הצעת חוק | בלעדי

המדינה התקפלה: לא תוכל להיכנס אליכם הביתה ולקחת את המחשב במקרה של מתקפת סייבר

תזכיר חוק הסייבר, שפורסם ביוני, עורר ביקורת בשל הסמכויות הנרחבות שהוא נותן למדינה • כעת הוא רוכך: התאחדות התעשיינים סיכמה עם מערך הסייבר כי תפיסת חפצים בעסק או בבית פרטי יהיו רק בצו שופט • עם זאת סעיפים נוספים ששנויים במחלוקת, בהם הכפפת המערך לראש הממשלה, עדיין לא שונו

חוק הסייבר/ צילום: Shutterstock א.ס.א.פ קריאייטיב
חוק הסייבר/ צילום: Shutterstock א.ס.א.פ קריאייטיב

לראשונה מאז פרסום תזכיר חוק הסייבר, שאמור להסדיר בחקיקה ראשית את פעילותו של מערך הסייבר הלאומי, הוסכם על סדרת שינויים שימתנו את הסמכויות הגורפות שמעניק תזכיר החוק לאנשי המערך. עם זאת, קיימים חילוקי דעות שטרם נפתרו בנוגע לסעיפים מהותיים אחרים בתזכיר.

ההסכמות הושגו לאחר חודשים של מגעים בין הייעוץ המשפטי של המערך, בהובלת היועץ המשפטי של הרשות עו"ד עמית אשכנזי שהיה אחראי על ניסוח התזכיר, לבין צוות של התאחדות התעשיינים, בראשות יו"ר ההתאחדות שרגא ברוש. במסגרת ההבנות, הוסכם כי תפיסת חפצים על ידי אנשי מערך הסייבר בארגון או בבית פרטי יתבצעו בצו שופט בלבד, וכי בברירת המחדל הטיפול בתקיפת סייבר תבוצע על ידי אנשי הארגון או מטעמו, אלא אם לא ניתן להשיג את מטרת ההגנה בדרך אחרת. כמו כן סוכם כי תצומצם ככל הניתן תפיסות מערכות מחשב שעלולות להוביל להשבתת עסק. ברוש אמר בעקבות ההסכמות עם מערך הסייבר כי בהתאחדות "שמחים לדעת כי בעת התקפה, מערך הסייבר הלאומי יעמוד לצדנו, ובמידת הצורך יוכל לעזור במניעה והתגוננות יעילה, תוך שמירה על פרטיות החברה, תכניה ופעילותה הרציפה".

שרגא ברוש / צילום: דוברות התאחדות התעשיינים
 שרגא ברוש / צילום: דוברות התאחדות התעשיינים

מערך הסייבר הלאומי הוא גוף ביטחוני שמאחד את פעילותם של מטה ורשות הסייבר לכדי רשות אחת, בראשותו של יגאל אונא, ופועל כרגע מכוח החלטת ממשלה. תזכיר החוק נועד להסדיר את פעילותו של המערך, בדומה לאופן שבו חוק השב"כ מבקש להסדיר את פעילותו של גוף זה - שאף הוא כפוף למשרד ראש הממשלה.

עיקר הביקורת: סמכויות שהיקפן נרחב ועמום

מאז גובש תזכיר החוק, ואף לפני פרסומו ביוני השנה, שורה ארוכה של גורמים בממשלה, באקדמיה ובעולם הסייבר מתחו ביקורת על החוק המוצע, בין אם באמצעי התקשורת ובין אם בשיחות רקע. הביקורת התמקדה בכך שאף על פי שיש לעוסקים בנושא אמון בראשי המערך הנוכחיים, הם מודאגים מהיקף הסמכויות שניתנות לגוף בחוק באופן שמעורר דאגה ל"יום שאחרי". לטענתם היקף הסמכויות המפורשות, לצד אי-בהירות בנוגע לעומק והיקף הסמכויות המנוסחות באופן פתוח ועמום, והיעדר מנגנוני ביקורת ובקרה ברורים ובעלי שיניים - מעמידים את ישראל בפני סכנה שתחת הנהגה עתידית עלול להווצר "שב"כ סייבר", שסמכויותיו יהיו בלתי מוגבלות באופן שעלול לדרדר את ישראל לסוג של "אירן דיגיטלית".

