האתרים הותקפו, הכופר נדרש: חוק הסייבר יבלום את הטרור?

שלש שנים לאחר שעלה בפעם הראשונה החוק השנוי במחלוקת לגבי היערכות גופים חיוניים לתקיפות סייבר, דנה בו שוב הוועדה לעניני ביקורת המדינה • מהם השינויים המשמעותיים בחוק, ומהם סמכויות היתר שהקנו לראש הממשלה בנימין נתניהו?

האקרים | צילום: https://pixabay.com/

הוועדה לענייני ביקורת המדינה דנה השבוע (ב’) בדוחות מבקר המדינה על היערכות גופים חיוניים להגנת הסייבר, והיבטים להיערכות המדינה להגנת המרחב הקיברנטי. בדיון הוועדה נטען על ידי יו”ר הוועדה ח”כ עפר שלח כי “אין כל סיבה שתזכיר חוק (הסייבר. ד”ש) שדובר עליו לאמצע 2015, יפורסם שלוש שנים אחר כך”.

מדובר בחוק הגנת הסייבר שנכתב במשך כשלוש שנים ופורסם כתזכיר במהלך יוני 2018, לפני שנתיים בדיוק. פרסום התזכיר, העלה בזמנו את חמתם של שורה ארוכה של ארגונים, חברות ועסקים ששלחו את הערותיהם לחוק. התקשורת תקפה גם היא את החוק בתביעה העיקרית, כי החוק מקנה סמכויות יתר כמעט בלתי מוגבלות לראש הממשלה בנימין נתניהו כאחראי הישיר על מערך הסייבר הלאומי.

250/200 סייד בר + קובייה בכתבה

על פי פרסומים של מערך הסייבר הלאומי, החוק מקנה למערך סמכויות כגוף ביטחוני-מבצעי. בנוסף מסדיר החוק חמישה היבטים מרכזיים הנוגעים לפעילות מערך הסייבר והממשקים שבינו לבין המרחב האזרחי:

ייעודו של מערך הסייבר – הגנה על מרחב הסייבר וקידום ישראל כמובילה עולמית בתחום הסייבר

הפרק הארגוני – מסדיר את מאפייניו הייחודיים של מערך הסייבר כגוף ביטחוני – טכנולוגי – מבצעי

הפרק האופרטיבי – מסדיר את סמכויות המערך הנדרשות לאיתור תקיפות סייבר והתמודדות עמן.

הפרק הרגולטורי – מסדיר את פעילות המערך ברמת האסדרה הלאומית כמי שאמון על העלאת רמת החוסן של מגזרי המשק השונים.

הסדרים הנוגעים לגופים אזרחים – קביעת הממשק שבין הגנת הסייבר לפרטיות.

870/135 ליינר ארטקל

ביקורת נוקבת מכל המשק

בדיווח ב’כלכליסט’ שעסק בחוק, עלתה ביקורת קשה כנגד החוק: “היקף הסמכויות המפורשות, לצד אי-בהירות בנוגע לעומק והיקף הסמכויות המנוסחות באופן פתוח ועמום, והיעדר מנגנוני ביקורת ובקרה ברורים ובעלי שיניים – מעמידים את ישראל בפני סכנה שתחת הנהגה עתידית עלול להיווצר ‘שב”כ סייבר’, שסמכויותיו יהיו בלתי מוגבלות באופן שעלול לדרדר את ישראל לסוג של ‘אירן דיגיטלית'”.

בין היתר התיר החוק לדרוש מכל ארגון חומרים דוגמת מסמכים או חומר מחשב שנדרשים לצורך איתור, התמודדות ומניעת תקיפת סייבר. סעיף נוסף התיר לגורם אחראי במערך הסייבר, להיכנס למקום עבודה אם יש יסוד סביר להניח שנמצא שם מחשב או חומר מחשב בעל מידע חיוני לתקיפה, וכן להחרים חפצים אם יש יסוד סביר שיש בהם מידע בעל ערך אבטחתי. מדובר על פעולות שניתן היה לבצע אותם לפי החוק המקורי ללא צו שופט.

על פי החוק המקורי, רק לפעולות ספורות נדרש צו שופט כדוגמת כניסה ללא הסכמה למקום מגורים. אולם גם פעולה זו הוחרגה, במקרה שסבור מערך הסייבר יהיה סבור שיש במקום מידע שדרוש למניעת סכנה ממשית ומיידית לשלום הציבור, ואין דרך אחרת להשיגו.

חלק אחר בהצעת החוק דן בהקמת מאגר מידע להתמודדות עם איומי סייבר. המאגר אמור לרכז מידע נרחב מגורמים שונים במשק, כמו חברות תקשורת, אינטרנט, בורסה, נמלים, מגן דוד אדום, חברות ממשלתיות, רשויות מקומיות וכן גופים שמקבלים תמיכה ישירה או עקיפה ממשרדי ממשלה. מערך הסייבר יוכל לאסוף מידע בעל ערך אבטחתי, או מידע שעשוי לשמש להפקת ערך אבטחתי, לצורך הקמת מערך לגילוי וזיהוי מוקדם של תקיפות סייבר. מאגר מידע מעורר תמיד קונוטציות שליליות והמתנגדים מזכירים את הפריצה לאגרון או את מידע הביומטרי שדלף מנציבות שירות המדינה האמריקאי.

