חוק הסייבר

למערך הסייבר סמכויות לגשת לחומרי מחשב, לאסוף ולעבד מידע, והכל לצורך זיהוי של פגיעות אבטחת סייבר. הצעת החוק אמנם מזכירה את הצורך להתחשב בזכות לפרטיות, אבל אין מגבלות מספקות על השימוש במידע שנלקח – לכמה זמן מותר לשמור אותו? האם אפשר להעביר אותו ממערך הסייבר אל המשטרה? אל גורמים נוספים? האם יש צורך בכל המידע הזה? על כל דבר שאנחנו עושים במרחב המקוון, והאם הוא לא ישמש, בעתיד, כדי ליצור פרופילים התנהגותיים עלינו האזרחים, ולהפנות אותם נגדנו?

מתקפת סייבר יכולה לשתק את תעבורת הסלולר, לגרום למחיקה או שינוי של מידע במערכות ממוחשבות, למנוע גישה פיסית לשרתי מחשוב וגם לפגוע בכלכלה ובביטחון באמצעות תקיפה של רשת החשמל או מערכת הבנקאות.

בדיוק כפי שהמדינה אחראית על ביטחוננו בעולם האמתי, ברור היום שחובה להקים מערך להגנת סייבר בישראל, כפי שאכן הוקם בתוך משרד ראש הממשלה. כחלק ממנו הוקם ה CERT  הלאומי – מערך ההגנה בפועל מפני מתקפות סייבר. מדובר במערך משמעותי והוא נזקק לסמכויות, למטרות ולמבנה ארגוני. אלה, צריכים להיקבע בחקיקה של הכנסת.   

לכן פרסום תזכיר חוק הסייבר, החוק אשר אמור לתת מסגרת לפעילות מערך הסייבר בישראל, הוא משמח. אבל, מצד שני הוא מלמד שהמדינה מבקשת ליטול לעצמה סמכויות רחבות פי כמה מאלה הנדרשות באמת כדי להגן עלינו. חלק מזה משום שקשה להעריך היום מה ייחשב פגיעת סייבר מחר. חלק אחר – צריך להודות - כדי להשתמש בטכנולוגיה לצורך הרחבת השליטה הממשלתית בפעולות שלנו.

לפי התזכיר מערך הסייבר יוכל לאסוף באופן קבוע נתונים מספקיות האינטרנט והסלולר, ממשרדי ממשלה, רשויות מקומיות וחברות ממשלתיות - והכל כדי לזהות בזמן אמת מתקפות סייבר ולמנוע אותן. השאלה היא האם יש צורך בכל המידע הזה, על כל דבר שאנחנו עושים במרחב המקוון, וכל דבר שאנחנו מספרים לרשויות המדינה, והאם הוא לא ישמש, בעתיד, כדי ליצור פרופילים התנהגותיים עלינו האזרחים, ולהפנות אותם נגדנו. מה בעצם ההבדל בין איסוף מידע כזה לבין האזנות סתר בהיקפים נרחבים? כאשר יש מידע כה רחב בידי המדינה האיום על הזכות לפרטיות ועל זכויות אדם אחרות הוא מוחשי.

בנוסף, למערך הסייבר סמכויות לגשת לחומרי מחשב, לאסוף ולעבד מידע, והכל לצורך זיהוי של פגיעות אבטחת סייבר. גם זה, למעשה, עשוי להיות כמעט כל מידע שנמצא בידי כל אזרח או כל עסק. הצעת החוק אמנם מזכירה את הצורך להתחשב בזכות לפרטיות, אבל מאפשרת לעשות פעולות שאינן פוגעות בה יותר "מן הנדרש". עמום. מאד עמום. בנוסף, אין מגבלות מספקות על השימוש במידע שנלקח – לכמה זמן מותר לשמור אותו? האם אפשר להעביר אותו ממערך הסייבר אל המשטרה? אל גורמים נוספים?

שאלת מיליון הדולר היא כמובן מתי יקומו הסמכויות האלה. והתשובה, שוב, מטרידה: כל אימת שיש צורך להגן על "אינטרס חיוני". אינטרס כזה יכול להיות הגנה על בטחון המדינה או על חיי אדם, אבל גם על "תפקודם התקין של ארגונים המספקים שירותים בהיקף משמעותי". האם מדובר גם בתקיפת סייבר הפוגעת בתפקודה של רשת גדולה למכירת בגדים? והאם זה מוצדק? התזכיר משאיר גם אפשרות לראש הממשלה להוסיף עוד שורות לרשימת האינטרסים הזאת. ומה יקרה ביום שבו יוסיף ראש הממשלה לרשימה – פגיעה בתודעת האזרחים באמצעות שכנוע ברשתות חברתיות? הפצת פייק ניוז? האם גם בזה נרצה שגוף דמוי שב"כ, הכפוף למשרד ראש הממשלה ללא מספיק בלמים וחסמים, יוסמך לטפל?

כל זה בהיעדר מספיק גורמי בקרה על הפעלות סמכויות כל כך רחבה, ותוך מתן סמכות לראש מערך הסייבר לשמור על סודיות במקרה של גילוי מתקפות. אכן, הגיוני לא לספר על מתקפת סייבר עד שמצליחים להשתלט עליה וכדי למנוע נזק נוסף. אבל נניח שאתם מטופלים בבית חולים שמתקפת סייבר גרמה לבלבול במתן התרופות בו. עד מתי הייתם רוצים שהעניין יישמר בסוד? ומה באשר לבעלי חשבונות בנק או מי שנרשמו לאתר היכרויות שפרטיהם דלפו?

חוק הסייבר יצטרך לעבור את הכנסת, וחשוב שחברי הכנסת יקדישו את הזמן ללמוד את מרחב הסייבר ואת האיומים וההזדמנויות הגלומים בו ויבינו היטב מה משמעותה של הזכות לפרטיות בעולם דיגיטלי. הידע הזה יאפשר ליצור חקיקה מאוזנת יותר לטובת הכלל.

 פורסם לראשונה בישראל היום.