״חברות בשוק הסייבר ההתקפי יושבות על הגדר בשל האי וודאות הנוכחית״
עו"ד שמעון אבירן ממשרד תדמור-לוי, לשעבר יועמ״ש משרד הביטחון, טוען כי משטר הפיקוח על הייצוא בישראל מהודק, אך הכותרות בארה״ב סביב חברות סייבר ישראליות עלולות להדק אותו יותר. בינתיים, חברות תקיפה יושבות על הגדר
עמי רוחקס דומבה
| 17/11/2021
bigstock
עו"ד שמעון אבירן ממשרד תדמור-לוי הוא אחד הבודדים בארץ שעוסק בתחום הייצוג המשפטי של חברות ביטחוניות. יחד איתו אפשר למנות עוד מספר משרדי עו״ד בודד, פחות מיד אחת במספרם הכולל, שמייצגים חברות מתחום הביטחון בישראל. בין שמדובר בחברות שמייצאות מוצרי סייבר או מערכות ביטחוניות לסוגיהן.
מקרה מיוחד
לאור הכותרות האחרונות סביב NSO וקנדירו, ישבתי עם אבירן לשיחה פתוחה. ״המקרה של NSO הוא משל לכל התעשייה״, אומר אבירן. ״צריך לזכור ש-NSO עבדה על פי חוק ועשתה הכל נכון. הלקוח שלה עשה שימוש לרעה במוצר בניגוד לרישיון והיא נקלעה כעת לאירוע בארה״ב. זה מקרה מאד מיוחד שלא זכורים לי הרבה כמוהו״, אומר אבירן.
והוא יודע על מה הוא מדבר. אבירן כיהן כיועמ״ש משרד הביטחון במשך 43 שנים. הוא עבד מול כלל האגפים של המשרד, כולל אפ״י, סיב״ט, מלמ״ב ואחרים. אבירן הוא גם זה שהוביל, בסוף שנות ה-80 המאוחרות, את בניית מודל ה-G2G המשמש עד היום את משרד הביטחון בעסקאות ביטחון מול מדינות זרות.
[שמעון אבירן. צילום: תומר יעקבסון]
״חוץ מ-NSO יש עוד עשרות חברות בארץ ובעולם שעובדות כדין בתחום הסייבר ההתקפי. כנראה שיש עוד עשרות בעולם שעושות זאת בצורה לא חוקית. זה תחום שמגלגל הרבה מאד כסף״, מסביר אבירן.
״בהקשר המקרה המסוים, פגסוס אינה תוכנה חדשה. אני מכיר אותה לפחות עשור. חברת NSO עובדת על פי חוק, יש לה רישיונות והיא בתאום אם אפ״י. הבעיה היא לא המוצר, אלא השימוש של לקוח הקצה. ככל הנראה בוצע שימוש שלא על פי הרישיון.״
חולשה בפיקוח: קפריסין
אפרופו דיונים על סייבר התקפי, אחת החולשות בפיקוח על הייצוא היא פעילות של ישראלים בקפריסין, בהעצמת עין של משרד הביטחון. כבר עשרות שנים. חולשה נוספת היא מימוש סעיף 22, במשמעות פיקוח על עסקאות תיווך.
מה קורה בקפריסין? ובכן, פרט לכך שמשלמים פחות מס חברות מישראל, אפשר לפעול במדינה כמעט ללא פיקוח על הייצוא. במילים אחרות, במקום לפעול מישראל עם הפיקוח של המשרד והשקעה לא מבוטלת של כספים במחלקה משפטית ורגולציה, אפשר לעבור לקפריסין ולהרוויח הרבה יותר כסף. גם מוכרים יותר, גם מוציאים פחות וגם משלמים פחות מיסים.
״קפריסין היא רק דוגמא. יש עוד מדינות שאפשר לפעול בהן בצורה דומה כמו הולנד, בולגריה, ועוד. צריך לזכור כי קפריסין היא לא בדיוק פתרון חוקי. המוח לא נמצא בלימסול אלא בתל אביב. ייצוא ביטחוני כולל גם את הידע. והידע יצא מתל אביב. אף אחד לא מפתח בלימסול או לרנקה. עם זאת, עבור משרד הביטחון, להתלבש על זה - מורכב וקשה״, מסביר אבירן.
