מה הכניס את תעשיית הסייבר הישראלית לפאניקה

מכון היצוא כינס 15 חברות סייבר ותיקות וצעירות למפגש, על מנת לדון במשמעות השינויים המתוכננים בפיקוח היצוא, ובכדי להציע חלופות אופרטיביות

משרד הביטחון בוחן בחיוב הקמה של צוות בשיתוף יצואני הסייבר, כדי לנסח את כללי היצוא החדשים - כך אמר היום (ג') מנכ"ל מכון היצוא, עופר זקס.

טיוטת צו שפירסמו מטה הסייבר הלאומי במשרד ראש הממשלה ואגף הפיקוח על היצוא במשרד הביטחון (אפ"י) קובעת כי חלק מתוכנות הסייבר, בעיקר ההתקפיות שבהן, מסוכנות מכדי שייפלו לידיהם של אויבי ישראל. לפיכך, טיוטת הצו מגדירה חלק מהפעילות בתחום (ראו מסגרת) כנשק של ממש, ובכך מכפיפה את היצוא שלה לרגולציה החלה על חברות בתחום הביטחוני. חברות הסייבר, שנהנו מחופש מוחלט, מתרעמות על הצו החדש.

סייבר במשטרת ישראל
סייבר במשטרת ישראלצילום: דוברות המשטרה

טיוטת הצו פורסמה לפני כמה שבועות תחת הכותרת "טיוטת נוסח להגדרת מוצרים לפיקוח בתחום הסייבר". המסמך הקצר והיבש מגדיר בשני עמודיו אילו תוכנות סייבר המפותחות בישראל אמורות להיכנס לפיקוח. בצמוד לצו פורסם מסמך הסבר מפורט יותר, שמצהיר כי בגיבוש הרפורמה הושקעו שלוש שנים של חשיבה, וקובע בין השאר כי "ענף הסייבר מהווה את אחד השווקים הדינמיים ובעלי הפוטנציאל הגבוה ביותר במשק הישראלי. התקדמות זו טומנת בחובה הזדמנויות רבות, אך גם אתגרים (...) מחד, מדובר במנוע צמיחה אסטרטגי למדינה. מנגד, מוצרי סייבר עלולים להכיל טכנולוגיות ויכולות אשר נפילתן לידיים הלא נכונות תגרום לסיכון חמור לאינטרסים ביטחוניים ומדיניים ישראליים".

לפי המסמך, הרגולציה החדשה היא פרי עבודה של צוות שהורכב מנציגים של משרדי הביטחון, הכלכלה והחוץ, המטה לביטחון לאומי ומטה הסייבר. המועד האחרון להגשת התייחסויות נקבע ל–7 בפברואר.

"הצו יעכב סגירת עסקה"

מבחינת הרשויות, קל למדי להצדיק את הצו: המדינה לא רוצה שתוכנות תקיפה רבות עוצמה יתגלגלו לאויב וישמשו נגד אזרחי ישראל. אלא שגם לחברות יש טיעון חזק — הן חוששות ממשקולות רגולטוריות על רגלי התעשייה, שיקשו עליה להתמודד בשווקים גלובליים.

עו"ד חיים רביה, שמשרדו — פרל כהן צדק לצר ברץ — מייצג מספר רב של חברות סייבר, אומר כי ההסדר החדש אמור להטיל על יצוא הכלים המוגדרים בו הגבלות, ואי־אפשר יהיה לייצא אותם בלי רישיונות והיתרים. לדבריו, לפחות בשניים מהתחומים שצפויים להיכנס לפיקוח — יצוא חולשות ויצוא כלים פורנזיים פיזיים שמתחברים לציוד ממוחשב — הרגולציה "צפויה להיות מכשלה מעשית עבור חברות, וגם קשה לראות כיצד יפקחו על הפעילות.

"ברור לגמרי שכלי תקיפה ממוחשבים נחשבים כלי מלחמה לכל דבר ועניין, במיוחד כעת אחרי השבתת רשת החשמל באוקראינה, אבל בתחום החולשות, למשל, זהו מכשול שיכביד בתחום המחקר. הסייבר נמצא בשוק תחרותי מאוד ומתפתח, שבו ישראל נהנית מתנופה גדולה ועדיפות על מדינות אחרות. הצו משמעו חסמים ביורוקרטיים בפני יצוא, והוא עלול להכניס מקלות בגלגלי התעשייה. תעשייה שפועלת בשווקים דינמיים תצטרך להכפיף את עצמה למשטר של רישיונות".