לאחר פרסום החוק נציגי מערך הסייבר קיבלו הערות וביקורות רבות מהאקדמיה ומחברות ועמותות שונות, כגון: חברת החשמל, גוגל, ISACA ישראל, התנועה לזכויות דיגיטליות, הקליניקה לטכנולוגיה למשפט ולסייבר של אוניברסיטת חיפה, שירותי בריאות כללית וחברת קצא”א (קו צינור אילת אשקלון). ממשרדי ממשלה, כגון: בנק ישראל, איגוד הבנקים, המועצה להגנת הפרטיות, הרשות לניירות ערך, רשות שוק ההון, מכון התקנים, איגוד האינטרנט, וכן ממשרדי עורכי דין העוסקים בתחומים נושקים להגנת הסייבר.

החוק נדרש להתגמש

לפני כשנה וחצי נכנעה המדינה והכניסה שינויים רבים בחוק. על פי הדיווח ב’כלכליסט’ התאחדות התעשיינים סיכמה עם מערך הסייבר כי תפיסת חפצים בעסק או בבית פרטי יהיו רק בצו שופט. עם זאת סעיפים נוספים ששנויים במחלוקת, בהם הכפפת המערך לראש הממשלה, עדיין לא שונו והוא טרם נשלח לכנסת, אם בשל חוסר הסכמות ואם בשל שיתוק הכנסת עקב רצף הבחירות שנכפה על אזרחי ישראל. דוח מבקר המדינה בחן בעיות רבות שהחוק יכול היה לפתור אם היה מתקבל בכנסת.

בדיון בוועדה לענייני ביקורת המדינה הציג יובל חיו, מנהל חטיבה במשרד מבקר המדינה, את עיקרי הדו”ח: “מערך הסייבר הסמיך רק חלק מהגופים שצריכים להיערך כעומדים בהנחיות הנדרשות, תמונת המצב שהייתה בידי המערך לא שיקפה את רמת מוכנות הגופים להתמודד עם התקפות סייבר. כמו כן, מיפוי המערכות הוא לא עדכני ולא משקף את תמונת המערכות בצורה מהימנה, יש חוסר בנהלים ופקודות מבצע, פערים באבטחה, פערים בדיווח למערך הסייבר ואי תיקון ליקויים שנמצאו בביקורת של הגוף המנחה.

“מבקר המדינה קובע כי על המערך בשיתוף משרד המשפטים ומשרד ראש הממשלה לקדם תהליך חקיקה שיאפשר לטפל בבעיות האסדרה הקיימות ולקבוע את סמכויות עובדי המערך. וכן שמשרדי הממשלה ויחידות הסמך ישלימו בהקדם את היערכותם בתחום הגנת הסייבר”.

עמית אשכנזי, היועץ המשפטי למערך הסייבר הלאומי ומי שהגן על החוק בהזדמנויות רבות אמר בדיון כי “הטכנולוגיות השתנו מספר פעמים בשנים האחרונות וצריך שהחוק יהיה מספיק גמיש גם כדי להתמודד עם השינויים”. אשכנזי שהיה אחראי על ניסוח התזכיר אמר בעבר כי “אין ניגוד עניינים בינינו לבין הארגונים. לא באנו לעשות פיקוח על רמת הגנת הפרטיות שלו, לא כל עוד הארגון מציית לחוזר החדש של רשות ניירות ערך בנושא הגנת סייבר. מטרתו של מערך הסייבר היא לעזור לתקיפה להיעצר, על מנת שלא תדביק את יתר המשק הישראלי או גורמים אחרים שחשובים לנו”.

מתקפות סייבר מסוכנות למדינה

אין ספק שמערך הסייבר נדרש לחוק כדי להמשיך לעבוד ביתר שאת. תקיפת תשתיות המים בסוף חודש אפריל ותקיפת 150,000 אתרים לפני כחודש הם רק קדימון לכאוס שעלול לשרור בישראל במתקפות סייבר כבדות. החוק עושה סדר בכל הקשור להגנת הסייבר במדינה והערכה היא שעוד כחודשיים יונח החוק על שולחן הממשלה, כך לפי דברי עו”ד קרן דהרי בן נון, ראש אשכול סייבר במשרד המשפטים.

בדיון בוועדה אמרה עו”ד בן נון כי “תזכיר החוק פורסם ביוני 2018 והיו הרבה הערות מגופים שונים. עלו טענות שמעוררות קשיים משפטיים ואפילו חוקתיים. אנחנו מגויסים לקידום החקיקה. נערכו המון ישיבות בדרגי מקצוע, בעיקר בעניין הגדרת הסמכויות ובאיזונים הדרושים. התקדמנו מאוד. לאור המורכבות ושיתוף מספר רב של גורמים ומחלקות, בקרוב מאוד נוכל להביא את התוצר הסופי”.

יו”ר הוועדה, ח”כ עפר שלח סיכם את הדיון בנושא ואמר כי “ברגע שפורסם שהייתה התקפה של גורם עוין על מתקני המים, עלה הדיון. הסייבר הוא תחום מתפתח וחשוב, ואין כל סיבה שהוא יעלה לסדר היום ולמרכז תשומת הלב, רק אם יהיה חלילה אירוע טראומתי נוסף”. שלח חתם את הדיון באומרו כי “הוועדה תמשיך לעסוק ולעקוב אחר הגשת החוק”.

כתיבת תגובה