משרד ראש הממשלה פירסם את תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי

משרד ראש הממשלה פירסם היום (20.6) את תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי, התשע”ח – 2018. המועד האחרון להגשת הערות הוא 11 ביולי 2018.

בהתייחס למטרת החוק המוצע והצורך בו נאמר בהצעת החוג כי “תזכיר החוק המוצע נועד לממש את החלטות הממשלה ומדיניותה בתחום הגנת הסייבר, ובהתאם לכך גם את ההיבטים הקשורים במערך הסייבר הלאומי וסמכויותיו. החלטות הממשלה, התפיסה שעומדת בבסיסן והניסיון שנצבר מאז קבלתן, מהווים ביחד את נקודת המוצא להוראות התזכיר.

“היווצרות מרחב הסייבר היא תולדה של ההתפתחות הטכנולוגית המואצת של העשורים האחרונים, ותרומתו להתפתחות האנושית אינה ניתנת לערעור. מרחב זה מאפשר זרימה חופשית של ידע, הון ושירותים עם חסמי כניסה נמוכים מאד, ובכך הוא משפר את הרווחה החברתית ומעודד חדשנות. התבססותן של פעילויות מסורתיות רבות על מרחב הסייבר הולכת ועולה (דוגמת תשלומים דיגיטליים או שליטה ובקרה בתהליכי ייצור ותפעול), במקביל לפיתוח מתמשך של פעילויות מרכזיות חדשות באמצעותו. מהפכת המידע והתקשורת מובילה לשגשוג והתייעלות בכל תחומי החברה, החל בייצור תעשייתי, צרכנות, תיירות, תקשורת, הפצה של מידע ומסחר מקוון. כתוצאה מכך ונוכח השפעתו הנרחבת על פעילותם של פרטים, ארגונים ומדינות, הופך מרחב הסייבר לבעל חשיבות אסטרטגית.

“בשנים האחרונות ניכרת עלייה משמעותית בשכיחותם של איומי סייבר ובחומרתם, בעולם כולו. מגמה זו מיוחסת במידה רבה למאפיינים הייחודיים של המרחב אשר מקלים על הפעילות העוינת בתוכו: קבועי הזמן הקצרים המאפיינים את השתנות המרחב ואת הנעשה בו, חוסר הרלוונטיות של המרחק הפיזי לפעילות במרחב, וכתוצאה מכך חשיפה לאיומים מכל העולם בסבירות דומה, האנונימיות היחסית המתאפשרת בו, היעדר כוח ביטחוני החוצץ בין התוקף לנתקף, עלות נמוכה לפיתוח יכולות פעולה במרחב ועליית “שטח הפנים” לתקיפה כתוצאה מהתרחבותו המהירה של מרחב זה. איומים אלו עלולים להוביל לפגיעה בתוך המרחב (למשל במידע או בתפקוד), לפגיעה בעולם הפיסי (למשל פגיעה במערכות רפואיות או בתשתיות אנרגיה), לפגיעה תפקודית משקית קשה, ואף לפגיעה בחיי אדם. תקיפות הסייבר הולכות והופכות מתוחכמות יותר, ותוצאותיהן קשות יותר ומורכבות יותר לטיפול. כתוצאה מכך עולה הסיכון לפגיעה בביטחון האישי, בפעילות המשק ובביטחון המדינה, באופן המחייב התייחסות ברמה הלאומית.

“החלטות הממשלה משקפות תפיסת הגנה לאומית חדשה במרחב הסייבר.

