תקציר תזכיר חוק הגנת הסייבר

1. תזכיר החוק נועד לממש את החלטות הממשלה בנושא הסייבר ומשלים את מהלך ההקמה של מערך הסייבר הלאומי תוך הסדרת ייעודו, תפקידיו וסמכויותיו של המערך.
2. בהתאם לתזכיר ייעוד המערך הוא הגנת מרחב הסייבר וקידום ישראל כמובילה עולמית בתחום הסייבר. תפקידי המערך לפי התזכיר הם:

• לנהל להפעיל ולבצע בהתאם לצורך את מאמצי ההגנה הלאומיים האופרטיביים כנגד תקיפות סייבר;
• לקדם את יכולת ההתמודדות של ישראל עם תקיפות סייבר;
• לקדם מדיניות ומובילות ישראלית בתחום הסייבר בהתאם למדיניות הממשלה והחלטותיה;
• לקדם שיתופי פעולה בתחום הסייבר במישור הבינלאומי ולערוך הסכמי שיתוף פעולה בתחום הסייבר;
• לייעץ לממשלה וועדותיה בתחום הסייבר;
• לבצע כל תפקיד אחר בתחום הגנת הסייבר שיקבע ראש הממשלה.

3. תזכיר החוק מהווה נדבך מרכזי במימוש מדיניות הממשלה, המסדירות את הממשק שבין המדינה למרחב האזרחי. בהתאם לעיקרון החוקיות במדינה דמוקרטית, יש צורך להסדיר ממשקים אלה בחקיקה ראשית.
4. רכיב משמעותי בתפיסת הגנת הסייבר הלאומית שגיבשה הממשלה הוא התובנה שהגנת הסייבר מחייבת ממשקים בין גופי המדינה השונים. החלטות הממשלה מנחות על הקמה של גוף ייעודי לטיפול בתקיפות לפני שהן קורות ולהתמודדות עמם כשהן קורות, וזאת מבלי להחליף את גופי הביטחון ואכיפת החוק האחרים, אלא תוך ממשקים איתם. החוק לא נועד להוות מסגרת לביצוע פעילות חקירה או אכיפה כנגד גוף.

פרקים מרכזיים בתזכיר החוק

• הפרק הארגוני המסדיר את מאפייניו הייחודיים של מערך הסייבר הלאומי כגוף ביטחוני-מבצעי.
• הפרק האופרטיבי העוסק בסמכויות הנדרשות למערך לאיתור תקיפות סייבר ולהתמודדות עמן.
• הפרק הרגולטורי העוסק באסדרה לאומית ומגזרית לצורך העלאת רמת החוסן של מגזרי המשק וקובע את תפקידו של מערך הסייבר הלאומי כמאסדר הלאומי בתחום הגנת הסייבר, בהתאם להחלטות הממשלה.
• על פי החלטת ממשלה 2118, לתזכיר החוק נספח דו"ח הערכת השפעות רגולטוריות (RIA) המציג את הצורך בהתערבות רגולטורית ממשלתית, בוחן את החלופות לפעולה, ואת הערכת העלויות הנובעות מחוק זה, וזאת תוך שיתוף ציבור ובעלי עניין מרכזיים. עבודה זו גובשה לאורך זמן, והיא מעניקה משנה תוקף לשיטת הרגולציה שנקבעה בתזכיר החוק. בזאת מערך הסייבר מצטרף למאמצי הפחתת הנטל הרגולטורי בכלל הממשלה.

הפרק האופרטיבי

5. בטרם ניתן להפעיל סמכות מהלך טיפול באירוע כלפי גורמים אזרחיים, נקבעו בתזכיר החוק שני נדבכים מרכזיים–

• הבניית שיקול הדעת המנהלי – ראש המערך או הממונה מטעמו השתכנע שקיים יסוד שסביר שמתרחשת תקיפת סייבר, אשר עלולה לפגוע באינטרס חיוני. בהתאם ישקול עובד המערך בטרם הפעלת הסמכות את אופן הטיפול הנדרש והשפעותיו על הארגון ועל זכויות אדם, בדגש על הזכות לפרטיות.
• מתן הסבר מקיף לארגון - הפעלת סמכויות תיעשה לאחר שבעל הסמכות מסר לארגון מידע על אודות הצורך בפעולה והשפעותיה על הארגון. גם כאן חובה זו אינה מוסדרת בדינים אחרים. חשוב להדגיש כי קביעת אופן הפעלת שיקול דעת מנהלי בחקיקה ראשית בשיטה זו הינה תקדימית.

הנחת העבודה הינה שיידוע של הארגון בזמן אמת מאפשר לו לעמוד על זכויותיו לא באופן תיאורטי אלא באופן מעשי. היידוע הוא אמצעי חשוב לבחון מה הפער בין האינטרס הציבורי הכולל כפי שמבין אותו הגורם האחראי במערך, לבין הארגון. אם הארגון חושב שהפעילות אינה פוגעת באינטרס שלו (כפי שהנחת העבודה שהמצב רוב הזמן), אז הוא ישתף איתה פעולה. לעומת זאת אם הוא יחשוב שהיא פוגעת בזכויותיו, שרירותית או הרי עומדות לו כל הזכויות שלו.

