מה תפקידו של מערך הסייבר – מנקה וירוסים או האח הגדול?

ועדת השרים לחקיקה אמורה לדון באחת מישיבותיה הקרובות בהצעה להרחיב את סמכויות מערך הסייבר הלאומי ולהפוך אותו ל-"אח הגדול" של כל עסק, חברה וארגון אזרחי במדינה – כך על פי דיווחים שפורסמו אתמול (א'). לפי ההצעה, המערך יהפוך לגוף רגולציה שיפקח על ויעקוב אחר מערכות ההגנה על אבטחת המידע של כל אחד מהם, ויכתיב אילו מערכות יש להתקין ומתי.

מי שמתנגד ליוזמה הזו הוא האלוף (מיל') פרופ' יצחק בן ישראל, ראש מרכז הסייבר באוניברסיטת תל אביב ומי שמונה על ידי ראש הממשלה, בנימין נתניהו, לעמוד בראש הוועדה שבעקבות המלצותיה הוקם מטה הסייבר, שלימים אוחד עם רשות הסייבר למערך הסייבר הלאומי. פרופ' בן ישראל סבור שיש להיצמד לכוונות המקוריות של מערך הסייבר ולמה שהוא עושה מאז היווסדו: הגנה היקפית. או, כפי שהוא הגדיר זאת, "לנקות את הווירוסים מהרשת, לפני שהם מגיעים למחשבים שלנו". במילים אחרות, הוא מתכוון לכך שהמערך צריך לשמור על "גבולות המדינה" בכל הנוגע לסייבר, לא לעסוק בתכנים ובוודאי שלא לשבת כ-"אח הגדול" במועצות מנהלים של ארגונים וחברות פרטיות.

אלוף (מיל') פרופ' יצחק בן ישראל, ראש מרכז הסייבר באוניברסיטת תל אביב. צילום: יח"צ

היוזמה הזו והסוגייה ככלל אינן חדשות. קצת לפני שהוקם מטה הסייבר פעלה יחידת רא"ם שבשב"כ, שתפקידה היה להגן על מערכות המחשוב של ארגונים שיש להם תשתיות קריטיות, למשל ארגונים פיננסיים. באחד הימים, באחד השיאים של המתקפות על ארגונים (אז עוד לא הייתה רווחת המילה סייבר), הועלה רעיון לשלוח נציג לכל מועצת מנהלים של ארגון מסוג זה, לרבות הבנקים, שיוודא שהם אכן עומדים בכללי אבטחת המידע. ההצעה נפלה מהר מאוד בעקבות התנגדות של ראשי הבנקים והחברות.

פתח לדיון רחב יותר

הגנה על מערכות מחשוב ומידע היא דבר קריטי ושיבוש שלהן עלול לפגוע קשות בתפקוד של המדינה, במיוחד בשעת חירום. אבל כאשר שמים על כף המאזניים את ביטחון הרשת, התשתיות ויציבות העסקים מול עקרונות הדמוקרטיה, חופש הפרט וההגנה על הפרטיות, כף המאזניים צריכה לנטות לצד האחרון.

הכוונה לדון בהצעה בוועדת השרים לחקיקה למעשה פותחת צוהר לדיון רחב יותר: מהו בעצם תפקידו של מערך הסייבר? האם הוא גוף מייעץ? רגולטור? גוף מפקח עם סמכויות שיפוטיות? מהו תפקידו של המערך בסיטואציה שבה מחשב של ארגון אזרחי, או אפילו מחשב אישי של אזרח תמים בבית, נפרץ ובאמצעותו התוקפים עלולים לבצע פעולות סייבר מסוכנות? האם במקרה זה יהיה מערך הסייבר רשאי להחרים את מחשבו של האזרח החף מפשע? האם יהיה עליו לפנות לבית המשפט או למשטרה? אלה הן כמ שאלות מתוך הסיפור המורכב הזה.

מערך הסייבר הלאומי

ההצעה מעוררת תגובות נחרצות נגדה על רקע העיתוי שבו אנחנו נמצאים. משבר הקורונה הביא עימו פריצה רחבה ומסוכנת של גבולות הדמוקרטיה, חופש הפרט והשמירה על הפרטיות. אפשר להזכיר בהקשר זה את איכוני השב"כ, שבג"ץ פסל היום (ב') את השימוש הגורף של המדינה בהם והורה לה לחדול מכך עד ל-14 במרץ, למעט במקרים חריגים, ואם היא רוצה בכל זאת להמשיך בהם, כדי לאתר חולי קורונה ומחובבי בידוד – עליה להתחיל בחקיקת חוק רלוונטי כבר השבוע. עוד ניתן להזכיר בהקשר זה את החוק שמאפשר העברת מידע לרשויות המקומיות על אנשים שלא התחסנו, כולל כאלה שלא רוצים להתחסן, והדרכון הירוק, שמפתחיו אמנם טוענים שהוא מוגן, אבל יש חשד שלא כך הדבר, לפחות לא ב-100%. מה גם שאם ההצעה תתקבל, בעל עסק שהתמזל מזלו ושרד את הקורונה, וכעת צריך להתמודד עם ההנחיות של התו הסגול שמשתנות בכל חמש דקות, יצטרך למלא אחר "תיק" נוסף בדמות הנחיות איך לאבטח את המידע בעסק שלו.

מנגד: אבטחת הסייבר במגזר הפרטי טעונה שיפור

צריך לומר שהצעת החוק מבוססת על מציאות לא ממש מלהיבה בכל מה שקשור לאבטחת המידע במגזר העסקי. פרשת שירביט והקורונה האיצו הרבה מאוד תהליכי קבלת החלטות בארגונים שעד לפני הקורונה התייחסו לאיומי סייבר ופריצות כ-"לי זה לא יקרה", ושינו את דעתם משראו שזה קורה ליותר מדי ארגונים. אלא שהמצב עדיין לוקה בחסר וטעון שיפור. כאן יכולה להיות, וכבר יש, למערך הסייבר תרומה: עליו להשקיע את מאמציו בהסברה, הדרכה וסיוע במצבי משבר. הוא כבר עושה את זה במידה מסוימת, אבל יש לעשות עוד הרבה. זאת, לצד תפקידו להג בצורה כמה שיותר הדוקה על מרחבי הסייבר הלאומיים והארגונים הקריטיים במדינה.

המחויבות להידוק ההגנה על נכסי המידע כבר נמצאת על שולחן של רבות ממועצות המנהלים, גם מפני שמבינים שם שזה קריטי וגם כי יש חוקים שמטילים על חבריהן אחריות אישית במקרה של כשל אבטחה ניהולי. על המגמה הזאת להימשך, לרבות בשיתוף מערך הסייבר הלאומי.

בשורה התחתונה, יש לקוות שהצעת החוק שמונחת על שולחן ועדת השרים לחקיקה לא תאושר ואף לא תגיע לדיון, ומערך הסייבר יחזק את מאמציו בפעילות שלשמה הוא קם.