לא מספיקה כיפת ברזל לתשתיות התקשורת – גם להנהלות יש אחריות

שר התקשורת, יועז הנדל, והראש החדש של מערך הסייבר הלאומי, גבי פורטנוי (בהופעה ראשונה), הציגו היום (ב') במסיבת עיתונאים משותפת שורת צעדים רגולטוריים על ספקיות התקשורת, כדי להדק עוד יותר את ההגנה שלהן על התשתיות. השר הנדל ציין כי שוק התקשורת, שהמשק הישראלי נשען עליו דרך אותן חברות, מהווה יעד למתקפות מצד גורמים מדינתיים שונים – איראן, אבל לא רק.

הנדל אמר שהנחת היסוד היא שהחברות מעוניינות להגן על התשתיות שלהן, שמשרתות את לקוחותיהן. אבל אנחנו נמצאים בעידן חדש, שבו הצורך בהידוק השמירה על תשתיות התקשורת חייב להיות מעוגן ברגולציה, שתאפשר פיקוח שכולל גם סנקציות נגד מנכ"לים והנהלות בכלל שלא יעשו את המוטל עליהן.

החידוש הנוסף במסיבת העיתונאים היה בעצם השתתפותו של ראש מערך הסייבר, שסימלה שיתוף פעולה נכון בין שני גופים חשובים בממשלה – מה שמבטיח סיכוי גדול יותר להצלחה ברגולציה יעילה ובשמירה על תשתיות התקשורת מפני מתקפות סייבר. פורטנוי אמר שהרגולציה החדשה היא חלק מתפיסת כיפת ברזל לסייבר שהממשלה רוצה לקדם, בין היתר על רקע התגברות המתקפות על תשתיות האינטרנט של מדינת ישראל.

כל זה טוב ויפה, וכיפת ברזל על תשתיות האינטרנט הייתה צריכה להיות כבר מזמן. האיומים על מדינת ישראל הם כבר מזמן לא רק בגבולות הפיזיים, אלא גם בגבולות הווירטואליים וכשם שהצבא על חייליו מגן על הגבולות, יש להציב הגנות תואמות על התשתיות, לרבות תשתיות התקשורת. אבל צריך להיזהר שהמסר החדש הזה עלול להתפרש כהורדה מהאחריות האישית שמוטלת על בעלי הרשתות, מנהלי החברות, מנהלי המחשוב והסייבר – וגם על כל אחד ואחת מאתנו, המשתמשים.ות.

משמאל: ראש מערך הסייבר הלאומי, גבי פורטנוי, ושר התקשורת, יועז הנדל, במסיבת העיתונאים היום (ב'). צילום: יח"צ

המצב כיום לא מזהיר, מפני שיש חברות רבות ממגזרים חשובים שלא כפופות לאכיפה של מערך הסייבר, אלא מתייעצות אתו לפי החלטתן ורצונן. קחו לדוגמה מרכז לוגיסטי (מרלו"ג) של רשת סופרמרקטים גדולה. ברצותה של החברה היא יכולה להתייעץ עם מערך הסייבר הלאומי וליישם את המלצותיו – וברצותה לא. זאת, על אף שמתוקף תחום הפעילות שלה, היא חיונית, ולשיבוש באספקה של המוצרים שהיא מספקת, בהם מוצרי מזון בסיסיים, עלולה להיות השלכה דרמטית על החיים של כולנו ועל המשק.

גידול במספר הפניות למערך הסייבר

מהצד החיובי, פורטנוי ציין באירוע שבשנה האחרונה חל גידול במספר הפניות למערך מצד הסקטור העסקי, וזה נתון מעודד. אך זה לא סוד שהגידול בפניות נובע בעיקר מפחד מאירועי סייבר גדולים שיתרחשו אצל אותם פונים, כגון שירביט והלל יפה. שני אירועים אלה חוללו שינוי בהתייחסות ההנהלות לתחום הגנת הסייבר, כי המנהלים הבינו שמתקפות כאלה עלולות לגרום נזקים עצומים לארגונים שבראשם הן עומדות, וכי הם הבינו שהם נושאים באחריות אישית-שילוחית על מה שקורה.

צריך להיזהר שהמסר החדש של הממשלה עלול להתפרש כהורדה מהאחריות האישית שמוטלת על בעלי הרשתות, מנהלי החברות, מנהלי המחשוב והסייבר – וגם על כל אחד ואחת מאתנו, המשתמשים.ות

המשימה כעת היא למנוע אירועים אלה לפני שהם קורים, ולאור הגידול המשמעותי במתקפות, שאותו ציינו הנדל ופורטנוי, הגיע הזמן שהממשלה תשנה את כללי המשחק, ותכניס תחת רגולציה מחייבת גם סקטורים שלשיבוש בפעילות שלהם יש השלכה על החיים במדינה – וכיום אינם נתונים תחת פיקוח.

סביר להניח שיוזמה שכזו תיתקל בהתנגדויות מצד גורמים שונים, בהם כאלה שאמונים על הפרטיות ואולי אף חלק מהחברות עצמן. אין גורם שרוצה נציג של משרד ראש הממשלה בישיבות ההנהלה שלו, והתערבות ממשלתית בפעילות במשק נוגדת את חופש התחרות. אבל בין שמירה קנאית וחשובה על עקרונות אלה להעדר מנגנון אכיפה ופיקוח המנעד הוא גדול, ויש הרבה מה לעשות.

השורה התחתונה: מדינת ישראל זקוקה אמנם לכיפת ברזל דיגיטלית שתגן על נכסי המידע שלנו, אבל היא חייבת להסביר לכלל המשתמשים – בין אם הם משתמשים ארגוניים או פרטיים – שהאחריות על הרשתות היא קודם כל שלהם. היא חייבת להמחיש להם, ובעצם לנו, שעלינו לעשות הכול כדי לשמור על המידע שלנו, ושתפקידה של המדינה הוא לוודא שאנחנו עושים זאת. הגיע הזמן לרגולציה מתאימה, שתאפשר גם אכיפה מונעת, ויפה שעת אחת קודם.