פרסומים

תקציר מנהלים

רגולציה במרחב הסייבר היא אתגר הנמצא בהתהוות. מדובר במרחב מורכב ודינמי הנשען ברובו על המגזר העיסקי־אזרחי והינו בעל פוטנציאל לגרימת נזק רב לביטחון הלאומי. חיבור זה סוקר את המאפיינים הייחודיים למרחב הסייבר, מתחקה אחר האסטרטגיות השונות בעולם לניהול סיכונים במרחב זה, ומציע מודל רגולטורי רב־ שכבתי יחד עם המלצות קונקרטיות לאסדרה (רגולציה) של המגזר העיסקי־אזרחי במרחב הסייבר.
חוסנו של המגזר הפרטי במרחב הסייבר קשור ישירות לביטחון הלאומי. מגזר זה מהווה לרוב את החוליה החלשה דרכה מתפתחת מתקפה קיברנטית. אף על פי כן, סקירת הרגולציה במרחב הסייבר במדינות מערביות, ובכללן ישראל, מצביעה על היעדר מענה הולם לחולשה זו של המגזר העיסקי־אזרחי. החיבור הנוכחי שואף למלא חלל זה ונשען, לשם כך, על עקרונות רגולטוריים ממדינות שונות — ארצות הברית, בריטניה, צרפת, גרמניה וכן האיחוד האירופי — ועל למידה מתחומי רגולציה אחרים, העוסקים בהגנת הסביבה והאנרגיה הגרעינית. הגישה, הכלים הרגולטוריים ומערכות התמריצים בניסיונות האסדרה של מרחב הסייבר בעולם, יחד עם שיתופי הפעולה בין המגזר הציבורי למגזר הפרטי, בתוספת מגנוני פיצוי מדינתיים בתחומי הגנת הסביבה והאנרגיה הגרעינית, תורמים לפיתוחו של מודל רגולטורי חדש לאסדרת מרחב הסייבר במגזר העיסקי־אזרחי במדינת ישראל.
המודל המוצע במחקר זה מוצג יחד עם המלצות מעשיות ליישומו. המודל מתחלק לשלושה: רגולציה עצמית — בה ארגונים משיתים הסדרי פעולה על עצמם; רגולציה מחייבת — בה המדינה כופה הסדרים מלמעלה; ו — רגולציה מבוססת תמריצים — בה המדינה יוצרת תמריצים עבור ארגונים כדי שיאמצו רגולציה עצמית. אחד החידושים של המודל נוגע לשימוש בכלי הסטטוטורי הקיים של חוק רישוי עסקים לצורך מיפוי פוטנציאל הנזקים לביטחון הלאומי כתוצאה מפגיעות סייבר במגזר העיסקי. חידוש נוסף במודל הוא המיפוי וההתמקדות בצמתים מרכזיים במשק הסייבר הישראלי ובחינת האפשרות להתערבות מדינתית בה התועלת ממנה עולה עשרות מונים על העלות. חידוש שלישי הוא ההתבססות על מנגנוני תמריצים עבור המשק על ידי הקמת שוק ביטוח סייבר, הסרת חסמי שקיפות על אירועי סייבר, הקלות מס למטמיעי הגנת סייבר ומתן תמריצים בצורת פטור מאחריות עבור שיתוף ידע פנים־מגזרי ובין־מגזרי.
תובנות מסקירת הספרות
התובנות העיקריות מסקירת הספרות העוסקת ברגולציה בסייבר מלמדות על השונוּת הגדולה באסדרת מרחב הסייבר במדינות השונות. העיסוק של מדינות במרחב הסייבר מתחיל בנקודות שונות בזמן ומתרכז סביב איומים על הביטחון הלאומי כמו פגיעה בתשתיות קריטיות, או בהתגוננות מפני פשיעת סייבר. כל המדינות משקיעות תקציבים משמעותיים בהגנת הסייבר, המיועדים לבניית יכולת מדינתית ומוסדות לפיקוח והשפעה על הנעשה במשק הסייבר המקומי, ובכלל זה על מרחבי האיום