חוק סייבר אמריקאי מ-2015 עומד לפוג ושיתוף המידע הגלובלי נמצא בסכנה
אם חוק CISA לא יחודש עד סוף ספטמבר זרימת המידע על מתקפות סייבר תצטמצם בעד 90%, וגם חברות ישראליות צפויות להרגיש את ההשלכות
תמונה: נוצרה באמצעות ChatGPT
אחד החוקים החשובים ביותר בתחום הסייבר בארה"ב, שחוקק ב-2015, עומד לפוג בסוף ספטמבר הקרוב, ואם לא יחודש שיתוף המידע בין חברות לבין הממשל הפדרלי האמריקאי עלול להצטמצם כמעט לאפס. מדובר ב-Cybersecurity Information Sharing Act (או בקיצור CISA – אותו קיצור כמו סוכנות הסייבר הפדרלית), שנועד לעודד חברות לשתף מידע על מתקפות ואיומי סייבר, כדי ליצור תמונת מצב רחבה יותר של האיומים הקיימים, לאפשר לממשל ולחברות להגיב במהירות למתקפות ולחזק את ההגנה המשותפת על תשתיות קריטיות ומשאבים דיגיטליים.
החוק מעניק לחברות חסינות משפטית: אפשר לדווח על מתקפה או לשתף מידע טכני על קמפיין זדוני בלי לחשוש מתביעות בגין הפרת פרטיות, שימוש לא חוקי במידע או הפרת דיני הגבלים עסקיים. לפי מומחים, אם החוק יפקע ולא יוארך, היקף שיתוף המידע יירד בעד 90%. אך מעבר לירידה הכמותית, צפויה גם פגיעה באמון שכן החוק נבנה על ההבנה שחברות חייבות לסמוך על כך שהממשלה תשתמש במידע באופן אחראי.
מי יחליט? עורכי הדין
כיום קציני האבטחה בארגונים (CISO) הם אלה שמחליטים אם וכמה מידע לשתף על אירועים בתחום הסייבר. אם ההגנה המשפטית תיעלם, ההחלטות יעברו ליועצים המשפטיים שברוב המקרים יעדיפו לעצור את שיתוף המידע ולא להסתכן בתביעה. גורמים בתעשייה האמריקאית מזהירים שהמצב הזה יוביל לשיתוק: ארגונים פרטיים פשוט יפסיקו לשתף מודיעין סייבר מחשש לסיכון משפטי, מה שכנראה יוביל לקושי לזהות מתקפות חדשות, לחבר בין נקודות ולבנות תמונה כוללת.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
אז מה קורה עכשיו? הארכת תוקפו של החוק תלויה בקונגרס – יש מחוקקים שרוצים חידוש מהיר כדי למנוע "חור" רגולטורי, אחרים מתנים את ההארכה בכמה שינויים:
- הסנאטור ראנד פול, למשל, דורש לכלול סעיף שימנע מסוכנות CISA לעסוק בצנזורה ברשתות החברתיות, על רקע טענות כי ניסתה בעבר ללחוץ על פלטפורמות להגביל תוכן סביב בחירות וקורונה (טענות שהוכחשו).
- אחרים מבקשים להתאים את החוק ל-2025, בין השאר בהקשר של מתקפות מבוססות AI.
התחזית הרווחת היא שהקונגרס ינסה להעביר הארכה קצרה כחלק מהתקציב השנתי, אך לא בטוח שתהיה הסכמה על הארכה ארוכת טווח.
איך זה קשור לחברות ישראליות?
אמנם מדובר בחוק אמריקאי, אך ההשפעה שלו בעשור האחרון חצתה גבולות. כדי להבין את ההשפעה הזו צריך להכיר את המנוע שמאחורי שיתוף המידע: רשתות ה-ISACs. מדובר בארגונים מגזריים (לפיננסים, בריאות, אנרגיה ועוד) שבהם חברות מכל העולם חולקות מודיעין איכותי ומעובד על איומים. חוק CISA האמריקאי הוא ה"דלק" שמניע את המנוע הזה בכך שהוא מעניק הגנה משפטית לחברות אמריקאיות ומעודד אותן להזרים מידע קריטי לרשת. אם הוא ייגמר המנוע כולו יתחיל לגמגם. למשל, עבור חברת פינטק ישראלית שחברה ב-FS-ISAC, המשמעות היא קבלת פחות התרעות בזמן אמת על נוזקות חדשות, מה שמעלה את הסיכון שלה ליפול קורבן למתקפה הבאה.
במילים אחרות: המשמעות של פקיעת החוק הוא צמצום משמעותי בכמות המידע שתגיע לגופים שמרכזים מידע קריטי על תקיפות סייבר, פחות מודיעין בזמן אמת על מתקפות שזוהו בארה"ב, ולכן גם בישראל יהיה קשה יותר להתכונן אליהן. חברות יצטרכו להסתמך יותר על מודיעין פנימי או על שותפויות פרטיות, והיכולת לעצור מתקפה בשלב מוקדם תיפגע. CISA 2015 הוא אולי חוק אמריקאי, אבל הוא עמוד תווך במערכת עולמית של שיתוף מידע על איומי סייבר. אם הקונגרס לא יאריך אותו בזמן – ארה"ב תאבד כלי קריטי להגנתה, וגלי ההדף יורגשו גם בישראל.
ממתינים לרגע האחרון
התנהלות הפוליטיקאים במקרה של החוק הנוכחי היא לא הפעם הראשונה בה ממתינים בארצות הברית לרגע האחרון בשביל למנוע משברים. רק בחודש אפריל האחרון סיפרנו לכם כי סוכנות CISA הפעילה בדקה ה-90 סעיף מיוחד בהסכם שלה עם חברת MITRE, שהבטיח את המשך פעילות תכנית CVE, האמונה על זיהוי פרצות אבטחה גלובליות, ולא מן הנמנע שזה מה שיקרה גם במקרה הנוכחי.
