צילום: Shutterstock

סכנת סדקים בחיסיון הבנקאי

ב-20 ביוני 2018 שיגר משרד ראש הממשלה מסמך ארוך תחת הכותרת "תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי". אולי בהשפעת ימי הקיץ והחופשות, התזכיר לא זכה לתשומת לב רבה במיוחד, למרות שהוא כולל סעיפים בעלי השפעה על מערך יחסי הכוחות שבין הממשלה לאזרחים, עסקים וארגונים בתחום הגנת הסייבר.

בעיני הממשלה, תזכיר החוק הוא שלב חשוב בתהליך שהחל בשנת 2015, כאשר הוחלט לממש תפיסת הגנה רחבה ולהקים את מערך הסייבר הלאומי. המערך עוסק בגילוי וזיהוי של תקיפות סייבר, טיפול בתקיפה בזמן אמת, וביצוע פעולות בתחום הרגולציה.

"הרגולציה בעולם בתחום הסייבר נמצאת בתחילת הדרך" | צילום: Shutterstock

התזכיר כולל פרק ארגוני המסדיר את מאפייניו הייחודיים של מערך הסייבר הלאומי, פרק העוסק בסמכויות הנדרשות לאיתור תקיפות ולהתמודדות עמן, ופרק העוסק באסדרה לאומית ומגזרית לצורך העלאת רמת החוסן של מגזרי המשק.

בפרק הטיפול בתקיפות סייבר, הכולל את סמכויות הטיפול של המערך בתקיפות סייבר, קבועות הוראות העוסקות בכלים הנדרשים לטיפול בתקיפות סייבר בארגונים ובשיתוף מידע ביחס אליהן.

הפרק הרגולטורי קובע את תפקידו של מערך הסייבר הלאומי כמאסדר הלאומי בתחום הגנת הסייבר, ומוצע כי המערך יהיה מופקד על תוכן האסדרה באופן שיחייב את הרשויות האחרות במדינה שעוסקות כיום בנפרד באסדרת הגנת הסייבר, כל אחת בתחומה.

יצוין כי כיום המערך הוא בעל סמכות הנחיה רק מול רשויות וגופים קריטיים, כמו חברת חשמל ומקורות, ויתר הפעולות שלו במרחב האזרחי תלויות בהסכמה ובשיתוף פעולה מול הארגונים השונים.

משפטנים שקראו את תזכיר החוק יותר לעומק טוענים, כי עלולות להיות לו השפעות מרחיקות לכת על כל עסק במדינת ישראל, כולל אפשרות שמידע על העסק ולקוחותיו ייחשף ואף יועבר על ידי מערך הסייבר לארגונים מקבילים לו בעולם.

"עלול להקשות על חידוש ההכרה בישראל כתואמת לסטנדרטים האירופים", עו"ד חיים רביה | צילום: דרור דרעי

אחד הענפים שמודאגים מהשלכות החוק במתכונתו הנוכחית הוא ענף הפיננסים והבנקאות. "המערכת הפיננסית חייבת באמון בינלאומי לפעילותה. מצב שבו למדינה יש סמכויות ליטול מהמערכת כל מידע שהוא בכל רגע נתון, בעילה של תקיפת סייבר או איום סייבר, שמוגדרים כרגע בלשון מאוד רחבה, עלול לחתור תחת האמון במערכת הפיננסית", אומר עו"ד חיים רביה, שותף במשרד פרל כהן צדק לצר וראש קבוצת האינטרנט והסייבר במשרד, המתמחה במשפט וטכנולוגיה ובקניין רוחני.

ישראל לא פועלת בחלל ריק. מהו הרקע בעולם לחקיקה בתחום הסייבר?

רביה: "הרגולציה בעולם בתחום הסייבר נמצאת בתחילת הדרך. מצד אחד, הרגולציה שונה בין מדינות, ומצד שני בשום מקום בעולם לא קיים אוסף הסמכויות המצטבר שביקש לעצמו מערך הסייבר בישראל. אומנם ישראל מתמודדת עם איומים פוטנציאלים משמעותיים בתחום הסייבר, כמו מצד איראן וחיזבאללה, וגם מאוימת בתחום זה, כמו מדינות מערביות אחרות, על ידי מעצמות כמו רוסיה וסין שעושות את זה לצרכים של ריגול תעשייתי, ריגול ביטחוני או פשיעה. ועדיין, האיומים האלה אינם מצדיקים לדעתי חקיקה במתכונת כזו".

מהן ההשלכות המעשיות?

רביה: "הנחת היסוד היא שלעיתים קרובות תקיפות סייבר מתחילות במרחק מה מהארגון שהוא המטרה העיקרית. לדוגמה, התקפת סייבר על ארגון בנקאי יכולה להתחיל מספק של אותו תאגיד בנקאי. מסיבה זו תזכיר החוק לא מגביל את עצמו רק לארגונים שמנהלים תשתיות חיוניות. ועדיין, כאשר מסתכלים על רוחב היריעה שנגזר מההגדרות המאוד רחבות של איום סייבר ותקיפת סייבר, מקבלים חוק שיש לו השלכות פוטנציאליות מהותיות על כל ארגון בישראל מכל סדר גודל.

"ההשלכות הן רב ממדיות, החל מהפעלת סמכויות של מערך הסייבר, שיכולות להיות מאוד דרקוניות, עבור במריבות בין רשויות מוסמכות אחדות, כאשר אתה יכול למצוא את עצמך באירוע שבו מערך הסייבר הלאומי, השב"כ, הפיקוח על הבנקים, משטרת ישראל והרשות להגנת הפרטיות – כולם טוענים לסמכות במגזרים שונים של האירוע, וכלה בעובדה שמידע שנתפס מכוח הסמכויות של החוק הזה יכול להיות מועבר גם בתוך המדינה לגופים שונים, כמו למשטרה, לשב"כ או למוסד, וגם מחוץ למדינה. זה כמובן מאיים באופן פוטנציאלי על הפרטיות של כל אזרח ועל הסודיות המסחרית והעסקית של כל ארגון, כולל בנקים".

תחום הסייבר במערכת הבנקאות מוסדר על ידי הפיקוח על הבנקים. עו"ד יורם הכהן, מנכ"ל איגוד האינטרנט הישראלי ולשעבר ראש הרשות למשפט, טכנולוגיה ומידע (רמו"ט), מומחה בתחומי פרטיות, סייבר ואבטחת מידע, רואה בתזכיר החוק מספר סעיפים בעייתיים.

"אנשים מתחלפים וחוקים נשארים", עו"ד יורם הכהן

הכהן: "אפשר לסכם את ההערות לחוק בהקשר של הבנקים במשפט המוכר: אם משהו פועל טוב, לא צריך לתקן אותו. משטר הרגולציה שמובל על ידי הפיקוח על הבנקים מזה שנים צבר הרבה ניסיון, והפיקוח עושה עבודה טובה. המסר בחוק הוא שמערך הסייבר הלאומי רוצה 'קול אחד', כך שכל רגולטור שענייניו סייבר יונחה על ידו בהנחיה מרכזית. רעיונית זה אולי טוב, כדי שלא כל רגולטור סקטוריאלי יקבע לעצמו דרישות ייחודיות. אבל מהצד האחר, קיימים רגולטורים שכבר צברו ניסיון רב בתחום ומבינים לעומק את הסוגיות הייחודיות של הגנת הסייבר בגופים עליהם הם מפקחים, כמו הפיקוח על הבנקים, ולכן הבנקים טוענים בצדק שאין סיבה לשנות את המערכת הקיימת, כי שינוי עלול גם לגרום לנזק.

"בנוסף, יש פוטנציאל לרגולציה כפולה כתוצאה מהרצון להסדיר את הגנת הסייבר בכל תחום. הפיקוח על הבנקים עוסק בהגנה על מערכות בנקאיות, אבל בבנקים יש, לדוגמה, גם מערכות כיבוי אש שמגינות על הנכסים. גם מערכות כאלה פועלות כיום בסייבר, כך שייתכן שלמערך הכבאות בישראל יהיה ממונה סייבר שייתן הוראות לסייבר של כיבוי אש. התוצאה היא שהבנקים עלולים להתמודד עם סתירות אפשריות בין רגולציית סייבר בתחומי פעילות שונים. התזכיר אומנם מדבר על רשות מאסדרת מובילה, שבמערכת הבנקאות זה אמור להיות הפיקוח על הבנקים, אבל קיימת סכנה לעודף רגולציה ויש פוטנציאל לריב סמכויות בין רשויות מאסדרות".

