רגולציה על הסייבר: אליה וקוץ בה
הצו החדש על פיקוח הייצוא על תחום הסייבר שנדון בימיים אלה הוא יוזמה מבורכת, אך חלקים ממנו עשויים לגרום לחברות הישראליות נזק בשוק הבינלאומי
קראו עוד בכלכליסט
הרעיון מאחורי הצו הוא נכון ונחוץ: למנוע מטכנולוגיות סייבר שיכולות לשמש כנשק מלהגיע לידיים עוינות בחו"ל. בימינו, קוד יכול לגרום נזק בדיוק כמו קליע או פצצת מצרר: נטרול תשתיות חיוניות (אנרגיה, בתי חולים וכו'), מחיקת מידע או תמרונו, ריגול המוני שיכול לסכן חיי אדם ועוד. המדינה רוצה לשמור על האינטרסים שלה, בדיוק כפי שלא היתה מאפשרת לחברה למכור פצצה חכמה ישראלית לאיראן.
בארץ יש כמה חברות שמפתחות כלי האקינג מתקדמים עבור גופים מדיניים - ואף מוכרות אותם בצורה חופשית למדי בלי להתעמק בהשלכות של הכלים האמורים על חיי אדם. בטוחני שאף ישראלי לא רוצה לפתוח עיתון באיזה בוקר ולקרוא שאיזה משטר אפל צד את אזרחיו באמצעות מידע שאסף דרך מוצר ישראלי; מדינתנו היא לא הילד הכי מקובל בכיתה גם כך. את הפעילות הזו, מכירת מוצרי סייבר התקפיים, רצוי וראוי להגביל. אני סבור שזה לא אתי למכור מוצרים שמסכנים חיי אדם או מגבילים את החירות הטבעית שלהם - וטוב שגם מטה הסייבר רואה זאת כך. אבל הצו המתוכנן כולל גם סעיף מסוכן, שמנקודת המבט המסחרית עלול להיות הרסני: נוסחו הנוכחי לא מבדיל בין מוצרי סייבר הגנתיים והתקפיים וכולל הגבלה פראית על הפצת טכנולוגיות פורנזיות - אחד האלמנטים החיוניים ביותר לכל ארגון באשר הוא בהתמודדות עם פושעי סייבר למיניהם. כמו כן, הצו עשוי להרתיע משקיעי הון סיכון: אף אחד לא ישים כסף על סטארט-אפ ישראלי כאשר פוטנציאל ההתרחבות שלו מוגבל. התרופה אסורה, קחו פלסטר
תחום הפורנזיקה מתבסס על התחקות אחר צעדי האקרים: מה עשו כשנכנסו למערכת, כיצד נכנסו, באילו נקודות תורפה השתמשו, באילו נוזקות וכו'. ניתוח של אלמנטים אלה הוא זה שמאפשר לחברות האבטחה לשפר את ההגנה על הלקוחות ולהבטיח שההאקר שנעצר אתמול לא יפרוץ מחדש מחר.
התחום הוא גם אחד המנועים החשובים ביותר לצמיחת שוק הסייבר העולמי: כשנקודת תורפה, שיטת פריצה או כנופיית האקרים חדשות מתגלות, מפיצות חברות הסייבר את המידע הזה בתעשייה כולה, כדי שחברות אחרות יוכלו להגן על הלקוחות שלהן. למעשה, הגבלת הפצת טכנולוגיית פורנזיקה שקולה למניעת הפצה בינלאומית של תרופה למחלה מסוכנת. נוסח הצו הנוכחי מתאר בצדק את שוק הסייבר הישראלי כ"מנוע צמיחה אסטרטגי", אך גם מתייחס ליכולות פורנזיות כמחייבות מגבלות שונות משום שיש להן "חשיבות גדולה בעולם הביון"; הבה נבחן זאת.
לפי כל דין, האחריות על אבטחת מידע מוטלת על המחזיק בו; כל חברה חשופה למתקפות של האקרים צבאיים שמפעילות מדינות, פושעי סייבר מיומנים, האקרים חובבים והאקטיביסטים - וחייבת להתגונן. עבור ארגונים בעולם, כלי הפורנזיקה חיוניים להגנת רשתות ומכשירים. לפיכך, יפסלו מראש חברות סייבר שלא יוכלו להציע פתרונות שכאלה. שירותי פורנזיקה קשורים בטבורם למוצרי אבטחה רבים אחרים, בהיותם רכיב משלים להתמודדות עם כל מתקפה וטכנולוגיה בסיסית מאחורי סוגים רבים של טכנולוגיות הגנה אחרות. איסור מכירתם יאלץ יזמים הישראלים לבצע שינויים מאסיביים במוצרים ויתכן שחברות ייסגרו משום שפשוט לא יוכלו להתחרות בשוק העולמי. הברירה היחידה שתישאר להם תהיה העברת הפעילות לחו"ל - מה שיאיץ את "בריחת המוחות" שמנסה המדינה למנוע.ארה"ב הבינה זאת מזמן: במקור כללה ידידתנו מוצרי סייבר הגנתיים במגבלות אמנת ווסנר (Wasenaar), שנועדה להגביל תפוצה של מוצרים שיכולים לשמש ככלי נשק. לאחר שעמק הסיליקון הסביר למחוקקים את הבעייתיות הטמונה בכך, החלו מחוקקים בעבודת מטה לשינוי האמנה.
הגיע הזמן לפעולומה עם ארגוני הביון הנ"ל? הם לא צריכים את טכנולוגיית הפורנזיקה הישראלית כדי להשלים מבצעים או להתגונן מפני תוקפים; המוצרים זמינים בשוק לכל דורש וגם אינם יקרים במיוחד. גם אם היתה ממציאה חברה ישראלית שיטת פורנזיקה חסרת תקדים, הדינמיות של השוק מבטיחה שכלי בעל יכולות זהות יצוץ במהירות מפתיעה, מוכן לרכישה והפעלה. בפועל, מדינת אויב שרוצה למצוא שימוש צבאי לפורנזיקה תעשה זאת ולא תושפע כלל ממגבלות ייצוא ישראליות.
בדומה לממשלת ארה"ב, גם מטה הסייבר רואה את המורכבות של הצו ולכן קרא לתעשיית הסייבר הישראלית להתייחס, להעיר, לשאול ולהסביר. עתה הגיע תורנו לפעול: כל המומחים העצמאיים, כל הסטארט-אפיסטים, כל נציגי החברות הגדולות. עלינו לקום ולסייע למטה הסייבר לבנות את מגבלות הייצוא באופן שלא יגרור פגיעה רוחבית במפעל הסייבר הישראלי - ועדיין למנוע ממוצרי סייבר התקפיים מלהגיע לידיים עוינות.
יזמים וגורמים בתעשיית הסייבר הישראלית מוזמנים לפנות למייל: regulation@cymmetria.com, לבניית מהלך משותף.
הכותב הינו מנכ"ל חברת הסייבר Cymmetria
לא התפרסמו תגובות לכתיבת תגובה