גלובס - עיתון העסקים של ישראלאתר נגיש

אבטחת סייבר | אילוסטרציה: Shutterstock

שרי הממשלה אישרו היום (ג') במשאל טלפוני תקנות חדשות לשעת חירום להתמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי אחסון. בימים האחרונים עבדו במערך הסייבר הלאומי על התקנות כדי לספק סמכויות נוספות להתמודדות עם התקיפות. התקנות מצטרפות לתקנות לשעת חירום שנחקקו כבר בשנת 2023.

● האיראנים פורצים למצלמות אבטחה ביתיות כדי לאסוף מודיעין. כך תמגנו את שלכם
● בדיקה טכנולוגית | הטיפים של מומחי הסייבר: איך להימנע ממתקפת פישינג

על פי התקנות, כשיש תקיפה חמורה תהיה חובת דיווח למערך הסייבר הלאומי, ואי-דיווח יגרור סנקציות. בנוסף, מערך הסייבר הלאומי יהיה בעל סמכות לבקש מידע מהחברה בצל התקיפה, ותחול חובת דיווח של החברה ללקוחותיה.

משמעות התקנות היא אסדרה של השירותים שלפי מערך הסייבר הלאומי הם "יעד מועדף לתקיפות סייבר". התקנות האלו יהיו בתוקף ל-30 יום. במקביל לכך, במערך הסייבר הלאומי מקדמים פרסום תזכיר לקראת חקיקה - אך עדיין לא הוחלט אם מדובר בחוק זהה לתקנות שעברו או בחוק רחב יותר שכולל בתוכו התייחסות גם לסוגיה זו.

צורך מבצעי דחוף ומיידי

לפי דברי ההסבר, מאז תחילת מלחמת חרבות ברזל, ישנה עלייה בהיקף של תקיפות הסייבר נגד גופים אזרחיים בישראל. המתקפות הללו, כך נכתב, נועדו כדי לפגוע בחוסנה של ישראל, בכלכלה ובתפקודו התקין של המשק הישראלי. מתוך כך הבינו במערך כי קיים צורך מבצעי דחוף ומיידי בהקניית כלים להתמודדות לאומית עם תקיפות סייבר. "מאחר שלא ניתן להסדיר את הנושא במהירות הנדרשת בהליך חקיקה בכנסת, עולה צורך דחוף להתקין תקנות שעת חירום אלו", נכתב בהצעה למשאל טלפוני לשרים.

התקנות מסמיכות את מערך הסייבר בשלושה היבטים מרכזיים: ראשית, אם למערך הסייבר יש חשש שתתרחש או מתחרשת תקיפת סייבר חמורה אצל ספק של שירותי אחסון ושירותים דיגיטליים, בעת חירום תהיה לו הסמכות לדרוש מסמכים וידיעות מאותה החברה - על מנת לבחון את קיום התקיפה.

שנית, על ספקים וחברות כאלו תחול חובת דיווח על תקיפות סייבר - משמע, הספק יהיה חייב לספק למערך מידע על כך באופן פרואקטיבי. שלישית, על חברות כאלו תהיה חובת עדכון לארגון מקושר - משמע, הגופים הללו יהיו מחויבים ליידע לקוחות שלהם על כך שהם עלולים להיפגע.

בנוסף על כך, חברות שעומדות בתקינה בינלאומית נאותה בתחום הסייבר - שמעידה על יכולת התמודדות טובה עם איומי סייבר - יהיו פטורות מהחובות במסגרת התקנות לשעת חירום.

נזקי הסייבר: 5 מיליארד דולר בשנה

על פי נתונים שהוצגו על ידי מערך הסייבר, מחקרים בינלאומיים שמרנים מציגים כי הנזקים מתקיפות סייבר במצב שגרה במדינת ישראל מוערכים בכ-5 מיליארד דולר בשנה. בשנה שעברה פורסם בגלובס, כי מערך הסייבר בעצמו ביצע ניתוח כלכלי של העלות המצטברת מנזקי מתקפות הסייבר, ממנה עולה כי העלות למשק כולו עומדת על לפחות 12 מיליארד שקל בשנה.

בנוסף על כך, נתח התוצר השנתי של חברות IT, סקטור בהן נמנות חברות שירותי האחסון והשירותים הדיגיטליים, שהפדיון השנתי שלהן מתחת ל-100 מיליון שקל, הוא כ-48 מיליארד שקם בשנה, המהווים כ-2.4% מהתוצר הישראלי.

סמכות אכיפה למערך הסייבר

מערך הסייבר הלאומי למעשה מוביל את מאמצי ההגנה על מרחב הסייבר הלאומי בעיקר בנכסים ובתשתיות קריטיים במדינת ישראל. עם זאת, אין לו שום סמכות על גופים כמו חברות פרטיות ושירותי אחסון. התקנות הללו נועדו לספק סמכות אכיפה למערך הסייבר הלאומי להתמודד עם מתקפות סייבר שהופכות רחבות.

בשנים האחרונות היו מספר מתקפות סייבר נגד שירותים דיגיטליים ושירותי אחסון. המפורסמים בהם מתקפה על CyberServe - חברה שמאחסנת אתרי אינטרנט, ובשנת 2021 פרצה קבוצת Black Shadow לשרתי החברה וגרמו להשבתה. מה שתפס את רוב הכותרות אז הייתה הפריצה לאתר "אטרף", אתר המיועד לקהילה הלהט"בית וכלל מידע רפואי כמו מי חולה ב-HIV.

גורמים שונים התריעו על חשש למתקפות שכאלו, ולמערך הסייבר לא היו באמת סמכות לחייב טיפול. מי שלבסוף ניהלה את המקרה, זאת הרשות להגנת הפרטיות. הרשות פתחה בהליך פיקוח מנהלי כדי לבחון את המקרה הה. במסגרת ההליך, נמצא כי החברה לא עמדה בחובה שמוטלת עליה מכוח החוק, ולא עמדה בכל מיני תקנות שהיה עליה לעשות - כמו עריכת ביקורות תקופתיות, ולא עדכנה את נהלי האבטחה שלה.