תחום נוסף שמעורר לא מעט מחלוקות מאז פרסום תזכיר החוק הוא הגנת הפרטיות. בנושא זה מתרחש מאחורי הקלעים מאבק בין מערך הסייבר הלאומי לרשות להגנת הפרטיות במשרד המשפטים, מי יהיה הגורם אחראי על אבטחת מידע בישראל. באופן היסטורי התפקיד הזה נמצא בידי רשם מאגרי המידע, מכוח חוק הגנת הפרטיות.

עו"ד חיים רביה אומר: "תזכיר החוק לא משאיר מקום לספק שמערך הסייבר הלאומי מבקש לעצמו מעמד בכורה בעניין זה. יותר מזה, החוק מבקש בנסיבות מסוימות לאסור על פרסום ידיעות על תקיפת סייבר ודרכים להתמודד איתן, בשעה שתקנות אבטחת מידע החדשות שנכנסו לתוקף במאי האחרון מחייבות מתן הודעה כזו. תיקון מקיף בחוק להגנת הפרטיות שנועד לתת סמכויות אכיפה עם שיניים לרשות להגנת הפרטיות לא עולה לדיון בכנסת בגלל הסתייגויות של מערך הסייבר הלאומי".

איך הפרטיות בתחום המידע תושפע בהקשר הבנקאי?

עו"ד יורם הכהן: "בנקים מנהלים הרבה מאוד מידע אישי מסוגים שונים וברמת רגישות גבוהה. כאשר אתה מנסה לגלות תקיפות סייבר, תידרש גם נגישות למידע אישי, כי המתקפות מגיעות גם בערוצים של תקשורת בין-אישית כגון דוא"ל, בגלישה באתרי אינטרנט שונים וכד'. סודיות בנקאית זה ערך יסוד של העולם הבנקאי, אשר נובע הן מהרצון לפרטיות של הלקוחות והן מתפיסה של הבנקים כנאמנים של המידע עבור לקוחותיהם. אמון הציבור בבנקים מבוסס על כך שהבנקים שומרים על החיסיון הבנקאי. לכן, כאשר רשות של מדינה היא בעלת גישה למידע שיש בו סודיות בנקאית, צריך לעשות את זה בזהירות יתרה.

"יש לכך גם רובד בינלאומי. הבנקים עוסקים בהעברות מידע מול חו"ל, בקשר עם בנקים בחו"ל, בהעברות כספים בינלאומיות וכד'. בחוק קיימות הוראות שעלולות לכאורה לפגוע בחובות שיש לבנקים בפעילות הבינלאומית שלהם, למשל לפי חקיקת הגנת הפרטיות האירופית החדשה (GDPR). ייתכן מצב של הוראות סותרות – אחת מרגולטור סייבר ישראלי והשנייה על פי דין אירופי או הוראה של רגולטור פרטיות אירופי שאינו מתיישב עם ההוראה הישראלית. זה עשוי להכניס את הבנק לניגוד עניינים פנימי, ולצורך לבחור לאיזו מערכת חוקית הוא מציית".

אפשר להניח שמנסחי החוק מבינים את הבעיה.

הכהן: "מבחינת זכויות אזרח קיים בחוק פוטנציאל גדול לפגיעה בפרטיות, ומנסחי התזכיר מבינים זאת. לכן, קבעו בחוק פונקציות שאמורות להגן על הפרטיות של האזרחים, כולל מפקח פרטיות פנימי, שאמור להיות עובד של מערך הסייבר, וועדה מפקחת לנושא פרטיות שמורכבת מנציגי ציבור. התפיסה הזו נכונה, אבל לא הגדירו באופן מספק את הסמכויות והמשאבים שיינתנו לגורמים המפקחים ואת העצמאות התפקודית שלהם".

מהו מעמד הרשות להגנת הפרטיות במשרד המשפטים?

