סערה בעקבות התחקיר על NSO: "לאסור בחוק יצוא סייבר התקפי לדיקטטורות"

קריאות לעשות סדר בעולם הפרוץ של הסייבר, בעקבות התחקיר שחשף את השימוש בתוכנה של NSO כדי לעקוב אחר עיתונאים • החוקר הבכיר דניאל כהן: "יש חשיבות גדולה לפיתוח טכנולוגיה כזו באופן מוסדר ע"י חברות פרטיות ולא בשוק השחור, מאחר שסייבר התקפי הוא הצד השני של סייבר הגנתי"

משרדי חברת NSO / צילום: Associated Press, Daniella Cheslow
משרדי חברת NSO / צילום: Associated Press, Daniella Cheslow

"יש לאסור בחוק יצוא טכנולוגיות סייבר התקפי ישראליות לדיקטטורות. זה יכול להיות פתרון ביניים טוב עבור חברות כמו NSO, בין האפשרויות האחרות הקיימות: רגולציית סייבר ממשלתית או עולמית, או איסור שימוש גורף בטכנולוגיות כאלה שאיננו יעיל באמת", אומר לגלובס דניאל כהן, חוקר בכיר במרכז הסייבר באוניברסיטת תל אביב וראש תוכנית מדיניות וטכנולוגיה במכון אבא אבן, המרכז הבינתחומי.

"יש להחריג מן האיסור מדינות שיש לנו הסכם שלום איתן, ואני גם לא רואה את משרד הביטחון עושה זאת. כלומר, לא הייתי שולל מכירה של טכנולוגיות סייבר לאיחוד האמירויות מכיוון שאנחנו חתומים על הסכמים מסוימים איתם. יש צורך בהגדרה של 'מדינות אדומות' - דיקטטורות שאין לנו הסכמים מיוחדים איתן במקומות כמו אפריקה או אסיה. למשל, מדינות שמבצעות רצח עם או נוקטות כלפי האוכלוסיה שלהן סנקציות אלימות. איתן אסור לסחור במערכות כאלה, אפילו אם נצטרך לשלם על כך מחיר כלכלי."

את הדברים אמר כהן בהמשך לתחקיר העיתונים "הגרדיאן", "וושינגטון פוסט" ו"לה מונד", והארגונים "אמנסטי" ו"פורבידן סטוריז", על חברת NSO הישראלית. התחקיר התבסס על הדלפת יותר מ-50 אלף מספרי טלפון ממדינות ורשויות המשמשות כלקוחות של NSO, ושימשו אותן ככל הנראה למעקב אחר עיתונאים, פוליטיקאים, פקידים ממשלתיים, אנשי עסקים ופעילי זכויות אדם במדינות כמו סעודיה, מרוקו, אזרבייג'ן, רואנדה, הונגריה, הודו, בחריין, קזחסטן, איחוד האמירויות ומקסיקו.

מעקב אחר מיקום ותוכן של הטלפון

תוכנת הסייבר ההתקפי של NSO מאפשרת לממשלות ורשויות להשתיל רכיב תוכנה במכשירי ניידים של אזרחים על מנת לעקוב אחרי מיקומם, השיחות שהם מנהלים והתוכן שמצוי על גבי הטלפון. על פי החוזה שלהם עם החברה הישראלית, הטכנולוגיה משמשת אותם לפעילות הכרוכה בביטחון ובמניעת טרור, אך לעיתים עושות המדינות שימוש עצמאי למרדף אחר אישים כאלה ואחרים.

NSO מייצאת את הטכנולוגיה שלה, כמו עוד כעשר חברות סייבר התקפי ישראליות אחרות, ברישיון משרד הביטחון ומשרד החוץ, והיא מתחייבת לא למכור אותה למדינות המעורבות בטרור או קשורות לאיראן, כמו לבנון, סוריה או ונצואלה.

על פי התחקיר, תוכנת הריגול של NSO, המכונה "פגסוס", הותקנה בטלפון של ארוסתו של העיתונאי הסעודי ג'מאל חאשוקג'י ארבעה ימים לאחר שנרצח בשגרירות סעודיה באיסטנבול. פגסוס היתה מעורבת גם בפריצה למכשיר הטלפון של מייסד אמזון ג'ף בזוס.

תחרות רבה בתחום הסייבר

"האיסור צריך להיות גורף ברמה העולמית, ולא להיות תקף רק כלפי NSO, על מנת לא לתת יתרון למתחרות הזרות שלה, ויש לא מעט כאלה בעולם, כמו האקינג טים, חברה איטלקית עם קשרים בסעודיה, ושורה של חברות אחרות: FinFisher הגרמנית-בריטית שבבעלות Gamma הבריטית, ו-Amesys הצרפתית. לפיכך, מדינות צריכות לאחד כוחות לשם כך".

את הדברים אמר לגלובס במסגרת Cyber Week, שבוע הסייבר השנתי של המרכז למחקר סייבר בינתחומי באוניברסיטת תל אביב, מערך הסייבר הלאומי, משרד הכלכלה ומשרד החוץ, שנערך בימים אלה באוניברסיטה.

האם הרגולטור צריך לאסור על פיתוח טכנולוגיה כזו או שיווקה באופן כללי?
"יש חשיבות גדולה לפיתוח טכנולוגיה כזו באופן מוסדר על ידי חברות פרטיות ולא בשוק השחור, מאחר שסייבר התקפי הוא הצד השני של סייבר הגנתי. הם הולכים ביחד ואם תרצה לאתר חולשות בתוכנות, טלפונים ובמחשבים, תהיה בעמדת חיסרון".

"בתחום החקיקה, שני הנסיונות להסדיר את יצוא טכנולוגיית הסייבר ההתקפי בישראל ובארה"ב כשלו, כל אחד בנפרד. הרגולטורים בארה"ב העבירו כמה טיוטות, לא לפני שמצאו את עצמן מול חומה של התנגדויות מצד התעשייה עצמה - חברות כמו מיקרוסופט, סימנטק, NSO כמובן, ומספר מומחי סייבר. יש לכך מספר סיבות: ראשית, מי אמור להיות זה שמקבל את ההחלטה לפסול טכנולוגיה כזו או אחרת או להחמיר את היצוא שלה? זה ידרוש מומחיות רבה שיש רק לגופי המודיעין, וגם אישור לכך שאין פגיעה בביטחון המדינה, ולכן בארה"ב הבינו שהסמכות היחידה שיכולה לאשר זאת היא הסוכנות לביטחון לאומי NSA. אלא שהבינו בנוסף שזה לא יהיה פרקטי שהסוכנות תשמש גם כרגולטור".

"שנית, מה תהיה הסנקציה: האם תכניס לכלא אנשים, תיתן קנסות? זה לא ריאלי. גם ישראל מצאה את עצמה בסיטואציה דומה, כשהיא לא מצליחה להעביר חקיקה שכזו. ושלישית, מה תהיה האלטרנטיבה? החשש המרכזי הוא שאם תתחיל לעשות רגולציה לשוק, הוא יילך לכיוון השחור, כך שבמקום שחברות מסודרות כמו NSO יפעלו בגלוי, פושעי סייבר בדארקנט יפרחו על חשבונם. יימכרו כאוות נפשם את הטכנולוגיה למדינות מסוכנות ודיקטטוריות והשוק יהיה פרוץ לחלוטין. נכון שגם היום תראה זליגה של טכנולוגיות כאלה לדארקנט, אבל היא לא מצליחה להיות משוככלת כמו זו שמחזיקה חברה כמו NSO".

NSO במרכז מאבקים מתוקשרים

NSO הלכה רחוק מדי לעומת שאר החברות? מדובר על מדינות שעושות שימוש בטכנולוגיה שלה בכדי לעקוב אחר עיתונאים, פוליטיקאים בכירים ואנשי עסקים בהם ג'ף בזוס.
"כשאתה לוקח טכנולוגיה דו-שימושית, שיכולה להתקיף ולהגן, מוכר אותה לשוק הביטחוני והרשויות, ומבקש שלא לעשות בה שימוש לרעה, אתה צריך לסמוך על הלקוח שלך, כיוון שאינך יכול להיות שותף פעיל לכל חקירה מודיעינית. לכן, כש-NSO אומרים שם סוגרים את הברז לרשויות הסוררות, אין לי סיבה לא להאמין להם".

אתה מזכיר חברות נוספות שמוכרות פתרונות דומים לאלה של NSO, האם החברה הישראלית היא שעיר לעזאזל, אולי בגלל היותה ישראלית? אולי כיוון שהלכה רחוק מדי?
"NSO איננה לבדה בשוק הסייבר ההתקפי בארץ ובעולם. בישראל ישנן כ-20 חברות בתחום, שבריר אחוז מכלל תעשיית הסייבר הישראלית שמונה 800 חברות, אם כי במונחי הכנסה והיקף יצוא זו תעשייה משגשגת ביותר. NSO היא אחת החברות המובילות בתחום, אבל יש לה מתחרות בישראל ובעולם".

"הסיבה שאנחנו שומעים דווקא עליה יותר מאשר על אחרות, הוא שהיא מצאה את עצמה במאבק מול פייסבוק ו-ואטסאפ, הטכנולוגיה שלה הייתה מעורבת בפריצה לטלפון של בזוס, ודו"חות של האו"ם קישרו את פגסוס למעקב אחר עיתונאים. מעבדת זכויות האזרח גם שמה אותה במוקד המחקר שלה, כך שלא הייתי מכנה את החברה הישראלית כשעיר לעזאזל".

האם NSO הגזימו בכך שפיתחו כלי אגרסיבי, או שפשוט לא פיקחו מספיק על השימוש בו?
"NSO מוכרת כחברה שמוכרת בהיקפים גדולים ונחשבת אגרסיבית, אבל יש לה מנגנון פיקוח שמוגדר על ידי חוק היצוא הביטחוני, כך שכל דבר שהם עושים הוא באישור. אנחנו רואים אותם עובדים עם ממשלות ומגנים על אזרחים מפני פיגועים ופושעים, וגם את זה צריך לומר. אבל יש כאן פשע שנובע מהעובדה שהשוק פרוץ לחלוטין, אין סטנדרט או נורמות עולמיות וכל אחד יכול לעשות כמעט כל דבר - עד שהדברים מתגלים. NSO משביתה פעילות מערכת של שירות ביטחון כשהיא שומעת על משהו לא בסדר שקורה איתו, ואני מאמין להם בכך. העניין הוא שהדברים האלה תמיד מתגלים בדיעבד".

