בימים אלה מפיץ משרד ראש הממשלה בקרב השרים תזכיר להצעת "חוק הגנת הסייבר - מערך הסייבר הלאומי". מטרת החוק להסדיר את פעולת מערך הסייבר הלאומי, שכפוף ישירות לראש הממשלה ולקבוע את סמכויותיו. אם החוק הזה יתקבל ככתבו וכלשונו, תתנתק עוד חוליה מהשרשרת הדמוקרטית של מדינת ישראל, ולראש הממשלה יינתנו סמכויות חסרות תקדים לנהל חקירה, לפגוע בפרטיות של האזרחים ולהשיג כל מידע שיחפוץ בו.

בראש המערך עומד יגאל אונא (47) ששירת בעבר ביחידה 8200 באגף המודיעין (אמ"ן) בצה"ל ובשירות הביטחון הכללי (שב"כ), שבו הגיע לתפקיד ראש אגף סיגינט וסייבר. ממנו הגיע למערך הסייבר הלאומי, שהוקם בדצמבר 2017 כתוצאה מאיחוד של שני גופים (מטה הסייבר ורשות הסייבר) שקדמו לו.

תפקידו של הגוף החדש הוא להגן על כל מערכי הסייבר במרחב הציבורי - של אזרחים, ארגונים, מוסדות, משרדי ממשלה וחברות פרטיות, ציבוריות וממשלתיות. מדובר בהגנה על מחשבים בודדים, רשתות מחשבים, מאגרי מידע ותוכנות להעברת מסרים. יודגש כי משטרת ישראל ומערכת הביטחון (המוסד, השב"כ, צה"ל, הוועדה לאנרגיה אטומית) הוחרגו, והן מגינות על עצמן באופן עצמאי ואינן סרות למרות מערך הסייבר הלאומי.

מערך הסייבר הוא גוף חדש־ישן וחשוב מאוד בעידן שבו יותר ויותר פעולות אנושיות, אף הפשוטות ביותר, הופכות לתלויות טכנולוגיה ומחשוב, ועוברות מהמרחב הפיזי לקיברנטי. למחברי החוק ולמקימי המערך היו ויש כוונות טובות - להגן על האזרחים והחברה האזרחית. זה כולל תשתיות קריטיות כמו תחנות כוח, בתי חולים, מתקני מים, רכבות, רמזורים, בנקים, מוסדות פיננסיים ועוד ועוד.

איומי הסייבר על ישראל מתגברים והולכים מצד אויבים כמו איראן, חמאס, חיזבאללה או מדינות כמו רוסיה וסין, ואפילו ממדינות ידידותיות או מתאגידים בינלאומיים ומתחרים עסקיים. אבל דווקא בגלל זה נדרשת שבעתיים תשומת לב לחוק ולניסוחיו.

מדובר בתזכיר ארוך בן כ־50 עמודים, שהעבודה על ניסוחו החלה כבר לפני כשנתיים. בין השאר נקבע בו כי עובד מערך הסייבר יוכל לחדור למשך 24 שעות לכל מחשב שמהווה לכאורה סכנה לביטחון המדינה, בלי להזדקק לצו של שופט. אפילו לאנשי משטרה או שב"כ אין סמכות להיכנס לבית ולערוך בו חיפוש, להאזין לטלפון או לחדור למחשב בלי צו של בית משפט. מה עוד שמידע ממחשבים ניתן לשאוב או להעתיק תוך דקות.

חמור לא פחות, החוק פוטר את עובד מערך הסייבר מאחריות פלילית או אזרחית. "עובד המערך או הפועל מטעם המערך בתפקידים שקבע ראש הממשלה לא יישא באחריות פלילית או אזרחית למעשה או למחדל שעשה בתום לב ובאופן סביר במסגרת תפקידו ולשם מילויו". כלומר העובד יכול לעשות מה שהוא רוצה וגם לא ייענש, לא בתביעת נזיקין ולא בתביעה פלילית. אפילו שוטרים או חוקרים של השב"כ אינם חסינים מאחריות פלילית או אזרחית למעשיהם, גם אם נעשתה בתום לב או משיקול מוטעה.

בהצעת החוק משווה עצמו מערך הסייבר למכבי האש, שרשאי בעת שריפה או מצב חירום אחר (פגיעת טילים) להיכנס לכל בית בלי צו של שופט וללא רשות הבעלים. אבל כבאים, שוטרים או כוחות ביטחון והצלה אחרים מגיעים לזירת הפשע או ליעד הפגוע לבושים במדים או מזדהים עם תעודה מוכרת ומאחוריהם יש תמיד מוקד, שבו ניתן לברר או לאשש את זהותם.

