"אי אפשר לאתר את מדליף מרשם האוכלוסין"

הוועדה התכנסה בעקבות דו"ח מבקר המדינה האחרון, בו קבע המבקר שהמדינה כשלה בהגנתה על מאגרי המידע, והתייחס לכך שמרשם האוכליסין של משרד הפנים דלף לאינטרנט.

חסון פתח את הישיבה והבהיר את חשיבות הנושא מבחינתו: "השמירה על המאגרים האלה מבחינתי הוא דבר שחשוב גם מהבחינה הלאומית וגם מבחינה אסטרטגית, והתחושה היא שאפילו בחברת תוכנה קטנה יש מערכת אבטחת מידע יותר טובה ממה שיש לממשלת ישראל לגבי המאגרים שלה".

חסון ביקש לקבל תוך ששה חודשים, גם מהמוסד לביטוח לאומי וגם ממשרד הפנים, דו"ח כתוב שיציין מה הפעולות שנעשו ומה יתבצע במהלך החצי שנה הקרובה. אם הדו"ח לא יספק את הוועדה, היא תתכנס לדיון נוסף בעניין. עוד ציין חסון כי הוועדה תפנה באופן ישיר לשב"כ על מנת לקבל את דעתם בכל הקשור לאבטחת מידע, ודרש כי בתוך חצי שנה תגיש הממשלה הצעת חוק לשמירה על אבטחת מידע.

המשטרה: אי אפשר למצוא את המדליף

אחת מהשאלות שנשאלו בישיבה היא מדוע המשטרה הפסיקה לחקור את דליפת מרשם האוכלוסין לרשת האינטרנט. נציג המשטרה ציין כי מהנתונים שניתנו להם, לא היה ניתן למצוא אשמים.

"קבלנו רשימה מאוד מאוד גדולה. גם כאשר צומצמה הרשימה לרשימה של 20 גופים, אנחנו מדברים על 20 גופים כאשר אנחנו, כחקירה פלילית, צריכים להצביע על אדם אחד.

"אני לא אתייחס פה לשם של אף גוף, רק אומר שאין שום אינדיקציה וודאית שאכן בוצעה דליפה מגוף מסויים, מה שאומר שגם לגבי אותו גוף יש עשרות ומאות של משתמשים... אי אפשר למקד את זה לא לאדם ולא לקבוצת אנשים מסויימת שהדליפה את המאגר.

"אנחנו לא באים לבדוק את אפשרות סתימת אותה פריצה, אלא את האפשרות לההצביע על אדם ספציפי, וזה מהנתונים שניתנו לנו - אי אפשר לעשות", הוא הסביר. "במקרה שיש בו הצבעה על אדם ספציפי, אנחנו מעמידים לדין", הבהיר נציג המשטרה, לאחר שמנהל אגף המחשוב במשרד הפנים ציין כי העביר למשטרה מידע על עובדי ציבור ספציפיים שנתפסו עם "המאגר בידיים" - ללא הרשאת גישה אליו.

ח"כ חנין: צריך להפיק לקחים רוחביים

חבר הכנסת דב חנין (חד"ש) הדגיש שלדעתו צריך להפיק לקחים רוחביים בעקבות הליקיים שנחשפו בדו"ח, וציין כי בעוד הדו"ח נוגע בשני משרדים ממשלתיים בלבד מהם דלפו מאגרים, הוא סמוך ובטוח שאם היו בודקים היו מגלים ליקויים גם במשרדים אחרים.

הפתרון, לדעתו, הוא לדעת לרסן את הרצון הטבעי של משרדי הממשלה לאסוף מידע לגבי האזרחים. "יש מידע שהוא מידע חיוני, הרשויות חייבות אותו, בלעדיו הן לא יכולות לתפקד... לכן, אנחנו כחברה מוכנים לשלם את המחיר שיהיו תקלות, כי כל מערכת לאבטחה ניתנת לפריצה", הוא אמר. "לעומת זאת, ישנו מידע שאיננו חיוני. מידע שאפשר לחיות בלעדיו. מידע כזה, ראוי לא לרכז בידי הרשות. מטבען של רשויות שאוהבות לרכז בידיהן גם כח, גם מידע וגם נתונים..."

"היום נגיע לישיבה גורלית בעניין חוק המאגר הביומטרי... אנחנו מובילים מהלך של יצירת מאגר אדיר של מידע, שהוא לא באמת חיוני, לא באמת דרוש, הרשויות יכולות להסתדר היטב בלעדיו, אבל אנחנו עושים את זה, וזה מאוד מצער ומאוד מדאיג. אנחנו לא לומדים את הלקחים הרוחביים", הוסיף חנין.

למה חשוב לשמור על הפרטיות?

