"הטעות האסטרטגית של ישראל בכל פרשת NSO היתה שהיא לא לקחה אחריות", אומר ל-tech12 גורם בכיר בתעשיית הסייבר הישראלית, "ישראל עשתה טעות חמורה והשאלה עכשיו, אחרי שהאמריקאים נזפו בה על הטעות הזאת, האם היא תתיישר".
הלחץ על ישראל להתיישר גבר בסוף השבוע האחרון, לאחר שהפרלמנט האירופי אישר את המלצות ועדת החקירה הפרלמנטרית שמינה לעניין תוכנות ריגול. הוועדה כונתה ועדת Pega, על שם תוכנת פגסוס של חברת NSO הישראלית שבה בעיקר עסקה החקירה.
המלצות הוועדה לא התמקדו ב-NSO אלא בממשלות האירופיות שמשתמשות בה ואגב כך פוגעות בזכויות אדם. בעיקר מדובר בממשלות הונגריה, פולין ויוון שבהן מתרחשת פגיעה בזכויות אדם ממש כעת, ובקפריסין ולוקסמבורג שמהן מתנהל הסחר בתוכנות NSO וחברות נוספות.
העיסוק בריסון השימוש בתוכנות ריגול כמו פגסוס של NSO התרומם בתקופה האחרונה למדרגת אירוע גיאופוליטי. זה התחיל כשארה"ב הכניסה את החברות הישראליות NSO וקנדירו לרשימה השחורה שלה, ולאחר מכן כפתה על ממשלת ישראל לצמצם כמעט לגמרי את ההיתרים לחברות ישראליות למכור כלי ריגול למדינות לא דמוקרטיות.
"האמריקאים שאלו – אם תשמעו שהסעודים עשו שימוש לא יפה בטכנולוגיית הסייבר שלכם, איך אתם שולטים בזה שזה לא יקרה שוב? אני חושב שפה לא היו תשובות לישראל, שלא לומר שהיא הסתתרה מאחורי NSO במקום לעמוד יציב מול האמריקאים ולהגיד - אנחנו לוקחים אחריות על הדבר הזה"
כעת דורש הפרלמנט האירופאי מכל 27 מדינות אירופה לחוקק חוקים שיגבילו את השימוש בתוכנות ריגול ויטילו פיקוח הדוק על השימוש בהן. בנוסף קרא הפרלמנט לקיום שיחות בין אירופה לארה"ב ולישראל, במטרה לקבוע כללי משחק בינלאומיים להגבלת השימוש בסייבר התקפי.
אם וכאשר יתקיימו שיחות כאלה הן צפויות להעמיד את ישראל במבוכה גדולה. בשיחה עם tech12 מתריע בכיר הסייבר, קצין בכיר במילואים ששירת בתפקידים רלוונטיים לעולמות הסייבר ההגנתי וההתקפי בצה"ל, כי ישראל נמצאת בבעיה חמורה ביותר בתחום הזה, עד כדי סכנה לביטחון ישראל.
לדבריו, היעדר מדיניות ברורה מצד ממשלת לא רק שחיסלה הלכה למעשה את מרבית תעשיית הסייבר ההתקפי הישראלי - אלא שהיא שילחה מפה מאות מומחי סייבר התקפי למצוא פרנסה בחברות זרות, מבלי כל יכולת לפקח על פעילותם ועל הסיכון שהיא מהווה.
"ישראל התנהלה לא נכון"
הצרות של חברות הסייבר ההתקפי החלו ב-2021, כשהממשל האמריקאי הכניס לרשימה השחורה את NSO וקנדירו. בהמשך הפעילו האמריקאים לחץ כבד על משרד הביטחון הישראלי והביאו להחמרת הפיקוח על היצוא הביטחוני. כתוצאה מכך שרק חברות שמוכרות לרשימה מוגדרת של 37 מדינות דמוקרטיות יכלו להמשיך ולמכור. חברות דמוקרטיות, מיותר להזכיר, אינן השוק העיקרי של תוכנות ריגול.
חוזי מכר שקיימים כבר פגו ולא ניתן היה לחדש אותם. החברות נאנקו, המנכ"לים מחו, אך במשרד הביטחון הישראלי משכו בכתפיים. אחר כך החברות החלו להיסגר בזו אחר זו: קוואדרים, נמסיס, זרוע Ace Labs של קוגנייט, חלק מפעילות קלע-מגן, אינסיינט, נמסיקו.
