פורסמה עמדת מערך הסייבר הלאומי בנוגע להצעת חוק הדיוור הדיגיטלי

ביום שלישי (25.1.2022) תקיים וועדת החוקה, חוק ומשפט בכנסת בראשות ח”כ גלעד קריב דיון המשך בנושא “פרק ב’ (דיוור דיגיטלי) מתוך הצעת חוק התכנית הכלכלית (תיקוני חקיקה ליישום המדיניות הכלכלית לשנות התקציב 2021 ו- 2022), התשפ”א–2021 [פוצלה לפי סעיף 84(ב) לתקנון הכנסת]”.

לרגל הדיון מחרתיים פורסמה עמדת מערך הסייבר הלאומי בנושא זה וזאת לבקשת יו”ר הוועדה. על המסמך חתום איתי בן-ארצי ראש אגף קשרי מימשל במערך הסייבר.

“הצעת חוק הדיוור הדיגיטלי הינה חלק מחבילה של צעדים שנוקטת הממשלה לקידום טרנספורמציה דיגיטלית בממשלה. מטרת צעדים אלה לשפר את השירותים הניתנים לאזרחים ועסקים באמצעות טכנולוגיות מתקדמות. סקר שבוצע לאחרונה על-ידי הלשכה המרכזית לסטטיסטיקה המחיש את הצורך בהשקעה ממשלתית משמעותית בתחום כדי לקדם את המשק והשירותים בישראל לעבר ממוצע מדינות OECD.

“אבטחת מידע, הזדהות בטוחה והגנת סייבר נאותה מהוות חלק תשתיתי במדיניות זו – משום שהן מגנות על אספקת השירותים באופן מהימן ומאובטח הנדרש לקיום התכליות הציבוריות ושימור אמון הציבור ושיתוף הפעולה שלו עם תהליכי הדיגיטציה.

“מערך הסייבר הלאומי שולב לצוות המדיניות הממשלתי בנושא דיוור דיגיטלי ומסייע למובילי פרויקט זה יחד עם ‘ישראל דיגיטלית’, רשות התקשוב הממשלתי, רשות האוכלוסין וההגירה, רשות הגנת הפרטיות, משרד המשפטים ומשרד האוצר לאיתור הסיכונים ועיצוב מדיניות אבטחת מידע נאותה. בהתאם לתפיסות מקובלות של אבטחת מידע והגנת סייבר, יש לשלב את היבטי ההגנה כחלק מעיצוב הפרויקט. בהתאם לכך קביעת המסגרת נעשה כחלק מוועדת ההיגוי שהקימה הממשלה בנושא זה. נכון למשלוח מכתב זה טרם הושלמו הליכים אלה, ולכן הדברים יוצגו בתמצית להלן.

“באופן כללי איתר מערך הסייבר ארבעה מוקדי סיכון הנוגעים לדיוור דיגיטלי בידי גופים ציבוריים: הגנה על מירשם האוכלוסין, פעילות הדיוור הדיגיטלי, תהליכי הזדהות ואימות, ואבטחת תיבת הדואר האלקטרונית. בהמשך המכתב, לאחר הצגת כל מוקד סיכון יידון המענה הנדרש.

“מבדיקתנו עולה כי כתוצאה מחקיקה זו הסיכון התוספתי למרשם האוכלוסין אינו משמעותי, ויש במסגרת המדיניות הקיימת די כדי להבטיח את המשך פעילותו המאובטח של המירשם.

“עוד עולה מבדיקתנו כי תקיפת סייבר על מפעיל הדיוור עלולה להביא לסיכונים כגון: פגיעה ברציפות התפקוד של שירות ציבורי (גם בעת חירום), השתלטות על מפעיל דיוור כדי לבסס תקיפות סייבר וספאם, דלף של מענים דיגיטליים, וביצוע תקיפות התחזות והונאה אשר יפגעו במשתמשי השירות. בהקשר זה, לצורך הערכת הסיכון מערך הסייבר הלאומי (מס”ל) מבחין בין הפעלת הדיוור הדיגיטלי במודל ריכוזי על-ידי המערכות הקיימות בממשל זמין, לבין מודל מבוזר לפיו רשאי כל גוף ציבורי להפעיל דיוור דיגיטלי בעצמו או להתקשר עם ספק דיוור פרטי. שימוש בספק דיוור דיגיטלי מרכזי יחיד, אשר רמת הגנת הסייבר שלו מפוקחת על-ידי רשות התקשוב ומערך הסייבר הלאומי הינו עדיף מבחינת ניהול מיטבי של סיכוני הסייבר.

“עם זאת, שימוש במודל מבוזר יאפשר גמישות רבה יותר בהפעלת השירות ואף יתירות במקרה של פגיעה משמעותית. בבחירה במודל הפעלת הדיוור יש לוודא שדרישות הגנת הסייבר והגנת הפרטיות הולמות את הסיכון וממומשות ברמת סמך גבוהה.

“בהפעלת דיוור דיגיטלי ציבורי עולה הסיכון שמא עקב עלייה משמעותית בשימוש רשמי לביצוע פעולות אישיות, כלכליות, עסקיות (וכדומה), נחזה בעליה בתקיפות ‘דיוג’ במתווה דוא”ל ו- SMS. בדיוני הצוות הממשלתי הציג מערך הסייבר הלאומי את המודל תקן ‘תו חוסן’ שנבנה לספקי שירות דיוור, ואשר ניתן להתאימו לצרכי השירותים לפי החוק. ‘תו חוסן’ היא שיטה להבטחת רמת הגנת סייבר מספקת ברמת סמך גבוהה, ומהווה מענה מדיניות אופטימלי לסיכון העולה מהפעלה מבוזרת של דיוור דיגיטלי ציבורי.

“ככל שמידע רגיש יגיע ישירות לתיבת דוא”ל פרטית, הדבר עלול להפוך את תיבות הדוא”ל עצמן ליעדי תקיפה וסחיטה. מעבר לכך, התחזות או כישלון באימות במערכת חשובה זו יכולים לאפשר לתוקף לבצע פעולות בעלות השלכות על המשתמשים (גניבת זהות, סחיטה והונאה, פגיעה בפרטיות), ולהביא לגידול בתופעת ההתחזות ופגיעה באמון הציבור.

“הזדהות בטוחה הינה מענה אבטחה אוניברסלי המקובל לפי תקנים בינלאומיים, לסיכונים שהובאו בסעיף הקודם. ממשלת ישראל כבר מממשת את המדיניות הלאומית להזדהות בטוחה ואנו סבורים שניתן להשתמש בניסיון ובידע שנצבר גם לנושא שליחת מסרים באופן דיגיטלי.

“בכדי לוודא שעוצמת ההזדהות המבוצעת תהלום את רגישות המידע המועבר, יידרש הגוף הציבורי לביצוע ניהול סיכונים ממנו תיגזר “רמת הבטחת אימות” (רב”א) לדיוור הדיגיטלי.

“מתווה דומה קיים בחוק למתן שירותים חיוניים מרחוק (נגיף הקורונה החדש – הוראת שעה), תש”ף – 2020, ובהחלטת ממשלה מס’ 2960. מימוש הזדהות בטוחה ברמה מתאימה לסיכון הנשקף,  כמו ‘מוציא את העוקץ’ ממאמציהם של תוקפים אשר מחפשים דבר מה בעל-ערך בתיבות הדואר הפרטיות”.