מיפוי עולמי: איך מתמודדים עם איומי הסייבר?

הקנסות על חברות שלא יעמדו בדרישות האבטחה יזנקו עד 100 מיליון אירו ■ זו קפיצת מדרגה לעומת קנס של 190 אלף אירו בלבד שקיבלה חברת הנסיעות תומאס קוק לאחר שנגנבו ממנה מיליוני פרטים של חשבונות בנקאיים

כנס סייבר באוניברסיטת תל אביב. האם ישראל תפרוץ את הדרך בפיקוח? / צילום: רויטרס
כנס סייבר באוניברסיטת תל אביב. האם ישראל תפרוץ את הדרך בפיקוח? / צילום: רויטרס

בכל תעשייה, על אחת כמה וכמה מורכבת וחסרת גבולות פיזיים כמו תעשיית אבטחת הסייבר, נדרשת רגולציה - מדינתית ובינלאומית, ואכן בדוח של בנק אוף אמריקה-מריל לינץ', זוכה גם הנושא הזה להתייחסות. "ממשלות ברחבי העולם מתחילות להנהיג רגולציית אבטחת סייבר חדשה על רקע הסיכונים ההולכים וגדלים, ובמקביל מהדקות או מעדכנות חוקי פשיעה ו-IT (טכנולוגיית מידע) כדי להתאים עצמן לשינוי באופי ובנזק של התקפות סייבר", נכתב. "כל מדינה מתמודדת עם איום הסייבר באופן שונה, בעיקר לפי מידת ההתפתחות הכלכלית שלה, ולכן דרכי ההתמודדות הן שונות".

בצד הדיון ברפורמות בחוקי אבטחת הסייבר, מתקיים דיון מהותי על גבולות הפרטיות. "מצד אחד, יש הטוענים שכל ממשלה צריכה לעשות כל מה שהיא יכולה כדי להגן על רווחת אזרחיה, כולל לרגל אחריהם, כשמדובר בביטחון לאומי", נכתב בדוח של ענק ההשקעות, "ומצד שני, יש הטוענים כי אסור לפגוע בזכויות הפרט ולא משנה מה המחיר. לכן יש סתירה בין הרצון להבטיח ש'האיש הרע', ההאקר, לא ישים ידו על מידע פרטי של מישהו לבין התפיסה שלממשלה יש לגיטימציה לקרוא הודעות פרטיות".

כיצד מדינות מתייחסות לכל אלה מבחינה רגולטורית? הדוח מחלק את העולם לשלושה אזורים גאוגרפיים: ארה"ב, אירופה ושאר העולם.

ארה"ב: אין מספיק תיאום

הנשיא ברק אובמה אמנם הצהיר כבר לפני שלוש שנים שהתקפות סייבר הן "האתגר הגדול ביותר לביטחון הכלכלי והלאומי של אמריקה", אבל יש מעט מדי סוכנויות פיקוח על אבטחת סייבר המענישות את התוקפים. בפברואר 2013 הציע אובמה את "הצו הממשלתי לשיפור אבטחת תשתיות הסייבר החיוניות", שנועד לשפר את חילופי המידע בין המשרד לביטחון פנים לבין חברות תשתיות סייבר חיוניות. בינואר 2015 עודכן הצו בהוראה ש"מעודדת את המגזר הפרטי לשתף את 'המרכז הלאומי לאבטחת סייבר ושילוב תקשורת' במשרד לביטחון פנים, במידע על איומי סייבר.

ההתמקדות בחקיקה התחזקה בעקבות ההתקפות האחרונות על אולפני סוני ועל משרד הפנים האמריקאי שבוצעו על פי החשד על ידי צפון קוריאה וסין בהתאמה.

באפריל 2015 הוציא אובמה הוראה נשיאותית להקפיא נכסים ורכוש של אנשים המעורבים בפעילויות זדוניות משמעותיות בתחום הסייבר. ההוראה אפשרה למשרד האוצר להקפיא נכסים ולמנוע עסקאות פיננסיות של ישויות שעוסקות בהתקפות סייבר הרסניות.