לא רק הן, גם NSO עברה זעזועים - מנהלים נטשו אותה ומאות עובדים פוטרו - וגם קנדירו מתקשה לשרוד. יש מספר חברות שזוכות עדיין ללגיטימציה, בהם פאראגון ובלו אושן. לא ברור מה מצבן של חברות אחרות בענף כמו ווייבגארד, ווינטגו, אינטריונט, גיטה טכנולוגיות, Jenovice, רייזון, Cobwebs, Voyager Labs, pro4tech ועוד. חברות סייבר התקפי מתות בסתר.
"הטעות האסטרטגית של ישראל בכל פרשת NSO היתה שהיא לא לקחה אחריות", אומר הגורם הבכיר, "ישראל עשתה טעות חמורה והשאלה עכשיו, אחרי שהאמריקאים נזפו בה על הטעות הזאת, האם היא תתיישר.
"האמריקאים מבינים שיש [לישראל] אינטרס לאומי להיות ביחסים טובים וחזקים עם מדינות כמו מדינות המפרץ, והם מבינים שישראל צריכה לעשות חוזים, אבל הם שואלים איפה השליטה. תסבירו לנו איך אתם נותנים להם (גורמים בעיתיים - ט"ש) את זה ולא גומרים עם חשוקג'י בקצה", אומר הגורם, תוך שהוא מתייחס לדיווחים לפיהם בית המלוכה הסעודי השתמש בתוכנת פגסוס של NSO כחלק מהמזימה שהביא לרציחת העיתונאי הסעודי ג'מאל חשוקג'י.
"ישראל לא הציגה אסטרטגיה, לא היו לה הסברים והיא גם התנהלה לא נכון כשאמרה – 'זו בעייה של החברה, לא בעיה שלנו'", הוא מפרט.
הבכיר טוען כי הדרישה האמריקאית מישראל ללקיחת אחריות על נשק סייבר משולה למכירת מטוסי קרב לסעודיה - אם המטוסים ישמשו לטבח בחפים מפשע ארה"ב יכולה להשבית אותם מרחוק.
"האמריקאים שאלו – אם תשמעו שהסעודים עשו שימוש לא יפה בטכנולוגיית הסייבר שלכם, איך אתם שולטים בזה שזה לא יקרה שוב? ואני חושב שפה לא היו תשובות לישראל, שלא לומר שהיא הסתתרה מאחורי NSO במקום לעמוד יציב מול האמריקאים ולהגיד - אנחנו לוקחים אחריות על הדבר הזה".
איך היית מתאר את מצב ענף הסייבר ההתקפי כיום?
"יש פה כאבי גדילה והתבגרות, אני חושב שהמצב החדש שאליו אנחנו נכנסים בעקבות המדיניות האמריקאית הוא הרבה יותר נכון בהסתכלות לטווח ארוך. כואב הלב כשחברה כמו קוואדרים נסגרת, אבל הסיבה היא שהשוק נהיה מסובך, ושהדרישות הישראליות לא מאפשרות בסוף לחברות מהסוג הזה לחיות. החדירה לשוק האירופאי או האמריקאי הרבה יותר קשה, בטח אם אתה סוחב גבנת של מדינות בעייתיות על הגב שלך".
"השאלה היא אם ישראל תחליט שאסטרטגית חשוב לה שחברות הסייבר ההתקפי ישארו. אם כן, אז איך היא תבנה מדיניות שתאפשר את זה. יש פה מבחן מעניין מאוד לישראל"
מה הניע את ארה"ב לשנות את המדיניות שלה?
"האמריקאים חילקו את העולם לשניים: חברות טובות שעובדות לפי סטנדרטים שמקובלים עליהם ומוגדרים בהנחיות הבית הלבן. מדובר בשמירה מאוד קפדנית על זכויות אדם ואי-פגיעה באינטרסים של האמריקאים ועכשיו הם מיישרים את העולם לפי הקו הזה. חברות שלא יעמדו בסטנדרט הזה - הרעות - או שלא יוכלו למכור בתוך העולם הדמוקרטי או שיוחרמו בכל מיני רשימות של האמריקאים, תלוי מה חומרת החשדות נגדם".
כמה זמן החברות הישראליות יהיו מסוגלות לשרוד במצב הזה?
