משרד ראש הממשלה פרסם היום את תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי, התשע"ח-2018. התזכיר מיועד להסדיר את ייעודו, תפקידיו וסמכויותיו של מערך הסייבר במטרה להתמודד עם איומי הסייבר על המדינה. לצורך זה הוא מקנה למערך, הכפוף במישרין לראש הממשלה, סמכויות מרחיקות לכת וחסרות תקדים המשליכות על כל גוף במשק הישראלי, ומרחיב אגב כך גם את סמכויות שירות הבטחון הכללי.
התזכיר קובע כי מערך הסייבר הלאומי יפעיל מערך גילוי וזיהוי בתחום הגנת הסייבר לצורך גילוי מוקדם של תקיפות סייבר וסיוע בהתמודדות עמן. המידע שייאסף ויעובד במערך הגילוי והזיהוי ישמש למטרה זו בלבד. המערך יכלול משרדי ממשלה, גופים מבוקרים, גופים וחברות המנויים בתוספת לחוק להסדרת בטחון בגופים ציבוריים (חברות תקשורת, תשתית, תעשיות כימיה ועוד).
בכל הנוגע לכלל הארגונים במשק, למערך תהיינה על-פי תזכיר החוק סמכויות מרחיקות לכת לביצוע תפקידיו -
- הוא רשאי לדרוש מכל ארגון כל ידיעה או מסמך, ובכלל זה עותק של חומר מחשב, הנדרשים לצורך איתור תקיפת הסייבר, התמודדות עמה או מניעתה.
- עובד מוסמך של המערך רשאי להיכנס למקום אם היה לו יסוד סביר להניח שבמקום נמצא מחשב או חומר מחשב שבו מידע בעל ערך אבטחתי הדרוש לצורך איתור תקיפת הסייבר, התמודדות עמה או מניעתה. מכוח הוראה זו ניתן להיכנס למשרדי כל חברה או ארגון ואף לבתים פרטיים.
- הוא רשאי לתפוס חפץ שיש לו יסוד סביר להניח שיש בו מידע בעל ערך אבטחתי, שבדיקתו המידית נדרשת לצורך איתור תקיפת הסייבר, התמודדות עמה או מניעתה. חפץ כולל בהגדרתו המקובלת בפסיקה גם כל מידע ומסמך.
- הוא רשאי לתת לארגון הוראות, ובכלל זה הוראות לגבי ביצוע פעולות בחומר מחשב של הארגון, לצורך איתור תקיפת הסייבר, התמודדות עמה או מניעתה. במילים אחרות, למערך הסייבר יש סמכות לתת לארגונים הוראה מה לעשות במערכות המחשב שלהם.
- מסמכויות אלה יוקנו על פי התזכיר גם לשב"כ לצורך סיכול פעולות טרור וריגול.
- שופט בית משפט השלום רשאי להתיר בצו לעובד מוסמך של מערך הסייבר הלאומי לבצע פעולה במחשב או בחומר מחשב, אם שוכנע כי יש יסוד סביר להניח כי מתרחשת תקיפת סייבר או שיש איום סייבר שכתוצאה מהם עלולה להיגרם פגיעה באינטרס חיוני. כלומר, המערך רשאי יהיה מכוח הצו לפעול בכוחות עצמו במערכות המחשב של כל ארגון במשק הישראלי.
- שופט בית המשפט השלום רשאי להתיר בצו, לצורך בקרה מדגמית, ביצוע פעולה במחשב או בחומר מחשב של ארגון אם סבר כי יש סיכוי של ממש לאתר באמצעותן תקיפת סייבר בארגון, בשים לב למאפייני הפעילות בארגון.
ראש מערך הסייבר הלאומי רשאי להעביר מידע שנאסף מכוח סמכויות רחבות אלה לגופים בינלאומיים. גם אם תזכיר החוק מבקש להגדיר זאת על דרך השלילה, זו תוצאת הסעיף הבא בו – " לא יועבר מידע מוגן לגוף בינלאומי אלא אם כן מדובר במידע בעל ערך אבטחתי ושוכנע ראש המערך, לאחר שנועץ במפקח הפנימי על הפרטיות, כי הוא ישמש אך ורק למטרה שלשמה נמסר".
ביחד עם סמכויות אלה כולל תזכיר החוק הוראות המבקשות להגן על הפרטיות במידע שנאסף במערך (אך לא על ערכים אחרים בהכרח, כדוגמת סודיות מסחריים או חסיון מפני הפללה). במסגרת זאת מורה התזכיר כי ראש המערך נדרש לעצב את מערכותיו באופן שייאסף ויישמר רק המידע המינימלי הנדרש לתפקידו והוא יעובד ככל הניתן באופן בלתי מזוהה, "ככל הניתן באופן אוטומטי או ללא שהוא חשוף לאדם" ועוד. במערך ימונה בין השאר מפקח פרטיות פנימי שיהיה אחראי על יישום הוראות חוק הגנת הפרטיות.
עובדי המערך מחויבים בסודיות ונאסר עליהם לגלות מידע "אלא בהתאם להוראות חוק זה, או לצורך הליך פלילי בשל עבירה חמורה או בשל הפרעה לעובד ציבור" – במילים אחרות, אם מכוח סמכויות המערך נחשף מידע המלמד על ביצוע עבירה פלילית, רשאי המערך להעבירו למשטרה, לדוגמה. במקביל מורה התזכיר כי מידע שנמסר למערך בהסכמה לא ישמש כראיה כנגד מוסרו בהליך אזרחי, מנהלי או פלילי "למעט בעבירות שקבע שר המשפטים בתוספת הראשונה לחוק". גם פה אין אפוא חסינות מוחלטת.
אגב עובדי המערך, נאסר עליהם להיות חברים בארגון עובדים. הוקנתה לעובדים במערך חסינות מאחריות פלילית או אזרחית למעשה או למחדל שעשו בתום לב ובאופן סביר במסגרת תפקידם ולשם מילויו.
ועדת חמישה בראשות שופט בדימוס תמונה לפקח על פעילות המערך ותגיש אחת לשנה דו"ח לראש הממשלה. עם זה אין הממשלה מחויבת לדון בדו"ח ומבחינה זו התזכיר מחייב את ממשלת ישראל להרבה פחות מכפי שהוא מבקש לחייב דירקטוריונים של חברות במשק: התזכיר מחייב דירקטוריון חברה מסוג שקבע ראש הממשלה בהתייעצות עם שר המשפטים לדון לפחות אחת לשנה באלה באיומי הסייבר לפעילות החברה, הנזק העלול להיגרם מהם המשאבים שהוקצו לצמצום החשיפה ועוד. מכל אלה ממשלת ישראל פטורה בהקשר הלאומי.
המועד האחרון להעברת הערות לתזכיר החוק הוא 11 ביולי השנה.