חוק הגנת הסייבר צריך לתמרץ לקיחת אחריות

לאחרונה עלה שוב לכותרות הדיון סביב טיוטת הצעת חוק הגנת הסייבר, לאחר שנה של פריצות סייבר לארגונים בישראל ביניהן מתקפת הכופר שספגה חברת שירביט, ומתקפות על מתקני מים וביוב. ההגנה על המרחב הישראלי בסייבר זקוקה לקפיצת מדרגה, השאלה היא לגבי הדרך לשם.

העיסוק הרב בדבר הדחיפות לקדם טיוטה זו דווקא כעת, ממסך את הבעיה החמורה יותר - תוכן הצעת החוק והסמכויות שהיא מבקשת למערך הסייבר.

קיימות לא מעט הסדרות בישראל לגבי סמכויות המדינה ביחס להגנת הסייבר. עפ"י חוק מוגדרות בישראל כמה עשרות תשתיות קריטיות אשר האחריות אליהן נחלקת בין השב"כ למערך הסייבר, להם סמכויות נרחבות מהנחיה ועד אכיפה. בנוסף, כמה מאות גופים המצויים תחת רגולטורים משקיים (למשל הבנקים תחת המפקח על הבנקים, ביטוח, אנרגיה, תחבורה ועוד) להם סמכויות נרחבות. האם המדינה צריכה גוף נוסף עם סמכויות נרחבות כלפי חברות בארץ?

אכן קיימת תופעת "היעדר נשיאה באחריות" מצד חלק מהחברות שגם כשמתריעים בפניהן על פירצה בהגנה שלהן, הן מתמהמהות ואף אינן מטפלות בנושא כלל. במקרים האלו לרב נפגעים לקוחות, ספקים, ושותפים של החברה הסובלים מדליפה של פרטים אישיים ורגישים. ככל שמקרים אלו מתרבים הדבר נוגע גם במוניטין הכללי של ישראל כ"מעצמת סייבר" ופוגע באינטרסים כלכליים ואסטרטגים של המדינה.

צילום: Freepik

סמכויות חריגות

טיוטת החוק מבקשת להקנות למערך הסייבר סמכויות דרקוניות כגון סמכות להורות לחברה לנקוט פעולות הגנת סייבר ספציפיות ואף עד כדי הסמכות לבצע פעולות אלו בעצמו אם ארגון מסרב לשתף פעולה. בנוסף, הסמכות לבקש את אישור בית המשפט להיכנס לחברה ולתפוס מחשב, או כל חפץ אחר אשר בראיית המערך חיוני לביצוע פעולת הגנה בסייבר. סמכויות כאלו חריגות ביותר ולא ראוי שיהיו למדינה דמוקרטית כלפי גוף עסקי או פרטי.

אכן לא הגיוני מצב בו חברה מתעלמת או מזלזלת במצב בו היא מסכנת פרטיות של לקוחותיה. למדינה צריכים להיות כלים לאלץ אותה לפעול מתוך אחריותה לאזרחים ולמשאבים חיוניים של המדינה. כלים אלו צריכים להיות קנסות, אחריות פלילית למנכ"ל ולחברי הדירקטוריון, שלילת רישיון וכד'. בשום סיטואציה לא צריכה להיות למדינה הסמכות להיכנס ולהיחשף לפרטים של אזרחים וחברות אחרות רק בגלל שהחברה המותקפת לא פעלה כראוי להגן עליהם.

עובדי מדינה אינם חפים מאנושיות מעצם היותם עובדי מדינה. לא חסרות דוגמאות לעובדי מדינה המנצלים לרעה את כוחם (למשל עובד משרד הבריאות הנחשד שהכניס את גרושתו לבידוד ללא צורך ארבע פעמים). כל עוד לא מדובר בסכנת חיים של ממש, אין סיבה שהמדינה תחדור לפרטיות העסקית והאישית.

מקרה אלקטור

בכלים הקיימים ניתן לעשות הרבה יותר בכל הקשור לאכיפה. מקרה 'אלקטור' שנפרץ כבר פעם שנייה הוא רק דוגמה אחת מרבות שבהן נראה שרשויות המדינה, כגון הרשות להגנת הפרטיות, אינן נוקטות צעדים של ממש כאשר זכות הציבור לפרטיות נרמסת. ניתן לקחת דוגמה מהאכיפה המבוצעת באירופה במסגרת רגולציית הפרטיות בה הכלי המרכזי לאכיפה הנו קנסות כבדים מאוד.

לצד ההבנה כי נדרש לבצע קפיצת מדרגה בהגנה על מרחב הסייבר הישראלי, ולצד ההכרה בכך שכיום יש חברות וארגונים המזלזלים בנושא, ניתן להבין את תסכולו של מערך הסייבר (המנסה לסייע להן). אולם חשוב לשמור על עצמאותם וגם אחריותם של אלו ולפעול בכלים אשר יגרמו להם לקחת אחריות זו ברצינות הראויה ולפעול לאורה, ולא להחליף אותם ולקחת את האחריות מהם בפועל. הפתרון אינו בדמות סמכויות דרקוניות למדינה אלא ביצירת מנגנוני תימרוץ ללקיחת אחריות.

זוהר רוזנברג הוא מנהל פורטפוליו השקעות הסייבר בחברת ההון סיכון אלרון ולשעבר ראש חטיבת הסייבר ביחידת 8200