דואר אדום ועידות

שיתוף מידע על פרצות סייבר יכול להסתיים בבית משפט

שיתוף המידע שמתבצע תחת מטריית רשויות הסייבר הלאומיות עשוי לחשוף חברות לתביעות על עבירת הסדר כובל. כיום החוק הישראלי אינו מכיר בייחודיות של שיתוף המידע בתחום

חגי דורון 19:0704.05.16

מרבית הגופים במשק נערכו בתקופה האחרונה למתקפת ההאקרים השנתית נגד ישראל, שמתקיימת כבר ארבע שנים ברציפות סביב ה-7 באפריל ("OpIsrael"). בין שלל הבעיות שמעוררת ההתמודדות עם תחום הסייבר, הרשויות נדרשות להתמודד גם עם בעיה משפטית חדשה: ההגנה על הסייבר דורשת תיאום, ותיאום אינו תמיד חוקי במישור דיני ההגבלים העסקיים.

קראו עוד בכלכליסט:

כידוע, סיכוני הסייבר הולכים וגדלים בהתמדה. מדובר בסיכונים כלל עולמיים, העלולים לעלות כדי פגיעה של ממש בביטחון המדינה. התמודדות יעילה עם סיכוני סייבר מחייבת פעולות רוחביות, תיאום ושיתוף פעולה בין הגורמים השונים והעברה של מידע ביניהם. חוזקה של שרשרת האבטחה הוא כחוזקה של החוליה החלשה בה.

שיתפתם מידע על פרצות סייבר? אתם עשויים להיות חשופים לתביעה על עבירת הסדר כובל צילום: דור מנואל

מסיבה זו הקימה הממשלה גופים שונים להתמודדות עם סיכוני סייבר, כגון מטה הסייבר הלאומי, הרשות הלאומית להגנת סייבר והמרכז הלאומי להתמודדות עם איומי סייבר, שנועדו להסדיר את שוק הסייבר בישראל, ולרכז ולשתף מידע בעניין.

מנגד, חוק ההגבלים העסקיים, בהתאם לפרשנות רשות ההגבלים, אוסר על כל שיתוף פעולה או תיאום עסקי, ובפרט על תיאום רוחבי בין מתחרים. די בישיבה משותפת של מתחרים סביב "שולחן עגול", כדי שתיחשד כהסדר כובל. גם אם התיאום או העברת המידע ייעשו לתועלת הציבור, לא יהיה בכך להוות הגנה, שכן עבירת הסדר כובל אינה דורשת כוונה פלילית ויכולה להתקיים גם במחדל.

גם אם גורם שלטוני יתווך בין המתחרים את התיאום והעברת המידע בענייני סייבר, לא יהיה בכך להעניק למנהליהן חסינות או פטור. ניסיון עבר המלמד כי טענות בדבר מעורבות גורמי שלטון בעידוד, ידיעה ואף יצירת הסדר בין מתחרים, לא הועילו לרבות במישור הפלילי.

המרכז הלאומי להתמודדות עם איומי הסייבר, שהחל פעילותו לפני כשנה, הוא מוקד פוטנציאלי לתיווך ותיאום מידע בתחום הסייבר. בין השאר, פעילות המרכז מבוססת על שיתוף מידע שמגיע "מהשטח", בין חברות וארגונים המתמודדים עם התקפות הסייבר.

לאחרונה פרסמה הממונה על שוק ההון ביטוח וחיסכון, טיוטת הוראה לניהול סיכוני סייבר בגופים מוסדיים, הכוללת הנחייה ל"שיתוף הדדי של מידע קיברנטי" עם המרכז הלאומי להתמודדות עם איומי הסייבר. "שיתוף הדדי" בין מתחרים, גם אם בתיווך מרכז ממשלתי, עלול לעורר בעיות מהותיות של הגבלים עסקיים.

נכון להיום, האפשרויות להימנע מתחולת דיני ההגבלים לעניין מסוים – מוגבלת. דרך אחת היא פנייה לרשות לקבלת פטור מראש או לבית הדין להגבלים עסקיים לקבלת אישור אד-הוק. ואולם, אלה הליכים מורכבים, ארוכים ובלתי יעילים, בפרט בעולם הסייבר בו הצרכים והסיכונים משתנים ומתפתחים ללא הרף.

כמו כן, הדבר עלול להציף את הרשות באלפי פניות לקבלת פטור, שהיא אינה ערוכה להן ואינה מעוניינת להתמודד עמן. אפשרות אחרת היא פרסום 'גילוי דעת' כללי של הרשות, בו תיקבע מדיניות שתאפשר תיאום רוחבי בין מתחרות לשם התמודדות עם תקיפות סייבר.

הדבר נעשה בעניין 'באג 2000', אולם אז דובר על הסדרה בגזרה צרה בלבד, וספק אם פתרון זה מתאים לסיכוני הסייבר הרבים, המשתנים כל הזמן. דרך שלישית, דרך המלך, שתיתן מענה מלא והולם לסיכון של יצירת הסדר כובל, היא הסדרה בחקיקה של פטור מתחולת דיני ההגבלים בעניין סיכוני סייבר.

נכון להיום, קיימת התנגשות שאין לה מענה חוקי בין דיני ההגבלים לבין צורך המציאות ושיקולי ביטחון המדינה והמשק בקשר לסיכוני הסייבר. לאחרונה פסק בג"ץ בעניין מתווה הגז כי מטעמים של ביטחון המדינה, ניתן לעשות שימוש בסע' 52 לחוק ההגבלים העסקיים כדי לעקוף את דיני ההגבלים ואת סמכות הרשות.

בהנחה שרשות ההגבלים אינה מעוניינת שגם תחום הסייבר יוסדר תוך עקיפת סמכויותיה ומעל ראשה, עליה לפעול כבר עכשיו ולהתייחס להתנגשות זו מיוזמתה. על הרשות לקבוע מדיניות בעניין אכיפה או מתן פטור בקשר לאיומי סייבר, בגילוי דעת מטעמה או אף מוטב בחקיקה ברוח זו.

הכותב הוא שותף במשרד ש. הורוביץ ושות', ראש תחום הגבלים עסקיים וסייבר