Sunday, October 21, 2018

2018-10-21 על"ה הגיש התנגדות לתיקון לחוק המעביר את הסמכות ביחס למערכות מידע חיוניות מהשב"כ למערך הסייבר

על"ה הגיש התנגדות לתיקון לחוק המעביר את הסמכות ביחס למערכות מידע חיוניות מהשב"כ למערך הסייבר 
הכשל המתמשך ברישום מערכות מידע חיוניות למהות המשטר בין "הגופים הציבוריים" המוגנים על ידי המדינה (הן בחוק הקיים, והן בתיקון המוצע), מאפשר כשלים חמורים, שתועדו שוב ושוב, ביחס לסדרי המשטר הדמוקרטי ומוסדותיו, שלטון החוק וזכויות האדם במדינת ישראל.  הכשל והחשש למרמה והפרת אמונים במחשוב ועדת הבחירות המרכזית הם דוגמה מובהקת.
מן הראוי שהשב"כ יופקד על אבטחת מערכות מידע אלה, שכן הוא מופקד על פי החוק על “שמירת סדרי המשטר הדמוקרטי ומוסדותיו”.  העברת סמכויות אלה למערך הסייבר הכפוף ישירות לראש הממשלה, וללא פיקוח נאות, יוצרת  סכנה ברורה ומיידית למהות המשטר במדינת ישראל.
 
 


תל-אביב, 21 לאוקטובר - על"ה [ערנות לזכויות האדם-אל"מ (ע"ר)] הגיש היום התנגדות לתיקון המוצע לחוק הסדרת האבטחה בגופים ציבוריים.  התיקון המוצע מעביר את הסמכות לאבטחת מערכות המידע של "גופים ציבוריים" מהשב"כ למערך הסייבר במשרד ראש הממשלה.
התנגדותו של על"ה אומרת בפתיחתה:
לטעמנו, העברת האחריות למערכות ממוחשבות חיוניות מהשב"כ למערך הסייבר הלאומי, שבתיקון המוצע לחוק, היא צעד בלתי ראוי. יתרה מכך - הכשל המתמשך ברישום מערכות מידע חיוניות למהות המשטר, המופעלות על ידי רשויות ממשל שונות בין "הגופים הציבוריים" (הן בחוק הקיים, והן בתיקון המוצע), מאפשר כשלים חמורים, שתועדו שוב ושוב, ביחס לסדרי המשטר הדמוקרטי ומוסדותיו, שלטון החוק וזכויות האדם במדינת ישראל.
תיעוד הכשלים בבדיקתן ואבטחתן של מערכות מידע לרוחב זרועות השלטון ופרסום כתבים אלקטרוניים חסרי תוקף ו/או שקריים ומטעים היה במוקד דו"חות שהגיש על"ה למועצת  זכויות האדם של האו"ם לבדיקות התקופתיות של זכויות האדם בישראל (2013, 2018). 
הדו"ח שהוגש לשנת 2018, נכלל בדו"ח נציב זכויות האדם של האו"ם על ישראל (2018) וסוכם כך:
24. ערנות לזכויות האדם–אל"מ מדגיש את ההתדרדרות החמורה בישרתן של סוכנויות החוק והמשפט כתוצאה מהטמעתן של מערכות מידע ממשלתיות.  הוא מאשר שישרתו ותקפותו של כל מסמך חוקי ומשפטי מישראל מפוקפקות במקרה הטוב.
הן הדו"חות למועצת זכויות האדם של האו"ם והן פרסומים אקדמיים של על"ה קוראים למומחים למחשוב לקבל על עצמם חובה ציבורית בניטור מערכות המידע הממשלתיות וזכויות האדם בעידן הדיגיטלי.

