מערכת שתמנע מעובדים גישה למידע העוסק בבני משפחתם

יום ד', 19 ביולי 2017

ועדת המדע והטכנולוגיה של הכנסת  קיימה  דיון בנושא "צעדים למניעת שימוש לרעה במאגרי מידע".

יו"ר הוועדה ח"כ אורי מקלב: "לא מעט פעמים אנחנו עוסקים בנושא שמירת מידע, כמו המאגר הביומטרי, ממשל זמין ועוד. אנחנו רוצים לייחד ישיבה לשימוש לרעה של עובדים. גם אם מישהו מורשה להיחשף למידע זה לא אומר שהוא יכול לעשות בו כל שעל דעתו. גם מי שמורשה צריך לפעול לפי הכללים, ואנחנו שואלים האם יש כללים, האם הכל נעשה לפיהם והאם יש מי שעוקב ואוכף את הדבר הזה".

ח"כ תמר זנדברג: "ביקשתי לקיים את הדיון עקב מקרה שהובא לידיעתי מרשות המסים, שערכה בדיקה וגילתה למעלה מ- 50 עובדים שביצעו שאילתות לא מורשות והשתמשו בזה לצרכים פרטיים ואישיים. חלק מהמקרים היו של עובדים בכירים שאתה מצפה מהם לראות את התמונה ולהבין מה מותר או אסור ויש כאן תמונה מדאיגה. פרטיות זה לא רק למי שיש מה להסתיר אלא לכל אדם יש זכות לפרטיות ואנחנו אמורים לפקח על הדבר הזה. הסיפור של "יש עתיד"  וניצולי השואה נגמר בקנס וממש קובע מחיר לכל קול בבחירות. אנחנו צריכים לתת את הדעת איך העונש יהווה התרעה".

עו"ד לימור שמרלינג, הרשות למשפט, טכנולוגיה ומידע: "שימוש על ידי עובדים שלא לצורך העבודה שלהם הוא אחד הדברים החמורים ביותר בהפרת חוק ההגנה על הפרטיות ויש ענישה נרחבת בכך. לאחרונה אושרו תקנות אבטחת מידע חדשות שיכנסו לתוקף במאי 2018, ויש בהן פירוט מה כל ארגון צריך לעשות. הם מחויבים להעביר הדרכות בעניין לעובדים, יש מערכות מחשב שיכולות להוציא פלט מי העביר שאילתה ולאיזה מסמך הוא נחשף. זה מאפשר לזהות פעילות חריגה של עובדים. יש חובה לעשות בדיקות מהימנות לעובדים. יש חובה לעשות סקרי סיכונים שעשויים להעלות בעיות. יש חובה לדווח על אירועים של גישה לא מורשית,  לרשות שלנו כדי שנוכל לפעול ע"פ הסמכות שלנו".

גדעון קונפינו, היחידה להגנת הסייבר: "התהליכים בממשלה הם תהליכים ארוכי טווח. אנחנו הצלחנו להגיע לכל גופי הממשלה ולהטמיע בהם נהלים וטכנולוגיות. יש מנגנונים, כמו  למשל מערכת לניטור שקיימת לדוגמא במשרד האוצר שעוקבת בזמן אמת על כל פעילות שנעשית. פיתחנו תשתית ארגונית ויש אחראי על הנושא בכל יחידה ממשלתית. כל גוף מגדיר לעובדים את הרשאות הגישה ע"פ צרכי העבודה. הבקרה נעשית על פי סקר סיכונים שיכול לבדוק אם יש הרשאות עודפות או שימוש לא נאות וכו'".

רפאל פרנקו, הרשות הלאומית להגנת הסייבר: "לפני שבועיים פרסמנו את תורת ההגנה בסייבר. העיסוק הוא במגוון רבדים. בתחום משאבי אנוש, כל עובד חייב לחתום על שמירה על סודיות ויש סיווג של רמת הרגישות שהוא עוסק בו. יש לנו יכולת זיהוי גישה להוצאה של מידע רגיש, כולל אפילו הדפסה של מספר רב של עותקים. ישנה הפרדה בין תחומים והפרדה של  ההרשאות על פי תחום העיסוק. יש ניטור על  משתמשים מחוץ לשעות העבודה. במקום שיש חשש להונאה, יש מערכות שפועלות כנגד הונאה. זה מה שעצר את האירוע ברשות המסים. גם רמו"ת וגם הרשות להגנת הסייבר הניחו תשתית מקצועית שניתן להגן מפני אדם שרוצה להדליף מידע".