חוק סייבר ישראלי חדש יעניק לממשלה סמכויות קיצוניות ללא פיקוח
לפי הצעת החוק, יוכלו עובדי מדינה לאסוף מידע מארגונים ולהחרים מחשבים ומערכות ללא צו בית משפט, אם זיהו סיכון למתקפה מקוונת. מערך הסייבר הממשלתי יקבל כך כוח שאין אפילו למשטרה, ויפעל ללא פיקוח אמיתי. מתנגדי החוק: "מניחים כאן בסיס לדיקטטורה של מחשבות"
- חוקרים ישראלים גילו פרצת אבטחה באתרי אפל, אמזון ומיקרוסופט
- מבוכה בגוגל: נחשפה פירצה בכרומקאסט וברמקולי גוגל Home
- מחקר: ירידה בהיקף מתקפות סייבר מוצלחות על ארגונים
תזכיר הצעת החוק פורסם רק אתמול ותוכנו עוד יכול להשתנות משמעותית, ואולם לדברי מומחים מדובר במהלך בעייתי שיעניק למדינה סמכויות רבות עם פיקוח דל מדי. "מניחים כאן את הבסיס לדיקטטורה של מחשבות", תקף דורון אופק, מנהל SUSE ישראל ומבכירי התנועה לזכויות דיגיטליות.
אחת הסוגיות הבעייתיות בהצעת החוק עוסקת בסמכויות שיוקנו למערך לטפל בתקיפות ובאיומי אבטחת מידע. לפי חלק זה, במקרה שסבור מערך הסייבר שמתרחשת תקיפה או עלולה להתחרש תקיפה שיכולה לפגוע באינטרס חיוני, יוכל עובד מוסמך לדרוש מכל ארגון חומרים דוגמת מסמכים או חומר מחשב שנדרשים לצורך איתור, התמודדות ומניעת התקיפה.
לצורך כך, מוסמך המערך להורות לארגון למנות איש קשר שיקבל הוראות מטעמו ויעביר את המידע הנדרש למערך או לגורם חיצוני שהוסמך לכך. בנוסף, גורם אחראי במערך רשאי להיכנס למקום אם יש לו יסוד סביר להניח שנמצא שם מחשב או חומר מחשב בעל מידע חיוני. כן רשאי המערך להחרים חפצים אם יש לו יסוד סביר להניח שיש בהם מידע בעל ערך אבטחתי. לשם כך יוכל המערך להורות לאיש הקשר להעביר לרשותו חפץ שנמצא בחזקת או שליטת הארגון.
כל פעולות אלו ניתן לבצע ללא צו שופט, והן נתונות לשיקול דעתו של מערך הסייבר בכמה סייגים קלים: הפעלת הסמכות דרושה לצורך איתור, התמודדות או מניעת מתקפת סייבר, מערך הסייבר שקל את השפעת הפעלת הסמכות על הארגון והזכות לפרטיות ומצא שהיא לא פוגעת בהם יותר מהנדרש. כלומר, למערך הסייבר מוקנות סמכויות שאפילו לא נמצאות בידי המשטרה, והן מופעלות כמעט ללא שום פיקוח חיצוני. הצעת החוק גם מאפשרת למערך להסתייע בפעולות אלו במומחה שאינו עובד ציבור, ובתנאי שעובד מטעם מערך הסייבר יפקח על עבודתו.
עובד מוסמך מטעם מערך הסייבר גם רשאי לתת הוראות לארגון, כולל הוראות לביצוע פעולות בחומר המחשב של הארגון. בעייתי עוד יותר: על הארגון ועובדיו ייאסר לחשוף את תוכן ההוראות שניתנו להם, והמערך אף ראשי להנחות את הארגון כיצד לשמור על חשאיות ההוראות.
רק לפעולות ספורות נדרש צו שופט. אלו כוללות כניסה ללא הסכמה למקום מגורים, ואולם גם זו מוחרגת אם סבור המערך שיש במקום מידע שדרוש למניעת סכנה ממשית ומיידית לשלום הציבור ואין דרך אחרת להשיגו. בנוסף, במקרה שמעוניין המערך להחרים חפץ לתקופה של יותר מ-15 יום יידרש לכך צו שופט.
כן נדרש צו שופט על מנת לאפשר למערך הסייבר לבצע פעולות במחשב או בחומר מחשב לצורך התמודדות עם תקיפת סייבר, והצעת החוק מפרטת לעומק את הליך בקשת הצו, הדיון והערעור. ואולם, גם כאן יש מסלול עוקף: ראש מערך הסייבר רשאי להפעיל את הסמכות ללא צו שופט (וכל סמכות אחרת שדורשת צו) למשך 24 שעות, אם הדבר דרוש כדי למנוע נזק ממשי לאינטרס חיוני.
חלק אחר בהצעת חוק עוסק, למעשה, בהקמת מאגר מידע להתמודדות עם איומי סייבר שירכז מידע נרחב מגורמים שונים במשק, ובראשן חברות תקשורת ואינטרנט. לפי חלק זה, יוכל מערך הסייבר לאסף מידע בעל ערך אבטחתי, או מידע שעשוי לשמש להפקת ערך אבטחתי, לצורך הקמת מערך לגילוי וזיהוי מוקדם של תקיפות סייבר.
