הצעה לממשלה: רישיון עסק יותנה בעמידה בתנאי סף לאבטחת מידע

איומי הסייבר על ישראל מתרבים - וכך גם מספר גופי הפיקוח. לקראת כנס הסייבר השנתי שייערך היום, מציג המכון למחקרי ביטחון לאומי תוכנית למיזוג גופי פיקוח לחמ"ל לאומי אחד, וגיבוש תו תקן סייבר שיחייב גם עסקים פרטיים

אור הירשאוגה - פרשנות - חדש
אור הירשאוגה
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
אור הירשאוגה - פרשנות - חדש
אור הירשאוגה

על ישראל להקים גוף אופרטיבי שיבצע פיקוח על אבטחת המידע בגופים אזרחיים - כך קובע נייר עמדה שהוגש לממשלה על ידי גבי סיבוני, ראש פורום הסייבר במכון למחקרי ביטחון לאומי (INSS), מכון חיצוני של אוניברסיטת תל אביב. בנייר העמדה, שהועבר לראש הממשלה ולשרי הממשלה, ממליץ סיבוני בין השאר על התניית מתן רישיון לעסקים בעמידה בקריטריונים של אבטחת מידע, שגוף זה יהיה אמון על ביצועם.

פרשת ההאקר הסעודי ודליפת מספרי כרטיסי האשראי היתה האחרונה בסדרת פרשיות שהפנו זרקור לאבטחת מידע בארגונים ועסקים פרטיים. היא חשפה את אחת מנקודות החולשה המוכרות ביותר לעוסקים בתחום אבטחת המידע, אך רחוקות באופן יחסי מעיני הציבור. בשעה שתשומת הלב הציבורית מופנית למאגרי מידע בולטים ולמערכות המידע של ארגונים ממשלתיים ומסחריים גדולים, עשרות אלפי מאגרי מידע קטנים מוחזקים לעתים קרובות ללא הגנות בסיסיות, על ידי גורמים פרטיים ועסקים קטנים ובינוניים.

"אבטחת המידע בישראל מפוקחת כיום בגופים ביטחוניים ובארגונים המוגדרים קשורים לתשתיות לאומיות - 99% מהארגונים נמצאים מחוץ לתמונה", קובע סיבוני. לא מדובר רק בעסקים קטנים ובינוניים. "חברות משמעותיות במשק, תאגידי מים ולמעשה מרבית המרחב האזרחי נותרים כיום ללא פיקוח".

מסמך העמדה של סיבוני הוגש לממשלה באפריל, לקראת דיון שצפוי להיערך בחודשים הקרובים בממשלה על המענה האזרחי בתחום הסייבר. כמו כן, יוצג מסמך העמדה בוועידת הסייבר השנתית שתיערך היום במכון למחקרי ביטחון לאומי בתל אביב.

ראש פורום סייבר ב-INSS, גבי סיבוני צילום: סבן יהונתן

"עיקרי ההצעה נוגעים להכנסת תחום הגנת הסייבר כמרכיב מובנה בתהליכים סטטוטוריים קיימים, וזאת הן בשלבי ההקמה של מיזמים חדשים ‏(חוק הרישוי והבנייה‏), והן בתהליך התפעול של עסקים קיימים ‏(חוק רישוי עסקים‏)", כותב סיבוני בהצעה. "הקמת כל מיזם בישראל מחייבת עמידה בתהליכי התכנון הסטטוטורי, וחובה לקבל את אישור ועדות התכנון בהקשר למגוון נושאים, בהם: כיבוי אש, בריאות הציבור, סביבה, חומרים מסוכנים, הגנת העורף ועוד. מוצע כי במסגרת זו יידרש כל מיזם להתייחס גם לנושא הגנת הסייבר הרלוונטית לו".

