משרד הביטחון מתחיל לפקח רשמית על חולשות יום-אפס
כמעט שנה מאז שנכנסו השינויים בהסכם ואסנאר, החל משרד הביטחון רשמית לפקח על חולשות יום-אפס. המשמעות היא שכל חברת סייבר ישראלית שייתכן והמוצר או שירות שלה יפגוש חולשה כזו, חייבת באישורי שיווק ויצוא על פי ההנחיות
עמי רוחקס דומבה
| 14/11/2018
רחל חן. צילום: רונן טופלברג
באפ"י הודיעו על יישום החוק הישראלי לפיקוח על חולשות על פי המתווה של הסכם ואסנאר. אמנם לקח למשרד הביטחון כמעט שנה להודיע על יישום החקיקה הישראלית (השינויים השנתיים של הסדר ואסנאר מתקבלים אוטומטית כחוק ישראלי והתיקון נכנס כבר בדצמבר 2017), אבל מי סופר. השינוי רלוונטי בעיקר לחברות שיש סיכוי שהן יגלו חולשות תוכנה. (אזרחיות וביטחוניות).
"יצואנים נכבדים, בהמשך לתיקון שנערך ברשימת הטובין וטכנולוגיות דו-שימושיים שנקבעה בידי הסדר ואסנאר מחודש דצמבר 2017, ולאחר שבחנו את התיקון האמור, הרינו לעדכן כי חולשות הינן מוצר מפוקח הנדרש ברישיונות מאת הרשות המוסמכת, כהגדרתה בחוק הפיקוח על יצוא ביטחוני, התשס"ז-2007 והצווים מכוחו. חריג לכלל זה הן פעולות מסוג זיהוי, דיווח, העברה או ניתוח של חולשות עבור גורם המיועד לתקן או לתאם תיקון של החולשות (חברות אנטי-וירוס ויצרן התוכנה בה התגלתה החולשה). פעולות אלו אינן נדרשות ברישיונות לתשומת לבכם, אפ"י", נכתב בהודעה של משרד הביטחון.
חברות אלו כוללות, בין היתר, כאלו שמפתחות מערכות הגנה מפני תקיפות סייבר (״סייבר-הגנה״), כלי תקיפה בסייבר, כלי איסוף מודיעין, כלי הגנה מבוססי זיהוי התנהגות חריגה (שיכולים לתפוס חולשת יום-אפס במקרה) וחברות שמבצעות בדיקות חוסן (PT). בעצם כל חברה שמתעסקת בתחום הסייבר, הגנה והתקפה, ללקוחות מסחריים וגורמי ממשלה, מצ׳פוינט ועד סייבר-ארק, כפופה כעת להודעת משרד הביטחון לפרשנותו של הצו הדו-שימושי.
חשוב להדגיש כי העדכון האחרון של הסדר ואסנאר (מדצמבר 2017) פוטר מפיקוח ייצוא חולשות לשתי מטרות - גילוי חולשות במטרה ״לסגור״ (לתקן) אותן (vulnerability disclosure) וכן שימוש בחולשות בעת תגובה לאירוע סייבר (cyber incident response activities).
"הרשימה [ואסנאר] מגדירה את גילוי החולשה (vulnerability) ואת התגובה לאירוע הקיברנטי כתהליכים לשיתוף מידע על נקודות תורפה ותקריות מקוונות, אך אינה מסבירה כיצד הקלות אלו חלות על סוגים ספציפיים של פריטים ברשימה", כותבים כביקורת באתר lawfareblog.
בעדכון האחרון של הסדר ואסנאר יש לשתי ההחרגות הסבר: "גילוי חולשה" פירושו "תהליך זיהוי, דיווח או תקשור החולשה או ניתוח החולשה עם אנשים או ארגונים האחראים על ניהול או תיאום תיקון לצורך פתרון ההחולשה." אותו פרסום גם מגדיר מהי "תגובה לאירוע סייבר". לפיו "פירושו תהליך של החלפת מידע דרוש על תקרית סייבר עם אנשים או ארגונים האחראים על ביצוע או תיאום תיקון כדי לטפל בתקרית הסייבר."
לפני השינוי של דצמבר 2017 האחרון, חולשות כלל לא היו תחת פיקוח על ייצוא באף מדינה. הפיקוח הוגבל לתוכנות תקיפה (intrusion software) (כדוגמת כלי התקיפה של חברת NSO שזכו לתקשורת בינלאומית רבה לאחרונה). חשוב גם לזכור שהסדר ואסנאר מפקח באופן כללי רק על טכנולוגיה שאינה בנחלת הכלל. לכן, כל המנגנון של ואסנאר נועד מלכתחילה לפקח רק על חולשות יום-אפס ולא על חולשות מפורסמות.
״בהודעת משרד הביטחון נדמה שפספסו את המהות של השינוי האחרון בואסנאר. תחום הסייבר במדינת ישראל הוא ענף מצליח, תחרותי ומתפתח. המשרד אינו יכול להוסיף חולשות שממילא אינן מפוקחות מכוח ואסאונר, כיוון שהן מפורסמות לפיקוח. השינוי מדצמבר 2017 מטרתו להקל על התעשייה ביצוא חולשות יום-אפס בשני מצבים לטובת הכלל. לכן, על משרד הביטחון לקבוע מנגנון לפיקוח על חולשות יום-אפס שלא תפגע ביצואנים, הן מבחינת לוחות זמנים והן מבחינת חשיפת הקניין הרוחני שלהם לגורמים שונים במדינת ישראל", מסביר עו"ד ישראלי בכיר המתמחה בתחום.
על אף הפטור שמעניק ואסנאר לשני מקרים אלו, הוא מגדיר כי פטור זה אינו פוגע בזכויות של רשויות הפיקוח הלאומיות לוודא עמידה בקריטריונים הנדרשים למתן ההקלות (Note2 בסעיף 4.E). במילים אחרות, אפ"י עדיין צריכים לסווג את מהות השימוש בחולשות ולקבוע אילו שימושים פטורים מפיקוח ואילו מחייבים רשיונות שיווק וייצוא (או רק יצוא במידה ומדובר במדינה מותרת). עבור היצואן, המשמעות היא שהוא חייב לחשוף את כלל החולשות שבידיו בפני אפ"י וכן את השימושים בהן.
סוגיה נוספת היא שאלת הגורם האוכף. לפי החוק כיום במדינת ישראל, פיקוח על ייצוא לפי הסדר ואסנאר בכלל האחריות משרד הכלכלה, ולא משרד הביטחון (למעט לגורמי ממשלה). ולכן נשאלת גם השאלה האם ההודעה של משרד הביטחון מחייבת גם את משרד הכלכלה?
הפיקוח הרשמי על החולשות חושף נקודה נוספת, אם כי ההסתברות להתרחשותה קטנה. היות ורשמית יש פיקוח ממשלתי על יצוא חולשות יום-אפס, במקרים בהם התפוצצה פרשת ריגול כלשהי שכללה שימוש בסוס ישראלי, שעשה שימוש בחולשת יום-אפס, ממשלת ישראל חשופה לתביעות מצד הקורבנות.
היבט אחרון. בראייה בינלאומית, ארצות הברית והקהילה האירופית טרם אישור חוקים לפיקוח על חולשות בכלל בדין הפנימי שלהם, לאור הבעייתיות בעדכון האחרון של הסדר ואסנאר והתנגדות פוליטיקאים וגורמים בתעשייה לפרקטיקת יישום השינוי.
תגובת משרד הביטחון:
"קישור לרשימת הטובין והטכנולוגיות הדו-שימושיים שנקבעת בידי הסדר ואסנאר, מופיע באופן קבוע באתר האינטרנט של אפ"י, לרבות התוספות והעדכונים. לאחרונה התפרסמה הבהרה, בעקבות פניית יצואנים, זאת כפי שנוהג אפ"י מעת לעת ובהתאם לצורך. הפיקוח בהסדר ואסנאר רלוונטי רק לחולשות פרטיות. בהבהרה שפורסמה באתר אפ"י לא נכללו חולשות שהן נחלת הכלל אלא חולשות פרטיות בלבד וגם זאת בכפוף למגבלות כפי שפורטו. מדינת ישראל לא הוסיפה על הסדר ואסנאר בהקשר זה. הפיקוח על הסייבר, כמו על כל פריט המופיע ברשימת הטובין והטכנולוגיות הדו שימושיים מתבצע על ידי אפ"י במקרים בהם המשתמש הסופי הינו בטחוני או צבאי, ובמקרים בהם המשתמש הסופי הינו אזרחי מתבצע הפיקוח על ידי משרד הכלכלה בתיאום ובהתייעצות עם אפ"י".