הכהן: "מצד אחד ניתן לה מעמד מוגדר בחוק, כי התפקיד של מפקח הפרטיות במערך הסייבר הלאומי מתמנה בהסכמה של ראש הרשות להגנת הפרטיות, המשמש כרשם מאגרי מידע. אבל באופן שבו זה מוצע בתזכיר מדובר בהשפעה מאוד מינורית. צריך לחזק את מעמדה של הרשות להגנת הפרטיות בנושא הזה כגוף מאזן ומפקח.

"פרטיות במידע עומדת על שתי רגליים. האחת, מה הארגון עושה במידע שהוא אוסף. לדוגמה, איך הבנקים משתמשים במידע על לקוחותיהם, שהם אספו באופן לגיטימי לצורך מתן השירות הבנקאי. הרגל השנייה היא איך הארגון מגן על המידע שהוא אוסף מפני שימוש לא מורשה על ידי גוף חיצוני. מבחינה זו, הרשות להגנת הפרטיות היא רגולטור מקביל למערך הסייבר הלאומי ולא רגולטור כפוף.

"הרשות להגנת הפרטיות רואה את הנושא של אבטחת מידע והגנת סייבר לא רק מנקודת מבט של הגנת סייבר מדינתית, אלא כאינטרס של האדם בפרטיות שלו. לעיתים יש התנגשות אינטרסים בין פרטיות להגנת סייבר, ויש לאזן ביניהם. לא בכל מקרה האינטרס של הגנת סייבר עדיף, למרות שלכאורה גם הוא שייך לאינטרס ההגנה על הפרטיות.

"כדי לבצע הגנת סייבר טובה, ייתכן שארצה להסתכל בתוכן של מידע שמועבר, כדי לגלות אם עוברות בו נוזקות שעלולות לפגוע במערכות מחשבים. כדי לעשות את זה, אני אמור למשל לקרוא תכתובות דואר אלקטרוני, ואז קיימת התנגשות בין הערך של פרטיות והערך של הגנת סייבר. זו דילמה לא פשוטה".

נשמעת טענה גם ביחס להיעדר שקיפות.

הכהן: "זו אכן בעיה יסודית בתזכיר. החוק בנוי כך שראש הממשלה הוא המפקח על הפעילות של מערך הסייבר. בסיטואציות בודדות נדרש אישור של שר המשפטים, אבל אין בנוסח התזכיר שום מנגנון של פיקוח פרלמנטרי, ואפילו לא של הממשלה שממנה את ראש המערך. יש חוסר שקיפות קיצוני לציבור. חלקה קשור להיעדר דיון בכנסת, שבו בדרך כלל, וכעקרון, החומרים גלויים לחברי הכנסת ולציבור. לכן, אחת הדרישות המשמעותיות היא לתת תפקיד פיקוחי לכנסת, ודרכה – לציבור".

כאמור, התנגשות אפשרית נוספת עלולה להיות לחוק עם מהלך האסדרה להגנה על מידע של האיחוד האירופי. האסדרה הזו, (GDPR – General Data Protection Regulation), שנכנסה לתוקף ב-25 במאי השנה, היא חקיקה כלל אירופאית שעושה מהפכה בעולם של עיבוד המידע האישי.

לדברי עו"ד חיים רביה, האסדרה הזו משליכה על כל ארגון ישראלי שמעבד מידע אישי על יחידים באירופה, אם תוך כדי כך שהוא מציע להם שירותים או מוצרים או שהוא מנטר את ההתנהגות שלהם. "ההשפעה היא על ארגונים שונים, החל מחברות פארמה שמבצעות ניסויים רפואיים באירופה, עבור לחברות שעוסקות באד-טק, מוסדות פיננסיים, אוניברסיטאות ועוד".

איך זה ישפיע על עסקים בישראל?

