בעקבות המתקפות: ביקורת חריפה בכנסת על חוסר התיאום בין הרשויות
ועדת החוקה קראה להטיל על הרשויות יותר סמכויות אכיפה, להגביר את התיאום ביניהן ולחוקק חוקים מתאימים ● יו"ר הוועדה, ח"כ גלעד קריב: "המתקפות בשבועות האחרונים - תוצאה של המצב הזה"
החקיקה המשפטית בישראל בכל מה שקשור להגנה על הפרטיות ולחוקים טכנולוגיים נוספים נמצאת בפיגור של לפחות שני עשורים, ומתקפות הסייבר בשבועות האחרונים הן תוצאה של המצב הזה – כך עולה מדיון שנערך היום (ב') בוועדת החוקה, חוק ומשפט של הכנסת. במהלך הדיון הובהר כי התיאום שיש בין שתי הרשויות שאמונות על הגנת הפרטיות – הרשות להגנת הפרטיות ומערך הסייבר הלאומי – לקוי.
ועדת החוקה דנה היום בנושא ההגנה על הפרטיות בעקבות אירועי הסייבר שחווינו בשבועות האחרונים, ובמרכזם המתקפה על בית החולים הלל יפה והפריצה לסייברסרב. אחד האתרים שיושב על השרתים של סייברסרב הוא אתר ואפליקציית ההיכרויות לקהילה הלהט"בית אטרף – מה שהעלה, ועדיין מעלה, חשש שדליפת מאגרי המידע שלו תביא להוצאה כפויה ורחבה מהארון של משתמשים.
"יש תחושה שיש לקויים חמורים בקשר שבין הרשות להגנת הפרטיות למערך הסייבר", אמר יו"ר הוועדה, ח"כ גלעד קריב (מפלגת העבודה), בסיכום הדיון. "קיים פיגור רגולטורי משמעותי בהגדרת הגבולות לענקיות הטכנולוגיה ולגורמים המקבלים מאיתנו מידע אישי רגיש, תוך יצירת אשליה שהמידע מוגן. נצטרך להדביק את הפער בזהירות ותוך איזונים מתבקשים".
ח"כ גלעד קריב (מפלגת העבודה), יו"ר ועדת החוקה, חוק ומשפט של הכנסת, בדיון היום (ב'). צילום: דוברות הכנסת
"בשבועות האחרונים התגלה הפיגור החקיקתי המשמעותי שאנחנו חווים בתחום ההגנה על הפרטיות. החקיקה שעומדת לרשותנו היא מ-1981 והמציאות השתנתה מאז ללא הכר. הדבר קורה אף על פי שב-1992 הוכרה הזכות לפרטיות כזכות יסוד. חלק גדול מהמידע האישי שלנו פרוץ ברגע שהוא במרחב האינטרנטי, ברשתות החברתיות", ציין.
"המתקפות על האתרים בשבועות האחרונים מחדדים את תפקיד הממשלה בפיקוח ויצירת סטנדרטים של הגנה על הפרטיות באינטרנט, וביצירת תשתיות לאומיות בתחום הגנת הסייבר", אמר ח"כ קריב.
הוא הוסיף כי "ברור שגם אם נכון לומר שלמגזר הפרטי יש אחריות גדולה על הגנת המידע, המצב הגיאו-פוליטי המיוחד של ישראל מחייב היערכות מתאימה מצד המדינה ועמידה לצד המגזר הפרטי בקביעת הסטנדרטים".
בסיום דבריו ביקר ח"כ קריב את היעדרות נציגים של הרשתות החברתיות מהדיון על אף שהוזמנו, מלבד נועה אלפנט מגוגל. השדרן והפעיל החברתי, ח"כ לשעבר יגאל גואטה, אמר בהקשר זה ש-"ברגע שתהיה חקיקה נגד החברות האלה, שיהיו לצידה קנסות כבדים, תראו איך יגיעו לפה עם סוללות של נציגים ועורכי דין".
