הצעת חוק בנושא אבטחת סייבר: כינון מרחב סייבר בריא ובטוח יותר

אסור בהחלט להשתמש בבינה מלאכותית כדי לזייף פנים, קולות... כדי לבצע הונאה.

חבר האסיפה הלאומית, לה טי טאן לאם ( קאן טו ), הצהיר כי ההתפתחות החזקה של בינה מלאכותית (AI) הובילה לשיטות רבות של הפרת זכויות אדם, כגון הונאה, זיוף פנים, קול ותמונות. המציאות מראה גם שקבוצות פגיעות כמו קשישים, בעלי מוגבלויות ואנשים עם יכולת התנהגות מוגבלת הן גם מטרות פגיעות. פושעי היי-טק מנצלים את היעדר כישורי אבטחת הסייבר של קבוצות אלו.

לכן, הנציג הציע כי בתקנות בנושא פעולות אסורות בתחום אבטחת הסייבר בסעיף 9, יש צורך להוסיף סעיף האוסר על שימוש בבינה מלאכותית כדי לזייף פנים, קולות וטכנולוגיות מזויפות אחרות כדי להתחזות לארגונים וליחידים במטרה להונות, לעוות או לבלבל, ולפגוע בזכויות ובאינטרסים הלגיטימיים של אנשים.

במקביל, יש להמשיך ולבחון ולחקור תקנות נוספות למניעה, עצירה ולטפל במהירות בפעולות של שימוש בטכנולוגיה, דיפ-זיוף באמצעות בינה מלאכותית לעריכה, יצירת קליפים, תמונות, צלילים לזיוף זהות, זיהוי מאפיינים של אנשים מפורסמים או קרובי משפחה לצורך הונאה, השמצה, מסירת מידע כוזב... בטיוטת החוק.

בנוסף, חבר האסיפה הלאומית הא אן פוונג ( פו טו ) הצביע גם על 4 "פרצות" בסעיף 20 בנושא מניעה ומאבק בהתעללות בילדים במרחב הקיברנטי. למרות שמדובר בתוכן חשוב ומתקדם של הצעת החוק, לדברי הנציג, התקנות הנוכחיות אינן כוללות קריטריונים/רמות לזיהוי "תוכן המזיק לילדים", כך שהדבר יכול להוביל בקלות להסרה מוגזמת של תוכן או לטיפול לא עקבי.

במקביל, קיים חוסר ב"גדרות" פרטיות בעת יישום טכניקות (עקרונות מזעור נתונים, אנונימיות); נטל ציות גדול על יחידות קטנות משום שההתחייבויות אינן מרובדות לפי סיכון/קנה מידה; אין מנגנון לתלונות מהירות ולדיווח שקוף, ואין כיסוי של קבוצות פגיעות מלבד ילדים.

כדי לסגור את ה"פרצות" הנ"ל, הציעה הנציגה הא אן פוונג כי יש צורך ללמוד ולהשלים את ההגדרה והסיווג של רמת הנזק בקריטריונים ברורים. להוסיף את עקרון הגנת המידע (מזעור, אנונימיות), להקים ערוץ תלונות מהיר ולפרסם נתונים מעת לעת. במקביל, ליישם את מודל המחויבות של "סיכון/קנה מידה" עם מפת דרכים לשירותים קטנים/חינוכיים-קהילתיים, כלומר לא כל השירותים חייבים לעמוד באותן דרישות טכניות יקרות.

עבור פלטפורמות מדיה חברתית בסיכון גבוה (למשל, מדיה חברתית גדולה, מספר משתמשים/תפוצה גבוה, ילדים רבים המשתתפים, תוכן רגיש), הציעו הנציגים שיהיו מסננים/חסימות ותהליך דיווח מהיר. עבור שירותים בסיכון בינוני (פלטפורמות מסחר אלקטרוני בינוניות, פורומים ייעודיים), מתקיימת סט דרישות מקוצר. עבור שירותים בסיכון נמוך/קטנים (אתרי אינטרנט של מועדוני בית ספר, אפליקציות כיתתיות קטנות), נדרשים רק סטנדרטים מינימליים ומיושמת מפת דרכים ארוכה יותר.

"קריטריוני החלוקה לרמות יכולים להתבסס על מספר המשתמשים לחודש, היכולת להפיץ תוכן, שיעור המשתמשים שהם ילדים, סוג התוכן המטופל והיסטוריית ההפרות. גישה זו מסייעת למקד משאבים באזורים בסיכון גבוה, תוך הפחתת העומס על יחידות קטנות תוך הבטחת בטיחות בסיסית", הדגיש הנציג.

בנוסף, ציין הנציג כי ההוראה של "יישום אמצעים מקצועיים למניעה וגילוי" בסעיף 20 לטיוטת החוק היא הכרחית, אך אינה מזכירה את עקרון ההגנה על המידע האישי של ילדים בעת איסוף וניתוח מידע. "ניטור סייבר" יכול להוביל ל"סיכונים של הפרת פרטיות" אם אין מגבלות ומנגנוני ניטור עצמאיים. לכן, הציע הנציג הא אן פואנג להוסיף את העיקרון "כל הפעילויות המקצועיות הקשורות למידע של ילדים חייבות לעמוד בעקרון המזעור וההגנה על מידע אישי".

