פוסטים בתגיות: ‘שטרית’
בדיון קראה הוועדה לממשלה לאמץ את המסקנות של הוועדה העליונה למדע ולטכנולוגיה בראשות פרופ' יצחק בן ישראל. זו המליצה על הקמת מטה סייבר לאומי, שיהיה כפוף ישירות לראש הממשלה, בעלות של 100 מיליון שקלים.
במקום אחר, אך בהקשר דומה, נערכה הוועידה השנייה של הקוד הפתוח ויישומיו בישראל – OPEN2011. לוותיקים שבינינו זכור מן הסתם, שהקוד הפתוח – בדומה למחאת הקוטג' – החל מהצרכנים. היו אלה צעירים חסרי מנוח שישבו על מדשאות האקדמיה וחיפשו פתרונות תוכנה טובים יותר מהפתרונות הקנייניים שהיו זמינים באותה התקופה. באופן לא הוגן, בדיעבד, דאג מי שדאג לנתב את המחאה הזו נגד מיקרוסופט (Microsoft), שנחשבה לענקית תוכנה מונופוליסטית, שהביאה לעולם את הטכנולוגיות והכלים שהיום איש לא מתאר את חייו בלעדיהם. המוטו של המחאה הזו היה החינמיות ובמרכזה עמדו אלפי יישומים ואפליקציות שנכתבו על יד הקהילה ועבור הקהילה.
בעוד שוועדת המדע והטכנולוגיה של הכנסת דנה באפשרויות המיגון של מבנים מפני רעידות אדמה, על המגזר העסקי לערוך בדק בית ולוודא שמערכות המיחשוב והמידע שלו ערוכות לתרחיש כזה ● תוכניות המשכיות עסקית ו-DRP הן משהו שיש לא רק להכין, אלא גם ליישם בפועל ולבדוק מעת לעת
ועדת המדע והטכנולוגיה של הכנסת דנה השבוע במוכנותה של ישראל לרעידות אדמה. העיתוי היה מקרי לחלוטין והדיון בתוך הוועדה התנהל במקביל לרעידת האדמה הפוליטית, שנוצרה כתוצאה מפרישתו של אהוד ברק ממפלגת העבודה. הדיון בוועדה, בראשותה עומד ח"כ מאיר שטרית, היווה המשך לדיונים קודמים בנושא, ועסק בעיקר בהיערכות הפיסית לרעידות אדמה ובחיזוק מבנים במרכז הארץ ובפריפריה.
לא מדובר רק במבני מגורים, שהרי מבנים רבים במדינה מאכלסים את פעילות המגזר העסקי. יש מגזרים מסוימים כמו פיננסים, קמעונאות, בריאות וממשלה – שפעילותם תלויה במידה רבה במערכות מידע ומיחשוב. יכולת ההגנה על מערכות המידע והמיחשוב הללו, היכולת ליצור סביבה פיסית וטכנולוגיות שמבטיחה שרידות פחות או יותר, היא שאלה לא פחות קריטית מאשר חוזק המבנה הפיסי.
הנושא הזה אמנם לא עלה בדיון הפעם, אבל הוא מעסיק במידה גוברת והולכת את המנמ"רים והנהלות הארגונים במשק. הקריטיות של המידע והתלות של ליבת העסק בטכנולוגיה, מעלות את סוגיית אבטחת מרכזי הנתונים בארגונים לראש סדר העדיפויות. מן הראוי, לטעמנו, שהסוגיה הזו תועלה בדיון נפרד בוועדה זו או בוועדות אחרות בכנסת.
גילוי דעת 58 של לשכת רואי החשבון, אומר בין היתר, כי "התלות במערכות מידע יכולה להשליך על יכולת הארגון להמשיך בפעילות כ-'עסק חי'". בעבר נהגו להשוות את ההערכות לשעת חירום בדומה לנחיצות של גלגל רזרבי ברכב. כל נהג יודע למה צריך להחזיק גלגל נוסף תקין, והשאיפה היא שהמודעות הזו תחלחל לכל הארגונים הנערכים לשעת חירום.
עקומת המודעות למוכנות לשעת חירום בישראל, לפחות בנושא מערכות המיחשוב, תלויה בקצב האסונות או התקלות החמורות שמזעזעות מדינה שלמה. למרבה הצער, בסוף השנה שעברה למדנו על בשרנו, כי יש איומים וסכנות שמדינת ישראל לא ערוכה אליהן, כמו למשל בשריפה בכרמל. יש לקוות, כי מנהלי המיחשוב בארגונים לא ממתינים לאסון דומה בהיקפו כדי לבחון שוב את היכולת שלהם למתן מענה מהיר במקרה של פגיעה במערכות המידע.
