משרד הביטחון רוצה להטיל מגבלות נוספות על ייצואני סייבר 

בנוסף למגבלות הקיימות מצד הסכם ווסנאר, המשרד עובד בשנתיים האחרונות על מגבלות נוספות שעתידות להקשות עוד יותר על חברות תקיפה ואיסוף ישראליות בסייבר. מעצמת סייבר? נראה כי במשרד מנסים רק להקשות 

צילום: אריאל חרמוני - משרד הביטחון 

מידע שהגיע לישראל דיפנס, חושף כי במשרד הביטחון מתנהל בשנתיים האחרונות הליך חשיבה כיצד להגביל יותר את ייצוא הסייבר ההתקפי וזה המיועד לאיסוף מודיעין. מעבר לכך שמדינת ישראל מאמצת את הסכמי ווסנאר כחוק מדינה בצורה אוטומטית (היחידה בעולם), רוצה המשרד להטיל מגבלות נוספות. 

המטרה: זיהוי חד ערכי של כלי סייבר ישראלי 

על המהלך אחראית מחלקת טכנולוגיה במלמ״ב, יחד עם אפ״י וגופים נוספים. במסגרת המהלך, רצו במלמ״ב לגבש קובץ הנחיות חדש שיגביל את היצואנים. בין היתר, כך לפי מקורות של ישראל דיפנס, רוצים במשרד שכל כלי תקיפה או איסוף ישראלי יכלול קוד מזהה חד-חד ערכי בתוך הקוד. זאת, במטרה שכלים אלו בידיים של לקוחות בעולם לא יופעלו נגד סוכני מוסד ואנשי ביון ישראלים. 

עם זאת, כך לפי המקורות, מלמ״ב לא פרסם ברבים את קובץ ההנחיות, ולכן כל יצואן מפרש את ההנחיה בצורה אחרת. חלקם הגדול אף אינו מבין מה רוצים ממנו במלמ״ב. המגבלות, על פי ההנחיות החדשות, צריכות להיות רשומות בתעודת הזהות של המוצר. מדובר בתעודת זהות למוצר סייבר שהיא חלק מרפורמה שהשקיה רחלי חן, ראש אפ״י בשנים האחרונות, במטרה להקל על ייצוא מוצרי סייבר. 

המגבלות החדשות אינן חשופות ללקוח הסופי, אלא רק למשרד הביטחון. מגבלה נוספת היא למשל, הוכחה שהכלי לא עובד על מספרים אמריקאים המתחילים בקידמות +1. עם זאת, קידומת זו משמשת גם מספרים של מדינות אחרות באותה קידומת. שוב, גם כאן, כל יצואן יכול לפרש את ההנחיות לפי ראות עיניו. 

ממלכת חלם 

ההנחיות החדשות הן המשך לצורת פעולה אבסורדית של המשרד, ובמיוחד מלמ״ב, שמשאירים את היצואנים תלויים באוויר, ללא הנחיות מפורשות, מתוך כוונה ״להחזיק את היצואן בגרון״. 

כלומר, ההנחיות אינן מפורשות בכוונה תחילה, על מנת שההחלטה אם היצואן עבר על הכללים תהיה בלעדית של מלמ״ב ואפ״י. הרי בהעדר הנחיות מפורשת, שני הגופים הללו משאירים בידיים שלהם את ההחלטה הסופית. זאת, בלי שהמחלקות המשפטיות של היצואנים מסוגלות להבין בכלל מה דורשים מהן. 

יצויין כי מנכ״ל המשרד, אלוף (מיל׳) אמיר אשל ושר הביטחון החדש-ישן, בנימין גנץ, מעלימים עין משיטת עבודה פסולה זו. ובכך פוגעים באופן מעשי בייצוא הסייבר הישראלי. עוד יצויין, כי מלמ״ב הינו גוף שעובד ללא חקיקה מסדרת וללא פיקוח מעשי. בכך, הוא חורג מכל התרבות המשפטית והניהולית המקובלת בגופים ביטחוניים אחרים כמו המשטרה והשב״כ. 

מעבר לכך שהיצואן לא מבין מה רוצים ממנו והוא נתון לחסדי מלמ״ב ואפ״י, הכנסת מזהים חד ערכיים במוצרי סייבר ישראלים מפריעים ללקוחות החברות בעולם לבצע איסוף מודיעין חשאי באמצעות כלים אלו. בסייבר, איסוף מודיעין נעשה, לעיתים, תחת זהות של אחר במטרה להסוות את ייחוס הגורם האוסף. 

כאשר ישנם מזהים ייחודיים לכלים ישראלים, אלו יחשפו בסופו של דבר, ויחשפו את זהות יצרן הכלי ואולי את הקשר בינו לבין הלקוח שלו. ייחוס ודאי שכזה יציב את הלקוחות של הכלים הישראלים בפני חשיפה משפטית ופיננסית גדולה וייתכן ויקטין את הביקוש לכלים ישראלים בשוק הסייבר ההתקפי והאיסופי. 

פניתי למשרד הביטחון לתגובה. אם תתקבל, תפורסם כאן. 

אולי יעניין אותך גם

אריאל חרמוני | משרד הביטחון 

דעה | האם יש כשלים במנגנון הפיקוח על הייצוא של משרד הביטחון?

הגיע הזמן ליצור מנגנון שלא יהסס לאסור על חברה למכור תוכנת מעקב,  מזל"ט או מכ"ם למדינה או לשליט שמשטרו אינו עומד במבחן מינימלי של דמוקרטיה וערכים מערביים מקובלים. דן ארקין מטיל ספק במנגנון הפיקוח על הייצוא של משרד הביטחון