6. הסמכויות לטיפול בתקיפת סייבר – מבוססות בראש ובראשונה על הסכמת הארגון, ככל שלא תינתן הסכמת הארגון למימוש הסמכויות, יידרש סיוע מגורם אכיפה חיצוני, או לפי צו שופט, כמפורט בתזכיר החוק. הסמכויות שהמפורטות בתזכיר החוק נועדו לאפשר סמכויות להתמודד עם תקיפות סייבר, ולא על מנת להעמיד לדין פלילי. הסמכויות אינה עוסקת באיסוף מידע ברובד התוכן אלא ברובד המחשב.
   • סמכות "כניסה למקום" – מהווה ביטוי של עיקרון החוקיות, המאפשרת לכל רשות מנהלית הנדרשת לכך, להיכנס לשטח פרטי; שבשונה ממשטרה, גופי בטחון, רשויות רגולציה רבות (כולל רשות הפרטיות), במידה שבעל המקום מסרב להכניס את העובד, אין לעובד המערך סמכות להיכנס בכוח, לעצור את האדם, לעכב אותו לחקירה. לכן במקרים שבהם יהיה צורך להכנס בכוח, יידרש של גורמי אכיפת החוק או גורמי הביטחון, הכל לפי העניין.
   • אין בתזכיר סמכויות "חיפוש במקום" – המהוות למעשה סמכות בסיסית של כל רשות חוקרת, המחפשת ראיות למימוש עבירה.
   • סמכות "תפיסת חפץ" – נועדה לאפשר הקפאת מצב לצורך בדיקת חפץ שיש בו חשש לתקיפה, כאשר לא ניתן להסתפק בעותק בלבד.
   • חשוב להדגיש כי לא ניתן להיכנס לחומר מחשב ללא צו שופט שניתן במעמד שני הצדדים או מתוקף הסכמה מפורשת של ארגון.

מערך הגילוי והזיהוי

7. מטרת מערך הגילוי והזיהוי אשר ייעודו איתור תקיפות בזמן אמת, באמצעות איסוף מידע ממערכות ארגונים שהוגדרו (משרדי ממשלה, תשתיות קריטיות, גופים אחרים בעלי זיקה לציבור, וגופים המבקשים להצטרף למערך מיוזמתם). המידע שיאסף ויעובד כחלק מפעילות מערך זה, ישמש למטרה זו בלבד. בתזכיר החוק הוראות שמטרתן למקד את פעילות האיסוף ועיבוד המידע במידע טכנולוג הנדרש להגנת סייבר, ולא בתוכן על אנשים.

מנגנוני פיקוח ובקרה הקבועים בחוק

9. מתוך ההבנה שמטרת החוק כולה הינה הגנת סייבר - לראש המערך ולבעלי תפקידים בכירים, כדוגמת היועץ המשפטי, אחריות לפקח על קיום החוק ועקרונותיו בזמן אמת או סמוך ככל הניתן לזמן אמת. כמפורט להלן, לצורך בניית מסגרת מאוזנת ומידתית של הפעלת סמכות, התזכיר כולל עקרונות מנחים, הבנייה של שיקול הדעת המנהלי, וכן צורך באישור בית משפט. עקרונות אלה מנחים את בעלי התפקידים השונים בעת הפעלת הסמכות ופרשנותה.

10. לצד מנגנונים אלה, קבועים בתזכיר החוק שני מנגנוני פיקוח נוספים:

• • מפקח פרטיות פנימי – אשר מינויו נדרש לאור החובה לאזן בין הצורך התפעולי מבצעי באיסוף המידע ועיבודו לבין הסיכון לפגיעה בפרטיות. למפקח יהיה תפקיד גם בסיוע לעיצוב מערכות המידע השונות המשמשות את המערך, כדי לצמצם את סיכוני הפרטיות הכרוכים בהם.
  • מינוי ועדה מפקחת חיצונית - שתשמש כגורם מפקח על פעילות המערך, ותתמקד בעיקר בתחום הסיכונים לפרטיות, כאשר לוועדה מוענקות סמכויות עצמאיות לקבלת מידע.

הפרק הרגולטורי

9. בהתאם להחלטות הממשלה מערך הסייבר הלאומי, כגוף בעל הידע המקצועי, מנחה את רשויות האסדרה בכל הנוגע להגנת סייבר. במסגרת זו יש שיתוף פעולה שמטרתו היתוך הידע בתחום הגנת הסייבר עם ההיבטים הייחודים לכל מגזר. בהתאם לתזכיר החוק, על רגולטור האחראי על אינטרס ציבורי או משקי חשוב לבחון את החשיפה של הפעילויות אותן הוא מסדיר לסיכוני סייבר. כאשר מערך הסייבר אינו רגולטור נוסף על המשק. הוא משתלב ומנחה את הרגולטורים הקיימים.