נציג הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, שאמורה לפקח על פרטיות האזרחים ומאגרי המידע, הסביר מדוע שמירה על אבטחת המאגרים חשובה. "את הסיבה אפשר לראות מהפרוצדורה שעורך המוסד לביטוח לאומי. כדי לקבל גישה לנתונים, מבקש הביטוח הלאומי מספר תעודת זהות. אחרי שמישהו נותן תעודת זהות אז הוא עבר את אותו חסם הזדהות כדי להמשיך ולהכנס למידע. הבעיה במאגר הזה זה שהרבה פעמים מספר תעודת זהות, או קשרי משפחה, הם אחר כך מפתח הכניסה למידע הרבה יותר

רגיש - ולכן הדבר הזה כל כך חמור", הסביר הנציג.

הנציג המשיך וציין כי המצב כיום טוב יותר ממה שהיה בעבר, ובהשווה לשנת 2006, למשל, כח האדם ברשות גדל וכולל כעת גורמים מקצועיים רבים. למרות זאת, הוא ציין, לרשות עדיין חסרים כלים רגולטוריים כדי להיות גורם משפיע בחלק מהמקרים.

"יש היום מנגנון של מרשם מאגרי מידע והסמכויות של רשם מאגרי המידע זה בגדול למחוק משהו מהמרשם. ברגע שאתה מוחק, אז מבחינה חוקית אסור לך להפעיל את מאגר המידע. זה לא ריאלי בהקשר של מאגר הביטוח הלאומי או משרד הפנים, שאנחנו נבוא אליהם ולא נרשה להם לפעול - וזה כיום הכלל היחיד שאנחנו יכולים להפעיל", הוא פירט.

בכיר במשרד הפנים "נאלץ לפעול כמתחזה"

במהלך הדיון, תקף יו"ר הוועדה את היועץ המשפטי של רשות ההגירה, על כך שלא אכף את החוק כשהמאגרים דלפו. חסון ציין שאם אזרח היה מפר את החוק, הרשות הייתה רודפת אותו "עד קץ הימים", אך כאשר עברו על החוק קבוצה של אנשים שעבדו מולו - הוא לא עשה כלום בנידון.

דניאל סלומון, היועץ המשפטי של הרשות, ציין כי קיימים טפסים מסודרים להעברת מידע מהמרשם, ושעל כולם חתמו כל הגורמים המוסמכים. סלומון ציין כי על כל הטפסים חתם מי שחשב שהיה הממונה על אבטחת המידע, מנהל אגף המחשוב במשרד הפנים ניסים אליאסף (שכלל לא היה הממונה עליו). "אלמלא הוא היה חותם, כל העניין היה נעצר", אמר סלומון.

"לנו לא הייתה שום מודעות שהוא לא היה מורשה לחתום בתור הממונה. לכן ההבנה שלנו הייתה שהוא הממונה על התחום. מסתבר בדיעבד שלא צדקנו. לא הייתה בעיה בכל מה שקשור אליי". ח"כ חסון לא התרשם מדבריו של סלומון,

וציין כי הוא "סותם חורים", ושלבו על מר אליאסף, שנאלץ, "כדי שתוכלו לישון בשקט" לקרוא לעצמו בשמות תואר שלא מגיעים לו, ולפעול כ"סוג של מתחזה".

אליאסף עצמו ציין בדיון כי בקרוב יתחיל משרד הפנים לסמן את קבצי המידע שיעביר לגופים אחרים (כמו למשל המוסד לביטוח לאומי), כך שיוכל לאתר מאיפה הודלפו מאגרים. לדעתו של המשרד, זה גם מה שידרבן את הגופים החיצוניים לשמור על המידע בצורה אדוקה יותר.

יחידה לאבטחת מידע תוקם תוך 120 יום

גבריאל מימון, יושב הראש החדש של משרד הפנים, שנכנס לתפקידו בימים האחרונים, ציין כי דו"ח המבקר האיר את עיניו, וכי "אין ספק שהוא מחייב אותנו, ומועיל לנו בחשיפת כשלים שמן הראוי שנפטל בהם".

מימון ציין כי מי שהיה הממונה על אבטחת המידע במשרד, היה "ממונה על עוד חמישים דברים נוספים", ולמרות שהייתה לו את ההכשרה הפורמלית הוא לא יכל לעשות את עבודתו נאמנה.

"אין ספק שצריך להיות אדם במשרה מלאה, ולא רק אדם אחד - יחידה מסויימת, וכרגע אני לומד מה צריך להיות הרכבה, כדי שתכסה את כל תחום אבטחת המידע", ציין המנכ"ל החדש, ואמר שהוא מקווה כי תוך 60 ימים יסיים המשרד למנות את היחידה. חסון הקציב 120 ימים בהם יצטרך המשרד למנות את היחידה.