בהליך בזק: הממשלה הרחיבה את סמכויות מערך הסייבר
תקנות חירום אושרו הלילה בקבוצת הווטסאפ של השרים ומאפשרות לרשויות גישה לנתוני ספקי ענן, חובת דיווח על תקיפות סייבר משמעותיות ומחיקת מידע בתום הטיפול. עם זאת, מומחים מבקרים את האישור המהיר למרות שהצורך היה ידוע מתחילת המלחמה
ממשלת ישראל הרחיבה הלילה את סמכויות מערך הסייבר הלאומי והשב"כ, במסגרת תקנות שעת חירום שאושרו בהליך "דחוף!" בקבוצת הווטסאפ הייעודית של שרי הממשלה. התקנות מחייבות ספקי שירותי ענן ושירותים דיגיטליים לדווח על תקיפת סייבר משמעותית, ומאפשרות למערך הסייבר ולשב"כ לדרוש מספקים מסמכים ונתונים במקרים של תקיפת סייבר חמורה, או חשש לתקיפה כזו.
לדברי מומחים, מדובר בתקנות מידתיות שגם סוללות את הדרך לחוק סייבר רחב ומוסדר, כאשר הסוגיה הבעייתית היחידה היא עיתוי האישור המהיר שלהן. "על אף זה שהכתובת היתה על הקיר, לא נחקק עדיין חוק סייבר במדינת ישראל שיקנה למערך הסייבר ולרשויות ביטחון אחרות סמכויות מוגדרות בנוגע להגנה על מרחב הסייבר האזרחי", אמרה ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה. "לכן אנחנו עם המכנסיים למטה ויש צורך להעביר תקנות לשעת חירום ברגע האחרון. זאת, למרות שכבר בתחילת מלחמת חרבות ברזל היה צורך לפעול באמצעות תקנות שעת חירום".
התקנות שאושרו הלילה מקנות למערך הסייבר, לשב"כ ולמל"מ כמה סמכויות ממוקדות ומוגבלות בזמן (התקנות אושרו לתקופה של חודש בלבד). ראשית, קבלת מסמכים ומידע אחר מספק שירותי ענן או שירותים דיגיטליים, במקרה של מתקפת סייבר חמורה או חשש למתקפה שכזו, ושדרושים על מנת לזהות את מאפייני המתקפה ואת זהות התוקף, ולצורך בחינה האם השפעתה אינה מוגבלת לספק הנתקף.
הסמכות השנייה היא חובת דיווח של ספק למערך הסייבר במקרה של מתקפת סייבר חמורה, אם יש חשש שהיא לא מוגבלת לו בלבד, ואם היא עלולה לפגוע בזמינות או אמינות השירות שהוא מספק. על דיווח זה לכלול פרטים כמו מועדי תחילת המתקפה וגילויה, טבעה של המתקפה והשפעתה על הספק או על ארגון אחר שאתו הוא עובד ושקיים חיבור מחשביו למחשבי הספק ("ארגון מקושר"), וכל מידע שיסייע להבין את חומרת המתקפה והשלכותיה. כן מחויב הספק להודיע על המתקפה לכל ארגון מקושר. "זה הסדר מקובל במדינות דמוקרטיות אחרות כאשר מתמודדים עם תקיפות בשרשראות אספקה", אמרה שוורץ אלטשולר.
לצד זאת, התקנות מחריגות מחובות אלו ספקים שעומדים בתקינה בינלאומי מוכרת. "זה חשוב מפני שזה מעודד ומעניק תמריץ לשוק האזרחי לאמץ סטנדרטים טכנולוגיים של הגנת סייבר בעצמו, במקום לעשות זאת בצורה חודרנית וכופה על ידי הרגולטור", הסבירה שוורץ אלטשולר. "בעצם אומרים, מי שמאמץ תקינה טכנולוגית פטור מחובות רגולטוריות. כך אפשר יהיה גם לעדכן את התקנים מבלי שיהיה צורך לשנות כל פעם את החקיקה".
בנוסף, התקנות מחייבות את הרשויות למחוק מידע שהתקבל במסגרתן עם סיום הטיפול בתקיפה, או אם נקבע שלא מדובר בתקיפה חמורה. חובת הדיווח של הרשויות ליועצת המשפטית לממשלה ולוועדת החוץ והביטחון של הכנסת על פעולות שנעשו במסגרת התקנות עודכנה ועומדת מעתה על פעם בשבועיים במקום פעם בחודש.
בשולי הדברים, יש אירוניה בכך שתקנות הגנת סייבר מאושרות באמצעי לא מאובטח בעליל: קבוצת ווטסאפ של שרי הממשלה. "רע מאוד שחקיקת חירום שאמורה לשקף את הצורך להדק את הגנת הסייבר, מתקבלת במשאל שרים בווטסאפ המלמד על היעדר מוחלט של הבנה באבטחת מידע", אמרה שוורץ אלטשולר.
