תקנות הסייבר החדשות לשעת חירום: עידן חדש או טלאי זמני?

עם עליית מתקפות הסייבר מאז תחילת מלחמת ישראל-חמאס, ממשלת ישראל אישרה בשבוע שעבר תקנות חירום שמעניקות סמכויות חסרות תקדים למערך הסייבר הלאומי ולשב"כ. התקנות, שאושרו בהליך בזק במשאל טלפוני בין השרים, נועדו להתמודד עם גל תקיפות הסייבר שמאיים על תשתיות דיגיטליות, שירותי ענן וארגונים אזרחיים, ומסמנות שינוי מהותי בממשק שבין המדינה, המגזר העסקי והציבור הרחב. מה שפעם היה בגדר המלצה, הפך כעת לחובה משפטית עם אחריות אישית, השלכות תדמיתיות, וחשיפה לקנסות.

התקנות גם מעבירות מסר ברור שאומר – האחריות על אבטחת המידע אינה רק של המדינה, אלא גם של הגורמים הפרטיים שמספקים שירותים דיגיטליים קריטיים. בכך, הן מחזקות את שיתוף הפעולה בין המגזר הציבורי לפרטי, ומעודדות יישום של Best Practices עולמיים בתחום הסייבר

שלושת החידושים המרכזיים שהתקנות קובעות 

סמכות דרישת מידע: למערך הסייבר הלאומי יש כעת סמכות לדרוש מספקי שירותי ענן ושירותים דיגיטליים כל מסמך או מידע, כאשר יש חשש ממשי לתקיפת סייבר חמורה או כאשר תקיפה כזו מתבצעת בפועל. המטרה היא לאפשר זיהוי, בלימה וטיפול מהיר באיומים, ולמנוע פגיעה בזמינות, מהימנות ורציפות השירותים.

חובת דיווח מיידית: ספקים חייבים לדווח באופן מיידי למערך הסייבר הלאומי על כל תקיפת סייבר חמורה, במיוחד אם יש חשש שהפגיעה אינה מוגבלת לספק עצמו, או שהיא עלולה להשפיע על מספר משמעותי של משתמשים. אי-דיווח יגרור סנקציות משמעותיות.

חובת עדכון ללקוחות: מעבר לדיווח לרשויות, הספקים מחויבים לעדכן כל ארגון מקושר שעלול להיפגע מהתקיפה, אלא אם ניתנה הוראה אחרת. מדובר במהלך שמחזק את השקיפות, אך גם את האחריות של הספקים כלפי לקוחותיהם.

עמידה בסטנדרטים ותקנים גלובליים תספק הקלות רגולטוריות

אחת הנקודות המעניינות בתקנות היא הפטור שמקבלות חברות שמיישמות תקינה בינלאומית מחמירה בתחום הסייבר (ISO/IEC 27001, SOC 2 Type 2, CMMC Level 3). חברות אלו, שמוכיחות עמידה בסטנדרטים גלובליים, יוכלו ליהנות מהקלות רגולטוריות – מהלך שנועד לעודד אימוץ תקנים מתקדמים ולצמצם את הנטל הביורוקרטי על גופים שמובילים באבטחת מידע.

התקנות מפרטות גם את רשימת התקנים המשלימים – בהם ISO/IEC 27017, ISO/IEC 27701, PCI DSS ואחרים – ומבהירות כי ספקים שמצהירים על עמידה בהם, יזכו ליחס מועדף ויוכלו להגיש תצהיר מסודר במקום לעמוד בכל דרישות הדיווח והעדכון הרגילות.

התקנות צפויות להשפיע בצורה ניכרת על שוק שירותי הענן, חברות סטארט-אפ וספקי שירותים דיגיטליים, שמעתה יידרשו להיערך טוב יותר לאיומי סייבר ולהשקיע באבטחת מידע. מצד אחד, התקנות עשויות להוביל לעלייה בהוצאות התפעוליות של חברות קטנות ובינוניות, שיאלצו לעמוד בדרישות מחמירות או להסתמך על ספקי ענן גדולים שמיישמים תקינה בינלאומית. מצד שני, יש כאן פוטנציאל ליצירת יתרון תחרותי לחברות ישראליות בשוק הבינלאומי, בזכות עמידה בסטנדרטים מחמירים והגברת אמון הלקוחות.

התקנות גם מעבירות מסר ברור שאומר – האחריות על אבטחת המידע אינה רק של המדינה, אלא גם של הגורמים הפרטיים שמספקים שירותים דיגיטליים קריטיים. בכך, הן מחזקות את שיתוף הפעולה בין המגזר הציבורי לפרטי, ומעודדות יישום של Best Practices עולמיים בתחום הסייבר.

"צורך מבצעי דחוף ומיידי"

ד"ר תהילה שוורץ-אלטשולר, עמיתה בכירה במכון הישראלי לדמוקרטיה. צילום: נורית יהלומי

התקנות, שיהיו בתוקף ל-30 יום בלבד, הוצגו כצעד הכרחי נוכח "צורך מבצעי דחוף ומיידי", לאור העלייה בהיקף התקיפות והנזקים, המוערכים בכחמישה מיליארד דולר בשנה לישראל.

עם זאת, יש מי שמבקר את האישור המהיר וטוען כי מדובר בסימפטום למשבר עומק. ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה אומרת כי "הכתובת הייתה על הקיר, ועדיין אין חוק סייבר מסודר שמסדיר את סמכויות המדינה במרחב הדיגיטלי האזרחי". היא מזהירה מפני קבלת החלטות חפוזה שמדלגת על דיון ציבורי ופרלמנטרי.

במערך הסייבר הלאומי כבר מקדמים תזכיר חקיקה, שיבקש להסדיר את הנושא בחוק יסוד, אך טרם הוחלט האם מדובר בהעתקת התקנות או בהרחבתן. עד אז, ישראל פועלת במצב חירום מתמשך, תוך ניסיון לאזן בין שמירה על חוסן דיגיטלי, חופש פעולה עסקי וזכויות הפרט.

תקנות החירום החדשות הן תגובה נחוצה למציאות ביטחונית משתנה, אך גם תמרור אזהרה: ישראל חייבת לעבור מהתנהלות של "כיבוי שריפות" להסדרה רגולטורית סדורה, שתבטיח הגנה אפקטיבית על המרחב הדיגיטלי מבלי לפגוע בחופש, ביזמות ובחדשנות שמאפיינים את המשק הישראלי.

אמנם אין בתקנות דרישה מפורשת לנקוט באמצעי הגנה, כגון התקנת פתרונות אבטחה, ביצוע סקרי סיכונים, או הצפנה. כמו כן אין חובה חוקית לפעול פרואקטיבית למניעת תקיפה, אך בפועל – אי-קיום אמצעים בסיסיים יכול להחמיר את חומרת התקיפה ואת התגובה הרגולטורית.

השאלה שנותרה פתוחה: האם התקנות הללו הן התחלה של עידן חדש, או עוד טלאי זמני על מערכת שמחכה לרפורמה אמיתית?

הכותבת היא מנהלת מערך לקוחות בחברת ארמורי דיפנס