$
סייבר

הדלת האחורית של נתניהו לעקוב אחר אזרחי ישראל

חוק שמקדם משרד ראש הממשלה יעניק למערך הסייבר יכולות איסוף מידע נרחבות מגופי ממשלה ומחברות פרטיות, כולל ספקיות תקשורת, במטרה למנוע תקיפות. בתנועה לזכויות דיגיטליות מזהירים מהענקת סמכויות נרחבות והיעדר פיקוח ראוי

עומר כביר 06:5924.06.18

עוד יום עבודה במשרד. מגיעים, אומרים שלום לכולם, מדליקים את המחשב ומתחילים לעבוד. לפתע מופיעה בדלת המשרד אשה צעירה. היא מציגה את עצמה כעובדת מדינה ומיד דורשת גישה לכל המחשבים של החברה, מחרימה חלק מהציוד, מורה לעובדים לבצע פעולות מסוימות ברשת המחשוב - ובסיום אוסרת עליהם לספר לאיש מה קרה. לא מדובר בשוטרת, גם צו מטעם בית המשפט אין לה, אך כל מה שהיא עושה חוקי לחלוטין ולעובדים אין ברירה אלא למלא אחר הוראותיה. למה? כי יש חשש שהארגון שבו הם עובדים מצוי תחת מתקפת סייבר.

 

 

 

תרחיש זה נשמע עדיין בדיוני, אבל הצעת חוק הגנת הסייבר ומערך הסייבר הלאומי שמקדם משרד ראש הממשלה ושהתזכיר שלה פורסם בשבוע שעבר לציבור, עשויה להפוך אותה בקרוב למציאות. אם החוק יאושר, הוא יקנה למערך הסייבר - הכפוף ישירות לראש הממשלה - סמכויות נרחבות ביותר שמאפשרות, בין היתר, לעובדיו להיכנס לארגונים, לדרוש מידע ולהחרים ציוד בלי צורך בצו בית משפט. בנוסף, החוק מאפשר הקמת מאגר מידע שיאסוף בדרך קבע ובזמן אמת נתונים חברות פרטיות כספקיות אינטרנט ומארגוני ממשלה כדי לזהות ולמנוע מתקפות סייבר.

 

 צילום: The Independent

 

תזכיר החוק, שפתוח להערות הציבור עד 11 ביולי באתר tazkirim.gov.il, עורר עם פרסומו ביקורת חריפה בקרב מומחים בתחומי הסייבר והגנת הפרטיות. "ההסדרים הקבועים בתזכיר מעלים חששות ממשיים מפני פגיעה בלתי מכוונת בפרטיות של אזרחי המדינה או בסודותיהם המסחריים של ארגונים הפועלים בה", קבלו פרופ' אלי ביהם, צבי דביר ושחר שמש מהתנועה לזכויות דיגיטליות במכתב ששלחו למערך הסייבר.

 

מערך הסייבר הוא יחידת סמך במשרד ראש הממשלה שהוקמה השנה בעקבות איחוד בין הרשות הלאומית להגנת הסייבר למטה הסייבר. המערך, שמרכז את כל תחום הגנת הסייבר ברמה הלאומית, אחראי על כלל היבטי הגנת הסייבר במרחב האזרחי, מגיבוש מדיניות ובניין כוח טכנולוגי ועד להגנה מבצעית. בראש המערך עומד יגאל אונא, שכפוף ישירות למשרד ראש הממשלה, בדומה לראשי השב"כ והמוסד.

 

 

 

 

הצעת החוק מקנה למערך הסייבר סמכויות נרחבות לטיפול בתקיפות ובאיומי סייבר. כך, אם אנשי מערך הסייבר סבורים שמתרחשת או שעלולה להתרחש תקיפה שעלולה לפגוע באינטרס חיוני - אזי עובד מוסמך מטעם המערך יכול לדרוש מכל ארגון מסמכים או חומרי מחשב הדרושים לצורך איתור, התמודדות ומניעת התקיפה. מערך הסייבר מוסמך להורות לארגון למנות איש קשר שיקבל הוראות מטעמו, ויעביר את המידע הנדרש למערך או לגורם חיצוני שהוסמך לכך. עובדי המערך יוסמכו לאחר שעברו הכשרה מהסוג שיקבע ראש מערך הסייבר, ובשלב זה אינה מפורטת בתזכיר.

