תעשיית הסייבר הישראלית לחוצה, ובצדק: התוכנית של משרד הביטחון ומטה הסייבר הלאומי לחייב את החברות ברישיונות יצוא טרם מכירת מוצריהן ללקוחות זרים מסעירה ומטלטלת את הענף הצומח. גם ההצהרות שנשמעות מכיוון הקריה בתל אביב על "בחינה משותפת של צו הפיקוח" לא מרגיעות לחלוטין את הרוחות ומנכ"לים של מאות חברות סייבר דרוכים, בכוננות ספיגה.
החשש המרכזי של ראשי הענף הוא שמשקיעים יברחו, כי משקיעים מתעבים רגולציות, ואחרי זה תבוא "בריחת מוחות" לחו"ל, חברות שימשיכו לעבוד בארץ יפסידו עסקאות והענף שצומח כאן בקצב שהעוסקים בענפים אחרים מתבוננים עליו אכולי קנאה - יגווע.
"החשש הוא שפיקוח כזה יסב נזקים רציניים לתעשיית הסייבר כולה בישראל", מזהיר מייסד וסמנכ"ל הטכנולוגיות בחברת הסייבר טרפקס (Trapx) יובל מלאכי, שעוסק בפיתוח תוכנות הגנה לארגונים, בין השאר ארגונים פיננסיים וארגונים ביטחוניים. "יזמים משקיעים את כל החיים שלהם בפרויקט, המשקיעים מביאים את הכסף, יש מוצר שמתחיל לעבוד טוב וגם מתחילות לעלות מחשבות על מכירה, אולי הנפקה ואולי אקזיט, ואז באה המדינה, עם רגולציה חסרת תקדים, ומה המסר שהתעשייה מקבלת? משקיעים ישאלו למה להם כאב הראש הזה ויעבירו את ההשקעה למקומות אחרים, אולי לעמק הסיליקון. למדינה זה יעלה בבריחה של מוחות ובבריחה של הכנסות".
"אני מצוי היטב בתעשיית הסייבר, אני חי אותה ומעורב בה", אומר מלאכי, שהקים את טרפקס ב- 2011, מעסיק בתל אביב כ-50 עובדים וכ-100 לקוחות בארץ ובעולם כבר הטמיעו את תוכנת ההגנה שלה מפני תקיפות רשת: "אני שומע את הקולגות שלי חוששים והחששות רבים. מה המסר שמקבל יזם צעיר מהמדינה? בזמן שבכל העולם מקנאים במה שקורה בתעשיית הסייבר שלנו ובזמן שכל העולם מנסה להעתיק את ההצלחה שלה, באה המדינה בעצמה ומערימה עלינו קשיים. זה אבסורד".
על אותו אבסורד מצביע גם עו"ד יובל ששון, שותף וראש מחלקת דיפנס וסייבר במשרד מיתר, ליקוורניק, גבע, לשם, טל ושות' ובעבר סגן לפרקליט המדינה. "יד ימין לא יודעת מה עושה יד שמאל: מצד אחד ראש הממשלה מכריז מתחת לכל עץ רענן שישראל תהיה אומת הסייבר ובאר שבע תהיה עמק הסיליקון הישראלי, ומצד אחר, מייצרים אקלים רגולטורי שמקשה מאוד על התעשייה".
הממשלה: "טכנולוגיות עלולות ליפול לידיים הלא נכונות"
אלא שקשה להתווכח גם עם מה שמוגדר במשרדי הממשלה "שיקולים ביטחוניים ומדיניים" של מדינה כמו ישראל, שחברות שלה עשויות לייצא, גם אם בתום לב, מערכות סייבר שאפשר שביום מן הימים יופנו נגדה. "מוצרי סייבר עלולים להכיל טכנולוגיות ויכולות שעם נפילתן לידיים הלא נכונות יובילו לסיכון חמור לאינטרסים הביטחוניים והמדיניים של ישראל", נכתב בטיוטת צו הפיקוח על מוצרי הסייבר שנחשפה ב"גלובס" בחודש ינואר והסעירה את תעשיית הסייבר כולה.
האגף לפיקוח על היצוא הביטחוני (אפ"י) ומטה הסייבר הלאומי שבמשרד ראש הממשלה יצאו מגדרם כדי להבהיר שנעשו מאמצים עליונים כדי לשמר בטיוטה את האיזון בין האינטרסים הביטחוניים והמדיניים של ישראל לבין הצרכים של תעשיית הסייבר להמשיך לפתח, למכור ולצמוח.
מלאכת הגיבוש של טיוטת הצו נמשכה 3 שנים, בדיונים השתתפו גם נציגים מהמועצה לביטחון לאומי, משרד הכלכלה והתעשייה ומשרד החוץ. ראש אפ"י, דובי לביא, טען כי גיבוש טיוטת הצו נעשה בשיתוף בכירים בתעשיית הסייבר המקומית. "עשינו אינטראקציה מוקדמת עם עשר חברות מובילות בארץ ושילבנו את ההערות שלהן לנוסח הטיוטה", אמר ("גלובס", 1.11.2016). גורמים ביטחוניים הסבירו כי מוטב היה לקדם צו כזה כבר לפני שנים רבות, שיאפשר התייחסות אל חלק מתוכנות הסייבר המיוצרות בארץ כאל נשק לכל דבר, כלומר, חברה המבקשת לייצא תוכנה תעבור בדיוק אותו הליך שעוברת חברה ביטחונית המבקשת למכור ללקוח זר פצצה חכמה, טיל או מל"ט.
לפחות בחלק מחברות הסייבר דוחים את הטיעונים שמטרת הפיקוח המתהווה היא למנוע נפילת תוכנות ישראליות לידיים שיפנו אותן נגד תשתיות או מאגרי מידע חשובים של מדינת ישראל. "האמירה הזאת נכונה במהותה אבל יסלח לי דובי לביא, זו דמגוגיה: מלבד ישראל, יש עוד שניים או שלושה אנשים ברחבי העולם שיודעים לעשות סייבר ובין אם מערכת הביטחון תחיל את הצו הזה ובין אם לאו, אותם שניים-שלושה אנשים שיושבים אי שם בעולם ומייצרים תוכנות כאלה ואחרות ימשיכו לעשות את מה שהם יודעים לעשות", אומר עו"ד ששון. "זאת גישה פטרנליסטית, כאילו רק אנחנו יודעים ומבינים סייבר. כל הלקוחות שלי אוהבים את המדינה: הם שירתו בצבא, נלחמו למענה בגבולות ועדיין תורמים לה. המדינה סמכה על האנשים האלה כשהצמידה להם נשק בגיל 18, אז היא לא תסמוך עליהם שיידעו למי כן מוכרים ולמי לא מוכרים תוכנה? אז נכון שיכולה להיות זליגה לגורם שלישי, אבל זליגות כאלה קורות כל הזמן ממילא".
אור לגויים? בעולם מחכים לראות מה עושות מדינות אחרות
תעשיית הסייבר מתייחסת אל טיוטת צו הפיקוח כאל חדשנות ישראלית בפני עצמה: אין עוד מדינה אחת בעולם שהחילה עד כה רגולציה על יצוא של מערכות סייבר, ולא משום שבמדינות רבות טרם צצו מחשבות כאלה, הן פשוט ממתינות לראות מה עושות מדינות אחרות עם תפוח האדמה הלוהט הזה.
אפילו הקונגרס האמריקאי נעתר לפני כשנה ללחץ שהפעילו עליו ענקיות הטכנולוגיה ועצר תוכנית להחיל רגולציה על יצוא תוכנות כאלה למדינות אחרות. בזמן שהקונגרס האמריקאי מחשב מסלול מחדש, ישראל, מדינה שרגילה להיות אור לגויים, שועטת קדימה.
