סמכויות לרה"מ והאזנה לאזרחים: מה מסתתר בחוק הסייבר?

בשבוע שעבר, בשקט בשקט, פורסם תזכיר "חוק הסייבר" • החוק לא רק מסדיר את פעילות מערך הסייבר הלאומי, אלא צפוי להפוך אותו לאחד מהגופים הביטחוניים החזקים בישראל • מומחי פרטיות ומשפט מזהירים כי אף שכוונות מנסחי החוק טובות, הוא מעניק כוח רב מדי לרשות ריכוזית מדי

בנימין נתניהו / רויטרס
בנימין נתניהו / רויטרס

בזמן שבראש סדר היום עמדו בשבוע האחרון הארוחות של אשת ראש הממשלה, והסרטון "הרצל הרצל", התרחש מתחת לרדאר מהלך ביטחוני-טכנולוגי-חקיקתי משמעותי במיוחד. בלי הכרזה רשמית, בלי נאומים נרגשים, פורסם ביום רביעי שעבר תזכיר "חוק הסייבר".

התזכיר ראה אור בזמן שבכירי מערכת הביטחון ומגזר ההייטק פקדו את שבוע הסייבר שהתקיים באוניברסיטת תל אביב. לא היה מקום מתאים מזה להכרזה החשובה, אך הן ראש הממשלה בנימין נתניהו, שנאם בפני באי הכנס, והן מנהל מרכז הסייבר אלוף (מיל') יצחק בן-ישראל, שהיה ממקימי מטה הסייבר במשרד ראש הממשלה - לא הכריזו עליו במהלך האירוע.

מדובר בשיאו של מהלך שהחל בנובמבר 2010, אז הורה נתניהו על הקמת צוות מיוחד שיגבש תוכנית לאומית להצבת ישראל בין חמש המדינות המובילות במרחב הקיברנטי. כתוצאה מהמהלך הוקמו רשות ומטה הסייבר, שאליהם הועברו סמכויות שבעבר היו בידי השב"כ. בדצמבר החליטה הממשלה לאחד את הרשות והמטה לגוף אחד, בשם מערך הסייבר, שבראשו עומד כיום יגאל אונא. כעת אמור התזכיר להסדיר בחקיקה ראשית את פעילות המערך, וליצור גוף שעתיד להפוך בשנים הקרובות, עם התפשטות הטכנולוגיה לכל אחד מהיבטי החיים, לאחד החזקים והמשפיעים ביותר שקמו בישראל, שאמור לפעול בזיקה ישירה לראש הממשלה.

ואולם, ההסדרה בחוק לא באה רק במטרה לעגן את הפעילות הקיימת. על פי גורמים המעורים בנושא, הוא "משקף שינוי איכותי מהמצב שאפשרי כיום; התזכיר משקף גם יכולת לעשות דברים נוספים". תזכיר החוק, בן 82 עמודים, כתוב בשפה ברורה ופשוטה, ומומלץ לעיין בו כאן. במאמר זה קצרה היריעה מלטפל בכל המשמעויות שהוא טומן בחובו, ועל כן נתמקד בכמה מהנקודות הבולטות והשנויות ביותר במחלוקת, רגע לפני 11 ביולי - מועד סיום התקופה שבה ניתנת לציבור האפשרות להגיב על תזכיר החוק.

"לעתים נדרש עיסוק גם בשכבת התוכן"

"אנחנו בעיצומה של מתקפת סייבר עולמית, קרוב למאה מדינות נפגעו. עד לרגע זה בישראל לא היו שום פגיעות בתשתיות הקריטיות שלנו. הפגיעות האחרות מינוריות, אבל זה עד לרגע זה, וכל דבר יכול להשתנות ... עוד יהיו הרבה התפתחויות ונצטרך להשקיע עוד משאבים כדי להבטיח שמדינת ישראל, גם בצד הביטחוני שלה, ובמיוחד בצד האזרחי שלה, יהיו לה את ההגנות הדרושות נגד הסוג החדש הזה של מתקפות" (ראש הממשלה, בנימין נתניהו, בפתח ישיבת הממשלה, 14 במאי 2017).

בקרב מומחים צבאיים וטכנולוגיים זהו כמעט קונצנזוס שבשנים האחרונות החל תהליך בלתי ניתן לעצירה שיהפוך את המרחב הקיברנטי לשדה הקרב העתידי העיקרי. הקונצנזוס הנ"ל נוגע בשתי נקודות נוספות: בשדה הקרב העתידי הזה העורף והמגזר האזרחי הם החזית, ולצד מדינות וארגוני טרור יפעלו בו גם גורמים פליליים שיחברו יחד להגשמת מזימותיהם. מדינת ישראל נחשבת כיום לאחת המובילות בתחום הגנת הסייבר - הן במגזר הצבאי, הן באזרחי, והן מבחינת הארגונים הממשלתיים שהוקמו כדי להתמודד עם האתגר.

למרות המצב המעודד הזה, תזכיר חוק הסייבר מבקש לשנות את מערכת היחסים בין הממשלה למגזר האזרחי. מערך הסייבר יפקח ויסדיר את הפעילות ההגנתית של שורת ארגונים ארוכה: לא מדובר רק בתשתיות חיוניות, תקשורת ופיננסים. את תחולת החוק על ארגונים מאפשר תזכיר החוק באמצעות השימוש בהגדרה "גוף מבוקר כהגדרתו בסעיף 9 לחוק מבקר המדינה" - מה שאומר שהוא אף יחול על ארגוני עובדים. בין אם השינוי הזה נחוץ או לא, הוא מחייב דיון ציבורי מקיף ומעמיק. דיון כזה אמור לכלול, פרט למומחי משפט מתחום הפרטיות שכבר מתריעים מפני השלכות החוק, גם את נציגי המשק, וכן מומחי טכנולוגיה, צבא וממשל.

מומחי הפרטיות מזהירים עוד כי על פי החוק החדש קיימת סכנה של מדרון חלקלק שעלול לאפשר ניטור רחב של תקשורת בין אזרחים. הכוונה היא לא רק לפרטים הטכניים של שיחות מקוונות או טלפוניות, כמו תאריך השיחה ואורכה (מה שמכונה מטה-דאטה), אלא גם לתוכן התקשורת עצמו. "לעתים נדרש עיסוק גם בשכבת התוכן", נכתב בתזכיר החוק, שמסייג: "בממד המשפטי חשוב להדגיש כי תכלית איסוף המידע בפרק האופרטיבי היא לצורך הגנת הארגון שבו נמצא המידע, ולא לצורך איסוף מידע עליו לצורכי פיקוח או אכיפה". מומחי משפט בכירים ששוחחנו עימם אמרו כי הם אמנם סומכים על מנסחי החוק ומאמינים שכוונתם טובה, אולם הם מזהירים שמבנה החוק הנוכחי משאיר פתח עתידי להאזנות ולמעקבים.

זו לא דאגת הפרטיות היחידה שמעורר התזכיר. אף על פי שהתזכיר קובע כללים שיגדרו את מרחב הפעולה של המערך, באופן שנועד לשמור על פרטיות האזרחים, מופיע בו גם סעיף ובו נקבע כי "ראש הממשלה ושר המשפטים יקבעו בתקנות הוראות לעניין אופן איסוף, עיבוד, שמירה וביעור של המידע במערך הגילוי והזיהוי והשימוש בו, וכן רשאים הם לקבוע בכללים הוראות נוספות לעניין מערך הגילוי והזיהוי אשר פרסומם יהיה חסוי משיקולי הגנה על סודיות, שיטות ואמצעים".

ראש הממשלה מוזכר 68 פעמים

היבט חשוב נוסף שמבקשים מבקרי החוק לשים אליו לב הוא הסמכויות הנרחבות שניתנות בידי ראש הממשלה. מערך הסייבר אמור לפעול במסגרת משרד ראש הממשלה, ראש הממשלה הוא הממונה עליו וראש מערך הסייבר אמור לדווח ישירות אליו. הליך המינוי של ראש המערך זהה לזה של מינוי ראשי המוסד והשב"כ - על-ידי הממשלה בהמלצת ראש הממשלה.

