0.
בישראל, כרגיל, הפתרון לכך שגוף נכשל פעם אחרי פעם בתפקיד שלו זה לתת לו עוד סמכויות ועוד כח. הפעם מדובר במערך הסייבר. הצעת חוק שצפויה לעלות, להתקבל ולרוץ בכנסת בתוך 23 הימים שנשארו עד הבחירות מציעה בדיוק את זה. הצעת החוק היא מחזור, תיקון ושינוי של הצעה גורפת וכוללת, שנותנת למערך הסייבר סמכויות להורות על פעולות אבטחה מסוימות, לחדור למחשבים, לאסוף מידע, ולנהל את מחלקת אבטחת המידע של גופים פרטיים. ההצעה הזו, כמובן, נותנת גם לשב"כ, אותו גוף שנכשל במערך קטיעת ההדבקות ואיתור המגעים, עם אירועי אבטחת מידע, סמכויות.
1.
עכשיו, אם היה בא אדם ומתאר לכם מדינה שבה השירות החשאי, שכפוף לראש הממשלה, יכול להכנס למערכות המחשוב הקריטיות של בנקים, לתשתיתות של ספק אינטרנט או למערכת הנהלת החשבונות של המכולת של משה למטה ברחוב, אתם הייתם מעריכים שמדובר לפחות ברפובליקת בננות, אם לא למדינה שהשם שלה מסתיים ב"סטאן" או "אזיה". המילים "הדמוקרטיה היחידה במזרח התיכון" לא היו עולות לכם בראש. וזה הגיוני.
2.
הבעיה, קודם כל, היא בהליך החקיקה החפוז. נכון, החוק מוגדר "זמני" למשך שנתיים בלבד. והוא אמור להתקבל בכנסת בשלוש קריאות בתוך 23 ימים, כאשר חברי הכנסת שלנו עסוקים בקמפיין הבחירות, אין דיונים בועדות, ואין באמת משמעת קואליציונית או דיון רציני. כמה הכנסת שלנו לא מתפקדת? את הצעת החוק להעברת מידע על מתחסנים העבירה הכנסת כאשר 43 חברי כנסת נכחו במליאה. כלומר, קצת יותר משליש מהאנשים אשכרה הגיעו לעבודה.
3.
מי מצפה שיהיה דיון רציני בנושא כמו סמכויות, זכויות אזרח, וגם, מה לעשות, זכות הקניין? אף אחד. וזה ברור לכולנו; הצעת החוק הזו באה לנצל מומנטום של חקיקה פוגענית שנותנת יותר סמכויות לשירותים חשאיים, שלא כפופים לחוק חופש המידע, שלא כפופים לשר כלשהוא אלא ישירות לראש הממשלה, שלא כפופים לייעוץ המשפטי לממשלה. כמה זה מדאיג? מאוד. אם נסתכל, לדוגמא, על הסעיף שמאפשר העברת מידע מספקית אינטרנט:
4.
בישראל יש את חוק נתוני תקשורת. הוא מסדיר בדיוק מה ואיך ספקיות אינטרנט צריכות להעביר למשטרה במקרים של חשש לביצוע עבירה, מניעתה או חשש לחיי אדם. החוק הזה, משום מה, עבר את הביקורת של בית המשפט העליון (בג"ץ 3809/08 בג"ץ 9995/08 האגודה לזכויות האזרח בישראל נ' משטרת ישראל ואח'); אבל כאן בא המחוקק ורוצה לתת הסדר עוקף. מה קורה? בואו נשווה: איך מקבלים מידע? בחוק נתוני תקשורת צריך צו שיפוטי; במקרה שלנו? מערך הסייבר יכול לקבל במקרה של אירוע סייבר. ממי הוא יכול לקבל? מספקית האינטרנט או מעובד השירות. מה זאת אומרת? שה"כלי", אותו עניין שרצינו לצמצם בעניין הקורונה, גישה למאגר הנתונים החשאי מאוד של השב"כ, פתאום הופך להיות הסטנדרט.
