חומר רקע
נגה רובינשטיין
, שות פה
טלפון :
073-3202021
[email protected]
לכבוד
6 ב
מרץ
2025
ח"כ אוהד טל ו' אדר
תשפ"ה
יו"ר הוועדה
למיזמים ציבוריים
בדוא"ל
,שלום רב
:הנדון ה צעת חוק תקשורת דיגיטלית– יוצרת חשיפה
רחבה לתקיפות סייבר
בלא הגנה
בשם
)איגוד בתי הדפוס (הכולל את דפוס בארי, אורדע פרינט ודפוס אניה,
נבקש
להתייחס לכך ש
בפרק המוצע ב חוק
תקשורת דיגיטלית
עם
גופים ציבוריים, התשע"ח -
2018
"(החוק" " או חוק תקשורת הדיגיטלית )"המונח בפני הוועדה,
נעדר מנגנו
ן כלשה
ו
.לצורך התמודדות עם אירועי סייבר חסר זה בולט במיוחד בהביא בחשבון שהמחוקק סבר, ואף כלל
לפני שנים ס
פ
ורות, ב סעיף3
)ג(א לחוק ., חובה לקיומו של מנגנון כאמור אנו סבורים כי טרם כניסת החוק לתוקף על גורמי
הממשלה להבטיח
מנגנוני התמודדות
.מול תקיפות סייבר
כמו כן, יש ל השיב לנוסח ההצעה
את המנגנון שנקבע בפרק הדיוור הדיגיטלי ביחס
להזדהות במקרה של מידע רגיש .
מנגנון ש
הושמט בנוסח שפורסם היום על ידי הוועדה .
נציין את ה
ובן מ
:מאליו בתי הדפוס הם גופים בעל אינטרס עסקי ב
נוגע ל
הצעת החוק .מובן גם, כי לו הגורם
המוביל את
הצעת החוק, היה מבצע גילוי נאות ומלא
באשר למשמעויותיה, השלכותיה והסכנות
לפרטיותם ולב
י טחונם של אזרחי
,ישראל הנגזרים מההצעה, בצד בתי הדפוס היו ניצבים
בוועדה אזרחים רבים.
בתי הדפוס הנכללים בפורום בתי הדפוס, משקיעים רבות כדי לעמוד בדרישות מחמירות בתחום הסייבר והפרטיות ,
מכירים ומודעים לאינטרסים הציבוריים ול סכנות שבמאגרי מידע עצומים ללא דרישות, ולו מינימליות, של אבטחת
.מידע בתי
הדפוס סבורים כי על גורמי הממשלה לעמוד
גם
הם
בסטנדרטים
הולמים בתחום הסייבר והפרטיות.
א.
יש
להגדיר את מערך הסייבר הלאומי כגורם מפקח ומאשר
1.
הוועדה
בראשותך דנה בשבועות האחרונים
בתיקון לחוק,
המבקש לחייב גופים ציבוריים שבכללם: רשויות
מקומיות, הביטוח הלאומי, רשות שדות התעופה ורשות התעסוקה, בהנגשה דיגיטלית של"שירותים נפוצים"
.
2.
אנו סבורים כי החקיקה במתכונתה הנוכחית,
חושפת את אזרחי ישראל לסיכונים משמעותיים הן בהיבטי סייבר
והן בהיבטי פרטיות, ועל אף ש
הסכנות
חזרו ועלו בדיוני הוועדה–
לא ניתן לה
ן מענה
. בוודאי שלא מענה מספק .
3.
ב סעיף3
)ג(א לחוק , אשר תוקן בשנת2022
,המחוקק קבע
כי שירותים
דיגיטליים יונגשו
באמצעות מערכות
.ממשלתיות מאושרות
כלומר , מערכות דיגיטליות שנבדקו על ידי מערך הסייבר
הלאומי ,ואושרו על ידו. כעת ,
אגף התקציבים עומד על כך,
כי
שירותים
דיגיטליים בהיקפים רבים פי כמה וכמה ,, אשר תהא חובה להנגישם
לא יידרשו
לפעול
.במסגרת מערכת ממשלתית מאושרת
4.
כפי שיפורט להלן, אין כל סיבה להבחין בהקשר הזה בין סעיף3ג ל
חוק
,לבין הצעת החוק
ו גם בהצעת החוק יש
לקבוע
,חובה להשתמש אך ורק במערכת ממשלתית מאושרת
כפי ש יפורט
להלן .
2
ב.
א יומי הסייבר
ג
ברו באופן משמעותי
5.
בשלוש השנים האחרונות
איומי הסייבר ואיומי הפרטיות גבוהים לאין שיעור מאלה שהיו קיימים בשנת2022
.
