מנהל אגף הטכנולוגיה בשב״כ לשעבר: הוראת השעה למערך הסייבר פוגעת באמון הציבור - נדרשת חקיקה מסדרת
רון שמיר, לשעבר מנהל אגף הטכנולוגיה בשב״כ וחוקר אקדמאי סביב יחסי טכנולוגיה-דמוקרטיה, טוען כי מערך הסייבר לא צריך הוראת שעה כדי לממש את ייעודו. ראיון מיוחד
עמי רוחקס דומבה
| 28/02/2021
צילום: אורלי איל לוי
״הוגש תזכיר חוק למערך הסייבר לפני מספר שנים שקיבל ביקורת ציבורית רחבה״, אומר רון שמיר, לשעבר מנהל אגף הטכנולוגיה בשב״כ בראיון לישראל דיפנס. ״ניסיון להכניס בדלת האחורית את מה שרצה המערך בחוק, באמצעות עקיפה של הליך חקיקה מסודר, רגע לפני שהכנסת מתפזרת - לא ראוי ולא הולם. אין כאן סיכול פיגוע ׳מתקתק׳ ולכן הדחיפות לא ברורה. אם המערך בטוח בדרכו, שיחוקקו חוק בכנסת הבאה.״
מה הדחיפות?
שמיר מדגיש, שוב, שאם אם היה הכרח ביטחוני, אסטרטגי, או צורך לסכל פיגוע טרור, המערך יכול היה ׳לדפוק בדלת׳ של הארגון שנמצא תחת איום, להסביר, ולקבל תמיכה מאותו ארגון. ״זה לא המקרה״, אומר שמיר. ״האם זו תגובה לאירוע? או ראייה אסטרטגית?״
שמיר מתייחס גם להערכה כי בישראל חוששים מאירוע דוגמאת SolarWind או שירביט. גם באירוע כמו SolarWind, שמיר טוען כי מדובר באירוע שצו שופט לא היה עוזר. ״זה אירוע קלאסי של ׳חיילות פרט לקויה׳. לא מדובר על כלי מתוחכם במיוחד שפיתחו הרוסים לצורך האירוע, טרם ראינו הוכחה לכך. מדובר בשימוש בנוזקות ידועות שאפשרו כניסה לרשת (לאחרונה נמצא שאחד משרתי הקבצים בחברה אובטח עם הסיסמא SolarWind123)״, מסביר שמיר.
״במקום צו שופט והוראת שעה דרקונית, ניתן גם להגדיר בעת פרסום מכרז תנאי סף בתחום אבטחת מידע, כולל פיקוח נדרש. במקרה כזה, מי שניגש למכרז, לוקח על עצמו באופן וולונטרי את המחוייבות הנגזרת ואז הוא מחליט אם מתאים לו. אני גם מתקשה לחשוב על אירוע שבו מערך הסייבר אומרים לחברה עסקית, טרם האירוע, אנחנו רוצים על חשבוננו לעזור לכם עם ההגנה בסייבר והיא מתנגדת.״
הליך חקיקה. לא הוראת שעה
שמיר מדגיש את הצורך בחקיקה מסדרת לגוף ביטחוני. ״בזכותם של ראשי השב״כ הרלוונטים ומערך הייעוץ המשפטי בשב"כ, עומד חוק השב״כ. החוק עבר אין סוף תהליכי משוב, כולל בקרות ובקרות מפצות, וחוקק כמהלך ראוי במדינה דמוקרטית. אנו רואים כמה הדבר הזה חזק עד ימינו״, אומר שמיר. ״גם כיום, שיש איום על מוסדות המדינה, כאשר הדרג הפוליטי פוגע במערכת האיזונים והבלמים הנהוגים במדינה דמוקרטית, חוק השב״כ מחייב את ראש הממשלה וראש השירות וקובע כללים למערכת יחסים זו.
״החיונית של חוק למערך הסייבר רלוונטית להפעלה שלו. העדר חקיקה מאיים שאם תהיה הפעלה לא ראויה של הגוף הזה, לא נדע על זה אף פעם, בהעדר פיקוח. משום כך צריך הליך חקיקה מסודר. עד להשלמת החקיקה על המערך לעשות לפי יכולתו, בכלים שניתנו לו, בשיתוף פעולה עם המגזר העסקי.
