חומר רקע
1
דין וחשבון של רשם גורמים מאשרים לפי תקנה61
לתקנות
( חתימה אלקטרונית חתימה אלקטרונית מאובטחת, מערכות
חומרה ותוכנה ובדיקת בקשות
), התשס"ב-
0226
דו"ח לשנים
0262
-
0261
2
דבר רשם גורמים מאשרים
חתימה אלקטרונית היא
אחת מה
תשתי
ו ת ה
מאפשר
ו
ת ומקדמ
ו
ת פעילויות ח ברתיות
ב
תחומים שונים . היא בסיס לביצוע תקשורת מאובטחת בין גורמים שונים, אשר לאו
דווקא מכירים זה את זה. היא בסיס לבצ
ו ע טרנזאקציות מסחריות. היא בסיס לניהול
זהויות דיגיטליות. והיא בסיס ליצירת אבטחת מידע טובה יותר. בשל כך, תשתית
החתימה האלקטרונית חייבת להיות אמ ינה ברמה גבוהה מאד, והגורמים המייצרים
.אותה צריכים להיות בעלי אמצעי אבטחה ברמה גבוהה מאד
על המשתמש לבחור איזו רמת חוזק של הזדהות ואמינות הוא צריך לפעילות מסויימת
.ובהתאם לבחור בתשתית המתאימה
מערך הפיקוח על הגורמים המאשרים המנפיקים חתימה אלקטרונית מאושרת בישראל
המופעל על ידי רשם
הגורמים המאשרים
מאפשר את היותה של התשתית הזו עוגן אמון
.בכלכלה הדיגיטלית ובאבטחת המרחב הדיגיטלי
אני רואה חשיבות בתשתית זו ובפיתוחה, כך שהשימוש בה יהיה נרחב יותר, יחד עם
שמירה על הסטנדרטים הגבוהים של הגנה עליה מפני תקיפה, זיוף או ש.יבוש
בדו"ח זה מפורטות פעולות הפיקוח על הגורמים המאשרים שבוצעו על-י ידי , וכן פירוט
הפעילויות שנעשו לצורך סיוע למשרדי הממשלה
וגורמי המשק
בשימוש מיטבי בתשתית
.החתימה האלקטרונית בישראל
ברצוני להודות לצוות עובדי הרשות להגנת הפרטיות שלקחו חלק בפעילויות השונות
בת.חום זה, המשלב מורכבות משפטית וטכנולוגית ייחודית, ודורש התמקצעות רבה
עו"ד אלון בכר
רשם הגורמים המאשרים
ראש
הרשות להגנת הפרטיות
3
כללי
חוק חתימה אלקטרונית התשס"א-
2001
(להלן-
חוק חתימה אלקטרונית ) והתקנות
שהותקנו מכוחו, נועדו להגביר
את הוודאות המשפטית, בשימוש באמצעים אלקטרונים
ליצירת מסמכים בעלי תוקף משפטי
, על ידי קביעת תנאי .ם לשימוש בחתימה אלקטרונית
:לצורך כך נקבעו בחוק ובתקנותיו
דרישות סף לאמצעי טכנולוגי הראוי להיחשב כ-
"חתימה" אלקטרונית באופן המקנה
למסמך האלקטרוני קבילות בכל הלי ך משפטי, ומהווה ראיה לכאורה לזהות החותם ולכך
;שהמסמך האלקטרוני לא שונה מעת חתימתו
הגדרת התפקיד של רשם גורמים מאשרים (להלן-
הרשם ) כמפקח על הגורמים
המאשרים, וקביעת סמכו;יות נוספות הקשורות במימוש החוק
חלוקת אחריות בין הגורמים המעורבים בתהליך החתימה האלקטרונית : בעל אמצעי
החתימה ו
הגורם המאשר.
חלק גדול מההסדרים בחוק דומים לנורמות מקבילות באיחוד האירופי-
המפורטות
בדירקטיבה1
בדבר חתימה אלקטרונית משנת1111
(להלן- הדירקטיבה).
