חרבות ברזל – עדכונים

מאז תחילתה של מלחמת חרבות ברזל, החל קמפיין תקיפות סייבר נרחב כנגד מדינת ישראל וכנגד חברות ואתרי אינטרנט המזוהים עם ישראל, אשר מבוצע על ידי גורמים רבים – בחלקם עצמאיים, ובחלקם נתמכים ומוכוונים על ידי מדינות עוינות. בעקבות עליה זו בהתקפות סייבר, העבירה ממשלת ישראל ביום 27.11.2023 את תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ”ד-2023 (“תקנות החירום“).

במקביל לפרסום התקנות, פורסם באתר החקיקה הממשלתי תזכיר חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבות ברזל), תשפ”ד-2023 (“חוק החירום”) שנוסחו זהה לתקנות, וניתן להניח שקביעת התקנות הייתה עבור תקופת המעבר שעד כניסת החוק לתוקף, מה גם שהפגיעה בזכויות הפרט הטמונה בחוק דורשת על פניו את עיגונו בהסדר ראשוני ולא בתקנות. החוק, במידה ויעבור ללא שינוי מהנוסח המפורסם, יחול עד חודש לאחר ביטול מצב החירום המיוחד בעורף שהוכרז ביום ה-7.10.2023, ושכרגע עודו עומד בתוקפו. נציין כי משרדנו העביר הערות לתזכיר החוק.

התקנות, אשר כאמור נכנסו לתוקף מידי, מתמקדות, כשמן, במגזר השירותים הדיגיטאליים ושירותי האחסון, המוגדרים באופן הבא –

1. ‘שירותי אחסון’ – שירותי אחסון של מידע שנמסר לשם העלאתו לרשת האינטרנט, שירותי עיבוד ואחסון של נתונים ושירותים לאספקת מידע, תשתית לאחסון או עיבוד נתונים;
2. ‘שירותים דיגיטאליים’ – שירותים הכוללים כל אחד מהבאים:
   • שירותי תוכנה לרבות כתיבה, התאמה, שינוי, בדיקה, תמיכה, מחקר ופיתוח;
   • שירותי ניהול או הפעלה של מערכות מחשבים המשלבות חומרה, תוכנה וטכנולוגיות תקשורת;
   • שירותי עיבוד, הזנה או שחזור של נתונים, התקנה והגדרת תצורה של מחשבים, התקנת תוכנה או שירותי הגנת סייבר;
   • אספקה או התקנה של מחשבים או של ציוד בקרה, המהווים חלק ממכונות וציוד תעשייתי;

התקנות (והחוק אם יעבור) חלות הן על חברות המספקות שירותי אחסון ושירותים דיגיטאליים, וכן על חברות המספקות שירותי תחזוקה, ניהול, או בקרה של שירותי אחסון ושירותים דיגיטאליים. על פי דברי ההסבר לחוק, חברות אלו מתאפיינות בחיבוריות גבוהה לגופים רבים במשק הישראלי, לרבות משרדי ממשלה וגופים ציבוריים, גופים ביטחוניים, תשתיות מדינה קריטיות וארגונים חיוניים לתפקודו של המשק, ועוד. בשל חיבוריות זו, הנזק שעשוי להיגרם ממתקפת סייבר כנגד חברות אלו עלול להתפשט ולהשפיע על חברות רבות במשק. ההגדרות לשירותי אחסון ולשירותים דיגיטאליים רחבות מאוד, ועשויות ‘ללכוד’ חברות רבות לפי לשונן.

נציין, כי נכון להיום, אין גוף המפקח על כלל המשק ואשר אמון על קבלת דיווחים אודות אירועי סייבר, מתן הנחיות, והסדרת פעילותן של חברות בכל הנוגע להגנת סייבר . הגוף היחיד שמפקח באופן רוחבי על אירועי סייבר הוא הרשות להגנת הפרטיות, אך פעילותה מוגבלת לאירועי סייבר בהם יש מעורבות של מידע אישי. התקנות והחוק באים לנסות ולהשלים פער זה, ולהעניק סמכויות לגורמים רלוונטיים לטפל ולפקח על אירועי סייבר באופן רחב – ולא רק על כאלו הכוללים מידע אישי.

לשם כך, התקנות והחוק כוללים מספר הסמכות לגורמים משירות הביטחון הכללי (שב”כ), מערך הסייבר הלאומי, ומהמחלקה הטכנולוגית של הממונה על הביטחון במשרד הביטחון (המלמ”ב) (“הגורמים המוסמכים“), אשר מאפשרות להם לפעול באופן יזום בעת חשש למתקפת סייבר כדי לנסות ולמנוע את ההתקפה ולצמצם את הנזק הפוטנציאלי ממנה. ראשית, בידם של הגורמים המוסמכים לפנות לחברות מהתחומים המנויים לעיל, אשר חוות מתקפת סייבר חמורה (כפי שזו מוגדרת בתקנות), ולעדכנם בקיומה של ההתקפה.

על פי התקנות, על החברות “לפעול באופן הולם”, ותוך זמן סביר בהתחשב במאפייני ההתקפה, כדי לעצור ולהכיל את ההתקפה, ולאחר מכן עליהן לדווח לגורם המוסמך שהודיע להם על ההתקפה מהן פעולות האבטחה שבוצעו, ולהגיש תצהיר חתום כי הן עומדות בדרישות התקן של NIST 800-53 Security and Privacy Controls for Information Systems and Organizations. באם לא יפעלו החברות כראוי ותוך זמן סביר לאיתור ועצירת המתקפה, ולא יגישו את התצהיר האמור – רשאי יהיה הגורם המוסמך להורות לחברות כיצד לפעול בכל הנוגע לחומר מחשב ולפעולות הקשורות בו לצורך איתור, מניעה ובלימת ההתקפה, וכן להורות להן למסור לו מסמכים או מידע אודות החברה במסגרת זו. למעשה, תקנות אלו מאפשרות לשב”כ, למלמ”ב ולמערך הסייבר להיכנס בנעליהם של גורמי אבטחת המידע בחברות אשר נמצאות תחת מתקפת סייבר, ולנהל במקומם, לפחות באופן חלקי, את אירוע הסייבר. יש לציין כי התקנות לא כוללות התייחסות לחובת דיווח של החברות לגורמים המוסמכים בעת אירוע סייבר.

תוקפן של תקנות אלו הוא חודש מיום פרסומן, קרי עד ה-27.12.2023.

בעקבות ריבוי אירועי הסייבר, וכן בשל התקנות והחוק המוצע, אנו ממליצים ללקוחותינו לבחון בהקדם את אמצעי הגנת הסייבר שלהם והאם הם תואמים את רמת הסיכון הנשקפת להם; את הנהלים הפנימיים שלהם הנוגעים לניהול והתמודדות עם אירועי סייבר; וכן את מוכנות צוותי התגובה לאירועי סייבר, והאם הם ערוכים להתמודדות עם אירועי סייבר – שכן ניהול נכון ומיטבי של האירוע יכול לצמצם את האפשרות של התערבות מצד הגורמים המוסמכים, ונזק אפשרי לחברה.