הסייבר ההתקפי הישראלי מתקשה בייצוא
| צילום: שאטרסטוק
ניתוח
הסייבר הישראלי מצטמק: מ-18 ל-6 יצרניות רוגלה בתוך שנה
סגירת QuaDream היא עדות נוספת להתכווצות תעשיית ריגול הסייבר הישראלית שמובילה בעולם. מרבית החברות הישראליות שפעלו בתחום נסגרו או יצאו ממנו בשנה האחרונה גם בשל הגבלת אישורי הייצוא של משרד הביטחון. במקביל, בארה"ב קמות עשרות חברות סייבר התקפי
המצב בקוודרים (QuaDream) לא היה טוב כבר כמה חודשים. מפתחת תוכנות הריגול הישראלית הייתה בין השחקניות המשמעותיות בתחום בישראל ובכלל, כשלפי מקורות היא עשתה עסקים בעיקר עם מדינות ערב ובאפריקה. תוכנת הריגול שלה הייתה בעלת יכולות חדירה ושאיבת מידע דומות לאלה של פגסוס של NSO, אך בניגוד אליה היא הצליחה להישאר יחסית מתחת למכ"ם, לפעול בלי החשיפה הבינלאומית והביקורת התכופה לפעילותה שליוו את NSO בשנים האחרונות.
הכל השתנה אחרי ש־NSO וקנדירו נכנסו לרשימה השחורה של מחלקת הסחר של ארה"ב בנובמבר 2021. הכנסת שתי מפתחות הרוגלות הישראליות לרשימה, שאוסרת על חברות אמריקאיות לבצע איתן עסקים ללא אישור מיוחד, הייתה בגדר כתב אישום חריף נגד שתי החברות, ובעקיפין נגד כל תעשיית ריגול הסייבר הישראלית. באגף הפיקוח על היצוא הביטחוני במשרד הביטחון (אפ"י) נכנסו לפאניקה, ואם קודם לכן מסרו רישיונות שיווק ויצוא ביד נדיבה, מתובלת לא פעם באינטרסים מדיניים של ישראל, הנדיבות הפכה עתה לקמצנות של ממש.
מדינות באסיה? לא. באפריקה? אין מצב. מדינות המפרץ שמכירת תוכנות ריגול בעבורן סייעה לשמן את היחסים ולקדם את החתימה על הסכמי אברהם? כבר לא מתאים כל כך. רק בקשות ליצוא לדמוקרטיות מערביות מובהקות, מן הסתם בעיקר באירופה, אושרו. משדה יצוא של יותר מ־100 מדינות, הצטמצם המגרש לפחות מ־40.
בעבור קוודרים, שעשתה את עסקיה מחוץ לאירופה, היה מדובר בגזר דין מוות. לא מיידי, אבל בטוח. "הם היו מבוססי השוק הבעייתי יותר", אמר ל"כלכליסט" מקור בכיר בתעשיית תוכנות הריגול הישראלית. "הבעיה הייתה עם אישורי יצוא חדשים. הם לא קיבלו, התייבשו עסקית והרגישו שנגמר להם האוויר". בחודשים שלפני הסגירה סבלה קוודרים מגסיסה איטית ועקבית. מצבת העובדים צומצמה בהדרגה וירדה מכ־70 עובדים בשיא ל־35 ערב הסגירה, כאשר המשרה של חלק מהעובדים הנותרים צומצמה להיקף של 80% או 70%.
ואז הגיע דו"ח משותף של מיקרוסופט ומכון סיטיזן לאב באוניברסיטת טורונטו, שחשף את הפעילות של קוודרים ואת השימוש שנעשה ברוגלה שלה נגד פעילי חברה אזרחית, עיתונאים ופוליטיקאים באמריקה הלטינית, אסיה, אירופה והמזרח התיכון. שבוע אחר כך, קוודרים הפסיקה את פעילותה, משאירה במשרדיה רק שני עובדים לשמור על המחשבים והחומרה ולכבות את האור. "הפרסום הזה היה אבחת הגרזן", אמר מקור בתעשייה. "כולם הבינו שגלגלו אותם בזפת ונוצות, והם החליטו שזו סיבה מצוינת לחתוך לפני שיכניסו את החברה לרשימה השחורה".
המקרה של קוודרים אינו יוצא דופן. היא אולי החברה האחרונה והגדולה ביותר לעת עתה שנסגרה, אבל בפירוש לא היחידה. תעשיית ריגול הסייבר הישראלית, שנחשבת למובילה בעולם לא רק באיכות הרוגלות ויכולות הפריצה שלהן אלא גם בהיקף ומספר החברות שפועלות כאן, עברה לאורך השנה האחרונה תהליך התכווצות מואץ, ולמעשה מרבית השחקניות שהיו כאן ערב הכנסת NSO וקנדירו לרשימה השחורה כבר אינן קיימות, או ששינו מיקוד עסקי. לדברי המקור, אם ב־2021 היו 18 חברות שהגישו לאפ"י בקשות להיתרי שיווק בחו"ל, ב־2022 היו רק 6 חברות כאלו.