10 כיום ישנם רגולטורים אשר מנחים את הגופים עליהם הם ממונים בתחומי הסייבר (כגון המפקח על הבנקים, רשות שוק ההון, משרד הבריאות, משרד האנרגיה) ולעומתם ישנם רגולטורים אשר נמצאים בתחילת מיפוי הסיכונים הניצבים לפתחם. תזכיר החוק עתיד להסדיר פערים אלו ואת הפעילות בתחום. כמו כן, בהתאם לחוק, מיקוד הרגולטורים יהיה דיפרנציאלי ואל מול גופים שהשפעתם על רציפות התפקוד של המשק גדולה ולא באופן אחיד או גורף.

על תזכיר החוק בהרחבה

תזכיר החוק מהווה נדבך מרכזי למימוש מדיניות הממשלה, בכך שהוא מסדיר בחקיקה, כמקובל במדינה דמוקרטית ובהתאם לעיקרון החוקיות את הממשקים בעין המערך לגופי המרחב האזרחי. לצד זאת, מסדיר תזכיר החוק את הסמכויות והממשקים שלו עם הגורמים הביטחוניים ועם רשויות האסדרה.

בתזכיר החוק החלקים הבאים:

• • הגדרות ומונחים -  שמטרתו הסדרת המונחים הרלבנטים להגנת הסייבר.
  • פרק ארגוני - שמטרתו לאפשר הסדרים ארגוניים יחודיים של למערך הסייבר הלאומי כגוף ביטחוני-מבצעי-טכנולוגי, הפועל במסגרת השירות הציבורי.
  • פרק אופרטיבי  - העוסק בסמכויות הנדרשות למערך לאיתור תקיפות סייבר ולהתמודדות עמן.
  • פרק רגולטורי - העוסק באסדרה לאומית ומגזרית לצורך העלאת רמת החוסן של מגזרי המשק וקובע את תפקידו של מערך הסייבר הלאומי כמאסדר הלאומי בתחום הגנת הסייבר, בהתאם להחלטות הממשלה.
  • פרק הוראות שונות - שמטרתו הבהרות של המצב המשפטי בעניין הגנת הסייבר וארגונים, תוך התייחסות ליחס שבין הגנת הסייבר לפרטיות בארגון.

נקודת המוצא - הגדרת מונחים בתחום הגנת הסייבר

היבט מרכזי בתזכיר המוצע הוא הגדרת מונחים ייעודים לתחום הגנת הסייבר. המיקוד בתחום הגנת הסייבר מאפשר ליצור מסגרת משפטית לתחום הסמכויות הנדרשות באופן מוגדר ומידתי.

"הגנת הסייבר" מוגדרת בתזכיר בשים לב למכלול הפעילויות הנדרשות לכך, ועל מנת לשמור על תיאום עם מופעים אחרים בחקיקה.

בסיפא של הגדרת "הגנת הסייבר" נכלל גם הביטוי "אבטחת מידע". זאת על מנת לשקף את ההתפתחות של תחום הידע המקצועי בנושא זה.

בעולם אבטחת המידע, הערך המוגן המרכזי היה שמירת סודיות המידע, אשר מנהל אבטחת המידע היה צריך לוודא שלא יגיע לידיים לא נכונות או למנוע את שיבושו. כיום פוטנציאל הנזק התרחב מאוד שכן ניתן באמצעות תקיפת מחשב לשבש פעילויות. מגוון מטרות התקיפה התרחב וכך גם מושאי ההגנה ועל כן יש לפעול למניעת שיבוש שירותים חיוניים (כגון שירותים רפואיים), פגיעה בתשתיות (כגון חשמל, מים, תחבורה), מניעת נזק לאדם ולסביבה (כגון זיהום אוויר) ואינטרסים נוספים הנשענים היום, שלא כמו בעבר, על מערכות טכנולוגיות.

כתוצאה מכך תפיסת ההגנה מחייבת שינוי משמעותי של ניהול הסיכונים באופן שלצד קיום עקרונות תפיסות אבטחת המידע המקובלות (הגנה פיזית, הגנה לוגית, הרשאות, מדיניות וכדומה) נדרש טיפול כולל וחוצה ארגון, הכולל ניטור רציף ומעמיק יותר של מערכות המידע ושל מרחב הסיכונים.

זאת, על מנת לאפשר להנהלת הארגון קבלת החלטות רציפה לגבי המתח שבין התפקוד התקין של הארגון ושמירה על נכסיו לבין מניעת תקיפות, וכן הבנת היקף פוטנציאל הנזק והמשמעויות לנקיטת אמצעים למניעת הנזק, בעת שיש חשש לתקיפה. שינוי זה נתפס כשינוי איכותי של הרחבת תכולת השדה המקצועי ל"הגנת הסייבר" ולא רק "אבטחת מידע", באופן שהגנת הסייבר כוללת את אבטחת המידע.

להרחבה בנושא תקינת הגנת סייבר ואבטחת מידע ראו כאן.

יתר ההגדרות בפרק נשענות בעיקרן על ההגדרות המצויות בחוק המחשבים, התשמ"ו-1996 (להלן – חוק המחשבים), שהוא החוק התשתיתי העוסק במחשבים.

