טיוטת גילוי דעת - שיתוף מידע להתמודדות עם איומי סייבר

רשות ההגבלים העסקיים פרסמה אתמול טיוטה של גילוי דעת בענין שיתוף מידע להתמודדות עם איומי סייבר. בין השאר קובעת הטיוטה כי כאשר חברה משתפת במידע, עליה להעמידו לרשות כל הפועלים בתחום אלא אם קיימת הצדקה עניינית שלא לעשות זאת, מפני שאחרת הסירוב עלול לפגוע בתחרות ולהוות כשלעצמו הסדר כובל.

רשות ההגבלים העסקיים מכירה בצורך של גופים וארגונים לשתף ביניהם מידע על מנת להתמודד מול איומי הסייבר המתגברים בשנים האחרונות, והצורך להגן על תשתיות חשובות במדינת ישראל באמצעות שיתופי פעולה אלה.

מתקפות הסייבר התפתחו בשנים האחרונות והפכו להיות מורכבות ומשוכללות יותר. דרכי ההתמודדות שמות דגש על מניעה מראש של המתקפה, באמצעות איתור חולשות במערכות, איתור איומי סייבר פוטנציאליים ופעולות מנע נוספות.

מכיוון שאיומי הסייבר מציבים אתגרים משמעותיים, קמו בעולם גופים ומערכות לשיתוף מידע בין ארגוני סייבר לצורך קבלת תמונה מיטבית של איומי הסייבר, וכן לצורך שיתוף במידע אודות איומי סייבר שהתרחשו או שעשויים להתרחש בארגונים אחרים. בישראל הוקם המרכז הלאומי להתמודדות עם איומי סייבר (CERT) אשר ייסד מערכת לשיתוף מידע בעל ערך אבטחתי בין גופים שונים. בעתיד צופה רשות ההגבלים כי יוקמו מערכות נוספות לשיתוף מידע בעל ערך אבטחתי.

אולם, שיתוף המידע בין מתחרים עשוי להוות, בנסיבות מסוימות, הסדר כובל על פי חוק ההגבלים העסקיים, התשמ"ח-1988, ובכך להפוך את משתפי המידע למפרי חוק, על כלל המשמעויות הפליליות והאזרחיות שיש לכך.

טיוטת גילוי הדעת כוללת שיקולים תחרותיים שיאפשרו את שיתוף הפעולה, תוך צמצום החשש התחרותי. עו"ד דר. חגית בולמש, הממונה על תחום ההגבלים העסקיים במשרד פרל כהן צדק לצר ברץ, שדיווחה על הטיוטה, סוקרת את עיקריה:

  • סוג המידע המועבר: הרשות הבהירה מהו המידע ששיתופו לא יהווה הפרה של דיני ההגבלים העסקיים. שיתוף במידע בעל ערך אבטחתי, ובכלל זה מידע הנדרש לצורך הגנת סייבר, כגון מידע אודות איומי סייבר, סממנים, חולשות, פוגענים ונוזקות וכן מתודולוגיות וכלי התמודדות עם איומי סייבר – לא יהווה הפרה של החוק, גם אם העברת המידע נעשית בין מתחרים. המידע אינו יכול לכלול מידע הנוגע לפעילות העסקית של הצדדים ומידע רגיש תחרותית אלא מידע שמטרתו הגנה הנדרשת לצורך הגנת סייבר.
  • גישה חופשית למערכות שיתוף מידע: ככל שגופים משתפים במידע שעוזר להם לשפר את יכולות ההתמודדות שלהם עם איומי סייבר ולייעל את מערך ההגנה שלהם, יש לאפשר גישה למערכות שיתוף המידע לכל הגופים שהמידע רלוונטי עבורם (בשים לה למאפיינים הרלבנטיים של אותם גופים, כגון תחומי הפעילות שלהם, היקפי פעילותם וכיו'), אלא אם קיימת הצדקה סבירה למנוע גישה זו. מניעת גישה ללא הצדקה סבירה עלולה להשאיר את הגופים שלא ישתתפו בנחיתות תחרותית אל מול המתחרים ובכך עלולה להביא לפגיעה בתחרות, לחסום את הכניסה לשוק ולמנוע כניסת גופים חדשים לתחום, ועל כן להוות, כשלעצמה, הסדר כובל.