האם חוק הסייבר יוכל למנוע את פרשת NSO הבאה?

מומחים מודים שאין כמעט דרך למנוע לחלוטין מצב של גניבת מידע רגיש בידי עובד • גם החוק המתוכנן, שיספק למערך הסייבר סמכויות נרחבות שמעוררות ביקורת, כנראה לא יפתור את הבעיה הזאת • אם כך, במה הוא כן יעזור?

חוק הסייבר / צילום:  Shutterstock/ א.ס.א.פ קרייטיב
חוק הסייבר / צילום: Shutterstock/ א.ס.א.פ קרייטיב

מחר, ב-11 ביולי, תגיע לסיומה התקופה שהוקצתה לציבור להגיש את השגותיו והערותיו על תזכיר חוק הסייבר, שנועד להסדיר את פעילותו של מערך הסייבר הלאומי - גוף בטחוני, שבדומה לשב"כ כפוף למשרד ראש הממשלה. מערך הסייבר איחד לרשות אחת את פעילותם של שני גופים שהיו פעילים בעבר, מטה הסייבר ורשות הסייבר, שאוחדו ב-2012. הגוף, בראשותו של יגאל אונא, מתנהל מאז מכוח החלטת ממשלה - אך ללא חוק מסודר. החוק המוצע, שנוסח על ידי היועץ המשפטי של הרשות, עמית אשכנזי, אמור להסדיר את פעילות הרשות בדומה לאופן שבו חוק השב"כ מסדיר את פעילותו של גוף זה.

פרשת העובד בחברת NSO, שגנב תוכנת ריגול מקיפה מהחברה בה עבד וניסה למכור אותה ברשת האפלה, מעלה את השאלה: האם וכיצד יכול היה מערך הסייבר של ישראל לסייע במניעת המקרה? האם לאחר שיתקבל חוק הסייבר, שהליך חקיקתו יוצא לדרך בימים אלה ושכבר סופג ביקורת על היותו נרחב מדי, יהיו בידי המדינה סמכויות שיוכלו להפחית את הסיכויים או למנוע הישנות מקרים שכאלה? על פי משפטנים ומומחי סייבר, התשובה לכך שלילית.

"חוק הסייבר לא יעיל נגד עובדים שמחליטים לקחת מידע מהמעסיק שלהם", אומר ל"גלובס" האקר שביקש להישאר בעילום שם, "זה אולי יתאפשר רק אם כל חברה תיתן גישה למדינה לכל מחשב, לכל פורט, לכל מצלמה במשרד. זה כבר מעבר לאח הגדול, וגם אז זה כנראה לא יעבוד".

מערך הסייבר דורש מידע, אך לא אכיפה 

מבקרי חוק הסייבר מזהירים שהנזק שהוא עלול לגרום למרקם החיים הדמוקרטיים יהיה גבוה הרבה יותר מהתועלת לאבטחה. חוק הסייבר בנוסחו הנוכחי חל על יריעה רחבה של גופים בישראל, ולא רק על גופים ממשלתיים ותשתיות אזרחיות קריטיות. כך למשל, אחד הסעיפים המרכזיים בתזכיר החוק מכניס תחת כנפיו את כל הגופים המבוקרים על ידי מבקר המדינה ובכללם ארגוני עובדים. סעיפים אחרים מאפשרים לראש הממשלה ולשר המשפטים להוסיף גופים נוספים על פי שיקול דעתם אם "הארגון מספק שירותים בהיקף משמעותי בישראל, ושיתופו במערך הגילוי והזיהוי יתרום תרומה של ממש לגילוי ולזיהוי של תקיפות סייבר, ולהתמודדות עמן במסגרת הגנת הסייבר".