במסגרת זו כולל חוק המחשבים את ההגדרות "חומר מחשב", חומר השמור במחשבים, וכולל רכיבי תוכנה ומידע, וכן "מחשב" (הכולל גם התקן תקשורת או רכיב נתיק שניתן לחבר למחשב) בנוסף כולל החוק את ההגדרה "שפה קריאת מחשב" המלמדת על סימנים או אותות שנועדו לקריאה וביצוע בידי מחשבים,.

סוגי המידע המצויים במחשבים – חלוקה שנועדה להסדיר את פונקציית המטרה בהגנת הסייבר וצמצום סיכונים לפרטיות

את המידע המצוי במחשבים וברשתות, "חומר המחשב", ניתן לחלק לשלושה סוגים מרכזיים:

מידע טכנולוגי טהור שלא ניתן להסיק ממנו מסקנות על אדם - מידע טכנולוגי אשר משקף פעילות מיחשובית סטנדרטית, כגון תקשורת בין מחשב לנתב, בין מחשב למדפסת, בין מחשב לשרת וכן אוסף של פעילויות שגרתיות הקשורות בהפעלת המחשב. ברובד זה מבוצעת פעילות מיחשובית רבה במסגרת התפעול השוטף והתפקוד של מערכות המידע. ברובד זה גם מצוי מרחב פעולה משמעותי של תוקפים, תוך הסטה או שינוי של הפעילות המיחשובית, והכוונתה מרחוק בידי התוקף. מידע זה אינו מכיל נתונים או מידע אודות אדם מזוהה או ניתן לזיהוי, משום שזהו מידע טכני כפשוטו.

מידע טכנולוגי טהור שניתן להסיק ממנו במישרין או בצירוף מידע אחר, מידע על אדם – זהו "תיעוד" של פעילות מיחשובית אשר ניתן לגזור ממנו מסקנות או מידע על אודות אדם מזוהה או ניתן לזיהוי. רובד זה כולל "סדרות" מידע כגון נתונים אודות תקשורת בין מחשבים או Metadata, ונתונים אחרים שנועדו לתעד פעילות של מערכות מחשב. באופן כללי מידע זה דומה למידע טכנולוגי טהור שתואר לעיל, אך במידה שמידע זה כולל מידע המאפשר לזהות אדם מסוים, ניתן להסיק ממנו מסקנות על אודות התנהגות אדם.

מידע טכנולוגי המתעד מסרים אנושים - מסרים אנושיים ישירים חזותיים או קוליים שניתנים לפענוח בלתי אמצעי בידי אדם, כלומר זהו הרובד שבו אנשים מתקשרים ומתבטאים.

פעילות הגנת הסייבר ומידע

באופן כללי, פעילות הגנת הסייבר ממוקדת בשתי קבוצות המידע הראשונות. לעיתים נדרש עיסוק גם בשכבת התוכן, לדוגמה כאשר שיטת התקיפה היא שיטוי של עובד בארגון ללחוץ על קישור זדוני, אולם המיקוד בשכבת התוכן נועד לאתר תוכן זדוני בשפת מחשב.

במימד המשפטי חשוב להדגיש, כי תכלית איסוף המידע בפרק האופרטיבי היא לצורך הגנת הארגון שבו נמצא המידע, ולא לצורך איסוף מידע עליו לצרכי פיקוח או אכיפה. איסוף ועיבוד של מידע זה נדרש כדי לקיים את תכלית הגנת הסייבר, כשם שנדרשת נגישות של טכנאי מחשבים לרשת כדי להפעילה באופן תקין.

בהתאם לכך, רכיב מרכזי בהגדרות הוא הביטוי "מידע בעל ערך אבטחתי", העומד במרכז איסוף ועיבוד המידע הנדרש בעת פעילות בתחום הגנת הסייבר. רכיב זה נועד לבטא מידע על תקיפות ושיטות תקיפה ואופן זיהויין, וכן דרכי התמודדות עם תקיפות סייבר.

הביטוי "תקיפת סייבר" נועד לבטא את טווח המעשים של ניצול לרעה של מחשב או מידע ממוחשב באמצעות מחשב.

הביטוי "אינטרס חיוני" והשימוש בו

הביטוי "אינטרס חיוני" נועד להגדיר את האינטרסים החברתיים החשובים שיש להגן עליהם מפני תקיפות סייבר. הוא נועד לכלול את סוגי האיומים והתקיפות שעלולים לגרום לפגיעה בחיי אדם, לנזק כלכלי, לדלף מידע, לפגיעה סביבתית ועוד, כמפורט בסעיף. לצד נזקן של פגיעות אלה עלולה גם להיגרם פגיעה תודעתית שיש בה סיכון להשפעה על אמון הציבור במערכות השלטוניות ובתפקודן התקין של מערכות חיוניות.

