ועדת החוץ והביטחון: לבטל את הכפיפות בין רשות ומטה הסייבר
חברי ועדת משנה של הוועדה המליצו להעביר את האחריות על התשתיות הלאומיות, שנמצאת כיום בשב''כ, לידי רשות הסייבר ● הם קוראים ליצור מצב חדש בו הרשות, שאחראית על הגנת המדינה בתחום, לא תהיה כפופה למטה הסייבר הלאומי
רשות הסייבר הלאומית צריכה להיות הגורם האחראי הבלעדי על הגנת הסייבר בישראל, כך קובעת ועדת משנה של ועדת חוץ וביטחון של הכנסת, בדו"ח מיוחד שחיברה.
ועדת המשנה של ועדת החוץ והביטחון, לנושא ההגנה בסייבר, ערכה בשנה האחרונה סיורים ודיונים כדי ללמוד ולפקח על אופן ההיערכות המדינתית להגנת הסייבר, ולבחון את משמעויות החלטת הממשלה על הקמת רשות הסייבר הלאומית – ואופן מימושה. ועדת המשנה סיכמה את עבודתה בדו"ח בנושא, שהוצג השבוע. בראש ועדת המשנה לסייבר עמדו ח"כ אבי דיכטר, לשעבר ראש השב"כ, וח"כ ד"ר ענת ברקו, יוצאת מערכת הביטחון ומומחית לטרור.
מטרת הדו"ח הייתה לבחון את חלוקת האחריות והסמכויות הרצויה, בין כלל גופי הגנת הסייבר, בצורה שתאפשר את מתן המענה המתאים ביותר לסוגי איומי הסייבר השונים.
בהסתמך על החלטת ממשלה קודמת, הוועדה המליצה שרשות הסייבר תהיה הגוף הבלעדי שמגן בהיבט הסייבר במדינת ישראל, והיא זו שתגן על התשתיות הקריטיות, כמו שהיא מגנה על שאר המגזרים במשק. עוד המליצה הוועדה כי הרשות לא תהיה גוף מודיעיני נוסף לגופי המודיעין, וכי גופי המודיעין הקיימים הם שיעשו זאת עבור הרשות. על פי חברי הוועדה, להבדיל מהגנת סייבר, שכאמור יהיה באחריות רשות הסייבר, הרי שמטה הסייבר יעסוק במחקר ופיתוח של התחום, קידום התעשייה, קידום היצוא והכלכלה, ויפעל בתחומי חינוך ואקדמיה לסייבר – מתוך ראייה מדינתית ארוכת טווח.
ד"ר אביתר מתניה, ראש מטה הסייבר הלאומי. צילום: ניב קנטור
חברי הוועדה קבעו כי כיוון שהגנת הסייבר מוטלת על הרשות, וממילא ראש הרשות מדווח כיום למזכיר הצבאי של הממשלה – הרי שאין צורך שהרשות – שתפקידה הוא הגנת סייבר – תהיה כפופה למטה הסייבר הלאומי, שתפקידו הוא סייבר בכלל ולא הגנה בלבד.
"איום התקיפה בסייבר מהווה אתגר גובר למדינת ישראל", כתבו חברי הוועדה, "הממשלה וגופי הביטחון זיהו היטב ובזמן את האתגר, והחלו בשנים האחרונות לנקוט צעדים חשובים לגיבוש מענה התואם את עוצמת האיום". על פי הדו"ח, "הקמת רשות הסייבר הלאומית יצרה דילמות ביחס לחלוקת האחריות בין הרשות לבין גופי הביטחון, שנבעו מתפיסות שונות ביחס לאיום הסייבר ולאסטרטגיית ההגנה הנכונה, ומחשש מכניסתו של גוף חדש, שעלול – ללא פיקוח נכון – להפוך לגוף בעל יכולות החורגות מהנדרש".
"אין גוף אחד שיש לו יכולת בלעדית להתמודד עם האתגר", נכתב בדו"ח, "ומתחייב שיתוף פעולה הדוק בין כלל הגורמים, על יתרונותיהם היחסיים. הוועדה נחשפה במהלך עבודתה למחלוקות ואף לחיכוכים בין הגופים השונים, והעירה על כך, והיא רואה כעת בחיוב את ההבנות שהושגו באחרונה בין הגופים".