מה גרוע כל כך בכך שחברות יקבלו אישור באופן מסודר, כמו חברות מצליחות במגזר הביטחוני, למשל אלביט?

"אלביט יש אחת, ואנחנו מדברים על חברות קטנות שאין להן משאבים כספיים כאלה. הצו ייצור להן תקורות נוספות ויעכב סגירת עסקה. גם חברות רב־ לאומיות שיש להן מרכז סייבר בישראל כפופות לצו, וזה מכניס אותן לדילמה בין הידע והכישרון שיש כאן לבין ההגבלות שישראל משיתה על היצוא".

"רגולציה עצמית זה מספיק"

בקרב השחקנים בענף הסייבר שוררת בהלה. מרבית החברות מעדיפות לא להגיב בינתיים, אולי כדי לא לעצבן את מי שעשוי להיות הרגולטור שלהן — משרד הביטחון.
רמי אפרתי, נשיא חברת הסייבר פירמיטאס (Firmitas), העוסקת בתחום הסייבר התעשייתי, היה בעבר ראש אגף בכיר לתחום המגזר האזרחי במטה הסייבר הלאומי, ואף היה שותף להקמתו. לדבריו, "יש מדינה קטנה בשם ארה"ב, ולפני שעושים משהו שרק אנחנו בעולם עושים, כדאי להסתכל מה קרה אצלה. הממשל האמריקאי רצה ליצור פיקוח דומה מאוד לזה שיוצרים כאן. נעשתה פנייה לחברות, והגיבו חברות כמו מיקרוסופט, סימנטק, VMware ואחרות. כולן הבהירו שתהיה פגיעה בתעשייה, במחקר, ביכולת ההגנה על תשתיות קריטיות, ובעיקר בהיבט של שיתוף מידע. היה דיון רציני בקונגרס והוחלט בסוף לא להרחיב את כוונת הפיקוח".

אפרתי מדגיש את החשיבות של שיתוף מידע בתחום. "נניח שאני צ'ק פוינט, וגיליתי וירוס חדש", הוא אומר. "יש משמעות קריטית להודעה מהירה כמה שיותר לכל הלקוחות — גם כדי לעצור את התפשטות הפוגען וגם מפני שאני מחויב ללקוחות שלי. האם מקרה כזה יצריך המתנה לאישור ממשלה?

"כולנו בעד שתהיה מערכת הגיונית, ולא רוצים לעשות משהו שלא 'טוב ליהודים', אבל אני לא חושב שישראל צריכה להיות הראשונה בעולם לאמץ כללים כאלה, אלא אם כן זה נהפך לאירוע עולמי מקיף. זה ממש עלול להבריח משקיעים, שיעדיפו להשקיע במקום שבו אין רגולציה".

אפרתי ידון בנושא בכנס סייברטק, שהוא הגדול בתחום בישראל וייפתח ב–26 בינואר בגני התערוכה בתל אביב.

בחברות אחרות טוענים שיש לחברות מספיק היגיון בריא כדי להפעיל רגולציה עצמית ולהימנע מיצוא סחורה מסוכנת לאויבים פוטנציאליים. יזם בחברת סייבר אמר: "לא תראה את זה כתוב באתר שלי בשום מקום, אבל אנחנו לא מוכרים לאף מדינה 'אדומה'. פשוא נראה לי לא הגיוני למכור למישהו שעלול לפגוע בי או בלקוחות שלי".

"האסדרה אפילו תסייע ליצואנים"

משרד עורכי הדין הרצוג־פוקס־נאמן מכנס היום מה שמוגדר "כנס חירום", שבו צפויים להשתתף כ–230 איש מתעשיית הסייבר, שרובם סבורים כי הצו עלול לפגוע בהם. "עוד לפני שמדברים על תוכן הצו — למה בכלל רגולציה, ולמה עכשיו?", שואל עו"ד דניאל רייזנר, האחראי על תחום ביטחון הפנים (HLS) במשרד. "באף מדינה אין רגולציה דומה".

