חוק שאושר לאחרונה בכנסת מסמיך את שב"כ, משרד הביטחון ומערך הסייבר הלאומי להורות בזמם מלחמה לחברות בתחום אספקת שירותי אחסון ושירותים דיגיטליים כיצד לנהוג בעת אירוע סייבר.
החוק החדש יאפשר לגופי המדינה להתערב בזמן מלחמה בהחלטות של חברות פרטיות המפעילות שירותי מחשוב, ולדרוש מהן לתקן פרצות או תקלות שהתגלו אצלן. החברות יהיו מחויבות על פי חוק למלא אחר ההוראות, אך החוק אינו כולל סנקציות במקרה של הפרת ההוראות.
החוק נועד להבטיח שספקיות שירותים המספקות שירותים דיגיטליים חיוניים, כמו אחסון או אפליקציות מקוונות, יטפלו במהירות ויעילות בתקלות סייבר שעלולות לפגוע בכמות גדולה של תשתיות קריטיות ובמידע רגיש של אזרחים.
לאחר זיהוי פריצת הסייבר, נציג מאחד משלושת הגופים המוסמכים (שב"כ, משרד הביטחון או מערך הסייבר) ייצור קשר עם החברה שנפגעה ויעביר לה הנחיות לטיפול באירוע.
הנציג יעביר לחברה את המידע שיש בידי המדינה אודות התקיפה, אך אינו מחויב לחשוף את מקורות המידע שלו. החוק קובע סנקציה פלילית נגד נציגי המדינה שידלפו פרטים על החברה שנפגעה, וקובע כי העונש יהיה עד 3 שנות מאסר.
במקרה שיעלו טענות כי נציג המדינה פעל באופן בלתי סביר, בית משפט יוכל לבקש לראות את מקורות המידע שעל בסיסם ניתנו ההנחיות לחברה. עם זאת, אם המידע מסווג כסודי ביטחון, הדבר עלול להקשות על הפיקוח השיפוטי.
"סומכים על גופי הביטחון, אבל חייבים לפקח ולאזן"
ליאור פרנקל, יו" פורום הסייבר באיגוד ההיי-טק, יזם ומנכ"ל חברת ווטרפול סקיוריטי, מסביר: ''בתחילה התנגדתי לחוק הזה, שנתן לטעמי סמכויות רחבות מדי לגופי המדינה. רק לאחר שבוצעו בו מספר שינויים, כמו הגבלת תוקפו החוק ל-7 חודשים, נוסח החוק נכתב בצורה שניתן היה לקדם אותו. אך עדיין יש צורך בפיקוח הדוק על יישום החוק".
לגבי החשש כי גופי המדינה ינצלו לרעה את הסמכויות המורחבות שניתנו להם בחוק, טוען פרנקל כי "אנו סומכים על גופי הביטחון של המדינה, אבל תמיד חייבים לפקח ולאזן כשמדובר בסמכויות כאלה".
"בדיוק משום כך, היה חשוב להגביל את תוקף החוק ולדרוש דיווחים תקופתיים ליועמ"ש ולוועדת הכנסת. על המחוקקים לפקח היטב על יישום החוק ולוודא שהסמכויות המורחבות אכן משמשות רק למטרות הנכונות ולא לפגיעה בפרטיות האזרחים", כך לדבריו.
פרנקל סיכם ואמר כי ''רק לאחר השינויים שהגשנו מטעם איגוד ההיי-טק, אפשר היה לאשר את החוק. הוא נותן כלים חיוניים להתמודד עם איומי הסייבר, אך צריך להקפיד מאוד על יישומו הזהיר והמידתי. המשך הפיקוח הפרלמנטרי והציבורי הוא הכרחי במקרה הזה".
