אל דאגה: ישראל מתירה למכור סייבר התקפי כמעט לכל העולם 

מדינת ישראל מתירה ייצוא סייבר התקפי כמעט לכל העולם, כאשר משרד הביטחון בהחלטה חפוזה מקשיח פיקוח על מי שלא צריך. בינתיים, ההחלטה של המשרד צפויה לפגוע בעסקאות קיימות שטרם נסגרו ובפעילות חברות ישראליות בכנס ISS World Europe

אל דאגה: ישראל מתירה למכור סייבר התקפי כמעט לכל העולם 

bigstock

פרסומים שיצאו היום בתקשורת הישראלית טוענים כי ישראל אוסרת על ייצוא סייבר התקפי למדינות מסוימות בעולם. ובכן, למרות הכותרות, העובדות שונות. פרט למדינות המוגדרות מדינות אויב (נוהג שקיים עשרות שנים), ניתן לייצא סייבר התקפי לכל מדינה בעולם. 

המסלול הירוק 

אז מה בעצם השתנה? ובכן, השינוי בוצע במה שקרוי ״המסלול הירוק״. כלומר, מדינות ״מותרות״ שאליהן לא היה נדרש רישיון שיווק חוזר לעסקאות שונות. על מנת להבין את הטענה, יש לפרט את הליך הייצוא הביטחוני בישראל, שגם שוק הסייבר נופל תחתיו. 

בישראל יש את אגף אפ״י במשרד הביטחון שאחראי לפקח על הייצוא הביטחוני והדו-שימושי (מוצר שיכול לשמש לקוח ביטחוני או אזרחי). אפ״י קבע הליך פיקוח דו שלבי. לכל עסקה, נדרש רישיון שיווק וייצוא. רישיון השיווק נדרש מהשלב הראשון של העסקה, כאשר היצואן מעניין את הלקוח הפוטנציאלי. רישיון הייצוא נדרש כאשר רוצים לחתום על העסקה בפועל.  ישראל ייחודית בכך שהיא דורשת שני רישיונות לכל עסקה. 

על מנת להקל על הייצואנים, החליט משרד הביטחון על רפורמת ׳מסלול ירוק׳ שתקל את הליך השיווק. רישיון הייצוא נדרש בכל מקרה. מהו מסלול ירוק? ובכן, ראשית היצואן צריך להיות רשום במרשם היצואנים באפ״י. שנית, המוצר צריך להיות מוגדר בלתי מסווג (בלמ״ס) על ידי וועדה של אפ״י שמסווגת מוצרים. 

בנוסף, הרפורמה קבעה מספר מדינות מותרות מתוך ה-200 שיש בעולם. בתחילה הרשימה כללה 102 מדינות , לאחר מכן היא צומצמה במספר מדינות. הרשימה מאפשרת לשווק לאותן מדינות מותרות ללא בקשה חוזרת של רישיון שיווק לכל עסקה. כך היצואן חופשי לשווק וצריך רישיון ייצוא רק בשלב חתימת העסקה. 

סיכום ביניים: אם אתה יצואן רשום, המוצר שלך בלמ״ס ואתה משווק לאחת ממדינות הרשימה, אתה פטור מבקשות רישיון שיווק חוזרות. אם הגעת לחתימת עסקה, אתה צריך רישיון ייצוא. זה ללא שינוי. 

מקשיחים פיקוח, על מי שלא צריך

על מה הכותרות? לפני כשבועיים החליט משרד הביטחון לצמצם את רשימת המדינות המותרות, רק לחברות סייבר התקפי. כלומר, כל מוצר בלמ״ס אחר, ממשיך כרגיל לרשימה המלאה. בספק אם המהלך הזה חוקי בכלל, כי התקנות של הרפורמה הגדירו שיש רשימת מדינות מותרות והיא תקפה לכל מוצרי הבלמ״ס - ללא אפליה. ההחלטה העדכנית מפלה לרעה מוצרי סייבר התקפי, זאת ללא שינוי חקיקה. 

המשמעות היא שחברות סייבר התקפי, שנמצאות עם מוצר במסלול הירוק, יכולות להנות מחופש שיווק למספר יותר קטן של מדינות ביחס ללפני שבועיים. במילים אחרות, משרד הביטחון יכול להראות לאמריקאים שהנה, הוא מקשיח פיקוח על סייבר התקפי. כעת, כל עסקה למדינות שאינן ברשימה דורשת רישיון שיווק. 