"זו שאלה מאוד גדולה. השאלה היא אם ישראל תחליט שאסטרטגית חשוב לה שהחברות ישארו. אם כן, איך היא תבנה מדיניות שתאפשר את זה. יש פה מבחן מעניין מאוד לישראל".
שר הביטחון הקודם בני גנץ או הנוכחי יואב גלנט פעלו בכיוון הנכון?
"אני מניח שנעשו מאמצים, השאלה היא אם אלה היו מאמצים להרגיע את החברות בזמן שהורגים אותן, או מאמצים לייצר אסטרטגיה ברורה ויציבה. אני עוד לא ראיתי אסטרטגיה כזו ואני בפוזיציה הנוכחית שלי אמור לראות אסטרטגיה כזו לו היתה. אם הסיפור הזה חשוב למדינת ישראל היא צריכה לקבוע אסטרטגיה מובנת ופשוטה, לא מובנת לבעלי תואר שלישי בפילוסופיה או במדעים מדויקים".
מי צריך לקבוע את האסטרטגיה?
"המדיניות נקבעת בין מנכ"ל משרד הביטחון, ראש המלמ"ב, שר הביטחון, ראשי קהילת המודיעין, ראש המל"ל וראש הממשלה. הנושא נמצא על סדר היום אבל זה לא מספיק כדי שתיבנה אסטרטגיה קוהרנטית וברורה, מכמה סיבות: לא בהכרח זה נמצא אצל כל הגורמים באותו מקום בראש סדר העדיפויות וגם יכול להיות שיש חילוקי דעות פנימיים בין חלק מהגורמים האלה".
חשש אמיתי לבריחת ידע ועובדים
הגורם הבכיר מביע דאגה מהתוצאות של המצב השורר כרגע בתחום הסייבר ההתקפי בישראל. הוא מתאר פגיעה באינטרסים של ישראל. הסייבר ההתקפי מלווה בחששות ממעקבים ופגיעה בזכויות אזרחים, אבל בשימוש נכון הוא אמצעי רב חשיבות בהגנה על ביטחון המדינה.
לדבריו, היעלמותן של חברות הסייבר ההתקפי הפרטיות מפחיתה את יכולתה העודפת של ישראל בתחום הזה. אמצעי סייבר התקפי שימשו כחלק מהנדוניה הישראלית בהסכמי שיתוף פעולה עם מדינות שונות וגם כאן יכולתה של ישראל לספק אותם נפגעת.
"אם אין בישראל שוק לעובדי סייבר התקפי, איך שולטים בזה כדי שכוח האדם לא יתפזר בעולם ולא יגיע למקומות לא טובים לנו? אם אתה אחד מ-500-600 עובדים מוכשרים שעכשיו יצאו מהתעשייה הזאת, אתה יכול לקבל בין 1-1.5 מיליון דולר בשנה. הם יכולים ללכת לעבוד בחברות של האמירויות ושל הסעודים וזה כבר קורה"
בעיה שלישית, אולי החמורה מכולן, היא שסגירת החברות הישראליות מניעה תהליך של מעבר של מקצועני סייבר התקפי, בעלי הכשרה ביחידות עילית צה"ליות וניסיון רב בחברות הפרטיות, לעבודה עבור ממשלות זרות.
מה צריכה להיות המדיניות להערכתך?
"יש שלושה פרמטרים לאינטרס הישראלי: הראשון הוא האם ישראל צריכה תעשייה כזו פורחת פה בארץ - לצרכיה שלה. אם ישראל לא צריכה את זה לצרכיה הפנימיים, אז זה פחות מעניין.
"השני הוא האם ישראל צריכה את זה לצרכי מדיניות החוץ שלה, עם מדינות מסוג כזה או אחר - איך זה משפיע על מערכת היחסים של ישראל עם מדינות אירופה, עם מדינות הסכמי אברהם? האם זה חשוב למדינה?
"הפרמטר השלישי הוא מניעתי: אם אין בישראל שוק ויש פרוליפרציה (היתרבות מהירה או שגשוג - ט"ש) של כוח אדם, איך אנחנו שולטים בזה כדי שכוח האדם לא יתפזר בעולם ולא יגיע למקומות לא טובים לנו. אם אתה אחד מ-500-600 עובדים מוכשרים שעכשיו יצאו מהתעשייה הזאת, אתה יכול לקבל בין 1-1.5 מיליון דולר בשנה.
