קידום חוק הסייבר: צו השעה, רגע לפני האסון הבא

שני שרביט, סמנכ"לית בכירה למדיניות במערך הסייבר הלאומי במשרד ראש הממשלה, אמרה השבוע בכנס של ISACA , שהופק על ידי אנשים ומחשבים, כי חוק הסייבר שהממשלה הגישה לכנסת יעלה למשק בחמש השנים הראשונות שלאחר חקיקתו 1.7 מיליארד שקלים. זהו סכום מכובד, אבל במקרה הזה, לא ההיבט הכלכלי מעכב את אישור החוק וביצועו על ידי רשויות המדינה.

מטרת החוק היא לעגן את כל נושא האסדרה והטיפול בהגנת סייבר בממשלה ובמשק בכלל, וליצור פלטפורמה אחת ברורה שתאפשר לכל אחד מהגופים לפעול בצורה נכונה על מנת למזער את סיכוני הסייבר.

שרביט הסבירה כי חלק מהאסטרטגיה הלאומית להגנת הסייבר היא בנייה של מערך חוסן, שיאפשר לעורף האזרחי לדעת להתמודד עם ההשלכות של זה. החוק מתבסס על החלטת הממשלה מלפני כשנה לאחד את מטה הסייבר והרשות הלאומית להגנת הסייבר לגוף אחד – מערך הסיביר הלאומי, והוא אמור לתת למערך החדש את מה שלא היה לשני הגופים הקודמים: סמכות – לא רק לאכיפה אלא גם להנחיה ולהסברה.

אין סמכות, אין אחריות

המערך הוא גוף אזרחי ובתור שכזה, הוא שואף להתקרב כמה שיותר לאלה שהוא אמור לפקח עליהם ולהנחות אותם – מה שלא היה במתכונת הקודמת. החוק החדש אמור לשנות את המצב הזה, ולו במעט.

רמת המודעות של מרבית המגזר האזרחי לסיכוני סייבר היא חלשה ביותר. ארגונים לא משדרים שהסייבר הוא אחד הדברים החשובים ושנמצאים בנפשם, ולא מקצים לכך מספיק משאבים – לא ברמת כוח האדם ולא ברמת התקציבים. מספר בעלי התפקידים במגזר העסקי, כמו גם הציבורי, שממונים על סייבר באופן ישיר ונמדדים על כך שואף לאפס.

בהעדר בעל סמכות, השטח מגיב כפי שהוא מבין, ולעתים אף מעגל פינות. חריגים מעט הם גופים ממשלתיים שמפוקחים על ידי גופים ביטחוניים, או חברות ציבוריות שאימת המניות בבורסה והאחריות השילוחית שיש לדירקטוריון מאלצים אותם לערוך בדיקות ולוודא שהאנשים האחראים על הסייבר והאבטחה בארגון לא נרדמו בשמירה.

האם סדר בממשלה יביא לסדר גם בשוק הפרטי?

חוק הסייבר נועד קודם כל לעשות סדר בתוך הממשלה עצמה, שעם הקמת מטה הסייבר ורשות הסייבר העצימה את הבלבול שהיה בשוק, ושגם שם המצב לא מזהיר, בלשון המעטה. כאשר חוק הסייבר ייכנס לתוקפו, בתקווה שעוד בכנסת הנוכחית, הוא יגדיר באופן מדויק מי בעל התפקיד שאחריותו לשמור על הארגון מפני תקיפות סייבר.

יועץ סייבר בכיר אמר לי פעם שהגנת המדינה מפני סייבר כמוה כהגנה מפני כל איום אחר. אלא שכמו שבמערכי הגנה פיזיים, המדינה מציבה חיילים בגבולות ובנקודות מרכזיות, והיא לא יכולה להציב חייל ליד כל בית, אין ביכולתה להציב "שומר סייבר" בכל מקום. האחריות היא על הארגון עצמו – ציבורי או פרטי, עסקי או ממשלתי, ואם הארגון אינו מודע לכך, התקיפה הבאה, שיכולה לגרום לנזקים בלתי הפיכים, היא רק עניין של זמן.

האכיפה היא אחד הכלים שיועילו כאן, כי כאשר יש כלים לאכיפה, או אפילו לענישה, מרבית הגורמים המפוקחים מתיישרים לפי ההנחיות ועושים מאמצים לשפר את רמת ההגנה שלהם, ואחריהם גם חלק מהגופים האחרים.

נכון להיום, המצב אינו כזה. לפני שנה וחצי, ביוני 2017, חוק הסייבר עבר בקריאה ראשונה, בתמיכה של 51 ח"כים אל מול שבעה מתנגדים. החוק עבר לוועדת החוץ והביטחון, ומאז הוא תקוע שם. כאן הוא שורש הבעיה: אם הממונים על ביטחון המדינה לא מבינים את הקריטיות שבחקיקה שתפקידה להעלות את רמת המוכנות של המשק האזרחי למתקפות סייבר מסוכנות, ולא לוחצים על הכנסת לפעול, אין טעם לבוא בטענות לכל גוף אחר שלא רואה בסייבר את האיום הכי חמור עליו. המצב חמור לא פחות כשזה נוגע לתשתיות לאומיות, שאינן מפוקחות על ידי רא"ם שבשב"כ אבל השבתתן, ולו לזמן קצר, משתקת מדינה שלמה.

השורה התחתונה: חוק הסייבר חייב להיות מאושר כמה שיותר מהר. עלותו אמנם לא זולה, אבל הנזק שיכול להיגרם למשק מתקיפה אחת יותר מדי עלול להיות גדול הרבה יותר.