סיוט אורווליאני? על תזכיר חוק הסייבר

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד חיים רביה

שותף בכיר וראש קבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

מאמר זה נערך ופורסם ע"י קבוצת האינטרנט, הסייבר וזכויות היוצרים בפרל כהן בראשות חיים רביה
זמן קריאה: 2 דקות
שמור ב"תכנים שלי"

תארו לכם שבכל רגע נתון יכולה המדינה להיכנס אליכם לעסק, לדרוש מכם כל מסמך ומידע שהם, לתת לכם הוראות כיצד לפעול במערכת המחשבים שלכם, לקחת מכם מערכות מחשב ותקשורת או רק כונני-מחשב עם מידע או להתיישב ליד מסופי המחשב שלכם ולהפעיל אותם בעצמה. תארו לכם שהמידע השמור ביותר בעסק – מערכות הנהלת החשבונות שלכם, קבצי אקסל עם נתונים כספיים, מסמכי וורד עם המצאות ותכניות עסקיות, בסיס הנתונים של הלקוחות שלכם – כל אלה יכולה יחידה שכפופה במישרין לראש הממשלה, בלא פיקוח של הכנסת, לראות, לדרוש ולקחת מכם.

סיוט אורווליאני? לא, זו תהיה המציאות אם תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי, התשע"ח-2018 יהפוך לחוק.

תזכיר חוק הסייבר מכפיף כל ארגון וארגון בישראל לסמכויות חסרות תקדים של "גוף ביטחוני מבצעי" הכפוף בלעדית לראש הממשלה, הוא מערך הסייבר הלאומי. הסמכויות בחוק המיועד כל כך קיצוניות, שהשב"כ חשק בהן לעצמו, והוראה בתזכיר אכן נותנת את כולן גם לשב"כ.

מכוח הסמכויות האלה, מערך הסייבר הלאומי והשב"כ יכולים לבוא לכל ארגון בישראל – מסוכנות ביטוח קטנה ועד לרשת חברתית בינלאומית; מסטארט-אפ ועד לחברה שנסחרת בנדסא"ק; ממוסך ועד לחברת כימיקלים עצומה – ולבצע כל מה שתואר למעלה כדי להתמודד, לאתר ולמנוע "תקיפת סייבר". זו מוגדרת בלשון הרחבה ביותר האפשרית. כל סריקת פורטים במחשבים, פעולה שגרתית שכמותה מתבצעות בוודאי עשרות או מאות אלפי פעמים ביום על מחשבים בישראל, משמשת יסוד להפעלת הסמכות הזו. והפעלת הסמכות אינה מבחינה בין פעולה של האקר אידאליסט בן 12 מהולנד, חבר ברשת פשע מאורגן מרוסיה, ארגון טרור כדוגמת חיזבאללה או חמאס או מדינה כדוגמת איראן או סין. פעולה של כל אחד מהם היא צידוק מספיק על-פי תזכיר החוק להפעלת הסמכות.

אלה סמכויות שאין לה מקבילה בחקיקה הישראלית עד כה, ואין להם תקדים גם בחקיקה הקיימת בעולם בתחום הסייבר. במקרה הקיצוני הן יכולות לשתק אירגון ואף למוטט אותו (לדוגמה, אם מחשביו של ארגון נלקחים ממנו); במקרה הפחות קיצוני הן יכולות להפשיט אירגון מהמידע הסודי ביותר שברשותו ולהעביר אותו לידי המדינה. אמנם השימוש בו מוגבל שם למטרות מניעת תקיפת סייבר, אבל מרגע שיצא המידע משליטת ארגון אין לדעת לבטח מה יעשה בו.

גרוע מזה, לפי תזכיר החוק מערך הסייבר גם יוכל להעביר את המידע שקיבל מחברות ועסקים הלאה, לארגונים מקבילים לו בחו"ל. אין איש יכול להבטיח בכנות שמידע על חב' תעשיה אחת, לדוגמה, לא יגיע כך לחברה מתחרה בה בחו"ל או שפרטיו האינטימיים של אזרח ישראלי לא ייחשפו בפני ממשלה זרה.

אכן, יש בתזכיר ניסיונות למתן את הסמכות הרחבה שמערך הסייבר והשב"כ מבקשים. השימוש במידע מוגבל על פי רוב לצרכי מניעת תקיפות סייבר. יש במערך ממונה על הגנת הפרטיות ויש גם ועדה בראשות שופט שאמורה לפקח עליו. הוראה אחרת מדברת בעיצוב מערכות המחשב של המערך כדי להגן על הפרטיות. כל זה קיים, אך בלתי מספק, ולו מפני שהמערך, על פי התזכיר המוצע, חופשי מכל ביקורת ממשלתית או פרלמנטרית ופעולתו סודית ואסורה בגילוי.

לתזכיר החוק יש אפוא השלכה רחבה על כל ארגון בישראל. בנסיבות אלה מדהים שפרסומו עבר בשקט יחסי. מלכתחילה קצבה המדינה זמן בלתי סביר בעליל לתגובות לתזכיר המורכב שעל הכנתו שקדה שנים, כשלושה שבועות שהסתיימו ב- 11 ביולי. המגזר העסקי בישראל צריך להתעשת ולהתייחס לתזכיר החוק במהירות וברצינות, אחרת ימצא עצמו חי במציאות שהפסקה הראשונה במאמר זה מתארת.