חרבות ברזל: התמודדות עם מתקפת סייבר
הממשלה אישרה השבוע את תקנות שעת חירום הנוגעות בהתמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים. זאת על רקע המלחמה, ועל רקע עליה בהיקף ובאיכות מתקפות הסייבר כנגד גופים אזרחיים.
התקנות נועדו להסדיר את פעילות הגנת הסייבר של חברות המספקות שירותים דיגיטליים ושירותי אחסון מידע בעת המלחמה. מתקפות אלו, אשר עלולות לפגוע במוסדות רפואיים או בחברות בתחומים שונים, כגון תשתיות, מסחר ואנרגיה, עלולות גם להוביל לפגיעה משמעותית במשק הישראלי. במקביל לכך, פרסם מערך הסייבר הלאומי את שנועד להחליף את התקנות.
סמכויות המנהל המוסמך
על פי התקנות (ובהתאמה גם התזכיר), כאשר מנהל מוסמך במערך הסייבר הלאומי מזהה חשש ממשי למתקפת סייבר כנגד אחת מהחברות, ולאותו מנהל מוסמך יש חשש סביר שהמתקפה הינה מתקפה בעלת השפעה רחבה מעבר לתחומי החברה המותקפת בלבד (להלן, תקיפת סייבר חמורה) או שיש חשש שהמתקפה תפגע בביטחון המדינה בזמן מלחמה, הוא יהיה רשאי להודיע לחברה המותקפת על החשש ולתת לחברה זמן סביר להתמודדות עם האירוע בעצמה.
אם מצא המנהל המוסמך כי החברה המותקפת לא פעלה בצורה ובפרק זמן מקובל כנגד מתקפת הסייבר, הוא יהיה רשאי להנחות את החברה כיצד להתמודד עם מתקפת הסייבר, לרבות הנחיות לעניין הוראות לאיתור התקיפה, מניעתה או בלימתה, וזאת במטרה להגן על ביטחון המשק ולהפחית את הנזק הפוטנציאלי מאותה התקיפה.
גלישה לשוק הפרטי
התקנות והתזכיר מאפשרים למערך הסייבר ולגופים נוספים פתח רחב מאד באשר ליכולת ההנחייה והשליטה באירועי סייבר, גם כאשר אלה נמצאים במגרש השוק הפרטי.
ראוי שחברות רלוונטיות – כלומר, כל חברה המעניקה שירותים דיגיטליים, שירותי אחסון ושירותי תחזוקה ובקרה – ייערכו מראש לאפשרות הסבירה של אירועי סייבר בעתיד הקרוב, באמצעות עדכון של נהלי התמודדות עם אירועי סייבר וכן באמצעות תרגול של הגורמים הרלוונטיים בחברה לתרחישים אלו.
***
מחלקת הפרטיות והסייבר בברנע ג'פה לנדה תשמח לסייע בכל שאלה ביחס לתחולת התזכיר ובנושא התמודדות עם אירועי מתקפת סייבר.
דר' אבישי קליין הוא ראש מחלקת הפרטיות והסייבר בברנע ג'פה לנדה.
בן נורמן הוא עו"ד במחלקה.