בעולם מקובל לחשוב שתוכניות ההישרדות מתחלקות לשתי רמות: תוכנית המשכיות עסקית ותוכניות DRP – שנועדו לגרום לארגון להמשיך לעבוד עם מערכות המידע שלו במקרה של פגיעה ישירה. הפתרונות כמובן אינם אחידים ותלויים באופי הארגון, הקריטיות של הפעילות, ניהול סיכונים והערכה לסיכוייהם של תרחישים קיצוניים, והיכולת ליישם את ההתאוששות ככול האפשר מהר.
בשנה האחרונה חל שיפור מסוים בהתייחסות של ארגונים לנושא. מנמ"רים במגזרים בולטים במשק מספרים על תרגילים לשעת חירום שהם מבצעים אחת לשנה בתוך הארגון – תרגילים בהם מבצעים סימולציות של קריסת מערכות מידע ומיחשוב. ארגונים אחרים, שמוגבלים יותר בתקציבים אבל מודעים לדחיפות הטיפול בנושא, מצאו פתרונות משולבים, במסגרתם אתרי ה-DRP המגובים מנוצלים במשך כל ימות השנה למשימות ארגוניות, כמו פיתוח או שירות – ובעת חירום עוברים מיד למצב עבודה מלאה מאותו אתר. יש גם לא מעט ארגונים, חלקם בבעלות חברות בינלאומיות, שמיקמו את הדטה-סנטר שלהם מחוץ לגבולות ישראל – מסיבות ביטחוניות וכלכליות.
הבעיה המרכזית נותרה בעינה: בעוד שלמגזרי הממשלה, הביטחון והפיננסים יש רגולטורים ומפקחים המחייבים את הארגונים לבצע שורה של פעולות להגנה על המידע שלהם, חלקים רבים בסקטור העסקי מצויים ללא שום פיקוח או הכוונה. הרשויות הממלכתיות כמו רח"ל, למשל, נמנעות מלהתערב בתחום זה בסקטור האזרחי. לכאורה, מסיבות הגיוניות – כי אף אחד לא רוצה את האח הגדול בחדר הישיבות של ההנהלה, אבל העובדה שנושא כל כך קריטי נותר לשיקול דעתם של גורמים פרטיים ועסקיים שאינם רואים תמיד את התמונה הכוללת, עלולה חלילה להתברר יום אחד כהחלטה שגויה.
בדיון בוועדת המדע קיבל השר בני בגין, יו"ר ועדת השרים לרעידות אדמה, מחמאות מיו"ר הוועדה על כך שאמר, כי "מדינת ישראל לא תיערך לתרחיש קיצוני ביותר של רעידת אדמה, אלא תדאג למיגון סביר של האוכלוסיה". יש לקוות שלפחות בתחום מערכות המידע והמיחשוב, המנמ"רים ומנהלי הארגונים יגלו אחריות ויצמצמו את מימד האקסטרים בכל מה שקשור להערכות לשעת אסון.
בעלי הזיכרון הטוב ודאי זוכרים שכאשר עלה לראשונה הרעיון להנפיק תעודות זהות חכמות לתושבי מדינת ישראל, לפני כ-12 שנה בערך, המניע העיקרי היה דרישת כוחות הביטחון. המטרה היתה למצוא פתרון שיחסום מחבלים שמבקשים להיכנס לישראל כדי לבצע פיגועים. מאז, מנסה מדינת ישראל ליישם את הרעיון – אך ללא הצלחה.
ב-1 בדצמבר 2008 הכריזו שר הפנים דאז – מאיר שטרית, ומנכ"ל HP ישראל – יהושוע בקולה, על חתימת הסכם בנושא בין המדינה לענקית המיחשוב. השניים הדגישו, כי "בתוך שנה תהיה למדינת ישראל תעודת זהות ממוחשבת". 270 מיליון שקלים שילמה המדינה ל-HP במסגרת העסקה, שתוקפה נקבע לחמש שנים. ההנחה היתה אז, שבשנת 2013 כבר יהיו רוב אזרחי המדינה מצוידים בתעודות חכמות, או שלכל הפחות יהיו למדינה את כל האמצעים לספק תעודה שכזו.
