בעקבות תוכנית חדשה: האם יוחלט על מס סייבר בישראל?
מערך הסייבר רוצה להנחיל תכנית הגנה לספקים פרטיים של משרדי ממשלה. האם מדובר במס חדש שיגולגל לציבור? במערך טוענים:"עלות של אלפי ש"ח לכל ספק"
עמי רוחקס דומבה
| 10/12/2019
bigstockphoto
תוכנית חדשה של מערך הסייבר תחייב ספקי שירות של גופי ממשל ותשתית חיונית לעמוד בתקנות הגנת סייבר, כך פורסם ב"כלכליסט". על פי הפרסום, התוכנית תיצור תקן אחיד להגנת סייבר בקרב נותני שירות, שמיועד לשימוש גם במגזר הפרטי, במטרה לשפר את אבטחת מערכות המחשוב לכל אורך שרשרת האספקה.
לצד הרצון של המערך לשפר את אבטחת המידע של המשק הישראלי, עולה השאלה כמה תעלה רגולציה כזו. החלטת ממשלה מס' 2118 קובעת כי כל רגולציה חדשה, הן בחקיקה ראשית והן בחקיקה משנית, חייבת לכלול הליך של "הערכת השפעות רגולציה חדשה" (RIA- Regulatory Impact Assessment). הליך זה נועד להבטיח יצירת רגולציה מיטבית באמצעות מתודולוגיה המקובלת במדינות ה- OECD. המתודלוגיה כוללת בחינה של הצורך בהתערבות, הערכת חלופות ואמידת העלויות שהן מטילות על המשק.
הטענה פשוטה: אם הרגולציה עולה כסף לספקים של משרדי ממשלה, העלות תתגלגל לצרכן הסופי, וכך עלות המוצרים של אותם ספקים לצרכן תתייקר. גם אם נניח לרגע שאבטחת המידע של משרדי הממשלה באמת תשתפר בעקבות הצעדים, העלות תושת על הציבור. ובכן, על מנת להבין לעומק את ההשפעה הפיננסית של המהלך שיוזם מערך הסייבר, שאלתי אותו מספר שאלות.
בכמה עסקים מדובר לפי מיפוי שלכם?
"מדובר במאות ספקים מהותיים של משרדי ממשלה בלבד, בדרגות שונות של רמות סיכון ודרישות הגנה. הטמעת הסטנדרטים יחייבו רק ספקים מהותיים שזכו במכרז ורק בסוגי שירות או מוצר שפגיעת סייבר בהם עשויה לפגוע ברציפות תפקודית ובשירות לאזרח.
בכמה אתם מעריכים את עלות תוספת ההגנה הנדרשת הממוצעת לכל עסק המשמש כספק לגוף ממשלתי?
"להערכתנו מרבית הספקים המהותיים ישלימו את המתודה בצורה וולנטרית וספקים שהינם זכיינים של הממשלה יגלמו את עלות הבדיקה המסתכמת בכמה אלפי שקלים במסגרת ההתקשרות."
מה יקרה לעסק שלא יעמוד ברגולציה?
"אין מדובר ברגולציה מחייבת על כלל המשק אלא בדרישות למכרזים ממשלתיים בלבד - טיוב הנחיה שעסקה בנספח אבטחת מידע והותאמה לאיומי הסייבר על המשק הישראלי. מדובר רק בארגונים שניגשים למכרזים של משרדי ממשלה שיהיו מחויבים לעמוד בסטנדרטים כתנאי לעבודה עם משרדי ממשלה אם יזכו במכרז ורק בסוגים מסוימים של התקשרויות."
כיצד אתם בוחנים שהרגולציה אפקטיבית על ציר הזמן ושעסק לא "מבזבז" סתם כסף על הגנת מידע מיותרת?
"בדומה לכל התקשרות ממשלתית בהיבט התוצאה – בקרה ניאותה .ברמה הלאומית ירידה בהיקף תקיפות הסייבר באמצעות שרשרת האספקה. בהיבט איכות, לאורך זמן, תחקור התקיפות."
