מתן ספרן, הנציג הכלכלי של ישראל ברומניה, מציג את תפיסת העולם והמגמות הטכנולוגיות והרגולרטוריות ברומניה ומעריך כי חוק חדש שאמור להיכנס לתוקפו בימים אלה יפתח לחברות ישראליות הזדמנויות רבות ומבטיחות בעולם אבטחת המידע 

ב-22 בדצמבר 1989 בא לקצו המשטר הקומוניסטי בן 45 השנה ברומניה, מדינה מזרח-אירופית ששמרה על יחסים דיפלומטיים עם ישראל מאז 1948. הדיקטטור ניקולאיי צ'אושסקו, ששלט על רומניה במשך 25 שנה, העמיד בראש סדר העדיפויות במדינה את מקצועות המתמטיקה והמחשבים, מה שהפך את רומניה לבעלת אחוז גבוה במיוחד של מהנדסים וגאוני מידע ותקשורת. מספר המהנדסים לנפש ברומניה גבוה יותר מאשר בארצות הברית, בהודו, בסין או ברוסיה. בכל שנה מסיימים 6,500 מהנדסים חדשים את לימודיהם בתחום טכנולוגיית המידע והתקשורת, ומצטרפים ל-90,000 הקיימים עד כה. על פי התחזיות, בסוף השנה הנוכחית מספר המהנדסים במדינה יהיה מעל 100,000. בשנה האחרונה השיקו ארבע אוניברסיטאות רומניות מובילות מסלולים לתואר שני בתחום של Cyber Security.

תעשיית טכנולוגיית המידע והתקשורת (IT&C) של רומניה מעסיקה כ-93,000 מהנדסים ומייצרת כשישה אחוזים מהתוצר המקומי הגולמי במדינה, נתון המעמיד אותה במקום הרביעי באיחוד האירופי, על פי נתוני הנציבות האירופית. ייצוא שירותי הטכנולוגיה ברומניה הוערך בשנה שעברה בכשלושה מיליארד דולר, לאחר שהכפיל את עצמו בשלוש השנים האחרונות. הענף צפוי לייצר כ-4.5 מיליארד דולר עד לסוף השנה הנוכחית, על פי איגוד מעסיקי התוכנה והשירותים של רומניה (ANIS).

בשנת 2013 הסמיכה נאט"ו את רומניה כמדינה המובילה מטעם הארגון בהגנה על אוקראינה בתחום הסייבר ושלחה מומחים רומנים לפקח ולסייע למוסדות הממשל בקייב בתחום. גם סוכנות אכיפת החוק האירופית Europol מסתמכת רבות על ידע רומני בתחום. ראש הסוכנות, רון ויינרייט, אמר כי 20% מהמומחים בתחום ההגנה הקיברנטית הם שוטרים רומנים. "המומחיות שמביאים הרומנים במאבק היומיומי שלהם נגד האיום הזה היא יוצאת דופן", אמר בביקור בבוקרשט ב-2015.

 

Photography: Gilad Kavalerchik, Cybertech
רומניה כיעד וכמקור להתקפות סייבר

בשנת 2011 יזמה ממשלת רומניה, במסגרת מבצע 'אוקטובר האדום', מתקפת סייבר יזומה, לצורך חקירת חולשות מערכת ההגנה על הסייבר במדינה. המבצע ותפקוד המערכות השונות האמונות על הגנת הסייבר נחקרו על ידי שירות המודיעין הרומני, יחד עם מוסדות לאומיים אחרים. החקירה חשפה כי גופי סייבר עוינים מכוונים להשגת גישה לרשתות האסטרטגיות הלאומיות וכן לאיסוף מידע מודיעיני. שירותי הביון הרומנים הם גורם לאומי מרכזי במודיעין הקיברנטי, בשיתוף עם מוסדות לאומיים אחרים כגון STS (שירותי תקשורת מיוחדים), שירותי מודיעין זרים ו- Cert-Ro ושותפים זרים אחרים.

מינואר 2012 מתמודדת רומניה עם פעילותם של חברי השלוחה הרומנית של 'אנונימוס', שבאה לידי ביטוי בין היתר במספר רב של התקפות סייבר נגד מוסדות ציבוריים לאומיים. ארגון 'אנונימוס' המקומי היה מעורב בייזום התקפות סייבר על גורמים זרים מארצות הברית, צ'כיה, סרביה, פולין וברזיל. האיומים העיקריים על המרחב הקיברנטי הם בעיקר על תשתיות קריטיות וכן על תשתיות המחוברות להן, למשל מערכות פיננסיות, מערכות אנרגיה והגנה לאומית.