עם זאת, עדיין אין תקן אחיד לתוכניות אבטחת סייבר במגזר הפרטי ולמחלקות העיקריות בממשל הפדרלי. "מסגרת אבטחת הסייבר" של המכון הלאומי לתקנים וטכנולוגיה (NIST) נחשבת בדרך כלל למובילה בהנחיות הקיימות, אבל יש גם דעות של סוכנויות נוספות, כולל הנחיות חדשות יחסית של משרד המשפטים, רשות ני"ע ונציבות הסחר הפדרלית. כך, משרד המשפטים פרסם "המלצות סיוע לארגונים בהיערכות לתגובה לאירועי סייבר", שהן וולונטריות ולא רגולציה מחייבת, ונציבות הסחר הפדרלית קיבלה את הסמכות החוקית לפקח ולתבוע חברות שמערכות אבטחת הסייבר שלהן אינן מגינות על נתוני הלקוחות לפי סעיף 5 בחוק הנציבות. בעקבות זאת, הנציבות הגישה יותר מ-50 תביעות נגד חברות, שרובן הסתיימו בהסדרי פשרה, דבר שהגביר את החשש בקרב תאגידים שהם ייתבעו גם במקרים של התקפות סייבר חיצוניות. רשות ני"ע פרסמה לאחרונה עדכון של הנחיות ליועצי השקעות רשומים וחברות השקעה שמדגיש את הצורך שלהם לבחון ללא הפוגה את אבטחת הסייבר שלהם, בתוך הבהרה שאי-התקנת אמצעים נאותים יגרור הליכים משמעתיים.

 

אירופה: רגולציה מתהדקת

ב-2013 פרסם האיחוד האירופי אסטרטגיית אבטחת סייבר חדשה שכללה הצעה לחקיקה בשם "אבטחת רשתות ומידע", NIS, שתאכוף התחייבות משפטית על חברות להבטיח שיש להן מערכות אבטחה מתאימות, ולחייב אותן לדווח על סיכוני אבטחה בפוטנציה ועל התקפות שבוצעו עליהן בכל רחבי האיחוד.

חקיקה זו עשויה להביא להקפצת ההשקעה בביטחון תשתיות קריטיות בכמה סקטורים: שירותים פיננסיים, תחבורה, אנרגיה, רפואה, שירותי מסחר אלקטרוני, תשלומים באינטרנט, מחשוב ענן, מנועי חיפוש ורשתות חברתיות. נכון ליוני 2015, עקרונות החקיקה עובדו לרגולציות משפטיות מחייבות, והדיונים והיישום אמורים להתבצע השנה (2016).

החקיקה אינה מתייחסת לפריצה לנתונים אישיים, אלא בעיקר להתקפות סייבר על מערכות נתונים. כך, למרות העדר חקיקה באיחוד האירופי הנוגעת להגנה על נתונים אישיים במאה ה-21, החקיקה תבטיח שמחיקה, פגיעה, שינוי או החבאת נתונים במערכות מידע ומניעת גישה אליהם, במכוון וללא זכות, יהיו עבירה פלילית.

הרגולציה של הגנת נתונים כללית של האיחוד האירופי, GDPR, צפויה להוסיף דרישות חדשות לדיווח על פריצה לנתונים אישיים, לחייב ארגונים שמחזיקים נתונים כאלו לבצע בדיקות אבטחה ולהגדיל את הקנסות המושתים על עסקים שלא יעמדו בדרישות. התקווה היא שהדרישות החדשות יגדילו את מספר הדיווחים על פריצות למערכות נתונים באירופה. בארה"ב קיימת מגמה כזו הודות לחקיקה ברמת המדינות השונות שמחייבת דיווח על פריצות סייבר.

לפי הנציבות האירופית, הקנסות על חברות שלא יעמדו בדרישות האבטחה יגיעו עד 100 מיליון אירו או 5% מהמחזור השנתי העולמי של החברה. זו העלאה משמעותית מאוד. חברת הנסיעות תומאס קוק, לדוגמה, נקנסה ב-190 אלף אירו בלבד ב-2014 על כך שנגנבו ממנה מיליוני פרטי חשבונות בנקאיים של לקוחות.

כל צנרת חקיקת אבטחת הסייבר של האיחוד האירופי צפויה להיות מיושמת במלואה ב-2017, לפי כמה משרדי עורכי דין שמתמחים בתחום זה. הפרלמנט האירופי צפוי לזרז את החקיקה הזאת.