במקור, אומרים גורמי משפט שעיינו באחד מגלגוליו של התזכיר, המצב היה קיצוני יותר: ראש מערך הסייבר אמור היה להיות מינוי ישיר של ראש הממשלה. הסעיף הזה ספג התנגדות ונגנז, כמו גם כוונה שעלתה בעבר להגביל את הפיקוח על יצוא מערכות סייבר ולהקבילו ליצוא נשק. אלא שגם כך החוק מאפשר לראש הממשלה להחזיק קרוב מאוד לחזה את הגוף הביטחוני רב העוצמה. בעוד שבחוק השב"כ, לדוגמה, מוזכר ראש הממשלה 29 פעמים, בתזכיר חוק הסייבר הוא מוזכר לא פחות מ-68 פעמים.

על פי הגדרות החוק, האינטרסים החיוניים שעליהם הוא אמור להגן כוללים את ביטחון המדינה, ביטחון הציבור או בטיחותו, חיי אדם, כלכלת המדינה, תפקוד תקין של תשתיות - וגם "אינטרס שקבע ראש הממשלה בצו לאחר התייעצות עם השר הנוגע בדבר". התזכיר מעניק לראש הממשלה את הסמכות "לנהל, להפעיל ולבצע בהתאם את מאמצי ההגנה הלאומיים האופרטיביים כנגד תקיפות סייבר", וגם להטיל על המערך "לבצע כל תפקיד אחר בתחום הגנת הסייבר שיקבע ראש הממשלה".

סמכויות ראש הממשלה צפויות להעסיק במידה רבה גופים אזרחיים. כך למשל, הוא "רשאי לקבוע בתקנות תנאים לגבי כשירותו, חובותיו ותפקידו של ממונה הגנת הסייבר בארגון". סמכות נוספת קובעת כי "מבלי לגרוע מהוראות חוק שירות המדינה... רשאי ראש הממשלה לקבוע בתקנות הוראות נוספות בדבר משטר ומשמעת שיחולו במערך".

ואם זה לא מספיק, גם הסמכות למנות את הגוף המפקח על פעילות מערך הסייבר ניתנת לראש הממשלה. התזכיר מציע למנות למערך גוף מבקר פנימי, ולצדו גוף בקרה חיצוני בראשות משפטן, שיכלול נציג מטעם היועץ המשפטי לממשלה (שידווח גם הוא לראש הממשלה). השלד התפעולי והמקצועי של גוף זה יהיה במערך הסייבר עצמו.  

ולבסוף - שימו לב לסמכותו של ראש הממשלה לשתף ולהגביל שיתוף מידע. סעיף 72 קובע כי "פעילות מערך הסייבר בתחום הגנת הסייבר אינה נתונה לגילוי, למעט כמוסדר בחוק או בתקנות שיקבעו ראש הממשלה ושר המשפטים", וכן כי "לא יגלה אדם דבר מדיוני הוועדה או מכל חומר שנמסר לה, אלא אם הסמיך אותו לכך ראש הממשלה, או באישור היועץ המשפטי לממשלה או נציגו".

אלא שלראש הממשלה ניתנת סמכות בכל הנוגע ל"יצירת שיתופי-פעולה בינלאומיים אופרטיביים שמטרתם חילופי מידע רלוונטי להגנה, וכן קידום מעמדה של ישראל כמובילה בתחום הסייבר בעולם. מובהר כי הסכמים כאמור ייערכו בהתאם לכללים שייקבעו בידי ראש הממשלה, ויאפשרו ביטוי לאינטרסים רלוונטיים ותיאום מדינתי במקרים המתאימים". במילים אחרות, ראש הממשלה יהיה המוסמך הבלעדי לשיתוף מידע עם גורמים זרים בכל הנוגע לפעילות הסייבר של ישראל. גם השאלה אם לא ראוי שהחלטות כאלה יתקבלו בפורום רחב יותר צריכה לעלות לדיון, ובהקדם.