ח"כ מירב בן ארי נואמת בכנסת | צילום: רפי קוץ
דוח טכנולוגי
ח"כ מירב בן ארי עושה לעצמה פדיחות עם "חוק איסור פרסום מתקפות סייבר"
הח"כית מ"יש עתיד" מבקשת לאסור הפצת מידע על פריצות של האקרים בישראל כדי "למנוע את אפקט הכאוס". הבעיה היא שרוב המתקפות הן פליליות ולא תודעתיות, וכשמסתירים אותן גוברת מאוד הסכנה למתקפות נוספות. מה עומד מאחורי ההצעה? אינטרסים זרים, כמובן
ספק אם הצעת החוק של ח"כ מירב בן ארי (יש עתיד), שאוסרת דיווח על מתקפות סייבר לתקופה של 30 יום עד ארבעה חודשים וקובעת עונשי מאסר למפרים, תעבור את שלב ההצבעה הטרומית או תאושר בוועדת השרים. אני גם מוכן להמר בוודאות גדולה שגם אם כן, היא לעולם לא תשרוד את שלב הוועדה ולא תעבור בקריאה שלישית, בוודאי לא בנוסחה הנוכחי. אז למה בכל זאת צריך לעסוק בה?.
קראו עוד בכלכליסט:
ראשית, כי היא חושפת את הבורות ואת חוסר המקצועיות של המחוקקים בנושאים בעלי רלוונטיות לחיים של כולנו. שנית, כי היא מעלה שאלות מהותיות לגבי הגורמים שמושכים ומפעילים את הח"כים מאחורי הקלעים, והנכונות של הח"כים לסייע לגורמים אלה להשאר בצללים. ולבסוף, כי גם מכיוון שבמקרה זה הסערה התקשורתית וביקורת הנגד שהתעוררה בקרב קהילת המומחים שבאמת מכירה את התחום צפויות לקבור את ההצעה במהירות, אין כל ודאות שזה לא ייקרה בפעם הבאה. אז לפחות שנהיה מוכנים.
נתחיל בהצעת החוק עצמה, למי שלא הספיק עדיין להתקל בפלא התחיקתי הזה. "הצעת חוק איסור פרסום זמני של מתקפת סייבר" שבן ארי היא הח"כית היחידה שחתומה עליה אוסרת על כל אדם לפרסם מידע אודות מתקפת סייבר החל מהתרחשותה ועד שחלפו 30 ימים ממועד שליחת דיווח ראשוני של החברה למשטרה. במקרה שחלפו 30 יום ומומחה (שמוגדר בהצעת החוק כמי שמופיע ברשימת מומחים שקבע השר לביטחון פנים) סבור שהטיפול במתקפה לא הסתיים ניתן להגיש דיווח שני על המתקפה, הפעם למערך הסייבר, ואיסור הפרסום יוארך ב-14 ימים נוספים, אלא אם בית משפט שלום התיר אותו.
אבל חכו, זה עוד לא נגמר. חלפו 14 הימים? הגוף המותקף יכול לפנות לבית משפט שלום ולבקש צו איסור פרסום לתקופה של עד 45 יום. חלפו גם הם והמתקפה עודנה נמשכת? בית משפט שלום יוכל להאריך את איסור הפרסום ב-30 ימים נוספים. בסך הכל מדובר ב-119 ימים, כ-4 חודשים, בהם לא יוכלו כלי תקשורת לדווח על מתקפות סייבר ואזרחים אף לא יוכלו לעדכן זה את זה ברשתות חברתיות על קיומה של המתקפה. פרסמתם? הצעת החוק קובעת שתהיו צפויים למאסר של שישה חודשים, או חמש שנים במקרה שנחשפו "פרטים שיש בהם כדי לפגוע באינטרס חיוני" (הצעת החוק לא מגדירה מהו "אינטרס חיוני").