מדובר, ככל הנראה, במהלכים שעושה המשרד על מנת לנסות להוציא את NSO וקנדירו מרשימת הפיקוח של משרד המסחר האמריקאי. לפחות במקרה של NSO, בגלל התנהלות חובבנית של משרד הביטחון, היא נכנסה לרשימה מלכתחילה. ייתכן והמהלך נועד גם עבור הצרפתים שרוצים לראות שהמשרד עושה משהו. אזכיר כי לחברות צרפתיות אין מגבלות לרגל בישראל. גם לא לאמריקאיות. 

פגיעה בייצוא הישראלי

ההחלטה החפוזה של משרד הביטחון מעלה תהיות מה קורה עם עסקאות קיימות. בעוד מספר ימים (תחילת דצמבר) אמור להתחיל כנס עולם התקיפה בשם ISS World Europe, שכל שנה נצפית בו נוכחות ישראלית מרשימה. על פי הכללים של משרד הביטחון, אם עושים דמו בדוכן - זה מותר. אם עושים דמו פרטי - זה דורש רישיון שיווק. אתם מכירים לקוח שיהיה מוכן לדמו ציבורי של כלי תקיפה? צדקתם. אין כזה. 

כמה זמן לוקח להוציא רישיון שיווק? בממוצע כשלושה חודשים מרגע הבקשה. אם עושים את המתמטיקה, יוצא שההחלטה של משרד הביטחון כנראה הרסה להרבה חברות ישראליות עסקים ב-ISS World Europe. רשימת ה-37 מדינות המותרות, הן לאו דווקא אלו שקונות סייבר התקפי ישראלי, לכן הן נשארו ברשימה מלכתחילה. 

ומה קורה עם עסקאות שכבר התקדמו ויש תיאום לדמו אצל הלקוח או בארץ? עכשיו החברות צריכות לבטל את כל מהלכי השיווק שנעשו עד לפני שבועיים, עם כל הלקוחות הפוטנציאלים שלהם, ולבקש עבור כל עסקה כמעט רישיון שיווק. האם משרד הביטחון חושב שחברות סייבר התקפי פועלות בשוק ללא תחרות? מה יעשה לקוח שפתאום צריך לחכות שלושה חודשים לדמו שהובטח לו לפני שבועיים? 

זאת ועוד, אלו שעוקבים אחרי הפרסומים בתקשורת סביב סייבר התקפי ישראלי בחודשים האחרונים, נחשפו לשמות המדינות שלכאורה הפעילו כלי תקיפה ישראלים. חלק ממדינות אלו ממוקם במפרץ, צפון אפריקה, אסיה או אפריקה. ביניהן, נתח גדול גם ככה לא היה ברשימת המדינות המותרות בכל מקרה. 

רוצה לומר, אם פלוני יעשה הצלבה בין המדינות שמשווקים אליהן כלי תקיפה בסייבר, לבין רשימת המדינות המותרות המקורית, הוא יראה שיש כנראה מתאם קטן. במציאות, עבור מדינות אלו גם ככה היה צריך רישיון שיווק לכל עסקה. אז מה תרם בדיוק המהלך של המשרד בפועל? שוב, המהלך כנראה מיועד לאוזניים בוושינגטון ופריז. 

אין ספק כי משרד הביטחון נמצא בלחץ. כותרות שליליות סביב חברות ביטחוניות ישראליות, באירופה וארה״ב, דורשות פעולה. גם היא רק למראית עין. בפועל, חברות ישראליות יכולות לשווק ולייצא סייבר התקפי לכל העולם פרט למדינות אויב גם אחרי ההחלטה לצמצם את רשימת המדינות המותרות לשוק זה. זה פשוט יקח להן יותר זמן להשיג את הרישיונות ויפגע בכושר התחרות שלהן מול חברות סייבר התקפי מצרפת וארה״ב. 

רשימת המדינות המותרות לייצוא סייבר התקפי (אלו שלא נדרש להן רישיון שיווק חוזר) לפי פרסום של כלכליסט: 

אוסטריה, איטליה, איסלנד, אירלנד, אסטוניה, בולגריה, בלגיה, בריטניה, גרמניה, דנמרק, הולנד, יוון, לוקסמבורג, לטביה, ליטא, ליכטנשטיין, מלטה, נורבגיה, סלובניה, סלובקיה, ספרד, פורטוגל, פינלנד, צ'כיה, צרפת, קרואטיה, קפריסין, רומניה, שוודיה, שווייץ, אוסטרליה, הודו, יפן, ניו זילנד, דרום קוריאה, ארצות הברית וקנדה.