טיוטת חוק שתובא לועדת השרים - סמכויות מרחיקות לכת לשב"כ ולמערך הסייבר

[עדכון: בשל התנגדות נרחבת במשרדי הממשלה להצעת החוק, הדיון בה בוועדת השרים לחקיקה נדחה בשבוע. מדווח: שאול אמסטרדמסקי (כאן 11)]

מערך הסייבר הלאומי והשב"כ יהיו רשאים לתת הוראות לארגונים פרטיים וציבוריים בישראל כיצד להיערך להתקפת סייבר ולהתגונן מפניה ואף לקבל בצו בית משפט גישה ישירה למערכות המחשב של חברות וארגונים בישראל כדי לפעול בהן בעצמם. סמכויות מרחיקות-לכת אלה מקנה להם טיוטת חוק הגנת הסייבר ומערך הסייבר הלאומי (סמכויות לצורך חיזוק הגנת הסייבר) (הוראת שעה), התשפ"א-2021 שתובא היום לאישור ועדת השרים לחקיקה.

החוק מיועד לעמוד בתוקף למשך שנתיים, כהוראת שעה, ודברי ההסבר לו תולים את הצורך בו בכך ש"בשנה האחרונה, עקב התפרצות משבר הקורונה, רמת הסיכון עלתה במידה ניכרת, בין השאר בשל עלייה חדה בהיקף העבודה מרחוק במגזר הציבורי והפרטי, הרחבת הפעילות בזירה הדיגיטלית ותהליכי דיגיטציה מואצים של שירותים ציבוריים ופרטיים".

על-פי טיוטת החוק שתובא לאישור ועדת השרים, מערך הסייבר הלאומי רשאי לתת לארגון הנחיות מקצועיות להיערכות לתקיפת סייבר, לאחר שנתן לארגון הזדמנות להשמיע טענותיו, אם השתכנע שהארגון מקיים פעילות חיונית, כי קיימת בו פרצת אבטחה קריטית והארגון אינו מטפל בה ותקיפת סייבר נגד הארגון עלולה לגרום לפגיעה ממשית באינטרס ציבורי חיוני. אם המערך סבר כי מתרחשת או עומדת להתרחש תקיפת סייבר חמורה בארגון וזה אינו נוקטת בפעולות הנדרשות להתמודדות איתה, רשאי המערך להנחות ארגונים כיצד לפעול, ובכלל זה להורות להם לבצע פעולות הגנה בסייבר. בית משפט רשאי להתיר למערך עצמו לבצע פעולות הגנה בסייבר במערכות ארגון, אם זה נדרש לבצע הנחיות מקצועיות ולא פעל בעצמו או אם אי אפשר להשיג את המטרה באמצעות הנחיות מקצועיות לביצוע פעולות בידי הארגון עצמו. הצו יכול להתיר כניסה למקום ותפיסת חפץ, הכולל לפי הגדרתו גם מערכות מחשב.

טיוטת החוק קובעת כי מותר למערך הסייבר הלאומי לאסוף מידע מוגן פרטיות אם הוא בעל ערך הגנתי או אם האיסוף מותר לפי דין או שבית המשפט אישר את איסוף המידע. הטיוטה מגבילה את השימוש במידע למטרת הגנת סייבר בלבד "או לאחר שהתקבל אישור בית המשפט לכך" (law.co.il מעיר שיש בזה פתח לשימושים נוספים) ואוסרת העברת מידע אלא לצרכי הגנה בסייבר.

כל הסמכויות הללו ניתנות בטיוטת החוק שמתבקשת ועדת השרים לאשר גם לשירות הבטחון הכללי לצורך סיכול ומניעה של פעילות בלתי חוקית שמטרתה לפגוע בביטחון המדינה, בסדרי המשטר הדמוקרטי או במוסדותיו.

כיום פועל מערך הסייבר הלאומי מכוח החוק להסדרת הביטחון בגופים ציבורים, התשנ"ח-1998, כלפי הגופי המנויים בתוספת החמישית לחוק בלבד. מול יתר הגופים במשק פועל המערך בהסכמה ובהתאם להחלטות הממשלה בתחום הסייבר. ביוני 2018 הופץ להערות הציבור תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי, התשע"ח-2018 כדי להסדיר מסגרת משפטית מקיפה לפעילות מערך הסייבר הלאומי. עם זאת, דברי ההסבר להצעת החוק הנוכחית טוענים כי "לנוכח הרצון לקדם מסגרת משפטית מקיפה, יידרש זמן חקיקתי משמעותי לצורך דיון בחוק וקידומו".

law.co.il מעיר שלא ברורה הדחיפות שבגינה מובאת טיוטת החוק  לדיון בוועדת השרים לחקיקה ערב סיום כהונת הממשלה ופחות מחודש לפני הבחירות בכנסת, בפרט בהתחשב בהשלכותיה הרחבות ובהסדריה השנויים במחלוקת.