$
דו"ח טכנולוגי

דו"ח טכנולוגי

חוק הסייבר חוזר - תגידו שלום לפרטיות

הטיוטה העדכנית של חוק הסייבר מטרידה במיוחד. היא מעניקה סמכויות רחבות ללא פיקוח מספק והופכת את השב"כ לגורם משמעותי בעבודה מול גופים אזרחיים, שאינם חשודים בדבר. נראה כי השימוש בשירות הביטחון במסגרת המאמצים להגבלת התפשטות הקורונה לא היה מקרה חד פעמי, אלא תחילתו של מדרון חלקלק

עומר כביר 21:0128.02.21

כשכתבתי אתמול בערב ב"כלכליסט" על מותה של הפרטיות בישראל, על כך שבשם המלחמה בקורונה מקודמים פתרונות טכנולוגיים ומהלכים שיעילותם מוטלת בספק אך שפגיעתם בזכות לפרטיות מוחשית, הזהרתי שמדובר בשינוי פרדיגמה ביחס המדינה לפרטיות, שמעמדה של זכות זו שגם כך לא היה מזהיר ספג מכה משמעותית, שאת הפגיעה כולנו נרגיש עוד הרבה זמן. "את המחיר נשלם כולנו, הרבה אחרי שהקורונה תיכנס לספרי ההיסטוריה", הזהרתי, ולא חשבתי שמהר כל כך אזכה לאישוש משמעותי כל כך, מובהק ומטריד כל כך לחשש הזה. אישוש שמשלב לסערה מושלמת את כל החששות שהתעוררו סביב הפגיעה בפרטיות בשנה האחרונה: מינוף פחדים כדי להצדיק מהלכים דורסניים, שימוש בקורונה כצידוק (במקרה זה מופרך לחלוטין) לפגיעה בזכויות שונות, והרחבת הפעילות של השב"כ נגד מטרות אזרחיות בישראל, שהחלה לראשונה עם השימוש בכלי המעקב של הארגון נגד אזרחים בשנה שעברה.

 

 

האישוש המדובר התקבל בדמות טיוטת הצעת חוק הגנת הסייבר ומערך הסייבר הלאומי, שנחשפה בסוף השבוע, ושהיתה עתידה לעלות היום לדיון בממשלה (שלפי דיווחים יידחה לשבוע הבא בגלל התנגדות משרדי ממשלה). היא מבוססת על תזכיר הצעת החוק, שאמור להסדיר את פעילות מערך הסייבר, פורסם לראשונה ב-2018, ועורר ביקורת רבה בגין סמכויות קיצוניות שהוא מעניק לעובדי מדינה להיכנס לארגונים, לבקש מידע ולהחרים ציוד, במקרים מסוימים ללא צו בית משפט.

 

הטיוטה הנוכחית מצומצמת משמעותית בהיקפה, אינה מסדירה את כל פעילות המערך ומתמקדת בעיקר בהתמודדות עם מתקפות סייבר. ואף שבהיבטים מסוימים הסמכויות שהיא מעניקה למערך מוגבלות יותר, היא מטרידה לא פחות שכן היא עדיין מעניקה סמכויות רחבות ללא פיקוח מספק ובעיקר מכיוון שהיא הופכת את השב"כ לגורם משמעותי בעבודה מול גופים אזרחיים, שאינם חשודים בדבר, באופן שמצביע על כך שהשימוש בשב"כ במסגרת המאמצים להגבלת התפשטות הקורונה לא היה מקרה חד פעמי, אלא תחילתו של מדרון חלקלק.

 

מימין: ראש השב"כ נדב ארגמן וראש הממשלה בנימין נתניהו מימין: ראש השב"כ נדב ארגמן וראש הממשלה בנימין נתניהו צילום: אוהד צויגנברג, אלעד גרשגורן

 

 

טיוטת החוק, שמחוקקת כהוראת שעה לתקופה של שנתיים, מתמקדת בעיקר בהגנה מפני תקיפות סייבר, ובכמה היבטים היא מרחיבה את חופש הפעולה שהיה סביב סוגיה זו בתזכיר החוק מ-2018. כך, למשל, היא מרחיבה את ההגדרה של "אינטרס חיוני" כאשר לצד סעיפים כמו כלכלת המדינה וחיי אדם כוללת עתה גם הגדרות רחבות יותר כמו "מניעת פגיעה חמורה בשלום הציבור" (במקום "ביטחון המדינה" המצומצם יותר), "הגנה על הסביבה" (במקום "מניעת סכנה ניכרת לסביבה") ובריאות הציבור או בטיחותו ("במקום מניעת סכנה לבריאות הציבור") - מדובר בהגדרות כלליות שמגדילות את מנעד המקרים שבהם מערך הסייבר והשב"כ יכולים להתערב בפעילות אבטחת המידע של ארגונים.

