חברות התקשורת יחויבו לספק הגנת סייבר ללקוחות
חברות התקשורת יחויבו לספק הגנת סייבר ללקוחות
השר הנדל הוציא לשימוע הנחיות חדשות שמטילות את האחריות על הגנת הסייבר על חברות התקשורת. סעיפי האסדרה המוצעת גובשו בשיתוף עם גופי הביטחון ורשות הסייבר
משרד התקשורת הוציא היום (א') לשימוע הנחיות חדשות, לקראת תיקון הרישיונות של חברות התקשורת, כך שהן יחויבו לספק הגנה על הלקוחות מפני מתקפות סייבר.
במשרד התקשורת ציינו כי שירותי התקשורת הם שירותים חיוניים, שסדירותם, היקפם וטיבם בעלי חשיבות מרכזי לציבור ולמשק בזמני שגרה ובחירום וכי הסיכונים שנובעים ממתקפות סייבר הם פגיעה או השבתה של השירותים, פגיעה בנתונים המכילים מידע רגיש והשפעה פוטנציאלית על תשתיות קריטיות.
נכון להיום חברות התקשורת אינן מחויבות בחוק להכין וליישם תוכניות להגנת סייבר ואין רגולציה אחודה על התחום. במשרד התקשורת שואפים לקבוע הוראות להיערכות ולניהול מערך ההגנה, כך שהסיכון ממתקפות כאלו ייקטן, כמו גם הפגיעה הפוטנציאלית. יש לציין כי כבר היום חברות התקשורת כפופות להוראות רח"ל (רשות החירום הלאומית) וגופי הביטחון השונים).
לצורך האסדרה החדשה כך גיבש הצוות המקצועי במשרד, ביחד עם רשות הסייבר הלאומי ומערכת הביטחון מספר יעדים, בהם הגנה על רשת התקשורת ושילוב מנגנוני פיקוח, ניטור, ובקרה המאפשרים לבסס תמונת מצב עדכנית של הגנת הסייבר תוך דאגה לפרטיות המידע, שלמות הנתונים וזמינות השירותים; שמירה על עדכניות ורלוונטיות התוכנית; התמודדות עם אירועי סייבר כולל זיהוי האירוע, הכלה, התאוששות וחזרה לשגרה; יצירת מנגנוני ונוהלי דיווח לגורמים בתוך ומחוץ לארגון; וכן הטמעה ותרגול התוכנית בקרב המנהלים, העובדים, הספקים וקבלני המשנה של בעל הרישיון.
עבודת הכנה שקיים הדרג המקצועי במשרד התקשורת בחנה מה נעשה במקומות אחרים בעולם. כך למשל באירופה אומץ כבר בדצמבר 2018 קוד EECC שמאחד הנחיות קודמות בנושא ובמסגרתו קיימות גם דרישות אבטחה מספקי תקשורת אלקטרוני החל מדצמבר 2020. בין היתר דואג ה-EECC לרציפות תפקודית של השירותים, כאשר האחריות היא על המפעילים עצמם.
באוסטרליה מנגד קיימות הנחיות מנהליות אך אלה אינן מפרטות כיצד חברות הטלקום נדרשות להגן על הרשתות שלהן. בארה"ב אין התערבות רגולטורית משמעותית והנושא נמצא בידי המפעילים עצמם. במשרד התקשורת מציינים כי עם הפריסה של רשתות דור 5 ברחבי המדינה, נשמעים קולות שקוראים להתערבות רגולטורית של ה-FCC (רשות התקשורת הפדרלית).
שר התקשורת, יועז הנדל, ציין כי "מתקפות הסייבר על מדינת ישראל הן עובדה מוגמרת ואיום אסטרטגי. גורמים שונים לרבות מדינתיים מזהים את תשתיות התקשורת כיעד מועדף. מתקפה מוצלחת עלולה לגרום לשיבושים ונזקים משמעותיים. כחלק מההכנות של המדינה ובתיאום עם מערך הסייבר ומערכת הביטחון אנחנו יוצאים לשימוע על רגולציית ההגנה מפני מתקפות בחברות התקשורת. למרות שמדובר בחברות פרטיות הן מהוות תשתית לאומית בשגרה וחירום. מטרת הרגולציה היא לסייע לזיהוי, איתור ועצירה של מתקפות, לפני נזק ממשי. אין ברירה מלבד הגנה על תשתיות חיוניות".
מנכ"לית משרד התקשורת, לירן אבישר בן-חורין הוסיפה: "בעולם הדור החמישי, ולא רק, יהיה על בעלי רישיונות תקשורת, שהן ערוץ להתקפות על משתמשים אסטרטגיים ורגישים ועל המידע של הציבור הרחב, להצטייד ביכולות הערכות הגנה והתאוששות מהטובות שיש".