הביטוי "אינטרס חיוני" מהווה נקודת מוצא עקרונית להכוונת שיקול הדעת המנהלי הן בעת הפעלת סמכויות לטיפול בתקיפה כמפורט להלן בפרק העוסק בסמכויות טיפול באירועים, והן בעת מיפוי המרחב הישראלי לצורכי קביעה של תפיסת הגנה ואסדרה.

הפרק הארגוני

מערך הסייבר הלאומי הוא גוף בטחוני מבצעי שמשימתו הגנה לאומית בתחום הסייבר המבוססת על תחום טכנולוגיית המידע (מחשבים, רשתות ואבטחת מידע) תוך ביצוע פעילויות בטחוניות אופרטיביות ורגולטוריות, שתכליתן למנוע מהאיום להתממש.

מערך הסייבר הוא גוף בטחוני מבצעי ולכן עובדי המערך נדרשים להיות זמינים למענה לטיפול בתקיפות סייבר וממשקים עם הארגונים במרחב האזרחי ועם גורמי מערכת הביטחון, בשגרה ובחירום.

על מנת להגשים את ייעודו כבר כיום מפעיל מערך הסייבר הלאומי, את המרכז הלאומי לסיוע בהתמודדות עם אירועי סייבר (להלן – ה- CERT הלאומי) במתכונת עבודה רציפה בכל ימות השבוע ושעות היממה. פעילות זו מבוצעת באופן רציף הן מול שותפי משימות ההגנה שבקהיליית הביטחון, והן עם גורמים אזרחיים נוספים הפעילים בכל ימי השבוע.

המערך כגוף מבצעי בטחוני המטפל באיומים ובסיכונים לאינטרסים חיוניים במרחב האזרחי, דומה לגופים בטחוניים אחרים. רוחב המשימה מחייב ביתר שאת זמינות מלאה של עובדי המערך בהתאם לצורך. תפקידי המערך מחייבים "רציפות תפקודית" מלאה שלו בשגרה ובחירום, שכן ההגנה על מרחב הסייבר נעשית כל העת, והפסקת הפעילות השוטפת או יכולת התגובה לאירועים עלולה ליצור פערים ברמת ההגנה וחשיפה לניצול חולשות.

מאפיינים אלה מחייבים שינויים מסוימים בהיבטים ארגוניים ובמסגרת הארגונית שבה הוא פועל, בדומה לארגונים בטחונים וארגונים רגולטוריים אחרים במנהל הציבורי הישראלי. מסגרת זאת צריכה להיקבע תוך שמירה על עקרונות היסוד של המנהל הציבורי, ובזיקה לגורמים המופקדים על תחומים אלה בממשלה ובמרכזם נציבות שירות המדינה. קביעתה של מסגרת משפטית בהתאם להוראות חוק זה משקפת את המאפיינים הייחודים של פעילות זו, ולצד זאת את החשיבות הרבה של קיום מסגרת נורמטיבית סדורה.

סמכויות המערך להתמודדות עם תקיפות סייבר

הפרק המוצע מסדיר מסגרת משפטית להפעלת סמכויות לצורך התמודדות עם תקיפת סייבר.

בהתאם לתפיסה מתקדמת של הגנת הסייבר, בעת קיומה של תקיפה או חשש לתקיפה כזו נדרש לבצע פעולות שמטרתן לאתר את היקף הימצאותה של התקיפה ברשת הארגונית, להבין אילו פעולות ניתן לבצע באמצעות קבצי התקיפה או הנגישות לרשת הארגונית, למנוע את התרחשותן או להכיל את הנזק ולסלק את התקיפה, על מנת למנוע פגיעה או פגיעה נוספת במערכות הארגון או במרחב הסייבר.

תכלית הפעילות לפי הפרק, קרי הגנת הסייבר ומניעת פגיעה בתהליכים ארגוניים או במידע ארגוני, שונה מהקשרים אחרים שבהם המדינה מפעילה סמכות כלפי ארגונים. פונקציית המטרה של הפרק האופרטיבי היא טיפול בתקיפה ממוחשבת, שנעשית באמצעות "שפה קריאת מחשב" (כהגדרת הביטוי בחוק המחשבים) והאינדיקציות לקיומה באות לידי ביטוי בשפה זו. חשיפה למידע אחר, ככל שקיימת חשיפה כזו, היא תוצאת לוואי ולא מטרה עיקרית. בכך שונה פעולת מערך הסייבר מפעולת רשויות האכיפה והביטחון, אשר יעד לגיטימי בפעילותן הוא איסוף ראיות או מודיעין על אנשים ממחשבים ומתקשורת במסגרת פעולות חקירה ומודיעין. הסמכויות לפי פרק זה אינן ממוקדות בפעילות אכיפה או פיקוח כלפי הארגון, כי אם בהגנה.

עקב כך יש הבדל עקרוני בין הפרק האופרטיבי לבין חקיקה אחרת העוסקת ומסדירה את הסמכויות של רשויות המדינה בכל הנוגע לפעילות הקשורה למידע המצוי במחשבים ובתקשורת.

