משחקי הסייבר (2) – הפוגה זמנית והמחויבות של דירקטוריונים וחברות

דן ארידור 1,257
משחקי הסייבר (2) – הפוגה זמנית והמחויבות של דירקטוריונים וחברות

עיקרים תחילה

  • בעקבות התארגנות ותגובת השוק הפרטי לטיוטת חוק הסייבר דובר משרד ראש הממשלה פרסם ב - 19.4.2016 כי הצוות שהקים ראש הממשלה בנימין נתניהו לבחינת הפיקוח על הייצוא בתחום הסייבר החליט כי הפיקוח על הייצוא בתחום הסייבר ייצמד להסדר ואסנאר. בהמשך יפורסמו הגדרות אשר יבהירו את תכולות הפיקוח בהתאם להדרה בינ"ל זו וזאת טובת ודאות מירבית ומזעור הנטל הרגולטורי.
  • הממונה על שוק ההון הפיצה חוזר עם הנחיות להגברת ההגנה על מערכות המידע בגופים המוסדיים ההנחיות מטילות אחריות מוגברת על הדירקטוריון והמנכ"ל בהגנה על נכסי המידע בארגון, ודורשות מינוי של מומחה סייבר בכל ארגון.
  • בזמן האחרון אנו עדים לכך שהרגולטור לפני קביעת הרגולציה הסופית מבקש את משוב הציבור. צריך לברך על מגמה זו ולקוות שהיא תמשך.
  • חשוב מאוד לציין שנקבעו מספר אבני דרך מאוד מעודדות עם הנסיגה של הממשלה מהצעת מטה הסייבר לרגולציה המרחיבה שהציע:
  • לחברות ישראליות יש דרך להשפיע על הרגולציה.
  • עושה רושם שכל ממשל וכל בירוקרטיה דמוקרטית ומתקדמת (וקרה הליך דומה אף בארה"ב שם גם חברות פרטיות התאגדו והשפיעו על הרגולציה) בשל מגמות של ניידות כוח אדם והון ייתקשו להשית מגבלות טכניות שונות מהותית מהמקובל בשוק המסחרי העולמי ששונות מהותית מכללי הסחר הבינ"ל המקובלים. לאבן דרך זו יש חשיבות עצומה בעיקר לישראל בה יש נטיה לחקיקה פרטית דרקונית ופרטנית רחבה ומרחיבה.

כשלון למטה הסייבר הלאומי בתחום החקיקה.

  • בעקבות פרסום הטיוטה שעסקה בפיקוח על ייצוא הסייבר של מטה הסייבר פנו מספר גורמים פרטיים וריכזו תגובות לטיוטת הסייבר. הערות אלו כללו הבטים עקרוניים וטכניים שעל חלקם כבר עמדנו בעצמנו במאמרנו ממרץ 2016. בין הנושאים שעלו:
  • הגבלה המוצעת של מטה הסייבר עסקה גם בטכנולוגיות תוכנה נפוצות והכרחיות בהנדסת תוכנה כגון: תוכנות ניהול מרחוק, אנטי-וירוס, תוכנות ניהול, תוכנות ניטור, תוכנות מעקב ומערכות ניהול. ברור מאליון שהגבלות שכוללות גם נושאים אלו יהכפכו את חיי החברות לבלתי נסבלים. הליך הייצוא והאישור במקרים אלו יהפוך למייגע וארוך. כמו כן ההגדרה שבבסיס הצו למונח "תוכנת חדירה" הינה רחבה מאוד וכוללת בתוכה מגוון רחב של פריטים הנתונים לפיקוח.
  • דרישות הרגולציה לעסקים כפי שטענו במרץ עלולים להביא לתוצאה ההפכוה שבה המסגרת החוקית היא היא המגבילה את מערך האבטחה והחדשנות ועשויה להפחית את יכולתם של חברות ואנשים להגן על עצמם מפני איומי הסייבר הגוברים וההולכים.
  • האסדרה הישראלית מרחיבה אף את ההגדרה שבהסדר ואסנאר (לפיקוח על יצוא מוצרים דו-שימושיים, עליו ישראל לא חתומה אך היא אימצה אותה). 
     

