ועדת המשנה של ועדת החוץ והביטחון לנושא ההגנה בסייבר ניהלה בשנה האחרונה שורה של סיורים ודיונים כדי ללמוד ולפקח על אופן ההיערכות המדינתית להגנת הסייבר, ולבחון את משמעויות החלטת הממשלה על הקמת רשות הסייבר הלאומית ואופן מימושה, וסיכמה את עבודתה בדוח בנושא.
מטרת הדוח לבחון את חלוקת האחריות והסמכויות הרצויה, בין כלל גופי הגנת הסייבר, שתאפשר את מתן המענה המתאים ביותר לסוגי האיומים השונים. הדוח מציג את הבנות הוועדה לגבי חלוקת האחריות הרצויה, תוך הבעת עמדתה לגבי מהלכים נדרשים, או כאלה שיש להימנע מהם, בסוגיות אותן היא רואה קריטיות בהמשך התהליך.
עיקרי המסקנות וההמלצות של הוועדה:
- איום התקיפה בסייבר מהווה אתגר גובר למדינת ישראל. הממשלה וגופי הביטחון זיהו היטב ובזמן את האתגר, והחלו בשנים האחרונות לנקוט צעדים חשובים לגיבוש מענה התואם את עוצמת האיום.
- הקמת רשות הסייבר הלאומית יצרה דילמות ביחס לחלוקת האחריות בין הרשות לבין גופי הביטחון, שנבעו מתפישות שונות ביחס לאיום הסייבר ולאסטרטגיית ההגנה הנכונה, ומחשש מכניסתו של גוף חדש, שעלול ללא פיקוח נכון להפוך לגוף בעל יכולת החורגת מהנדרש.
- אין גוף אחד שיש לו יכולת בלעדית להתמודד עם האתגר ומתחייב שיתוף פעולה הדוק בין כלל הגורמים, על יתרונותיהם היחסיים. הוועדה נחשפה במהלך עבודתה למחלוקות ואף לחיכוכים בין הגופים השונים, והעירה על כך, והיא רואה כעת בחיוב את ההבנות שהושגו לאחרונה בין הגופים.
- הוועדה רואה חשיבות רבה בהקמת רשות הסייבר הלאומית וסבורה כי הרשות צריכה להיות הגורם האחראי להגנת הסייבר במדינת ישראל. היא תדע לשקול שיקולים אזרחיים-מדיניים לצד ביטחוניים, ותהנה מנגישות למגזר האזרחי, למערכת הביטחונית ולשותפיה בקהילה הבינלאומית.
- באחריות הרשות יהיו חיזוק החוסן המדינתי, הכוונה איסופית וניהול ותכלול אירועי תקיפה על יעדים ישראלים. היא תקבל גם את האחריות להנחיית התשתיות הקריטיות שעד כה נמצאת בידי השב"כ (הוראת השעה המאפשרת זאת אושרה הבוקר במליאת הוועדה). הגופים הביטחוניים ימשיכו להיות אחראים על הגנתם, ויובילו את הפעילות האיסופית ובעלת המאפיינים הביטחוניים להגנה בסייבר. בהסדרה המוצעת יש פתח לחילוקי דעות וקשיים בהטלת מרות, וחייב להיקבע מנגנון ברור לניהול מחלוקות עתידיות.
- בכל מקרה, אין להפוך את הרשות לסוכנות מודיעין נוספת. הרשות תתבסס על יכולות האיסוף של גופי המודיעין הקיימים ועל מידע גלוי שהיא תקבל באמצעות אנשיה.
- הוועדה לא השתכנעה בצורך בקיומן של שתי יחידות סמך עצמאיות במשרד ראש הממשלה, מטה הסייבר ורשות הסייבר, המהוות יחדיו את מערך הסייבר הלאומי. תהליכי העבודה, כפי שהוצגו לוועדה, מייתרים למעשה את משמעות כפיפותו של ראש הרשות לראש המערך. ראש הרשות עצמאי בליבת עשייתו, ההגנה בסייבר, ולא מחויב לקבל אישור מראש המערך להחלטותיו ולפעולותיו בתחום.
