פרשנות | לא רציתם חוק סייבר? קיבלתם אותו דרך החלון כהוראת שעה
טיוטאת חוק סייבר חדשה לא פורסמה עד כה. במקומה, בחסות מלחמת חרבות הברזל, יש תקנות שעת חירום שיהפכו להוראת שעה
עמי רוחקס דומבה
|
28/11/2023
צלם: גלעד קוולרצ׳יק
אם הדלת סגורה, נכנס דרך החלון. המשפט הזה מלווה אותנו כישראלים במדינת הקומבינה בשגרה. כעת, המשפט הזה נכון גם במקרה של חוק הסייבר. אותו חוק דרקוני שהיה אמור לתת למערך הסייבר בתקופת ההנהלה הקודמת גישה לכל רשת של עסק מסחרי שיחפוץ בכך. החוק ההוא נפל, ההנהלה התחלפה, וזו החדשה אמרה שהולכים לתהליך שקוף של חקיקה מסודרת.
אבל, הפתעה. טיוטאת חוק חדשה לא פורסמה מאז כניסתו של גבי פורטנוי לתפקיד מנהל מערך הסייבר. בינתיים, פרצה מלחמה בין ישראל לחמאס בעזה ובמערך ראו הזדמנות להכנס דרך החלון. ״רק לבינתיים. זמנית. עד שהמלחמה תסתיים״. כן בטח. אשרי המאמין.
במה מדובר? ובכן, בשימוש בתקנות לשעת חירום. מנגנון דיקטטורי ששימש את הבריטים לשליטה בקולוניות שלהם ואומץ על ידי מייסדי מדינת ישראל במטרה לנהל מלחמות. התקנות הללו אפשרו לשלוט באוכלוסיה כבושה במקומות בהם הוקם ממשל צבאי ישראלי ויותר מאוחר כדי לנהל שתי מערכות משפט לשטחי ישראל ויהודה ושומרון. התקנות הללו גם אפשרו למנוע מאזרחים לצאת מהבית בתקופת הקורונה. הבנתם את הרעיון.
עכשיו, יש ״התקפות סייבר חמורות״. כאלו שיכולות לגרום לנזק לאומי מעבר לאותו נזק מקומי לעסק המסחרי (כמעט כל מתקפת סייבר יכולה להיות מתוייגת תחת תירוץ כזה). זה מספיק כדי לעשות שימוש בתקנות שעת חירום כדי להכריח עסק מסחרי בישראל לעבוד לפי הוראות צה״ל, מלמ״ב, שב״כ או מערך הסייבר.
לפי התקנות, עסק מסחרי שיפנו אליו, צריך למסור הצהרה על יישום המלצות NIST (מכון התקנים האמריקאי). אם יתברר שהעסק לא יישם המלצות כאלו, אחד מנציגי הארגונים האלו יורה לו מה לעשות והעסק יצטרך ליישם. העלויות עליו. בסיום ביצוע ההוראה, העסק ידווח לאותו גורם שהורה לו לעשות זאת.
בהיבט פיקוח, אחת לשבועיים, כל הגופים הללו יצטרכו לדווח ליועץ המשפטי לממשלה על ההתערבות שלהם בעסקים בישראל. לא יהיה פיקוח ציבורי על החלטות הגופים הללו, למעט היועמ״ש, היות והמידע הקשור לבקשות הגופים הללו ישאר חסוי (האזרחים לא יוכלו לבקר את ההחלטה של גוף ביטחוני להתערב באבטחת הסייבר של עסק מסחרי. גם אם ההחלטה הייתה שגויה).
תקנות שעת החירום תקפות לחודש מהיום. לאחריהן, מתכוון מערך הסייבר להפוך את התקנות הללו להוראת שעה רגילה שתחודש כל שנה על ידי הכנסת. יש עשרות או מאות הוראות שעה כאלו בישראל, שמעולם לא הפכו לחוק. הוראת שעה היא המצאה ישראלית שתפקידה לספק לכנסת אפשרות לחוקק חוק ״זמני״ בדרך עקיפה עד שיסתיים הליך החקיקה המלא.
עם זאת, בישראל כמו בישראל, הקומבינה הופכת לנורמה והוראת השעה הופכת לרוב לחוק עצמו - ללא הליך חקיקה עתידי. גם כאן, בעוד מערך הסייבר ״ממש רוצה״ לקדם הליך חקיקה תקני, אבל בפועל, פונה להוראת שעה.
כי אם אפשר לוותר הדלת ולהכנס בחלון, למה לא? השקיפות שהבטיח גבי פורטנוי בתחילת דרכו במערך, כנראה תמתין למנהל הבא של מערך הסייבר. גם הוא, סביר להניח, יבטיח שקיפות וימשיך לאשר הוראת שעה.