רביה: "אחת הבעיות היא שאירופה לא מתירה העברת מידע למדינה אחרת אלא אם מדובר בהעברה למדינה שאמות המידה הנקוטות בה להגנה על מידע אישי עונות על הדרישות האירופאיות. לצורך זה אירופה בוחנת את הדין באותה מדינה, כולל דינים שעוסקים בביטחון לאומי. ישראל הוכרה ב-2011 כתואמת את אמות המידה האירופאיות, וההכרה הזו נבחנת מחדש בעצם הימים האלה, כאשר ההחלטה צפויה ב-2020. אם תזכיר חוק הסייבר ייהפך לחוק בגרסתו הנוכחית, שבה הוא מתיר למדינה גישה כמעט בלתי מוגבלת לכל סוג של מידע, זה עלול להערכתי להקשות על חידוש ההכרה בישראל כתואמת לסטנדרטים האירופים.

"במישור אחר, ב-GDPR ובחוקים אחרים שחלים על חברות ישראליות, כולל חוקים אמריקאים, יש חובת מתן הודעה על תקיפת סייבר. כפי שראינו, בנסיבות מסוימות התזכיר מבקש למנוע מתן הודעה כזו. כך שזה יוצר בעיה פוטנציאלית גם מול זה. אי עמידה בכללי ה-GDPR עלולה לגרום להטלת קנסות כבדים ביותר על חברות ישראליות, ואי עמידה בכללים האמריקאים עלולה להסתיים בתובענות ייצוגיות ובצעדים נוספים".

אפשר למצוא בתזכיר גם דברים חיוביים?

רביה: "יש בתזכיר הוראות שגם אם הן טעונות הרחבה והעמקה, הן בסיס נאות לפיקוח על פעילות מערך הסייבר. בין השאר, מינוי ממונה על הגנת הפרטיות במערך, הקמת ועדה המפקחת על המערך, והוראה חדשנית שאין כמוה בחקיקה הישראלית על עיצוב מערכות המידע של המערך לפרטיות. ועדיין, אני מקווה שכשאר זה יגיע להצעת חוק שתוגש לכנסת ולאחר הדיונים בכנסת, יהיו שינויים שיעמיקו וירחיבו את הבקרה על המערך".

הכהן: "במערך הסייבר יש אנשים ראויים, וזו לא יוזמת חקיקה הזויה. אבל טבעם של ארגונים, שהם רואים כל עניין דרך הפרספקטיבה והמטרה שלהם. מערך הסייבר מבקש לאפשר לעצמו סמכויות רבות, כדי שיהיו לו כלים להתמודד אם עושר האירועים האפשרי, אך סמכויות אלה עלולות להיות מנוצלות לרעה, גם אם זו לא הכוונה של מנסחי התזכיר. אנשים מתחלפים וחוקים נשארים, ולכן צריך לגדר את הסיכונים ולבצע שינויים בחוק המוצע ולחזק את מנגנוני הפיקוח, השקיפות והבקרה על הפעלתו".

רביה: "צריך לזכור שמערך הסייבר הוא ארגון צעיר עם תרבות ארגונית ואתוס מקצועי שנמצאים בשלבי התהוות. הצורך בסמכויות כל כך מרחיקות לכת עוד לא הודגם הלכה למעשה – וגם אלה סיבות לרסן את הסמכויות שהוא מבקש לעצמו".

 

"אין מצב שמידע על לקוחות הבנקים יהפוך לרלוונטי להגנת סייבר"

במערך הסייבר הלאומי מודעים לקולות הביקורת שנשמעים בסקטור העסקי על נוסח תזכיר חוק הסייבר אבל דוחים את הטון של המבקרים, שמייחס לחוק פוטנציאל להפוך למנגנון דרקוני בסגנון "האח הגדול". עם זאת, ההערכה היא שבתזכיר צפויים שינויים.

גורם בכיר במערך הסייבר הלאומי שמעורה בחוק אומר: "הסדרה של נושא הסייבר מעסיקה בשנים האחרונות לא רק את ישראל, ואנחנו רואים התמודדות של מדינות דמוקרטיות עם שאלות היסוד של תפקיד המדינה בהגנה בתחום הסייבר. בעבר, אבטחת המידע וההגנה על רשתות של ארגונים היו באחריותם, כמו שהאחריות להגנה על המחשב של כל אחד מאתנו בבית היא באחריותו. גם בבנקים המחשבים הם קודם כל חלק מנכסי הבנקים ואינם עניינה של המדינה. מצד שני, המדינה מוטרדת מכך שבאמצעות פגיעה במערכות המחשוב האלה תהיה פגיעה באזרחים ובאינטרסים לאומיים".