התפיסה שבבסיס הפרק היא כי נדרשת מעורבות של המדינה באיתור תקיפות סייבר בארגוני המרחב האזרחי ובטיפול בהן, בשל הצורך במסגרת "על ארגונית" לכך. זוהי מסגרת חדשה שנועדה לאפשר למדינה לבצע פעילות הגנה שמטרתה הגנה על תפקודו התקין של מרחב הסייבר ומניעת תקיפות שיש בהן כדי ליצור סיכון משמעותי לאינטרס הציבורי.

על מנת להסדיר מבחינה משפטית את הסמכות של המערך וכן לתת ודאות לגבי הסמכות ואופן הפעלתה למערך ולגורמים במרחב האזרחי שמולם הוא פועל, הפרק מבוסס על פעילויות הגנת סייבר מקובלות בעת איתור תקיפה והתמודדות עמה.

הגנת הסייבר – איתור תקיפה והתמודדות איתה

ביצוע פעילות הגנה ואיתור תקיפה ברשת ארגון מחייבת עבודה ברובד הממוחשב שבו מתרחשת התקיפה, וזאת על בסיס תובנות מקובלות בתחום הגנת הסייבר. בהתאם לתובנות אלה מהלך ראשוני בתקיפת סייבר הוא יצירת "ראש גשר" ברשת הארגון הנתקף על ידי התוקף. התוקף משתמש בתקשורת הממוחשבת הנכנסת והיוצאת מהארגון כדי לנצל חולשה במערכות הארגון ולחדור פנימה. תקיפות סייבר מבוססות על ניצול חולשות טכנולוגיות, על שימוש באותן שיטות תקיפה או כלי תקיפה, וכי תקיפות מתקדמות לעומת זאת, מבוססות על שיטות תקיפה או כלי תקיפה לא מוכרים. לאחר מכן, באמצעות ראש הגשר, מתקין התוקף ברשת הארגון את התוכנות הזדוניות המאפשרות לו שליטה והפעלה מרחוק. תוקף מתקדם מסווה את פעילותו ברשת הארגון, כדי להגן על עצמו מפני איתור פעילותו על ידי מערכות ההגנה הארגוניות. הוא מסווה את התקשורת בינו לבין התוכנות שהתקין בארגון במסגרת הפעילות הממוחשבת השגרתית ברשת הארגון. פועל יוצא מהמתואר לעיל הוא שלצורך איתור התקיפה ברשת הארגונית ארגונים נדרשים לניטור רציף של מערכותיהם, שכן באמצעות ניטור זה ניתן לאתר במקרים רבים את התקיפה, גם אם היא לא היתה מוכרת קודם. פעילות זו נדרשת פעמים רבות גם כדי לעמוד בהוראות חוק הקשורות בטיפול במידע, כגון איתור ומניעת דלף של מידע אישי.

על רקע זה הפרק כולל עקרונות כלליים המסדירים את הפעלת הסמכות ושיקול הדעת לעניין פעולות ההגנה הנדרשות.

הפעלת הסמכות מוסדרת בהתאם לעקרון המידתיות, קרי - לאחר בחינה כי האמצעי אכן נדרש, כי ננקט האמצעי שפגיעתו היא הפחותה ביותר ביחס לצורך בטיפול בתקיפה, וכי הסיכון לזכות לפרטיות ולתפקודו של הארגון נמוך מהתועלת בפעולה. הפרק כולל מדרג של סמכויות מאשרות בהתאם לסוג הפעולה ולהיקף המעורבות שלה בפעילות הארגון.

הנחת העבודה המקצועית היא שמעורבות פעילה של המערך בתחומים אלה תידרש כאשר הארגון אינו מסוגל בעצמו, כחלק מניהול שגרת מערכות המידע שלו או שגרת ההגנה שלו, לאתר את התקיפה במדויק או להתמודד עמה ולמנוע את הנזק מהאירוע, וזאת, בדומה לתפקיד של מערך הרפואה הדחופה או מערך הכיבוי במרחב הפיזי. הקישוריות הגבוהה והאינטנסיבית במרחב הסייבר מגבירה את הסיכון הכולל ומייצרת אתגרים משמעותיים וצורך בזמני תגובה מהירים.

בנוסף, לנוכח הקישוריות במרחב הסייבר וקלות השכפול של שיטות תקיפה והדבקה, נדרש שיתוף מידע בדבר סוגי התקיפות והטיפול בהן, וכן נדרש לאתר, מוקדם ככל הניתן, פעילות זדונית.

החוסן המערכתי הנדרש מחייב יכולת איתור, גילוי וזיהוי של תקיפות באמצעות שיתוף מידע על אודות תקיפות וניסיונות תקיפה, מידע הנמצא כיום במערכות הארגונים ויש תועלת רבה בשיתופו. נוסף על כך מתחייב ניתוח של המידע האמור, תוך כדי שילוב עם מידע ממקורות נוספים ובכלל זה של גופי הביטחון, לטובת גילוי וזיהוי של איומי סייבר וגיבוש תמונת מצב לאומית. בנוסף נדרשים פיתוח והטמעה של תהליכים ומנגנונים רוחביים לשיתוף מידע וכן יכולת התמודדות בזמן אמת עם אירועי סייבר, לרבות סיוע לארגון בהכלת האירוע, בהתאוששות ממנו ובתחקורו.