השונים שלו. זאת מתוך תפיסה כי הערכת הסיכון (Risk Assessment) בתחום הסייבר היא אחד התפקידים המאתגרים של הרגולטור, וכן מתוך שאיפה ליצור הבנה רחבה ככל שניתן על הנעשה במרחב זה. יחד עם זאת, ועל אף ההשקעה התקציבית ובניית היכולות המדינתיות להתמודד עם סיכונים בתחום הסייבר, בולט בהיעדרו הטיפול המדינתי בסיכונים אלו במגזר העיסקי־אזרחי. אין כיום מדינה המנחה באופן שיטתי את המגזר העיסקי־אזרחי ומתייחסת מבעוד מועד לאיומי ביטחון לאומי כתוצאה מנזקי סייבר פוטנציאליים במגזר זה.
הגישה הישראלית כלפי איומי הסייבר במגזר העיסקי־אזרחי חדשנית ומסועפת למדי. הנחיית המגזר נתונה בידי רגולטורים שונים ומפוקחת לעיתים ישירות על ידי המשרד הממשלתי האחראי )כמו בתחום הבריאות(, הרשות המדינתית הרלוונטית )למשל, המפקח על הבנקים(, או ארגון פרטי המועסק על ידי המדינה כמתווך רגולטורי בעל מומחיות בתחום (לדוגמה, בתחום האנרגיה). בשנתיים האחרונות נעשים ניסיונות למרכז את תהליך קבלת ההחלטות בתחום הסייבר בכלל המשק, כאשר חוק הסייבר, הנמצא עדיין בדיונים, שואף להיות מסגרת מנחה סדורה לארגונים נבחרים במשק. אף על פי כן, גם התפתחות זו טרם יצרה תהליך שיטתי וסדור לזיהוי מבעוד מועד של פוטנציאל הנזק שהתקפות סייבר עלולות לגרום לביטחון הלאומי.
היעדר מענה גורף עבור התמודדות המגזר העיסקי־אזרחי עם האיומים המתרבים בתחום הסייבר וההתמקדות הנוכחית במתן תמריצים נקודתיים בלבד, יוצרים פער משמעותי בתחום זה. ממעקב אחר הפעילות במשק בשנים האחרונות עולה כי השוק התחרותי מתגמל חברות על חדשנות בטכנולוגיה, הרבה יותר מתגמוליו על הגנת סייבר ראויה. משום כך, חברות עיסקיות אינן משקיעות דיו כדי ליצור הגנה מקיפה על עצמן. בהיעדר הנחייה מדינתית סדורה בנושא זה, נוצר חלל אותו יש למלא.
כדי ללמוד על האופן בו מדינות התמודדו בהצלחה עם אתגרי הסייבר במגזר העיסקי־אזרחי, פנו כותבי חיבור זה ללמוד מעולמות תוכן אחרים. ההנחה היא שבחינה וניתוח של הנעשה בתחומי הגנת הסביבה והאנרגיה הגרעינית — תחומים בהם שחקנים פרטיים מהווים נתח משמעותי, וברוב המקרים מרכיבים את "קו ההגנה הקדמי" של המדינה מפני סיכונים — עשויים לסייע בפיתוח מודל משוכלל להגנת סייבר במגזר העיסקי־אזרחי גם בישראל. ניתוח המודלים השונים הוביל למסקנה כי מודל הרגולציה להגנת הסביבה בישראל מתאים לשמש כבסיס לפיתוח הרגולציה במרחב הסייבר הישראלי.
מודל רגולציה מוצע
האיומים המתקדמים יוצרים צורך מיידי בהתערבות מדינתית "חכמה" שתשלב כלים רגולטוריים מגוונים. זאת הן כדי לחייב נקיטת אמצעי הגנה ראויים ומידתיים, והן כדי לעודד את השוק להגן על עצמו באמצעות תמריצים, תוך זיהוי מקומות התערבות מרכזיים שהתועלת בהגנתם עולה על העלות.