להלן ההערות שהוגשו היום על ידי על"ה [ערנות לזכויות האדם-אל"מ (ע"ר)] לתיקון המוצע לחוק הסדרת האבטחה בגופים ציבוריים
20 לאוקטובר, 2018

לכבוד ראש הממשלה בנימין נתניהו
בדוא"ל, ובאמצעות אתר קשרי ממשל 

הנידון: תזכיר החוק להסדרת הביטחון בגופים ציבורים (תיקון מספר 9)(מערך הסייבר הלאומי), התשע"ט-2018 – הערותינו

שלום רב,
ערנות לזכויות האדם -אל"מ [Human Rights Alert -NGO] עוסק כבר כעשור בניטור מערכות מידע ממשלתיות במדינת ישראל ומחוצה לה, ובחקר השפעתן על זכויות האדם, שלטון החוק, ומוסדות דמוקרטיים (קורות חיים מקוצרות של החתום מטה מצורפות). 
לטעמנו, העברת האחריות למערכות ממוחשבות חיוניות מהשב"כ למערך הסייבר הלאומי, שבתיקון המוצע לחוק, היא צעד בלתי ראוי. יתרה מכך - הכשל המתמשך ברישום מערכות מידע חיוניות למהות המשטר, המופעלות על ידי רשויות ממשל שונות בין "הגופים הציבוריים" (הן בחוק הקיים, והן בתיקון המוצע), מאפשר כשלים חמורים, שתועדו שוב ושוב, ביחס לסדרי המשטר הדמוקרטי ומוסדותיו, שלטון החוק וזכויות האדם במדינת ישראל.
הרינו מבקשים שנוזמן לכל דיון בנידון בוועדות הכנסת.
להלן הערותינו בפירוט:  
א. התיקון לחוק שבתזכיר יעביר את "האחריות למערכות ממוחשבות חיוניות" מהשב"כ לרשות הסייבר
התזכיר שבנידון אומר בסעיף ב’ (עמ’ 1):