בדומה לנעשה בעולם, בישראל החל לפעול בשנת 2017 אגף ה-CERT הלאומי, מכוח החלטת הממשלה 2444 משנת 2015, ובהתאם למסגרת משפטית שתואמה עם היועץ המשפטי לממשלה. על פעילות ה – CERT הלאומי במערך ראו כאן.

ההסדרה של פעילות מערך הסייבר באיסוף ובטיפול במידע לשם איתור וטיפול בתקיפות סייבר מוסדר בחוק בהתאם לעקרונות האלה:

1. הגדרה ייעודית לסוג המידע שנאסף ומעובד בהקשר זה, תוך ניסיון לבדלו ולהפרידו ככל הניתן, ממידע על אודות אדם או על אודות ארגון מזוהה.
2. הגבלה של מטרת השימוש במידע לצרכי הגנת הסייבר.
3. הבניית שיקול הדעת המנהלי בעת איסוף מידע ושמירתו.
4. קביעת כללים לעיבוד המידע בידי גורמים מוסמכים, באופן שמצמצם את החשש לשימוש בו לרעה, וזאת בהמשך ובדומה למסמך "עקרונות ה-CERT הלאומי" אשר תואם עם היועץ המשפטי לממשלה.
5. קביעת מסגרות בקרה ארגוניות הכוללות מינוי ממונה פרטיות וכן מינוי ועדה מפקחת.

פרק האסדרה

פרק זה מבוסס על המסגרת החוקתית החלה על אסדרה שלטונית, על מאפייני תחום אבטחת המידע – הגנת הסייבר, וכן על ההוראות החלות בהתאם להחלטת הממשלה 2118 בעניין הפחתת נטל רגולטורי. על מנת לאפשר מסגרת התמודדות אפקטיבית עם סיכוני הסייבר, הפרק כולל מצד אחד הסמכה לפתח שיטה ותפיסות להגנה, ומצד שני עקרונות שמטרתם הבניית שיקול הדעת המנהלי בעת פיתוח ומימוש כאמור כדי להתחשב בהשפעות של אסדרה זו על הפעילות המשקית.

פרק האסדרה בחוק המוצע עוסק במכלול פעילות הממוקדת במניעה ובהיערכות למתקפות סייבר, על יסוד מנגנוני הנחיה ברמה הלאומית והמגזרית, אשר יאפשרו למדינה לחזק את החוסן המשקי.

בהקשר זה למדינה תפקיד משמעותי, השונה מהקשרים אחרים שבהם המדינה מפעילה סמכויות אסדרה, בכך שמדובר בהגנה על תפקודו התקין של מרחב הסייבר ועל אינטרסים לאומים חיוניים בעלי היבטים בטחוניים.

בנוסף להשפעה שיש לאיום הסייבר על המשק האזרחי, יש לו גם מימד מובהק של ביטחון לאומי. זהו רובד שיקולים נוסף מעבר לשיקולי רגולציה משקית כלכלית הנשקלים בדרך כלל. האינטרס הביטחוני אינו ניתן לכימות כספי בלבד ויש לו השפעות רוחב וקשרי גומלין. על כן, הצורך לייצר מסגרת רגולטורית גמישה, בעלת יכולת התאמה לנסיבות המשתנות במהירות, מקבל משנה תוקף.

רכיב מרכזי בהחלטות הממשלה, כמפורט גם בתפיסת האסדרה שאישרה הממשלה, הוא פיתוח האסדרה ופריסתה באופן מידתי, תוך התחשבות במשמעויות ובהשפעות של העלאת רמת החוסן לפעילות הארגונית. על המדינה לסייע בקביעת אופן ההגנה על הארגונים האזרחיים וכן לנקוט אמצעים להבטחת הפנמה של הוראות אלה בקרב ארגונים אלה, באמצעות תהליכי רישוי, פיקוח ובמידת הצורך אכיפה.

פרק הרגולציה נועד לייצר מסגרת מידתית להפעלת שיקול דעת רגולטורי, תוך שימוש בעקרונות תוכן, ובעקרונות תהליכיים שמטרתם מימוש תפיסה זו. לצד זאת, ולנוכח אתגרי האיומים המשתנים תדיר במרחב הסייבר וההתמודדות עמם, נדרשת מסגרת משפטית שתאפשר הפעלה גמישה של סמכות.

בין היתר, מתבטא האיזון בין צרכי הגנת הסייבר וההשפעה על פעילות הארגונים -

• בקביעת מסגרת שיקולים שיש להתחשב בהם בעת קביעת הוראות רגולטוריות;
• בקביעת תהליך מבוסס עובדות הנשען על תקינה בינלאומית;
• בהתבססות על תהליכי איתור נכסים ותהליכים לאומיים ברמה הלאומית (כגון זה של רשות החירום הלאומית) וברמה המגזרית (בהתבסס על רשויות האסדרה המגזריות);
• בקביעת מודל אסדרה מבוזר המבוסס כברירת מחדל על רשויות אסדרה מגזריות קיימות.