5.
אז רגע. בלי צו, גישה למאגר הסודי של השב"כ, שכולם התריעו שאסור לגשת אליו. מה עוד צריך שיהיה בחוק הזה כדי שיבינו שהוא רע? הסמכה של השב"כ לעשות פעולות? צ'ק! מתן הוראות לשוק הפרטי על איזה אנטי וירוס להתקין? צ'ק. שבירה של נורמות? צ'ק.
6.
אז מה הפתרון? כלומר, ברור לכולנו שיש בעיית סייבר. רמת האבטחה בישראל ירודה. אתם יודעים למה היא ירודה? לא בגלל שאין עוד סמכויות. לרשות להגנת הפרטיות יש סמכויות, והיא לא עושה מספיק כשמגלים שיש הפרה של החוק; היא לא שולחת עבריינים לכלא. הפתרון הוא קביעת סטנדרטים מקצועיים ואכיפה שלהם לאחר אירועי סייבר. הפתרון הוא לחנך את השוק שאירועים יענשו בחומרה. נכון לעכשיו, מערך הסייבר הוא משיבון בתקציב של מאתיים חמישים מיליון שקלים בשנה. מה קורה היום כשרוצים לאסגר פרצת אבטחה? לפי פרסומים בפודקאסט "סייבר סייבר" נסיונות לאסגר פרצות פשוט לא נענים.
7.
מה צריך לעשות? קודם כל, מערך הסייבר צריך להגן על המדינה. לגופים מפוקחים יש הנחיות כבר היום; הם מספקים תשתיות קריטיות. הפיקוח על הבנקים מפקח גם על הסייבר בבנקים; רשות שוק ההון מנחה את חברות הביטוח; רשות החשמל את חבר(ו)ת החשמל. למה צריך שאת המכולת, או אפילו את חברת הסטארטאפ שלכם, תנחה רשות סייבר שלא יודעת לעבוד?
חשוב מאוד. אבל, צריך קצת לסייג, זה אמנם נראה גורף, אבל, לא לגמרי כאן:
קודם כל, בית משפט לעניינים מינהליים נמצא כאן בתמונה. צריך, במצבים מסויימים, לקבל צו שיפוטי מתאים. נצטט מסעיף 6 להצעת החוק:
בית המשפט רשאי, לבקשת גורם אחראי, להתיר בצו לעובד מוסמך לבצע פעולות הגנת סייבר שיפורטו בבקשה או ליתן כל הוראה אחרת בנוגע לביצוען של פעולות כאמור ( להלן- צו) , אם שוכנע כי הפעולות נדרשות למניעת פגיעה אינטרס ציבורי חיוני, ובלבד שהתקיים אחד מאלה:
(1) הארגון נדרש לבצע הנחיות מקצועיות בהתאם לסעיף 4 או 5 ולא מילא אחר ההנחיות שניתנו תוך פרק הזמן שנדרש לעשות כן:
(2) לא ניתן להשיג את תכלית הפעולות המבוקשות בצו באמצעות הנחיות מקצועיות בלבד לביצוע פעולות אלה בידי הארגון או מי מטעמו.
עד כאן הציטוט:
כלומר, צריך לשכנע בית משפט, שהפגיעה היא באינטרס ציבורי חיוני. ועוד: הארגון לא מילא אחר ההנחיות ובפרק זמן הנדרש. או ההדרכה וההנחיות, לא יאפשור את תכלית הפעולות. כלומר, צריך התערבות ספציפית ומקצועית יותר.
אז, ברור שיש פה גם ביקורת שיפוטית על הענין.
על כך חשוב לציין, שמידע פרטי של ממש, אישי, לא הענין כאן. אלא, ענין נגזר ושולי, ומטופל בהצעת החוק. למשל, בסעיף 7 אין להשתמש במידע פרטי של ממש שנתקבל, אלא באישור בית משפט, או למטרת הגנת סייבר.
ועוד כהנה וכהנה, לא נישאר צעירים….
תודה