בעקבות הצעות המטה הלאומי לסייבר לגבי רגולציה של התחום בישראל, חברות וארגונים בתחום הסייבר ייאלצו לעמוד בסטנדרטים ותקנים חדשים.
עו"ד אדמית אבגי על הרגולציות החדשות שנכנסות לתחום.
בתחילת ינואר 2015 הציג מטה הסייבר הלאומי, בישיבת הממשלה, שתי הצעות לקידום הרגולציה בתחום הסייבר: קידום האסדרה הלאומית וההובלה הממשלתית בהגנת הסייבר, וקידום ההיערכות הלאומית להגנת מרחב הסייבר. בהצעות אלה מוצע להסדיר את תחום הסייבר בכללותו ולרכז את סמכויות האכיפה והאסדרה בו.
הצעות המטה הגיעו בעקבות העלייה באיומי הסייבר והפיכתם למשמעותיים ביותר לביטחון הלאומי, לתפקוד התקין של המדינה והארגונים בה, לסדר הציבורי ולפעילות המשק. בחודשים האחרונים ניסח מטה הסייבר הלאומי תוכנית לאומית להיערכות להגנה במרחב הסייבר.
בהצעת ההיערכות הלאומית, מגדיר המטה את המונח "הגנת סייבר" כ"מכלול הפעולות למניעה, נטרול, לחקירה ולהתמודדות עם איומי סייבר ואירועי סייבר, ולצמצום השפעתם והנזק הנגרם מהם, וזאת בטרם התרחשותם, במהלכם ולאחריהם". ניתן לראות, כי הגדרה זו הינה רחבה ועשויה לכלול בה אף מוצרים ושירותים בתחום תקיפת הסייבר, ולמעשה מדובר באסדרה כוללת של כלל שוק הסייבר בישראל.
על פי הצעת ההיערכות הלאומית, תוקם, בהחלטת ממשלה, רשות לאומית להגנת הסייבר, מעין רשות מבצעת, שתפקידיה העיקריים הינם: לנהל, להפעיל ולבצע את כלל מאמצי הגנת הסייבר האופרטיביים, ביניהם לטפל באיומי סייבר בזמן אמת, גיבוש תמונת מצב שוטפת, ריכוז מחקר ומודיעין, ועוד; להפעיל מרכז לסיוע והתמודדות עם איומי סייבר, ה- CERT הלאומי, עבור כלל המשק, אשר יהווה גם נקודת ממשק בין גופי הביטחון לבין הגורמים במשק ובמסגרתו תרכז ותשתף מידע רלוונטי עם כלל הגורמים במשק; לבנות ולחזק את החוסן של כלל המשק בסייבר באמצעות בנייה, פיקוח ויישום של הצעת האסדרה.
כמו כן, קובעת הצעת ההיערכות הלאומית, כי על המטה להקים, תשתית טכנולוגית לאומית ("התשתית") לצורך גילוי, זיהוי, התרעה ושיתוף מידע, לצורך גילוי וזיהוי של תקיפות סייבר על מדינת ישראל. תשתית זו תופעל על ידי הרשות בשים לב לזכויות יסוד ובכלל זה היקף המידע שייאסף, היכולת לעשות בו שימוש, שמירתו ומסירתו. עם הקמתה של התשתית, מוצע לבטל את החלטת ועדת שרים לענייני ביטחון לאומי מספר ב/84, מיום 11.12.2002, בנושא הגנת תשתיות ממוחשבות (קריטיות) במדינת ישראל, ובכך לבטל את הסמכתה של הרשות הממלכתית לאבטחת מידע בשירות הביטחון הכללי (שב"כ) כגוף האחראי על הגנת התשתיות הממוחשבות החיוניות בישראל (מערכות שהפגיעה בהן עלולה לגרום לנזק פיזי או כלכלי משמעותי מאוד, לפגיעה בחיי אדם או לפגיעה באספקת שירות ציבורי חיוני). צעד זה, הלכה למעשה, מרכז את כל סמכויות האסדרה והפיקוח על הגנת הסייבר בידיו של גוף אחד.
עוד, מציעה הצעת ההיערכות הלאומית, כי על המטה, הלשכה המשפטית במשרד רוה"מ ומשרד המשפטים, להכין תזכיר חוק הגנת הסייבר, במסגרתה ייבחן, בין היתר, הצורך בתיקוני חקיקה נדרשים.
הצעת ההיערכות הלאומית מסדירה, במאקרו, את סמכויות הגופים האחראים על הגנת הסייבר בישראל. הצעת האסדרה לעומת זאת, מסדירה במיקרו את האופן שבו תוסדר הגנת הסייבר.
תכלית הצעת האסדרה, בהתאם לדברי ההסבר שלה, הינה לתת "מענה למצב הקיים בו כל אדם יכול להציג ולהגדיר את עצמו כמומחה להגנת הסייבר או למכור מוצר המוצג כמוצר להגנת סייבר או להציע שירותים המוצגים כשירותי הגנת סייבר..." וכן לתת "מענה לכך שלמעט תחומים כגון תשתיות קריטיות ומגזרים וארגונים ספציפיים, רוב המשק פועל בתחום הגנת הסייבר באופן לא מוסדר ולא מחייב". לצורך כך, מציעה האסדרה לעשות שימוש בסטנדרטים מקצועיים הקיימים בעולם ואשר אומצו בישראל זה מכבר, וכן בחקיקה פרטנית בהתאם למגזר ו/או ענף ספציפי.