על פי גורמים המעורים בנושא, הנקודות שבהן הושגה עתה התקדמות, חופפות את הדרישות לתיקונים שעלו ביוזמת משרד המשפטים. לדבריהם, יש לעקוב עתה אחר יישום ההסכמות ושינוי הנוסחים בתזכיר החוק, אם כי יש לשער שהוא לא יעלה לאישור ועדת שרים לחקיקה לפני הבחירות הקרובות.

על פי אותם גורמים מדובר בהתפתחות מבורכת, אך תידרש עוד עבודה רבה על התזכיר בטרם יוצאו ממנו כל הסעיפים הבעייתיים, ובראשם הכפפת מערך הסייבר ישירות לראש הממשלה, הגדרתו כגוף ביטחוני מבצעי, והעובדה שעל פי התזכיר הנוכחי כל יתר הרגולטורים במדינה יהיה כפופים במדרג הסמכויות למערך הסייבר.

ממערך הסייבר סרבו להגיב והפנו אותנו להתאחדות התעשיינים, אולם עו"ד אשכנזי הגיב לאחרונה באריכות לביקורת שמושמעת נגד תזכיר החוק. בכנס בנושא ניהול אירועי אבטחה שהתקיים בסוף אוקטובר במשרד עורכי הדין פרל כהן צדק לצר ברץ בהנחיית עו"ד חיים רביה, התייחס עו"ד אשכנזי לסוגיית סמכות הכניסה של מערך הסייבר לארגונים.

עו"ד אשכנזי טען כי בניגוד לרשויות אכיפה רגולציה אחרות אין למערך הסייבר סמכות להיכנס בכוח: "אם אנחנו מגיעים למקום, מזדהים ולא רוצים להכניס אותנו, אין לנו יכולת להיכנס בכוח, אין לנו יכולת לעכב את מי שמפריע לנו, לעצור אותו או לתשאל אותו ובוודאי שלא לערוך חיפוש במקום, שזו אחת הסמכויות הכי פוגעניות. ייתכן שאנשים התבלבלו בגלל המונח 'תפיסת חפץ': אולי אנחנו שם, אבל אנחנו לא עושים חיפושים. אין לנו אינטרס לבצע פעולות שבמובהק הן נגד האינטרס של הארגון. החוק המוצע מחייב כל הזמן לעשות בדיקה איזה כלי עומדים להפעיל והאם יש חלופה אחרת. כמו כן יש להניח שכל דבר כזה יגיע גם לייעוץ משפטי, לפחות בהתחלה, או יוסדר בנהלים".

"נתנו את הכלים, הארגונים רק צריכים לעתור" 

אשכנזי ניסה להרגיע את המבקרים בהסבירו את ההיגיון שעמד בפניו בעת שניסח את החוק. לטענתו, החוק דווקא מפורט מאד ואינו עמום כלל: "המשפט המנהלי נולד כעתירות של ארגונים מעוצבנים נגד השלטון, ומה שאנחנו עושים פה זה נותנים לארגונים האלה את מירב המידע שיאפשר להם להתמודד עם השלטון ביום פקודה. אנחנו נותנים להם את כל המידע הרלוונטי כדי שהם יבינו האם מה שהשלטון מציע כרגע רלוונטי ונדרש או אולי מאיים, מסוכן, מוגזם או שרירותי, או יש בו משום הפעלת סמכות בצורה לא מידתית שלא קשורה למטרה, שמכבידה על הארגון, פוגעת בפרטיות וכל יתר השיקולים שכתבנו בחקיקה הראשית. עשינו להם הכנה והם רק צריכים לעתור. לדבר הזה יש כמובן אפקט מאוד מרסן עלינו כי כמו כל רשות מנהלית אנחנו לא אוהבים עתירות". כלומר, מבחינת אשכנזי  החוק מזכיר נקודות פרטניות ומקרים נקודתיים שעשויים לצוץ בהמשך, וכיוון שכך הוא מקל על ארגונים שייתקלו בבעיה, כיוון שהם יוכלו להגיש עתירה המתייחסת לדוגמאות ספציפיות בחוק ולהבין טוב יותר את כוונת המחוקק.

אשכנזי הדגיש עוד כי "אין ניגוד עניינים בינינו לבין הארגונים. לא באנו לעשות פיקוח על רמת הגנת הפרטיות שלו, לא כל עוד הארגון מציית לחוזר החדש של רשות ניירות ערך בנושא הגנת סייבר. מטרתו של מערך הסייבר היא לעזור לתקיפה להיעצר, על מנת שלא תדביק את יתר המשק הישראלי או גורמים אחרים שחשובים לנו".