שאר העולם: רגולציה מואצת

מאחר שאבטחת סייבר הפכה לבעיה עולמית, ולאו דווקא מערבית, שאר העולם זקוק לרגולציה דומה. חברות ועסקים במדינות אסיה והפסיפיק הוציאו ב-2014 סכום של 230 מיליארד דולר על אבטחת סייבר, יותר מכל אזור אחר בעולם, ולכן יש מקום לרגולציה שתצמצם את ההוצאה האדירה הזאת בעזרת חוקים טובים יותר לניהול פעילות סייבר. הנה כמה דוגמאות:

סינגפור: חוק הגנה על נתונים אישיים משנת 2014 כולל כמה דרישות מחמירות מעסקים, כמו החיוב שלהם לרכוש ביטוחי התקפות סייבר ולהחזיק היסטוריה מלאה של כל תקריות האבטחה שנרשמו אצלם. ארגונים שאינם מצייתים לדרישות החוק כפופים לקנס כספי של עד 788,995 דולר אמריקאי (מיליון דולר סינגפורי).

דרום קוריאה: חוק הגנה על מידע אישי מספטמבר2011 נחשב אחד הנוקשים באסיה. באפריל 2013 הכריזה הממשלה על החוק הלאומי נגד טרור סייבר שהעלה את הנושא לדרגה של ביטחון לאומי, בהקשר למתקפות הסייבר של צפון קוריאה.

הודו: חוק טכנולוגיית המידע מ-2000 התייחס לפשעי סייבר כמו הונאות דוא"ל וגניבת זהות, וב-2013 הממשלה השיקה את חוק אבטחת הסייבר הלאומי כדי להגביר את ההגנה על תשתיות ציבוריות ופרטיות ועל מידע ממשלתי.

טייוואן: חוק הגנת הנתונים הפרטיים הממוחשבים תוקן ושינה את שמו לחוק הגנת המידע האישי ב-2010. הוא נכנס לתוקף מלא באוקטובר 2012.

יפן: אחרי דיון בטיוטת הצעת חוק ביוני 2013 ובמחצית 2015, הממשלה אימצה אסטרטגיית אבטחת סייבר מתוקנת בעקבות פריצת הנתונים הענקית לשירות הפנסיה היפני. ההצעה היא שגוף ממשלתי יפקח על סוכנויות מנהל עצמאיות ועל ארגונים שקשורים לממשלה בתחום אבטחת הסייבר.

הפיליפינים: חוק מניעת עבירות סייבר מ-2012 הופך עבירות כמו הוצאת דיבה באינטרנט לפליליות.

רוסיה: הנשיא ולדימיר פוטין חתם על "חוק הנתונים המקומיים" ביולי 2015 במאמץ להגן על אזרחי ארצו מפריצות סייבר, אם כי כמה ארגוני זכויות אדם סבורים שהחוק נועד להעניק לממשלה פיקוח משמעותי יותר על השימוש באינטרנט במדינה. החוק מחייב עסקים זרים ושירותי אינטרנט לאחסן נתונים רוסיים ברוסיה, ולא בארה"ב, למשל (כפי שעושה גוגל, לדוגמה). לפי אחת ההערכות, החוק יגרום למשק הרוסי הפסד של יותר מ-6 מיליארד דולר בשנה. התמ"ג הרוסי ייפגע ב-3.2 מיליארד דולר וההשקעות הזרות יירדו ב-2.9 מיליארד דולר.

סין: בדומה לרוסיה, גם סין החלה לנסח חוק ללוקליזציה של נתונים במחצית 2015. חוק זה יחייב חברות אינטרנט זרות לאחסן את נתוניהן על סין בסין ולא בשרתים שלהן בחו"ל. לפי הצעת החוק, יעדיו הם להגן על ריבונות הסייבר של סין, להגן מפני התקפות סייבר, לשפר את אבטחת האינטרנט ולהסדיר את השימוש בנתונים אישיים. אבל בניגוד לחוק הרוסי, יש מקום לפרשנויות שונות כי הניסוח מעורפל יותר.

קנסות בפועל לעומת קנסות בכפוף לדרישות חדשות של האיחוד האירופי
 קנסות בפועל לעומת קנסות בכפוף לדרישות חדשות של האיחוד האירופי

חוקי אבטחת מידע: אילו מדינות מחמירות ואילו פחות
 חוקי אבטחת מידע: אילו מדינות מחמירות ואילו פחות