אין לנו זמן להמשיך להתווכח על חוק הסייבר
מתקפות סייבר נגד חברות ישראליות עלולות לשתק פעילות עסקית, לחשוף מידע רגיש של אזרחים ולזרוע פחד ובהלה, אלא שחלק גדול מהמגזר העסקי בארץ כלל אינו כפוף לרגולציה בתחום הגנת הסייבר. בניגוד לטענות, תזכיר חוק הסייבר שפורסם ערב המלחמה לא מבקש לפגוע בעצמאותן של חברות אלא לספק למשק הגנה קריטית, לפני שיהיה מאוחר מדי
אילוסטרציה של קוד סייבר | Photo by REUTERS
בשבוע האחרון ניסו האקרים איראניים לחדור למערכות של חברות ישראליות ולשבש פעילות עסקית. נוסעים בתחנות רכבת ברחבי הארץ נתקלו בשלטים דיגיטליים שהורו להם לצאת מיד מהתחנה, בעקבות פריצה למערכת.
אין בכך הפתעה גדולה. דו"ח של מייקרוסופט דירג ב-2025 את ישראל כאחת משלוש המדינות המותקפות ביותר בעולם במרחב הסייבר, וחלק גדול מהתקיפות הן נגד גופים עסקיים כמו חברות שירותים, ספקי תוכנה וגופים המנהלים מידע של לקוחות רבים.
במתקפת סייבר ב-2023 על חברת Signature-IT, ספקית שירותי מסחר מקוון ואחסון אתרים, הושבתו בין היתר אתר הקניות של "שפע אונליין" שמספק שירותי רכישה מקוונת ל"איקאה" ומערכות המחשוב של חברות כמו קרביץ וכתר פלסטיק. בנוסף נפגעו מערכות מידע של ישראייר, אסם, קוקה-קולה וחברות נוספות. במקרים אחדים דלף לרשת מידע אישי של מיליוני לקוחות.
הנה הבעיה: ארגונים רבים במגזר העסקי כלל אינם כפופים לרגולציה בתחום הגנת הסייבר. כלומר: בחלקים נרחבים של המשק אין סטנדרט מחייב להגנה כזו, ומבקר המדינה התריע על כך שוב ושוב. בין היתר נמצא כי גופים אינם עובדים לפי מתודולוגיות ההגנה שנקבעו, ומערכות המחזיקות מידע של מיליוני אזרחים אינן מאובטחות מספיק.
קצת לפני הסבב הנוכחי באיראן פרסם מערך הסייבר הלאומי תזכיר חוק להגנת סייבר לאומית. מטרתו אינה דרמטית במיוחד: ליצור מסגרת בסיסית שתגדיר חובות לניהול סיכוני סייבר בכלל מגזרי המשק, תחייב דיווח על מתקפות משמעותיות, ותאפשר למערך הסייבר לפעול כאשר מתקפת סייבר חמורה מאיימת על תפקוד המשק או על חיי אדם.
למרות זאת, חלקים בתעשייה הגדירו את ההצעה כרגולציה "דרקונית", ואחרים טענו כי מדובר בניסיון לפתור "בעיה שלא קיימת". זו טענה שקשה להבין, ואפילו מבטאת חוסר אחריות. זה כמו שלא יהיה תקן לממ"דים, לא תהיה חובה לבנות מקלטים, וכל בניין יחליט בעצמו כיצד להגן על דייריו. החוק המוצע גם אינו חריג ביחס לעולם. באיחוד האירופי, למשל, קיימת רגולציה בתחום זה כבר קרוב לעשור.
החוק אינו מבקש לנהל את מערכות הסייבר של החברות, אלא להבטיח שכל הארגונים במשק עומדים ברמת הגנה בסיסית ומשתפים פעולה כאשר מתרחשת מתקפה. במרחב הסייבר, ארגון אחד שמתרשל באבטחה לא מסכן רק את עצמו אלא גם לקוחות, ספקים וארגונים המחוברים אליו.
תקיפות הסייבר שאנו רואים עכשיו הן תזכורת לכך שהחזית הדיגיטלית אינה שולית, ושאי אפשר לצפות מהמדינה להגן על המשק מפניה, אבל לא לצייד את מערך הסייבר בכלים לעשות זאת.
מתקפת סייבר אחת יכולה לשתק שירותים ציבוריים, לפגוע בעסקים, לחשוף מידע רגיש של אזרחים, לזרוע פחד, בהלה ובלבול. אז למה מחכים? להודעות SMS מזויפות שיובילו לפינוי מגדלים שלמים בפתח תקווה וייצרו כאוס דווקא בעת מתקפת טילים?
במציאות שלנו השאלה איננה האם יש צורך בחוק סייבר אלא כמה זמן עוד נוכל להרשות לעצמנו להתווכח עליו. עכשיו, כשחוק הגיוס ירד (תודה לאל) מן הפרק, אולי תתפנה ועדת החוץ והביטחון לקדם במרץ את החוק הזה.
התפרסם לראשונה בישראל היום
