האם הטיפול במתקפות סייבר על גופים לא מבוקרים יישאר בידי גופים פרטיים?
כפי שכולנו רואים, מתקפות סייבר הפכו לדבר שבשגרה. הנושא הפך למטריד בפרט כאשר התוקפים מתמקדים מטבע הדברים גם בספקים מהותיים, דוגמת: אחסון אתרי אינטרנט, שירותי ענן, שירותי SaaS, תמיכה מרחוק, חברות פיתוח ועוד. ספקים הללו חווים בהדרגה רגולציה הולכת ומכבידה ובצדק מאחר והנושא הופך למכת מדינה. אם עד לפני כארבע שנים, ספק שעבר אירוע סייבר, יכול היה להסתפק בפתרון עצמאי של הבעיה, הרי שמלפני כארבע שנים חלה קפיצת מדרגה בתחום בשני היבטים מרכזיים:
• מערך הסייבר נהיה מעורב באופן משמעותי, האירועים מדווחים והספק עלול למצוא עצמו מנותק מהחיבור ללקוחות וספקים אחרים
• תקנות הגנת הפרטיות החלו להיות מיושמות באופן נוקשה יותר, ודירקטורים החלו להפנים את הסיכון העסקי והמשפטי לארגון במקרה של אי עמידה בהן.
אבל עכשיו, מאחר והגבול בין חזית לעורף התערפל ונהיה מטושטש, המדינה החליטה לקחת צעד אחד קדימה, ומאשרת תקנות סייבר לשעת חירום החל מה 27 לנובמבר ולצידן תזכיר חוק.
מטרת התקנות החדשות הללו היא לאפשר למערך הסייבר ולגופים ביטחוניים לתת הוראות מחייבות לארגונים שהותקפו במתקפת סייבר. ההגדרה המדויקת לתרחישים כאלו מתוארת כך:
“תקיפת סייבר חמורה” – “תקיפת סייבר שיש חשש ממשי להיותה בעלת השפעה משמעותית שאינה מוגבלת לספק הנתקף ולנוכח מאפייניה, לרבות מתאר התקיפה או זהות התוקף, וכן בשל התרחשותה במהלך תקופת הפעולות הצבאיות המשמעותיות, יש חשש ממשי שיש בה כדי לפגוע בביטחון המדינה, בביטחון הציבור או בקיום האספקה והשירותים החיוניים”.
במקרה כזה החברה תידרש לפעול באופן הולם לצורך איתור התקיפה, מניעתה או בלימתה בפרק זמן סביר.
או שתספק תצהיר בנוסח הבא:
“אני ,…………………. מס’ זהות ,…………………….. נציג חברת ,…………………….. לאחר שהוזהרתי כי עליי לומר את האמת וכי אהיה צפוי/ה לעונשים הקבועים בחוק אם לא אעשה כן, מצהיר/ה בזה בכתב כלהלן: חברת ……………………. (להלן – החברה) מספקת ללקוחותיה שירותי אחסון או שירותים דיגיטליים, כהגדרתם בתקנות שעת חירום (חרבות ברזל), התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון, התשפ”ד – 2023 תוך יישום הנחיות אבטחה בהתאם לתקן
800-53 NIST- Security and Privacy Controls for Information Systems and Organizations
בגרסתו העדכנית ותוך ניהול הסיכונים הרלוונטיים הגורם הנושא בתפקיד ……………….. ששמו/ה ………………. מס’ זהות ………………….. הוא הגורם המוסמך מטעם החברה לעניין זה.”
במידה ובמערך הסייבר יוחלט שהספק הנתקף לא פעל כנדרש לאיתור התקיפה, מניעתה או בלימתה, הם יהיו רשאים, לאחר שישמיע את טענותיו, לתת לו הוראות מחייבות הנוגעות להגנת סייבר.
יחד עם זאת, למרות הנוסח המרתיע, חשוב לזכור שלארגונים השונים ישנם מספר מנגנוני הגנה מפני הרשויות, לדוגמה, הגורם המטפל מטעם המדינה לא יוכל לנהל את האירוע אלא רק לתת הוראות.
בנוסף, בהתאם לתקנות ולתזכיר החוק, הרשויות לא יוכלו להפקיע את הסמכויות של הספק בטיפול האירוע, במידה והוא עומד בתקינה האמריקאית בתחום הסייבר.
חשוב לציין שהתקנות נכנסו לתוקף מיידית והן תקפות למשך חודש או עד שיחוקקו בכנסת. טיוטת תזכיר החוק הועמדה להערות הציבור עד ל-4 בדצמבר הקרוב.
זה המקום להזכיר ולציין שחברת Madsec security מספקת שירותי אבטחת מידע וטיפול באירועי IR לארגונים וחברות. Madsec נמצאת בקשר שוטף עם כל הגופים הרלוונטיים שצוינו בכתבה והדוחות שהיא מספקת נותנים מענה מלא מבחינה טכנית ורגולטורית.