Photography: Gilad Kavalerchik, Cybertech
פוטנציאל שוק הסייבר ברומניה

שוק אבטחת הסייבר ברומניה מוגדר עדיין כשוק מתפתח. יש לו פוטנציאל גבוה ברמה המקומית וברמה הבינלאומית, במיוחד לנוכח הפוטנציאל האינטלקטואלי של מגזר המהנדסים שתואר לעיל, אך למרות הגישה הטכנולוגית והלימודים המתמטיים הגבוהים, העשייה בתחום זה לוקה בפסיביות ובחוסר יכולת לצפות את פני העתיד. העסקים ברומניה נוטים לציית לנהוּג ולמקובל, לאמץ נהלים וטכנולוגיות רק לפי חקיקה מחייבת או רק לאחר משבר.

דוח של תאגיד הרו"ח העולמי KPMG מציין כי רק ארגונים מעטים ברומניה מקדישים תשומת לב ראויה לתחום אבטחת מידע בדוחותיהם השנתיים, אף פחות מעמיתיהם במדינות מזרח אירופיות אחרות. עם זאת מציין הדוח כי בשנים האחרונות גישה זו החלה להשתנות וניכרת גישה פרואקטיבית יותר של מנהלי הIT ואבטחת המידע, בגיבוי הנהלת החברות והארגונים. ארגונים וחברות רומניות מתחילים כעת לצעוד בכיוון זה ומעלים אותו לראש סדר העדיפויות של הדירקטוריון. ועדיין, הפעולות הננקטות בתחום זה נוטות להיות שקטות ולהתבצע מאחורי הקלעים, כנראה מחשש של החברות להיתפס כבעלות בעיה אבטחתית.

החלוצים שהחלו לאמץ אסטרטגיות של אבטחת מידע הם המגזר הפיננסי ותשתיות קריטיות, אך הם מהווים רק 10% מהארגונים הכלולים במחקר זה. ענף התקשורת בולט, באופן מפתיע, כתעשייה שמדווחת לעתים רחוקות בלבד על נושא זה, והמגזר הפיננסי ברומניה מזוהה, בניגוד למה שהיינו מצפים, כאחד הענפים הכי פחות מוגנים. רוב המוסדות הפיננסיים (בנקים, חברות ביטוח, קרנות פנסיה, גופים בשוק ההון) אינם מתייחסים לסיכונים בתחום האבטחה הסייברית בדוחות השנתיים שלהם, אף שהם כן עומדים בדרישות הרגולציה, ככל שהן קיימות. ארגונים רבים במזרח אירופה בכלל וברומניה בפרט, מזניחים כליל נושא זה בדוחותיהם השנתיים.

חקיקה ורגולציה

ברומניה קיימת חקיקה על מסחר אלקטרוני, זכויות יוצרים מקוונות, חתימה אלקטרונית, תשלום אלקטרוני, פרסום מקוון, הגנה על נתונים אישיים, פשעי סייבר, פורנוגרפיה באינטרנט ותקשורת אלקטרונית. כמו כן קיימים כמה חוקים ספציפיים, שיזם משרד התקשורת והמידע הרומני, המגדירים תנאי אבטחה מינימליים של המערכות הדיגיטליות למינהל הציבורי והרשומות האלקטרוניות הלאומיות.

החקיקה הספציפית על פשעי סייבר והגנה על תשתיות קריטיות (CIP):

  • אמנת בודפשט, אושררה על ידי חוק רומני מס' 64/2004
  • חוק מס' 161/2003 להגנה נגד השחיתות: פרק ג - מניעת הלחימה הקיברנטית ומאבק בה (סעיפים 42-51).
  • פקודת חירום 98/2010 בנושא זיהוי, הגדרה והגנה של תשתיות קריטיות משנת 2010. הפקודה משמשת למעשה כאסטרטגיה הגנתית קריטית של רומניה.

חקיקה כללית ותקנות הקשורות לביטחון הקיברנטי:

הגדרת יעדים אסטרטגיים של האיחוד האירופי בתחום אבטחת מידע (דרקטיבת NIS):

 דרקטיבת NIS פורסמה ב-19 ביולי 2016 בכתב העת הרשמי של האיחוד האירופי, ונכנסה לתוקף ב-8 באוגוסט של אותה שנה. כל המדינות החברות באיחוד, כולל רומניה, נדרשו להטמיע אותה בחוקי המדינה עד ה-9 במאי 2018. מטרת הדרקטיבה היא ליצור הגנה אחידה והרמונית ברמה הגבוהה ביותר של אבטחת רשתות ומערכות מידע של כל מדינות האיחוד האירופי. תקנה זו נחשבת לחקיקה המקיפה הראשונה בתחום חשוב זה. ואולם, רומניה נמצאת בפיגור ביחס לאיחוד האירופי בהטמעת דרקטיבת NIS:

  • אין חקיקה או מדיניות לאומית הדורשת ביקורת שנתית בתחום אבטחת הסייבר.
  • אין חקיקה או מדיניות לאומית הדורשת דיווח ציבורי על יכולת אבטחת המידע של הממשלה.
  • אין חקיקה או מדיניות לאומית הדורשת תקנים של מנהל IT או מנהל אבטחת מידע בכל ארגון.
  • אין חקיקה או מדיניות לאומית הדורשת חובת דיווח על תקריות סייבר. לעת עתה מסתפקים בחוק משנת 2011 המגדיר את המרכז הלאומי לתיאום אירועי אבטחת מידע CERT-RO, כגורם המרכזי לניהול משברי סייבר, אשר ארגונים פרטיים וציבוריים מחויבים לדווח לו. הארגון מספק התרעה מוקדמת, מידע בזמן אמת ותמיכה בהתקפות סייבר.
  • אין שיתוף פעולה ציבורי-פרטי ברור בתחום אבטחת הסייבר ברומניה.

נראה אם כן כי תחום אסטרטגיית אבטחת המידע של רומניה דורש תהליך בירור ושיפור בכל הפערים שהוזכרו לעיל.

הזדמנויות בתחום הסייבר ברומניה

  • ביקורות סייבר, הכשרות בתחום הסייבר, בדיקות חדירה והערכת סיכונים בתחום הסייבר:

חוק הסייבר הלאומי לא נחקק עדיין אך הוא נמצא על שולחן הממשלה וכאשר ייכנס לתוקף (ההערכה היא שזה יקרה בחלקה הראשון של שנת 2018) – ייפתחו הזדמנויות רבות בתחומים אלה. כפי שמתואר לעיל, הרומנים נוטים לפעול רק מכורח המציאות וציות לרגולציה, וחוקים אלה ייאלצו אותם לפעול ויעצרו את גרירת הרגליים שמאפיינת סקטורים רבים כיום.

  • הגנה על רשתות תשתית קריטיות: חשמל, נפט וגז, בנקים ושאר ארגונים הנחשבים קריטיים על פי דרקטיבת NIS:

אחד ההיבטים החשובים ביותר הוא ההגנה על רשתות מידע של תשתית קריטיות: SCADAICS, מודעוּת אבטחתית באינטרנט והדרכות לעובדים, בעיקר במחלקות הרגישות בחברות תשתית קריטיות (HR, Financial).

  • החקיקה האירופית בתחום הגנת הפרטיות (GDPR)

החקיקה האירופית הקרובה בתחום הפרטיות (GDPR) היא גורם חשוב שהוביל לשיא בדיווחים בתחום הפרטיות. מערב אירופה בפרט, וגם במידה מסוימת אזורי הים התיכון, אחראים לשיא זה. במזרח אירופה ובצפונה יש מגמה מובהקת של חוסר תשומת לב מספקת לנושא זה, ורומניה הינה חלק ממגמה זו. אך תאריך היעד המתקרב ליישום התקנות עשוי לשנות מציאות זו, שכן עונשים חמורים יוטלו על אי ציות והארגונים ייאלצו לפעול במהירות.

פעילות הנציגות הכלכלית הישראלית בבוקרשט

הנציגות הכלכלית הישראלית פועלת בכל הסקטורים, ובמיוחד בתחום ה-Cyber Security, הן בסיוע פרטני לחברות ישראליות הפונות אליה והן בפעולות יזומות לחשיפת חברות בתחום הסייבר. בפעילות הפרטנית, הנציגות הכלכלית מסייעת באיתור שותפים מקומיים, סוכנים ומפיצים, באיתור לקוחות, בפתרון בעיות רגולציה וחסמים ובאיתור הזדמנויות. בפעולות היזומות הנציגות הכלכלית פועלת לחשיפת הידע והטכנולוגיות הישראליות בקרב אנשי עסקים וממשל, ולקידום עסקאות ומכירות. לצורך כך יוזמת הנציגות הכלכלית אירועים רבים ברומניה ובישראל, מארגנת משלחות וכנסים, ראיונות תקשורתיים ופגישות אישיות עם חברות ישראליות, שלעתים אינן מודעות לפוטנציאל האדיר הקיים ברומניה.

