תארו לכם שבכל רגע נתון יכולה המדינה להיכנס אליכם לעסק, לדרוש מכם כל מסמך ומידע שהם, לתת לכם הוראות כיצד לפעול במערכת המחשבים שלכם, לקחת מכם מערכות מחשב ותקשורת או רק כונני מחשב עם מידע או להתיישב ליד מסופי המחשב שלכם ולהפעיל אותם בעצמה. תארו לכם שהמידע השמור ביותר בעסק - מערכות הנהלת החשבונות שלכם, קבצי אקסל עם נתונים כספיים, מסמכי וורד עם המצאות ותוכניות עסקיות, בסיס הנתונים של הלקוחות שלכם - כל אלה יכולה יחידה שכפופה במישרין לראש הממשלה, בלא פיקוח של הכנסת, לראות, לדרוש ולקחת מכם.
סיוט אורווליאני? לא, זו תהיה המציאות אם תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי, התשע"ח-2018 יהפוך לחוק.
תזכיר חוק הסייבר מכפיף כל ארגון וארגון בישראל לסמכויות חסרות תקדים של "גוף ביטחוני מבצעי" הכפוף בלעדית לראש הממשלה, הוא מערך הסייבר הלאומי. הסמכויות בחוק המיועד כל-כך קיצוניות, שהשב"כ חשק בהן לעצמו, והוראה בתזכיר אכן נותנת את כולן גם לשב"כ.
מכוח הסמכויות האלה, מערך הסייבר הלאומי והשב"כ יכולים לבוא לכל ארגון בישראל - מסוכנות ביטוח קטנה ועד לרשת חברתית בינלאומית; מסטארט-אפ ועד לחברה שנסחרת בנאסד"ק; ממוסך ועד לחברת כימיקלים עצומה - ולבצע כל מה שתואר למעלה כדי להתמודד, לאתר ולמנוע "תקיפת סייבר". זו מוגדרת בלשון הרחבה ביותר האפשרית. כל סריקת פורטים במחשבים, פעולה שגרתית שכמותה מתבצעות בוודאי עשרות או מאות אלפי פעמים ביום על מחשבים בישראל, משמשת יסוד להפעלת הסמכות הזו. והפעלת הסמכות אינה מבחינה בין פעולה של האקר אידאליסט בן 12 מהולנד, חבר ברשת פשע מאורגן מרוסיה, ארגון טרור כדוגמת חיזבאללה או חמאס או מדינה כדוגמת איראן או סין. פעולה של כל אחד מהם היא צידוק מספיק על-פי תזכיר החוק להפעלת הסמכות.
אלה סמכויות שאין לה מקבילה בחקיקה הישראלית עד כה, ואין להם תקדים גם בחקיקה הקיימת בעולם בתחום הסייבר. במקרה הקיצוני הן יכולות לשתק ארגון ואף למוטט אותו (לדוגמה, אם מחשביו של ארגון נלקחים ממנו); במקרה הפחות קיצוני הן יכולות להפשיט אירגון מהמידע הסודי ביותר שברשותו ולהעביר אותו לידי המדינה. אמנם השימוש בו מוגבל שם למטרות מניעת תקיפת סייבר, אבל מרגע שהמידע יצא משליטת ארגון, אין לדעת לבטח מה יעשה בו.
גרוע מזה - לפי תזכיר החוק, מערך הסייבר גם יוכל להעביר את המידע שקיבל מחברות ועסקים הלאה, לארגונים מקבילים לו בחו"ל. אין איש יכול להבטיח בכנות שמידע על חברת תעשייה אחת, לדוגמה, לא יגיע כך לחברה מתחרה בחו"ל או שפרטיו האינטימיים של אזרח ישראלי לא ייחשפו בפני ממשלה זרה.
אכן, יש בתזכיר ניסיונות למתן את הסמכות הרחבה שמערך הסייבר והשב"כ מבקשים. השימוש במידע מוגבל על-פי רוב לצורכי מניעת תקיפות סייבר. יש במערך ממונה על הגנת הפרטיות, ויש גם ועדה בראשות שופט שאמורה לפקח עליו. הוראה אחרת מתייחסת לעיצוב מערכות המחשב של המערך כדי להגן על הפרטיות. כל זה קיים, אך בלתי מספק, ולו מפני שהמערך, על-פי התזכיר המוצע, חופשי מכל ביקורת ממשלתית או פרלמנטרית, ופעולתו סודית ואסורה בגילוי.
לתזכיר החוק יש אפוא השלכה רחבה על כל ארגון בישראל. בנסיבות אלה, מדהים שפרסומו עבר בשקט יחסי. מלכתחילה קצבה המדינה זמן בלתי סביר בעליל לתגובות לתזכיר המורכב שעל הכנתו שקדה שנים, כ-3 שבועות שהסתיימו ב-11 ביולי. המגזר העסקי בישראל צריך להתעשת ולהתייחס לתזכיר החוק במהירות וברצינות - אחרת ימצא את עצמו חי במציאות שהפסקה הראשונה במאמר זה מתארת.
■ הכותב הוא שותף בכיר וראש קבוצת הסייבר במשרד פרל כהן צדק לצר ברץ.
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.