פסק הדין שניתן השבוע בארה"ב, המחייב את חברת NSO הישראלית לשלם כ-168 מיליון דולר לחברת מטא בגין פריצה ל-1,400 חשבונות וואטסאפ באמצעות תוכנת הריגול פגסוס, מהווה תקדים משפטי. אך מעבר לפגיעה הצפויה בתעשיית הסייבר ההתקפי, תחום שבו ישראל היא אחת המעצמות המובילות בעולם, ישנה פגיעה שנייה ומדאיגה לא פחות - פגיעה בסייבר ההגנתי.
כאן אנחנו נחשפים לפרדוקס מסוכן: כשחברות כמו NSO נחלשות, גם המוטיבציה של ענקיות הטכנולוגיה להשקיע במערכות הגנה מתקדמות יורדת - וכך, מה שנועד להגן על משתמשים עלול דווקא לחשוף אותם ליותר סיכוני סייבר בעתיד.
לא עוד "עסקים כרגיל"
במשך שנים, חברות סייבר התקפי נהנו ממעטה של עמימות והגנה, תחת הטענה כי הן משרתות אינטרסים ביטחוניים לגיטימיים במלחמה בטרור ובפשיעה. פסק הדין מסמן תפנית דרמטית בתפיסה המשפטית והציבורית כלפי חברות המפתחות כלי ריגול מתקדמים. חבר המושבעים בקליפורניה קבע פיצויים עונשיים בסך 167.3 מיליון דולר, בנוסף לפיצויים רגילים של כ-445 אלף דולר - מסר ברור שהמערכת המשפטית האמריקנית לא תסבול פגיעה במשתמשי ענקיות הטכנולוגיה, גם אם היא נעשית בחסות פעילות ביטחונית או ממשלתית.
הקו בין שימוש בכלים אלה למטרות ביטחוניות לגיטימיות, לבין פגיעה חמורה בזכויות הפרט והפרטיות, הוא דק מאוד וכעת נראה שבתי המשפט בארה"ב מתחילים לשרטט גבולות ברורים יותר. חברות ישראליות בתחום יצטרכו לבחון מחדש את מודל הפעילות שלהן ולהתאים עצמן לכללי משחק מחמירים.
הפגיעה הראשונה: סיכון מוגבר לתעשייה הישראלית
הפגיעה המיידית והגלויה לעין היא בתעשיית הסייבר הישראלית, המובילה בתחום הסייבר ההתקפי. ההכרעה המשפטית יוצרת תקדים משמעותי שמעלה את רף הסיכון המשפטי לחברות הפועלות בשוק הבינלאומי. חברות ישראליות עלולות למצוא את עצמן חשופות לתביעות דומות, אם לא יקפידו על עמידה בסטנדרטים גבוהים יותר של אחריות ושקיפות.
מעבר להיבט המשפטי, יש להתייחס גם להיבט התדמיתי. תעשיית הסייבר הישראלית נבנתה על בסיס מוניטין של חדשנות, מקצועיות ואמינות. הפרשה, שעלולה להציב סימן שאלה על אמינותן של חברות סייבר ישראליות בעיני לקוחות ומשקיעים פוטנציאליים, היא דגל אדום לשמירה על אמון זה, שנבנה בעמל רב לאורך שנים, ועלול כעת להיפגע משמעותית אם לא תהיה התמודדות הולמת עם הלקחים. בתקופה הקרובה, נראה התגברות של ביקורת בינלאומית על שימוש בטכנולוגיות מעקב מתקדמות, ולכן שימור ערכי האמינות והמקצועיות הם חיוניים להמשך הצלחתה של התעשייה הישראלית בזירה הגלובלית.
סכום הפיצוי הגבוה מדגיש את עוצמת הסיכון הכלכלי הטמון בפעילות שנתפסת כחורגת מגבולות החוק. הדבר עשוי להשפיע על המודל העסקי של חברות ישראליות רבות בתחום ולהערים קשיים על גיוס השקעות ופעילות בשווקים בינלאומיים. יתרה מכך, הפיקוח הרגולטורי על יצוא טכנולוגיות סייבר, שכבר הוחמר בשנים האחרונות בעקבות פרשות קודמות, עשוי להתהדק עוד יותר ולהפוך לדקדקני וקפדני אף יותר מאשר היום.
הפגיעה השנייה: הפרדוקס שמחליש את הגנת המידע
קיימת פגיעה שנייה, עמוקה ומסוכנת יותר, שלא מקבלת מספיק תשומת לב בדיון הציבורי הנוכחי: ההשפעה העקיפה של פסק הדין על מערך ההגנה הקיברנטי העולמי כולו. זהו אחד ההיבטים המרתקים שעולים מהפרשה ונוגע למוטיבציה של חברות אפליקציה מובילות להגן על המערכות שלהן.
עד היום, אחד מהגורמים המרכזיים שהניעו את חברות הטכנולוגיה הגדולות להשקיע משאבים אדירים באבטחה היה האיום המתמיד של פריצות מתוחכמות של חברות סייבר התקפי. הפחד מפריצות כדוגמת אלו שביצעה NSO היה זרז מרכזי לפיתוח מערכות הגנה מתקדמות. לא מעט מהחדשנות בתחום אבטחת המידע נבעה מ"מרוץ החימוש" הדיגיטלי הזה.
כעת, כאשר חברות סייבר התקפי עלולות להיות מורתעות מפיתוח ושימוש בטכניקות אגרסיביות, מחשש לתביעות ענק, המוטיבציה של ענקיות הטכנולוגיה להשקיע באבטחה ברמה כה גבוהה עלולה לרדת משמעותית. כי למה להשקיע מיליונים במערכות הגנה מתקדמות כאשר האיום המתוחכם נחלש?
וכאן טמון הפרדוקס המטריד: דווקא ההישג המשפטי נגד NSO שנועד להגן על משתמשים, עלול להוביל להחלשת מערכי ההגנה עליהם בטווח הארוך. החלשה כזו עלולה לחשוף את המשתמשים לסיכונים מצד גורמים אחרים - האקרים עצמאיים, ארגוני פשיעה או מדינות טרור.
ומה הלאה?
הפרדוקס שאנו ניצבים בפניו מחייב חשיבה יצירתית והתאמה לכללי המשחק החדשים. ככל שנעמיק להבין את מערכת היחסים המורכבת בין התקפה והגנה בעולם הדיגיטלי, כך נוכל לגבש מדיניות מאוזנת יותר שתשמור על היתרונות של תעשיית הסייבר הישראלית מבלי לפגוע בביטחון הסייבר העולמי. זהו אתגר הדורש פתרונות מערכתיים שישלבו בין הגנה על הפרטיות לבין הגנה על הביטחון.
נדרש מאיתנו, אנשי הסייבר, לייצר מערכת בריאה של איזונים ובלמים, שתגביל שימוש לרעה בטכנולוגיות התקפיות מבלי להחליש את המוטיבציה לפתח מערכות הגנה מתקדמות - והיא קריטית להבטחת ביטחון הסייבר העולמי בשנים הבאות, ושמירה על מעמדה של ישראל כמעצמה בתחום.
הכותב הוא סמנכ"ל סייבר סיקיוריטי בחברת הטכנולוגיה Commit
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו