המלצה לרשות הלאומית להגנת הסייבר: הכירו במגבלות הרגולציה

מאת 6 אפריל 2017

מבט מבס"א מס' 444, 6 אפריל 2017

תקציר: הרשות הלאומית להגנת הסייבר רואה ברגולציה אחת מארבע הזרועות המרכזיות שלה. ואכן, עבור הגנת הסייבר, כתחום עיסוק חדש יחסית ולא נהיר, הרגולציה מהווה שער כניסה למודעות ההנהלה ולמיקוד הארגוני. עם זאת, היא גם עלולה להשליט נהלים קשיחים ומקבעים על חשבון היצירתיות והגמישות הנדרשות למענה לאתגרים הדינאמיים ולאיומים המשתנים של הסייבר, שמחובר לליבת העיסוק הייחודית לכל ארגון. הפתרון הוא רגולציה שתעמיד במרכזה את הדרישות לניתוח ולחשיבה בארגונים, ותאפשר להם גמישות במענה על בסיס "פרקטיקות מיטביות".

הרשות הלאומית להגנת הסייבר החלה לפעול בשנת 2016. במסגרת זו החלו לעבוד המרכז הלאומי להתמודדות עם איומי סייבר (ה-CERT) ובתוכו מרכז השליטה והבקרה הממשלתי למול איומי סייבר (ה-SOC הממשלתי). החל מינואר 2017 פועל מרכז הסייבר הבנקאי, הגוף המגזרי הראשון.

סוגיה מרכזית בתכנית העבודה הנה קידום החקיקה והרגולציה. אחד מיעדי מערך הסייבר הלאומי ל-2017 הנו הנחת הצעת חוק הגנת הסייבר על שולחן הכנסת. לצד זאת הרגולציה מתוארת על-ידי בוקי כרמלי, ראש הרשות, כאחת מארבע זרועות הפעולות העיקריות – "זרוע הרגולציה, כולל חינוך השוק והגדרת מקצועות ושירותים; זרוע החוסן או ההנחיה…; זרוע התגובה לאירועים…; וזרוע ההגנה החכמה". בכנס של בנק ישראל דיבר כרמלי על "'רגולציה מאפשרת' המביאה לידי ביטוי את החשיבות של ההגנה על מרחב הסייבר לצד ההכרה בזכויות הגורמים המפוקחים והמשק כולו".

אין ספק שרגולציה טומנת בחובה פוטנציאל לקפיצת מדרגה בהגנת הסייבר. עבור הגנת הסייבר, כתחום עיסוק חדש יחסית ולא נהיר לראשי גופים ממשלתיים וארגונים עסקיים, מהווה הרגולציה שער כניסה לתוך ליבת העיסוק של הארגון. היא מחייבת אותו להתמודד עם האתגר החדש, ונותנת רוח גבית למנהלי הטכנולוגיה ובמיוחד למנהל הגנת הסייבר (CISO) בדמות דרישות וסמכויות בכוח הנחיות פורמאליות. במקרים רבים יישום של דרישות הרגולציה מביא עמו עלייה בתהליכי הלימוד של התחום על-ידי הנהלות הגופים, דבר שבהעדרו היה קורה או כתוצאה ממודעות אישית של ראש ארגון או מנכ"ל או במקרה הגרוע לאחר התרחשות אירוע סייבר משמעותי. הרגולציה כמנוע צמיחה של הגנת הסייבר הוכחה ברחביי העולם, וביטוי בולט להצלחתה בישראל הנו תהליך מימוש הוראת ניהול בנקאי תקין 361 במגזר הבנקאות בשנתיים האחרונות.

עם זאת, השימוש ברגולציה עשוי לחולל גם בעיות וקשיים. בינת שוורץ-מילנר, ששימשה כראש מנהל התכנון במשרד האוצר, התייחסה במאמר במסגרת המסמך המסכם של פרויקט ישראל 2048, לבעיה המאפיינת את ישראל במעבר מתכנון אסטרטגי ליישום – "העיסוק בטווח הארוך, בחשיבה האסטרטגית, מחייב אותנו להרים את הראש מהשוטף, המידי והדחוף. מעניין לחשוב כיצד קורה שתוצרי מערכת התכנון שעניינם חשיבה אסטרטגית, בעת העיסוק בהליכי התכנון – מאבדים מאופיים, והופכים למסמכים "ארציים", משפטיים, נוקשים, עמוסי פרטים ולא ידידותיים למשתמש, משנים את שפת התכנון לשפת "עשה ואל תעשה", וכופים על המערכת לאמץ שפה משפטית במקום שפה תכנונית. התכניות הסטטוטוריות התרחקו מההליך האסטרטגי שקדם להן ואשר מכוחו נוצרו. הן אינן גמישות דיין כדי לאפשר את התאמתן לשינויים בתפיסה החברתית או העירונית הרלוונטית לעת ביצוען".

