רפורמה ביצוא סייבר? במשרד עדיין לא מטפלים בעיכובי מלמ"ב ופיקוח על חולשות נשאר ללא טיפול נאות
אפ"י הציגו רפורמה חדשה שמטרתה להקל על ייצוא מוצרים ביטחוניים כולל סייבר. בחינה מעמיקה של הרפורמה תראה כי 'בחלקים הכואבים' בתחום הפיקוח על הייצוא של מוצרי סייבר עדיין לא נוגעים במשרד. ורשימת המדינות המותרות? עדיין סודית
עמי רוחקס דומבה
| 07/11/2018
http://www.exportctrl.mod.gov.il/Pages/default.aspx
משרד הביטחון הציג רפורמה בהליכי הייצוא של מוצרים ביטחוניים, כולל סייבר, תחת הסיסמא כי הרפורמה טובה ליצואנים. אולם, בחינה של החידושים שהציגה ראש אפ"י תראה כי השינויים משרתים בעיקר את אפ"י, לא את היצואנים. אלו יצטרכו להתמודד בקרוב עם עוד בירוקרטיה נוספת ברישום המוצרים שלהם מול אפ"י.
אחד המהלכים אותו מיחזרו באפ"י הוא הקלות בייצוא למדינות מותרות. מדובר ברשימת מדינות שגדלה מ-98 ל-102 בעדכון הנוכחי אשר חוסכת ליצואן אישור שיווק. הרשימה סודית ואינה חשופה לציבור (כנראה מפחדים במשרד החוץ מה יגידו מדינות שאינן ברשימה). מדובר על תיקון שנכנס לפני מספר חודשים אשר מקל על יצוא למדינה ברשימה. תחת התיקון, כל הליך המכירה עד ההזמנה בפועל פטור מאישורים. בזמן ההזמנה, היצואן צריך לבקש אישור ייצוא סופי לסגירת ההזמנה.
היות והמוצרים עברו ועדת סיווג והוגדרו כבלמ"ס פטור אין בעיה לייצא אותם, מדובר במדינה ברשימה, ולכן לא אמורה להיות בעיה בזמן ההזמנה. לרוב, ההזמנה כוללת סעיף המתנה את קיום העסקה באישור משרד הביטחון. זהו נוהל רגיל בעסקאות ביטחוניות, כולל סייבר, הדורשות אישורים מגורם ממשלתי. עד כאן אין שינוי מהותי מבחינת היצואן.
קיבוץ למשפחות מוצרים
החידוש העיקרי שהציגו באפ"י הוא צמצום מספר המוצרים המאושרים לייצוא. עד היום אישור באפ"י כ-15000 מוצרים שונים, וכעת רוצים לעשות הקבצות למשפחות מוצרים ולהגיע ל5000 מוצרים. בצורה כזו יוכלו באפ"י לעשות פרופיליזציה לכל משפחה שתאפשר אישורי ייצוא או שיווק מהירים יותר. אחת השאלות היא על בסיס אילו פרמטרים יקבצו את המוצרים למשפחה. נניח, משפחת מוצרי סייבר. כיצד מוצרים כמו של NSO, סייברביט, ורינט ועוד כמה חברות יקובצו למשפחה זו? והאם ההקבצה של אפ"י עתידה לחשוף לכל החברים באותה משפחה יכולות של מוצרים מתחרים גם שלא בכוונה? לא ברור.
עבור היצואן ההקבצה למשפחות בעייתית. מדוע? מכיוון שמשרד הביטחון חייב בכל מקרה להשאיר את רשימת המוצרים כי ככה עובד הסכם ואסנאר אותו מיישמת ישראל במלואו. במציאות תמשיך להיות רשימת מוצרים כמו פעם ועוד רשימה של משפחות מוצרים ישראלית בלבד. ומה קורה שיש שתי רשימות שאמורות לייצג אותם מוצרים? צדקתם. על ציר הזמן כנראה יתחילו בעיות. בעיקר שפרשות ייצוא יתפוצצו או שיהיו חקירות לגבי הליך אישור בקשות.
דרך אגב, גם ארה"ב ואירופה מחזיקות רשימות מקומיות, אבל בצורה יותר שקופה ליצואן. בארה"ב מותר למשל לייצא לכל מדינה שאין לגביה סנקציות, והסנקציות גלויות לציבור באתר מסודר של משרד האוצר או מחלקת המדינה. (אפרופו רשימות סודיות).
