גלובס - עיתון העסקים של ישראלאתר נגיש

חוק הסייבר הלאומי פורסם להערות הציבור / אילוסטרציה: גלובס (נוצר באמצעות Adobe Firefly)

לאחר שנים של חוסר אסדרה, מערך הסייבר הלאומי פרסם את תזכיר חוק הגנת הסייבר. זהו סבב החקיקה השני של המערך בנושא - הראשון היה ב־2018 וזכה לביקורת חריפה.

בשיחות שקיים גלובס עם גורמים בשוק עולה תמונה מורכבת: בעוד שקיימת הסכמה כי הסדרת התחום חיונית נוכח הפיגור של ישראל בתחום, בתעשייה מביעים חשש מהענקת סמכויות נרחבות מדי למערך.

● הופכת לחד־קרן: אפווינד גייסה 250 מיליון דולר לפי שווי של 1.5 מיליארד דולר
● שלושה נתונים שמעידים: הבינה המלאכותית מכווצת את ענף התוכנה

על מי חל החוק - ומה הוא כולל

על־פי תזכיר החוק, מערך הסייבר הלאומי יהיה הגוף המופקד על גיבוש האסטרטגיה הלאומית, בניית תמונת המצב המודיעינית וחיזוק החוסן הישראלי בכל הקשור לסייבר. המערך ישמש כמנחה מקצועי עבור היחידות המגזריות במשרדי הממשלה וברשויות השונות, שיהיו אמונות על קידום ההגנה בפועל.

במסגרת זו, הרגולטורים המגזריים יהיו האחראים הישירים על הארגונים שתחת תחום שיפוטם, תוך תיאום ושיתוף מידע רציף מול המערך. בנוסף, החקיקה מגדירה מדרג של גופים, כאשר "תשתיות חיוניות" יוכפפו לפיקוח הדוק ומיוחד, מתוך הבנה כי פגיעה בהן עלולה להסב נזק אסטרטגי למדינת ישראל.

החוק חל על מה שמוגדר בחוק כ"ארגון חיוני". ארגונים חיוניים הם גופים ממשלתיים (למעט צה"ל וגופי הביטחון) וארגונים פרטיים העומדים בתבחינים מגזריים: ספקי תקשורת עם מעל ל־200 אלף מנויים או רשויות מקומיות המונות מעל ל־90 אלף תושבים. כמו כן, רשימת הגופים כוללת סקטורים קריטיים כגון אנרגיה, מים, תחבורה, בתי חולים, שירותי אחסון מידע, לוגיסטיקה וקמעונאות. בנוסף, למערך הסייבר תישמר הסמכות להגדיר ארגון כחיוני גם בשל נסיבות חריגות.

ומהן החובות המוזכרות בחוק? ארגונים חיוניים יידרשו לעמוד בסטנדרטים הכוללים ניהול סיכונים, הצפנה, בקרת גישה והגנה על שרשרת האספקה, לצד אימוץ תקנים בינלאומיים. בנוסף, תחול חובת דיווח מיידית על תקיפה משמעותית העלולה לפגוע ברציפות השירות או להוביל לדלף מידע רגיש. חובת הדיווח תבחן לפי היקף המשתמשים ומשך הפגיעה, ותחייב הגשת דו"ח מסכם על מאפייני האירוע ואופן הטיפול בו.

עו"ד עמית אשכנזי, לשעבר היועץ המשפטי למערך הסייבר וכיום במרכז שמגר ובמשרד הירש־פלק, וכן עמית מחקר במרכז שמגר, מתריע מפני פירוט היתר בחוק: "מצד אחד, הפירוט מקדם ודאות כשהכללים ברורים, אך מצד שני מול איומים טכנולוגיים הוודאות הזו יכולה לגרום לתופעות לוואי; הטכנולוגיה מתקדמת והמענה עלול להפוך ללא רלוונטי, כשכל שינוי יחייב תיקון חקיקה מורכב".

לדברי ד"ר נמרוד קוזלובסקי, מנכ"ל Cytactic (ולשעבר שותף במשרד העו"ד הרצוג), החוק משקף שינוי מחשבתי חיובי: "החקיקה עצמה טובה ועושה סדר מי הגופים המפוקחים ומהי 'הפילוסופיה' המנחה את הפיקוח. עד כה, החקיקה התמקדה במניעה וניטור. החוק הנוכחי מבטא את 'תפיסת השרידות' - הנחת מוצא שלא כל אירוע ניתן למנוע מראש, ולכן הדגש עובר לשאלה האם הארגון ערוך לנהל את האירוע בזמן אמת".

