חוק חדש מעניק לשב"כ, משרד הביטחון ומערך הסייבר הלאומי סמכויות חדשות לטפל בתקיפות סייבר נגד חברות פרטיות. בין היתר החוק, שאושר בכנסת בשבוע שעבר, מסמיך את הגופים להעביר לחברות פרטיות בתחום אספקת שירותי אחסון ושירותים דיגיטליים הוראות על דרך הטיפול במתקפה.
המשמעות היא שהמדינה תוכל לדרוש מגופים פרטיים לתקן פרצות או תקלות שהתגלו אצלן - והן יהיו חייבות לפי חוק למלא אחר ההוראות האלו. עם זאת, החוק לא כולל סנקציות במידה של הפרת ההוראות.
החוק החדש מקבע הוראות שנקבעו כהוראת שעה לפני כחודש, והוחלו בעקבות מתקפת סייבר חמורה נגד ספרק שירותי איקומרס שמתחזק מספר גדול של אתרי סחר בישראל. אותה מתקפה פגעה בין היתר באתרים של קרביץ, הום סנטר וישראייר.
החקיקה החדשה משנה משמעותית את המצב עד כה, שבמסגרתו סוגיית הטיפול בתקלות הסייבר היתה נתונה לבחירת החברות הפרטיות ולמדינה לא היתה שום סמכות לחייב אותן בעניין או להנחות אותן. כעת שלושה גופי מדינה שונים יוכלו להתערב בהחלטות שמקבלות חברות שמפעילות שירותי מחשוב ולבדוק שהן עומדות בסטנדרטים ומגיעות לטיפול מהיר של התקלה.
שינוי ביחס המדינה לשירותים דיגיטליים
לדברי עו"ד סער רוסמן, שותף וראש תחום פרטיות וסייבר במשרד עוה"ד אגמון עם טולצ'ינסקי, החקיקה עצמה מבורכת. "תחשוב על בית חולים שמותקנות בו מכונות דיאליזה שמקבלות שירות דיגיטלי מגוף פרטי", הוא מדגים. "ברור שהמכונות מספקות שירות חיוני למדינה. תאר לעצמך שמבוצעת על אותו ספק שירות מתקפת סייבר שמציפה אותן במידע רע ומשתקת אותן. הגוף האחראי על סיפור השירות הדיגיטלי יכול להיכשל - והמדינה רוצה למנוע מקרה כזה. היא רוצה לספק הנחיות ברורות לנותן השירות במידה והיא רואה שהוא לא עומד במה שנדרש ממנו".
לדבריו, אותה סיטואציה רלוונטית גם למקרה של אתרי אחסון. רוסמן מדגים את הסוגייה דרך הפריצה ב-2021 לחברת האירוח שבשירותיה השתמשה בין היתר אפליקציית ההיכרויות אטרף. "אתר כזה מכיל מידע על אזרחים רבים בישראל שיכול להיות מידע מאוד רגיש, ושאנחנו לא רוצים שיפול לידיים הלא נכונות", הוא אומר.
השינוי המרכזי שמבטא החוק הוא סיום היחס של המדינה לשירותים דיגיטליים שמוענקים לציבור כמשהו שהוא נטול פיקוח ומחויבות. החקיקה מבטאת תפיסה ששירותים כאלו עשויים להיות תשתית חיונית שצריך לפקח עליה ולשמור עליה.
האתגר הוא החשש מכפילות: "מעורבים כאן שלושה גופים: משרד הביטחון, השב"כ ומערך הסייבר", מציין רוסמן. "לא ברור איך יוחלט איזה גוף מטפל באיזה מקרה. יש חוסר אחידות לגבי מה אסור ומה מותר לכל גוף לחשוף לגבי המידע שיש ברשותו".
במערך הסייבר אומרים כי ההוראה משקפת את חלוקת העבודה הקיימת בין הגופים, וקובעת כי בכל מקרה רק גוף אחד יטפל בתקיפה בכל זמן נתון, גם במקרה של מספר תקיפות במקביל באותו הגוף.
סימן שאלה לגבי הכוח לרשויות
לדברי רוסמן, לפי החוק, לאחר זיהוי פריצה נציג מאחד מאותם שלושת הגופים המוסמכים ייצור קשר עם חברה פרטית שבה התרחש האירוע. נציג הגוף המוסמך יעביר הנחיות לעובד החברה ויסביר את סיבת הפניה ומה המידע שיש לו אודות תקיפת הסייבר. עם זאת הוא אינו מחויב לחשוף מהיכן המידע שהיתה או שצפויה מתקפה.
החוק קובע סנקציה כלפי נציגי הגופים המוסמכים מטעם המדינה, לפיה הדלפת פרטים פרטיים של החברה שנפגעה היא עבירה על החוק שדינה עד שלוש שנות מאסר. רוסמן אומר כי לדבריו היקף חשיפת המידע שאליה מחויבים עובדי הגופים המוסמכים היא נאותה.
אם תעלה השאלה אם נציג הגוף המוסמך עשה שימוש לא מדוד בכוח שלו, שופט יוכל לבקש לראות את מקור המידע. "זה מאפשר לפקח על האם ההחלטה היתה סבירה", הוא מציין. עם זאת, הוא מציין כי נציגי גופי המדינה המוסמכים יוכלו לציין כי הסתמכו על מידע מסווג, וזה יקשה על מלאכת הפיקוח על גופי המדינה.
בהקשר זה מציין רוסמן כי בעוד שב"כ וצה"ל הם גופים שמוסדרים לפי חוק, מערך הסייבר הלאומי הוסדר בעקבות החלטות ממשלה וסמכותו אינה קבוע בחוק. כעת החוק החדש מעניק למערך הסייבר סמכויות חדשות אך לא במסגרת אסדרה מקיפה ובאופן שלעיתים יקשה לפקח על החלטותיו.
ממערך הסייבר הלאומי נמסר כי הפיקוח על פעילות המערך בתחום זה נקבעה בחוק החדש, הקובע כי יש לתת לתת דיווח מפורט ליועצת המשפטית לממשלה ולוועדת חוץ וביטחון בכנסת אחת לחודש הכולל פירוט רחב אודות הכרזה על תקיפות חמורות, אפיונן וההוראות שניתנו מכוח הוראת השעה.