דרושה: בדיקת יעילות מקדימה
לסיכום, האם המהלך של מערך הסייבר יתברר כמס סייבר עקיף חדש בישראל? ובכן, תלוי את מי שואלים. המערך טוען כי מדובר בעלות זניחה למשרדי ממשלה ("וולונטרית" משמעותה ללא עלות). עם זאת, המציאות מראה שמשרדי ממשלה לא עובדים בחינם. אלא לכל משרד מוקצה תקציב שנתי שעם הגרעון המתקדם של ישראל, צפוי לקטון בעתיד הקרוב (בהנחת ממשלה אחראית). מכאן, שיש לראות מה תהיה ההוצאה האמיתית.
בהיבט של ספקים פרטיים שעובדים עם הממשלה, גם אם כל ספק יצטרך להשקיע אלפי ש"ח בודדים במהלך, מדובר באלפי ספקים. מכאן, ניתן להניח כי מדובר בעלות צפויה כוללת של עשרות מליוני ש"ח למשק שיתגלגלו לצרכנים הסופיים של אותם ספקים. כאמור, המערך סירב לנקוט בעלות צפויה כוללת למשק כמתחייב מהחלטת ממשלה מס' 2118. כנראה במטרה להפחית מרוע הגזירה.
אין ספק כי המהלך של המערך בהקשר שרשרת האספקה הגיוני בהקשר ההגנה הנדרשת בסייבר למשרדי ממשלה. עם זאת , בהעדר פרסום עלות כוללת למשק של המהלך וכלי בקרה ופיקוח שיאפשרו לציבור לבחון האם המהלך יניב את התוצאות הרצויות, הדרך בה מקודם המהלך מעלה סימני שאלה. אולי כדאי שהמערך יבצע ניסוי בקנה מידה קטן עם מספר ספקים בודד ויוכיח לציבור שהמהלך יעיל, טרם החלתו על כלל המשק.
מערך הסייבר רוצה להנחיל תכנית הגנה לספקים פרטיים של משרדי ממשלה. האם מדובר במס חדש שיגולגל לציבור? במערך טוענים:"עלות של אלפי ש"ח לכל ספק"
bigstockphoto
תוכנית חדשה של מערך הסייבר תחייב ספקי שירות של גופי ממשל ותשתית חיונית לעמוד בתקנות הגנת סייבר, כך פורסם ב"כלכליסט". על פי הפרסום, התוכנית תיצור תקן אחיד להגנת סייבר בקרב נותני שירות, שמיועד לשימוש גם במגזר הפרטי, במטרה לשפר את אבטחת מערכות המחשוב לכל אורך שרשרת האספקה.
לצד הרצון של המערך לשפר את אבטחת המידע של המשק הישראלי, עולה השאלה כמה תעלה רגולציה כזו. החלטת ממשלה מס' 2118 קובעת כי כל רגולציה חדשה, הן בחקיקה ראשית והן בחקיקה משנית, חייבת לכלול הליך של "הערכת השפעות רגולציה חדשה" (RIA- Regulatory Impact Assessment). הליך זה נועד להבטיח יצירת רגולציה מיטבית באמצעות מתודולוגיה המקובלת במדינות ה- OECD. המתודלוגיה כוללת בחינה של הצורך בהתערבות, הערכת חלופות ואמידת העלויות שהן מטילות על המשק.
הטענה פשוטה: אם הרגולציה עולה כסף לספקים של משרדי ממשלה, העלות תתגלגל לצרכן הסופי, וכך עלות המוצרים של אותם ספקים לצרכן תתייקר. גם אם נניח לרגע שאבטחת המידע של משרדי הממשלה באמת תשתפר בעקבות הצעדים, העלות תושת על הציבור. ובכן, על מנת להבין לעומק את ההשפעה הפיננסית של המהלך שיוזם מערך הסייבר, שאלתי אותו מספר שאלות.