בדברי ההסבר להצעת החוק נטען שלמתקפות סייבר שני מניעים עיקריים: "אירוע תודעתי שמטרתו לייצר כאוס והד תקשורתי, או אירוע שמטרתו כופר כסף. כלי האיום המרכזי של יוזמי אירועי הסייבר הוא התקשורת. ללא פרסומים תקשורתיים, התוקפים אינם מצליחים ליצור את אפקט הכאוס ולגרום לאיום ממשי".
הבעיות של הצעת החוק מתחילות כבר בהצדקה שלה. "הצעת החוק מניחה שמרבית מתקפות הסייבר הן בטחוניות, כאלה שכל מטרתן היא "להוריד את המורל" של ישראלים ולכן מנסה לאסור על הדיווח שלהן מבלי להראות נתונים המוכיחים שרוב מתקפות הסייבר הן ביטחוניות", אומרת ל"כלכליסט" ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה. "הסיבה לכך היא שאין נתונים כאלה, אלא נתונים הפוכים. רוב מתקפות הסייבר הן פליליות".
ברמה הפרקטית, אומרת שוורץ אלטשולר, האיסורים של הצעת החוק מנוגדים לפרקטיקה המקובלת בארץ ובחו"ל להתמודדות עם מתקפות סייבר: "התפיסה של התקנות היא שככל שניתן יש להודיע לציבור על אירוע הסייבר ולא להסתיר. זאת, במטרה שנושאי המידע יוכלו לנקוט בפעולות על מנת להגן על עצמם ולהקטין את פוטנציאל הנזק של האירוע (כל דבר מהחלפת סיסמאות והפעלת ביטוח, ועד הודעה לבני משפחה ונקיטת צעדים להתגוננות ולהקטנת הנזק), ובמקרה הצורך יוכלו גם בשלב מאוחר יותר להיפרע מבעל המאגר שלא איבטח כראוי את המידע האישי על אודותיהם או ממי שניצל את חולשות האבטחה של המאגר וגרם לאירוע האבטחה".
ההאקר והאקטיביסט נעם רותם, שחשף כמה מדליפות המידע הבולטות בשנים האחרונות וקיבל החודש הכרה ממערך הסייבר כגורם שהעביר את מספר הדיווחים הגדול והאיכותי ביותר על דליפות מידע, חושש שלהצעת החוק יהיה אפקט מצנן על פעילות של חוקרי אבטחת מידע. "הסיכון בחוק הזה הוא כפול", הוא מסביר. "ראשית, פעמים רבות פריצה כזו משמעה ניצול חולשה שככל הנראה נמצאת גם אצל ארגונים אחרים - מה שחושף אותם לסכנה להפוך לקורבנות בעצמם בגלל שחברת הכנסת בן ארי חושבת שצריך להסתיר מהם את המידע הזה. שנית, הצעת החוק הזו תרתיע אנשים טובים מלדווח על פרצות ותשאיר את המגרש לאלה שהחוק ממילא לא חשוב להם. היחידים שהצעת החוק הזו תעזור להם הם אנשי יחסי הציבור של חברות גדולות והתוקפים עצמם".
בעקבות מתקפת סייבר, יש חשיבות עליונה לפרסום המידע בצורה רחבה ככל האפשר. דיווח על מתקפות סייבר מאפשר לארגונים אחרים לבצע מהלכים על מנת להתגונן ממתקפה דומה או לבדוק האם הם עצמם קרבן למתקפה. מתקפות רבות כיום הן מה שמכונה מתקפות שרשרת אספקה, בהן המטרה היא לא הארגון עצמו אלא ספק שירות שדרכו ניתן לחדור למערכות הארגון או להגיע למידע שלו. איסור פרסום של מתקפת שרשרת אספקה, שיכולה לפגוע במספר רב של ארגונים, תמנע מארגונים אלה לדעת שהמערכות שלהם והמידע שלהם ושל לקוחותיהם נמצא בסיכון ואולי כבר נחשף.