 

כן היא מכלילה תחת סמכויות מערך הסייבר כל "ארגון שמקיים פעילות חיונית". גם כאן ההגדרות רחבות, כמו ארגון שמקיים "פעילות בעלת מאפיינים ציבוריים הנוגעים לכלל הציבור או לחלק משמעותי ממנו, והיא נדרשת לקיום אספקה חיונית או שירותים חיוניים", או ארגון ששירותיו "מהווים תשתית מיחשובית או תשתית תקשורת לניהול נכסי המדינה ומשאביה". סעיפים אלו מכסים, בין השאר, את כל ספקיות התקשורת בישראל ומכפיפים אותם במקרים מסוימים למערך הסייבר ולשב"כ.

 

כיום, אין למערך הסייבר סמכות להורות לגופים עסקיים/אזרחיים לנקוט בפעולות מסוימות כדי להתגונן ממתקפת סייבר. הוא יכול לפנות, לייעץ ולבקש, אך הגוף לא חייב להקשיב. לפי הטיוטה, אם תאושר הצעת החוק יוכל המערך להורות לארגון שמקיים פעילות חיונית לבצע הנחיות מקצועיות שלו תחת תנאים מסוימים. סוג הוראות זה אינו מפורט בטיוטה. בנוסף, יכול מערך הסייבר לבקש צו בית משפט שמתיר לעובד מטעמו לבצע בעצמו פעולות הכנת סייבר בארגון, כולל כניסה למקום הארגון והחרמת חפצים, ובמקרים מסוימים גם איסוף מידע מוגן פרטיות, במקרה שהארגון מסרב לציית להוראות המערך. כלומר, עובד ממשלה יוכל לקבל כוח להיכנס למשרדי גוף אזרחי או עסק, להשתמש במערכות המחשוב שלהם, לשנות הגדרות, להתקין תוכנות ואף להחרים מחשבים או ציוד אחר.

 

ראש מערך הסייבר הלאומי, יגאל אונא ראש מערך הסייבר הלאומי, יגאל אונא צילום: תומי הרפז

 

 

מדובר אמנם בהוראות שמספקות מרחב פעילות מצומצם יותר מתזכיר החוק מ-2018, שהתיר במקרים מסוימים ביצוע פעולות דומות גם ללא צורך בצו בית משפט. ואולם, כפי שלמדנו מצו איסור הפרסום שהוצא על חקירת אסון הזפת בחופי ישראל, בתי משפט משמשים פעמים רבות כחותמת גומי לבקשות רשויות, ולא קוראים או לא טורחים לבקש מהן מסמכים ופירוטים רלוונטיים. כלומר, עצם הצורך בצו בית משפט אינו בטוחה שלא ייעשה שימוש ענייני או ניצול לרעה של היכולות המחמירות שיאפשר חוק זה.

 

היבט אחר, חמור יותר, הוא השילוב של השב"כ בתהליך העבודה, ללא מנגנוני הגנה ראויים. לפי הטיוטה, גורם אחראי במערך הסייבר יוכל לפנות לשב"כ או לספק אינטרנט על מנת לקבל מידע אודות זהות לקוח ופרטי התקשרות עמו (שם, מען, מספר טלפון וכתובת אימייל), אם בידיו מידע שלפיו מחשבי הלקוח (לפי החוק, לא מדובר במשתמש יחיד, אך אין פירוט מעבר לכך) נמצאים בסיכון או שהם נמצאים תחת מתקפת סייבר. השב"כ נדרש להעביר את המידע בתוך 72 שעות. אף שהסעיף מתייחס גם לספקיות אינטרנט, לפי דברי ההסבר של הטיוטה, "ברירת המחדל היא כי המערך יקבל מידע זה משירות הביטחון הכללי, המקבל מידע זה בהתאם לייעודו".

 

ואולם, הבונבון האמיתי נמצא בסעיף הבא, שלפיו כל הסמכויות שמקנה החוק למערך הסייבר לתת הוראות לארגון למניעת תקיפת סייבר חמורה ולפנות לבית המשפט על מנת לבקש צו שיתיר לו לבצע פעולות במתקני הארגון (כולל כניסה למתקנים והחרמת חפצים), יהיו נתונות גם לשב"כ במקרה של מתקפת סייבר חמורה. כל שצריך על מנת להפעיל סמכויות אלו הוא אישור של ראש השב"כ, שאמנם נדרש לדווח על כך לראש הממשלה ולראש מערך הסייבר, אך לא נדרש לאישורם.