״אם המערך יפנה לגוף עסקי, בהצעה לעזרה, מרבית הגופים יפתחו את הדלת, משום שהם ישמחו לסיוע בתחום המאתגר של הגנת הסייבר, בפרט כאשר מדובר בעזרה אמיתית בעקבות איום. צווים משופט והשתלטות על תפקיד מנהל אבטחת המידע לא יפתרו מה שאפשר לפתור בשיתוף פעולה מרצון.״
אף אחד לא מת מסייבר
שמיר גם טוען שצריך לשים את הסייבר בפרופורציה למול הפגיעה בפרטיות של אזרחים ועסקים בישראל. ״מהתקפות סייבר בד"כ לא מתים״, אומר שמיר. ״יש אולי מקרה אחד בבריטניה שנוטים להתלות עליו. לצורך השוואה, מהקורונה מתו כמעט 6000 איש בשנה, וגם במצב משברי זה צריך לאזן בין האתגר הבריאותי לבין הפגיעה בפרטיות. צריך להתאים את הפטיש למסמר.
״מרבית מתקפות הסייבר עושות שימוש בדברים הכי טריוואלים. ברוב המקרים זה דוא״ל עם לינק או קובץ מצורף, נכנסה נוזקה ידועה, מערכות ההפעלה לא היו מעודכנות ומשם התוקפים התקדמו. בשביל זה צריך הוראת שעה וצו שופט? לא. לכן מערך הסייבר צריך לעסוק בהדרכה, הגברת מודעות, עזרה לעסקים, מתן התראות ואת מי שמנמנם בשמירה - להעיר.״
האם הוראת השעה היא סכנה לדמוקרטיה הישראלית?
״אני חושש לדמוקרטיה הישראלית באופן כללי. זו לא תקופה טובה לדמוקרטיה בישראל. יש סיבות לדאוג עוד לפני הסיפור של מערך הסייבר״, מסביר שמיר. ״אני חושב שלב העניין, בדמוקרטיה הוא אמון הציבור במערכת. מי שהפסיד בבחירות, צריך להאמין שהוא הפסיד ביושר. אחרת עולים על גבעת הקפיטול. המערך כפוף לראש הממשלה ואין פיקוח בחקיקה על המערך - זה פוגע באמון הציבור. גם אם ראש הממשלה לא ינצל לרעה את הסמכויות של מערך הסייבר, האמון נפגע כאשר הוראת השעה מחליפה חקיקה.
״אם המערך יפעל על מנת שהכנסת תחוקק את הסדרתו, הוא ירוויח את אמון הציבור. בכל מקום שיש הוראת שעה, במקום חקיקה, זה הולך למקומות לא טובים. זה מסוכן, והזמני הופך פעמים רבות לקבוע. עדיפה דרך המלך של הליך חקיקה מסודר ושקוף לציבור.״
רון שמיר, לשעבר מנהל אגף הטכנולוגיה בשב״כ וחוקר אקדמאי סביב יחסי טכנולוגיה-דמוקרטיה, טוען כי מערך הסייבר לא צריך הוראת שעה כדי לממש את ייעודו. ראיון מיוחד
צילום: אורלי איל לוי
״הוגש תזכיר חוק למערך הסייבר לפני מספר שנים שקיבל ביקורת ציבורית רחבה״, אומר רון שמיר, לשעבר מנהל אגף הטכנולוגיה בשב״כ בראיון לישראל דיפנס. ״ניסיון להכניס בדלת האחורית את מה שרצה המערך בחוק, באמצעות עקיפה של הליך חקיקה מסודר, רגע לפני שהכנסת מתפזרת - לא ראוי ולא הולם. אין כאן סיכול פיגוע ׳מתקתק׳ ולכן הדחיפות לא ברורה. אם המערך בטוח בדרכו, שיחוקקו חוק בכנסת הבאה.״
מה הדחיפות?
שמיר מדגיש, שוב, שאם אם היה הכרח ביטחוני, אסטרטגי, או צורך לסכל פיגוע טרור, המערך יכול היה ׳לדפוק בדלת׳ של הארגון שנמצא תחת איום, להסביר, ולקבל תמיכה מאותו ארגון. ״זה לא המקרה״, אומר שמיר. ״האם זו תגובה לאירוע? או ראייה אסטרטגית?״
שמיר מתייחס גם להערכה כי בישראל חוששים מאירוע דוגמאת SolarWind או שירביט. גם באירוע כמו SolarWind, שמיר טוען כי מדובר באירוע שצו שופט לא היה עוזר. ״זה אירוע קלאסי של ׳חיילות פרט לקויה׳. לא מדובר על כלי מתוחכם במיוחד שפיתחו הרוסים לצורך האירוע, טרם ראינו הוכחה לכך. מדובר בשימוש בנוזקות ידועות שאפשרו כניסה לרשת (לאחרונה נמצא שאחד משרתי הקבצים בחברה אובטח עם הסיסמא SolarWind123)״, מסביר שמיר.
