אחרי 40 תקיפות סייבר מפרוץ המלחמה, ממשלת ישראל אישרה תקנות חירום המיועדות לספק למערך הסייבר, לשב''כ ולמשרד הביטחון סמכויות מיוחדות לטיפול בהן. על פי מערך הסייבר, שפרסם את ההודעה בדבר התקנות, הן מיועדות לאפשר טיפול במתקפות סייבר חמורות בקרב חברות המעניקות שירותים דיגיטליים ושירותי אחסון. "מטרת ההוראה היא לצמצם את הנזק הפוטנציאלי הרוחבי העשוי להיגרם למשק בשעת חירום כתוצאה ממתקפה שכזו", אומרים במערך.
עוד בנושא:
התקנות לשעת חירום מאפשרות, במקרה של מתקפת סייבר חמורה בעלת סיכון למדינה או לשירות חיוני, למערך הסייבר הלאומי, שב"כ או משרד הביטחון, בהתאם לסוג החברה שנפגעה, לתת לספקי שירותי אחסון ושירותים דיגיטליים הוראות לטיפול במתקפה. ההוראות יחולו רק במקרה שהמתקפה אינה מטופלת באופן מספק על ידי ספקי שירותי אחסון ושירותים דיגיטליים. במילים אחרות, המדינה תיקח את המושכות מידי הספקים ותחליט עבורם כיצד הם צריכים לטפל באירוע.
עם זאת, התקנות כוללות מספר מנגנונים שאמורים להגביל את כוחן של הרשויות. לדברי ד''ר תהילה שוורץ אלטשולר, עמיתה בכירה במכון הישראלי לדמוקרטיה ובמרכז פדרמן למשפט וסייבר באוניברסיטה העברית, מדובר בתקנות שמספקות "איזונים ובלמים" לכוח של הרשויות. כך, למשל, הן קובעות שהגורם המטפל מטעם המדינה יכול אומנם לתת הוראות, אך לא לנהל את האירוע בעצמו. כמו כן, ישנה חובת דיווח ותיעוד של כל פעולה או הוראה שמתבצעת. זאת ועוד, התקנות והתזכיר חוק שמלווה אותן ושייכנס לתוקף ברגע שהכנסת תחוקק אותו מתבססות על ההנחה שאם ספק כלשהו עומד בתקינה האמריקאית לתחום הסייבר, הרשויות לא יכולות להפקיע את סמכויות הטיפול שלו באירוע.
בסיס אפשרי לחוק סייבר
לדברי שוורץ אטלשולר, התקנות יכולות אפילו לשמש כבסיס לחוק סייבר. "הופתעתי מאוד לטובה מהתקנות ומהרצינות של מערך הסייבר", היא אומרת. עם זאת, היא הייתה מעדיפה לראות ממשקים נוספים עם גופים כגון הרשות להגנת הפרטיות במשרד המשפטים, שאמונה על אכיפת חוק אבטחת המידע אך לא מופיעה בתקנות כגורם מוסמך שצריך להיות חלק מהטיפול באירוע סייבר. "זו בעיה בעיקר אם יש אירוע של דליפת או גניבת מידע", אומרת שוורץ אלטשולר.
ישנן עוד ביקורות. לפי עו''ד אלדד בן גיורא מהתנועה לזכויות דיגיטליות, ״התקנות מסמיכות עובד של שירות הביטחון או מערך הסייבר לפעול ישירות מול ספקי אחסון מידע ולתת להם הוראות, עם גישה כמעט לכל מערכת. ההגדרה של ספק אחסון היא מאוד רחבה, ויכולה לכלול למשל גם בלוג באתר שמאחסן תגובות של אנשים אחרים". כלומר, על פניו ישנה כאן סכנה של התערבות בחופש הביטוי.
