לקראת אירוע | רגולציה לשיפור הגנת הסייבר של ישראל
מאת גבי סיבוני*
רוב המערכות בחברה מפותחת תלויות בתשתיות מחשוב ומידע, והתלות בטכנולוגיות אלו גורמת לכך שפגיעה במחשבים ובתהליכי זרימת מידע עלולה לשבש, לשתק ולעיתים אף לגרום לפגיעות פיזיות של ממש במערכים חיוניים. השימוש בטכנולוגיות מידע בישראל הוא נרחב מאוד, הן בסקטורים הציבוריים והן בסקטורים הפרטיים. ישראל מספקת, אפוא, כר מטרות נרחב לתוקף הקיברנטי הפוטנציאלי.
במדינת ישראל הוקמה בשנת 2002 הרשות הממלכתית לאבטחת מידע. כמו כן, הוקמה ועדת היגוי במועצה לביטחון לאומי, שתפקידה לבחון את סיכוני אבטחת המידע, ונקבע כי הכללים שתקבע יחולו על כמה גופים ומוסדות שמערכות המידע שלהם הוגדרו כקריטיות, בהם חברת החשמל, בנקים, משרדי ממשלה וכדומה. הוועדה גם הוסמכה להחליט על הוספת גופים לרשימה זו מעת לעת. הגופים בשירות הציבורי הנדרשים להגנה מפני התקפה קיברנטית נמצאים זה מכבר תחת הנחיית הרשות לאבטחת מידע.
איתור גופים נוספים, שפעילותם מחייבת הנחייה של הרשות לאבטחת מידע, הינו מטלה חיונית לצורך בניית מערכת הגנה אופטימאלית. סקרים הנערכים מעת לעת ומידע המועבר ממשרדי הממשלה השונים חיוניים בתהליך זה אולם אינם מספקים. יש ליצור תהליך מובנה שיאפשר שיפור משמעותי, בעיקר בכל הקשור למיזמים מסוימים בסקטור הפרטי החשופים לפגיעה קיברנטית, אשר השפעתה עלולה להיות רחבה ואף להגיע לרמה הלאומית.
עיקרי ההצעה לשיפור המצב שתואר לעיל נוגעים להכנסת תחום ההגנה הקיברנטית כמרכיב מובנה בתהליך הסטטוטורי הקיים, וזאת הן בשלבי ההקמה של מיזם (אישורו בוועדות התכנון השונות) והן בתהליך התפעול שלו (חוק רישוי עסקים). מוצע, כי במסגרת תהליכי התכנון במדינה יידרש כל מיזם המוגש לאישור בוועדות התכנון להגיש תסקיר עמידוּת קיברנטית. תסקיר זה יהווה הכלי הסטטוטורי העיקרי לצורך איתור ובחינת חשיפתו של המיזם לאפשרות של התקפות קיברנטיות ולגיבוש תהליכי הגנה נגד חשיפות אלו. התסקיר גם יספק לרשות לאבטחת מידע כלי לאיתור וניהול מערך התשתיות הקריטיות להגנה במדינה. לצד זאת, תוכל הרשות הרלוונטית הממונה על רישוי המיזם – רישוי המחייב חידוש עיתי – לבדוק את העמידה המתמשכת של הגוף הנבחן בהוראות ההגנה הקיברנטית.
מבחינה סטטוטורית, תחולת התסקיר צריכה להיות גורפת ועליה לחול על כל הבקשות, אלא אם ניתן לכך פטוֹר מהגורם המוסמך. אולם מבחינה מעשית, יידרש גורם הרגולציה שיקבע לקבוע אמות מידה שיגדירו את המיזמים והפרויקטים שלגביהם תתקיים חובת הגשת התסקיר. אמות מידה אלו יוכלו להתייחס למספר מרכיבים, כמו גודלו של המיזם, הסקטור אליו הוא משתייך (לדוגמה, מיזם הפועל בסקטור האנרגיה, המים, המזון וכדומה), הממשקים של מיזם זה עם גורמים הנמצאים כבר תחת הנחיית הרשות לאבטחת מידע, והיבטים שונים הנוגעים לתחולת הנזק של תקיפה קיברנטית על הגוף.
כאמור, השימוש בחוק רישוי עסקים מהווה פלטפורמה מתאימה ליישום הוראות והנחיות בתחום ההגנה מפני מתקפה קיברנטית. עם זאת, בשל מגבלות החלות על כל הקשור לביטחון וזליגה של מידע, נדרש יהיה להגדיר תהליך זה כתהליך ממודר, שאינו פתוח לציבור הרחב אלא רק לגורמים מוסמכים.
עם התגברות ההבנה שהמרחב הקיברנטי הופך לנגד עינינו למרחב לחימה של ממש, יש לשפר את העמידוּת של מדינת ישראל וכלכלתה מול תקיפות מסוג זה. הכנסה של תחום ההגנה מפני מתקפה קיברנטית לתוך התהליכים הסטטוטוריים במדינת ישראל תוכל לאפשר בקרה קבועה ושיטתית על חסינותה של מערכת ההגנה הקיברנטית של ישראל ושיפור מתמשך של אמצעי ההתגוננות.
* ד"ר גבי סיבוני עומד בראש התכניות צבא ואסטרטגיה ולוחמת סייבר במכון למחקרי ביטחון לאומי (INSS).
מבוסס על מאמר שפורסם בכתב העת "צבא ואסטרטגיה" במכון למחקרי ביטחון לאומי. ניתן לקרוא את המאמר המלא בכתובת הבאה [PDF]