היוועצות ציבורית של המטה הקיברנטי הלאומי בתהליך גיבוש הרגולציה בתחום אבטחה קיברנטית (סייבר)

המטה הקיברנטי הלאומי במשרד ראש הממשלה מגבש המלצות לרגולציה מקיפה בתחום. במסגרת זו מבקש המטה לקבל הצעות/תגובות מהציבור לצורך גיבוש הרגולציה המיטבית בארבעה יעדי הרגולציה הבאים: יצירת רגולציית אבטחה קיברנטית כוללת בארגונים; יצירת רגולציה קיברנטית מגזרית; הסדרת שוק שירותי האבטחה הקיברנטית; קידום תקנים קיברנטיים.

תגובות, המלצות והצעות ניתן לשלוח למטה הקיברנטי הלאומי במשרד ראש הממשלה עד ה- 31 יולי 2012.

מובהר כי המשרד יהיה רשאי לעשות כל שימוש שימצא לנכון במידע ובהצעות שיימסרו במסגרת המענה לפנייה זו. כל גורם המשיב לפנייה זו ייחשב כמי שהסכים מראש, בעצם הגשת הצעתו, לכך שהמשרד יהא רשאי לעשות כל שימוש כאמור במידע שיימסר, וכמי שמוותר על כל טענה בעניין זה. כמו כן מובהר כי אין בפניה זו משום התחייבות כלשהי מצד המשרד כלפי המשיבים.

במסמך מטעם המטה מוגדר “המרחב הקיברנטי” כמתחם הפיזי והלא פיזי, שנוצר או מורכב מחלק או מכל הגורמים הבאים: מערכות ממוכנות ממוחשבות, רשתות מחשבים ותקשורת, תוכנות, מידע ממוחשב, תוכן שמועבר באופן ממוחשב, נתוני תעבורה ובקרה והמשתמשים של כל אלה ו”ביטחון קיברנטי” מוגדר כמדיניות, מנגנוני אבטחה, פעולות, הנחיות, ניהול סיכונים וכלים טכנולוגיים, שנועדו שנועדו להגן על המרחב הקיברנטי ושנועדו לאפשר פעולה בו.

במסמך בנושא נאמר כי לצד הפוטנציאל החברתי והכלכלי הניכר של המרחב הקיברנטי (סייבר) נוצרים בו איומים חדשים על יחידים, ארגונים, תשתיות לאומיות ואף מדינות. פוטנציאל הנזק מועצם בעיקר בכלכלות מפותחות המתבססות על מערכות מידע ותשתיות מחשוב. הפגיעות המגוונות משתרעות מתרחישי פגיעה ושיבוש מכוונים במערכות חיוניות ותשתיות לאומיות ועד לפגיעות הנגרמות כתוצאה מזליגת מידע, דלף קניין רוחני אסטרטגי או פגיעה בפרטיות. ההתמודדות עם האיומים הופכת לחלק בלתי נפרד מהשימוש במרחב ובשנים האחרונות הפכה למשימה ברמה הלאומית.

בהתאם להחלטת ממשלה הוקם המטה הקיברנטי הלאומי במשרד ראש הממשלה בתחילת 2012 על-מנת לבסס את מעמדה של מדינת ישראל כמובילה בתחום הקיברנטי ולקדם את יכולת ההגנה על המרחב הקיברנטי בישראל. על המטה הוטל לתכלל את פעילות האבטחה והגנה על תשתיות תקשורת ומידע במרחב האזרחי ולגבש תפיסה לאומית להגנה. נדבך מרכזי בפעילות המטה הקיברנטי הוא גיבוש המלצות לרגולציה מקיפה בתחום. במסגרת זו מאמין המטה הקיברנטי בשילוב ציבור המומחים מהאקדמיה, הממשל והתעשייה בהליכי עיצוב הרגולציה ומבקש לקיים הליכי היוועצות פתוחים ומקיפים לגיבוש הרגולציה המיטבית.