 

בנוסף, לפי תזכיר החוק, גורם אחראי במערך רשאי להיכנס פיזית לארגון אם יש לו יסוד סביר להניח שנמצא שם מחשב או חומר מחשב בעל ערך. אנשי מערך הסייבר אף רשאים להחרים חפצים אם יש להם יסוד סביר להניח שיש בהם מידע בעל ערך אבטחתי. לצורך כך יכולים אנשי המערך להורות לאיש הקשר בארגון להעביר לרשותו חפצים שנמצאים בחזקת או בשליטת הארגון.

 

 

 

מסלולים שמאפשרים לוותר על הצורך בקבלת צו שופט

"בתזכיר החוק אין מגבלות ספציפיות לגבי האופן שבו ניתן לבצע שימוש במידע שנלקח, ובכלל זה אינה מצוינת כל מגבלת זמן על השימוש בו", מתריעים בתנועה לזכויות דיגיטליות. "עניין זה רלוונטי ומהותי במיוחד במקרים שבהם נלקח מידע ללא צו בית משפט, וחמור מכך, במקרה שצו כזה לא ניתן גם בדיעבד (ועדיין, החומר נלקח ומותר השימוש בו לעולם ועד)".

 

למעשה, הצעת חוק הסייבר מאשרת לעובדי המערך לבצע שורה של פעולות ללא צו שופט ועל שיקול דעתם הבלעדי בכפוף לכמה סייגים קלים. הם יוכלו להפעיל סמכות לצורך איתור, התמודדות או מניעה של מתקפת סייבר, לאחר ששקלו את השפעת הפעלת הסמכות על הארגון והזכות לפרטיות, ומצאו שהיא לא פוגעת בהם "יותר מהנדרש". בשלב זה תזכיר החוק אינו קובע מהו אותו "נדרש" או מי קובע אותו, וכנראה שהגדרות אלו ייקבעו רק בהמשך במסגרת התקנות שינוסחו כדי ליישם את החוק בפועל.

 

בנוסף, עובדים מוסמכים מטעם מערך הסייבר יהיו רשאים להעניק הוראות לארגון, כולל כאלו הנוגעות לביצוע פעולות בחומרי המחשב של הארגון. אך יתרה מכך: על הארגון ועובדיו ייאסר לחשוף את תוכן ההוראות שניתנו להם והמערך אף רשאי להנחות את הארגון כיצד עליו לשמור על חשאיות הוראות אלו.

 

"תאר לעצמך שמתקיימת פריצת אבטחה בבנק לאומי. 2 מיליון חשבונות בנק נפרצים ומערך הסייבר תופס פיקוד על האירוע", אומרת פרופ' קרין נהון מהמרכז הבינתחומי הרצליה המכהנת כנשיאת איגוד האינטרנט הישראלי. "אם יופעל סעיף הסודיות, בעלי החשבונות שנפרצו לא יהיו מודעים למה שקרה".

 

אנשי מערך הסייבר יידרשו לצו שופט רק בכמה פעולות ספורות, וגם אז מספיק צו של שופט בית משפט שלום. אך גם במקרה של צורך בצו לכניסה ללא הסכמה למקום מגורים קיימת החרגה, במידה שאנשי המערך סבורים שיש במקום מידע שדרוש למניעת סכנה ממשית ומיידית לשלום הציבור ואין דרך אחרת להשיגו.

 

בנוסף, עובדי המערך נדרשים לצו שופט לביצוע פעולות במחשב או בחומרי מחשב כדי להתמודד עם תקיפת סייבר. אך גם כאן קיים מסלול עוקף, וראש מערך הסייבר רשאי להפעיל את הסמכות ללא צו שופט למשך 24 שעות אם הדבר דרוש למניעת נזק ממשי לאינטרס חיוני.

 

במשרד ראש הממשלה לא נענו לבקשת "כלכליסט" לראיין את אחר מבכירי מערך הסייבר כאונא או היועץ המשפטי עו"ד עמית אשכנזי, שהוביל את ניסוח הצעת החוק. אך גורם מקצועי המעורה בתזכיר טען בפני "כלכליסט" כי הסמכויות וההסדרים בחוק ראויים. "יש לשפוט האם הכללים מאפשרים שימוש לרעה", לדבריו. "הפעולות לא מכוונות לאיסוף מידע על בני אדם. אם יעשו פעולות לא לגיטימיות הדברים אמורים לצוף. לא ניתן להפעיל סמכות אלא אם יש סיכון לפגיעה באינטרס חיוני. אם נוציא צו סודיות שמונע מזעור נזק, למשל שצריך להודיע לכל הלקוחות להחליף סיסמאות, נהיה בבעיה. סעיף החשאיות נועד לאפשר הגנה.