על פי האסדרה, תוקם יחידה לאסדרת שוק שירותי הגנת הסייבר, שתפקידיה בין היתר הינם: לקדם את העמידה בסטנדרטים המקצועיים של אנשי המקצוע בתחום, הכוללים בין היתר, דרישות להכשרה אקדמית והשתלמויות מקצועיות בלימוד אישי. אנשי המקצוע בתחום הוגדרו על ידי ועדה ציבורית ייעודית, בראשות האלוף (במיל') עמי שפרן, כ: מגן קיברנטי בכיר, מגן קיברנטי, מומחה חדירה קיברנטית ומומחה תחקור קיברנטי; הקמה והפעלה של מנגנון לאישור מוצרי הגנת הסייבר לעמידה בתקנים כגון תקן Common Criteria (ת"י ISO 15408), בין היתר באמצעות הקמת מעבדה לבדיקה ואישור מוצרים בתחום; ולקדם את העמידה בסטנדרטים מקצועיים של חברות הייעוץ ושירותי הגנת הסייבר, בין היתר על ידי הגדרת השירותים הנדרשים להסדרה, קביעת מדרג איכותי, הדרישות המקצועיות והסמכה מתאימה של ספקי השירות.
כולם יעמדו בתנאים
הרגולציה כאמור, עתידה לחול על כל הארגונים, חברות, נותני שירותים וספקים בתחום הגנת הסייבר בישראל ועל מוצרים ושירותים המיובאים לישראל או ניתנים בה.
בכל הנוגע למשרדי הממשלה, מציעה האסדרה, כי כל משרדי הממשלה יחויבו לעמוד בתקני אבטחת מידע ארגוניים, בהתאם לתקן אבטחת המידע הבינלאומי ממשפחת ISO 27001 אשר אומץ על ידי מכון התקנים הישראלי זה מכבר. על פי התקן האמור, על משרדי הממשלה, בין היתר, למנות מומחה הגנת סייבר במשרד הממשלתי שתפקידו יהיה לגבש מדיניות הגנת סייבר אשר תהא גמישה לאיומים הקיימים, לתכנן תוכנית תקציבית, לבנות תוכנית עבודה ליישום התוכנית ולערוך ביקורת על אופן יישום התוכנית. כמו כן, יהא על משרדי הממשלה למנות "אחראי על הגנת הסייבר ביחידת מערכות המידע", אשר יעמוד בדרישות של "מגן קיברנטי בכיר" (תואר אקדמאי והתמקצעות), כך גם כל עובד חדש שיועסק בתחום הגנת הסייבר בממשלה.
בנוסף לזאת, מציעה האסדרה לקבוע חובת דיווח: על משרדי הממשלה השונים לשתף מידע פנימי וחיצוני לרבות דיווח אודות אירועים, איומים, חולשות, פוגענים ונוזקות ל-CERT הלאומי. זאת ועוד, הצעת האסדרה מציעה להקים יחידה להגנת הסייבר בממשלה (יה"ב) אשר תהא כפופה לממונה על התקשוב הממשלתי ובהנחייה מקצועית של הרשות הלאומית להגנת סייבר. מטרת היחידה הינה להכווין ולהנחות מקצועית את משרדי הממשלה בתחום הגנת הסייבר. כמו כן, מציעה האסדרה להקים מרכז שליטה ובקרה ממשלתי למול איומי סייבר, ה-SOC הממשלתי, במסגרת ה-CERT הלאומי, אשר יעסוק בגיבוש תמונת מצב ממשלתית שוטפת ומתן מענה באירועי סייבר.
בנוגע לרכישת שירותים ומוצרי הגנת הסייבר על ידי המדינה ו/או גופים העובדים עימה, קובעת האסדרה כי הדבר ייעשה בכפוף לעמידת המוצרים או השירותים בתקן אבטחת מידע (כגון Common Criteria), וכי דורשת היא מגורמים המבקשים לספק ו/או למכור שירותים או מוצרים המעבירים מידע ממוחשב אל הממשלה או ספקים של מערכות מחשוב, המוטמעות או מקושרות למערכות מחשוב ממשלתיות, לעמוד בתקני אבטחת מידע ארגוניים (ת"י ISO 2700) כתנאי מקדים.
יישום ואכיפת ההצעות ייעשו בשלבים תוך מתן לארגונים ולחברות הפרטיות והממשלתיות זמן התארגנות מוקצב.
בעוד שאסדרה זו מחד, מבורכת הואיל ותחום הסייבר הינו תחום מהותי וחשוב על כן ראוי שתתבצע אסדרה בנושא, מאידך הדרישות הקשיחות שלהן לתקנים וסטנדרטים, ללא הבחנה בין סוג החברה, השירות, המוצר או תת התחום בשוק הסייבר שבה היא פועלת, מטילות עלויות נוספות על המגזר הפרטי, דבר העלול למנוע מחברות חדשות לקום וחברות קיימות מלהתפתח בתחום ובכך הלכה למעשה למנוע התחדשות וחדשנות ואף עלולה ליצור ריכוזיות יתר הואיל ולחברות הגדולות ו/או מבוססות זה מכבר ישנה היכולת המלאה לעמוד בסטנדרטים ובתקנים המוצעים.
זאת ועוד, העדפת עובדים במגזר הממשלתי בעלי דרישות אקדמאיות בלבד, ללא מתן דגש לניסיון בתחום או תמהיל מסוים בין הדברים, עלולה להפלות עובדים בעלי ניסיון רב בתחום הסייבר הנמנים בין היתר בין אלה שפיתחו את התחום בישראל ואף לאובדן כוח אדם מקצועי ומיומן זה מכבר בתחום.