חומר רקע
עמוד1
מתוך3
1
מדיניות הגנת סייבר בלמ"ס
שבט תשפ"ב
ינואר2022
ל
כבוד: ועדת חוקה, חוק ומשפט של הכנסת
הנדון: עמדת
מערך הסייבר הלאומי בנוגע להצעת חוק הדיוור הדיגיטלי
1
.
לבקשת יו"ר הוועדה, מוגשת עמדת מערך הסייבר הלאומי 'ביחס לפרק ב)(דיוור דיגיטלי
מתוך
הצעת חוק התכנית הכלכלית (תיקוני חקיקה ליישום המדיניות הכלכלית לשנות התקציב
2021
ו-
2022
,)התשפ"א-
2021
(
)להלן: הצעת החוק, שפוצלה מתוך חוק ההסדרים ונדונה בימים
אלו
בפני הוועדה בהכנה לקריאה שניה ושלישי.ת
2
.
מערך הסייבר הלאומי במשרד ראש הממשלה פועל בהתאם להחלטות הממשלה1
ומדיניותה
לקדם את הגנת הסייבר במשק הישראלי. המערך הוא הגורם המוסמך לפי החוק להסדרת
הביטחון בגופים ציבורים, התשנ"ח-
1998
כלפי מי שמפעיל מערכות ממוחשבות חיוניות
)"("תשתיות קריטיות המנוי בתוספת החמישית לחוק
, ובתוך כך גם את רשות האוכ לוסין
וההגירה.
בנוסף לכך, פועל המערך בהתאם להחלטת הממשלה2
ומנחה בהתאם למדיניות
הלאומית שאושרה, את תחום ה
הזדהות ה דיגיטלית
ה
בטוחה עבור הממשלה ו
המשק הישראלי.
3
.
הצעת חוק הדיוור הדיגיטלי הינה חלק מחבילה של צעדים שנוקטת הממשלה לקידום
טרנספורמציה דיגיטלית בממשלה. מטרת צעדים אלה לשפר את השירותים הניתנים לאזרחים
ועסקים באמצעות טכנולוגיות מתקדמות. סקר שבוצע לאחרונה
על-
ידי הלשכה המרכזית
לסטטיסטיקה
המחיש את הצורך בהשקעה ממשלתית משמעותית בתחום כדי לקדם את המשק
והשירותים בישראל לעבר ממוצע מדינותOECD
.
3
4
.
אבטחת מידע, הזדהות בטוחה והגנת סייבר נאותה
מהוות חלק תשתיתי במדיניות זו–
משום
שהן מגנות על אספ
ק ת השירותים באופן מהימן ומאובטח הנדרש לקיום התכליות הציבוריות
.ושימור אמון הציבור ושיתוף הפעולה שלו עם תהליכי הדיגיטציה
5
.
מערך הסייבר הלאומי שו לב
לצוות המדיניות הממשלתי בנוש
א דיוור דיגיטלי ו מסייע למובילי
פרויקט זה יחד עם ישראל דיגיטלית, רשות התקשוב, רשות
האוכלוסין ,רשות
,הגנת הפרטיות
משרד המשפטים ומשרד האוצר
ל איתור הסיכונים.ועיצוב מדיניות אבטחת מידע נאותה
בהתאם
1
החלטת ממשלה2443
,
" בנושא
קידום אסדרה לאומית והובלה ממשלתית בהגנת הסייבר"
, מיום15.2.2015
, החלטת
ממשלה2444
בנושא "קידום ההיערכות הלאומית להגנת הסייבר" מיום15.2.2015
, החלטת ממשלה3611
בנושא
"קידום היכולת הלאומית במרחב הקיברנטי" מיום7.8.2011
2
החלטת ממשלה2960
, בנושא"אישור המדיניות הלאומית להזדהות בטוחה ,"
מיום6.8.2017
.
3 סקר שימושים בטכנולוגיות מידע ותקש ורת)
ICT
( והגנת סייבר בעסקים ,
2020
עמוד2
מתוך3
2
מדיניות הגנת סייבר בלמ"ס
לתפיסות מקובלות של אבטחת מידע והגנת סייבר, יש לשלב את היבטי ההגנה כחלק מעיצוב
הפרויקט
. בהתאם לכך
קביעת המסגרת נעשה כחלק מוועדת ההיגוי שהקימה הממשלה בנושא
.זה. נכון למשלוח מכתב זה טרם הושלמו הליכים אלה, ולכן הדברים יוצגו בתמצית להלן
6
.
באופן כללי איתר מערך הסייבר
ארבעה מוקדי סיכון
הנוגעים לדיוור דיגיטלי בידי גופים
:ציבוריים הגנה על מרשם האוכלוסין, פעילות הדיוור הדיגיטלי, תהליכי הזדהות ואימות, ואבטחת
.תיבת הדואר האלקטרונית
,בהמשך המכתב לאחר הצגת כל מוקד סיכון
יי דון המענה
ה.נדרש
7
.