עוד אומר רייזנר: "פונות אלי חברות ושואלות כמה זמן להערכתי יעבור עד שהצו ייכנס לתוקף. אני עונה שאחרי ההערות, וחקיקה בכנסת, יוני הוא מועד סביר. ואז הן שואלות אותי, 'עד אז אתה יכול לרשום אותנו כחברה אמריקאית?' זה דיון שקיימתי כמה פעמים בשבוע האחרון עם כמה חברות שונות — הן יעשו רילוקיישן. דיברתי עם עוד חברה נוספת, והמנכ"ל סיפר לי ש–40% מההזמנות הוא מספק ללקוחות בתוך שבוע. אישורים מהמדינה ליצוא, במקרה הטוב, ידרשו חודש וחצי". גם במקרה הזה, לדבריו, החברה הבינלאומית שוקלת להעתיק את כל פעילותה לחו"ל.

רייזנר אומר שצריך להבין מי ואיך יתבצע הפיקוח. "חברה שיש לה מוצר בתחום ה–PT (בדיקות עמידות; ראו מסגרת) פתאום שוות ערך לחברה שמוכרת טיל נגד מטוסים, ומה שהיא מוכרת נהפך לעבירה פלילית".

"מחליפים את העמימות בוודאות"

לצד רייזנר ידברו בכנס נציגים ממטה הסייבר וגם דובי לביא, ראש אפ"י. כותבי הדו"ח משוכנעים שהכל לטובה: "חברי הצוות סבורים כי אסדרה מאוזנת לא רק שלא תפגע ביצואנים נורמטיביים, אלא אף תסייע להם, עקב הסרת עננת האי־בהירות לגבי האסור והמותר. כלל הגורמים הרלוונטיים מודעים לאופי הייחודי של שוק הסייבר ומחויבים למתן מענה רגולטורי ספציפי המשקלל את קבועי הזמן, הדינמיות והגלובליות שלו".

בתגובה לסערה בענף, מסביר בכיר במטה הסייבר כי "אנחנו מבינים שהחברות מוטרדות, ולכן אנחנו עושים את התהליך בצורה הכי שקופה וסובלנית שאפשר לעשות בעולם הפיקוח. אנחנו בתהליך היוועצות עם החברות, עם קרנות הון סיכון, עם חברות IT, עם משפטנים, מי שרק אפשר להעלות על הדמיון.

"רובה המוחלט של תעשיית הסייבר בישראל הוא חברות שעוסקות בהגנה עבור חברות עסקיות־אזרחיות. הצו בכלל לא אמור להיות רלוונטי לגביהן. עבור חברות אחרות, שעוסקות לא בהגנה נטו אלא בנושאים מורכבים שהם לאו דווקא אזרחיים, הן כבר כיום עובדות בפיקוח צמוד של אפ"י ורגילות לפנות ולקבל אישורים. יש חברות ספורות במשק שהצו ישנה עבורן משהו, ואנחנו נדע לתת לקבוצה המצומצמת הזאת תשובות פרטניות טובות".

מדוע אתם טוענים שהצו אף עשוי להיטיב עם התעשייה?

"כי אנחנו יוצרים סיטואציה של ודאות לעומת העמימות שהיתה עד כה — גם לחברות וגם למשקיעים. בנוסף, הדבר האחרון שאנחנו רוצים זה איזו פאשלה של חברה ישראלית שתייצא מערכת לא טריוויאלית ללקוח בעייתי — זה עלול לפגוע בכל התעשייה. מדינות בעולם שקרו להן דברים כאלה חטפו ריקושטים. הצו יוצר אמינות לכלל התעשייה מול הלקוחות בכל העולם".

"ליצור סביבה שתמנע בריחת חברות"

בתוך כך, משרד הביטחון בוחן בחיוב הקמת צוות משותף עם יצואני הסייבר, כדי לנסח את כללי היצוא החדשים — כך אמר מנכ"ל מכון היצוא, עופר זקס. "פניתי לראש אפ"י, דובי לביא, ועידכנתי אותו בדבר הפגישה עם יצואני סייבר במכון היצוא", אמר זקס. "ביקשתי להאריך את הזמן שניתן לציבור לטובת התייחסות לטיוטת הנוסח. מהשיחה עלה כי אפ"י פתוחה לשמוע את צורכי היצואנים, וההצעה להקמת צוות עבודה משותף עם היצואנים תיבחן בחיוב. אנו רוצים לראות את תעשיית הסייבר גדלה וצומחת בישראל, ולכן יש ליצור סביבה תומכת, שתמנע בריחת מוחות וחברות".

