|
מעורבות של המדינה [צילום: משה מילנר, לע"מ]
|
|
|
|
|
מערך הסייבר הלאומי במשרד ראש הממשלה ירכז את פעולות האבטחה מפני מתקפות סבר (סייבר) הן במגזר הציבורי והן במגזר הפרטי, ורשויות האסדרה יוציאו הוראות לחברות המפוקחות בנוגע לצעדים שעליהן לנקוט כדי להתגונן מפני מתקפות כאלו. כך מציע תזכיר חוק נרחב שהפיץ (יום ד', 20.6.18) משרד ראש הממשלה.
הנחת המוצא של התזכיר היא, כי "נדרשת מעורבות של המדינה באיתור תקיפות סייבר בארגוני המרחב האזרחי ובטיפול בהן, בשל הצורך במסגרת 'על-ארגונית' לכך. זוהי מסגרת חדשה שנועדה לאפשר למדינה לבצע פעילות הגנה שמטרתה הגנה על תפקודו התקין של מרחב הסייבר ומניעת תקיפות שיש בהן כדי ליצור סיכון משמעותי לאינטרס הציבורי". מערך הסייבר והגופים מולם יעבוד יהיו אחראים על הטיפול בתקיפה הנקודתית, בעוד הטיפול בתוקף יהיה בידי כוחות הביטחון.
על-פי התזכיר, מעתה המונח המקצועי יהיה "הגנת הסייבר" (במקום "אבטחת מידע") והוא יעסוק במידע ממוחשב שניתן ושלא ניתן להסיק ממנו מסקנות על אדם (אך לא על מידע המתעד מסרים אנושיים). רוב הסמכויות על-פי התזכיר יינתנו לראש מערך הסייבר הלאומי, כאשר לידו יפעלו "מפקח פרטיות פנימי" שתפקידו יהיה לצמצם למינימום את הפגיעה בפרטיות תוך כדי עבודת ההגנה, וועדה מפקחת חיצונית על המערך כולו.
הוראות החוק יחולו על גופים ממשלתיים (משרדי הממשלה וחברות ממשלתיות כמו חברת החשמל והנמלים) ועל גופים פרטיים חיוניים כמו הבנקים וחברת התקשורת. הללו יחויבו לפעול 24/7 להגנה מפני מתקפות סבר, ואילו על עובדי מערך הסייבר הלאומי ייאסר לשבות. מערך הסייבר יוסמך לקבל ולעבד מידע שוטף שיוכל לשמש להגברת החוסן מפני מתקפות סבר ולהתמודדות איתן. הוא גם יקים מערך גילוי וזיהוי ברמה על-ארגונית, שמטרתו תהיה לאתר מוקדם ככל האפשר את המתקפות.
התזכיר מבהיר, כי סמכויותיו של מרכז הסייבר אל מול מתקפה (להבדיל מעבודתו השוטפת) יופעלו רק בעת "קיומו של יסוד סביר להניח כי מתבצעת מתקפת סייבר שעלולה לגרום פגיעה לאינטרס חיוני והפעלת הסמכות נדרשת לאיתור התקיפה, התמודדות עימה או מניעתה". הפעלת הסמכויות תהיה חייבת להיות מידתית ולעמוד ביחס לחומרת ההתקפה.
במקרה של מתקפה, יוכלו נציגי מערך הסייבר להיכנס למשרדי הארגון המותקף ואף ליטול ממנו מחשבים; חלק מהפעולות לפי פרק זה מותנות באישור של בית המשפט. באופן עקרוני הפעולות ייעשו בשיתופו של הגורם המותקף, מתוך הנחה שקיימת זהות אינטרסים בינו לבין המדינה. במקרים יוצאי דופן יוכל ראש המערך להורות על פעולה חד-צדדית, תוך יידוע בית המשפט וקבלת הנחיות להמשך הפעילות.
המערך יפרסם הנחיות בתחום הגנת הסבר, לצורך קביעת תפיסה לאומית אחידה בתחום, וכן יקבע את השיטה לקביעת רמת הסיכון אליה חשוף כל ארגון. לאחר מכן תפעל כל רשות מאסדרת לקבוע את תרחישי הנזק ומידת חומרתם בגופים עליהם היא מפקחת. רשויות אלו יקבעו, בהסכמת מערך הסייבר, את הוראות ההגנה בהן יהיה על הגופים המפוקחים לעמוד. רשות מאסדרת תוכל להורות לגוף מפוקח למנות ממונה הגנת סייבר ולדרוש מהגופים הללו דיווח עתי על פעילותם בתחום. רשויות אלו גם יוכלו לקבוע שהעמידה בדרישות הגנת הסבר תהיה תנאי לקבלת רישיון או לחידושו. לצד כל אלו, יוכל ראש הממשלה לקבוע תחומים בהם הפיקוח יהיה בידיו של מערך הסייבר הלאומי.