- הוועדה מברכת על עשייתו ותרומתו של מטה הסייבר, כגוף שמנותק מהאירועים השוטפים ושפועל כמשימה מרכזית להפיכתה של ישראל למדינה מובילה בהגנה בסייבר. עם זאת, הוועדה סבורה שיש לבחון את מיקומו הנכון של המטה ותמשיך לבחון את הנושא.
נוסח חוק הסייבר המתגבש חייב להיכתב תוך שיתוף ומעורבות כלל הגורמים הרלוונטיים במערכת הביטחונית והאזרחית. יש לוודא שהחוק יבטיח שכניסתה של הרשות כשחקן חדש לא תפרוץ את המגבלות שהוטלו עד היום על השב"כ בכל הקשור להקפדה על זכויות הפרט.
בתוך כך, ועדת החוץ והביטחון אישרה (יום ב', 1.8.16), ברוב קולות, לקריאה שנייה ושלישית, את הצעת חוק להסדרת הביטחון בגופים ציבוריים (הוראת שעה). הוראת השעה מאפשרת את העברת האחריות בנושא הגנת הסייבר, ברוב הגופים אשר להם מערכות ממוחשבות חיוניות, משירות הביטחון הכללי לרשות הלאומית להגנת הסייבר. הוראת השעה קובעת את חלוקת הסמכויות בין שני הגופים, בנושא זה, ואת האופן בו תתבצע העברת האחריות.
הוועדה קבעה כי על העברת האחריות להסתיים עד ליום 31.7.17, כאשר שירות הביטחון הכללי הוא האחראי לדווח לוועדה על ההתקדמות ככל שיתבקש, והוא גם האחראי להודיע לכל גוף תשתיות קריטי 60 יום לפני ביצוע העברת האחריות, עם עצם ההעברה.
ד"ר
אביתר מתניה, ראש מערך הסייבר, ביקש מהוועדה לשקול לאשר את הצעת החוק שלא במסגרת הוראת שעה ואמר: "חייבים להביא את האנשים הכי טובים ואת המערכות הכי מקצועיות. הם לא יעזבו משרות טובות בשירות הציבורי או במגזר הפרטי בשביל מקום זמני. גם שיתוף הפעולה מצד הגופים עליהם תועבר האחריות יכול להיות חלקי, אם יחשבו שמדובר בגוף שאחראי עליהם באופן זמני בלבד. התהליך הטוב ביותר הוא זה שלא משאיר מקום לספק".
ח"כ עמר בר לב (
המחנה הציוני) ביקש לקבוע הוראת שעה קצרה, שכן ממילא ההסכמה לאשר את הצעת החוק, שלא במסגרת "חוק הסייבר" הרחב יותר, הוא כדי לא לעקב את תחילת עבודתה של הרשות. ח"כ בר לב הביע חשש כי הוראת שעה ארוכה יכולה להוריד את האינטנסיביות של העבודה על "חוק הסייבר".
ההסכמה שהושגה בוועדה הייתה כי תוקפה של הוראת השעה יהיה עד 31.12.18, כדי שעבודת הרשות תיבחן שנה וחצי לאחר סיום העברת הסמכויות, ובמקביל תמשיך הוועדה לדחוף לקידומו של "חוק הסייבר", אשר תסדיר את ההיבטים הרבים והנרחבים של כלל הגנת הסייבר בישראל.
"חוק הסייבר הוא אינטרס של כלל הגופים, כולל של הוועדה", קבע יו"ר הוועדה, ח"כ דיכטר, בסיום הדיון, והוסיף "ברור כי הוועדה תמשיך לדחוף לקידומו המהיר במקביל לפעולת הרשות, אשר חייבים שתתחיל לפעול".