במישור הטכנולוגי, החוק מבוסס במידה רבה על תובנות מקובלות בעולם ההצפנה
" ובתחום
ת
שתית המפתח הצ
יבורי", ועל החקיקה המקבילה באיחוד האירופי-
.הדירקטיבה
במרץ2012
פרסם האיחוד האירופי את הטיוטה הסופית להצעת החוק בנושא "שירותי
"זיהוי ואמון אלקטרוניים עבור עסקאות אלקטרוניות בשוק הפנימי2
(להלן-
החקיקה
המוצעת.)
בשל הדמיון בין הדין האירופי לדין הישראלי, והאי ,נטרס בתנועה חופשית של תקשורת
נעשתה בר
שות להגנת הפרטיות (ר
מו"ט) בחינ
ה
של
החקיקה המוצעת.
1 Directive 1999/93/EC of the European Parliament and of the Council of 13 Septmber 1999, on a
Community framework for electronic signatures.
2 http://certifiedsignature.eu/2014/03/01/eidas-electronic-identification-and-signature-electronic-
trust-services-final-draft/
2
נציגות הרשם השתתפ
ה בכנס
י האיחוד האירופי שנער
כו
בירדן ובברצלונה, בנושא קידום
המסחר המקוון מבוסס החתימה האלקטרונית במדינות האיחוד האירופי ומדינות הים
( התיכוןEuro-Mediterranean
), שמטרתו, בין היתר היתה, לבחון מקרוב את החקיקה
.המוצעת
מהדיונים בכנס עלה,
כי במדינות רבות היישום המעשי בפועל ,של החתימה האלקטרונית
בפורמט הדומה לחוק הישראלי, טרם זכה לתפוצה משמעותית
בהנפקות למשתמשים
ובשירותים מקוונים העושים שימוש בתעודות אלו .
בשלהי
שנת2012
קיבל האיחוד האירופי את החוק3 בנושא חתימה אלקטרונית (להלן-
החוק האירופי בנושא חתימה אלקטרונית ) שנועד ליצור מסגרת משפטית אחידה בנושא
חתימה אלקטרונית בין מדינות האיחוד האירופי, לקבוע את התנאים להכרה באמצעי זיהוי
אלקטרוניים של ישויות משפטיות, לקבוע א ת הכללים עבור שירותי אימות
ו לקבוע את
דרישות האבטחה עבור התקנים ליצירת חתימה אלקטרונית. החוק
האירופי בנושא
חתימה אלקטרונית מ
חליף את הדירקטיב
ה ו
נכנס
,לתוקף ביולי2012
.
הנושא נדון בהרחבה במחלקת ייעוץ וחקיקה (אזרחי) במשרד המשפטים וברשות
התקשוב הממשלתי, יחד ע ם הרשות להגנת הפרטיות. לאחרונה הופץ להערות הציבור
'תזכיר חוק "הצעת חוק חתימה אלקטרונית" (תיקון מס3), תשע"ז-
2012
וההערות
.שנתקבלו נדונות בימים אלו
דו"ח זה מוגש לשר
ת המשפטים
ולועדה לענייני מחקר ופיתוח מדעי וטכנולוגי של הכנסת
בהתאם לתקנה12
לתקנות מערכות חומ רה ותוכנה, הקובעת כי הרשם יגיש דין וחשבון
בדבר הפעלת סמכויותיו לפי תקנות חומרה ותוכנה, לרבות בדבר הטכנולוגיות שאושרו
.והליכי אישורן
3 Regulation on electronic identification and trust services for electronic transactions in the internal
market and repealing Directive 1999/93/EC
5
גורמים מאשרים רשומים
מרשם גורמים מאשרים לפי סעיף1(ב) לחוק חתימה אלקטרונית, התשס"א-
2001
בסוף
שנת2012
,
:הוא כדלהלן
שם תאר יך
רישום פרטי התקשרות
כתובת אתר האינטרנט
של הגורם המאשר
.פרסונל איי.די
בע"מ
7.7.2011
דרך דוד בן גוריון32
רמת גן52523
'טל023-2100022
:פקס023-2100321
www.personalid.co.il
קומסיין בע"מ
13.2.2003
קריית עתידים בנין2
.ת.ד50002
תל אביב
'טל03-2223220
פקס03-2222202
www.comsign.co.il
2
פיקוח ואכיפה
גורם מאשר קומסיין בע"מ
בקשות לאישור הרשם
להלן פירוט הבקשות שהוגשו ל רשם ע"י
הגורם המאשר קומסיי
ן
"בע מ (להלן–
קומסיין )
:והחלטותיו בהן
1
. בקשה ש לשכת המסחר והתעשייה חיפה והצפון(
ע"ר50-000152-1
) ת שמש כגורם
רושם
ל
קומסיין .
