ההסכם בסייבר בין סין לארה"ב - ניסיון אמריקאי לשימור יתרון טכנולוגי

לו הייתי נשיא סין, לא הייתי חותם על הסכם בסייבר עם ארה"ב. בחינה של ההצהרה המשותפת בין ארה"ב לסין כפי שהתפרסמה באתר הבית הלבן, מגלה כי מדובר בניסיון נואש של ארה"ב לשמר את הפער הטכנולוגי מול סין באמצעות תרבות המקדשת את הקניין הרוחני. אובמה, מסתבר, לא באמת רוצה סין חזקה. תחת הסכם זה, הפער הטכנולוגי בין סין לארה"ב רק יגדל, בשעה שההאקרים של סין יכולים, ומצליחים, לגשר על הפער די בקלות. דעה

ההסכם בסייבר בין סין לארה"ב - ניסיון אמריקאי לשימור יתרון טכנולוגי

צילום מסך

ביקור הנשיא הסיני בארה"ב הפיח תקוות להסכם בינלאומי בין המעצמות בתחום הסייבר שימנע התקפות הדדיות על תשתיות קריטיות ואולי גם מניעה של פעולות ריגול במרחב הקיברנטי. ובכן, בפועל, הצדדים הגיעו להצהרה פוליטית בלתי מחייבת (אינה גוררת עונש) סביב הרצון למנוע גניבה הדדית של סודות מסחריים. בינתיים, הריגול שאינו למטרות עסקים ימשך, וכך גם פעולות אחרות בסייבר שנועדו לשמר את הביטחון הלאומי של המדינות.

אמנם מדובר בכיוון חיובי בדרך להיווצרות נורמות בינלאומיות של התנהגות בסייבר, אך מכאן ועד שינוי נורמטיבי, הדרך עוד ארוכה. יתרה מכך, במציאות, ההצהרה המשותפת כפי שפורסה באתר הבית הלבן, אינה 'מחזיקה מים' בעולם הסייבר הנוכחי. זאת, בשל מספר סיבות.

לפי הדיון, נתחיל עם העובדות. הודעת הבית הלבן מתייחסת באופן ישיר רק לצד המסחרי של מרחב הסייבר בכל הקשור לתחרות עסקית סביב מוצרי ICT. אין בהצהרה המשותפת התייחסות כלשהי לצדדים אחרים של עולם הסייבר כמו ריגול, התקפות של תשתיות קריטיות או הגדרות כלשהן לגבי המושג 'מלחמה קיברנטית'.

"שתי המדינות מתחייבות כי צעדים כלליים לשיפור אבטחת המידע בטכנולוגיית מידע ותקשורת בענפי מסחר (תקנות אבטחת מידע מקוונות ב-ICT) צריכים להיות בקנה אחד עם הסכמי ארגון הסחר העולמי (WTO)", נאמר בהצהרה המשותפת [מקור]. "[הצעדים] צריכים להיות מותאמים באופן צר ותפורים, לקחת בחשבון נורמות בינלאומיות, להיות ללא אפליה, ולא להטיל תנאים לאומיים או הגבלות, על רכישה, מכירה, או שימוש במוצרי ICT על ידי חברות מסחריות שלא לצורך".

בהמשך ההודעה, הבית הלבן מתייחס לנושאים של שמירה על קניין רוחני ואינו מתייחס ישירות למרחב הסייבר:

"ארצות הברית וסין מאשרות את החשיבות של פיתוח והגנה על קניין רוחני, כולל סודות מסחריים, ולהתחייב שלא לקדם מדיניות כללית או פרקטיקות המחייבים העברת זכויות קניין רוחני או טכנולוגיה כתנאי לביצוע עסקים בשווקים שלהן.

"שתי המדינות מאשרות כי מדינות לא צריכים לנהל או לתמוך ביודעין בגזל של קניין רוחני, כולל סודות מסחריים או מידע עסקי סודי אחר במטרה לספק יתרונות תחרותיים לחברות שלהן או לענפי מסחר. שתי המדינות מאשרות כי מדינות וחברות עסקיות לא צריכות לעשות שימוש ביתרונות טכנולוגיים ומסחריים שהושגו בשיטות לא חוקיות כדי לזכות ביתרון מסחרי".

