הפיקוח על יצוא אמצעי סייבר הגנתיים צפוי להצטמצם

עדכונים תקופתיים שערכו מדינות הסדר ואסנאר לפני מספר שבועות בועידה השנתית שלהן בוינה צפויים לצמצם את הפיקוח הישראלי על יצוא אמצעי סייבר הגנתיים.

הסדר ואסנאר הוא אמנה בינלאומית עליה חתומות עשרות מדינות בעולם, בהן ארה"ב, יפן, רוסיה, גרמניה ובריטניה. מטרתו לפקח על יצוא של חומרי לחימה וכן מוצרים, שירותים, כלים וטכנולוגיות דו-שימושיים - כאלה הניתנים לשימוש אזרחי רגיל אך בה בעת מסוגלים לשמש למטרות עוינות.

ישראל אמנם לא חתומה באופן רשמי על האמנה ולא חברה מן המניין בה, אך קלטה לתוך דיני המדינה את מרבית ההוראות המהותיות של האמנה באמצעות חוק הפיקוח על יצוא בטחוני ותקנותיו. כל עדכון שנערך בהסדר ואסנאר נקלט באופן ישיר ומידי לדין הישראלי מתוקף הוראות חוק הפיקוח ותקנותיו, המורות כי האמנה תחול בישראל "כעדכונה מזמן לזמן".

העדכון התקופתי שנערך לפני כחודש מורה על מספר חריגים מהותיים לפיקוח על "תוכנות חדירה" (Intrusion Software) - מונח שכבר היה בשימוש בהסדר ומוגדר (בכפוף לכמה סייגים) כתוכנה שנועדה למנוע גילוי על ידי כלי ניטור או שנועדה לגבור על אמצעי הגנה ושמבצעת שליפה של מידע ממערכת מחשב, שינוי במערכת המחשב או בנתוני המשתמש, או שמשבשת את תהליך ההרצה הרגיל של תוכנה מסוימת במטרה לאפשר הרצה של פקודות חיצוניות. (law.co.il מעיר במאמר מוסגר כי בישראל, פיתוח או הפצה שלא כדין של תוכנה כזו גם מהווים עבירה פלילית לפי סעיף 6 לחוק המחשבים).

גרסאות קודמות של הסדר ואסנאר הטילו פיקוח על טכנולוגיה המשמשת לפיתוח של "תוכנות חדירה". בגרסה הטריה של ההסדר הוכנסו שני חריגים מהותיים המוציאים מפיקוח - 

  1. פעולות של זיהוי, דיווח או מסירת מידע על חולשות לגורם האמון על טיפול או ריכוז המידע לצורך תיקון החולשה (vulnerability disclosure)
  2. תהליכים של שיתוף מידע חיוני על תקריות סייבר בין יחידים או ארגונים האמונים על טיפול או ריכוז הפעולות לפתרון התקרית (cyber incident response)

עם זה, התיקונים בגרסה החדשה של ההסדר מבהירים כי אין בחריגים כדי לגרוע מסמכות המדינה לבצע פיקוח כדי לוודא ציות נאות להגבלות שנותרו. בנוסף, עצם הוספת החריגים להסדר מחדדת כי מה שלא נופל במישרין לאותם חריגים, כדוגמת סייבר אקטיבי, כפוף לפיקוח.