הרשם מצא כי מתן אישור כאמור יקל על המגזר העסקי בצפון
הארץ, ולאחר קבלת הבהרות וביצוע בדיקות עמידה בדרישות החוק ואבטחת
,המידע
הבקשה אושרה (תי ק130
);
2
. בקשה
להנפיק תעודות אלקטרוניות לחשבי משרדי הממשלה לצורך חתימת טפסי
101
לרשות המיסים באופן מקוון, על גבי התקן רשתיHSM
,
המצוי בחזקת חברת
מל"
ם שכר בע"מ(
.ח.פ513022102
)
.הבקשה אושרה
לאחר תיקון הליקויים
,שנמצאו בנוהל ההנפקה ובמסמכי הנהלים בתנאי ש
ה
התק
ן הרשתיHSM
יימצא
בחצרי מל"ם בתנאים שקבע הרשם, ותחת פיקוחה הצמוד של קומסיין.
אישור זה
י קל על המעבידים הגדולים במשק, אשר יעמדו בתנאים שנקבעו, להפיק את טפסי
101
ונספחיו בצורה אלקטרונית
(תיק150
);
3
.
בקשה
להנפיק תעודות אלקטרוניות על גבי התקן רשתיHSM
המצוי בידי
צד שלישי
עבור משרד החינוך .
בהמשך משרד החינוך קיבל החלטה לאחסן את המערכת אצלו
'ולא אצל צד ג
ו
הבקשה נדחתה
(פנייה4708
);
2
. בקשה לאישור נוהל חידוש תעודה תקפה לתקופה נוספת בקשר טלפוני מול הלקוח .
הרשם מצא, כי אישור הבקשה י
קל על ציבור מחזי
יק תעודות תקפות
,להאריכן
על
ידי הסתמכות על התעודה עצמה כאמצעי זיהוי,
בשילוב זיהוי מחזיק התעודה
בטלפון , ואישר את הבקשה בכפוף לקבלת סקרי סיכונים ותיקון כל הליקויים שאותרו
(תיק1252
);
2
5
.
בקשה לבצע שינוי
ב
שיטת ה
הזדהות ב
עמדות ההנפקה בגורם המאשר .הרשם מצא,
כי
שיטת ההזדהות המבוקשת ת
פשט את תה
ליך הגדרת ה
משתמשים
בגורם
המאשר
ובקרתם,
מבלי לפגוע בתנאי אבטחת המידע.
הבקשה אושרה בתנאי
שיטופלו הליקויים שנמצאו וביניהם–
בדיקות מומחי אבטחת מידע וחוו"ד
אפליקטיביות של תוכנות בהם ביקשה המפוקחת לעשות שימוש
(תיק1120
);
2
.
בקשה
לקבל
ת
אישור לחידוש תעודות מאושרות
מרחוק .לאחר בחינה הבקשה
ובהסתמך על המצגים שהוצגו בפני הרשם ,
הבקשה נדחתה (פנייה4213
);
2
.
בקשה לאישור חידוש מרחוק של תעודות מאושרות
עבור רופאי מכבי
שירותי
בריאות. במצורף לבקשה הוגש
דו"ח ביקורת לתהליכי החידוש במכבי
שירותי
.בריאות
לאחר בחינת
,הבקשה
וכדי ל
אפשר חי
דוש תעודות ע"י בעל התעודה ללא
צורך להגיע פיסית למשרדי
הגורם המאשר
או למשרדי הרופא, ובכך לחסוך זמן
ועלויות ולספק שירות מהיר ופשוט יותר
,מבלי לפגוע בדרישות החוק החליט הרשם
לאשרה ב
תנאים ש( קבע פנייה1742
;)
0
. בקשה להחלפת הטפסים הפיזיים אותם נדרשים מבקשי תעודה למס
ור לנציגי
הרישום ונציגי האימות בקומסיין לצורך הנפקת תעודה אלקטרונית מאושרת עבורם ,
בטפסים אלקטרוניים שיועברו לקומסיין באמצעות האינטרנט .הבקשה אושרה
בכפוף לקבלת ממצאי מבדקי החדירות שבוצע ליישום הטפסים האלקטרוניים (פניה
2225
;)
1
. בקשה לאישור חידוש תעודות אלקטרונ
יות מרחוק של רופאי שירותי בריאות כללית .
