איך מוסמסה החקיקה שהייתה יכולה להסדיר את פעילות NSO

למרות הסכנה הגדולה ביצוא סייבר התקפי, בשנים האחרונות נהיה קל יותר לקבל אישורים ממשרד הביטחון והחברות עושות ככל העולה על רוחן • ניסיונות לסדר את התחום או להכניס בו קצת שקיפות באמצעות חקיקה נבלמו

מנכ"ל ומייסד NSO חוליו שלו. מכחיש את התחקירים / צילום: Reuters, AMMAR AWAD
מנכ"ל ומייסד NSO חוליו שלו. מכחיש את התחקירים / צילום: Reuters, AMMAR AWAD

תחקיר הענק של ארגון אמנסטי ועיתונים מובילים בעולם התמקד בניצול הציני שעשו ממשלים בטכנולוגיית המעקב של NSO הישראלית כנגד אזרחיהם - עיתונאים, פוליטיקאים ומתנגדי ממשל. עילת התחקיר היא הדלפה, שמקורה ככל הנראה מסביבת NSO, של מספרי טלפון שהיו כביכול ברשות לקוחותיה. קל לחשוב שהחברה פועלת לבדה בעולם, אך NSO היא רק הסימפטום. החברה הישראלית פעילה בנוף של חברות פרטיות בתחום הסייבר ההתקפי, המאפשרות לחדור למכשירים, מתקנים ותשתיות.

גיוס שמות נוצצים וקניית תוכן שיווקי: מסלול ההלבנה של חברת הסייבר ההתקפי NSO

בין החברות הישראליות הפועלות תחת רשיון יצוא סייבר התקפי נמצאות קנדירו, קבוצת רייזון, חטיבת גיטה של ורינט, ואלתא-מל״מ. חברות אלה מפתחות נשק סייבר התקפי, כלומר תוכנות רוגלה מודיעיניות המאפשרות ללקוחותיהן, רשויות ביטחון ומדינות בעולם, לפרוץ לטלפונים, מחשבים ניידים, שרתים ותשתיות של אזרחים או עסקים, ולעקוב אחר תכתובות המשתמשים, מיקומם, פעילותם ולפעמים אף לעקוב אחר אנשים איתם הם בקשר.

תחת ההסכמים, מחייבות החברות המסחריות את הרשויות לעשות במערכותיהן שימוש לנושאי ביטחון בלבד, כגון מניעת טרור, ציד פדופילים וניטור פשע. עם זאת, הרשויות נוטות גם לעשות בו שימוש לא נאות, כמו מעקב אחר מתנגדי משטר ועיתונאים, ישירות או באמצעות קרוביהם, כפי שנחשף הדבר בתחקירי הענק בעיתונות הבינלאומית בימים האחרונים.

גם בשאר עולם ישנן ל-NSO לא מעט מתחרות בעלות קשרים מפוקפקים: אמסיס הצרפתית, שהואשמה על ידי בית משפט במדינה בסיוע למשטר קדאפי לרגל אחר מנהיגי האופוזיציה; פינפישר הגרמנית-בריטית אשר אמנסטי ייחסה לה ייצור רוגלות המשמשות את שלטונות בחריין, אתיופיה, מצרים ואיחוד האמירויות; האקינג טים, חברה איטלקית שעברה מספר גלגולים וגם היא מואשמת במכירת רוגלות למשטרים דכאניים, כגון סעודיה, סודן, אתיופיה ומצרים.

אלא שחברות כגון NSO היו מתקשות לפרוח לולא הרגולציה המתירנית הקיימת בישראל ובעולם. למעשה, הפיקוח על טכנולוגיות סייבר התקפי אף הצטמצם עם השנים - הן בישראל והן בארה"ב - ומהמצב נהנות החברות הפרטיות, שעושות מה שמתחשק להן, ורגולציה עצמית היא המחסום היחיד בין לוחמת סייבר לגיטימית לבין יכולתם של משטרים בעולם לעקוב אחר עיתונאים ומתנגדים פוליטיים לצרכים אנוכיים.

ניסיון לייצר שקיפות 

כל נסיון לחקיקה או רגולציה בתחום הסייבר ההתקפי נבלם עד כה, נסיונות שהיו יכולים למנוע את המבוכה לה זוכה התעשייה הישראלית מהתחקירים. במקביל, הותר הרסן על יצוא טכנולוגיות סייבר התקפי.