מבדיקתנו עולה כי כתוצאה מחקיקה זו
הסיכון התוספתי למרשם האוכלוסין
אינו משמעותי, ויש
במסגרת המדיניות הקיימת די כד.י להבטיח את המשך פעילותו המאובטח של המרשם
8
.
עוד
עולה
מבדיקתנו
כי
תקיפת סייבר על מפעיל הדיוור עלול להביא ל
סיכונים
:כגון פגיעה
ברציפות התפקוד של שירות ציבורי (גם בעת חירום), השתלטות על מפעיל דיוור כדי לבסס
,תקיפות סייבר וספאם
,דלף של מענים דיגיטליים ו ביצוע תקיפות התחזות והונאה אשר יפגעו
.במשתמשי השירות
,בהקשר זה לצורך הערכת הסיכון מס"ל מבחין בין הפעלת הדיוור הדיגיטלי
ב
מודל ריכוזי על-ידי המערכות הקיימות בממשל זמין,
לבין מודל מבוזר לפיו רשאי כל גוף
ציבורי להפעיל דיוור דיגיטלי.בעצמו או להתקשר עם ספק דיוור פרטי
שימוש
ב ספק דיוור
דיגיטלי
מרכזי יחיד, אשר רמת הגנת הסייבר שלו מפוקחת על-
ידי רשות התקשוב ומערך
.הסייבר הלאומי הינו עדיף מבחינת ניהול מיטבי של סיכוני הסייבר
9
.
,עם זאת שימוש
במודל מבוזר
יאפשר גמישות רבה יותר בהפעלת השירות ואף יתירות במקרה
.של פגיעה משמעותית בב
חירה
במודל הפעלת הדיוור יש לוודא שדרישות הגנת הסייבר והגנת
.הפרטיות הולמות את הסיכון וממומשות ברמת סמך גבוהה
10
.
בהפעלת דיוור דיגיטלי ציבורי עולה הסיכון שמא עקב עלייה משמעותית בשימוש רשמי לביצוע
,)פעולות אישיות, כלכליות, עסקיות (וכדומה
נחזה בעליה בתקיפות
""דיוג
במתווה דוא "ל
ו-
SMS
.בדיוני
הצוות הממשלתי הציג מערך הסייבר הלאומי את המודל
תקן
"תו
חוסן"
שנבנה
לספקי שירות
דיוור ., ואשר ניתן להתאימו לצרכי השירותים לפי החוק ""תו חוסן היא שיטה
להבטחת רמת הגנת סייבר ,מספקת ברמת סמך גבוהה ומהווה מענה מדיניות אופטימלי
לסיכון
העולה מהפעל
ה מבוזרת של דיוור דיגיט
לי ציבורי.
11
.
ככל שמידע רגיש יגיע ישירות לתיבת
דוא"ל פרטי
ת , הדבר עלול להפוך את תיבות הדוא"ל עצמן
,ליעדי תקיפה וסחיטה. מעבר לכך
התחזות או כישלון באימות במערכ
ת חשובה זו יכולים
לאפשר
לתוקף לבצע פעולות בעלות השלכות על המשתמש
ים (
,גניבת זהות
סחיטה והונאה , פגיעה
בפרטיות), ו להביא
לגידול בתופעת ה התחזות
ופ
גיעה באמון הציבור.
עמוד3
מתוך3
3
מדיניות הגנת סייבר בלמ"ס
12
. הזדהות בטוחה הינה מענה אבטחה אוניברסלי המקובל לפי תקנים בינלאומיים,
לסיכונים
שהובאו בסעיף הקודם. ממשלת ישראל כבר מממשת
את ה מדיניות
הלאומית
להזדהות בטוחה
ואנו סבורים שניתן להשתמש בניסיון
ובידע
שנצבר
גם לנושא שליחת מסרים באופן דיגיטלי .
ב כדי לוודא
ש
עוצמת
ההזדהות המבוצעת
תהלום את רגישות המידע המועבר,
יידרש הגוף
הציבורי ל ביצוע ניהול סיכונים ממנו
תיגזר "רמת הבטחת אימות"
(רב"א)
וו ידל
ר הדיגיטלי.
מתווה דומה קיים
ב חוק למתן שירותים חיוניים מרחוק (נגיף הקורונה החדש–
הוראת ,)שעה
תש"ף-
2020
', ובהחלטת ממשלה מס2960
.
מימוש הזדהות בטוחה
ברמה מתאימה לסיכון הנשקף ,
כמו "מוציא את העוקץ" ממאמציהם של תוקפים אשר מחפשים דבר מה בעל-
ערך בתיבות
הדואר הפרטיות.
13
.
מערך
הסייבר הלאומי עומד לרשות הוועדה בכל הדרוש במסגרת הליך הכנתה של הצעת
החוק
לקריאה שניה ושלישית, ו
י וכל לסייע ולתרום בכל היבט
אבטחת המידע
, הזדהות בטוחה
והגנת
הסייבר, הנוגע
ים להצעת החוק או לאופן יישומה.
,בברכה
איתי בן-ארצי
ר' אגף קשרי ממשל
מערך הסייבר הלאומי