במקביל, החלה הממשלה בהליך חקיקה מתאים, כך שהתעודות החכמות יכללו גם אמצעי זיהוי ביומטריים. החזון היה שהתעודה תשמש גם כגורם מאשר לביצוע פעולות רבות, בין היתר מול הממשלה. הימים חלפו, ואפילו תהליך החקיקה – שלכשעצמו היה מייגע – הסתיים. כזכור, המדינה סערה וראש הממשלה, בנימין נתניהו, חרג ממנהגו וקיבל החלטה לפיה אזרחי המדינה לא יחויבו להוסיף לתעודה שלהם שבב ביומטרי – אלא יוכלו לבחור אם לעשות זאת או לא.
אבל גם זה לא עזר לתעודה המיוחלת. HP, ששכרה את שירותיו של מפעל פתקית בקיסריה כקבלן משנה לייצור התעודות, לא הצליחה לייצר במשך חודשים ארוכים ולו תעודה אחת. במשך כמעט שנה עמד המפעל שומם. פניות לקיום ביקור עיתונאים במקום נדחו על הסף על ידי משרד הפנים. או שהיה להם מה להסתיר, או שהם פשוט ביקשו להסתיר את הבושה. העיכובים הוסברו כבירוקרטיים גרידא. בסביבתה של HP נשבע כל מי שהיה קשור לפרויקט, כי החברה ערוכה לייצר את התעודות – כפי שהתחייבה. המעצורים, אם כך, הגיעו מכיוון ירושלים.
בשנה שעברה הוקמה ועדה בין-משרדית שבה היו חברים טל הרמתי – סגן בכיר לחשב והכללי ועוד כמה פקידים עם רצון טוב באמת לחלץ את העגלה הזו מהבוץ. הוועדה פעלה בהרמוניה, כאשר אנשי משרד הפנים הרעיפו שבחים על אנשי משרד האוצר. היה מי שהעז לנבא (כנראה שאדם באמת אמיץ) שבינואר 2011 תהיה לנו תעודת זהות חכמה ראשונה. המפעל בקיסריה, שבתחילה קיבל אישור לייצר את ה"גלמים" שהם הבסיס של התעודות, קיבל סוף-סוף אישור ללכת עד הסוף ולייצר את התעודות הסופיות, שיכללו גם את המתקן לשבב שבעזרתו יוכלו אזרחים לבצע את הזיהוי הביומטרי, אם יחפצו בכך. אבל, מה לעשות, ייצור תעודות זהות אינו מעשה קסם; כעת מדווחים מקורות המקורבים למפעל הייצור בקיסריה, כי הסיכוי שתעודות ראשונות תהיינה מוכנות בינואר 2011 שואף לאפס. בחדרי חדרים כבר מדברים על תאריך ריאלי חדש, יוני 2011.
פרשת תעודות הזהות החכמות היא אחת השערוריות הגדולות ביותר בתולדות המכרזים הציבוריים. השרים שהיו אחראים על המכרז המקורי כבר מזמן לא יושבים במשרדים המתאימים. את שר הפנים הנוכחי, אלי ישי, ממש לא מעניין עם איזה תעודת זהות אנחנו נסתובב. עם זאת, בהחלט מעניין אותו שהכספים שמיועדים לקהל הבוחרים שלו יגיעו במועד. אפרופו השר ישי, אותן עמותות חרדיות שהזכרנו בהתחלה – אלו שזייפו את תעודות הזהות, השתמשו במידע ממרשם האוכלוסין – אותו מרשם שבאחריות שר הפנים. עם זאת, לא שמענו שהשר הביע זעזוע, הקים ועדת בדיקה או קרא אליו לסדר את הממונים. הרי במדינתנו הקטנה מתרגלים בסוף לכל דבר – רע או טוב. כך, למשל, מתרגלים לכך שבמשך יותר מעשור לא מצליחים לייצר פה תעודה חכמה. מתרגלים גם לכך שהמידע ממרשם התושבים זמין כמעט לכל אחד ולכך שתעודות הזהות החכמות יירשמו בספרי ההיסטוריה כתעודת עניות לכולנו.
