חוק הסייבר – סקירה והשלכות
8 מאי 2021
חוק הגנת הסייבר ומערך הסייבר הלאומי, אשר מוכר בקרב הציבור הרחב כחוק הסייבר, הינו הצעת חוק אשר מצויה בשלבי חקיקה מתקדמים ונועדה להסדיר את מערך הסייבר. לחוק זה, במידה שיעבור בכנסת, השפעות מרחיקות לכת על חיי היומיום של האזרחים במדינת ישראל. השפעותיו יהיו בין היתר על הנגישות של המידע האישי ביותר שלנו לגופים שונים במדינה וכן על היכולת של גופים כמו השב"כ לתת לארגונים וחברות אזרחיות הוראות בנוגע לפעילותם בתחומי הסייבר.
במאמר זה נסקור בקצרה את חוק הסייבר אשר עומד על הפרק ונעמוד על השלכותיו העיקריות על אנשים וחברות בישראל.
היבטים ארגונים של חוק הסייבר
עוד בטרם נתייחס להשלכות החוק על חיינו, נסביר כי הצעת החוק נוסחה לטובת הקמת מערך הסייבר הלאומי המיועד לשמש כגוף הפועל ומסדיר את אופן ההתמודדות של ישראל למול מתקפות סייבר לצד השב"כ. בהתאם לכך, הצעת החוק מקנה למערך הסייבר סמכויות כגוף ביטחוני ומבצעי.
מעצם ההתייחסות למערך הסייבר כגוף מבצעי, ניתן להבין כי טיוטת החוק מתייחסת גם לזירת הסייבר כזירה ביטחונית ומבצעית. התייחסות זו עלולה לגרור הענקת סמכויות נרחבות לגופים המבצעיים על חשבון זכויות הפרט.
הגנה מפני מתקפות סייבר
בצל העלייה בכמות מתקפות הסייבר שבגינה הוקם המערך, אחד הדברים העיקריים אשר חוק הגנת הסייבר מסדיר הוא את פעילותם של ארגוני המדינה השונים על מנת להתגונן ממתקפות סייבר, אשר הפכו נפוצות ברחבי העולם ובישראל בפרט בשל מעמדה הפוליטי הרגיש. למתקפות סייבר אלו השלכות קשות על ישראלים בשנים האחרונות, ביניהן ניתן למנות חשיפת מספרי כרטיסי אשראי ופרסום חשבונות בנק פרטיים של ישראלים.
בתוך כך, מאפשר החוק למערך הסייבר הלאומי ולשב"כ לתת הוראות לארגונים שונים, כולל גופים פרטיים ואזרחיים, בנוגע לאופן אשר עליהם לפעול למול התקפת סייבר. גופים אלו יכולים בהרשאת בית המשפט לפעול ישירות במערכות המחשב והאינטרנט של גופים וגורמים אזרחיים המצויים תחת מתקפה.
החוק נותן לשב"כ את הסמכות לפעול באופן ישיר לטובת הגנה על ארגונים אשר מקיימים פעילות חיונית הדרושה לשם שמירה על שלום הציבור, כגון ארגונים העוסקים בהגנה על הסביבה, בריאות הציבור וכלכלת המדינה. ניתן אם כן להניח שהחוק צפוי להעניק סמכויות לפעול במערכות המחשב של בנקים, חברות ביטוח, חברת חשמל, חברות תעופה, קופות חולים, חברות אשראי וכיוצא בזה. ייתכן שככל שהזמן יעבור, יכללו עוד גופים במסגרת החוק, זאת בשל ההגדרה הרחבה של אותם ארגונים בהצעת החוק המדוברת.
בעקבות כך, מידע אישי רב צפוי להיות חשוף במצבים שונים למערך הסייבר ולשב"כ, דבר אשר מעלה חששות בקרב אנשים רבים בנוגע לפרטיות המידע האישי של אזרחי מדינת ישראל המצוי בידי אותם ארגונים.
אילו סוגים של הוראות יכולה המדינה להורות לגופים אזרחיים בעקבות החוק?
אחת השאלות המשמעותיות ביותר בנוגע לחוק הסייבר, היא אילו הוראות מערך הסייבר והשב"כ מוסמכים לתת לחברות וארגונים אזרחיים כאשר הם מעריכים כי צפויה עליהם מתקפת סייבר?
החוק מעניק את הסמכות להורות לארגון המקיים פעילות חיונית הנחיות שונות אשר אותם ארגונים אזרחיים מחויבים לבצע, אך פירוט ספציפי של אותן הוראות לא מופיע בהצעת החוק. נראה כי הדבר יהיה גמיש והגבולות עלולים להיות מטושטשים. ניתן לשער שההיגיון מאחורי גמישות זו נעוץ במאפייני עולם הסייבר המשתנה תמידית. מאידך, היעדר הוראות ברורות מייצר מציאות בעייתית בה לא ברור מהן הגבולות של אותן הוראות אשר יכולות להיות למעשה כל דבר אותו הגופים המדינתיים רואים לנכון.
במידה ואותן חברות או ארגונים לא ישתפו פעולה עם השב"כ או עם מערך הסייבר, הם יוכלו לפנות באופן ישיר לבית המשפט ולקבל את אישורו לבצע פעולות למול אותם ארגונים. כך בין היתר הם יוכלו לבצע פעולות כמו כניסה פיזית למקום הארגון, החרמת חפצים, התקנת תוכנות, ביצוע הגנות סייבר נדרשות בעיניהם במקום הארגון האזרחי ואיסוף מידע תחת הגנות הפרטיות השונות. אפשרויות אלו יעניקו למדינה גישה חסרת תקדים למידע הנתון בידי גופים אזרחיים אשר אינם עוסקים בסוגיות ביטחוניות.
לסיכום, חוק הסייבר הוא למעשה החוק אשר נועד להסדיר את אופן ההתמודדות של מדינת ישראל עם תקיפות הסייבר של גופים עוינים, הן מדינות והן האקרים וגורמים אנרכיסטיים פרטיים אשר גרמו נזק רב לישראלים רבים בשנים האחרונות. במסגרת כך, החוק מעניק סמכויות נרחבות למערך הסייבר הלאומי ולשב"כ על מנת להתמודד עם איומי תקיפה במרחב הווירטואלי, ובתוך כך מעניק למדינה נגישות למידע אישי של אזרחים, סמכות להורות על גופים פרטיים לחלוטין בנוגע לאופן התגוננותם מפני מתקפות סייבר ואף להטיל סנקציות שונות כמו החרמת מחשבים וביצוע פעולות באופן ישיר במידה ובית המשפט מסכים לכך.