עיקרי החוק המוצע והצורך בו

ב- 3.8.16 התקבל החוק להסדרת הביטחון בגופים ציבוריים (הוראת שעה) תשע"ו- 2016 (להלן - הוראת השעה), אשר בהתאם להחלטות הממשלה בנושא הגנת הסייבר הסדיר את העברת האחריות למערכות ממוחשבות חיוניות משב"כ לרשות הלאומית להגנת הסייבר (כיום מערך הסייבר הלאומי)."
לפיכך, התיקון לחוק, המוצע בתזכיר, מעביר את "האחריות למערכות ממוחשבות חיוניות" מהשב"כ למערך הסייבר הלאומי.
ב. רשימת "הגופים הציבוריים" שבתוספות לחוק הקיים ושבתזכיר, אינה כוללת את הגופים החיוניים למהות המשטר
סעיפים (19) ו- (20) בתזכיר החוק שבנידון,  מונים את "הגופים הציבוריים" לגביהם יחול החוק על פי התיקון המוצע.  בדומה, נוסח החוק הקיים מונה בתוספות את ה"גופים הציבוריים" עליהם חל החוק היום.
הן על פי החוק הקיים, והן על פי התיקון המוצע, לא נכללות בין "המערכות הממוחשבות החיוניות", מערכות המידע של הגופים הבאים:
1. ועדת הבחירות המרכזית
2. בית המשפט העליון
3. בתי המשפט האחרים (מחוזיים, השלום, וכו’)
4. בתי הדין המנהליים במשרד המשפטים – לשכות ההוצאה לפועל ורשות האכיפה והגביה, בתי הדין למוחזקי משמורת, וכו'
5. הכנסת
6. שירות בתי הסוהר
יש לראות את מערכות המידע בגופים אלה ודומיהם כחיוניות למהות המשטר, לשלטון החוק, ולזכויות האדם במדינת ישראל. לפיכך מן הראוי שייכללו בין הגופים המוסדרים בחוק שבנידון.  
בנוסף, יש לשקול את הכללת הבנקים הגדולים וקופות החולים בין "הגופים הציבוריים" לגביהם חל החוק.
ג. כשלים במערכות המידע של ועדת הבחירות המרכזית כמקרה בוחן
מערכות המידע (בפרט "דמוקרטיה") ואבטחת המידע בוועדת הבחירות המרכזית שבו ועלו בימים אלה לסדר היום :
1. כבר בדיון משותף של ועדת המדע והטכנולוגיה וועדת המשנה של ועדת חוץ וביטחון להגנה בסייבר של הכנסת ביום 12 ליוני, 2017, עלו תהיות גבי המצב, בו מערכות אלה אינן מוגנות על ידי גופי הסייבר של המדינה, ואינן מוגדרות כ"תשתית קריטית".  הדיון דווח בתקשורת, כולל חששות "להטיית ספירת הקולות". [1]
ח"כ יעל כהן -פארן אמרה באותו דיון:
… יש פה בעיה, שהיא [מערכת המידע “דמוקרטיה” - יצ] לגמרי מתחת לרדאר הציבורי… היא לא בטוחה מספיק… היא משפיעה על תוצאות הבחירות. מה שיוצא מהמערכת הזאת, זה הדבר הכי משפיע על החיים שלנו פה. יותר מכל דבר אחר.
ח"כ ענת ברקו אמרה באותו דיון: 
אם היא תוגדר כתשתית קריטית, היא תהיה מוגנת בצורה יותר הדוקה.
2. סדרת תשובות על בקשות על פי חוק חופש המידע לוועדה מעלה חששות כבדים שפיתוחן, הטמעתן, והפעלתן של מערכות המידע של הוועדה נעשית בניגוד להחלטות ממשלה, נהלי חשכ"ל האוצר, ותקנים ישראליים מחייבים ביחס למערכות מידע ממשלתיות. 
3. פרסום בתקשורת שלשום (19 לאוקטובר, 2018) , חוזרים ומעלים אותן תהיות. 