אותן עמותות חרדיות שהזכרנו בהתחלה – אלו שזייפו את תעודות הזהות, השתמשו במידע ממרשם האוכלוסין – אותו מרשם שבאחריות שר הפנים. עם זאת, לא שמענו שהשר הביע זעזוע, הקים ועדת בדיקה או קרא אליו לסדר את הממונים
מה עושה המממשלה שרואה שהצעת חוק שלה שנועדה להפריט שירות מסויים לא הניבה את התוצאות הדרושות? מחוקקת חוק חדש שסותר את החוק הקודם ומחזירה לידי הממשלה את סמכויות הביצוע והאכיפה. זה מה שעלול לקרות אם תתקבל הצעת החוק לחתימה דיגיטלית, שהונחה על שלחן ועדת המדע על ידי הממשלה. בדרך, עלולה ההצעה למחוק מפעל חיים שלם של חברת קומדע שרואה עחצמה חלוצה ודוחפת את נושא החתימה הדיגיטלית בישראל
אי שם מעבר לים, במדינת חלם, חיפשו חכמים בדחיפות מנעול חכם, שישמור על הנכסים החשובים שלהם. חיפשו וחיפשו, וכאשר לא מצאו, הורה רב החכמים: יש להקים מפעל לייצור מנעולים - ומיד!הסיפור הזה עלה בראשי, כאשר קראתי את ההודעה ה-"דרמטית" שיצאה שלשום (ב') מוועדת המדע והטכנולוגיה של הכנסת, בה נערך הדיון הסוער בנושא חוק החתימה הדיגיטלית. למעשה, מדובר בתיקון להצעת חוק, שתהפוך את מהות החוק על פניו: המדינה החליטה שהיא רוצה להיות "גורם מאשר", הגוף שיזהה את האזרחים שרוצים לעבוד מול הממשלה ומול מוסדות ציבור באמצעות כרטיס חכם או בצורת הזדהות אלקטרונית אחרת. העובדה שיש כבר גורם מאשר, זה שהמדינה הסמיכה אותו לפני שמונה שנים, חברת קומסיין – לא מעניינת את המחוקק. הנימוק: חתימה דיגיטלית היא משאב לאומי, על גבי תשתית לאומית, והמדינה היא זו שיודעת לשמור עליו בצורה המיטבית.
אלא שהתיקון להצעת החוק, בחטא נולד, והמדינה אינה באה בידיים נקיות. התיקון המבוקש נועד לכפר על טעויות העבר, שיצרו מצב בו בסופו של תהליך, המדינה נותרה עם גורם מאשר אחד. מצב זה נוצר לא באשמת אותו "גורם מאשר": הוא אינו שייך לאחד מטייקוני הכלכלה, ואין לחשוד בו שהפעיל לחצים על הממשלה.
חוק החתימה הדיגיטלית נכנס לתוקף ב-2001. באותה העת עמד ח"כ מיקי איתן בראשות ועדת המשנה לאינטרנט, שפעל נמרצות לחקיקתו. אחד מעוגני החוק היה שהמדינה תהא אחראית לזיהוי ולאישור האנשים שיעבדו עימה ומולה בצורה חכמה, אבל תהליך ההזדהות ייעשה על ידי גורמים מקצועיים-טכנולוגיים, שזו מומחיותם. המחוקקים ראו בעיני רוחם כמה חברות שיוסמכו להיות "גורם מאשר", יתחרו ביניהן, וכל עם ישראל יהיה מאושר.
אלא שהמציאות טפחה מעט על פניהם, והייתה שונה מהצפוי. על המציאה הזו, ששמה "גורם מאשר" קפצו רק שני גורמים: חברת סקיורנט וחברת קומסיין, חברה בת של קומדע. רק מעט תחרות הייתה שם: היקף הפרויקטים בתחום החתימה הדיגיטלית היה זעום, הממשלה לא עשתה דבר כדי לקדם את השוק הזה, ובנקים ומוסדות פיננסים לא אימצו אותו כי החוק לא חייב אותם. בקיצור, פרנסה גדולה לא הייתה פה.