פרסום מתקפות סייבר גם מבליט חולשות אבטחה שנוצלו במתקפהויכול לזרז ארגונים חשופים לטפל בהן לפני שייפלו קורבן בעצמם. וכמו שציינה שוורץ אלטשולר, הפרסום גם מיידע קורבנות פוטנציאלים ומאפשר להם לנקוט צעדים על מנת להגן על עצמם, אפילו בצורה פסיבית, בדמות ערנות למתקפת פישינג נגדם שיכולה לעשות שימוש בפרטים שנחשפו במתקפה.
בהקשר זה, הצעת החוק של בן ארי לא מגנה על ארגונים ועל הציבור אלא דווקא על פושעי הסייבר ונותנת להם חלון פעילות שיכול להגיע ל-119 יום, במהלכו הם יכולים לתקוף ארגונים אחרים באותה שיטת פעולה או לנצל את המידע שנחשף במתקפה כדי לתקוף משתמשים שלא יודעים אפילו שהם צריכים להגן על עצמם.
ויש, כמובן, את העובדה שאנחנו חיים ב-2022, לא ב-1922, ואיסור פרסום מתקפה בכלי תקשורת בישראל לא עושה דבר על מנת למנוע את הפרסום בחו"ל או את העברת המידע בנושא ברשתות חברתיות ואפליקציות מסרים מידיים. "רוב המתקפות ממילא מבוצעות על ידי גורמים עלומים מחו"ל", אומר רותם. "מה חושבת חברת הכנסת? שמי שעמד מאחורי המתקפה על שירביט ימנע מפרסומה כי בן ארי מאיימת עליו בשישה חודשי מאסר? כל מטרת הצעת החוק הזו היא צנזורה מביכה על אמצעי תקשורת ישראליים שלא לדווח על מתקפות המפורסמות בכל העולם. טוב תעשה בן ארי אם תמשוך את הצעת החוק המטופשת ובמקומה תגיש הצעה המטילה קנסות משמעותיים על ארגונים שלא שומרים על המידע של כולנו במקום לרדוף את אלה שמצביעים על הכשלים האלה".
שוורץ אלטשולר מוסיפה: "במסווה של הגנה בטחונית, ההצעה תאפשר למי שאחראים על אבטחת מידע בארגונים להימלט מאחריות מפני שהיא תאפשר להם למחוק מידע ולטשטש עקבות. אנחנו נמצאים היום במצב שבו יש לתת תמריצים לעסקים ולארגונים ליצור לעצמם הגנת סייבר. הצעת החוק מובילה בדיוק לתוצאה ההפוכה – היא מקטינה את הסיכון מפני הנזק הציבורי במקרה של ארוע סייבר ולכן מקטינה את התמריץ ליצור הגנת סייבר טובה. איסור להודיע לציבור על אירוע סייבר חושף את הציבור לנזק ולא מגן עליו. הצעת החוק מתבוננת בעולם הסייבר מתוך מקטע צר ביותר, אינה מגובה בנתוני אמת ונזקה עולה על תועלתה".
"תארו לעצמכם שמדינה בה מתפרצת מגיפה היתה אוסרת על דיווח לעולם על הווירוס החדש וחושפת את כל העולם להידבקות", אומר אלרואי מרום, מנכ"ל לינווייט שעוסקת בפיתוח ותמיכה של קוד פתוח. "הצעת החוק הזו מבקשת לעשות בדיוק את אותו הדבר. אי פרסום מתקפת סייבר ימנע את הדיווח על חורי אבטחה, ימנע את היכולת לתקן אותם במהירות וימנע מאירגונים שלא נפגעו להתכונן במהירות ולהגן על הלקוחות שלהם. הצעת החוק הזו פשוט תקבור את היכולת הזו בהר עצום של בירוקרטיה. זו הצעת חוק שלא חשבו עליה עד הסוף וראוי כי תיגנז".
