הצעה לממשלה: רישיון עסק יותנה בעמידה בתנאי סף לאבטחת מידע - TechNation - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

הצעה לממשלה: רישיון עסק יותנה בעמידה בתנאי סף לאבטחת מידע

איומי הסייבר על ישראל מתרבים - וכך גם מספר גופי הפיקוח. לקראת כנס הסייבר השנתי שייערך היום, מציג המכון למחקרי ביטחון לאומי תוכנית למיזוג גופי פיקוח לחמ"ל לאומי אחד, וגיבוש תו תקן סייבר שיחייב גם עסקים פרטיים

10תגובות

על ישראל להקים גוף אופרטיבי שיבצע פיקוח על אבטחת המידע בגופים אזרחיים - כך קובע נייר עמדה שהוגש לממשלה על ידי גבי סיבוני, ראש פורום הסייבר במכון למחקרי ביטחון לאומי (INSS), מכון חיצוני של אוניברסיטת תל אביב. בנייר העמדה, שהועבר לראש הממשלה ולשרי הממשלה, ממליץ סיבוני בין השאר על התניית מתן רישיון לעסקים בעמידה בקריטריונים של אבטחת מידע, שגוף זה יהיה אמון על ביצועם.

פרשת ההאקר הסעודי ודליפת מספרי כרטיסי האשראי היתה האחרונה בסדרת פרשיות שהפנו זרקור לאבטחת מידע בארגונים ועסקים פרטיים. היא חשפה את אחת מנקודות החולשה המוכרות ביותר לעוסקים בתחום אבטחת המידע, אך רחוקות באופן יחסי מעיני הציבור. בשעה שתשומת הלב הציבורית מופנית למאגרי מידע בולטים ולמערכות המידע של ארגונים ממשלתיים ומסחריים גדולים, עשרות אלפי מאגרי מידע קטנים מוחזקים לעתים קרובות ללא הגנות בסיסיות, על ידי גורמים פרטיים ועסקים קטנים ובינוניים.

"אבטחת המידע בישראל מפוקחת כיום בגופים ביטחוניים ובארגונים המוגדרים קשורים לתשתיות לאומיות - 99% מהארגונים נמצאים מחוץ לתמונה", קובע סיבוני. לא מדובר רק בעסקים קטנים ובינוניים. "חברות משמעותיות במשק, תאגידי מים ולמעשה מרבית המרחב האזרחי נותרים כיום ללא פיקוח".

כל מה שצריך לדעת על קריירה בהייטק
כנסו למתחם

מסמך העמדה של סיבוני הוגש לממשלה באפריל, לקראת דיון שצפוי להיערך בחודשים הקרובים בממשלה על המענה האזרחי בתחום הסייבר. כמו כן, יוצג מסמך העמדה בוועידת הסייבר השנתית שתיערך היום במכון למחקרי ביטחון לאומי בתל אביב.

סבן יהונתן

"עיקרי ההצעה נוגעים להכנסת תחום הגנת הסייבר כמרכיב מובנה בתהליכים סטטוטוריים קיימים, וזאת הן בשלבי ההקמה של מיזמים חדשים ‏(חוק הרישוי והבנייה‏), והן בתהליך התפעול של עסקים קיימים ‏(חוק רישוי עסקים‏)", כותב סיבוני בהצעה. "הקמת כל מיזם בישראל מחייבת עמידה בתהליכי התכנון הסטטוטורי, וחובה לקבל את אישור ועדות התכנון בהקשר למגוון נושאים, בהם: כיבוי אש, בריאות הציבור, סביבה, חומרים מסוכנים, הגנת העורף ועוד. מוצע כי במסגרת זו יידרש כל מיזם להתייחס גם לנושא הגנת הסייבר הרלוונטית לו".

כיום מוסדרת אבטחת המידע בישראל על ידי כמה גופים: מלמ"ב ‏(הממונה על הביטחון במערכת הביטחון‏) אחראי על הסדרת אבטחת המידע בצה"ל, גופי המודיעין ובתעשייה הביטחונית; רא"ם ‏(הרשות לאבטחת מידע הממלכתית שפועלת תחת השב"כ‏) אחראית על אבטחת המידע בתשתיות לאומיות קריטיות כמו חברת החשמל; ואילו בנק ישראל, המפקח על הבנקים והמפקח על הביטוח מנטרים את מערכות אבטחת המידע בבנקים ובחברות ביטוח. הסמכות הרוחבית על נושאי אבטחת מידע במשרדי הממשלה נתונה בידי אגף התקשוב הממשלתי, שבראשו עומדת כיום כרמלה אבנר.

הפיקוח על אבטחת מידע בגופים אזרחיים הוא המבוזר ביותר. לצד רא"ם והמפקח על הבנקים והביטוח, מחזיקה בסמכויות מסוימות הרשות למשפט וטכנולוגיה במשרד המשפטים, כחלק מסמכויות רשם מאגרי המידע. עם זאת, סמכויות הרשות נגזרות כיום מחוק הפרטיות, ולכן היא יכולה לפעול רק מרגע שמאגר מידע שבידים פרטיות נפרץ או הופץ. עיקר סמכויותיה בכל מקרה אחר הן ברישום של מאגר המידע, ובכך עוסקים מרבית אנשיה.

מטה הסייבר הלאומי, שהחל לפעול בראשית 2012 מתוקף החלטת ממשלה מ–2011, מוגדר כיום גוף שמטרתו העיקרית היא תיאום בין גורמים שונים ולא פעולה אופרטיבית. לפי הערכות, המטה, שבראשו עומד כיום ד"ר אביתר מתניה, תוקצב במאות מיליוני שקלים. בהצעתו ממליץ סיבוני על הפיכת המטה לגוף אופרטיבי, שירכז תחתיו את הפיקוח על גופים אזרחיים - גם גופים כמו חברת חשמל ומקורות שכפופים כיום לפיקוח של רא"ם. לפי ההצעה, גוף זה יכלול גם את המטה הקיברנטי הלאומי שהוקם, וגם חלקים מרא"ם והרחבת המשאבים הקיימים. בין השאר, מומלץ כי גוף זה יהיה אמון על הקמת והפעלת חמ"ל סייבר לאומי, שהוא חלק מהחמ"ל של המטה לביטחון לאומי. לפי ההצעה, גוף זה יתפקד מהמשאבים שהוקצו למטה הלאומי לסייבר וממשאבי רא"ם.

המכון למחקרי ביטחון לאומי, מכון מחקר עצמאי, הוקם ב–2006 על בסיס צוות חוקרים במכון אקדמי באוניברסיטת תל אביב. קיום המכון, שבראשו עומד כיום האלוף במיל' עמוס ידלין, התאפשר בזכות תרומה של איש העסקים היהודי האוסטרלי פרנק לואי, שנחשב מקורב לאהוד ברק. פורום הסייבר במכון הוקם ב–2012. בין השאר, חברים בפורום גורמים ממשלתיים, כמו מטה הסייבר ורשות התקשוב הממשלתית, וחברות טכנולוגיות כמו מוטורולה, תע"ש, צ'ק־פוינט, RSA, מיקרוסופט ויבמ.

גופי הביטחון צפויים להתנגד

המהלך שמציע סיבוני, מפקד פלס"ר גולני במלחמת לבנון הראשונה ואל"מ במיל' ששירת בעבר כראש מטה חטיבת גולני, צפוי לעורר התנגדות מצד גופי הביטחון, שכן הוא מקטין את סמכותם. עם זאת, לצד הוצאת כוח האדם מאחריות השב"כ, המהלך המוצע מכפיף למעשה את ההתנהלות של כל עסק במדינה לגוף שיעדיו העיקריים הם ביטחוניים. הענקת סמכויות אופרטיביות כאלה תאפשר בפועל לגוף הממשלתי האחראי גישה לכל מאגר מידע פרטי ועסקי בישראל.

סיבוני סבור שההצעה שהוגשה מידתית. "דרישות הרגולציה כיום רחבות מאוד - התוספת המוצעת היא בפועל קטנה מאוד ביחס לרגולציה הקיימת. תקנות כאלה יוודאו שהמידע נשאר פרטי ושהוא מטופל כנדרש", הוא טוען. "אני חושב שהחשש המרכזי צריך להיות מהשימוש שחברות מסחריות עושות במידע ולאו דווקא מהשימוש שגופים ביטחוניים עושים בו. אני לא רואה את אותה הרגישות לפרטיות שמובעת ביחס לשימושים של ארגונים ביטחוניים שמנסים לאתר פעילות טרור, כשזה נוגע לשימושים שעושות בפרטים חברות כמו גוגל או פייסבוק", קובע סיבוני, שחשף עצמו ב–2012 כמי שהעביר את מסמך הרפז לידי העיתונאי אמנון אברמוביץ'.

"לאור העובדה שהרשות למשפט וטכנולוגיה, האמונה על כך, נמצאת במתח מובנה בין הגנה על פרטיות לבין אבטחת מידע ‏(אינטרסים שלעתים נמצאים בהתנגשות‏), ואינה מתקדמת בקצב הנדרש להיות גורם מפקח על אבטחת מידע - יש צורך בהגדרת רגולטור שמעייניו יהיו במגזר הפרטי ובחולשתו המובנית", קובע ד"ר נמרוד קוזלובסקי, שותף בקרן JVP וראש תוכנית הסייבר בבית הספר למינהל עסקים באוניברסיטת תל אביב. "הבעיה בישראל היא היעדר מערכת תמריצים ראויה להתמגן לעסקים פרטיים, כשהפגיעה בעיקרה היא בלקוחות, נשואי המידע, שאינם מוגנים. חסרה בישראל מערכת חקיקה, פיקוח ותמריצים להגנה, וכן מערכת הכוונה ונהלים, וגם אין מערך בקרה ופיקוח על חברות אבטחת המידע".

המכון למחקרי ביטחון לאומי יערוך את ועידת הסייבר השנתית בנושא אתגרי הגנת המגזר הפיננסי, היום באולם הכנסים שלו. בוועידה ישתתפו, בין השאר, השר לעניינים אסטרטגיים, יובל שטייניץ; שר המדע והטכנולוגיה, יעקב פרי; וידלין. הוועידה תדון בסוגיות הקשורות להגנה והיערכות המגזר הפיננסי בישראל ובעולם מפני תקיפות סייבר, והשלכותיהן על הביטחון הלאומי.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#