איגוד האינטרנט הישראלי יוצא למלחמה נגד חוק הסייבר החדש

איגוד האינטרנט הישראלי יוצא למתקפה רחבה נגד הצעת חוק הסייבר. "קריאה מקיפה של תזכיר הצעת החוק גורמת לקורא תחושה לא נעימה, שמול עיני הקורא קם ארגון ביון חדש, שתחום פעילותו הוא מרחב הסייבר הישראלי וסמכויותיו רחבות מני ים", נכתב במסמך עמדה מפורט ששלח השבוע האיגוד למערך הסייבר.

תזכיר הצעת חוק הסייבר, שפורסם ביוני, מסדיר את אופן עבודתו של מערך הסייבר בהתמודדות עם איומי סייבר במגזר הפרטי. אף שגורמים שעוסקים בתחום ברכו על היוזמה להסדרת הסוגיה, הם ביקרו בחריפות היבטים שונים של החוק, ובראשם מתן סמכויות רחבות לעובדי מערך הסייבר להיכנס למקומות עבודה, ואף לבתי פרטיים, ללא צו בית משפט ולבצע פעולות כמו החרמת ציוד, מתן הוראות וקבלת מידע.

בנוסף, החוק מאפשר הקמת מאגר מידע שיאסוף באופן קבוע מידע נרחב מארגונים שונים, בהם חברות פרטיות דוגמת ספקיות אינטרנט, במטרה לזהות ולמנוע מתקפות סייבר.

כוח עצום, ללא פיקוח

בפתח הביקורת, שעליה חתום מנכ"ל איגוד האינטרנט עו"ד יורם הכהן, נטען כי לתזכיר חסרים "באופן בולט וצורם" מנגנוני שקיפות ופיקוח: "בנוסחו הנוכחי, פעילות מערך הסייבר מתרכזת ביחס בין ראש הממשלה, ראש המערך ושני גופי פיקוח פנימיים שפעילותם חסויה – מפקח הפרטיות והוועדה המפקחת. אין דיווח לכנסת ואישור של סוגיות מסוימות, אין דיווח לציבור הרחב, יש חובת סודיות מופלגת על עובדי המערך והוועדה המפקחת אשר מונעת הוצאה של מידע כלשהו לציבור. עניין זה לא יכול לעמוד. ההשלכה של פעילות המערך על זכויות אזרח עשויה להיות דרמטית ותקלות יקרו. הפיקוח הפרלמנטרי נותן צוהר לציבור הכללי לתהליכים המתרחשים, וחסרונו מעוור לחלוטין את הציבור מפעילות המערך".

לנוכח זאת מציע האיגוד, "לקבוע ועדת משנה ייעודית לחוק אשר תורכב מנציגים של ועדות הכנסת הרלוונטיות לפעילות המערך – האיגוד חוץ ובטחון, חוקה חוק ומשפט וכלכלה (ניתן לשקול גם נציגות מוועדת מדע וטכנולוגיה של הכנסת), שתהא הוועדה המפקחת על פעילות המערך".

כן מבקר האיגוד את הקמתו של מערך גילוי וזיהוי, שמיועד לגילוי מוקדם של תקיפות סייבר ושיתבסס על מאגר מידע חדש אליו יחוייבו להעביר מידע, בין השאר, ספקיות אינטנרט וסלולר. "מדובר במנגנון מדיר שינה", כותב האיגוד. "מסגרת לפיה המדינה מציבה חיישנים העוקבים אחר פעילות אלקטרונית במאות ארגונים, אשר רובם במגזר העסקי, מנתחת אותם וממצה התרעות ברמת דיוק לא ידועה על אודות תקיפת סייבר או הכנות אליה, מחייבת משנה זהירות. עיקר הפעילות המנוטרת תהא של אנשים או ארגונים תמימים ללא כל כוונת זדון. בתהליך זה יקרו טעויות, יהיו אירועים שיחמקו, ויהיו אירועים שיתויגו כ'מידע אבטחתי' בעוד שאינם כאלה. על בסיס מידע זה, ייעשו פעולות. פעולות אלה עשויות להגיע, בסופו של עניין, לחצרו של ארגון, למשרדו של אזרח או לביתו".

המשטרה יכולה להישאר בחוץ

האיגוד מציע להסיר את משטרת ישראל מרשימת הגופים המיוחדים שמוגדרים בתזכיר, ושיכולים לפי לקבל מהמערך מידע בעל ערך אבטחתי. "משטרת ישראל הינו גוף אכיפת חוק שעיקר פעילותו נגד אזרחי מדינת ישראל, תושביה והשוהים בה", הוסבר. "היא אינה רשות ביטחונית המגינה מפני אויבי המדינה, לרבות ארגוני טרור. הכללתה ברשימת הגופים המיוחדים, הזכאים לקבל מידע בעל ערך אבטחתי, אשר יכול לכלול גם מידע אישי, ונוכח היקף המידע שיאסף על ידי מערך הסייבר ובפרט על ידי מערכות הגילוי וזיהוי, עשוי ליצור סכנה משמעותית לזכויות האזרח בישראל".

בהערות ספציפיות יותר מבקש האיגוד לשנות סעיפים והגדרות שלטעמו כלליים מדי ומקנים למערך הסייבר סמכויות פעולה רחבות מדי. כך, למשל, מוצע לשנות את ההגדרה של "איום סייבר" רק ל"סיכון ממשי" (במקום "סיכון") ולסעיף המונה את "כלכלת המדינה" כ"אינטרס חיוני" לשנות ל"פגיעה משמעותית בכלכלת המדינה".

עוד דורש האיגוד להגביל את הסמכויות הרחבות שמאפשרות לעובדי מערך הסייבר להיכנס למקומות עסקים, לתפוס ציוד ולקבל מידע גם ללא צו בית משפט. "מוצע להתנות את סמכות הכניסה למקום בהיות תקיפת סייבר מתרחשת בעת, או בסמוך למועד הכניסה ובכך שאותה תקיפה מיועדת לפגוע באינטרס חיוני", נכתב. "הוראות של המדינה לארגון לבצע פעולות במערכות המידע שלו היא סמכות מרחיקת לכת, ועל כן נדרש שהן יהיו חיוניות לצורך איתור תקיפת הסייבר, ושתהא ודאות קרובה שאי ביצוען יגרום לנזק בלתי הפיך לאינטרס חיוני".