"הפיקוח על הבנקים יצטרך להתחשב במערך הסייבר הלאומי" | צילום: Shutterstock

אבל תפיסת החוק בישראל היא חדשה.

"התפיסה בישראל חדשנית בכך שהיא החליטה לייחד גוף חדש שאחראי על הסייבר, לעומת מדינות אחרות שחילקו את האחריות בין מספר גופים. במובן הזה, תזכיר החוק שפרסמנו אינו תקדימי. הוא פשוט מסדיר נושאים שבמדינות אחרות מוסדרים בדיני הביטחון או אכיפת החוק. החידוש כאן שכאשר גוף ממשלתי פועל בתחום הסייבר, הוא עושה את זה כדי להגן על תשתיות המחשוב ולא כדי לחפש ראיות נגד עבריינים ולעבירות או להפרה של רגולציה. מאפיין שני הוא שבשונה מגופים שחלק מההצלחה פעולתם מותנית בחשאיות, אנחנו לא פועלים בחשאי כלפי הגוף אלא רק כלפי התוקף.

"החוק מסדיר את תפקיד המדינה ברגולציה ובתקינה, ובמובן הזה הוא תואם לחלוטין את מה שקורה באיחוד האירופי, בכך שנדרשת תשומת לב מרכזית של המדינה לתקינת סייבר ולהיערכות. הוא גם חוק שמיישם את התהליכים שננקטים בישראל, בהתאם להחלטת הממשלה להפחית את הנטל הרגולטורי.

"כאשר בוחנים את הנושא מנקודת מבט של המשק, השאיפה היא שהדיסציפלינה של הגנת הסייבר תהיה אחידה. עד החלטות הממשלה מ-2015 הטיפול היה סקטוריאלי, וכל רגולטור טיפל בשדה שלו, כאשר הפיקוח על הבנקים היה הרגולטור האזרחי הראשון שהוציא תקינה לאבטחת מידע. מאז הצטרפו עוד רגולטורים. התוצאה כיום היא שאם אני ספק של המערכת הבנקאית וגם ספק של חברת ביטוח, הדרישות בתחום הגנת הסייבר הן שונות – כי לכל תחום יש רגולציה שונה, ואין שפה אחידה ברמה הלאומית".

מהי המשמעות בעבודה מול הרגולטורים, כמו הפיקוח על הבנקים?

"הדרישה שלנו היא שמעתה, כאשר רגולטור ירצה להוציא רגולציה חדשה בתחום הסייבר, מערך הסייבר יחתום עליה במשותף כסמכות הלאומית. בנוסף, כל רגולטור יפעל ככל הניתן בהתאם לתקינה שפיתחנו, שמבוססת על התקנים הבינלאומיים. יש יותר ויותר דרישה להישען על תקנים בינלאומיים בכל תחום, כי השימוש בתקינה מקומית מהווה חסם לתחרות.

"אם רוצים ליצור תחרות בתחום הגנת הסייבר, חייבים להבטיח שאנשי המקצוע יעמדו בכל התקנים ולהבטיח ששוק הגנת הסייבר יפעל בתצורה אחידה. לאנשי הגנת סייבר שמכירים את התקנים הבינלאומיים יהיה הרבה יותר קל לעבוד גם בבנקאות, גם בביטוח, גם בבריאות ובתחומים אחרים.

"אין לנו שום כוונה להחליף את הפיקוח על הבנקים בעבודה שלו מול הסקטור הבנקאי, ולכן אין כפל רגולציה והבנק לא ירגיש כפל רגולציה. השינוי יהיה שהפיקוח על הבנקים, שעד היום היה הריבון היחיד בתחום, יצטרך להתחשב במערך הסייבר הלאומי. לדעתנו זה טוב גם לפיקוח וגם לבנקים עצמם".

איך זה משתקף בעבודה היום-יומית?

