|
|
עמוד:12
יבי סיבובי | הגנת נכסים ותשתיות קריטיות מפני תקיפה קיברנטית י הממד הסטטוטורי 12 לצד המרכיב התכנוני למיזמים חדשים ניתן, כאמור, לעשות שימוש גם בתהליך רישוי העסקים המחייב חידוש עיתי, כדי לוודא שפעלת המיזם לאורך שנים עומדת בקריטריונים מתחייבים בתחומים שונים, כולל בתחום האבטחה מפני התקפה קיברנטית . שופט בית המשפט העליון לשעבר, מישאל חשין, קבע באחד מפסקי דינו : " מטרתו של החוק [ לרישוי עסקים ] היא לשמור ולהגן על ערכים שונים הנתפסים בחברתנו כערכים חשובים . . . כך הוא הערך של שלום הציבור, כך הוא הערך של שמירה על בריאות הציבור ובטיחותו, כך הוא הערך של שמירה על 8 מדברי השופט איכות הסביבה ואיכות החיים . . . להגנה על מטרות [ ה ] חברה . . . " . חשין ניתן להסיק כי הכלים אותם מספק חוק רישוי עסקים ניתנים לשימוש גם לצורך הגנה קיברנטית וכי זו עולה בקנה אחד עם מטרותיו . בכך הם מאפשרים כלי בקרה חוקי נוסף בידי הרשות לאבטחת מידע, שבאמצעותו היא תוכל לוודא כי גם מיזמים קיימים יעמדו בקריטריונים מתחייבים, ובמקרים מסוימים אף לדרוש מבעלי עסקים פרטיים להגיש תסקיר עמידוּת קיברנטית ולחייבם למלא אחר הנחיות הביטחון . כאמור לעיל, מיזמים בתהליך הקמה, ובמקרים מסוימים כאלה שכבר הוקמו, יידרשו על פי ההצעה להגיש תסקיר עמידוּת קיברנטית לבחינת הרשות לאבטחת מידע, כדי שזו תוכל לוודא שהוראות הגנה חיוניות מתקיימות . ניתן להציע כמה קווים מנחים לתוכנו של תסקיר זה, כמו גם לגורמים שיוסמכו לערוך אותו ולהגישו, וכן לגורמים שיוסמכו לבדוק אותו . מבחינה סטטוטורית, תחולת התסקיר צריכה להיות גורפת ועליה לחול על כל הבקשות, אלא אם ניתן לכך פטוֹר מהגורם המוסמך . אולם מבחינה מעשית, תידרש הרשות לאבטחת מידע לקבוע אמות מידה שיגדירו את המיזמים והפרויקטים שלגביהם תתקיים חובת הגשת התסקיר . אמות מידה אלו יוכלו להתייחס למספר מרכיבים, כמו גודלו של המיזם, הסקטור אליו הוא משתייך ( לדוגמה, מיזם הפועל בסקטור האנרגיה, גז טבעי וכדומה ) , הממשקים של מיזם זה עם גורמים הנמצאים כבר תחת הנחיית הרשות לאבטחת מידע, והיבטים שונים הנוגעים לתחולת הנזק של תקיפה קיברנטית על הגוף . משהוחלט כי על גוף להגיש תסקיר עמידות קיברנטית, יופעל התהליך לאור אבני הדרך הבאות : הנחיות לתסקיר – הרשות לאבטחת מידע תהיה אחראית להכין הנחיות א . לביצוע התסקיר . על הנחיות אלו להיות מותאמות למיזם או לגוף הקונקרטי . מוצע כי ההנחיות יכללו כמה מרכיבים, בהם : מיפוי פוטנציאל הנזק כתוצאה מתקיפה קיברנטית ; מיפוי תורפות המיזם או התוכנית ; הוראות שיאפשרו מזעור החשיפה והנזק . הכנת התסקיר – התסקירים יוכנו באחריותו ובמימונו של היזם . לצורך הכנה ב . זו ייעשה שימוש ביועצים שייבחרו מתוך קבוצת יועצים ייעודיים שיוכשרו
|
|