בקיצור: חמש שנים לאחר שחוק הסייבר המופרע ירד מהשולחן, פועלת ממשלת ישראל בשקט על מנת להחזיר לעצמה – או לפחות לעומד בראשה ולשירותי הביטחון – את הכוח הבלתי מוגבל לקבל גישה לכל המידע האישי שלנו, ולמידע הנשמר בחברות מסחריות או ארגונים אזרחיים. הטירוף הזה לא רק יבריח מכאן את כל מרכזי הפיתוח החשובים כל כך לצמיחת הכלכלה הישראלית, אלא גם יאפשר לנטר באופן שרירותי כל צעד של כולנו, ללא כל בקרה או ביקורת, ולשנות או למחוק את המידע בכפוף לגחמותיו של אדם אחד.
ביום השני לעבודתו במעבדת המחשבים של אוניברסיטת ברקלי, אי אז ב־1986, ניגש מנהל המעבדה במצב רוח קודר לקליף סטול, אסטרונום שהוצב במעבדת המחשבים של אחד ממכוני המחקר באוניברסיטה. הפרש של 75 סנט במערכת החיובים שניהלה את הגבייה על פי זמני השימוש במחשבי האוניברסיטה הוציא אותו משלוותו, והוא הטיל על קליף את המשימה חסרת התודה של איתור התקלה.
סטול צלל לנבכי הקוד של מערכת החשבונאות המסורבלת אך העלה חרס בידו. זה לא היה הקוד, אלא משהו, או מישהו אחר, שהשתמש במערכת בלי לשלם, והוביל ל״תקלה״. צעד אחד צעד התחקה סטול אחרי האדם המסתורי, וגילה שלא רק המערכת של ברקלי מנוצלת כך, אלא גם מערכות של אוניברסיטאות אחרות, וכן מערכות של הצבא האמריקאי ומעבדות מחקר אחרות שהיו מחוברות אליהן.
במהלך חקירתו ניסה סטול לרתום את ה־FBI ואף את ה־CIA, לאחר שגילה כי המתקפות מגיעות מקבוצת מרגלים ממזרח גרמניה, רק כדי לגלות שאין בשום מקום בממשל גוף שתפקידו לרכז את הידע ואת תפישת ההגנה האמריקאית סביב נושא שאיש, פרט ליחידים באקדמיה, לא הבין בו דבר.
אותה טעות חיוב של 75 סנט הובילה בסופו של דבר להקמת ה־CERT הראשון, Computer Emergency Response Team, צוות חירום לטיפול באירועים ממוחשבים. גוף שירכז את הסמכויות, הידע, ויתאם בין הגופים השונים בממשל ובמשק לצמצום השלכות אירועים מסוג זה. כיום, CERT־ים כאלה קיימים כמעט בכל מדינה בעולם, וגם אצלנו בישראל.
*****
15 שנה מאוחר יותר, בשנת 2002, החליטה ממשלת ישראל בראשות אריאל שרון על הקמת גוף שירכז את האחריות על נושא אבטחת המידע הממוחשב במדינה תחת ועדת היגוי עליונה באחריות ראש המל״ל. ההחלטה העבירה בפועל את האחריות על אבטחת המידע במדינה לשב"כ, שאינו כפוף לביקורת ציבורית. מכיוון ששב"כ נטוע, לרוב, בקונספציה שנוטה להתעלם מאינטרסים שאינם שלו, נותרה העשייה ברובה בצללים והתמקדה בחלקים מסוימים מאוד של הגנה על תשתיות הרשת הישראלית, והותירה את רוב הפן האזרחי ברשת חשוף לחלוטין.
ב־2004 יזם איגוד האינטרנט בראשות דורון שיקמוני, מחלוצי המרשתת בארץ, הקמה של CERT במודל האמריקאי – גוף אזרחי הפועל בחסות הממשל, שיֵדע לאזן בין צורכי החברה האזרחית לחופש, התפתחות, ופרטיות, לבין צורכי הביטחון הממשלתיים המושכים בכיוון השני. מי שעמד בראש מיזם תהיל"ה (תשתית הממשלה לעידן האינטרנט) אז, בועז דולב, תמך בהתלהבות ברעיון ואף ייחס לו חשיבות רבה במרחב האיומים שהלך והתרחב. מול שני החלוצים הללו עמד נציג משרד הביטחון, אבנר בן אפרים, שאמר כי לעולם לא יקום CERT ישראלי ש"אינו מתאים למנטליות של הישראלים".
מאות אלפי מתקפות מאוחר יותר, באמצע פברואר 2015, החליטה הממשלה על הקמת "רשות לאומית להגנת סייבר" תחת משרד רה״מ, בנימין נתניהו. לכאורה, נועדה ההחלטה לרכז את כל הטיפול באיומי המרחב הקיברנטי תחת קורת גג אחת, לנהל תפיסת הגנה מערכתית לרוחב המגזרים השונים, ולדאוג לכשירות ואסדרה של התחום שעד היום שורץ בהמוני מוכרי שמן נחשים ובמעט מדי אנשי מקצוע ראויים.
למרות שעשרים שנה חלפו מאז שנכנסה המרשתת לחיינו, הייתה זו יוזמה מבורכת, שכן היעדר האסדרה בתחום הביאה לכך שכל גוף בחר כיצד להגן על מערכותיו, ולא תמיד ידע לנהל אירועי אבטחת מידע. מתקפות נגד גוף אחד לא הגיעו בזמן, או בכלל, לגופים אחרים שנפלו גם הם באותם כשלים.
אולם גם נתניהו נפל לאותו בור שלתוכו מעד שרון, והכפיף את הגוף הזה כיחידת סמך במשרדו בלי לאזן את צרכי הביטחון עם צרכי החברה. הוא אף הגדיל וקבע כי על הגוף החדש "לבצע כל תפקיד אחר שיקבע ראש הממשלה בהתאם לייעוד הרשות".
החלטת הממשלה הזו הובילה לקיומם של שני גופים נפרדים: "הרשות הלאומית להגנת הסייבר" בראשות בוקי כרמלי, יוצא המלמ"ב; ו"מטה הסייבר הלאומי" בראשות ד"ר אביתר מתניה, סא"ל (מיל') מאגף המודיעין, שהיו אמורים לעבוד יחדיו בבניין הכוח ובהפעלתו.
כצפוי, היעדר הגדרת הסמכויות וגבולותיהן גרמו למריבות רבות, ובשנת 2017 אוחדו שני הגופים תחת גג אחד בשם "מערך הסייבר הלאומי". בפועל, על פי גורמים רבים שהיו ועודם מעורבים במהלך, היה המערך לזרוע נוספת של שב״כ, שאנשיו מונו לתפקידים בכירים בו, ואף העומד בראשו, יגאל אונא, הגיע מהארגון החשאי, ללא ניסיון וידע בעבודה מול צרכי החברה האזרחית.
*****
ישראל היא עדיין מדינת חוק, ומערך הסייבר, גוף עם תקציב של מאות מיליוני שקלים בשנה שמעסיק מאות עובדים, לא יכול לפעול בלא סמכויות, והחלטת ממשלה אחת אינה מספיקה לקבוע אותן. על כן, בשנת 2018 הוגש "תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי", שביקש לשרטט גבולות ולחלק סמכויות. ברם, כשביקשו אנשי המערך את הסמכויות שאליהם התרגלו בעבודתם בצללים, הם פגשו לראשונה את המציאות האזרחית שסירבה ליישר קו עם הכיוון הביטחוני המובהק.
אחת הנקודות העיקריות שאותן ביקש תזכיר החוק לתקל, זו העובדה הפשוטה שבשעה שגופים ממשלתיים וספקי שירות קריטיים כמו חברת החשמל, בנק ישראל ואחרים מחויבים לשתף פעולה עם מערך הסייבר הלאומי, גופים אחרים שאינם נופלים תחת ההגדרה הזו לא חייבים, וההחלטה נתונה לרצונם הטוב. שב"כ, כידוע, לא עובד על רצון טוב, ולכן חיוב כל הגופים במשק והכפפתם למרותו נראה בעיניהם כמו הצעד ההגיוני היחיד.