בין הפעילויות הבולטות של הנציגות בשנתיים האחרונות ניתן למנות:

  • יולי 2016: ארגון אירוע בשיתוף חברת צ'ק ברומניה בבית השגרירה, ל-80 בכירי סייבר מכל המגזרים.
  • ספטמבר 2016: ארגון משלחת של 11 חברות סייבר ישראליות לרומניה בשיתוף מכון הייצוא. במסגרת זו התקיימו מעל 160 פגישות עסקיות.
  • נובמבר 2016: ארגון משלחת רומנית בכירה לכנס HLS/Cyber בישראל.
  • נובמבר 2016: ארגון ביקור ההנהלה הבכירה של חברת תשתיות החשמל הרומנית Transelectrica בישראלבמסגרת שיתוף פעולה עם חברת החשמל הישראלית. הביקור התמקד באבטחת סייבר ובשיתופי פעולה בין החברות.
  • מארס 2017: ארגון ביקור חברת אינטגרציה רומנית גדולה בתחום הסייבר בארץ. במסגרת זו התקיימו 10 פגישות ממוקדות עם חברות ישראליות שנבחרו לאחר תהליך סינון מקדים, בסיוע הנציגות.
  • ספטמבר 2017: ארגון ביקור בן שלושה ימים של אחד מבכירי ענף הסייבר הישראלי ברומניה, במסגרתו אורגן אירוע ייעודי בהשתתפות כמאה איש, והתקיימו פגישות עם בכירי הסייבר ברומניה, לשם יצירת תשתית לשיתופי פעולה בסקטור הציבורי והפרטי.
  • נובמבר 2017: ארגון ביקור של שני בכירי ענף הסייבר הישראלי מתחום התשתיות הקריטיות בכנס לאומי גדול של Cert-Ro. בכנס זה היו האורחים הישראלים הדוברים המרכזיים והתקיים 'שולחן עגול' עם מנהלי אבטחת המידע של חברות התשתית הקריטית הגדולות בתחום האנרגיה.
  • דצמבר 2017: ארגון ביקור בישראל של מנהל מערכות המידע הלאומי של ממשלת רומניה. במסגרת הביקור הוא נפגש עם עמיתיו הישראלים, סייר במתקנים ופגש למעלה משלושים חברות פרטיות וציבוריות שונות.
  • ינואר 2018: ארגון משלחת של 21 בכירי סייבר רומנים בכנס 'סייברטק' בישראל, ביניהם המנמ"ר הלאומי, ראש יחידת הסייבר של השירותים החשאיים, מנכ"ל החברה הטכנולוגית של השירותים החשאיים, מנהל הCert וסגנו, מנהלי הIT של חברות הגז, האנרגיה הגרעינית וחברת טלקום, מנכ"ל IBM רומניה, משקיע רומני גדול בתחום ה-IT וכן שלוש חברות אינטגרציה פרטיות. המשלחת קיימה למעלה מחמישים פגישות, ביקרה בCert הישראלי ובחברת החשמל וכן השתתפה ב'פורום סייבר ישראל-רומניה' שנכחו בו כשמונים איש.

על כל אלה נוספות פעילויות רבות שקצרה היריעה מלפרט, ביניהן שלוש משלחות של תאגידי מים רומניים לישראל (אשר תחום הסייבר היה חלק מהפעילות שלהן), פעילויות קידום בערוצי מדיה, ראיונות עיתונאיים ועוד.

ומה צפוי בעתיד?

  • כעת מתמקדת הנציגות בבניית מעקב מסודר ('פולו-אפ') מול המשתתפים הרומנים בעקבות הפגישות שהתקיימו ולנוכח הטכנולוגיות שנחשפו אליהן במסגרת 'סייברטק'.
  • בעקבות בקשת הבכירים הרומנים אנו עובדים על ארגון משלחת נוספת לישראל, שתתמקד בחברות תשתיות קריטיות (מנהלי אבטחת המידע של כל חברות התשתיות הקריטיות הגדולות – חשמל, נפט, גז, מים), ובצרכים הספציפים שהרומנים ציינו.
  • ב27–28 במארס 2018 תצא משלחת נוספת לרומניה, בשיתוף עם ענפי הסייבר ואבטחת המולדת של מכון הייצוא, שתוקדש לפגישות עסקיות (B2B) עם גורמים רומנים שונים: מפיצים, סוכנים, אינטגרטורים ולקוחות קצה. כמו כן יתקיים אירוע 'נט-וורקינג' רחב היקף ושולחן עגול אסטרטגי ואינטימי עם גורמי ממשל בכירים.
  • בנובמבר 2018 תשתתף משלחת רומנית בכנס HLS/Cyber שיתקיים בתל אביב.
  • וכמובן, לאורך השנה כולה נמשיך לסייע לחברות ישראליות לקדם עסקים ולמכור את מוצריהן בשוק הרומני.