המודל המוצע לרגולציה במרחב הסייבר הינו מודל המתבסס על הקיים, אך גם מחדש ומוסיף עליו. הוא עושה הבחנה בין רגולציה עצמית, הנחיות מדינתיות מחייבות ורגולציה וולונטרית מבוססת תמריצים, כמפורט להלן:
1. רגולציה עצמית — ארגוני ביטחון בעלי רגישות ביטחונית, כגון צה"ל, השב"כ, המוסד ומשטרת ישראל, יהיו כפופים להנחיות פנימיות בלבד, אשר יתוקפו באופן מחזורי על ידי מנגנוני ניהול הסיכונים של כל ארגון.
2. רגולציה מחייבת — המדינה תפעיל רגולציה מחייבת על גופים אשר פגיעה בתשתיות הסייבר שלהם משמעותה פגיעה חמורה בביטחון הלאומי של ישראל.
3. רגולציה מבוססת תמריצים — הבניית תמריצים מדינתיים שתפקידם יהיה לעודד הקמת מנגנונים להגנת סייבר בתוך ארגונים. רגולציה זו תהיה מבוססת, בין היתר, על עידוד עסקים לרכוש ביטוח לשיפוי במקרה של אירוע סייבר, על בסיס חובת דיווח על אירועים כאלה. בנוסף לכך, ייבחנו מודלים שונים למתן הקלות מס, בכפוף להשקעות הארגון בהגנת סייבר, וייעשו מאמצים לפתח מנגנוני שיתוף ידע לצורך הגנת סייבר במטרה להגביר את החוסן הכולל במרחב הקיברנטי.
הגופים עליהם תחול הרגולציה המחייבת יחולקו למגזרים על פי חמש הקטגוריות הבאות:
1. תעשיות ביטחוניות ומתקנים רגישים — אלה יפוקחו על ידי הממונה על הביטחון במשרד הביטחון (המלמ"ב). הנחיות המלמ"ב מיועדות לשמירת הסודיות בעבודתם של גופי הביטחון הכפופים להן. ראוי לציין בהקשר זה כי הרגולציה של המלמ"ב כוללת הן הנחיות ביטחוניות במרחב הסייבר עבור הגופים המפוקחים והן אסְדרה רגולטורית, כלומר הן דאגה לביטחון המדינה והן דאגה לרציפות התפקודית של הגוף המפוקח.
2. גופים המוגדרים כתשתית קריטית — הפיקוח עליהם יבוצע כפי שהוא נעשה היום — הן על ידי מערך הסייבר הלאומי והן על ידי שירות הביטחון הכללי. ועדת היגוי, אשר תורכב מנציגים של השב"כ, מערך הסייבר הלאומי, משרדי התשתיות הממשלתיים וחברות פרטיות העוסקות בהגנה על תשתיות קריטיות, תבחן ותגדיר מחדש לפי הצורך את התשתיות הקריטיות, ואלו יעמדו בתקנים מחמירים, כולל בדיקות חדירות תקופתיות בהתאם לתחום העיסוק. ועדת ההיגוי גם תבחן באופן תקופתי את האפשרות להכניס גופים חדשים למסגרת ההנחיות המחייבות או להסיר מהן גופים קיימים. מערך הסייבר הלאומי ייצר ידע ומומחיות, בשיתוף עם השב"כ, במטרה להגן על ארגוני תשתית קריטית.
3.מגזרי משק החיוניים לרציפות התפקודית בישראל — בנוסף על גופים המוגדרים כתשתית קריטית, קיימים מערכות וגופים רבים שחשיבותם לביטחון הלאומי היא עליונה, אך טרם הוגדרו כקריטיים על יד המדינה. כך, למשל, בתי חולים, מערכות רמזורים, מערכות בחירות, בנקים ותעשיות המזון אינם נכללים בהגדרה הקיימת של "תשתית קריטית." לפיכך, על הרגולטור המגזרי בכל אחד מהתחומים לגבש מומחיות ולהנחות את הגופים הנמצאים תחת אחריותו כיצד להתמודד עם איומי סייבר, וזאת כדי למנוע פגיעה בביטחון הלאומי של מדינת ישראל. המודל המוצע ממליץ להמשיך ולהסתמך על רגולטורים מגזריים הפועלים מול גופים בעלי פוטנציאל נזק לביטחון הלאומי. המודל גם מצדד בהישענות הרגולטור המגזרי על מומחי תוכן שיפעלו בהנחיית מערך הסייבר הלאומי. בדרך זו יאפשר המודל הנחייה מקצועית של הגופים המשמעותיים לביטחון הלאומי, ובמקביל לה הנחייה מחייבת של הרגולטור המגזרי בתחומם של הגופים המפוקחים הנמצאים תחת אחריותו.
