מנהל חטיבה בכיר (אבטחת מידע) במוסד לביטוח לאומי הועמד לדין משמעתי בגין הפרת נהלים בקשר לאבט”מ והוראות בחוק להגנת הפרטיות; “החלטנו לא למצות עימו את הדין ולהסתפק באמצעי משמעת מקלים בנסיבות העניין”

מנהל חטיבה בכיר (אבטחת מידע) במוסד לביטוח לאומי, רוברט בובי פנדריך, הועמד החודש לדין משמעתי בבית-הדין למשמעת של עובדי המדינה [נציבות שירות המדינה (נש”מ)] בגין הפרת נוהלי המל”ל בקשר לאבטחת מידע והפרת הוראות בחוק להגנת הפרטיות, התשמ”א – 1981.

הכרעת הדין [בד”מ: 153/16] ניתנה ביום 11.12.2019 במעמד הצדדים על-ידי יו”ר ההרכב, עו”ד אורי כהן – אב בית הדין, ושני חברי ההרכב: עו”ד אולגה רזניקוב גבאי ומר חנן אהרון.

במבוא לתובענה נטען בין היתר כי “מתוקף תפקידו יש לנאשם גישה לכל המידע שבמערכת הממוחשבת של המוסד לביטוח לאומי (המל”ל),  והוא היה אמון על קיומו של חוק הגנת הפרטיות ומניעת דלף מידע מהמל”ל.

“[…] רק בשנת 2016 קבע המל”ל נוהל המסדיר את העברת המידע לגופי מודיעין/מערכת ביטחון, בין היתר, על ידי מנהל אבטחת המידע במינהלת התקשוב ומערכות המידע (תמ”מ).

בכתב האישום נאמר בין היתר כי “לאורך שנות עבודתו במל”ל, במועדים שרק חלקם ידועים במדויק לתביעה, נכנס הנאשם אל מאגר המידע של המל”ל, על מנת לשלוף או לשלוף ולמסור, שלא כדין, מידע אישי על אזרחים ובתי עסק. לרבות, פרטים אישיים, מידע על נתוני שכר,  מידע על דיווחי העסקה ושכר של מעסיקים, וכן מידע על כלי רכב.

“בתקופה שבין המועדים 4.3.2015  – 11.10.2015 שלף הנאשם, או שלף ומסר, מידע ביחס לאזרחים ובתי עסק.

“בין היתר, נכנס הנאשם אל מאגר המידע של המל”ל על מנת לשלוף, או לשלוף ולמסור, מידע שלא כדין ולצרכיו הפרטיים, על עצמו, בנו, בתו וחבריה לתנועת הצופים וכן על אזרח בשם ריצ’ארד טויטו, גרושה של גב’ מרטין טויטו, עובדת הכפופה לו. זאת עשה בעשרים הזדמנויות שונות.

“במהלך שנות עבודתו נהג הנאשם להיכנס אל מאגר המידע של המל”ל בידיעת הממונים עליו על מנת לשלוף ולמסור, מידע על אזרחים ובתי עסק לגופי חקירה וגופי ביטחון. זאת, מבלי לקבל בקשה בכתב כנדרש ומבלי לבצע רישום של המידע שנמסר בהתאם להוראות החוק להגנת הפרטיות.

“התביעה טענה כי במעשיו אלו פגע הנאשם במשמעת שירות המדינה”, הפר סעיפים בחוק הגנת הפרטיות ובתקשי”ר וכן את נוהלי ה-מל”ל. “הנאשם התנהג התנהגות שאינה הולמת את תפקידו כעובד ה-מל”ל וכעובד מדינה. אשר על כן הואשם הנאשם בעבירות המשמעת המצויינות לעיל.

“בדיון שהתקיים בפנינו ביום 11.12.2019 הודה הנאשם באישום ובעבירות המשמעת שיוחסו לו בתובענה, והורשע על פיהם”.

= = = = = = = = = = = =

גזר הדין ניתן בהעדר הצדדים ביום 16.12.2019 ונשלח אליהם באמצעות הדואר האלקטרוני והדואר הרגיל. יש זכות ערעור לבית-המשפט המחוזי בירושלים תוך 30 יום מהמצאת גזר הדין לידי ב”כ הצדדים. “באי כח הצדדים הסכימו כי בכפוף להודאתו של הנאשם בתובענה המתוקנת, יטענו באופן חופשי לאמצעי המשמעת. ביום 11.12.2019 נשמעו בפנינו טיעוני הצדדים לאמצעי המשמעת, אך קודם לכן הועלו עדויות אופי מטעם ההגנה”.