גיבוש מודל האסדרה המוצע נעשה תוך הכרה בצורך לאזן בין מספר אינטרסים ציבוריים, ובכללם, הצורך מצד אחד להגן על מגוון אינטרסים ציבוריים אשר מרחב הסייבר מציב בפניהם סיכונים חדשים שמולם המדינה חייבת להיערך, ומנגד, הרצון להימנע מסיכונים לנטל רגולטורי עודף על המשק ומפגיעה בחדשנות ובתמריצים חיוביים, בהקשר הסייבר ובכלל.

המודל הרגולטורי המשולב שמוצע בתזכיר מאזן בין ריכוזיות וביזוריות. מודל זה מתאים את עוצמת המענה הרגולטורי הנדרש לרמות הסיכון השונות, באופן אשר שואב את המירב מהניסיון המקומי והבינלאומי בתחום.

ככל שבמגזרים מסוימים יימצא כי הארגונים אינם בעלי מוכנות מתאימה בתחום הגנת הסייבר - תידרש רגולציה. עם זאת, הנחת העבודה היא כי לארגונים אינטרס טבעי להגן על פעילותם ונכסיהם הממוחשבים. השקעה אפקטיבית בהגנת סייבר, בשל היותה רכיב תשתיתי לפעילות תקינה של ארגונים, מגוננת על הפעילות הכלכלית ומהווה מעין "ביטוח" מפני התרחשות אירועי סייבר עתידיים. עקב כך, הזיקה בין הצורך בהשקעה בהגנת הסייבר לבין האינטרסים הפנימיים של הפירמות או הארגונים היא הדוקה יותר, ובהתאמה לכך מוצדקת יותר.

על פי החלטת ממשלה 2118, לתזכיר החוק נספח דו"ח הערכת השפעות רגולטוריות (RIA) המציג את הצורך בהתערבות רגולטורית ממשלתית, בוחן את החלופות לפעולה, ואת הערכת העלויות הנובעות מחוק זה, וזאת תוך שיתוף ציבור ובעלי עניין מרכזיים. עבודה זו גובשה לאורך זמן, והיא מעניקה משנה תוקף לשיטת הרגולציה שנקבעה בתזכיר החוק.

פרק הוראות שונות

בפרק זה הסדרים שנועדו לקדם את הגנת הסייבר באמצעים משפטיים מבלי מעורבות ישירה של המדינה.

במסגרת זו מוצע לקבוע סוגים של חברות אשר בהן נדרש יהיה לקיים דיון שנתי לפחות באופן ההתמודדות של החברה עם איומי סייבר. מטרת הוראה זו לקדם את ניהול איומי הסייבר בתאגידים בדרך רכה יותר מאשר הנחייה ישירה באשר לאופן ההגנה. הנחת העבודה היא שבמידה שארגון חשוף לאיומי סייבר משמעותיים אשר עלולים לסכן את פעילותו או נכסיו, קיום דיון בדירקטוריון יניע אותו להיערך מבחינת אמצעי הגנת סייבר, ביטוחים או הקצאת משאבים אחרים הנדרשים להתמודדות עם תקיפות סייבר.

לצד חובות אלה, מוצע בפרק זה בתזכיר גם להבהיר את המצב המשפטי הקשור במתח שבין צרכי הגנת הסייבר המחייבים ניטור שוטף של רשתות הארגון, לבין החשש כי בניטור זה או בחלקו יש משום פגיעה אסורה בפרטיות עובדים או לקוחות.

הסעיף משקף קודיפיקציה של הסדרים מקובלים בעולם, ומטרתו להקנות ודאות לארגונים לגבי הפעילות המותרת. בנוסף, ניתן אף לומר כי הגנה על פרטיות המידע מחייבת במידה רבה קיום פעילות ניטור והגנה על ידי ארגונים, כלומר מדובר בפעילות לגיטימית לצרכי עמידה בהוראות אבטחת המידע של דיני הפרטיות עצמם. יודגש כי הסעיף מגביל את מטרת הפעילות המותרת לפעילות הגנת סייבר בלבד. הסעיף לא מסדיר מטרות נוספות לפעילות ניטור רשתות בארגון, אף אם הן לגיטימיות מסיבות אחרות.

בהמשך לכך מוצע גם להבהיר כי שיתוף מידע בעל ערך אבטחתי בין ארגונים ועם מערך הסייבר אף הוא אינו פוגע בפרטיות. הוראה מעין זו קיימת בחקיקת האיחוד האירופי General Data Protection Regulation, בסעיף 49 להוראות המבוא.

עוד מוצע להבהיר כי שיתוף מידע למטרת הגנת הסייבר אינו מפר את דיני התחרות, כל עוד הוא עוסק במידע בעל ערך אבטחתי. עמדה דומה פורסמה בידי הממונה על הגבלים עסקיים בגילוי דעת מטעמו ופורסמה גם מטעם משרד המשפטים ורשות הסחר הפדרלית האמריקאית.