בתהליך הזה, שבו תכנית אסטרטגית יצירתית הופכת ל"מסמך עמוס בפרטים ולא ידידותי למשתמש" בשלב המדיניות והנהלים, נתקלתי באופן אישי בתחום הגנת הסייבר, בעת שניתוח אסטרטגי של ארגון המחבר בין מאפייניו הייחודיים לאתגר הסייבר עליו פגש את הצורך לעמוד בהנחיות רגולציית סייבר פרטנית מדי. זהו תהליך בלתי נמנע (כזה שראש הממשלה אריאל שרון נהג לדמות ל"קוראלס"), שמתחיל במסמך רגולציה המגדיר לארגון בפרוט רב את הבקרות, שהוא נדרש להם; נמשך בשיח משפטני במהותו שבו הארגון חותר לעמוד בבקרות אלו; מועצם בביקורות פנימיות של הארגון ושל הגוף הרגולטורי שבודקות בדקדקנות את העמידה בבקרות הנדרשות; ומסתיים בחובות הממשל התאגידי על הדירקטוריון וההנהלה שמטילות עליהן אחריות משפטית – אישית על כשלים הנובעים לכאורה מאי-עמידה בדרישות הרגולציה.

הגנת הסייבר נפגעת מהתנהלות זו. הסייבר הוא עולם המתפתח בתזזיתיות, ומעצב את עצמו מתוך עצמו. בעוד עשור, האקו-סיסטם הסייברי ייראה שונה בתכלית מהאופן שבו הוא נראה כיום. בתוך העולם הדינאמי הזה הארגונים מאוימים על-ידי יריבים גמישים ויצירתיים, שלא מעט פעמים נמצאים – טכנולוגית ומחשבתית – צעד אחד לפחות לפניהם. זהו עולם שבו מתנגשים הרצונות והיעדים של התוקף ושל המגן, ולכן, מתנהל יותר כמו אי-הוודאות המאפיינת את המלחמה. ומלחמה היא אמנות, שה-manual לניהולה נועד לאפשר מימוש של חשיבה יצירתית ותחבולנית.

ולכן, בעולם הגנת הסייבר צריך להכיר גם במגבלות הרגולציה. ככל שהרגולטור בתחום הגנת הסייבר עושה את עבודתו בפרוט רב מדי, הוא יוצר בגופי המגזר שתחת אחריותו מסמכי מדיניות ונהלים "עמוסים בפרטים ולא ידידותיים למשתמש", שאינם נותנים ביטוי מספיק למאפיינים הייחודיים של כל אחד מהארגונים ולאיומים הרלבנטיים עליה. מצב זה עשוי לגרוע מיכולת ההתמודדות שלהם ב"עולם האמיתי" של התקיפה וההגנה בסייבר.

ניתן להעלות כמה רעיונות מרכזיים לרגולציה שמתגברת על המכשול הזה:

לחייב את הארגון לקיים הערכת מצב מתמשכת המבוססת על מודיעין ועל למידה שבקצה שלה מסמך איום ייחוס המאפיין את האתגרים הייחודיים לו ומסמך אסטרטגיה הקובע את עקרונות העל למענה.

להימנע מפירוט יתר של הנחיות מחייבות ולהגדירן כ-Best Practices, קרי – המלצות להתנהלות מיטבית, ולא כ-Check List מחייב של בקרות הגנה (כגון תקני ISO). בכך לאפשר לארגון גמישות ביישום האסטרטגיה שלו.

להכיר בכך שכל ארגון שונה מרעהו – אמירה כמו "בנק הוא בנק הוא בנק" אינה נכונה לא בעולם העסקי ועל אחת כמה וכמה לא בתחום הסייבר. ההבדלים ביעדים העסקיים, במאפייני הפעולה, ב-DNA הארגוני, בחולשות הטכנולוגיות והתהליכיות, במיקוד השונה של פוטנציאל התקיפה ועוד מחייבים לתפור לכל ארגון את חליפת ההגנה והתגובה הרלבנטית לו.

להותיר שיקול דעת לארגון בדרך בה הוא מתכונן לאירוע ובבוא היום מנהל אותו – למשל, ליצור שיח של ה-CERT הלאומי עם הארגון על תרחישים אפשריים ולבנות לו מעטפות סיוע באירוע הרלבנטיות לדרך ההתנהלות שלו.

אני מאמץ את ההגדרה של ראש הרשות כרמלי על "רגולציה מאפשרת". זה מינוח המעיד על הבנה מתקדמת של האתגר. עם זאת, חשוב שאותו "אפשור" לא יתייחס רק לגמישות של חיבור הגנת הסייבר לצרכים העסקיים של הארגון, אלא יעסוק לא פחות בגמישות הנדרשת לארגון בתהליכים הקשורים בהגנת הסייבר עצמה.

גרסה PDF

*אל"מ במיל' שי שבתאי הוא מומחה, מרצה ובעל ניסיון מעשי של למעלה מעשרים שנה בסוגיות במזרח התיכון, באסטרטגיית הביטחון של ישראל ובתכנון אסטרטגי וצבאי. יועץ אסטרטגי בחברת הייעוץ להגנת הסייבר קונפידס (www.konfidas.com). מרצה בתכנית ללימודי מודיעין, צבא וביטחון באוניברסיטת בר-אילן, ונמצא בקדם דוקטורט העוסק בהשפעת המודיעין על תפיסת הביטחון הלאומי. הכותב מבקש להודות לעמיתיו בחברת קונפידס על רעיונות הנכללים בנייר ועל הערותיהם עליו.

סדרת הפרסומים מבט מבס"א מתפרסמת הודות לנדיבותה של משפחת גרג רוסהנדלר.