על פי אבירן, יש עו״ד בישראל שממליצים לחברות לעבור לקפריסין. שזה חוקי. כאמור, זה לא ממש חוקי. בחוק הפיקוח על הייצוא יש סעיף שמחייב את המשרד לפקח גם על עסקאות תיווך. כלומר, אם אתה ישראלי, שגר בקפריסין, ותיווכת בעסקה בין חברה בבולגריה לחברה בדובאי, אתה עדיין כפוף לפיקוח של אפ״י. למרות שאתה גר מחוץ לישראל.
הבעיה? משרד הביטחון מעולם לא אכף את הסעיף הזה. ״סעיף התיווך הוא בעייתי לאכיפה עבור המשרד. משנת 2007 המשרד לא הפעיל אותו. הוא לא הצליח מסיבות שונות. לוביזם, אינטרסים וכו׳. בפועל, יש פיקוח בעסקאות תיווך רק כאשר הן מבוצעות מול מדינות אויב או מדינות הנמצאות תחת סנקציות״, מסביר אבירן.
משטר פיקוח ייחודי
בישראל קיים משטר פיקוח ייחודי - דו שלבי. צריך רישיון שיווק וגם ייצוא. בנוסף, יש מסלול ירוק המחייב אותך להירשם כייצואן, המוצר צריך להבדק ולקבל אישור שהוא בלמ״ס והמדינה לה מוכרים צריכה להיות ברשימת המדינות המותרות. במסלול הירוק אין צורך ברישיון שיווק לכל פעולה, עובדה המאפשרת ליצואן יותר גמישות בהליך המכירה מול לקוח.
״הפיקוח בישראל, באופן יחסי למדינות אחרות, מאד הדוק ודו שלבי. על השיווק ועל הייצוא, כאשר המטרה להגן על טכנולוגיה מסווגת וגם על זליגה למדינות שאינן מותרות. אבל הוא הליך מורכב. אם צריך רישיון דו ראשי, וזה לא מסלול ירוק, אישור רישיון יכול לקחת גם חצי שנה ויותר״, מסביר אבירן.
״הלקוחות לא יכולים לחכות חצי שנה לאפ״י. זה שם אותם במקום של חוסר רלוונטיות מול הלקוח. יש במשרד מגבלת כוח אדם באופן כללי וגם של אנשי מקצוע. לכן כל אישור לוקח הרבה זמן. עם זאת, צריך לזכור שהאחריות היא על מבקש הרישיון. אפ״י דורש ממך להכיר את החוק ואתה צריך להגיד למשרד מה לבדוק. המנגנון בנוי על אמון ביצואן וסנקציות קשות אם תופסים אותך משקר. אפ״י נותן בשנה עשרות אלפי רישיונות. לא בודקים לעומק כל אחד.״
עסקאות G2G
לצד מודל פיקוח ייחודי, מדינת ישראל המציאה גם מנגנון ייחודי בתמיכה בעסקאות תחת השם G2G או ״מדינה מול מדינה״. אבירן, כזה שייסד את המנגנון במשרד הביטחון בשנות ה-80, מסביר כי הוא הומצא כדי להתמודד עם עסקה גדולה וחשובה לתעשיות הביטחוניות.
״באותן שנים המדינה הייתה צריכה כסף למו״פ ביטחוני, והייתה עסקה עם מדינה מסוימת שעלתה על שרטון מול התעשייה המסוימת. הגורמים בצד השני רצו לבטל אותה ואנחנו רצינו לשמור עליה בכל מחיר. התייעצנו עם הלקוח והוא טען שאם המשרד לוקח את המחויבות של התעשייה, הוא יתקדם איתנו״, מסביר אבירן.
״כך נולד מודל G2G המשמש את המשרד עד היום מול עשרות מדינות. המודל לא הכשיל עסקה פעם אחת. היו אתגרים וקשיים לאורך השנים בעסקאות שונות ותמיד נמצא פתרון. אחד מתוצרי הלוואי הטובים שלו הוא שזה מנגנון שמונע שוחד, אבל לא זו הסיבה שהמציאו אותו, כאמור. ישנו מנגנון G2G מקביל למפא״ת וסיב״ט. הראשונה מוכרת מוצרים עתידיים והשנייה מוצרים מהמדף, בהתאמה.
