פיקוח על ייצוא הסייבר – ביטחון מול כלכלה

מרץ, 2016 / EKW

תעשיית הסייבר הישראלית מהווה את אחד השווקים המרכזיים בתעשיית ההיי טק עם נתח שוק הולך וגדל מתוך הייצוא הביטחוני של ישראל. יחד עם העובדה כי מדובר במנוע צמיחה אסטרטגי למדינת ישראל, "מוצרי הסייבר עלולים להכיל טכנולוגיות ויכולות אשר נפילתן לידיים הלא נכונות תגרום לסיכון חמור לאינטרסים ביטחוניים ומדיניים ישראליים".

בשל הצורך לאזן בין האינטרסים הביטחוניים מחד, לבין האינטרסים הכלכליים מאידך, בחודשים האחרונים פרסם מטה הסייבר הלאומי ואפ"י טיוטת תיקון לצו פיקוח על היצוא הביטחוני בתחום הסייבר, כאשר מטרת התיקון הינה להוסיף ולחדד סעיפים הכלולים בהסדר ואסנאר, פיקוח על "חולשות" ופיקוח על יכולות פורנזיות מתקדמות.

עוד מוקדם לדעת כיצד התיקון לצו ישפיע בפועל על תעשיית הסייבר בישראל, אך גורמים בכירים בתעשייה העלו הסתייגויות כבדות משקל מהמהלך.

רקע

תעשיית הסייבר הישראלית מגלגלת מיליארדי שקלים בשנה ומהווה נתח ההולך וגדל עם השנים מתוך היצוא של המשק הישראלי בכלל ומתוך היצוא הביטחוני בפרט.

מסיבות ברורות, קיים פיקוח על היצוא הביטחוני של ישראל (כמו בכל מדינה מתוקנת אחרת), הן על התעשייה הביטחונית הקלאסית והן על תעשיית הסייבר (בשלב זה בהיקפים מאוד מינוריים). הפיקוח נעשה באמצעות הענקת רישיונות על ידי האגף לפיקוח היצוא הביטחוני ("אפ"י") לתאגידים או גופים שונים  העוסקים במכירה ויצוא ביטחוני לחו"ל.

מדינה ישראל הינה אחת ממספר מדינות החתומות על הסדר ואסנאר (The Wassenaar Agreement on Export Controls for Conventional Arms And Dual-Use Goods and Technologies) בדבר פיקוח על יצוא של אמצעילחימה קונבנציונליים וטובין וטכנולוגיות דו-שימושיים.

בחודשים האחרונים פרסם מטה הסייבר הלאומי ואפ"י טיוטת תיקון לצו פיקוח על היצוא הביטחוני בתחום הסייבר, כאשר מטרת התיקון הינה להוסיף ולחדד סעיפים הכלולים בהסדר ואסנאר, פיקוח על "חולשות" (חוסר שלמות בקוד או בפרוטוקול, אשר ניתן לניצול לפגיעה מערכת או בתוכנה)  ופיקוח על יכולות פורנזיות מתקדמות.

 מטרת התיקון לצו

הסדר ואסנאר כולל רשימה ארוכה של מוצרים אשר נכללים תחת פיקוח יצוא בעיקר של תעשיית הביטחון הקלאסית. עד עתה, תעשיית הסייבר הישראלית (כמו גם בעולם כולו) נהנתה מחופש יחסי מבחינת הרגולציה. נראה כי המצב הנוכחי עתיד להשתנות. אפ"י ומטה הסייבר הלאומי במשרד ראש הממשלה הגיעו לכלל מסקנה כי יש להגביר את הרגולציה על יצוא בטחוני בתחום הסייבר בעיקר אלו העוסקים בתחום ההתקפי ואיסוף מודיעין.

במסמך ההסבר הנלווה לטיוטת צו התיקון שפורסם על ידי מטה הסייבר הלאומי ואפ"י נכתב כך: "ענף הסייבר מהווה את אחד השווקים הדינמיים ובעלי הפוטנציאל הגבוה ביותר במשק הישראלי. התקדמות זו טומנת בחובה הזדמנויות רבות, אך גם אתגרים. מחד, מדובר במנוע צמיחה אסטרטגי למדינת ישראל. מנגד, מוצרי הסייבר עלולים להכיל טכנולוגיות ויכולות אשר נפילתן לידיים הלא נכונות תגרום לסיכון חמור לאינטרסים ביטחוניים ומדיניים ישראליים".