כיום מוסדרת אבטחת המידע בישראל על ידי כמה גופים: מלמ"ב ‏(הממונה על הביטחון במערכת הביטחון‏) אחראי על הסדרת אבטחת המידע בצה"ל, גופי המודיעין ובתעשייה הביטחונית; רא"ם ‏(הרשות לאבטחת מידע הממלכתית שפועלת תחת השב"כ‏) אחראית על אבטחת המידע בתשתיות לאומיות קריטיות כמו חברת החשמל; ואילו בנק ישראל, המפקח על הבנקים והמפקח על הביטוח מנטרים את מערכות אבטחת המידע בבנקים ובחברות ביטוח. הסמכות הרוחבית על נושאי אבטחת מידע במשרדי הממשלה נתונה בידי אגף התקשוב הממשלתי, שבראשו עומדת כיום כרמלה אבנר.

הפיקוח על אבטחת מידע בגופים אזרחיים הוא המבוזר ביותר. לצד רא"ם והמפקח על הבנקים והביטוח, מחזיקה בסמכויות מסוימות הרשות למשפט וטכנולוגיה במשרד המשפטים, כחלק מסמכויות רשם מאגרי המידע. עם זאת, סמכויות הרשות נגזרות כיום מחוק הפרטיות, ולכן היא יכולה לפעול רק מרגע שמאגר מידע שבידים פרטיות נפרץ או הופץ. עיקר סמכויותיה בכל מקרה אחר הן ברישום של מאגר המידע, ובכך עוסקים מרבית אנשיה.

מטה הסייבר הלאומי, שהחל לפעול בראשית 2012 מתוקף החלטת ממשלה מ–2011, מוגדר כיום גוף שמטרתו העיקרית היא תיאום בין גורמים שונים ולא פעולה אופרטיבית. לפי הערכות, המטה, שבראשו עומד כיום ד"ר אביתר מתניה, תוקצב במאות מיליוני שקלים. בהצעתו ממליץ סיבוני על הפיכת המטה לגוף אופרטיבי, שירכז תחתיו את הפיקוח על גופים אזרחיים - גם גופים כמו חברת חשמל ומקורות שכפופים כיום לפיקוח של רא"ם. לפי ההצעה, גוף זה יכלול גם את המטה הקיברנטי הלאומי שהוקם, וגם חלקים מרא"ם והרחבת המשאבים הקיימים. בין השאר, מומלץ כי גוף זה יהיה אמון על הקמת והפעלת חמ"ל סייבר לאומי, שהוא חלק מהחמ"ל של המטה לביטחון לאומי. לפי ההצעה, גוף זה יתפקד מהמשאבים שהוקצו למטה הלאומי לסייבר וממשאבי רא"ם.

המכון למחקרי ביטחון לאומי, מכון מחקר עצמאי, הוקם ב–2006 על בסיס צוות חוקרים במכון אקדמי באוניברסיטת תל אביב. קיום המכון, שבראשו עומד כיום האלוף במיל' עמוס ידלין, התאפשר בזכות תרומה של איש העסקים היהודי האוסטרלי פרנק לואי, שנחשב מקורב לאהוד ברק. פורום הסייבר במכון הוקם ב–2012. בין השאר, חברים בפורום גורמים ממשלתיים, כמו מטה הסייבר ורשות התקשוב הממשלתית, וחברות טכנולוגיות כמו מוטורולה, תע"ש, צ'ק־פוינט, RSA, מיקרוסופט ויבמ.

כל הגופים הממשלתיים העוסקים בסייבר

גופי הביטחון צפויים להתנגד

המהלך שמציע סיבוני, מפקד פלס"ר גולני במלחמת לבנון הראשונה ואל"מ במיל' ששירת בעבר כראש מטה חטיבת גולני, צפוי לעורר התנגדות מצד גופי הביטחון, שכן הוא מקטין את סמכותם. עם זאת, לצד הוצאת כוח האדם מאחריות השב"כ, המהלך המוצע מכפיף למעשה את ההתנהלות של כל עסק במדינה לגוף שיעדיו העיקריים הם ביטחוניים. הענקת סמכויות אופרטיביות כאלה תאפשר בפועל לגוף הממשלתי האחראי גישה לכל מאגר מידע פרטי ועסקי בישראל.

