הפיקוח על הסייבר בישראל לאן?
לפני שחונקים תעשייה שלמה בידקו את הפרקטיקה בעולם
תקנות שהוצעו לאחרונה בעניין הפיקוח על תעשיית הסייבר, עשויות להגביל משמעותית את יצוא תוכנות הסייבר על ידי חברות ישראליות וליצור תגובת שרשרת שעלולה לחנוק את תעשיית הסייבר הישראלית.
במבט ראשוני, הרעיון נראה מושך. מדוע שישראל, המוקפת בגורמים מאיימים, קרובים ורחוקים כאחד, תסכים לייצא טכנולוגיה פורצת דרך בתחום הסייבר שעשויה לשמש לתקיפתה? ישראל אכן מגבילה את יצואן של טכנולוגיות צבאיות אחרות; מדוע שאמצעי לוחמת סייבר יזכו ליחס שונה?
כמובן שישראל צריכה להגביל את יצוא מוצרי לוחמת הסייבר שהם בעלי פוטנציאל מאיים, אך כל רגולציה חייבת להיבנות בצורה חכמה, כך שהחקיקה לא תפגע בתעשיית הסייבר המקומית. אך למרבה הצער, התקנות החדשות לא מצליחות להגשים איזון זה.
כדי להמחיש עד כמה בעייתיות התקנות הישראליות, כדאי להסתכל על מה שקורה בתחום זה בעולם. המגבלות הראשונות על יצוא סייבר נולדו בעיירה הקטנה וואסנאר בדרום הולנד. מספר מדינות חברו להסדר וואסנאר, שמשמש מעין מסגרת משפטית בינלאומית להסדרת סחר בכלי נשק פוטנציאליים. ישראל, מסיבותיה, אינה חברה באותו הסדר.
בשנת 2013, צרפת ואנגליה הציעו מספר תוספות להסדר וואסנאר. צרפת גילתה שחברה צרפתית סיפקה תכנת מעקב מודיעיני לממשלת קדאפי בלוב ואנגליה גילתה שחברה שפעלה בגבולותיה ייצאה תוכנה זדונית. בשני המקרים, ממשלות זרות השתמשו בתוכנה שיוצאה על מנת לרגל אחר פעילי זכויות אדם. כתוצאה מכך, אנגליה וצרפת הציעו להחיל מגבלות על יצואן של תוכנות סייבר.
התוספות להסדר וואסנאר היו צרות בתחולתן – מטרת הרגולציה הייתה שמירה על זכויות אדם, ומדינות הבינו שחקיקה רחבה עלולה לפגוע בתעשיות הסייבר הפנימיות שלהן. ארצות הברית הציעה מגבלות יצוא סייבר משלה, שהיו רחבות רק במעט מהסדר וואסאנר. אך חברות אמריקאיות הרימו קול זעקה אשר גרם לממשל האמריקאי להסיר את התקנות המוצעות. התקנות המוצעות על ידי ישראל, לעומת זאת, הולכות רחוק יותר מוואסנאר, ואף רחוק יותר מהתקנות האמריקאיות, אשר בוטלו תחת לחץ ציבורי. למעשה, ישראל מתכוונת להדק את הרגולציה סביב תעשיית הסייבר שלה יותר מכל מדינה אחרת בעולם.
דוגמה אחת מני רבות: הסדר וואסאנר לא היה ברור לגבי השאלה אם הוא חל על העברות בינלאומיות של מידע אודות באגים בתוכנה. כן, אתם קוראים נכון. ניתן היה לקרוא את הסדר וואסאנר ככזה שמגביל את אדון סמיט בארצות הברית מליצור קשר עם אדון שיראק בצרפת ולתת לו קצת מידע על איזשהו באג ספציפי בתוכנה. מגבלה שכזו עשויה להוות נטל כבד על תעשיית הסייבר. אחרי הכול, כיצד תוכל לפתח תכנת אבטחה אם אינך יכול לשוחח על הבעיות הפוטנציאליות שאתה מנסה לתקן? מדינות רבות החברות בהסדר וואסנאר, לרבות ארצות הברית הבהירו שהן אינן מנסות להציב מגבלות על העברה בינלאומית של מידע על באגים בתוכנה.
התקנות הישראליות, אינן דו-משמעיות באשר לשאלה האם הן מסדירות העברה בינלאומית של מידע על באגים בתוכנה. ההפך, הן אוסרות בצורה ברורה וחותכת העברה שכזו. אמנם קיימים מעט חריגים, אך הם אינם ברורים ורחבים מספיק כדי לתת מקום לתעשיית הסייבר להצליח.
איך חברות ישראליות אמורות לגדול, אם אנשיהן מנועים מלשוחח עם קולגות מחוץ לארץ בנושאים טכניים? יתרה מכך, בכך שהרגולציה פוגעת ביכולת תעשיית הסייבר הישראלית לצמוח, היא בעצמה פוגעות בביטחון הישראלי.
אין ספק כי עלינו לוודא שחברות ישראליות נוהגות באחריות ולא מעבירות נשק פוטנציאלי לידי אויבינו. אולם יצירת חסמים שאף מדינה אחרת אינה אוכפת בעולם – היא איננה הדרך.
הכותב הוא עו"ד ושותף במשרד יגאל ארנון ושות' המתמחה בתחום הסייבר וקניין רוחני