מעניינת במיוחד תשובתו של גורם ביטחוני בכיר שבאחרונה התייחס לטיעון הזה בשיחה עם "גלובס": "ישראל פורצת דרך בהרבה מאוד דברים ובעקבותיה הולכות מדינות רבות בעולם. אז נהיה פורצי דרך גם בזה".
פיקוח על יצוא של מערכות סייבר מבוסס, בין השאר, על אמנה הקרויה על שם העיר ההולנדית ואסאנר ומגדירה כללי פיקוח סדורים על יצוא של אמצעי לחימה קונבנציונליים ושל טכנולוגיות דו-שימושיות. טכנולוגיות דו-שימושיות הן כאלה שפותחו למטרות אזרחיות טהורות, כמו שימושים רפואיים. בהתאמות קלות ניתן להסב אותן לשימושים צבאיים, לעתים התקפיים והרסניים במיוחד.
עורכי דין שמעורבים בסאגה שנמשכת כבר יותר משלושה חודשים בין תעשיית הסייבר למערכת הביטחון ומשרד ראש הממשלה מתרעמים בנקודה הזאת. ישראל, מסיבותיה, אינה חתומה כלל על אמנת ואסאנר אבל בפועל היא מחבקת אותה בשתי ידיים. את החיבוק הזה, אפילו מדינות שכן חתומות על האמנה מעדיפות בשלב הזה להשהות. "מוזר שישראל הולכת עם זה קדימה בזמן שהיא בכלל לא חתומה על אותה אמנה", אומר עו"ד אלי גרינבאום, שותף במחלקת ההיי-טק ומומחה לקניין רוחני וסייבר במשרד יגאל ארנון ושות'. "אין סיבה שנפקח על יצוא מערכות סייבר באופן הדוק יותר מזה של כל מדינה אחרת ובייחוד כשהעולם כרגע מסתייג מזה".
שלב ההסתייגויות: מהי בכלל מערכת ביטחונית אסטרטגית?
עשרות הסתייגויות הוגשו לאגף לפיקוח על היצוא הביטחוני במשרד הביטחון ולמטה הסייבר הלאומי במסגרת הליך שהתאפשר לחברות הסייבר. רבות מהן, התאגדו יחדיו והגישו את עמדותיהן באמצעות כמה פירמות של עורכי דין. הסתייגויות אחרות הוגשו בידי גופים יציגים, כמו איגוד תעשיות האלקטרוניקה והתוכנה: "הצורך בקבלת היתר ממשרד הביטחון ליצוא מוצרי סייבר מציב סימני שאלה רבים לפני הלקוחות של החברות האלה בחו"ל, בין השאר בשל החשש ל'דלת אחורית' בטכנולוגיה המוצעת ללקוח. חברות בתחום חשות אי נוחות אל מול משקיעים ולקוחות פוטנציאליים", טען מנכ"ל האיגוד, שלמה וקס. "כבר כעת חשות חברות ברעשים ובתחושות של אי נוחות אל מול משקיעים ולקוחות אפשריים".
אחד השחקנים המרכזיים במאבק של תעשיית הסייבר הוא עו"ד דניאל רייזנר, ראש תחום ביטחון המולדת, הגנה וסייבר במשרד הרצוג פוקס נאמן. בהסתייגות שהגיש למערכת הביטחון נכתב: "כל החלטה להרחיב את הפיקוח על ייצוא של טכנולוגיות סייבר חייבת להתקבל רק לאחר איזון ראוי בין האינטרסים המתנגשים ורק אם וכאשר מתקבלת המסקנה כי השיקולים הביטחוניים-מדיניים גוברים באופן משמעותי על שיקולי הנגד. כדי להצדיק את הרחבת הפיקוח, אין די בכך שהרשויות יסברו כי המדובר ב'רעיון טוב'".