״בזכות הערוץ הזה אין מכרז בינלאומי, כך שזה תורם לחברות הישראליות. זה גם ערוץ שמושך מדינות זרות לעשות עסקים עם ישראל, מכיוון שהוא ייחודי בעולם. יש לך גב של ממשלה לעסקה. בארה״ב יש משהו דומה, אבל רק בהיבט הפיננסי. לחברות אין גם צורך בערבויות כי המשרד נותן או במקדמה ואין מו״מ כספי. לעומת זאת, בעסקה רגילה אין אחריות למשרד בכלל.״
ייתכנו שינויים בפיקוח בסייבר
נחזור לכותרות סביב סייבר התקפי. מה אפשר לעשות עם זה? ובכן, אבירן מסביר כי לגבי העבר אין הרבה מה לעשות. אם הלקוח מפר רישיון, הרישיון אמור להלקח ממנו. גם לאפ״י אין טענות כלפי החברה. ״עם זאת, בגלל הסערה התקשורתית, ייתכן ובעתיד התחום הזה יהיה יותר מפוקח בכל העולם. לא רק בישראל״, מסביר אבירן.
האם אתה רואה עולם שבו כלי סייבר כאלו הופכים להיות לא חוקיים כמו פצצות מצרר נניח? אבירן מסביר כי קשה לדמיין מציאות כזו. ארגוני ביון וביטחון מסביב לעולם צריכים כלים כאלו לעקוב אחרי פשע, טרור, ריגול זר.
״ייתכן שהרגולוציה תהיה יותר הדוקה. אולי יהיה סדר או פיקוח שונה מהיום. ייתכן וימנעו מלקוחות הקצה פעולות כאלו או אחרות במערכת. יש בימים אלו דיונים בארץ ובעולם מה לעשות בנושא. יש גם דיונים עם האמריקאים. זה ייפתר בדרך כלשהי״, אומר אבירן.
״מגמה נוספת שרואים בתחום בחודשים האחרונים היא חברות שמפרידות בין הפעילות האזרחית לביטחונית. על מנת לא לצבוע את כל החברה בסייבר התקפי. בצורה כזו, אם יש בעיות בביטחוני, האזרחי ממשיך לעבוד.
״יש כיום חברות בתחום שיושבות על הגדר. יש חשש מהאי וודאות במשרד הביטחון. כיצד הוא יגיב. יש חוזים שעומדים לחתום עם מדינות באופן חוקי ואף אחד לא יודע מה יקרה. זה תחום עם הרבה כסף ובימים אלו, כאמור, עם הרבה אי וודאות.״
עו"ד שמעון אבירן ממשרד תדמור-לוי, לשעבר יועמ״ש משרד הביטחון, טוען כי משטר הפיקוח על הייצוא בישראל מהודק, אך הכותרות בארה״ב סביב חברות סייבר ישראליות עלולות להדק אותו יותר. בינתיים, חברות תקיפה יושבות על הגדר
bigstock
עו"ד שמעון אבירן ממשרד תדמור-לוי הוא אחד הבודדים בארץ שעוסק בתחום הייצוג המשפטי של חברות ביטחוניות. יחד איתו אפשר למנות עוד מספר משרדי עו״ד בודד, פחות מיד אחת במספרם הכולל, שמייצגים חברות מתחום הביטחון בישראל. בין שמדובר בחברות שמייצאות מוצרי סייבר או מערכות ביטחוניות לסוגיהן.
מקרה מיוחד
לאור הכותרות האחרונות סביב NSO וקנדירו, ישבתי עם אבירן לשיחה פתוחה. ״המקרה של NSO הוא משל לכל התעשייה״, אומר אבירן. ״צריך לזכור ש-NSO עבדה על פי חוק ועשתה הכל נכון. הלקוח שלה עשה שימוש לרעה במוצר בניגוד לרישיון והיא נקלעה כעת לאירוע בארה״ב. זה מקרה מאד מיוחד שלא זכורים לי הרבה כמוהו״, אומר אבירן.
והוא יודע על מה הוא מדבר. אבירן כיהן כיועמ״ש משרד הביטחון במשך 43 שנים. הוא עבד מול כלל האגפים של המשרד, כולל אפ״י, סיב״ט, מלמ״ב ואחרים. אבירן הוא גם זה שהוביל, בסוף שנות ה-80 המאוחרות, את בניית מודל ה-G2G המשמש עד היום את משרד הביטחון בעסקאות ביטחון מול מדינות זרות.
[שמעון אבירן. צילום: תומר יעקבסון]
״חוץ מ-NSO יש עוד עשרות חברות בארץ ובעולם שעובדות כדין בתחום הסייבר ההתקפי. כנראה שיש עוד עשרות בעולם שעושות זאת בצורה לא חוקית. זה תחום שמגלגל הרבה מאד כסף״, מסביר אבירן.
