תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד-2023

נושא ההחלטה:

תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד-2023

מ ח ל י ט י ם:

א.       מתוקף הסמכות הקבועה בסעיף 39 לחוק-יסוד: הממשלה,  להתקין תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד-2023, בנוסח שלהלן.

ב.        בהתאם להוראות סעיף 39 האמור, להניח את התקנות על שולחן ועדת החוץ והביטחון של הכנסת סמוך ככל האפשר לאחר התקנתן.

ג.         התקנות תיכנסנה לתוקף עם פרסומן ברשומות.

להלן נוסח התקנות:

תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון) , התשפ"ד-2023

בתוקף סמכותה לפי סעיף 39 לחוק יסוד: הממשלה, מתקינה הממשלה תקנות שעת חירום אלה:

הגדרות

1.    בתקנות שעת חירום אלה -

"ידיעה או מסמך" – לרבות העתק חומר מחשב;

"חומר מחשב" ו-"מחשב"– כהגדרתם בחוק המחשבים;

"חוק המחשבים" – חוק המחשבים, התשנ"ה-1995;

"חוק להסדרת הביטחון" – החוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-1998;

"מלמ"ב" – הממונה על הביטחון במערכת הביטחון כמשמעותו בסעיף 21 לחוק להסדרת הביטחון;

"מנהל מוסמך" – אחד מאלה או ממלא מקומו, לפי העניין:

(1)           ראש מחלקה בחטיבת איומי סייבר בשב"כ;

(2)            ראש מרכז תגובה (IR) במערך הסייבר;

(3)           ראש היחידה הטכנולוגית במלמ"ב;

"מערך הסייבר" – מערך הסייבר הלאומי כהגדרתו בחוק להסדרת הביטחון;

"ספק" – אחד מאלה:

(1)           מי שעיסוקו באספקת שירותי אחסון או שירותים דיגיטליים, ומתקיים חיבור פיזי או לוגי, קבוע או עתי, או העברת מידע תדירה ממחשבי הספק למחשבי מקבל שירותיו;

(2)           מי שעיסוקו באספקת  שירותי תחזוקה, ניהול או בקרה של שירותי האחסון או שירותים דיגיטליים;

"עובד מוסמך" – כל אחד מאלה:

(1)           עובד השירות כהגדרתו בחוק שירות הביטחון הכללי, התשס"ב-2002  שהוסמך בכתב לעניין תקנות שעת חירום אלה  בידי ראש חטיבת איומי סייבר בשב"כ או מנהל בשב"כ בדרגת ראש מחלקה הממלא את מקומו;

(2)           עובד מערך הסייבר שהוסמך בכתב לעניין תקנות שעת חירום אלה בידי ראש חטיבת ההגנה במערך הסייבר;

(3)           עובד מלמ"ב שהוסמך בכתב לעניין תקנות שעת חירום אלה בידי ראש היחידה הטכנולוגית במלמ"ב, לעניין ספק של הגופים המנויים בפרטים 2 ו-3 לתוספת הראשונה לחוק להסדרת הביטחון;

"פעולה להגנת סייבר בחומר מחשב" – מתן הוראות למחשב לצורך הגנת סייבר, ובכלל זה סריקה, עיבוד, הסרה של חומר מחשב הנוגע לתקיפת סייבר, או התקנת סוג תוכנה שפעולתה מוגבלת לרשת הספק בלבד, או חסימה או ניתוק של מחשב או יצירת עותק של חומר המחשב;

"הפעולות הצבאיות המשמעותיות" – הפעולות הצבאיות המשמעותיות שעליהן החליטה ועדת השרים לענייני ביטחון לאומי לפי סעיף 40 לחוק-יסוד: הממשלה והודיעה לגביהן לוועדת החוץ והבטחון של הכנסת ביום כ"ג בתשרי התשפ"ד (8 באוקטובר 2023);

"צה"ל" – צבא הגנה לישראל;

"שב"כ" – שירות הביטחון הכללי;

"שירותי אחסון" –שירותי אחסון של מידע שנמסר לשם העלאתו לרשת האינטרנט, שירותי עיבוד ואחסון נתונים ושירותים לאספקת מידע, תשתית לאחסון או עיבוד נתונים;

"שירותים דיגיטליים" – אחד מאלה:

(1)           שירותי תכנה לרבות כתיבה, התאמה, שינוי, בדיקה, תמיכה, מחקר ופיתוח;

(2)           שירותי ניהול או הפעלה של מערכות מחשבים המשלבות חומרה, תכנה וטכנולוגיות תקשורת;

(3)           שירותי עיבוד, הזנת או שחזור נתונים, התקנה והגדרת תצורה של מחשבים, התקנת תכנה או שירותי הגנת סייבר;

(4)           אספקה או התקנה של מחשבים או של ציוד בקרה, המהווים חלק ממכונות וציוד תעשייתי;

