שינויים בהתייחסות הסכם ואסנאר לכלי תקיפה בסייבר

הגרסה האחרונה של ההסכם (שהופך לחקיקה ישראלית) מזכירה לראשונה התייחסות לחולשות. כמו גם, ההסכם מחריג מפיקוח פעולות הגנה טהורות כמו טיפול באירועי סייבר או דיווח על חולשות ליצרן התוכנה. ממשרד הביטחון טרם פורסמה התייחסות לשינויים

שינויים בהתייחסות הסכם ואסנאר לכלי תקיפה בסייבר

bigstockphoto

בפרסום האחרון של הסכם ואסנאר מחודש דצמבר 2017 בוצעו מספר שינויים מהותיים בדרך בה מתייחס ההסכם לכלי תקיפה בסייבר. נזכיר כי שינויים בהסכם הופכים אוטומטית לחקיקה ישראלית. אחד השינויים נוגע לחולשות שנכנסו באופן רשמי לפיקוח הדו שימושי. מדובר בחולשות שנועדו לפיתוח כלי חדירה למערכות מחשוב (“intrusion software"). עד כה, החולשות לא הוזכרו כלל בואסנאר ולא היו מפוקחות. לפחות בתיאוריה.

הגדרת 'תוכנת חדירה' נכנסה להסכם כבר ב2013 ומאז לא שונתה ההגדרה. עד הפרסום האחרון. השינוי מגדיר : "מערכות, ציוד ומרכיבים בעבורם, שתוכננו במיוחד או שונו עבור ייצור, פיקוד ושליטה, או מסירה של 'תוכנת חדירה'". שינוי נוסף: "'תוכנה' שתוכננה במיוחד או שונתה עבור הייצור, הפיקוד והשליטה, או משלוח של 'תוכנת חדירה'". השינוי אינו חל על "תוכנה" שתוכננה במיוחד ומוגבלת לספק עדכוני "תוכנה" או שדרוגים.

בתנאי שהעדכון או השדרוג פועלים רק באישור של הבעלים או המנהל של המערכת המקבלת אותו; ולאחר העדכון או השדרוג, "התוכנה" שעודכנה או שודרגה אינה תוכנת חדירה או כזו שנועדה לייצר תוכנת חדירה, לשלוט בה או לשלוח אותה.

בנוסח החדש של ההסכם מחריגים את פיתוח התוכנה החודרת לטובת "גילוי פגיעות" ו"תגובה לאירוע קיברנטי".  "גילוי פגיעות" פירושו תהליך זיהוי, דיווח או תקשור פגיעות עם, או לנתח את הפגיעות עם, אנשים או ארגונים האחראים על ניהול או תיאום תיקון לצורך פתרון הפגיעות.  "תגובה לאירוע סייבר" פירושו תהליך של החלפת מידע נדרש על תקרית אבטחת מידע עם אנשים או ארגונים אחראים על ביצוע או תיאום תיקון כדי לטפל בתקרית אבטחת המידע.

״השינויים שהוכנסו על ידי ועדת ואסנאר בחודש דצמבר האחרון הם מהפכה בכל הקשור לפיקוח על כלי תקיפה בסייבר", מסבירה ויבקה דנק, עו"ד ישראלית המתמחה בנושאי פיקוח על ייצוא ביטחוני. ״בעבר, בכל העולם (וגם בישראל), מכירה וייצוא של חולשות (vulnerabilities), כולל zero days התבצעה ללא פיקוח. כיום, בעקבות השינוי בוינה לפני מספר שבועות, אמנם צומצמו המגבלות על ייצוא של השמשת חולשות (exploits) כאשר הייצוא הוא לצורך ״סגירת החולשות״, אך הורחב הפיקוח לכל חולשה כאשר מדובר ב'סייבר אקטיבי'".

המשמעות של השינויים עבור חברות שמפתחות כלי איסוף מודיעין או תקיפה לייצוא, היא שהפיקוח עליהן אמור להיות יותר הדוק. עכשיו יש למשרד הביטחון תירוץ רשמי למה לבקש מהם לדווח על חולשות בהן המוצר עושה שימוש. נושא שראוי חידוד ממשרד הביטחון הוא חברות שירותי PT שמספקות שירותים בחו"ל. מטרת חברות אלו, בין היתר, היא מציאה ודיווח של חולשות.

לעומת זאת, אם מדובר במוצרי הגנה 'טהורים' מתחום ניהול אירועי סייבר (IR) או לחילופין במוצרי הגנה שתפקידם למצוא חולשות ולדווח ליצרן או לארגון, על חברות אלו הפיקוח אמור להצטמצם. עוד יתרון הוא בפעילות של חברות זרות בישראל שמעבירות מידע ממרכזי הפיתוח בישראל לחו"ל לטובת שיתוף מידע אודות פתרון בעיות באבטחת מידע. גם מקרים אלו לא אמורים להיות מפוקחים לפי הגרסה החדשה של ההסכם.  

ממשרד הביטחון לא פרסם התייחסות בגלוי לשינויים האחרונים בהסכם. שלחתי פניית ברור. אם וכאשר תינתן, תפורסם כאן.

אולי יעניין אותך גם