשות כאן הוא לקבוע סנקציה בגין הפרת התקנות. הסנקציה כמובן צריכה להיקבע בחקיקה ולא בתקנות ולכן המהלך הזה הוא מהלך משלים להתקנת התקנות אי אז בשנת 2017, אבל החובות כשלעצמן הן לא חובות חדשות. יש ניואנסים מסוימים במסגרת עבודת ההכנה שנעשתה גם בתוך הממשלה וגם למול הייעוץ המשפטי של הוועדה, יש ניואנסים מסוימים בין החובות בתקנות לבין החובות כפי שהן כתובות כאן בטבלה, הניואנסים האלה נסובים בעיקר סביב העובדה שהעיצום הכספי צריך להיות מוטל על הוראות שהן ברורות מבחינת המפוקח ובמקום שבו אנחנו חשבנו שההוראה מותירה מקום מסוים של עמימות אז ניסחנו את החובה כאן בטבלה בצורה ברורה יותר. מהותית כאן אין שינויים מהותיים בחובות, כלומר שהחובה קיימת בלי קשר לשאלת העיצום הכספי וכמובן שלא הוספנו חובות על החובות שקבועות בתקנות אבטחת מידע. אני אומר שוב, הסיבה שיש טבלה ארוכה כזאת שלוקחת הרבה עמודים בהצעת החוק היא עניין של טכניקת חקירה בעיקרו. מבחינתנו אפשר לעבור לטקסט עצמו. << דובר >> נעמה מנחמי: << דובר >> אז נתחיל. יש לנו כאן טבלה. צד ימין של הטבלה זה נוסח של הצעת החוק ובצד שמאל הערות, הסברים וציטוטים מהתקנות הרלוונטיות. בתוספת זו - "גורם חיצוני" כמשמעותו בתקנה 15(א) לתקנות; הכוונה היא לא בדיוק אותו גורם חיצוני שיש לנו בחוק, זה יותר רחב ממחזיק בחוק. << יור >> היו"ר שמחה רוטמן: << יור >> מה השימוש בהגדרה הזאת? התקנה מדברת על בעל מאגר מתקשר עם גורם חיצוני לצורך קבלת שירות הכרוך במתן גישה למאגר המידע. זה לא מחזיק? << אורח >> עמית יוסוב עמיר: << אורח >> מדובר בוודאי במחזיק, יש עוד כמה סוגים של בעלי תפקידים שגם אם הם לא מחזיקים הם נכנסים בגדר התקנה. התקנה הרלוונטית היא תקנה 15 לתקנות אבטחת מידע, הרשות אולי תפרט. << אורח >> ראובן אידלמן: << אורח >> התפיסה לגבי מחזיק, וזה קצת נדון כאן בוועדה בהקשר להגדרת מחזיק, היא שזה מישהו שעושה שימוש ושיש לו גישה מתמשכת למאגר המידע, הוא פועל עבור בעל המאגר ויש לו גישה מתמשכת למאגר המידע. גורם חיצוני יכול להיות גם מישהו שניתנת לו גישה חד פעמית, למשל לצורך תיקון תקלה או משהו כזה. הוא עדיין יכול להיחשב גורם חיצוני ואז כיוון שהוא כן מקבל גישה למאגר המידע וזה מייצר סיכוני אבטחה, מישהו שניתנת לו גישה למאגר לצורך תיקונים כאלה ואחרים, זה מייצר סיכוני אבטחה, יש צורך לקבוע איתו את ההסכם שקבוע בתקנה 15. תקנה 15 היא תקנה מאוד מרכזית, היא מסדירה את מערכת היחסים בין בעל המאגר למחזיק וקובעת איזה חובות חוזיות צריכות להיקבע. << יור >> היו"ר שמחה רוטמן: << יור >> לגורם החיצוני. << אורח >> ראובן אידלמן: << אורח >> כן, נכון, לגורם החיצוני כהגדרתו, אבל בגדול דיברנו הרבה כאן ובכלל צריך להגיד שאנחנו בעולם של מחזיקים. כמעט לכל בעל מאגר יש איזה שהוא מחזיק שהוא חלק מתפעול המערכות שלו והוא מקבל גם גישה למאגר המידע, ומה שמסדיר איזה הוראות חוזיות צריכות להיקבע במערכת היחסים הזאת היא תקנה 15 שמפרטת את העניין הזה. אני מניח שנגיע אליה גם בהמשך כאן. נכון שהיא נוקטת במושג רחב יותר של גורם חיצוני, שזה גם מישהו שמקבל גישה לצורך העניין נקודתית למאגר המידע ולא רק פועל דרך קבע עבור בעל המאגר. << דובר >> נעמה מנחמי: << דובר >> "מאגר המנוהל בידי יחיד" , "מאגרים שחלה עליהם רמת האבטחה הבסיסית", "מאגרים שחלה עליהם רמת האבטחה הבינונית" ו"מאגרים שחלה עליהם רמת האבטחה הגבוהה" – כהגדרתם בתקנות; יש כאן מחשבה שאולי צריך להשאיר באוויר, האם אנחנו רוצים את ההגדרות האלה באמת בתקנות, האם אפשר אולי להעלות אותם לרמת החוק, אבל אולי קצת תפרטו מה זה כל אחד מהקריטריונים האלה. << אורח >> ראובן אידלמן: << אורח >> מטבע הדברים, אמרנו תקנות אבטחת מידע, זאת הרגולציה במדינת ישראל בתחום אבטחת המידע. יש בהן הרבה חובות, אבל הן בנויות בצורה של מדרג מבחינת סוג בעלי המאגרים בניתוח של מהי רמת האבטחה הנדרשת. הכי בסיסי זה מאגר שמנוהל על ידי יחיד כשמוגדר שיחיד לצורך העניין יכול להיות גם מקרה שיש בני בעלי הרשאה, עד שני בעלי הרשאה במאגר המידע. עליו יש הכי פחות חובות, אחריו יש מאגרים - - - << דובר >> נעמה מנחמי: << דובר >> אני מבקשת להתעכב. אני חושבת שמבחינת הרשות גם כשיש שניים ואפילו שלושה בעלי גישה למידע זה עדיין יכול להיחשב מאגר המנוהל על ידי יחיד, אבל מבחינת הוראות התקנות כרגע מאגר מנוהל על ידי יחיד, להבנתי, תקן אותי אם אני טועה, הוא מאגר שמנהל יחיד או תאגיד בבעלות יחיד. כלומר אם זה תאגיד בבעלות שניים כבר, אז גם אם יש רק שני בעלי גישה להרשאות לכאורה זה לא נכנס לתוך מאגר המנוהל בידי יחיד. << אורח >> ראובן אידלמן: << אורח >> התקנה מכוונת לתאגיד שהוא מין חברת אני, חברה שמנוהלת על ידי אדם אחד ועדיין יכולה להיות רשומה כחברה, כתאגיד, בהחלט, אבל יש כאן גם התייחסות לנושא בעלי ההרשאה. אם עובדים איתו עוד שני בעלי הרשאה נוספים מלבדו זה עדיין יכול להיחשב מאגר שמנוהל על ידי יחיד, אבל כן, זה נכון, לשון התקנה בהחלט מדברת על תאגיד שהוא בבעלות יחיד. זה הנוסח של התקנה, אנחנו לא מבקשים לעשות שינוי בעניין הזה, זה הנורמה היום. << דובר >> נעמה מנחמי: << דובר >> אני מבינה, אני כן רוצה להפנות את תשומת לב הוועדה לזה שבמשך הרבה מאוד שנים לא ניתן היה במדינת ישראל לרשום תאגיד של יחיד ולכן היה נוהג שבו מראש רושמים את התאגיד כך שהוא חל לפחות על שני אנשים. לכן לפחות העסקים הוותיקים במדינת ישראל זה אולי עסקים קטנים, אולי הם עסקים שלא מקבלים ייעוץ משפטי שוטף, לכאורה זה לא יחול עליהם כשזה מנוסח כך. כדי להיכנס לתוך הרובריקה של מאגר המנוהל על ידי יחיד צריכים להתקיים שני דברים, האחד זה שהמאגר הוא בבעלות יחיד, והשני, שיש עד שלושה בעלי הרשאה. אני אומרת שבפועל במדינת ישראל במשך הרבה מאוד שנים לא ניתן היה לרשום מאגר המנוהל בידי יחיד והיה צורך לרשום לפחות מניה אחת על שם אדם נוסף. << יור >> היו"ר שמחה רוטמן: << יור >> למה? חברת יחיד יש במדינת ישראל כבר הרבה שנים. << דובר >> נעמה מנחמי: << דובר >> יש הרבה שנים, אבל חברות ותיקות קטנות ללא ייעוץ משפטי רשומות עדיין עם לפחות שני בעלים. גם אם בפועל מנהל את זה באמת בן אדם אחד, אבל החברה היא כן תאגיד בבעלות שניים. << יור >> היו"ר שמחה רוטמן: << יור >> גם מה זה רלוונטי כל כך כמה אנשים בבעלות החברה? נניח שיש 20 בעלי מניות, אבל יש, אנחנו יודעים, אנחנו בעולם של חברות, בעל שליטה אחד שהוא גם הדירקטור והוא נתן מניה לבן משפחה, לצורך העניין, מניות שאינן מקנות שליטה או חלוקה ברווחים. תאגידים שהם לא חברות בורסאיות מותר לעשות הפרדה בין סוגי המניות, אפשר לעשות מניות ש – למה זה משנה בעלות התאגיד? << אורח >> עמית יוסוב עמיר: << אורח >> המטרה הייתה פה, לדעתי, כשקבעו את תקנות אבטחת מידע באמת לתת פטור לגופים שהם קטנים ולא שהם מרובי בעלי מניות. בעצם אלה הגדרות עזר שהן הגדרות מתקנות אבטחת מידע ואולי נוכל קצת להתקדם איתן ולהגיע להפרות. << יור >> היו"ר שמחה רוטמן: << יור >> אין בעיה, נתקדם, אני מציף, יותר נכון נעמה הציפה את זה, אבל אני חושב שהנקודה היא כזאת, התקנות כבודן במקומן מונח, נוסחו כפי שנוסחו, בסדר גמור, בסופו של דבר זה קצת דומה לתהליך שאנחנו עושים פה בוועדה כשאנחנו מאפשרים לעיריות להפוך עבירות שבחוקי העזר שלהן, להפוך אותן לחוקי קנס, לעבירות משפט, ואז אנחנו מבינים, גם אתם מבינים, שזה שיש משהו שכתוב בתקנה שנוסחה כהוראה כללית או כל מיני סיבות, אבל לא היה בצידה קנס אכיף, עם אכיפה יעילה ומהירה. אנשים סמכו על כך, כלומר גם בתהליך הערות הציבור לתקנות, כשאין בצידן של התקנות שוט יעיל לאכיפה אז אני אומר: יאללה, מה אכפת לי אם יש לי זה? כשאני אבוא לבית משפט שיחליטו משום מה ברשות להגנת הפרטיות ללכת על החנות שלי ויגידו לי שאני לא נחשב תאגיד בבעלות יחיד כי מתוך הון מניות של 1,000 מניות יש מניה אחת לסבתא שרשמתי, בגלל שרשמתי את החברה בימים שעוד אי אפשר היה אחרת, ויגידו לי שאני לא באמת תאגיד בבעלות יחיד, אז אני אסביר לשופט שזה פיקציה, עם כל הכבוד תרדו ממני ויכול להיות שאני אפילו לא אצטרך להגיע לשופט כי כבר בשלב השימוע יבינו ברשות להגנת הפרטיות שלא שווה מולי את התהליך כי אני אנצח בסוף כי הם סתם מתקטננים איתי ואני באמת יחיד. למרות אותה מניה של הסבתא אני לא קונגלומרט כמו שאני נראה. אבל כשאנחנו הופכים את העניין ועכשיו אני מתמודד לא עם בית משפט או עם בן אדם אלא שופט אוטומטי שולל לי רישיון, אז השופט האוטומטי הזה ששולל לי רישיון, אני עומד מולו חסר אונים ולך תוכיח שאין לך אחות או במקרה הזה סבתא שנתת לה מניה. לכן הרבה מאוד פעמים כאשר אנחנו עושים את המעבר הזה מהוראה של חוק עזר או תקנה להוראה שעוברת, נטל הראיה בהקשר הזה עובר, אז אנחנו מגלים שהגדרות שהתאימו לנו לצורך הפעלה על ידי שופט שאיננו אוטומטי לא מתאים לשופט אוטומטי של העיצומים הכספיים. לכן צריך להסתכל על ההגדרות. מתחברת לזה הבעיה שבסופו של דבר אנחנו פה בחקיקה ראשית, אמנם תוספת אך עדיין חקיקה ראשית. אני מאוד מקווה שהתקנות יעברו תיקונים והתאמות ואז אנחנו נמצא את עצמנו בבעיה כי כשתתקנו את התקנות התוספת לא תתעדכן אוטומטית. << אורח >> עמית יוסוב עמיר: << אורח >> לא, זה יהיה חייב להיות תיקון משולב. << יור >> היו"ר שמחה רוטמן: << יור >> זה יהיה תיקון חקיקה? תיקון תקנות? << אורח >> ראובן אידלמן: << אורח >> תוספת זה שר באישור ועדת חוקה. זה תיקון משולב. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, אבל אני עדיין אומר שאני עדיין לא יודע בדיוק במה תשמש ההגדרה, העובדה שיש הגדרה מסוימת בתקנות שלא העירו לגביה, כן העירו לגביה, כי לא היה למישהו אכפת, בעולם העיצומים הכספיים צריך לחשוב על זה מחדש ויכול להיות שזה אומר שיהיה כתוב למשל מאגר המנוהל בידי יחיד כהגדרתם בתקנות בחוק, אולם לעניין הזה חברת מעטים לא תיחשב תאגיד זה וזה. אפשר לעשות את זה, זה דבר שהוא אפשרי. יכול להיות שזה גם דבר נכון וצריך לעשות את החשיבה הזאת, לדעת למי אנחנו תופרים את הסנקציה. << אורח >> ראובן אידלמן: << אורח >> אני אשמח להתייחס. ראשית, אני חושב שבהליך התקנת התקנות ההנחה הייתה שתהיה סנקציה, אני לא חושב שמישהו חשב שלא תהיה סנקציה. הצעת חוק הגנת הפרטיות שכוללת סנקציות כבר הייתה באותו זמן בעולם. << יור >> היו"ר שמחה רוטמן: << יור >> ודאי, אבל הבנת מה ההבדל בין סנקציה של עיצום מנהלי לסנקציה של שופט שאיננו אוטומטי. << אורח >> ראובן אידלמן: << אורח >> נכון. מבחינת המדרג של התקנות, הקפיצה הגדולה קורית לא פה, היא קורית בין רמת האבטחה הבסיסית לבין רמת האבטחה הבינונית. יש מאגר המנוהל על ידי יחיד, הרמה הנמוכה ביותר, מעליה רמת אבטחה בסיסית והדלתא ביניהם זה מה שדיברנו כאן, זה האם זה יחיד, תיכף נדבר על מהי רמת אבטחה בסיסית, אחר כך מבחינת הקפיצה המשמעותית בחובות זה כבר רמת אבטחה בינונית ומעליה גבוהה. << יור >> היו"ר שמחה רוטמן: << יור >> שוב, המכולת של שמעון מהשכונה, המכולת הזאת שהיא חברה שיש בה שני בעלי מניות, הוא ואשתו, האם היא זכאית לרמה א', רמה ב' או רמה ג'? << אורח >> ראובן אידלמן: << אורח >> זאת ההבחנה החשובה שנועדה שהחובות המשמעותיות של התקנות לא יחולו על עסקים קטנים. אם יש לו עד עשרה מורשי גישה הוא יהיה ברמת האבטחה הבסיסית ומבחינת החובות, החובות הן בהחלט הרבה יותר מצומצמות. אם יש לו שני בעלי מניות הוא לא יחיד, אבל הוא עדיין ברמת אבטחה בסיסית. זה קצת מעל יחיד. << יור >> היו"ר שמחה רוטמן: << יור >> יש לזה הצדקה? << אורח >> ראובן אידלמן: << אורח >> זאת ההבחנה שנעשתה. << יור >> היו"ר שמחה רוטמן: << יור >> זאת ההבחנה של התקנות, השאלה אם יש בזה הצדקה. שוב, ברמת העיצומים הכספיים גם ברמת האוטומטיזם בהקשר הזה הוא לא רק לרעת אותו בעל מכולת אלא גם לרעתכם כי גם לכם, כשאתם מחויבים לתת איזה שהיא רמת עיצום כספי בסכום מסוים. יכול להיות שאפשר לעשות בקשות להפחתה וכל מיני כאלה, אבל בסופו של דבר אתם – וזה ייצור אפקט מצנן גם עליכם כי נניח שאנחנו קבענו למאגר המנוהל בידי יחיד עיצום כספי בהפרה מסוימת של 500 שקל ולרמת אבטחה בסיסית זה 10,000 שקל, והמכולת של שמעון ובת זוגו לא מוצדק ולכן אתם לא תטילו עליו גם לא את ה-500. << אורח >> ראובן אידלמן: << אורח >> גם העיצום של רמת אבטחה בסיסית הוא עיצום מאוד מאוד נמוך, כפי שאדוני יראה, מדובר על 1,000 או 2,000 שקלים. זה לא החידוד החשוב. << יור >> היו"ר שמחה רוטמן: << יור >> וליחיד? << אורח >> ראובן אידלמן: << אורח >> היחיד לצורך העניין, איפה שהחובות חלות עליו הוא כפוף לאותו עיצום, אבל זה 2,000-1,000 שקלים. << יור >> היו"ר שמחה רוטמן: << יור >> אבל חלות עליו פחות חובות. << אורח >> ראובן אידלמן: << אורח >> חלות עליו מלכתחילה פחות חובות, איפה הקפיצה? בבינונית. תיכף נגיע להבחנה בין הבסיסית לבינונית. << יור >> היו"ר שמחה רוטמן: << יור >> מה שאני אומר זה נקודה שיהיה לנו לטיפול. העובדה שהגדרת מאגר המנוהל בידי יחיד היא בתקנות כפי שהיא לא תכבול אותנו בשיקול הדעת לשאלה, יכול להיות שאנחנו נגדיר שלעניין עיצומים, לעניין חובות ברי אכיפה מאגר המנוהל על ידי יחיד יהיה לרבות – שוב, אתם תחליטו שהייתה את הפרת האבטחה החמורה שמצדיקה את האכיפה הפלילית גם על חנות המכולת של שמעון ובת זוגו? בסדר גמור, זכותכם, אני לא שולל את זה ממכם, אבל להליך המנהלי זה לא יתאים. << אורח >> ראובן אידלמן: << אורח >> רק צריך להגיד, אין הבדל. מבחינת גובה העיצום אין הבדל בין יחיד לבין בסיסית. << יור >> היו"ר שמחה רוטמן: << יור >> אבל יש פחות חובות. << אורח >> ראובן אידלמן: << אורח >> יש קצת פחות חובות. << יור >> היו"ר שמחה רוטמן: << יור >> תיכף נדבר על זה. << אורח >> ראובן אידלמן: << אורח >> אחרי מאגר המנוהל על ידי יחיד אנחנו מגיעים לרמת אבטחה בסיסית, שגם כאן אנחנו מדברים על עסקים קטנים כשהדגש הוא על מי שיש לו עד עשרה מורשי גישה אלא אם הוא סוחר מידע, זה מושג שדנו בו לא מעט מידע, אלא אם הוא סוחר מידע או שהוא גוף ציבורי. קשה לחשוב על גוף ציבורי עם פחות מעשרה מורשי גישה, אבל הוא תמיד יהיה ברמת האבטחה הבסיסית. << יור >> היו"ר שמחה רוטמן: << יור >> שתי היחידות המיוחדות של הביטחון שיש להן מעט עובדים. << אורח >> ראובן אידלמן: << אורח >> בעצם יש פה קפיצה גדולה גם מבחינת החובות שחלות, החובות המשמעותיות של התקנות, סקר סיכונים, מבדקי חדירות, הדברים שגם הנטל שבצדם הוא הרבה יותר גדול, לא חלות על מי שברמת האבטחה הבסיסית. מסמך ההכנה פורט את זה בצורה מאוד מפורטת, איזה חובות חלות על כל אחת מהקטגוריות, אבל צריך להגיד שגם בסכום העיצום, וזה הדגש של הדיון היום, העיצומים הכספיים לכל אורך התקנות על מישהו ברמת אבטחה בסיסית הם 1,000 או 2,000 שקלים. מי שברמת אבטחה בינונית, פה כבר יש קפיצה משמעותית יותר, גם בחובות וגם בגובה העיצום, וההנחה שלנו שאלה לא יהיו עסקים קטנים. אני אמרתי כאן ביותר מדיון אחד, האכיפה שלנו גם לא ממוקדת לגבי עסקים קטנים, אנחנו מסתכלים על חברות בינוניות ומעלה גם מבחינת היקף המידע שהם מחזיקים. המעבר בין רמת אבטחה בסיסית לרמת אבטחה בינונית הוא לפי סוגי המידע. בגדול גוף ציבורי הוא תמיד ברמת אבטחה בינונית, כך גם סוחרי מידע, ואז האבחנה המרכזית היא לפי סוגי המידע שם המחזיקים. התוספת הראשונה לתקנות אבטחת מידע, ויש את זה גם במסמך ההכנה, מפרטת איזה סוגי מידע מכניסים אותך לרמת האבטחה הבסיסית. נכון שעשינו פה התאמות מה ייחשב כמידע בעל רגישות מיוחדת והדבר הזה יצריך גם התאמה של התוספת לתקנות במובן של מה מכניס אותך לרמת האבטחה הבינונית. << יור >> היו"ר שמחה רוטמן: << יור >> זאת אומרת אתם תצטרכו להביא תיקון לתקנות ששואב את הגדרות החוק לסעיף - - - << דובר >> נעמה מנחמי: << דובר >> לחלופין יכול להיות שבאמת נכון להגדיר את ההגדרות האלה כבר בחוק ואז זה יהיה יותר פשוט. << אורח >> ראובן אידלמן: << אורח >> יש לנו כוונה בהחלט, מבחינתי, ברגע שהחקיקה הזאת תסתיים ותאושר בקריאה שנייה ושלישית להניח על שולחנו של השר תיקון לתקנות אבטחת מידע שעושה את ההתאמה הזאת. זו בוודאי התאמה שצריכה להיות בין מה שייקבע פה ב - - - << יור >> היו"ר שמחה רוטמן: << יור >> זאת אומרת שמה שאנחנו קבענו שהוא מידע בעל רגישות מיוחדת, הוא יהיה - - - << אורח >> ראובן אידלמן: << אורח >> זה טעון אישור הוועדה כמובן, זה יחזור לוועדה. אבל אנחנו בהחלט מתכוונים להניח על שולחנו של השר. << יור >> היו"ר שמחה רוטמן: << יור >> זאת אומרת שבעצם בסופו של דבר אמורה להיות חפיפה, דהיינו שמה שאנחנו מגדירים בחוק כמידע בעל רגישות מיוחדת, עם כל התיקונים שעשינו להגדרות ושהתווכחנו עליהן, הוא יישאב כמו שהוא לתוך התקנות ומאגר מידע שמחזיק את המידע הזה הוא יהיה תמיד בבינוני, אלא אם כן הוא מנוהל על ידי יחיד? << אורח >> ראובן אידלמן: << אורח >> לא, אלא אם יש בו עד עשרה מורשי גישה. יש עוד חריג מסוים שאולי לא שווה יותר מדי להתעכב עליו שאומר שאם אתה מחזיק תמונות למשל רק של העובדים, אז גם אז אתה תהיה ברמת אבטחה בסיסית, כי תמונות לכאורה מכניס אותך כבר לסוגי המידע - - - << אורח >> עמית יוסוב עמיר: << אורח >> אבל זה היה עם ההגדרה העדכנית. << אורח >> ראובן אידלמן: << אורח >> אבל זה חריג שאולי הוא פחות – זה נכון, אלא אם יש לך עד עשרה מורשי גישה, לא מנוהל על ידי יחיד. זה הדבר המרכזי. << יור >> היו"ר שמחה רוטמן: << יור >> כן, אבל כמו שאמרנו, לכל מאגר שמכבד את עצמו יש עשרה מורשי גישה. << אורח >> ראובן אידלמן: << אורח >> בעסקים קטנים אני לא חושב. << יור >> היו"ר שמחה רוטמן: << יור >> לא עסקים קטנים. << אורח >> ראובן אידלמן: << אורח >> הכוונה היא להחריג עסקים קטנים, זאת התכלית. יכול להיות שיהיו ניואנסים מסוימים שאנחנו נחשוב שלעניין רמת האבטחה צריך לקבוע קצת אחרת, אבל זה יובא לאישור הוועדה, בסוף הדבר הזה יחזור לדיון בוועדה, אבל ככלל כן, צריך יהיה לקחת את מידע בעל רגישות מיוחדת ובהחלט יש כוונה להניח את זה על שולחנו של השר. ברור לנו שההתאמה הזאת נדרשת ומהבחינה הזאת אני חושב שאין צורך להתעכב על מה כרגע הם סוגי המידע שמכניסים אותך לרמת אבטחה בינונית כי ממילא בוועדה נקבע משהו אחר לעניין זה והיו לנו הרבה דיונים בעניין הזה. << יור >> היו"ר שמחה רוטמן: << יור >> כי זה בעצם יהיה הדבק-העתק. << אורח >> ראובן אידלמן: << אורח >> ויש את שני החריגים שאמרנו עליהם, האחד זה לעניין תמונות פנים של עובדים בלבד. יש איזה שהיא אמירה שהמידע משמש ל - - - << יור >> היו"ר שמחה רוטמן: << יור >> השאלה אם אתם לא חושבים שכדאי ולו רק משיקולי זמן כן לפחות חלק מההוראות האלה או את הגדרות המאגרים לעשות בחקיקה ואז לתקן את התקנות על דרך ההפניה. דהיינו לבוא ולהגיד שהגדרה של מאגר כזה וכזה מופיעה בחקיקה, רמת אבטחה בסיסית, רמת אבטחה זה, ואנחנו בתקנות אבטחת מידע אומרים לכם מה אתם צריכים לעשות בכל מאגר. עצם החלוקה הזאת, גם ולו רק מטעמי זמן והתאמות. אבל גם אמיתית התהליך פה הוא די משונה, שאנחנו נחוקק חקיקה שתהיה חסרת משמעות עד שהתקנות יתוקנו כי אי אפשר יהיה לעבוד איתה כי יהיו סתירות ביניהם. אפשר להגדיר את המאגר, אפשר להגדיר את סוגי המאגרים, את רמות האבטחה של המאגרים בחקיקה, גם אם רוצים אגב בתוספת. אני לא רוצה לייצר את זה עד כדי כך כבול שנגיע למסקנה בעוד שנתיים-שלוש שמידע על נכסיו של אדם, חובותיו - - - << אורח >> ראובן אידלמן: << אורח >> או איזה סוג מידע חדש שאנחנו לא רוצים לדמיין אותו. << יור >> היו"ר שמחה רוטמן: << יור >> אז אפשר לעשות את זה הגדרת מאגרים בתוספת. שאת הגדרת המאגרים, רמות האבטחה, אפשר לעשות בתוספת, אבל עדיין שההגדרה תהיה ישירה בחוק כדי שאנחנו נדע על מה אנחנו מצביעים, בוודאי בשלב העיצומים הכספיים כי בעצם מה שיקרה פה, אנחנו נעשה את העיצומים הכספיים אבל עד שיתוקנו התקנות אתם לא תוכלו לעשות איתם שום דבר. לא יודע כמה זמן ייקח לתקן את התקנות. הרי כל החשש והסיבה שאנחנו ממהרים והסיבה שאנחנו פועלים פה עכשיו זה כי הזמן דוחק, אז תתניעו תהליך של תיקון תקנות שלכו תדעו כמה זמן הוא ייקח? << אורח >> ראובן אידלמן: << אורח >> גלעד סממה, ראש הרשות מבקש להגיד משהו. הוא בזום. << יור >> היו"ר שמחה רוטמן: << יור >> בבקשה, גלעד. << אורח >> גלעד סממה: << אורח >> רציתי להגיד משהו שכבר התקדמתם ממנו, אבל בסדר, רציתי פשוט לחזק את מה שראובן מקודם אמר בנושא שאכן נביא תקנות שהמטרה שלהם לעשות את ההתאמה לכל מה שעשינו עד כה בוועדה. אני שומע את מה שהיושב ראש אומר כרגע ואני לא משוכנע שירדתי לסוף דעתו, כלומר אני לא בטוח שעד כה צריך את ההתאמה הזו רק כדי להפעיל את כל העיצומים של החקיקה שכרגע אנחנו מעבירים. אולי פספסתי כאן. << יור >> היו"ר שמחה רוטמן: << יור >> אני אומר, לצורך העניין אם אני בחקיקה קבעתי שמידע בעל רגישות מיוחדת הוא לא מה שהתקנות קובעות אלא פחות או יותר, זה לא משנה כרגע, ולכן הגדרת מאגר עם אבטחה בינונית היא שונה ממה שאני כמחוקק רציתי, אתה תאכוף חובות על אבטחה בינונית על מישהו שהוא מבחינתי לא צריך להיות בבינוני? לא מתאים, זה לא הגיוני. אני אפילו לא מדבר על כל מיני דברים אחרים שיכולים לייצר סתירות רגולטוריות אחרות, אפילו לדוגמה הזאת שממנה התעוררנו. אם אני לא חושב שצריך לאבטח מידע על נכסיו של אדם, זו אחת מההגדרות ששינינו, כי אני לא חושב שזה מידע בעל רגישות מיוחדת, אתה תכליל לי אותו כמאגר בינוני ותטיל עליו עיצומים כשאני בכלל לא חושב שהוא צריך להיות מאובטח ברמה הזאת, הוא בסיסי לגמרי, זה מידע כללי. << אורח >> גלעד סממה: << אורח >> אני מבין את מה שאדוני אומר, לכן אנחנו גם אמרנו שמבחינתנו אנחנו נעשה את ה – אתה בעצם מציע שאנחנו נעשה את המהלך הזה תוך כדי. << יור >> היו"ר שמחה רוטמן: << יור >> יש שתי אפשרויות שאני יודע לעשות בהקשר הזה, אפשרות אחת היא באמת לקבוע את הגדרות המאגרים עצמם כבר עכשיו על דרך ההפניה, לקבוע אותם בתוספת, ואחר כך שהתקנות יתייחסו אליהן, אבל שיהיה ברור שהנוסח הקובע כרגע זה נוסח התוספת ולא נוסח התקנות, שזה אפשרות אחת. אפשרות שנייה זה טכניקה חקיקתית אחרת, שאנחנו נעשה פה עכשיו את כל העבודה אבל יהיה מאוד ברור שביום אישור הצעת החוק לקריאה שנייה ושלישית פה בוועדה אנחנו גם מצביעים על התקנות ועל שינוי התוספת, ככל שהם יהיו. רק שאני לא יודע אם אני רוצה להחזיק את הכול בן ערובה לדבר הזה, לכן הדרך הראשונה היא זו שהוצעה על ידי, אבל על פניו סיטואציה שבה אני מייצר פה חובות רגולטוריות שאמורות להיאכף בתקנות אבל ההגדרות הבסיסיות כבר השתנו על ידי, כולל הגנות, כולל התאמות, כולל התאמות ל-GDPR, לא יודע, זה ייצר אפקט מאוד בעייתי לתת לך את הסמכויות. << אורח >> ראובן אידלמן: << אורח >> זו שאלה כבדת משקל, אני מציע שאנחנו נעשה התייעצות פנימית ונשיב לוועדה. אני חושב שההצעה ברורה. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר גמור. בסופו של דבר כל המלל הארוך הזה, אמנית הקיצור, נעמה, כתבה את זה במשפט בשורת הסיכום של העמודה הזאת בטבלה: כיצד תובטח ההאחדה בין ההגדרות בתקנות ובין מונחי החוק. זו המשמעות במשפט אחד. זו המשמעות של תשעה קבין, שאני צריך תשעה קבין בשביל משפט אחד שלה. << אורח >> ראובן אידלמן: << אורח >> מחזיק את המרובה. << יור >> היו"ר שמחה רוטמן: << יור >> המועט המחזיק את המרובה. << דובר >> נעמה מנחמי: << דובר >> אבל הייתי צריכה שלושה עמודים קודם. << אורח >> ראובן אידלמן: << אורח >> אז דיברנו על איך נכנסים לרמת אבטחה בינונית, אמרנו או סוגי המידע האלה, או גוף ציבורי, או סוחר מידע, ואחר כך מעליו יש את רמת האבטחה הגבוהה, שזה מרב החובות. הכניסה לרמת האבטחה הגבוהה היא דרך שני שערים, או 100,000 נושאי מידע, או 100 מורשי גישה וזה כשמלכתחילה אתה צריך להיות כמובן ברמת אבטחה בינונית. רק מי שהוא בבינונית יכול להיות בגבוהה, אם יש לו או 100,000 נושאי מידע או 100 מורשי גישה. זאת פירמידת החובות של תקנות אבטחת מידע, וגם מטבע הדברים העיצומים בנויים באותו מדרג במובן הזה שהעיצום על רמת האבטחה הגבוהה הוא הכי גבוה, אחר כך רמת אבטחה בינונית והאחרון זה רמת אבטחה בסיסית שזה באמת עיצום מאוד מאוד נמוך. << יור >> היו"ר שמחה רוטמן: << יור >> ואת שאלת ההאחדה אנחנו בינתיים משאירים פתוחה. << דובר >> נעמה מנחמי: << דובר >> בסוף עמוד 3, "התקנות" – תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. ואז הגענו לטבלה בעמוד 9. עד כאן היה איזה שהוא פירוט של מה הן התקנות שחלות והחובות שחלות על כל אחד מסוגי המאגרים, למי שזמנו בידו ורוצה לקרוא. אבל אני רוצה לציין שמרחפות מעלינו עוד כמה תקנות שרלוונטיות לכל החוק וגם לתוספת אז תקנה 19 זה חובות בעל מאגר שחלות על מנהל מאגר ומחזיק בו ותיעוד ביצוע פעולה. אלה תקנות שאנחנו לא ניגע בהן ישירות. << יור >> היו"ר שמחה רוטמן: << יור >> כן, על מנהל המאגר. << דובר >> נעמה מנחמי: << דובר >> על מאגר המאגר ועל המחזיק - - - << יור >> היו"ר שמחה רוטמן: << יור >> מחזיק זה מחזיק. שוב, ההגדרה של מחזיק בתקנות תואמת להגדרה של מחזיק אצלנו? << אורח >> ראובן אידלמן: << אורח >> כן, ודאי. אין הגדרה בתקנות למחזיק, זה שואב מהחוק. זו ברירת המחדל תמיד בתקנות. << יור >> היו"ר שמחה רוטמן: << יור >> ולגבי מנהל מאגר, זה מונח לדיון נפרד, אבל על פניו אני חושב שאנחנו צריכים לחשוב מה אנחנו עושים איתו כי אין לו תפקידים מיוחדים חוץ משחובות שחלות על אחרים חלות גם עליו. << אורח >> ראובן אידלמן: << אורח >> יש לו קצת תפקידים בתקנות אבל זה באמת לדיון נפרד. << יור >> היו"ר שמחה רוטמן: << יור >> להיות הבוס של זה שאחראי עליו. << אורח >> ראובן אידלמן: << אורח >> ועוד איזה שהיא חובה מסוימת לגבי שחזור נהלים. << דובר >> נעמה מנחמי: << דובר >> תקנה נוספת שנמצאת איתנו, מרחפת מעל, ולא רק הנושא הזה זה תקנה 20, סמכויות הרשם. הרשם רשאי אם קיימים טעמים שמצדיקים זאת לפטור מאגר מסוים מחובות - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא ביטלנו את הגדרת רשם? << דובר >> נעמה מנחמי: << דובר >> נכון, סמכויות ראש הרשות. << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה בתקנות. עוד חלק מההתאמות שתצטרכו לבצע. << דובר >> נעמה מנחמי: << דובר >> זה דווקא מאוד ברור שראש הרשות והרשם זה אותה הגדרה. << יור >> היו"ר שמחה רוטמן: << יור >> את עושה לי פרשנות תכליתית עכשיו? << דובר >> נעמה מנחמי: << דובר >> חס וחלילה. << יור >> היו"ר שמחה רוטמן: << יור >> אפרופים. סוס שהוא מכונה, רשם שהוא ראש רשות. נו אופנס, גלעד. << דובר >> נעמה מנחמי: << דובר >> אני אתחיל מחדש. ראש הרשות רשאי אם ראה כי קיימים טעמים שמצדיקים זאת לפטור מאגר מסוים מחובות אבטחת מידע לפי תקנות אלה או להחיל על מאגר מסוים חובות לפי תקנות אלה, כולן או חלקן, לפי נסיבות העניין, ובין השאר בהתחשב בגודל המאגר, סוג המידע שנמצא בו, היקף הפעילות של המאגר ומספר בעלי ההרשאות בו. כלומר כן יש אפשרות לראש הרשות להעביר מקטגוריה לקטגוריה גם מי שבאופן רשמי חלה עליו קטגוריה מסוימת. האמת היא שכתבתי לי את השאלות לדיון אז אני אשמח לשמוע אם באמת יצא לכם להשתמש בדבר הזה, בתקנה הזאת, אם אתם מכירים שימוש בה. << אורח >> ראובן אידלמן: << אורח >> אז אני אגיד קודם שיש המשך לתקנה 20, יש גם את תקנה 20(ב) שאומרת שאם יש איזה שהיא רגולציה של רגולטור אחר שעוסקת גם באבטחת מידע, והיום יש לא מעט כאלה, למשל בעולם הבנקים או חברות הביטוח יש רגולציית אבטחת מידע גם של הרגולטורים הייעודיים שלהם, אז אנחנו יכולים לקבוע שמי שעומד ברגולציה ההיא אנחנו רואים אותו גם כמי שעומד בתקנות אבטחת מידע. בעניין הזה יש כמה הנחיות של הרשות שיצאו מאז שנכנסו התקנות. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אבל זה פטור, פטור לא מטריד אותי. אתה אומר שברגולציה של המפקח על הבנקים אני עוזב אותך, זה פטור, אבל זה לא החלה אלא שוב אותו בעל מכולת, אגב רק בגלל שקוראים לך ראובן קוראים לו שמעון, שיהיה לך ברור, ברירת המחדל שלי הייתה לקרוא לו ראובן, אז אותו בעל חנות יכול לקבל דרישה מהרשם להחיל על מאגר המידע שלו את רמת האבטחה הגבוהה כי אחת, שתיים, שלוש. זה לא פטור, זה החלה. אז נעשה דבר כזה אי פעם? << אורח >> ראובן אידלמן: << אורח >> השימוש הזה לא נעשה, של החלת חובות מעבר לחובות שקבועות בתקנות מכוח תקנה 20(א) לא נעשה. << יור >> היו"ר שמחה רוטמן: << יור >> לא מעבר למה שכתוב בתקנות, להעביר מקטגוריה לקטגוריה. << אורח >> ראובן אידלמן: << אורח >> כן, לא נעשה. החלה לא נעשתה. << דובר >> נעמה מנחמי: << דובר >> תקנה 25, יחס לחיקוקים אחרים, התקנות האלה יחולו נוסף על הוראות בעניין אבטחת מידע בחיקוקים אחרים, זולת אם יש סתירה ביניהם. נתחיל את התקנות. יש לנו חמישה טורים. טור א' זה ההפרה. במקור טור ב' וטור שהפך להיות ה' היו ביחד, פיצלתי אותם כי אני חושבת שזה קצת יותר מפשט לאנשים שקוראים את התקנות, הם יודעים באיזה תקנה הם ואז הם רואים הרבה יותר פשוט מה חל עליהם ומה לא. לכן טור ב' הוא רק מאגר שחלה עליו רמת האבטחה הבסיסית, טור ג', מאגר שחלה עליו רמת האבטחה הבינונית, טור ד' מאגר שחלה עליו רמת האבטחה הגבוהה, וכמו שאמרתי קודם, טור ה', מאגר המנוהל בידי יחיד. מאחר שיצא שההוראות די ארוכות חשבנו שנכון לתת להם כותרות כדי שיהיה קל לקרוא אותן ולכן אתם תראו שלאור כל התקנות אתם תראו שיש כותרת לכל הפרה כזאת. טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (1) ניגוד עניינים של ממונה אבטחת מידע, בעל שליטה במאגר מידע החב במינוי ממונה אבטחת מידע לפי סעיף 17ב, מחזיק במאגר כאמור או מנהל מאגר כאמור, שהממונה על אבטחה במאגר מילא תפקיד נוסף בו שעלול להעמידו בחשש לניגוד עניינים במילוי תפקידו כממונה על אבטחה במאגר, בניגוד להוראות תקנה 3(4) לתקנות, או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות התקנה שדיברנו עליה כמרחפת על כולם שזה רלוונטי לנושא של מחזיק. << אורח >> ראובן אידלמן: << אורח >> אולי נעיר בעניין הזה שיש סמכות, עוד לא הגענו למודל העיצומים הסטנדרטי, שיש אותו בתיקון 14 ובכל חקיקה שיש בה עיצומים כספיים, אבל אחד הסעיפים שם הוא סעיף שמסמיך אותנו לקבוע נוהל למקרים שבהם תינתן התראה. הנוהל הזה הוא באישור היועצת המשפטית לממשלה, או המשנה ליועצת המשפטית לממשלה. העלינו לאתר הוועדה את טיוטת הנוהל שאנחנו מתכוונים לגבוה והנוהל הזה אומר שיהיו תקנות מסוימות שההפרה הראשונה שלהם תהיה בהתראה, לא מיד נטיל עיצום כספי והתקנה הזאת היא אחד מהם, זאת אומרת אם גילינו שאגב הליך אכיפה שממונה אבטחת המידע נמצא בניגוד עניינים למרות האיסור שיש עליו בתקנות, פה תהיה התראה ואם אוו מפוקח משמר את ניגוד העניינים הזה אחרי שהרשות אמרה לו במפורש שהוא לא יכול להיות בניגוד עניינים אז בשלב הבא אפשר יהיה להטיל עליו עיצום. יש עוד כמה תקנות כאלה שהן כפופות להתראה בהפרה ראשונה, ניגע בהן בהמשך. << יור >> היו"ר שמחה רוטמן: << יור >> גם פה, שוב, אני מאוד לא אוהב את מנהל המאגר. אין לי שום דבר אישי נגד מנהל מאגר, להיפך, אני בעדו, אני לא מבין. << אורח >> ראובן אידלמן: << אורח >> הסיבה שזה כתוב כאן, דיברנו על זה, זה חלק מהאחריות האישית, אבל אפשר להשאיר את זה לדיון. << יור >> היו"ר שמחה רוטמן: << יור >> נשאיר את זה לדיון. זה מסומן בצהוב. לפעמים כל המוסיף גורע. יש אחריות מתחלקת, חושבים שמוסיפים עוד מישהו לאחריות, בסופו של דבר פחות אנשים דואגים לזה, בסופו של דבר יש גורם אחד שהוא אחראי, שהוא בעל השליטה ויש גורם שני שהוא המחזיק. כל הפונקציות האחרות, אם אדם מטיל עליהם אחריות אז זה מסיר או מצמצם את האחריות של האחרים. זה מוסיף לכם אולי עוד כתובת לשלוח אליה את העיצום הכספי, אבל זה לא משפר בעיניי את רמת האבטחה. << אורח >> עמית יוסוב עמיר: << אורח >> אני חושב שזה חוזר בכל התקנות. << יור >> היו"ר שמחה רוטמן: << יור >> נכון, לכן אם תודיעו עכשיו שאתם מורידים את זה אתם תחסכו לי את הכול. << אורח >> עמית יוסוב עמיר: << אורח >> אולי אפשר לומר שהנושא יידון ונעמה הציבה בכל מקום - - - << דובר >> נעמה מנחמי: << דובר >> כדי שנזכור אחר כך איפה להוריד. << יור >> היו"ר שמחה רוטמן: << יור >> כדי שנשים לב. << אורח >> ליאור אתגר: << אורח >> אם אפשר לחזק את אדוני היושב ראש, אנחנו סבורים שבעולם הפרקטי התפקיד של מנהל מאגר, בוא נגיד במקרה הטוב אפשר לקרוא לו אדמיניסטרטור. בסוף תורת האורגנים מוכרת לכולנו, יש נושא משרה, ממילא אם מישהו פישל בענק אז הוא יהיה אחד מנושאי המשרה, אי אפשר יהיה להטיל את כל כובד המשקל על מנהל שברוב המקרים הוא לא מנהל מאוד בכיר בארגון ויכול להיות שהאופרציה שלו באמת לא עבדה כמו שצריך, אבל זה אמור להיסגר ברמה ארגונית ויש לנו בשביל זה את תורת האורגנים ואנחנו לא זקוקים לעוד פונקציה. << יור >> היו"ר שמחה רוטמן: << יור >> טוב. אז הנה, הצבת לנו את הכול ואנחנו פשוט נגיד שם קוד, קוד צהוב. << אורח >> ענר רבינוביץ׳: << אורח >> אנחנו כאן בשולחן קצת מבולבלים לגבי איזה מצבים יש של ניגוד עניינים יש אצל מנהל אבטחה, אצל CISO. ניסינו לחשוב על דוגמאות ואני לא מצליח. אני אשמח לדעת. << יור >> היו"ר שמחה רוטמן: << יור >> זו שאלה על התקנות או שאלה על העיצומים. << אורח >> ענר רבינוביץ׳: << אורח >> גם וגם, כי מכאן אם אנחנו באים להסדיר כאן התנהגות אנחנו רוצים לדעת איך להתנהג או ממה להימנע וכרגע זה לא ברור. << יור >> היו"ר שמחה רוטמן: << יור >> ממונה על אבטחת מידע שהוא גם לצורך העניין המשתמש? << דובר >> קריאה: << דובר >> הוא לא יכול להיות מנהל IT. << אורח >> ראובן אידלמן: << אורח >> למשל אמרנו שהמנמ"ר של החברה לא יכול להיות. זה גם מפורסם באתר הרשות. << יור >> היו"ר שמחה רוטמן: << יור >> למה? << אורח >> ענר רבינוביץ׳: << אורח >> כיצד להיות מנמ"ר סותר את הערך של אבטחת מידע בארגון? << יור >> היו"ר שמחה רוטמן: << יור >> תפתחו את ראשי התיבות מנמ"ר. << אורח >> ענר רבינוביץ׳: << אורח >> מנהל מערכות מידע. << אורח >> ראובן אידלמן: << אורח >> הוא מנהל הטכנולוגיה, מנהל מערכות המידע של הארגון, הוא כאילו הגורם הטכנולוגי הבכיר של הארגון. << יור >> היו"ר שמחה רוטמן: << יור >> למה הוא לא יכול להיות? << אורח >> ראובן אידלמן: << אורח >> אבל כן אמרנו גם במה שפרסמנו באתר שלנו, שזה יכול לייצר חשש לניגוד עניינים. אם ממונה האבטחה כפוף למנמ"ר אז צריך לייצר לו אי תלות נפרדת כיוון שהוא אחראי על אינטרס מסוים. מנמ"ר מקדם אינטרס אחד של החברה, ממונה אבטחה אחראי על אינטרס אחר, יכולה להיות התנגשות בעניין. << יור >> היו"ר שמחה רוטמן: << יור >> באמת לא ברור לי. מה האינטרס של מנמ"ר? << אורח >> ליאור אתגר: << אורח >> אם אפשר להוסיף, לא שאני יותר מדי