בחסות המלחמה: הממשלה רוצה להרחיב את סמכויות מערך הסייבר

בחסות המלחמה מגבשת הממשלה תקנות שעת חירום שירחיבו את סמכויות מערך הסייבר הלאומי ויתנו לו סמכות לתת הוראות מחייבות לעסקים מסוימים במקרה של מתקפת סייבר – כך לפי טיוטת התקנות שהגיעה לידי "כלכליסט". במערך אומרים שמדובר בסמכויות מאוזנות שיחולו על מגזרים עסקיים מצומצמים מאוד, ואולם מומחים מתריעים שבפועל התחולה של התקנות תהיה רחבה, שיישומן ייצור עומס מידע שיכביד על פעילות המערך ושזו שגיאה לקדם שינוי זה שלא דרך חקיקה ראשית.

התקנות, שנמצאות עדיין בשלב הדיונים הפנימיים, מקנות למערך הסייבר, לשב"כ או לממונה על הביטחון במערכת הביטחון (מלמ"ב) סמכות לתת הוראות מחייבות לספקי שירותי מחשוב מסוימים במקרה של מתקפת סייבר. בנוסף, ספק שירותים אלו יהיה מחויב לדווח על מתקפת סייבר בתוך ארבע שעות לכל היותר מרגע זיהויה. התקנות המוצעות יחולו על ספקי שירותי אחסון (מוגדרים כ"אחסון של מידע שנמסר לשם העלאתו לאינטרנט, שירותי עיבוד ואחסון נתונים ושירותים לאספקת מידע, תשתית לאחסון או עיבוד נתונים, שירותי אמצעי חיפוש או שירותי זרימת מדיה למעט שירותי מחשוב בענן"), וספקי שירותים דיגיטליים (מוגדרים, בין השאר, כשירותי תוכנה, שירותי ייעוץ, תכנון והפעה של מערכות מחשוב, שירותי עיבוד נתונים, שירותי הגנת סייבר ואספקה או התקנה של מערכות מחשוב, שוב בהחרגה של שירותי ענן). לפי התקנות, רשימת הגופים שעליהם הן יחולו תהיה סודית.

במערך הסייבר מסבירים שהתקנות המוצעות לא נועדו להחליף את חוק הסייבר, שאמור להקנות למערך סמכויות רחבות הרבה יותר. "חוק הסייבר חל בצורה רוחבית, כולל חובת דיווח על תקיפות סייבר וחובת הגנה הולמת וניהול סיכונים, על כתריסר מגזרים. פה עוסקים רק במגזר אחד", אמר ל"כלכליסט" ראש אגף אסטרטגיה ומדיניות במערך הסייבר, רועי פרידמן. "היריבים שלנו פועלים בסייבר נגד ישראל במלוא העוצמה, ומעצימים תקיפות. יש 15 קבוצות תקיפה של איראן או שלוחי איראן עם מטרות ברורות ואנחנו פוגשים אותן בשטח. החברות (שעליהן יחולו התקנות, ע"כ ומ"א) הן חלק משרשרת אספקה ותקיפה נגדן עלולה להדביק ארגונים רבים. אם הן לא נוקטות באמצעי ההגנה הנדרשים, אז הלקוחות שלהן – גופים במגזר הבריאות, רשויות מקומיות, גופים עסקיים, חברות שילוח – סופגים את הנזק, שעלול להשפיע על הלחימה".

פרידמן הוסיף שבשגרה פועל המערך מול גופים אלו בהסכמה, בהיעדר סמכות מתאימה בחוק. ואולם, לא פעם הוא נתקל ב"גופים סרבניים או גוררי רגליים", שלא מיישמים או מתעכבים ביישום הנחיות המערך. התקנות, הוא אומר, נועדו לספק למערך את מרחב התמרון הנחוץ על מנת לקבל עדכונים מגופים אלו על מתקפות סייבר והסמכות לתת להם הוראות מחייבות. "מבחינת האיזונים והבלמים זה משהו עדין אבל מאוד נחוץ בעת מלחמה", הוסיף פרידמן. "אנחנו רואים גופים שמסרבים לטפל באירועים, וזה עלול להשפיע על עשרות או מאות לקוחות שמחוברים אליהם. בעת מלחמה, ההשפעה של כל זה כפולה. ראינו תקיפות כאלו גם בעיתות שלום, והנזק הכלכלי של תקיפות כאלו מאוד משמעותי – דרך חברה אחת כזו אפשר להגיע לעשרות חברות אחרות.

