באוקטובר 2021 דחה בית המשפט המחוזי את עתירתה של חברת אורקל נגד הפסדה במכרז נימבוס לאספקת שירות ענן לממשלה ולצה"ל. בכך ניתן האות להתחיל במהלך הגדול להעביר את משרדי הממשלה לעננים המתקדמים של אמזון AWS וגוגל GCP – מהלך שיזניק קדימה את פעילות הממשלה ואת איכות השירותים שהיא מעניקה לאזרח.
אלא שמאחורי הקלעים המאמצים לשנות את תוצאות המכרז לא נפסקו לרגע. אורקל ערערה על דחיית העתירה לבית המשפט העליון, בעיקר על בסיסי טענות מנהליות. הדיון בערעור נקבע לחודש מאי הקרוב.
במקביל, נקבע גם דיון בנושא בוועדות החוץ והביטחון של הכנסת כדי לדון בטענות של בכירים לשעבר במערכת הביטחון. אלה השמיעו טענות, הן נגד תוצאות המכרז, והן נגד תהליך קבלת ההחלטות שקדם לו. אלא שאתמול (ראשון), פחות מ-24 שעות טרם הדיון, הוא בוטל במפתיע על ידי יו"ר הוועדה ח"כ רם בן ברק.
ככל הנראה, היה אמור הדיון לעסוק בביקורת שמתחו בכירים על היבטים שונים של המכרז, בהם ההחלטה שלא לחייב את ספקיות הענן לבנות את חוות השרתים שלהן בישראל מתחת לפני הקרקע. זאת, חרף הסיכונים שעלולים להישקף להם על רקע התגברות האיומים הרקטיים מצד סוריה, איראן, חיזבאללה, חמאס והחות'ים בתימן, ועל רקע אירועי מבצע "שומר חומות".
הגורמים טענו כי בכך שאפשרו לאמזון ולגוגל להסתפק בבניית חוות שרתים מעל הקרקע, התעלמו מקבלי ההחלטות מעבודת מטה שבוצעה על הנושא בצה"ל על ידי תא"ל זיו אבטליון, שהמליצה לבנות חוות שרתים מתחת לפני הקרקע. לדברי הגורמים הסכנה שבהקמת המתקנים מעל פני הקרקע קיבלה משנה תוקף לאחר שמיקומם המדויק של חוות השרתים שמוקמים בישראל כבר נחשף והופץ ברחבי הרשת.
למרות התגברות סיכונים אלה, נטען, היה טעם לפגם בכך שהשב"כ לא שותף בתהליך קבלת ההחלטות. ביקורת נוספת נמתחה גם על כך שנוסף לשב"כ, גם המוסד לא שותף בתהליך קבלת ההחלטות. זאת, למרות שחלק מן המידע הממשלתי יוחזק בחוות שרתים על אדמת גרמניה, בתקופת ביניים בטרם יושלמו בניית האתרים של אמזון וגוגל בשטח ישראל. כמה זמן? ברשות התקשוב הממשלתי אמרו כי "על פי דרישת המכרז והתחייבויות הספקיות, האזור הישראלי שלהן יופעל במלואו תוך 14 חודשים מהיום, כאשר חלק מהמתקנים יהיו מוכנים לתת שירות בארץ החל מחודש ספטמבר השנה". עוד ציינה הרשות כי "ממשלת ישראל עושה שימוש מוגבל ומבוקר בעננים בחו"ל כבר מספר שנים כאשר כל מערכת מאושרת פרטנית ב'ועדת הענן', המורכבת מנציגי כלל הגופים הרלוונטיים".
החשש של הבכירים הוא גם מפני צעדים שיכולות לנקוט נגד ישראל רשויות אכיפת החוק בחו"ל, כמו גם מפני פעילות חתרנית או חבלנית של עובדים בענקיות הענן. על פי פרסומים, אלה כבר התארגנו בעבר על מנת לנסות ולפגוע בעסקה עם ישראל.
לעומת השב"כ והמוסד, מי שכן ליוו את התהליך הם צה"ל, שהמכרז מלכתחילה נועד בעבורו (לצד הממשלה), ומערך הסייבר הלאומי. במשרד הביטחון סירבו להשיב לשאלה האם גם המלמ"ב (הממונה על הביטחון במערכת הביטחון) שותף בתהליך.
בשיחה עם Business, התריע ראש המל"ל לשעבר, אלוף במיל' גיורא איילנד, על "לקונה בגודל פיל" בתהליך. איילנד שמלווה את מאבקם של תושבי מושב בני ציון נגד הקמת דאטה סנטר של גוגל באזורם, מסביר כי "האיום הקונקרטי הוא מצד טילים מדויקים – בין אם טילים בליסטיים, טילי שיוט או כטב"מים נושאי חימוש". לדברי איילנד, "אף אחד לא ירה טיל מדויק על שכונה בבני ברק. מי שיש לו, יירה אותם על אתרים בעלי חשיבות לאומית, כמו תחנות כוח, מפעלי התפלת מים, בתי חולים, או תחנות רכבת גדולות".