מה זאת אומרת "לשתף פעולה" עם סניף הסייבר החדש והנוצץ שפתח שב״כ? לכאורה, במקרה של מתקפת סייבר טוב וחשוב שיהיה גוף מקצועי בעל משאבים ויכולות שאינם קיימים אצל רוב הגופים במשק, ואכן מומלץ להתייעץ עם גורמים אמינים ומקצועיים במקרים כאלה. אולם לא כל ארגון – ובמיוחד גופים אזרחיים כמו ארגוני עובדים, מפלגות שאינן חברות קואליציה, עמותות ואחרים שהאינטרסים שלהם לא בהכרח מתיישרים עם אלה של השירות החשאי – ישמח להכניס את שב"כ לנבכי המערכת שלו.
תזכיר החוק דרש גישה למקומות שאפילו ה־NSA האמריקאי התבייש לבקש. למשל, לא רק למטא־מידע (כמו מי שלח למי אימייל, מתי נשלח, מתי נקרא וכו'), אלא גם את המידע עצמו (מה כתוב באימייל). "ליעתים נדרש עיסוק גם בשכבת התוכן", מתפייט התזכיר, כאילו הזכות לפרטיות היא מטרד מיותר.
בתזכיר, מופיע צמד המילים "ראש הממשלה"67 פעמים. דבר שעשוי להקנות סמכויות נרחבות מדי בידיו של אדם אחד, מוכשר ואמין ככל שיהיה. גם מינוי ראש מערך הסייבר נמצא בידיו של אותו אדם, מה שעשוי להפוך את הגוף החדש לכלי נשק שמעטים יוכלו לעמוד בדרכו.
נדבך מדאיג מאוד באותו תזכיר, שכאילו השתמש בספר 1984 של ג'ורג' אורוול כמדריך הפעלה ולא כאזהרה מפני עתיד דיסטופי, הוא שבנוסף להגנה על ביטחון, הגנה על פגיעה בפרטיות ודומיהן, המערך יוכל לרדוף כל מי שפוגע ב"אינטרס שקבע ראש הממשלה בצו, לאחר התייעצות עם השר הנוגע בדבר". כלומר, אם ירצה ראש הממשלה לנטר ארגוני עובדים, חברי מפלגה מסוימת או סתם אנשים שלא משמחים אותו – כל ארסנל הסייבר של הממשלה עומד לשיקול דעתו הבלעדי, והאדם שעומד בראש המערך, שאותו מינה באופן אישי, יצטרך להתנגד.
רה״מ יקבע גם את גבולות האיסוף, העיבוד, והשמירה על המידע שנאסף ויוכל להחליט, למשל, שהוא יעבור ישירות למרכז העיבוד של מנגנוני המודיעין הישראלים על מנת להעשיר את רשת הניטור המכובדת שעוקבת אחרי האזרחים באופן קבוע ושמידע זה, שנלקח מארגונים שרק ביקשו להגן על עצמם, יישמר לנצח.
לקינוח, "פעילות מערך הסייבר בתחום הגנת הסייבר אינה נתונה לגילוי, למעט כמוסדר בחוק או בתקנות שיקבעו ראש הממשלה ושר המשפטים" – מעטה סודיות שיאפשר לגוף הסודי החדש מרחב פעולה מלא ונטול ביקורת ציבורית.
סביר להניח שמי שכתב את התזכיר מעולם לא עבד בשוק האזרחי, לא מבין מהו שוק חופשי ומהו חופש הפרט, וככל הנראה מעולם לא נדרש לדברים בהסכמה. למרבה המזל, לא כך פועל העולם, וחברות מכל רחבי המשק הזדעקו. עד מהרה התברר שחברות בינלאומיות מאיימות לסגור את משרדיהן בארץ מחשש לריגול תעשייתי מצד משרד רה״מ, שידרוש מהן להתקין מתקני האזנה ברשתות הפנימיות שלהן "למען ביטחונן". שום חברה בינלאומית לא תעלה על דעתה לשתף פעולה עם התנהלות כזו, ובכך לסכן את מערכותיה, עסקיה, ופרטיות משתמשיה בכל העולם.
מרוב עיזים שהוכנסו לתזכיר החוק החובבני, לא נותר סיכוי שהוא יעבור בלי שכתוב יסודי ומשמעותי וכך, שמונה שנים אחרי החלטת הממשלה שחוק כזה נדרש – הוא טרם נחקק. עם זאת, סוף־סוף חלחלה ההבנה שנדרש שיתוף פעולה משמעותי הרבה יותר מצד המגזר האזרחי והמסחרי, ואין מקומם של אמצעי ריגול וניטור כמו אלה שהופיעו במקור בחברה דמוקרטית.