לנוכח העובדה שקשישים מהווים כ-50% מקורבנות מקרי הונאה מקוונת, חברי האסיפה הלאומית לה טי טהאן לאם ולה טי נגוק לין (קה מאו) הציעו להרחיב את קבוצת הנושאים המוגנים כך שתכלול אנשים פגיעים כגון קשישים, אנשים עם יכולת אזרחית אבודה או מוגבלת... כדי להבטיח מקיפות בהוראות פרק ג' בנושא מניעה וטיפול במעשי הפרת אבטחת הרשת. השלמת תקנות בנוגע לאחריותן של פלטפורמות רשת, ספקי שירותי תקשורת ובנקים בגילוי, התרעה ותיאום הטיפול במעשי נזק והונאה נגד קבוצה זו.

הממשלה מפרטת בפירוט את תחומי האחריות של משרדי הממשלה, הסניפים והסוכנויות.

בנוגע לכוח ההגנה על אבטחת הסייבר, הצהיר חבר האסיפה הלאומית נגוין קווק דוייט (האנוי) כי המרחב הקיברנטי הפך כעת לטריטוריה חדשה, למרחב אסטרטגי בלתי נפרד של ריבונות לאומית, לסביבה המכילה סיכונים ואתגרים ביטחוניים מורכבים ביותר.

הסייברספייס הפך לחזית ולסביבת הלחימה החמישית, לצד סביבות הלחימה המסורתיות ביבשה, באוויר, בים ובחלל החיצון. הסייברספייס נחשב לחלק מהטריטוריה הלאומית, ותופס מעמד מיוחד במסגרת בנייתה והגנתה של המולדת. לכן, הגנה על המולדת בסייברספייס היא משימה דחופה, קבועה וארוכת טווח, הקשורה קשר הדוק לבנייתה והגנתה של המולדת.

"האופי חוצה הגבולות, האסימטרי והלא מסורתי של איומי סייבר הופך את ההגנה על הריבונות הלאומית במרחב הקיברנטי למסובכת ודורשת תיאום הדוק בין כוחות, במיוחד אלו הממלאים תפקיד מרכזי במשרד ההגנה הלאומית ובמשרד הביטחון הציבורי."

בהדגשת הדרישה הנ"ל, הציע נציג הפרלמנט נגוין קווק דוייט כי הצעת החוק תגדיר בצורה ברורה ושקופה את תפקידי משרד ההגנה הלאומי, משרד הביטחון הציבורי וועדת הצפנת הממשלה; במקביל, חלוקת המשימות והסמכויות של הסוכנויות צריכה להתבסס על תפקידי ניהול המדינה לפי מגזר ותחום.

חבר האסיפה הלאומית נגוין מין קוואנג (האי פונג) אמר גם כי ההוראות בסעיפים 15, 16, 22, 23, 24, 25 וסעיף 32 קובעות כי למשרד ההגנה הלאומי יש את האחריות והסמכות לנהל ולפרוס מספר אמצעים להגנה על אבטחת סייבר עבור מערכות מידע צבאיות. לפיכך, היקף הצעת החוק המסדירה את הסמכות ואחריות הניהול של משרד ההגנה הלאומי הוא צר מאוד ואינו מכסה את כל תחומי ההגנה הלאומית. הנציג הציע כי יש צורך לרשת את חוק אבטחת מידע ברשת משנת 2015 ואת חוק אבטחת סייבר משנת 2018.

עם זאת, חבר האסיפה הלאומית טו ואן טאם (קון טאם) הסכים עם התקנה לפיה הכוח הייעודי להגנה בסייבר יוקם במשרד לביטחון פנים ובמשרד ההגנה הלאומי כפי שמוצג בסעיף 42 לחוק. במקביל, הוא הציע ללמוד ולהשלים את התקנות בנוגע לתפקידים ומשימות של הכשרה ייעודית בטכנולוגיה וציוד, וכן לגבש מדיניות ומשטרים סבירים שישמשו בסיס לבניית כוח ייעודי להגנה מקצועית ומודרנית בסייבר במדינתנו.

בתגובה לדעות שונות בנושא זה, בסיום הדיון, סגן יו"ר האסיפה הלאומית, סגן גנרל בכיר טראן קוואנג פואנג, ביקש מהממשלה ומהסוכנות המנסחת להמשיך ולבחון את כל ההוראות בנוגע לאחריות הספציפית של משרדים, סניפים ורשויות מקומיות בטיוטת החוק. בכך, יובטח כי רק תוכן הניהול ייקבע בחוק, בעוד שאחריות המשרדים והסניפים ייקבעה בדרך כלל בפרק ג' של טיוטת החוק; תוך הטלת מינויים של הממשלה לפרט פרטים בהתאם להיקף הניהול וההגנה על אבטחת הרשת של משרדים, סניפים ורשויות מקומיות.