סיבוני סבור שההצעה שהוגשה מידתית. "דרישות הרגולציה כיום רחבות מאוד - התוספת המוצעת היא בפועל קטנה מאוד ביחס לרגולציה הקיימת. תקנות כאלה יוודאו שהמידע נשאר פרטי ושהוא מטופל כנדרש", הוא טוען. "אני חושב שהחשש המרכזי צריך להיות מהשימוש שחברות מסחריות עושות במידע ולאו דווקא מהשימוש שגופים ביטחוניים עושים בו. אני לא רואה את אותה הרגישות לפרטיות שמובעת ביחס לשימושים של ארגונים ביטחוניים שמנסים לאתר פעילות טרור, כשזה נוגע לשימושים שעושות בפרטים חברות כמו גוגל או פייסבוק", קובע סיבוני, שחשף עצמו ב–2012 כמי שהעביר את מסמך הרפז לידי העיתונאי אמנון אברמוביץ'.

"לאור העובדה שהרשות למשפט וטכנולוגיה, האמונה על כך, נמצאת במתח מובנה בין הגנה על פרטיות לבין אבטחת מידע ‏(אינטרסים שלעתים נמצאים בהתנגשות‏), ואינה מתקדמת בקצב הנדרש להיות גורם מפקח על אבטחת מידע - יש צורך בהגדרת רגולטור שמעייניו יהיו במגזר הפרטי ובחולשתו המובנית", קובע ד"ר נמרוד קוזלובסקי, שותף בקרן JVP וראש תוכנית הסייבר בבית הספר למינהל עסקים באוניברסיטת תל אביב. "הבעיה בישראל היא היעדר מערכת תמריצים ראויה להתמגן לעסקים פרטיים, כשהפגיעה בעיקרה היא בלקוחות, נשואי המידע, שאינם מוגנים. חסרה בישראל מערכת חקיקה, פיקוח ותמריצים להגנה, וכן מערכת הכוונה ונהלים, וגם אין מערך בקרה ופיקוח על חברות אבטחת המידע".

המכון למחקרי ביטחון לאומי יערוך את ועידת הסייבר השנתית בנושא אתגרי הגנת המגזר הפיננסי, היום באולם הכנסים שלו. בוועידה ישתתפו, בין השאר, השר לעניינים אסטרטגיים, יובל שטייניץ; שר המדע והטכנולוגיה, יעקב פרי; וידלין. הוועידה תדון בסוגיות הקשורות להגנה והיערכות המגזר הפיננסי בישראל ובעולם מפני תקיפות סייבר, והשלכותיהן על הביטחון הלאומי.

לחצו על הפעמון לעדכונים בנושא:

כתבות מומלצות

שיעור באוניברסיטה. באקדמיה מצופה מהסטודנטים להתמודד עם בעיות שלא ראו קודם

הסטודנטים באקדמיה נדרשים לראשונה לחשיבה מעמיקה - והתוצאות עגומות

דירה בהנחה

6,269 משקי בית זכו בהגרלה. אבל האם בכלל כדאי לקנות דירה בהנחה?

לחוסכים הסולידיים יש אלטרנטיבה

שעתו היפה של החוסך הסולידי: יש חלופה טובה יותר לפיקדון בבנק

טסלה, מודל S. המחיר למי שיזמין את המודל היום ייקבע בהמשך

אחרי כמעט שנתיים: הדגמים הגדולים של טסלה מגיעים לישראל

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker

כתבות שאולי פספסתם

אלעד כהן (מימין), ניצן רנגיני בוצר ודניאל בוצר

ממשכורת של 30 שקל בשעה – לווילה בת שלוש קומות במושב מבוסס בשרון

מסיבה בבריכה, אילוסטרציה

בעל הבית מרוויח 15 אלף שקל ללילה - החיים של השכנים נהפכו לסיוט