הבעיה, הוא מסביר, היא "שבמקרה של דאטה סנטרים, אין מי שאחראי על ההגנה שלהם. יש פה בעיה ענקית. אם הייתי המנהיג הרלוונטי שמכוון את פעילות ערביי ישראל במלחמה הבאה, לא אגיד לאלפי אנשים לכו לעשות ונדליזם במסעדות של יהודים, אלא אכוון אותם למקומות האלה. אף אחד במדינה לא אחראי לתת את הדעת להיבטים האלה. זו לקונה בתוך לקונה, ואני אומר את זה בביטחון, כי את השאלה הזו שאלתי שלושה שרי אוצר ושלושה שרי אנרגיה ועוד הרבה אנשים מתחתיהם. אין אף אחד שאחראי לתת תשובה".
איילנד מותח ביקורת לא רק על העובדה שלא כל גופי הביטחון היו שותפים לתהליך, אלא גם כלפי העובדה שמלכתחילה ההחלטה במכרז לא התקבלה בדרג בכיר. "ההחלטה לא הייתה בהכרח צריכה להתקבל בדרג מדיני, אבל לכל הפחות אבל היה ראוי שתתקבל בדרג פקידותי הכי גבוה בתחום התשתיות.
בית המשפט הטיל חסיון מסיבות ביטחוניות
מכרז הענן הממשלתי "נימבוס" נועד להזניק קדימה את עבודת הממשלה ושל צה"ל (בהיבטים הלא-מסווגים) ואת השרות הממשלתי לאזרח, באמצעות מתן גישה לחומרה ולתוכנה המתקדמים ביותר. באמצעות המכרז, יוכלו גופי הממשל השונים לא רק לקבל מחיר תחרותי על שירותי מחשוב, אלא גם הזדמנות גישה לתשתיות ותוכנות שהגישה אליהם לא הייתה מעשית עד עתה, כשכל גוף ממשלתי נאלץ להתנהל בפני עצמו ולתחזק כל אחד את מערכות המחשב שלו עצמו.
ה-"ענן הציבורי" שמפעילות כל אחת מענקיות הענן – אמזון, גוגל, מיקרוסופט, אורקל ויבמ – הוא למעשה רשת של תשתית מחשב חובקת עולם, המורכבת מעשרות רבות של דאטה סנטרים – קומפלקסים מאובטחים הכוללים חוות שרתים ואת מתקני השרות, התחזוקה ואספקת האנרגיה שלהם – שעשויים להגיע לממדים של מתקן צבאי או מגרש ספורט.
מכרז הענן צפוי לסייע לממשלה ולצה"ל להביא אל הפעילות הממשלתית כלים של הייטק, ולהשוות את איכות השירותים הדיגיטליים שהיא מעניקה לאזרח אל האיכות אליה האזרח רגיל מחיי היומיום. נוסף על שיפור השירות צפוי המכרז גם לספק תעסוקה משמעותית לשוק ה-IT המקומי שתפקידו יהיה לסייע לממשלה לעלות על הענן בפועל ולתחזק את נוכחותה בו. כל ארבע ענקיות הענן, אלה שזו במכרז הממשלתי ואלו שלא, יש לציין, מקימות בימים אלה בישראל דאטה סנטרים כחלק ממהלך להקמת עננים מקומיים לטובת כלל המשק האזרחי.
מתוכן, שתי החברות שלא זכו, מיקרוסופט ואורקל, נמצאות בשלב מתקדם מאוד של השלמת בניית הדאטה סנטרים שלהן. הענן שמקימה מיקרוסופט בישראל אמור לכלול מרכיבי תת קרקע ואילו הענן של אורקל באיזור הר חוצבים בנוי רובו ככולו תחת פני האדמה.
"מערכת הביטחון נתנה את דעתה על פרויקט נימבוס בכללותו"
שאלה נוספת שביקשנו לבדוק מול כל הגופים המעורבים והנזכרים: משרד האוצר, רשות התקשוב הממשלתי, מערך הסייבר, ויתר גופי הביטחון, הייתה האם בעקבות הביקורת צה"ל נסוג לאחרונה מחלקים מהמכרז. על כך השיבו הן צה"ל והן משרד הביטחון, כי אינם מתייחסים לנושא.
רשות התקשוב גלגלה את הכדור אל אחת החברות המפסידות במכרז - אורקל. על פי תגובת הרשות, "נראה כי אתם ניזונים ממידע שגוי, שמועבר אליכם על ידי גופים עם אינטרס ברור. חשוב להדגיש כי, כל הגופים המצוינים בשאלות שלכם, היו שותפים מתחילת הדרך למכרז נימבוס משלב החשיבה והלאה, מגיבוש המכרז ועד פרסומו".