״בהקשר המקרה המסוים, פגסוס אינה תוכנה חדשה. אני מכיר אותה לפחות עשור. חברת NSO עובדת על פי חוק, יש לה רישיונות והיא בתאום אם אפ״י. הבעיה היא לא המוצר, אלא השימוש של לקוח הקצה. ככל הנראה בוצע שימוש שלא על פי הרישיון.״
חולשה בפיקוח: קפריסין
אפרופו דיונים על סייבר התקפי, אחת החולשות בפיקוח על הייצוא היא פעילות של ישראלים בקפריסין, בהעצמת עין של משרד הביטחון. כבר עשרות שנים. חולשה נוספת היא מימוש סעיף 22, במשמעות פיקוח על עסקאות תיווך.
מה קורה בקפריסין? ובכן, פרט לכך שמשלמים פחות מס חברות מישראל, אפשר לפעול במדינה כמעט ללא פיקוח על הייצוא. במילים אחרות, במקום לפעול מישראל עם הפיקוח של המשרד והשקעה לא מבוטלת של כספים במחלקה משפטית ורגולציה, אפשר לעבור לקפריסין ולהרוויח הרבה יותר כסף. גם מוכרים יותר, גם מוציאים פחות וגם משלמים פחות מיסים.
״קפריסין היא רק דוגמא. יש עוד מדינות שאפשר לפעול בהן בצורה דומה כמו הולנד, בולגריה, ועוד. צריך לזכור כי קפריסין היא לא בדיוק פתרון חוקי. המוח לא נמצא בלימסול אלא בתל אביב. ייצוא ביטחוני כולל גם את הידע. והידע יצא מתל אביב. אף אחד לא מפתח בלימסול או לרנקה. עם זאת, עבור משרד הביטחון, להתלבש על זה - מורכב וקשה״, מסביר אבירן.
על פי אבירן, יש עו״ד בישראל שממליצים לחברות לעבור לקפריסין. שזה חוקי. כאמור, זה לא ממש חוקי. בחוק הפיקוח על הייצוא יש סעיף שמחייב את המשרד לפקח גם על עסקאות תיווך. כלומר, אם אתה ישראלי, שגר בקפריסין, ותיווכת בעסקה בין חברה בבולגריה לחברה בדובאי, אתה עדיין כפוף לפיקוח של אפ״י. למרות שאתה גר מחוץ לישראל.
הבעיה? משרד הביטחון מעולם לא אכף את הסעיף הזה. ״סעיף התיווך הוא בעייתי לאכיפה עבור המשרד. משנת 2007 המשרד לא הפעיל אותו. הוא לא הצליח מסיבות שונות. לוביזם, אינטרסים וכו׳. בפועל, יש פיקוח בעסקאות תיווך רק כאשר הן מבוצעות מול מדינות אויב או מדינות הנמצאות תחת סנקציות״, מסביר אבירן.
משטר פיקוח ייחודי
בישראל קיים משטר פיקוח ייחודי - דו שלבי. צריך רישיון שיווק וגם ייצוא. בנוסף, יש מסלול ירוק המחייב אותך להירשם כייצואן, המוצר צריך להבדק ולקבל אישור שהוא בלמ״ס והמדינה לה מוכרים צריכה להיות ברשימת המדינות המותרות. במסלול הירוק אין צורך ברישיון שיווק לכל פעולה, עובדה המאפשרת ליצואן יותר גמישות בהליך המכירה מול לקוח.
״הפיקוח בישראל, באופן יחסי למדינות אחרות, מאד הדוק ודו שלבי. על השיווק ועל הייצוא, כאשר המטרה להגן על טכנולוגיה מסווגת וגם על זליגה למדינות שאינן מותרות. אבל הוא הליך מורכב. אם צריך רישיון דו ראשי, וזה לא מסלול ירוק, אישור רישיון יכול לקחת גם חצי שנה ויותר״, מסביר אבירן.