שיקולים אזרחיים-מדיניים לצד ביטחוניים
הוועדה, נכתב, "רואה חשיבות רבה בהקמת רשות הסייבר הלאומית וסבורה כי הרשות צריכה להיות הגורם האחראי על הגנת הסייבר במדינת ישראל. היא (הרשות) תדע לשקול שיקולים אזרחיים-מדיניים לצד ביטחוניים, ותהנה מנגישות למגזר האזרחי, למערכת הביטחונית ולשותפיה בקהילה הבין-לאומית".
באחריות הרשות, נקבע, "יהיו חיזוק החוסן המדינתי, הכוונה איסופית וניהול ותכלול אירועי תקיפה על יעדים ישראליים. היא תקבל גם את האחריות להנחיית התשתיות הקריטיות שעד כה נמצאת בידי השב"כ. הוראת השעה המאפשרת זאת אושרה ביום ב' השבוע במליאת הוועדה. הגופים הביטחוניים ימשיכו להיות אחראים על הגנתם, ויובילו את הפעילות האיסופית ובעלת המאפיינים הביטחוניים להגנה בסייבר. בהסדרה המוצעת יש פתח לחילוקי דעות וקשיים בהטלת מרות, וחייב להיקבע מנגנון ברור לניהול מחלוקות עתידיות".
בכל מקרה, נכתב, "אין להפוך את הרשות לסוכנות מודיעין נוספת. הרשות תתבסס על יכולות האיסוף של גופי המודיעין הקיימים ועל מידע גלוי שהיא תקבל באמצעות אנשיה".
הקפדה על זכויות הפרט
"הוועדה לא השתכנעה בצורך בקיומן של שתי יחידות סמך עצמאיות במשרד ראש הממשלה, מטה הסייבר ורשות הסייבר, המהוות יחדיו את מערך הסייבר הלאומי", קבעו חברי הכנסת. "תהליכי העבודה, כפי שהוצגו לוועדה, מייתרים למעשה את משמעות כפיפותו של ראש הרשות לראש המערך. ראש הרשות עצמאי בליבת עשייתו, ההגנה בסייבר, ולא מחויב לקבל אישור מראש המערך להחלטותיו ולפעולותיו בתחום".
"הוועדה מברכת על עשייתו ותרומתו של מטה הסייבר, כגוף שמנותק מהאירועים השוטפים ושפועל כמשימה מרכזית להפיכתה של ישראל למדינה מובילה בהגנה בסייבר. יחד עם זאת, הוועדה סבורה שיש לבחון את מיקומו הנכון של המטה ותמשיך לבחון את הנושא", נכתב. "נוסח חוק הסייבר המתגבש, חייב להיכתב תוך שיתוף ומעורבות כלל הגורמים הרלוונטיים במערכת הביטחונית והאזרחית. יש לוודא שהחוק יבטיח שכניסתה של הרשות כשחקן חדש, לא תפרוץ את המגבלות שהוטלו עד היום על השב"כ – בכל הקשור להקפדה על זכויות הפרט".
אבי וייסמן, מנכ"ל שיא סקיוריטי
אבי וייסמן, מנכ"ל שיא סקיוריטי, אמר לאנשים ומחשבים כי "מאז הקמתו ב-2012, מטה הסייבר הצליח לייצר תנופה עצומה בעשיית הסייבר ובחשיבת הסייבר. אחד התוצרים של העשייה הוא הקמת רשות הסייבר, על ידי מטה הסייבר. מאז הקמתה, בינואר 2016, הרשות ממשיכה את פעילות המטה בשלושה תחומים: באסדרה, בהקמת CERT לאומי ובצעדים אופרטיביים בתחום החינוך. מדובר בצעדים שמרפאים את שלושת החוליים שאפיינו את מדינת ישראל עד הקמת המטה והרשות".
מה כל זה משנה אם בכל החברות בארץ הכוח אדם העוסק באבטחת מידע עומד על ממוצע אחד בחברה שמונה 600 עד 2000 עובדים?!?! (לא כולל בנקים ונגזרותיהם )