“העובדה כי הסייבר הוא מרחב אזרחי במהותו היא במוקד תפיסת ההגנה. רובו המכריע של המרחב מבוסס על תשתיות, מערכות וטכנולוגיות אזרחיות, המופעלות על-ידי פרטים וארגונים אזרחיים, ומכאן שמרבית האיומים במרחב זה מופנים כלפי המגזר האזרחי שברשותו מצוי גם רוב המידע על אודות המתרחש במרחב. לאור זאת ומאחר שניהול הרשתות עומד בבסיס תהליכי הליבה של הארגון (עסקיים, תפעוליים או אחרים) – רק הארגון יכול לשאת באחריות להגנה על עצמו. מנגד, מובן כי אין בכוחו של הארגון הבודד להעמיד את המומחיות והמשאבים הנדרשים להתמודדות עם מלוא מגוון האיומים שתוארו לעיל, בפרט כאשר הוא מודע רק למתרחש בגבולותיו.

“מצב עניינים מורכב זה עמד בבסיס ההבנה היסודית כי שיתוף פעולה, בין הממשלה לבין הארגונים במשק ובין הארגונים לבין עצמם, יהווה מרכיב מרכזי בהגנה על מרחב הסייבר, וזו גם הגישה הרווחת בקרב רובן המוחלט של המדינות המפותחות.

“בהתאם לכך, בהחלטות הממשלה נקבע מענה אינטגרטיבי: שיפור רמת הכשירות והמוכנות של הארגונים במשק באמצעות פעילויות אסדרה, תימרוץ, רישוי, הסמכה, תקינה, הסברה ותרגול; היתוך מידע ומודיעין מהסכמים מסחריים, מגופי הביטחון ומהארגונים עצמם, לטובת גילוי וזיהוי של איומי סייבר טרם התממשותם וגיבוש תמונת מצב לאומית; התמודדות בזמן אמת עם אירועי סייבר, לרבות סיוע לארגון בהכלת האירוע, בהתאוששות ממנו ובתחקורו; הפעלת יכולות ביטחוניות; עבודה שוטפת עם גופים מקבילים בעולם; פיתוח והטמעה של תהליכים ומנגנונים רוחביים לשיתוף מידע.

גם במדינות המערב מקודמת מדיניות הגנת סייבר לאומית. בשנת 2015 המליץ ה- OECD למדינות הארגון לגבש מדיניות הגנת סייבר הכוללת התמודדות עם הסיכונים למרחב הדיגיטלי. באיחוד האירופי חוקקה בשנת 2016 (בתוקף החל מיום 10.5.2018)  חקיקה המחייבת את חברות האיחוד לגבש מדיניות הגנת סייבר, לקבוע אסדרה לתשתיות קריטיות ולהקים מרכז טיפול לאומי באירועי סייבר. בדו”ח לשנת 2018, קבע הפורום הכלכלי העולמי כי הסייבר הוא אחד מחמשת הסיכונים הגדולים בעולם והמליץ להגביר את ההיערכות לאירועי סייבר.

“הקמת מערך הסייבר הלאומי, לצדם של גופי הביטחון והרגולציה הקיימים, היא פועל יוצא של שתי עמדות יסוד בתפיסה שאישרה הממשלה: הצורך בפיתוח דיסציפלינה חדשה, העוסקת בממשקים שבין המדינה לבין ארגונים בתחום הגנת הסייבר, אשר אינה קיימת ככזו בגופים אחרים, והצורך לייחד מאמץ לטיפול בתקיפה ובמכלול פעילות האיתור וההכלה שלה ושל התפשטותה בארגוני המרחב האזרחי, מעבר ולצד הטיפול בתוקף. כך, התזכיר המוצע לא נועד לשנות את ייעודם או סמכויותיהם של גופים נוספים המפעילים סמכויות במרחב הסייבר בישראל בהתאם למסגרת המשפטית החלה עליהם ובכלל זה שב”כ, הממונה על הביטחון במערכת הביטחון [מלמ”ב] ומשטרת ישראל.

“מטרת התזכיר המוצע להסדיר את ייעודו, תפקידיו וסמכויותיו של מערך הסייבר למימוש מדיניות הממשלה, בהתאם לעיקרון החוקיות, תוך שילוב בין תפיסות יסוד של המשפט החוקתי בנושאים המוסדרים בתזכיר החוק לבין תפיסות של משפט וטכנולוגיית מידע”.