כמעט שנה מאז שנכנסו השינויים בהסכם ואסנאר, החל משרד הביטחון רשמית לפקח על חולשות יום-אפס. המשמעות היא שכל חברת סייבר ישראלית שייתכן והמוצר או שירות שלה יפגוש חולשה כזו, חייבת באישורי שיווק ויצוא על פי ההנחיות
רחל חן. צילום: רונן טופלברג
באפ"י הודיעו על יישום החוק הישראלי לפיקוח על חולשות על פי המתווה של הסכם ואסנאר. אמנם לקח למשרד הביטחון כמעט שנה להודיע על יישום החקיקה הישראלית (השינויים השנתיים של הסדר ואסנאר מתקבלים אוטומטית כחוק ישראלי והתיקון נכנס כבר בדצמבר 2017), אבל מי סופר. השינוי רלוונטי בעיקר לחברות שיש סיכוי שהן יגלו חולשות תוכנה. (אזרחיות וביטחוניות).
"יצואנים נכבדים, בהמשך לתיקון שנערך ברשימת הטובין וטכנולוגיות דו-שימושיים שנקבעה בידי הסדר ואסנאר מחודש דצמבר 2017, ולאחר שבחנו את התיקון האמור, הרינו לעדכן כי חולשות הינן מוצר מפוקח הנדרש ברישיונות מאת הרשות המוסמכת, כהגדרתה בחוק הפיקוח על יצוא ביטחוני, התשס"ז-2007 והצווים מכוחו. חריג לכלל זה הן פעולות מסוג זיהוי, דיווח, העברה או ניתוח של חולשות עבור גורם המיועד לתקן או לתאם תיקון של החולשות (חברות אנטי-וירוס ויצרן התוכנה בה התגלתה החולשה). פעולות אלו אינן נדרשות ברישיונות לתשומת לבכם, אפ"י", נכתב בהודעה של משרד הביטחון.
חברות אלו כוללות, בין היתר, כאלו שמפתחות מערכות הגנה מפני תקיפות סייבר (״סייבר-הגנה״), כלי תקיפה בסייבר, כלי איסוף מודיעין, כלי הגנה מבוססי זיהוי התנהגות חריגה (שיכולים לתפוס חולשת יום-אפס במקרה) וחברות שמבצעות בדיקות חוסן (PT). בעצם כל חברה שמתעסקת בתחום הסייבר, הגנה והתקפה, ללקוחות מסחריים וגורמי ממשלה, מצ׳פוינט ועד סייבר-ארק, כפופה כעת להודעת משרד הביטחון לפרשנותו של הצו הדו-שימושי.
חשוב להדגיש כי העדכון האחרון של הסדר ואסנאר (מדצמבר 2017) פוטר מפיקוח ייצוא חולשות לשתי מטרות - גילוי חולשות במטרה ״לסגור״ (לתקן) אותן (vulnerability disclosure) וכן שימוש בחולשות בעת תגובה לאירוע סייבר (cyber incident response activities).
"הרשימה [ואסנאר] מגדירה את גילוי החולשה (vulnerability) ואת התגובה לאירוע הקיברנטי כתהליכים לשיתוף מידע על נקודות תורפה ותקריות מקוונות, אך אינה מסבירה כיצד הקלות אלו חלות על סוגים ספציפיים של פריטים ברשימה", כותבים כביקורת באתר lawfareblog.
בעדכון האחרון של הסדר ואסנאר יש לשתי ההחרגות הסבר: "גילוי חולשה" פירושו "תהליך זיהוי, דיווח או תקשור החולשה או ניתוח החולשה עם אנשים או ארגונים האחראים על ניהול או תיאום תיקון לצורך פתרון ההחולשה." אותו פרסום גם מגדיר מהי "תגובה לאירוע סייבר". לפיו "פירושו תהליך של החלפת מידע דרוש על תקרית סייבר עם אנשים או ארגונים האחראים על ביצוע או תיאום תיקון כדי לטפל בתקרית הסייבר."