6.
מאז תוקן פרק הדיוור הדיגיטלי בחוק , פרצה לצערנו, מלחמת חרבות ברזל, אשר לצד הנפגעים הרבים שהפילה
בגוף ובנפש, הביאה גם לתקיפות סייבר נרחבות על גופים ישראליים
, ובכלל זה גם על אתרים ממשלתיים.
7.
בחודש
בדצמבר2023
פרסם מערך הסייבר הלאומי דו"ח שכותרתו :: "מלחמת 'חרבות ברזל' במימד הסייבר
"( "תובנות ודרכי התמודדות
דוח חרבות ברזל .)"
8.
בדוח חרבות ברזל נכתב,
" :בין היתר
זוהו כ -
15
.קבוצות תקיפה עיקריות הפועלות במרחב הסייבר הישראלי
קבוצות אלו מזוהות כמשויכות לאיראן, חמאס וחיזבאללה ומרביתן משתפות ביניהן מידע מודיעיני, שיטות
וכלים, לטובת מימוש מגוון סוגי תקיפות נגד הנכסים בישראל מולם הן פועלות ."
9.
דוח חרבות ברזל התייחס ל תקיפות שונות שבוצעו במהלך המלחמה נגד מטרות ישראליות (תקיפת מצלמות, מבצעי
.)השפעה, תקיפות דיג עוד צוין
ש .""ככל שהלחימה מתארכת, תעוזה ויצירתיות התוקפים גוברת
10
.
,דוח חרבות ברזל התייחס לתובנות שונות מתקופת המלחמה: יכולת התאוששות יצירת מספר גיבויים, וידוא בדבר
יכולת שחזור, שימוש ב-
GeoLocation
למניעת גישת תוקפים מחו"ל ו הגברת אבטחה של חדרי שרתים. כמו כן
,נכללו בדוח חרבות ברזל המלצות מעשיות: הקטנת משטח התקיפה של הארגון, ביצוע עדכונים של אבטחת מידע
הימנעות משימוש בתווך האינטרנט
ל .מתן גישה לממשקי הניהול, הגדרה חזקה עבור משתמשים מרחוק ועוד
11
.
מצופה היה שלאחר פירוט הסיכונים, התובנות וההמלצות, יתייצב ,הגורם הממשלתי האמון על הנושא מערך
הסייבר הלאומי,
בדיוני
הוועדה
ויעמוד על כך שהמערכת שבאמצעותה יונגש השירות הנפוץ, תאושר על ידי
.המערך. אולם קולו של מערך הסייבר הלאומי לא נשמע בדיונים
ג.
אסטרטגיה לאומית להגנה בסייבר
12
.
,בסוף חודש פברואר האחרון
פרסם מערך הסייבר הלאומי מסמך בנושא
""אסטרטגיה לאומית להגנה בסייבר
"(
מסמך
ה
אסטרטגיה .)"
13
. מסמך האסטרטגיה,
,בדומה לדוח חרבות ברזל עוסק
ב
משמעויות ו ב נזקים הכבדים שנגרמו כתוצאה ממלחמת
חרבות ברזל. מסמך האסטרטגיה
מ
תייחס, בין היתר,
למשמעויות הכלכליות של תקיפות הסייבר, הנאמדות בסכום
של12
, בשנה. כמו כן₪ מיליארד
ה מסמך האסטרטגיה מתייחס לחשיפה שגברה בתחום הסייבר עם הרחבת היקף
השימוש בטכנולוגייתAI
.
14
.
מסמך האסטרטגיה עומד על
ה
צורך בפעילות משולבת, של כלל גופי הממשלה, נגד התקפות הסייבר , שכן גוף אחד
לא יוכל להתמודד לבדו מול מערכה מורכבת זו .
15
.
:בנוסף כלל מסמך האסטרטגיה כמה המלצות מעשיות
•
חובה
לגבש
מדיניות ברורה בתחום ההזדהות (חמישית מהתקיפות נעשות באמצעות גניבת זהות דיגיטלית) .
•
הצורך במתן
סמכויות לרגולטוריים מגזריים בתחום הסייבר ,וחקיקת חוק
.בנושא
•
קביעת
סטנדרטיים ממשלתיים
.)'בתחום הסייבר (במכרזים וכד
3
•
קביעת
חובת עיצוב
.לסייבר
•
היערכות לתקיפ
ת פתע
.בתחום הסייבר
16
.
