בימים אלה, מקודמת יוזמת חקיקה המבקשת להגדיר מחדש את כללי המשחק במרחב הסייבר בישראל. מדובר ביוזמה משמעותית עליה יש לברך. אלא שישנן כמה תהיות עמוקות העולות מאופן קידום החקיקה, כמו גם מתוכנה. יצוין, כי זו הפעם השנייה שמערך הסייבר הלאומי מנסה לקדם הליך חקיקתי. בסבב הראשון, ביוני 2018, המערך הפיץ להערות הציבור את תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי, התשע"ח-2018. בזמנו, התזכיר לא הבשיל להליך חקיקתי, בגלל ההתנגדות להיקף הסמכויות שהוא דרש עבור המערך - אשר מצאה ביטוי בתגובות שהגישו כ-20 ארגונים ממגוון מגזרים במשק, כמו גם בביקורת חריפה מצד רשויות ממשל אחרות. לאור זאת, התזכיר, בסופו של יום, נגנז.
במקרה הנוכחי, נראה שהמערך לא למד מניסיון העבר. התפיסה העולה מטיוטת חוק הגנת הסייבר ומערך הסייבר הלאומי (סמכויות לצורך חיזוק הגנת הסייבר) (הוראת שעה), התשפ"א 2021 היא כוחנית, פטרנליסטית ומיותרת, בהתחשב במציאות הסייברית הישראלית כיום. היוזמה אף מנוגדת למדיניות המערך, שנקבעה בהחלטות ממשלה ומסמכי מדיניות. עוד בעיה עקרונית נובעת מעיתויה ומהחשש, כי על רקע התפרצות משבר הבריאות בהקשר של קוביד-19, הוחלט לקצר תהליכים ולבחור בדרך של הוראת שעה שתוקפה יעמוד על שנתיים. אמנם, משבר הבריאות הגביר את החשיפה לסיכוני סייבר במידה ניכרת, בין השאר בשל עלייה חדה בהיקף העבודה מרחוק ותהליכי דיגיטציה מואצים. לדוגמה, במהלך נובמבר-דצמבר 2020 נחשפו שלוש תקיפות נגד חברות ישראליות - חברת הביטוח שירביט, חברת ההיי-טק עמיטל וחברת הבינה המלאכותית הבאנה לאבס (בבעלות אינטל). ועדיין, "צוק העיתים" אינו מצדיק את המהלך המזורז, לבטח לא את הדחיפות לקיימו בעיצומן של רצף מערכות בחירות אשר סיומן אינו נראה באופק.
טורפים מחדש את הקלפים
לגופה של הטיוטה, נראה כי היא מבקשת להביא לשינוי מהותי ביחסים שבין המערך וגופי הביטחון, לבין ארגונים אזרחיים, במובן של מעבר משיח של שיתוף והסכמה בכל הנוגע להגנת סייבר לשיח של ציווי. בתוך כך, המערך דורש לעצמו מנעד של סמכויות מרחיקות לכת, שלא יובילו בהכרח לשיפור רמת הגנת הסייבר במרחב הישראלי. כפי שהוכר בעבר על-ידי המערך, מאחר וניהול הרשתות הדיגיטליות עומד בבסיס תהליכי הליבה העסקיים והתפעוליים של כל ארגון, רק הארגון יכול לשאת באחריות להגנה על עצמו. בהתאם, הגישה העולה מהחקיקה הקיימת היא כזו שמבטאת הבנה היסודית כי שיתוף פעולה, בין הממשלה לבין הארגונים במשק ובינם לבין עצמם, מהווה מרכיב קריטי בהגנה על מרחב הסייבר. גישה זו מבטאת את העמדה הרווחת במדינות מפותחות בתחום הסייבר. כך לדוגמה, לאחרונה אישר בית המשפט בארה"ב את כניסת סוכני ארגון הביון המרכזי האמריקני לשרתי דואר אלקטרוני של מייקרוסופט בהסכמתה של החברה, בכדי למחוק "דלתות אחוריות" שהוכנסו על-ידי תוקפים.
לא זו אף זו: המדיניות המוצהרת של המערך, כפי שהיא מתבטאת בהחלטות הממשלה 2443 ו-2444, קובעת, בין השאר, כי יש להסדיר את תחום הגנת הסייבר באמצעות העצמה של הרגולטורים הקיימים (לרוב, משרדי ממשלה), ולא דרך הוספת רגולטורים למשק. התפיסה המגזרית - אחד הצעדים הברוכים של המערך - הובילה עד כה לרגולציית סייבר בתחומי הבנקאות; שוק ההון, ביטוח וחסכון; התקשורת ;והבריאות - והיד עוד נטויה. שאלת האכיפה של הרגולציה המגזרית מחייבת דיון נפרד, אך השיתוף המגזרי שמאפשר לגופים המפוקחים להשפיע על מהותה חיונית להצלחתה. הטיוטה שבפנינו מבקשת לטרוף מחדש את הקלפים בכל הנוגע לטיב היחסים בין כל הגורמים המעורבים.