לפני השינוי של דצמבר 2017 האחרון, חולשות כלל לא היו תחת פיקוח על ייצוא באף מדינה. הפיקוח הוגבל לתוכנות תקיפה (intrusion software) (כדוגמת כלי התקיפה של חברת NSO שזכו לתקשורת בינלאומית רבה לאחרונה). חשוב גם לזכור שהסדר ואסנאר מפקח באופן כללי רק על טכנולוגיה שאינה בנחלת הכלל. לכן, כל המנגנון של ואסנאר נועד מלכתחילה לפקח רק על חולשות יום-אפס ולא על חולשות מפורסמות.
״בהודעת משרד הביטחון נדמה שפספסו את המהות של השינוי האחרון בואסנאר. תחום הסייבר במדינת ישראל הוא ענף מצליח, תחרותי ומתפתח. המשרד אינו יכול להוסיף חולשות שממילא אינן מפוקחות מכוח ואסאונר, כיוון שהן מפורסמות לפיקוח. השינוי מדצמבר 2017 מטרתו להקל על התעשייה ביצוא חולשות יום-אפס בשני מצבים לטובת הכלל. לכן, על משרד הביטחון לקבוע מנגנון לפיקוח על חולשות יום-אפס שלא תפגע ביצואנים, הן מבחינת לוחות זמנים והן מבחינת חשיפת הקניין הרוחני שלהם לגורמים שונים במדינת ישראל", מסביר עו"ד ישראלי בכיר המתמחה בתחום.
על אף הפטור שמעניק ואסנאר לשני מקרים אלו, הוא מגדיר כי פטור זה אינו פוגע בזכויות של רשויות הפיקוח הלאומיות לוודא עמידה בקריטריונים הנדרשים למתן ההקלות (Note2 בסעיף 4.E). במילים אחרות, אפ"י עדיין צריכים לסווג את מהות השימוש בחולשות ולקבוע אילו שימושים פטורים מפיקוח ואילו מחייבים רשיונות שיווק וייצוא (או רק יצוא במידה ומדובר במדינה מותרת). עבור היצואן, המשמעות היא שהוא חייב לחשוף את כלל החולשות שבידיו בפני אפ"י וכן את השימושים בהן.
סוגיה נוספת היא שאלת הגורם האוכף. לפי החוק כיום במדינת ישראל, פיקוח על ייצוא לפי הסדר ואסנאר בכלל האחריות משרד הכלכלה, ולא משרד הביטחון (למעט לגורמי ממשלה). ולכן נשאלת גם השאלה האם ההודעה של משרד הביטחון מחייבת גם את משרד הכלכלה?
הפיקוח הרשמי על החולשות חושף נקודה נוספת, אם כי ההסתברות להתרחשותה קטנה. היות ורשמית יש פיקוח ממשלתי על יצוא חולשות יום-אפס, במקרים בהם התפוצצה פרשת ריגול כלשהי שכללה שימוש בסוס ישראלי, שעשה שימוש בחולשת יום-אפס, ממשלת ישראל חשופה לתביעות מצד הקורבנות.
היבט אחרון. בראייה בינלאומית, ארצות הברית והקהילה האירופית טרם אישור חוקים לפיקוח על חולשות בכלל בדין הפנימי שלהם, לאור הבעייתיות בעדכון האחרון של הסדר ואסנאר והתנגדות פוליטיקאים וגורמים בתעשייה לפרקטיקת יישום השינוי.
תגובת משרד הביטחון:
"קישור לרשימת הטובין והטכנולוגיות הדו-שימושיים שנקבעת בידי הסדר ואסנאר, מופיע באופן קבוע באתר האינטרנט של אפ"י, לרבות התוספות והעדכונים. לאחרונה התפרסמה הבהרה, בעקבות פניית יצואנים, זאת כפי שנוהג אפ"י מעת לעת ובהתאם לצורך. הפיקוח בהסדר ואסנאר רלוונטי רק לחולשות פרטיות. בהבהרה שפורסמה באתר אפ"י לא נכללו חולשות שהן נחלת הכלל אלא חולשות פרטיות בלבד וגם זאת בכפוף למגבלות כפי שפורטו. מדינת ישראל לא הוסיפה על הסדר ואסנאר בהקשר זה. הפיקוח על הסייבר, כמו על כל פריט המופיע ברשימת הטובין והטכנולוגיות הדו שימושיים מתבצע על ידי אפ"י במקרים בהם המשתמש הסופי הינו בטחוני או צבאי, ובמקרים בהם המשתמש הסופי הינו אזרחי מתבצע הפיקוח על ידי משרד הכלכלה בתיאום ובהתייעצות עם אפ"י".
