לראשונה: מש' הביטחון יפקח על מערכות סייבר ליצוא

המשמעות: הייצוא של רוב המערכות לשימוש התקפי ולאיסוף מודיעין יהיה כרוך בקבלת היתר מיוחד ממשרד הביטחון, בהליך הזהה ליצוא מערכות נשק

דובי לביא / צילום: איל יצהר
דובי לביא / צילום: איל יצהר

האגף לפיקוח על הייצוא הביטחוני במשרד הביטחון (אפ"י) מתכוון להגביר את הפיקוח על יצוא של מערכות להתקפות סייבר המפותחות בחברות ישראליות. לקראת הגברת הפיקוח, גיבש משרד הביטחון טיוטה ראשונה לצו המפרט את סוג המערכות שייצואן ללקוחות בעולם יהיה כרוך בקבלת היתר מראש ובהליך הזהה ליצוא של מערכות נשק. הטיוטה מפורסמת בימים האחרונים לתגובות הציבור.

בדברי ההסבר לטיוטה, שפרטיה נחשפים כאן לראשונה, נכתב כי ענף הסייבר הוא אחד השווקים הדינמיים ובעלי הפוטנציאל הגבוה ביותר במשק הישראלי. ואולם לצד היותו מנוע צמיחה כלכלי ואסטרטגי, במערכת הביטחון רואים במוצרים המפותחים בחברות ישראליות פוטנציאל לסיכון: "מוצרי סייבר עלולים להכיל טכנולוגיות ויכולות שעם נפילתן לידיים הלא נכונות יובילו לסיכון חמור לאינטרסים הביטחוניים והמדיניים של ישראל". גיבוש טיוטת הצו נמשך כשלוש שנים. נוסף על משרד הביטחון לקחו בו חלק נציגי משרדי החוץ, הכלכלה והתעשייה, המועצה לביטחון לאומי ומטה הסייבר הלאומי שבמשרד ראש הממשלה.

הפיקוח של מערכת הביטחון, מתוקף הצו המתגבש, יתמקד במערכות סייבר שלהן יכולות של חדירה והתקפה. לפי טיוטת הצו, מדובר במערכות המבוססות על תוכנה שפותחה או הותאמה למניעת גילויה על ידי כלי ניטור, או באופן שיאפשר לה להתגבר על מערכות הגנה של מחשב או מכשיר בעל יכולת קישור לרשת. לרשימת המוצרים שיהיו נתונים לפיקוח אפ"י יתווספו גם מערכות, ציוד ואביזרים שהותאמו כך שידמו שימוש, הפעלה או תקשורת עם תוכנת חדירה; מערכות, ציוד ורכיבים שתוכננו או הותאמו לטובת הגנה או ניטור של עורקי תקשורת ברמה הלאומית; וציוד ורכיבים המיועדים לביצוע פורנזיקה דיגיטלית, שלהם משמעויות שהוגדרו במערכת הביטחון "דרמטיות בעולם הביון".

בשבועות האחרונים הציג משרד הביטחון את הטיוטה לראשי החברות הביטחוניות בארץ. ארבע החברות הביטחוניות הגדולות - אלביט מערכות, רפאל מערכות לחימה מתקדמות, התעשייה הצבאית והתעשייה האווירית - העמיקו בשנים האחרונות את פעילותן בתחום הסייבר, וחלקן אף הקימו חטיבות לפיתוח של מערכות התקפה או מערכות הגנה בתחום זה.

ההגבלות הצפויות מצד משרד הביטחון יחולו על מערכות התקפיות שבכוחן להסב נזק, אך גם על המערכות שייעודן הוא לאפשר הדמיה של התקפת סייבר - בנימוק שאין למערכות הדמיה אלה תכלית מלבד השמשת יכולות התקפיות ברשת.

הצו המוצע עוסק גם בפיקוח על מוצרי הגנת סייבר שהותאמו לשימוש במערכות אסטרטגיות של כוחות ביטחון, באמצעי לחימה או למטרות ביון ברמה הלאומית. במערכת הביטחון סבורים כי הבהרות במסגרת הצו ימזערו או יעלימו את הסרבול הכרוך ביצוא של מוצרים הגנתיים ללקוחות אזרחיים וביצוא של מוצרים גנריים לכוחות ביטחון.

במערכת הביטחון סבורים כי מדובר בהסדרה מאוזנת שלא תפגע ביצואני סייבר הפועלים כחוק - והיא אף תסייע להם בפיזור עננת אי-הבהירות בשאלות של מותר ואסור בנושא: "עשינו אינטרקציה מוקדמת עם עשר חברות סייבר מובילות בארץ, ושילבנו את ההערות שלהן לנוסח הטיוטה המוצעת לצו הפיקוח", אמר היום ראש האגף לפיקוח על היצוא הביטחוני במשרד הביטחון, דובי לביא, "הפיקוח יהיה אך ורק על הדברים ההכרחיים. כמעט כל תחום מערכות ההגנה לא ידרוש פיקוח. 70%-80% מהמערכות המיועדות לאיסוף של מידע ולהתקפה, שהן מערכות נשק לכל דבר, יהיו בפיקוח".

לדברי לביא, במהלך עבודת המטה שקדמה לגיבוש טיוטת הצו הובא בחשבון הצורך של חלק מהחברות לפעול מול חברות-האם שלהן בחו"ל. במקרה זה, התקשורת בין חברה-אם לחברה-בת תפוקח וכך גם חברות בינלאומיות המחזיקות בישראל סניף. כך, לא יוחל פיקוח על מחקרי אקדמיה שהידע שלהם הוא נחלת הכלל. "אף שמשרד הביטחון נתפס כגוף שמרן, טיוטת החוק אינה שמרנית. שחררנו הרבה תחומים מפיקוח", אמר לביא.

גורמים ביטחוניים אמרו ל"גלובס" כי מדינות נוספות בעולם, בהן ארה"ב, שוקדות בימים אלה על גיבוש של צווי פיקוח ברוח דומה. כבר לפני שנים התבטאו בכירים במערכת הביטחון לגבי הצורך להטיל רגולציה על תעשייה זו. על פי הערכות, בישראל פעילות מעל ל-300 חברות העוסקות בפיתוח ובייצור של מערכות סייבר. היקף המכירות שלהן הוערך בעבר במיליארדי דולרים בשנה.