"חוק הסייבר לא נחקק ואנחנו עם המכנסיים למטה"

שרי הממשלה אישרו, במשאל טלפוני, תקנות חדשות לשעת חירום, שנועדו להתמודד עם מתקפות סייבר.

במערך הסייבר הלאומי עבדו על התקנות הללו, על מנת לספק סמכויות נוספות להתמודדות עם המתקפות החמורות. "ברקע העלייה בהיקף ובעוצמת מתקפות הסייבר כנגד גופים אזרחיים במשק הישראלי והמערכה המתמשכת מול איראן גם בחזית הסייבר", נמסר מהמערך, "עלה צורך מבצעי ודחוף לחזק את יכולת ההתמודדות הלאומית עם מתקפות סייבר חמורות שמתרחשות בחברות המעניקות שירותים דיגיטליים. חברות מסוג זה מהוות פעמים רבות שער כניסה לתוקפים להגיע לארגונים רבים במקביל, עם פוטנציאל לפגיעה משמעותית ורוחבית במשק".

מהן התקנות שאושרו כעת?

לפי התקנות שאושרו, "במקרה שבו עולה במערך הסייבר הלאומי חשד למתקפת סייבר כנגד ספק שירותי אחסון ושירותים דיגיטליים, ניתן יהיה לדרוש מידע הקשור לתקיפה מגוף זה לשם בירור". עוד נקבע כי "ספקי שירותי אחסון ושירותים דיגיטליים יחויבו לדווח למערך הסייבר הלאומי על כל מתקפת סייבר משמעותית שמתרחשת בפועל בזמן אמת, במטרה לבלום את האירוע ולמנוע את התפשטותו". עוד חלה חובת עדכון: "ספק שירותים דיגיטליים שזיהה מתקפת סייבר, יחויב להתריע וליידע ארגונים מקושרים כגון לקוחות המחוברים למערכותיו, במטרה לצמצם את פוטנציאל הנזק ולמנוע המשך התפשטות לארגונים נוספים במשק ופגיעה רוחבית".

התקנות מחריגות חברות העומדות בתקינה בינלאומית מחמירה בתחום אבטחת הסייבר – תקינה המעידה על מוכנות טכנולוגית גבוהה להתמודדות עם איומי סייבר וצמצום משמעותי של הסיכון המערכתי. חברות אלו יהיו פטורות מן החובות שנקבעו בתקנות.

התקנות בתוקף ל-30 יום החל מהיום. במקביל, המערך מתכוון להמשיך לקדם את החוק להגנת סייבר שמטרתו חיזוק ההגנה על ארגונים חיוניים בישראל.

"⁠רע מאד שחקיקת חירום מתקבלת במשאל שרים בווטסאפ"

לדברי ד"ר תהילה שוורץ-אלטשולר, עמיתה בכירה במכון הישראלי לדמוקרטיה ומומחית למשפט, טכנולוגיה ותקשורת: "על אף שהכתובת הייתה על הקיר – לא נחקק עדיין חוק סייבר בישראל, שיקנה למערך הסייבר ולרשויות ביטחון אחרות סמכויות מוגדרות בנוגע להגנה על מרחב הסייבר האזרחי. ⁠לכן אנחנו עם המכנסיים למטה, ויש צורך להעביר תקנות לשעת חירום ברגע האחרון. זאת, למרות שכבר מתחילת מלחמת חרבות ברזל היה צורך לפעול באמצעות תקנות לשעת חירום".

"החשש מפני מתקפות סייבר כחלק מניהול מלחמות מלווה אותנו בשנים האחרונות", אמרה. "הסייבר הוא היתרון שיש למדינות כמו איראן, על פני ארגוני הטרור כמו חמאס".

ד"ר שוורץ-אלטשולר התייחסה לחידושים העיקריים, ביחס לחקיקת החירום הקיימת, ואמרה כי "חובת 'דיווח על תקיפת סייבר חמורה למנהל מוסמך' – זו חובה מקובלת בתחום הגנת סייבר במדינות אחרות באירופה. גם 'חובת מסירת הודעה לארגון מקושר' היא הסדר מקובל במדינות דמוקרטיות אחרות, להתמודדות עם תקיפות בשרשראות אספקה. חשוב לעודד ולהעניק תמריץ לשוק האזרחי לאמץ סטנדרטים טכנולוגיים של הגנת סייבר בעצמו, במקום לעשות זאת בצורה חודרנית וכופה על ידי הרגולטור. כך אפשר יהיה גם לעדכן את התקנים מבלי שיהיה צורך לשנות כל פעם את החקיקה".

לגבי הסעיף הדן בחובת מחיקה של מידע שהתקבל לפי החוק, אמרה המומחית כי "כך מובטח עיקרון מיזעור המידע ונחיצות המידע, שהם עקרונות חשובים בדיני הגנת הפרטיות. הסעיף הדן בחובת דיווח ליועמ"ש ולוועת חו"ב אחת לשבועיים – ולא פעם בחודש כמו בחקיקת החירום – משקף החמרת יכולת הפיקוח על סמכויות אלו. כלומר, במקביל להרחבת סמכויות דרישת הדיווח, יש העמקה של הפיקוח על ניצול הסמכות".

לדברי ד"ר שוורץ-אלטשולר, "⁠תוקף התקנות הוא חודש בלבד. יתכן שיוארכו כפי שנעשה בעבר ואז יכול להיות שיהיה טעם ללחוץ שיהיה תיקון של חוק הוראת השעה".

היא סיכמה באומרה כי "⁠רע מאד שחקיקת חירום שאמורה לשקף את הצורך להדק את הגנת הסייבר, מתקבלת במשאל שרים בווטסאפ. הדבר מלמד על היעדר מוחלט של הבנה באבטחת מידע".