האם מוצדק להפוך את ישראל למדינת משטרה בשם ההגנה על המרחב האינטרנטי המדינתי מפני התקפות סייבר? זו השאלה המרכזית שמעלה תזכיר חוק הסייבר שפורסם לאחרונה. בשם הגנת הסייבר מציע התזכיר להעניק למערך הסייבר הלאומי סמכויות שלא היו מבישות אף משטר דיקטטורי. ממש כך.
על פי ההצעה הכלולה בתזכיר החוק, תתאפשר לאנשי מערך הסייבר הלאומי זכות כניסה למשרדיהן של חברות וארגונים שונים תוך דרישה לקבלת מידע ואף סמכות להחרים ציוד, כמו מחשב או חומר מחשב בעל מידע חיוני. במקרים מסוימים תהא למערך הסייבר אף הזכות להיכנס לבית פרטי, כדי להחרים את המחשב המצוי בו. זאת, במידה ומערך הסייבר יגיע למסקנה, על דעת עצמו, כי מתרחשת תקיפת סייבר או עלולה להתחרש תקיפה שיכולה לפגוע באינטרס חיוני. הכול תוך פגיעה בזכות הקניין של גופים ואזרחים, בפרטיות האזרחים ובפרטיותם של מושאי המידע, אשר מידע רב ורגיש עליהם מרוכז באותם מחשבים שיוחרמו.
על פי ההצעה, את כל הפעולות האלו ורבות נוספות, ניתן יהיה לבצע ללא צו שופט, תוך שעל המערך לשקול בעצמו את השפעת הפעלת הסמכות על הארגון ועל הזכות לפרטיות, ולסבור כי היא לא פוגעת בהם יותר מהנדרש.
למקרא תזכיר החוק, קשה שלא להגיע למסקנה, כי מערך הסייבר מבקש להקנות לעצמו סמכויות, כמעט ללא כל פיקוח, שאפילו לא נמצאות בידי המשטרה. השאלה היא האם זה חיוני, נחוץ, הכרחי, מאוזן?
הקמת מערך הסייבר הלאומי, ערב הבחירות האחרונות לפני כשלוש שנים, לוותה בהצהרות כי ממנו יבוא הפתרון המונע והמגן מחשיפת ישראל למתקפות סייבר, שיכולות לשתק את המדינה ולגרום לה לנזק כלכלי ותדמיתי. במסגרת הזו על מדינה לשמור על נכסיה בעולם האינטרנטי, להגן עליהם מפני מתקפות ויש הטוענים שהדבר כולל אף יציאה למתקפות נגד, כאלו שהשתיקה יפה להם. חשיבותו של מערך הסייבר הלאומי נעוצה בהיותו גוף אחד, הקובע את הסטנדרטים, מסוגל להעניק מענה לכל הגורמים במשק הישראלי בעת התמודדות עם מתקפות שונות, וקובע את דרכי ההגנה המתבקשות מכל אחד מהארגונים השונים.
אך גם דרך השמירה מפני התקפות סייבר צריכה להלום מדינה דמוקרטית. הרחבת הסמכויות של מערך הסייבר עלולה להפר את האיזון הנכון בין הצורך לשמור על זכויות האזרחים לביסוס ההגנה מפני המתקפות ולהוות פתח לפגיעה בפרטיות אזרחים במסווה של איום סייבר. התקפות סייבר אומנם פוגעות בחברות, אך פגיעה כזו תתממש גם במציאות של התערבות ממשלתית שאינה מעלה על נס את זכויות האזרחים.
חסרה בחוק המוצע מערכת של איזונים, שיבטיחו כי מערכת אכיפת ההערכות למתקפות סייבר תיעשה בדרכים המקובלות היום בעולם הנאור. היינו, מקום בו יש חשש שגוף אינו פועל בהתאם לדרכים שייקבעו בחוק, יוכל מערך הסייבר, בנעלי הרגולטור האוכף את החוק, לפעול בדרכים הניתנות במקרים כאלה למשטרה, בראשן הצורך להוציא צו של שופט לכל פעולה חודרנית לארגון פרטי ותוך הקפדה יתרה על שמירת הזכות לפרטיות של אזרחי המדינה. כמו כן, יש להוסיף לחוק חובת יידוע אזרחי המדינה, בכדי לאפשר לציבור להיערך ולדעת כי מתבצעת תקיפת סייבר.
מקריאת תזכיר חוק הסייבר, נדמה שמערך הסייבר רוצה לאמץ סוג של שליטה גם עלינו האזרחים, כזו שמזכירה משטרים לא דמוקרטים. אבל יש גם דרכים אחרות. כך, ניתן לחייב ארגונים לאמץ כללים אשר גובשו בתקנות אבטחת המידע החדשות, ולאכוף בדרכים המקובלות את קיומו של החוק כפי שמדינה מתוקנת נוהגת. במקרי קיצון, ניתן לתת בידי גורם שיפוטי את ההחלטה מה לגיטימי שיעשה בזמן ולמען סיכול מתקפות סייבר, גם אם מדובר במקרה דחוף.