לוחמי סייבר ישראלים. צילום: דובר צה"ללוחמי סייבר ישראלים. צילום: דובר צה"ל

בתזכיר, לעומת זאת, אין התייחסות לשאלה כיצד יזדהה ויזוהה עובד מערך הסייבר וגם לא כיצד ניתן יהיה לאמת שהוא אכן פועל ברשות ובסמכות. במילים אחרות, בחוק המוצע יש פרצה (לקונה) שיכולה להקל את ההתחזות לאיש המערך ולקבל גישה לכל מחשב, לגנוב ממנו מידע או להדביקו בווירוס. 

סעיף 1 בחוק מדבר על "איום סייבר", אך הוא אינו מוגדר די צורכו. כך גם אין הגדרה ברורה בסעיף 20 המדבר על "תקיפת סייבר". לא ברור אפוא מהו בעצם האיום ומהי תקיפה, שהרי כמעט בכל רגע נתון יש איום או תקיפה של מחשב, בין שמקורם בנער פצחן, שעושה זאת לשם שעשוע, ובין שמקורם בפושעים, בחברה מתחרה, בארגון טרור או בארגון ביון של מדינה. כל תקיפה כזו, גם קלה וחסרת משמעות, יכולה להתפרש כ"איום" ולהעניק, על פי החוק, למערך הסייבר את הזכות לפעול. כלומר לחדור למחשב הנתון ל"איום", לקחת אותו או לדרוש לקבל מבעליו מסמכים שונים.

החוק מנוסח גם בעמימות בכל הקשור למושגים נוספים, כמו הצורך לקבל את הסמכויות הגורפות כדי להציל חיי אדם, בלי להגדיר אם מדובר בהצלת נפש אחת או עשר או אלף. כך גם מבקש החוק להעניק למערך הסייבר סמכויות להגנה מפני נזק ל"כלכלת המדינה" בלי להגדיר את מהותו של הנזק והיקפו. זהו פתח שיכול לאפשר לראש מערך הסייבר או מי מטעמו לפעול ככל שיחפוץ, גם אם יחליט שהנזק הצפוי לכלכלת המדינה הוא של שקל אחד. לחלופין, הוא יוכל לדוגמה להחליט כי הפגנות נגד מיזמים פוגעות בהכנסות המדינה ובכלכלתה ולחדור למחשבים של המארגנים.

ועוד הגדרה בעייתית - החוק מדבר על הסמכות לפעול כדי למנוע "סכנה ניכרת לסביבה או לבריאות הציבור". מהי סכנה ניכרת? ללא הגדרה מדויקת יוכל מערך הסייבר הלאומי להחליט שמחלה של אזרח מסוים היא סכנה לבריאות הציבור ולפעול נגדו.

בחוק יש אומנם התייחסות לזכות של אדם לפרטיות, אך הדבר מנוסח ברשלנות, שגורמת לחשד כי הדבר הוא בבחינת מס שפתיים בלבד. באחד הסעיפים נכתב כי יש למנוע "פגיעה משמעותית בפרטיות או בנכס מידע משמעותי", בהיקף שקבע שר המשפטים. אין הגדרה של מהי "פגיעה משמעותית". בעיני רבים, כל חדירה של הרשויות למחשב, בלי צו של שופט, שהוצא לאחר שעיין בחומר שהוגש לו והשתכנע ממנו, היא פגיעה בפרטיות.

סעיף אחר, סעיף 6 הדן בסוגיית הסודיות, מנוסח כדבר והיפוכו. מצד אחד, עובד מערך הסייבר או מי שעבד בעבר במערך מחויבים לשמירת סוד ואינם רשאים להעביר "מידע מוגן למי שאינו רשאי לקבלו". למה הכוונה? הרי כל מידע שאגור במחשב פרטי הוא מבחינת בעליו רכושו ומוגן, הלא כן? מצד שני, אותו עובד יכול בכל זאת להעביר את המידע שגילה במחשב של מאן דהוא אם "קיבל היתר לכך בכתב, בהתאם להוראות שקבע ראש המערך לפי חוק זה".

וכאן אנו מגיעים גם לסמכויות הגורפות שנוסח הצעת החוק מעניק לראש הממשלה. אין זה סוד שבנימין נתניהו מבין היטב את חשיבות הסייבר במאה ה־21 וזה שנים דוחף לכך, ויש להודות בהצלחה רבה, שישראל תהפוך למעצמה בתחום. ראש הממשלה הוא השר האחראי מיניסטריאלית על מערך הסייבר הלאומי. החוק גם מעניק לו (בהתייעצות עם שר האוצר ונציב שירות המדינה) סמכות למנות כראות עיניו עובדים הנדרשים לביצוע עבודות במערך הסייבר ללא מכרז.