בכמה עסקים מדובר לפי מיפוי שלכם?
"מדובר במאות ספקים מהותיים של משרדי ממשלה בלבד, בדרגות שונות של רמות סיכון ודרישות הגנה. הטמעת הסטנדרטים יחייבו רק ספקים מהותיים שזכו במכרז ורק בסוגי שירות או מוצר שפגיעת סייבר בהם עשויה לפגוע ברציפות תפקודית ובשירות לאזרח.
בכמה אתם מעריכים את עלות תוספת ההגנה הנדרשת הממוצעת לכל עסק המשמש כספק לגוף ממשלתי?
"להערכתנו מרבית הספקים המהותיים ישלימו את המתודה בצורה וולנטרית וספקים שהינם זכיינים של הממשלה יגלמו את עלות הבדיקה המסתכמת בכמה אלפי שקלים במסגרת ההתקשרות."
מה יקרה לעסק שלא יעמוד ברגולציה?
"אין מדובר ברגולציה מחייבת על כלל המשק אלא בדרישות למכרזים ממשלתיים בלבד - טיוב הנחיה שעסקה בנספח אבטחת מידע והותאמה לאיומי הסייבר על המשק הישראלי. מדובר רק בארגונים שניגשים למכרזים של משרדי ממשלה שיהיו מחויבים לעמוד בסטנדרטים כתנאי לעבודה עם משרדי ממשלה אם יזכו במכרז ורק בסוגים מסוימים של התקשרויות."
כיצד אתם בוחנים שהרגולציה אפקטיבית על ציר הזמן ושעסק לא "מבזבז" סתם כסף על הגנת מידע מיותרת?
"בדומה לכל התקשרות ממשלתית בהיבט התוצאה – בקרה ניאותה .ברמה הלאומית ירידה בהיקף תקיפות הסייבר באמצעות שרשרת האספקה. בהיבט איכות, לאורך זמן, תחקור התקיפות."
דרושה: בדיקת יעילות מקדימה
לסיכום, האם המהלך של מערך הסייבר יתברר כמס סייבר עקיף חדש בישראל? ובכן, תלוי את מי שואלים. המערך טוען כי מדובר בעלות זניחה למשרדי ממשלה ("וולונטרית" משמעותה ללא עלות). עם זאת, המציאות מראה שמשרדי ממשלה לא עובדים בחינם. אלא לכל משרד מוקצה תקציב שנתי שעם הגרעון המתקדם של ישראל, צפוי לקטון בעתיד הקרוב (בהנחת ממשלה אחראית). מכאן, שיש לראות מה תהיה ההוצאה האמיתית.
בהיבט של ספקים פרטיים שעובדים עם הממשלה, גם אם כל ספק יצטרך להשקיע אלפי ש"ח בודדים במהלך, מדובר באלפי ספקים. מכאן, ניתן להניח כי מדובר בעלות צפויה כוללת של עשרות מליוני ש"ח למשק שיתגלגלו לצרכנים הסופיים של אותם ספקים. כאמור, המערך סירב לנקוט בעלות צפויה כוללת למשק כמתחייב מהחלטת ממשלה מס' 2118. כנראה במטרה להפחית מרוע הגזירה.
אין ספק כי המהלך של המערך בהקשר שרשרת האספקה הגיוני בהקשר ההגנה הנדרשת בסייבר למשרדי ממשלה. עם זאת , בהעדר פרסום עלות כוללת למשק של המהלך וכלי בקרה ופיקוח שיאפשרו לציבור לבחון האם המהלך יניב את התוצאות הרצויות, הדרך בה מקודם המהלך מעלה סימני שאלה. אולי כדאי שהמערך יבצע ניסוי בקנה מידה קטן עם מספר ספקים בודד ויוכיח לציבור שהמהלך יעיל, טרם החלתו על כלל המשק.