הצידוק לקיבוץ למשפחות הוא כדי לקצר את זמן הטיפול של אפ"י בבקשות ייצוא. אבל זה חצי אמת. מדוע? מכיוון שהרפורמה לא משנה את הצורך לקבל סיווג לכל מוצר חדש. ואת הסיווג נותנים במלמ"ב, לא באפ"י. ויש בקשות סיווג שמחכות במלמ"ב גם שנה. מדובר בגוף שלא חייב כלום לאף אחד, ולכן אין עליו פיקוח. תבדקו אותי. חפשו נתוני זמני טיפול בבקשות סיווג מוצרים במלמ"ב. אם תמצאו, שתפו. אני לא מצאתי. גם הנתונים שמסרו באפ"י בכנס האחרון, לגבי זמן טיפול בבקשות אישור ייצוא, לא כולל את זמן סיווג המוצר במלמ"ב לגבי מוצרים חדשים. באפ"י החליטו פשוט להתעלם ולהראות לציבור שיפור של חלק מסוים בתהליך.
פיקוח על ייצוא חולשות
היבט נוסף שלא קיבל התייחסות ברפורמה החדשה הוא טיפול בחולשות. בעדכון האחרון של הסכם ואסנאר (דצמבר 2017) הכניסו פיקוח על חולשות באופן מפורש. עד אז היה רק פיקוח על כלי חדירה (הכלי שמנצל את החולשה, לא החולשה עצמה). בעדכון החריגו שני מצבים בהם אין לפקח על ייצוא חולשות - גילוי חולשות (ליצרן התוכנה) ובעת תגובה לאירועי סייבר. בכל שאר המקרים, משרד הביטחון צריך לפקח על ייצוא חולשות, לא רק כלי חדירה. והוא לא ממש עושה זאת. ואם הוא לא עושה זאת, הוא עובר על חוקי מדינת ישראל שמאמצת את עדכוני ואסנאר כחקיקה ישראלית בצורה אוטומטית. מישהו מפקח על המפקח? לא ממש.
לטובת משרד הביטחון אגיד כי פיקוח על חולשות לא מיישמים גם באירופה או ארה"ב. ההבדל הוא שבמדינות אלו לא מאמצים את ואסנאר אוטומטית כחוק. אלא בוחנים מה רוצים ליישם. שרצו ליישם זאת בארה"ב קם קול צעקה והבית הלבן ירד מזה. גם אצלנו ירדו מהעץ לגבי פיקוח יותר הדוק על מוצרי סייבר, וכנראה העדיפו לחכות לעדכוני ואסנאר. ככה מערך הסייבר ולשכת רוה"מ לא יצטרכו להתמודד עם לחץ ציבורי. ואין בעיה בזה. אבל זה לא הולך ביחד עם אימוץ אוטומטי של ואסנאר. לפחות ביצוא סייבר.
אין ספק כי יש באפ"י רצון להקל על יצואני סייבר, אולם המהלכים האחרונים שהוצגו בכנס לאו דווקא מסמלים חידוש בכיוון. יתרה מכך, אלו שיקראו את התנאים המשפטיים של ת"ז המוצר החדשה יבחינו בכמה שינויים לרעת היצואן. תנאים שספק אם עוברים בית משפט ישראלי. לסיכום, יעשו טוב באפ"י אם יבהרו את נושא ת"ז החדשות ואת נושא הטיפול בחולשות בפני היצואנים.
עו"ד (סא"ל במיל') קוזניץ בנימין המתמחה בייצוג חברות בכל הקשור לייצוא ביטחוני אומר כי "אישור לקבלת ייצוא בטחוני נחלק בד"כ לשניים - אישור שיווק ואישור ייצוא. ביטול הצורך באישור לשיווק מסייע ליצואנים בתחרות כנגד יצרנים אחרים בשוק העולמי שכן הצורך בקבלת אישור שיווק עיכב משמעותית את תחילת השיווק לעומת היצרנים הבינלאומיים. עם זאת, חשוב לזכור כי הדרישה לרישום המוצר באפ״י כמובן תקפה ועומדת כמו גם הדרישה לרישיונות ייצוא אשר כמובן קיימת. על כן, אין לחתום על שום הסכם אספקה שאינו מותנה בקבלת אישור ייצוא מהמדינה."