4. המגזר העסקי־אזרחי — המודל המוצע מחייב לדרוש מכל גוף עיסקי המבקש לקבל או לחדש את רישיון העסק שלו לבצע תסקיר ובדיקת היתכנות לפגיעה בביטחון הלאומי כתוצאה מפגיעת סייבר. כך ייווצר תהליך מובנה שיאפשר שיפור משמעותי של הגנה במיזמים פרטיים החשופים לפגיעת סייבר, שהשפעתה עלולה להיות רחבה ולהגיע לרמה הלאומית. הרגולטורים בתחום הסייבר במגזר זה יהיו הן מערך הסייבר הלאומי, שתפקידו לפתח ידע, כלים ושיטות לאופן בו ארגונים יכולים להעלות את רמת הגנת הסייבר שלהם, והן הרגולטורים המגזריים, המפתחים מומחיות בהתאם לצרכים של המגזר הספציפי ומבצעים את ההתאמות הנדרשות הנובעות מההנחיות הכלליות של מערך הסייבר הלאומי. התהליך המוצע כולל שימוש בכלים סטטוטוריים קיימים והכנסת תחום הגנת הסייבר כמרכיב מובנה למגזר העיסקי, תוך שימוש בתהליך הסטטוטורי הקיים. הרגולטור יקבע אמות מידה שיגדירו את המיזמים והפרויקטים שלגביהם תתקיים חובת הגשה של תסקיר עמידות קיברנטית. כל גוף שיוגדר כחייב בכך יידרש להגיש תסקיר כזה לפני קבלת רשיון עסק. המודל גם מציע מספר קווים מנחים לתוכנו של תסקיר עמידות קיברנטית, כמו גם לגורמים שיוסמכו לערוך אותו ולהגישו, וכן לגורמים שיוסמכו לבדוק אותו.
5. הגברת חוסנו של מרחב הסייבר דרך התערבות בצומתי מפתח — רגולציה מחייבת על פי המודל המוצע תחול גם על צמתים חשובים שהתערבות מדינתית בהגנתם תביא תועלת רבה בעלות נמוכה. הרציונל מאחורי קביעת צמתים אלה הוא היותם נקודות מפתח קריטיות שהתועלת לביטחון הלאומי שתנבע מהפיקוח עליהן הינה גדולה. חשוב להדגיש כי המדינה לא תהיה זרוע ביצועית מול צמתים אלה וכי תפקידה יסתכם במיפוי הצמתים ובשיתוף פעולה עם הספקים הרלוונטיים במטרה לעודד את אבטחתם ולהגביר בכך את חוסנו של מרחב הסייבר הישראלי. דוגמאות לצמתים כאלה הם מארחי שרתי האינטרנט (ספקי Hosting (, ספקי שירות רוחביים בשרשרת האספקה של ארגונים במשק, יישומים ומערכות מידע אחודות המנהלות סליקות של כרטיסי אשראי עליהם נשענים מרבית העסקים הפרטיים, וכן חברות אינטגרציה העוסקות בתמיכה במערכות מידע. לאחר זיהוי הצמתים, על המדינה יהיה להעסיק ספקי צד שלישי, שיהיו אחראים על בקרת האיכות של נותני שירותים קריטיים אלה.
המלצות ליישום
להלן סדרה של המלצות עיקריות שיסייעו למימוש המודל הרגולטורי המוצע:
1. בחינת הצורך להקים גוף ביקורת מקצועי ועצמאי במערך הסייבר הלאומי, שיפעל מול גופים, ארגונים ומוסדות המפעילים רגולציה עצמית )ארגוני הביטחון, צה"ל, משטרת ישראל וכדומה(.
2. גיבוש פורום ביחידה להגנת הסייבר בממשלה )יה"ב(, אשר יאפשר קבלת תמונה רוחבית על הטכניקות הרגולטוריות באמצעותן בוחרים משרדי הממשלה והרשויות להגן על המגזרים השונים הנמצאים בתחום אחריותם לצורך למידה והשתפרות.
3. הגברת האכיפה של משרד הכלכלה לצורך שיפור הציות לחוק רישוי עסקים.
4. הקמת זרוע ביצועית במערך הסייבר הלאומי לפיקוח על תסקירי העמידות הקיברנטית במשק.
5. קידום תקינת מקצועות הסייבר, בין השאר במטרה לקבוע תקנים עבור מבדקי איכות ההגנה בסייבר ועריכת תסקירים במשק.
6. הקמת פורום משותף למערך הסייבר הלאומי, ליחידה להגנת הסייבר בממשלה ולמובילים טכנולוגיים במשק לצורך זיהוי, ניתוח והגנה על צמתים חיוניים ומרכזיים במרחב הסייבר, מתוך רצון לחזק את החוסן הלאומי.
7. קידום חוק שיחייב את כלל הארגונים במשק לדווח על תקיפת סייבר ארגונית "משמעותית". זאת, כדי ליצור מוטיבציה להגנה מבעוד מועד, וכן כדי לאפשר הקמת מאגר מידע אקטוארי לחברות הביטוח, באופן שיעודד אותן לפתח שוק ביטוח לפוליסות הגנה בסייבר.
8. הקצאת תקציב ממשלתי ייעודי עבור הרשות לשוק ההון, ביטוח וחיסכון, במטרה ליצור ערבות מדינתית לחברות הביטוח במקרה של אירוע סייבר רחב היקף.
9. בחינת אפשרות שהממשלה תיתן הקלות מס עבור הטמעת הגנת סייבר ברמה ראויה.
10. הקמת יחידת סייבר ייעודית ברשות המיסים, שתשקול מתן הקלות מס במקרה של הטמעת הגנת סייבר ראויה.
11. קידום חקיקה שתיתן פטור מאחריות במקרה של פגיעת סייבר כתוצאה משיתוף ידע בין־ארגוני על איומים במרחב הסייבר.
בסיכום החיבור מובאות תובנות ממאמצי הרגולציה במרחב הסייבר ומוצגים האתגרים להמשך. התפתחות איום הייחוס מהתקנים מקושרים 1 ושימוש בבינה מלאכותית לצורכי תקיפה, מחדדים את הצורך במודל רגולטורי רב־שכבתי עבור המגזר העיסקי־אזרחי, באופן הצופה אתגרים עתידיים.

==========================================================

תוכן העניינים

תקציר מנהלים 9

הקדמה 15

פרק א': מבוא לרגולציה במרחב הסייבר 21

פרק ב': סקירת ספרות 31

ארצות הברית 31

האיחוד האירופי 49

בריטניה 56

צרפת 65

גרמניה 70

ישראל 79

נושאי אסדרה נוספים 91

תובנות מסקר הספרות 98

התפתחות הרגולציה במדינות מערביות — סיכום השוואתי 100

פרק ג': מודלים של רגולציה מעולמות תוכן אחרים 103

מודל הרגולציה מתחום הגנת הסביבה 103

מודל רגולציה מתחום האנרגיה הגרעינית 113

פרק ד': מודל מוצע לרגולציה של מרחב הסייבר בישראל 119

רגולציה עצמית 120

רגולציה מחייבת 121

רגולציה על בסיס תמריצים 134

פרק ה': המלצות ליישום המודל המוצע 139

מודל רגולציה עצמית 139

מודל רגולציה מחייבת 140

רגולציה מבוססת תמריצים 141

סיכום 143

נספח: מילון מונחים 149