לאחר בחינת הבקשה, וכדי ל
אפשר חידוש תעודות ע"י בעל התעודה ללא צורך
להגיע פיסית למשרדי
הגורם המאשר
או למשרדי הרופא, ובכך לחסוך זמן ועלויות
ולספק שירות מהיר ופשוט יותר
מבלי לפגוע בדרישות החוק, החליט הרשם לאשרה
בכפוף לקב
לת דו"ח ביקורת של גורם בלתי תלוי (תיק
1120
).
0
דיווח תקופתי
במסגרת החובות המוטלות על הגורם המאשר
ב חוק חתימה אלקטרונית והתקנות
מכוחו, עליו להגיש לרשם
מדי שנה דיווח פעילות ,, הכולל דו"ח מבקר מערכות אישור כי
ניתנה ערבות בנקאית וכן אישור עריכת ביטוח אחריות מקצועית בנוסח שקבע הרשם
(להלן- הדיווח התקופתי.)
1
.
קומסיין הגישה את הדיווח התקופתי לשנת2013
שכלל ביטוח אחריות מקצועית
בנוסח השונה מזה שאושר על ידי הרשם
בנספח ד' להנחית הרשם משנת2003
בנושא"הנחיות להגשת בקשה לרישום ג
ורם מאשר".
,לפיכך נדרשה קומסיין להגיש
ביטוח אחריות מקצועית מתוקן
כתנאי ל קבלת
אישור הרשם ל
דיווח התקופתי.
לאחר
קבלת אישור עריכת ביטוח מתוקן כנדרש והשלמת בדיקת הדו"ח השנתי הוא אושר
(תיק132
);
2
.
קומסיין הגישה את הדיווח התקופתי לשנת2012. הדי
ווח אושר על ידי הרשם
(תיק
1002
;)
3
.
קומסיין הגישה את
הדיווח התקופתי
לשנת2015
.
הדו"ח אושר בכפוף לתיקון כל
הליקויים שאותרו בדו"ח המבקר, במסמך סקר הסיכונים, מסמך בדיקת חוסן
פנימית, ובדיקת ההנדסה החברתית של החברה
(תיק1113
);
2
.
קומסיין הגישה לרשם את
דו"ח המבקר לע ההוצאה לאור של לשכת הוע"ד כגורם
רושם של קומסיין
(תיק1122
);
5
.
בשנת2012
נמצאו ליקויים בדו"ח ביקורת התהליכים של הגורם הרושם-
החברה
הכלכלית של לשכת עורכי הדין בע"מ, ובהליך הפיקוח אל מול חברת קומסיין ,
נקבעו
הנחיות לתיקון הליקויים שנמצאו
(תיק1122
).
2
.
קומסיין הגישה את הדיווח התקופתי לשנת הפעילות2012
לרשם והוא נמצא
בתהליך
של בדיקה (תיק
1222
).
1
גורם מאשר פרסונל איי.די. בע"מ
בקשות לאישור הרשם
להלן פירוט הבקשות שהוגשו לרשם ע"י הגורם המאשר פרסונל איי.די בע"מ (להלן–
פרסונל איי.די.
:) והחלטותיו בהן
1
.
.פרסונל איי.די ביקשה" אישור לביצוע
שחר
רו" תעודות אלקטרוניות מרחוק , במקרים
של נעילת תעודה עקב טעויות חוזרות בסיסמת המשתמש .
הבקשה נבחנה ואושרה
על ידי הרשם (תיק120
)
דיווח תקופתי
1
.
.פרסונל איי.די הגישה את
הדיווח התקופתי
לשנת2013
. הדיווח אושר על ידי
הרשם (תיק122
);
2
.
.פרסונל איי.די הגישה את
הדיווח הת קופתי לשנת2012
.
הדיווח
אושר
על ידי
הרשם (תיק1022
);
3
.
.פרסונל איי.די הגישה את
ה דיווח התקופתי לשנת הפעילות2015
.