 

 

רה"מ נתניהו רה"מ נתניהו צילום: יריב כץ

 

"החוק גם אינו כולל סמכויות נלוות כמו שיש למשטרה, כמו הפעלת כוח. לעובדי המערך אין סמכות מעצר או עיכוב או יכולת להגיש כתב אישום. אם מישהו יגיד שהוא לא רוצה להכניס אותו אין שום דבר לעשות".

 

מאגר מידע שיאסוף נתוני שימוש באינטרנט בזמן אמת

במטרה להתמודד עם איומי סייבר באופן שוטף, הצעת החוק מכתיבה הקמה של מאגר מידע שירכז נתונים מרובים משורה של גורמים במשק, ובראשן חברות תקשורת ואינטרנט. מערך הסייבר יוכל לאסוף מידע בעל ערך אבטחתי, או כזה שעשוי לשמש להפקת ערך שכזה, לצורך הקמת אמצעים לגילוי וזיהוי מוקדם של תקיפות.

 

למעשה, הצעת החוק מאשרת למערך הסייבר לאסוף מידע מרשימה ארוכה של גופים הכוללים משרדי ממשלה, רשויות מקומיות, חברות ממשלתיות, ארגוני עובדים וכל גוף שמקבל תמיכה ישירה או עקיפה ממשרדי הממשלה. בנוסף, המערך יוכל לאסוף נתונים מהבורסה, הנמלים, מגן דוד אדום, בתי הזיקוק, ספקיות סלולר, אינטרנט וטלוויזיה.

 

"המדינה רוצה גישה ליותר מדי מערכות ארגוניות וליותר מדי מידע בזמן אמת ובאופן אוטומטי", מזהירה נהון. "זו הפעלה אוטומטית של מערכות ניטור שעוקבות אחרי נתונים ומידע. מערך הסייבר אומר שהוא לא מתעניין במידע על אנשים ספציפיים, שהוא לא ייצור פרופילים - אבל תחת מידע אבטחתי אפשר להכניס הרבה דברים, כמעט כל דבר. יכול להיות שהם לא אוספים פרופילים של בני אדם, אבל בעידן הביג דאטה אפשר בשנייה להצליב את כל הנתונים הרלוונטיים ולייצר פרופיל".

 

 

פרופ' קרין נהון פרופ' קרין נהון צילום: עמית שעל

 

נהון מבהירה שהיא לא מתנגדת לחוק עצמו, אלא שמנגנוני הפיקוח המצויים בו - ובראשם ועדה מפקחת בראשות שופט בדימוס ומפקח פנימי = אינם מספיקים. "זה טוב שיש חוק, עדיף שיהיה חוק שמסדיר מה גוף כמערך הסייבר עושה, ושאני כאזרחית אוכל לפקח עליו", היא אומרת. "אך אין לאורך החוק מנגנונים ראויים של שקיפות.

 

החברה האזרחית מנותקת, הציבור מנותק והכל נעשה באופן פנימי. זה בעייתי כשמדובר בגוף ביטחוני וכשאין שקיפות מובנית שמאפשרת לציבור ולרשויות מדינה נוספות מעבר לראש הממשלה להבין מה קורה שם".

 

שאלת הפיקוח על מערך הסייבר מסתמנת כנקודה קריטית. "זו שאלת המפתח", אומר הגורם המקצועי המעורה בתזכיר החוק. "איך מוודאים שלא משתמשים בסמכויות מערך הסייבר שלא למטרה המקורית. יש אלמנטים שמקטינים את הסיכון, למשל הטכנולוגיות שמכוונות להגנת סייבר. מערך הסייבר לא יכול להכניס לבסיס הנתונים את השם שלך ולראות איפה אתה נמצא כי אלה לא הכלים שיש לו. אין צורך בזה כי האדם הספציפי לא מעניין אותנו. אנחנו רוצים לכבות את השריפה לפני שתופסים את ההאקר.

 

"אם מישהו במערך 'משתגע' ובא לארגון חיצוני עם הנחיות לא הגיוניות שמהוות שימוש לרעה בכוח, הארגון יוכל להסתכל על זה בזמן אמת. זו שקיפות בצורה בלתי רגילה שלא קיימת במשטרה, בשב"כ או ברשות המסים".

