"התקנות האלה המוצעות הן ראויות. אבל התחום המוניציפלי, לצערי – ואני מייצג כרגע את עיריית תל-אביב, אבל כל מי שמסייע רואה צורך לסייע לעיריות ולגופים מוניציפליים אחרים - - - את מצבן. התקנות האלה לא מכירות את המצב, לפחות בתחום המוניציפלי. אנחנו סוג של גוף שאין לו באמת רגולציה. אין הסדרה בתחום ברמה לא של מחשוב ולא של אבטחת מידע בפועל ... העניין הוא שהעיריות פוגשות את האזרח במגוון של ערוצים. המידע הרגיש בנושא חינוך, בנושא שירותים חברתיים ובנושא סיוע כזה ואחר הוא מידע שכשמסתכלים על התמונה הכללית לא של מאגר מידע ספציפי, אלא של כלל מאגרי המידע מגלים שגופים מוניציפליים מחזיקים בסופו של דבר במידע רב; ואם מסתכלים ספציפית על כל מאגר אז אולי זה יהיה בינוני-גבוה, ואם מסתכלים על הכללי אז רואים שלרשות מוניציפלית – ואני מייצג את עיריית תל-אביב אז אני יודע להגן על עצמנו כי ברמת IT אנחנו גוף גדול של כארבע מאות איש. אבל אם אני מסתכל על עיריות אחרות שאני מסייע להן או לרשויות מקומיות – יש שם שני אנשי מחשוב, ולהטיל עליהם כאלה תקנות בלי להבין את המשמעויות של זמן ביצוע ועלות הביצוע התקנות האלה קצת חוטאות. צריך לתת לזה מענה בצורה כזאת או אחרת.
בזמן שצריך כדי ליישם את התקנות. אני לא צולל למטה, אבל יש מקומות שאני לא רואה איך גופים שאנחנו מסייעים להם, כולל אותנו עצמנו, נצליח לעמוד בתקנות האלה; העלויות שהתקנות דורשות מאתנו מבחינת היישום הכספי נאמדות במיליונים. אני לא אומר את זה לצאת ידי חובה, אלא אני מסתכל על הדברים האלה. אני עובד עם רמו"ט בצורה צמודה. לעיריית תל-אביב יש כמה עשרות מאגרים, וצריך להסתכל על התמונה הגדולה ולא על הפרטים. לפעמים אנחנו מאבדים את עצמנו כשאנחנו מסתכלים על העצים ולא על כל היער.
ברמת הביצוע כשאני לוקח את התקנות לאורך השנים, ואני אומר, איך אני בונה תכנית יישום, ואני נמצא בתכנית היישום – כשאני מסתכל כמה עולה וכמה אני משקיע על הדבר הזה – זה עלויות של מיליונים ... עיריית תל-אביב מונה כמה אלפי עובדים. ארבע מאות איש הם ב-IT, ויחידת אבטחת מידע מונה כחמישה עשר איש. אנחנו גוף ייחודי שאנחנו עוברים ועובדים גם עם משרדי הממשלה וגם עם גופים נוספים כדי לעשות את זה, ואנחנו מכירים את התחום.
כגוף ציבורי אוטומטית אני נמצא בבינוני או בגבוה. בגלל מספר התושבים הרוב זה גבוה. יש גם אנשים שלא גרים בתל-אביב. מי שלמשל מקבל דוח חנייה לא גר בתל-אביב, הוא נרשם באיזשהו מאגר.
אני מסתכל על התמונה הגדולה – התקנות פה בעייתיות.
... עיריית תל-אביב עושה פעילות של אבטחת מידע, ואנחנו עושים סקרי סיכונים. זה לא נפל עלינו כרעם ביום בהיר. עם זאת צריכים להבין את ההבדל בין ביצוע סקר סיכונים לאבטחת מידע לבין טיפול בתובנות ובתוצרים של סקר הסיכונים. אם בסקר הסיכונים עולה שצריך לעשות כמה דברים, הפעילות היא לא לשלם כמה עשרות או מאות אלפי שקלים לגוף שיבצע את זה כי הוא חייב להיות גוף חיצוני, אלא לשנות סדרי עולם של מערכות שקיימות לפעמים ארבעים שנה, ולהטיל עליהן דברים שבעבר לא היו. אם המחוקק יקבע שצריך שגם מוניציפליים יהיו גם תחת הגדרה של 8% מסכום ה-IT באבטחת מידע אז אני בעד. אבל בין זה לבין הביצוע בפועל – ושוב, לא נסתכל על עיריית תל-אביב, אלא על כל שאר הגופים".
פרוטוקול הוועדה המלא בקישור ועוד על הדיון בסיקור באתר The Marker ובאתר כלכליסט.