כך, טיוטת התיקון לצו פיקוח על היצוא הביטחוני בתחום הסייבר, כוללת חידוד סעיפים הכלולים בהסדר ואסנאר, הוספת פיקוח על "חולשות" והוספת פיקוח על יכולות פורנזיות מתקדמות.

המשמעות של התיקון לצו הפיקוח הינה הכללה של מוצרי סייבר נוספים תחת צו הפיקוח ועם זה הטלת הגבלות על יצוא מוצרים הנכללים תחת הצו החדש לחו"ל.

לטענת אפ"י התיקון לצו יביא למצב של ודאות למול עמימות בנושא הסייבר, דבר שלטענת אפ"י ייטיב עם התעשייה, הן כלפי החברות והן כלפי המשקיעים. תעשייני הסייבר מצידם טוענים כי תיקון הצו יביא לתוצאות הפוכות כפי שיפורט להלן.

 עמדת התעשיינים בתחום הסייבר לתיקון הצו

לאור התיקון לצו קמה התנגדות עזה מצד התעשיינים בתחום הסייבר בטענה כי צו הפיקוח החדש יביא לבריחת משקיעים בתחום הסייבר ולהתמוטטות של התעשייה.

האינטרסים הביטחוניים של מדינת ישראל הינם ברורים, אך לצד זה יש להביא בחשבון את האינטרסים הכלכליים של תעשיית הסייבר. מכירות של חברות ישראליות בתחום הסייבר לחו"ל מגיעות למיליארדי שקלים בשנה והחשש הוא כי התיקון לצו אשר יגביל את המכירות לחו"ל עלול להביא לירידה דרמטית בהיקף המכירות.

הכללה של מוצרים חדשים תחת צו הפיקוח עלולה ליצור מגבלות ומכשולים עבור חברות העוסקות בתחום, ועל ידי כך להפוך אותן לפחות אטרקטיביות בעיני משקיעים פוטנציאלים ואף להקשות עליהם לייצר שיתופי פעולה עם חברות בינלאומיות הפועלות בתחום.

בשונה מתעשיות ביטחוניות קלאסיות, בתחום הסייבר יש לא מעט חברות קטנות (סטארט-אפים) אשר אין להם משאבים להתמודד על הרגולציה החדשה, ומשכך הן עלולות למצוא את עצמן מחוץ לתחום.

כך גם חברות בינלאומיות רבות אשר מרכז המו"פ שלהן בישראל, אשר נכללות אף הן תחת צו הפיקוח, יעדיפו להעביר את מרכזי המו"פ למקומות אחרים בעולם שאין עליהן את המגבלות שמטילה מדינת ישראל.

 סיכום

מערכת השיקולים העומדת בפני מקבלי ההחלטות אינה פשוטה. ההכרעה בין אינטרסים ביטחוניים ולבין אינטרסים כלכליים הינה מאוד בעייתית ומצריכה מלכת מחשבת כיצד לנסח את הצו ואת הכלים הדרושים לפיקוח אשר עדיין ישמרו על האינטרסים הביטחוניים של מדינת ישראל ומצד שני לשמר את תעשיית הסייבר אשר ללא ספק מייצגת את אחד ההישגים הבולטים של ההיי טק הישראלי ואיתו את התמורה אשר היא מניבה למשק הישראלי.

דומה כי ההסתייגויות שהעלו בכירים בתחום תעשיית הסייבר לא נפלו על אוזניים ערלות. מפרסומים של הימים האחרונים עולה כי אפ"י שוקלת בכובד ראש את טענות התעשיינים ואף פרסמה כי בכוונתה להקים ועדה מיוחדת אשר תבדוק את טענותיהם ואולי אף תשנה את נוסח התיקון לצו על מנת למזער ככל שניתן את ההגבלות החדשות מחד ולשמור על האינטרסים הביטחוניים מאידך.