ספקי פתרונות האנטי-וירוס וה-Anti-Malware הכריזו מלחמה כנגד מפתחי, ספקי ומפיצי האפליקציות (למעשה כל סוגי התוכנה), כדי למזער ככל הניתן את הפגיעה בחוויית הגלישה והשימוש באינטרנט מצד הגולשים. האם ניתן לגשר על הפערים ולהגיע ל"הפסקת אש"?
מאת: אבי וייס, 22.12.14, 12:40

הנושא החם ביותר כיום בעולם פיתוח והפצת התוכנה והאפליקציות מכונה בשם PUS (ר"ת Potential Unwanted Software). דהיינו: מפתחי אפליקציות, מפיצי ומספקי אפליקציות, מגלים מהר מאוד שהם אינם יכולים לספק את האפליקציות שלהם למשתמשי הקצה, גם בחינם, בגלל שמערכות ההפצה שלהם נחסמות ע"י חברות אבטחת המידע בכל רחבי העולם, שהגדירו אותם כ-PUS.

תופעה זו משלימה את התופעה של ריבוי שימוש ברובוטים בעולם הפרסום והקידום (ראה כאן), מה שמוביל להחמרת המעקב אחרי כל פעילות חשודה ברשת האינטרנט וחסימתה ע"י חברות האנטי-וירוס, אנטי-Malware ואנטי-ספאם. הפצת תוכנות וגם חלק מהפרסומות נחשבות כיום כהפצת ספאם, לא פחות. לכן הן החלו להיחסם. 

הנושא הזה עלה לדיון ביום עיון, שנערך ב-17.12.14 במרכז הוועידות החדש והמתקדם של פירמת עורכי הדין "הרצוג פוקס נאמן" (HFN), בבית אסיה בת"א. כותרת המפגש מדברת בעד עצמה: Anti-Virus or Anti-AdTech?

עו"ד אריאל יוספי, (בתמונה משמאל), שותף, HFN: "תחום המונטיזציה של אפליקציות נכנס לוואקום רגולטורי כמעט בכל רחבי העולם. בעבר, מיקרוסופט הייתה מוקד נושאי לטיפול רגולטורי, בעיקר באירופה, בגלל שיטות הפצת התוכנה על ידה. כיום, הרגולטורים מטפלים בחברות תוכנה אחרות דוגמת גוגל. אבל, אין כל טיפול רגולטורי מסודר בכל השוק של התוכנה והפצת התוכנה.

סטארטאפים רבים, לרבות יזמים ומפתחי תוכנה בכל רחבי העולם, סבורים, שאין כל חוקים בתחום הפרסום וההפצה של הפיתוחים שלהם. הם סבורים, שחוקי וכללי האבטחה לא חלים עליהם, כל עוד הם לא מוגדרים כחברה ציבורית, שנסחרת בבורסה, שאז חלים עליה החוקים והתקנות המגיעים מעצם הכניסה לבורסה.

אולם, מדובר בטעות תפיסתית חמורה ובסיסית בהבנת המצב. נציג כאן את המציאות, שהתפתחה לאחרונה בתחום זה בעולם.

השאלה הגדולה היא: איך המחוקקים משנים היום את התנהגות האנשים. באופן יותר ספציפי: את ההתנהגות של האנשים בעולם ההייטק והיזמות. כלומר: עולם ההייטק והיזמות לא יכול להמשיך בדרך, שבה הוא הולך היום בתחום התוכנה. הדרך הזו היא 'סמטה ללא מוצא'. 

לכן, נשאלת השאלה: מהי הדרך הנכונה לשמור על הלקוחות מבלי להפר את החוקים והכללים הקיימים ובכל זאת להתקיים בעולם התחרותי שבו אנו נמצאים?"

ברק שיין, (בתמונה משמאל), מנהל פיתוח בכיר, מרכז האבטחה, מיקרוסופט ישראל: "החוקרים שלנו מצאו לאחרונה, שיש עלייה דרמטית ב-PUS. ראינו, שהפצת תוכנות הפכה להיות יותר אגרסיבית מהעבר.

החלטנו לחקור זאת ומצאנו, שזה בעיקר נעשה ע"י חברות, ארגונים ואפילו מדינות, שאין להם היסטוריה של הפצת ספאם, וירוסים או סוסים טרויאניים. זה למעשה נעשה ע"י אנשים רגילים, לא ע"י האקרים. 