״הלקוחות לא יכולים לחכות חצי שנה לאפ״י. זה שם אותם במקום של חוסר רלוונטיות מול הלקוח. יש במשרד מגבלת כוח אדם באופן כללי וגם של אנשי מקצוע. לכן כל אישור לוקח הרבה זמן. עם זאת, צריך לזכור שהאחריות היא על מבקש הרישיון. אפ״י דורש ממך להכיר את החוק ואתה צריך להגיד למשרד מה לבדוק. המנגנון בנוי על אמון ביצואן וסנקציות קשות אם תופסים אותך משקר. אפ״י נותן בשנה עשרות אלפי רישיונות. לא בודקים לעומק כל אחד.״
עסקאות G2G
לצד מודל פיקוח ייחודי, מדינת ישראל המציאה גם מנגנון ייחודי בתמיכה בעסקאות תחת השם G2G או ״מדינה מול מדינה״. אבירן, כזה שייסד את המנגנון במשרד הביטחון בשנות ה-80, מסביר כי הוא הומצא כדי להתמודד עם עסקה גדולה וחשובה לתעשיות הביטחוניות.
״באותן שנים המדינה הייתה צריכה כסף למו״פ ביטחוני, והייתה עסקה עם מדינה מסוימת שעלתה על שרטון מול התעשייה המסוימת. הגורמים בצד השני רצו לבטל אותה ואנחנו רצינו לשמור עליה בכל מחיר. התייעצנו עם הלקוח והוא טען שאם המשרד לוקח את המחויבות של התעשייה, הוא יתקדם איתנו״, מסביר אבירן.
״כך נולד מודל G2G המשמש את המשרד עד היום מול עשרות מדינות. המודל לא הכשיל עסקה פעם אחת. היו אתגרים וקשיים לאורך השנים בעסקאות שונות ותמיד נמצא פתרון. אחד מתוצרי הלוואי הטובים שלו הוא שזה מנגנון שמונע שוחד, אבל לא זו הסיבה שהמציאו אותו, כאמור. ישנו מנגנון G2G מקביל למפא״ת וסיב״ט. הראשונה מוכרת מוצרים עתידיים והשנייה מוצרים מהמדף, בהתאמה.
״בזכות הערוץ הזה אין מכרז בינלאומי, כך שזה תורם לחברות הישראליות. זה גם ערוץ שמושך מדינות זרות לעשות עסקים עם ישראל, מכיוון שהוא ייחודי בעולם. יש לך גב של ממשלה לעסקה. בארה״ב יש משהו דומה, אבל רק בהיבט הפיננסי. לחברות אין גם צורך בערבויות כי המשרד נותן או במקדמה ואין מו״מ כספי. לעומת זאת, בעסקה רגילה אין אחריות למשרד בכלל.״
ייתכנו שינויים בפיקוח בסייבר
נחזור לכותרות סביב סייבר התקפי. מה אפשר לעשות עם זה? ובכן, אבירן מסביר כי לגבי העבר אין הרבה מה לעשות. אם הלקוח מפר רישיון, הרישיון אמור להלקח ממנו. גם לאפ״י אין טענות כלפי החברה. ״עם זאת, בגלל הסערה התקשורתית, ייתכן ובעתיד התחום הזה יהיה יותר מפוקח בכל העולם. לא רק בישראל״, מסביר אבירן.
האם אתה רואה עולם שבו כלי סייבר כאלו הופכים להיות לא חוקיים כמו פצצות מצרר נניח? אבירן מסביר כי קשה לדמיין מציאות כזו. ארגוני ביון וביטחון מסביב לעולם צריכים כלים כאלו לעקוב אחרי פשע, טרור, ריגול זר.
״ייתכן שהרגולוציה תהיה יותר הדוקה. אולי יהיה סדר או פיקוח שונה מהיום. ייתכן וימנעו מלקוחות הקצה פעולות כאלו או אחרות במערכת. יש בימים אלו דיונים בארץ ובעולם מה לעשות בנושא. יש גם דיונים עם האמריקאים. זה ייפתר בדרך כלשהי״, אומר אבירן.
״מגמה נוספת שרואים בתחום בחודשים האחרונים היא חברות שמפרידות בין הפעילות האזרחית לביטחונית. על מנת לא לצבוע את כל החברה בסייבר התקפי. בצורה כזו, אם יש בעיות בביטחוני, האזרחי ממשיך לעבוד.
״יש כיום חברות בתחום שיושבות על הגדר. יש חשש מהאי וודאות במשרד הביטחון. כיצד הוא יגיב. יש חוזים שעומדים לחתום עם מדינות באופן חוקי ואף אחד לא יודע מה יקרה. זה תחום עם הרבה כסף ובימים אלו, כאמור, עם הרבה אי וודאות.״
