הרשויות נלחמות נגד ההאקרים בכלים של המאה הקודמת
חוק הגנת הפרטיות חוקק ב-1981 וכמעט שלא עודכן, חוק הסייבר נמצא על שולחן הכנסת כבר מעל שלוש שנים והרשויות נעדרות סמכויות אכיפה או חלשות ● מי שמשלמים את המחיר הם אנחנו ● האם הממשלה סוף סוף תתעורר?
ועדת החוקה, חוק ומשפט של הכנסת קיימה אתמול (ב') דיון בנושא הסייבר והגנת הפרטיות, על רקע גל המתקפות שאירע באחרונה על גורמים ישראליים, ובמרכזן על בית החולים הלל יפה ועל חברת אחסון האתרים סייברסרב. מתקפות אלה גרמו נזקים חמורים לפרטיות של מאות אלפי אזרחים, שפרטים עליהם נכללו במאגרי המידע של הגופים שהותקפו.
הנושאים המרכזיים שעלו בדיון היו האם הרשויות בישראל ערוכות על מנת למנוע את המתקפות הבאות, ובכלל זה האם יש תיאום תקין בין הרשויות השונות, ובעיקר מערך הסייבר הלאומי והרשות להגנת הפרטיות, והאם החקיקה והמדיניות בנושא זה מספיקות וברורות. ובכן, מהדיון עלה שהתשובה לכל השאלות האלה שלילית, וזה צריך להדאיג את אזרחי המדינה, לצד המתקפות והנזקים שנגרמים כתוצאה מהן. אין לישראל מדיניות ברורה וישימה בכל מה שקשור להגנה על אזרחי המדינה מפני מתקפות סייבר, החקיקה בנושא חלקית מאוד והתיאום בין הרשויות לקוי. מדינת ישראל נלחמת במתקפות הסייבר בכלים שהיו טובים לשנות ה-90' (כשכבר היו מתקפות סייבר אבל הן לא נקראו כך), באמצעות גופים שלאחד מהם – מערך הסייבר הלאומי – אין סמכויות אכיפה, ולאחר – הרשות להגנת הפרטיות – יש סמכויות כאלה, אבל היכולות שלו מוגבלות. גם בגלל זה, אם כי לא רק, הדוברים בדיון עמדו על כך שלצד האחריות שיש למדינה בהגנה על תשתיות קריטיות, יש גם אחריות ספציפית וישירה לכל ארגון שמחזיק במידע, והוא לא צריך להמתין להנחיות מהממשלה.
לכל המומחים ברור שהמצב הזה לא יכול להימשך, לאור המציאות המשתנה. אלא שנראה שהתובנה הזאת לא ממש חלחלה במסדרונות הממשלה – פרט לרשויות הטכנולוגיות, שמתריעות על כך. לדרג של הח"כים והשרים זה עוד לא הגיע
המצב החוקי
בדיון הובהר המצב החוקי החמור של הגנת הסייבר בישראל: החוק להגנת הפרטיות נחקק ב-1981, כמעט שלא עודכן מאז ומשכך – הוא לא מתאים לעידן הדיגיטלי. חוק הסייבר מונח על שולחן הכנסת מאז 2018 ולא מקודם. נכון שהיו מאז מערכות בחירות האחת אחרי השנייה, אבל כבר כמעט חצי שנה שיש ממשלה ונראה שהנושא לא בוער לאף אחד בדרגים הגבוהים שם. בנוסף, יש ליקויים, או יותר נכון לקונות, גם בחיוב של ארגונים לדווח למערך הסייבר על פריצות ואירועי אבטחה: גופים שמוגדרים תשתיות לאומיות, כמו חברת החשמל, מקורות והבנקים, חייבים לדווח על כך – אבל בתי החולים לא. שלא לדבר על חברות פרטיות. כמעט הכול נעשה על בסיס של רצון טוב, או אחרי אירועים, כמו במקרים של הלל יפה וסייברסרב.
לכל המומחים ברור שהמצב הזה לא יכול להימשך, לאור המציאות המשתנה. אלא שנראה שהתובנה הזאת לא ממש חלחלה במסדרונות הממשלה – פרט לרשויות הטכנולוגיות, שמתריעות על כך. לדרג של הח"כים והשרים זה עוד לא הגיע.
החמרת המצב וההגברה של התדירות של המתקפות לא מאפשרות להשאיר את המצב כמו שהוא. חברי הוועדה היו תמימי דעים שמה שצריך לעשות הוא לעדכן את החוקים, לחוקק חוקים חדשים שיש בהם אמצעי אכיפה ולהקים גורם מתכלל אחד, מעין קבינט סייבר, שיידע לתאם בין הגופים השונים ולהביא לתקשורת הרבה יותר טובה ביניהם.
השורה התחתונה: גל מתקפות הסייבר בכלל, והכופרה בפרט, על מדינת ישראל צפוי רק להתגבר בטווח הנראה לעין. הממשלה והכנסת צריכות להתעורר, להתאים את החקיקה ואת המבנה הארגוני למציאות החדשה, למלחמת הסייבר שנכפתה עלינו. וזו מלחמה לכל דבר. כשם שבעת ירי טילים על תל אביב המדינה לא תגיד לאזרחים "תסתדרו לבד", כך צריך להיות גם במצב של מלחמת סייבר. גם עכשיו צריך להכריז על מצב חירום – סייברי – כדי לבצע את הצעדים המתבקשים שיצמצמו את הפגיעה באנשים רבים. יש להעניק למערך הסייבר סמכויות אכיפה וענישה, ולרשות להגנת הפרטיות, שכאמור – כבר יש לה אמצעים כאלה, יותר מהם, כדי לוודא שארגונים יפעלו על הצד הטוב ביותר כדי להדק את ההגנה על הסייבר, כי אחרת אנשיהם עלולים להסתבך אישית ולשלם מחיר יקר.
תגובות
(0)