העדר תרבות של שיתוף מידע

אחת הסיבות העיקריות לבעייתיות של יישום ההצהרה המשותפת, קשורה להעדר תרבות של שיתוף מידע בסייבר בין מדינות בזירה הבינלאומית. אובמה אפילו לא מצליח לגרום למגזר העסקי לשתף פעולה עם המגזר הממשלתי בתוך ארה"ב. ההצעה של אובמה מחכה לאישור הסנאט והיא כוללת מרכיבים בעייתים. בין היתר, שהממשל יוכל להכריח חברה פרטית לחשוף בפניו מידע בסייבר שיכול לפגוע באותה חברה אם ידלוף לרשת.

כאשר יוצאים מגבולות המדינה, בזירה הבינלאומית המצב יותר קשה. בעיקר בגלל מושג הריבונות. מדינה לא רוצה לשתף את היעדים שלה בסייבר עם מדינות אחרות. גם לא את היכולות שלה בהגנה או התקפה. הסיבה לכך טמונה באי אמון בסיסי הקיים כיום במערכת הבינלאומית בכל הקשור לסייבר.

לפי דיווחים בתקשורת, שיתוף המידע בין סין לארה"ב יתקיים במודל של Cert-To-Cert [ה-Cert הוא ארגון ממשלתי שמרכז עבור הממשלה את הפעילות בסייבר של כלל הזרועות]. האם הCert מודע בפועל לכלל הפעילות של המדינה בסייבר, גם זו המסווגת? שוב, זו שאלה של תרבות שיתוף מידע בתוך המדינה. בהערכה די קרובה למציאות, ניתן לומר כי לא. אם מדינה רוצה לגנוב סודות מסחריים ממדינה אחרת, כנראה שהאנשים בCert לא ידעו מזה.

"לא כוחות"

סיבה נוספת לקושי ביישום ההצהרה קשורה לכך שלסין יש יותר סודות מסחריים לגנוב מאשר לארה"ב יש לגנוב מסין. הסינים לרוב מעתיקים מארה"ב ולא להיפך. בצורה חוקית או לא חוקית. עבור סין, הסייבר הוא עוד ערוץ להדביק את הפער ביכולות בין המדינות [והיא עושה זאת מצוין]. אם כמדינה סין יכולה למשל לסגור פער בטכנולוגיה של מטוס חמקן במבצע סייבר שלוקח מספר חודשים במקום לפתח טכנולוגיה משלה, פרויקט שיקח עשרות שנים, אז למה שהיא תוותר על ערוץ יעיל שכזה?

נכון הוא, שאם אובמה באמת רוצה למנוע את גניבת הסודות בסייבר, הוא צריך לשנות את התפיסה הנורמטיבית של הקניין הרוחני בכללותה. הרי היא זו שמלכתחילה גרמה לפער בין סין לארה"ב שהביא את סין לנקוט אמצעים, כמו ריגול בסייבר, כדי לסגור אותו. בעולם אידיאלי, טכנולוגיה אמורה להתפשט בעולם בצורה שווה ללא מעצורים משפטיים, לטובת האנושות. היות וזה לא הולך לקרות, סביר להניח שגם הריגול המסחרי בסייבר לא יגמר מחר.  

פיקוח בעייתי

סיבה נוספת שקשה להפוך את ההצהרות הללו להסכם פרקטי, קשורה לפיקוח. כיצד ארה"ב תדע שסין לא גונבת לה סודות מסחריים, ולהיפך. ארגונים ביטחוניים שעוסקים בפריצות למערכות מחשוב מעבר לים לא נוטים לחלוק את המידע אודות הפעולה טרם הביצוע, וגם לא לאחריו. האם ממשלת סין תתריע בפני ארה"ב שחברה סינית מסויימת מתכננת לגנוב סודות מחברה אמריקאית מתחרה? תרחיש כזה שייך כנראה למחלקת מדע בדיוני יותר מאשר למחלקת המדינה של סין.

יתרה מכך, נניח שסין תחליט לקיים את ההצהרה כלשונה ואכן לא תזום ביודעין פעולות ריגול תעשייתי או מדעי בסייבר באמצעות משאבים ממשלתיים. האם זה אומר שהיא לא תוכל להשתמש בחברות פרטיות כקבלני משנה? אם פעולה כזו תתגלה, החיצים יופנו לחברה הפרטית. במקרה אחר, האם סין לא תוכל להשתמש במדינות פרוקסי כמו צפון קוריאה, איראן או רוסיה לצורך השגת מידע עסקי? גם כאן, בעת כישלון, הממשל הסיני יוכל להתנער מאחריות.