וזה לא הכל. בסעיף 3 נכתב כי מערך הסייבר יוכל "לבצע כל תפקיד אחר בתחום הגנת הסייבר שיקבע ראש הממשלה". אין שום סייג או מגבלה בסעיף זה. וכך, ראש הממשלה יכול בעצם להחליט על כל דבר שמערך הסייבר יעשה. מבחינת לשון החוק, יכול מחר ראש הממשלה להורות לראש מערך הסייבר לחדור למחשב שלי, משום שהרי"ש המתגלגלת שלי לא ערבה לאוזנו. המשמעות של כל הסעיפים האלה היא שראש הממשלה שהוא השר הממונה - גם קובע מה יעשה וכיצד יפעל המערך, וגם מי יעבוד בו.

ואם לא די בכך, החוק גם מסמיך את ראש הממשלה למנות את חברי הוועדה המפקחת על החוק. מה יקרה כשראש הממשלה או ראש המערך יבקשו להשתמש בגוף לצרכים אישיים או פוליטיים. רצוי וראוי על כן שאת הוועדה המפקחת תמנה הממשלה כולה או ועדת שרים, כדי שתתקיים ולו מראית עין של מערכת של בלמים ואיזונים.

מנהלי מערך הסייבר אינם רואים עצמם כגוף אכיפה וחקירה כמו המשטרה או שירות הביטחון הכללי (שב"כ), וכוונותיהם באמת אינן זדוניות, אבל על פי החוק המוצע, יכול בהחלט להיווצר מצב שבו תקום מתחת לאף ובאמצעות חוק יחידת משטרה חדשה בפיקוח מלא ובלעדי של ראש הממשלה.

גם כך, 70 שנה לאחר הניתוח המבריק וצופה פני עתיד של ג'ורג' אורוול בספרו "1984", אנו חיים בעידן של האח הגדול, שבין שנרצה ובין שלא רואה ושומע הכל, והפרטיות שלנו נשחקת והולכת. אם הצעת החוק תעבור בנוסח המוצע, האח הגדול יזכה גם לחוק משלו.

במשרד המשפטים ובשב"כ העדיפו להימנע מהתייחסות לנושא. גם פניות חוזרות ונשנות למשרד ראש הממשלה לקבלת התייחסות רשמית לא נענו. ממשטרת ישראל נמסר כי הנושא נמצא בהליך בחינה בימים אלו. לדבריהם, "בסיומה נמסור את עמדתנו בפני הגורמים הממשלתיים הרלוונטיים".

נשבר הלב

כך עושים פיל מזבוב, והפעם זה נזקף לחובת מחלקת ביטחון המידע (מחב"ם) בצה"ל. כתבים ופרשנים צבאיים, כולל כותב שורות אלה, זומנו השבוע לתדרוך של קצין בכיר באגף המודיעין בצה"ל כדי לשמש תפאורה וצינור למסע הסברה שנועד להתריע מפני מאמצים של חמאס ליצור קשר באמצעות רשתות חברתיות וטלפונים עם חיילים בסדיר, קבע ומילואים ולשתול תוכנות ריגול והאזנה.

למסע, שבצה"ל מכנים זאת כמובן "מבצע", ניתן הכינוי "לב שבור". התברר כי בחודשים האחרונים הקים חמאס אתרי היכרות ויישומונים (אפליקציות) בשמות מפתים ואקזוטיים כמו "ווינקצ'אט" ו"גלנסלאב", ולאחרונה ברוח המונדיאל גם "גולדן קאפ". ביישומונים אלה הופיעו תמונות של נערות יפות וסקסיות, לעתים גם עם רמיזות לסביות, שנשאו שמות כמו בר דדון או קארין סלומון. התמונות הועתקו ממאגרים ומבנקים ברשת. כל הדמויות הן כמובן פיקטיביות, והפרופילים עם הפרטים שהציגו היו בדויים.

קהל היעד היה צעירים בגילי 18־22, ומטרת הרמיזות והפיתויים המיניים לקשר עתידי הייתה לצוד חיילים וגם חיילות. בעבר ניסה חמאס ליצור מגע עם חיילים באמצעות פרופילים בדויים בפייסבוק. הפעם הוא שכלל את גישתו ופיתח יישומונים שאותם אפשר היה להוריד בחנות של גוגל, וזאת כדי להעלות את רמת האמינות. בנוסף, מנהלי המבצע מטעם חמאס רכשו כרטיסי סים ישראליים.