בהינתן המצב הזה, נשאלת השאלה מה התועלת במתן סמכויות רחבות כל כך למערך הסייבר, אם ככל הנראה אין באפשרותו למנוע את הפרשה הבאה בתחום. על כך עונה בכיר בעולם אבטחת המידע: "מניעה של אירוע מסוג כזה (פרשת NSO) אינה נמצאת בתחום הטיפול הישיר של המערך; המערך, בהיותו גוף מדינתי, יכול לסייע במזעור נזקים, אם כי לא באופן מלא ולא לבדו. לעומת זאת, המקום שבו המערך יכול לבוא לידי ביטוי באופן המשמעותי ביותר הוא תחת הכובע המכונה 'אסדרה' - כלומר, קביעת מדיניות. הנחיות לגופים המבוקרים, בקרה וסנקציות במקרה הצורך, יכולות לסייע להידוק האבטחה הפנימית, במיוחד בארגונים המוגדרים רגישים. מובן שאז נשארת השאלה הכבדה - אילו גופים יסווגו כרגישים ויוכנסו תחת כנפי ההנחיה, ולא רק תחת הבקרה של המערך על יצוא כלי סייבר. זו שאלה שכרגע המענה עליה חלקי בלבד".

ד"ר מוטי גבע, מנכ"ל סטארט-אפ הסייבר "ברמיזא" ולשעבר איש מטה הסייבר ומקימי ה-CERT (צוות חירום לטיפול באירועי מחשב) הלאומי, שותף לדעה שבכל מצב שהוא מערך הסייבר לא יכול להחליף אחריות ארגונית לאבטחת מידע, במיוחד בחברות רגישות. "לגבי המקרה של NSO, לפי מה שאני מבין ממה שפורסם בתקשורת, הבעיה העיקרית הייתה שמערכות החברה התריעו כאשר העובד חיבר את התקן האחסון בניגוד למדיניות החברה, אבל לא נעשה דבר עם ההתרעות האלה עד לשלב מאוחר מאוד בחקירה שבוצעה בידי החברה. זו נקודת התורפה העיקרית שעליה יש לקהילה המקצועית ביקורת על NSO. 

"מדובר בניטור פנים ארגוני, וחשוב להדגיש שהמערך לא אמור להחליף ניטור כזה, זה לא תפקידו. תפקידו הוא להשתמש בכלים שמדינה יכולה להשיג ואחרים לא - מידע שמוגבל לשחקנים בינלאומיים. מדובר בעיקר באינדיקציות על קיומם של תוקפים שמערכת ארגונית לא תדע לזהות. לכן אירוע כמו NSO (שבו התוקף זוהה בידי המערכת) היא לא תנטר".

איך מערך הסייבר כן מסייע לארגונים?
"רוב הארגונים אומרים לעצמם שהם צריכים להתמודד עם תוקפים אזרחיים - הכוונה לפושעים. התוקף הפושע זה משהו שסביר שהם יצליחו להתמודד איתו. אבל כשזה מגיע למתקפות מצד מדינות, גם בנקים אומרים - 'זה מחוץ ליכולות וההבנה שלנו ואין לנו את הכלים המתאימים'. ואז הם פונים למדינה ואומרים 'בואי את ותגני עלינו'".

אלא שפה, בנקודה שבה הארגונים מבקשים הגנה, הדברים מתחילים להיות מורכבים. "צריך להבחין בין מתקפה לבין תוקף", גבע מסביר, "מערך הסייבר יכול לסייע במניעת או בנטרול התקיפה - המעשה עצמו. השב"כ או המשטרה מוסמכים לטפל בתוקף. אבל מה קורה באמצע? לפי תזכיר החוק יהיו למערך סמכויות לקבל מידע אבל אין לו סמכות אכיפה. זאת אומרת שהוא לא יכול לשים בכלא אדם על סמך מידע אודותיו כפי שרשויות אחרות יכולות לעשות. הרשות לניירות ערך, למשל, יכולה לחקור ולהגיש כתב אישום, וגם לרשות להגנת הפרטיות יש סמכויות אכיפה. המערך, לעומת זאת, לא מבקש סמכויות אכיפה אלא סמכויות לדרוש ולקבל מידע מארגונים בהסכמה.