התזכיר כולל פרק ארגוני המסדיר את מאפייניו הייחודיים של מערך הסייבר הלאומי, פרק העוסק בסמכויות הנדרשות לאיתור תקיפות ולהתמודדות עמן, ופרק העוסק באסדרה לאומית ומגזרית לצורך העלאת רמת החוסן של מגזרי המשק.

בפרק הטיפול בתקיפות סייבר, “כולל סמכויות טיפול של המערך בתקיפות סייבר, קבועות הוראות העוסקות בכלים הנדרשים לטיפול בתקיפות סייבר בארגונים ובשיתוף מידע ביחס אליהן. הפרק כולל עקרונות להבניית שיקול הדעת המנהלי בעת הפעלת הסמכות, כגון חובת מסירת מידע לארגון שבו מופעלות הסמכויות, וכן במדרג סמכויות מאשרות.

“הפרק הרגולטורי קובע את תפקידו של מערך הסייבר הלאומי כמאסדר הלאומי בתחום הגנת הסייבר, בהתאם להחלטות הממשלה. כיום כל רשות מאסדרת קובעת תקני סייבר לפי שיקול דעתה ובאופן שאינו בהכרח אחיד. בהתאם, מוצע כי מערך הסייבר הלאומי יהא מופקד על תוכן האסדרה באופן שיחייב את כל הרשויות.

“בנוסף, מוצעים עקרונות להבניית שיקול הדעת האסדרתי באופן המביא בחשבון את התקינה המקובלת במדינות המפותחות וכן היבטי נטל משקי, השפעה על תחרות ורווחת צרכנים. בפרק הרגולטורי נכללת גם הסמכה ‘שיורית’ שמטרתה הסמכה של המערך, באישור ראש הממשלה, לקבוע דרישות בתחום הגנת הסייבר אשר יחולו על פעילויות משקיות, ככל שאינן מוסדרות בדין אחר ושיש בהן סיכוני סייבר משמעותיים.

“להשלמה יצויין כי כבר בשנת 2002 קיבלה ועדת השרים לענייני ביטחון לאומי החלטה מספר ב/84 בנושא ‘אחריות להגנה על מערכות ממוחשבות במדינת ישראל’ משנת 2002, שבה הוסדר הטיפול בהגנת מערכות ממוחשבות חיוניות מפני תקיפות סייבר – מערכות שהפגיעה בהן עלולה לגרום לנזק פיזי או כלכלי משמעותי מאד, לפגיעה בחיי אדם או לפגיעה באספקת שירות ציבורי חיוני. האחריות להנחיית תשתיות קריטיות הוטלה על שירות הביטחון הכללי, בהתאם לחוק להסדרת הביטחון בגופים ציבורים, תשנ”ח – 1998. בשנת 2016, במסגרת מימוש החלטות הממשלה בדבר גורם לאומי בתחום הגנת הסייבר, הוסדרה העברת האחריות להנחיית התשתיות הקריטיות למערך הסייבר הלאומי, למעט לעניין גופי תקשורת כמוגדר בחוק. העברת האחריות הוסדרה במסגרת הוראת שעה,  ובוצעה במהלך 2017. בהתאם להחלטות הממשלה יש לקבעה כהוראת קבע, ולכן במקביל להפצת תזכיר זה יש כוונה להפיץ תזכיר משלים לקביעת הסמכת מערך הסייבר לעניין תשתיות קריטיות כהוראת קבע”.

