המשרד להגנת הסביבה קובע דרישות בתחום הסייבר על התעשייה (נשיץ ברנדס אמיר ושות')
בחודשים הקרובים המשרד להגנת הסביבה צפוי להפעיל את סמכותו מכוח חקיקה בתחום החומרים המסוכנים כדי לקבוע הוראות בתחום הגנת הסייבר למפעלי תעשייה.
כבר שנים שקיים שיח ער על הסכנות הנובעות ממתקפות סייבר על התעשייה, כאשר המשמעויות של תקיפת סייבר כזו היא באופרציה והתשתיות לעומת פגיעה במידע. אם בעבר הייתה תפיסה שתקיפת סייבר משמעותה פריצה למערכות וגניבה של מידע, היום ברור שהחשיפה הקיימת ממתקפות סייבר כוללת גם פגיעה בתשתיות ובמתקנים ויכולה לגרום לנזקים משמעותיים לרכוש ואף לפגיעות בנפש וכמובן גם לפגיעה סביבתית.
מכלל הרגולטורים והרשויות העוסקים בתחום הסייבר, דווקא המשרד להגנת הסביבה הוא זה שהרים את הכפפה, והשתמש בסמכויות המוקנות לו בחקיקה שאינה מעולמות הסייבר כדי לחייב מפעלים המחזיקים חומרים מסוכנים להתמגן כנגד מתקפת סייבר.
המשרד להגנת הסביבה הבין כי כשל במערכות המחשוב של המפעל כתוצאה ממתקפת סייבר, עלול להוביל לנזקים חמורים לרבות נזקים סביבתיים. המשרד נקט עמדה אקטיבית, ויצק תוכן בעניין הגנות בתחום הסייבר להיתר הרעלים המצוי בסמכותו.
עד היום לא הייתה קיימת חובה מכוח חוק על מפעלי תעשייה לעמוד בהוראות בתחום הסייבר בהיבטי מיגון של תשתיות ואופרציה, למעט מספר מצומצם של מפעלים המוגדרים כתשתית קריטית ומונחים על ידי מערך הסייבר. יתרה מכך, לא קיימות הוראות בנושא לחברות פרטיות וציבוריות מלבד בסקטורים מאוד מסוימים דוגמת הסקטור הפיננסי.
על מנת להבין כמה המהלך של המשרד להגנת הסביבה הינו חדשני, צריך לציין כי רק לפני כשנה נכנסו לתוקף תקנות בתחום אבטחת מידע, המחייבות גופים המחזיקים מידע פרטי לעמוד בדרישות חוקיות לאבטחת המידע. עם זאת, החקיקה החדשה מתייחסת לאבטחת מידע פרטי בלבד ואינן נוגעות לתשתיות ואופרציה. החידוש בפעילות המשרד להגנת הסביבה הוא בהוראות בתחום הסייבר שמטרתן להגן על תשתיות ואופרציה ממתקפות סייבר, על מנת למנוע אירועים סביבתיים. ברור כי עמידה בהוראות אלה תמנע לא רק אירועים סביבתיים, אלא מתקפות סייבר העלולות להוביל לפגיעה קשה בתשתיות של המפעל ואף בחיי אדם.
כך לדוגמא, מתקפת סייבר על בקר של מיכל אמוניה אשר בוצעה עליו השתלטות מרחוק, עלולה להוביל לפיצוץ, שמעבר לנזק הסביבתי עלול להוביל לאסון ופגיעה בחיי אדם.
המשמעויות של השינוי הצפוי בתחום, הן לא רק אופרטיביות אלא, בעלות משמעויות משפטיות נרחבות, שכן המשמעות של אי עמידה בהוראות, היא חשיפה פלילית ומנהלית למפעל ולנושאי המשרה מכוח חוק חומרים מסוכנים.
לאור העובדה שבעבירות איכות סביבה קיים משטר חמור של אחריות קפידה, לא מדובר ב"סתם" משטר אחריות פלילית שהמשרד להגנת הסביבה מחיל בתחום זה, אלא במשטר אחריות חמור במסגרתו אין צורך להוכיח כוונה או ידיעה על מנת להטיל אחריות על נושא המשרה.
חשוב להדגיש כי גם אם לא נגרם נזק או אפילו לא התרחש אירוע סייבר, עצם זה שלא מולאו ההוראות בהיתר רעלים, חושף את המפעל ואת נושאי המשרה בו לאחריות פלילית. לחשיפה משפטית מסוג זה בתחום הסייבר על חברה פרטית אין אח ורע כיום בתחומים אחרים.
בנוסף, לצד האכיפה הפלילית, קיימת בחוק חומרים מסוכנים, גם אכיפה מנהלית. המשמעות היא שהפרה של אחת ההוראות, גם מבלי שנגרם נזק, יכולה להעמיד את המפעל בחשיפה להטלת עיצומים כספיים כבדים.
לסיכום, המשמעות של ההוראות החדשות אשר צפויות להיכנס לתוקף בקרוב ולחול על מפעלי תעשיה, היא חסרת תקדים מבחינת האחריות הפלילית והמנהלית הצפויות לחול על מפעלי התעשייה ונושאי משרה בתחום הסייבר. על אף שברור שהמהלך של המשרד לחייב מיגון בתחום הסייבר הוא הכרחי ונכון, ספק אם המקום הנכון מבחינה משפטית הוא הכנסת הוראות אלה תחת הרגולציה המחמירה של החקיקה בתחום חומרים מסוכנים.