מתקפת הפתע של חמאס ב-7 באוקטובר כללה רובד עליו דובר פחות בשיח הציבורי: רצף של מתקפות סייבר במטרה לשבש ולמנוע העברת מידע חיוני. מאז תחילת מלחמת עזה, כמות האיומים במרחב הדיגיטלי הישראלי הוכפלה. למעשה, בימים אלה מתרחשת אחת ממתקפות הסייבר הגדולות בתולדות מדינת ישראל, בהובלת קבוצת ההאקרים האיראנית טופאן, שהובילה לדליפת מידע משורה של חברות (בחלק המקרים - מידע אישי של כולנו).
על רקע זה, החליט לקדם מערך הסייבר הלאומי תזכיר חוק בנושא התמודדות עם תקיפות סייבר חמורות, שיאפשר לגופי מודיעין להתריע בפני חברות פרטיות אודות חשש לתקיפת סייבר חמורה, ולהעניק הנחיות מחייבות במידה והן מתקשות להתמודד בעצמן עם המתקפה.
גופי מודיעין דוגמת מערך הסייבר הלאומי נדרשים לפעול לילות כימים בכדי להתמודד עם האיומים המרחפים מעל ראשינו, וראוי כי יוקנה להם סל כלים מספק, גם אם הדבר מהווה שינוי תפיסתי של טיב היחסים בינם לבין שוק הטכנולוגיה בישראל, שוק בעל חשיבות אסטרטגית.
בכדי לצמצם פגיעה אפשרית בשוק חשוב זה, על המחוקק להגדיר כללי משחק ברורים להפעלת סמכות חריגה שכזו ולהבהיר את חלוקת הסיכונים והאחריות בין גופי המדינה לשוק הפרטי. הדבר דרוש הן כדי לשמור על האינטרסים של הצדדים והן כדי למנוע בעיות מעשיות בהתמודדות משותפת עם מתקפות סייבר חמורות.
ניכר כי הושקעה חשיבה רבה בהבניית מנגנון הפעולה בתזכיר, בתקווה לצמצם פגיעה כלכלית, הפרעה לרצף תפקודי או איום על זכויות אדם. למשל, התזכיר מפרט שיקולים רלוונטיים, בהם ההשפעה האפשרית על הזכות לפרטיות או על רצף תפקודי של החברה, ומגדיר כי יש לנקוט באמצעי שפגיעתו פחותה. בנוסף, מאחר ומדובר בהוראת שעה, תוקפו של החוק מוגבל לחודש אחרי מועד פקיעת ההכרזה על מצב מיוחד בעורף שהתחיל ב-7 באוקטובר.
ובכל זאת, יש מקום לקדם ודאות רבה יותר לגבי אופן הפעלת הסמכות השלטונית. למשל, לא ברורה ההבחנה בתזכיר החוק בין היקפי הסמכות והאחריות של גופי המודיעין לבין אלו של השוק הפרטי במהלך השלבים השונים של התמודדות עם תקיפת סייבר. עמימות זו משאירה פתח לאי הבנות, תקלות בתקשורת ואף לבעיות מעשיות בהתמודדות עם תקיפת סייבר חמורה לאורך תהליך מורכב (זיהוי ובדיקה ראשוני, בלימת האיום, שיקום וניקוי המערכת, חזרה לשגרה).
הגדרת חלוקת הסמכות והאחריות חשובה ברמה המעשית, במובן של יכולת תפעול של משבר ושל הבהרת התפקיד של כל אחד מהשחקנים הרלוונטיים. בנוסף, הדבר חשוב במובן רחב יותר – בכדי להימנע ממצב בו חברות פרטיות יסתמכו על מערך הסייבר הלאומי ושאר גופי המודיעין, וכתוצאה מכך לא ישקיעו כראוי באמצעי הגנת הסייבר שלהן.
בנוסף, יש מקום לחידודים ביחס לניהול מידע. בפרט, חשוב להגדיר היכן יישמר מידע שייאסף כתוצאה מהפעלת הסמכות החריגה, וכיצד תוודא המדינה הגנה על אותו מידע אישי (גם מפני גניבה וגם מפני שימוש לרעה). כמו כן, חשוב להבהיר באילו מקרים ניתן יהיה להעביר מידע שייאסף כתוצאה מהפעלת הסמכות שבחוק ממאגר מידע ממשלתי אחד לאחר (אם בכלל), ומהו מועד "סיום הטיפול בתקיפת הסייבר החמורה" (כלומר, מתי מסתיימת תקופת ההתערבות אשר לאחריה המדינה מחויבת במחיקת המידע). כמו כן, ראוי לשקול קביעת סנקציה כלפי גורם שלטוני אשר לא יעמוד בדרישה זו.
לבסוף, ברוח שיתוף הפעולה הנדרש מחברות, ראוי לשקול יצירת מנגנון ערעור שיאפשר התמודדות עם אי הבנות או חילוקי דעות. מנגנון שכזה נחוץ על מנת לאזן בין האינטרסים וההבנה המקצועית של השחקנים המעורבים, ובכדי לסמן את הדרך קדימה ביחסים בין המדינה לשוק הפרטי הטכנולוגי. בעוד מדובר בהוראת שעה, לא ניתן לשלול אפשרות שמהלך זה יהפוך לסוג של "פיילוט" במבט קדימה, או שהזמני יהפוך לקבוע במסגרת מאבק רב-זירתי ארוך שמדינת ישראל מובילה נגד אויביה.
ד"ר טל מימרן הוא ראש תוכנית במכון תכלית, עו"ד עדן פרבר היא חוקרת במכון תכלית
הוקלט ע"י הספריה המרכזית לעיוורים ולבעלי לקויות קריאה