פיתוח אמצעיי הלוחמה כנגד מתקפות סייבר, נמצא כבר כמה שנים בתנופה בישראל. אבל לא בתחום המשפטי. ההתפתחות הטכנולוגית כמו לא הייתה כאן. ניתן לומר שבנושא המשפטי אנחנו פשוט מפגרים אחרי רוב רובן של המדינות הנאורות. החקיקה בישראל שעוסקת בתחום ישנה וברובה לא רלבנטית כלל.
על הרקע הזה הבשורה שהגיעה לפני מספר ימים מהרשות למשפט טכנולוגיה ומידע במשרד המשפטים (רמו"ט), האמונה על אכיפת ויישום דיני הפרטיות וההגנה על מידע אישי בישראל, לפיה תקנות אבטחת מידע חדשות שנוסחו על ידה יאושרו בקרוב בכנסת, היא בשורה של ממש. התקנות עוסקות, אומנם, רק בהיבטים של ההגנה על מידע אישי, אבל למידע הזה ערך רב בפני עצמו.
אישור התקנות יהווה צעד ראשון וחשוב בנושא הסדרת החובות החלות על ארגונים בישראל, המנהלים או מחזיקים במידע אישי, במסגרת המאבק מול התקפות סייבר אפשריות כנגד ארגונים שונים, פרטיים וציבוריים כאחד, ותוך מטרה כוללת לצמצם את החשש מפני שימוש לרעה במידע האגור אצלם או פגיעה באבטחת המידע ויכולת ההגנה עליו.
התקנות החדשות מבקשות להסיר את הערפל בנושא אבטחת המידע העולה מהוראות החוק והתקנות הקיימות, אשר אינן תואמות את המצב הטכנולוגי הקיים היום. החידוש העיקרי המהווה את גולת הכותרת בתקנות הוא החובה לדווח לרמו"ט על אירועי מתקפות סייבר חמורים אצל הארגונים השונים, אשר במסגרתם נפרץ או נחשף מאגר מידע המכיל מידע אישי. בהמשך לכך קובעות התקנות את סמכותה של רמו"ט לחייב את בעל מאגר המידע הרלבנטי להודיע למושאי המידע על אירוע הפריצה שארע.
נוסף על כן, התקנות החדשות מבקשות לקבוע ולהכין מראש, נהלים סדורים פנים-ארגוניים, אשר יפרטו את נהלי ואת יכולות הארגון להתמודדות עם אירועי אבטחת מידע שונים, וכן יבהירו במסגרת זו את חובותיהם ואחריותם של מורשי הגישה השונים למידע שבארגון. בנוסף לכך קובעת טיוטת התקנות שורה ארוכה של פעולות שעל ארגון לנקוט לצורך הסדרת נושא אבטחת המידע במסגרתו.
תקנות אבטחת המידע מצטרפות לנהלים שמוציאים בתחום גופים אחרים המפקחים על הגורמים הפועלים בתחומם, כמו המפקח על הבנקים או המפקחת על הביטוח. השאלה היא מה עם יתר הגורמים הפעילים במשק? מה קוד הפעולה המחייב אותם בהגנה על המידע המצוי במערכות שלהם, למעט המידע האישי שזוכה עתה להסדרה.
אם לאחר אישור תקנות אבטחת המידע, יהיה המידע האישי שלנו מוגן יותר, הרי שלגבי כל מידע אחר, עדיין לא יהיה קוד פעולה מחייב. בין התחומים שלא יוסדרו ניתן למנות את ההגנה על כל הפיתוח הטכנולוגי שנעשה בארץ, זכויות היוצרים ולעיתים פטנטים שמתהווים, מידע עסקי רגיש או כל מערכות הכספים הקיימות בחברות שונות. לגבי אלו אין כל קוד פעולה מחייב בארץ להגנה על המידע.
במדינה שחשופה כל-כך להתקפות סייבר, ראוי היה שיהיה קוד מחייב להגנה על מערכות המחשב, לפחות ביחס לחברות המובילות במשק. קוד כזה ינסה להתמודד עם האפשרות שמערכות של חברות כאלה יפרצו, ומעבר לנזק שיגרם, תגרם גם מבוכה גדולה למשק הישראלי ולתדמית שלנו בעולם.
ראוי היה, לפי-כך, שהמחוקק יתעורר ויאמר את דברו בנושא המלחמה כנגד התקפות הסייבר, בחוק מסודר של הכנסת שיעסוק בכל ההיבטים שהסוגיה מעלה. חקיקה כזו גם תוכל להסדיר את פעילות ענף הסייבר בארץ, ההיתכנות של יצוא ידע לעולם וקבלת ידע חוזר וכל נושא, שבמדינה מתוקנת היה זוכה להתייחסות בספר החוקים.