*****
כבר ב־1922, בחיבורו ״תיאולוגיה פוליטית", הגדיר המשפטן הגרמני קרל שמידט את מושג הריבונות במשפט אחד: "ריבוני הוא מי שמכריע על מצב חירום". קרי, יש חוק, יש משפט, אבל מי שנתונה בידו הסמכות להכריז ולמשול בשעת מצב חירום הוא הריבון האמיתי. בכוחו לקחת את כל החוקים היפים והמאוזנים שחוקקו על ידי מוסדות המדינה – או את המוסדות עצמם – ולבטל אותם במחי יד.
101 שנים מאוחר יותר, האמת הזו עדיין שרירה. כבר 75 שנים אנחנו חיים תחת "מצב חירום" המאפשר מעקפים נוחים של מטרדים כמו ממשל תקין וזכויות הפרט, ותקנות מנדטוריות שנועדו להילחם במחתרות היהודיות בזמנים של טרום הקמת המדינה, משמשות היום למלחמות סייבר.
חמש שנים לאחר אותו תזכיר לחוק הסייבר, משתמשת כעת ממשלת ישראל בתקנות שעת החירום, בחסות גל הפטריוטיזם, על מנת להכניס לפועל כמעט את אותו חוק שזכה לקיתונות של בוז. התקנות החדשות קובעות כי לא רק מערך הסייבר, אלא גם פקידי שב"כ ומלמ"ב (הממונה על הביטחון במערכת הביטחון) יוכלו להורות לגופים שונים במשק, כולל גופים אזרחיים, לעשות ככל שיורו להם אנשי השירותים החשאיים. התקנות מאפשרות לעובד במערך הסייבר או במשרד הביטחון להורות לחברות אזרחיות להתקין ברשתות הפנימיות תוכנות ניטור אשר יכולות גם ליצור עותקים של "חומרי מחשב": להעתיק קבצים מתוך רשתות הארגונים. כרגיל, גם כאן הכול תחת מעטה סודיות. פנה מערך הסייבר לעובד בחברה? אסור לאותו עובד לספר על כך לאיש.
הדברים הללו לא נוצרו בוואקום. בשנים האחרונות התקיימו מספר תקיפות נגד חברות שהחזיקו מידע רב על אזרחי ישראל, אשר מערך הסייבר הזהיר אותן מפני תקיפה מיידית, או אפילו אחרי שתקיפה כזו זוהתה, ואותן חברות בחרו להתעלם מהפנייה ובכך גרמו לאסון. המחשבה מאחורי התקנות החדשות הללו, היא שיחד עם הצעת העזרה הנדיבה יגיע גם מקל גדול במידה שאלה יבחרו לא לטפל באיום.
ברם, התקנות האלה מצטרפות לשורה של תקנות אחרות שמנחיתה הממשלה על אזרחיה תחת ערפל המלחמה והיעדר הביקורת שהיא גוררת, כמו תקנה שמאפשרת למנגנוני הביטחון הישראלים לפרוץ לכל מצלמה במדינה, לקחת, לשנות, או למחוק ממנה חומרים, ולא לספר על כך לאיש.
גם המאגר הביומטרי לא נותר עזוב. אם בעבר גופי הביטחון היו צריכים להעביר תמונה או טביעת אצבע למפעילי המאגר ולבקש התאמה, התקנות החדשות קובעות כי המידע עצמו – כל טביעות האצבע וכל צילומי הפנים של כל מי שאי פעם נדרש להוציא מסמך מזהה ישראלי – יעברו אחר כבוד למרכזי הנתונים של שב״כ ואולי למקומות אחרים, מה שהופך את כל דיוני הפרטיות, האיזונים והבלמים סביב המאגר והשימוש בו, לחוכא ואיטלולא.