לפי הטיוטה, תשתנה הגישה הבסיסית במובן שגופים מדינתיים יוכלו להיכנס בנעלי ארגון אזרחי, לבצע פעולות ואף לחייבו בגין הוצאות הנובעות מהן, באופן שעלול לפגוע בסודות מסחריים של הארגון, בפרטיות של לקוחותיו ועוד. הטיוטה מרחיבה באופן חסר תקדים את סמכויות המערך על-ידי החלת הוראותיה על עשרות רבות של חברות, אותם יגדיר כ"ארגון שמקיים פעילות חיונית". היא גם מאפשרת למערך לפנות לבית המשפט להוציא צווים, במעמד צד אחד, שיתנו לו לפעול בתוך המערכות הדיגיטליות של ארגונים - ולא רק כאשר הם מסרבים לקיים ההנחיותיו. זאת, למרות שלא ידוע לנו על מקרים בהם ארגונים סירבו לשתף פעולה ולקיים את הנחיותיהם של הגופים המוסמכים. הרי לכל גוף יש עניין בשיתוף פעולה עם גופי הבטחון המדינתיים, ובמיוחד כשמדובר בטעמים בעלי חשיבות לאומית ו/או איומי סייבר שעלולים לגרום לנזקים לנכסיהם, לרווחיהם ולמוניטין.
שינויים לא פרופורציונליים ושגויים
אנו תוהים לגבי הנימוקים שעומדים מאחורי שינוי התפיסה הבסיסית של המערך לעיצוב כללי המשחק בישראל. ברור כי הרצון לקבוע כללים לחיזוק ההגנה ובמידת הצורך גם לאכוף אותם, בהסתמך על צווים שיפוטיים, אינו נובע רק מהרצון להגן על אינטרסים מדינתיים, אלא גם מתוך דאגה כנה לאינטרסים של האזרח הישראלי. ועדיין, עוצמת השינוי המוצע והיקפו עלולים להיתפס כלא פרופורציונליים במקרה הטוב, ושגויים במקרה הרע. במישור המדיניות, סמכויות מהסוג המבוקש על-ידי המערך עלולות להעביר לגופים אזרחיים מסר לא רצוי ולהרגיל אותם להישען על רשויות המדינה, שבעת הצורך גם ימלאו את מקומם.
כנקודה אחרונה, נתייחס להיעדר הטיפול בטיוטה במחויבויות של המערך לכללי המשפט הבין-לאומי שחלים במרחב. למשל, הצורך ואף החובה לשתף מידע סייברי עם מדינות אחרות כדי למזער נזקים ברמה הגלובלית - כולל מידע שנאסף מארגונים פרטיים - אינו מוזכר כלל.
אם בשאיפת המערך לקבל מארגונים רמה גבוהה של שיתוף פעולה, הוא חייב להבהיר כיצד מוגן המידע שמועבר אליו, לכמה זמן הוא נשמר ולאיזה גופים אחרים מידע זה נמסר; כמובן כאשר גילויים אלה מתאפשרים מבחינת השמירה על בטחון הלאומי. מדובר גם בעניין של בניית אמון בין המגזר הפרטי למערך וגם עניין של שלטון החוק במדינה דמוקרטית.
לסיכום, יש לשבח את גישת מערך הסייבר הלאומי המבקש "להגדיל ראש" ולהבטיח הגנת סייבר באיכות טובה למערכות מחשוב של ארגונים במשק, שפגיעה בהן תפגע באינטרסים חיוניים של רבים. אלא, שלא ברור מדוע הוחלט להביא לשינוי כה מרחיק לכת במערכת הקיימת כיום, אשר מאזנת כראוי בין הצורך להגביר באופן מתמד את רמת הגנת הסייבר של ישראל וחובת השיתוף של ארגונים כבעלי עניין קריטיים למשימה.
דב האוסן-כוריאל היא חברה במועצה המייעצת של מרכז חקר הסייבר ע"ש פדרמן באוניברסיטה העברית בירושלים והיועצת המשפטית של חברת קונפידס. ד"ר טל מימרן הוא רכז המחקר של מרכז פדרמן ומרצה מן החוץ למשפט בין-לאומי באוניברסיטה העברית. הכותבים מודים לחברי המרכז שתרמו לכתיבה: פרופ' יובל שני, אלוף (מיל.) דני עפרוני ועמיר כהנא
