הממשלה אישרה תקנות חירום להגנת סייבר
האם מדובר בניסיון להכניס בדלת האחורית, ובסתר, את חוק הסייבר השנוי במחלוקת בגלל פגיעתו הפוטנציאלית בפרטיות האזרחים?
ברקע כ-40 ניסיונות למתקפות סייבר על חברות מחשוב ושירותי אחסון דיגיטליים מאז תחילת המלחמה, הממשלה אישרה שלשום (ב') בלילה תקנות לשעת חירום, המאפשרות לטפל במתקפות סייבר חמורות. מומחים ציינו בפני אנשים ומחשבים כי "אף שההוראות עצמן מוצדקות, כי ישראל מצויה במצב מלחמה, עולה החשש כי זהו ניסיון 'לדחוף' את חוק הסייבר בדלת האחורית, בסתר, בלא ביקורת ציבורית ראויה ובלא דיון מעמיק על כל ההשלכות של התקנות, למשל – הרחבת השליטה הממשלתית בפעולות האזרחים".
מטרת ההוראה, נמסר ממערך הסייבר הלאומי, היא "לצמצם את הנזק הפוטנציאלי הרוחבי העלול להיגרם למשק בשעת חירום, כתוצאה ממתקפה שכזו".
לפי המערך, "בשל אופי השירות שמציעות חברות האחסון והמחשוב, הן מהוות ציר כניסה המאפשר לתוקפים להתפשט ולהגיע לגופים רבים המחוברים אליהן או שמאחסנים אצלן מידע – ואף לעשרות לקוחות במקביל".
פוטנציאל הפגיעה, הסבירו, "עלול להגיע גם לגופים חיוניים שמחוברים לחברות אלו, שתפקידן בשגרה ועוד יותר בחירום הוא קריטי, לרבות בתי חולים, חברות שילוח, משרדי ממשלה ועוד".
"בתקופת המלחמה ניכרה עלייה בניסיונות כנגד חברות מסוג זה, ואף באירועים שגרמו לנזק ממשי לכמה חברות במקביל", נמסר. "לצורך הגנה על הציבור ושמירה על הרציפות התפקודית במשק בעת זו, עלה הצורך הדחוף להעביר תקנות שעת חירום, לטובת איתור ובלימת התקיפה ולצמצום הנזק".
מה משמעות התקנות לשעת חירום?
במסגרת התקנות לשעת חירום, במקרה של מתקפת סייבר חמורה, "בעלת סיכון למדינה או לשירות חיוני, מערך הסייבר הלאומי, שב"כ, או משרד הביטחון – יהיו רשאים, בהתאם לסוג החברה שנפגעה, לתת לספקי שירותי אחסון ושירותים דיגיטליים הוראות לטיפול במתקפה".
ההוראות יחולו רק במקרה שהמתקפה אינה מטופלת באופן מספק על ידי ספקי שירותי אחסון ושירותים דיגיטליים.
עוד קובעות התקנות כי בטרם יינתנו הוראות, ישקלו ההשפעות האפשריות על היבטי פרטיות, ההשלכות הכלכליות של יישום ההוראה ועוד. נוסף לכך, גופי המדינה ידווחו ליועצת המשפטית לממשלה ולוועדת חוץ וביטחון של הכנסת, אחת לשבועיים, על מתן הוראות לפי תקנות אלו.
תקנות שעת החירום שאושרו נכנסו לתוקף באופן מיידי ויהיו בתוקף למשך חודש. במקביל, נמסר, "תקודם הוראת שעה בנושא, שהטיוטה שלה פורסמה להערות הציבור".
עורך דין המתמחה בדיני קניין רוחני, הגנת הפרטיות ואינטרנט, אמר לאנשים ומחשבים: "עולה חשש כי חוק הסייבר, אשר טרם נחקק באופן סופי, ייכנס 'כגנב בלילה' דרך התקנות לשעת חירום שאושרו, אשר מאפשרות לטפל במתקפות סייבר חמורות. כך, יש לעקוב האם לא נעשה כאן מחטף חוקתי, במסגרתו המדינה נוטלת לעצמה סמכויות הרבה יותר רחבות ממה שנדרש הלכה למעשה כדי להגן על אזרחי המדינה והארגונים שבה. זאת, כי עלול להיווצר מצב בו התקנות, ולאחר מכן החוק, יעשו שימוש בטכנולוגיה כדי להגדיל את מוטת השליטה הממשלתית על האזרחים".
"ייתכנו מצבים 'אפורים' בנושא היקף התחולה על ספקי שירותי אחסון"
עו"ד ורד זליכה הייתה בעברה ראשת תחום מדיניות בינלאומית ויוזמות בינלאומיות במערך הסייבר הלאומי, וכן היועצת המשפטית לתחום הסייבר בצה"ל. עו"ד זליכה היא שותפה וראשת תחום סייבר ובינה מלאכותית במשרד ליפא מאיר.
לדבריה, "ברקע לוחמת הסייבר, המתנהלת במקביל לשדה הקרב ברצועת עזה, והאיומים הגוברים מצד מדינות אויב וארגוני טרור, אפשר להבין את הצורך המתעורר בתקנות החדשות, לשם מתן מענה לחשש לפגיעה רוחבית במשק עקב פגיעה בספקי שירותי אחסון". "יחד עם זאת", ציינה, "התקנות, כמו גם טיוטת תזכיר החוק שמיועד להחליף אותן בהמשך הדרך, מעוררות כמה אתגרים. בין היתר, מזווית המבט הטכנולוגית-משפטית, ייתכנו מצבים 'אפורים' בנושא היקף התחולה על ספקי שירותי אחסון. לדוגמה, יכולה להתעורר השאלה מהי התדירות הנדרשת בחיבוריות שבין מחשבי הספק לבין מחשבי מקבל השירותים, המביאה לכך שהתקנות יחולו על ספק שירותי האחסון?".
"בנוסף", אמרה, "לפי התקנות, ככל שנעשתה פנייה על ידי גורם מוסמך לספק בדבר חשש לתקיפת סייבר חמורה, לספק יש אפשרות למסור תצהיר אודות עמידתו בתקן 800-53 NIST, הנוגע לבקרות אבטחת מידע ופרטיות למערכות מידע ולארגונים. מצד אחד, מדובר בתצהיר שנועד להקל לכאורה על הספק, אולם מצד שני, אם אכן קיים חשש משמעותי לתקיפת סייבר חמורה והכוונה היא להגן על המשק, יש לשאול: האם ברמה הטכנולוגית-אבטחתית, עמידה בתקן זה אכן מסירה כל חשש ותייתר בהכרח את התממשותם של הסיכונים שהתקנות נועדו למנוע?".
נו מה