מכון היצוא כינס 15 חברות סייבר כדי לדון במשמעות השינויים המתוכננים בפיקוח על היצוא, ולהציע חלופות שיסייעו לקדם את התעשייה בשווקים העולמיים. בדיון טענו החברות כי הפיקוח צריך להידמות לפיקוח של המתחרים במדינות אחרות, ולכן המליצו להיצמד לאמנת וסנאר, ולא להרחיב את הפיקוח, שממילא כיום חמור יותר ממדינות אחרות.

משיבוש יכולות דרך מסחר בנקודות תורפה 
ועד שאיבת מידע

הצו החדשה של משרד הביטחון מבקשת להכניס לפיקוח ממשלתי ארבעה סוגים של מוצרי סייבר: מוצרי תקיפה, מסחר בחולשות, יכולות פורנזיות ומערכות להגנה של מערכות ביטחוניות ואסטרטגיות.

מוצרי תקיפה הם פתרונות ש"ברור כי אין להם תכלית מלבד השמשת יכולות התקפיות", נכתב בטיוטת הצו. הטיוטה מזכירה "תוכנות חדירה ומערכות הכוללות תוכנות חדירה", וכן "תוכנות מיצוי מידע ממחשב או מכשיר או מערכת, שינוי נתיב ריצה סטנדרטי, שיבוש יכולות או גרימת נזק פיזי". מוחרגים מהצו שירותי בדיקות עמידות (PT - Penetration Testing), שאותם רוכשות חברות כדי לבדוק את עמידות הרשת שלהן.

מסחר בחולשות הוא מכירה של מידע על נקודות פגיעות (vulnerabilities) בתוכנות - באגים בקוד הניתנים לניצול ומאפשרים לפרוץ למערכות. כשחברת סייבר מגלה חולשה, הקוד האתי מחייב אותה לפתוח בהליך הסגרה מול החברה שבה נמצא הבאג. רק אחרי התיקון נהוג לפרסם ברבים את החולשה - והחוקר מקבל את הקרדיט.

אלא שלא כל החברות נוהגות כך, ולעתים חברות בוחרות לסחור בחולשות אלה. חולשה משמעותית באייפון, למשל, יכולה להימכר בשוק השחור (Dark Web) במיליון דולר. המסחר הזה ייאסר כעת על חברות ישראליות, מלבד: "חולשות הנמסרות באופן בלעדי למי שפיתח את הקוד או הפרוטוקול".

יכולות פורנזיות הן התחום השלישי שייכנס לפיקוח. בצו מוגדרת "פורנזיקה דיגיטלית" כ"השגה, ניתוח או שחזור מידע באמצעות ממשק פיזי לציוד מחשוב או אחסון, כגון מחשבים, מכשירי סלולר, דיסקים קשיחים, מערכות ניווט וכרטיסי SIM". החברה המוכרת בתחום היא סלברייט הישראלית־יפנית, המשווקת לארגוני משטרה וביון מכשיר ותוכנה שיודעים לשאוב מידע רב ממכשירי סלולר - גם מידע שנמחק כביכול. מסלברייט לא נמסרה תגובה על הכתבה.

מערכות להגנה על מערכות ביטחוניות ואסטרטגיות הן, לפי טיוטת הצו, "תוכנה שתוכננה או הותאמה להגנה על מערכות ביטחוניות אסטרטגיות או להגנה על ציוד לחימה מפני תוכנות חדירה".

בדברי ההסבר לצו נכתב כי ארבעת הנושאים מקבלים כבר כיום ביטוי באמנת ווסנאר (Wassenaar) ליצוא ושיווק של מוצרים בעלי אופי דואלי - אזרחי וצבאי.

תגובות

הזינו שם שיוצג כמחבר התגובה
בשליחת תגובה זו הנני מצהיר שהינני מסכים/ה עם תנאי השימוש של אתר הארץ