רשות שוק ההון והביטוח: "סיכון הסייבר בולט ברגולטורים פיננסיים"
הרשות להגנת הפרטיות: "צריכים חקיקה ע"מ שניתן קנסות על הפרות אבטחה"
יו"ר הוועדה, ח"כ עינב קאבלה:
"הגשתי הצעת חוק שתאסור שמירת פרטי ת״ז ודרכונים או העתק שלהם. צריך להפסיק לעשות שימוש בתאריכי הנפקת ת״ז בכלל הגופים"
בעקבות מתקפת הסייבר על חברת שירביט והדיווחים על עלייה במתקפות הסייבר על יעדים ישראליים, קיימה היום ועדת המדע והטכנולוגיה בראשות ח״כ עינב קאבלה דיון ועדה בנושא מתקפות סייבר והגנה על פרטיות מידע בגופים פרטיים, אליה זומנו נציגי מערך הסייבר הלאומי, רשות ההגנה על הפרטיות, רשות שוק ההון והביטוח, משרדי ממשלה וארגונים העוסקים בפרטיות ובאבטחת מידע.
יו"ר הוועדה ח"כ עינב קאבלה: "האירוע הספציפי מאותת על הצורך הבלתי ניתן לדיחוי לשים על סדר היום את סוגיית הגנת הפרטיות ואבטחת המידע. ישנם חוסרים משמעותיים ועל המדינה לשים את הנושא בראש סדר העדיפויות ולפעול לתת כלים מתאימים. בהיעדר אכיפה של ממש וסנקציות משמעותיות שהרשות להגנת הפרטיות תוכל להפעיל, יהיה קושי להביא לשינוי מהותי בכל הנוגע להפנמת החובות המוטלות על מי שמחזיק ברשותו מידע אישי אודות אחרים.
בנוסף חייבים לפעול כנגד מידע עודף הנשמר כיום במאגרי מידע שונים, גם חברות צריכות לתת על כך את הדעת וגם ברמה הלאומית נדרש לקבוע כללים. בעניין זה אף הגשתי הצעת חוק העוסקת בהגנה על פרטי ת״ז, ונועדה לאסור שמירת פרטי ת״ז ודרכונים או העתק שלהם. צריך להפסיק לעשות שימוש בתאריכי הנפקת ת״ז בכלל הגופים. הוועדה דורשת שבוודאי משרדי הממשלה יחדלו לעשות שימוש בנתון תאריך ההנפקה. אני מצפה לדיווח מרשות התקשוב הממשלתי כי הדבר בוצע. בנוגע לשירביט, אני קוראת לרשות שוק ההון והביטוח, לרשות להגנת הפרטיות ולמערך הסייבר לפרסם מיד בתום החקירות המתנהלות כרגע, את המסקנות והצעדים שננקטו, בכדי להביא לידיעת הציבור את המידע בצורה ברורה ושקופה".
מנהל מחלקת אכיפה ברשות להגנת הפרטיות, עו"ד עלי קלדרון אמר בדיון כי הרשות פועלת לעדכן את החוק ע"מ לתת קנסות רבות יותר למי שמפר את הפרטיות וחושף חומרים שונים אך כיום על הפרה של חובות האבטחה בחוק אין אפשרות להטיל קנסות. כשאנחנו מוצאים הפרה של החוק אנחנו לא יכולים לקבוע קנסות אלא רק הפרה. לדבריו, "במצב שבו חברת המידע לא מספקת אותנו ביכולות שלנו, אנחנו לא מאשרים לה להתחבר למאגרי מידע מקוונות עד שנדע באופן בטוח שהוא יכול לעשות זאת לפי המדדים שלנו. אנחנו מגיעים באכיפה יזומה עפ"י סקר סיכונים אך ההיקפים הם לא גדולים. הגענו ל71 עיריות ומועצות מתוך פי שלושה. מטבע הדברים הם נמצאים עוד יותר במוקד משום שהמידע שמחזיקים ברשויות רגיש מאוד, מהמידע הכי סודי על כל איש ובנוסף מצלמות אבטחה שקיימות בכל מקום".
עמית גל, סגן בכיר לממונה על שוק ההון והביטוח, אמר בדיון כי על כל הגופים הפיננסיים חלות בוודאי גם תקנות הגנת הפרטיות, אך בנוסף יש עוד הגנות מפורטות ומתקדמות של רשות שוק ההון. לדברי גל, "איומי הסייבר מתפתחים באופן מאוד גבוה ברגולטורים פיננסיים ובנושא זה ההנחיות מתעדכנות מעת לעת. הוצאנו חוזר ניהול סיכוני סייבר בגופים מוסדיים – נוהל זה מחייב בלי הקלות ובלי הנחות. ההיערכות אליו הייתה מורכבת וההטמעה שלו נעשתה ע"י שאלון ועקבנו לראות את רמת העמידה בכל סעיף וסעיף. ביצענו מעל 20 מבדקי חדירה ב20 גופים שונים וביצענו מסקנות בעקבות כך".
עוד אמר עמית גל בדיון כי "אין מדיניות ממשלתית בנושא תשלום כופר. נושא המשא ומתן והתשלום הוא רק באחריות החברה".
מנכ"ל איגוד האינטרנט הישראלי, יורם הכהן, הוסיף בדיון כי "אם אין אכיפה ורגולציה, אנשים עושים את ההערכות שלהם לצד ההשקעה בנושא ועד שלא קורה משהו לא באמת פועלים. יש בעיה רצינית של מידע עודך שגופים מחזקים במדינה וחוק הגנת הפרטיות צריך להיות אחר".
מנכ"לית פרטיות ישראל, נעמה מטרסו אמרה בוועדה כי בישראל אין בכלל גורם אחד שאחראי על הגנת הפרטיות, "אין בכלל גם כל תביעות עד היום שנעשו בנושא. כל התביעות שכן קרו על פרצות אבטחה, היו דרך הגנת הצרכן. חשוב שיהיה אסדרה של הנושא.
ממוצע של הזיהוי של אירוע אבטחת מידע עומד על 280 יום. בישראל דווח על 150 אירועים בינואר 2020, וברור שאלו לא כל האירועים שהתרחשו בפועל. בדנמרק אנחנו עומדים על 9000 ובאירופה כולה 160 אלף. ברור שהזיהוי בישראל נמוך יותר. בחברות סייבר שנותנות שירותי אבטחת מידע לחברות אחרות ובחרות רגולציה, כמו הפיקוח על הבנקים, דווקא שם יש את הפער הכי גדול בסוגיית אבטחת המידע".
בדיון מערך הסייבר דרש הפסקה מידת של זיהוי בשירותים עם תאריך הנפקת ת.ז, עו"ד עמית אשכנזי, יועמ"ש מערך הסייבר הלאומי, אמר: "אנחנו דורשים לא לעשות שימוש בכלל בזיהוי של תאריך הנפקת ת.ז.. הוצאנו ע"כ עכשיו גם הנחיות אבל מי שמנהל את הסיכון זה רשות התקשוב, והם מנהלים את הסיכון הזה.
מנהל היחידה לסיכוני סייבר ברשות התקשוב הממשלתי, גדעון קונפינו: "אנחנו פועלים כבר היום אל מול משרד האוצר להעביר את הר הביטוח ואת הר הכסף להעביר את הזיהוי לזיהוי הממשלתי. המדינה צריכה או לאסור צילום ת.ז. וככה זיהוי זה לא ייפגע או שצריכים להעביר את תאריך ההנפקה לגב התעודה".