על אף הדברים הברורים שנכתבו במסמך האסטרטגיה שפורסם
במקביל לדיונים בהצעת החוק ,
,כאמור קולם
של נציגי מערך הסייבר הלאומי בוועדה שבראשותך
לא נשמע
ובוודאי שההמלצות המופיעות בדוח לא קיבלו
.ביטוי בהצעת החוק הנבחנת בוועדה
17
.
,בנוסף, נוסח ההצעה שעלה היום לאתר הוועדה, כולל נסיגה בכל הנוגע לדרישת ההזדהות במקרה של מידע רגיש
וזאת על אף שמדובר באחד הסיכונים המשמעותיים ביותר
ולמרות שבהעדר כלים ופיקוח, אין מקום להעניק
.לגופים הציבוריים שיקול דעת רחב כל כך בנוגע לכך
18
.
,על כן
חובה להגדיר את מערך הסייבר כגוף המוסמך לאשר ולפקח על המערכות הדיגיטליות,
שבאמצעותן
הממשלה תנגיש
את השירותים הנפוצים לאזרח. כמו כן, יש להשית על הגופים הציבוריים השונים חובת
עיצוב לסייבר כפי שמופיע במסמך האסטרטגיה.
ד.
ה צורך במערכת מאושרת נדרש במיוחד בהצעת החוק
19
. ב סעיף6ג(א) ל פרק הדיוור הדיגיטלי שבחוק
תקשורת דיגיטלית ,
נקבע שהמסרים האלקטרוניים יישלחו על ידי
הרשות במערכת מאושרת, ככל שמדובר במסרים המקיימים את
חזקת המסירה .
20
.
פרק הדיוור הדיגיטלי בחוק מתייחס למשלוח
מסרים אלקטרוניים
באופן וולונטארי, הן מצד הרשות והן מצד
,האזרח. כלומר לפי פרק הדיוור הדיגיטלי הרשות המינהלית אינה מחויבת לשלוח דואר באופן דיגיטלי, והאזרח
.אינו מחויב לקבל דואר בדרך זו
21
. אם בנסיבות שבהן הדיוור הדיגיטלי , שירות שניתן באופן
וולונטארי(מצד האזרח ומצד הרשות)
, נדרשת הרשות
לעמוד בסטנדרטים של אבטחת סייבר, הרי שעל אחת כמה וכמה, שבנסיבות שבהן מדובר בחובה המוטלת על
הרשות, היא תידרש לעמוד בסטנדרט זה. שכן, בעוד שלרשות הפועלת באופן וולונט א רי ניתן שיקול דעת לבחור
אם לשלוח דואר באמצעים דיגיטליים אם לאו, ובמסגרת זו לבחון אם השירות המוצע לציבור מניח את הדעת
בהיבטי סייבר, לרשות המחויבת לפעול בדרך מסוימת אין שיקול דעת, וממילא יש לוודא
ש היא עומדת
.בסטנדרט המתחייב
ה.
הרשויות המקומיות אינן כפופות למערך הסייבר ויש להחריגן מהחוק
22
. בדיוני הוועדה שנערכו עד כה נאמר באופן ברור על ידי גורמי הממשלה , כי
הרשויות
המקומיות אינן כפופות
למערך
הדיגיטל הלאומי וכי אין גוף א
שר
.מפקח על פעילותן בתחום הסייבר
23
. מצב עובדתי זה ,, בצירוף המסקנות שנכתבו בדוח מבקר המדינה שעסק בנושא1 מחייב
ים
להוציא מתחולת החוק
.את הרשויות המקומיות
24
.
שהרי
כיצד יקבע ה מחוקק חובה
ה ,מרחיבה לאין שיעור את החשיפה בתחום הסייבר על גופים ציבוריים מבלי
שקיים גורם כלשהו המפקח על פעילות?ם
1
,מבקר המדינה
ההיערכות הממשלתית ליישום טכנולוגיות מתקדמות ברשויות המקומיות- מיזם ערים חכמות ', עמ436
(
4.5.2020
.)
4
25
. בייחוד אמורים הדברים, שעה שבישראל ,, בשונה ממדינות רבות בעולם לא נחקק חוק בתחום הסייבר
והממשלה עצרה את קידומו ., כך שתחום זה פרוץ לחלוטין
ו .
מ
ענה הרשות: לקונה בהצעת החוק מחריפה את החשיפות לפרטיות ולאבטחת המידע
26
. נציגי הממשלה חוזרים וטוענים ב
מהלך דיוני הכנת החוק לקריאה שניה ושלישית , כי החוק מתייחס אך ורק
להנגשת שירותים נפוצים
מצד האזרח
, ו כי הוא אינו מתייחס למענה שיינתן על ידי הרשות. מענה מצד הרשות
כך טוענת הממשלה, נעשה כבר כיום באופנים שונים כמופיע בפרק 'ג
לחוק תקשורת דיגיטלית , והוא כפוף
לחובות הכלליות מכוח דיני הגנת הפרטיות ודיני הגנת הסייבר .