הארגונים מהם ניתן לאסוף מידע למאגר חדש זה כוללים משרדי ממשלה, כל גוף מבוקר לפי חוק מבקר המדינה (רשימה שכוללת חברות ממשלתיות, מפעלות ומוסדים של המדינה, כל אדם או גוף שמחזיק או מנהל רכוש מדינה, רשויות מקומיות, כל גוף שמקבל תמיכה ישירה או עקיפה ממשרדי ממשלה, רשויות מקומיות וחברות ממשלתיות וכל ארגון עובדים), כל הגופים שמצוינים בתוספת החמישית לחוק הסדרת הביטחון (ובהם הבורסה, הנמלים, מגן דוד אדום וחברות בתי הזיקוק), וכל בעלי הרישיון לפי חוק התקשורת – כלומר ספקיות סלולר, אינטרנט וטלוויזיה – אם כי בעבור חלקן דרוש אישור נוסף של קצין מוסמך לפי חוק הסדרת הביטחון.
אבטחת מידע כמשחק "צוללות"
"המטרה שלנו היא שמרחב הסייבר ימשיך להיות מקום של חדשנות, זרימה חופשית של ידע ומקום שבטוח כמו המרחב הציבורי הפיזי", אמר היועץ המשפטי של מערך הסייבר, עו"ד עמית אשכנזי, בכנס מקצועי מועט משתתפים שנערך בסוף מאי בפקולטה למשפטים של אוניברסיטת חיפה. "מדינת ישראל הבינה שיש גופים במשק הישראלי שמשמעותיים לפעילות התקינה של המשק ולאינטרס הציבורי וחשופים לתקיפות סייבר".
בדבריו התייחס אשכנזי לחלק מהסעיפים הבעיתיים בחוק. "יש נגישות של אנשי מדינה למחשבים ורשתות", הוא הודה, והוסיף: "אבל אנחנו לא מתעניינים במה אנשים מדברים אלא במה שעושות המכונות ומי מדבר אתן מבחוץ. לפעמים, כדי להיות מתוחכמים מהתוקף, אנחנו מבקשים לעשות הגנה שקטה, זה קצת כמו משחק צוללות. אנחנו מבינים שמשהו רע קרה ברשת הארגונית אבל לא יודעים איפה התוקף נמצא. צריך לעשות אוסף פעולות ברשת הארגון כדי לאתר אותו".
על מאגר המידע אמר: "אנחנו רוצים להקים את מאגר המידע של סוגי התקיפות, וגם של החיסונים כנגדן. המשימה שלנו היא לקצר את טווח הזמנים בין שאנחנו יודעים על משהו לבין הגעתו למרחב הציבורי כולו".
ואולם, לדברי מומחים הצעת החוק בנוסחה הנוכחי מותירה כוח רב מדי בידי המדינה. "כל הכוונות הטובות הובילו לגיהנום של חקיקה", אמר אופק. "עובד מוסמך של מערך הסייבר, לא שוטר ובלי צו בית משפט, יכול בתנאים מסוימים להיכנס אליכם הביתה ולקחת את המחשב עם כל התמונות וההתכתבויות הכי פרטיות שלכם. יותר מזה, מכיוון שרבים מהחומרים שלנו שמורים בענן, המדינה תוכל לקחת את המידע הזה בלי שאפילו תדעו, תוכל להחרים טלפונים ניידים ולחשוף אותנו עירום ועריה רק על בסיס החלטה של פקיד, שאינו אפילו שוטר. גם במקרים הקיצוניים, בהם נדרש צו שיפוטי, מדובר בשופט שלום, שהוא הערכאה הנמוכה ביותר, שאינה מוסמכת לדון בסוגיות כאלה".
אופק הוסיף: "לוקחים את הסעיפים הכי חמורים, שהשתממשו בהם במשורה עד עתה במאבק בטרור ומחילים אותם על כל אזרחי ישראל, ועל כל החברות והארגונים שקיימים כאן. זו גרורה של הסרטן הביומטרי. המדינה אוגרת ואוגרת מידע עד להתפקע, וביום שהיא תתפקע, אנחנו נשלם את המחיר".
גם אשכנזי עצמו מודע היטב לאופן שבו חוק בעייתי זה עלול להתקבל בציבור. "חלק משמעותי מהשיח הציבורי בנושאי סייבר סובל מאפקט סנודן", הוא אמר בכנס. "המעורבות של המדינה במרחב סייבר מיד נתפסת כ'שוב המדינה נכנסת לתוכן של אזרחים כדי להשפיע על ההתנהגות שלהם ולנטר אותם'. הבעיה בהקשר הזה, היא שכשמדברים בשנים האחרונות על האיומים לפרטיות, רוב רובם נבעו מתקיפות סייבר שהדליפו מידע של אנשים בכמויות עצומות. כמו פרשת אגרון אצלנו, או מידע ביומטרי מנציבות שירות המדינה האמריקאי. הקושי הגדול הוא שהשיח הציברי מוטה לכיוון הסיכונים שנובעים מהמדינה, מבלי לנסות לפרק את הבעיה בצורה יותר מורכבת".