החשאיות שמאפיינת את התחום - מרבית החברות פועלות תחת מבנים ארגוניים מורכבים, באמצעות חברות קש ומתווכים ותוך שימוש בשמות מרובים והחלפתם, וכמובן ללא החצנה תקשורתית של עבודתן - מקשה בגיבוש תמונה מלאה של מצבת החברות שנסגרה וזו שנותרה.
עם זאת, מקורות בתעשייה ופרסומים קודמים מעלים שלפני קוודרים נסגרו שחקניות, חלקן קטנות יותר, כמו נמסיס, אינסיינט שנסגרה בתחילת 2022 ו־Ace Labs (חלק מקוגנייט, לשעבר החטיבה הביטחונית של ורינט), שביוני שעבר נסגרה ופיטרה עשרות עובדים. לכך יש להוסיף עוד כמה חברות קטנות מאוד, כ־10 עובדים, שנסגרו או העבירו פעילות לחו"ל. שחקניות אחרות אמנם לא נסגרו, אך שינו את המיקוד העסקי שלהן. קלע מגן עברה מריגול סייבר למודיעין סייבר הגנתי ועובדת בעיקר עם בנקים על זיהוי איומים ברשת האפלה. סייברביט, לשעבר בשליטת אלביט, הפסיקה את פעילות הסייבר ההתקפי שלה ומתמקדת בעיקר בהגנת סייבר.
ככל הידוע, נשארו נכון להיום רק שלוש שחקניות משמעותיות בתחום פיתוח ושיווק הרוגלות: NSO, שביצעה באוגוסט סבב קיצוצים משמעותי; קנדירו שמאז הכנסתה לרשימה השחורה סובלת מקמילה מתמשכת, מתקשה לגייס לקוחות חדשים ואיבדה 12 מתוך 30 חוקרי החולשות שלה, כאשר רובם עברו לחברות בחו"ל; ופאראגון, שלדברי מקורות לא נמצאת במצוקה מכיוון שמראש פנתה בעיקר ללקוחות באירופה. כן פעילה עדיין ווינטגו, שנחשבת לקטנה יחסית וגם היא בקשיים.
לרשימה זו אפשר להוסיף עוד שתי שחקניות, שלא מפתחות רוגלות אך פועלות בתחומים משיקים ושגם הן חייבות באישור יצוא של אפ"י: סלברייט, שמייצרת חומרה שפורצת לטלפון באמצעות חיבור פיזי אליו (בניגוד לרוגלות שאותן ניתן להשתיל מרחוק); ובלו אושן, שלדברי מקור בתעשייה לא מפתחת רוגלות אלא מזהה חולשות אבטחה וכן מספקת ללקוחות, בעיקר השב"כ הסינגפורי, גישה לחוקרי החולשות שלה.
"נסגרו חברות שהלכו על הכסף הקל, במדינות השכנות או בדיקטטורות אחרות שמוכנות לשלם הרבה כסף ומהר", אמר מקור בתעשייה ל"כלכליסט". "הן חוו הרבה קשיים לאור הידוק נוהלי היצוא. קוודרים היא המשמעותית ביותר שנסגרה, לפניה נסגרו חברות קטנות יותר". עם זאת, המקור מתריע מלתלות את כל האשם בשינוי הנהלים של אפ"י. "קוודרים זה אירוע משמעותי, היא הראשונה שהייתה לה הצלחה חזקה ושהתייבשה מזה ששינו את השוק. לגבי החברות האחרות, אי אפשר להאשים רק את אישורי היצוא. לא הייתה להן הצלחה גדולה, היו סכסוכים פנימיים".
לא כולם בתעשייה מסכימים. מקור בכיר אחר אומר שגם עם החברות האחרות שנסגרו, מגבלות הייצוא החמורות של אפ"י היו גורם משמעותי. "הייתי בישיבות משרד הביטחון. כולם נטרפו מעצבים, אמרו 'אין היתרים. אנחנו לא יכולים לחיות'. כולם דיברו על לעבור לחו"ל", הוא אמר.
גם המקור הראשון מודה שבעבור חברות שלא היו פעילות קודם לכן בדמוקרטיות מערביות, הכניסה לשם עכשיו מורכבת יותר מבעבר. "זה שוק יותר קשה (ביחס למדינות באפריקה או במזה"ת, ע"כ). הרגולציה יותר מורכבת במדינות האלו, והיא החמירה מאוד בשנתיים האחרונות".
בתעשייה קיימת הסכמה גורפת שהשינוי במדיניות אפ"י נעשו בתגובה ללחץ שמפעיל ממשל ביידן בארה"ב שסימן את תעשיית תוכנות הריגול העולמית, ובפרט את זו הישראלית, כמטרה על רקע שורת דיווחים על שימושים לרעה שנעשו בתוכנות אלו בשנים האחרונות, בעיקר מצד מדינות במזרח התיכון ובאפריקה אבל בכמה מקרים גם במזרח ואפילו במערב אירופה. הפעילות הציבורית של הממשל התחילה עם הכנסת NSO, קנדירו ועוד כמה חברות זרות לרשימה השחורה, והגיעה לשיא בצו נשיאותי שפורסם במרץ ושאוסר על גופי ממשל להשתמש בתוכנות ריגול מסחריות "שמהוות סיכון ביטחוני לממשלת ארה"ב". בצד הפחות פומבי, הופעלו לחצים רבים על ישראל לשנות את מדיניות הייצוא המתירנית שלה בתחום, כאשר ברקע נמצא האיום המרומז של סנקציות כולל סנקציות אישיות.
