האם בצל הקורונה מערך הסייבר מנסים לקדם חוק שיאפשר להם כוח בלתי מוגבל?
לאחרונה (20.9.20), הופצה באופן מצומצם ביותר למקורבים וארגונים בודדים טיוטה של הצעת החוק להסדרת אחריותו של מערך הסייבר הלאומי. נוסח הצעת החוק אשר זהו הסבב השני שמנסים לקדמה (הפעם הראשונה הייתה ב-2018 וזכתה להתנגדויות חריפות של ארגונים רבים) תוקנה כבר ב-2019, אבל באופן תמוהה נשלחה רק עתה למקורבים לצורך גיבוש התייחסויות.
בהתאם לנוסח ההצעה החדש ניתנות למערכת הסייבר, תחת ההצדקה של הגנת סייבר על מערכות המדינה, סמכויות שיהפכו אותו למעשה לאח הגדול של כולנו (אפילו לשב"כ לא יהיו סמכויות כה מרובות).
בין הדברים שעולים מהצעת החוק:
- הגדרה כללית מאוד של המידע שהמערך יכול לאסוף – "מידע בעל ערך הגנתי, וכן מידע על שיטות ואמצעים להגנת סייבר" אשר למעשה לא מגדיר את תחומי אחריותו והוא יכול באופן מעשי להקים מאגר מידע על כל אזרח ועל כל חברה מסחרית.
- החוק נותן למערך סמכויות לניהול ותפעול מתקפות סייבר ומפקיע את זה מידי חברות פרטיות במקרה שאלה הותקפו – נניח אם מתקיפים חברת סלולר מערך הסייבר יכול למעשה "להלאים" את החברה לטובת ניהול המתקפה ולהחזיר את השליטה לראשיה רק כשזה מתאים לאנשיו.
- בנוסף, החוק נותן סמכות רחבה ולא מידית לאנשי המערך להחרים מחשב או מוצרי מחשב, וסמכות לחדור למחשבים או להחרים מחשבים, רק על סמך יסוד סביר שניתן על בסיסו להניח שעומדת להתרחש תקיפת סייבר
- במקרים דחופים ניתן לבצע הפעולות המפורטות לעיל גם בלי בתי משפט, אלא באישור של ראש המערך אם "הפעולה נדרשת בדחיפות לשם מניעת נזק ממשי לאינטרס חיוני ואין שהות לקבל מבית המשפט צו בעוד מועד".
תזכיר חוק הסייבר, שזו הגרסה העדכנית שלו, פורסם ביום 20.06.18. מטרתו העיקרית היא לבסס ולהסדיר את סמכויותיו של מערך הסייבר הלאומי. לשם כך, כלל התזכיר פרק ייעודי להגדרת תפקידיו של מערך הסייבר וכן את הכלים שיעמדו לרשותו בעת מילוי תפקידו. טיוטת החוק שהופצה עתה נעשית במסגרת השאיפה המוצהרת של מערך הסייבר: להבטיח את ההגנה על מרחב הסייבר ולקדם את ישראל כמובילה עולמית בתחום הסייבר.
בדומה לתזכיר, טיוטת החוק כוללת שלושה פרקים מרכזיים: פרק ארגוני המסדיר את מאפייניו הייחודיים של מערך הסייבר הלאומי כגוף ביטחוני – טכנולוגי – מבצעי; פרק אופרטיבי העוסק בסמכויות הנדרשות לאיתור תקיפות ולהתמודדות עמן; ופרק רגולטורי העוסק באסדרה לאומית ומגזרית לצורך העלאת רמת החוסן של מגזרי המשק מפני איומי סייבר.
הפרק הארגוני, מניח הגדרות מהותיות לרבות מהו אינטרס חיוני, מהו גוף מיוחד, מהי תקיפת סייבר ועוד.
