פרשנות | הממשל האמריקאי מקשיח פיקוח על ייצוא סייבר התקפי - וזה ישפיע על החלטות משרד הביטחון הישראלי

תא״ל (מיל׳) חנן גפן טוען כי בקרוב חברות סייבר התקפיות בישראל יצטרכו לבצע התאמות במוצרים וכן להמתין זמן ארוך יותר לאישורי שיווק וייצוא

פרשנות | הממשל האמריקאי מקשיח פיקוח על ייצוא סייבר התקפי - וזה ישפיע על החלטות משרד הביטחון הישראלי

bigstock

אקסיומה - האמריקאים שולטים בשוק המחשבים, האינטרנט והסייבר ומכירים אותו טוב יותר מכל אחד אחר. הם מקדימים מספר שנים בהבנת התחום. הממשל האמריקאי הוא זה המגדיר בפועל את כללי הסחר בתחום הסייבר וקובע גבולות המותר והאסור עבור העולם כולו. הנימוק המנחה - צורכי "בטחון לאומי" ו-"אנטי טרור". שתי הגדרות מרחיבות. 

דומה כי אמיתה זו התעמעמה קצת במשרדי הכלכלה, החוץ והבטחון בישראל בשנים האחרונות. אל מול הצלחת חברות הסייבר לסוגיהן וגלי החום של שוק ההון האמריקאי שבאו בעקבותיהם, ניהלו משרדי הממשלה מדיניות עצמאית שהלכה והתנתקה מהנעשה בעולם.

עתה עובדים במשרד הביטחון שעות נוספות כדי לתרגם לעברית את חוקי המשחק המנוסחים מחדש בוושינגטון. בראש וראשונה הגבלת היצוא לצרכנים מורשים בלבד וצמצום גדול ברשימת מדינות אליהן ניתן לייצא מוצרי סייבר. ההיסטוריה של פיקוח על יצוא מוצרי סייבר קצרה יחסית. 

תוכנה פולשנית

בשנת 2013 הוסיפו האמריקאים קטגוריה בנושא הסייבר, Cyber Security, להסכמי הפיקוח הבינלאומיים על היצוא (Wassenaar arrangement). הוגדרו אז מושגים בסיסיים כמו "תוכנה פולשנית" (intrusion software) ו"מערכות פיקוד ושליטה" על תוכנה כזו. נקבעו גם קטגוריות של מדינות עליהן מוטלות מגבלות יצוא מוצרי סייבר . 

האגף לתעשייה ובטחון במשרד המסחר האמריקאי, Bureau of Industry and Security (BIS) אמון על ניסוח תקנות היצוא האמריקאיות וטיפול בבקשות היצוא. האגף נמצא בין שני מוקדים. מצד אחד גורמי ממשל הפועלים בשם "הבטחון הלאומי" ו"מלחמה בטרור". החשובים ביניהם הם ארגוני המודיעין הגדולים NSA (ארגון הסיגינט והסייבר), הCIA והFBI. 

ארגונים אלה מעוניינים לשמור על היתרון היחסי של ארה"ב בתחום הסייבר. לעצור הפצה של יכולות מודיעיניות ולמנוע "שריפת מקורות". מנגד ניצבת תעשיית הסייבר האמריקאית המנסה לשמור על מרחב פעילות גדול, פטור ממגבלות יצוא ככל הניתן. עד לאחרונה הצליחה התעשייה לעצור הכללת שינויים משמעותיים נוספים של  תקנות היצוא.    

המסתייגים טענו כי התקנות אינן מתארות בדיוק מספיק את המוצרים הדורשים פיקוח, וכי ההגבלות על יצוא טכנולוגיה לפיתוח תוכנה פולשנית עשויות לפגוע בעדכוני תוכנה מרחוק, ביכולות ניהול, שליטה ובקרה של רשתות אינטרנט ובמאמצים לאיתור פרצות אבטחה. 

החמרת הפיקוח

בשנה האחרונה, הדברים החלו לנוע בקצב מהיר יותר. באוקטובר 2021 פרסם האגף לתעשיה ובטחון האמריקאי טיוטאת תקנות המחמירות את הפיקוח על מוצרי הסייבר ההתקפיים. התקנות אמורות להכנס לתוקף בעוד חודש.

חידושים בולטים בחוק, התייחסות מפורטת למערכות, ציוד, מכלולים,  תוכנה וטכנולוגיה אשר פותחו או עברו שינוי כדי ליצור, לפקד ולשלוט או לשגר "תוכנה פולשנית זדונית". מעל שישים דפים מנסים לצייר גבולות ברורים יותר ועדכניים. נעשה מאמץ גדול להבחין בין מערכות לגיטימיות המעדכנות תוכנה או עוקבות אחר פעילות זדונית לבין מערכות המחדירות תוכנות לצורך איסוף מידע שלא בידיעת המשתמשים והסכמתם. 

הוחמרה אף הדרישה מהחברות לוודא כי השימוש במוצריהן הוא לצרכנים מאושרים בלבד לפי הקטגוריות המופיעות בחוק. מעניין לציין כי החוק איננו אוסר או נוגע לפעילותם של פצחנים (Hackers). הדבר מובהר באופן מפורש בדף השאלות תשובות הארוך שמפרסם האגף לתעשייה ובטחון.

בפועל, התקנות החדשות משאירות תחום אפור גדול על אופן קטלוג מוצרים , הגדרת תכולות, צרכנים לגיטימיים ובעיקר אכיפה וטיפול בחריגות. לעורכי הדין של חברות בתחום תהיה תעסוקה רבה, רוח הדברים היא כי במקרה של ספק יש להחמיר.

אף כי התקנות ייכנסו לתוקף רק בחודש מרץ 2022 , הן כבר הופעלו עם הכללתן של מספר חברות סייבר ברשימה השחורה של משרד המסחר האמריקאי בנובמבר 2021 ולפי הבהילות בה הוציא משרד הבטחון הנחיות מחמירות.

חברות הסייבר ההתקפי יידרשו לעבור הרבה מכשולים בדרך לקבלת היתר יצוא, אם בכלל יזכו לקבלו בסוף תהליך ארוך ומיגע. בארץ ייתקלו החברות במשוכה גבוהה אף יותר של הרשויות המאשרות, מי שנכווה ברותחים נזהר בצוננים.

לא מעט חברות ישראליות הנושקות לתחומי הסייבר ההתקפי, יידרשו לבדוק עצמן מול ההגדרות החדשות ומול נחישות הממשל לאוכפן. חלקן יאלצו להגדיר מחדש את מוצריהן.

אולי יעניין אותך גם