עוד קובע המסמך כי הרגולציה בתחום הקיברנטי נדרשת להיות מקיפה וסדורה, כדי לתת מענה לכלל הסיכונים, וכן להתאים לטבע המשתנה והמבוזר של המרחב הקיברנטי. גיבוש הרגולציה צריך להיעשות בשים-לב לתמריצים הפועלים (או שאינם פועלים) על הגופים המוסדרים ולעצב את ההסדרים כך שמענה האבטחה יהלום את תרחישי האיום הכוללים ואת האינטרס הציבורי בגיבוש מערך אבטחה תואם. בשלב ראשון ימוקד הדיון בנושא בארבעה יעדי רגולציה עיקריים:

יצירת רגולציית אבטחת קיברנטית כוללת בארגונים: במסגרת זו אמורות להתגבש דרישות אבטחה מארגונים בדגשים הבאים: תהליכי אבטחה קיברנטית, תשתיות וניהול מערך האבטחה בארגון, הליכי ניהול סיכוני אבטחה קיברנטיים ובקרת סיכונים בארגון, מנגנוני ניהול אירועי אבטחה, תהליכי שיתוף מידע על סיכונים ואירועי אבטחה, הליכי הטמעה ובדיקה של מערכות אבטחה, הליכי רכש ציוד וניהול שרשרת האספקה, דרישות ביקורת אבטחת מערכות ונהלי בדיקת אבטחה, מדדים לבדיקת אפקטיביות האבטחה הקיברנטית ביחס לתרחישי הסיכון והליכי דיווח על אירועי אבטחה.

יצירת רגולציה קיברנטית מגזרית: במסגרת זו יזוהו מגזרים תעשיתיים ואזרחיים המחייבים מענה אבטחה ייחודי ותגובש תפיסה רגולטורית הנותנת מענה לצרכים ייחודים אלה. בכלל זה יינתן דגש על הנושאים הבאים: מידול סיכונים ותרחישי איום מגזריים, תשתיות אבטחה וניהול מערך אבטחה משותפות או משולבות למגזר, תשתיות רוחב, מעבדות וסימולציה הנדרשות למגזר הספציפי, הליכי שיתוף מידע פנים-מגזריים, הליכי ניהול אירועי אבטחה מגזריים ותמריצי אבטחה ייחודיים למגזר.

הסדרת שוק שירותי האבטחה הקיברנטית: הרגולציה של שוק שירותי האבטחה אמורה להתמקד בהסדרה של העיסוק במקצוע להבטחת איכות ההכשרה, המהימנות, הסטנדרטים והאתיקה של העיסוק באבטחה קיברנטית.

קידום תקנים קיברנטיים: הרגולציה מבקשת לבחון דרך אימוצם ועידודם של תקני אבטחה קיברנטית לשיפור רמת האבטחה והבקרה על האבטחה בארגונים ובגופים מונחים. במסגרת זו יבחנו תווי תקן למוצרי אבטחה קיברנטית, הליכי אימוצם ופיתוחם של סטנדרטים בינלאומיים ומקומיים, הליכי מתן תעודות והסמכות בהתאם לתקנים והכרה בתקנים לצרכים משפטיים ורגולטוריים שונים.

בכוונת המטה הקיברנטי הלאומי להוביל את התהליך לשם גיבוש המלצות לממשלה לגבי רגולציה בתחום האבטחה הקיברנטית. התהליך יבנה כך שיאפשר היוועצות יעילה ופתוחה עם מומחים ובעלי עמדה בתחום לשילוב מיטיבי של המומחיות בתחום בהליכי ההסדרה. ההיוועצות ככלל תהיה פתוחה ומסמכים שיוגשו למטה הקיברנטי יפורסמו לציבור בציון מחבר המסמך, וזאת למעט חריג מצומצם של מסמכים שיימצא לנכון כי יש לסווגם מטעמי ביטחון.

ההליך המיועד יכלול ארבעה שלבים: השלב הראשון – איסוף ועיבוד של הצעות מומחים ובעלי דיעה באשר לרכיבי ההסדרה המיועדת [עד ליום 31 יולי 2012]; השלב השני – הקמת וועדה ציבורית מייעצת לרגולציה קיברנטית [15 לאוגוסט 2012]; השלב השלישי – פגישות התייעצות פתוחות להשתתפות בנושאים מוגדרים בהליכי הרגולציה ולצידן פגישות פרטניות עם מומחים ובעלי דיעה בנושאים הספציפיים [מיום 16 אוגוסט 2012 ועד ליום 30 באוקטובר 2012]; השלב הרביעי – גיבוש המלצות מפורטת לרגולציה אשר יוצגו לתגובות הציבור קודם להעברתן לאישור הממשלה.