“משרד התחבורה מעריך כי הפער בהשקעה הכספית הנדרשת במגזר התחבורה הרחב (כולל הציבורי) [בתחום הגנת הסייבר] מגיע לעשרות מיליוני ₪; ההערכות לגבי הפערים במערכת הבריאות הרחבה – דומות”

“משרד התחבורה מעריך כי הפער בהשקעה הכספית הנדרשת במגזר התחבורה הרחב (כולל הציבורי) [בתחום הגנת הסייבר] מגיע לעשרות מיליוני ₪”. כך לדברי ‘נייר עבודה פנימי שמסקנותיו הספציפיות לא מפורטות מטעמי סיווג‘. הדברים מצוטטים במסמך “הערכת השפעות רגולציה; פרק האסדרה בחוק הסייבר” מיוני 2018 שפירסם מערך הסייבר הלאומי (“סייבר ישראל”) במשרד ראש הממשלה, כחלק מתזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי, התשע”ח – 2018. לדברי מערך הסייבר, “ההערכות לגבי הפערים במערכת הבריאות הרחבה – דומות”.

להלן מספר קטעים מהמסמך “הערכת השפעות רגולציה; פרק האסדרה בחוק הסייבר”:

■ איומי הסייבר הולכים ומתעצמים עם צמיחתו של מרחב הסייבר, העלייה בתלות בו ובעומק החיבור בינו לבין המרחב הפיסי. איומים אלו עלולים להוביל לפגיעה בתוך המרחב (למשל במידע או בתפקוד), לפגיעה בעולם הפיסי (למשל פגיעה במערכות רפואיות או תשתיות אנרגיה), לפגיעה תפקודית משקית קשה, ואף לפגיעה בחיי אדם. תקיפות הסייבר הולכות והופכות מתוחכמות יותר, ותוצאותיהן קשות יותר ומורכבות יותר לטיפול.

■ התגברות האיומים על אינטרסים לאומיים, חברתיים וכלכלים כתוצאה מתקיפות סייבר, נובעת מהמשרעת הרחבה של תוקפים, בהן מדינות, ארגוני טרור, ארגוני פשיעה, “האקטיביסטים”, ותוקפים מזדמנים. מאפייניו הייחודיים של מרחב הסייבר מאפשרים לתוקפים לגרום לפגיעה בנפש או ברכוש, פגיעה ברציפות תפקודית של תהליכים חיוניים, גניבת מידע, הדלפתו או שיבושו, ואף נזק תודעתי כתוצאה מתקיפת סייבר.

■ מרחב הסייבר הוא מרחב אזרחי ברובו, הוא מורכב ממחשבים, רכיבי תקשורת וטכנולוגיות אזרחיות, המופעלים ונשלטים ע”י ארגונים, ולא על ידי המדינה. מאחר שזירת ההגנה היא במערכות המידע והתקשורת של הארגונים האזרחיים, ובשל חשיבותו הרבה של מרחב הסייבר לחדשנות ולתנועה חופשית של מידע, נדרשת תפיסה חדשה לתפקיד המדינה. בראיה צופה פני עתיד – תלות גוברת של החברה המודרנית במרחב הסייבר לצד התפתחותו כמרחב לחימה של ממש, ניכר כי ההגנה על מרחב הסייבר, במיוחד בראי אחריות המדינה כריבון, אינה נגזרת של דיסציפלינה ביטחונית קיימת, כי אם דיסציפלינה ייחודית ועצמאית.

■ במדינות המערב מקודמת מדיניות הגנת סייבר לאומית. בשנת 2015 המליץ ה- OECD למדינות הארגון לגבש מדיניות הגנת סייבר הכוללת התמודדות עם הסיכונים למרחב הדיגיטלי. בשנת 2016, נחקק באיחוד האירופי (בתוקף החל מ- 10.5.2018) חוק המחייב את חברות האיחוד לגבש מדיניות הגנת סייבר, לקבוע אסדרה לתשתיות קריטיות ולהקים מרכז טיפול לאומי באירועי סייבר. בדו”ח לשנת 2018, קבע הפורום הכלכלי העולמי כי הסייבר הוא אחד מחמשת הסיכונים הגדולים בעולם והמליץ להגביר את ההיערכות לאירועי סייבר.

■ לאור מגמה עולמית זו, ולאור אירועי הסייבר הרבים הפוקדים ארגונים בישראל ובעולם כולו, החליטה ממשלת ישראל על מדיניות כוללת להעלאת החוסן בארגונים ולצמצום סיכוני הסייבר של המשק, באמצעות הפעלת כלי מדיניות שונים כגון אסדרה, חקיקה, הנחיה ותמריצים.

■ מטרתו של מסמך זה היא לסקור את הערכת השפעות רגולציה לקראת פרסומו של תזכיר חוק הסייבר. מסמך זה מציג את כשלי השוק ואת הצורך באסדרה ממשלתית בתחום הגנת הסייבר בראיה מדינתית, תוך ניתוח של הצעדים הנדרשים להעלאת רמת החוסן והמוכנות של המרחב הישראלי בתחום. המסמך סוקר מודלים שונים של התערבות מדינתית, ומציג את החלופות להתערבות רגולטורית לאור סקירה זו.