 שמועות רבות נפוצו בעניין הסייבר אחרי בחירות 2015, כשנתניהו הכה גם את הסקרים של עצמו בשנייה האחרונה. המדגם הטלוויזיוני, שהיה כמעט אחיד, הורה על תיקו, ואילו שלוש שעות אחר כך זזו 3 מנדטים מהמחנ"צ לליכוד. כל שאר המפלגות נותרו כפי שניבא להם המדגם. עד היום לא נמצאו ראיות לכך שהאקר כלשהו מחברת סייבר אפלה כלשהי חדר, ממקום מושבו באוקראינה/סין למערכת הממוחשבת של ועדת הבחירות המרכזית והטה את התוצאות. סביר להניח שזה לא קרה. פיזית, זה יכול לקרות. 
והנה הפאנץ': העובדה המדהימה ביותר היא שהמערכת הממוחשבת של ועדת הבחירות המרכזית אינה מוגדרת "תשתית חיונית" ולכן אינה זוכה להגנת המדינה בכל הקשור לאיומי סייבר. המערכת בעצם חשופה לגחמותיו של כל האקר מזדמן ומופקרת לחלוטין. היא לא מקבלת הגנה מקצועית. זאת ועוד: כפי שהוא מקדים את כל יריביו בכל מה שקשור לפוליטיקה, כך גם בתחום הסייבר. בנימין נתניהו נמצא שנות דור לפני כולם. הוא מחובר לסייבריסטים בכירים, הוא אפילו נועד עם יו"ר של חברת סייבר ענקית המעניקה שירותים גם למודיעין הישראלי, הוא חזק בעניין. בלי להיכנס לספקולציות, נדמה לי שזה הזמן להכריז מיד על ועדת הבחירות המרכזית כעל תשתית חיונית ולהציב עליה את ההגנות המקסימליות. זה יחסוך מאיתנו ועדות חקירה בהמשך. [2]
4. פרסומים ברשתות החברתיות בקבוצות שונות עוסקים בעניין כבר שנתיים, ורק אתמול זכו פוסטים בעניין למאות שיתופים, לייקים, ותגובות.
5. בשבוע שעבר גם נשלחה לראש הממשלה, ליו"ר ועדת הבחירות המרכזית, וליועמ"ש  התראה לפני נקיטת צעדים משפטיים במטרה לאסור את השימוש במערכת "דמוקרטיה" בבחירות לכנסת ה-21. [3]
עצם החששות שמביעים חברות כנסת, פרסומים בתקשורת, ושיח ציבורי ברשתות, מצביעים על אבדן אמון בכשירותה ו/או ישרתה של ועדת הבחירות המרכזית, בפרט לגבי התנהלותה בקשר למערכות המידע. מצב כזה מערער את האמון בחוקיות המשטר במדינת ישראל.
יש לציין, שלמרות שפרסומים בתקשורת הציגו את הבעיה כחשש מכשל באבטחה כנגד גורמים חיצוניים - האקרים "באוקראינה/סין" – החשש החמור יותר הוא לגבי כשל באבטחה כנגד סיכוני פנים (INSIDE JOB) – כשל בתקינות ההרשאות ובאימות (ולידציה) המערכות.
ד. כשלים בתקינותן וישרתן של מערכות מידע ממשלתיות לרוחב זרועות השלטון 
תיעוד הכשלים בבדיקתן ואבטחתן של מערכות מידע לרוחב זרועות השלטון ופרסום כתבים אלקטרוניים חסרי תוקף ו/או שקריים ומטעים היה במוקד דו"חות שהגיש ארגון זה למועצת  זכויות האדם של האו"ם לבדיקות התקופתיות של זכויות האדם בישראל (2013, 2018). 
הדו"ח שהוגש לשנת 2018, נכלל בדו"ח נציב זכויות האדם של האו"ם על ישראל (2018) וסוכם כך:
24. ערנות לזכויות האדם–אל"מ מדגיש את ההתדרדרות החמורה בישרתן של סוכנויות החוק והמשפט כתוצאה מהטמעתן של מערכות מידע ממשלתיות.  הוא מאשר שישרתו ותקפותו של כל מסמך חוקי ומשפטי מישראל מפוקפקות במקרה הטוב. [4]
מצב זה מעלה חששות כבדים לגבי "סדרי המשטר הדמוקרטי ומוסדותיו" ומהות המשטר במדינת ישראל היום.
ה. השב"כ מופקד על פי דין על שמירת ""סדרי המשטר הדמוקרטי ומוסדותיו", הוראות דומות לא נמצאו בתזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי.
חוק השב"כ (2002), סעיף 7 אומר: 