האם מדינת ישראל משתמשת בחברות כמו NSO כפרס עבור מדינות המצויות בהסכמים איתה?
"אין ספק שיש קשר בין דיפלומטיה לבין היתרונות היחסיים שיש לישראל, אבל אני לא יודע להצביע על כך שמציעים למדינות שונות טכנולוגיות סייבר התקפי כסוג של 'גזר'. אני מעריך שזה יותר מורכב מכפי שזה נראה".

NSO מכחישה את הטענות בתחקיר

חברת NSO הכחישה את הטענות שעולות בתחקיר ומגדירה אותו "ממוחזר ומנותק מהמציאות, שמבוסס על בדיות ותיאוריות קונספירטיביות". בחברה מכחישים כל קשר בין רשימת 50,000 המספרים לקבוצת NSO או למערכת פגסוס. 

נגד NSO כבר מתנהלות כמה תביעות בישראל

נגד חברת NSO מתנהלות שתי תביעות בדלתיים סגורות בישראל, על השימוש בתוכנת פגסוס תוך פגיעה בפרטיות.

תביעה אחת הוגשה בשנת 2018 על ידי פעיל האופוזיציה הסעודי וחברו של העיתונאי הסעודי ג'מאל ח'אשוקג'י שנרצח - עומר עבד אלעזיז, בטענה שמערכת פגסוס נשתלה בטלפון שלו. טענה זו מוכחשת נמרצות על ידי NSO. בדצמבר 2019 דחה בית משפט השלום בתל אביב את הבקשה לדחות על הסף את התביעה, אישר את ניהולה וחייב את החברה בהוצאות של 24 אלף שקל. בתביעה, שהוגשה באמצעות עו"ד עלאא מחג'אנה, נטען כי חברת NSO אחראית לשימוש שנעשה בטכנולוגיה שפיתחה על ידי השלטונות בסעודיה.

התביעה התנהלה סביב השאלה האם באחריותה של NSO לפצות קורבנות שנפגעו משימוש בתוכנת הריגול שלה על ידי לקוחותיה.

הליך משפטי נוסף שדיוניו אסורים בפרסום עוסק בתביעה של חמישה אזרחים מקסיקנים, פעילים חברתיים ועיתונאים, שהוגשה בספטמבר 2018 ועוסקת במעורבותה של NSO בריגול אחר מתנגדי משטר במקסיקו.

אתמול פנו 42 פעילי זכויות אדם ליועץ המשפטי לממשלה אביחי מנדלבליט בדרישה לפתוח בחקירה פלילית נגד NSO וגורמים בכירים במשרד הביטחון ומי שהיה שר הביטחון בתקופה הרלוונטית אביגדור ליברמן. בבקשה, שהוגשה ע"י עו"ד איתי מק, מומחה לזכויות אדם, נטען כי יש לפתוח בחקירה פלילית נגד הגורמים בשל אישור היצוא הביטחוני לחברה של תוכנת פגסוס למשטר הסעודי, שהובילה לטענתם לרצח העיתונאי.

עתירה שהוגשה על ידי אמנסטי, שיוצגה על ידי מק, ונדחתה ביולי 2020 ביקשה לבטל את רישיון היצוא הביטחוני של NSO. אמנסטי טענה כי הטכנולוגיה שימשה למעקב אחרי פעילי הארגון. ההשופטת רחל ברקאי קבעה כי לא הונחה תשתית ראייתית וכי שוכנעה כי אישור היצוא "הינו תהליך רגיש וקפדני במסגרתו נבחנות בקשות היצוא באופן מעמיק".

בבקשה של פעילי זכויות האדם ליועץ המשפטי נטען כי חקירה של האו"ם גיבשה תשתית ראייתית לחקירה פלילית נגד NSO ונגד שר הביטחון לשעבר ליברמן ועובדים בכירים שהיו אחראים על מתן רישיון היצוא של חברת NSO לסעודיה. הבקשה הוגשה בעקבות פרסום של העיתונאי רונן ברגמן ב-18.7.21 ב"ניו יורק טיימס", לפיו החברה מכרה למשטר הסעודי את תוכנת פגסוס בתקופה שקדמה לרצח ח'אשוקג'י. זאת, באישור משרד הביטחון משנת 2017 וכי הסעודים עשו שימוש בתכנה לשבור את קמפיין האופוזיציה.
מ- NSO נמסר: "אני עומדים על כך שאין כל קשר בין הטכנולוגיה של NSO לבין הרצח המזעזע של ח'אשוקג'י".

ממשרד הביטחון לא נמסרה תגובה.

צרו איתנו קשר *5988