"הטענות המועלות כאן, מקורן בחברת אורקל אשר הציגה מענה נחות לדרישות המכרז, גם בעתירתם לבית המשפט הם התבקשו "ליטול קורה מבין עיניהם" וציין בית המשפט כי לעתירתם אין תוחלת. העברת מידע ממשלתי לחו"ל בתקופת הביניים, נעשית בצורה מבוקרת ומנוהלת, לא עובר מידע ללא בדיקתו ואישורו על ידי הגורמים המיועדים לכך. אין כל כוונה להעביר מידע ממשלתי רגיש לענן עד להקמת האזורים בארץ, לשם כך בדיוק נועד מכרז נימבוס".
ממשרד האוצר נמסר: "פרויקט נימבוס הוא פרויקט לאספקת שירותי ענן ציבורי לממשלה ולמשרד הביטחון ולצה"ל. כלל הגופים הרלוונטיים, ובכלל זה הגופים הביטחוניים הרלוונטיים, היו שותפים בפרויקט מיומו הראשון, ושותפים מלאים בו גם היום. כל ההחלטות התקבלו על ידי כלל הגורמים המוסמכים בשיתוף פעולה ומתוך אחריות משותפת לפרויקט אסטרטגי זה. אנו לא ניגרר לטענות שמופצות על ידי בעלי עניין".
האם מערך הסייבר יאבטח את הדאטה סנטרים?
שאלה נוספת שעלתה, עסקה בהיקף האחריות של מערך הסייבר להגנת הדאטה סנטרים. השאלה הופנתה למערך הסייבר, שאחראי להגן על תשתיות המדינה החשובות והקריטיות ביותר, כמו חשמל, מים, גז ותקשורת, שפגיעה בתפקודן עלול לגרום לנזקים משמעותיים לכלל המשק והמדינה.
מנוסח התשובה של המערך, ניתן להסיק כי אם יוכנסו הדאטה סנטרים שמוקמים בישראל תחת כנפי האחריות של המערך, מדובר בצעד עתידי. לשאלת ביזנס על היקף ומידת סמכות המערך לפקח ולהגן על העננים נמסר כי "מערך הסייבר הלאומי הוא הגוף הלאומי האחראי על הגנת המרחב האזרחי. האחריות נעשית במידת מעורבות משתנה בין סוגי נכסים שונים במשק. נושא הגדרת הענן כתשתית מדינה קריטית ייבחן בהתאם לתבחינים הקבועים בחוק".
בשיחה עם Business ניסה רפאל פרנקו, עד לאחרונה סגן ראש מערך הסייבר האחראי על אבטחת תשתיות קריטיות, ומי שהוביל את הצוות שעסק בהגנת הסייבר של הפרויקט, להסביר ולהרגיע, וטען כי הסיבה לאי השתתפות כל הגורמים בדיונים, נבעה מעיקרון הפרדת הרשויות, לפיו "לכל יישות יש לה את האחריות והסמכות שלה". לדברי פרנקו, "מערכת הביטחון נתנה את דעתה על פרויקט נימבוס בכללותו".
פרנקו הסביר כי ישראל "לא הסתמכה על רמת ההגנה של הענקיות, אלא בנתה סביבה מעטפת הגנה ייעודית", אלא שאותה מעטפת לא רלוונטית בעת שהמידע מצוי בשרתים בחו"ל. על כך אמר פרנקו כי "בשנים שהמידע יהיה בחו"ל, יעלו טכנולוגיות שרמת הרגישות שלהם נמוכה מאוד, ורמת האבטחה הקיימת כיום מתאימה להם, במינימום סיכון לרציפות התפקודית של ממשלת ישראל ולפרטיות. מדינת ישראל קיבלה בקרה מלאה על כל רמת ההגנה בענן". בנוסף, הוא אומר, "גם נושא הסיווג הביטחוני לעובדי נימבוס נלקח בחשבון ויש רמת הגנה פרסונלית מפני האיום הפנימי".
בין אם הערעור של אורקל יתקבל או לא, ייתכן מאוד שלא יהיה בכך סוף פסוק לפרשה. עסקי הענן הם מהחשובים והגדולים מבין התעשיות הטכנולוגיות, ועל כן מערבים לא רק שיקולים כספיים משמעותיים אלא שיקולי השפעה משמעותיים בכמה וכמה רבדים. כך למשל ייתכן שבעתיד יבקשו גורמים כאלה ואחרים לתקוף את המכרז לא רק סביב ההיבטים הביטחוניים והמנהליים, אלא גם מזוויות אחרות, כמו למשל הגבלים עסקיים. זאת לא רק בשל היצירה דה-פקטו של "דואופול ענן", אלא גם בשל פרקטיקות אנטי תחרותיות לכאורה שכבר נטען כלפי אחת הענקיות שהיא נוקטת בכדי לדכא תחרות בין מוצרי תוכנה בתוך חנות האפליקציות שלה.