בחלוף זמן מה, הודיעה סקיורנט על הפסקת פעילותה. ההיסטריה בקרב פקידי האוצר הייתה גדולה. הם גילו שהם תקועים כעת עם "גורם מאשר" אחד - קומסיין. זו, בניגוד לממשלה, לקחה את ההסמכה שקיבלה ברצינות, השקיעה בציוד, כוח אדם, מבנים, סידורי אבטחה. הכל היה מוכן במשך שנים כדי שהמדינה תחליט מה היא רוצה להיות כשתהיה גדולה. בינתיים, עו"ד יורם הכהן, שהיה סמנכ"ל בסקיורנט, עבר לצד השני של המתרס, ומונה לראש הרשות למשפט טכנולוגיה ומידע. בין שאר תפקידיה, הרשות היא הרגולטור של קומסיין, בהנהלת זאב שטח, שבעבר היה מתחרה שלו
חוק לא סגור
באוצר הבינו כי החוק שנכנס לתוקף בתחילת העשור, לא ממש סגור עד הסוף, וכי העובדה שהמדינה פועלת באמצעות "גורם מאשר" אחד, לא תתקבל בחיוב על ידי גורמים שונים. אז מה עשתה הממשלה כדי לתקן טעות זו? הגישה הצעת תיקון לחוק הקיים. אלא שאם תתקבל הצעת התיקון לחוק, יירדו לטמיון בבת אחת השקעות של מיליונים, השקעות שה"גורם המאשר" השקיע, לאחר שהמדינה הסמיכה אותו לכך.
יש לציין, כי ההסמכה שניתנה ל-"גורם המאשר", כוללת התחייבויות רבות והוראות לאכיפתן. במקרים קיצוניים, אם חלילה "הגורם המאשר" נכשל בתפקידו, הוא עלול לתת את הדין על כך ועלול להישפט למאסר בפועל. לכן, יש להניח, שדמי מהגורמים המאשרים שהחליט ליטול על עצמו את התפקיד - ידע מה הוא עושה ולמה הוא נכנס, והוא יעשה הכל על מנת שלא להיכשל בתפקידו.
אבל לממשלה ולפקידים יש חיים משלהם. לפעמים נדמה כי הם חיים במין בועה, בתוך חדר סגור, בלא לדעת מה קורה שם, בחוץ, בשטח. שיחות שערך בעל הטור עם גורמים שונים, בוועדת המדע והטכנולוגיה ומחוצה לה, העלו הסכמה: העובדה שרק חברה אחת נותרה בודדה כמי שפועלת בתחום "הגורם המאשר" – אינה אשמתו. אז במקום שהממשלה תתעורר, תפתח עוד ועוד שירותים שיעודדו גורמים ורשויות שונות לפעול בצורה מבוססת חתימה אלקטרונית – היא הולכת בדרך הקלה ביותר. מהי? פונה לכנסת ומציעה הצעת חוק, שאם יאושר, יהפוך אותה לגורם מאשר לאומי, זה שיחלק תעודות לאומיות לכל אחד.
הממשלה לא צריכה ללכת רחוק, יש לה דוגמאות חיוביות בבית. כך, למשל, הודיעה רשות המיסים כי החל משנת המס הבאה, 2010 עסקים בעלי מחזור מסוים, יעבירו את הדיווחים שלהם בצורה אלקטרונית. על מנת שיוכלו לעשות זאת, יהיה עליהם לסור לאחד מסניפי קומסיין ולבצע פעולת הזדהות חד פעמית. אלא שנוצר מצב אבסורדי, בוא הממשלה באה לכאורה בטענות כלפי קומסיין על היותה מונופול, ומנסה להפקיע ממנה את פעילותה בתחום, הסמכה כ"גורם מאשר", בו זכתה מול הממשלה. כעת, הממשלה רוצה להיות גם היא "הגורם המאשר" השני, כלומר להתחרות בקומסיין. מעבר להיבט הקפקאי, נראה כי במהלך זה נולדים הדפים הבאים באחד מדו"חות הביקורת העתידיים שיכתוב השופט בדימוס מיכה לינדנשטראוס, מבקר המדינה.
השורה התחתונה: הממשלה זיהתה בעיה, בכך שיש רק "גורם מאשר" אחד. אלא שבמקום לפעול לתיקון המצב ולמנות גורמים מאשרים נוספים, בתוקף היותה הרגולטור – היא החליטה למנות את עצמה ל-"גורם מאשר". הממשלה אינה מנסה לבדוק כיצד באמת אפשר לממש את החוק ולמנות עוד גורמים מאשרים, בתוקף היותה גם רגולטור. במקום זאת, הממשלה תהיה שחקן יחיד בשוק, וכדרכן של ממשלות – היא תהיה שחקן לא יעיל, יקר ובזבזן. כך, במקום למצוא מפתח למנעול, היא הורתה על בניית מפעל למנעולים. ובא לציון הגואל.