לאור כל אלה, העובדה שהצעת חוק כזאת עלתה על הנייר מצביעה על חוסר מקצועיות מובהק של בן ארי ושל הצוות שעמו היא עובדת. הביקורת שעלתה כאן היא בסיסית ומתבקשת. הפגמים בהצעת החוק זועקים, לא דורשים מומחיות עמוקה, מובנים מאליהם. העובדה שבן ארי ואף אחד בסביבתה לא הבחין בכך בעצמו מעלה ספקות גדולות לגבי רמת המסוגלות שלה ושל צוותה. מגיעים לנו נבחרי ציבור טובים יותר ומקצועיים יותר. כאלה שאם אין להם את הידע והמומחיות הדרושים בנושא שבו הם עוסקים לפחות יכולים להעסיק אנשים עם יכולות אלו או כאלו שיודעים לאתר מומחים מתאימים. מומחים שבמקרה זה היו מסבירים לבן ארי את העוולת שבהצעת החוק ומונעים ממנה את המובכה הקשורה בה.
וכל זה מביא אותנו לשאלה - מאיפה הגיע הרעיון? בן ארי לא מגיעה מעולם הטכנולוגיה והסייבר, והנושאים האלה לא נמצאים בליבת הפעילות שלה. היא לא התעוררה יום אחד עם הרעיון להצעת החוק הזו ובשיחה איתה היא אף אישרה שאת הרעיון לחקיקה קיבלה מגורם עלום שם, אותו סירבה לחשוף. היא גם דיברה על "גורמים מעולם הסייבר" שאיתם התייעצה, אך לא פירטה באילו גורמים מדובר. הגורמים הללו, נודע לדו"ח טכנולוגי, אינם ממערך הסייבר הלאומי, שמתנגד לאיסור הפרסום ("הצעת החוק עלולה לפגוע ביכולת אנשי המקצוע לשתף מידע במהירות לטובת הגנה מפני מתקפות ומניעת התפשטותן", נמסר מהמערך).
וזו בעצם הבעיה הגדולה כאן. גורם לא ידוע אך כנראה בעל אינטרס מובהק פונה לחברת כנסת, מציע לה לקדם הצעת חוק, וזו, בלי בדיקה מספקת של העובדות, נענית לבקשה ומנסחת הצעת חוק. וכשמתגלים הכשלים, חברת הכנסת מסרבת לחשוף את אותו הגורם, מסתירה למעשה את האינטרסים שמאחורי גיבוש וקידום הצעת החוק. זה יכול להתרחש רק כי יש כאן בלבול עמוק אצל בן ארי בנוגע למחויבות שלה. חברת הכנסת, כמו כל נבחרי הציבור, עובדת בשבילנו. אנחנו, אזרחי המדינה, הבוסים שלה. המחויבות שלה היא לנו, לשירות האינטרסים שלנו כציבור. לא לגורם שמבקש להישאר בצללים ולהשפיע משם על החקיקה והרגולציה בישראל.
ואולם, בעולמה של בן ארי, המחויבות שלה היא למושכים בחוטים שלה, לא לציבור, לא לעיתונאי שכשליח ציבור מבקש ממנה לחשוף את הגורמים שמפעילים אותה. "אני לא מצליחה להבין", היא השיבה לי כששאלתי מיהו הגורם העלום. "אני חייבת ללהגיד לך עם מי התייעצתי? התייעצתי עם מספר אנשים בעולם הסייבר. אני לא צריכה להגיד לך עם מי התייעצתי. מותר לי".
מבחינה חוקית מותר לה, בוודאי שמותר. אבל מבחינה עקרונית? אין סיבה לחשאיות. מי שמבקש לקדם הצעת חוק צריך להיות גלוי וחשוף. במקרה הזה, הזיהוי, המופרכות, החשיפה הציבורית והביקורת הרחבה של הצעת החוק כנראה יסכלו את קידומה, אבל לנו, כציבור, אין דרך לדעת בוודאות אילו גורמים בעלי אינטרס עמדו מאחורי הצעות חוק אחרות וקידמו אותן בהצלחה, כשהם נהנים ממטריית חסינות שמספקים להם חברי הכנסת.