 

ביקורת נוספת כלפי תזכיר חוק הגנת הסייבר עוסקת בהגדרה שהוא מעניק למונח המפתח איום סייבר. "התזכיר מרחיב את מעגל המטרות של איומי הסייבר גם לפגיעה בתשתיות, תהליכים ומגזרים שמספקים שירותים פחות מוחשיים", אומרת ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה. כך, הדלפת מידע על מועמדים לפני בחירות עשויה להיחשב לפגיעה בחיסיון המידע. פייק ניוז עשויה להתפרש באמינות המידע. פגיעה בזמינות המידע עלולה להיות חסימה של פלטפורמות המשמשות להעברת מידע".

 

שוורץ אלטשולר מעלה בהקשר זה חשש מפני פוליטיזציה של מערך הסייבר. הצעת החוק מגדירה איום סייבר כעלולה להביא ל"פגיעה לא מוחשית תודעתית או תדמיתית הגורמת לבהלה רחבה בציבור". ולדברי שוורץ אלטשולר, אם מערך הסייבר ישתמש בהגדרה זו כדי "להגדיר סרטון המזהיר מפני נהירה המונית של הערבים לקלפי כאיום סייבר, הוא עלול למצוא עצמו חשוף ללחצים פוליטיים. מדובר בגוף סופר־ביטחוני, בלי הפרדה מספקת מפוליטיקאים, שמקבל סמכויות ניטור תוכן. זה מזכיר את הממדים שאליהם הגיעה הסוכנות האמריקאית לביטחון לאומי ה־NSA לפי חשיפות סנודן".

 

חוק חשוב וראוי אך נעדר שקיפות ופיקוח חיצוני

אין פירוש הדבר שאין חלקים טובים בחוק, אך לטענת מומחי הפרטיות הם נעלמים תחת הררי הבעיות. "זה חוק שהגיע זמנו, צריך חוק שדן באבטחת רשת וסייבר ויסדיר את הדרוש הסדרה", אומר פרופ' ביהם מהטכניון ומהתנועה לזכויות דיגיטליות, שנמנה עם מדעני המחשב המובילים בעולם. "אך יש מגוון נושאים שדורשים שיפור בנוגע לענייני הגנה על הפרטיות. החוק מעניק למערך הסייבר הלאומי סמכויות לפעול במחשבים שאינם ממשלתיים, של ארגון או אזרח פרטי, ובמקרים מסוימים ללא צו שופט. צריך לשפר את האיזונים בחוק".

 

 

פרופ' אלי ביהם פרופ' אלי ביהם צילום: אלכס קולומויסקי

 

"הצעת החוק מאפשרת למדינה לא רק לטפל בפריצות אבטחת מידע אלא גם להתממשק למערכות בכל רשתות הארגונים ולהיחשף לכל המידע העובר בהן. בכלל זה גם ספקיות אינטרנט שמעניקות גישה לכלל אזרחי ותושבי המדינה", מזהיר האקטיביסט ומומחה הסייבר נעם רותם, שחשף בשבועות האחרונים פרצות אבטחה בשלל גופים ובראשם אתר גיוס העובדים של השב"ס.

 

"ההצעה אמנם אומרת שהמידע ישמש רק לצורכי זיהוי של פגיעות אבטחה, אבל כשיש מידע שמגיע לרשויות החוק, קיימת סכנה שהוא יועבר ויופץ לגורמים נוספים", מזהיר רותם. "זו פגיעה קשה בפרטיות האזרחים באמתלות הרגילות של ביטחון שגוברות על זכויות אחרות. יש כאן מתן יד חופשית לביצוע האזנות סתר בידי גוף של משרד ראש הממשלה בהיקף עצום, ללא צוי שופט וללא פיקוח אזרחי אפקטיבי".

 

תזכיר החוק מעורר גם התנגדויות בקרב חברי הכנסת. "לתת למערך הסייבר את העצמאות הזו ללא פיקוח מקיף ובלי צורך לעבוד מול משפר הגנות, כמו אישור בית המשפט, משאיר כוח רב מדי בידי גוף אחד חשוב ככל שיהיה", אמרה ח"כ קארין אלהרר (יש עתיד). "נמשיך לעקוב אחר התקדמות החוק הזה ונוודא שכל החסמים והפיקוח הנדרש ייכללו בנוסח החוק".

 

 

 

עם זאת, ח"כ יואב קיש (הליכוד) המכהן כיושב ראש ועדת הפנים של הכנסת העריך שחוק הגנת הסייבר לא יאושר במתכונתו הנוכחית. "ברור מאליו שהחוק לא ייצא מהכנסת כפי שייכנס אליה", אמר קיש. "נפעיל מערך שיקולים ונאזן בין הצורך לפיקוח על מערכות רגישות לבין חדירה לפרטיות".

בטל שלח
    לכל התגובות
    x