מרגע שנוצר המגע, החלה שיחה ברשת וחיילים התפתו להוריד את היישומון. בהמשך ניסו הדמויות הפיקטיביות לשכנע את החיילים להמשיך את הקשר באמצעות מסרי וואטסאפ. מי שנענו, נדבקו בווירוס (נוזקה), שבכוחו להשתלט על המכשיר, להאזין לשיחות, לראות את המסרים ולצלם באמצעות המצלמה המותקנת במכשיר הטלפון. לפי הקצין הבכיר, כ־500 חיילים וחיילות ניצודו ונפלו ברשת, אם כי לטענתו, בסופו של דבר הצליח מחב"ם לסכל את המבצע של חמאס והגדירו "כישלון".

נכון שיחידת הסייבר של חמאס, זו שעומדת מאחורי המבצע, הפגינה הפעם יכולת מעט משופרת מהפעם הקודמת, דבר שמעיד כי היא מנסה ללמוד ולהשתדרג, אך היא עדיין בחיתוליה ויכולותיה מאוד מאוד דלות. בוודאי לעומת יכולות הסייבר של אויבים כמו חיזבאללה, איראן, ובוודאי של רוסיה וסין, שפועלים גם הם בישראל ונגד ישראל.

למעשה, לא עובר יום בלי שמוסדות צבאיים ואזרחיים בישראל נתונים לתקיפות סייבר מתוחכמות לאין שיעור של גופים רבי עוצמה אלה. לכן סיכול מתקפת סייבר כה פשוטה של חמאס אינו מוסיף יוקרה וכבוד למי שמתהדר בהצלחתו.

לחברת גוגל יש חברת בת שנקראת "וירוס טוטאל", שהיא המאגר הגדול ביותר בעולם לנוזקות, שאליו מעבירים, תמורת תשלום, כל תוכנה תוקפת (וירוס, תולעת) או יישומון חשוד. גם היישומונים של חמאס הגיעו לאותו מאגר וכך גם זוהו.

כבר בפברואר 2018 פרסם מערך הסייבר הלאומי הודעה שבה נאמר כי נחשפו "דגימות חדשות" של פוגען השייך לקבוצה בשם "אריד וויפר" (צפע צחיח), שהיא כנראה קבוצת הפצחנים (האקרים) של יחידת הסייבר של חמאס.

סוד הלקוח המהותי

נגד חברת אירונאוטיקס, המייצרת כלי טיס בלתי מאוישים, מתנהלת חקירה בקשר לעסקה מול "לקוח מהותי". על החקירה הוטל צו איסור פרסום, ויחידת יאחב"ל בלהב 433 של משטרת ישראל וכנראה גם גוף ביטחוני נוסף, מצליחים זה שנה לשכנע שני שופטים בבית משפט השלום בראשון לציון, עמית מיכלס וגיא אבנון, להאריך שוב ושוב את תוקף הצו.

השבוע שוב התקיים דיון בעתירה שהגשתי באמצעות עורך הדין אלעד מן, היועץ המשפטי של עמותת הצלחה, שעתרה גם היא, כדי להסיר את הצא"פ. אף שבדיון הקודם לפני כחודשיים קצב השופט אבנון את הארכת הצו בחודש, הוא השתכנע כעת כי צריך להאריך את תוקפו בעוד שישה חודשים. פרקליטי אירונאוטיקס, עורכי הדין נתי שמחוני ואלדד כורש, לא הביעו את דעתם, אם יש לבטל את הצא"פ או להאריכו.

החלטות בית המשפט מעוררות תמיהה כאשר משווים אותן, לדוגמה, למעצרו של השר לשעבר גונן שגב, שחשוד בריגול לאיראן ובבגידה, שאתמול הוקרא בפניו כתב האישום. הוא נעצר ונחקר בחשאי ולאחר כחודש הגיעו בשב"כ למסקנה כי ניתן להסיר באופן חלקי את הצא"פ ולאפשר את פרסום הפרשה.

לא נותר אלא לחרוק שיניים, לכבד את החלטות בית המשפט ולקוות שבעתיד, כשהדברים יתפרסמו, ניתן יהיה להסביר ולהצדיק את תמימות הדעים בין משטרת ישראל למערכת המשפט, למנוע מהציבור את הזכות לדעת מה בדיוק עשתה חברת אירונאוטיקס עם "הלקוח המהותי".