"מה קורה כאשר מתחרש אירוע סייבר בבנק, כמו אירוע שקרה, שבו הנהלת בנק קיבלה מכתב סחיטה עם חומר פנימי של הבנק – אירוע שמעיד על פריצת מערכות ההגנה בבנק. בסיטואציה כזו נכנסים לפעולה שלושה גופים פוטנציאליים. הראשון הוא מערך הסייבר הלאומי, שפועל מול ה'תקיפה', כלומר אותו סיכון למערכות המחשב של הבנק שעלולות לפגוע בבנק או במידע שלו, ואין אף אחד ברמה הלאומית חוץ ממערך הסייבר הלאומי שמוסמך לטפל בהיבטים האלה.

"הגורם השני הוא הפיקוח על הבנקים, שאמון על שמירה על יציבות ואמינות המערכת הבנקאית מפני כלל מחוללי הסיכון. תפקידו לוודא מול הנהלת שהבנק שנשמרת רציפות השירות ללקוחות, אם תקיפת הסייבר גרמה להשבתה של שירותים. זה חלק מתפקיד הפיקוח לוודא שהבנקים מסוגלים לתת שירות בכל מצב חירום, לאו דווקא כתוצאה מתקיפת סייבר.

"הגורם השלישי הוא גורם בטחוני – משטרה, שב"כ או כל גורם אחר שאמור לטפל במחולל התקיפה ובאיתורו, כלומר התוקף. התובנה כיום הינה שבמקביל לאיתור התוקף ולטיפול בו יש צורך בנקיטת צעדים מיידים למניעת התפשטות התקיפה או גרימת נזק על ידה".

טוענים שבחוק קיימת פגיעה פוטנציאלית בפרטיות.

"בנושא הפרטיות חשוב להדגיש שכאשר אנחנו עוסקים בתקיפות סייבר, אנחנו מגיעים לתוכנות ולמידע הממוחשב שנמצאים במחשבים. אנחנו לא רשות המסים, לא הרשות להלבנת הון ולא הפיקוח על הבנקים או כל רגולטור אחר. אין לנו שום עניין במידע על לקוחות הבנקים ולא בלקוחות בחו"ל, כפי שאין לנו עניין בנתונים הכספיים של שום חברה. לכן, אני לא מדמיין מצב שאנחנו נשתמש בסמכויות שלנו כדי לאסוף מידע כזה".

אבל תיאורטית, אתם יכולים להיחשף למידע כזה במהלך טיפול באירוע.

"התשובה היא שתיאורטית זה כמו הסיטואציה של טכנאי במעבדה לתיקון טלפונים שאתה מוסר לו את הטלפון הנייד שלך, שמכיל פרטים על כל חייך. אנחנו פועלים בשקיפות מלאה מול אנשי המחשבים של הבנקים, כי אחרת לעולם אי אפשר לטפל במחשבים. יש שורה של מנגנונים שיבטיחו שלא ייאסף שום מידע בנקאי, ואני לא רואה מצב שבו מידע על לקוחות בנקים יהפוך למידע רלוונטי להגנת סייבר. המידע הזה לא מעניין את מערך הסייבר הלאומי".

טוענים שהחוק סובל מהיעדר שקיפות והכל מרוכז במשרד ראש הממשלה.

"לגבי סוגיית השקיפות, גופים מאוד מרכזיים במדינה, כמו השב"כ והמוסד, נמצאים במשרד ראש הממשלה ומפוקחים על ידי מנגנונים שבהם פוליטיקאים לא מתערבים. אנחנו מנסים ליצור קונספט חדשני על בסיס מודלים שפותחו בגרמניה, ארה"ב, הולנד ובמדינות אחרות, תוך יצירת האיזון הטוב ביותר והסדרת מערכת היחסים בין המדינה לארגונים בתחום מערכות המחשוב.

"ברור שקיימים אירועים שארגונים לא מסוגלים להתמודד איתם לבד, ולכן המדינה צריכה להיות מעורבת. למדינה יש תפקיד גם בהפצת מידע על תקיפות סייבר וגם בסיוע כאשר האירוע מתרחש. צריך להסדיר את התפקיד הזה, שאינו קשור לאכיפת החוק. אנחנו לא עוסקים בתפיסת פושעי הסייבר אלא בהסדרה של החזרת המערכות לתפקוד תקין".