בפרק הדן בעיקרי החוק המוצע נאמר בין היתר כי “בעולם אבטחת המידע, הערך המוגן המרכזי היה שמירת סודיות המידע, אשר מנהל אבטחת המידע היה צריך לוודא שלא יגיע לידיים לא נכונות או למנוע את שיבושו. כיום פוטנציאל הנזק התרחב מאוד שכן ניתן באמצעות תקיפת מחשב לשבש פעילויות. מגוון מטרות התקיפה התרחב וכך גם מושאי ההגנה ועל כן יש לפעול למניעת שיבוש שירותים חיוניים (כגון שירותים רפואיים), פגיעה בתשתיות (כגון חשמל, מים, תחבורה), מניעת נזק לאדם ולסביבה (כגון זיהום אוויר) ואינטרסים נוספים הנשענים היום, שלא כמו בעבר, על מערכות טכנולוגיות.

“כתוצאה מכך תפיסת ההגנה מחייבת שינוי משמעותי של ניהול הסיכונים באופן שלצד קיום עקרונות תפיסות אבטחת המידע המקובלות (הגנה פיזית, הגנה לוגית, הרשאות, מדיניות וכדומה) נדרש טיפול כולל וחוצה ארגון, הכולל ניטור רציף ומעמיק יותר של מערכות המידע ושל מרחב הסיכונים. זאת, על מנת לאפשר להנהלת הארגון קבלת החלטות רציפה לגבי המתח שבין התפקוד התקין של הארגון ושמירה על נכסיו לבין מניעת תקיפות, וכן הבנת היקף פוטנציאל הנזק והמשמעויות לנקיטת אמצעים למניעת הנזק, בעת שיש חשש לתקיפה. שינוי זה נתפס כשינוי איכותי של הרחבת תכולת השדה המקצועי ל’הגנת הסייבר’ ולא רק ‘אבטחת מידע’, באופן שהגנת הסייבר כוללת את אבטחת המידע”.

הצעת החוק עוסקת גם במערך הסייבר הלאומי – ייעודו ותפקידיו וכן בסמכויות המערך להתמודדות עם תקיפות סייבר. בין היתר נאמר כי “מערך הסייבר הלאומי הוא גוף ממשלתי שמשימתו הגנה לאומית בתחום הסייבר המבוססת על תחום טכנולוגיית המידע (מחשבים, רשתות והגנת הסייבר) תוך ביצוע פעילויות ביטחוניות, אופרטיביות ורגולטוריות, שתכליתן למנוע מהאיום להתממש.

“בדומה לארגונים ביטחוניים אחרים, מאפיינים אלה מחייבים שינויים מסוימים בהיבטים ארגוניים ובמסגרת שבה מערך הסייבר פועל. מסגרת זו צריכה להיקבע תוך שמירה על עקרונות היסוד של המנהל הציבורי, ובזיקה לגורמים המופקדים על תחומים אלה בממשלה ובמרכזם נציבות שירות המדינה. קביעתה של מסגרת משפטית בהתאם להוראות חוק זה משקפת את המאפיינים הייחודיים של פעילות מערך הסייבר, ולצד זאת את החשיבות הרבה לקיומה של מסגרת נורמטיבית סדורה.

“מוצע להסדיר את הסמכות של ראש הממשלה לקבוע הוראות מתאימות שיאפשרו לממש את הצרכים הארגוניים של מערך הסייבר הלאומי”.

פרק אחר בהצעת החוק עוסק באסדרה לאומית בתחום הגנת הסייבר: “… מכלול פעילות הממוקדת במניעה ובהיערכות למתקפות סייבר, על יסוד מנגנוני הנחיה ברמה הלאומית והמגזרית, אשר יאפשרו למדינה לחזק את החוסן המשקי.

“בהקשר זה למדינה תפקיד משמעותי, השונה מהקשרים אחרים שבהם המדינה מפעילה סמכויות אסדרה, בכך שמדובר בהגנה על תפקודו התקין של מרחב הסייבר ועל אינטרסים לאומים חיוניים בעלי היבטים ביטחוניים.