גם ארה"ב יכולה להשתמש באותן טכניקות. בממד הפיזי ארה"ב נוהגת להשתמש בקבלני ביטחון כדוגמאת חברת "בלאק ווטר" , וגם בסייבר אדוארד סנאודן חשף שהמצב לא שונה. לפי פרסומים בתקשורת, ארה"ב השתמשה, בין היתר, בשירותי המודיעין של גרמניה ובריטניה כדי להשיג מידע חיוני בסייבר. אין סיבה שהיא לא תמשיך לעשות זאת מול סין.

עוד נקודה הקשורה לפיקוח היא העדר יכולת הפללה בסייבר. עד היום, לא פותחו אמצעים המסוגלים לזהות באופן חד-חד-ערכי את מבצע הפעולה. כל הכלים והמומחים האנושיים שעוסקים במלאכת התחקור לאחור [פורנזיק] מסוגלים להצביע על המבצע בהסתברות מסויימת כתלות בדפוסי הפעולה שלו מפעולות קודמות. אולם, שיטה זו פותחת פתח לפעולות מבוססות התחזות [פולס-פלאג]. לסיכום, הפיקוח בעייתי הן בהיבט המשפטי שלו (הפללה) והן בהיבט הביצוע המעשי.

ההגנה יותר חלשה מההתקפה

היבט נוסף על ההסכם חושף את החולשה הכי גדולה של ארה"ב בסייבר - ההגנה. ארה"ב אולי נתפסת כמובילה בצד ההתקפי, אך בצד ההגנתי, העובדה שהיא מדינה מתקדמת המבוססת על מערכות מחשוב לצורך שרידותה, רק פועלת נגדה. בסייבר, ככל שהמדינה מתקדמת יותר טכנולוגית, כך היא פגיעה יותר להתקפות. ומדובר בפגיעה בכל הרבדים, לא רק בתשתיות קריטיות.

בחינה של פעולות הריגול האחרונות בארה"ב, ביניהן פריצה למאגרי מידע וגניבה של נתונים מה-OPM, ממאגרי מידע של אתרי היכרויות ומהמאגר של מס הכנסה, מראה כי אין ארגון חסין בפני פריצות. ממשלתי או עסקי. ההחלטה של אובמה למקד את המאמץ הדיפלומטי בנושא חקיקה של קניין רוחני מראה כי הוא מודע לבעיות הפרקטיות של אבטחת מאגרי הנתונים בארה"ב. תרבות של כיבוד זכויות משפטיות ישימה יותר מאשר חלופה של פיתוח הגנה הרמטית למאגרי נתונים.

בתחרות, תתחרה

ההצהרה המשותפת בין ארה"ב לסין היא צעד חיובי מכיוון שהיא 'שמה על השולחן' את ההבנה שקשה מאד לשמור סודות מסחריים בסייבר. אם בעבר מדינה הייתה צריכה להפעיל מרגלים אנושיים לגנוב סודות כאלו, היום אפשר לעשות זאת בניחותא מהצד השני של העולם באמצעות מקלדת. ההצהרה גם מדברת לראשונה בזירה הבינלאומית על הצורך בשינוי תרבותי. מדובר בתהליך ארוך טווח, שדורש בחובו מיקוד בשיתוף מידע וידע בסייבר כדי שיצליח.

יחד עם זאת, ההצהרה גם חושפת את היתרון של ארה"ב על סין בהקשר הטכנולוגי. הסיליקון וואלי, הוא הסמל של יתרון זה כאשר ארה"ב מובילה את עולם היזמות הטכונלוגי הן בממד האזרחי והן בצבאי. על רקע זה, ההצהרה של אובמה היא ניסיון של ארה"ב לשמר פער זה באמצעות הכפפה של סין לתרבות המבוססת על קניין רוחני.

במציאות, אין לסין אינטרס לקיים הסכם כזה. אובמה לא יכול להתלונן מחד על מעשי ריגול תעשייתי של סין, ומאידך 'לנעול' את הטכנולוגיה בארה"ב באמצעות חקיקה של קניין רוחני כאשר היתרון אצלו. במתווה כזה, הגיוני שסין תמשיך לנסות לגשר על הפער באמצעות פריצות בסייבר למאגרי נתונים.