אחרית דבר (זמנית)

ביום 19.4.2016 פרסם אתמול דובר משרד ראש הממשלה כי הצוות שהקים ראש הממשלה בנימין נתניהו לבחינת הפיקוח על הייצוא בתחום הסייבר החליט כי הפיקוח על הייצוא בתחום הסייבר ייצמד להסדר ואסנאר, אך לא מעבר לכך, כי לטובת ודאות מירבית ומזעור הנטל הרגולטורי, יפורסמו הגדרות אשר יבהירו את תכולות הפיקוח. כמו כן, תבוצע בחינה יסודית של מתן פטורים והקלות מחובת רישיון, לפי מדינות ולפי סוגי מוצרים, טכנולוגיה ושירותים. כל זאת תוך מעקב רציף אחר ההתפתחויות בהסדר ואסנאר ובמדיניות הפיקוח על ייצוא בתחום הסייבר במדינות נוספות, ובשים לב למכלול האינטרסים והנכסים הלאומיים במישור הביטחוני, המדיני והכלכלי. תימשך ההיוועצות הקבועה עם תעשיית הסייבר ובפרט להגדרת המנגנונים. כן הוחלט כי אגף הפיקוח על הייצוא במשרד הביטחון יפקח על ייצוא לשימוש בידי כוחות ביטחון או בעבורם, בהתאם לפירוט שיפורסם ובכפוף להגדרה הקבועה בחוק. הפיקוח על כל ייצוא מפוקח אחר בתחום הסייבר יבוצע ע"י משרד הכלכלה במנגנון משותף עם מטה הסייבר.
 
אין ספק כי זוהי אינה המילה האחרונה שנאמרה בכל הנוגע לפיקוח על יצוא הסייבר במדינת ישראל. הרצון לוודא כי הקדמה והטכנולוגיה לא ישמשו גורמים עוינים למיניהם מצד אחד, והרצון להבטיח את התחרותיות והאטרקטיביות של התעשייה הישראלית בתחום מן העבר השני, מציבים אתגר רציני למדינה ולרשויות. המנגנון המשותף שיוקם בשיתוף משרד הכלכלה ומטה הסייבר ימשיך להיבחן על ידי הגורמים הרלוונטיים בתעשייה.
 

גופים מוסדיים

הממונה על שוק ההון הפיצה חוזר עם הנחיות להגברת ההגנה על מערכות המידע בגופים המוסדיים. עושה רושם כי נעשתה עבודה רצינית ומחושבת של ידי הממונה בקביעת העקרונות של תהליכי ניהול ותשומת לב ולא האמצעים. במסגרת זו נקבע כי:
 

  • ההנחיות מטילות אחריות מוגברת על הדירקטוריון והמנכ"ל בהגנה על נכסי המידע בארגון, ודורשות מינוי של מומחה סייבר בכל ארגון.
  • ניהול סיכוני סייבר יכלול: פעולות של מניעה, נטרול, חקירה והתמודדות עם איומים ואירועים של סייבר לצמצום השפעתם והנזק הנגרם מהם, בטרם התרחשותם, במהלכם ולאחריהם.
  • חובת מינוי מנהל אבטחת סייבר בתפקיד ניהולי בתחום הגנת הסייבר.
  • גוף מוסדי יידרש להגדיר מדיניות לניהול כולל של סיכוני סייבר, הכוללים איומי אבטחת מידע.
  • מנכ"ל הגוף המוסדי יהיה אחראי להבטחת ניהולו התקין של תחום סיכוני הסייבר.
  • תחול חובה להקמת ועדת היגוי קבועה בנושא ניהול סיכוני סייבר, שתתכנס לכל הפחות אחת לרבעון, ותמליץ להנהלה על דרכי פעולה לנוכח איומי ואירועי סייבר. חובת ההקמה ועדת ההיגוי תחול רק על גוף מוסדי שאינו בעל היקף פעילות נמוך.
  • על הגוף המוסדי לשים דגש על השלבים השונים באירוע סייבר, בהם גילוי וזיהוי השלב בו נמצא אירוע הסייבר, הערכת מצב, הכלה של האירוע, בלימה, התאוששות והשבה לשגרה.
  • במסגרת דרישות הגנת הסייבר בהסכמי מיקור חוץ, נדרש הגוף המוסדי ליישם אמצעי הצפנה בנתיב ההתקשרות מרחוק עם נותן השירות של מיקור החוץ. מוטלת חובת הצפנה של מידע רגיש בשירותי מחשוב ענן מחוץ לישראל.
  • החוזר אמור להיכנס לתוקף בתחילת 2017 לאחר שהגופים המוסדיים יעירו את הערותיהם.