 

פקחים מחלקים דוחות. הקורונה היא לא אירוע חד פעמי פקחים מחלקים דוחות. הקורונה היא לא אירוע חד פעמי צילום: אלכס קולומויסקי

 

 

כלומר, השב"כ יקבל סמכויות לחלק הוראות מחייבות לגופים אזרחיים, ובמקרים מסוימים יוכל להיכנס עובדיו לארגונים אלו, להשתמש ולשנות את מערכות המחשוב שלהם ואף להחרים אותן או חלקן. מדובר בהמשך הצלילה במדרון החלקלק שנפתח עם השימוש בכלי המעקב של השב"כ נגד אזרחים ישראלים, במסגרת המאמצים להגבלת התפשטות הקורונה. וכמו לפני שנה, גם הפעם משמשת הקורונה כצידוק למהלכים אלו. "בשנה האחרונה, עקב התפרצות משבר הקורונה, רמת הסיכון עלתה במידה ניכרת, בין השאר בשל עלייה חדה בהיקף העבודה מרחוק במגזר הציבורי והפרטי, הרחבת הפעילות בזירה הדיגיטלית ותהליכי דיגיטציה מואצים של שירותים ציבוריים ופרטיים", נכתב בדברי ההסבר לטיוטת הצעת החוק.

 

כשמומחים התריעו בשנה שעברה מכך שהשימוש החריג בשב"כ פותח פתח לשימושים נוספים, היו שהתייחסו לאזהרות אלו בזלזול ותייגו אותם כנביאי זעם רואי שחורות. אבל הזמן הוכיח את צדקתם, כאשר הפעם, אפילו לא בחסות של מקרה חירום מיידי, שוב מורחבות סמכויות השב"כ לספק מידע על גופים אזרחיים ואף לפעול מולם ובהם ישירות. מה שהיה אמור להיות צעד חד-פעמי, זמני והכרחי מכורח הנסיבות, הוא כבר לא חד-פעמי, לא זמני, ולא מחויב המציאות בשום תרחיש משכנע. מקרה נוסף שכזה, וכבר נוכל להכריז על תופעה.

 

היבט אחר הוא הדחיפות הפתאומית שבמסגרתה מקודמת טיוטת החוק, כשישראל ערב בחירות. "לטיוטת החוק השלכות על ארגונים רגישים במשק הישראלי", אמר ל"דו"ח טכנולוגי" עו"ד חיים רביה, ראש קבוצת האינטרנט והסייבר במשרד פרל כהן צדק לצר ברץ, המייצג את אחד הארגונים במשק המתנגדים להצעה במתכונתה הנוכחית. "לא ברורה הדחיפות שמצדיקה הגשתה לדיון פחות מחודש לפני סיום כהונת הכנסת, בזמן שדעתם של חברי הכנסת נתונה לבחירות. הטיוטה חסרה איזונים ובלמים שהיו, גם אם באופן חסר, בתזכיר המלא מ-2018. היא מחייבת דיון מעמיק ויסודי שאי-אפשר לקיימו בזמן קצר ובלחץ כזה".

 

היועץ המשפטי של התנועה לזכויות דיגיטליות, עו"ד יהונתן קלינגר, הזהיר שהוראת חוק מקימה למעשה "מערך נרחב, שמקבל סמכויות כניסה למחשבים של כל אחד מאיתנו, וללא כל פיקוח". הוא הוסיף: "החוק הזה הוא המשך ישיר של הצעות חוק שנתנו לשירותי הביטחון החשאיים שלנו יותר סמכויות, אשר הראו שימוש לרעה, וביחד עם פגיעה שיטתית בפרטיות של אזרחי המדינה. הניסיון להעביר את החוק הזה בתקופת בחירות, ללא כנסת מתפקדת ותוך קיבוע וניהול של הכנסת הבאה לחוק מדאיג במיוחד. הרי אין סיכוי שבחודש ימים, בעת שהם במהלך קמפיין בחירות, יכולים חברי הכנסת להקשיב ולשקול, לבדוק את ההיבטים בחוק ולקבל החלטה אחראית. יותר מכל, מדאיגים שני דברים: העקיפה המוחלטת של חוק נתוני תקשורת, של העברת פרטים מזהים מספקיות תקשורת בצורה מהירה, בלי הגנת הפרטיות שהיתה לנו בחוק נתוני תקשורת (הגם ששם היא לא טובה מספיק) והשימוש באנשי שירות הביטחון, שבכל מקרה מהווים חלק נרחב ממערך הסייבר".

 

הקורונה שינתה הרבה דברים לבלי שוב, ובכל הנוגע לזכות לפרטיות בישראל הולך ומתבהר שזה הנורמלי החדש. אם לא נעשה מעשה, אם לא נבלום את המהלכים ההולכים ומתרבים של פגיעה בפרטיות בשם הקורונה או בעקבות הקורונה, או בלי שום קשר לקורונה, המדרון החלקלק שאנו גולשים בו רק יהפך לחלקלק יותר ולתלול יותר.

x