"הם רוצים לשמר את אותה רמת שכר, אז איך אנחנו שולטים בטאלנט הזה? הם יכולים ללכת לעבוד בחברות של האמירויות ושל הסעודים וזה כבר קורה".
לדברי הבכיר, לא מדובר רק ביכולת לפקח על מעבר אנשי מקצוע ישראלים לחו"ל. הבעייה הקריטית לדבריו היא בעצם עזיבתם את ישראל. בחמש השנים האחרונות הבינו בצה"ל שהכוחות הסדירים ואנשי הקבע בתחום הסייבר כבר לא מספיקים כדי לעמוד בצרכי הגנת המדינה. לכן, נדרשת מעורבות משמעותית של אנשי קבע שהשתחררו לשוק הפרטי.
במערכת הביטחון לא הסתפקו בחברות הסייבר ההתקפי הפרטיות ואפילו תמכו בהקמת חברות פרטיות שמעסיקות יוצאי מערכת הביטחון בשכר גבוה מאוד עבור פרויקטים של מערכת הביטחון. אך כל זה הולך ומתפוגג לנוכח המדיניות הנוכחית והמעבר של המומחים לחברות ולממשלות זרות
במערכת הביטחון לא הסתפקו בחברות הסייבר ההתקפי הפרטיות ואפילו תמכו בהקמת חברות פרטיות שמעסיקות יוצאי מערכת הביטחון בשכר גבוה מאוד עבור פרויקטים של מערכת הביטחון. אך כל זה הולך ומתפוגג לנוכח המדיניות הנוכחית והמעבר של המומחים לחברות ולממשלות זרות.
"עד שלא תבנה תוכנית של מקלות וגזרים בקשר לטאלנט הזה, אם הם מתחילים לפעול כשכירי חרב, אז זה יימשך", הוא אומר, "זה כמו שאתה נוסע בכביש במהירות 160 קמ"ש ואם תראה שאף אחד לא עוצר אותך אז תמשיך".
מה ההבדל בין מומחי סייבר התקפי להייטקיסטים אחרים שמקבלים הצעה מפתה לרילוקיישן באבו דאבי?
"לאמריקאים היו שניים כאלה שקיבלו הצעת עתק מסעודיה. הזמינו אותם לפגישה בארה"ב ונכנסו בהם וגם פרסמו את זה למען יראו וייראו. והיום אני לא מניח שמישהו בארה"ב מעז להסתכל על הדולרים הרבים שמוצעים לו מכיוון סעודיה".
הגורם מבהיר שהגישה הזו תקפה רק ליוצאי קהילית המודיעין, לא למי שהגיעו לעולמות הסייבר באופן עצמאי: "אם אתה ילד חכם שיודע למצוא חולשות ולא שירתת בקהיליית המודיעין הישראלית - אתה יכול להתייחס לעצמך כהייטקיסט. אבל ברגע שהיית חלק מהקהיליה, אין מצב בעולם שאתה יכול לפעול נגד האינטרס של מדינת ישראל. מדינת ישראל מתנהלת פה באופן מאוד מכיל וברור לך שגם פה הפיצוץ יבוא מאמריקה. למה אני צריך את אמריקה שתחנך אותי?".
יש ישראלים יוצאי קהילית המודיעין שפועלים בחו"ל ללא כל פיקוח של הממשלה. כמו למשל טל דיליאן וחברת אינטלקסה שהקים בקפריסין. איך זה קורה?
"החוק הישראלי חל על יוצאי הקהיליה שמפתחים קניין רוחני באמצעות ישראלים. הבעייה היא שאף אחד לא עושה בו שימוש בהקשר הזה. טל דיליאן נשא בתפקיד מאוד משמעותי והייתי דורש ממנו סטנדרטים גבוהים מאוד של אתיקה כלפי מדינת ישראל".
אתם מנסים לדבר עם הגורמים הרלוונטיים בממשלה?
"כן, אבל אני לא יכול להגיד שזה מאוד משפיע. אני די משוכנע שאייל זמיר, מנכ"ל משרד הביטחון, יכול להיות זה שיוביל לפיתרון. הוא מכיר הרבה דברים גם בתור סגן הרמטכ"ל, הוא הרבה יותר מחובר לנושא מקודמו ויש לו את הכלים לבנות אסטרטגיה נכונה".
ואוזנו של ראש הממשלה כרויה אליו.
"אתה צודק. ולכן אני חשוב שהוא בפוזיציה מאוד טובה לזה".