״במקום צו שופט והוראת שעה דרקונית, ניתן גם להגדיר בעת פרסום מכרז תנאי סף בתחום אבטחת מידע, כולל פיקוח נדרש. במקרה כזה, מי שניגש למכרז, לוקח על עצמו באופן וולונטרי את המחוייבות הנגזרת ואז הוא מחליט אם מתאים לו. אני גם מתקשה לחשוב על אירוע שבו מערך הסייבר אומרים לחברה עסקית, טרם האירוע, אנחנו רוצים על חשבוננו לעזור לכם עם ההגנה בסייבר והיא מתנגדת.״
הליך חקיקה. לא הוראת שעה
שמיר מדגיש את הצורך בחקיקה מסדרת לגוף ביטחוני. ״בזכותם של ראשי השב״כ הרלוונטים ומערך הייעוץ המשפטי בשב"כ, עומד חוק השב״כ. החוק עבר אין סוף תהליכי משוב, כולל בקרות ובקרות מפצות, וחוקק כמהלך ראוי במדינה דמוקרטית. אנו רואים כמה הדבר הזה חזק עד ימינו״, אומר שמיר. ״גם כיום, שיש איום על מוסדות המדינה, כאשר הדרג הפוליטי פוגע במערכת האיזונים והבלמים הנהוגים במדינה דמוקרטית, חוק השב״כ מחייב את ראש הממשלה וראש השירות וקובע כללים למערכת יחסים זו.
״החיונית של חוק למערך הסייבר רלוונטית להפעלה שלו. העדר חקיקה מאיים שאם תהיה הפעלה לא ראויה של הגוף הזה, לא נדע על זה אף פעם, בהעדר פיקוח. משום כך צריך הליך חקיקה מסודר. עד להשלמת החקיקה על המערך לעשות לפי יכולתו, בכלים שניתנו לו, בשיתוף פעולה עם המגזר העסקי.
״אם המערך יפנה לגוף עסקי, בהצעה לעזרה, מרבית הגופים יפתחו את הדלת, משום שהם ישמחו לסיוע בתחום המאתגר של הגנת הסייבר, בפרט כאשר מדובר בעזרה אמיתית בעקבות איום. צווים משופט והשתלטות על תפקיד מנהל אבטחת המידע לא יפתרו מה שאפשר לפתור בשיתוף פעולה מרצון.״
אף אחד לא מת מסייבר
שמיר גם טוען שצריך לשים את הסייבר בפרופורציה למול הפגיעה בפרטיות של אזרחים ועסקים בישראל. ״מהתקפות סייבר בד"כ לא מתים״, אומר שמיר. ״יש אולי מקרה אחד בבריטניה שנוטים להתלות עליו. לצורך השוואה, מהקורונה מתו כמעט 6000 איש בשנה, וגם במצב משברי זה צריך לאזן בין האתגר הבריאותי לבין הפגיעה בפרטיות. צריך להתאים את הפטיש למסמר.
״מרבית מתקפות הסייבר עושות שימוש בדברים הכי טריוואלים. ברוב המקרים זה דוא״ל עם לינק או קובץ מצורף, נכנסה נוזקה ידועה, מערכות ההפעלה לא היו מעודכנות ומשם התוקפים התקדמו. בשביל זה צריך הוראת שעה וצו שופט? לא. לכן מערך הסייבר צריך לעסוק בהדרכה, הגברת מודעות, עזרה לעסקים, מתן התראות ואת מי שמנמנם בשמירה - להעיר.״
האם הוראת השעה היא סכנה לדמוקרטיה הישראלית?
״אני חושש לדמוקרטיה הישראלית באופן כללי. זו לא תקופה טובה לדמוקרטיה בישראל. יש סיבות לדאוג עוד לפני הסיפור של מערך הסייבר״, מסביר שמיר. ״אני חושב שלב העניין, בדמוקרטיה הוא אמון הציבור במערכת. מי שהפסיד בבחירות, צריך להאמין שהוא הפסיד ביושר. אחרת עולים על גבעת הקפיטול. המערך כפוף לראש הממשלה ואין פיקוח בחקיקה על המערך - זה פוגע באמון הציבור. גם אם ראש הממשלה לא ינצל לרעה את הסמכויות של מערך הסייבר, האמון נפגע כאשר הוראת השעה מחליפה חקיקה.
״אם המערך יפעל על מנת שהכנסת תחוקק את הסדרתו, הוא ירוויח את אמון הציבור. בכל מקום שיש הוראת שעה, במקום חקיקה, זה הולך למקומות לא טובים. זה מסוכן, והזמני הופך פעמים רבות לקבוע. עדיפה דרך המלך של הליך חקיקה מסודר ושקוף לציבור.״