עדי האופי לטובת הנאשם כללו את רועי ברגר (שעבד בכפיפות לנאשם, במחלקת אבטחת המידע של המל”ל במשך 4 שנים), יהודה סרוסי (ששימש עד לפרישתו לפני כחודש וחצי כסמנכ”ל תקשוב מערכות מידע במל”ל והיה ממונה על הנאשם מאז שנת 2008); משה להב (ראש תחום ברשות להגנת עדים במשרד לביטחון פנים שעמד בקשרי עבודה עם הנאשם); מרטין טויטו (שעבדה כ- 35 שנה במל”ל, מתוכן 18 שנה בכפיפות לנאשם); מרדכי (מוטי) מסיקה (מנהל אגף יישומי גימלאות וכספים במל”ל); אפרים מתוקי (המשמש כיום סגנו וממלא מקומו של הנאשם); מאיר שפיגלר (מנכ”ל המוסד לביטוח לאומי).

יהודה סרוסי אמר בין היתר בעדותו כי “מאגר המידע של המל”ל הוא הרחב ביותר במדינת ישראל, ולפיכך הוא מועד לניסיונות חדירה רבים. מול ניסיונות אלה עמד הנאשם בקפידה ובעקשנות. בתוך כך ידע להלך על החבל הדק בין הרצון לקדם מערכות מידע במל”ל לבין הצורך לשמור על אבטחת המידע […] המידע שהמל”ל מתבקש להעביר לגורמים ביטחוניים עובר דרך ועדה בראשות סמנכ”ל אחר; היו בקשות שהגיעו מגורמי בטחון ובשל בקשתם לשמור על חשאיות – לא עברו דרך הוועדה. הנאשם אולי טעה בשיקול דעתו, אך מעשיו לא נעשו בכוונת זדון”.

יאיר שפיגלר (מנכ”ל המוסד לביטוח לאומי) אמר בין היתר בעדותו כי “מבחינת אחריות מקצועית ומניעת דלף של מידע לגורמים לא מוסמכים, [הנאשם] הוא איש מקצוע טוב שעשה עבודה עניינית ומקצועית עבור המל”ל, תוך גילוי מוטיבציה יתירה ותחושת שליחות […] המידע עליו מופקד המל”ל הינו רחב היקף וייחודי, ולפיכך משמש מקור לניסיונות פריצה וכניסה; החומר במאגרים רגיש מאוד ומצריך שמירה קפדנית ביותר […] בתשובה לשאלת התובעת מסר המנכ”ל כי ברור כשמש שהנהלת המל”ל לא תסבול התנהלות לא אחראית עם מידע שנוגע לכלל ולפרט, שעה שיש להתנהל ביחס לאותו מידע ברגישות אחריות ואמינות”.

טיעוני התביעה לענישה – התביעה פירטה את כלל העבירות של הנאשים  וציינה כי “מימד של חומרה מתווסף למעשי הנאשם נוכח תפקידו הבכיר ואופי תפקידו. למרות חומרת העבירות, התביעה אינה עותרת לפסילתו של הנאשם לשירות המדינה, זאת בשל התחשבותה בנסיבותיו האישיות. הנאשם לא הושעה ולא הועבר מתפקידו עד כה מחמת תקלה, נוכח ניהול מו”מ להגעה להסדר טיעון עם עורך הדין הקודם שייצג אותו”. [הערת עורך Read IT Now: נראה כי נפלה טעות סופר בעמוד 5 של גזר הדין ובטעות נכתב שם (בסעיף 6 א) – ‘טיעוני ההגנה’ מקום שהיה צ”ל כתוב: ‘טיעוני התביעה’].

עמדת המוסד לביטוח לאומי – “הנהלת משאבי האנוש במשרד רואה בחומרה רבה את המעשים בגינם הורשע הנאשם, בעיקר נוכח העובדה שהוא מנהל אגף של אבטחת מידע שהוא מהגדולים במדינת ישראל, אם לא הגדול שבהם. לפיכך, המשרד מצטרף לעמדת התביעה באשר לאמצעי המשמעת שיש להשית על הנאשם”.

טיעוני ההגנה לענישה – בין היתר טענה ההגנה כי “הנאשם לא הושעה מעבודתו בשל תקלה, אלא מכוח החלטה שהתקבלה לאחר שיקול דעת”, “פגמים שהתגלו במעשי הנאשם היו תמימים ונבעו מטעות בשיקול הדעת”, “במעשיו של הנאשם אין כוונת זדון, והם נבעו מתוך רצון של עזרה לזולת” וכי “כל מה שהנאשם עשה היה באישור הממונים”. עוד מדגישה ההגנה כי “הנאשם זכאי להקלה בעונשו מחמת הגנה מן הצדק; ההליך המשמעתי ננקט נגדו לאחר שבמסגרת תפקידו בוועד העובדים לחם לטובת עובדים שחשפו שחיתות”.