הפרק האופרטיבי, קובע כלים ישימים לטיפול בתקיפות סייבר בארגונים ובשיתוף מידע ביחס אליהן. הפרק כולל עקרונות להבניית שיקול הדעת המנהלי בעת הפעלת הסמכות, כגון חובת מסירת מידע לארגון שבו מופעלות הסמכויות, וכן במדרג סמכויות מאשרות.
הפרק הרגולטורי קובע את תפקידו של מערך הסייבר הלאומי כמאסדר הלאומי בתחום הגנת הסייבר, בהתאם להחלטות הממשלה. כיום, כל רשות מאסדרת קובעת תקני סייבר לפי שיקול דעתה ובאופן שאינו בהכרח אחיד. בהתאם, מוצע כי מערך הסייבר הלאומי יהא מופקד על תוכן האסדרה באופן שיחייב את כל הרשויות.
חשוב לראות כי כמה נושאים מרכזיים בטיוטת החוק הושמטו או שונו ביחס לתזכיר.
- בתזכיר ישנה הגדרה למונח 'איום סייבר', ואילו בטיוטת החוק אין כל איזכור להגדרה חשובה זו אלא הוגדר רק מהי 'תקיפת סייבר'. מכך, מסתמנת גישה מאופקת יותר בהן פעולות הגנת סייבר נדרשות רק ביחס לתקיפות סייבר, ולא לאיום להתרחשות תקיפת כאמור. משימתו של מערך הסייבר הלאומי היא הגנה לאומית בתחום הסייבר, תוך ביצוע פעילויות ביטחוניות אופרטיביות ורגולטוריות, שתכליתן למנוע מהאיום להתממש. ומכאן הבעייתיות בהשמטת ההגדרה.
- בתזכיר הוגדר במפורש שלא יעשה שימוש במערך הגילוי והזיהוי למטרת איסוף מידע מוגן אלא למטרת הגנת סייבר בלבד, וזאת מהחשש של איסוף רחב של מידע על-ידי המערך. מנגד, בטיוטת החוק אין אזכור על חשיבות עקרון צמידות למטרה. עקרון "הצמדות למטרה" הינו עקרון על בעולמות הפרטיות. השמטתו מהחוק המסתמן מעוררת תמיהה רבה.
- בתזכיר לא צוינה דרישה לאישור וועדת הכנסת לקביעת תקנות וכללים לפיהם תוסדר עילות איסוף, עיבוד ושמירה של מידע הנאסף במסגרת מערך הגילוי והזיהוי. ואילו טיוטת החוק מציגה מנגנון בהיר בנוגע לקביעת תקנות וכללים אלו הדורשת את אישור ועדת הכנסת.
- בעוד שבתזכיר ניתן מקום של כבוד לעקרונות מפתח כדוגמת "עיצוב לפרטיות" ו"תכנון לפרטיות (privacy by design & privacy by default); הרי שבטיוטה החוק, נעשה מעבר מעקרונות כלליים לסעיפים מפורשים יותר. כך למשל, נקבע כי איסוף עיבוד וניהול מידע בדרכים של סריקה ממוחשבת והתממה. בנוסף, במערכות ישולבו מנגנונים לבקרה שוטפת. הטיוטה מפרטת בסעיף הגדרות של התממה, מידע מזוהה ומידע לא מזוהה. נראה כי הפירוט וההגדרות חשובות, אך היה מקום להותיר את כללי הברזל המקובלים בדין האירופאי.
לאור אירועי הסייבר הרבים הפוקדים ארגונים בישראל ובעולם כולו, החליטה ממשלת ישראל על מדיניות כוללת להעלאת החוסן בארגונים ולצמצום סיכוני הסייבר של המשק, באמצעות הפעלת כלי מדיניות שונים כגון אסדרה, חקיקה, הנחיה ותמריצים. טיוטת החוק מפרטת את השיטה והאמצעים של האסדרה המדינתית בתחום זה. אין ספק שהנושא חשוב. אך ההסדרה המוצעת עדיין נותנת כוח רב, יש שיאמרו שרב מידי, למערך הסייבר הלאומי, כוח שיכול להפוך אותו לאח הגדול של כולנו.