"תקיפת סייבר" –פעולה או חשש ממשי לפעולה, שנועדה לפגוע שלא כדין בשימוש במחשב או בחומר מחשב השמור בו לרבות -

(1)           שיבוש פעולתו התקינה של מחשב או הפרעה לשימוש בו;

(2)           מחיקת חומר מחשב, שינויו, שיבושו או הפרעה לשימוש בו;

(3)           אחסון או הצגה של מידע או פלט כוזב, או שיש בהם כדי להטעות, בהתאם למטרות השימוש בהם;

(4)           חדירה לחומר מחשב כהגדרתה בסעיף 4 לחוק המחשבים;

(5)           האזנת סתר לתקשורת בין מחשבים כמשמעותה בחוק האזנת סתר, התשל"ט– 1979 ;

(6)           גישה של גורם שאינו מורשה למידע השמור במחשב, ובכלל זה בדרך של פגיעה בתהליך הזדהות, או הוצאתו שלא כדין של מידע על-ידי גורם כאמור;

(7)           הפרעה או מניעה של חיבור של מחשב לרשת תקשורת;

"תקיפת סייבר חמורה" – תקיפת סייבר שמנהל מוסמך מצא כי בשל חשש ממשי להיותה בעלת השפעה משמעותית שאינה מוגבלת לספק הנתקף ולנוכח מאפייניה, לרבות מתאר התקיפה או זהות התוקף, וכן בשל התרחשותה במהלך תקופת הפעולות הצבאיות המשמעותיות, יש חשש ממשי שיש בה כדי לפגוע בביטחון המדינה, בביטחון הציבור או בקיום האספקה והשירותים החיוניים, ובכלל זה תקיפת סייבר שראש חטיבת הגנה בסייבר בצה"ל מצא כי יש בה לפגוע ברציפות התפקוד המבצעי של צה"ל.

התמודדות עם תקיפת סייבר חמורה

1.      התעורר חשש ממשי לתקיפת סייבר חמורה כנגד ספק והודיע עובד מוסמך לספק על קיומו של חשש כאמור, לאחר שהזדהה בפניו, יחולו הוראות אלה:

(1)           העובד המוסמך יפרט בפני הספק את התשתית העובדתית והמקצועית לקיומו של חשש כאמור, ככל שאין בכך כדי לחשוף מקורות מידע, שיטות או אמצעים;

(2)           העובד המוסמך ייתן לספק הזדמנות לפעול באופן הולם לצורך איתור התקיפה, מניעתה או בלימתה בפרק זמן סביר שאין בו כדי לפגוע בטיפול בתקיפת הסייבר החמורה, והכל בהתחשב במאפייני תקיפת הסייבר;

(3)           הספק יעדכן את העובד המוסמך בדבר הפעולות שביצע לצורך איתור התקיפה, מניעתה או בלימתה או ימסור לעובד המוסמך תצהיר בנוסח שבתוספת בדבר אספקת שירותי אחסון או שירותים דיגיטליים ללקוחותיו תוך יישום הנחיות אבטחה בהתאם לתקןNIST 800-53 Security and Privacy Controls for Information Systems and Organizations, והכל תוך פרק זמן סביר כאמור בפסקה (2);

(4)           לא מסר הספק תצהיר כאמור בפסקה (3) ומצא העובד המוסמך כי הספק הנתקף לא פעל באופן הולם לאיתור התקיפה, מניעתה או בלימתה של תקיפת הסייבר החמורה כאמור בפסקה (2), רשאי העובד המוסמך, ככל שהדבר חיוני לצורך איתור התקיפה, מניעתה או בלימתה, לאחר שהודיע לספק על כוונתו ונתן לו הזדמנות להשמיע את טענותיו, לתת לספק הוראות, בכתב או בעל פה, ובכלל זה הוראות הנוגעות לחומר מחשב שיהיו רק פעולות להגנת סייבר בחומר מחשב, או הוראות למסירת ידיעה או מסמך לידי העובד המוסמך;

(5)           במתן הוראות לפי פסקה (4), ישקול העובד המוסמך את השפעתן האפשרית על הזכות לפרטיות, על פעילות הספק ועל צד שלישי, לרבות על העלות הכלכלית המוערכת של יישום ההוראה ועל הרציפות התפקודית של הספק; העובד המוסמך יורה לנקוט אמצעי שפגיעתו פחותה לצורך איתור התקיפה, מניעתה או בלימתה; העובד המוסמך יפרט את המועד האחרון לביצוע ההוראה;

(6)           נתקבלה הוראה מעובד מוסמך לפי פסקה (4), יפעל הספק בהתאם לה ועד המועד האחרון שנקבע לביצועה כאמור בפסקה (5), וידווח על אופן ביצועה לעובד המוסמך עד למועד האמור.