מבין בעולמות ה-CISO, אבל גם DPO, ב-GDPR, צריך להיות לו אי תלות. << יור >> היו"ר שמחה רוטמן: << יור >> אנחנו נעשה פה כלל, כל ראשי תיבות חייבים לומר. << אורח >> ליאור אתגר: << אורח >> גם ממונה הגנת פרטיות לפי ה-General Data Protection Regulation צריך להיות באי תלות, וגם מעולמות ה-CISO, אותו מנהל הגנת סייבר או מנהל אבטחה, גם תקני האבטחה דורשים שהוא יהיה בעל אי תלות, ואני חושב, אם אפשר לתרום לדיון, שיש ניגוד אינטרסים בסיסי כי מנהל מערכות מידע הוא בדרך כלל זה שאמון על התקציב ועל האופרציה והרבה פעמים זה יכול לא לבוא לו באינטרסים שלו להשקיע עוד כסף ועוד מערכת הגנה כי יש לו אינטרסים אחרים בארגון ובשביל זה צריך מישהו שיש לו דעה מקצועית ושברוב המקרים אותו -CISO הוא בכלל גורם חיצוני. << אורח >> ענר רבינוביץ׳: << אורח >> אפשר להתווכח אם אותו מנמ"ר שאחראי על התקציב ואחראי על אבטחה, זה דווקא מתמרץ אותו להשקיע חלק מהתקציב באבטחה. או שכן או שלא, אבל שוב, אם אנחנו יוצרים כאן כלל מאוד עמום עם סנקציות בצדו. << אורח >> לינא כמאל טרודי: << אורח >> ברשותכם אני ארחיב. המנמ"ר הוא זה שיושב על התקציב, זה נכון, אבל מצד שני יש לו אינטרס שיביא את הקדמה הטכנולוגית, לשדרג את היכולת של העובדים לעבוד בצורה נוחה יותר, להביא להם עוד מוצרים שיכולים לשפר את הארגון מבחינה טכנולוגית, בעוד שה-CISO הוא אמנם בעד טכנולוגיה, אבל הוא זה ששם את הברקסים בפועל כי כל פעם שמציעים לו הצעה הוא אומר: שנייה, אבל זה יכול להוות סכנה, אז אנחנו צריכים עוד בקרות מפצות או צריכים עוד טכנולוגיה, הפתרון כשלעצמו הוא לא מספיק טוב, צריך לשים עוד פילטרים, צריך להביא עוד טכנולוגיה מסוימת, לעשות הקשחה פה ושם. כל דבר כזה מוסיף עוד עלויות, מוסיף עוד גורמים שצריך להתעסק איתם, לשנות את טבלת הסיכומים שהארגון אמור לנהל אותה. אז ברגע שאני מכניס עוד גורם שהוא כפוף לזה ששם את הברז לכסף תחת ה-CISO, אז ה-CISO כל הזמן יגיד: שנייה, אני בעצם חושש לתפקידי, אני נראה זה שהוא תמיד אנטי, אז אף אחד לא רוצה לקדם לי שום כלום ולכן אני גם איישר קו עם המנמ"ר. << אורח >> ראובן אידלמן: << אורח >> בכל אופן יש כאן התראה, הפרה ראשונה כאן היא בהתראה, זה חלק מהמענה אולי לשאלות ואפשר לעתור כמובן גם נגד ההחלטה הראשונה של הרשות. אם הרשות קובעת שממונה האבטחה פה הוא בחשש לניגוד עניינים אז בגלל זה - - - << יור >> היו"ר שמחה רוטמן: << יור >> יש לי שאלה, בביקורות שלכם, הרי יש לכם גם ביקורות רוחב וגם ביקורות עומק וגם ביקורות שטח - - - << אורח >> לינא כמאל טרודי: << אורח >> רוב ממוני אבטחת מידע הם CISO כשלעצמם, בין אם זה אאוט סורסינג ובין אם זה - - - << יור >> היו"ר שמחה רוטמן: << יור >> וזה לא טוב? << אורח >> לינא כמאל טרודי: << אורח >> לא, הם חייבים להיות מנותקים מהמנמ"ר. זה החיצוני, הם צריכים להיות חיצוני שלא כפוף למנמ"ר. << יור >> היו"ר שמחה רוטמן: << יור >> אבל היום, כאשר אתם עושים ביקורת, כמה ריג'קטים מגיעים לכם על התקנה הזאת שאתם אומרים שהבן אדם בניגוד עניינים, ממונה אבטחת מידע שלכם הוא בניגוד עניינים? מה המצב בשוק היום? בשביל זה אתם עושים רוחב, שאלונים, עניינים, אם זה גזרה שאין הציבור יכול לעמוד בה, אם אתם מוציאים את זה לכולם, אם זה לא קורה אף פעם. לא יודע. << אורח >> ענר רבינוביץ׳: << אורח >> בשטח מנהלי אבטחה רבים כפופים ל-CIO, למנמ"רים, ולפי מה שתיארתם ניגוד העניינים הזה, שלטענתכם קיים אצל מנמ"ר, הוא קיים גם אצל מנכ"ל, הוא קיים גם אצל סמנכ"ל תפעול, הוא קיים אצל כל ההנהלה של החברה, אז למי ה-CISO מדווח? לדירקטוריון? << אורח >> לינא כמאל טרודי: << אורח >> הוא מדווח להנהלה. באופן כללי ה-CISO חייב לדווח להנהלה. << אורח >> ענר רבינוביץ׳: << אורח >> לא, אז הוא לא. במציאות אין מצב כזה. יש להם - - - << יור >> היו"ר שמחה רוטמן: << יור >> ה-CISO אמור לדווח לדירקטוריון? << אורח >> לינא כמאל טרודי: << אורח >> הוא חייב להנהלת החברה. << יור >> היו"ר שמחה רוטמן: << יור >> לא הבנתי. בסופו של דבר, הנהלה לא הנהלה, זה יכול להיות עוסק מורשה, לא בכל מקום יש דירקטוריון, בסופו של דבר יכול להיות חברת יחיד או אין דירקטוריון בכלל, יש בן אדם אחד שהוא בעל השליטה במאגר, שהוא הבוס. אני לא מכיר הנהלה. הנהלה לא מופיעה לא בחוק ולא בתקנות. << אורח >> ראובן אידלמן: << אורח >> אין חובה למנות ממונה. אדוני, אני מזכיר את הדיון מהדיון הקודם בסעיף 17ב שקובע מתי יש חובה למנות ממונה אבטחת מידע, אין חובה על עסקים קטנים. << יור >> היו"ר שמחה רוטמן: << יור >> עזוב אותי מעסק קטן, יכול להיות עסק גדול בלי דירקטוריון. << אורח >> לינא כמאל טרודי: << אורח >> אבל הוא לא צריך ממונה אבטחת מידע. << יור >> היו"ר שמחה רוטמן: << יור >> למה הוא לא חייב ממונה אבטחת מידע? << אורח >> ענר רבינוביץ׳: << אורח >> זה לא מדויק, זה לא נכון גם, אפשר למנות - - - << אורח >> ראובן אידלמן: << אורח >> קודם כל התקנה גם מדברת על המקרים - - - << יור >> היו"ר שמחה רוטמן: << יור >> בואו נחדד את העניין. לא מעניין אותי המבנה התאגידי, הוא לא מופיע בחוק ולא בתקנות, בסופו של דבר יש בעל מאגר, לבעל המאגר יש הגדרה, זה לא הדירקטוריון. << אורח >> לינא כמאל טרודי: << אורח >> נכון, זה ההנהלה. << אורח >> ענר רבינוביץ׳: << אורח >> לא, בעל המאגר זה החברה. << יור >> היו"ר שמחה רוטמן: << יור >> אם תראי לי את המילה הנהלה בחוק או בתקנות, מה שאת רוצה, אני משלם כגודל העיצום הכספי הגבוה ביותר מבין ה – אין הנהלה. יש בעל שליטה במאגר ויש מחזיק, זה האנשים שאנחנו מכירים. יש לנו דיון על מנהל מאגר, גם פרסונה, בשר ודם. בסופו של דבר יש לי מישהו שהוא בעל מאגר של דיוור ישיר ומה לעשות, אללה ירחמו, הוא יחיד, יכול להיות כזה דבר, יחיד שהוא בעל מאגר לדיוור ישיר? << אורח >> ראובן אידלמן: << אורח >> כן. << יור >> היו"ר שמחה רוטמן: << יור >> באיזה רמת אבטחה הוא יהיה? כי הרי זה מוחרג, דיוור ישיר מוחרג מהכול, נכון? או שלא? אם זה יחיד שמחזיק מאגר? << אורח >> ראובן אידלמן: << אורח >> אם הוא דיוור ישיר אז הוא יהיה ברמת אבטחה בינונית. << יור >> היו"ר שמחה רוטמן: << יור >> לפחות, אלא אם כן הוא מחזיק עוד מידעים. אז הוא יהיה מינימום בינונית, הוא חייב למנות ממונה אבטחת מידע ב-17ב? << אורח >> ראובן אידלמן: << אורח >> לא, זה חובה שונה ב-17ב. 17ב עוד לא סוכם בוועדה, אבל החובה היום בסעיף 17ב לחוק מדברת על מחזיקים ועל סוגים מסוימים של גופים כמו בנקים, חברות ביטוח. זו חובה שהיא לא כרוכה כרגע ברמת האבטחה, זה שני דברים שונים. והיא גם לא מדברת על דיוור ישיר. מי שחייב למנות לפי 17ב היום זה גוף ציבורי, מי שמחזיק בחמישה מאגרים שחייבים ברישום או בנק, חברת ביטוח או חברה שעוסקת בדירוג אשראי. << יור >> היו"ר שמחה רוטמן: << יור >> גוף ציבורי הכי קל לי. יש לי גוף ציבורי, אין לי דירקטוריון, אין לי הנהלה בגוף ציבורי, יש לי מנכ"ל, למנכ"ל יש תלות או אין תלות? הוא בניגוד עניינים או לא בניגוד עניינים? המנמ"ר כפוף לו או לא כפוף לו? ראש העיר? << אורח >> ראובן אידלמן: << אורח >> כולם תחת ראש העיר. << יור >> היו"ר שמחה רוטמן: << יור >> יפה, אז הוא בניגוד עניינים בגלל זה? << אורח >> ראובן אידלמן: << אורח >> לא. << יור >> היו"ר שמחה רוטמן: << יור >> לראש העיר מותר להיות בעצמו מומחה אבטחת המידע? לא, כי יש לו תלות עם עצמו? הרי הוא מדווח לו. מה שאני מנסה לומר, שהדיווח להנהלה כבודו במקומו מונח, אני לא מכיר אותו לא מהתקנות ולא מהחוק. אם הדבר הזה, וזה שאלתי אתכם, כמה מהביקורות שלכם, כמה פעמים מצאתם ניגוד עניינים, האם חוות הדעת שלכם שהוא כן יהיה כפוף למנמ"ר או לא כפוף למנמ"ר זה נטל רגולטורי מיותר? ושוב אני מדגיש ומחדד, העובדה שעד עכשיו הייתה לכם חוות דעת שאומרת שאסור שהוא יהיה כפוף למנמ"ר. << אורח >> ראובן אידלמן: << אורח >> עם חריג, שאפשר לייצר לו אי תלות. << יור >> היו"ר שמחה רוטמן: << יור >> עם חריגים. אני רק אומר, זה דבר שהוא מעצם טיבו מאוד מאוד קשה ללכת איתו לעיצום כספי, כי בראייה שיש משהו שנתון לפרשנות אז אחת משתיים, או שזה דרך לצדק לעשירים, כי דווקא אני צופה המון קנסות של 1,000 ואפס קנסות של 80,000 שקל. למה? כי מי שיחטוף קנס של 80,000 שקל יש לו את עורך הדין המוכשר פה שיושב, יש פה כמה, שיגיד לכם שחוות הדעת שלכם היא לא נכונה ולכן הוא לא ישלם את ה-80,000 שקל ויסביר לכם למה אי התלות שלכם היא לא אי תלות, ומי שיקבל את ההתראה, הנטל הרגולטורי שאתם תטילו דווקא על בעלי העסקים היותר קטנים שיחטפו את ה-1,000 שקל, הם עכשיו יצטרכו לייצר משרה נוספת או גורם חיצוני שהוא לא באמת כפוף למנמ"ר, או כפוף למנמ"ר רק בימים שני ושלישי ולא אחרי הצהריים. זו הבעיה בחובה רגולטורית שהיא לא חדה וברורה, שהיא לא אפס או אחד. לא מינית מנהל? בסדר, חטפת. כן נתת, לא נתת. ניגוד עניינים זה מושג שכל כך הרבה קולמוסין נשתברו עליו, ואם הייתי רוצה הייתי שואל האם נשיא בית משפט עליון מותר לו לשבת בישיבה שדנה במינוי נשיא בית משפט עליון? יש שתי חוות דעת סותרות בנושא הזה ספציפית. לא יודע, על זה לתת עיצום כספי? << אורח >> ראובן אידלמן: << אורח >> אני אשמח להתייחס. ראשית בגלל מה שאדוני אמר בסוף, זה מההוראות שאמרנו שהעבירה הראשונה תהיה בהתראה ואז אפשר לתקוף, כמו שאדוני אמר, את ההחלטה שלנו שיש בכלל ניגוד עניינים. << יור >> היו"ר שמחה רוטמן: << יור >> שוב, תמחק את הטור של ה-80 וה-20 ותשים רק את הטור של ה-1,000, מסיבה מאוד פשוטה, כי מי שיחטוף 80 יתקוף ומי שיחטוף 1,000 לא יתקוף וישלם. << אורח >> ראובן אידלמן: << אורח >> לא, עוד לפני שלב העיצום. << יור >> היו"ר שמחה רוטמן: << יור >> כמה עולה להגיש עתירה מנהלית נגד ההחלטה שלך? זה וואחד קנס, זה קנס יותר גדול. << אורח >> ראובן אידלמן: << אורח >> רגע, אני רוצה להגיד משהו נוסף. הכוונה היא, וזה נאמר גם על ידי עו"ד ליאור אתגר, לייצר בעל תפקיד, וזה קצת דומה גם לתכליות מהבחינה הזאת של ממונה הגנת פרטיות בארגונים, זה מאוד מקובל ברגולציות פרטיות, לייצר בעל תפקיד שיש לו אי תלות מסוימת, יש לו ערוץ ישיר להנהלה, הוא חייב לפי התקנות, והעיצום כאן הוא על ניגוד עניינים אז אנחנו מסתובבים סביב החובה הזאת, אבל תקנה 3 פורטת את כל התפקידים של ממונה אבטחת מידע, הוא למשל חייב להביא לאישור בעל המאגר נוהל. זאת אומרת זה כן אדם שאמור לעבוד מול ההנהלה, ואז אמרנו, במקרה שהוא למשל כפוף למנמ"ר - - - << יור >> היו"ר שמחה רוטמן: << יור >> בעל המאגר זה לא הנהלה, תפסיק להשתמש בביטוי הנהלה, אני לא יודע מה זה הנהלה. איפה כתוב שבעל מאגר זה הנהלה? << אורח >> ראובן אידלמן: << אורח >> לא כתוב. << יור >> היו"ר שמחה רוטמן: << יור >> אז בעל מאגר. << אורח >> ראובן אידלמן: << אורח >> אבל בתפיסה שלנו הוא אדם שאמור לעבוד מול ההנהלה, כך אנחנו מפרשים את ההוראות האלה. לא אמרנו שזה אסור, אמרנו שאם הוא כפוף למנמ"ר או אם הוא המנמ"ר עצמו, יכולה להיות גם סיטואציה כזאת, אז צריך לייצר לו איזה שהיא אי תלות בכובע הזה שלו. זאת האמירה. אבל בכל אופן אם יהיו שאלות של - - - << יור >> היו"ר שמחה רוטמן: << יור >> מה שקורה פה, זה מונחים של משפט מנהלי כשגם במשפט המנהלי אף אחד לא מבין מה הם אומרים ואורך ידם כאורך ידו של כותב חוות הדעת, לעשות על זה עיצום כספי זה בעיניי דבר משונה מאוד. לצורך העניין אפילו יותר קל לי אם הייתי נותן לך, אם היה לך, אני לא יודע, אולי יש לך, אני לא מספיק בקי בתקנות, סמכות לתת הוראה לבצע פעולה מסוימת, למנות מישהו אחר, להסיר ניגוד עניינים, זה לא בדרך ההתראה המנהלית, ואז יש את הפרת הוראה שלך אז קל לי לעשות את זה, הפר הוראה שנתן ראש רשות ספציפית לזה וזה, אז אני יודע להגיד נתת הוראה, אפשר לתקוף את ההוראה. אבל לבוא ולהגיד על ניגוד עניינים התראה מנהלית ואני לא מסכים איתך ואז אתה מעמיד בעל עסק בפני הבחירה, נניח שמדובר בלהעסיק עוד אדם, להעסיק עוד אדם יש לזה עלות של כמה? מאות אלפי שקלים בשנה יכול להיות גם, אבל גם אם אתה בגוף קטן ואתה עושה כמשהו נוסף על תפקיד ואתה לוקח מישהו חיצוני ואתה משלם לו חוזה שנתי של 100,000 שקל, כי מצאת מישהו באמת שובר שוק, אז אתה מעמיד אותי בסיטואציה שאני צריך או לקחת מישהו חיצוני ב-100,000 שקל, או להגיש נגדך עתירה ב-100,000, מישהו פה מגיש עתירות בפחות מ-100,000 שקל? אתם לא חייבים להגיד, או לשלם 1,000 שקל ותעזוב אותי. על מה? על זה שאני לא מסכים איתך בכלל. << אורח >> ליאור אתגר: << אורח >> אם אפשר להציע פשרה מסוימת, כי הנושא של אי תלות של ממונה על אבטחה יחזור אלינו בנושא של ממונה הגנת פרטיות. הנושא הזה הוא חשוב לארגונים ואני מסכים עם אדוני שבסוף ההיבט הזה פוגע בארגונים קטנים שממילא ידם אינה משגת וממילא זה גם לא קורה שם בפועל. אולי צריך להוריד את הסנקציות מהמדרגה הנמוכה ולהשאיר אותה אך ורק בגבוהה, כי שם הם כן ימצאו את הדרך. גם אם המנמ"ר הוא ה-CISO הם עדיין ימצאו דרך בנוהל להגדיר שיש לו זכות לתת את הדין בפני ועדת ביקורת אם זה חברה ציבורית או יתר פורום חברי ההנהלה ולא הממונה הישיר של המנמ"ר, ימצאו את הדרך לעשות את זה. בארגונים קטנים כנראה שאין טעם להטיל סנקציות בגלל שההוראה הזאת כנראה כבדה על הציבור. << יור >> היו"ר שמחה רוטמן: << יור >> אז ההצעה שלך להוריד את ה-1,000 ואת ה-20,000 ולהשאיר רק את ה-80,000? << אורח >> ליאור אתגר: << אורח >> כן, הייתי משאיר את הגבוהה. << דובר >> נעמה מנחמי: << דובר >> מה חושבת על זה הממשלה? << אורח >> ראובן אידלמן: << אורח >> גם על ההצעה של אדוני קודם, זו גם אופציה, לעשות שתהיה הוראה שאתה נמצא בניגוד עניינים ואנחנו מורים לך להפסיק להפר את התקנה. << יור >> היו"ר שמחה רוטמן: << יור >> לא, זה דומה להתראה מנהלית. << אורח >> ראובן אידלמן: << אורח >> נדמה לי שאדוני הציע את זה. << אורח >> שחף קצלניק: << אורח >> אבל עצם ההצעה של לבוא ולהגיד שאנחנו ניתן לך הוראה שאתה נמצא בניגוד עניינים - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, אני אמרתי שהמנגנון של ההתראה המנהלית זה למעשה המנגנון, להגיד אתה בניגוד עניינים. << אורח >> שחף קצלניק: << אורח >> ההגדרה הזאת לבוא ולהגיד לעסק קטן שהוא בניגוד עניינים כשבן אדם מארגן את הכול. << יור >> היו"ר שמחה רוטמן: << יור >> אני מסכים איתך, אני מעדיף שלא, אבל אני באמת מתאר לעצמי שאם תהיה סיטואציה כזאת יהיו לכם דברים אחרים לתפוס אותו עליהם, אתם לא תצטרכו את זה רק על הנושא של ניגוד עניינים, אז בעיניי ההוראה מיותרת. כן יכולה להיות סיטואציה עם הוראה בתפירה ספציפית ואז אני כבר יצאתי מהעולם של השופט האוטומטי שדיברנו עליו, כי כן הייתה פה איזה שהיא הוראה ספציפית של הרשם על מקרה מסוים שזה כבר הניב X תוצאות וזה וזה, זה לא עכשיו הוראות כלליות, זו הוראה פרטנית ספציפית לגוף מסוים, גם אם הוא עסק קטן, זה יכול להיות עסק קטן אבל אם יתגלה לי בעסק הקטן הזה שהיעדר אי התלות של ממונה אבטחת מידע הוביל לזה שאותו עסק קטן שמחזיק במידע האימוץ על הילדים של ראשי המוסד זלג לאירנים, אז ואללה, אז יכול להיות שכדאי בכל זאת לעשות את זה. << אורח >> שחף קצלניק: << אורח >> אבל לשיטת הרשות עצם העובדה שאני מכהן בשני תפקידים או שיכול להיות להם איזה שהיא בעיה זה כבר ניגוד עניינים. << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה יהיה תפיסת הרשות. << אורח >> שחף קצלניק: << אורח >> אבל העסק הקטן לא יאתגר אותם. << יור >> היו"ר שמחה רוטמן: << יור >> לכן ההבדל בין תפיסת הרשות כפי שבאה לידי ביטוי בגילוי דעת מספר זה וזה וזה שזה לא וזה כרגע כן ואני לא רוצה את זה, לבין הוראה ספציפית של ראש הרשות לגוף מסוים לפי סעיף 20, לא יודע, שאומר: נתתי לך הוראה ספציפית בהקשר שלך אחרי שכבר קרה לך X, Y ו-Z עם החלטה מנומקת ועכשיו אתה מפר אותה, אז על הפרת ההוראה הזאת יש עיצום כספי. זו הוראה כללית כזאת. << אורח >> שחף קצלניק: << אורח >> אוקיי, אבל בהוראה כזאת צריך איזה שהוא קשר ספציפי ישיר. << יור >> היו"ר שמחה רוטמן: << יור >> נכון, ואם זה לא ימצא חן בעיניך וכבר עשו את הרזולוציה ואת ה-dig in לדבר הזה וזה מה שהגיעו במסקנה אז על זה כן תעתור, אבל לא על הוראה כללית שהשוק לא יודע לחיות איתה שכן תהיה כפוף ל-DPO או כל מיני שמות וראשי תיבות שאני לא מבין. << אורח >> ראובן אידלמן: << אורח >> אין לנו התנגדות להשאיר את העיצום על האבטחה הגבוהה, אם זה משהו שמקובל על הוועדה. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, פשרה מפא"יניקית הולמת. << דובר >> קריאה: << דובר >> זה לא פתר את הבעיה. << יור >> היו"ר שמחה רוטמן: << יור >> זה קצת פתר את הבעיה, אבל שנייה. צחי שלום, מרכז השלטון המקומי. << אורח >> צחי שלום: << אורח >> בוקר טוב ליושב ראש ולחברים. אני רוצה לשים זרקור על ההקשחה וההתנהגות של כפיפות והפחד מכפיפות למנמ"ר. אני אצייר איזה שהיא תמונת מצב של מה קורה ברשויות. אני חושב שמישהו כבר אמר את זה, אבל ברשויות יש לנו מגבלות מאוד גדולות תקציביות. ההנחה היא שהמנמ"ר הוא בעל אינטרס סותר למנהל אבטחת המידע היא הנחה שגויה כי בסיכומו של דבר בעולמנו כשיש אירוע סייבר מי שמנהל את האירוע בסוף וחוטף מההנהלה ומתעסק עם זה ביום יום הוא בעצם המנמ"ר, הוא לא ה-CISO. מנכ"ל הרשות לא מכיר את ה-CISO, הוא לא מכיר אותו, הוא לא מדבר איתו ביום יום, הוא לא מסוגל להתמודד עם הקיצורים או צורת הדיבור שלו והמנמ"ר הוא זה שבעצם זה שלוקח את האחריות. בתוך העולם הזה של הנחה בסיסית שיש סתירה בין המנמ"ר לבין ה-CISO היא הנחה ישנה ושגויה כי האינטרס של שני הגופים האלה הוא להעלות את המודעות. כשאני בא ואומר כזה דבר, ה-CISO יהיה כפוף למנכ"ל, ה-CISO מגיע למנכ"ל ואומר לו: צריך אחת, שתיים, שלוש וארבע, המנכ"ל לא מבין בזה, הוא לא יודע, הוא לא יודע להגיד, הסתירה הפנימית בין הצרכים והתפקידים לא מתבטלת, אלא מתחדדת, היא נהיית עוד הרבה יותר גרועה כי למנכ"ל יש את המסגרת הארגונית שלו שהוא צריך לנהל והמנמ"ר מבין את זה ומסביר למנכ"ל את הצרכים. כשהכפיפות והאחריות היא בתוך הבית, בתוך עולם מערכות המידע, בתוך ההבנה שצריך לעשות את הדברים, וזו ההבנה שהיום קורית ברשויות, ואני חושב בהמון גופים שהם מצומצמים בכוח אדם, זה שהמנמ"ר מוביל גם את עולם אבטחת המידע, הוא לוקח את זה בחשבון בתוך התהליכים שלו והוא גם לוקח חלק מהאחריות הזאת. בסוף בבעיות הוא יתמודד והוא יצטרך לתת את התשובות לארגון על למה הארגון מושבת. אתם יכולים לראות את זה בכל האירועים האחרונים שקרו, בסוף מי שעומד בחזית ומטפל ועושה זה המנמ"ר ולא ה-CISO כשברור שצריך להקצות לזה משאבים נוספים. אם אנחנו נסתכל בהכרחה של רשות קטנה, להכריח אותה לקחת גם מנמ"ר, גם CISO וחס וחלילה גם DPO, שאין לנו את זה אפילו בספר התפקידים, בעצם כל הכסף יילך על משכורות והוא לא יילך על כלים ותהליכים לבצע. אני כן מבקש לשנות את ההגדרה הזאת שיש כפילות או התנגדות או התנגשות בין שני התפקידים האלה ולאפשר למנמ"ר להיות CISO ו/או לחילופין כפיפות. אפשר לבצע איזה שהוא מהלך של תהליך, הצגה, ברור שכל בעל תפקיד ברשות מציג תוכנית עבודה והיא מאושרת על ידי תקציב ומאושרת על ידי מנכ"ל וכו' וכו'. את אותם תנאים שה-CISO לכאורה אמור לעשות בצורה עצמאית המנמ"ר יכול לעשות את זה באותה דרך וגם לציין: לא קיבלתי או לא יכול לעסוק בפני ההנהלה. זה התהליך ואי אפשר לעשות את ההפרדה המכנית הזאת בין שני התפקידים האלה שמתקיימים כתף אל כתף ובעצם מתבצעים לפעמים על ידי אותו בן אדם למרות שנדרשים אחרת. << יור >> היו"ר שמחה רוטמן: << יור >> ודווקא לפי מה שאני מבין אתם נכנסים לגדר של הקנס הגדול. << אורח >> צחי שלום: << אורח >> בדיוק. עוד לפני הקנס, היושב ראש, זה תהליך מבנה ארגוני שונה. להביא CISO לרשות זה קריעת ים סוף, להביא מנמ"ר לרשות, יש לנו בסך הכול 70 מנמ"רים. << יור >> היו"ר שמחה רוטמן: << יור >> להביא CISO לרשות נשמע כמו קמפיין בחירות, תביאו את סיסו לרשות. << אורח >> צחי שלום: << אורח >> רשויות יוצאות בארבעה, חמישה ושישה מכרזים ולא מצליחים להביא בגלל העלויות, עזוב רגע בהעסקה אלא בגלל עלויות, אבל עושים את המאמצים ועושים את זה. כשאנחנו נאפשר למנמ"ר להיות נקרא לזה דו כובעי, גם CISO וגם מנמ"ר, אנחנו נפנה את התקציבים הנדרשים לעולם הזה של ביצוע הפעולות בפועל וככה נגביר את אבטחת המידע ולא נקטין אותה. אין יותר את הסתירה הזאת, אין מנמ"ר היום שלא מבין את הצורך באבטחת מידע שזה חלק עיקרי. הרי הוא יעמוד בראש, הראש שלו על הגרדום, לא של ה-CISO, אם משהו יקרה. << אורח >> ראובן אידלמן: << אורח >> בהקשר לשאלה של אדוני, לגבי רשויות מקומיות, אמרנו עיצום פה רק על רמת אבטחה גבוהה, גבוהה זה מי שיש לו מעל 100,000 נושאי מידע או 100 מורשי גישה. להבנתי, צחי יגיד אם המצב שונה, רוב הרשויות - - - << יור >> היו"ר שמחה רוטמן: << יור >> כמה רשויות מקומיות יש במדינת ישראל שיש בהן מעל 100,000 נושאי מידע << אורח >> צחי שלום: << אורח >> אני אתייחס רגע למספרים. מאוד פשוט, הרבה רשויות. למה? כי יש מאגרים, נגיד מאגר חינוך או רווחה שבו יש לך נתונים של 30,000 תושבים, יש לך את הנתונים הילד או שני ילדים ושני הורים והגעת ל-100,000 בקלות. אנחנו יודעים שאנחנו במאגרים הגבוהים וברור לנו ואנחנו מתנהגים בצורה הולמת ומנסים מאוד. << יור >> היו"ר שמחה רוטמן: << יור >> חוץ מזה גם יש להם תושבים לשעבר. גם אם בכל רגע נתון יש לעיר 50,000 תושבים, יש לה 100,000 תושבים במאגר כי היא מחזיקה מידע על תושבים קודמים, הנחות ארנונה שהיו להם, מי עזב, מי נכנס, מי יצא. << אורח >> ענר רבינוביץ׳: << אורח >> בעלי עסקים, ספקים של העירייה, בעלי עסקים מקומיים שהם לא תושבים. << אורח >> צחי שלום: << אורח >> יש הרבה, כמעט כל מאגר של רשות הוא ברמה הגבוהה. << יור >> היו"ר שמחה רוטמן: << יור >> נושא ניגוד העניינים שהוא נושא מעצם טיבו שדורש הפעלת שיקול דעת, ואתם בכל מקרה עושים אותו בהתראה, יכול להיות שהוא מתאים לא לאכיפת עיצומים. יהיה לכם מקרה קיצון תגישו עליו הליכים אחרים. << אורח >> ראובן אידלמן: << אורח >> אני מציע שנחזיר תשובה לוועדה בהמשך. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, בסדר גמור. לאט לאט מהגדרה להגדרה אנחנו – הדיון הזה הוא לא רק אליו, חשוב שתבינו את הראש של הוועדה, עיצום כספי צריך להיות בדברים שהם קליר קאט, בדברים שקל להפעיל אותם. נכון שהתראה מנהלית זה שלב ביניים כזה שהוא מיועד למקרי הקצה, אני חושב שניגוד העניינים הוא פחות מקרה קצה שצריך להיות בחוץ. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (2) מבנה מאגר ומערכותיו: בעל שליטה במאגר מידע, מחזיק במאגר כאמור או מנהל מאגר כאמור שלא החזיק מסמך מעודכן של מבנה מאגר המידע או רשימת מצאי מעודכנת של מערכות המאגר בהתאם להוראות תקנה 5(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> זה נראה הגיוני ודי קליר קאט, יש מסמך/אין מסמך, מעודכן. כן? << אורח >> שחף קצלניק: << אורח >> אין בעיה עם זה שצריך להחזיק מסמך מעודכן, אין ויכוח על זה, אבל אולי צריך לתת איזה שהוא buffer של זמן כי יש דברים שקורים תוך כדי. מספיק שעכשיו איזה מידע עכשיו שנאסף לפעילות חדשה עוד לא עודכן אצל הרשם או שעוד לא נכנס לתוך המסמך הזה. << יור >> היו"ר שמחה רוטמן: << יור >> לא, זה לא אצל הרשם, ביטלנו בחובת הרישום. << אורח >> שחף קצלניק: << אורח >> צודק. המסמך שלנו עוד טרם עודכן כי זה נמצא בחברה גדולה באיזה שהיא חטיבה ולא עודכן בתוך המסמך עצמו ורק מחר בבוקר יעודכן והרשות תגיע היום והמסמך - - - << יור >> היו"ר שמחה רוטמן: << יור >> מה רמת העדכון? << אורח >> ראובן אידלמן: << אורח >> אבל זה רק פעם בשנה. << יור >> היו"ר שמחה רוטמן: << יור >> מה שכתוב פה, איפה כתוב מתי צריך לעדכן? יש משהו על סקר סיכונים שזה 18 חודש, אבל זה לא קשור לעדכון המסמך. << אורח >> שחף קצלניק: << אורח >> הדרישה היא לעדכון, אם יש לך מידע עודף, זה לא הדרישה לעדכון אם יש מידע שנכנס. זה לא אותו דבר. זה שני דברים שונים. << יור >> היו"ר שמחה רוטמן: << יור >> התקנתי אנטי וירוס אני צריך מיד לעדכן את המסמך? << דובר >> קריאה: << דובר >> אנחנו בתקנה 2, זה אחת לשנה. << אורח >> שחף קצלניק: << אורח >> לא, זה לא קשור לתקנה 2. << יור >> היו"ר שמחה רוטמן: << יור >> זה מסמך הגדרות. << אורח >> ראובן אידלמן: << אורח >> החובה המהותית היא בתקנה 5(א), אבל התשובה, אני חושב שזה מה שאני אומר, שהרשות צריכה לפעול בסבירות. אם אתמול משהו השתנה - - - << אורח >> שחף קצלניק: << אורח >> אבל אף אחד לא יבין אם זה אתמול קרה, למה לא לתת איזה שהוא buffer כזה אפילו ברמת ה-30 יום, זה משהו שהוא הגיוני בתוך חברה. << דובר >> נעמה מנחמי: << דובר >> ממתי? << אורח >> שחף קצלניק: << אורח >> מרגע שנוצרה הפעילות, מרגע שנוצר השינוי. << יור >> היו"ר שמחה רוטמן: << יור >> עדכנתי אנטי וירוס. לכאורה במבנה מאגר, לפי מה שרשום פה, מערכות התוכנה משמשות להפעלת מאגר המידע, לניהול המאגר ותחזוקתו, לתמיכה בפעילותו, לניטור שלו ולאבטחתו. הורדתי עדכון גרסה אחרון, בארגונים גדולים עדכון גרסה זה עניין שלוקח כמה ימים ובודקים ועושים שנייה ב-sandbox וכל הדברים שעושים. עשו את זה, מה הגדרת מעודכן? שוב, אתם רוצים סבירות? זה סטנדרט סביר? << דובר >> קריאה: << דובר >> אנטי וירוס מתעדכן כמה פעמים ביום. << אורח >> ראובן אידלמן: << אורח >> אפשר לקבוע 30 יום. << אורח >> ענר רבינוביץ׳: << אורח >> 30 יום זה קצר מדי. מה סביר? קחו בחשבון, ארגונים שרוכשים עכשיו מערכת חדשה או בוחנים מערכת, עושה POC, proof of concept, הוכחת היתכנות של המערכת שהיא לעניין ושהיא טובה לנו. POC'יז כאלה יכולים לקחת כמה חודשים. בתקופה הזו אני לא חושב שזה נכון לעדכן את רשימת המצאי ואז להחזיר משם. חצי שנה בעיניי זה סביר, אם אתם חושבים שזה מופרך אפשר לנהל על זה משא ומתן. << יור >> היו"ר שמחה רוטמן: << יור >> לא יודע, חצי שנה נשמע לי, באמת עדיף להשאיר זמן סביר. יכול להיות שכשתבוא ותגיד לי, בהבנה המועטה שלי בנושא, שלא עדכנת את המסמך במה שאני עושה ב- proof of concept, זה כרגע בבדיקה, זה עוד לא נחשב, זה עוד לא פה, ואז לא יטילו עליך את הקנס, בסדר גמור, אבל ברור שעדכון של מערכת שהוא לא בטסט, אלא זה עדכון מערכת אמיתי, חצי שנה זה המון זמן לעדכן, זה נצח, זה מונע באופן אפקטיבי את היכולת שלהם לעשות ביקורת, זה ודאי לא מתאים חצי שנה. זה שלטסט זה לא מתאים, בסדר, אז תגיד שזה רק טסט, תסביר להם למה זה לא שם, כי זה רק טסט ותשכנע אותם לא להטיל עליך את הקנס. לא על בסיס החריג הזה נבנה את הכלל. << אורח >> ליאור אתגר: << אורח >> יכול להיות שמאחר שמדובר במסמך שזה לא התקנת המערכת עצמה אלא זה מסמך של קומפליינס, האינטרוול לא יכול להיות 30 יום, זה יותר מדי קצר. רבעון נגיד זה נשמע משהו הגיוני, בדרך כלל ארגונים מתנהלים ברמה כזאת. << יור >> היו"ר שמחה רוטמן: << יור >> הרעיון הוא שמנהל מאגר או ממונה אבטחת מידע במאגר או כל הגורמים האלה מעדכן מסמכים כאלה כחלק משגרת העבודה שלו, זה לא דבר שצריך לקחת זמן לעדכון. אם אתם מסכימים איתי תגידו בקול, לא רק תהנהנו. שגרת העבודה, הוראות הקבע למנמ"ר או ל-CISO או לכל אחד מהאנשים הקודמים שהזכרנו צריכות להיות: אתה מעדכן את הדבר הזה והזה, צ'ק ליסט, סיימת התקנה, קיבלת successful ואתה הולך למסמך ומעדכן. סתם בניהול תקין של מאגר, אתה לא מחכה, לא חצי שנה ולא 30 יום, גם 30 יום נשמע לי הרבה מדי, אבל לעניין קנס אני כן מבין כשאני בא ואומר בסדר, יש זמן סביר. אבל בבסט פרקטיס זה צריך להיות מעודכן און ליין. << אורח >> ענר רבינוביץ׳: << אורח >> לא תמיד זה עובד ככה. זה הרבה יותר מאתגר ממה שזה נשמע. זה נשמע רק ללכת לאיזה אקסל ולהוסיף שורה. << יור >> היו"ר שמחה רוטמן: << יור >> לא, ברור לי שזה מאתגר. << אורח >> ענר רבינוביץ׳: << אורח >> וזה גם לוקח זמן. << יור >> היו"ר שמחה רוטמן: << יור >> וברור לי שאם אתה לא מכניס דבר כזה לשגרת עבודה אז מהר מאוד 30 יום גם לא יספיקו לך. << אורח >> שחף קצלניק: << אורח >> זה יכול להיכנס לשגרת עבודה, כי ארגונים גדולים כן מכניסים את הדברים האלה בתוכנית, אז איזה שהוא פרק זמן סביר יכול לשמש פה כאיזה שהוא בסיס. << יור >> היו"ר שמחה רוטמן: << יור >> אז נשאיר את זה לסבירות. אני לא אכתוב כלום ונשאיר את זה לסבירות, אם זה המצב. קשה לי עם 30 יום כי אני לא חושב שמסמך כזה – זה להיפך, זה ייצר הרעה של סטנדרט האבטחה. << אורח >> שחף קצלניק: << אורח >> הסבירות זה חוסר ודאות. << יור >> היו"ר שמחה רוטמן: << יור >> נכון, חוסר ודאות מייצר דווקא אפקט טוב, כי יכול להיות שבמקרה הספציפי שלך יש לך צידוק סביר למה חיכית יומיים ותיפול על איזה עובד רשע של רשות להגנת הפרטיות, לא שיש היום כזה, אבל יום אחד ימנו מישהו שהוא עובד רשע והוא יטיל עליך את הקנס ואתה תהיה בבעיה, מצד שני זה ייצר אצלך קומפליינס. אם יהיה לך כתוב בהוראות 30 יום אז שגרת העבודה תהיה תעדכן תוך 30 יום מה שיגרום לזה שזה לא יעודכן אף פעם. לכן אי הוודאות בהקשר הזה היא לא באג, היא פיצ'ר. << אורח >> שחף קצלניק: << אורח >> אבל איפה ה- bufferשל הסבירות? << יור >> היו"ר שמחה רוטמן: << יור >> היופי בסבירות זה שלא צריך לכתוב אותה. יותר מזה, אם אתה כותב אותה מבטלים לך אותה, אבל אם אתה לא כותב אותה אז היא נשארת. סבירות זה משהו שהוא כמו – באחד מהספרים של דאגלס אדמס יש דבר שנקרא שדה בעיה של מישהו אחר, שכשמשהו מכוסה בשדה בעיה של מישהו אחר אף אחד לא רואה אותו. סבירות היא דומה לזה, אם אתה מסתכל עליה אתה לא רואה אותה. << אורח >> שחף קצלניק: << אורח >> אני חושב שההוראה הזאת היא מאוד מפורשת. בסוף אם אני לא מחזיק מסמך מעודכן הרשות בקלות תבוא ותגיד שהמסמך לא מעודכן, זה לא כל כך מעניין למה. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, אז היא תבוא עם עיצום כספי ואתה תגיש עתירה. << אורח >> שחף קצלניק: << אורח >> אבל עוד פעם, מי יגיש עתירה? << יור >> היו"ר שמחה רוטמן: << יור >> שוב, יגידו עדכנת ורואים את ה – הרי יש לוגים לכל מערכת, אתה יכול להגיד: לא עדכנתי את זה כי שלשום עדכנתי את האנטי וירוס ועדיין לא עדכנתי את זה כי יש לי עוד מחשב אחד במחלקת זה שעדיין האנטי וירוס אצלו לא קיבל את האוקיי, לכן לא עדכנתי כשהמערכת עברה את האנטי וירוס הזה. אז הם לא יטילו. << אורח >> שחף קצלניק: << אורח >> מה זה הם לא יטילו? << יור >> היו"ר שמחה רוטמן: << יור >> זה סבירות, ככה עובדת סבירות. << אורח >> שחף קצלניק: << אורח >> אבל ההוראה נורא נורא מפורשת, ההוראה אומרת שאם אני לא - - - << יור >> היו"ר שמחה רוטמן: << יור >> נכון, אבל כל עיצום כספי יכול להיות בחוסר סבירות. << אורח >> שחף קצלניק: << אורח >> אבל העסקים הקטנים לא ינסו לאתגר, זה לא יקרה. למה לא לקבוע את זה? << יור >> היו"ר שמחה רוטמן: << יור >> שוב, אני מסביר לך למה לא לקבוע, כי לקבוע זמן, כי אמיתית כמו בכל מילוי חובה פרק הזמן פה הוא זמן סביר, אמיתית, במילוי חובה. אם עדכנת אנטי וירוס בעירייה קטנה שהממונה אבטחת מידע עובד ברבע משרה ומגיע פעם בשבוע, אז הוא סיים את ההתקנה ביום חמישי בערב והוא לא עדכן את זה עד שהוא חזר שבוע אחרי, ביום חמישי, אז זה זמן סביר וזה הגיוני והמסמך שלו מעודכן נכון ללפני שבוע והוא לא יחטוף את הקנס. אבל אם אתה בחברה שיש בה עשרה אנשים שעובדים רק על זה ומעדכנים את כולם, שם עיכוב של יומיים זה לא סביר, לעומת זאת יש מקום שעיכוב של 30 יום, ואם אתה עושה טסט גם חצי שנה, זה כן עיכוב סביר. אני לא יכול לכתוב את כל המקרים האלה, אני לא יכול לתת זמן. << אורח >> שחף קצלניק: << אורח >> אם המערכת שעכשיו הכנסתי לארגון לא כתובה בתוך המסמך זה עכשיו משהו שישנה ומגיע לי עליו לקבל קנס? זו המהות של הסעיף הזה? אם עכשיו לא כתבתי מערכת שמגנה, אבל היא קיימת. << יור >> היו"ר שמחה רוטמן: << יור >> לא יודע. אני בהחלט פתוח לטענות על זה שתקנה 5 היא תקנה לא טובה. << אורח >> שחף קצלניק: << אורח >> לא, היא תקנה בסדר גמור, צריך להיות מסמך כזה, אבל זה שעכשיו לא הכנסתי מערכת שמגנה על הארגון שלי, אני הכנסת להיותי מערכת שפועלת, אבל לא כתבתי אותה במסמך זה הקנס? << יור >> היו"ר שמחה רוטמן: << יור >> מה תכלית תקנה 5? << אורח >> שחף קצלניק: << אורח >> התכלית של תקנה 5 באה להראות שבאופן קבוע יש לי מסמך שאני יודע שלפיו פועל המאגר שלי והמערכות שלי, אבל לבוא ולהגיד שבגלל שלא כתבתי את המערכת הזאת לפני יומיים, שבוע, 30 יום, על זה אני צריך לקבל קנס? << יור >> היו"ר שמחה רוטמן: << יור >> זה אומר שאתה לא עובד נכון. << אורח >> שחף קצלניק: << אורח >> למה? << אורח >> ענר רבינוביץ׳: << אורח >> זו חובה בסיסית מאוד שיהיה מיפוי של המערכת. הסבירות לא קיימת שם כי זה מנוסח באופן שהוא אובייקטיבי ולא סובייקטיבי. << יור >> היו"ר שמחה רוטמן: << יור >> לא, כשאתה אומר מעודכן - - - << אורח >> ענר רבינוביץ׳: << אורח >> אתה אומר שמעודכן יכול להיות נכון לשבוע, אבל זה לא עולה מהתקנה. << יור >> היו"ר שמחה רוטמן: << יור >> המילה מעודכן באופן מובהק היא מילה יחסית. לא צריך לרדת למכניקת הקוונטים כדי לדעת שאין רגע בדיד בזמן, זה רק ברזולוציות מאוד נמוכות. מעודכן למתי? המילה מעודכן תמיד עונה מעודכן למתי, מעודכן ליום, מעודכן לשבוע, מעודכן לשעה. אתה עוסק במערכות מידע, כשאתה שואל: הורדת את כל העדכונים של חומת האש? אתה אומר כן, אבל לא הורדת עדכון בשנתיים האחרונות, זה נחשב שאתה מעודכן? לא, אבל יש בחומרות מסוימות, להגיד שאני מחזיק חומרה מעודכנת, שנתיים זה כן פרק זמן. מה זה מעודכן? << אורח >> ענר רבינוביץ׳: << אורח >> נכון למצב העובדתי האחרון זה מעודכן. << יור >> היו"ר שמחה רוטמן: << יור >> לא. << אורח >> ענר רבינוביץ׳: << אורח >> באנגלית up to date, עד לתאריך זה. << יור >> היו"ר שמחה רוטמן: << יור >> Up to date, what date? זאת אומרת שאם לקח לך זמן ללכת מהמחשב הזה למחשב הזה שפה אתה עשית את עבודת ההתקנה ופה מוחזק המסמך לטובת הבקרה, אז בזמן זה הזה שלך לא היה מעודכן. זו אמירה שהיא נכונה עובדתית והיא חסרת כל משמעות כי ברור לכולם שאתה מנהל המערכת המוכשר והמוצלח ביותר ולכן אתה מעדכן בזמן סביר. זו המשמעות של המילה מעודכן. << אורח >> ליאור אתגר: << אורח >> בסוף מדובר בסנקציה, בסוף צריך לתת הנחיה לארגון. << אורח >> ענר רבינוביץ׳: << אורח >> עדיף לקבוע פרק זמן שאפילו אפשר להתווכח עליו מאשר שיהיה פתוח. << אורח >> ראובן אידלמן: << אורח >> לא, ההנחיה לארגון לא משתנה, אנחנו לא משנים את החובות שבתקנות, אנחנו מדברים על עיצום כספי. ההנחיה לארגון היא לפי החובות שבתקנות. זו הבחנה שתלווה אותנו לאורך כל הדרך. << אורח >> ליאור אתגר: << אורח >> אני מבין, אבל התקנה לא אומרת והסנקציה מכוונת התנהגות. << אורח >> ענר רבינוביץ׳: << אורח >> ההפרה יכולה להיות ארגון שלא עלה בידו למסור רשימה מעודכנת על פי דרישת הרשות תוך X ימים, אז הוא מפר. << אורח >> עמית יוסוב עמיר: << אורח >> אבל התכלית היא לא למסור לרשות, התכלית היא שהוא יחזיק את המידע מעודכן כדי שהוא יידע להתמודד עם סיכוני אבטחה. << אורח >> שחף קצלניק: << אורח >> אתה צודק, אבל, אדוני, גם התקנות עצמן קובעות חובת עדכון למידע שהוא קצת יותר חשוב מזה, למידע עודף ב-12 חודשים. אז למה חובת המסמך לא יכולה להיקבע לאיזה שהיא תקופה סבירה? זה פשוט לא הגיוני. להגיד שחובת מסמך גוברת על חובת מידע בארגון זה - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא הבנתי, זה לא קשור אחד בשני. << אורח >> שחף קצלניק: << אורח >> זה קשור מאוד, כי הארגונים נדרשים לעשות חובה אחת ל-12 חודשים כדי לבדוק אם המידע מעודכן או אם המידע עודף, אז לעשות מסמך אני לא יכול לקבוע תקופה מסוימת? << אורח >> ליאור אתגר: << אורח >> במצב אמיתי מתי תיכנס הרשות לתמונה? אם עכשיו יהיה אירוע אבטחה אז הם יבואו ויבדקו את כל הדברים הרלוונטיים ואז הם יגידו מה, המסמך לא עודכן בשבועיים האחרונים. מה ההיגיון? << יור >> היו"ר שמחה רוטמן: << יור >> לא, הרעיון הוא שמגיע מפקח אליך לעסק ואומר: תראה לי בבקשה את המסמך 'הגדרות אבטחה' או איך שהוא נקרא. << אורח >> ליאור אתגר: << אורח >> רשימת מצאי. << יור >> היו"ר שמחה רוטמן: << יור >> מבנה מאגר ורשימת מצאי מעודכנת, תראה לי בבקשה את מבנה המאגר ואת רשימת המצאי המעודכנת ואני מסתכל כי אמור להיות כתוב שם תאריך העדכון האחרון של המסמך ושרשימת המצאי זה חלק מהמסמך ואני מגלה שתאריך העדכון האחרון הוא מלפני שנה. האם לפני שנה זה אומר שאתה מעודכן או לא מעודכן? תלוי. אין לזה תשובה. אם לפני שבוע עשית שינוי דרסטי במערכת אז אתה לא מעודכן, גם אם זה שבוע, ואם עדכנת אנטי וירוס, אז אתה לא באמת לא מעודכן. אתה אומר שזה נתון לשיקול דעת, ברור. << אורח >> ליאור אתגר: << אורח >> אם לא שינית כלום אחרי שנה, לא עשית שום שינוי, אבל זה סביר מאוד והגיוני שאתה תעשה איזה שהוא רביו מסוים על המערכות ואחרי שנה אתה, בצורה הגיונית, גם אם לא שינית כלום, תעדכן את התאריך של המסמך כי בדקת את זה. << יור >> היו"ר שמחה רוטמן: << יור >> למה? אם לא חל שום שינוי? אני לא צריך לעדכן. << אורח >> ליאור אתגר: << אורח >> אתה צריך לבדוק את זה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אסור יהיה לי לשנות את המסמך. << אורח >> ליאור אתגר: << אורח >> אבל הסנקציה מכווינה התנהגות. << אורח >> ראובן אידלמן: << אורח >> אנחנו מסכימים מאה אחוז עם מה שאדוני אמר. << יור >> היו"ר שמחה רוטמן: << יור >> אני אומר ככה, בסופו של דבר הגדרת העדכון היא בתקנה, האם משהו נחשב מעודכן לצרכי התקנה או לא נחשב לצרכי התקנה, זה בוודאי שונה ממקרה למקרה, זה בוודאי לא פרק זמן. יכול להיות שככל שיהיה יותר שימוש בהנחיות האלה, יכול להיות שכן צריך יהיה לקבוע, גם כדי להרגיל את השוק, שבשנה הראשונה מוציאים רק התראות מנהליות, אני לא יודע, יהיו מנהלי אכיפה של הרשות, לאט לאט יתווסף ויגידו שכשעושים טסט אז זה אם לא עדכנתם. כל הדברים האלה הם בשיקול דעת הרשות להפעלת הסמכות, אבל להגיד שמסמך הוא מעודכן או לא מעודכן, בסופו של דבר בכל מקרה נקודתי, וזה ההבדל בין ניגוד עניינים לבין מה שקורה פה, כי בכל מקרה נקודתי שנעלה פה מאוד מאוד יכול להיות שכל הנוכחים פה יסכימו שזה לא נקרא מעודכן. לא תהיה מחלוקת בכלל. לא נמצא מחלוקות. תמיד יהיה את מקרי השוליים, אבל ברוב המוחלט, במסה המוחלטת של המקרים לא תהיה מחלוקת מסביב לשולחן הזה או מסביב לאף שולחן אחר להגיד, שמע, אתה החלפת את כל הקונסטרוקציה לפני חודש ולא כתבת מילה על זה במסמך עדכון, המאגר המסמך שלך לא מעודכן, אפילו שזה רק חודש, ולעומת זאת עדכנת אנטי וירוס ולא שמת, זה בסדר. לכולם יהיה ברור שזה נחשב מעודכן וזה נחשב הבסט פרקטיס. זה התעשייה יודעת. אז יהיו מקרים עמומים, זה נכון, אבל זה לא המסה, לעומת ניגוד עניינים שמעצם טיבו הוא מושג עמום מאוד, בניגוד למעודכן שעל כל ניגוד עניינים אפילו כשזה אז אומרים כן, נכון, אבל ההגדרה עצמה היא מאוד מאוד עמומה. מעודכן זה מעודכן, אנחנו יודעים מה זה אומר מעודכן בעולם המחשבים, אנחנו יודעים מה זה אומר מעודכן בעולם הפרטיות, אנחנו יודעים שבתחומים מסוימים – וזה נכון שזה שונה מתעשייה לתעשייה, וזה נכון שבתעשייה של אבטחת מידע, דאטה ברוקר או מישהו שהוא ברמת סיכון מאוד מאוד גבוהה, אם הוא לא עדכן את המערכת שלו ל- firewallהמעודכן, אם יצאה התראת יום אפס – איך קוראים לזה? << דובר >> קריאה: << דובר >> .Zero day attack << יור >> היו"ר שמחה רוטמן: << יור >> יצאה על זה התראה לפני יום, אז יש מקרים שבהם אם לא תיקנת אותם אתה רשלן ויש מקרים שבהם אם לא תיקנת אותם, בסדר, חיכית לעדכון השבועי של מערכת ההפעלה, תלוי מה אתה מחזיק במאגר המידע שלך, אבל אני אדע להגיד לך, ואתה כמומחה אבטחה ואתה כעורך דין תוכל לבוא ולהגיד לבן אדם, תשמע, אתה לא עדכנת את המערכת כך וכך זמן, אתה רשלן. למרות שאני לא כותב לך כל כמה זמן צריך לעשות מערכת הפעלה, לא כתבתי את זה, אבל לכולם ברור שמערכת מידע שמחזיקה מאגר מידע מאוד מאוד רגיש, אם היא לא מעדכנת בפרצה שהתפרסמה כבר בכל הרשת שאפשר לגנוב את המידע שלך אז אתה רשלן. בסדר, אני חי בשלום עם הסעיף הזה. << אורח >> יורם ביטון: << אורח >> יורם ביטון, הביטוח הלאומי, ממונה אבטחת מידע והגנת פרטיות. << יור >> היו"ר שמחה רוטמן: << יור >> להלן החשוד המיידי. בצחוק. << אורח >> יורם ביטון: << אורח >> עדכניות של firewalls או כאלה דברים לאו דווקא מצביעה או מונעת עניין של דלף מידע. הרבה פעמים אתה יכול להיות up to date אבל אם יש הרשאה לא מתאימה - - - << יור >> היו"ר שמחה רוטמן: << יור >> ברור, הבאתי דוגמה. זו הדוגמה. << אורח >> יורם ביטון: << אורח >> זה לא אומר שזה העניין, העדכניות. << יור >> היו"ר שמחה רוטמן: << יור >> אני אומר, כאן ספציפית הסעיף הזה עוסק בעדכניות של מבנה מערכת, נכון שאם יש מורשי גישה שעשו זה זו תקלת אבטחה מסוג אחר, אולי נגיע אליה אחר כך, אבל עכשיו אנחנו מדברים על עדכניות של מבנה מערכת ועל זה מדובר ועדכניות היא עדכניות. אז את (2) השארנו, מבחינת הסכומים תגידו לי אתם, אתם תעשייה, אתם יודעים מה נראה הגיוני, מה לא נראה הגיוני, מה מרתיע, מה לא מרתיע, מה מעודד הפרה יעילה, מה לא מעודד הפרה יעילה. אני חושב שכשמדובר במסמך אז כמעט אין הפרה יעילה, זאת אומרת העלות של עדכון מסמך היא לא תייצר הפרה יעילה בסכומים פה. << אורח >> יעקב עוז: << אורח >> אדוני כל הזמן מכוון לשטח, אז אני אגיד לך מהשטח, עם קצת לסבך את העניין, תקנה 16 באותן תקנות קובעת שהביקורת הפנימית או החיצונית ליישום התקנות הללו תתקיים כל 24 חודשים. מה יבדקו בביקורת הפנימית מביקורת לביקורת, שהמסמך מעודכן ל-24 חודשים לאחור? << דובר >> קריאה: << דובר >> לא, ממש לא, זאת לא הכוונה בכלל. << יור >> היו"ר שמחה רוטמן: << יור >> לא הבנתי. << אורח >> יעקב עוז: << אורח >> הוא קובע שזו אותה נקודת זמן, זאת אומרת שאם אני עושה ביקורת בחלוף 24 חודשים אז אני קובע שזה מעודכן לפי אותה נקודת זמן? ואם אני קובע שלפני שנה מסמך מעודכן זה בסדר, כביקורת? << יור >> היו"ר שמחה רוטמן: << יור >> מה זה קשור? << אורח >> יעקב עוז: << אורח >> אני אסביר מה זה קשור. מבחינת ביקורת פנימית שמבוצעת גם בעודנו מדברים - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה לאו דווקא פנימית. זה פנימית או חיצונית. << אורח >> יעקב עוז: << אורח >> ביקורת פנימית או חיצונית לעמידה בתקנות, בין היתר. << יור >> היו"ר שמחה רוטמן: << יור >> אבל כאשר נעשית ביקורת הביקורת תמיד נכונה לזמן הביקורת. אגב לפעמים אפשר גם לבדוק אותה רטרו. << אורח >> יעקב עוז: << אורח >> מה אני בודק? אם המסמך מעודכן? << יור >> היו"ר שמחה רוטמן: << יור >> גם שהמסמך מעודכן, אבל מעבר לזה הוא יבוא ויגיד שהוא מצפה, אם יש פה מבקרים פנימיים או חיצוניים אז עמם הסליחה, אבל אני מצפה שהוא יגיד: אתה עדכנת את ה- firewallבחודש ינואר, אבל מסמך העדכון קרה רק בחודש אפריל וזה יותר מדי זמן לעדכן מסמך על עדכון firewall לדעתי. אז הוא יוכל לבדוק את זה והוא ייתן לו את הדוח הזה פעם ב-24 חודש, אבל זה לא קשור אחד לשני. << אורח >> יעקב עוז: << אורח >> אני לא מדבר על מועד הביקורת, אני אומר מה הביקורת נדרשת לבדוק כדי לעמוד בתקנות אלו, זו לשון התקנה. << יור >> היו"ר שמחה רוטמן: << יור >> שבעל המאגר מחזיק מעודכן ואז היא יכולה להגיד לו: ב-24 החודשים האחרונים, מתוכם רק 22 חודשים היית מעודכן, חודשיים לא היית מעודכן. זו דוגמה לביקורת שתבדוק את הדבר הזה. << אורח >> יעקב עוז: << אורח >> ולכן אנחנו לא קובעים מועד הגדרה לתקנה 5, מועד הגדרה של מבנה המאגר, או מועד התיקוף של הגדרת המאגר, אלא זה הארגון קובע שזה בדיוק מה שמבוצע וזו החלטה של הארגון. << יור >> היו"ר שמחה רוטמן: << יור >> או שהארגון קובע, או שהביקורת שלו קובעת. << אורח >> יעקב עוז: << אורח >> כשאני אומר הארגון זה הביקורת. << אורח >> ראובן אידלמן: << אורח >> ליאור הסביר את זה קודם, תלוי בשינויים שנעשו או לא נעשו. בדיוק כפי שהיו"ר הסביר קודם. << יור >> היו"ר שמחה רוטמן: << יור >> אני אומר שוב, אני לא רואה את הסתירה או את הבעיה בין איך שעובדת ביקורת פנימית. במהלך ה-24 חודש האלה או לא במהלך ה-24 חודש יגיע אליהם המפקח של הרשות להגנת הפרטיות ויגיד לו: אדוני היקר, המסמך שלך לא מעודכן, קבל קנס, ותתווכח איתו האם זה לגיטימי או סביר לא לעדכן הגדרות מאגר אחרי שהחלפת את כל המבנה לפני שנתיים. לא יודע, תתווכח איתו על זה. אבל על פניו זה תנאי בסיסי להפעלת סמכות. << אורח >> יעקב עוז: << אורח >> זה בדיוק מה שיקרה, אני אתווכח איתו על זה. << יור >> היו"ר שמחה רוטמן: << יור >> אני בטוח שאתה תעשה את זה, אבל יכול להיות שהם יהיו צודקים או טועים, אבל אי אפשר לחוקק את השכל הישר. << אורח >> יעקב עוז: << אורח >> אפשר להתייעץ עם ממונה אבטחה שיש לו אי תלות? << יור >> היו"ר שמחה רוטמן: << יור >> רק בתנאי שאין לו ניגוד עניינים. לסכומים לא נרשמו פה הערות. << דובר >> נעמה מנחמי: << דובר >> האמת שאולי כן צריך להתעכב על הסכומים, אני חושבת שהרשות רצתה לדבר על הסכומים. << אורח >> ראובן אידלמן: << אורח >> אני רק אגיד שהגשנו לוועדה סקירה משווה של סכומי הקנסות המקובלים, אני לא יודע אם יש את זה לאדוני, אני יכול לתת לו עותק, של מה שמקובל בשורה ארוכה של מדינות, גם באיחוד האירופי וגם מחוץ לאיחוד האירופי, כולל דוגמאות לגובה קנסות שמוטלים. זה כמובן לא רק אבטחת מידע, אלא גם הוראות מהותיות של פרטיות, אבל רצינו שתהיה לוועדה איזה שהיא תמונה לגבי מה הנורמה המקובלת במדינות שבהן יש חקיקת פרטיות מודרנית, נגיד ככה. אלה המדינות שגם סימנו, כולל מדינות מחוץ לאיחוד האירופי שיש להן חקיקת פרטיות מודרנית, ברזיל, אוסטרליה, שוויץ וכו'. << יור >> היו"ר שמחה רוטמן: << יור >> איפה הקנס של ה-10 מיליון אירו? יש לי את הטבלה, אני שואל איפה פה בטבלה 10 מיליון אירו. << אורח >> ראובן אידלמן: << אורח >> בהמשך יש דוגמאות מצד שמאל של הקנסות שהוטלו בפועל, בחלק מהמקרים הם יותר גבוהים מ-10 מיליון. << יור >> היו"ר שמחה רוטמן: << יור >> לא, או 2% מהמחזור. אני מסתכל ואני רואה קנסות מאוד מאוד מאוד גבוהים, אני רואה את זה כקנס מקסימלי, בחלק מהמקומות כתוב שזה לפי הגבוה מביניהם, בחלק מהמקומות אני רואה שזה לא לפי הגבוה מביניהם, כלומר אחוזים ממחזור, אבל בכל מקרה אני רואה סכומים משמעותית יותר גבוהים ממה שיש פה בישראל בכמעט כל המקומות, בכל הדוגמאות, אבל אני רואה גם קישור לגובה מחזור. אצלנו עשינו את זה באמצעות רמת אבטחה, אבל לא בהכרח עסק עם רמת אבטחה גבוהה הוא גדול ולא בהכרח עסק עם רמת אבטחה נמוכה הוא קטן. זאת אומרת יכולה להיות לי חברת ענק שהמאגר שהיא מחזיקה שבו הופרה ההוראה הוא מאגר בעל רמת אבטחה נמוכה, בסיסית, ויכולה להיות חברה קטנה שמחזיקה את המידע הכי סופר רגיש שבעולם שניגשים אליו הרבה מאוד אנשים, אבל זה בן אדם שמריץ את זה מהגראז' שלו. << אורח >> ראובן אידלמן: << אורח >> בשיטה הישראלית מקובל ככלל לתת ביטוי לשיקולים האלה במסגרת תקנות הפחתה. << אורח >> סוריא בשארה: << אורח >> תקנות ההפחתה באמת באו לתת ביטוי למצבים שלא ראוי למצות את מלוא חומרת הדין עם המפר ולאפשר סכומים מופחתים בהתחשב בנסיבות מסוימות ובתבנית החקיקה של התקנות יש סעיף שמתייחס למחזור מכירות של המפר. המטרה של הסעיף הזה היא לא להטיל עיצום גבוה מדי. << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה לא נותן מענה לצד השני. << אורח >> סוריא בשארה: << אורח >> נכון, כלומר ככל שהעסק יותר גדול - - - << יור >> היו"ר שמחה רוטמן: << יור >> משום מה לדיון הזה גוגל לא הגיעו, אבל אני מניח ש-80,000 שקל לגוגל לא ממש מפריע להם. << אורח >> ראובן אידלמן: << אורח >> חלק מהשיקולים האלה מגולמים גם בהבחנה בין רמת אבטחה בסיסית לבינונית, מה שדיברנו קודם. בגדול עסקים קטנים שיש בהם עד עשרה מורשי גישה ממילא יהיו ברמת אבטחה בסיסית, סכומים מאוד מאוד נמוכים. מי שיש מעל עשרה מורשי גישה ומחזיק סוגי מידע רגיש וזה אז הוא לא ייחשב - - - << יור >> היו"ר שמחה רוטמן: << יור >> שוב, עמותה קטנה שעוסקת באימוץ של ילדים חולי סרטן, יש להם גם אימוץ, גם ילדים וגם מצב רפואי, אני יכול לחשוב על עוד כמה, שסבלו, שהם גם קורבנות עבירה עם רישום פלילי. המידע שלהם סופר סופר רגיש, אם יש להם פחות מעשרה מורשי גישה נניח שהם – אבל זו בדיוק הבעיה, יש להם פחות מעשרה מורשי גישה רשומים, למעשה דלף מאגר המידע שלהם לאינטרנט אז יש להם עכשיו 9 מיליארד מורשי גישה. << אורח >> ראובן אידלמן: << אורח >> זה מקרה שיכול להצדיק את הפעלת הסמכות שדיברנו עליה קודם, הסמכות שלנו להורות שהחובה תחול - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה רק רטרו. בסופו של דבר הם לא עמדו ברמת אבטחת מידע, אפילו לא הנמוכה ביותר, אבל כל זה נותן מענה לבעיות המינימום, להפחתות. בסופו של דבר אחת מהשאלות ששאלתי על הסכומים זה הפרה יעילה, האם העלות כשאני חברה גדולה שמחזיקה הרבה מאגרי מידע או מחזיקה מאגר מידע מאוד מורכב או כל זה, העלות של לשמור את מאגר המידע מעודכן הופכת להיות יותר ויותר גדולה כי למבנה המערכת אני צריך להושיב שלושה מהנדסים במשך חודשיים שיכתבו לי את מבנה המערכת כי זה לא משהו פשוט ו-80,000 שקל קנס כשאני נתפס זה יאללה בקטנה, זה cost of doing business. << אורח >> ראובן אידלמן: << אורח >> זה פר הפרה. << יור >> היו"ר שמחה רוטמן: << יור >> פר הפרה, המסמך לא מעודכן. << דובר >> קריאה: << דובר >> איך אתה סופר את ההפרות? << יור >> היו"ר שמחה רוטמן: << יור >> אתם תטילו הפרה כל יום, כל יומיים, כל שלושה? << אורח >> ראובן אידלמן: << אורח >> זה מצטבר לכמה הפרות. אם הוא לא עומד בכמה תקנות. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אני מדבר כרגע ספציפית האם אני מביא את צוות שלושה המהנדסים שכל אחד מהם מגיש לי תג מחיר נורא נורא שמן, האם אני מביא אותם פעם בשבוע, כמו שצריך נניח, פעם בחודש או פעם בשנה? אם אני נתפס לא מעודכן, ההבדל בין זה וזה וזה הוא הרבה יותר מ-80,000 שקל. שוב, התעשייה, אני מרגיש שאני אומר את מה שאתם הייתם צריכים לומר, כי אני לא יודע. << דובר >> קריאה: << דובר >> אמרנו את זה, זה בדיוק מתקשר לעניין. << יור >> היו"ר שמחה רוטמן: << יור >> לא, על הפרה יעילה, אני שאלתי אתכם על הסכומים. << אורח >> אייל שגיא: << אורח >> אחת, צריך להודות, הסכומים נמוכים. אני אומר את זה בתור עורך דין שעובד בתעשייה. << יור >> היו"ר שמחה רוטמן: << יור >> בתור עורך דין שרוצה שיבואו אליו לערער על גובה הסכום. סתם, אני צוחק. << אורח >> אייל שגיא: << אורח >> הסכום באופן אבסולוטי בהינתן הפעילות. זה אחת. הדבר השני הוא שחברות גדולות במקרים רבים מפחדות יותר דווקא מהתביעות הייצוגיות ומהשיימינג, מעצם זה שהרשות תפרסם שהייתה בעיה, אבל ספציפית לתהייה של אדוני להפרה יעילה, חברה גדולה לא תחליט את זה כי זה לתעד כוונה להפר עם השלכות, זה לא יקרה. אבל אני מסכים שהסכום נמוך. << יור >> היו"ר שמחה רוטמן: << יור >> השאלה אם לא צריך לרף הגבוה, או לייצר עוד איזה רף, להוסיף רובריקה של עסק גדול ממש עם אחוזים, בדומה לדוגמאות שהבאתם בסקירה המשווה באירופה, עם קנס מקסימלי, קנס מינימלי, לא יודע, השאלה אם זה מתאים לכל סוגי ההפרות, להפרות מסוימות כן, להפרות מסוימות לא, אבל על פניו בטבלה המשווה שאתם מביאים כמעט אין מקום שבו הסכומים הם כל כך נמוכים. << אורח >> ליאור אתגר: << אורח >> אני מצטרף לחברי אייל שדיבר על הסכומים הנמוכים, בצורה אבסולוטית, אני רק מוסיף לדיון שאולי שווה להשוות לחקיקה אחרת שעוסקת באירועי סייבר, למשל הפרות של המשרד להגנת הסביבה, הפיקוח על הבנקים או הפיקוח על הביטוח. אפשר לראות פחות או יותר את הסכומים שם ולראות אינדיקציה להשוואה. << אורח >> ראובן אידלמן: << אורח >> אנחנו יכולים להציע איזה שהיא הצעה בכיוון שאדוני אמר. << אורח >> רחל ארידור הרשקוביץ: << אורח >> בחוק הגנת הצרכן יש סעיף שמאפשר לממונה להטיל עיצום גבוה יותר בנסיבות מחמירות. יש לו שיקול דעת שבנוי לפי מתווה שהוא יכול בנסיבות מסוימות שמצדיקות הטלת עיצום כספי גבוה יותר להטיל אותו. יכול להיות שזה הכיוון שצריך לאמץ גם פה. << אורח >> ענר רבינוביץ׳: << אורח >> רק רציתי להוסיף לעניין גובה הקנסות לעומת מדינות אחרות, ובמיוחד אירופה, אמנם המקסימום באירופה הוא גבוה משמעותית ממה שמוצע כאן, אבל קנסות רבים מוטלים על אלפי יורו בודדים, תלוי במקרה. רואים במדינות שונות שזו מדיניות האכיפה שם. בספרד ראינו את זה למשל במשך שנים, קנסות של 1,000, 2,000, 3,000 יורו, טפטופים כאלה לעסקים. << יור >> היו"ר שמחה רוטמן: << יור >> לא, ברור שלא לבטל את הרמות הנמוכות, השאלה, שוב, אם גוגל קיבלה אי פעם קנס של 1,000 יורו, או של 10,000 יורו ואמרה, ואללה. << אורח >> סוריא בשארה: << אורח >> צריך לקחת בחשבון שהסכומים לפי מבנה האכיפה של מודל העיצומים הכספיים הוא סכום פיקס, הדרך להפחית אותו היא רק תקנות ההפחתה. אני לא יודע אם באירופה זה סכום מקסימום ויש לרשויות שם שיקול דעת. << יור >> היו"ר שמחה רוטמן: << יור >> זה מה שרחל הציעה, לייצר מנגנון דומה בנסיבות - - - << אורח >> רחל ארידור הרשקוביץ: << אורח >> הצענו גם נוסח בהצעה שלנו מ-2019, אפשר לעיין בנוסח שם. << אורח >> מירה סלומון: << אורח >> ההצעה שיושב ראש הוועדה הציע שמתייחסת להרתעה ביחס לגוף היא הצעה יותר נכונה לדעתנו, כיוון שיש עסק כמו גוגל שהוא ברמת האבטחה הגבוהה ביותר שנדרשת ובאמת כדי להרתיע אותו אולי צריך איזה שהוא סכום יותר משמעותי שהופך את זה למשהו שהוא מרתיע. לעומתו רשות מקומית שיכולה להיות ברמת האבטחה הגבוהה ביותר, לא בגלל שזה העיסוק שלה, לא בגלל שהיא מרוויחה מהמידע, אלא בגלל שמטבע הדברים היא מקבלת את המידעים האלה כדי לתת שירות לתושבים, העיצום הכספי שקבוע כרגע יכול להיות בהחלט מאוד מרתיע כשמדובר בה. לכן ההצעה שיושב ראש הוועדה הציע שמתייחסת לפוטנציאל ההתרעה הוא יותר נכון אולי. << אורח >> לירון בנדק: << אורח >> אני חושבת הפוך ממה שחושבים פה. ה-80,000 שקל הוא מאוד מרתיע, זה גם יפורסם, תבוא על זה ייצוגית. לבוא להטיל את זה, להגיד כי גוף כזה או אחר, שלא לדבר על רשות מקומית - - - << יור >> היו"ר שמחה רוטמן: << יור >> מה ייצוגית? מי יתבע ייצוגית על מסמך עדכון אבטחת מידע? << דובר >> קריאה: << דובר >> יתבעו. << אורח >> לירון בנדק: << אורח >> קודם כל לא דובר רק על זה, דובר על אחוזים. << יור >> היו"ר שמחה רוטמן: << יור >> לכן אמרתי שצריך לחשוב על סעיף סעיף. << אורח >> לירון בנדק: << אורח >> אבל ייצוגית נגד ביטוח זה דבר ראשון שעושים. << יור >> היו"ר שמחה רוטמן: << יור >> יכול להיות, אבל יש פה סעיפים, שזה נכון, זה גם קשור אולי להתיישנות, קשור לתביעות אזרחיות, קשור לדברים אחרים שנדבר עליהם, אבל ברור שדווקא ההפרות היתומות, אני מתקשה לראות את התובענה הייצוגית על לא החזקת מסמך הגדרות מאגר מעודכן. הכול יכול להיות, שערי בית המשפט לא ננעלו. << אורח >> לירון בנדק: << אורח >> אבל למה צריך על זה אחוזים מהמחזור? אם לא החזקת מסמך וזה באמת - - - << יור >> היו"ר שמחה רוטמן: << יור >> שוב, כמו שאמרתי, יכול מאוד להיות מצב שהעלות של חברה גדולה שמרוויחה הרבה מאוד מזה, שהיא צריכה להחזיק מבנה מערכת, יום עבודה של מהנדסי המערכת שיכינו לה את המסמך המעודכן, שוב, תגידו לי אתם, אנשי השטח, כמה עולה לעדכן מסמך כזה אחרי תיקון מערכת גדול? אחרי שדרוג מערכת? אני לא יודע, אתם יודעים להגיד לי. כלול במחיר, כמה זה אחוזים, אחת לכמה זמן? לא יודע, כמה העלות של זה? << אורח >> ענר רבינוביץ׳: << אורח >> הפרה יעילה, אני לא חושב שזה שיקול שינחה ארגונים כמו פשוט שזה לא מרגיש משהו שהאימפקט האמיתי שלו על פרטיות, על אבטחה, מצדיק את ההשקעה, אם אני מתעלם רגע מקנסות. אם הקנסות זו הסיבה היחידה שאני עושה משהו זה דרך מאוד גרועה לרתום ארגונים להגנה על משהו. << אורח >> לירון בנדק: << אורח >> ו-80,000 שקל זה לא מספיק? << אורח >> אייל שגיא: << אורח >> אבל יש לזה סליפ סייד, כי אם האכיפה קלה זה משדר שהכלל לא חשוב. << יור >> היו"ר שמחה רוטמן: << יור >> יש לי איזה שהיא תחושת בטן שיש כאן אנשים שהכלל הזה לא מאוד חשוב, המסמך המעודכן. אני לא יודע למה. << אורח >> ענר רבינוביץ׳: << אורח >> אני יכול לומר את זה במפורש, אני חושב ביחס לחובות אחרות - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, ודאי שביחס לחובות אחרות, אבל דווקא בגלל שלסעיף הזה מצד אחד, לצורך הבסט פרקטיס ולצורך היכולת של הרשות לעשות את עבודתה הוא סעיף מאוד חשוב, שכשמגיע מפקח, זה כלי הפיקוח המרכזי של הרשות, להבנתי. << אורח >> ענר רבינוביץ׳: << אורח >> נכון. << אורח >> שחף קצלניק: << אורח >> אם היא תקבל אותו נגיד אחרי חמישה ימים היא לא תוכל לעשות את העבודה שלה? << יור >> היו"ר שמחה רוטמן: << יור >> לא, כי בחמישה הימים האלה כבר אפשר יהיה למחוק את כל התקלות שקרו לך במאגר. << אורח >> שחף קצלניק: << אורח >> אנחנו לא מדברים על אם יש לך איזה תופעות - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא יודע, זה חלק מהעניין. << אורח >> ענר רבינוביץ׳: << אורח >> למשל פיקוחי רוחב שנעשה בהם שימוש לפעמים כהכוונת התנהגות, כדי להזכיר לארגונים - - - << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, פיקוח הרוחב הוא לא בעיה. << אורח >> ענר רבינוביץ׳: << אורח >> יש לנו בטבלה שלוש מדרגות של גובה עיצומים, אולי באמת נראה אם - - - << יור >> היו"ר שמחה רוטמן: << יור >> בואו נמשיך, נשים את זה בראש. אני כן אומר שדווקא בהפרות שעליהן הסיכוי שיתבעו ייצוגית הוא יותר קטן מכל מיני סיבות, או בהפרות שבהן דווקא כשהקבוצה היא קטנה לא מתאים ייצוגית ודווקא יכול להיות המידע הכי רגיש, שוב, אותה עמותה דמיונית שמאמצת ילדים נפגעי עבירה שיש להם רישום פלילי. אז אין מי שיתבע שם ייצוגית, אבל דווקא שם הם מרוויחים הרבה מהסחר בבני אדם שהם עושים. אז לא יודע. << אורח >> לירון בנדק: << אורח >> אבל, אדוני, בסופו של דבר אתה רוצה לקבוע אחוז על מחזור החברה? << יור >> היו"ר שמחה רוטמן: << יור >> אני לא רוצה לקבוע כלום. אני מחכה להצעה מהרשות. אני רק אומר שכשאני מסתכל על הסקירה המשווה שהכינה הרשות אני רואה שבהרבה מאוד מקומות קובעים קנס או אחוז מסוים מהמחזור לפי הגבוה. זו הטבלה המשווה שהוגשה לוועדה ואני אומר מה שעובד בגרמניה וצרפת ואיטליה ופורטוגל ועוד ועוד יכול להיות שהוא צריך לעבוד גם בישראל. << אורח >> ענר רבינוביץ׳: << אורח >> שם זה לא על הפרות כאלה. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא יודע, בשביל זה שלחנו את ראש הרשות לחו"ל שיבדוק ויחזור להגיד לנו. << דובר >> נעמה מנחמי: << דובר >> רק לטובת הפרוטוקול והכלל, אתה רוצה להרחיב על ההבדל בין – המשפט האחרון שאמרת. << אורח >> ענר רבינוביץ׳: << אורח >> קודם כל ב-GDPR אין רמת פירוט כזו. יש לנו סעיף אחד שמדבר על דרישות סקריורטי מאוד כלליות, לפי עקרונות ולא ממש פרטי פרטים, וכשרואים את האכיפה בנושאים האלה וכל הקנסות הגבוהים האלה, אני חושב שרובם אם לא כולם בכלל לא קשורים לסוגיות האלה, או של ניהול ניירת, ואני בכוונה אומר את זה בטון הציני הזה, כי אני חושב שמדובר כאן בעיקר בניהול ניירת ולא בניהול של אבטחה או של פרטיות מהותית. הקנסות הם לא על דברים כאלה והם לא על עבירות טכניות שכאלה, אלה קנסות על דברים שהם ברומה של פרטיות, של בסיסי עיבוד, של שקיפות כלפי נושאי מידע, לעתים גם בגין דאטה ברידג', אבל - - - << יור >> היו"ר שמחה רוטמן: << יור >> למה? אני רואה בטבלה שלהם - - - << דובר >> נעמה מנחמי: << דובר >> כן, אבל זה החריג. << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה החריג האיחוד האירופי. אי עריכת תסקיר השפעה, אי שמירת תיעוד של פעולות עיבוד, אי מינוי ממונה הגנת פרטיות. << אורח >> ענר רבינוביץ׳: << אורח >> נכון, מינוי DPO זו דרישה מהותית. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אבל שמירת תיעוד של פעולות תיעוד? << אורח >> ענר רבינוביץ׳: << אורח >> זה ה-ROPA, זה ה-records of processing activities, שזה הרבה יותר מרשימת המצאי מערכות הזו. << יור >> היו"ר שמחה רוטמן: << יור >> למה? אבל גם אירלנד מפנה ל-83.4 ב-GDPR. << אורח >> ענר רבינוביץ׳: << אורח >> זו הפרת GDPR, פשוט הקנסות או בכלל הליכי האכיפה בנושאים האלה, לא שומעים עליהם או שהקנסות הם זניחים אם בכלל מוטלים כי גם שם יודעים שזה פחות חשוב. הם מסתכלים על הפרטיות המהותית, לא הטכנית. נכון, יש הפרה ואפשר להטיל סנקציה בגין הפרה של דרישה טכנית, אבל זה לא העיקר וזה לא העיקר גם של האוכפים שם. וכאן, בגלל שיש את רמת הפירוט של התקנות ורמת הפירוט פר הפרה/סנקציה, זה יוצר כאן איזה שהוא חוסר פרופורציה מאוד זועק. << יור >> היו"ר שמחה רוטמן: << יור >> אתה אומר שזה בפרקטיקה, כי 83.4 כולל בתוכו גם חובות טכניות. אתה אומר שבפרקטיקה לא מטילים את הקנסות הגבוהים על הדבר הזה. << אורח >> ראובן אידלמן: << אורח >> הדוגמאות שהבאנו כאן, גם מגרמניה וגם מבריטניה, יש כאן קנסות של מיליונים רבים על אבטחת מידע. << יור >> היו"ר שמחה רוטמן: << יור >> זה לא אומר כלום 'על אבטחת מידע'. << אורח >> ראובן אידלמן: << אורח >> הדיון הוא דיון יותר כללי, הוא לא בהכרח עכשיו על תקנה 5(א). << יור >> היו"ר שמחה רוטמן: << יור >> נכון, אבל אני כן מבקש, אולי לפעם הבאה, ספציפית האם יש דוגמאות, כי שוב, אני מבין את הרצון של עמידה בתקנה 5, מצד שני אם בפועל בכל העולם על תקנה 5 או שאין קנסות או שיש קנסות אך לא מטילים אותם, אז – כלומר צריך כאן לא רק לא in the books - - - << אורח >> ראובן אידלמן: << אורח >> זו חובה מאוד ספציפית, אבל ננסה לעשות את הבדיקה הזאת. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (3) מסירת פרטי מאגר ורשימת מצאי לפי צורך: בעל שליטה במאגר מידע מחזיק במאגר כאמור או מנהל מאגר כאמור שלא שמר את המסמך המעודכן של מבנה מאגר המידע או את רשימת המצאי בהתאם להוראות תקנה 5(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> מי שלא החזיק ולא שמר? לא הבנתי. << דובר >> נעמה מנחמי: << דובר >> לא, בעל שליטה במאגר מידע או מחזיק במאגר מידע כאמור או מנהל שלא שמר את המסמך המעודכן של מבנה מאגר המידע או את רשימת המצאי בהתאם להוראות תקנה 5(ב), שאומרת שהמסמך המעודכן של מבנה מאגר המידע ורשימת המצאי יישמרו כך שפרטים מהם יימסרו לבעלי הרשאה רק בהיקף הנדרש לצורך ביצוע תפקידיהם. << אורח >> ראובן אידלמן: << אורח >> הרשאות גישה ביחס למסמך הזה שהוא חושף את כל הקרביים של הארגון. זאת התפיסה. << יור >> היו"ר שמחה רוטמן: << יור >> מה אומרים? לא אומרים? אפשר להמשיך? << אורח >> ליאור אתגר: << אורח >> השאלה אם הסנקציה צריכה להינתן כנגד אי העדכון של המסמך או כנגד האופרציה. << יור >> היו"ר שמחה רוטמן: << יור >> לא, פה זה לא אופרציה ולא עדכון, פה זה לצורך העניין נתתי גישה, העליתי את המסמך הזה לאינטרנט. << דובר >> נעמה מנחמי: << דובר >> האם לא צריך כי יש שם מידע רגיש? או יש שם מידע שעשוי לחשוף? בוא נניח שמבחינה מהותית אין במסמך הזה משהו שחושף או קשה או בעייתי ועדיף לי אפילו שכל הארגון יידע איך נראה מסמך המאגר. << אורח >> לינא כמאל טרודי: << אורח >> המסמך הזה כולל גם תרשים רשת. אני מזכירה לכם שבתקנה 5(א) זה כולל תרשים רשת, כלומר מערכות מאגר המידע, למי הן מתחברות, למי הן מתממשקות, איזה מנגנוני הגנה, מי מתחבר. << יור >> היו"ר שמחה רוטמן: << יור >> כלומר זה מסמך רגיש? << אורח >> לינא כמאל טרודי: << אורח >> מאוד רגיש, חשיפתו יכולה להביא לכל אחד לדעת איפה החולשות ו - - - << יור >> היו"ר שמחה רוטמן: << יור >> איפה המסמך הזה נמצא היום? << אורח >> לינא כמאל טרודי: << אורח >> היום הוא אמור להיות שמור במקום שמור שרק בעלי הרשאה, בין אם זה צוות הפיתוח הספציפי למקומות מסוימים, CISO מכיר את זה, ממש יודעים שהוא חייב להישמר שרק בעלי הרשאה ומי שצריך את המידע הזה לצורך ביצוע תפקיד ספציפי יכול לדעת את זה. למשל צוות פיתוח לא צריך לדעת את כל תרשים הרשת אלא אם הוא מפתח משהו שיכול להשפיע על כל הרשת, אבל אם הוא רק עושה עכשיו מיגרציה לענן אז הוא כן חייב להבין את הכול, אבל עובד בתוך הארגון לא צריך לדעת את כל תרשים הרשת, הוא גם לא צריך לדעת איזה מערכות הגנה נמצאות ואיזה מערכות התראות נמצאות. הוא לא חייב לדעת את הדברים האלה. זו המטרה, בעצם לא לחשוף מסמך שחושף את כל הרכיבים הרגישים של הארגון, את כל היבטי אבטחת המידע שלו. << אורח >> ענר רבינוביץ׳: << אורח >> סליחה, אבל זה מוזר לי שאנחנו צריכים שארגון יצטרך להצדיק בפני הרשות או שרשות תבוא ותגיד לו למי היה צריך לתת גישה או למי לא מגיע גישה למסמך כזה. << אורח >> לינא כמאל טרודי: << אורח >> זה קורה לא מעט. << אורח >> ענר רבינוביץ׳: << אורח >> זה לא אומר שזה נכון. << אורח >> לינא כמאל טרודי: << אורח >> כשאנחנו מגיעים לאירועים של אבטחת מידע, כשתרשים הרשת היה חשוף בפני עובד חיצוני שבכלל לא היה צריך לקבל את זה ומשם התחיל כל האירוע. זה קורה וזה לא משהו שהוא תלוש מהמציאות. העובדה שהמסמך הזה כן חשוף בפני מי שאינו יודע להגן עליו, הוא לא צריך להכיר אותו והוא יכול אחר כך דרכו לגרום לאירוע, זה קורה. זה לא תלוש מהמציאות. << אורח >> שחף קצלניק: << אורח >> אז הקנס פה הוא על ההחלטה אם שיקול הדעת של החברה נכון או לא. זה בעצם הקנס. << אורח >> לינא כמאל טרודי: << אורח >> על השמירה, עצם העובדה שאתה שומר את הפרטים האלה. << אורח >> שחף קצלניק: << אורח >> לא, זה על עצם ההחלטה שלי, האם היא נחשפה - - - << יור >> היו"ר שמחה רוטמן: << יור >> יש פה שאלה של ההיקף הנדרש. המונח של ההיקף הנדרש הוא קצת יותר דומה לניגוד עניינים מאשר למעודכן. בינתיים היו לנו שתי דוגמאות למונחים. << אורח >> ראובן אידלמן: << אורח >> החברה קובעת מה ההיקף. הם בלבד. << אורח >> ראובן אידלמן: << אורח >> הרשות באה ואומרת שהיא לא הייתה צריכה, אם חברה רוצה לחשוף עכשיו בפני משקיעים. << דובר >> נעמה מנחמי: << דובר >> לא, זה לא בהיקף שקבעה החברה, זה בהיקף הנדרש, שזה שני דברים שונים. << אורח >> לינא כמאל טרודי: << אורח >> לצורך ביצוע התפקיד. << אורח >> שחף קצלניק: << אורח >> אבל החברה צריכה לקבוע את זה. אם החברה קבעה את לא יכולה להגיד אחר כך מה שקבעת הוא לא נכון. החברה קבעה את זה, יש לה מומחה אבטחה משלה, היא תקבע אם זה נכון או לא, אין לך יכולת להטיל סנקציה. << אורח >> ראובן אידלמן: << אורח >> החברה קובעת מי האנשים והיא צריכה לדאוג שהאנשים האלה בלבד חשופים למסמך, זה הכול. << אורח >> שחף קצלניק: << אורח >> אין בעיה, אבל זה לא מה שכתוב פה. << אורח >> ליאור אתגר: << אורח >> ראובן, זה לא מה שכתוב פה. השאלה אם בוחנים את שיקול הדעת, האם נכנסים פנימה לתוך הזה או שיש פה הגנת business judgement rule, זאת השאלה. << יור >> היו"ר שמחה רוטמן: << יור >> בואו נגיד על מה אנחנו מסכימים ומה הבעיה פה. ברור שאם חברה פלונית עשתה בדיקה וקבעה שמורשי הגישה למסמך הזה הם ראובן, שמעון ולוי בתוך החברה והיא לא הקפידה על הכללים למרות שכתוב במסמך בצורה מאוד ברורה שרק ראובן, שמעון ולוי שלחו את זה בזימון לכל בעלי המניות. בסדר גמור, ברור לי שהייתה פה פעולה בניגוד לחובה, ברור לי שהיה פה כשל אבטחה וברור לי שאפשר להטיל עליו קנס, אין סיבה שלא, אבל לא כך מנוסח העיצום. אם החברה קבעה לפי איזה מפרט שהיא קבעה ולא עמדה במה שנקבע על ידה, זו ההפרה. זה לא מה שכתוב. זה המקרה, רק שזה לא מה שכתוב. מה זה תקנה 19(א)? << דובר >> נעמה מנחמי: << דובר >> 19(א) זו התקנה שמחילה את הכול על המחזיק. << יור >> היו"ר שמחה רוטמן: << יור >> בהתאם להוראות שנקבע, על ידי התאגיד או על ידי מנהל המאגר, בהתאם לתקנה 5(ב) לתקנות. כלומר אני , מנהל המאגר או המחזיק, אני קראתי את תקנה 5(ב) לתקנות, החלטתי שזה אומר בארגון שלי ראובן, שמעון ולוי ובכל זאת למרות שעשיתי את זה וכתבתי במפורש שהמסמך הזה יישמר בסוד ורק ראובן, שמעון ולוי נתתי אותו גם ליהודה, יששכר וזבולון. בסדר גמור, זה לגיטימי, לזה כולם מסכימים שמגיע קנס, אבל לא שאתה תעשה בחינה של שיקול הדעת העסקי שלי או הניהולי שלי למה נתת ללוי, לוי הוא בכלל ה-DPO או ה-CISO או ה-POC, אני לא יודע, הוא משהו. << אורח >> ראובן אידלמן: << אורח >> אפשר להכניס את החידוד הזה מבחינתנו. אין התנגדות. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (4) הגנת מערכות: בעל שליטה במאגר מידע, מחזיק במאגר או מנהל מאגר שלא הבטיח כי המערכות המפורטות בתקנה 5(א)(1) לתקנות יישמרו במקום מוגן בהתאם להוראות תקנה 6(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> זה לכאורה אותו דבר. << אורח >> ראובן אידלמן: << אורח >> זו חובת אבטחה פיזית. << יור >> היו"ר שמחה רוטמן: << יור >> אבל גם האבטחה הפיזית, לצורך העניין ההחלטה האם אני שם שם שני מנעולים, מחסום ביומטרי או קורא טביעות אצבע ורשתית וקוד שהוא תאריך הלידה של הילדים שלי, זה החלטה ניהולית. שוב, זה הוראות לפי, כלומר החלטתי שהסרבר צריך לשבת מאחורי שני מנעולים ושמתי אותו רק מאחורי מנעול אחד. << אורח >> ראובן אידלמן: << אורח >> יש כאן רכיב אובייקטיבי קצת יותר, כי כתוב מקום מוגן שמונע חדירה וכניסה אליו בלא הרשאה, זה עניין אובייקטיבי. בתוך הדבר הזה, נכון, בעל המאגר קובע איך הוא מייצר את הסיטואציה. << יור >> היו"ר שמחה רוטמן: << יור >> הבעיה שלי זה 'והתואם את אופי פעילות המאגר'. השאלה היא איך עושים את זה כי 'התואם' זה האלמנט שעליו צריך להיות הוראות לפי וה'מוגן' המונע כניסה ללא הרשאה, אני מסכים איתך, זה שחור לבן, או שאפשר או שאי אפשר. זה אותו סוג תיקון. << דובר >> נעמה מנחמי: << דובר >> רק תשומת הלב שכאן זה תקנה שחלה גם על יחיד. << יור >> היו"ר שמחה רוטמן: << יור >> על מאגר יחיד? << אורח >> ראובן אידלמן: << אורח >> זה אבטחה פיזית על כל מי שמחזיק במידע אישי. << דובר >> נעמה מנחמי: << דובר >> אני לא מתנגדת, אני רק מציינת את זה שהצטרף אלינו עכשיו בטבלה גם היחיד. << אורח >> ראובן אידלמן: << אורח >> סעיף (5). << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (5) בקרה ותיעוד כניסה לאתרים: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור שלא נקט אמצעים לבקרה ולתיעוד בהתאם להוראות תקנה 6(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; כן צריך להדגיש שזה יכול להיות גם על ארבעה עובדים. << יור >> היו"ר שמחה רוטמן: << יור >> אבל את הקנס הם מחילים רק על הבינונית וגבוהה. << יור >> היו"ר שמחה רוטמן: << יור >> כן, אבל, שוב, אם יש לי ארבעה עובדים בעסק אני עדיין צריכה לתעד כל פעם שהם נכנסים ויוצאים. זו המשמעות. << יור >> היו"ר שמחה רוטמן: << יור >> אם את מחזיקה מאגר מידע עם אבטחה שכזו. << אורח >> ליאור אתגר: << אורח >> יש הרבה מקרים שבהם אין בכלל משמעות לאבטחה פיזית כי המערכות יושבות בענן ואין שום דבר בתוך המשרד, הבן אדם מגיע עם הלפטופ. אין לזה הרבה משמעות, זו תקנה שהרבה פעמים אנחנו פוגשים אותה בסקרי קומפליינס שחברות מסתכלות ואומרות: מה אתם רוצים מאיתנו? אז רק צריך לקחת את זה בחשבון. << יור >> היו"ר שמחה רוטמן: << יור >> חברות שלא מחזיקות את החומרה בעצמן. << אורח >> ליאור אתגר: << אורח >> נכון, יש לא מעט כאלה. << יור >> היו"ר שמחה רוטמן: << יור >> אין בעיה, אז החובות חלות על המחזיק, הכול בסדר. אז החובה הזאת היא על חוות השרתים ובחוות השרתים באמת עושים רישום מי נכנס ומי יוצא, אני מקווה. << אורח >> ליאור אתגר: << אורח >> אבל הם לא יעשו רישום כנראה מי נכנס ויוצא ברמה גבוהה כמו שדורשים פה, באותם מקרים. << יור >> היו"ר שמחה רוטמן: << יור >> בחוות שרתים לא עושים? << אורח >> ליאור אתגר: << אורח >> לא בחוות השרתים, באותה חברה שאתה בא רק עם לפטופ, לא בטוח שיידרש. << יור >> היו"ר שמחה רוטמן: << יור >> אבל פה מדובר על פיזי, אז זה בכלל לא חל עליהם. << אורח >> ראובן אידלמן: << אורח >> גם החובה הזאת לא חלה על מי שברמת אבטחה בסיסית, אני מזכיר. << יור >> היו"ר שמחה רוטמן: << יור >> לא משנה כרגע, אני מדבר גם בבינונית. מי שלא מחזיק את הפיזי החובה בתקנה לא חלה עליו, הוא לא צריך ניהול רישום על הפיזי כשהוא לא מחזיק את הפיזי. << אורח >> ענר רבינוביץ׳: << אורח >> אני מזכיר שמאגר מידע זה קונספט, זה לא משהו פיזי. << יור >> היו"ר שמחה רוטמן: << יור >> אבל התקנה היא פיזית. << אורח >> ענר רבינוביץ׳: << אורח >> נכון, אבל אז מאגר המידע שיושב בלפטופ שלי ואני עובד מהבית אז אני עכשיו צריך לנהל לוג כניסה ויציאה מהבית? << אורח >> ליאור אתגר: << אורח >> היושב ראש אומר שזה לא פיזי ואתה מנתח את זה תכליתית ואנחנו מסכימים, פשוט הנוסח לא אומר מה שאתה אומר. אתה נותן פרשנות תכליתית למה שבעצם אנחנו צריכים להבין. << יור >> היו"ר שמחה רוטמן: << יור >> לא להעליב, אני דיברתי אליך יפה דווקא. אם אני מחזיק מאגר מידע על הלפטופ שלי אז לכאורה אני צריך להחזיק אותו נעול ולרשום מי נכנס אליי הביתה? << אורח >> ראובן אידלמן: << אורח >> התקנה הזאת מפנה לתקנה 5(א)(1) שמדברת על המיפוי של מערכות המאגר. יש כאן שורה של דברים שנכנסים לתוך המיפוי, דיברנו קודם על סעיף המיפוי והיא מפנה לאתר שבו נמצאים כל אותם דברים שהם במיפוי. << יור >> היו"ר שמחה רוטמן: << יור >> אז כל מערכת החומרה שלי, אני קיבלתי לעצמי מאגר, כל כולו יושב על מחשב אחד, לא לשימוש אישי. להיפך, זו האבטחה הכי טובה, הוא לא מחובר לכלום, הוא מחשב נייד אחד. << אורח >> ראובן אידלמן: << אורח >> אבל החובה כאן, מי שיש לו פחות מעשרה מורשי גישה החובה הזאת לא חלה עליו, זה לא חל על מי שברמת אבטחה בסיסית, אני כל הזמן מזכיר, זה רק בינונית או גבוהה. זה לא חל על עסק קטן, זה לא חל על אדם יחיד. << יור >> היו"ר שמחה רוטמן: << יור >> הקנס לא חל, ההוראה חלה. << אורח >> ראובן אידלמן: << אורח >> לא, גם ההוראה לא חלה. בתקנה 6(ב) כתוב, חלה רק על בינונית או גבוהה, זה לא חל על אדם בודד שיש לו עסק לבד עם עצמו. אם יש לך פחות מעשרה מורשי גישה החובה הזאת לא חלה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל יכול להיות לי מורשי גישה מרחוק למחשב. << אורח >> ליאור אתגר: << אורח >> נכון, 100 מורשי גישה והכול בענן. << יור >> היו"ר שמחה רוטמן: << יור >> לא, בענן אין לך בעיה כי הפיזי לא אצלך. << דובר >> נעמה מנחמי: << דובר >> אבל אם המידע שם מידע על משכורות זו רגישות מיוחדת. << אורח >> ראובן אידלמן: << אורח >> לא משנה, פחות מעשרה מורשי גישה אנחנו ברמת אבטחה בסיסית. זה לא קשור לסוג מידע. << אורח >> ענר רבינוביץ׳: << אורח >> אבל בהרבה ארגונים קטנים יש יותר מעשרה. << יור >> היו"ר שמחה רוטמן: << יור >> אני אגיד לך שוב, אנחנו יכול להיות בעולם של גישה מרחוק. המידע הפיזי מוחזק על מחשב נייד או משרדי אחד, מוחזק שם. אפשר לגשת ולהתחבר אליו מרחוק באמצעות כל מיני מקומות. << אורח >> שחף קצלניק: << אורח >> כולנו עושים את זה כל יום, אנחנו מתחברים למערכת שלנו כל יום, כל מי שיושב פה ממשרדי עורכי דין, כולנו יושבים פה - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל המחשב הפיזי יושב במקום מאובטח. << אורח >> שחף קצלניק: << אורח >> אבל המידע לא במחשב הפיזי, המידע הוא בשרת של המשרד. << יור >> היו"ר שמחה רוטמן: << יור >> אתה יכול להגיד שהתקנה היא ארכאית, אבל התקנה לא מדברת על הענן, התקנה מדברת על מחשב פיזי, על תשתית פיזית. << אורח >> שחף קצלניק: << אורח >> המאגר פה, הנה הוא. << אורח >> ענר רבינוביץ׳: << אורח >> יש בו לפחות עותק זמני אם לא קבוע על המחשב. << יור >> היו"ר שמחה רוטמן: << יור >> אתה לא תשתית במערכת חומרה, סוגי רכיבי תקשורת ואבטחת מידע. אתה תוכנה וממשק המשמש לתקשורת אל המערכת, הלפטופ שלך הוא (3), הוא לא (1). << דובר >> קריאה: << דובר >> אבל הוא עדיין בפנים, כן? << יור >> היו"ר שמחה רוטמן: << יור >> לא, (3) לא. רשימת המצאי, 5(א)(1) זה תשתיות מערכות חומרה, רכיבי תקשורת ואבטחת מידע. המחשב שלך הוא (3), הוא לא (1). << אורח >> ענר רבינוביץ׳: << אורח >> והראוטר שלי? << יור >> היו"ר שמחה רוטמן: << יור >> אל תתחיל. הראוטר שלך אמור להיות גם מאובטח. << אורח >> ענר רבינוביץ׳: << אורח >> נכון, אבל אני עכשיו מנהל רשימות של הראוטרים שאצל העובדים שלי בבית? << יור >> היו"ר שמחה רוטמן: << יור >> לא, הראוטר של העובדים שלך בבית הוא (3), הראוטר שלך הוא (1). << אורח >> ענר רבינוביץ׳: << אורח >> למה? מה ההבדל? << יור >> היו"ר שמחה רוטמן: << יור >> כי זה לא תוכנות ממשק המממשות לתקשורת אל מערכות המאגר ומהן. << אורח >> ענר רבינוביץ׳: << אורח >> הראוטר הזה משמש – << יור >> היו"ר שמחה רוטמן: << יור >> לגישה, אבל הוא לא (1), הוא לא תשתית מערכת חומרה, רכיבי תקשורת ואבטחת מידע של המערכת. אתה עיוור אליו, הוא לא מעניין אותך בדרך כלל, אלא אם כן שמת עליו מיוחד. << אורח >> שחף קצלניק: << אורח >> הדיון הזה שאנחנו עושים פה עכשיו זה הדיון שכולם אחר כך עושים אותו עם הלקוחות, זה אותו דיון בדיוק. << אורח >> ליאור אתגר: << אורח >> הבעיה אגב עם לשון התקנה, לא עם הסנקציה. צריך לציין את זה, אולי יואילו ברשות לפרש לנו את התקנה. << אורח >> ראובן אידלמן: << אורח >> אם יש שאלה ספציפית לגבי התקנה אז אפשר לפנות לרשות. אין מחלוקת על החובה. << יור >> היו"ר שמחה רוטמן: << יור >> הנה, יש מחלוקת, איפה מתחילה ונגמרת מערכת, מה הופך גרגר לערמה, איפה מתחילה ונגמרת תשתית פיזית. האם הלפטופ של שחף הוא חלק מתשתית ומערכת החומרה ולכן צריך לאבטח אותו, כי יש לו שם בפנים גישה למאגר המידע שנמצא במשרד-האם שלו או לא, האם הוא חלק מרכיבי התקשורת או לא, ואם כן הוא צריך להיות מאובטח. אם הוא לא מאובטח אפשר לחטוף קנס. בוודאי שלצורך העניין ברור לנו שכשיש לנו מערכות מאוד רגישות אז כן, אז אתה רואה שהם לא משאירים את הלפטופ בשום מקום והוא נעול, כמו שמגיעים אלינו כל מיני יחידות מסווגות והם מביאים פה לפטופ מאובטח. << אורח >> לינא כמאל טרודי: << אורח >> אבל השאלה, הלפטופ הזה בעצם משמש להפעלת המאגר, זה משהו שצריך להיות קשור למאגר המידע. << יור >> היו"ר שמחה רוטמן: << יור >> בזמן שהוא logged in הוא חלק מהמאגר, בזמן שהוא logged out הוא לא. אני לא יודע. שוב, הם טוענים שהבעיה היא בהגדרת התקנה והם צודקים. התקנה עצמה היא בעייתית, עכשיו השאלה היא בעולם המעשי איך היא תופעל. אני מוכן להניח, שוב, גם פה הפרשנות תהיה הגיונית, אני רק אומר שאם אנחנו מדברים על לתת סנקציות בצד תקנה שמראש כתובה בצורה לא מאוד בהירה ולא מאוד מותאמת לעולם המודרני זו בעיה. השאלה איפה ומתחיל ונגמר הפיזי, אני לא יודע. ואם זה מאגר מידע שכדי להתחבר אליו צריך לחבר דיסק און קי פיזי לתוך המערכת, שזה חלק מהאבטחה שלו, התקן פיזי? ההתקן הפיזי הזה הוא חלק מרכיבי התקשורת ואבטחת המידע שצריך להיות מאובטח מאחורי מנעול או לא? לא יודע. זה משהו פיזי מצד אחד שאם אתה לא מחבר ל-USB שלך אז אתה לא יכול להתחבר ואתה לא חלק מהמאגר, או כן חלק מהמאגר? << אורח >> ליאור אתגר: << אורח >> אגב, מבחינת השוק הרבה פעמים קורה שאנחנו מפרשים את התקנה הזאת, בעדינות אמנם, אבל היישום הוא יותר הגיוני בחברות שבהן השרתים יושבים בתוך הארגון, לא רק חברות של שרתי אירוח. יש חברות כאלה, בדרך כלל יותר גדולות, גם בתעשיות יותר מסורתיות, שיש להם חדרי שרתים פיזיים ושם הכול יושב ושם באמת זה מאוד מאוד הגיוני שתהיה בקרת כניסה וגם יש שירות כזה שהכניסה נפתחת ואתה מקבל אפילו הודעת SMS ברמה של הדלת של החדר, אבל זה לא מתאים לכל חברה שאנשים פשוט מגיעים עם הלפטופ שלהם, זה פשוט לא מתאים. << אורח >> לינא כמאל טרודי: << אורח >> אבל הכוונה של התקנה, אני חייבת להדגיש, שימו לב גם לסיפה של סעיף 6(ב) לתקנות, היא מתייחסת לנושא של גישה פיזית לאותן מערכות מידע, הכוונה היא לגשת לאותו מקום שאתה שומר את כל מערכות המאגר שלך, בין אם זה מאגר פיזי ובין אם זה שרת. אנחנו רוצים להגן על הכניסה והיציאה, למנוע את האפשרות שמישהו יגנוב את הדברים, להוציא אותם בלי הרשאה. שימו לב שהכוונה היא לאפשרות היציאה והכניסה של אותו ציוד. << יור >> היו"ר שמחה רוטמן: << יור >> לא הבנתי, למה אני שומר להם על הציוד? מה אכפת לי? בן אדם רוקן את כל מאגר המידע, מה אכפת לי הציוד? זה אבטחת מחשבים? << אורח >> לינא כמאל טרודי: << אורח >> הרבה פעמים מהגישה הפיזית, מהעובדה שאני יכולה לגשת לשרת עצמו פיזית אני - - - << יור >> היו"ר שמחה רוטמן: << יור >> ברור שיכולת גישה פיזית למחשב היא כשל אבטחתי. << אורח >> ראובן אידלמן: << אורח >> זאת התקנה הזאת. יש תקנות אחרות שעוסקות במה שאדוני אמר עכשיו, של מרחוק, נגיע לאמצעים מקובלים להגנה, יש כאן עוד הרבה תקנות. התקנה הזאת עוסקת בהיבט הגישה הפיזית, היא לא חלה על מי שיש לו פחות מעשרה מורשי גישה. ההנחה שלנו שהיא לא חלה על עסקים קטנים. << יור >> היו"ר שמחה רוטמן: << יור >> אני יכול לחיות איתה. אני מבין את חוסר הבהירות שמדברים עליו, אבל בסדר, אני מניח שהזמן יעשה את שלו. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (6) ניהול כוח אדם: בעל שליטה במאגר מידע, מחזיק במאגר כאמור או מנהל מאגר כאמור שנתן גישה למידע המצוי במאגר או ששינה את היקף ההרשאה שניתנה בלי שנקט אף/שום אמצעי סביר כאמור בתקנה 7(א) לתקנות, בניגוד להוראות אותה תקנה או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; רצינו להבהיר שלא צריך לנקוט את כל אמצעי ה - - - << יור >> היו"ר שמחה רוטמן: << יור >> התקנה אומרת כך, 'אלא אם כן נקט אמצעים סבירים המקובלים בהליכי מיון עובדים ושיבוצם כדי לברר שאין חשש כי בעל ההרשאה איננו מתאים לקבלת גישה למידע המצוי במאגר'. << אורח >> ראובן אידלמן: << אורח >> כאן עשינו שינוי מסוים ביחס ללשון התקנה כדי שזה יותר יתאים לנושא של עיצום כספי. כתבנו, 'בלי שנקט שום אמצעי', זאת אומרת כדי לא להיכנס לשאלה מה הם אמצעים סבירים או לא, העיצום יוטל רק על מי שלא נקט שום אמצעי סביר. << יור >> היו"ר שמחה רוטמן: << יור >> שהוא קיבל עובד בלי לראיין אותו? << אורח >> ראובן אידלמן: << אורח >> כן, למשל. זאת הכוונה. יש עוד כמה מקומות שעשינו את השינוי הזה. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (7) הדרכת כוח אדם: בעל שליטה במאגר מידע, מחזיק במאגר כאמור או מנהל מאגר כאמור שנתן לבעלי הרשאות גישה למידע ממאגר המידע או ששינה (שינוי מהותי) את היקף הרשאותיהם בלא שקיים הדרכות או בלא שמסר להם מידע בניגוד להוראות תקנה 7(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; עם 'שינוי מהותי', בלי 'שינוי מהותי'? יש הערות לזה? << דובר >> קריאה: << דובר >> התקנה קצת מוזרה, כלומר לעשות הדרכות על הוראות חוק לעובדים, קצת מנותק מהמציאות, אבל הדרכות אבטחה זה חשוב, הדרכות חקיקה פחות. << אורח >> ראובן אידלמן: << אורח >> החובה הכי בסיסית שיש, חובת הדרכה על אבטחת מידע - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, אבטחת מידע כן, אבל החוק והתקנות זה משהו אחר. << אורח >> ליאור אתגר: << אורח >> אני בעד שינוי מהותי, אני חושב שזה תוספת טובה. << יור >> היו"ר שמחה רוטמן: << יור >> איך תגדיר מה זה שינוי מהותי ומה זה לא שינוי מהותי? << אורח >> ליאור אתגר: << אורח >> זה יותר קל מכל שינוי. << דובר >> נעמה מנחמי: << דובר >> זה עדיף מכל שינוי, כרגע זה כל שינוי. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, אפשר. בסדר, מקבל. אני פשוט רואה כפילות, הרשאות בנושא החובות לפי החוק ותקנות אלה וימסור להם מידע על אודות חובותיהם לפי החוק ונוהל האבטחה. לא לפי התקנות? הניסוח של הלשון בתקנה מאוד משונה. אפשר להגיד על חובותיהם לפי החוק והתקנות, מנהל אבטחת המידע. << אורח >> ראובן אידלמן: << אורח >> לפי החוק כולל גם את התקנות. << יור >> היו"ר שמחה רוטמן: << יור >> יש פה שני חלקים, החלק הראשון חוק ותקנות, החלק השני אומר חוק בלי תקנות. יש פה כפילות, אני מספר להם מה אומר החוק והתקנות, גם אם זה לא רלוונטי אליהם אני אומר להם: דעו לכם שחוק הגנת הפרטיות אומר ששימוש בתמונה של מישהו כשהמאגר הוא בכלל מידע גנטי. לא יודע. אני יודע איך זה ייאכף בפועל, אני רק אומר שאם אתם כבר מביאים תקנות, כי אתם אמרתם שתביאו תקנות כדי ש – אז עריכה לשונית. זה מאוד משונה. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (8) הדרכה תקופתית: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור, שלא קיים פעילות הדרכה תקופתית לבעלי ההרשאות שלו בהתאם להוראות תקנה 7(ג) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; תקנה 8(ג) קובעת חובת הדרכה תקופתית לפחות פעם בשנתיים. הערות? אין. טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (9) תיעוד: בעל שליטה במאגר מידע, מחזיק במאגר כאמור או מנהל מאגר כאמור, שלא שמר שנה לפחות את הנתונים הנצברים במסגרת יישום הוראות תקנות 6(ב), 8 עד 11, 14, 15(א)(4) ו-16 לתקנות, החלות עליו, בהתאם להוראות תקנה 17(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << אורח >> ראובן אידלמן: << אורח >> כאן צמצמנו לעומת החובה בתקנה. החובה המהותית בתקנה היא שמירה ל-24 חודשים, אנחנו במסגרת שיח עם הייעוץ המשפטי של הוועדה קבענו שנה, שהעיצום הכספי יהיה למי שלא שמר שנה, חצי מפרק הזמן שקבוע בתקנות. << דובר >> נעמה מנחמי: << דובר >> הערות? לא. טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (10) גיבוי נתוני התיעוד: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור, שלא גיבה את הנתונים שנשמרו כאמור בתקנה 17(א) לתקנות בהתאם להוראות תקנה 17(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> מה ההבדל בין לשמור לבין לגבות? כלומר אם לא גיביתי? << דובר >> קריאה: << דובר >> לא, גיבוי זה שני עותקים לפחות. << יור >> היו"ר שמחה רוטמן: << יור >> איפה גיביתי? או שיש לי את זה שנתיים אחורה או שנה, מצוין, אם אין לי, בין אם זה בגלל שלא גיביתי, מה אכפת לי? בסופו של דבר יש או אין. למה לייצר פה שני עיצומים? בסופו של דבר באתי לבן אדם ואמרתי לו: איפה הנתונים האלה? הוא אומר לי: אין לי. אני יכול לבוא אליו: למה לא גיבית? אבל אם יש לך, מה אכפת לי בגלל שגיבית או שלא גיבית, יש לך או אין לך? << אורח >> נעמה גורני לר: << אורח >> הגיבוי נועד למקרה ש - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע למה נועד גיבוי, השאלה היא למה יש קנס על גיבוי. << אורח >> נעמה גורני לר: << אורח >> זה הצורך שיהיו שני עותקים, זה יהיה צורך גם של שמירה וגם של גיבוי למקרה שבו נצטרך להשתמש בגיבוי כי אין לנו יכולת לחזור למקורי, למה שאנחנו משתמשים בו ביום יום. << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע מה זה גיבוי, זו לא השאלה. אני יודע גם מה מטרת הגיבוי, אבל עכשיו לא השאלה היא האם אני עושה גיבוי או לא עושה גיבוי, עם עותק אחד או עם עשרה עותקים, בסופו של דבר ביום הישמע הגונג ודפיקת הדלת של מפקח הרשות להגנת הפרטיות אצלי בבית, או שיש לי את הנתונים או שאין לי את הנתונים. אם אין לי את הנתונים כי לא שמרתי אותם, תן לי קנס, אם אין לי את הנתונים כי שמרתי אותם אבל לא עשיתי גיבוי והם נמחקו, תן לי את הקנס. אם שמרתי אותם ואני נותן לך את הנתונים אבל לא עשיתי גיבוי, למה שתיתן לי על זה קנס? בסופו של דבר הגיבוי הוא כלי שלי לוודא שביום שאתם צריכים את זה ממני יהיה לכם את זה ממני, או ביום שיקרה לי משהו יהיה לי אותם. הרי יכולה להיות סיטואציה שעשיתי גיבוי וגם הגיבוי נפל. זה גם קורה לפעמים, שהמקור נפל והגיבוי נפל, זה יכול לקרות, או שקרתה תקלה מאוד גדולה וגיבו את התקלה, זה גם קורה. אבל השאלה בסופו של דבר, כשאתה בא ומבקר, האם יש או אין. תטיל קנס, אין לך את המקור? בוא נניח שאין לי את המקור כי נמחק לי אבל יש לי את הגיבוי, אז יש לי. כאילו יש לי או אין לי? באת אליי אמרת לי: איפה המסמך? אני אומר אין מסמך, למה אין מסמך? נמחק, איפה הגיבוי? יש גיבוי, הנה הגיבוי, אז אתה נותן לי קנס לפי תקנה (א)? << אורח >> ראובן אידלמן: << אורח >> זה דווקא די בינארי, או שיש גיבוי או שאין גיבוי. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אבל אין לי את המסמך. << דובר >> נעמה מנחמי: << דובר >> השאלה היא במובן מסוים מה היחס בין שתי התקנות, האם אפשר לתת על שני הפרטים במקביל? האם אפשר לתת על היעדר – כאילו האם אפשר לתת גם על זה שלא שמרתי וגם על זה שלא גיביתי? << יור >> היו"ר שמחה רוטמן: << יור >> בסופו של דבר יש או אין. אם אין זה בגלל שלא שמרתי ולא גיביתי, אם יש זה בגלל שאו ששמרתי ואז לא צריך גיבוי, או ששמרתי וגיביתי. יכול להיות שאני לא מנהל גיבויים כמו שצריך, אבל – אני פשוט אומר, לא ניהלתי גיבוי כמו שצריך, אבל יש לי, אז מה אתה רוצה? << אורח >> יורם ביטון: << אורח >> מה שחשוב זה יכולת השחזור, לא קיום הגיבוי. << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע למה לעשות גיבוי, אני אעשה גיבוי כדי לא לחטוף את הקנס כי אם יימחק לי לא יהיה לי, אבל יש לי. בשורה התחתונה יש לי. << אורח >> ראובן אידלמן: << אורח >> אלה שתי חובות שונות. << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע שאלה שתי חובות שונות, אבל במועד האכיפה? << אורח >> ראובן אידלמן: << אורח >> אם השאלה היא אם אפשר יהיה להטיל עיצום על כל אחת מהן בנפרד אז התשובה היא כן, זה שתי חובות שונות שבצידה של כל אחת מהן יש עיצום נפרד. זה ההסדר המוצע. << אורח >> לינא כמאל טרודי: << אורח >> אני רוצה להסביר את ההבדל. כשאתה שומר באופן השוטף שלך אתה מנהל סיכון מסוים, לכן יש חובות שאתה צריך לאבטח את המערכות השוטפות שלך ולכן יש את כל החובות הכלליות של שמירה של המערכות התפעוליות השוטפות. הגיבוי הוא צד אחר לאבטחת המידע והוא צריך נדבך נוסף של אבטחה ושל חובות. העובדה שאתה עכשיו שומר את התיעודים שלך באופן שוטף, יש לזה סיכון כמו כל מערכות המאגר הנוספות, כשאתה שומר את זה בגיבוי אתה יודע שאתה יכול לשחזר אותם ואז אתה עושה את הגיבוי הקר, מה שנקרא בשפה המקצועית, אז זו חובת אבטחה אחרת. << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע שזו חובת אבטחה אחרת, אבל בסופו של דבר אם גיביתי ואז אין לי אבל יש לי את הגיבוי, זה נחשב שיש לי? << אורח >> לינא כמאל טרודי: << אורח >> השאלה אם אתה יכול לשחזר את הגיבוי, זו גם עוד שאלה. << יור >> היו"ר שמחה רוטמן: << יור >> ואם אני לא יכול לשחזר את הגיבוי? << אורח >> לינא כמאל טרודי: << אורח >> אז אין לך את הגיבוי. << יור >> היו"ר שמחה רוטמן: << יור >> אז אין לי, לכן מה משמעות הגיבוי? << אורח >> לינא כמאל טרודי: << אורח >> לכן ההוראה קובעת נוהל שצריך לקבוע גם את הגיבוי וגם את השחזור שלו. << יור >> היו"ר שמחה רוטמן: << יור >> הנוהל מצוין, השאלה שאם מבחינתי ביום דפוק הדלת והטלת העיצום, האם השאלה שאתם תבדקו היא האם ביום שדפקתי אצלך היה לך או אצלך או עם אפשרות לשחזר, אם היה לך, מצוין, לא היה לך, בגלל א', ב', לא אכפת לי איפה הייתה נקודת הכשל, אבל אין לך בסוף, אז אין לך. השאלה אם גיבית או לא גיבית היא שאלה יפה אבל - - - << אורח >> עמית יוסוב עמיר: << אורח >> אבל הגיבוי הוא לא לצורך הביקורת. לפי 17(א) צריכים להיות לי הנתונים, יש לי את הנתונים, עוברים לתקנה - - - << יור >> היו"ר שמחה רוטמן: << יור >> האם יש לך גיבוי, לא גיביתי. << אורח >> עמית יוסוב עמיר: << אורח >> לא גיבית, אז אתה חשוף. אם לא גיבית לפי 17(ב) למקרה שהמערכות שלך הותקפו, נמחקו לך המסמכים שאתה צריך אותם, לא בשביל הרשות, בשביל להתגונן מפני התקיפה ולהכיל אותה ולצמצם את הפגיעה, אז עכשיו אין לך אותם כי לא גיבית. אז שמרת אותם איפה שהוא, הם נמחקו עכשיו במסגרת התקיפה ועכשיו אתה עומד מול שוקת שבורה ולא יכול לצמצם את הפגיעה. << אורח >> שחף קצלניק: << אורח >> אבל אם אנחנו מתחילים בהסברים תיאורטיים שיכולים לקרות אז גם יכול להיות שיש תקלה בגיבוי ואי אפשר להגיע אליו ויכול להיות אלף ואחד דברים, אבל בסוף - - - << אורח >> עמית יוסוב עמיר: << אורח >> בסדר, אבל זאת התכלית של 17(ב). << אורח >> שחף קצלניק: << אורח >> בסדר, אבל התכלית האמיתית היא להתחקות אחרי הנתונים, זאת התכלית של הסעיף הזה. אז אם יש את העותק אז יש אותו. << אורח >> עמית יוסוב עמיר: << אורח >> לא, אבל עוד לא תקפו אותך. << יור >> היו"ר שמחה רוטמן: << יור >> אבל נניח שלא שמרתי כמו שצריך, בגלל זה גם לא גיביתי, אני אקבל שני קנסות? << אורח >> עמית יוסוב עמיר: << אורח >> זו שאלה אחרת. << יור >> היו"ר שמחה רוטמן: << יור >> אז תענו לשאלה האחרת. << אורח >> לינא כמאל טרודי: << אורח >> זה שתי חובות שונות. << יור >> היו"ר שמחה רוטמן: << יור >> הבנתי, שתי חובות שונות, אני לא יכול לקיים את חובת הגיבוי אם לא עשיתי את החובה הראשונה, היא תלויה אחת בשנייה, האם אני אקבל שני קנסות? << דובר >> נעמה מנחמי: << דובר >> אפשר לפתור את הבעיה הזאת אולי על ידי זה שנאחד אותן לפרט אחד, כלומר תיעוד וגיבוי, ואז יש - - - << יור >> היו"ר שמחה רוטמן: << יור >> הפרת הוראה של סעיף 17, ואז זה קנס אחד, לא שני קנסות. << אורח >> ראובן אידלמן: << אורח >> אפשר מבחינתנו לקבוע שאם לא שמרת העיצום יהיה על זה שלא שמרת ולא על אי הגיבוי. מבחינתנו זה בסדר. << אורח >> עמית יוסוב עמיר: << אורח >> רק אני אגיד שיש פה עניין, יש פה שתי רמות, בכל זאת אני חושב שכן ראוי שיהיה פה מדרג, כי יש פה שתי חובות עם שתי תכליות שונות, נגיד ששמרתי חצי, אבל עדיין יש חשיבות גם לגיבוי. ברגע שהופכים את זה להפרה אחת עם עיצום אחד אז לא מבחינים בין מי שעשה לפחות חצי עבודה ומי שלא עשה בכלל עבודה. << יור >> היו"ר שמחה רוטמן: << יור >> יכול להיות, אבל מהצד השני אני לא רוצה סיטואציה שמי שלא עשה בכלל עבודה יקבל גם שהוא לא שמר וגם שהוא לא גיבה את מה שהוא לא עשה. לא היה לי מה לגבות, ניסיתי, לא עבד. אין מה לגבות. << אורח >> עמית יוסוב עמיר: << אורח >> אם הוא בכלל לא שמר - - - << יור >> היו"ר שמחה רוטמן: << יור >> אז אתה תעניש אותו על זה שהוא לא גיבה את מה שהוא לא שמר? אז אין מה לגבות. אני יכול לראות סיטואציה ששמרתי אבל לא גיביתי וזה מטיל קנס, זה מוצדק, אבל אם לא שמרתי אין לי מה לגבות, מה אתה רוצה? אתה תיתן לי שני קנסות, אחד שלא שמרתי ואחד שלא גיביתי את מה שלא שמרתי? << אורח >> עמית יוסוב עמיר: << אורח >> בסופו של דבר אפשר היה לטפל בזה בגובה העיצום. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אני חושב שההצעה של נעמה נכונה פה, לכתוב את שניהם באותו אחד והרעיון הוא שאין double jeopardy בהקשר הזה. אם בן אדם שמר ולא גיבה תוכלו להטיל עליו, אין בעיה. אין מצב שמישהו גיבה ולא שמר, אני מניח, אז מי ששמר ולא גיבה יהיה לכם קנס, מישהו שלא שמר יהיה קנס, וממילא מאחר שמי שלא שמר ממילא גם לא גיבה אז זה יהיה אותו קנס, לא יהיה פעמיים. << אורח >> עמית יוסוב עמיר: << אורח >> לא יודע, צריך פה איזה שהיא דיפרנציאציה, שעל מי שלא שמר, בסדר, ברור שהוא לא יכול לגבות, אבל מי שכן שמר ולא גיבה הסכום - - - << יור >> היו"ר שמחה רוטמן: << יור >> הקנס יהיה יותר נמוך? << אורח >> עמית יוסוב עמיר: << אורח >> כן. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אתם קבעתם שלא. אני מוכן. << אורח >> עמית יוסוב עמיר: << אורח >> אוקיי, אז במקום שניים אפשר לעשות שמי שלא שמר יהיה לו פי שניים הסכום, ומי ששמר אבל לא גיבה אז רק הסכום שמופיע פה. << דובר >> קריאה: << דובר >> זה להחזיר שני קנסות. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אחד. רבותיי, אנחנו יוצאים להפסקה נשוב ונתכנס בשעה 13:00. << הפסקה >> (הישיבה נפסקה בשעה 12:34 ונתחדשה בשעה 13:00.) << הפסקה >> << יור >> היו"ר שמחה רוטמן: << יור >> שבנו. אחרי שתיעדנו ואחרי שגיבינו. גיבוי, אמרנו. נוהל גיבוי ושחזור של נתוני אבטחה. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (11) נוהל גיבוי ושחזור של נתוני אבטחה: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור, שלא קבע במסמך את העניינים האמורים בתקנה 18(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << אורח >> ראובן אידלמן: << אורח >> בעניין הזה הסיכום שלנו גם מול המחלקה הפלילית בייעוץ וחקיקה, שאיתה עבדנו על נוהל ההתראה, שתהיה פה הנחיה של הרשות לגבי הנהלים הללו ואם ההנחיה תניח את דעתה של המחלקה הפלילית אז יכול להיות שלא נצטרך התראה ואם נראה שזה עדיין מותיר מקום של עמימות אז תהיה התראה על הפרה ראשונה. זו הכוונה שלנו. עד שלא הגענו למסקנה אחרת אמורה להיות פה התראה. << יור >> היו"ר שמחה רוטמן: << יור >> אז יש אי גיבוי ואז אם אין נוהל לגיבוי? << אורח >> עמית יוסוב עמיר: << אורח >> שוב פעם, אם אפשר, אני מחדד את העניין שיש הבדל בין החובה המהותית לשמור, אני מסכים שאם מישהו מראש לא שמר אז הוא גם לא יגבה וכן הלאה, אחר כך אין את חובות הגיבוי. אבל להגיד הכול – היה פה כן היגיון להגיד אם בכלל לא שמרת ואז אין לך גם מה לגבות וזה זה יותר חמור מאשר שמרת אבל לא גיבית. << יור >> היו"ר שמחה רוטמן: << יור >> אני אגיד ככה, אני מבין שבשנייה שאתה נכנס למאגר אתה נכנס לביקורת, אם לא מתנהל כמו שצריך נושא נוהלי האבטחה והגיבוי שלהם והתיעוד שלהם, צריך לתת קנס. אני אומר שכן יש סיטואציה שהיה מעשה אחד שבן אדם לא עשה, זרק על כל הנושא הזה, נקודה, סוף פסוק, לא תיעד, לא גיבה, אין לו נוהל לגיבוי כי ממילא הוא לא מגבה למה הוא צריך נוהל? מה הוא יעשה עם הנוהל? ואם היה לו נוהל אז הנוהל לא גובה ולכן הוא לא שמר אותו. << אורח >> עמית יוסוב עמיר: << אורח >> רק פה זה נתונים טיפה אחרים, זה 18(א). << יור >> היו"ר שמחה רוטמן: << יור >> זה אותם נתונים, נתוני תיעוד של 17 ואז נוהל לעשות את נתוני התיעוד ושמירת הגיבוי בהתאם לנוהל לשמירת התיעוד של הנוהל. בסופו של דבר מישהו שהוראות 17 ו-18 יכול להיות מחדל אחד שהוא פשוט לא עשה. זה חמור מאוד ויכול להיות שמישהו שעד כדי כך מחזיק מאגר מידע ברמת האבטחה הגבוהה ואין לו כלום, לא מסמך, ממילא הוא גם לא שמר אותו, ממילא הוא גם לא גיבה אותו ואין לו נוהל לגבות את המסמך הלא קיים, אבל פשוט את כל הפרק הזה הוא לא עשה, אבל הוא לא עשה פעם אחת. אני לא חושב שהוא צריך לקבל ארבעה קנסות, כי הוא לא שמר, לא גיבה את השמירה, לא היה לו נוהל והוא גם לא החזיק את הגיבוי הלא קיים בהתאם לנהלים. הוא פשוט לא עשה. לכן לאחד אותן, הפר את הוראה מהוראות 17 ו-18 יקבל קנס. אם יש מישהו שאצלו זה קולוסאלי ברמה הזאת יכול להיות שהוא מתאים לפלילי ולא לאכיפה מנהלית. << אורח >> עמית יוסוב עמיר: << אורח >> לא, אין פה עבירה פלילית על התקנות. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, יכול להיות שמן הסתם יהיו לו בעיות אחרות גם. אני לא מזלזל בזה, אני לא הופך את זה לפחות חמור, אבל לא ייתכן שבסופו של דבר הוא לא טיפל בנושא הזה, הנושא הזה אצלו לא טופל. היה לו בן אדם אחד שאחראי על הנושא הזה, כולל נוהל גיבוי ונוהל שחזור, והבן אדם הזה התרשל בתפקידו בצורה קולוסאלית, החתים כרטיס בתחילת כל יום ולא עשה שום עבודה. בסדר, חמור מאוד. הוא צריך לחטוף קנס, אבל הוא לא צריך לחטוף קנס על ארבעה סעיפים שונים, זה אותו סעיף תכלס שחילקנו אותו לארבעה תתי סעיפים. << אורח >> עמית יוסוב עמיר: << אורח >> בעולם אבטחת המידע הנושא של לקבוע נהלים מלווה אותנו כחוט השני. << יור >> היו"ר שמחה רוטמן: << יור >> הוא קריטי, אבל אין לי נוהל ולכן ממילא לפי הנוהל לא החזקתי מסמך וגם לא גיביתי וגם לא שמרתי את הגיבוי לפי הנוהל הלא קיים. << אורח >> עמית יוסוב עמיר: << אורח >> זה לא כמו השמירה והגיבוי שאמרנו קודם. זה שלא קבעת נהלים זה כאילו לא נתת דעתך על הנושא בכלל. << יור >> היו"ר שמחה רוטמן: << יור >> נכון. אני אומר שוב, לא נתתי את דעתי על הנושא בכלל. זה אומר שלא עשיתי נוהל, ממילא לא עשיתי מסמך לפי 17, ממילא גם לא גיביתי אותו, ממילא גם לא שמרתי את הגיבוי, אבל בסופו של דבר זה דבר אחד שלא עשיתי. כל התחום הזה הוזנח על ידי, יכול להיות שזה מצדיק שנעלה שלב, שנהפוך את ההפרה הזאת להפרה קולוסאלית, לעשות את הנסיבות המחמירות שדיברנו עליהן בחלק הקודם בהצעתה של – למה את מרחיקה את המיקרופון? מה, בגלל שאני אומר את מה שאת רוצה להגיד אז את מוותרת? << אורח >> רחל ארידור הרשקוביץ: << אורח >> זה בדיוק המקרה שבו אם רואים מישהו שממש נכשל בכל מה שנדרש ממנו זה המקום לראש הרשות להפעיל את שיקול דעתו ולהפעיל נסיבות מחמירות, אבל אי אפשר לטפל בזה על ידי זה שקובעים המון המון הפרות מאוד מאוד ספציפיות ונקודתיות שאתה תיפול בהן או לא תיפול בהן, או שתיפול בכולן ביחד. החשיבה צריכה להיות יותר מערכתית מלמעלה, של יש פה מקרה מאוד חמור, אז הוא יזכה לקנס יותר גבוה. פה צריך להיות לי את שיקול הדעת. << אורח >> עמית יוסוב עמיר: << אורח >> אבל אין שיקול לדעת לראש הרשות במודל העיצומים. << אורח >> רחל ארידור הרשקוביץ: << אורח >> אז תכניסו אותו, יש אותו בחוק הגנת הצרכן. << יור >> היו"ר שמחה רוטמן: << יור >> זו ההצעה שלה ודיברנו על זה כאחת מהאופציות שדיברנו עליהן כדי לפתור את נושא הזה. בסופו של דבר, אני לא אוהב, שוב, זה מאוד מזכיר לי את הדיונים שאנחנו מנהלים מול עיריות על צווי קנס, מאוד מזכיר בצורת החשיבה, שהם אומרים לי שהוא לא זרק את הזבל לפח המתאים לסוג הפסולת, בטח שהוא לא זרק את הזבל לפח הזה, הבן אדם הלך עם משאית מלאה בחומר רדיואקטיבי ושפך באמצע הכביש, אין שום פח שמתאים לסוג הפסולת הזו, הוא פשוט יצר אירוע אדיר. אז הם אומרים: בגלל שנוח לנו לעבוד בצורה של קנסות אנחנו נטיל עליו קנס שהוא השליך זבל מחוץ לפח לא בהתאם לסוג המחזור המתאים. זה לא, האירוע הוא שהוא שפך פסולת רדיואקטיבית באמצע הכביש. << אורח >> עמית יוסוב עמיר: << אורח >> אפשר ללכת לכל מיני פתרונות ואפשר פתרון פה יותר פשוט, נקודתי, להגיד שיש עיצום אחד על לא שמר ולא גיבה ולא הכין נוהל, שזה נגיד פי שניים ממה שכתוב פה עכשיו, ויש עיצום אחר, שמר, אבל לא גיבה ולא הכין נוהל, על זה הסכומים שכתובים פה עכשיו. << יור >> היו"ר שמחה רוטמן: << יור >> יכול להיות, אבל כל זה היה רק פרומו ל-12 שדיבר על מאגר מידע גבוה שהוא לא דאג שיישמר עותק הגיבוי של הנתונים האמורים בתקנה 18(א)(1) לתקנות של הנהלים בהתאם להוראות תקנה 18(ב) עם ה-17. << אורח >> ראובן אידלמן: << אורח >> זה גופים גדולים שמחזיקים מידע על מעל 100,000 איש. << יור >> היו"ר שמחה רוטמן: << יור >> זה מצוין, אבל אותם גופים גדולים, אם הם לא גיבו אז הם מקבלים 80,000, אם הם גיבו ולא שמרו – שוב, אנחנו הולכים - - - << אורח >> ראובן אידלמן: << אורח >> התפיסה היא שאבטחת מידע מורכבת מהרבה פעולות קטנות. יש פה הרבה תקנות שאם מסתכלים עליהן stand alone אומרים, מה, רק על זה שלא עשיתי את זה? << יור >> היו"ר שמחה רוטמן: << יור >> שוב, הפוך. אם בן אדם שמר, גיבה ויש לו נוהל, אבל הוא לא שמר את הגיבוי במקום בהתאם לנוהל – ולכן אני אומר, אם נאחד אותם לעיצום כספי אחד אז זה יהיה מישהו שעשה את ההפרה הכוללת, משהו אחד. אתם רוצים לעשות איזה שהיא חלוקה? אפשר לדבר על איזה שהיא חלוקה. אני חושב שהסיטואציה שבה בן אדם שכל תקנות 17 ו-18 הוזנחו אצלו זה חמור, זה דורש טיפול, אני לא חושב שהטיפול שזה דורש זה ארבע פעמים קנס של 80,000 שקל או של 20,000 שקל בגלל שזה הרובריקות שבתוכן אנחנו פועלים. יכול להיות שזה מצדיק את הנסיבות החריגות שהיא מדברת עליהן, יכול להיות שזה מצדיק משהו אחר, אבל זה לא צריך לבוא במכפלות כי בסופו של דבר זה מחדל אחד. הרשלן הזה זה בסופו של דבר מחדל אחד, לפעמים הוא גם יכול להיות מרוכז אצל עובד אחד בארגון שהתפקיד שלו היה לטפל בזה והוא היה הרשלן. בסדר, תחטוף את הקנס, זה חמור, אני לא מזלזל בזה בכלל, אבל זה מחדל אחד. << דובר >> נעמה מנחמי: << דובר >> יש לי שאלה לגבי 12, מה המטרה של הגיבוי של הנהלים? << יור >> היו"ר שמחה רוטמן: << יור >> לא, זה לא גיבוי של הנהלים. << דובר >> נעמה מנחמי: << דובר >> שלא דאג לכך שיישמר עותק הגיבוי - - - << יור >> היו"ר שמחה רוטמן: << יור >> בהתאם לנהלים, זאת אומרת אם הנוהל אומר – לא. << אורח >> ראובן אידלמן: << אורח >> של הנתונים ושל הנהלים. << אורח >> לינא כמאל טרודי: << אורח >> מה זה נהלים? בסוף אתה צריך לדעת להתנהג בתוך סיטואציה וזה הנהלים. הנהלים זה נוהלי העבודה שלך באופן השוטף בכל מה שקשור לאבטחת המידע ומערכות המידע. << יור >> היו"ר שמחה רוטמן: << יור >> לא הבנתי, הוא צריך לגבות את הנהלים לפי סעיף 18. << אורח >> לינא כמאל טרודי: << אורח >> גם את הנהלים צריך לגבות. << אורח >> ראובן אידלמן: << אורח >> את נוהלי השחזור. << יור >> היו"ר שמחה רוטמן: << יור >> צריך לגבות את נוהלי השחזור? ואיך הוא משחזר את נוהלי הגיבוי של השחזור? << אורח >> לינא כמאל טרודי: << אורח >> איך הוא יידע איך הוא צריך לפנות למערכת החיצונית? אני חייבת להסביר. << יור >> היו"ר שמחה רוטמן: << יור >> ואם השחזור של הגיבוי נפל? סליחה, אני יודע שזה נשמע מצחיק, אבל את הנהלים של השחזור, הוא צריך לגבות אותם? << אורח >> עמית יוסוב עמיר: << אורח >> בוא נגיד הפוך. אני מצטער שאני אומר את זה ככה בתור נציג משרד המשפטים, חסר כל הכשרה טכנולוגית, ולינא כמובן פה לתקן אותי ולדייק אותי בכל מה שאני אומר, אבל אנחנו מדברים על מקרי הקצה שתוקפים, משתלטים על המערכות, מוחקים אותן, מפעילים כופרה, נועלים את הכול - - - << יור >> היו"ר שמחה רוטמן: << יור >> חמור מאוד, צריך לטפל בזה. << אורח >> עמית יוסוב עמיר: << אורח >> כן, ואז בעל השליטה במאגר המידע או המחזיק עומדים - - - << יור >> היו"ר שמחה רוטמן: << יור >> הוא צריך את נתוני האבטחה והוא צריך את גיבוי נתוני האבטחה והוא צריך לשמור את גיבוי נתוני האבטחה בהתאם לנוהל, עד כאן הכול בסדר. אני מנסה להבין איך הוא ישחזר את הנהלים, לפי איזה נוהל הוא ישחזר את הנהלים. זה כאילו מתי שהוא נשאלת השאלה, שאני מאוד אהבתי לשאול פה במשך הרבה מאוד זמן, ואני בעזרת ה' אחזור לשאול אותה ואשאל אותה בדיונים אחרים, מי ישמור על השומרים? או יותר נכון, מי יגבה את המגבים? << אורח >> עמית יוסוב עמיר: << אורח >> מאחר שאי אפשר לקבוע פה שרשרת הוראות אין סופית מתי שהוא היא צריכה להיגמר, לכן הגענו פה רק למאגר ברמה הגבוהה, יוצרים פה עוד מדרגה של שמירת הנהלים. את זה הם יצטרכו לדעת בלי נוהל, בסדר, אבל זה לא איזה מקרה - - - << אורח >> ראובן אידלמן: << אורח >> נוהל השחזור זה לא רק הפעולות שצריך לעשות, נוהל השחזור נדרש כדי שאפשר יהיה להוציא לפועל את השחזור. << יור >> היו"ר שמחה רוטמן: << יור >> אבל איך אני יכול לשחזר את הנוהל? אולי תספרו לי איך זה עובד בפרקטיקה, התקנה הזאת? או שהיא לא עובדת בפרקטיקה? << אורח >> אייל שגיא: << אורח >> קודם כל צריך לקחת צעד אחורה ולהגיד שאין בתקנות חובה לגבות את המידע עצמו, אז בוא נשים את כל הדברים בפרופורציה. מאגר המידע עצמו, התקנות האלה לא מבקשות לגבות, אנחנו רק על נתוני האבטחה. זה הכול. << יור >> היו"ר שמחה רוטמן: << יור >> ועל הנהלים לשחזור נתוני האבטחה, שגם אותם צריך לגבות. << אורח >> אייל שגיא: << אורח >> אני מאוד מקווה שמי שעושה גיבוי למאגר מגבה גם את הנהלים באותה מסגרת, אבל זו לא ההתייחסות. << יור >> היו"ר שמחה רוטמן: << יור >> אבל איך הוא משחזר אותם? לפי איזה נוהל אני משחזר את נוהל השחזור? << אורח >> אייל שגיא: << אורח >> בתקווה שהאנשים עדיין איתנו יודעים איפה - - - << יור >> היו"ר שמחה רוטמן: << יור >> לכן אני אומר, זה מצחיק. זה מה שעושים בפועל, מגבים את נוהל השחזור? כדי לעמוד בתקנה 18(ב) הוא מגבה את הנהלים שנקבעו בהתאם לתקנה 2 שהם נהלים לאבטחת שחזור הנתונים? הוא מגבה את הנהלים לאבטחת שחזור הנתונים? << אורח >> אייל שגיא: << אורח >> אם מישהו לא יודע להגיע לגיבוי הוא לא יידע להגיע לנוהל הגיבוי שמאפשר לשחזר את הגיבוי. לכן הגיבוי של הנוהל וההתייחסות לנוהל מצחיקה קצת, סורי. << יור >> היו"ר שמחה רוטמן: << יור >> כן, זה אכן מצחיק. << אורח >> לינא כמאל טרודי: << אורח >> זה כמו לשמור עותק של איך אתה מתפעל את מצבי החירום שלך. מה זה לשחזר גיבוי? אתה צריך להגיד איך אתה עושה את זה, נכון? אז זה העותק הנוסף שאתה שומר. זו פעולה של לשמור את הקלף שאתה צריך, כדי לדעת לתפעל את מערך הגיבוי שלך אתה שומר את הנוהל מהסיסמה הראשונה, מי ניגש, מי מה. << יור >> היו"ר שמחה רוטמן: << יור >> אני שומר אותו, בוודאי, אחרת אני לא אוכל לשחזר, אבל איך אני מגבה אותו? << אורח >> לינא כמאל טרודי: << אורח >> אתה שומר אותו בגיבוי קר אחר. בדרך כלל שומרים את זה בכספת אחרת שיש לה בעל הרשאה נוסף שזה התפקיד שלו. << אורח >> שחף קצלניק: << אורח >> מי עושה את זה? << אורח >> לינא כמאל טרודי: << אורח >> רוב נוהלי השחזור של מערכות בארגונים גדולים, איפה הם מאחסנים את נוהל השחזור שלהם? בתיקייה שיש לה הרשאה ספציפית. << אורח >> שחף קצלניק: << אורח >> זה לא תיקיית גיבוי, יש תיקייה של הנהלים. << יור >> היו"ר שמחה רוטמן: << יור >> ואם מחקו לך את הנהלים? << אורח >> שחף קצלניק: << אורח >> יש גיבוי כללי, יש גיבוי של כל המערכות, אבל זה לא - - - << אורח >> לינא כמאל טרודי: << אורח >> היא לא אמורה להיות בתוך השוטף שלה. << יור >> היו"ר שמחה רוטמן: << יור >> ואיך אתה משחזר אותה, לפי איזה נוהל? << אורח >> עמרי רחום טוויג: << אורח >> זה אבסורד. אם רוצים יכולת לשחזר, לבצע בפועל את השחזור של הנהלים, בסדר, למה זה חשוב שזה יהיה לפי הנוהל של השחזור? היכולת לשחזר היא לשחזר, אתם אומרים לגבות את הנהלים, בסדר, למה זה צריך להיות לפי הנוהל של השחזור? << אורח >> ראובן אידלמן: << אורח >> אני חושב שקצת סטינו. הדגש של התקנה הוא לא זה, זה תקנה 18(2) והדגש שלה הוא שהשמירה של הנתונים האלה, של הגיבוי של הנתונים ושל הנהלים צריך להיות באופן שיבטיח את שלמות המידע ואת האפשרות - - - << יור >> היו"ר שמחה רוטמן: << יור >> זה הבנתי. << אורח >> ראובן אידלמן: << אורח >> זה העניין, על זה העיצום הכספי. שלא שמר בהתאם להוראות. << יור >> היו"ר שמחה רוטמן: << יור >> זה באמת לופ אין סופי. זה על מה עומד הצב שעליו עומדים הפילים שעליו עומד הזה. אני לא יודע. << אורח >> רפי סלמה: << אורח >> אני אשמח להתייחס. << יור >> היו"ר שמחה רוטמן: << יור >> אני רוצה לדעת מי בצה"ל אחראי על השחזור של נוהלי השחזור. אני בטוח שיש מש"ק לעניין. << אורח >> רפי סלמה: << אורח >> מש"ק שחזורים. עכשיו רגע ברצינות. ההסתכלות של אדוני עושה לנו קצת עוול. אתה אומר שיש מצב שבו בן אדם רשלן באופן תכליתי או באופן כללי, בסדר, ניתן לו קנס אחד. אני אומר שהגישה שלך היא זאת שגורמת לרשלנות. אם אני לא מתמרץ אדם לממש כל צעד בנפרד, אני אומר לו כדאי לך להיות רשלן כי זה לא משנה אם אתה לא עשית א' ב' ג' ד', אתה תקבל קנס אחד. << יור >> היו"ר שמחה רוטמן: << יור >> לא, לכן אני אמרתי שמישהו שהתרשל על כל העניין הזה, בשביל זה ההצעה של רחל היא נכונה. << אורח >> רפי סלמה: << אורח >> אבל זאת הדרך הקלה. הדרך הקלה היא על כל צעד שהוא לא מימש אותו לתת לו את הקנס. אתה אומר לו: אני עשיתי את הנוהל, אבל לא גיביתי אותו, אתה תשלם את אותו קנס כמו אותו אחד שלא עשה נוהל, לא גיבה אותו, לא שמר אותו. << יור >> היו"ר שמחה רוטמן: << יור >> אין לי בעיה, זה ההצעה שלי. ההצעה שלי היא שאם אתה עשית מחדל אחד אתה תשלם על המחדל, אם המחדל האחד שלך הוא יותר גדול ומקיף אז יכול להיות שזה נסיבות מחמירות. << אורח >> רפי סלמה: << אורח >> אז למה לייצר מנגנון מורכב יותר כשיש לך מנגנון ברור? אתה יודע לתמחר את המחדל שלך. << יור >> היו"ר שמחה רוטמן: << יור >> אבל עשיתי מחדל אחד, לא יכולתי לשמור את עותק הגיבוי הלא קיים בהתאם לנהלים הלא קיימים ולכן אתה לא יכול להטיל עליי קנס על זה. לא יכולתי לשמור את עותק הגיבוי שלא גיביתי על פי נוהל שלא כתבתי, נכון? אז אתה לא יכול להטיל עליי קנס על זה. << אורח >> ראובן אידלמן: << אורח >> אני מציע, אמרתי כבר שזה מהסעיפים שאמורים להיות תחת התראה בהפרה ראשונה, יכול להיות שזה הפתרון, הרשות נותנת הנחיה ואומרת לך שאתה לא פועל לפי לשון התקנה ואם אתה ממשיך להפר למרות שקיבלת הוראה מהרשות, רק אז יהיה עיצום. << יור >> היו"ר שמחה רוטמן: << יור >> בגדול הכלל שלי הוא על מחדל אחד יש עיצום מנהלי אחד. << אורח >> עמית יוסוב עמיר: << אורח >> אבל זה לא מחדל אחד. << אורח >> רפי סלמה: << אורח >> זה לא מחדל אחד, הניסיון לצייר את זה כמחדל אחד זה לא נכון. << יור >> היו"ר שמחה רוטמן: << יור >> תן לי בבקשה איך אני מגבה נוהלי אבטחה שלא כתבתי. אתה יכול לתת לי קנס שלא גיביתי נוהלי אבטחה שלא כתבתי? << אורח >> רפי סלמה: << אורח >> אתה משווה את זה למקרה שבו כתבתי נוהל? << יור >> היו"ר שמחה רוטמן: << יור >> אני לא משווה כלום לכלום. << אורח >> רפי סלמה: << אורח >> במבחן התוצאה אתה משווה את זה למצב שכתבתי נוהל ולא גיביתי אותו. << יור >> היו"ר שמחה רוטמן: << יור >> נכון. << אורח >> רפי סלמה: << אורח >> אז לא כדאי לי כבר לכתוב נוהל, מה זה משנה? אני אקבל את אותו קנס. << יור >> היו"ר שמחה רוטמן: << יור >> לכן הצעתי שהמנגנון יהיה שבמקרה שבן אדם התעלם לחלוטין, זה לא אני הצעתי, אני לא רוצה לקחת את הקרדיט, זה רחל הציעה והיא צודקת, שהמנגנון יהיה שבמקרה של הפרה רבתי שכזו זה יהיה סוג של הנסיבות, רק שאתה מנסה להגיד שמישהו שהוא רשלן רבתי כזה, או עבריין רבתי כזה, זה צריך להיות בהתאם למכפלות של אחת, שתיים, שלוש ארבע, כי יש פה ארבע הפרות שאני יכול לייצר לו, וגם הוא לא נישק את המזוזה בכניסה לחדר עם הוראות האבטחה אני אתן לו עוד קנס. זה לא עובד ככה. אני חושב שכשיש לי הפרה רבתי, יכול להיות שזה המקום לתת את הקנס הרבתי שהוא פונקציה של המחזור, שהוא פונקציה של הזה, זה המקום לעשות את זה ולא מכפלה של פי ארבעה בגלל איזה התקטננות כזאת של כמה תתי סעיפים מצאתי וההגנה אמיתית. אם אני יודע את הכללים לגבי קנסות מתמשכים והפרות מתמשכות וכל הדברים האלה אני יכול לבוא ולהגיד: אדוני, מה אתה רוצה? אתה רוצה שאני אשים חגורה ברכב שאין בו חגורה? אין חגורה. אסור לי לנסוע ברכב בלי חגורה, אז תן לי קנס על זה שברכב אין חגורה, אתה לא יכול לבוא אליי בטענות שנסעתי ברכב בלי חגורה ולא שמתי חגורה. אין, זה לא עובד. זה לא קנס מתאים. << אורח >> עמית יוסוב עמיר: << אורח >> אני חושב שבמקרה כזה יגידו לך שהרכב שלך לא יכול לעלות על הכביש, נסעת ברכב כזה וזה הרבה יותר חמור. << יור >> היו"ר שמחה רוטמן: << יור >> כן, אין בעיה, אז תבוא ותגיד שבאמת - שוב אנחנו חוזרים להצעה של רחל. << אורח >> רפי סלמה: << אורח >> אבל זה התמחור. יש לך ודאות. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אני לא רוצה לייצר ודאות, אני רוצה שאם אתה עולה על הכביש עם רכב ש – יש עבירות שבהן אתה אומר, זה כמו התמחור של נסיעה במהירות מופרזת, יש רמות מסוימות שאתה אומר, אם נסעת מ-10 קמ"ש עד 20 קמ"ש מעל המהירות המותרת אתה מקבל קנס כזה, מעל 30 קמ"ש קנס כזה, 40 קמ"ש זה, 50 קמ"ש בית משפט, שב בכלא לעשר שנים, לא יודע, אבל אתה לא ממשיך לייצר את המכפלות הטיפשות, השופט האוטומטי, אתה עובר למקום אחר. << אורח >> רפי סלמה: << אורח >> אבל לשיטתך לנסוע ב-10 קמ"ש מעבר למותר או 50 קמ"ש זה אותו דבר. זה מה שבעצם אתה אומר. << יור >> היו"ר שמחה רוטמן: << יור >> לא, להיפך, אני חוזר פעם חמישית. רחל, אולי כשאת תגידי את זה הם יקשיבו לך. << אורח >> רפי סלמה: << אורח >> אתה נותן את שיקול הדעת לשוטר להחליט האם הוא נותן לך קנס - - - << יור >> היו"ר שמחה רוטמן: << יור >> אולי את תסבירי את זה יותר טוב ממני, אבל אני חושב שאנחנו אומרים דבר דומה. << אורח >> רחל ארידור הרשקוביץ: << אורח >> אני מסכימה עם אדוני. אני מבינה שיש פה, יכול להיות שיש לי איזה שהוא כשל בהבנה כי אני לא בן אדם טכנולוגי, אני מבינה שיש איזה שהם שלבים שחייבים לעמוד בהם בשביל לעשות אבטחת מידע, אני פשוט חושבת שאם כשלתי בהם כישלון כזה הדרך לגרום לי או לתמרץ אותי לעמוד בדרכים האלה היא לאו דווקא על ידי זה שייתנו לי קנס ועוד קנס ועוד קנס, אלא על ידי זה שאני אדע שיש פטיש מאוד מאוד גדול שאפשר להפעיל עליי. << יור >> היו"ר שמחה רוטמן: << יור >> תחשוב על מאגר עם פחות מעשרה מורשי גישה אבל הוא מכיל מאגר מידע מאוד מאוד רגיש והעליתי אותו לאינטרנט, בידיעה ברורה, לא בטעות, לא דלף, לקחתי את המאגר והעליתי אותו לאינטרנט, פרסמתי אותו. אז אפשרות אחת היא לבוא ולהגיד סנקציות פליליות, גילוי, יש כל מיני כלים ללכת לי על הראש על זה שפרסמתי מאגר מידע סופר רגיש ברשת. יש דרך לעשות את זה. יבואו אליי הרשות להגנת הפרטיות ויגידו: סליחה, בשנייה שאתה העלית את זה לרשת למעשה עכשיו המאגר שלך עלה לרמת אבטחה מרבית בגלל שמורשי הגישה הם 9 מיליארד, כל משתמשי הרשת בעולם, ולכן אתה עכשיו לא אבטחת ואיפה מסמך הגדרות המאגר שלך, הלו, איפה הגיבוי של הנהלים? ואני אטיל עליך ארבעה קנסות של 80,000 שקל. זה לא הגיוני, למה? פתאום המאגר שלי הפך להיות מאגר עם 9 מיליארד נקודות גישה, אז בגלל זה עכשיו אני לא שמרתי את הגדרות הגיבוי של אבטחת המאגר. << אורח >> רפי סלמה: << אורח >> אבל זה או שעברת או שלא עברת. << יור >> היו"ר שמחה רוטמן: << יור >> קוראים לזה בשפה שלנו, 'קים ליה בדרבה מיניה', בן אדם שעשה את העבירה הגדולה אתה לא מתווכח - - - << אורח >> רפי סלמה: << אורח >> אבל רובם לא כאלה, רובם הם דווקא מהמקום ההפוך, שכן רוצים לקיים את התקנות. << יור >> היו"ר שמחה רוטמן: << יור >> מצוין, אז מישהו ששמר מתוך ארבעה הסעיפים האלה שלושה מתוך ארבעה תן לו קנס, מי ששמר שניים מתוך זה תן לו קנס. << אורח >> רפי סלמה: << אורח >> אבל אתה אומר שזה אותו קנס. << יור >> היו"ר שמחה רוטמן: << יור >> נכון. << אורח >> רפי סלמה: << אורח >> אז מה ההיגיון בזה? לא הצלחתי להבין את ההיגיון. אתה רוצה להפעיל עליהם פטישים? אתה אומר לי או עשרה קילו או ש - - - << יור >> היו"ר שמחה רוטמן: << יור >> הרעיון הוא שעל מחדל אחד משלמים קנס אחד, ואם המחדל הוא מאוד מאוד גדול תשלם קנס מאוד גדול, אין לי בעיה, אבל על מחדל אחד משלמים קנס אחד. באופן תיאורטי כל פעם שאני מחנה את הרכב שלי בלי כרטיס חניה, יכול לעמוד ליד פקח ולשים קנס של 100 שקל, ואז להגיד, רגע, הרכב פה עדיין חונה, עוד 100 שקל ועוד 100 שקל ועוד 100 שקל ועוד 100 שקל, אני עדיין חונה במקום אסור, עוד 100 שקל. זה לא עובד ככה. אתה בא ואומר, עשית מחדל אחד, החנית את הרכב במקום אסור תקבל קנס. יש מקרים שמבקשים קנס נמשך לפי 24 שעות, יש איזה נקודות עצירה בזמן, יש כל מיני דברים כאלה, התראה, א', ב', ג', אבל בן אדם שהסיע את הרכב שלו מהגשר לתוך נהר, הרכב כבר תקוע שם, הוא לא ייצא משם, תיתן לו כל פעם קנס על העמדת רכב במקום אסור לפי סעיף 3(ג) לתקנות עזר לעיריית תל אביב, העמדת רכב וחנייתו, על זה שהרכב שלו תקוע באמצע איילון? הרכב שלו תקוע באמצע איילון והוא גם יישאר תקוע באמצע איילון, אל תחלק לו 1,000 קנסות של 100 שקל על זה שהוא העמיד במקום שיש שם אדום לבן ליד איילון. זה הרעיון. אתה יכול להגיד, כן, זה אותו קנס, לא, אני אומר שזה מתאים לקנס יותר גדול, זה המבנה שרחל מציעה. << אורח >> סוריא בשארה: << אורח >> כשיש מחדל יותר חמור התמונה מאוד ברורה, אבל מה קורה כשיש את המחדלים הקטנים האלה ואנחנו לא באירוע שבולע את הכול? השאלה אם לא נכון על האירועים הקטנים האלה גם להטיל את הקנס? כלומר התקנות עכשיו נותנות קנס או עיצום כספי גם על הפרות שהן בדרך להפרה הגדולה, ברור שזה לא הגיוני כשיש הפרה מאוד גדולה לבוא ולהתחשבן על הקטנות, אבל מה קורה כשיש מחדלים קטנים כאלה, מה אדוני מציע? << יור >> היו"ר שמחה רוטמן: << יור >> את אומרת אם יש שניים ולא את כל הארבעה, לצורך העניין? אני חושב ששאלת גובה הקנסות בעיניי, שוב, השאלה היא הנקודה בזמן זה כמה מחדלים היו. אז באמת יכול להיות מצב שהבן אדם שמר אבל לא גיבה ויש לו נוהל, אז אם אני סופר לו טכנית זה שניים. אבל אם הוא לא גיבה אני לא רוצה שהוא יקבל גם על לא גיבה וגם לא שמר את הגיבוי בהתאם לנוהל כי הגיבוי לא קיים. אני סופר מחדלים, אני לא סופר סעיפים. יכול להיות שעשיתי מחדל אחד, ניהלתי מאגר מידע וצפצפתי על כל הוראות החוק, כל תקנות אבטחת מידע מהתחלה ועד הסוף, לא שמרתי אפילו לא אחת מהן, אין לי מסמך הגדרות, אני בכלל לא מכיר את החוק, לא יודע את החוק. יש לי מאגר מידע שלא עשיתי לו, לא מסמך הגדרות ולא מיניתי לו DPO וה-DPO שלא מיניתי הוא גם באי תלות עם המנמ"ר שלא מיניתי, הכול ביחד, הסערה המושלמת, פשוט לא עשיתי כלום, צפצפתי על הכול. אני לא חושב שהכלי המתאים לנהל זה עכשיו לעבור על כל סעיפי התקנות ולהגיד, רק רגע, יש לי פה 17 תקנות שעברת עליהם, 80,000 כפול 17 זה הקנס שלך. אני לא חושב שזו צורת הסתכלות נכונה. יש מחדל אחד, לא ציית לחוק. << אורח >> סוריא בשארה: << אורח >> השאלה אם לא נכון במדיניות האכיפה של הרשות, כמובן צריך להתייחס להפרות, יכול להיות שיש הפרות שהן לא קשורות אחת לשנייה בכלל, אם יש - - - << יור >> היו"ר שמחה רוטמן: << יור >> נכון, המדיניות שאני מצפה זה מבחן המה לא עשית פה. אם היה לי משהו כל כך קולוסאלי, לא שמרת את המסמך הלא קיים על התשתיות שלך באופן – זה לא מתאים, זה פשוט לא מסתדר. << אורח >> ראובן אידלמן: << אורח >> אולי נציע, בהמשך להצעה שעלתה קודם, שעל כל תקנה 18 יהיה עיצום אחד גדול בכמה מדרגות שונות. << יור >> היו"ר שמחה רוטמן: << יור >> יכול להיות. זה 17 ו-18 בעצם. << אורח >> ראובן אידלמן: << אורח >> אולי נציע משהו בכיוון הזה, נראה אם אפשר להתקדם. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר. בואו נמשיך. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (13) חובת תיעוד כללית: בעל שליטה במאגר מידע, מחזיק במאגר מידע כאמור או מנהל מאגר כאמור שלא תיעד באופן סביר את אופן ביצועה של פעולה שאינה יצירת מסמך, שחלה עליו חובה או אחריות לבצעה לפי תקנות, בניגוד להוראות תקנה 19(ב) לתקנות; << אורח >> ראובן אידלמן: << אורח >> יש בתקנות חובה כללית לתעד פעולות שנעשות למעט, כדי שלא יהיה את הלופ שאדוני התייחס אליו קודם, למעט אם הפעולה היא יצירת מסמך, את זה לא צריך לתעד. הכוונה היא לפעולות הרבה יותר גדולות ומשמעותיות, תיכף ניתן כמה דוגמאות. אני רק אגיד שהתקנה הזאת גם היא כפופה להתראה בהפרה ראשונה מבחינתנו. << יור >> היו"ר שמחה רוטמן: << יור >> ההוראות לעניין אופן תיעוד כאמור זה פרטני או כללי? בתקנה. תקנה 19(ב) שאומרת, 'מי שמוטלת עליו בתקנות אלה חובה או אחריות' - - << אורח >> ראובן אידלמן: << אורח >> זה בסמכות כללית של הרשות. << יור >> היו"ר שמחה רוטמן: << יור >> - - 'נדרש לתעד באופן סביר', 'הרשם רשאי לתת הוראות לעניין אופן תיעוד כאמור'. << אורח >> ראובן אידלמן: << אורח >> לא פרסמנו הוראות בעניין, זה כללי. << אורח >> נעמה גורני לר: << אורח >> הכוונה היא לתעד באופן סביר פעולות שהן לא מופיעות בתקנות כיצירת מסמך, החובה היא לא יצירת מסמך, כמו למשל בתקנה 2(ג) של מסמך הגדרות המאגר, בעל המאגר נדרש לבחון אחת לשנה אם המידע שהוא שומר לא רב מן הנדרש ביחס למטרות המאגר, זאת פעולה שבעל המאגר נדרש לתעד אותה. לא יצירת מסמך אלא תיעוד. אפשר לתת עוד דוגמאות. דיברנו על תקנה 7 קודם, קיום הדרכות לבעלי הרשאות טרם מתן גישה, תקנה 16(ג), בעל מאגר מידע נדרש לדון בדוחות הביקורת. אלה פעולות שצריך לתעד את הביצוע שלהן וכך אפשר לדעת אם יש עמידה בהוראות התקנות מבחינת הארגון. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא רוצה לשאול מה עם הגיבוי של התיעוד, אבל בסדר. << דובר >> קריאה: << דובר >> האם לוג נחשב תיעוד כזה? << יור >> היו"ר שמחה רוטמן: << יור >> לוג הוא סביר. ההתראה התראה, אבל זה קצת משונה לעשות התראה כי לא תיעדתי אז לא תיעדתי, התראה צופה פני עתיד? תתעד? זה לא התראה. << אורח >> ראובן אידלמן: << אורח >> היא על הפרה ראשונה. אם פעם אחת הפרת בזה שלא תיעדת לא תקבל עיצום. ההפרה הבאה, אחרי שאמרו לך במפורש שזה פעולות שאתה חייב לתעד, נגיד עשית דיון על סקר סיכונים, זו הכוונה, סקר סיכונים מוצג להנהלה או היא דנה בסקר סיכונים, בפעם השנייה - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין מה אתה אומר, אני רק אומר שהמונח בדרך כלל של – אולי אני טועה, אבל יש שני סוגים של התראות, יש התראה: תקן ליקוי, ויש התראה: תפעל מכאן ולהבא בצורה אחרת. << אורח >> סוריא בשארה: << אורח >> אנחנו קצת מתייחסים אחרת להתראה לעומת תיקון ליקוי. << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע, אבל יש התראה. לצורך העניין בוא נניח שדיברנו קודם על התראה על ניגוד עניינים, שכדאי להוריד אותה, נוריד את הסעיף, אבל אם הסעיף יישאר, אז דיברנו על התראה על ניגוד עניינים, זה להגיד לו: תשמע, יש תלות בין שמעון ולוי, לכן אתה לא יכול שלוי יהיה ממונה אבטחה עד שתעשה אחת שתיים שלוש. אז ההתראה הזאת היא התראה מסוג תיקון ליקויים, דהיינו אתה מתריע, תתקן/לא תתקן תוך זמן שקבוע בהתראה תחטוף את הקנס האמיתי, אבל האירוע הוא אירוע בדיד, יש או אין ניגוד עניינים. פה לא תיעדת עד עכשיו פעולות מסוג כזה וכזה, פעולות שכבר ביצעתי, אני לא יכול לתעד אותן עכשיו שוב, נגמר, ואין פה תיקון ליקוי, זה צופה פני עתיד. הפעולה הבאה היא פעולה בדידה, היא לא קשורה לאי התיעוד הקודם שלי, אז זו התראה מסוג אחר. צריך לשים לב לזה. << אורח >> ראובן אידלמן: << אורח >> אבל ההנחה היא שהרשות כבר הייתה אצלך ואמרה לך שזו פעולה שאתה חייב לתעד. אם אתה ממשיך לא לתעד אחרי שהרגולטור היה אצלך ואמר לך, ההנחה היא שכן, שאתה - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל אני חושב שזו פעולה דומה. גם השאלה האם זו פעולה שחייבת בתיעוד, שזו שאלה אחת, לבין האם אופן התיעוד הזה הוא סביר או לא סביר, שזה שאלה שנייה, והאם ההתראה היא על זה או על זה. זה רק בעיה של עמימות בתקנה כאשר אתה בא ואומר: על מה אתה מתריע בפניי? לא שמרתי תיעוד של סקר מסוג כזה או מסוג אחר זה משהו אחד, שמרתי אבל לא תיעדתי את זה באופן שנראה לך סביר, אתה אומר לוג לא מספיק לדבר הזה, זה צריך מסמך נפרד, זה צריך תיעוד פיזי, תשמור את זה בכספת, לא יודע. השאלה אם זה על הסביר או על איזה סוג פעולות זקוקות לתיעוד. התעשייה פה שקטה באופן חריג וזה מטריד אותי. << אורח >> ראובן אידלמן: << אורח >> ההנחה היא שכל הפעולות שהן לא יצירת מסמך כפופות לתיעוד. זה יותר על מהו תיעוד באופן סביר, אבל זה יכול להיות גם על מה שאדוני אמר. אם יש שאלה אם הפעולה הזאת כפופה לתיעוד או לא, אז אנחנו בסיבוב הראשון מבהירים אותה ובסיבוב השני אם ממשיכים להפר אז יש עיצום כספי. << יור >> היו"ר שמחה רוטמן: << יור >> אני חייב לומר, הסעיף הזה, היה נוח לי יותר אם הרשם היה נותן הוראות לעניין אופן תיעוד כאמור ואז ההפרה הייתה על הפרת הוראת הרשם. לא באופן כללי, לא על המושג סביר, או שלא שמר בכלל. לא שמר בכלל, משהו דומה למה שעשיתם בתקנה אחרת, שאמרתם לא נקט כל אמצעי, לא תיעד בכלל, בלי המילה 'סביר'. לא תיעד בכלל זה משהו אחד, או תיעד בניגוד להוראות הרשם זה משהו שני, אבל לא תיעד באופן סביר זה משהו שהוא קשה לי איתו. << אורח >> ראובן אידלמן: << אורח >> אפשר 'לא תיעד', להוריד את 'באופן סביר' בטקסט שבטבלה. << אורח >> סוריא בשארה: << אורח >> המטרה היא לנהל יומן של מה שעושים, נכון? אז זה מסוג הדברים שבנוהל או בהנחיות הרשות כן יכולה להסביר מה זה תיעוד סביר, למשל המועד שבו נעשתה הפעולה, סוג הפעולה. << יור >> היו"ר שמחה רוטמן: << יור >> לכן אמרתי, אפשרות אחת היא, ואפשר לחבר את שתיהן, אחת היא לא תיעד בכלל, בלי המילים באופן סביר, ואפשרות שנייה זה לא תיעד בהתאם להוראות הנוהל שפורסמו על ידי הרשם. ואז הרשם רשאי לתת הוראות, פעל בניגוד להוראות הרשם שניתנו כאמור לפי סעיף 19(ב). << אורח >> ראובן אידלמן: << אורח >> אנחנו ניתן תשובה לגבי שתי האפשרויות. << יור >> היו"ר שמחה רוטמן: << יור >> טוב. << דובר >> נעמה מנחמי: << דובר >> נשאר לדיון? נשאר פתוח? << יור >> היו"ר שמחה רוטמן: << יור >> כן. (14). פעם ראשונה שהגענו לסכומים הגבוהים. << דובר >> נעמה מנחמי: << דובר >> (14), הכנת מסמך הגדרות מאגר. אני רק רוצה להסב את תשומת הלב שזה חל על בסיסי. << יור >> היו"ר שמחה רוטמן: << יור >> זה לא חל על יחיד. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (14) הכנת מסמך הגדרות מאגר: בעל שליטה במאגר מידע שלא הגדיר במסמך הגדרות המאגר את כל העניינים האמורים בתקנה 2(א) לתקנות; אני מבקשת להפנות לפרט (7) שכולל גם שמות של מנהל המאגר, המחזיק והממונה והמנהל. << יור >> היו"ר שמחה רוטמן: << יור >> אבל לפחות ב-(14) המנהל לא מופיע בצד הזה, רק בצד הזה. << דובר >> נעמה מנחמי: << דובר >> זאת אומרת שאם התחלף לי מחזיק ושמו לא מופיע - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, התחלף זה עדכון, זה (15), אנחנו עכשיו בהכנת המסמך בהתחלה. << דובר >> נעמה מנחמי: << דובר >> נכון. << יור >> היו"ר שמחה רוטמן: << יור >> אני חייב לומר, קשה לי עם היחידים פה, קשה לי עם הטור של היחידים, ויש פה שאלה מדוע נדרשים סכומים גבוהים כאשר מטרת העיצומים הכספיים היא הגעה לציות. << אורח >> ראובן אידלמן: << אורח >> זאת חובה מאוד מאוד בסיסית, אולי הכי בסיסית בתקנות האלה, אפשר קצת להרחיב על החשיבות שלה אולי, אני מציע שלינא תרחיב קצת. << דובר >> נעמה מנחמי: << דובר >> וכן אנחנו מקבלים הערות שרוב הסכומים פה הם נמוכים. יכול להיות שלגבי היחיד לא, אבל נראה שהווייב הכללי שקיבלנו עד עכשיו זה שהסכומים נמוכים. << אורח >> לינא כמאל טרודי: << אורח >> התכלית של מסמך ההגדרות המאגר זה כשאתה מתחיל כבעל מאגר לנהל, לעבד, לאסוף מידע, אתה צריך להבין מה יש לך, לנהל את הסיכונים שלך, להבין מה הערך החשוב שאתה רוצה להגן עליו באבטחת מידע. אתה צריך להבין למי אתה נותן את המידע הזה, למי אתה נותן הרשאות, איך אתה מעביר את המידע, איך אתה שומר את הכול. בעצם זה מסמך הבייסיק שבבייסיק כשאתה בעל מאגר מידע, יש לך את מאגר המידע הזה ואתה חייב לדעת איך לנהל אותו. זה מסמך ניהול תקין של מי שרוצה לעבד ולשמור ולאבטח מאגרי מידע. אתה לא יכול לעבוד בלי שיש לך את מסמך הבייסיק של הנהלים של מסמך מאגר. אתה לא יודע מה יש לך, אתה לא יודע מה יגן עליו, אתה לא יודע מי ניגש אליו אז אתה לא יודע איך למנוע את הגישה אליו כשאתה צריך למנוע, אתה לא יודע איך לתעד, כאילו כל פעולה - - - << יור >> היו"ר שמחה רוטמן: << יור >> יש לי שאלה, איך אני יודע כמה מורשי גישה יש למאגר שלי אם הוא לא כתוב במסמך הגדרות המאגר? << אורח >> לינא כמאל טרודי: << אורח >> אתה צריך לדעת איך אתה מחלק את זה, לפי ההרשאות, למי אתה נותן הרשאות. << אורח >> ראובן אידלמן: << אורח >> יש חובה לקבוע, זו תקנה שעדיין לא הגענו אליה. אתה כן ממפה פה את הסיכונים, אתה חייב למפות את הסיכונים. בהקשר למה שאדוני אמר על יחידים, צריך לחשוב גם על יחיד שהוא רופא לצורך העניין, יחידים יכולים לפעמים להחזיק מידע מאוד רגיש. << דובר >> נעמה מנחמי: << דובר >> אני מודה שהסיפור של יחידים, אני חושבת שלא פיצחנו אותו עדיין כי בתוך היחידים יכול להיות, דווקא ביחיד יש החרגה של מקצועות עם סודיות, אבל יכול להיות אותה חנות מכולת או קפיטריה עם שלושה עובדים שהנתונים על חשבון הבנק שלהם הוא מידע בעל רגישות מיוחדת ויכולה להיות אולי מישהי שמתעסקת בכל מיני דברים מאוד רגישים, אני לא רוצה להגיד דווקא אימוץ, אבל – << יור >> היו"ר שמחה רוטמן: << יור >> אימוץ ילדים קטינים נפגעי עבירה עם סרטן שהם עם רישום פלילי. << דובר >> נעמה מנחמי: << דובר >> לא, אני לא בטוחה, יכול להיות שיש איזה אסדרת מקצוע. זה יכול להיות יועצת הנקה, אני לא בטוחה שאני נכנסת לדבר הזה, באמת יש פה מנעד מאוד מאוד גדול ואני מרגישה מאוד לא נוח עם הדבר הזה. אני מרגישה שיש לנו עדיין מנעד גדול שאנחנו לא מתייחסים אליו, בין דברים שהם אפשר להגיד חצי אזוטריים, חשבונות הבנק של שלושה עובדים באיזה קפיטריה ועד פרטים אינטימיים של נשים אצל יועצת הנקה. אני ממש מרגישה לא בנוח עם זה. << אורח >> ראובן אידלמן: << אורח >> התפיסה אומרת שיש דברים בסיסיים שכל מי שמחזיק מידע אישי חייב לעשות, זה אחד מהם. כל מי שמחזיק במידע וזה לא משנה מה סוג העסק, אם אתה לא יודע את זה, זאת אומרת אתה לא יודע איזה מידע יש לך, מה מטרות השימוש, לא מיפית עם עצמך אפילו את הסיכונים או מה פעולות העיבוד שאתה עושה אז אתה לא יכול להחזיק מידע אישי בכלל. זאת התפיסה, זה מה שהתקנות אומרות. אין הרבה כאלה דברים שהם ממש בסיסיים שחלים על כולם. העיצום הכספי פה על יחידים ועל רמת אבטחה בסיסית הוא 2,000 שקלים. << יור >> היו"ר שמחה רוטמן: << יור >> כמה יחידים נכון להיום לדעתך שמחזיקים מאגר מידע ויש להם את המסמך הזה? מה אחוזי הקומפליינס שאתה חושב שיש? << אורח >> ראובן אידלמן: << אורח >> אני לא יודע להעריך, אני לא חושב שאנחנו יודעים להעריך, אבל האכיפה שלנו לא מתמקדת באנשים - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע, אבל דווקא בגלל זה השאלה. << אורח >> ראובן אידלמן: << אורח >> לא יודעים להעריך את זה. << אורח >> ליאור אתגר: << אורח >> אם אפשר להוסיף, אני חושב ששני הדברים שנאמרו פה, אני מסכים איתך, גם מה שלינא אמרה, הרעיון הזה של מסמך הגדרות מאגר הוא מאוד מאוד בסיסי, למעשה הדרך שלנו להגדיר מאגר היא באמצעות הנייר הזה. כמו שיש מרשם בעלי מניות יש מרשם של מאגרי המידע, או מסמך מיפוי מאגרים, קוראים לזה בכל מיני דרכים. כמו שאמרה היועצת המשפטית, לוועדה אין שום דרך לאכוף את זה על יחידים, א', מדובר בהשקעת משאבים, ו-ב', גם צריך לשאול מה התכלית, למה צריך את המסמך הזה. יחיד לא באמת צריך את המסמך הזה, הוא יודע מה יש לו, ואם הוא לא יודע מה יש לו אז מצבו גרוע מאוד, זה לא יתפוס אותו על אם הוא מחזיק טופס אקסל או טופס וורד שמכיל את כל מיפוי המאגרים. אין הרבה תועלת בהטלת סנקציה על יחיד בהקשר הזה. כן צריך לראות שהמסמך הזה הוא מפורט לפי רמת פירוט סבירה והגיונית. זה לא רק עניינים של אבטחה, זה גם עניינים של סוגי המידע, מה שיש גם ב-GDPR, הסטנדרט הוא גבוה לגבי המסמך הזה. אין טעם להשתמש בזה ליחידים, לדעתי. << יור >> היו"ר שמחה רוטמן: << יור >> אני הייתי עושה ליחיד, ואולי לשתי הרמות הבסיסיות, הייתי עושה בכפוף להתראה. בייחוד שאני לא עשיתי סקר ואני לא יודע ואתם עד היום לא אכפתם אז גם אתם לא יודעים. << אורח >> ראובן אידלמן: << אורח >> אבל זו סנקציה מאוד מאוד קלה. אני חושש שמה שאדוני מציע יתמרץ, שפשוט לא יהיה בכלל, המשמעות היא שגם רופא לא מנהל סיכונים. << יור >> היו"ר שמחה רוטמן: << יור >> אני אומר לך שוב, אתה לא יודע להגיד לי היום כמה רופאים מחזיקים מסמך כזה. אני מוכן לנדב, שתעשו סקר מתקציב ההוצאות של הרשות להגנת הפרטיות, תעשו סקר ותגלו שרוב מוחלט של אנשים לא. זאת אומרת אנחנו מכניסים פה משהו חדש לשוק - - - << אורח >> ראובן אידלמן: << אורח >> החובה היא לא חדשה. << יור >> היו"ר שמחה רוטמן: << יור >> החובה היא לא חדשה, רק שאף אחד לא שם עליה עד היום. סליחה שאני אומר, כי שום דבר לא היה בצדה. במידה מסוימת אתם עושים פה התגנבות יחידים, הכנסתם תקנות שאף אחד לא התעניין בהן כי הן היו חסרות שיניים. האנשים שצריכים לציית להם מצייתים בכל מקרה ל-GDPR או לדברים אחרים כי הם בין-לאומיים, כי זה גדולים, כי הם שומרים על עצמם, כי הם בקומפליינס, כי יש להם ממשל תאגידי, כי יש להם את התקנות של הבנקים, כל הגופים שמטרידים אותנו ויש להם את ה – הם בבסט פרקטיס והיו פחות או יותר קודם אז זה לא הפריע להם, ולא הייתה סנקציה בצדם, אז אנשים לא נזעקו. << אורח >> ראובן אידלמן: << אורח >> אבל היו הליכים וזה, אנחנו בדקנו מאות גופים במשך השנים, מאות מקרים, אי אפשר להגיד שזה - - - << יור >> היו"ר שמחה רוטמן: << יור >> כמה יחידים פנו אליכם ואמרו: לא טוב לי, זה מטיל עליי נטל רגולטורי כבד. כמה עסקים קטנים? מי פה עסקים קטנים? << אורח >> יעקב עוז: << אורח >> אני מחכה שתסיים את הסבב הזה. << יור >> היו"ר שמחה רוטמן: << יור >> לא, רק אם אתה מסכים איתי. << אורח >> יעקב עוז: << אורח >> זהו, שאני לא מסכים איתך. אז הואיל ואני לא מסכים איתך, כי אם אמרנו שאנחנו מצמצמים את חובת הרישום ואנחנו קפצנו משמחה, כי זה חשוב מאוד, כי אין בזה שום תוחלת ושום תכלית בחובת הרישום, והיה מי שאמר שאם אתה מבטל את חובת הרישום אתה מבטל בעצם את המודעות הבסיסית של עסק, יהא גודלו אשר יהא, לחובות של הגנת הפרטיות, רק מה? שזה ארכאי מאוד. מסמך הגדרת מאגר זה הבייסיק כולל בעסקים הקטנים. << יור >> היו"ר שמחה רוטמן: << יור >> אני מסכים. << אורח >> יעקב עוז: << אורח >> תשאל אותי בעסקים הקטנים, כן, מסמך הגדרת המאגר, כך אנחנו קוראים לו, זה סיפור המעשה של מאגר המידע והסיכונים שחלים עליו ולאיזה צדדי ג' אני מעביר אותו והמחזיקים שלי. זה מסמך שהוא מכונן לעסקים קטנים. << יור >> היו"ר שמחה רוטמן: << יור >> אני מסכים איתך במאה אחוזים. << אורח >> יעקב עוז: << אורח >> אז מה השאלה? אם הם מיישמים את זה? הם מיישמים את זה. מאות משרדי ביטוח ויועצי מס ורואי חשבון שלפחות אני בא במגע איתם במהלך השנה כולה, התשובה היא כן. << אורח >> לירון בנדק: << אורח >> למה לא להכניס לעסקים הקטנים את זה לנוהל התראה? << יור >> היו"ר שמחה רוטמן: << יור >> זה מה שאמרתי. << אורח >> יעקב עוז: << אורח >> אמרנו בכפוף להתראה. << יור >> היו"ר שמחה רוטמן: << יור >> אז מה אתה מתווכח איתי? זה מה שאמרתי. << אורח >> יעקב עוז: << אורח >> אמרנו, ראובן גם אמר את זה. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אני אמרתי. אני התחלתי כבר להתרגז עליך שאתה לא מסכים איתי. << אורח >> יעקב עוז: << אורח >> לא, אל תתרגז, הכול בסדר. להתראה כן. האם זה מקוים? חד משמעית כן בקרב העסקים שבאים איתנו כל הזמן במגע. << אורח >> ראובן אידלמן: << אורח >> אני חושב שהתשובה היא, ואמרתי את זה, האכיפה של הרשות לא מתמקדת בעסקים קטנים. להכניס את זה לנוהל התראה זה קצת - - - << אורח >> יעקב עוז: << אורח >> תפסיקו להגיד את זה בקול רם. << אורח >> ראובן אידלמן: << אורח >> כאילו הסיכוי שנגיע פעם ראשונה לעסק קטן הוא לא גבוה, הסיכוי שנגיע פעם שנייה לעסק קטן הוא מאוד מאוד נמוך, זה קצת כמו לפטור מהחובה - - - << אורח >> יעקב עוז: << אורח >> אני רוצה להעיר פה משהו, אתה מגיע לעסק קטן אגב אירוע אבטחת מידע, אגב אירוע סייבר, אתה מגיע לעסק קטן שבדרך כלל יהיה חלק מההשפעה בשרשרת אספקה, ואתה הגעת אליו, אתה מבקש ממנו את מסמך הגדרות המאגר בבקשה ראשונה ואנחנו גם ממציאים את זה לכם. לכן אני אומר, כן, אתה רואה עסקים קטנים כשאתה מטפל באירועים - - - << אורח >> ראובן אידלמן: << אורח >> מעט מאוד. << אורח >> יעקב עוז: << אורח >> מעט מאוד זה יחסי. << דובר >> קריאה: << דובר >> ושמכינים את זה חלקם תוך כדי האירוע. << אורח >> יעקב עוז: << אורח >> בסדר, בעניין הזה הם בסדר. << אורח >> ראובן אידלמן: << אורח >> אז תשאל את עצמך מה הסיכוי שנגיע פעם שנייה, אם בפעם הראשונה אנחנו מגיעים מעט מאוד. << אורח >> יעקב עוז: << אורח >> תשאל את רוברט מולר שהיה ראש ה-FBI ואמר שהסיכוי לפעם שנייה הולך וגדל. << אורח >> רחל ארידור הרשקוביץ: << אורח >> לא הצלחתי להבין את המשמעות של הטיעון שאתם לא אוכפים לגבי הנוסח של הסעיף, אני לא הצלחתי להבין את הקשר. << אורח >> ראובן אידלמן: << אורח >> לא, כי ההצעה של היו"ר היא שתהיה התראה, זאת אומרת שכשבאים בפעם השנייה יהיה עיצום. אני אומר שהסיכוי שאנחנו נבוא פעם שנייה הוא מאוד נמוך. << אורח >> רחל ארידור הרשקוביץ: << אורח >> אבל אתה אומר שהסיכוי שתבואו בכלל הוא מאוד נמוך, אז בואו נוריד בכלל אכיפה נגד – אני לא מבינה את הטיעון. << אורח >> יעקב עוז: << אורח >> אפילו אני מתנגד לזה. << יור >> היו"ר שמחה רוטמן: << יור >> התראה לשתי הרמות הנמוכות. לבינוני ולגבוה אין לי בעיה, אבל לזה נוהל התראה. << אורח >> ראובן אידלמן: << אורח >> אולי רק לגבי יחידים, אם אדוני רוצה לעשות את ההבחנה הזאת. אני מדבר על רופא, שהוא יהיה ברמת אבטחה בסיסית בדרך כלל ולא ביחיד. << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע ודווקא בגלל זה, אנחנו נמצאים בעולם שברור שכל האנשים שיעקב מכיר הם כבר עשו את הנוהל, כי הם מכירים את יעקב, בעצם העובדה שהם מכירים את יעקב. << אורח >> יעקב עוז: << אורח >> רק אני לא שמעתי על זה, הכול בסדר. << יור >> היו"ר שמחה רוטמן: << יור >> נוהל התראה לשתי הרמות הנמוכות. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (15) עדכון מסמך הגדרות מאגר: בעל שליטה במאגר מידע או מנהל מאגר שלא עדכן את מסמך הגדרות המאגר בהתאם להוראות תקנה 2(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> פה זה כבר הנושא של העדכון. << אורח >> ראובן אידלמן: << אורח >> קצת כמו הדיון שהיה קודם לגבי תקנה 5(א), מסמך מעודכן. זה אותו דבר. << דובר >> נעמה מנחמי: << דובר >> אבל אפרופו אגב הסכומים, אם לא עשיתי בכלל את המאגר? << יור >> היו"ר שמחה רוטמן: << יור >> לא, אותם סכומים. << דובר >> נעמה מנחמי: << דובר >> לא, אז אם לא עשיתי בכלל את המאגר זה 2,000, אבל אם לא עדכנתי אותו, אם שכחתי לעדכן אותו. << אורח >> ראובן אידלמן: << אורח >> זה גם 2,000. << יור >> היו"ר שמחה רוטמן: << יור >> שוב, השאלה היא האם אתה מחזיק מסמך מעודכן. אם אתה מחזיק מסמך מעודכן אז אתה מחזיק מסמך מעודכן, אם אתה לא מחזיק מסמך או שאתה לא מחזיק מסמך מעודכן, אז אתה לא מחזיק. << אורח >> ראובן אידלמן: << אורח >> אבל כאן יש חובה לעדכן אחת לשנה. << יור >> היו"ר שמחה רוטמן: << יור >> אין בעיה, לכן השאלה היא לא אם הכנת ועדכנת, אלא האם יש לך מסמך מעודכן בהתאם למועדים אחרונים בחוק. אם יש לך מסמך מעודכן, פה יש מועדים, אז פה זה עוד יותר קל. << אורח >> ראובן אידלמן: << אורח >> בכל עת שנעשה שינוי משמעותי ובכל מקרה כל שנה. אז יש כאן אלמנט שכל פעם שנעשה שינוי משמעותי. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, אז אותו דבר. אם רצית שינוי משמעותי ולא עדכנת, תבוא אליו בטענות על זה, בסדר גמור, אין בעיה, ותתווכח איתו מה זה היה שינוי משמעותי או לא שינוי משמעותי. אני מקבל את זה. << אורח >> רפי סלמה: << אורח >> למה להתווכח? אולי שיהיה אחת לשנה וזהו. << יור >> היו"ר שמחה רוטמן: << יור >> לא הבנתי. << אורח >> רפי סלמה: << אורח >> זה נותן לך ודאות מסוימת. אתה אומר שאתה לא יודע מה זה שינוי משמעותי. << יור >> היו"ר שמחה רוטמן: << יור >> לא, לא אמרתי את זה, דווקא זה בסדר לי. << אורח >> רפי סלמה: << אורח >> אז לי זה לא בסדר. המטרה שלי לתת ודאות. << יור >> היו"ר שמחה רוטמן: << יור >> לך לא יהיה עיצום כספי, לך יש ממונה פנימי, אבל רק אם באתר אינטרנט בחוץ הוא יוכל לנקוט באופן עצמאי ובהתאם לדין ושאין לו ניגוד עניינים. << אורח >> רפי סלמה: << אורח >> נדבר על זה בדיון אחר. אבל עכשיו, אני חושב שגם לתת ודאות פה, אז אחת לשנה נראה לי בחינה נכונה. << יור >> היו"ר שמחה רוטמן: << יור >> לא הבנתי, הוודאות, אתה שואל ודאות לגבי מה זה שינוי משמעותי? << דובר >> קריאה: << דובר >> אבל למה? אם יש שינוי משמעותי צריך לעדכן אותם. אני לא רואה סיבה שלא. << דובר >> נעמה מנחמי: << דובר >> כתוב בכל עת שנעשה שינוי משמעותי בנושאים המפורטים בתקנת משנה (א) וחוץ מזה יבחן את הצורך בעדכון - - - << יור >> היו"ר שמחה רוטמן: << יור >> העברת עכשיו את מאגר המידע שלך למחזיק אתה צריך לעדכן את המסמך. << אורח >> רפי סלמה: << אורח >> אני חוזר בי. אני חוזר להסכים עם היו"ר. << יור >> היו"ר שמחה רוטמן: << יור >> מצוין. לאט לאט זה עובד, התחלתי איתך, לאט לאט זה כל השולחן, עד שכולם יסכימו איתי. לאט לאט, ביחד ננצח. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (16) בדיקת מידע עודף: בעל שליטה במאגר מידע או מנהל מאגר שלא בחן אם אין המידע שהוא שומר במאגר רב מן הנדרש למטרות המאגר, בניגוד להוראות תקנה 2(ג) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> אם הוא בדק זה 160, אם הוא בדק ולא עדכן זה 160 פלוס 80. ואם הוא לא בדק ולא תיעד? אם הוא לא תיעד את זה שהוא לא בדק? << דובר >> קריאה: << דובר >> עדיף לו לתעד, זה יותר זול. << יור >> היו"ר שמחה רוטמן: << יור >> באמת שאלה, הרי איך תדע אם הוא בדק או לא בדק? אם הוא לא תיעד? << אורח >> ראובן אידלמן: << אורח >> נתנו את זה כדוגמה לחובת התיעוד. << יור >> היו"ר שמחה רוטמן: << יור >> אז תבוא תשאל אותי אם בדקתי, אני אגיד בדקתי ולא תיעדתי, מה תעשה לי? << אורח >> עמית יוסוב עמיר: << אורח >> הנטל על הרשות, זאת אומרת אם הרשות רוצה - - - << יור >> היו"ר שמחה רוטמן: << יור >> אז איך אתה יודע שלא בדקתי? אתה רק יודע שאין תיעוד לבדיקה שלי, אבל אתה לא יודע אם בדקתי או לא בדקתי. מה, אני אגיד לך לא בדקתי ולא תיעדתי או לא תיעדתי את מה שבדקתי? אני יכול להגיד לך בדקתי ולא תיעדתי, הרי כל מה שיש לך זה תיעוד פה. << אורח >> ראובן אידלמן: << אורח >> אם זאת הטענה אז צריך להתמודד עם הטענה הזו. אם זו תהיה הטענה. << יור >> היו"ר שמחה רוטמן: << יור >> מאיפה אתה תדע שלא עשיתי משהו? כי אין לי תיעוד. << אורח >> ראובן אידלמן: << אורח >> זאת שאלה שאנחנו שואלים והשאלה מה התשובה. << יור >> היו"ר שמחה רוטמן: << יור >> אם הוא הודה, בן אדם מתחשק לו לשלם 160,000 שקל. << אורח >> ראובן אידלמן: << אורח >> זאת חובה שהיא מאוד מאוד חשובה. << יור >> היו"ר שמחה רוטמן: << יור >> בואו נסכם, אין שום דבר בתקנות אבטחת מידע לצורך דיון זה שהוא לא מאוד חשוב, כל החובות הן מאוד מאוד חשובות, כל הדיון שלנו הוא אך ורק לשאלה אחת ויחידה, איך זה יעבוד בפועל, האכיפה של החובות המאוד מאוד חשובות הללו. אין כל חולק שהכול חשוב, כולל התאריך, כולל התוספת. זה לא הדיון, אל תשכנעו אותי שהחובה הזאת היא חשובה, אני שואל את עצמי שאלה מאוד פשוטה, תבואו ותגידו לי לא עשית בדיקה, מה שנקרא זה מס פראיירים? שבן אדם שמתנדב להגיד לך שהוא לא עשה בדיקה? << אורח >> עמית יוסוב עמיר: << אורח >> לא בהכרח עניין של פראיירים, בסוף יש חובה - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל לא תיעדתי, אז אני אגיד שלא עשיתי. << דובר >> נעמה מנחמי: << דובר >> אתה צריך לדעת להגיד שעשית ולא תיעדת. << יור >> היו"ר שמחה רוטמן: << יור >> זאת אומרת מס פראיירים. באים אליי לביקורת, שואלים אותי מה עם הבדיקה השנתית על המידע העודף, אני אגיד עשיתי ולא תיעדתי, 80, לא עשיתי, 160 פלוס 80, כי גם לא עשיתי וגם לא תיעדתי. << אורח >> לינא כמאל טרודי: << אורח >> העניין הוא לא של התיעוד, אם השתנו מטרות המאגר מן הסתם אנחנו גם נוכל לשאול - - - << יור >> היו"ר שמחה רוטמן: << יור >> יש ביטוי שנקרא מס אמת? לא נראה לי שלזה התכוונו, שאתה משלם מס על זה שאתה אומר אמת. מס אמת הכוונה שהמס הוא אמיתי, פה הסיטואציה היא שהחובה היא לא קיום או אי קיום של מסמך עד עכשיו, דליפת מידע, לא דליפת מידע, אלא באמת זה מס פראיירים. אני מנסה לתאר את הסיטואציה שבה תבואו ותגידו לבן אדם – זה בעצם לא קיימתי בדיקה. לא קיימתי את הבדיקה הזאת הכוונה שלא תיעדתי אותה, כי אני יכול תמיד להגיד הסתכלתי וחשבתי האם אני מקיים פה מידע עודף? ואללה לא. איך זה ייאכף? << אורח >> לינא כמאל טרודי: << אורח >> אני אסביר איך אנחנו אוכפים את זה. השאלה היא מטרות המאגר. אם בכל שנה אתה משנה את מטרות המאגר, נניח המאגר שלך זה לעיבוד למידה לגילאים 20 ל-40, זה השירות שאתה נותן, זו מטרת מאגר שלך, כל שנה אתה צריך לוודא שהמידע אודות אנשים מעל גיל 40 נמחק, כי זה מידע שאתה לא צריך אותו. שוב, בשים לב למטרת המאגר. אם המטרה שלך היא רק לעבד ולשמור מידע על אנשים מגיל מסוים, בעלי אופי מסוים, זו מטרת המאגר, אז הבדיקה שאתה עושה היא - - - << יור >> היו"ר שמחה רוטמן: << יור >> נכון, אבל בואי נניח שבדקתי, הגעתי למסקנה שאני מחזיק מידע רב, אבל לא עשיתי עם זה שום דבר. הבחינה היא דבר אחד. את יכולה להגיד מחזיק מידע עודף, אז אני מחזיק מידע עודף, תני לי קנס שאני מחזיק מידע עודף. לא תיעדתי שבחנתי, תני לי קנס שלא תיעדתי שבחנתי, אבל הבחינה בפני עצמה במנותק מהתיעוד שלה ובמנותק מהפעולה על פיה זה – שוב פעם, זה שלייקס על חגורה על שלייקס על עוד חגורה של עוד שני שלייקסים ולכן גם הוספנו את מנהל המאגר שיהיה עוד מישהו. זה משקל עודף, זה לא מידע עודף, זה לא הגיוני. הדרך היחידה שאתם תיתנו את הקנס הזה זה אם מישהו מטומטם מספיק להגיד לכם שהוא לא בחן. קנס על טמטום, זה חשוב, זה מייצר הרתעה נגד טמטום. << דובר >> קריאה: << דובר >> אני לא בטוח, בסופו של דבר - - - << דובר >> קריאה: << דובר >> זה כמו אזעקה שאם הוא לא הראה תיעוד לפעולה שהייתה צריכה ל - - - << יור >> היו"ר שמחה רוטמן: << יור >> אז זה סעיף אחר. << דובר >> קריאה: << דובר >> אזעקה שלא נעשתה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה סעיף אחר, רק שזה לא בתקנות ולא בזה. חובת תיעוד, קיבלת חובת תיעוד. אתה רוצה לתת חובת תיעוד אקסטרה, חובת תיעוד של בחינת מאגר המידע אחת לשנה למידע עודף? תגיד: תיעוד רגיל לכל פעולה 80, תיעוד לזה 160, אני מבין את ההיגיון, בפועל איך שהסעיף הזה מנוסח כרגע זה קנס על טמטום. אני מאוד לא אוהב מטומטמים, אבל עד רמת ה-160,000 שקל, וגם רמת הטמטום לא תלויה בשאלה איזה עוצמת מאגר אתה מחזיק. אתה מטומטם פעם אחת, זה מחדל אחד. << אורח >> ראובן אידלמן: << אורח >> אפשר בצורה של כמה שאלות להבין איך הבן אדם טוען שהוא בחן, הוא צריך להסביר, איזה פעולות הוא עשה בעקבות זה. << יור >> היו"ר שמחה רוטמן: << יור >> הסתכלתי וחשבתי. ישבתי וחשבתי. << אורח >> ראובן אידלמן: << אורח >> אני חושב שזה יורד לרזולוציה יותר מקצועית מזה. << דובר >> נעמה מנחמי: << דובר >> לא, הוא יגיד שהוא ישב בישיבה והוא רשם לעצמו. << יור >> היו"ר שמחה רוטמן: << יור >> ישבתי עם עצמי וזיכרון כתבתי, אני נותן שירות מגיל 20 עד 40, זה לא בסדר שאני מחזיק את אלה שהם בני 60. << אורח >> ראובן אידלמן: << אורח >> אז יכול להיות שבמקרים מסוימים זה יספק, אני לא יודע. << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה לא מתאים לעיצום כספי, במקרים מסוימים יספק או לא יספק. << אורח >> ראובן אידלמן: << אורח >> אבל האלטרנטיבה שלא תהיה אכיפה היא אלטרנטיבה קשה יותר. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אני לא אמרתי שלא תהיה אכיפה. הרי אם הוא לא בדק מן הסתם הוא גם לא תיעד, כי אם הוא תיעד שהוא בחן אז הוא בחן. אין סיטואציה שהוא תיעד בחינה ולא ביצע את הבחינה, נכון? כי אין לך דרך לבדוק כמה רציני הוא היה בבחינתו, זה לא דבר שאתה יכול לעשות, בטח לא ברמת העיצום הכספי. אז ממילא אתה יכול להגיד חובת תיעוד זה וזה, חובת תיעוד על בחינה של מידע עודף קנס יותר גבוה. אני יכול לחיות עם זה, אני מבין. אני לפחות מבין רציונל, מבין איך זה ייאכף. << אורח >> ראובן אידלמן: << אורח >> לקבוע את זה בחלק של חובת התיעוד. << יור >> היו"ר שמחה רוטמן: << יור >> אתה יכול להגיד על חובת תיעוד רגילה כזאת וכזאת, על חובת תיעוד של החובה לפי סעיף 2(ג), בדיקת מידע עודף, קנס יותר גבוה. << אורח >> ראובן אידלמן: << אורח >> בסדר, מקובל. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין את ההיגיון, אבל לא בחינה, על הבחינה עצמה לא יהיה שום דבר, כי זה חסר משמעות. את זה נוריד ותעשו מדרגה נוספת בתיעוד. << אורח >> ראובן אידלמן: << אורח >> בתיעוד, כאילו חובת תיעוד ספציפית ל - - - << יור >> היו"ר שמחה רוטמן: << יור >> למידע עודף, שעליו יהיה – אתם רוצים קנס יותר גבוה? שוב, אני לא יודע אם זה מתאים לזה. אגב, שם התיעוד, על איזה קבוצות אוכלוסייה זה? למשל אין תיעוד על יחידים, זה אומר שבחינה על יחידים, לא יהיה לך בחינה על יחידים, אבל יכול להיות שיש לך עוד מעט - - - << אורח >> ראובן אידלמן: << אורח >> לא, חובת התיעוד היא על כולם. << יור >> היו"ר שמחה רוטמן: << יור >> לא. (9), עיצום, אין על היחיד. וזה בסדר, אני חי עם זה. שוב, כי זה לא הגיוני. כי זו המשמעות היחידה של בחינה, זה תיעוד שבחנת. אם אמרת שבחנת בחנת. מי המש"ק שאחראי על התיעוד של הבחינה ועל הגיבוי שלו? << אורח >> רפי סלמה: << אורח >> אני אשמור על זכות השתיקה בהקשר הזה. << יור >> היו"ר שמחה רוטמן: << יור >> טוב. (17), נוהל אבטחת מידע. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (17) הכנת נוהל אבטחת מידע: בעל שליטה במאגר מידע, מחזיק במאגר כאמור או מנהל מאגר כאמור שלא קבע במסמך נוהל אבטחת מידע בהתאם למסמך הגדרות המאגר והתקנות (להלן – נוהל אבטחה), בניגוד להוראות תקנה 4(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בסעיף 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> זה בסדר לכולם? אין הערות? טוב. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (18) נוהל אבטחה – הכנה, שמירה וקביעת הוראות: בעל שליטה במאגר מידע שאינו מאגר המנוהל בידי יחיד - - - לא צריך את המאגר שמנוהל על ידי יחיד כי העברנו את זה לטבלה. טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' - - - מחזיק במאגר כאמור או מנהל מאגר כאמור, שעשה אחת מאלה, לגבי נוהל האבטחה, בניגוד להוראה כמפורט בפסקאות משנה (א) עד (ד) שלהלן החלה עליו: לא שמר אותו בהתאם להוראות תקנה 4 (ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> זה שוב פעם קצת חוזר לשאלת כניסה לשיקול הדעת. << אורח >> ראובן אידלמן: << אורח >> ושם עשינו תיקון. << יור >> היו"ר שמחה רוטמן: << יור >> שם עשינו והפנינו לנוהל האבטחה, זאת אומרת שם אמרנו לא פעלת בהתאם לנוהל האבטחה, אבל פה זה עכשיו נוהל האבטחה, אנחנו קצת ברקורסיה. << אורח >> ראובן אידלמן: << אורח >> לא, אני חושב שאפשר לעשות את אותו תיקון גם כאן. שם אמרנו בהתאם להוראות כפי שקבע בעל המאגר בהתאם לתקנה זה וזה. << יור >> היו"ר שמחה רוטמן: << יור >> כן, אבל פה זה הנוהל הזה. איפה הוא קובע את ההוראות האלה? בנוהל האבטחה. פה זה נוהל האבטחה עצמו. אתה יודע מה כתוב במיליון בערך רקורסיה? << אורח >> ראובן אידלמן: << אורח >> לא, כאן החובה היא לשמור את נוהל האבטחה. << יור >> היו"ר שמחה רוטמן: << יור >> בצורה מאובטחת. איפה כתוב מי האנשים ש - - - << דובר >> קריאה: << דובר >> לא, בצורה מאובטחת לא צריכה ל - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, לא מאובטחת, פרטים ממנו יימסרו לבעלי הרשאה רק בהיקף הנדרש לצורך ביצוע תפקידיהם. << אורח >> ראובן אידלמן: << אורח >> זו אותה הוראה בדיוק כמו שהייתה שם. << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע, אבל שם הפנינו ואמרנו הוראות שנקבעו – אמרנו שאתם תנסחו שם בהתאם להוראות שהוא עצמו קבע, פה הנוהל הזה, איפה הוא קובע אותם? שם, בסעיף שם, איפה הוא קובע את הנוהל? << אורח >> ראובן אידלמן: << אורח >> לא, הוא קובע את זה בבעלי הרשאה. יש סעיף אחר שעוד לא הגענו אליו שהוא קובע את בעלי ההרשאה. זה בהתאם לבעלי ההרשאה שהוא קובע בחובה אחרת שיש לו שעוד נגיע אליה. זה לא כאן. << יור >> היו"ר שמחה רוטמן: << יור >> כן? ככה זה עובד? נראה לי שהם בהלם. זה אחר, לא בנוהל האבטחה. חברים, זה טופסולוגיה שאין דברים כאלה, אני לא רוצה שום מאגר מידע אף פעם. אני חושב שזו המטרה תכלס. << דובר >> קריאה: << דובר >> זה לא רחוק, זה בתקנה 8. << אורח >> לירון בנדק: << אורח >> עמרי, ככה זה באירופה? ההקראה הזאת של הנוהל ולשמור אותו? << אורח >> עמרי רחום טוויג: << אורח >> מה פתאום? אין חוקי אבטחת מידע כאלה ב - - - יש חובה כללית. << יור >> היו"ר שמחה רוטמן: << יור >> אני חייב לומר, קשה לי עם זה. << אורח >> לירון בנדק: << אורח >> אדוני, בהמשך למה שדיברנו קודם על האחוז ממחזור, כל הדברים האלה לא קיימים באירופה, לשמור את הנוהל, שגם הנוהל יהיה מאובטח והדברים האלה. בדקתי עם גוגל. << יור >> היו"ר שמחה רוטמן: << יור >> אם איבדתי את הגיבוי של מי בעלי האבטחה לנוהל לאבטחה של השמירה? << דובר >> נעמה מנחמי: << דובר >> זה לא מרגיש לכם קצת מיקרומנג'מנט? << יור >> היו"ר שמחה רוטמן: << יור >> זה סופר מיקרומנג'מנט. << אורח >> ראובן אידלמן: << אורח >> תקנות הן מאוד כאלה. << יור >> היו"ר שמחה רוטמן: << יור >> זה שהתקנות הן כאלה זה מצוין, השאלה אם על כל סעיף בתוך התקנות אנחנו רוצים קנס. << דובר >> קריאות: << דובר >> לא. << יור >> היו"ר שמחה רוטמן: << יור >> מי נותן לי כן? << דובר >> קריאה: << דובר >> גם צריך לומר שזה לא מתאים לכל סיטואציה. << אורח >> לינא כמאל טרודי: << אורח >> אבל צריך להבין שכל סעיף בנוהל מייצר בעצמו סיכון אבטחת מידע ברגע שהוא נחשף. << יור >> היו"ר שמחה רוטמן: << יור >> לא, הוא מייצר סיכון לנוהל. << אורח >> לינא כמאל טרודי: << אורח >> לא, עצם החשיפה שלו. נוהל האבטחה הוא כשאתה נותן הוראה לעניין האבטחה הפיזית, הוראה לעניין הגישה למאגרים, איך אתה נותן, איך אתה מחלק אותם ואתה יודע כבר לזהות איפה יש חולשות. בסוף כשאני רואה את נוהל האבטחה של ארגון אני יודעת הרבה דברים. << יור >> היו"ר שמחה רוטמן: << יור >> איך מתגברים על הבעיה הכה אקוטית הזאת? איזה הוראות יש לעניין שמירת נוהל האבטחה באירופה? << דובר >> קריאה: << דובר >> לא יורדים לרזולוציה הזאת. שם זה רק מהות, אין את הדברים האלה. << אורח >> ראובן אידלמן: << אורח >> זה לא GDPR, יש בכל מדינה רגולציית אבטחה, לכן זה לא נכון מה שנאמר כאן, שזה לא קיים באירופה. בוודאי שזה קיים, זה פשוט רגולציה שהיא נפרדת, לכן קוראים לזה רגולציית סייבר והיא מוסדרת בצורה נפרדת ועם סנקציות אחרות. ל-GDPR אין תקנות אבטחת מידע כאלה כי זה עניין מדינתי, אבל אם אדוני יראה את ההמשך של תקנה 4 ומה יש בנוהל האבטחה, אני חושב שכשקוראים את מה חייב להיות בנוהל האבטחה מבינים שנוהל האבטחה כשלעצמו הוא מסמך שאם הוא נחשף לאנשים לא מורשים זה - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני שואל שאלה מאוד פשוטה, שמעתי את הדיון פה, אמרתי עם כל הכבוד וזה נורא נורא מצחיק, אני את מאגר המידע שלי מעביר למדינה אחרת שפחות משגעים את השכל עם גיבויי האבטחה של נוהל שמירת מידע של ה-DPO. << דובר >> קריאה: << דובר >> יש תקנות יצוא מ-2001 ש - - - << יור >> היו"ר שמחה רוטמן: << יור >> תודה. אבל אני שואל שאלה, האם את הדף הזה של נוהל האבטחה אני צריך לשמר או שאני יכול לגרוס? מה קורה אם אני מנהל את אותו מאגר מידע בדיוק? אני עסק קטן שרוצה לנהל מאגר מידע קטן אם כי מידע רגיש, אני רופא בארה"ב ורופא בישראל או באירופה, כמה קלסרים אני צריך? יש חוק בארה"ב שהוא אחד החוקים האהובים עליי ביותר שנקרא paperwork reduction act, חוק נפלא. אגב יש להם יחידה ממשלתית מיוחדת עם טופסולוגיה משלה. אני לא צוחק. החוק הזה, paperwork reduction act, אומר שכל טופס, כל רגולציה ממשלתית שאתה מביא, אתה צריך לכתוב שם למטה כמה זמן לוקח לבן אדם רגיל למלא את הטפסים. אני רופא ואני רוצה את המחשב שלי, שבו אני שומר את פרטי הפציינטים שלי, כמה קלסרים אני צריך למלא ואחת לכמה זמן אני צריך לעדכן אותם. האם ההוראות האלה של תקנות אבטחת מידע הן נטל רגולטורי סביר או לא סביר והאם עכשיו כשאנחנו מוסיפים עליהם את הסנקציות האם – אני מסכים שלכל אחת מהן יש ערך עצמאי והיא חשובה מאוד, אמרתי, זה הנחת מוצא, ועדיין הסנקציה הגדולה שבצדה לוקחת ומעמיסה לי על הנטל הרגולטורי דה פקטו, למרות שדה יורה הוא קיים גם היום. היום חייבים לעשות את זה, מצוין, הם לא עושים את זה ואת לא עושה איתם שום דבר ואת בעצמך הודית שאת לא אוכפת עליהם. מצוין, אז אין את הנטל הרגולטורי. << אורח >> ראובן אידלמן: << אורח >> אוכפים. << יור >> היו"ר שמחה רוטמן: << יור >> כן, אתם עושים כל הזמן ביקורות על עסקים קטנים, כל הזמן. << אורח >> ראובן אידלמן: << אורח >> לא על עסקים קטנים, אבל על אחרים כן. << יור >> היו"ר שמחה רוטמן: << יור >> רופא איפה נמצא פה? << אורח >> ראובן אידלמן: << אורח >> רופא בודד הוא ברמת אבטחה בסיסית. << יור >> היו"ר שמחה רוטמן: << יור >> אז עד היום לא יודע כמה עשיתם עליו, לא יודע אם הייתם עושים עליו מה הייתם עושים לו. << אורח >> ראובן אידלמן: << אורח >> רוב החובות לא חלות עליו. << יור >> היו"ר שמחה רוטמן: << יור >> נפלא, אבל עכשיו אני רק קורא בפרק הזה הנחמד שהוספנו עכשיו, במיוחד אם אנחנו מערבבים את כולם ביחד, ואז אני רואה שהוא צריך תיעוד כללי וגם אמרנו עכשיו שאם הוא לא יתעד את המידע העודף שלו אז הוא יהיה בקנס כפול, אז זה יהיה 2,000. זה יהיה 1,000 כי אין לו תיעוד בכלל ועוד 2,000 כי הוא לא שומר את הנוהל ועוד 2,000 כי הוא לא הכין מסמך הגדרות מאגר ועוד 2,000 כי הוא לא עדכן את מסמך המאגר שהוא לא הכין ואז הוא לא בדק את המידע העודף, וזה הורדנו כבר, ואז נוהל אבטחת מידע הוא גם לא הכין, אבל גם כשהוא הכין הוא לא עדכן והוא לא שמר עליו. כל מה שאני אומר, בסופו של דבר האם הנטל הרגולטורי, אני מבין שאתם חושבים שהנטל הרגולטורי הזה נדרש, אני מבין אותו, עדיין בפועל לפני חקיקת החוק הזה הנטל הרגולטורי הזה הוא אות מתה ואחרי חקיקת החוק הזה הנטל הרגולטורי הזה הופך להיות וואחד נטל. אני שואל את עצמי האמנם, או הכצעקתה? האם נדרש? אם אנחנו עוברים סעיף סעיף בכל סעיפי המיקרומנג'מנט של תקנות אבטחת מידע שהם כן עושים מיקרומנג'מנט, מאוד, האם לכל סעיף פה אנחנו צריכים להצמיד או שאנחנו יכולים לבוא ולהגיד סעיף כללי, לא קיים את הוראות תקנות אבטחת מידע, 2,000 שקל קנס וזהו? לפחות לעסקים הקטנים, לפחות לעסקים הבינוניים יהיה כל הטורים, לא קיים את הוראות תקנות אבטחת מידע באופן כללי בכפוף להתראה. ואז זה אומר שכשתואילו בטובכם לעשות ביקורת על עסק קטן תגידו לו: אתה לא עומד בתקנות אבטחת מידע, תקנות אבטחת מידע אומרות כך וכך ואז יהיה לו קומפליינס או לא יהיה לו קומפליינס. אני לא יודע, אבל זה לא הגיוני, אני חוטף חום כשאני רואה את הדבר הזה. על פניו, כבר יש לי חסינות, אני לא יודע, אבל הייתי עורך דין, יכול להיות שהמחשב שהיה לי עונה להגדרת מאגר מידע, יכול להיות, אני לא יודע, אני לא הייתי כל כך עורך דין מאורגן, לא שמרתי, ולא היו לי הרבה לקוחות כל כך, היה לי משרד בוטיק, לא יודע, אבל אולי אני עבריין בזה שאני לא החזקתי את כל הקלסרים האלה. ואני עוד מכיר פרטיות, ואני אגיד לכם, המידע שאצלי היה סופר מאובטח, מה זה קשור? לא דלף עד היום. << אורח >> ראובן אידלמן: << אורח >> ראש הרשות ביקש לדבר דרך הזום, אם אפשר. << אורח >> גלעד סממה: << אורח >> אני חייב להגיד שיש לי הרבה רגעים שאני רוצה להתערב, אבל זה פשוט חסום. << יור >> היו"ר שמחה רוטמן: << יור >> זה הטכנולוגיה והמשפט. << אורח >> גלעד סממה: << אורח >> אני מבין מה שאתה אומר, אדוני היושב ראש, אבל גם אנחנו צריכים להבין, אגב זה לא רק בישראל, גם ברשויות מקבילות בחו"ל, סוגיית העסקים הקטנים היא סוגיה שיש לה חשיבות, כלומר היכולת שלנו וגם ברשויות הזרות להגיע לעסקים היא יכולת מאוד מאוד מוגבלת וברגע שאנחנו לא מצמידים לצד החובות האלה סנקציות שהן לא גבוהות, הן אפילו די זניחות, אנחנו בסופו של דבר לא נצליח להביא להפנמה של החובות האלה. אנחנו יודעים להגיד היום שאין הפנמה מספקת כאן בישראל וגם במדינות אחרות ואם אנחנו לא מצמידים לזה סנקציות מינימליות אז אנחנו לא נצליח להגיע להפנמה ואנחנו למעשה פוגעים בפרטיות. << יור >> היו"ר שמחה רוטמן: << יור >> גלעד, אני מציע שנעשה איזה שהוא ברייק שיכול להיות מחזור עד 4 מיליון או משהו כזה, או ברייקים אחרים. צריך לחשוב, משאיר לתעשייה ולכם להציע. נעשה איזה ברייק ונגיד מתחת לברייק הזה יש עבירה אחת נקראת לא קיים את הוראות התקנות, בצורה הכללית ביותר, או לא קיים את מרבית הוראות התקנות, לא יודע, משהו בסגנון. גלעד, אני חושב שגם אתה תסכים איתי שכשאתה מגיע לאותו עסק קטן ואתה מוצא אצלו תוהו ובוהו מוחלט, כי הוא לא עשה כלום, למה? כי הוא לא יודע. שוב, אותי מלפני הדיון הזה, שלא יודע ולא מבין מה אתה רוצה ממני. אני שומר, מאבטח את המידע שלי כמו בן אדם רגיל, הכול נמצא אצלי באיזה טבלת אקסל שאני לא הגדרתי אותה מאגר מידע ולא הכנתי לו מסמך ולא כלום ושמרתי את זה בטבלת אקסל, את שמות הלקוחות שלי ופרטי הקשר שלהם ועוד פרט מזהה על התיק שהפך את זה למידע סופר רגיש כי אני עורך דין בדיני משפחה, לטובת הדיון פה. אז יש לי טבלת אקסל כזאת עם רשימת לקוחות שעל פניו היא מאגר מידע. לא הכנתי לה לא מסמך הגדרות ולא מיניתי לה ממונה אבטחה ולא עשיתי לה הערכת סיכונים ולא אבטחתי עם שני מנעולים עם ביומטרי את הכניסה לחדר שבו המחשב הנייד שלי מוחזק. לא עשיתי שום דבר, כלום, אקסל. זה הכול. << אורח >> גלעד סממה: << אורח >> אבל יש כאלה שעושים חלק ואני לא רוצה - - - << יור >> היו"ר שמחה רוטמן: << יור >> שנייה, אני רוצה שתעשה לי קומפליינס. אני רוצה שתבוא אליי ותיתן לי התראה ותגיד: תשמע, שמחה, ביקרתי אצלך ואתה משרד עורכי דין, הגיע הזמן שתתבגר, אתה לא יכול להתנהג כאילו אתה בשנות ה-70, אתה צריך לשמור על המידע של הלקוחות שלך. יש לך אחריות, האיראנים דופקים בדלת והולכים לקחת את כל המידע שלך. בסדר, מצוין. נתתי לך את האפשרות לעשות את זה, אני נותן לך סמכויות פיקוח, תבוא אליי, תן לי התראה מנהלית, תן לי רשימת ריג'קטים, אני מיד ארים טלפון ליעקב, הוא יבוא וייתן לי הסבר איך אני מתמודד עם הריג'קטים שלך ולפעם הבאה שתבוא אני אהיה בסדר. מצוין. אני לא רוצה ולא מתכנן שאתה תבוא איתי עם רשימה, תגיד אוקיי, יש פה 17 סעיפים בתקנות אבטחת מידע ובכל אחד יש תתי סעיפים, 2,000 ו-2,000 ו-2,000 ואתה גם לא אבטחת ולא גיבית את המנעול של הצוללת הצהובה. זה אי אפשר. << אורח >> גלעד סממה: << אורח >> אני רוצה להגיד, קודם כל בוא נדבר רגע שגם לגבי עסקים קטנים יש כאלה שמקיימים חלק מההוראות ויש כאלה, כמו שאתה אומר, שלא מקיימים כלום. אני לא רוצה להתייחס לאותם עסקים באותה צורה, כלומר מי שמקיים חלק מהחובות אני רוצה להתייחס אליו בהתאם. << יור >> היו"ר שמחה רוטמן: << יור >> תן לו התראה מנהלית. << אורח >> גלעד סממה: << אורח >> לא, אבל אנחנו כאן צריכים לקחת בחשבון, ואי אפשר להתחמק מהדבר הזה וצריך להבין את זה, היכולת שלנו להגיע, והמשק יודע את זה והעסקים יודעים את זה, היכולת שלנו להגיע לעסקים קטנים היא יכולת מאוד מאוד מאוד מוגבלת ואם העסקים הקטנים היום, שיש להם היום את החובות האלה, אם הם יודעים שכשאני אגיע אליהם, אם אני אצליח להגיע אליהם, אני בסוף רק אסיים עם התראה מנהלית אז אנחנו לא נביא להפנמה. אני אומר את זה חד משמעית. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין אותך, אבל אני שואל אותך שאלה פשוטה, האם אני מצפה באמת, ואני אגיד לך יותר מזה, האם כשעשית את תהליך שיתוף ציבור על התקנות שלך ב-2017, לא אתה עשית את זה אז, אתה לא היית שם. << אורח >> גלעד סממה: << אורח >> אני מסוף 2021. << יור >> היו"ר שמחה רוטמן: << יור >> אתה התיאורטי, אתה בכובעך, עשית את תהליך שיתוף ציבור שלך ב-2017 האם באו אליך נציגי המגזר העסקי והעסקים הקטנים וזה וצעקו חמאס על כמות הרגולציה שאתה מטיל עליהם ואמרו, אדוני היקר, זה לא הגיוני שמשרד עורכי דין יצטרך להחזיק חמישה קלסרים ושלושה יועצי בטיחות והוא יצטרך גם להחזיק יועץ בטיחות בשביל שהמדפים לא יקרסו על העובדים מרוב הכובד? האם הם באו וצעקו חמאס על הדבר הזה או שהם באו ואמרו: מה זה משנה? זה תקנות בלי סנקציות, מה אכפת לי, תעשה מה שאתה רוצה. הגדולים ישמרו עליהם והקטנים, לא אכפת להם. אני אומר לך, יכול להיות שהדרך הנכונה היא באמת שאתה תבוא ותציע בתקנות שתביא פה לוועדה אחרי החוק הזה מסלול ירוק רגולטורי ולהגיד עסק קטן צריך one pager אלא אם כן הוא מחזיק מאגר סופר רגיש כזה וזה, אבל הוא צריך one pager שכתוב שם זה והוא לא צריך את כל החובות האלה. העניין הוא שאתם יצרתם את כל החובות הרגולטוריות האלה ולאף אחד זה לא היה ממש אכפת כי אף אחד גם לא התכוון לקיים אותן ועכשיו אתם אומרים: אה, אתם זוכרים שאמרנו לכם פעם שיש חובה רגולטורית כזאת? עכשיו 160,000 שקל. בוקר טוב. זה לא עובד. << אורח >> גלעד סממה: << אורח >> קודם כל אנחנו לא ב-160,000 שקל, כשמדובר בעסקים קטנים זה מספרים הרבה הרבה הרבה יותר נמוכים. << יור >> היו"ר שמחה רוטמן: << יור >> לא, דיברנו על זה שגודל המאגר ורגישותו הוא לא בהכרח פונקציה של גודל העסק. << אורח >> גלעד סממה: << אורח >> דבר שני, אדוני, למה צריך ללכת אחורה - - - << דובר >> נעמה מנחמי: << דובר >> עד עשרה עובדים זה - - - << יור >> היו"ר שמחה רוטמן: << יור >> עד עשרה מורשי גישה, זה לא עד עשרה עובדים. זה יכול להיות חנות אינטרנטית קטנה עם כמה שותפים. << אורח >> ראובן אידלמן: << אורח >> זה לא לקוחות, אדוני, עשרה מורשי גישה. הכוונה היא לא ללקוחות. << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע מה זה מורשה גישה. אתם יודעים כמה מורשי גישה יש ליומן שלי? ואני לא קונגלומרט. << אורח >> גלעד סממה: << אורח >> אין עשרה. << יור >> היו"ר שמחה רוטמן: << יור >> לא אספר לך, יש יותר מעשרה. << אורח >> גלעד סממה: << אורח >> אני רוצה רגע להגיד משהו. אנחנו באמת באנו עם הצעה, אני לא ישבתי והכנתי את טבלת העיצומים הזו ואת המספרים שם, אבל אני יכול להגיד לך שאני חושב שהעיצומים הם יותר נמוכים - - << יור >> היו"ר שמחה רוטמן: << יור >> אז מי הכין? << אורח >> גלעד סממה: << אורח >> - - ממה שאני מצפה בכלל שהרגולציה הזו תהיה. ולא רק זה, אחרי הדיונים אצלך, בדיונים האחרונים, המשק בעצמו ישב בחוץ ואמר לי את אותם דברים, שהעיצומים שלנו הם אפילו במקום מסוים נמוכים יותר. << דובר >> נעמה מנחמי: << דובר >> על זה אין ויכוח. << יור >> היו"ר שמחה רוטמן: << יור >> אין ויכוח. אני חושב שהעיצומים שלך, כשיושב פה, עכשיו הוא יושב פה מולי והוא לא רק מחוץ לחדר, כשיושבים פה גוגל העיצומים שלך הם מצחיקים, אבל כשיושב העסק הקטן שעד היום לא קיים אפילו לא רבע מההוראות שנתת לו והוא לא ידע שהן בכלל קיימות עליו ולמען האמת אם הוא היה יודע והייתם עושים RIA אמיתי על התקנות האלה, כמה נטל רגולטורי הן מטילות על עסק קטן. << אורח >> ראובן אידלמן: << אורח >> חלות עליו מעט מאוד תקנות מהתקנות האלה. << אורח >> גלעד סממה: << אורח >> אדוני, היה RIA אמיתי, היה שיתוף ציבור אמיתי. אני אומר לך את זה מתוך ידיעה, היה שם קונצנזוס. הבאנו את זה עם שרת משפטים שלא דגלה ברגולציה מכבידה על המשק, אנחנו מכירים את הדבר הזה. אני חושב שגם עסק קטן שיש לו מידע רגיש, דיברנו על רופא מקודם ואפשר לדבר על עוד כמה עסקים רגישים, אנחנו לא רודפים אחרי בעלי מכולות, אני שומע את הדוגמה הזאת כל הזמן, אבל זה לא האירוע, בסופו של דבר צריך גם לקחת בחשבון את המגבלות שלנו ויש לנו מגבלות. << יור >> היו"ר שמחה רוטמן: << יור >> גלעד, אני לוקח בחשבון את המגבלות שלכם. << אורח >> גלעד סממה: << אורח >> אם אנחנו יוצאים מהאירוע הזה כשבסופו של דבר אנחנו יכולים להגיע לעסק ורק לתת לו התראה ואחר כך להגיע אליו עוד פעם מתי שהוא, אני אומר שלא נצליח להביא להפנמה וצריך להבין שבארגונים האלה, בעסקים הקטנים האלה, יש גם מידע מאוד מאוד רגיש שיכול ממש לפגוע באנשים. << יור >> היו"ר שמחה רוטמן: << יור >> אז יש לי הצעה שאני חושב שפותרת את הבעיה שאתה מדבר עליה, להגיד שאם יש לך עסק שלא עומד במרבית הוראות התקנות, צריך למצוא את הניסוח לעשות את זה, אז הוא יקבל קנס של 2,000 או אפילו קצת יותר גדול, וזה יהיה ה-קומפליינס הבסיסי לעסק הקטן וזה בסדר גמור. לגבי הפרת ההוראות לכל השאר זה התראה ואז אתה אומר לו שעסק שהוא באמת לא מתפקד בכלל יחטוף את הקנס של ה-2,000, ואלו שמתפקדים בגדול, אבל יש להם כמה דברים שחסרים, הם יקבלו התראה לפעם הבאה, או שהם יצטרכו להגיש לך תוכנית תיקון ליקויים. לדעתי יש לך בחוק הוראה שאומרת שאתה יכול לתת – תחלק התראות פלוס תוכנית תיקון ליקויים ואז בלי הגשת תוכנית תיקון ליקויים במועד, תעשה על זה עיצום כספי. שזה יהיה בפוש ולא בפול, שאתה לא צריך לבקר אצלו בעסק עוד פעם בביקורת שגרתית, אלא באת, מצאת, נתת התראה פלוס תוכנית תיקון ליקויים ויש קנס על לא הגיש תוכנית ליקויים במועד שקבע לו הרשם. << אורח >> גלעד סממה: << אורח >> אדוני מכיר את דעתי, אני לא שולל (נתק בזום). << אורח >> ראובן אידלמן: << אורח >> אם אפשר בכל זאת להפנות את אדוני לעמוד 5 במסמך ההכנה. יש שם רשימה שהייעוץ המשפטי הכין שמראה איזה תקנות בכלל חלות על מי שברמת אבטחה בסיסית. אדוני יראה, זה מעט מאוד תקנות, זה מעט מאוד חובות. אפשר לעבור עליהן ולהבין מה - - - << יור >> היו"ר שמחה רוטמן: << יור >> 1 עד 3, 4(א), (ב), (ג), (ה) ו-(ו), 5(א), (ב) ו-(ה), 6(א)(7), (ב), 8, 9 ו – כן, נשמע ממש קצת. << אורח >> יעקב עוז: << אורח >> 17 מתוך 20. << אורח >> ראובן אידלמן: << אורח >> אבל זה באמת החובות הכי בסיסיות. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא טענתי שזה חובות בסיסיות. << אורח >> ראובן אידלמן: << אורח >> זה לא עניין של מספרים. << יור >> היו"ר שמחה רוטמן: << יור >> אני שואל אותך שאלה מאוד פשוטה, זה צריך לשאול את השוק, יעקב, נניח שאני בא אליך מחר עם משרד עורכי הדין הקטן שלי ואני אומר לך שעד עכשיו התנהלתי חרבו דרבו על הראש שלי, שום דבר לא עשיתי, כלום, תוהו ובוהו, עכשיו אני צריך להסדיר את המערכת, להלבין את האירוע, כמה שעות עבודה, כמה מסמכים, כמה זמן זה לוקח, כמה זה יעלה לי, תן לי הערכת מחיר. לא חייב אישי שלך. אתה מבין מה אתה אומר? כמה נטל זה מטיל עליי? << אורח >> יעקב עוז: << אורח >> אני אדבר על העסק הקטן הממוצע שינוע בין עורך הדין דרך הרופא, סוכן הביטוח, רואה חשבון ויועץ המס. עשרות שעות עבודה כדי בכלל לאפיין את המאגר שלו ולדעת מה יש לו במאגר ולהכין לו מה שנקרא מסמך הגדרות מאגר ונוהל אבטחה ו-17 חובות מוטלות על העסק הקטן ברמת אבטחה בסיסית עד עשרה אנשים. אני לא מדבר על הרמה של יחיד כי יש הרבה מאוד גופים שכפופים לחובת סודיות או אתיקה מקצועית והם ישר מוקפצים לרמה בסיסית. זה נטל בפני עצמו. אחרי שאמרתי את זה, שלא תחשוב לרגע אחד שאני מסכים עם האמירה הזאת שצריך להטיל התראה ואם לא אז 2,000 שקלים כי אז גמרת את היכולת לעסק קטן לשמור על המידע הרגיש שנמצא אצלו. ואתה אמרת יותר מפעם אחת, משרד עורכי הדין שעוסק בדיני האימוץ. << יור >> היו"ר שמחה רוטמן: << יור >> לא הבנתי, למה גמרתי? << אורח >> יעקב עוז: << אורח >> כי אם אתה בעצם גורם להם באופן שלא התכוונת אליו להפר את אותה הפרה יעילה, קח 2,000 שקלים אדון עו"ד עוז או רוטמן ופשוט הנה בבקשה הפרתי הפרה יעילה, 2,000 שקלים גמרתי את העסק ולא שילמתי ונדרש לי אותן עשרות שעות עבודה, ואז חשפת אותו, את אותו עסק קטן לכל כך הרבה נזקים ורשלנות ושמירה והחובה והציפייה של נשוא המידע ממנו לשמור על המידע, כי גמרת את זה ב-2,000 שקלים. << אורח >> ראובן אידלמן: << אורח >> אני מתנגד לזה. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא חשבתי שגמרתי את זה ב-2,000 שקלים. אני חושב שאם קיבלת דוח התראה ודוח תיקון ליקויים ולא הגשת דוח תיקון ליקויים במועד אז אתה תקפוץ להם שגם את הקנס של ה-2,000 תקבל וגם יבואו אליך לעוד ביקורת וגם זה יתפרסם ציבורית וגם הלקוחות שלך יתבעו אותך כי זה יתפרסם, כי עיצומים מנהליים מתפרסמים. אני לא חושב שזה לא מרתיע, אני רק אומר דבר מאוד פשוט, יש פה בעיה קשה של עודף רגולציה והיעדר דיפרנציאציה, זאת אומרת גם משרד עורכי הדין או רואי החשבון או הרופא הקטן, גם הרמה הבסיסית היא מאוד מאוד לא בסיסית ודורשת הרבה מאוד ולכן אתה תייצר הפרה יעילה וגם אם הקנס יהיה 4,000 שקל אתה תייצר הפרה יעילה, וגם אם הוא יהיה 6,000 שקל וגם אם הוא יהיה 10,000. << אורח >> ליאור אתגר: << אורח >> אולי כדאי להתמקד בעסקים קטנים יותר דה פקטו ופחות בניירת. אולי ככלל, שהסנקציות יוטלו במקרה יהיה משתמש רשום אחד לכל העסק ולא משנה מה כתוב בנוהל כי אין נוהל בכל מקרה, לצורך הדוגמה. לצורך העניין רוצים הרשאות גישה מסודרות אז שהעסק יעשה הרשאות גישה, אבל אין לו נוהל, מה לעשות? הוא קטן מדי. אולי זו דרך לפתור את זה. << יור >> היו"ר שמחה רוטמן: << יור >> יכול להיות. << אורח >> יעקב עוז: << אורח >> הנחת היסוד שהעסק הקטן, לפחות מסוגי העסקים שאני מניתי, שאין לו נוהל היא הנחת יסוד לא נכונה. << אורח >> ליאור אתגר: << אורח >> אני דווקא באתי לקראתך פה. << אורח >> יעקב עוז: << אורח >> אני לא יודע אם באת לקראתי כי אם אתה אומר שאין לו נוהל אבטחת מידע, אני מבין מה שאתה אומר, אני אומר שמה שהיושב ראש אמר - - - << אורח >> ליאור אתגר: << אורח >> הנוהל שלו יהיה איזה צטלה שאין בו כלום, שהוא קנה מאיזה חברת ה-IT שלו שלקחו איזה ספק אחר, אין לזה הרבה משמעויות בארגון קטן. ככה מהסתכלות כללית על ארגונים בסדר הגודל הזה. יכול להיות שעדיף מבחינת האינטרס המוגן הוא להגן דווקא על האופרציה. תקפיד על האופרציה, על תקפיד על הנהלים. זו הצעה, מבחינת סנקציות אני חושב שזה יכול לעבוד יותר טוב. << יור >> היו"ר שמחה רוטמן: << יור >> יכול להיות. אני מרגיש שנושא העסקים הקטנים וה-קומפליינס שלהם הוא אובר-קיל, במידה מסוימת כמו שלעסקים הגדולים עשינו סכומים נמוכים מדי ופחות רלוונטיים ופחות מטרידים, לעסקים הקטנים אנחנו עושים אובר-קיל של אובר רגולציה שאתם גם לא תאכפו אותה בסוף, או שתאכפו אותה בצורה מאוד מוגבלת ובאמת אני חושב שצריך לייצר מסלול ירוק רגולטורי לעסקים יותר קטנים ושכל המסמכים האלה יהיו בלייצר אותם במסמך אחד. אני לא בטוח כמה צריך לגבות את הנהלים של האבטחה של הזה בעסק קטן כזה. אני יודע שזה לא חל על גיבוי, בסדר, סתם כמשל. << אורח >> רחל ארידור הרשקוביץ: << אורח >> בקו של אדוני, אני כן רוצה להגיד שגם עסקים קטנים יכולים להחזיק את זה וצריך להקפיד על אבטחת המידע אצלם, פשוט אני חושבת שהבעיה פה והמסלול הירוק שאתה מדבר עליו, יכול להיות שמה שצריך לחשוב עליו זה איך לקחת את כל ההפרות האלה שבהם אתם עושים מיקרומנג'מנט לכולם, אבל בעיקר לעסקים קטנים ולחשוב איך אפשר לנסח את זה בצורה שתוביל לזה שאם תהיה הפרה משמעותית, לאו דווקא על הגיבוי או הזה, אז יוטל הקנס בדירוג מסוים. גם אם באירופה אין הטלת סנקציות ספציפיות על כל מה שלא עשיתי בנוהל אבטחת המידע, אלא יש אמירה כללית - - - << אורח >> יעקב עוז: << אורח >> גם אין רמות אבטחה באירופה. << אורח >> רחל ארידור הרשקוביץ: << אורח >> יש אמירה כללית כאשר הנציבויות כשהן באות להטיל סנקציה מתחשבות באם עשית backup, לא עשית backup, מה זה מלמד מבחינת אבטחת המידע שעשית, אם עשית א' ב' ג', אבל הן לא דורשות עשית א'? לא, אז תקבל קנס. כלומר יש הסתכלות יותר - - - << דובר >> קריאה: << דובר >> יש גם את סוג המידע ואת סוג העסק - - - << אורח >> רחל ארידור הרשקוביץ: << אורח >> נכון, והן מתחשבות בגובה הקנס, הן שוקלות את כל השיקולים של סוג המידע, גודל העסק והנסיבות של ההפרה. << אורח >> קרן גל-און: << אורח >> אני מצטרפת למה שנאמר פה. ברור שהמאגרים שלהם יהיו מאובטחים ואנחנו צריכים למצוא את הדרך להבטיח את זה, זה שזה עסק קטן או לא זו שאלה מסוימת, אבל השאלה מה המאגר, מה ההיקף שלו ומה הוא מכיל, יש מאגרים מאוד משמעותיים שנמצאים אצל עסקים קטנים. לכן צריך לראות שאנחנו מסתכלים על הפרמטר הנכון בהקשר הזה. << יור >> היו"ר שמחה רוטמן: << יור >> אני מסכים. בעיית המיקרומנג'מנט בעסק קטן היא מאוד מאוד משמעותית, בעיית המהות היא נכונה להכול ולכן אם אנחנו היינו מייצרים קנס על מהות אז זה היה יותר פשוט. אולי אחד המרכזיים זה אי דיווח על אירוע אבטחה, לצורך העניין, שזה אבן יסוד באירוע. אז גם אם אתה עסק קטן שאתה מחזיק מידע סופר רגיש והיה איזה דלף מידע מאוד רציני תדווח, כי אתה מחזיק במידע רגיש, לא משנה, לפי גודלו, לפי פה, לפי שם. כל הניירת מאוד מטרידה אותי כשמדובר בעסק קטן שגם למעשה כמו שאומרים זה חסר משמעות. נניח שיש לי נוהל, אז מה? יש לי נוהל ובסופו של דבר כולם יודעים שהסיסמה היא השם של הכלב שלי. << אורח >> ראובן אידלמן: << אורח >> זו ניירת שדרכה עושים אבטחת מידע, זה לא רק ניירת. דיברנו על זה הרבה בהקשר של מסמך הגדרות מאגר שאם לא מיפית את הדברים הבסיסיים אז לא עשית - - - << יור >> היו"ר שמחה רוטמן: << יור >> בוא תשאל אותי בבקשה את כל השאלות שאתה רוצה בניירת, לא היה לי מימיי מסמך הגדרות מאגר, בוא אני אספר לך, גילוי נאות פה, על מאגר המידע שהיה לי במשרד עורכי הדין שלי, אין מסמך. אני יכול להגיד לך, רק רגע, בוא נראה, מה זה? תיאור כללי של פעולות האיסוף והשימוש במידע, אני אספתי ושימשתי את המידע של הלקוחות שלי כדי לשמור איתם על קשר, כדי לדעת מה עשיתי איתם בתיקים. זה מטרות השימוש במידע, גם אמרתי לך את זה. סוגי המידע השונים זה שמות הלקוחות, פירוט התיק שהיה להם וכמה כסף הם שילמו לי. פרטים על העברת מאגר המידע, אני לא מתכוון להעביר אותו אל מחוץ לגבולות המדינה ואני לא איבדתי את זה באמצעות מחזיק. הסיכונים העיקריים של פגיעה באבטחת המידע זה שהוא ידלוף והשם זה אני. זהו, סיימנו את מסמך הגדרות המאגר. לא כתבתי אותו מימיי, אבל יש לך את כל המידע ויש לי כל המידע שנדרש לצורך ההגנה. לא עשיתי את זה בטופסולוגיה, 80,000 שקל. לא 80,000 שקל, פחות, כמה זה? << אורח >> ראובן אידלמן: << אורח >> 2,000. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אבל אני עורך דין, זה 40,000. << אורח >> ראובן אידלמן: << אורח >> לא, רמת אבטחה בסיסית. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, 2,000, אבל זה רק מסמך הגדרות המאגר. אני הייתי צריך גם לקבוע נוהל אבטחה. נוהל אבטחה בעל פה, אני אומר לך שאני בחנתי את העובדים שלי בסודוקו. מה אתה רוצה ממני? אין לי נוהל, אני בן אדם לבד במשרד עם כמה עובדים. הנוהל הוא שבן אדם ניגש לזה כי הוא עובד שלי, רק עובדים ניגשים למחשבים, זה הנוהל, אפילו אין סיסמה. זה לא בסדר, אני מסכים איתך, צריך לקבוע את זה, אבל זה לא נראה לי הגיוני שאני עכשיו חשוף רק ממה שסיפרתי לך עכשיו, מזל שהחוק עוד לא עבר, אני חשוף לאיזה 20,000 שקל, עשר הפרות שאני מזהה בעצמי. זה לא נראה לי הגיוני, למה? ואתם יודעים מה? הכול שמור, אף מידע אצלי לא ידלוף כי הכול נמצא במחשב עם סיסמה, אבל סיסמה אחת שכל העובדים יודעים. חמור מאוד, אבל זה לא ידלוף וכנראה לא מעניין את האיראנים, אבל עדיין לא הגיוני בעולם שאני אחטוף 20,000 שקל קנס בגלל שנוהל האבטחה שלי לא כתוב וגם לא גיביתי אותו, ואת הגיבוי לא שמרתי בהתאם לנוהל הגיבוי, הוא לא כתוב. << אורח >> ראובן אידלמן: << אורח >> חלק מהחובות שאדוני הזכיר עכשיו לא חלות על יחידים ולא חלות על רמת אבטחה בסיסית, החובה של נוהל לא חלה על יחיד, אולי גם צריך להגיד. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אני בסיסי. << אורח >> ראובן אידלמן: << אורח >> בבסיסי כן, גם פה יש הבחנה בין עסק קטן מאוד מאוד לבין עסק שהוא ברמת אבטחה בסיסית שהוא קשור לגם באמת אם הוא רופא או עורך דין, אני מסכים. << יור >> היו"ר שמחה רוטמן: << יור >> אני עורך דין, כמה עורכי דין יש במדינה? יותר מדי. התשובה היא תמיד יותר מדי אגב. << אורח >> ראובן אידלמן: << אורח >> אדוני, יש הנחיות מחמירות גם של לשכת עורכי הדין לגבי אבטחת מידע אצל עורכי דין ואולי ראוי לחשוב על אבטחת מידע אצל עורכי דין כמשהו שמצריך תשומת לב רבה יותר. הייתי שמח להצעה קונגרטית של הוועדה, משהו שנוכל לשקול. << יור >> היו"ר שמחה רוטמן: << יור >> הצעה קונקרטית, כמו בעולם, שתסתכל על המהות. אם היה אירוע של דלף מידע. תבחר את הגרעין, תוותר לי על קנסות על טופסולוגיה, לא בגלל שטופסולוגיה היא לא חשובה. << אורח >> ראובן אידלמן: << אורח >> לצמצם את העיצומים על יחידים? << יור >> היו"ר שמחה רוטמן: << יור >> ואתה יכול להוסיף כללי, לא ניהל מסמכים בהתאם לתקנות, כללי, על הכול, תעשה ביקורת, תן התראה, לפעם הבאה יהיה זה, תביא לי בתוך 30 יום את המסמכים, תייצר אותם. תוותר על טופסולוגיה ולך על מהות, אני חושב שההצעה שעלתה פה היא מאוד נכונה. << אורח >> ראובן אידלמן: << אורח >> אנחנו מדברים רק על שתי הקטגוריות התחתונות? << יור >> היו"ר שמחה רוטמן: << יור >> כן, כי הגדולים בכל מקרה עסוקים בטופסולוגיה כל החיים שלהם. << דובר >> נעמה מנחמי: << דובר >> אני לא בטוחה שזה הנימוק, אפשר לחשוב על נימוקים אחרים, יכולים להתמודד עם זה וכו'. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר. גלעד, אתה לא מטיל עליי שום קנס פה, יש לי חיסיון ממך. << אורח >> גלעד סממה: << אורח >> הדבר הראשון שאנחנו נעשה אחרי אישור החקיקה הזו שאנחנו נקיים פיקוח עליך, אבל בסדר. << דובר >> נעמה מנחמי: << דובר >> ועליי, נראה לי. << יור >> היו"ר שמחה רוטמן: << יור >> ועל עוד 50,000 עורכי דין שלא מחזיקים מסמך. << אורח >> גלעד סממה: << אורח >> אני שמעתי את הסיכום, מה שרציתי בגדול להגיד, אני מבין שאתה אומר שאולי נעשה משהו בסגנון עסק קטן שנניח לא עמד באופן משמעותי, לא עמד באופן בינוני ולא עמד באופן נמוך ועמד באופן מושלם, אולי משהו בסגנון הזה. << יור >> היו"ר שמחה רוטמן: << יור >> אני יותר הלכתי על הבחנה של מספר עבירות מהותיות ששווה לדבר עליהן ולכאורה אין הבדל בגודל העסק בהקשר אליהן, וזה קשור קצת למה שהסייבר אמר, לבין חובות שאפשר לשים אותן בשם כולל תחת 'מסמכים, נהלים וגיבויים', שעליהם יהיה כללי, לא ניהל מסמכים, נהלים וגיבויים בהתאם להוראות התקנות ויהיה על זה התראה. לצורך העניין דיברו פה על נתן מורשי גישה לכל העולם ואחותו, פרסם באינטרנט, לא דיווח על דלף מידע חמור. << אורח >> גלעד סממה: << אורח >> אז אנחנו נעשה את הבדיקה שלנו מהו מה שנקרא מהותי כדי שאנחנו נוכל לייצר את הסנקציה בפעם הראשונה ולא בהתראה כי יש לזה משמעות מבחינת ההפנמה. בסדר, נעשה את השיח הזה. << יור >> היו"ר שמחה רוטמן: << יור >> ואגב אני כן אומר, את הבעיה שאתם לא עושים הרבה ביקורות חוזרות פשוט אפשר לפתור, יש הוראה לתיקון בחוק, נכון? << אורח >> גלעד סממה: << אורח >> יש הוראה לתקן. << אורח >> ראובן אידלמן: << אורח >> הנחיה לתיקון ליקויים. סמכות מפורשת בחוק בטקסט של הנחיה לתיקון ליקויים זה לא משהו שקיים. ההנחה היא, לכל רגולטור במסגרת סמכות הפיקוח יש סמכות לתת הנחיה לתיקון ליקויים, זה לא משהו חדש. אולי אדוני מכוון להוראה בסעיף 8א בחוק שאומרת שאם יש הפרה אז אפשר להורות להפסיק את ההפרה. << יור >> היו"ר שמחה רוטמן: << יור >> כן. מצוין, תודה שהזכרת לי. הבעיה של הביקור הכפול, אין בעיה, עשיתם ביקורת, אם היה שם משהו מהותי, נתתם קנס ישיר, הכול בסדר. אם היו שם ענייני טופסולוגיה, שאני לא מזלזל בהם, הם כלי מאוד משמעותי והם חשובים וכל מה שבתקנות חשוב, הכול בסדר, אבל אני עדיין מצפה שעסק קטן יהיה שם, רוב הסיכויים שהוא ייפול בהם אז יהיה כתוב: לא מילא אחר הוראות התקנות והנהלים בשמירת הטפסים והמסמכים הנדרשים בהתאם להוראות התקנות ויהיה התראה לגבי זה ובצמוד להתראה הזאת אתם תביאו הוראה לפי סעיף 8א ובתוך 30 יום ואז ממילא אם אחרי 30 יום, תעשו אצלכם, אני בטוח שבתור רשות למשפט וטכנולוגיה אתם יכולים לייצר תזכורת ביומן שאם אחרי 30 יום אתם לא מקבלים את התקנות אז הוא יקבל את הקנס של ה-2,000 שקל על זה שהוא לא הביא את תיקון הליקויים הזה. וזה ייצר את הקומפליינס והכול יבוא על מקומות בשלום. << דובר >> נעמה מנחמי: << דובר >> אנחנו עדיין ב-(18) שזה נוהל אבטחה, שמירה וקביעת הוראות, ב-(ב). טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (ב) לא כלל בו את הפרטים המנויים בתקנה 4(ג) לתקנות; << אורח >> ראובן אידלמן: << אורח >> פורט את התוכן של נוהל האבטחה. << יור >> היו"ר שמחה רוטמן: << יור >> מה ההבדל בין לא הכין נוהל או הכין נוהל שלא כלולים בו כללים. אם הכנתי דף, כתבתי עליו 'נוהל אבטחה' ולא כללתי בו אף פרט, אני מקבל קנס לפי (ב) או (א), שזה אותו קנס? 160,000 כפול שתיים. עדיף לא לכתוב את הדף הזה, כי אז אתה מקבל דאבל. אתם שמים לב מה קורה פה. זה לא הגיוני. << אורח >> ראובן אידלמן: << אורח >> אז מה ההצעה, שתהיה הפרה אחת על אי הכנת הנוהל? << יור >> היו"ר שמחה רוטמן: << יור >> אי הכנת נוהל כנדרש. << אורח >> ראובן אידלמן: << אורח >> ואי כלילת הפרטים? << יור >> היו"ר שמחה רוטמן: << יור >> כן. כי זה לא הגיוני. << אורח >> ראובן אידלמן: << אורח >> בסדר, מאה אחוז. << דובר >> נעמה מנחמי: << דובר >> שאלה, האם אין חשש שהנוהל כולל גם את הסיכונים שחשוף להם המידע של המאגר? עצם זה שאני שמה את הסיכונים בנוהל הזה, בפרט (5). << יור >> היו"ר שמחה רוטמן: << יור >> לכן הנוהל צריך להיות מאובטח ואם לא תאבטחי אותו תקבלי קנס על זה שלא אבטחת אותו. << אורח >> ראובן אידלמן: << אורח >> הגישה אליו היא רק למורשי גישה, נכון. זה הסעיף הקודם. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (ג) לעניין מאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה – לא כלל בו התייחסות לפרטים המנויים בתקנה 4(ד) לתקנות או הוראות כאמור בתקנה 9(ב)(2) לתקנות; << דובר >> קריאה: << דובר >> זה אותו עניין. << יור >> היו"ר שמחה רוטמן: << יור >> לא החזיק נוהל אבטחה, קנס 160,000 שקל. אם הוא לא כלל בו את הפרטים שנדרש על פי חוק אז לא כלל. << אורח >> ראובן אידלמן: << אורח >> לא, אבל זה ביחד, לא החזיק או לא כלל בו את הפרטים הנדרשים. << יור >> היו"ר שמחה רוטמן: << יור >> אז אני אומר לך שוב, תחשוב על הסיטואציה שבן אדם החזיק דף, כתב נוהל אבטחה בלי לכתוב כלום בפנים, דף ריק. << אורח >> ראובן אידלמן: << אורח >> בסדר, זו הפרה אחת, אני רק אומר, אם לא כללת את הפרטים זו עדיין הפרה. << יור >> היו"ר שמחה רוטמן: << יור >> כן. הנושא של הרשאות גישה אני מבין, זה אב מלאכה נפרד, אבל כל השאר, לא כלל את זה, לא כלל את זה, לא קבע בהוראות כאלה ולא קבע בהוראות כאלה, קנס אחד אם הנוהל הוא לא כנדרש לרבות שהוא לא קיים. שזה גם לא כנדרש. << דובר >> נעמה מנחמי: << דובר >> זה גם כולל את (ד), 'לא קבע בו הוראות לעניין התמודדת עם אירועי אבטחה', או שאתה רוצה להפריד אותם? << יור >> היו"ר שמחה רוטמן: << יור >> האם אלוהים יכול לתת קנס על מה שחסר בנוהל אבטחה לא קיים? << דובר >> נעמה מנחמי: << דובר >> אוקיי, אני אקריא את (ד). טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (ד) לא קבע בו הוראות לעניין התמודדות עם אירועי אבטחת מידע או לעניין דיווח לבעל השליטה - - - << יור >> היו"ר שמחה רוטמן: << יור >> אותו דבר, גם (ה). << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (19) סקר סיכונים: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור, שלא דאג לכך שייערך סקר לאיתור סיכוני אבטחת מידע אחת ל-18 חודשים לפחות (להלן- סקר סיכונים), שלא דן בתוצאות סקר הסיכונים שהועברו לו ולא בחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהן, או שלא פעל לתיקון הליקויים שהתגלו במסגרת הסקר, בניגוד להוראות תקנה 5(ג) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; וכמובן גם דרישת תיעוד. << אורח >> ראובן אידלמן: << אורח >> כאן זה מקובץ, ברוח ההערות של הוועדה על הסעיפים הקודמים כאן הכול מופיע ביחד וזה חובה שחלה רק על רמת אבטחה גבוהה. << אורח >> אסף הראל: << אורח >> דווקא כאן אני חושב שזה מקרה נכון לפצל כי דיברנו קודם על הנושא של הפרה יעילה. דווקא סקר סיכונים ומבדקי חדירה שמגיע בסעיף אחר כאן, דווקא כאלה הם דברים שעולים כסף וזה לא הניירת שאני אולי יכול להכין בעצמי, אלה דברים שאני בהגדרה צריך בשבילם בעל מקצוע שאני אשלם לו כמה עשרות אלפי שקלים. << יור >> היו"ר שמחה רוטמן: << יור >> אין בעיה, אבל מספיק שלא עשית משהו אחד תקבל קנס. << אורח >> אסף הראל: << אורח >> אני מבין, אבל יש הבדל בין לא עשיתי לבין לא עדכנתי את מסמך הגדרות המאגר. << יור >> היו"ר שמחה רוטמן: << יור >> לא, לא בחנת את הצורך בעדכון. << אורח >> אסף הראל: << אורח >> בסדר, אבל בהקשר הזה דווקא הקנס על אי עריכת סקר הסיכונים או מבדק החדירה הוא נמוך יחסית. << יור >> היו"ר שמחה רוטמן: << יור >> אין בעיה, אז אני מסכים שוב, כל הפרק הזה כפוף לרחל, הכול לאמירה שצריך לחשוב על כל סעיף פה, אתם צריכים את שיעורי הבית פה לאמירה של לייצר את האפשרות של הפרה חמורה, יעילה, נסיבות מחמירות, שמצדיקה קנס מיוחד. כל פרק העיצומים רלוונטי לזה, צריך להסתכל אחד אחד, ולכן זו אמירה נכונה מאוד, אבל זה לא ייעשה בשום פנים ואופן בפעולת כפל של לבוא ולהגיד לא ערכתי סקר סיכונים, חמור מאוד, אבל גם לא דאגתי שממצאיו של הסקר הלא קיים ייאכפו. זה לא עובד. לכן אי אפשר לפצל. כן צריך באמת שבמקרה של הפרה רבתי או הפרה יעילה או נזק או פה ושם לייצר את אותו סעיף קסום שמאפשר נסיבות מחמירות וקנס גבוה יותר. << אורח >> ראובן אידלמן: << אורח >> זה מקובל עליי מה שאדוני אומר, אני רק אגיד לפרוטוקול, וגם נדמה לי שאדוני אמר את זה קודם, שמספיק שלא נעשתה אחת הפעולות שמנויות פה בשביל שאפשר יהיה ל - - - << יור >> היו"ר שמחה רוטמן: << יור >> חד וחלק, אני מסכים, אבל זה לא עניין של פעולות כפל, של לספור את מספר הפעולות שלא עשו. אני לא בחנתי, כמה פעמים לא בחנתי את הסקר שלא עשיתי? << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (20) מבדקי חדירות: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור שלא דאג לכך שייערכו מבדקי חדירות למערכות המאגר אחת ל-18 חודשים לפחות, לא דן בתוצאות מבדקי החדירות או לא פעל לתיקון הליקויים שהתגלו, בניגוד להוראות תקנה 5(ד) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> זה בנפרד מסקר הסיכונים? << אורח >> ראובן אידלמן: << אורח >> כן, זה סוג אחר של פעולה. כאן זה גם רק על רמת האבטחה הגבוהה, אבל זאת פעולה אחרת שגם היא כמובן מאוד - - - << יור >> היו"ר שמחה רוטמן: << יור >> אתם לא עושים את זה במסגרת אותו דבר? << אורח >> לינא כמאל טרודי: << אורח >> סקר סיכונים זה הערכה ומיפוי וממש הערכת סיכונים באחוזים, איך אתה רוצה למשל להגן מפני שריפה, כמה הסיכון שלך שהמחזיק שלך שנמצא אי שם, הגיבויים שנמצאים בפינלנד, אז שם יכול להיות שיש בעיה עם הקור, דברים כאלה. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, אוקיי, אתם אומרים שזה שונה אז זה שונה. << אורח >> לינא כמאל טרודי: << אורח >> אתה רוצה לשמוע מה זה מדבק חדירות? זה לתת למישהו הרשאה לנסות לתקוף אותך מבפנים בהסכמה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה לא אחד מהדברים שכלולים בסיכונים? << אורח >> לינא כמאל טרודי: << אורח >> זה אחד הסיכונים, אבל כדי שתדע להעריך את הסיכון - - - << דובר >> קריאה: << דובר >> משלמים על זה בנפרד. << אורח >> לינא כמאל טרודי: << אורח >> לא, אבל סקר סיכונים, אין חובה שגורם מקצועי יעשה לך אותו, אתה יכול לנהל סיכונים אם אתה יודע לעשות את זה לפי מתודולוגיות מקובלות ויש כל מיני מטריצות שאפשר ללמוד אותן. << יור >> היו"ר שמחה רוטמן: << יור >> ומבדקי חדירות זה לקוח סמוי. << אורח >> לינא כמאל טרודי: << אורח >> אתה צריך להיות מישהו שיודע לגשת לתוך המאגר. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (21) קביעה וניהול של הרשאות גישה: בעל שליטה במאגר מידע, מחזיק במאגר כאמור או מנהל מאגר כאמור שלא קבע הרשאות גישה של בעלי הרשאות למאגר המידע ולמערכות המידע בהתאם להוראות תקנה 8(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין, או שלא ניהל רישום מעודכן בהתאם להוראות תקנה 8(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות לפי העניין (להלן- הרשאות תקפות); << יור >> היו"ר שמחה רוטמן: << יור >> איך אתם בודקים מידה הנדרשת לביצוע התפקיד? מי קובע? << אורח >> ראובן אידלמן: << אורח >> השאלה היא מי קובע את הרשאות הגישה? << יור >> היו"ר שמחה רוטמן: << יור >> מי קובע מה 'הרשאת הגישה לכל תפקיד תהיה במידה הנדרשת לביצוע התפקיד בלבד'? ניהול רשימה, גם שוב שאלת העדכון. << אורח >> ראובן אידלמן: << אורח >> הארגון עצמו קובע את זה לפי בעלי התפקידים של הארגון עצמו. << אורח >> ליאור אתגר: << אורח >> יש להניח שזה כמו business judgment rule, בסוף אתם תוכלו להיכנס רק למקרים שבהם תראו שמדובר במשהו מאוד מאוד קיצוני ביחס למה שנדרש. קשה מאוד יהיה להיכנס לשיקול הדעת של החברה. << אורח >> ראובן אידלמן: << אורח >> ההפרה היא פשוט לא קבע או לא ניהל רישום. אלה ההפרות. << אורח >> ליאור אתגר: << אורח >> מצבים קיצוניים בלבד. << יור >> היו"ר שמחה רוטמן: << יור >> לא, שלא קבע הרשאות גישה בהתאם להוראת תקנה 8(א) פירוש שהרשאת הגישה לכל תפקיד תהיה במידה הנדרשת לביצוע התפקיד. << אורח >> ליאור אתגר: << אורח >> נניח שיש יוזר וסיסמה לכל ה – << אורח >> שחף קצלניק: << אורח >> זה אותו דיון כמו הדיון הקודם, אדוני, שדיברנו עליו לפני כן עם רשימת ההרשאות, איך החברה חושבת על מי יהיה מורשי הגישה שלה. הרשות לא מתערבת, או לפחות אנחנו מקווים שהיא לא מתערבת בשיקול הדעת. << יור >> היו"ר שמחה רוטמן: << יור >> אבל אם אני ישבתי וחשבתי והגעתי למסקנה שבארגון שלי כולם צריכים לגשת לכל המידע? אני מאמין ב-brainstorming. << אורח >> ליאור אתגר: << אורח >> יש ארגונים כאלה. << אורח >> שחף קצלניק: << אורח >> קודם כל יש ארגונים כאלה, אז אם יקרה אירוע אבטחת מידע אנחנו נצטרך להצדיק את זה בתביעה ייצוגית או ב - - - << יור >> היו"ר שמחה רוטמן: << יור >> בארגון שלי עובדים באינדקסים. << אורח >> שחף קצלניק: << אורח >> אז אני אצטרך להצדיק האם זה היה נכון בתביעה הייצוגית שאני אקבל כנראה, או שלא. אבל הרשות זה לא המקום שיקבע אם זה נכון או לא, החברה יכולה לדעת את זה. << אורח >> עמית יוסוב עמיר: << אורח >> ויש גם השלכות, אם תעבור את הרף של עשרה או רף של - - - זה מקפיץ אותך רמת אבטחה. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, אם אתם יודעים איך לעשות את זה שיהיה לכם בהצלחה. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (22) יישום נוהל הרשאות הגישה: בעל שליטה במאגר מידע, מחזיק במאגר או מנהל מאגר שלא נקט אמצעים מקובלים בנסיבות העניין ובהתאם לאופי המאגר וטיבו, כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות התקפות, בניגוד להוראות תקנה 9(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין, או שלא דאג לביטול ההרשאות של בעל הרשאה שסיים את תפקידו, בניגוד להוראות תקנה 9(ג) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << אורח >> ראובן אידלמן: << אורח >> כאן הכוונה היא שתהיינה הנחיות מפורטות יותר, גם של הרשות לגבי מה הם אמצעים מקובלים. כיוון שכתוב 'אמצעים מקובלים בנסיבות העניין' וזה באמת משהו שיכול להיות נתון לפרשנות, הכוונה היא שהרשות תפרסם הנחיות בעניין הזה ואם המסקנה בסוף תהיה, ויש פה בחינה גם של הייעוץ המשפטי לממשלה שזה לא מספיק, שעדיין נשארת מספיק עמימות אז תהיה פה התראה על הפרה ראשונה. זאת הכוונה שלנו לגבי העניין הזה. כרגע זה סעיף שמופיע בתוך נוהל ההתראה כפי שהוא עלה לאתר הוועדה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל לכאורה ביטול הרשאות של בעל הרשאה שסיים את תפקידו זה קליר קאט, זה לא עמום. << אורח >> ראובן אידלמן: << אורח >> החלק הזה לא עמום, מה שעמום זה 'אמצעים מקובלים בנסיבות העניין'. << יור >> היו"ר שמחה רוטמן: << יור >> אז לדעתי תחלקו, כי אני חושב שלבטל הרשאות גישה של מישהו שכבר לא בתפקיד זה א'-ב', זה בייסיק, זה קליר קאט, זה און אוף. על זה דווקא לא אכפת לי שתעשו אכיפה מסודרת. << אורח >> ראובן אידלמן: << אורח >> אפשר לפצל. בסדר. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (23) זיהוי על בסיס אמצעי פיזי: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור שלא דאג לכך שאופן הזיהוי במאגר ייעשה ככל האפשר על בסיס אמצעי פיזי הנתון לשליטתו הבלעדית של המורשה, בניגוד להוראות תקנה 9(ב)(1) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << אורח >> ליאור אתגר: << אורח >> אם אפשר, לא סתם ציינו פה קוד לטלפון בגלל שהביטוי הזה 'אמצעי פיזי' הוא קצת היה מטעה והיו על זה כל מיני עניינים כבר בעבר מול הרשות. אולי זה הזמן לעשות איזה שהיא הבהרה בלשון של הסנקציה. פשוט לא תמיד זה אמצעי פיזי, טוקן גם יכול להיות וירטואלי. טוקן וירטואלי למשל זה קוד לטלפון או דרך אפליקציה. רק אולי שווה להבהיר את זה. << אורח >> יורם ביטון: << אורח >> הטלפון הוא האמצעי הפיזי, זה two factor authentication, זה מה שזה אומר. << אורח >> ליאור אתגר: << אורח >> נכון, פשוט הנוסח של התקנה המקורי הוא כזה ארכאי ותמיד גרר כל מיני שאלות. כולנו מבינים למה הכוונה. << יור >> היו"ר שמחה רוטמן: << יור >> הוא לא חייב להיות פיזי, הוא יכול להיות מכשיר וירטואלי. << אורח >> ליאור אתגר: << אורח >> בדיוק, הוא יגיד לך אבל זה דרך הטלפון. לא משנה. << יור >> היו"ר שמחה רוטמן: << יור >> הוא לא חייב להיות דרך הטלופן. אני יכול לפתוח טלפון וירטואלי. << דובר >> נעמה מנחמי: << דובר >> האם אפשר בפרט (23) אחרי המילה 'פיזי' לכתוב 'לרבות'. << אורח >> ליאור אתגר: << אורח >> או וירטואלי. << דובר >> נעמה מנחמי: << דובר >> זה בסדר לכתוב הווירטואלי? << יור >> היו"ר שמחה רוטמן: << יור >> אמצעי נוסף. << דובר >> נעמה מנחמי: << דובר >> השאלה אם התקנה משקפת את מה שדורשים בשטח. << אורח >> ליאור אתגר: << אורח >> או פשוט לציין אימות דו שלבי, זה גם דרך, למה לא אמצעי לאימות דו שלבי? << אורח >> לינא כמאל טרודי: << אורח >> אני חושב שהנוסח הקיים של התקנה נותן מענה גם למצב הקיים היום בשוק, בין אם זה דרך הטלפון, בין אם זה קוד דרך אמצעי אחר. << יור >> היו"ר שמחה רוטמן: << יור >> רק זה לא פיזי. קוד למייל זה לא אמצעי פיזי. << אורח >> לינא כמאל טרודי: << אורח >> כתוב 'ככל האפשר'. אם אי אפשר אז אנחנו כן בוחנים את החלופה השנייה כחלופה אחרת. << דובר >> נעמה מנחמי: << דובר >> אבל לפעמים הפיזי הוא פחות טוב בכלל. יכול להיות שהווירטואלי עדיף. << אורח >> גלעד גנדלמן: << אורח >> אין כרטיס יותר, זה כבר פחות מקובל, או דונגל, כבר לא משתמשים בזה. יש היום או SMS או אפליקציה. כולנו מסכימים, זה רק הניסוח. << אורח >> לינא כמאל טרודי: << אורח >> זה תלוי, אנחנו לא יכולים להגיד שאין יותר טוקנים ואין יותר זה - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא אומרים שאין, אבל אתם לא יכולים להטיל קנס על זה שלא בחרתי את זה בהתחלה. << אורח >> לינא כמאל טרודי: << אורח >> הנוסח של התקנה מאפשר את זה, ככל האפשר. << אורח >> גלעד גנדלמן: << אורח >> אני יכול לעשות את זה ובחרתי שלא, זה לא אומר שלא יכולתי. ככל האפשר הזה, אולי צריך לפתוח את זה קצת. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא מת על זה, על ה-two factor הזה. אני גם אגיד יותר מזה, בסופו של דבר נוהל הרשאות גישה, אם נוהל הרשאות גישה כותב משהו אחר זה לא יישום של נוהל הרשאות הגישה, אז לא אכפת לי אם זה ה-two factor או לא two factor. כתוב בנוהל הרשאות הגישה שצריך two factor אז יהיה כתוב בנוהל הרשאות גישה two factor. לא רשום בנוהל הרשאות גישה two factor אז לא צריך. תורידו את זה בכלל, אני לא חושב שצריך את זה. תורידו את הסנקציה על הסעיף הזה. << דובר >> נעמה מנחמי: << דובר >> אבל יש מצב שאם הם יורידו את זה אז הם יפרשו את (22) כחל לפי (23). << יור >> היו"ר שמחה רוטמן: << יור >> נכון, כי אם יהיה כתוב בנוהל הרשאות גישה שגישה בדרגת אדמיניסטרטור למאגר נדרשת באמצעות two factor authentication פלוס סריקת רשתית, אז יהיה two factor authentication פלוס סריקת רשתית ואם הם לא עמדו בזה אז הם יקבלו את הקנס לפי הסעיף הזה. << אורח >> רחל ארידור הרשקוביץ: << אורח >> לא, אבל זו חקיקה שהיא לא תואמת טכנולוגיה. << יור >> היו"ר שמחה רוטמן: << יור >> לכן אני נגד החקיקה הזאת ולכן אני אומר, יישום נוהל הרשאות הגישה, שזה פריט (22), אם בנוהל הרשאות הגישה יהיה כתוב 'בעל מאגר מידע ינקוט אמצעים מקובלים בנסיבות העניין בהתאם לאופי המאגר וטיבו כדי לוודא כי הגישה למאגר', אם יכתבו שם two factor authentication, יכתבו שם מה שרוצים, לא עמדת בנוהל אז לא עמדת בנוהל. אני לא צריך עוד סנקציה ב-(23). << דובר >> נעמה מנחמי: << דובר >> אם אני עכשיו כותבת נוהל ואני מסתכלת על הסעיף - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני לא הבנתי, עכשיו כל סעיף בתקנות שאין עליו סנקציה בצדו כאילו הרגתי אותו? לא. << דובר >> נעמה מנחמי: << דובר >> לא, אבל בעצם הדרך הסבירה לפרש את (22) היא שחל עליו - - - << יור >> היו"ר שמחה רוטמן: << יור >> אז תכניסי את זה לנוהל שלך ואז יהיה הפרה של הנוהל. אם לא הכנסת את זה לנוהל אז החלטת שלא צריך את זה בנוהל. סעיף 9(ב)(1) לתקנות נותן לך הסבר מה לכתוב בנוהל, אני לא נותן לך קנס על זה שעברת על 9(ב)(1) אלא שעברת על הנוהל. אם הנוהל שלך החליט שלא צריך פיזי אלא צריך two factor אז זה two factor אחר, ואם הוא החליט שכן צריך פיזי אז כן צריך פיזי, ואם הוא החליט סריקת רשתית אז סריקת רשתית, רק 9(ב)(1) אומר לך איך לכתוב את הנוהל. << דובר >> נעמה מנחמי: << דובר >> לא, הוא אומר שיש חובות אימות וזיהוי שלא קשורות לנוהל. לא כתוב פה בוא נסביר לך את הנוהל. << יור >> היו"ר שמחה רוטמן: << יור >> אבל 9(א) אומר 'בעל מאגר מידע ינקוט אמצעים מקובלים בנסיבות העניין', מצוין, ואז (ב) הוא הסבר מה הבסט פרקטיס שלו. אז תכניסי את זה לנוהל ותאכפי על הנוהל. לא צריך את זה ב-(23), אפשר להוריד את סעיף (23). << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (24) מנגנון בקרה ותיעוד גישה: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור שלא דאג שינוהל מנגנון בקרה בהתאם להוראות סעיף 10(א) ו-(ב) לתקנות (להלן- מנגנון בקרה) או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> תאחדו, בבקשה, את (24), (25), (26) ו-(27). << אורח >> ראובן אידלמן: << אורח >> בהתאם למה שדובר? << יור >> היו"ר שמחה רוטמן: << יור >> כן, לא גיבה את מנגנון נתוני גיבוי השמירה של הגיבוי. << אורח >> ראובן אידלמן: << אורח >> אין בעיה, שוב תחת האמירה שכל הפרה של כל אחת מהם יכולה לגרור עיצום. << אורח >> לירון בנדק: << אורח >> לא הבנתי את האמירה האחרונה של הפרה של כל אחד מהם. << אורח >> ראובן אידלמן: << אורח >> הפרה של כל אחד מהם יכולה לגרור עיצום, הם פשוט נמצאים ביחד, שמישהו שהפר גם את זה וגם את זה וגם את זה נכנס באותה קטגוריה. << יור >> היו"ר שמחה רוטמן: << יור >> שמישהו שלא עשה נוהל לא יקבל קנס גם על זה שהוא לא עשה נוהל וגם על זה שהוא לא גיבה את הנוהל וגם לא שמר את נתוני הזה. אבל אם מישהו עשה נוהל ותיעד אבל לא שמר את התיעוד בדרך שמחייב הנוהל אז הוא כן יקבל קנס, אחד. לא כל תת סעיף מקבל עוד עיצום. יש פה נושא של מנגנון בקרה, יש צורך שיהיה מנגנון בקרה, יש צורך שהנתונים שלו יישמרו, יש צורך שהוא ייבדק, כל הפרות נוהל הבקרה בסעיף אחד, מה שאומר שבן אדם לא יקבל ארבעה קנסות אם הבקרה שלו לא – הוא יקבל קנס אחד כי זה בתקנה אחת, גם אם הוא פישל בסעיף 4(ד) ולא בסעיף 4(ג). << דובר >> נעמה מנחמי: << דובר >> אז רק נקרא את ההוראות המהותיות של כל דבר. (25) נוהל בדיקה למנגנון הבקרה ותיעוד הגישה זה לא קבע נוהל בדיקה שגרתי של נתוני התיעוד - - - << יור >> היו"ר שמחה רוטמן: << יור >> הפר את הוראת תקנה 10. << דובר >> נעמה מנחמי: << דובר >> לא, אני חושב שהם עושים את זה משום שכך כותבים עיצומים כספיים. << אורח >> ראובן אידלמן: << אורח >> כן, זה עניין של טכניקת חקיקה. << דובר >> נעמה מנחמי: << דובר >> שלא קבע נוהל בדיקה שגרתי של נתוני התיעוד של מנגנון הבקרה או שלא ערך דוח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן. (26) שמירת נתוני התיעוד של מנגנון הבקרה, שלא דאג שנתוני התיעוד של מנגנון הבקרה יישמרו למשך 24 חודשים לפחות. (27) יידוע על מנגנון הבקרה, לא יידע את בעלי ההרשאות במאגר בדבר קיום מנגנון הבקרה בניגוד להוראות תקנה 10(ה). << אורח >> לירון בנדק: << אורח >> אדוני, (27) זה עוד פעם מס על טמטום. << אורח >> עמית יוסוב עמיר: << אורח >> לא, אבל סוכם שהכול יהיה בסעיף אחד. זה יידוע של בעלי הרשאות הגישה, זה לא אותו דבר. הם צריכים לדעת שיש עליהם מנגנון בקרה. << אורח >> לירון בנדק: << אורח >> איך אפשר לבדוק? הוא אומר יידעתי, אמרתי להם, כן לכולם, לא לכולם. זה חייב להיות בכתב? << אורח >> עמית יוסוב עמיר: << אורח >> אפשר לשאול אותם אם הוא יידע אותם, לדוגמה. << אורח >> ראובן אידלמן: << אורח >> אפשר לבדוק את זה עם בעלי ההרשאות, זה דווקא קל. << אורח >> אייל שגיא: << אורח >> אני לא רוצה לקלקל את הקצב, וזה גם שיטת החקיקה שבתוספת מתקנים את התקנות שהיה צריך לתקן, אבל השמירה לשנתיים של נתוני גיבוי לא מקובלת בשום מקום בעולם ולמעשה לפי ה-GDPR צריך למחוק אותם הרבה קודם כי הם כוללים מידע אישי. לא נוכל לפתור את זה פה, אבל צריך לחשוב על זה, גופים בין-לאומיים, אלה שפועלים באירופה, אחרי שישה-שבעה חודשים מוחקים, לפי החוק שם. להטיל על זה עיצום כספי כי לא שמרתי - - - << יור >> היו"ר שמחה רוטמן: << יור >> למה זה כולל מידע אישי? << אורח >> אייל שגיא: << אורח >> כי נגיד בלוג יהיה כתוב מתי אני נכנסתי ומאיפה למערכת. << אורח >> ראובן אידלמן: << אורח >> זה זניח. << אורח >> אייל שגיא: << אורח >> אם אתם תתחילו להטיל על זה קנסות על גופים בין-לאומיים זה יהיה לא זניח. << אורח >> ראובן אידלמן: << אורח >> לא, עניין המידע האישי אני מתכוון. << אורח >> אייל שגיא: << אורח >> הפרשנות ב-GDPR וההנחיות שם הן למחוק את המידע אחרי זמן יחסית קצר, שבעה-שמונה חודשים. << יור >> היו"ר שמחה רוטמן: << יור >> יכול להיות שצריך לקצר פה את התקופה, לשמור 24 חודש נתוני גישה זה באמת יותר מדי זמן. << אורח >> עמית יוסוב עמיר: << אורח >> גם ב-GDPR יש חריגים של ציות להוראות דין. << יור >> היו"ר שמחה רוטמן: << יור >> נמשיך. תבדקו את זה בבקשה לפעם הבאה. זה חלק מה-קומפליינס שלנו. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (28) תיעוד אירוע אבטחת מידע: בעל שליטה במאגר מידע, מחזיק במאגר מידע או מנהל מאגר שלא דאג שיתועד כל מקרה שבו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה (להלן- אירוע אבטחת מידע) בהתאם להוראות תקנה 11(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> בסדר גמור. זה דווקא משהו שאמרתי עליו שאני בעד ההחלה האוניברסלית. << דובר >> נעמה מנחמי: << דובר >> (29), דיון תקופתי. << יור >> היו"ר שמחה רוטמן: << יור >> זה באמת מס טמטום. << דובר >> נעמה מנחמי: << דובר >> אתה לא רוצה שנקרא את זה קודם? << יור >> היו"ר שמחה רוטמן: << יור >> לא, אני לא רוצה את הסעיף הזה, בשביל מה לקרוא אותו. דיון תקופתי באירועי אבטחת מידע. אם הוא לא תיעד שהוא קיים את הדיון, אז יהיה לכם על התיעוד, אני לא צריך עוד קנס על הדיון, הוא יגיד קיימתי ולא דנתי. << אורח >> ראובן אידלמן: << אורח >> אני מציע שפה יהיה עיצום נפרד על זה שלא תועד - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, יש עיצום על זה שאתה לא מתעד דיונים, אז לא תיעדת דיון, לא אכפת לי אם עשית אותו או לא עשית אותו. לא תיעדת, לא קרה, תקבל את הקנס לפי זה, נגמר הסיפור. האם הוא יגיד לך: לא עשיתי לכן לא תיעדתי? << אורח >> ראובן אידלמן: << אורח >> לא, אבל החובה לדון באירועי אבטחת מידע שהיו בארגון היא חובה. << יור >> היו"ר שמחה רוטמן: << יור >> ודאי שקיימת חובה, אבל אם הוא קיים את הדיון ולא תיעד? הוא יגיד לך קיימתי ולא תיעדתי. << דובר >> נעמה מנחמי: << דובר >> זה לא נראה קצת מוזר שבעצם אנחנו מחייבים אותו על התיעוד ולא על המהות בעצם? << יור >> היו"ר שמחה רוטמן: << יור >> כן, זה נראה מוזר שאני מחייב אותו על תקנות אבטחת מידע שלא תוקנו מ-2017, זה מה שמוזר, אבל מאחר שאנחנו נמצאים באירוע המוזר הזה, אני אומר שוב, לא קיים דיון, עם מי אני צריך לקיים דיון? << אורח >> ראובן אידלמן: << אורח >> עם האנשים הרלוונטיים בארגון. << יור >> היו"ר שמחה רוטמן: << יור >> עשיתי, עכשיו, ברגעים אלו ממש. אתם לא רואים, אבל קיימתי עכשיו דיון בכל אירועי האבטחה עשר שנים אחורה. << אורח >> לינא כמאל טרודי: << אורח >> כל ארגון שעובר אירוע אבטחה מה הוא נדרש? הוא צריך אחר כך לחזור לתפקוד, כדי שהוא יחזור הוא צריך לתקן את כל הליקויים שגרמו לאירוע. << יור >> היו"ר שמחה רוטמן: << יור >> לא, זה דיון אחת לרבעון. << אורח >> לינא כמאל טרודי: << אורח >> לא, הדיון הוא עם גורמי המקצוע כדי לדעת - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל במאגר מידע שחלה רמת אבטחה גבוהה נערך דיון אחת לרבעון גם אם לא היו כשלי אבטחה, נכון? << אורח >> לינא כמאל טרודי: << אורח >> בכל אירוע אבטחה. << יור >> היו"ר שמחה רוטמן: << יור >> לא, אני שואל, אם לא היה אירוע אבטחה צריך לקיים דיון? << אורח >> ראובן אידלמן: << אורח >> לא. << יור >> היו"ר שמחה רוטמן: << יור >> כתוב 'ייערך דיון כאמור אחת לרבעון לפחות'. << אורח >> ראובן אידלמן: << אורח >> לא, באירועי אבטחה. << יור >> היו"ר שמחה רוטמן: << יור >> ואם לא היה? << אורח >> ראובן אידלמן: << אורח >> אם לא היו אירועי אבטחה אז בוודאי שאין במה לדון, אבל זאת חובה - - - << יור >> היו"ר שמחה רוטמן: << יור >> היא חובה סופר חשובה, אבל הרי גוף לא ירצה לבוא ולהגיד לך שהוא לא קיים דיון, מה הוא יגיד לך? קיימתי דיון ולא תיעדתי אותו. בסדר, תקבל את הקנס על זה שלא תיעדת אותו. לא יהיה מישהו שיגיד לך שלא קיים דיון. << אורח >> ראובן אידלמן: << אורח >> אז אולי צריך לקבוע בחלק של התיעוד - - - << יור >> היו"ר שמחה רוטמן: << יור >> אתה רוצה לעשות בתיעוד תיעוד נפרד על דיוני אבטחה, בסדר. << אורח >> ראובן אידלמן: << אורח >> כן, בסדר. << יור >> היו"ר שמחה רוטמן: << יור >> בחלק של התיעוד אמרנו שיהיה לו רובריקה נפרדת לתיעוד על סקר סיכונים. היה אחד אז תוסיף שם עוד אחד. << אורח >> ראובן אידלמן: << אורח >> בסדר. << יור >> היו"ר שמחה רוטמן: << יור >> דיווח לרשות אודות אירוע אבטחה חמור. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (30) דיווח לרשות אודות אירוע אבטחה חמור: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור שלא הודיע לראש הרשות באופן מיידי על אירוע אבטחה חמור, או שלא דיווח לראש הרשות על הצעדים שנקט בעקבות האירוע בהתאם להוראות תקנה 11(ד)(1) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; אנחנו לא דורשים דיווח? << אורח >> ראובן אידלמן: << אורח >> אין חובת דיווח. חובת הדיווח לא חלה על מי שברמת אבטחה בסיסית. << יור >> היו"ר שמחה רוטמן: << יור >> יש חובת תיעוד, אין חובת דיווח. << אורח >> ראובן אידלמן: << אורח >> אין חובת דיווח לרשות על אירועים. << אורח >> נעמה גורני לר: << אורח >> כי מלכתחילה ההגדרה, אנחנו חוזרים להגדרה של אירוע האבטחה, אז היא חלה על מאגרים ברמה בינונית וגבוהה, אז אין לנו חובת דיווח. << דובר >> נעמה מנחמי: << דובר >> חיבור התקנים ניידים. << יור >> היו"ר שמחה רוטמן: << יור >> מאז תיקנו באקדמיה, קוראים לזה הֶחְסֵן נייד. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (31) חיבור התקנים ניידים: בעל שליטה במאגר מידע, מחזיק במאגר מידע או מנהל מאגר שלא הגביל או שלא מנע אפשרות לחיבור התקנים ניידים למערכות המאגר, או שאפשר שימוש במידע מהמאגר בהתקן נייד או העתקה שלו להתקן נייד בלא שנקט אמצעי הגנה, בניגוד להוראות תקנה 12 לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> עמום הרבה יותר מדי בשביל עיצום כספי, בטח עיצום כספי של 160,000 שקל או של 2,000 על עסק קטן. זה עמום עמום עמום, כי זה אחרי שבחן, בדק, מתאים, לא מתאים, כן מתאים הֶחְסֵן נייד, לא מתאים התקן נייד. << אורח >> ראובן אידלמן: << אורח >> זאת חובה שאפשר לקיים אותה גם באמצעות נוהל. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין, זה רק עוד יותר. << דובר >> נעמה מנחמי: << דובר >> למיטב הבנתי יש פה שתי הוראות, אם אני לא טועה, או תקנו אותי, אחת, זה שאני צריכה להגביל או למנוע אפשרות לחיבור התקנים ניידים למערכות המאגר. זאת אומרת אם יש לי לפטופ שלי אסור שהלפטופ הזה יוכל להתחבר להתקן נייד. << יור >> היו"ר שמחה רוטמן: << יור >> לא, בשים לב לסיכונים המיוחדים הקשורים לשימוש בהתקן נייד באותו מאגר מידע. מאחר שאפשר לגנוב לך את הלפטופ אז גם אפשר לגנוב לך את ההתקן הנייד ולכן זה לא מייצר סיכון מיוחד ולכן אין בעיה שתחברי התקן נייד ללפטופ שלך. << אורח >> לינא כמאל טרודי: << אורח >> לא רק, אפשר גם להכניס נוזקה לתוך המחשב דרך ההתקן. << יור >> היו"ר שמחה רוטמן: << יור >> וגם דרך האינטרנט, ולכן זה לא מייצר סיכון מיוחד למקרה שלך, לכן אמרתי שזה נורא עמום. לא לכל מאגר מידע אסור לחבר התקן נייד, יש מאגרי מידע שזה מייצר סיכון עודף ויש מאגרי מידע שלא. לכן כתוב פה, בשים לב לסיכונים המיוחדים הקשורים לשימוש בהתקן נייד באותו מאגר מידע, לכן זה כתוב גם בתקנה. העמימות הזאת רק מראה שזה לא תקנה שמתאימה לעיצום כספי. אלא אם כן חיבור ההתקן הנייד או האפשרות להתקן נעשתה בניגוד לנוהל שנקבע, שזה דומה למשהו שעשינו כבר ואז אפשר. שיותאמו ההוראות, לא שזה הפרת הוראת התקנה כמו שהיא מנוסחת, אלא הפרת ההוראה שנקבעה בנוהל בהתאם לתקנה הזאת. ואז אם הנוהל אומר למחשב הזה והזה והזה צריך לחסום פיזית את הגישה להתקנים ניידים ולא חסמו אז תוכל להטיל קנס. נראה לי קצת נישתי מדי, נראה לי קשור לאבטחת מידע אחרת, נראה לי שמישהו שייפול לכם על זה ייפול לכם כבר על הגישה הפיזית והדברים האחרים. אני הייתי מוריד את זה כי זה נראה לי יותר מדי ניטי גריטי. << אורח >> ראובן אידלמן: << אורח >> אנחנו בכל זאת נעשה אצלנו בדיקה פנימית ונשיב לוועדה בעניין. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר. הפרדת מערכת המאגר. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (32) הפרדת מערכות המאגר (מידור): בעל שליטה במאגר מידע, מחזיק במאגר או מנהל מאגר שלא הפריד בין מערכות המאגר אשר ניתן לגשת מהן למידע, לבין מערכות מחשוב אחרות המשמשות אותו, בניגוד להוראות תקנה 13(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << אורח >> ראובן אידלמן: << אורח >> כאן אנחנו גם בהתראה על הפרה ראשונה. << יור >> היו"ר שמחה רוטמן: << יור >> בהיקף ובמידה הסבירים האפשריים? << אורח >> ראובן אידלמן: << אורח >> בגלל העניין הזה. << יור >> היו"ר שמחה רוטמן: << יור >> זה לא ממש פותר את הבעיה כי לשיקול דעת עסקי ממש. גם עם ההתראה זה עדיין שיקול דעת עסקי. << אורח >> ראובן אידלמן: << אורח >> אבל אם הרשות שומעת את העסק ועדיין מגיעה למסקנה שהתקנה לא קוימה, מודיעה לו את זה, הוא בשלב זה רק בהתראה, בשלב הבא, אם נחזור אליו והוא עדיין ימשיך להפר למרות שאמרו לו שזה לא בהיקף ובמידה, רק אז יוטל עליו עיצום. << יור >> היו"ר שמחה רוטמן: << יור >> גם קנס גדול, גם לעסקים קטנים, גם עמום. קשה לי עם זה. הייתי חוזר פה לקנס היותר נמוך וגם הייתי מוריד את שתי הרמות הנמוכות, זה ניסוח תקנה מאוד עמום. איזה הפרדה נדרשת ולך תעשה הפרדה בענן ולך תעשה הפרדה בזה. זו תקנה ארכאית. << אורח >> רחל ארידור הרשקוביץ: << אורח >> גם כל הזמן החברות אומרות לנו שמאגרי מידע זה משהו מאוד אמורפי, אז לדעת איך להפריד אותן ובדיוק אתם תגידו איך להפריד אותם וזה - - - << יור >> היו"ר שמחה רוטמן: << יור >> ומה הדרך הנכונה ומה השיקול הדעת העסקי הנכון להפריד, ואולי להיפך, אולי עדיף לי לאחד אותם למאגר אחד כדי שתהיה מערכת גישה אחת אחודה ולחסוך עלויות. << אורח >> ראובן אידלמן: << אורח >> רק נגיד שההפרדה פה היא בין מערכות, היא לא בין מאגרי מידע. << יור >> היו"ר שמחה רוטמן: << יור >> זה ארכאי מדי, תעזבו את זה. << דובר >> נעמה מנחמי: << דובר >> התכוונת להוריד את היחיד והבינוני? << יור >> היו"ר שמחה רוטמן: << יור >> כן, להשאיר את השניים הגדולים ולהשאיר בנוהל התראה. אני לא אוהב את הסעיף הזה, תתקנו אותו בתקנות, תגרעו אותו בכלל. << דובר >> נעמה מנחמי: << דובר >> הורדנו את היחיד ואת הבסיסי, הורדנו את גובה הקנס והתראה. << יור >> היו"ר שמחה רוטמן: << יור >> עדכון מערכות המאגר. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (33) עדכון מערכות המאגר: בעל שליטה במאגר מידע - - - << יור >> היו"ר שמחה רוטמן: << יור >> כנ"ל סופר עמום. פה אולי כן מתאים התראה. בלא ניתן מענה אבטחתי מתאים. זה לא מתאים לעיצום כספי. << אורח >> ראובן אידלמן: << אורח >> זה ליבתי. << יור >> היו"ר שמחה רוטמן: << יור >> זה ליבתי, אני מבין אותו. אני דיברתי עליו קודם, אני הזכרתי על נושא העדכון. << אורח >> ראובן אידלמן: << אורח >> אם התוכנות לא מעודכנות, סיכוני אבטחת המידע הם אדירים. << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע, אתה צודק, אולי תתקן את תקנות אבטחת המידע שלך יום אחד ותכתוב שם למעודכנים לחודש האחרון ואז אני אדע מה זה אומר. תגיד: מי שמחזיק חייב שכל המערכות שלו יהיו מעודכנות לחודש האחרון ואז לך תתמודד עם משרד הפנים שמתמודד עם מערכת מלפני 20 שנה. אבל זה לא משנה, אתה חייב - - - << אורח >> ראובן אידלמן: << אורח >> לא, יש כאן אמירה, לא ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי האבטחה שלהם, זה מאוד ברור, זה מאוד לא עמום. << יור >> היו"ר שמחה רוטמן: << יור >> אז אין יותר windows במשרדי הממשלה? << אורח >> לינא כמאל טרודי: << אורח >> לא, אבל יש עדכונים של ה-windows. כל עוד המערכות של היצרן תומכות עדכונים אין שום סיבה - - - << יור >> היו"ר שמחה רוטמן: << יור >> היצרן כבר מת. אנחנו יודעים שהמערכת של – אני אפילו לא יודע איך מתמודדים עם מערכת פרו-פריאטרית, מי היצרן שלה, אבל זה לא משנה, יש לך מערכות במשרד הפנים שהן בנות 20 שנה, 30 שנה, לא תומכים בהן בכלום כבר, לא יודעים איך קוראים להן. << אורח >> ראובן אידלמן: << אורח >> אז יכול להיות שצריך להטיל עיצום. זאת לא סיבה לפטור מאכיפה. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא פוטר, אבל התקנה פוטרת, למה? כי התקנה אומרת ניתן מענה אבטחתי מתאים, אז יבוא אליך משרד הפנים ו - - - << אורח >> לינא כמאל טרודי: << אורח >> גם אם את התוכנה עצמה או המערכת עצמה לא תומך היצרן אבל יש בקרות מפצות, זה הכוונה בסיפה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל בקרות מפצות זה נושא סופר מורכב. זה לא מתאים לעיצום כספי. מה מפצה? מספיק מפצה? לא מספיק מפצה? אני צריך קליר קאט. אז אם אני נותן הוראה, הנחיה. אני לא בא אליכם בטענות, אני חושב שזה דבר שנורא חשוב לאכוף אותו, רק אני אומר שהתקנה כמו שהיא מנוסחת היא לא מתאימה לעיצום כספי, לא נכתבה עם עיצום כספי בראש. << אורח >> נעמה גורני לר: << אורח >> אבל המענה האבטחתי המתאים, רק להדגיש, הוא מכוון לסיפה של התקנה. << יור >> היו"ר שמחה רוטמן: << יור >> אני יודע. << אורח >> נעמה גורני לר: << אורח >> זאת אומרת זה רק במצב שבו אין תמיכה מבחינת העדכונים של המערכות. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר, אבל גם עדכון שוטף, אחת לכמה זמן? << אורח >> ראובן אידלמן: << אורח >> יכול להיות שאפשר לכתוב עדכונים, אם זה נותן מענה. << יור >> היו"ר שמחה רוטמן: << יור >> מה שאני אומר זה שהתקנה כמו שהיא מנוסחת עכשיו כמעט בלתי אפשרית לאכיפה, היא עמומה, היא לא מתאימה לעיצום כספי. זה לא אני אשם, לא אני כתבתי אותה, אל תאשימו את השליח. אני אומר לכם שאני קורא אותה ואני לא מצליח להבין מה חושף אותי, בטח כשאתם מוסיפים לו שתי רמות בסיסיות. << אורח >> ראובן אידלמן: << אורח >> האם נעשו עדכונים של המערכות, זה משהו שמאוד קל לבדוק. << אורח >> לינא כמאל טרודי: << אורח >> מול היצרן. << אורח >> ראובן אידלמן: << אורח >> למתי המערכות מעודכנות, מאוד קל לבדוק את זה, זו בדיקה מאוד פשוטה. וגם האם היצרן תומך או לא תומך, אנחנו באמת לא מתקשים להבין. << יור >> היו"ר שמחה רוטמן: << יור >> לא, מענה אבטחתי מתאים, אתה יודע מה זה אבטחתי מתאים? << אורח >> לינא כמאל טרודי: << אורח >> אבל זה רק אם היצרן כבר לא תומך. צריך לעשות הסבר. << יור >> היו"ר שמחה רוטמן: << יור >> יש לי windowsXP, מזמן היצרן לא תומך בעדכוני אבטחה, נכון? לא צריך להרחיק ל-XP, אפשר גם ללכת ל-windows10 אוטוטו לדעתי. 7 ודאי, אבל לדעתי גם 10, כבר עברנו ל-11, עוד מעט מפסיקים לתמוך ב-10. היצרן כבר לא תומך, אני אפילו לא יודע איך אני מגדיר יצרן, אם אני מתעסק ב-open source לא יודע מי זה היצרן, אני אומר לכם שאני לא עדכנתי אבל נתתי מענה אבטחתי מתאים. מה האבטחתי המתאים? לא יודע, החיוך היפה שלי. ההגדרה של מהו מענה אבטחתי מתאים היא עמומה ולכן אתה לא תוכל לאכוף. אתה אומר לי שאם אתה מחזיק את windows11 אז אני אוכל לאכוף עליך שלא הורדת את העדכון האחרון. גם אז אני אשאל אחת לכמה זמן. אגב, יכול להיות, לפעמים, החיבור לרשת לטובת עדכון, יכול להיות שיש לי מערכת שמנותקת מהרשת או יחסית מנותקת מהרשת אבל החיבור לרשת לטובת העדכון הוא סיכון אבטחתי בפני עצמו, אז שקלתי והחלטתי בגלל זה לא לעדכן. לא יודע, אני רק אומר שאתה מתערב במיקרומנג'מנט, בשיקול דעת. אני יודע שעדכון הוא דבר חשוב באבטחה, אבל האמצעים המפצים פה לא מספיק ברורים וחדים לעיצום כספי. זה כל מה שאני אומר. אני לא אומר שהתקנה לא חשובה, אני לא אומר שהיא לא קריטית. << אורח >> ראובן אידלמן: << אורח >> אדוני מציע שנציע נוסח פחות עמום? << יור >> היו"ר שמחה רוטמן: << יור >> נו נוסח פחות עמום או שתתקנו את התקנה ובכל מקרה כפוף להתראה. << אורח >> ראובן אידלמן: << אורח >> לוותר על עיצום כאן זו תוצאה מאוד מאוד קשה. בדברים אחרים הסכמנו עם אדוני, פה זו תוצאה מאוד קשה. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין, אז תציעו נוסח לא עמום. כרגע הניסוח הוא בלתי אפשרי. << אורח >> ראובן אידלמן: << אורח >> נעשה שיעורי בית. << אורח >> סוריא בשארה: << אורח >> החריג אכן עמום ואולי אפשר כן להתגבר על זה באמצעות ניסוח, כי יש פה ניסוח - - - << יור >> היו"ר שמחה רוטמן: << יור >> אבל עצם העדכון. בסדר, אז תכתבו לא עדכן בעדכון שיצא לפני חודש. לא יודע. << אורח >> סוריא בשארה: << אורח >> החובות עצמן של לא השתמש הן ברורות. אולי אפשר להגביל את זה מבחינת מסגרת זמנים, אבל בעולם - - - << יור >> היו"ר שמחה רוטמן: << יור >> אני לא יודע מה זה עדכונים שוטפים, בטח לא כשנדבר על יחידים ועל דרגה נמוכה. << אורח >> סוריא בשארה: << אורח >> בעולם אבטחת מידע היצרנים כל הזמן נוהגים לשלוח התראות לכל המשתמשים, לכל בעלי - - - << יור >> היו"ר שמחה רוטמן: << יור >> יכול להיות, אבל אם אני חברת יחיד אני לא עוקב אחריהם. << אורח >> סוריא בשארה: << אורח >> אבל גם חברת יחיד מקבלת התראות מהמערכת. << יור >> היו"ר שמחה רוטמן: << יור >> אני לא מוכן. רבותיי, אם בסוף התהליך הזה על בן אדם שלא עדכן את ה-windows שלו יהיה קנס של 2,000 שקל לא יהיה. נגמר האירוע, לא יהיה. << אורח >> סוריא בשארה: << אורח >> אבל ארגונים גדולים - - - << יור >> היו"ר שמחה רוטמן: << יור >> לכן אני אומר, תציעו פה משהו הגיוני. אני לא יודע להציע פה משהו הגיוני. תציעו פה משהו הגיוני אני אסתכל. כרגע זה לא הגיוני. << אורח >> יורם ביטון: << אורח >> יש הבדל בין עדכון של מערכת הפעלה ועדכוני אבטחה. זה שני דברים שונים לגמרי. << יור >> היו"ר שמחה רוטמן: << יור >> גם זה וגם יכול להיות חמש מערכות וגם זה כולל, מפעיל חמש תוכנות על המחשב, יכול להיות שהוא היה צריך לעדכן את כולן. אתם יודעים כמה אפליקציות יש לי על הטלפון שעוד לא עדכנתי? אין לי זמן. << אורח >> רחל ארידור הרשקוביץ: << אורח >> אנחנו יודעים שעדכונים הם חמורים, הרי הפריצה להלל יפה הייתה בגלל שלא עדכנו. קודם כל אפשר לחשוב על לפצל את הדבר הזה לעדכונים ולמצב שבו כבר אין תמיכה ואז לחשוב על המענה האבטחתי, אם אתם רוצים, וגם עדכונים, היצרן הרי אומר מתי זה עדכון אבטחה חמור ומתי זה עדכון. אז תחשבו איך אפשר ליצור את זה קצת יותר שייתן באמת מענה לסכנה. << יור >> היו"ר שמחה רוטמן: << יור >> טוב, אתם תתקנו את זה. אבטחת חיבור לרשת. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (34) אבטחת חיבור לרשת: בעל שליטה במאגר מידע, מחזיק במאגר או מנהל מאגר שחיבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת בלא התקנת אמצעי הגנה מתאימים, בניגוד להוראות תקנה 14(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> טוב. כל ראוטר מכיל firewall בסיסי והוא יגיד שהוא עמד בזה, ובמערכות הגדולות זה יהיה נוהל אבטחת מידע, שהוא לא עמד בנוהל אבטחת המידע שלו. אני חושב שזה לא מתאים לאירוע נפרד, זה קשור לאחד אותו עם נוהל אבטחת המידע הרגיל, כי הוא לא עמד בהוראות הנוהל שלו. << אורח >> ראובן אידלמן: << אורח >> האיסור כאן הוא על חיבור המערכות, זה משהו קצת שונה. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין, אבל אם יש לך נוהל אבטחת מידע זה יהיה הפרת הוראת הנוהל, כי הוראת הנוהל היא שברור שאסור לך לחבר את זה לרשת בלי אמצעי הגנה מתאים. אם אין לך נוהל אז אין לך נוהל ולמה יש לך כובע ולמה אין לך כובע. זה קצת כמו הסעיף שדיברנו עליו של עוד הפרה. זה מיותר. דווקא פה יכול להיות ספציפית לעסקים הקטנים. פה הייתי מוריד את זה מהגדולים כי זה יהיה בניגוד להוראות אבטחת המידע שלהם ויהיה לכם את הקנסות עליהם שם. לקטנים אין נוהל אבטחת מידע, אז לחבר לאינטרנט בלי firewall את מאגר המידע של הרופא, זו באמת רשלנות רבתי, שזה דבר שאני מצפה מאוריינות דיגיטלית בסיסית שאתה לא מתחבר לאינטרנט בלי firewall אם אתה רופא. << אורח >> ראובן אידלמן: << אורח >> אבל זאת רשלנות גם של חברה גדולה. << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה רשלנות של חברה גדולה שהיא הפרה את נוהל אבטחת המידע שלה. << אורח >> ראובן אידלמן: << אורח >> אבל זה לא בדיוק אותה - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא צריך פעמיים, אפשר לכלול את זה באותה הפרה. << אורח >> ראובן אידלמן: << אורח >> שתהיה הפרה של נוהל האבטחה לעניין זה? כי אין לנו כרגע כל כך כל כך להכניס את זה במקום אחר. צריך להגיד שזה כפוף להתראה. בגלל שאמרנו אמצעי הגנה מתאימים החלטנו שתהיה פה התראה. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין. בעיניי לגדולים זה לא נדרש וזה לא יהיה רלוונטי, לקטנים זה נדרש וזה בסדר. פה הייתי מבטל את הגדולים כי הגדולים הפרו כבר משהו אחר. אני לא אוהב את האקסטרות. גדול שחיבר לאינטרנט זה אירוע – הוא גם לא רשם את אירוע האבטחה הזה בטח וגם לא דיווח וגם לא ניהל עליו דיון. << אורח >> עמית יוסוב עמיר: << אורח >> רק להבהיר, כרגע, למיטב הבנתי, אין הפרה של הפרת נוהל אבטחת מידע. יש שלל חובות שיאוחדו עכשיו לחובה אחת לקבוע את נוהל אבטחת המידע. << יור >> היו"ר שמחה רוטמן: << יור >> אוקיי, טוב. בסדר, אז מסכים. חשבתי שהכנסנו כזה דבר. טוב, מקבל. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (35) הצפנת מידע המועבר ברשת: בעל שליטה במאגר מידע, מחזיק במאגר או מנהל מאגר שלא דאג לכך שהעברת מידע ממאגר המידע, ברשת ציבורית או באינטרנט, תיעשה תוך שימוש בשיטות הצפנה מקובלות, בניגוד להוראות תקנה 14(ב) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; זה לא קצת תקנה שבעל בטח מאגר יחיד לא יבין מה רוצים ממנו? << יור >> היו"ר שמחה רוטמן: << יור >> לכן זה נוהל התראה. << אורח >> יורם ביטון: << אורח >> לא, היא בכלל בעייתית, כי מיילים למשל לא מוצפנים. התווך מוצפן, לא התוכן, לא המידע. כשאנחנו מדברים על העברות מידע, יש פה בעיה בנוסח. << אורח >> לינא כמאל טרודי: << אורח >> הכוונה היא שברגע שבעל מאגר רוצה לייצא את המידע מאצלו, מתוך המאגר החוצה, הוא צריך לעשות את זה בשיטות הצפנה. << אורח >> יורם ביטון: << אורח >> מצפינים את התווך, לא את המידע, כי את צריכה להעביר מפתח לצד השני. << אורח >> לינא כמאל טרודי: << אורח >> כשמדובר ברשת ציבורית או באינטרנט אתה לא יכול להצפין את התווך אם אתה משתמש ברשת ציבורית. << אורח >> יורם ביטון: << אורח >> לא, הוא מוצפן ביי דיפולט, התווך. << אורח >> לינא כמאל טרודי: << אורח >> התווך כן, אבל התקנה מתייחסת להעברת המידע באופן מוצפן, זה אומר שאתה מעביר אותה באופן שמלכתחילה אתה מוציא אותו ממערכות המאגר שלך החוצה, מחוץ לארגון, באופן שהוא מוצפן. << אורח >> שחף קצלניק: << אורח >> יש מערכות מייל שאי אפשר לעשות בהם את מה שאמרת עכשיו, איך מתמודדים עם זה? << אורח >> ראובן אידלמן: << אורח >> הדבר הזה יישקל במסגרת תהליך הפיקוח, זה משהו שהמפוקח יצטרך להציג. << אורח >> שחף קצלניק: << אורח >> הבעיה בזה, כמו שציינו פה, זה שההעברה הזאת מתבצעת הרבה פעמים במייל, גם ארגונים גדולים שולחים במייל. << יור >> היו"ר שמחה רוטמן: << יור >> המאגר הוא גדול, יש לי בו פרט מידע בודד שאני עכשיו שלפתי, אני הוצאתי ממאגר המידע שלי את פרטי הלקוחות שלי, שם של לקוח אחד שמותר לי לעשות בו שימוש למטרה שלשמה העברתי, אני החלטתי לשלוח לרחל את הפרט על הלקוח הזה שרלוונטי ומותר לי להעביר בהתאם לכללים שלי, צריך להצפין אותו עכשיו כי זה מידע שמקורו ממאגר מידע? << אורח >> לינא כמאל טרודי: << אורח >> ואם הוא מכיל את המידע לגבי אימוץ ובטעות שלחת אותו למישהו אחר? << יור >> היו"ר שמחה רוטמן: << יור >> אז מה? בגלל שמידע היה במאגר מידע הוא חייב עכשיו הצפנה? << אורח >> לינא כמאל טרודי: << אורח >> לא, שוב, המטרה של התקנה זה להקטין את המינימום של הסיכון לזה שתהיה פגיעה בפרטיות ובאבטחת המידע של המידע שיצא מהמאגר. זו המטרה של התקנה. << יור >> היו"ר שמחה רוטמן: << יור >> אני מבין, אבל יש הבדל בין אבטחת מאגר המידע עצמו לבין אבטחת המידע שמקורו ממאגר המידע. אני מוציא את המידע ממאגר המידע, אחרי שהוא יצא ממאגר המידע, לא אכפת לי שהוא היה פעם במאגר מידע, כרגע הוא פרט מידע בדיד. הסכנה בזה שאני בטעות במקום לרחל הזאת שלחתי לרחל אחרת היא סכנה קיימת, אבל היא לא מצדיקה את חובת ההצפנה בפני עצמה. אם אני שולח את כל המאגר או חלק משמעותי מהמאגר אז בהחלט יכול להיות שאני צריך לוודא שהוא יגיע רק לידיים האלה אגב כחלק מבקרת הגישה, בכלל לא קשור להעברת המידע ברשת האינטרנט, זו בקרת גישה למאגר. << אורח >> ראובן אידלמן: << אורח >> אדוני, הוועדה הזאת בכנסת הקודמת, אדוני ודאי זוכר, חוקקה חוק שלם סביב הדבר הזה שנקרא חוק הדיוור הדיגיטלי והדיונים בו עסקו הרבה מאוד בשאלות האלה של מסר שגוף ציבורי שולח לאזרח ואיך צריך לאבטח אותו בדרך עד שהוא מגיע לאזרח. << יור >> היו"ר שמחה רוטמן: << יור >> הדרך, מצוין, אבל כרגע אתה מחייב אותי הצפנה סופית. << אורח >> ראובן אידלמן: << אורח >> זה אותו דבר, זה פרט קטן. יש שם הסדר שלם של ה - - - << יור >> היו"ר שמחה רוטמן: << יור >> לא, אבל זה לא קשור לאדם פרטי. אני עכשיו שואל אותך שאלה - - - << אורח >> ראובן אידלמן: << אורח >> החובה פה היא רק על בעל המאגר, זה לא אדם פרטי. << יור >> היו"ר שמחה רוטמן: << יור >> אני בעל המאגר, מעביר מידע מרופא לרופא, המידע הוא רגיש, אין חובת הצפנה בהעברת מייל מרופא לרופא. למיטב ידיעתי מותר לי להעביר מרופא לרופא מידע. מתקשר אליי הרופא הקולגה ואומר: אני זקוק למידע, תנבור בתיק של פלוני אלמוני, תברר מתי הוא עשה את הניתוח וכמה חומר הרדמה הוא היה צריך וכמה מנות דם הוא קיבל, אני בודק בתיק, נכנס למאגר המידע, שולף את המידע, כותב אותו במייל. עושה העתק-הדבק לקובץ סיכום טיפול. מידע סופר רגיש, אבל אין עליו חובת הצפנה. אז מה, בגלל שהוא היה בתוך מאגר מידע עכשיו יש עליו חובת הצפנה? אני חייב לשלוח אותו חסום בקוד? לא. קורה שאני טועה במייל? יכול להיות שאתה טועה במייל, אבל זה לא חלק מאבטחת מאגר המידע. << אורח >> יורם ביטון: << אורח >> גם העברות בין כספת לכספת, המידע עצמו לא מוצפן, בין משרדי הממשלה. << אורח >> לינא כמאל טרודי: << אורח >> המידע לא מוצפן, אבל התווך מוצפן. << יור >> היו"ר שמחה רוטמן: << יור >> אבל זה לא מה שכתוב פה. לפני שנייה אמרת לא התווך. << אורח >> לינא כמאל טרודי: << אורח >> לא, אמרתי, הכוונה של התקנה הייתה שאנחנו דיברנו על רשות ציבורית שאמרנו שאי אפשר לאבטח את התווך ולכן רצו למנוע את האפשרות שיהיה - - - ולכן אמרו אוקיי, בואו נאבטח את המידע עצמו, מרגע שהוא יוצא מאצלך, בעל המאגר, לגורם השני אתה מצפין אותו וככה אתה מוריד את הסיכון של - - - << דובר >> קריאה: << דובר >> והופך את כל השוק למפרים. << יור >> היו"ר שמחה רוטמן: << יור >> כל העולם ואחותו מפר את החוק ככה. << אורח >> יורם ביטון: << אורח >> אז תכתבו שצריך להצפין את התווך, לא את המידע עצמו. << יור >> היו"ר שמחה רוטמן: << יור >> ההוראה בתקנות היא על התווך או על המידע? << דובר >> קריאה: << דובר >> לא, על המידע. העברת מידע. << יור >> היו"ר שמחה רוטמן: << יור >> לא, כי האמירה תוך שימוש בשיטות הצפנה מקובלות, מה שמקובל זה להצפין את התווך ולא להצפין את המידע. << אורח >> עמית יוסוב עמיר: << אורח >> אבל היא ברשת ציבורית או באינטרנט. << יור >> היו"ר שמחה רוטמן: << יור >> מה שמקובל זה שאתה מצפין את התווך ואתה לא מצפין את המידע. << אורח >> עמית יוסוב עמיר: << אורח >> מה שלינא פה אומרת, שנשים לב, אם אתה מעביר את המידע ברשת לא ציבורית ואתה מצפין את התווך אז זה לא נכנס לגדר התקנה? << יור >> היו"ר שמחה רוטמן: << יור >> לא, מה קשור עכשיו? << אורח >> יורם ביטון: << אורח >> אנחנו צריכים להעביר מידע עכשיו בינינו לבין צרפת, אמנות בין-לאומיות, אנחנו מצפינים את התווך, דואגים שהתווך מנקודה לנקודה יהיה מוצפן, לא המידע. אם נצפין את המידע נצטרך לתת להם מפתח הצפנה לפתוח והם יצטרכו לתת לנו. << יור >> היו"ר שמחה רוטמן: << יור >> אבל לא עושים את זה, אף אחד לא עושה את זה. אתה קיבלת מייל פעם? התווך מוצפן, המידע לא. זה לא דיון תיאורטי. << אורח >> שחף קצלניק: << אורח >> נכון, זה דיון שקורה כל יום. << יור >> היו"ר שמחה רוטמן: << יור >> כל יום? כל שנייה. אתה לא מצפין את המידע עצמו. אתה מצפין מידע סופר חשאי, סופר רגיש. לפעמים כשאתה מקבל איזה משהו פנסיוני אז הם חייבים לדעתי לפי הכללים לתת לך קוד עם הספרות. גם שמענו על ההצפנה הזאת, הקוד של תעודת הזהות, אבל בסדר, נניח, אבל אתה לא מצפין את המידע. << אורח >> ראובן אידלמן: << אורח >> בסדר, שמענו את ההערות של הוועדה. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר. אמצעי זיהוי בגישה מרחוק. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (36) אמצעי זיהוי בגישה מרחוק: בעל שליטה במאגר מידע שניתן לגשת אליו מרחוק - - - << יור >> היו"ר שמחה רוטמן: << יור >> מה ההבדל בין אמצעי זיהוי גישה מרחוק לבין בקרת גישה רגילה? היום אין הבדל בין גישה מרחוק לגישה לא מרחוק. זה כמו בקרות גישה רגילות ועל זה כן יש לכם הוראה. תורידו את זה. אמצעי זיהוי בגישה מרחוק זהה לחלוטין לנוהל הרשאות גישה. זה בתוך זה. אתם לא צריכים את זה בנפרד. אין הבדל בין הרשות גישה מקרוב או מרחוק. << דובר >> נעמה מנחמי: << דובר >> טור א' – ההפרה טור ב' טור ג' טור ד' טור ה' (37) ביקורת תקופתית: בעל שליטה במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, מחזיק במאגר כאמור או מנהל מאגר כאמור שלא דאג לכך שתיערך ביקורת פנימית או חיצונית בהתאם להוראות תקנה 16(א) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין, או שלא דן בדוחות הביקורת שהועברו לו, או שלא בחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהם, בניגוד להוראות תקנה 16(ג) לתקנות או להוראות התקנה האמורה כפי שהוחלה בתקנה 19(א) לתקנות, לפי העניין; << יור >> היו"ר שמחה רוטמן: << יור >> שתי הערות. הראשונה חשובה, השנייה פחות. אחת, מנהל לא מסומן בצהוב. שתיים, דן ובחן וזה, כנ"ל לנוהל תיעוד. << אורח >> ראובן אידלמן: << אורח >> כן, למרות שכאן זה מקובץ ביחד. << יור >> היו"ר שמחה רוטמן: << יור >> אז תפרידו. דאג שתיערך, בסדר, אם לא נערכה ביקורת קנס. לגבי דן ובחן, תיעוד. << אורח >> ראובן אידלמן: << אורח >> חובת תיעוד ספציפית. << יור >> היו"ר שמחה רוטמן: << יור >> כן. << אורח >> ראובן אידלמן: << אורח >> הגענו לתקנה 15 שהיא האחרונה פה וגם העיצום בגינה הוא גבוה יותר. << דובר >> נעמה מנחמי: << דובר >> יכול להיות ששווה לעשות את זה ביום אחר. << יור >> היו"ר שמחה רוטמן: << יור >> על גורם חיצוני, יש שם סוגיות חדשות. << דובר >> נעמה מנחמי: << דובר >> כן, הייתה לנו גם בקשה - - - << אורח >> ראובן אידלמן: << אורח >> זו תקנה שמסדירה את עולם מיקור החוץ ומערכת היחסים בין בעל המאגר - - - << יור >> היו"ר שמחה רוטמן: << יור >> נשמור את זה לפעם הבאה. רק שתדעו שכל מה שיוחל פה על מיקור חוץ יחול גם עליכם, על מיקור החוץ שלכם. רק שיהיה ברור. יש לנו שיעורי בית. בישיבה הבאה יהיה לנו את הממתקים העיקריים של 10(ב) והגופים הביטחוניים. << אורח >> ראובן אידלמן: << אורח >> כן, אנחנו נשמח גם לדון ביתר העיצומים על החוק עצמו בישיבה הבאה אם אפשר. << יור >> היו"ר שמחה רוטמן: << יור >> לדעתי את הישיבה הקרובה נקדיש ל-10(ב) ולביטחוניים ולעבור כמה שיותר על שיעורי בית מהעבר כדי שניישר אותם. המשך העיצומים יהיה בישיבה שאחרי זה, נראה לי, מבחינת היקפי הזמנים. << דובר >> נעמה מנחמי: << דובר >> נשתדל, ננסה לראות איך זה עובד. << יור >> היו"ר שמחה רוטמן: << יור >> בסדר. טוב, בריאות ואושר. ישיבה זו נעולה. << סיום >> הישיבה ננעלה בשעה 15:35. << סיום >>