בין הנימוקים שמעלה עו"ד רייזנר במסגרת ההסתייגות שהגיש: רגולציה פוגעת במכירות; מאריכה את מחזור המכירות באופן ששוחק את האטרקטיביות של המוצר הישראלי והופך אותו לפחות תחרותי; חוסר מוכנות מצד לקוחות לרכוש מוצרים מפוקחים - גם אם ניתן להם היתר מכירה; היעדר מוכנות ועניין של בעלים זרים להפעיל חברות מפוקחות; חיזוק מתחרים מחו"ל וצמצום מכירות בעקבות סירוב לאישור עסקאות מצד הרגולטור. "הקמת חברות במדינות אחרות אינה משימה בלתי אפשרית או קשה במיוחד", הוא מזהיר, "רגולציה שמערימה קשיים על חברה להשיא רווחים עלולה להוביל לניודה למדינות אחרות שבהן היא לא תהיה כפופה לפיקוח. אנו נתקלים לא אחת במקרים שבהם לקוחות בודקים, ולפעמים גם מממשים את האפשרות להקים או להעתיק פעילות בחו"ל כדי להימנע מתחולת הפיקוח הישראלי".
עו"ד רייזנר מביע באחרונה חשש אחר: לדבריו, גם חברות אמריקאיות עוקבות בדאגה אחר הליך זה, חוששות ש"יכניס רעיונות" לממשל האמריקאי לחידוש הניסיונות להחיל עליהן רגולציה דומה.
לדברי עו"ד גרינבאום ממשרד יגאל ארנון ושות', "אם רוצים לפקח על נשק גרעיני או על טילים - הרי שהמוצר המפוקח ברור, אבל בתחום הסייבר זה הרבה יותר קשה. לומר שהמדינה תפקח רק על טכנולוגיה התקפית ולא על טכנולוגיה הגנתית זה בעייתי, כי זאת כבר פחות או יותר אותה טכנולוגיה. מישהו יעשה בה שימוש התקפי ואחר יעשה בה שימוש הגנתי", מזהיר עו"ד גרינבאום.
חלק גדול מההסתייגויות מתייחס לאופן שבו מנוסחת טיוטת צו הפיקוח. סעיפים שלמים והגדרות מרכזיות בה נתונות לטענת החברות לכמה פרשנויות. "מהן אותן 'מערכות ביטחוניות אסטרטגיות' שעליהן מדבר הצו?" תוהה מנכ"ל איגוד תעשיות האלקטרוניקה והתוכנה וקס בהסתייגות שהגיש. "וכשהצו מתייחס ל'תוכנה שתוכננה או הותאמה במיוחד לטובת הגנה או ניטור של עורקי תקשורת ברמה הלאומית', מהם אותם 'עורקי תקשורת ורשתות תקשורת ברמה הלאומית'?".
המגעים לפשרה: שומרים על שיח פתוח
ההבהרות של מערכת הביטחון ושל מטה הסייבר הלאומי לראשי התעשייה, ולפיהן הרוב המוחלט של תוכנות הסייבר שעומדות לפני יצוא לא יהיה נתון לפיקוח, לא הרגיעו את השטח. תעשיית הסייבר קיימה כנסי חירום, בין השאר במכון היצוא הישראלי, ואף רתמה למערכה את התאחדות התעשיינים ואת נשיאות הארגונים העסקיים.