תיעוד

2.   עובד מוסמך יתעד בכתב את ההוראות שנתן לספק לפי תקנה 2 וימסור לו נוסח כתוב של ההוראות שאינו מכיל מידע מסווג בתוך פרק זמן סביר ממתן ההוראה; לעניין זה, "מידע מסווג" – מידע שסיווגו הביטחוני נקבע בידי מערך הסייבר, שב"כ, צה"ל או מלמ"ב, לפי העניין, כסיווג ברמת 'שמור' ומעלה.

סודיות

3.    (א)          אדם שקיבל מידע שהתקבל מספק  לפי תקנות שעת חירום אלה ישמור אותו בסוד, לא יגלה אותו לאחר ולא יעשה בו כל שימוש, אלא לצורך איתור תקיפת סייבר חמורה, מניעתה או  בלימתה.

(ב)           מידע שהתקבל מספק במסגרת פעולה לפי תקנות שעת חירום אלה  יימחק בסמוך לאחר סיום הטיפול בתקיפת הסייבר החמורה, למעט מידע שקבע מנהל מוסמך שהוא חיוני לזיהוי מאפייני תקיפת הסייבר; מידע שנקבע לגביו כאמור יישמר בהיקף המזערי הנדרש.

(ג)            בתקנת שעת חירום זאת,  "מידע" – למעט מידע על התוקף, התקיפה, מאפייני התקיפה או אמצעי הטיפול בה.

אופן הפעלת סמכויות

4.    הפעלת סמכויות כלפי ספק לפי תקנה 2 לעניין תקיפה מסוימת יינתנו בידי עובד מוסמך מקרב גוף אחד בלבד.

דיווח

5.    (א)          מערך הסייבר, השב"כ ומלמ"ב ידווחו אחת לשבועיים ליועצת המשפטית לממשלה ולוועדת החוץ והביטחון של הכנסת בדבר המקרים שבהם ניתנו הוראות לספק בהתאם לתקנה 2(4), הנימוק למתן ההוראות וסוגן.

(ב)           דיווח לפי תקנת שעת חירום זאת יהיה חסוי ופרסומו אסור.

תיקון חוק בית משפט לעניינים מינהליים

6.   בתקופת תוקפן של תקנות שעת חירום אלה, יראו כאילו בחוק בתי משפט לעניינים מינהליים, התש"ס-2000, בתוספת הראשונה, בסופה נאמר:

"(65) החלטה לפי תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד-2023".

שמירת דינים

7.     (א)          תקנות שעת חירום אלה באות להוסיף על הוראות כל דין אחר ולא לגרוע מהן.

(ב)           בלי לגרוע מהאמור בתקנת משנה (א),  תקנות שעת חירום אלה באות להוסיף על כל הוראה בעניין הנוגע להגנת סייבר, לפי החלטת הממשלה או הסכם, ואולם בכל מקרה של סתירה יגברו תקנות שעת חירום אלה.

תוקף

8.   תוקפן של תקנות שעת חירום אלה לחודש מיום פרסומן.

תוספת (תקנה 2(3))

תצהיר ספק על עמידה בתקן NIST 800-53 Security and Privacy Controls for Information Systems and Organizations

אני ____, נושא ת.ז. _____, נציג חברת ____, לאחר שהוזהרתי כי עליי לומר את האמת וכי אהיה צפוי/ה לעונשים הקבועים בחוק באם לא אעשה כן, מצהיר/ה בזה בכתב כדלהלן:

חברת ____ (להלן – החברה) מספקת ללקוחותיה שירותי אחסון או שירותים דיגיטליים, כהגדרתם בתקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון , התשפ"ד-2023, תוך יישום הנחיות אבטחה בהתאם  לתקן NIST 800-53 Security and Privacy Controls for Information Systems and Organizations בגרסתו העדכנית ותוך ניהול הסיכונים הרלוונטיים.
הגורם הנושא בתפקיד ___ ששמו/ה _____ ת.ז. ____  הוא הגורם המוסמך מטעם החברה לעניין זה.
הגורם המוסמך מטעם החברה, כאמור בסעיף 2, יעדכן עובד מוסמך ככל שיחול שינוי בנוגע לאמור בתצהיר זה תוך 7 ימים.
 

אני מצהיר/ה כי השם דלעיל הוא שמי, והחתימה דלמטה היא חתימתי, וכי תוכן תצהירי זה אמת.

  _______                       _______

    חתימה                          תאריך

אישור

אני, __________, עו"ד מרחוב ___________ בעיר __________ מאשר/ת בזה כי ביום ________ הופיע/ה בפניי מר/גב' ________ המוכר/ת לי באופן אישי / שהזדהה/תה בפניי באמצעות תעודת זהות מס' ______________, ולאחר שהזהרתיו/ה כי עליו/ה לומר את האמת וכי י/תהיה צפוי/ה לעונשים הקבועים בחוק באם לא י/תעשה כן, אישר/ה את ההצהרה דלעיל וחתם/מה עליה בפניי.

___________                        __________

      חתימה                                      חותמת

________

(כסלו התפ"ד

(נובמבר2023)

בנימין נתניהו

(חמ 3-6618)

ראש הממשלה