גולת הכותרת: סמכויות המערך - והסנקציות

במקרה של "תקיפה חמורה" - המוגדרת ככזו המסכנת את ביטחון המדינה, חיי אדם או שירותים חיוניים - יזכה המערך לסמכויות נרחבות: דרישת ידיעות, מסמכים וחומרי מחשב לצורך בלימת התקיפה. בנוסף, עובד מוסמך מהמערך יוכל להורות לארגון לבצע פעולות אקטיביות, דוגמת סריקה או חסימה, במקרה שהארגון אינו פועל באופן נאות, לצד חובת יידוע צדדים שלישיים.

החקיקה החדשה כוללת מנגנוני אכיפה משמעותיים. מערך הסייבר יוכל להטיל עיצומים של עד 640 אלף שקל על הפרת דרישות הגנה, ועד 300 אלף שקל על אי־דיווח או אי־ציות בעת תקיפה. במקרה של תקיפה חמורה, אי־ציות להוראות בלימה עלול להוביל לאחריות פלילית, עונש מאסר של עד שנתיים וקנסות אישיים על נושאי משרה.

עו"ד אסף הראל, שותף ומוביל תחום הסייבר בגורניצקי, מסביר: "המשק הישראלי הוא מהמותקפים בעולם. התזכיר מבקש לצמצם פער מסוכן בין רמת האיום להיערכות בשטח, באמצעות סט דרישות מחייב וכלי אכיפה שיוצרים תמריץ אמיתי לציות. חיוני בעיני לתת למערך הסייבר כלים להגן על המשק מפני מתקפות סייבר חמורות שעלולות להביא לפגיעה רחבה במשק". לדבריו, זו גולת הכותרת בהצעת החקיקה - סמכויות האכיפה של המערך.

ומה בדיוק קרה ב־2018?

כאמור, ב־2018, מערך הסייבר הגיש את הצעת חוק הסייבר - שחטפה ביקורת חריפה. איגוד האינטרנט הישראלי טען אז כי החקיקה גורמת לגולש "תחושה לא נעימה, שמול עיני הקורא קם ארגון ביון חדש, שתחום פעילותו הוא מרחב הסייבר הישראלי, וסמכויותיו רחבות מני ים". בשל הצעת החוק, עלו חששות כבדים מפני פגיעה בפרטיות ובסודיות העסקית של המגזר הפרטי.

גם כעת, הסמכויות הנרחבות להתערבות במקרה של תקיפה חמורה מעוררות סימני שאלה, אך ה־7 באוקטובר שינה את המשוואה. המלחמה חשפה נקודת תורפה בשוק הישראלי - שירותי האחסון והשירותים הדיגיטליים - והובילה את המערך לדרוש סמכויות חירום כדי להתמודד עם מתקפות חמורות בסקטורים אלה.

לדברי עו"ד הראל, נראה כי נעשה צעד על־ידי מערך הסייבר כדי למקד את החקיקה, אך לצד זאת הוא טוען כי "היקף הסמכויות הרחב, חובות הדיווח והאפשרות להתערבות תפעולית בזמן אמת בפעילות של ארגונים, מחייבים איזונים מדויקים, שקיפות והגנות חזקות לזכויות יסוד - ובראשן פרטיות, סודיות מסחרית והוודאות המשפטית".

הראל מוסיף כי התזכיר כולל סמכויות פליליות, וכי "יש מקום לתהות האם הכלי הפלילי הוא אכן הכלי המתאים בנסיבות אלה".

המומחים מטילים ספק ביעילות

סוגיה נוספת שמעלה עו"ד הראל נוגעת לחשיפת מידע עסקי סודי: "יש לתהות האם קיימים איזונים מספקים - כגון סודיות של מידע מסחרי רגיש, לדוגמה". מה שבטוח, לדבריו, "החקיקה צפויה להביא לעלייה בהוצאות הכספיות של ארגונים על הגנת סייבר ולהעלאת המודעות של הדירקטוריון וההנהלה הבכירה לעיסוק בסיכוני סייבר בארגון".

מנגד, ד"ר קוזלובסקי, העוסק בהיבטי הטכנולוגיה במשברי סייבר, תוהה לגבי היעילות המעשית של המהלך: "יש לשאול האם הנהלים הקבועים בחוק לא רק מגבירים את ה'מסמכולוגיה' ואת השאלה איזה יועץ צריך להעסיק? או שמא יש לאמץ את החקיקה המקובלת בעולם, שעברה לדבר במונחים של מוכנות טכנולוגית. חקיקה שנשענת על פתרונות טכנולוגיים תעודד חוסן טכנולוגי, ולא עוד עבודות ציות וניירות".