ב-2019 ביקש חבר הכנסת מהאופוזיציה באותו הזמן, חיליק בר, להוביל חקיקה נגד יצוא נשק וסייבר התקפי למדינות בעלות משטר דיקטטורי או כזה שפוגע בזכויות האזרח באופן שיטתי. עוד הוצע אז כי במקום הנעשה כיום במשרד הביטחון, שבו אגף פיקוח יצוא (אפ"י), חבר סגור של פקידי המשרד שמתייעץ עם גורמים בצה"ל, קובעים מי יקבל רשיון יצוא ומי לא, תוקם ועדה מוסמכת הכוללת נציגים ממשרדי ממשלה שונים, האקדמיה, ונציג הציבור המומחה בזכויות אדם. אלה ידונו בכל עסקה לגופה, לא רק משיקולים בטחוניים אלא גם מתוך שיקולים של זכויות אדם, כגון האם במדינה המדוברת מערכת משפט ואכיפת חוק מתוקנת, מידת השחיתות השלטונית ומידת העמידה בכללי זכויות האדם.

בסופו של דבר נחסמה החקיקה בידי שרת המשפטים דאז איילת שקד, ולא עברה לקריאה טרומית. לשקד ניגוד עניינים עם חברת NSO, מאחר שהיא מקורבת לנשיאת החברה שירי דולב. משקד נמסר, כי "הקואליציה פעלה בהתאם לעמדת משרד הביטחון. שקד ודולב חברות כבר 25 שנה מתקופת האוניברסיטה. הדבר ידוע לכולן והן אף התראיינו על כך".

השרה איילת שקד / צילום: יוני קלברמן
 השרה איילת שקד / צילום: יוני קלברמן

מעקב אחר האישור

שנת 2019 הייתה גם השנה שבה ערך משרד הביטחון רפורמה לקיצור משך הוצאת האישור מאפ"י ליצוא מערכות סייבר התקפי משנה לארבעה חודשים. המהלך פעל לא רק לטובת NSO, אלא גם כלפי שורה של חברות בהן ורינט, אלתא ורייזון. סוגים אחרים של מוצרי סייבר התקפי אף זכו לפטור מקבלת רשיון לשיווק למדינות מסוימות. אפ"י, היושבת במשרד הביטחון, היא גוף הבנוי מפקידים בכירים המקבלים החלטות על אישור טכנולוגיות מודיעניות התקפיות באישור גורמים מצה"ל וגופי המודיעין.

אפ"י מאשרת עם חברות הסייבר את יצוא המוצר כמה פעמים: בשלב של האישור העקרוני כלפי שיווק ללקוח במדינה מסוימת; בשלב של התאמת המוצר ללקוח ופירוט הסכם המכירה; וכן בשלב החתימה על ההסכם עם הלקוח. הרשות הביטחונית, גם אם זו מצויה במדינה שלה אין יחסים עם ישראל, חותמת על הסכם עליו חתומות גם מדינת ישראל וגם חברת הסייבר ההתקפי.

על פי סוכנות רויטרס, יצוא סייבר התקפי מישראל עומד על 7 מיליארד דולר, רובם מערכות סייבר הגנתי.

פטור מחוק חופש המידע 

ד"ר תהילה שוורץ-אלטשולר, ראש התוכנית לדמוקרטיה בעידן המידע במכון הישראלי לדמוקרטיה, מסבירה כי כל הפיקוח על היצוא ביטחוני מתנהל כבמשטר דרקוני, קשה ולא שקוף. היא מסבירה כי ישנם שני מוקדי אחריות הדורשים התייחסות.

"כל מה שקורה כאן, כמו כל הדברים שמתנהלים במשרד הביטחון - פטור לחלוטין מחוק חופש המידע. אנחנו לא יודעים מה קורה בכל המקומות האלו ומי מייצג את מי. ובמקומות שאין בהם שקיפות, עלולות להיות סמי-שחיתויות". היא מציעה להעביר את הפיקוח על יצוא טכנולוגיות דו-שימושיות למשרד הכלכלה, כי שם חל חוק חופש המידע.

בנוסף, מצביעה שוורץ-אלטשולר על המעבר המסוכן שיש בין המערכת הביטחונית לחברות עצמן בשוק. "בפועל, אם מסתכלים על הדירקטוריונים של כל החברות או היועצים של כל חברות הסייבר האלו, לא רק NSO, מגלים שאלו אותן הדמויות, אותם הבכירים לשעבר ממערכת הביטחון. צריך להפנות אליהם אצבע מאשימה, לדרוש מהם אחריות על המעשים שלהם", מתארת ד"ר שוורץ אלטשולר.