לדברי בן גיורא, "הקושי הוא שמצד אחד למעשה ניתן לעובד המוסמך שיקול דעת רחב בעניין מאוד רגיש. בזמן שמן הצד השני עליו לאפשר לספק לפעול באופן הולם לצורך איתור, מניעה או בלימה של תקיפת סייבר. במקום זאת, ניתן היה להורות על פניה לבקשת צו מבית המשפט וכך לחסוך בזמן יקר ובסיכון מיותר בפגיעה בפרטיות".
"דבר נוסף שמעלה קושי הוא שמרגע שניתנה הוראה לספק על ידי העובד מוסמך, הנושא שמור בסודיות והוא לא יוכל לדווח על כך או לפנות בעניין לגורם מוסמך אחר, או למשל לפעול על פי צו מיוחד מבית המשפט לאותו עניין", מוסיף בן גיורא, "כל זאת, בזמן שבכל פעולה או בהסמכה על פי חוק, המאפשרת חדירה לחומרי מחשב, קיימת דרישה לפנות לבית המשפט בבקשה לצו שייתן הוראות ספציפיות בעניין. והדבר טריוויאלי. בכל אופן, לא נראה שנלקחו בחשבון או שיושמו הביקורות לטיוטת התקנות. כמו כן, כלל לא בטוח שנכון בשלב הזה להתקין תקנות מהסוג הזה, במיוחד כשהמטרות להתקנת התקנות (המלחמה) מראות דעיכה מסוימת שייתכן ומייתרת את הצורך בהן מלכתחילה".
ריפרש
גם ChatGPT לא היה יכול להמציא סיפור כזה / עם זוהר ברונפמן
26:43
גם עו"ד ורד זליכה, שותפה וראשת תחום סייבר ובינה מלאכותית במשרד ליפא מאיר (לשעבר ראשת תחום מדיניות בינלאומית ויוזמות בינלאומיות במערך הסייבר הלאומי, והיועצת המשפטית לתחום הסייבר בצה"ל), אומרת שהתקנות חסרות פירוט בנוגע לסמכויות השונות והדרך להפעיל אותן. לדבריה, "קיים כאן אינטרס ציבורי שיש להגן עליו, השאלות הרלוונטיות הן היקף התחולה, האיזונים והבלמים שבהפעלת הסמכויות על ידי רשויות המדינה, ואופן הפעלתן. לדוגמא, נראה שעלולים להיווצר פערים מסוימים, בכל הנוגע לתהליך מתן הנחיות לספק שירותי האחסון במקרים המתאימים. בין היתר, לא ברור מהם הכלים העומדים בפני הגורמים המדינתיים המוסמכים למתן הנחיות, לשקול שיקולי הגנת פרטיות, או שיקולי המשכיות עסקית של הספק".
"כמו כן, נכון שתהיה אמירה מפורשת, שכחלק מזכות השימוע של הספק, יאפשרו לספק להתייחס גם לפעולות קונקרטיות שהרשויות עלולות להנחות אותו לגביהן, ולא רק לעצם הכוונה לתת לו הנחיות", מוסיפה זליכה, "עניין נוסף - גם היקף התחולה לא ברור לגמרי ועלול להיות נתון לפרשנות. מטעמים אלה, חשוב מאוד לשמוע את הערות הציבור. תהליך החקיקה מתבצע בחיפזון רב, אולי רב מדי. התקנות נכנסו לתוקף מיידית, כאשר במקביל, פורסמה טיוטת תזכיר חוק באותו נושא, שנועדה להחליף אותן, אולם גם לטיוטת תזכיר החוק, ניתנו לציבור ימים בודדים בלבד להגיב".
תקנות שעת חירום תקפות בשלב הנוכחי לחודש או עד שיחוקקו על ידי הכנסת. טיוטת תזכיר החוק הועמדה להערות הציבור עד ל-4 בדצמבר הקרוב. כלומר, לציבור יש כשבוע ימים כדי להעביר הערות או הסתייגויות - זמן קצר מאוד לחוק מעין זה. אם החוק יעבור, המדינה והרשויות יוכלו להמשיך ולעשות בו שימוש גם לאחר המלחמה.