= = = = = = = = = =

רוברט בובי פנדריך העיד בעל פה והגיש מסמך בכתב: “הנאשם טען כי ההליכים נגדו ננקטו לאחר שבהיותו חבר ועד מנע פיטוריו של עובד. בתוך כך הועלה חשש שמא יש בידו מידע שיפליל את המנכ”ל במעשה שחיתות, ולפיכך הוחלט לפגוע בנאשם ולהביא לפיטוריו. לשם כך גוייסה הביקורת הפנימית נגדו. כל העבירות המיוחסות לו מבוססות על ממצאי תוכנה, מעשיו נעשו בגלוי. לו סבר שהוא מבצע עבירה כלום לא יכול היה להעלים את מעשיו? פניות גורמי הביטחון לא נרשמו באופן מספק ועל כך הוא מתחרט, אבל בזמן אמת הדרך בה נקט היתה מקובלת על כל הגורמים”.

עוד טען פנדריך כי “הגיע להסדר טיעון בעקבות המלצת בית הדין, ומתוך רצון לסיים הסיוט בו הוא נמצא”. לדבריו הוא “נפגע גם כלכלית, קידומו בעבודה נבלם, נאלץ להוציא סכומי כסף ניכרים למימון הגנתו. למרות כל זאת, ובמהלך כל תקופת המשפט, המשיך בתפקידו, מילא אותו באמונה רבה, לפי מיטב יכולתו ולשביעות רצון הממונים; בתוך כך המשיך להיות בר סמכא בכל הנוגע לאבטחת מידע והגנת הפרטיות במל”ל”.

הוא “נענש על כך שהיה ‘ראש גדול’, ונתן פרשנות לנושאים שלאף אחד לא היה האומץ להגדירם”. גם רעיית הנאשם העידה בפני בית-הדין.

= = = = = = = = = =

בהחלטת בית-הדין למשמעת נאמר בין היתר כי “[…] בית-המשפט העליון הביע דעתו לגבי חומרת העבירה לגבי שליפות מידע, שלא כדין, ממאגרים המצויים בידי הרשויות […] הנאשם ניצל את האמון שניתן בו ואת הנגישות שהיתה לו למסמכים מסווגים ברמה הגבוהה ביותר. הוא הפר נורמות במערכת הבנויה על אמון הדדי.

“מספר מרכיבים מציבים את מעשיו של הנאשם באחת הדיוטות הגבוהות של סולם החומרה: אורך התקופה בהן בוצעו העבירות, כמות השאילתות שהוזנו ובעיקר בכירותו של הנאשם.

“הלכה מוסדת היא, כי ככל שדרגת העובד החוטא בכירה יותר, יש להקפיד עימו יותר.  אין לנו אלא לחזור על הדברים שנאמרו על ידי בית-המשפט העליון.

“[…] נוכח האמור היה מקום לשקול פיטוריו של הנאשם משירות המדינה, לרבות מהמל”ל,  ופסילתו לתפקידים הכרוכים באבטחת מידע.

“כך היינו יוצקים תוכן ממשי לתכליות המניעתיות וההרתעתיות של הדין המשמעתי.

“כידוע, התכלית המניעתית היא כפולה: מניעת פגיעה משמעותית בתפקודו של השירות הציבורי, בתדמיתו ובאמון הציבור בו, והרתעת עובדים אחרים לבל ייכשלו במעשים דומים.

“[…] למרות זאת אנו נמנעים מלהורות על פיטורי הנאשם וזאת נוכח עמדתו של מנכ”ל המוסד לביטוח לאומי, כפי שהובעה בפנינו בכתב ובעל פה, ובשל העובדה שהנאשם המשיך בעבודתו ובתפקידו ולא הועבר מהם במשך כל השנים בהן התנהלו ההליכים המשמעתיים נגדו.  עוד נתנו דעתנו על נסיבותיו האישיות של הנאשם”.

העונש שנקבע ע”י בית-הדין למשמעת: “על הנאשם יוטלו אמצעי המשמעת הבאים: א. נזיפה חמורה; ב. הפקעת משכורת קובעת אחת שתיפרע ב- 12 תשלומים חודשיים שווים ורצופים; ג. הורדה בדרגה אחת למשך שנתיים”.

= = = = = = = = = =

הערת עורך Read IT Now: בשלב זה לא ידוע אם מי מהצדדים יגיש ערעור על הכרעת הדין ו/או גזר הדין. לא ידוע, וספק אם יינתן לכך פומבי, להליך מסודר כלשהו של הסקת מסקנות פנימית בתוך המוסד לביטוח לאומי (מקצועית – בתחום אבטחת המידע – ובתחום יחסי העבודה בין הגורמים השונים בתוך המל”ל) לנוכח מה שפורסם כאן ובמיוחד הטענות על הניסיון לסילוקו של פנדריך והאמצעים שננקטו לכאורה בהקשר זה. ייתכן שכל הנושא יישאר, בסופו של דבר, בגדר אפיזודה חולפת.

= = = = = = = = = =