הדיווח נמצא
בתהליך אישור אצל רשם (תיק1101
).
אכיפה
בשנת2012
נוהלו שני הליכי פיקוח יזומים על ידי הר.שם מול חברת פרסונל איי.די , כפי
:שיפורט להלן
1
.
מעקב אחר יישום הנחיות הרשם לתיקון כל הליקויים שנמצאו במהלך פיקוחים
שנערכו.במשרדי חברת פרסונל איי די.;
2
.
בחינת רמת האבטחה הפיזית במתקן הגיבוי לשעת אסון של.חברת פרסונל איי.די
(תיק1002
ותיק1012
.)
10
עיצום כספי בגין הפרה של הנחיית הרשם
מאחר שבפעולות פיקוח מ ול .פרסונל איי.די נמצאו ליקויים חוזרים ונמצא שהיא לא
קיימה את דרישות הרשם לתיקון הטעון תיקון לפי סעיף12
(א) לחוק חתימה
אלקטרונית,
ומכוח הסמכות המוקנית לרשם גורמים מאשרים בסעיף12
א לחוק חתימה
.אלקטרונית, הוטל על פרסונל איי
די
. עיצום כספי על סך
151,000
₪
.
בה משך להטלת העיצום הכספי הגישה פרסונל איי.די. התנגדות להטלת העיצומים
ולסכומם במסגרת עתירה מנהלית בבית המשפט המחוזי בתל-
אביב. בית המשפט קיבל
את כל טענות הרשם, דחה את טענות העותרת ואישרר את הטלת העיצומים אשר
שולמו כנדרש (תיק1002
.)
גורם מאשר ממשלתי
בשנת2015
החל הליך פיקוח יזום על ידי הרשם מול מנהל מערך זהות דיגיטלית-
ממשל זמין , אשר כלל
את בקשת המנהל לחידוש הקמת גורם מאשר ממשלתי
(תיק
1030
.), וקבע הנחיות לתיקון ליקויים בבחינת העמידות של הבקשה
11
הנחיות
הנחיה
ל
הגשת ד
וו ח
תקופתי לרשם
על מנת ליצור אחידות במבנה ובת
וכן של הדיווח ה תקופתי המוגש לרשם גורמים
מאשרים, פורסמה ביום21.1.2015
הנחיה1/2015
של רשם גורמים מאשרים "
דיווח
תקופתי של גורם מאשר "(המצורפת כנס )'פח א
המבהירה את האופן בו על הגור ם
המאשר להגיש את הדיווח התקופתי
(תיק122
.)
הנחיה
ל
מבקר מערכות
תקנה2
(
0) לתקנות חתימה אלקטרונית (רישום גורם מאשר וניהולו), התשס"ב-
2001
,
מחייבת את הגורם המאשר להגיש חוות דעת של מבקר לפי כללי ביקורת מקובלים
בדבר נאותות מער ,כות המידע, מערכות הבקרה ואמצעי האבטחה של הגורם המאשר
והכל להנחת דעתו של הרשם. לפיכך, פורסמה ביום21.1.2015
הנחי ת רשם גורמים
מאשרים
2/2015
"חוות
,"דעת של מבקר גורם מאשר (המצורפת כנספח ב)'
,
המפרטת
,את התנאים הנדרשים להתקיים בחוות דעת של מבקר
ו התנאים הנדרשים להתקיים
במבקר העורך חוות דעת כאמור (תיק122
).
12
תיקוני חקיקה
1
.
הנחית רשות המסים לגבי
תיקוני חקיקה בתחום הדיווח האלקטרוני לרשות המיסים:
במסגרת ח וק ההסדרים לשנת2015
, רשות המסים ביקשה להתייעץ עם הרשות
להגנת הפרטיות (רמו"ט) לשם קידום ,המעבר לעולם הדיווח הדיגטלי. לשם כך
הרשות בחנה את סוגי המסמכים והטפסים המדווחים לרשות המסים על ידי
האזרחים והנישומים. בהתאם לכך, הותאמו שירותי האמון הנדרשים לכל דווח
אל
קטרוני והוצמדה לצדו החתימה האלקטרונית שתהלום את אותו שירות
(תיק
1032
)
.
2
.