לכן, החלטנו לחרוג ממנהגנו ולחקור זאת לעומק ע"י פגישות עם החברות הללו ולמדנו מזה רבות. למדנו כמה תובנות חשובות:

א. המפיצים עושים זאת כדי לצבור כמה שיותר 'לקוחות', מה שייתן להם ערך בעיני המפרסמים.

ב. הם מתייחסים בצורה שלילית ביותר לחברות האנטי-וירוס והאנטי-Malware. מצאנו שהתיעוב הוא הדדי. החברות רואות בהן אויב ולהיפך. 

הסיבה: החברות המפיצות תוכנה לא מקבלות כל פרטים למה הן נחסמו והן אינן יודעות מהם הקריטריונים שלפיהם עובדות חברות האנטי-וירוס והאנטי-Malware. מפיצים רבים סווגו ברשימות שחורות בלי כל הסבר ובלי כל יכולת ערעור וגם לא קיבלו כל מענה למה הן סווגו כך. לכן, הן החלו בתרגילים, תרגילים שהולכים ומחריפים, כדי לנסות לעקוף את החסימות של חברות אבטחת המידע.

ג. החברות המפתחות ומפיצות אפליקציות איבדו את כל האמון בספקי מערכות אבטחת המידע. לעיתים, יש צורך לשלם הון עתק לחברת אבטחת המידע, כדי שתוציא מפיץ מסויים מהרשימה השחורה שלה. זה נראה ממש כמו סחיטה. לכן, זה נראה כפער בלתי ניתן לגישור. 

בנוסף למדנו, שתעשיית הורדת התוכנות היא תעשייה מאוד מורכבת, שיש בה שרשרת אספקה מורכבת, תעשייה עם המון מעקבי נתונים זה על זה והמון סטטיסטיקות וניתוחים.

לדעתנו, אחרי שלמדנו את הנושא, רגולציה עצמית היא המתכון המתאים לטפל בסוגיות של התעשייה הזו. המחוקקים מגיבים לאט ואינם עוקבים אחרי ההתפתחויות בעולם ההייטק. 

בצד של חברות אבטחת המידע, שאנו חלק מהתעשייה הזו (מלבד היותנו גם חברת הפצת תוכנה), מצאנו, שרוב זמנה של חברת אבטחת מידע מוקדש לתופעת ה-PUS. זה מסיט את המאמץ הנדרש מחברת אבטחת המידע להילחם ברמאים, בפושעים, בהאקרים ובגנבי המידע.

מצאנו, שחברות אבטחת המידע לא מוכנות להשקיע זמן בטיפול בתלונות של ספקי התוכנות, מפני שהם לא היו ואינם לקוחות שלהן. כך, נוצר קצר בתקשורת וחוסר אמון בין הצדדים. 

כיום, כשחוויית הלקוח היא בעדיפות עליונה של כל ספק שירותי אינטרנט, חשוב לפתור את ההתנגשות בין המפרסמים ומקדמי התוכנות והפרסום לבין החברות האמורות להגן על מחשבי משתמשי הקצה ועל המשתמשים עצמם.

מי שמשלם לחברות האבטחה אלה משתמשי הקצה והחברות המספקות שירותי גלישה. הם רוצים חוויה טובה. הם לא מוכנים לקבל כפיית פרסומת, כפיית תוכנות, שהם לא רוצים. הם לא מוכנים לקבל את כל תרגילי הדחיפה של פרסומות ותוכנות, שלעיתים גובלות במרמה ובטעייה. בגלל התרגילים הללו, יש תחילה של תהליכי חקיקה בנושא, תהליכים, שישלימו את המאבק בתופעת הספאם, בעיקר בארה"ב, אבל זה ממש בתחילת הדרך וזה טרם הבשיל. 

עד שתהיה חקיקה מסדירה, לדעתנו חשוב לקדם את התקשורת בין כל הצדדים. לכן, הלכנו לניסוי משל עצמנו, לנסות לשלב ידיים עם חברת תוכנה אחת המפיצה את התוכנה שלה ולנסות לעבוד עימה בשת"פ. זה הצליח והחלטנו ללכת צעד נוסף. התכנית העתידית שלנו, לאור המצב שיש בשוק, היא, שאנו חושבים, שניתן להגיע לפיתרון כולל ואנו מציעים את הפתרון הזה. 

