חשש מפני חוק הסייבר שמקדם נתניהו

יום א', 24 ביוני 2018

הצעת חוק סייבר ישראלי חדש יעניק לממשלה סמכויות קיצוניות ללא פיקוח

תזכיר בנושא זה מעורר עם פרסומו ביקורת חריפה בקרב מומחים בתחומי הסייבר והגנת הפרטיות. "ההסדרים הקבועים בתזכיר מעלים חששות ממשיים מפני פגיעה בלתי מכוונת בפרטיות של אזרחי המדינה או בסודותיהם המסחריים של ארגונים הפועלים בה", אומרים פרופ' אלי ביהם, צבי דביר ושחר שמש מהתנועה לזכויות דיגיטליות במכתב ששלחו למערך הסייבר.

 

מערך הסייבר הוא יחידת סמך במשרד ראש הממשלה שהוקמה בעקבות איחוד בין הרשות הלאומית להגנת הסייבר למטה הסייבר. המערך, שמרכז את כל תחום הגנת הסייבר ברמה הלאומית, אחראי על כלל היבטי הגנת הסייבר במרחב האזרחי, מגיבוש מדיניות ובניין כוח טכנולוגי ועד להגנה מבצעית. בראש המערך עומד יגאל אונא, שכפוף ישירות למשרד ראש הממשלה, בדומה לראשי השב"כ והמוסד.

 

הצעת החוק מקנה למערך הסייבר סמכויות נרחבות לטיפול בתקיפות ובאיומי סייבר. כך, אם אנשי מערך הסייבר סבורים שמתרחשת או שעלולה להתרחש תקיפה שעלולה לפגוע באינטרס חיוני - אזי עובד מוסמך מטעם המערך יכול לדרוש מכל ארגון מסמכים או חומרי מחשב הדרושים לצורך איתור, התמודדות ומניעת התקיפה. מערך הסייבר מוסמך להורות לארגון למנות איש קשר שיקבל הוראות מטעמו, ויעביר את המידע הנדרש למערך או לגורם חיצוני שהוסמך לכך. עובדי המערך יוסמכו לאחר שעברו הכשרה מהסוג שיקבע ראש מערך הסייבר, ובשלב זה אינה מפורטת בתזכיר.

 

בנוסף, לפי תזכיר החוק, גורם אחראי במערך רשאי להיכנס פיזית לארגון אם יש לו יסוד סביר להניח שנמצא שם מחשב או חומר מחשב בעל ערך. אנשי מערך הסייבר אף רשאים להחרים חפצים אם יש להם יסוד סביר להניח שיש בהם מידע בעל ערך אבטחתי. לצורך כך יכולים אנשי המערך להורות לאיש הקשר בארגון להעביר לרשותו חפצים שנמצאים בחזקת או בשליטת הארגון.

 

 

מסלולים שמאפשרים לוותר על הצורך בקבלת צו שופט

"בתזכיר החוק אין מגבלות ספציפיות לגבי האופן שבו ניתן לבצע שימוש במידע שנלקח, ובכלל זה אינה מצוינת כל מגבלת זמן על השימוש בו", מתריעים בתנועה לזכויות דיגיטליות. "עניין זה רלוונטי ומהותי במיוחד במקרים שבהם נלקח מידע ללא צו בית משפט, וחמור מכך, במקרה שצו כזה לא ניתן גם בדיעבד (ועדיין, החומר נלקח ומותר השימוש בו לעולם ועד)".

 

למעשה, הצעת חוק הסייבר מאשרת לעובדי המערך לבצע שורה של פעולות ללא צו שופט ועל שיקול דעתם הבלעדי בכפוף לכמה סייגים קלים. הם יוכלו להפעיל סמכות לצורך איתור, התמודדות או מניעה של מתקפת סייבר, לאחר ששקלו את השפעת הפעלת הסמכות על הארגון והזכות לפרטיות, ומצאו שהיא לא פוגעת בהם "יותר מהנדרש". בשלב זה תזכיר החוק אינו קובע מהו אותו "נדרש" או מי קובע אותו, וכנראה שהגדרות אלו ייקבעו רק בהמשך במסגרת התקנות שינוסחו כדי ליישם את החוק בפועל.

 

בנוסף, עובדים מוסמכים מטעם מערך הסייבר יהיו רשאים להעניק הוראות לארגון, כולל כאלו הנוגעות לביצוע פעולות בחומרי המחשב של הארגון. אך יתרה מכך: על הארגון ועובדיו ייאסר לחשוף את תוכן ההוראות שניתנו להם והמערך אף רשאי להנחות את הארגון כיצד עליו לשמור על חשאיות הוראות אלו.

 

אנשי מערך הסייבר יידרשו לצו שופט רק בכמה פעולות ספורות, וגם אז מספיק צו של שופט בית משפט שלום. אך גם במקרה של צורך בצו לכניסה ללא הסכמה למקום מגורים קיימת החרגה, במידה שאנשי המערך סבורים שיש במקום מידע שדרוש למניעת סכנה ממשית ומיידית לשלום הציבור ואין דרך אחרת להשיגו.