“בנוסף להשפעה שיש לאיום הסייבר על המשק האזרחי, יש לו גם מימד מובהק של ביטחון לאומי. זהו רובד שיקולים נוסף מעבר לשיקולי רגולציה משקית כלכלית הנשקלים בדרך כלל. האינטרס הביטחוני אינו ניתן לכימות כספי בלבד ויש לו השפעות רוחב וקשרי גומלין. על כן, הצורך לייצר מסגרת רגולטורית גמישה, בעלת יכולת התאמה לנסיבות המשתנות במהירות, מקבל משנה תוקף.

“רכיב מרכזי בהחלטות הממשלה, כמפורט גם בתפיסת האסדרה שאישרה הממשלה, הוא פיתוח האסדרה ופריסתה באופן מידתי, תוך התחשבות במשמעויות ובהשפעות של העלאת רמת החוסן לפעילות הארגונית. על המדינה לסייע בקביעת אופן ההגנה על הארגונים האזרחיים וכן לנקוט אמצעים להבטחת הפנמה של הוראות אלה בקרב ארגונים אלה, באמצעות תהליכי רישוי, פיקוח ובמידת הצורך – אכיפה.

“פרק הרגולציה נועד לייצר מסגרת מידתית להפעלת שיקול דעת רגולטורי, תוך שימוש בעקרונות תוכן, ובעקרונות תהליכיים שמטרתם מימוש תפיסה זו. לצד זאת, ולנוכח אתגרי האיומים המשתנים תדיר במרחב הסייבר וההתמודדות עמם, נדרשת מסגרת משפטית שתאפשר הפעלה גמישה של סמכות.

בין היתר, מתבטא האיזון בין צרכי הגנת הסייבר וההשפעה על פעילות הארגונים –

+ בקביעת מסגרת שיקולים שיש להתחשב בהם בעת קביעת הוראות רגולטוריות;

+ בקביעת תהליך מבוסס עובדות הנשען על תקינה בינלאומית;

+ בהתבססות על תהליכי איתור נכסים ותהליכים לאומיים ברמה הלאומית (כגון זה של רשות החירום הלאומית) וברמה המגזרית (בהתבסס על רשויות האסדרה המגזריות);

+ בקביעת מודל אסדרה מבוזר המבוסס כברירת מחדל על רשויות אסדרה מגזריות קיימות.

“גיבוש מודל האסדרה המוצע נעשה תוך הכרה בצורך לאזן בין מספר אינטרסים ציבוריים, ובכללם, הצורך מצד אחד להגן על מגוון אינטרסים ציבוריים אשר מרחב הסייבר מציב בפניהם סיכונים חדשים שמולם המדינה חייבת להיערך, ומנגד, הרצון להימנע מסיכונים לנטל רגולטורי עודף על המשק ומפגיעה בחדשנות ובתמריצים חיוביים, בהקשר הסייבר ובכלל.

“המודל הרגולטורי המשולב שמוצע בתזכיר מאזן בין ריכוזיות וביזוריות. מודל זה מתאים את עוצמת המענה הרגולטורי הנדרש לרמות הסיכון השונות, באופן אשר שואב את המירב מהניסיון המקומי והבינלאומי בתחום.

“ככל שבמגזרים מסוימים יימצא כי הארגונים אינם בעלי מוכנות מתאימה בתחום הגנת הסייבר – תידרש רגולציה. עם זאת, הנחת העבודה היא כי לארגונים אינטרס טבעי להגן על פעילותם ונכסיהם הממוחשבים. השקעה אפקטיבית בהגנת סייבר, בשל היותה רכיב תשתיתי לפעילות תקינה של ארגונים, מגוננת על הפעילות הכלכלית ומהווה מעין “ביטוח” מפני התרחשות אירועי סייבר עתידיים. עקב כך, הזיקה בין הצורך בהשקעה בהגנת הסייבר לבין האינטרסים הפנימיים של הפירמות או הארגונים היא הדוקה יותר, ובהתאמה לכך מוצדקת יותר”.

■ פורסם לראשונה בחלון המבזקים של אתר זה בשעה 14:27.