אבל בתעשייה קיימת מחלוקת באשר למניעי ממשל ביידן ומידת ההיענות של משרד הביטחון ללחצים שמופעלים עליו. "יש פה מהלך מכוון של ממשל ביידן, שזיהה את זה שישראל התנהגה כרגולטור לא אחראי ודורש ממנו להיות אחראי", אמר גורם בכיר. "הבעיה היא שהרגולטור הישראלי לא היה אחראי, והגיב תחילה בהיסטריה אחרי שממשל ביידן סובב את הברגים; בין השאר בכך שהגן על חברות כמו NSO שעבד לפי הרגולציה שלו. אפ"י פשוט היה רגולטר מצו'קמק. הנחישות האמריקאית לעשות סדר היא מבורכת, ופשוט פגשה את החברות במצב לא טוב. השוק משתנה לטובה. למכור לדיקטטורות זה לא דבר נכון, ומצד שני דמוקרטיות צריכות את הכלים האלו. זו הזדמנות אדירה לישראל, שהיא מהמקומות הבודדים בעולם שיודעים לבנות את הטכנולוגיה הזו".
מנגד, יש גורמים שסבורים שמניעי ממשל ביידן אינם ענייניים. לדבריהם, הלחצים שמופעלים על ישראל לא מגיעים ממניעים של הגנה על זכויות אדם אלא מתוך רצון לפנות את שדה המשחק לטובת חברות אמריקאיות בתחום. לדברי גורמים בתחום, בשנה האחרונה קמו בארה"ב עשרות חברות חדשות בתחום הסייבר ההתקפי כשבמקביל חברות קיימות נכנסו לפעילות בתחום זה. רשימת חברות כוללת שמות כמו Raytheon, Leidos, Eqlipse Technologies, Boldend, Siege Technologies, Kyrus Technologies, SI Gov, Oceans's Edge ו־ManTech. במקביל, פיקוד הסייבר במשרד ההגנה של ארה"ב ביקש רק השבוע תקציב של 89.4 מיליון דולר לפיתוח פלטפורמת סייבר התקפי.
גורמים רבים חוששים שהפגיעה בתעשייה בישראל משמעה זליגת ידע משמעותי בתחום זה למדינות אחרות. כבר עכשיו, יש חברות שנוסדו על ידי ישראלים ושמעסיקות בעיקר חוקרי חולשות ישראלים שמראש הקימו את פעילותן מחוץ לישראל, קפריסין ויוון פופולריות במיוחד, בין השאר בגלל הקירבה הגיאוגרפית. חברות אלו נהנות מכל היתרונות של גישה לחוקרי חולשות ישראלים, בלי המגבלות של אפ"י. אחת הבולטות שבהן היא אינטלקסה של טל דיליאן.
גם מקרה החברות המקומיות שנסגרו, ייתכן שחלקן פשוט העבירו את הפעילות למדינה אחרת. וגם אם לא, יש סיכוי טוב מאוד שהעובדים שלהן הלכו לעבוד בחברה בחו"ל. לפי מקורות, שכר שנתי של חוקר חולשות בחו"ל יכול להגיע למיליון דולר בשנה - סכום ששחקניות מקומיות שנאבקות על קיומן פשוט לא יכולות לעמוד בו. המשמעות של בריחת מוחות זו היא קודם כל מעבר של טכנולוגיות מסוכנות שהיו קודם לכן תחת פיקוח, בעייתי ככל שיהיה, של משרד הביטחון למדינות שבהן הפיקוח רופף הרבה יותר או לא קיים כלל, ולכן השימוש לרעה בהן יכול להיות רחב יותר. בנוסף, הרוגלות הישראליות שנמכרות למדינות בחו"ל בנויות כך שלא יהיה ניתן לתקוף באמצעותן יעדים בישראל ובארה"ב, וכן איבוד גוף ידע בעל חשיבות עליונה לביטחון הלאומי.
תגובת משרד הביטחון: "אגף הפיקוח על היצוא הביטחוני ביצע בתקופה האחרונה עבודה מטה רחבה, יחד עם אגפי משרד הביטחון, משרד החוץ והמל"ל, במטרה לטייב את הפיקוח על יצוא של מוצרי סייבר מפוקחים, במטרה לייצר הנחיות מדוייקות יותר ליצואניות הסייבר המפוקח, תוך צמצום הסיכון לשימוש פסול במערכות אלו והקניית כלים אפקטיביים להבטחת עמידה בתנאי הרישיון מצד הרוכש".