ביום 26.12.2023 פורסם חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבות ברזל), התשפ"ד – 2023 (להלן – "החוק" או "החוק החדש").
בדברי ההסבר לחוק נאמר, בין היתר, כי במסגרת הלחימה המתמשכת, מתחוללת עליה בהיקף ובעוצמת מתקפות הסייבר כנגד גופים אזרחיים במשק, שמטרתן לפגוע בכלכלה ובתפקודו התקין של המשק הישראלי. תקיפות סייבר כאלה עלולות להוביל לפגיעה במרחב הסייבר, לפגיעה בעולם הפיזי (למשל פגיעה במערכות רפואיות או בתשתיות אנרגיה), לפגיעה קשה בתפקוד המשק, ואף לפגיעה בחיי אדם. הרקע לחקיקת החוק הוא התמודדות עם איומי הסייבר הנשקפים בימים אלה במיוחד לספקי שירותים דיגיטליים ושירותי אחסון כהגדרתם בחוק (להלן: "ספק/ים"), המתאפיינים בחיבוריות גבוהה לגופים רבים במשק הישראלי (בהם בין היתר, משרדי ממשלה וגופים ציבוריים וביטחוניים, תשתיות מדינה קריטיות, ארגונים חיוניים לתפקודו של המשק ועוד). בשל חיבוריות זו, הנזק שייגרם מתקיפות כנגד ספקים אלה עלול להתפשט ולהשפיע על חברות רבות במשק.
כדי להתמודד עם הצורך המתואר לעיל, לשם מתן מענה להתמודדות רוחבית עם איומי סייבר לספקים אלה, בהתאם לחוק, עובד מוסמך מטעם מערך הסייבר הלאומי, שב״כ או המלמ״ב (להלן: "עובד מוסמך"), יהיה רשאי להודיע לספק על קיומו של חשש לתקיפת סייבר חמורה כנגד הספק, ובהמשך לתת לספק הוראות, במקרים המתאימים, לצורך התמודדות עם התקיפה.
החוק החדש מחליף את תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד-2023, אשר נכנסו לתוקף כחודש טרם כניסתו של החוק החדש לתוקף.
להלן עיקרי החוק החדש:
א. החוק מקנה סמכות למנהל מוסמך (בעל תפקיד בכיר) במערך הסייבר הלאומי, בשירות הביטחון הכללי או במלמ"ב, ובמקרים מסוימים אף בצה"ל, לקבוע כי מתרחשת או קיים חשש ממשי להתרחשות תקיפת סייבר ״חמורה״, וזאת אם מצא כי יש חשש ממשי שתפגע בביטחון המדינה, בביטחון הציבור או בקיום האספקה והשירותים החיוניים, בשל התרחשותה בתקופת הפעולות הצבאיות המשמעותיות; בשל חשש ממשי להיותה בעלת השפעה מהותית שאינה מוגבלת לספק הנתקף; וכן לנוכח מאפייניה, לרבות מיתאר התקיפה או זהות התוקף.
ב. במקרה שנקבע על ידי הגורם המוסמך כאמור כי מתרחשת או עומדת להתרחש "תקיפת סייבר חמורה", ועובד מוסמך הודיע לספק על קיומו של חשש כאמור, בהודעה תפורט התשתית העובדתית והמקצועית לקיומו של החשש (ככל שאין בכך כדי לחשוף מקורות מידע, שיטות או אמצעים). לאחר מתן ההודעה לספק, תינתן לספק הזדמנות לפעול באופן הולם להתמודדות עם התקיפה, בתוך פרק זמן סביר שיימסר לספק, בהתחשב במאפייני תקיפת הסייבר.
ג. בהמשך לכך, הספק נדרש לעדכן את העובד המוסמך בדבר פעולות שביצע לצורך איתור התקיפה, מניעתה או בלימתה, או יוכל הספק למסור תצהיר לפי החוק, בדבר יישום הנחיות אבטחה בהתאם לתקן NIST 800-53 Security and Privacy Controls for Information Systems and Organizations (או תקן אחר כפי שיפרסם מערך הסייבר הלאומי מכוח החוק, אשר יש בו כדי להבטיח ברמת סבירות גבוהה את הגבלת השפעתה של תקיפת סייבר חמורה מעבר לספק הנתקף וטיפול הולם בתקיפות סייבר חמורות).
ד. אם הספק לא מסר תצהיר כאמור, או מצא העובד המוסמך כי הספק הנתקף לא פעל באופן הולם להתמודדות עם התקיפה, העובד המוסמך יהיה רשאי לתת לספק הוראות, לרבות הוראות לביצוע פעולות להגנת סייבר בחומר מחשב או הוראות למסירת ידיעה או מסמך, אם מצא כי הדבר נדרש להתמודדות עם התקיפה ולאחר שהודיע לספק על כוונתו למתן הוראות, וניתנה הזדמנות לספק להשמיע את טענותיו.
במתן הוראות כאמור, העובד המוסמך נדרש לשקול בין היתר, את השפעתן האפשרית על הזכות לפרטיות, על פעילות הספק ועל צד שלישי, וכן את העלות הכלכלית המוערכת של יישום ההוראות וההשפעה האפשרית על הרציפות התפקודית של הספק;
בעת מתן הוראות על ידי העובד המוסמך, יפרט העובד המוסמך את המועד האחרון לביצוע ההוראה. הספק יפעל בהתאם להוראה שקיבל עד למועד האחרון שנקבע, וידווח על אופן ביצועה לעובד המוסמך.
ה. תיעוד ההוראות – העובד המוסמך יתעד בכתב את ההוראות לספק, וימסור לספק נוסח כתוב של ההוראות שאינו מכיל מידע מסווג, בהקדם האפשרי לאחר מתן ההוראה.
ו. חובת סודיות ומחיקת מידע – החוק קובע חובת סודיות ביחס למידע שהתקבל מספק, וכי ככלל, למעט במקרה בו קבע מנהל מוסמך אחרת, מידע שהתקבל מספק יימחק בסמוך לאחר סיום הטיפול בתקיפת סייבר חמורה.
ז. החוק קובע כי פרסום פומבי של זהות הספק יהיה באישור מנהל מוסמך, ולאחר שניתנה לספק הזדמנות להשמיע טענותיו.
ח. החוק קובע מנגנון דיווח ליועמ"ש לממשלה ולוועדת החוץ והביטחון של הכנסת על הפעלת סמכויות מערך הסייבר הלאומי, שב"כ ומלמ"ב לפי החוק.
יובהר כי החוק נועד להוסיף על הוראות כל דין אחר, ואינו גורע מהוראות הדין. כמו כן, החוק נועד להוסיף על כל הוראה בעניין הנוגע להגנת סייבר, לפי החלטת ממשלה או הסכם, ויגבר עליהן בכל מקרה של סתירה.
הוראות החוק יעמדו בתוקף למשך תקופה של עד תום שבעה חודשים ממועד פרסום החוק.
*הכותבת הינה עורכת הדין ורד זליכה, שותפה וראשת תחום סייבר ובינה מלאכותית, בסיועה של המתמחה דניאל צימבלר.
*הבהרה: האמור בחוזר זה הינו מידע כללי בלבד ואין בו כדי להוות ייעוץ משפטי המחייב בחינה מעמיקה וספציפית של כל נושא לגופו.