"התקנות כוללות הנחיה לתת הוראה שפגיעתה היא הקטנה ביותר, לשקול השפעה על פעילות הארגון, למסור דיווח תקופתי לוועדת חוץ וביטחון וליועמ"ש. זה קורה בצורה מנוהלת ומאוזנת ולא משתוללים. לא מבקשים לקנות תוכנות הגנה בעשרות מיליוני שקלים, אלא לטפל באירועים מבעוד מועד. הטיפול יכול להיות הרבה פעמים לעדכן מערכות, לנתק חיבוריות, דברים שהעלות שלהם היא לא משמעותית".

התקנות גם לא כוללות סנקציות כספיות או עונשיות על חברות שלא יצייתו להנחיות. "הנחת העבודה היא שברגע שיש חוק גופים יקשיבו להנחיות", אמר פרידמן. "ברגע שיש חוק, הטיפול יהיה הרבה יותר מהיר. חברות ישראליות בעת מלחמה לא יפרו דין ישראלי, ובסופו של דבר כשזה יעבור ללשכה המשפטית שלהם היא מיד תיתן אור ירוק כי יש חוק".

בנוגע לסודיות הגופים שעליהם יחולו התקנות אמר פרידמן: "לפרסם את רשימת הגופים זה לצייר לתוקף את בנק המטרות שלו. אנחנו לא רוצים שבנק המטרות יפורסם באינטרנט. החברות ידעו מזה, מערך הסייבר ידע, אבל האיראנים וחיזבאללה לא צריכים לדעת".

לא כולם חולקים את ההשקפה האופטימית של מערך הסייבר ביחס לתקנות המוצעות. ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה ביקרה, בין השאר, את הבחירה להתמודד עם הסוגיה באמצעות תקנות שעת חירום. "לפי פסיקת בית המשפט העליון, ניתן להתקין תקנות שעת חירום רק אם לא ניתן לפנות לחקיקה ראשית של הכנסת. הכנסת מתפקדת עכשיו, ובוודאי כשמדובר בחוק מקוצר. תקנות לשעת חירום שהוצעו עד כה במסגרת המלחמה הנוכחית הן נקודתיות הרבה יותר מאשר ההסדר הרחב שמוצע כאן", אמרה.

כמו כן ציינה שוורץ אלטשולר שבפועל תחולת התקנות רחבה הרבה יותר מכפי שהוצגה על ידי המערך, וש"התקנות חלות בעצם על כל מי שמספק מערכות מידע וניהול מידע וחיפוש מידע לכל עסק שהוא בישראל". באשר לחובת הדיווח על מתקפת סייבר אמרה החוקרת שמדובר בחובה רחבה מאוד שלצד אירועים מובהקים כמו שיבוש פעולתו התקינה של מחשב, מחיקת חומר מחשב, חדירה לחומר מחשב והאזנת סתר לתקשורת בין מחשבים, כוללת גם טיפול בפייק ניוז ("אחסון או הצגה של מידע או פלט כוזב או שיש בהם כדי להטעות, בהתאם למטרות השימוש בהם", כלשון התקנות). "חובת הדיווח מאוד מאוד רחבה, ותיצור הכבדה עצומה על הספקים וגם הצפה של מערך הסייבר", הסבירה. "בנוסף, לא ברור מה מערך הסייבר יכול לעשות עם כל המידע הזה שמדווחים לו לגביו, כי אין לו שום הסמכה לעשות אתו כלום".

בנוגע לסודיות רשימת הגופים אמרה: "זהו עניין בעייתי, לאור כך שמדובר ברשימה רחבה של גופים, שהשקיפות לגבי העובדה שהם מאוסדרים חשובה מאוד לניהול סיכוני סייבר במגזר האזרחי והפרטי, וגם לאמון הציבור בכך שהמוצרים הדיגיטליים שהוא עושה בהם שימוש מפוקחים ומאובטחים".