"השאלה שעולה היא אם מידע שיגיע למערך יזלוג לרשויות האכיפה. האם מותר למערך להעביר מידע? על פי חוק הסייבר משרדי ממשלה ינוטרו, מה שאומר שהמידע על כל האזרחים יגיע למערך במידה כזו או אחרת. התזכיר לא מציין איך הניטור ייראה בפועל אלא מדבר על הסמכות לנטר. התוצאה עלולה להיות ניטור אגרסיבי של כל האזרחים במדינת ישראל".

סכנה לחשיפת סודות מסחריים

עו"ד יהונתן קלינגר מהמרכז לזכויות דיגיטליות, שהיה פעיל בשנים האחרונות במאבקים בולטים להגנה על הפרטיות בעידן הטכנולוגי (המאגר הביומטרי, למשל), ספקן מאוד בנוגע ליכולת של המדינה להציע ערך מוסף מעבר למנגנונים הקיימים שהביאו לתפיסת העובד. "נניח שמערך הסייבר של מדינת ישראל היה מגלה את האירוע לפני NSO, ונניח שעובדי המערך היו יושבים ברשת האפלה ומגלים לא רק שדבר כזה עומד לקרות, אלא שמדובר בעובד החברה. מה היה באפשרותם לעשות? על פי תזכיר החוק הם היו מגיעים למשרדי החברה, תופסים את המחשבים ומשבשים את העבודה התקינה. השאלה היא מה הם יכולים לעשות שהוא שונה וטוב יותר לעומת מה שהחברה עשתה כבר ממילא בעזרת חוקרים פרטיים. אני לא רואה איך חוק הסייבר היה מונע גניבת מידע כזו. אין כמעט דרך למנוע באמצעות סייבר את מה שמכונה 'בעיית העובד'".

כמובן, גם בהקשר לחוק הסייבר קלינגר חושש מתרחיש של פגיעה בפרטיות ואף בדמוקרטיה. "יש הבדל בין מצב ראוי בהחלט, שבו חוקרים מטעם המדינה ינסו לקנות רוגלות ברשת האפלה, לבין מצב שבו רשות הסייבר באה אליך ואומרת שמותקן לך וירוס על המחשב, וכיוון שאתה עובד בעיתון אנחנו רוצים גישה למחשב שלך. הם כמובן יבטיחו שהם לא יחשפו מקורות עיתונאיים, ולא יעבירו את המידע הלאה. 'תסמוך עלינו', הם יגידו".

גבע מסכים: "יש לרשות סמכות לאסוף מידע אבל עדיין לא ברור האם המידע יכול לדלג מחר בבוקר למשטרה. למצדדי הזכות לפרטיות יש קייס להעמיק את הבירור בשאלה מה זה אומר. למיטב ידיעתי, כיום אין למערך סמכות בחקיקה ראשית לפרוס מערך גילוי וזיהוי ולנטר ארגונים, והוא פועל מכוח החלטת ממשלה. פריסת מערך שכזה היא חלק מהסמכויות שהמערך מבקש לקבל בחוק בסעיפים 17-18 בתזכיר. עם זאת, זו פעולה שעלולה להיתפס על ידי הארגונים המנוטרים כסיכון לפרטיות המידע הנמצא בארגון ולסודותיהם המסחריים". 

 ביקורת אחרת ששמענו מגיעה מצד חברות סייבר, שמתחילות להרגיש קצת מיותרות. הן צריכות להתמודד עם תחושה במשק שאם יש מערך סייבר מוסדר, אז החברות צריכות לדאוג פחות לאבטחה.
"המערך לא יגיד אף פעם לארגון לוותר על מערכות פנימיות. מצד שני, חברות סייבר אולי יצטרכו להציע ערך קצת אחר ולדעת למכור את עצמן באופן שונה. הן צריכות לחשוב בהיגיון: הרי אם השוק היה יודע להציע הגנה הרמטית באמצעות כמה מאות אנשים, חברות רב-לאומיות גדולות כמו IBM היו כבר מזמן מקצות לנושא 500 איש ופותרות לכולם את כאב הראש. אבל אני בהחלט מבין את החשש שלהן".