האם בקרוב לא יהיה ניתן לפרסם מתקפות סייבר בזמן אמת?

על שולחן הכנסת הונחה השבוע הצעת חוק של ח"כ מירב בן ארי (יש עתיד), שמבקשת לאסור פרסום בזמן אמת של מידע על מתקפת סייבר שחוו גופים. הפרסום יוכל להיות מבוצע רק לאחר אישור של גורמי ביטחון, המשטרה או בית המשפט, ורק חודש או יותר אחרי המתקפה.

בדברי ההסבר להצעת החוק כותבת ח"כ בן ארי: "מטרת חוק זה היא לקבוע הוראות בעניין איסור פרסום זמני של מתקפת סייבר, וכן לקבוע מנגנוני דיווח על קיום המתקפה". לדבריה, היא מציעה זאת "על מנת לצמצם ככל הניתן פרסום אודות מתקפת סייבר כאמצעי לחץ והבכה לארגון הנפגע, וכן על מנת לוודא שההתמודדות עם האיום נעשית בצורה מיטבית עבור הארגון הנפגע ועבור פרטיות האזרחים". היא כתבה בנוסף כי "התוקפים רוצים ליצור אירוע תודעתי, שמטרתו להביא לכאוס ולהד תקשורתי, או לבצע אירוע שמטרתו כופר כסף, כאשר כלי הלחץ העיקרי הוא הפרסום התקשורתי".

סעיף נוסף, ומרחיק לכת, בהצעת החוק הוא הטלת חובת דיווח למערך הסייבר הלאומי על כל מתקפה. אם ההצעה תתקבל, החובה תחול על כל הארגונים במשק. כיום, חובת הדיווח מוטלת רק על הגופים שמפוקחים על ידי מערך הסייבר – בדרך כלל גופי ממשלה וביטחון, בעוד שגופים מהמגזר העסקי רשאים להיוועץ במומחי המערך, אולם הם לא חייבים דיווח לו על אירועי סייבר.

אלרואי מרום, מנכ"ל לינווייט. צילום: פלי הנמר

"הצעת החוק מסכנת את אזרחי ישראל"

ההצעה של ח"כ בן ארי התקבלה בביקורת על ידי מומחי סייבר ואבטחת מידע, ואצל חלק מהם אף בפליאה.

אלרואי מרום, מנכ"ל לינווייט, שעוסקת בפיתוח ובתמיכה בקוד פתוח, אמר, ברומזו לסין: "תארו לעצמכם שמדינה שבה מתפרצת מגיפה הייתה אוסרת על דיווח לעולם על הווירוס החדש, וחושפת את כל העולם להידבקות. זו הרי הייתה שערורייה".

עו"ד יהונתן קלינגר. צילום: גלעד אילוז

לדבריו, "במרבית המקרים, מתקפת סייבר באה כתוצאה מניצול של חור בתוכנה. לכן, מתכנתים ברחבי העולם מפיצים במהירות את החור, ועדכון כדי לתקן אותו – סוג של תרופה לווירוס. אי פרסום מתקפת סייבר ימנע את הדיווח על חורי אבטחה, ימנע את היכולת לתקן אותם במהירות, וימנע מארגונים שלא נפגעו להתכונן במהירות ולהגן על הלקוחות שלהם". "זאת הצעת חוק שלא חשבו עליה עד הסוף וראוי כי תיגנז", הוסיף מרום.

עו"ד יהונתן קלינגר סבור שהצעת החוק מסכנת את אזרחי ישראל. לדבריו, אם ההצעה תתקבל, האזרחים יימצאו במצב שבו במשך 30 ימים ויותר אחרי מתקפת סייבר שהובילה לכך שהמידע שלהם דלף הם לא יוכלו לדעת על קיומה של הדליפה, מה שייתן עוד זמן לתוקפים לבצע את זממם. "התוקפים הם עבריינים שברוב המקרים לא כפופים לדין הישראלי", ציין. "כך, יימצאו קבוצות טלגרם ואתרי חדשות בחו"ל שידווחו על אירועי הסייבר, ותוקפים שמנצלים את החולשה, ומנגד – אזרחי ישראל לא יקבלו מידע ממקורות רשמיים".

עו"ד חיים רביה. צילום: תומר יעקובסון

"אני מבין את הכוונה הטובה של ח"כ בן ארי. מנסחי החוק חושבים שהדיווח על מתקפת הסייבר הוא חלק מהמתקפה התודעתית. אבל זה לא נכון: המתקפה התודעתית מגיעה כאשר יש שיבוש משמעותי. לפי הצעת החוק הזו, מתקפת סייבר שתשבית את פעילות הבנק תוביל למצב שבו הדיווח בתקשורת יהיה 'לא ניתן להסביר למה מערכות הבנק אינן זמינות', במקום להזהיר את הציבור מאתרים מתחזים", אמר עו"ד קלינגר.

עו"ד חיים רביה ממשרד עורכי הדין פרל צדוק כהן הגדיר את הצעת החוק "מוזרה וחסרת סיבה", וציין ש-"אין לה מקבילה עולמית. ממילא, היא מנוגדת לעקרונות יסוד של חופש הביטוי והחופש העיתונאי, ופוגעת בעקיפין בזכות לפרטיות, שכן דיווחים על אירועי אבטחה מקדמים הגנה על מידע אישי". הוא הוסיף כי "יש להניח שההצעה לא תעבור, אבל היא כבר השיגה מטרה אחת: חשיפה לחברת הכנסת הנמרצת".

עו"ד ד"ר נמרוד קוזלובסקי. צילום: עמי ארליך

בדעה דומה מחזיק עו"ד ד"ר נמרוד קוזלובסקי, מומחה למשפט ולטכנולוגיה. הוא כינה את ההצעה "שגויה, חסרת הגיון ומנוגדת למגמה ההפוכה והנכונה בעולם, שמחייבת גילוי נאות ומיידי של מתקפה".