27
. ואולם ,תשובת נציגי הממשלה לשאלות הוועדה
אינה
עולה בקנה אחד עם לשון החוק .
28
.
תשובת נציגי הממשלה מתעלמת מהשונות הקיימת בין פרק 'ג לחוק לבין הצעת החוק .
29
.
,כאמור כיום רשויות מינהליות
רשאיות
להנגיש שירותים דיגיטליים לאזרח, אך הן אינן חייבות בכך. הרשויות
נוטלות לעצמן את הסיכון
לאחר הפעלת שיקול
דעת
אם להנגיש שירות דיגיטלי לאזרח, אם לאו, תוך שהן
.סוברניות לשקול אם בכוחן לעמוד בדרישות הפרטיות והסייבר השונות
30
. ברגע ש
תחול
,חובה שבדין על כלל הרשויות להנגיש שירותים דיגיטליים, ניטל מהן כאמור שיקול הדעת. ממילא
הן ינגישו את השירות הדיגיטלי ,גם אם אינו עומד בסטנדרט הנדרש
וממילא יונגש על ידן באופן דומה
גם
המענה שייתנו.
31
. באופן הזה, אפשר שאזרח הפונה לרשות מתוך הנחה,
כי היא עומדת בסטנדרטיים המחמירים ביותר, יקבל
מענה באמצעות ,דואר אלקטרוני
ה-
Gmail
(או כל מייל פרטי אחר)
, אשר חשוף לפגיעות רבות. שכן על פי הנוסח
הנוכחי המונח בפני הוועדה, אין כל מניעה שהרשות תעשה זאת. גם אין כל מניעה שהרשות תשיב באופן הזה
.לאזרח, גם כשמדובר במידע רגיש במיוחד
32
. נוסח הוועדה
,שפורסם היום
'המכפיף את המענה לפרק ג
אינו מספק, שכן הוא מאפשר לרשויות שיקול דעת
רחב מאוד באופן משלוח המענה, ואינו קובע סטנד
רטיים ברורים , כמו אלה הקבועים בסעיף3
.ג(א) לחוק
33
. סעיף 3
)ג(א לחוק מתייחס לנסיבות שבהן משלוח ה
מסר האלקטרוני יגבש את חזקת המ
סירה הקבועה
,בדין
ולכן קבע
המחוקק שורה של תנאים וסטנדרטיים ב
היבטי פרטיות
.ובהיבטי סייבר
34
. הצעת החוק דו
מה,
,כאמור הרבה
יותר לנסיבותיו של סעיף3
ג(א) לחוק, שכן הצעת החוק מטילה
חובה על הרשות
להנגיש
את השירות הנפוץ , ולא בפעולה הנעשית בהתאם לשיקול דעתה. בנסיבות אלה יש להקפיד במיוחד על
המענה שיינתן על יד י הרשות , ולקבוע כי הוא יוכפף לסעיף6ג(א) לחוק תקשורת דיגיטלית , על התנאים והמגבלות
הקבועים בו. עניין זה נחוץ במיוחד
, נוכח החלל ה משמעותי שקיים בת
חום ה
סייבר והס ,יכונים הנשקפים
כמשתקף מה.דוחות השונים ומדיוני הוועדה
35
.
בנסיבות אלה יש לקבוע באופן ברור, כי המענה שיישלח על ידי הרשות י עמוד בכל הסטנדרטיים
שנקבעו בסעיף3ג(א) לחוק תקשורת דיגיטלית .
5
ז.
סיכום
36
.
נבקש
אפוא לקבוע את
:ההסדרים הבאים
- שירותים נפוצים יונגשו במערכת ממשלתית מאושרת בלבד .
- המענה שיינתן לאזרח יהיה בכפוף לקבוע בסעיף 3
)ג(א
לחוק תקשורת דיגיטלית .
- ההזדהות במקרה של מידע רגיש תיעשה בהתאם לקבוע בפרק הדיוור הדיגיטלי.
- הטמעת
טכנולוגיות שבאמצעותן יונגשו שירותים נפוצים, תיעשה
בכפוף לעיצוב לסייבר ועיצוב לפרטיות .
,בכבוד רב
נגה רובינשטיין, עו"ד
:העתק
ח ברי הוועדה למ יזמים ציבוריים
עו"ד נירה לאמעי-
,רכלבסקי
היועצת המשפטית לוועדה למ
י זמים ציבוריים