טיוטאת חוק סייבר חדשה לא פורסמה עד כה. במקומה, בחסות מלחמת חרבות הברזל, יש תקנות שעת חירום שיהפכו להוראת שעה
צלם: גלעד קוולרצ׳יק
אם הדלת סגורה, נכנס דרך החלון. המשפט הזה מלווה אותנו כישראלים במדינת הקומבינה בשגרה. כעת, המשפט הזה נכון גם במקרה של חוק הסייבר. אותו חוק דרקוני שהיה אמור לתת למערך הסייבר בתקופת ההנהלה הקודמת גישה לכל רשת של עסק מסחרי שיחפוץ בכך. החוק ההוא נפל, ההנהלה התחלפה, וזו החדשה אמרה שהולכים לתהליך שקוף של חקיקה מסודרת.
אבל, הפתעה. טיוטאת חוק חדשה לא פורסמה מאז כניסתו של גבי פורטנוי לתפקיד מנהל מערך הסייבר. בינתיים, פרצה מלחמה בין ישראל לחמאס בעזה ובמערך ראו הזדמנות להכנס דרך החלון. ״רק לבינתיים. זמנית. עד שהמלחמה תסתיים״. כן בטח. אשרי המאמין.
במה מדובר? ובכן, בשימוש בתקנות לשעת חירום. מנגנון דיקטטורי ששימש את הבריטים לשליטה בקולוניות שלהם ואומץ על ידי מייסדי מדינת ישראל במטרה לנהל מלחמות. התקנות הללו אפשרו לשלוט באוכלוסיה כבושה במקומות בהם הוקם ממשל צבאי ישראלי ויותר מאוחר כדי לנהל שתי מערכות משפט לשטחי ישראל ויהודה ושומרון. התקנות הללו גם אפשרו למנוע מאזרחים לצאת מהבית בתקופת הקורונה. הבנתם את הרעיון.
עכשיו, יש ״התקפות סייבר חמורות״. כאלו שיכולות לגרום לנזק לאומי מעבר לאותו נזק מקומי לעסק המסחרי (כמעט כל מתקפת סייבר יכולה להיות מתוייגת תחת תירוץ כזה). זה מספיק כדי לעשות שימוש בתקנות שעת חירום כדי להכריח עסק מסחרי בישראל לעבוד לפי הוראות צה״ל, מלמ״ב, שב״כ או מערך הסייבר.
לפי התקנות, עסק מסחרי שיפנו אליו, צריך למסור הצהרה על יישום המלצות NIST (מכון התקנים האמריקאי). אם יתברר שהעסק לא יישם המלצות כאלו, אחד מנציגי הארגונים האלו יורה לו מה לעשות והעסק יצטרך ליישם. העלויות עליו. בסיום ביצוע ההוראה, העסק ידווח לאותו גורם שהורה לו לעשות זאת.
בהיבט פיקוח, אחת לשבועיים, כל הגופים הללו יצטרכו לדווח ליועץ המשפטי לממשלה על ההתערבות שלהם בעסקים בישראל. לא יהיה פיקוח ציבורי על החלטות הגופים הללו, למעט היועמ״ש, היות והמידע הקשור לבקשות הגופים הללו ישאר חסוי (האזרחים לא יוכלו לבקר את ההחלטה של גוף ביטחוני להתערב באבטחת הסייבר של עסק מסחרי. גם אם ההחלטה הייתה שגויה).
תקנות שעת החירום תקפות לחודש מהיום. לאחריהן, מתכוון מערך הסייבר להפוך את התקנות הללו להוראת שעה רגילה שתחודש כל שנה על ידי הכנסת. יש עשרות או מאות הוראות שעה כאלו בישראל, שמעולם לא הפכו לחוק. הוראת שעה היא המצאה ישראלית שתפקידה לספק לכנסת אפשרות לחוקק חוק ״זמני״ בדרך עקיפה עד שיסתיים הליך החקיקה המלא.
עם זאת, בישראל כמו בישראל, הקומבינה הופכת לנורמה והוראת השעה הופכת לרוב לחוק עצמו - ללא הליך חקיקה עתידי. גם כאן, בעוד מערך הסייבר ״ממש רוצה״ לקדם הליך חקיקה תקני, אבל בפועל, פונה להוראת שעה.
כי אם אפשר לוותר הדלת ולהכנס בחלון, למה לא? השקיפות שהבטיח גבי פורטנוי בתחילת דרכו במערך, כנראה תמתין למנהל הבא של מערך הסייבר. גם הוא, סביר להניח, יבטיח שקיפות וימשיך לאשר הוראת שעה.