הנחית
הנהלת בתי המשפט לגבי תיקון המוצע לתקנות סדר הדין האזרחי
בנושא
צפייה בכתב
י בי דין במערכת הממוכנת:
במסגרת התיקון בוצעה רפורמה בשלל
נושאים .
הרשות
נתבקשה לייעץ בנושא ההמצאות האלקטרו ניות כדי לוודא
שההמצאה הגיעה לנמען הספציפי, לא שונתה בדרך וכן נשמר תיעוד אשר משקף
נאמנה את ההליך,
ויכול להוות ראייה מהימנה בביהמ"ש במידת הצורך. לשם
הבטחה של המצאה אלקטרונית נאותה, נבדקו הצרכים המשפטיים האלקטרוניים
בכל הליך משפטי ונבחרו בהתאם שירותי האמון ו סוגי החתימות האלקטרוניות
המתאימות לאותו הליך
(תיק1050
).
13
פרויקטים ממשלתיים בתחום החתימה האלקטרונית
רשם הגורמים המאשרים
התייחס
לסוגיות חתימה אלקטרונית במספר פרויקטים
ממשלתיים:
1
.
שימוש בחתימה אלקטרונית במערכת"שער עולמי" של המכס, רשות המיסים
(תיק
1011
);
2
.
פר ויקט"רישום מקוון של "שחקני הכדורסל בישראל:
פרויקט משותף של משרד
הבריאות ומשרד התרבות והספורט -
עוסק ברישום המקוון לקבוצות ולאיגוד
הכדורסל ומטרתו לסייע ולהקל טכנולוגית ברישום השחקנים, איסוף מידע אודות
יה ,ם
מעקב אחר ביצוע בדיקות רפואיות וקבלת אישור רופא ספור .ט לפעילות השחקנים
על פי המלצת
הרשות , רופאי ספורט יתחברו למערכת רישום מקוון באמצעות תעודה
אלקטרונית מאושרת
(תיק1025
;)
3
.
מערכת "רישוי זמין" של אגף הבניה במנהל התכנון במשרד הפנים:
מנהל התכנון
במשרד הפנים באמצעות מערכת רישוי זמין, ביקש להעביר את הליכי הרישוי ו היתרי
הבניה למקוונים. לשם יישום מערכת זו, היה על המחלקה המשפטית במשרד הפנים
לאפיין את התהליכים בצורה מקוונת ולעצב אותם מחדש. לשם כך, נדרשה הרשות
להגנת הפרטיות ללוות את הפרויקט החל מזיהוי מקוון של מגיש הבקשה, חתימה
אלקטרונית על המסמכים הנדרשים ועד להגשה בטו חה ומותאמת טכנולוגית לפי
צרכי המערכת
(תיק121
).
12
החלטות רשם לגבי טכנולוגיות חדשות
1
.
מכוח הסמכות המוקנית לרשם גורמים מאשרים בתקנה1
לתקנות חתימה
אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת
בקשות), תשס"ב-
2001, אישר רשם גורמים מאשרים:
א.
את ע מידת הרכיבים של תשתית הגנת מערכת המידע הצה"לית "מפלי
.בזלת" כבסיס למימוש חתימה אלקטרונית מאובטחת בצה"ל
בנוסף הרשם
אישר לצה"ל להטמיע תעודות אלקטרוניות של גורם מאשר על
גבי הכרטיס הקיים של מערך"מפלי בזלת"
, וזאת על מנת שניתן יהיה
לעשות שימוש בכרטיסים של מערך "מפלי בזלת"
לחתימה אלקטרונית
'מאושרת (פניה מס3352
);
ב.
את" עמידת הטכנולוגיה של שרתCoSign FIPS
",
המשמש כשרת מרכזי
חתימות
ולביצוע
דיגיטאליות
ותעודות
חתימה
מפתחות
לשמירת
אלקטרוניות,
בדרישות חתימה אלקטרונית מאובטחת (פניה2152
ותיק
1122
.)
2
.
במטרה להרחיב את האפשרו יות לשימוש בתעודה האלקטרונית המאושרת, אישר
הרשם לגורמים המאשרים לאחד את מבנה התעודה האלקטרונית באופן שניתן יהיה
להשתמש בה במספר פרויקטים ממשלתיים (תיק122
.)