סיפורי הצלחה בתחום רגיש זה הם, מטבע הדברים, חסוים. אך אפשר לדווח באופן כללי על ארבעה סיפורי הצלחה של חברות ישראליות, אחת גדולה אשר סייענו לה למכור את מוצריה ולפתור בעיות מול הרשויות; ועוד שלוש חברות קטנות אשר בסיוע הנציגות חברו לשותפים מקומיים וללקוחות קצה. בקרוב צפויות להבשיל עסקאות נוספות של חברות המנהלות בסיוע הנציגות משא ומתן מתקדם.

 עצות להצלחה עסקית בתחום הסייבר ברומניה

  1. מצאו שותף מקומי: הרומנים אוהבים לעבוד עם בני עמם, בייחוד בתחום הסייבר. השקעה בשותף מקומי תצדיק את עצמה במקרים של פתרון בעיות והנגשת הזדמנויות בצורה יעילה לאין שיעור לעומת ניסיון עצמאי.
  2. היו פרואקטיבים ולא תגובתיים: 'החוצפה' הישראלית היא יתרון לעומת הנורמה הרומנית, אם היא רק נעשית בחוכמה וברגישות. אל תחכו שהלקוח יפנה אליכם בפרויקט או מכרז (זה קורה רק בתחום הביטחוני) – עליכם להגיע לשוק, להיפגש ולהשקיע בפיתוח עסקי ושיווקי. ללא מצגת ופגישה פנים מול פנים, לעתים יותר מפעם אחת, רוב הסיכויים שהעסקה לא תבשיל.
  3. אפשרו הדגמות והתנסות: חשוב ליצור הזדמנויות לפיילוט ואף לתת רשיונות להתנסות ללא תשלום (ברוב המקרים). אמנם יש בכך סיכון, אבל אם הסיכון מחושב, הוא יצליח!
  4. דאגו לצוות תמיכה ותחזוקה מקומי: הצוות יכול להיות בבעלותכם או בבעלות השותף, והוא חשוב כדי לתמוך בבקשות לפרויקטים. זהו אחד ההיבטים המרכזיים שיוצר אמון אצל הלקוח הרומני, אשר יגדיל את סיכוי ההצלחה וההמשך של הפרויקט, ואף יאפשר פרויקטים עתידיים נוספים.
  5. השקיעו במו"פ מקומי: השימוש בכוח אדם מקומי לא רק יכול לחסוך כסף אלא גם לתת לכם יתרון גדול מול המתחרים, בוודאי אם הלקוח הוא גוף ממשלתי.
  6. הציעו הצעות מחיר הוגנות: שימו לב שהצעות המחיר שלכם הוגנות ביחס לשוק הרומני ואף ביחס לשווקים אחרים באירופה ובעולם. אם יתברר ללקוח כי ההצעה איננה אטרקטיבית, חלון ההזדמנויות ייסגר ויהיה קשה מאוד לפתוח אותו שוב לאורך זמן.
  7. היו סבלניים ורגישים: הרומנים אינם מהירים כמו הישראלים ולעתים הם מתקשים לומר 'לא'. משך המשא והמתן עשוי לקחת שנה או יותר, בעיקר בתחום אבטחת המידע לתשתיות קריטיות.
  8. היזהרו בדבריכם ובמעשיכם: הסוכנות הלאומית למאבק בשחיתות ברומניה פעילה מאוד ויעילה ביותר. אל תבקשו סיוע במכרז או במידע רגיש מאנשי ציבור. ניסיון כזה עלול לפגוע לא רק בכם אלא בכל התעשייה הישראלית ואף הנציגות הכלכלית שעמלה על יצירת הזדמנויות עבורכם.

לסיכום

רומניה היא אחת מידידותיה הקרובות של ישראל בעולם. היחס לישראלים מתאפיין בהערכה עצומה ואף בהערצה, בעיקר בתחום הטכנולוגיות, השירותים, הידע, המתודולוגיות והנהלים הישראלים בתחום הסייבר. אחד הגורמים החשאיים והבכירים ביותר ברומניה בתחום הסייבר ציין בשיחה סגורה, כי אף שהוא משתף פעולה עם מדינות רבות, רק לישראל יש שילוב של הידע הטוב ביותר עם הנכונות העמוקה ביותר לשתף פעולה ולעזור. שמה הטוב של ישראל הוא הנכס החשוב ביותר. חשוב לשמר אותו לטובת שיתופי פעולה פוריים בתחום זה לשתי המדינות, הן לצורכי הגנה וביטחון והן לקידום העסקים.