פניתי למשרד הביטחון בכמה שאלות בנוגע לרפורמה החדשה. אם תתקבל תגובה, היא תפורסם כאן.
אפ"י הציגו רפורמה חדשה שמטרתה להקל על ייצוא מוצרים ביטחוניים כולל סייבר. בחינה מעמיקה של הרפורמה תראה כי 'בחלקים הכואבים' בתחום הפיקוח על הייצוא של מוצרי סייבר עדיין לא נוגעים במשרד. ורשימת המדינות המותרות? עדיין סודית
http://www.exportctrl.mod.gov.il/Pages/default.aspx
משרד הביטחון הציג רפורמה בהליכי הייצוא של מוצרים ביטחוניים, כולל סייבר, תחת הסיסמא כי הרפורמה טובה ליצואנים. אולם, בחינה של החידושים שהציגה ראש אפ"י תראה כי השינויים משרתים בעיקר את אפ"י, לא את היצואנים. אלו יצטרכו להתמודד בקרוב עם עוד בירוקרטיה נוספת ברישום המוצרים שלהם מול אפ"י.
אחד המהלכים אותו מיחזרו באפ"י הוא הקלות בייצוא למדינות מותרות. מדובר ברשימת מדינות שגדלה מ-98 ל-102 בעדכון הנוכחי אשר חוסכת ליצואן אישור שיווק. הרשימה סודית ואינה חשופה לציבור (כנראה מפחדים במשרד החוץ מה יגידו מדינות שאינן ברשימה). מדובר על תיקון שנכנס לפני מספר חודשים אשר מקל על יצוא למדינה ברשימה. תחת התיקון, כל הליך המכירה עד ההזמנה בפועל פטור מאישורים. בזמן ההזמנה, היצואן צריך לבקש אישור ייצוא סופי לסגירת ההזמנה.
היות והמוצרים עברו ועדת סיווג והוגדרו כבלמ"ס פטור אין בעיה לייצא אותם, מדובר במדינה ברשימה, ולכן לא אמורה להיות בעיה בזמן ההזמנה. לרוב, ההזמנה כוללת סעיף המתנה את קיום העסקה באישור משרד הביטחון. זהו נוהל רגיל בעסקאות ביטחוניות, כולל סייבר, הדורשות אישורים מגורם ממשלתי. עד כאן אין שינוי מהותי מבחינת היצואן.
קיבוץ למשפחות מוצרים
החידוש העיקרי שהציגו באפ"י הוא צמצום מספר המוצרים המאושרים לייצוא. עד היום אישור באפ"י כ-15000 מוצרים שונים, וכעת רוצים לעשות הקבצות למשפחות מוצרים ולהגיע ל5000 מוצרים. בצורה כזו יוכלו באפ"י לעשות פרופיליזציה לכל משפחה שתאפשר אישורי ייצוא או שיווק מהירים יותר. אחת השאלות היא על בסיס אילו פרמטרים יקבצו את המוצרים למשפחה. נניח, משפחת מוצרי סייבר. כיצד מוצרים כמו של NSO, סייברביט, ורינט ועוד כמה חברות יקובצו למשפחה זו? והאם ההקבצה של אפ"י עתידה לחשוף לכל החברים באותה משפחה יכולות של מוצרים מתחרים גם שלא בכוונה? לא ברור.
עבור היצואן ההקבצה למשפחות בעייתית. מדוע? מכיוון שמשרד הביטחון חייב בכל מקרה להשאיר את רשימת המוצרים כי ככה עובד הסכם ואסנאר אותו מיישמת ישראל במלואו. במציאות תמשיך להיות רשימת מוצרים כמו פעם ועוד רשימה של משפחות מוצרים ישראלית בלבד. ומה קורה שיש שתי רשימות שאמורות לייצג אותם מוצרים? צדקתם. על ציר הזמן כנראה יתחילו בעיות. בעיקר שפרשות ייצוא יתפוצצו או שיהיו חקירות לגבי הליך אישור בקשות.
דרך אגב, גם ארה"ב ואירופה מחזיקות רשימות מקומיות, אבל בצורה יותר שקופה ליצואן. בארה"ב מותר למשל לייצא לכל מדינה שאין לגביה סנקציות, והסנקציות גלויות לציבור באתר מסודר של משרד האוצר או מחלקת המדינה. (אפרופו רשימות סודיות).
הצידוק לקיבוץ למשפחות הוא כדי לקצר את זמן הטיפול של אפ"י בבקשות ייצוא. אבל זה חצי אמת. מדוע? מכיוון שהרפורמה לא משנה את הצורך לקבל סיווג לכל מוצר חדש. ואת הסיווג נותנים במלמ"ב, לא באפ"י. ויש בקשות סיווג שמחכות במלמ"ב גם שנה. מדובר בגוף שלא חייב כלום לאף אחד, ולכן אין עליו פיקוח. תבדקו אותי. חפשו נתוני זמני טיפול בבקשות סיווג מוצרים במלמ"ב. אם תמצאו, שתפו. אני לא מצאתי. גם הנתונים שמסרו באפ"י בכנס האחרון, לגבי זמן טיפול בבקשות אישור ייצוא, לא כולל את זמן סיווג המוצר במלמ"ב לגבי מוצרים חדשים. באפ"י החליטו פשוט להתעלם ולהראות לציבור שיפור של חלק מסוים בתהליך.
פיקוח על ייצוא חולשות
היבט נוסף שלא קיבל התייחסות ברפורמה החדשה הוא טיפול בחולשות. בעדכון האחרון של הסכם ואסנאר (דצמבר 2017) הכניסו פיקוח על חולשות באופן מפורש. עד אז היה רק פיקוח על כלי חדירה (הכלי שמנצל את החולשה, לא החולשה עצמה). בעדכון החריגו שני מצבים בהם אין לפקח על ייצוא חולשות - גילוי חולשות (ליצרן התוכנה) ובעת תגובה לאירועי סייבר. בכל שאר המקרים, משרד הביטחון צריך לפקח על ייצוא חולשות, לא רק כלי חדירה. והוא לא ממש עושה זאת. ואם הוא לא עושה זאת, הוא עובר על חוקי מדינת ישראל שמאמצת את עדכוני ואסנאר כחקיקה ישראלית בצורה אוטומטית. מישהו מפקח על המפקח? לא ממש.
לטובת משרד הביטחון אגיד כי פיקוח על חולשות לא מיישמים גם באירופה או ארה"ב. ההבדל הוא שבמדינות אלו לא מאמצים את ואסנאר אוטומטית כחוק. אלא בוחנים מה רוצים ליישם. שרצו ליישם זאת בארה"ב קם קול צעקה והבית הלבן ירד מזה. גם אצלנו ירדו מהעץ לגבי פיקוח יותר הדוק על מוצרי סייבר, וכנראה העדיפו לחכות לעדכוני ואסנאר. ככה מערך הסייבר ולשכת רוה"מ לא יצטרכו להתמודד עם לחץ ציבורי. ואין בעיה בזה. אבל זה לא הולך ביחד עם אימוץ אוטומטי של ואסנאר. לפחות ביצוא סייבר.
אין ספק כי יש באפ"י רצון להקל על יצואני סייבר, אולם המהלכים האחרונים שהוצגו בכנס לאו דווקא מסמלים חידוש בכיוון. יתרה מכך, אלו שיקראו את התנאים המשפטיים של ת"ז המוצר החדשה יבחינו בכמה שינויים לרעת היצואן. תנאים שספק אם עוברים בית משפט ישראלי. לסיכום, יעשו טוב באפ"י אם יבהרו את נושא ת"ז החדשות ואת נושא הטיפול בחולשות בפני היצואנים.
עו"ד (סא"ל במיל') קוזניץ בנימין המתמחה בייצוג חברות בכל הקשור לייצוא ביטחוני אומר כי "אישור לקבלת ייצוא בטחוני נחלק בד"כ לשניים - אישור שיווק ואישור ייצוא. ביטול הצורך באישור לשיווק מסייע ליצואנים בתחרות כנגד יצרנים אחרים בשוק העולמי שכן הצורך בקבלת אישור שיווק עיכב משמעותית את תחילת השיווק לעומת היצרנים הבינלאומיים. עם זאת, חשוב לזכור כי הדרישה לרישום המוצר באפ״י כמובן תקפה ועומדת כמו גם הדרישה לרישיונות ייצוא אשר כמובן קיימת. על כן, אין לחתום על שום הסכם אספקה שאינו מותנה בקבלת אישור ייצוא מהמדינה."
פניתי למשרד הביטחון בכמה שאלות בנוגע לרפורמה החדשה. אם תתקבל תגובה, היא תפורסם כאן.