7.(א) השירות מופקד על שמירת ביטחון המדינה, סדרי המשטר הדמוקרטי ומוסדותיו, מפני איומי טרור, חבלה, חתרנות, ריגול וחשיפת סודות מדינה, וכן יפעל השירות לשמירה ולקידום של אינטרסים ממלכתיים חיוניים אחרים לביטחון הלאומי של המדינה, והכל כפי שתקבע הממשלה ובכפוף לכל דין.

(ב) לענין סעיף קטן (א), ימלא השירות תפקידים אלה:
(1) סיכול ומניעה של פעילות בלתי חוקית שמטרתה לפגוע בביטחון המדינה, בסדרי המשטר הדמוקרטי או במוסדותיו;
(2) אבטחת אנשים, מידע ומקומות, שקבעה הממשלה;
...
(4) קביעת נוהלי אבטחה לגופים שקבעה הממשלה;
לעומת זאת, תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי (2018) אינו כולל הוראות דומות לגבי חובת מערך הסייבר בשמירת "סדרי המשטר הדמוקרטי ומוסדותיו".
יתרה מזאת, יש לציין שראש המוסד, ראש השב"כ, מנכ"ל משרד הביטחון וסגן הרמטכ"ל הביעו התנגדות נחרצת לתזכיר חוק הגנת הסייבר ולהעברת הסמכויות המוצעת בתזכיר התיקון לחוק להסדרת הביטחון בגופים ציבורים, שלפנינו. [5] 
ח"כ נחמן שי ח"כ נחמן שי אמר בתגובה כי הוא מחזק את ראשי השב"כ והמוסד:
הכפפת הסייבר לראש הממשלה היא יצירת מוקד כוח מיותר ומזיק… טעות חמורה ובמעשה לא דמוקרטי.
מצב זה תואר בתקשורת בצורה יותר בוטה:
 תעשיית הסייבר הישראלית היא מקור לגאווה. לפני כמה שנים, כשנתניהו החליט להקים רשותסייבר לאומית שתוכפף ישירות אליו, הורמו לא מעט גבות. נתניהו התעלם, ובצדק. היום אפשר להבין למה. השבוע התקיים בוועדת המדע של הכנסת דיון בענייני סייבר. התייצב אליו בכיר ברשות הסייבר בשם ארז תדהר. במהלך הדיון הוא הטיל פצצה: לדברי תדהר, בשנה האחרונה הסיר מערך הסייבר הישראלי אלפי בוטים ופרופילים מזויפים שניסו להשפיע על מערכת הבחירות המוניציפליות באמצעות פנייה לפייסבוק ולטוויטר. 
ח"כ רויטל סויד (המחנה הציוני), יו"ר שדולת המרחב הווירטואלי בכנסת, הבינה את משמעות הדברים והסתערה עליו בשאלות: "באיזו סמכות אתם פוסלים פרופילים? לאיזה צד של המפה הפוליטית משויכים הפרופילים הפסולים? האם יש בקרה על המהלך? האם יש שקיפות? האם ניתן לערער עליו? האם הוא מדווח איפשהו? איך אפשר לוודא שלא ייעשה בסמכות הגורפת הזו שימוש פוליטי?".
סויד עלתה כאן על הממותה שבחדר. בלי ששמנו לב, קם כאן גוף שאמור היה להיות אזרחי, אבל הפך לגוף צבאי. סוג של עוד סוכנות ביון לא מפוקחת. מערך הסייבר חסר בקרה כלשהי או פיקוח ונהנה מסמכויות גורפות ובלתי מוגבלות. בסייבר אפשר לאסוף את המידע האינטימי ביותר על כל אחד מאיתנו, אפשר לנטר כמעט כל גוף, העוצמה בלתי מוגבלת ואפילו השמיים אינם הגבול. העומד בראש מערך הסייבר יכול להיכנס לנבכי הנפש ולפרטיות של כל אחד מאיתנו מבלי שנדע על כך. למערך הסייבר יש סמכויות להיכנס לבתים, לערוך חיפושים, לתפוס חפצים. לא ברור איזה מידע הם אוספים, על מי ולמה. מה שברור זה שהמערך הזה לא כפוף לכנסת, לא כפוף לשרי הממשלה, כפוף רק לריבון אחד: ראש הממשלה. אפשר רק לדמיין מה אפשר לעשות מול יריבים פוליטיים עם צעצוע כזה. [6]
ו. סיכום
מתוך כל האמור לעיל: 
1. מן הראוי לכלול בין "הגופים הציבוריים”, הרשומים בתוספות לחוק, את כל הגופים החיוניים ל"סדרי המשטר הדמוקרטי ומוסדותיו”, ובכך לוודא את אבטחתן של מערכות המידע שלהם כ"מערכות ממוחשבות חיוניות". גופים אלה כוללים בראש ובראשונה את ועדת הבחירות המרכזית, את בתי המשפט ובתי הדין, את הכנסת, ואת שירות בתי הסוהר.  מן הראוי לשקול גם את הכללתם של הבנקים וקופות החולים בין הגופים המאובטחים.
2. מן הראוי שהשב"כ יופקד על אבטחת מערכות מידע אלה, שכן הוא מופקד על פי החוק על “שמירת סדרי המשטר הדמוקרטי ומוסדותיו”.  העברת סמכויות אלה למערך הסייבר, יוצרת  סכנה ברורה ומיידית למהות המשטר במדינת ישראל.
בכבוד רב,
_____________
דר' יוסף צרניק
ערנות לזכויות האדם – אל"מ (ע"ר)
ת"ד 33407, ת"א 6133301; פקס: 077-3179186
דוא"ל: 

העתקים: 
שלומית ברנע פרגו, היועצת המשפטית, משרד ראש הממשלה,
יולי אדלשטיין, יושב ראש הכנסת,  
אייל ינון, היועץ המשפטי של הכנסת 
אביחי מנדלבליט, היועץ המשפטי לממשלה 
רז נזרי, המשנה ליועץ המשפטי לממשלה (חקיקה) 
נדב ארגמן, ראש השב"כ
תפוצה נרחבת





No comments: