חוק הגנת הסייבר מעביר תקציבי אבטחה ליישום וניטור שוטף

אישור הצעת חוק הגנת הסייבר הלאומי בקריאה ראשונה אינו הופך כל חברת טכנולוגיה למרוויחה מכנית. הוא צפוי לשנות את מבנה התקציב הארגוני: פחות פרויקטי אבטחה וולונטריים לפי שיקול דעת ההנהלה, ויותר עבודות ציות, ניטור ודיווח שגופים המוגדרים חיוניים יידרשו לתחזק באופן שוטף. בצד הספקים נמצאות חברות שירותי IT, אינטגרציה, תוכנה מנוהלת ושירותי אבטחה, שעשויות לזכות בחוזי היישום. בצד הקונה נמצאים הבנקים, חברות כרטיסי האשראי, תשתיות התשלום וגופים מפוקחים אחרים, שעבורם הגנת הסייבר היא בעיקר עלות תפעולית ורגולטורית. לכן, לא מדובר במשוואה פשוטה שלפיה עליית הסיכונים מתורגמת מיד לעלייה גורפת במניות הסייבר. החקיקה החדשה צפויה להסיט תקציבים למערכות בקרה, ייעוץ, ניטור ודיווח, מה שמחייב לבחון מי יזכה בנתח מההזמנות ומי ייאלץ לשאת בעלויות.

מי מוכר את העבודה

הנהנות הישירות יותר מהמהלך הן חברות שירותי המידע והאינטגרציה. מטריקס, וואן, מלם תים, פורמולה, חילן, אלעד ואברא פועלות בתחומי התוכנה, הענן, האינטגרציה, מערכות המידע וההטמעה. אם החוק ייצור דרישות יישום רחבות, חברות אלו עשויות לזכות בחוזים להערכת סיכונים, הקמת מערכות, חיבור לתשתיות קיימות, אספקת שירותים מנוהלים וביצוע בקרות שוטפות.

עם זאת, פוטנציאל ההכנסות אינו אחיד. חברות האינטגרציה הגדולות מסוגלות לשרת גופים ממשלתיים, פיננסיים ותשתיתיים מורכבים, אך הן מתמודדות עם תחרות עזה ומרווחי רווח נמוכים יחסית. לכן, הדוחות הכספיים הבאים ייבחנו לא רק לפי הגידול בשורת ההכנסות, אלא לפי התפתחות צבר ההזמנות, שיעור הרווחיות הגולמית והיכולת להגדיל את נתח השירותים המנוהלים. פרויקט סייבר חד פעמי מייצר ערך מוגבל לחברות IT, בעוד שמעבר למודל של שירותים מנוהלים וחוזרים משפר משמעותית את איכות ההכנסה ואת נראות התזרים.

טי.אס.ג'י פועלת בזווית שונה, שכן פעילותה מתמקדת במערכות תוכנה ייעודיות בעיקר לשוק הביטחוני והממשלתי. פאלו אלטו היא ענקית סייבר גלובלית הנסחרת גם בתל אביב, אך היא פחות מייצגת את שוק שירותי ההטמעה המקומי. החברה נהנית ממגמות סייבר עולמיות, אך חקיקה ישראלית מקומית כשלעצמה אינה מהווה טריגר מהותי עבורה בהשוואה לחברות השירותים המקומיות.

מי משלם את העלות

בצד השני של המשוואה נמצאות עלויות הציות. הבנקים, חברות כרטיסי האשראי, תשתיות התשלום, חברות הביטוח והגופים הממשלתיים המוגדרים כתשתיות קריטיות יידרשו להגדיל את ההשקעה בניהול סיכוני סייבר ובציות רגולטורי. ההחלטה האחרונה של שב"א לייקר את התעריפים לבנקים ולחברות כרטיסי האשראי, בשל הצורך הגובר בהשקעות בהגנת סייבר, ממחישה את המנגנון הכלכלי: דרישות רגולטוריות וסיכונים תפעוליים מתורגמים להוצאות ממשיות, המתגלגלות לאורך שרשרת הערך מהספק, דרך תשתית התשלום והבנקים, ועד ללקוח הקצה.

מסיבה זו, בנק הפועלים ושאר המערכת הבנקאית אינם נהנים מהחוק החדש. עבורם מדובר בהוצאה תפעולית שנועדה לצמצם סיכונים, ולא במנוע צמיחה או בהכנסה ישירה. גם חברות כמו נאייקס, הפועלות בתחום התשלומים הדיגיטליים, דורשות מעקב זהיר. ככל שמערכות התשלום נדרשות לעמוד בתקני אבטחה מחמירים יותר, העלויות והדרישות התפעוליות שלהן עולות, אם כי הדבר עשוי גם להגביה את חסמי הכניסה עבור מתחרים קטנים.

מה צריך להופיע עכשיו

המהלך הנוכחי נמצא עדיין בשלבי חקיקה וטרם הגיע ליישום מלא בשטח. לפיכך, מוקדם להניח כי ההכנסות החדשות כבר מובטחות. יש לעקוב מקרוב אחר נוסח החוק הסופי, רשימת הגופים שיוגדרו כחיוניים, מועדי התחולה, ההנחיות הרגולטוריות המפורטות והתקדמות המכרזים הממשלתיים. בצד חברות IT, האינדיקטורים המרכזיים יהיו גידול בצבר פרויקטי הסייבר, התרחבות השירותים המנוהלים, שיתופי פעולה עם יצרניות תוכנה גלובליות ושמירה על שיעורי הרווחיות.

ההשפעה על חברות IT לא תהיה אחידה. יש להבחין בבירור בין החברות המקומיות המספקות שירותי ציות והטמעה, לבין אלו המוכרות מוצרים גלובליים שאינם תלויים בשוק הישראלי, ובין הגופים המפוקחים שייאלצו לשאת בעלויות האבטחה. אם החוק יבסס מודל של הוצאה מחזורית ומחייבת, חברות השירותים המקומיות ייהנו מרוח גבית מתמשכת. מנגד, אם המהלך יסתכם בדרישות כלליות ללא אכיפה קפדנית או הקצאת תקציבים ייעודיים, ההשפעה הכלכלית תישאר מוגבלת ולא תתורגם למנוע צמיחה מוחשי בשורת הרווח.