■ מסקירת כשלי השוק, לא מצאנו סיבה להאמין שהשוק יתקן את כשליו בעצמו. הכשלים הם מהותיים ולא נצפית מגמה ואף לא התחלה של מגמה לתיקון המצב ללא התערבות ממשלתית. אדרבא, הצפי של מומחי הסייבר בארץ ובעולם הוא שהפער יחריף … עמדתנו הינה כי באופן כולל, בשקלול התועלת לארגונים עצמם בהגנה על נכסיהם ולמשק בכלל כתוצאה ממניעת נזקי רוחב, עליית המוניטין והעצמת האמון במרחב הסייבר הישראלי, אנו סבורים שהתועלת לאינטרס הציבורי תהיה רבה ומשמעותית לאין שיעור מהעלויות הכרוכות בחוק זה.

■ לצד ההיבטים הביטחוניים, טומנים בחובם מצבי חירום השפעות כלכליות נרחבות ביותר. אחד התרחישים הקיצוניים ביותר של התקפת סייבר כנגד המשק האזרחי הוא תקיפה של תשתיות האנרגיה. מחקר של חברת הביטוח וניהול הסיכונים לויד’ס (Lloyd’s), העריך כי מתקפה כנגד אחת ממפעילות רשת החשמל האמריקנית תעלה למשק האמריקני 243 מיליארד דולר בתרחיש הביניים וטריליון דולר בתרחיש הקיצוני. הערכות בסדר גודל דומה קיימות בהקשר של פגיעה בתשתיות תחבורה, פיננסים ותקשורת גדולות. ההנחה היא שהתקפה מסוג כזה דורשת רמת תחכום גבוהה בשל המורכבות הטכנית של תקיפת בקרים תעשייתיים בשרשרת הייצור האנרגטית. על כן, מצד אחד ההסתברות להתרחשותה נמוכה יותר, ומצד שני הסיכוי שתבוצע על ידי שחקן מדינתי ו/או טרוריסטי עוין בצמוד לתרחיש חירום רחב יותר (כגון מלחמה) הופכות את התרחיש למסוכן אף יותר במקרה הישראלי.

■ מחקרים רבים העריכו את הנזק שבתקיפות “מסורתיות” כנגד רשת ה- IT. ההערכות לנזק ברמה הלאומית מגיעות עד 1.6% מהתמ”ג בשנה למדינות מערביות בטווח נזקים של בין חצי מיליון ל- 20 מיליון אירו לארגון בשנה. עם זאת, יש לזכור כי מחקרים אלה מתרכזים בעיקר בנזק הישיר לארגון ולא בנזק העקיף לאינטרסים הציבוריים.

■ כחלק מפעילות מערך הסייבר הלאומי, מתקיים תהליך מתמיד של הבנת תמונת המצב של הגנת הסייבר במשק. בשנת 2016 ערך מטה הסייבר בשיתוף עם רשות החירום הלאומית והרשות להשקעות ולפיתוח התעשייה סקר בקרב 50 מפעלים חיוניים. מטרת הסקר הייתה לאבחן את מצב ההגנה, את פערי ההגנה ואת הסיבות לפערים, כחלק מהכנת תכנית לתמרוץ הגנת סייבר במפעלים אלה. הסקר מצא כי ב- 62% מהארגונים אין מודעות כלל לנזק הכלכלי (הישיר) שעלול להיגרם לארגון, ובהתאמה, 62% לא ביצעו מעולם סקר סיכוני סייבר ואין להם מסמך מדיניות ארגוני שמסדיר את הטיפול באירוע. ב- 44% מהארגונים אין בעל תפקיד ממונה לנושא הגנת סייבר, וכ- 20% מהארגונים מאבחנים את הסיבה העיקרית לאי ביצוע פעולות בסיסיות בהקשר זה לחסך בידע, הכשרה או כ”א מתאים ו- 35% לסדר העדיפויות של הנהלת החברה. ממצאים אלה מאשרים את ההערכה שקיים מחסור במידע ושחברות אינן לוקחות על עצמן את מלוא האחריות לנזקי התקפת סייבר.

■ תורת ההגנה הוצגה מאז פרסומה לראשונה ביוני 2017 לאלפי אנשים במשק באמצעות כנסים ייעודיים והשתלבות בכנסים קיימים, קמפיין דיגיטלי רשתות החברתיות וברדיו, הצגה לבעלי עניין כגון חברות הייעוץ, רגולטורים, איגודים מקצועיים ועוד. במקביל, התבצעו סקרי סיכונים רבים כפיילוט מבוקר, לצד הרצת המתודה על ידי חברות שונות במשק.

■ השנים 2018-2019 מוגדרות כשנות ההטמעה וההרחבה של תורת ההגנה. במסגרת זו, מערך הסייבר מסייע לארגונים להפחית את הנטל הכרוך באימוץ תורה זו, על ידי בניית עזרים וכלים תומכים, מיכון המתודה לתוך מערכת מידע אשר תהווה כלי לשימוש חופשי של המשק, התאמת המתודה לתקנים מקומיים ובינלאומיים, שילובה באקדמיה וקורסים מקצועיים ועוד.

■ תהליך ההיוועצות הינו תהליך רציף ומתמשך אשר מהווה חלק מיישום המדיניות בפועל ואין לו תאריך סיום של ממש. ב-27.5.2018 התקיימה פגישת היוועצות מרכזית עם התאחדות התעשיינים כגוף היציג של ארגונים רבים האמורים להיכלל במתווה הרגולציה.