"לא רק שמדינת ישראל אישרה ל-NSO לפעול ולייצא את הכלים שלה, היא אף עודדה ודחפה אותה. זה לא סתם שמכרו להודו והונגריה ועוד ידידות של מדינת ישראל. היחסים עם המדינות הללו התחממו בשנים האחרונות", היא מסבירה

חוק הסייבר על המדף

גם כשלא מדברים על סייבר התקפי, אלא על הגנת סייבר פנים-ישראל, מגלים תמונה בעייתית. כיום לא קיים גוף שאחראי על הגנת הסייבר. הגנה על מידע אישי נמצאת באחריות הרשות להגנת הפרטיות, אך אין למעשה גוף שמנהל את ההגנה על מערכות אחרות ומידעים אחרים. מערך הסייבר הלאומי כיום הוא גוף מייעץ בעיקרו, הסמכויות שלו מצומצמות ואינן מחייבות לרוב.

זה הוביל את מערך הסייבר ב-2018 לפרסם את תזכיר חוק הגנת הסייבר, שהיה אמור להסדיר את הפעילות של מערך הסייבר ולהרחיב את הסמכויות שלו. התזכיר זכה לביקורות מקיר לקיר, כי אם החוק היה עובר, המערך היה יכול לבצע פעולות דורסניות רבות בלי צו בית משפט. "בגלל שמערך הסייבר יושב במשרד ראש הממשלה, החוק קודם משם. החוק כיום מחכה לעיתוי הנכון עבורו ולבשלות המתאימה. מערך הסייבר מקדם את הטיוטה הקיימת כיום עם צוותי חשיבה, כדי להגיע לטיוטה שתהיה יותר מקובלת", מסביר עו"ד דן חי, יו"ר וועדת הפרטיות בלשכת עורכי הדין.

חי מוסיף כי "למעשה, הטיוטה של חוק הסייבר מאפשרת למדינה להשיג כלים פוגעניים. NSO, על פי הדיווחים, פועלת רעיונית בצורה דומה. יש פה גוף פרטי שאף אחד לא עוצר, ולפי הפרסומים מעודד פגיעות בזכויות אדם - וזה מראה את הלך הרוח שדומה בצעדים של המדינה עם קידום חוק הסייבר במתכונתו הבעייתית. להשתמש בכותרת הגג של התקפת סייבר או מניעת סייבר, כדי לבצע את סוג הפעולה כמו מה שמתפרסם על NSO".

גם ארה"ב ערכה רפורמות מקילות בתחום הסייבר ההתקפי, אם כי כאלה הנוגעות לתעשייה הביטחונית בלבד. בשנת 2018 ביטל הנשיא דאז דונלד טראמפ את החוקים שהתקבלו בתקופת אובמה ושהגבילו את יכולות הצבא לנהל מתקפות סייבר ללא רגולציה ממשרד החוץ מקהילת המודיעין.

פגיעה בשם הטוב

מנגד, מקורבים ל- NSO טוענים, כי החברה מוציאה עשרות מיליוני דולרים על עמידה בתנאי רגולציה, בכלל זה העסקה של אנשי ניטור ומשרדי עורכי דין. בחירתה להישאר בישראל ולא לעבור לקפריסין, משם פועלות מספר חברות סייבר התקפי בניהול של ישראלים, דווקא מגבילה אותה לרגולציה הישראלית ומחייבת אותה לעמוד בסטנדרטים שהמתחרים אינם נאלצים לעמוד בהם.

סיעת מרצ אמנם מתעתדת להתחיל השבוע בדיון בנושא NSO מול שר הביטחון בני גנץ, אך ח"כ יאיר גולן מהסיעה איננו ממהר להקים לתחייה את החקיקה להסדרת יצוא נשק וסייבר התקפי.

יאיר גולן / צילום: אורון בן חקון
 יאיר גולן / צילום: אורון בן חקון

"יש רגולציה קשה מאוד על כל סוגי הנשק מצד האגף ליצוא ביטחוני, וצריך גם להסתכל על האיזון שבין השמירה על הכנסות למדינה לבין עמדה מוסרית שתואמת את העקרונות שלנו. צריך להסתכל גם על העובדה שחברות סייבר מעבירות את עצמן לקפריסין ועושות שם דברים פראיים, ולשאול את עצמנו האם אנחנו לא מעדיפים שהם יעבדו מישראל תחת פיקוח. זהו נושא מורכב שאנחנו עדיין לומדים אותו ובהמשך נציג את מסקנותינו".

מנגד, אומר ל'גלובס' בכיר בענף הסייבר, שביקש להישאר בעילום שם: "ההכנסות מתעשיית הסייבר ההתקפי שוליות לישראל ביחס לנזק התדמיתי שהן גורמות והנזק הממשי שהן מסיבות לאזרחי המדינות איתן הן עובדות. לטובת המדינה ושמה הטוב, המדינה יכולה להסתדר גם בלי החברות האלה. לעובדים, שהם ברובם מומחים בתחומם, לא תהיה בעיה למצוא עבודה חדשה".

צרו איתנו קשר *5988