עורכי דין וגם ראשי חברות תמימי דעים לגבי הצורך בפיקוח על יצוא של מערכות התקפיות, ועם זאת הם חוששים שטרם גובשה שיטת הפיקוח שתאפשר לחברות להתקיים בתנאי החופש שחברה צומחת צריכה כדי להמשיך לצמוח. שם מתקשים להיאחז בהצעות שהועלו במסגרת השיח המתקיים בינם לבין בכירי במטה הסייבר ובמשרד הביטחון, שעם כניסת הצו לתוקף אפ"י ישיק הליך מהיר לאישור עסקאות יצוא לחברות אלה בתוך ימים. זאת, בניסיון למזער את הפגיעה בדינמיקה העסקית של חברות אלה. "זה לא ריאלי", פוסל עו"ד ששון, "זמני התגובה של אפ"י במקרה של מתן רישיונות יצוא או רישיונות שיווק לחברות ביטחוניות ממילא ארוכים, אם כי השתפרו. איך אפשר לנהל כך כלכלה? אנחנו מכירים את הסיפורים על 'מסלולים מיוחדים', כאלה שמתחילים בכוונות טובות ומסתיימים בעצב רב".
על רקע הסערה, ראש אפ"י, לביא, כבר הצהיר בהזדמנויות שונות כי צו הפיקוח המוצע בטיוטה האמורה יעבור שינוי, אך לא אמר באיזה שינוי מדובר. שינוי כזה ייעשה לאחר שמערכת הביטחון ומטה הסייבר יבחנו את ההסתייגויות של החברות - הליך שעתיד להימשך לפחות כמה חודשים.לצד הדיונים שעוד עתידים להתקיים בחודשים הקרובים על הנושא, סיכמה מערכת הביטחון עם ראשי חברות הסייבר על פתיחה של שיח ישיר באופן שישתף ויערב אותם בתהליך גיבוש צו הפיקוח הסופי.
הסכם ואסנאר: לא רק החברות הישראליות בלחץ
על רקע החששות הגוברים ממתקפות סייבר ופגיעה בביטחון הלאומי, 41 מדינות המייצאות נשק בעולם חתמו ב-2013 על "הסכם ואסנאר", המסדיר יצוא של חומרה וציוד "לשימוש כפול". המדינות הסכימו לפקח על יצוא של "מערכות או ציוד ביון מבוססי פרוטוקול אינטרנט, שבתנאים מסוימים עשויים לפגוע בביטחון וביציבות אזוריים או בינלאומיים". מאמצי פיקוח כאלה עשויים להציב קשיים בפני עסקי אבטחת סייבר שמוציאים למיקור חוץ פיתוחי תוכנה או חומרה, או בפני עסקים שאינם זקוקים כעת לרישיונות יצוא לחו"ל. סין וישראל לא חתמו על הסכם זה. בדצמבר 2014 עדכנה הנציבות האירופית את רשימת הפריטים לשימוש כפול שכפופים לפיקוח והיא כוללת פיקוח על קטגוריות פריטים חדשות כמו תוכנות הפרעה לטכנולוגיית מידע ותוכנות ריגול וציוד מעקב אחרי תקשורת ואינטרנט. העדכון משקף חששות אבטחה גוברים מפני השימוש בטכנולוגיית מעקבים ומכשירי סייבר שיכולים לשמש לרעה בהפרות זכויות אדם או נגד הביטחון של האיחוד האירופי.
ארה"ב כבר מפקחת על יצוא של ציוד כזה ועל תוכנה וטכנולוגיות שמספקות יכולות פריצה לתשתיות סייבר או רשתות למטרה זדונית, והקונגרס דן בפיקוח נוסף על יצוא טכנולוגיות אבטחת סייבר ו"נשק" סייבר תוקפני. "חוק הסמכת הביטחון הלאומי" מ-2014 (NDAA) יחייב את סוכנויות הממשל "לדכא" את המסחר בכלי סייבר ותשתיות שיכולים לשמש למטרות פליליות, טרור או צבאיות (מלבד הגנה עצמית). הנשיא אמור לבחון דרכים למנוע הפצת "נשקי סייבר". ב-2015 פרסמה לשכת התעשייה והביטחון במשרד המסחר האמריקאי הצעה ליישם את "הסכם ואסנאר", שכבר עוררה בהלה בקרב שחקניות גדולות בשוק האבטחה שמא יחויבו בקבלת רישיונות יצוא.
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.