הפתרון המרכזי, שהצענו, שכבר החל להתרומם, נקרא CSA (ר"ת Clean Softwre Alliance). (אגב: יש גם קבוצה בארץ). ההתארגנות הזו החלה במפגש של 2 התעשיות, בפיילוט, שהתקיים בבריטניה ביוזמתנו. הפגשנו 40 חברות תוכנה עם 40 חברות אבטחת מידע. התוצאה של המפגשים הללו: נוצרו קבוצות עבודה משותפות בין הקבוצות. ככה יצאנו לדרך. 

מה שחשוב לזכור, שהמשתמשים הסופיים הם הלקוחות ויש להם הזכות לבחור. המחשבים הניידים והנייחים שלהם הם שלהם, והסמארטפונים שלהם הם שלהם, לא של אף אדם אחר, בוודאי לא של ספקי הפרסומות והתוכנות.

ב-21.1.15 יש כנס עולמי ראשון של CSA באלס-וגאס, שבו הארגון הזה יושק בקנה מידה עולמי. אני קורא לכל מי שחשוב לו הנושא להצטרף לארגון החדש הזה".  

עו"ד ד"ר נמרוד קוזלובסקי (בתמונה למעלה), יועץ בכיר ב"הרצוג פוקס נאמן" ושותף ב-JVP Cyber Labs: "במחקרים נמצא, שעד כ-80% מכלל הצופים בפרסומות מקוונות, כולל בפרסומות וידיאו, הם רובוטים. איך אפשר להתמודד עם תופעה כזו ענקית? זו גם בעיה חוקית ענקית.

האם זה בכלל חוקי קיומו של מצב בו משלמים המפרסמים על פרסומות הנצפות ברובן ע"י משתמשים פיקטיביים? הבעיה עוד יותר חמורה מזה. כיום, כולם מפחדים מענישה של גוגל, לכל מי שחורג מכללי הפרסום וההפצה של גוגל. כך, גוגל שולטת בכללים שלה על הכל. אבל, גוגל לא מגלה הכל, היא גם מחליפה כללים כל הזמן וגוגל היא גם לא כל השוק. לכן, הרגולטורים החלו לשים לב לאחרונה להתנהגות שלה. 

ספקי השירות של אבטחת מידע, במיוחד חברות העוסקות באנטי-וירוס, אנטי-ספאם ואנטי-Malware, נמצאות בשוק תחרותי מאוד קשה. איך מבדלים בין החברות? אז הן יצרו קטגוריה חדשה של תוכנות המפרות כללים, שהן המציאו. זה די דומה לעבודה של המאפייה. המאפיה הסיציליאנית המציאה את השיטה הזו. כך, נוצר לו שוק חדש המפרנס לא מעט עורכי דין. 

יש כאן בעיה חדשה, שלא נמצאת עדיין ברגולציה, בעיה הנשלטת ע"י הגדולים, שקובעים כללים בשוק החדש הזה, כללים המשרתים את המודל העסקי שלהם. אנו, כאן ב-HFN, התמחינו בתחום הזה וזו התמחות ייחודית שלנו בשוק העולמי של ההייטק. 

חברות רבות לא מספקות יכולת הסרה - Uninstall לתוכנה שלהן. לעיתים יכולת ההסרה היא חלקית ומטעה. כך, הן שוללות מהצרכנים את יכולת ההחלטה מה יהיה להם במחשב או בסמארטפון ומונעות מהם את יכולת החרטה.

המלצנו לא אחת לחברות התוכנה, שהן תפעלנה בשוק בדרך שיש בה התנהגות אתית. מהניסיון שלי, משתלם יותר לחברות התוכנה להתנהג בצורה אתית, מאשר להתנהג בצורה לא אתית, בצורה המרמה את הלקוחות או הדוחפת להם דברים, שהם לא חפצים בהם. 

כשאנו עוברים היום למודל ה-SaaS בעולם הפצת התוכנה, יש צורך לבנות לזה מודלים כלכליים וכללים חדשים להפצה, כדי למנוע פגיעה בלקוחות הסופיים, למנוע חסימת מרכזי מחשוב בענן ע"י חברות אבטחת המידע. 

אני מאמין, שבעתיד נראה את חברות התקשורת קובעות איזו תוכנה תרד למחשבי המשתמשים הנמצאים על הרשת של ספק התקשורת. הן תקבענה את מי הם רוצים ומרשים ברשת, והן אלו שתחסומנה את הפרסומות וההפצות הלא מבוקרות של תוכנה. ספקי התקשורת לא רוצים להיות 'צינור טיפש' - Dump Pipe. זה יעורר בעיות רבות מבחינה רגולטורית ואנו כבר חושבים איך צריך להיערך למצב הזה כי הוא לא מצב תיאורטי".