"לא מתקבל על הדעת שאזרחים ירגישו מופקרים"
ח"כ יוראי להב הרצנו (יש עתיד) אמר בדיון, בהתייחס למתקפה על אתר אטרף, כי "בשבוע האחרון אני מקבל מבול של פניות שלא זכור לי עד כה. אנשים נמצאים בחרדה. אני לא רוצה לקבוע עובדות לגבי המתקפה, כי היא בחקירה, אבל לא מתקבל על הדעת שאזרחים ירגישו מופקרים".
ח"כ יוראי להב הרצנו (יש עתיד) בדיון היום. צילום: דוברות הכנסת
בדיון השתתפה גם תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה, שהצביעה על פערים משמעותיים בין החקיקה הישראלית לאלה הנהוגות באירופה ובמדינות אחרות בכל הקשור להגנה על הפרטיות. היא אמרה כי "אין כל סיבה שאזרח בישראל שגולש באתרים לא ייהנה מרמת הגנה על הפרטיות כמו באירופה ואף יותר מכך".
עו"ד יורם הכהן, יו"ר איגוד האינטרנט הישראלי, קרא לוועדה "לקחת יוזמה בנושא החקיקה ולסגור את הפערים שבין מערך הסייבר, שהוא גוף עם הרבה יכולות אבל בלי סמכויות, לרשות להגנת הפרטיות, שיש לה סמכויות אבל היא מוגבלת ביכולותיה". לדבריו, "חקיקה טכנולוגית היא דבר מורכב, וטוב יעשו הממשלה והכנסת אם הן יקחו דוגמאות ממה שנעשה בעולם ויאמצו זאת. בינתיים, משרד המשפטים איטי והטכנולוגיה רצה מהר יותר ממנו".
הייתה התראה על מתקפה; האם הלל יפה קיבל אותה?
בתוך כך, בדיון שהתקיים היום בוועדת הבריאות של הכנסת התברר כי הייתה התראה על המתקפה על הלל יפה כבר בחודש יוני, ארבעה חודשים לפני שהיא התגלתה – אולם אותה התראה לא הועברה לבית החולים, לפחות לטענתו.
ארז תדהר, ראש אגף בכיר במערך הסייבר הלאומי, אמר בדיון כי "כבר בחודש יוני הוצאנו התראה ממוקדת על מתקפות אפשריות על כמה גופים, ביניהם הלל יפה. הם קיבלו התראה והנחיות איך להתגבר על החולשה". מיקי דודקביץ', מנהל הלל יפה, הכחיש שבית החולים קיבל את ההתראה ואמר ש-"בזמן המתקפה היה שיח מאוד נכון ופורה עם הגורמים הרלוונטיים".
תדהר הזהיר מהעובדה שארגונים קריטיים לתפקוד המדינה, כמו בנקים ובתי חולים, לא מוגדרים כתשתית מדינה קריטית, ואמר כי "אם הם היו, כנראה שתקיפה כזאת לא הייתה מתרחשת". הוא אף קבל על המחסור בסמכויות שיש, או יותר נכון אין, למערך הסייבר.
יו"ר הוועדה, ח"כ עידית סילמן (ימינה), קראה לבחון את סוגיית ההגדרה של בתי החולים כתשתית לאומית קריטית לצורך מתן סמכויות ומשאבים למימון הגנות הסייבר עליהם, וכן לוודא שיש למערכת הבריאות, ובכלל זה לבתי החולים, גיבוי לנתונים, למקרה שיהיו עוד מתקפות כמו זו שחווה הלל יפה.
ההנחיות לגופים ממשלתיים ורשויות צריכות להגיע מהרגולטור. כל משרד ממשלתי חייב לבחון את הגופים עליהם הוא אחראי בראיית צרכי ציבור ומדינה קריטיים בתחומם ולהנחות בהתאם. שרידות מערכות המידע במרבית משרדי הממשלה ברמה נמוכה מאוד!!!