סמכויות מערך הסייבר, השב"כ ומשרד הביטחון בעת מתקפת סייבר - יוגדרו בחקיקה
סמכויות מערך הסייבר, השב"כ ומשרד הביטחון בעת מתקפת סייבר - יוגדרו בחקיקה
הצעת החוק קובעת שבמקרה של מתקפת סייבר נגד ספק שירותי אחסון, שירותים דיגיטליים או נגד עסק, עובד מוסמך במערך הסייבר, השב"כ או הממונה על הביטחון במערכת הביטחון (מלמ"ב), יוכל למסור לעסק הוראות פעולה מחייבות
אחרי אישור תקנות לשעת חירום, הממשלה מבקשת לקבע בחקיקה את סמכות מערך הסייבר, השב"כ ומשרד הביטחון לתת לספקי שירותי אחסון ושירותים דיגיטליים הוראות מחייבות להתמודדות עם מתקפת סייבר.
בשבוע שעבר, אישרה הממשלה תקנות שעת חירום, שנחשפו ב"כלכליסט", שאפשרו לשלושת הגופים להורות לעסקים שמספקים שירותי מחשוב לעסקים אחרים איך להתמודד עם מתקפת סייבר. זאת, במטרה לצמצם ככל האפשר את הסיכונים של מה שמכונה "מתקפת שרשרת אספקה", במסגרתה תקיפה של מערך מחשוב של חברה אחת, שמספקת שירותים לחברות אחרות, יכולה להוביל לדליפת מידע, פגיעה או שיבושים בפעילות של לקוחות החברה. דוגמה עדכנית למתקפה כזו התקבלה בסוף החודש שעבר, כשפריצה למערכות המחשוב של Signature-IT הישראלית, שמספקת שירותי אחסון וקנייה מקוונת, הביאה לשיבושים בפעילות של 40 חברות אחרות, בהן הום סנטר וקרביץ שאתרי הסחר הקוון שלהן הושבתו לתקופה משמעותית.
עתה, מבקשת הממשלה לקבע את הסמכות ופרסמה אתמול הצעת חוק ממשלתית במסגרתה תחול סמכות זו לתקופה של עד שנה. עיקרי הצעת החוק דומים לתקנות שכבר אושרו, והיא קובעת שבמקרה של מתקפת סייבר נגד ספק שירותי אחסון, שירותים דיגיטליים או נגד עסק שמספק שירותי תחזוקה, ניהול ובקרה של שירותי אחסון או שירותים דיגיטליים, עובד מוסמך במערך הסייבר, השב"כ או הממונה על הביטחון במערכת הביטחון (מלמ"ב), יוכל למסור לעסק הוראות פעולה מחייבות.
לפי הצעת החוק, הוראות אלו כוללות "הוראה לסריקה, עיבוד, הסרה של חומר מחשב הנוגע לתקיפת סייבר, התקנת סוג תוכנה שפעולתה מוגבלת לרשת הספק בלבד, חסימה או ניתוק של מחשב, או יצירת עותק של חומר המחשב". זאת, במקרה של "תקיפת סייבר חמורה" (מתרחשת במהלך פעולות צבאיות ויכולה להיות בעלת השפעה משמעותית) או חשש לתקיפה שכזו.
בדומה לתקנות, הצעת החוק לא מטילה סנקציות על עסקים שלא יצייתו להוראות העובד המוסמך, כאשר ההערכה היא שלא יתגלו התנגדויות משמעותיות להוראות שיימסרו.
הצעת החוק מצמצמת במעט את רשימת הגופים שעליהן תחול הסמכות החדשה, וכן מגדירה בצורה טובה יותר מהי מתקפת סייבר. מנגד, היא מקבעת את את העדר השקיפות שאפיינה גם את הפעלת התקנות, ולא קובעת פיקוח כלשהו של בית המשפט או של הרשות המחוקקת על הפעלת הסמכות (מערך הסייבר, השב"כ והמלמ"ב מחוייבים רק בדיווח אחת לשבועיים ליועמ"ש ולוועדת חוץ וביטחון על מקרים שבהם ניתנו הוראות, הנימוק למתן ההוראות וסוגן. דיווח זה יהיה חסוי ואסור לפרסום).