בשנים האחרונות פעלו רבים וטובים למניעת יצירת מאגר ביומטרי, אשר חסרונותיו לאזרחים עולים עשרות מונים על יתרונותיו. נציגי המדינה הפליגו בהבטחות על אמצעי ההגנה המופלאים. הגדילה המדינה והבטיחה במאי 2022 כי לא יידרשו יותר טביעות אצבעות, אלא רק צילומי פנים. התיקון האחרון מחזיר את הגלגל אחורה, וקובע שטביעות אצבע לא רק יישמרו, אלא גם יעברו למסדי נתונים אחרים.
אך גם כל אלה לא מספיקים לממשלה ולארגוני הביטחון, והם מקדמים תזכיר חוק שנועד לאשר לשב"כ פטור מצו משפטי כשירצה לחדור לחומרי מחשב, לקחת, לשנות ולמחוק אותם, ככל העולה על רוחו. כל שנדרש הוא אישור של ראש הממשלה. הוא ואין בלתו. כאילו זה לא מספיק, תזכיר החוק קובע כי שב"כ יוכל להעביר את המידע לגורמים אחרים "אם הדבר דרוש לשם מילוי תפקידיו".
אם רה״מ הסכים לחדור למערכות ארגון מסחרי כלשהו, יוכל שב"כ לחטט בהן, לשנות ולמחוק את המידע, ולהעביר אותו למתחריהם ללא צורך באישור שופט. כמובן שזהו תרחיש מוקצן, אך החוק יאפשר זאת. אם, חלילה, בראש הממשלה לא יעמוד אדם ישר, החוק יאפשר לו לעשות ככל העולה על רוחו בתחום. ללא פיקוח, ללא מגבלות, ותחת מעטה של סודיות.
נוסף על כך, תזכיר החוק מבקש כי לשב"כ יוּתר לבצע חיפוש סמוי "במחשב ובחומר מחשב למטרות מודיעין" אפילו ללא אישור רה״מ, אם שוכנע שיש שם "מידע חיוני" למילוי תפקידיו. במילים אחרות: הסערה שקמה לאחר שהתברר היקף השימוש בכלי הריגול "פגסוס" לא תתרחש יותר בעתיד, פשוט מפני שזה יהיה חוקי ולא ידרוש אישור משפטי.
*****
אין עוררין כי קיומו של גוף אסדרה בתחום הסייבר מחויב המציאות. רבים מהפקידים המקצועיים במערך עושים עבודה טובה וחשובה על מנת להגן על מרחב הרשת הישראלית, ופעמים רבות נכשלים בכך בשל היעדר סמכויות בחוק. עם זאת, מערכת המשפט חייבת איזונים ובקרות על מנת למנוע גלישה לעתיד דיסטופי, שבו ארגונים חשאיים יעשו כטוב בעיניהם במערכות המחשב של כל אחד ואחת מאיתנו.
מדוע, אם כן, בוחרת המדינה לייצר מסלול עוקף לטובת ארגוניה החשאיים? מדוע היא צריכה לדלג על הביקורת השיפוטית, החלשה ממילא? מדוע היא מבקשת לתת כוח כה גדול בידיים של איש אחד ללא איזונים וללא בלמים? ולא פחות חשוב: האם, בהתחשב בכל מה שלמדנו סביב המאגר הביומטרי, עלינו להמשיך ולבטוח במדינה ובפקידים הפועלים מטעמה שבאמת יעמדו במילתם ולא ישתמשו בכלים המסוכנים הללו למטרות אחרות?
אנחנו צועדים במדרון מסוכן. מעניקים סמכויות רחבות וחסרות בקרה תוך שאנחנו מתבקשים לסמוך על היושרה של אלה שלהן הן ניתנות, על אף הפרת התחייבויותיהם, תחת מעטה של דחיפות והסתמכות על תקנות שעת חירום מנדטוריות או עקיפה של אמצעים דמוקרטיים יותר.
התפיסה הזו עשויה לגרום לחברות זרות להוציא מכאן מרכזי פיתוח החיוניים לצמיחה, ויחד עם קידום אמצעים אנטי דמוקרטיים במרחב הסייבר ומחוצה לו, אנו עלולים למצוא את עצמנו חיים בדיסטופיה של אורוול – עניים, מנודים, ומנוטרים. תחת התקנות לשעת חירום ובחסות המלחמה, האיזון כולו מופר. כשנתעורר מהסיוט הזה, כבר יהיה מאוחר מדי להחזיר את הגלגל לאחור.
