הנהלת NSO ומייסדיה / צילום: בני סהר
חברת הסייבר ההתקפי NSO, הודיעה אתמול (ג') על כוונתה לבצע התאמות לכללים המנחים של האו"ם לעסקים ולזכויות אדם. NSO הדגישה כי היא תהיה החברה הראשונה בעולם בענפי הסייבר לעשות זאת, אם אכן תבצע את ההתאמות הנדרשות. במסגרת ההתאמות החברה פרסמה שני מסמכי מדיניות חדשים: מסמך מדיניות זכויות אדם שאושר על ידי הדירקטוריון וההנהלה בחברה, ומסמך מדיניות לתהליך של "מלשינון" - הגשת תלונות על ידי גורמים חיצוניים לחברה. מהלכים אלו יושלמו בחודשים הקרובים בהובלתו של היועץ המשפטי החדש של החברה, עו"ד שמואל סנראי, אשר יחל את תפקידו בנובמבר הקרוב.
NSO נוסדה ב-2010 והיא מייצרת מוצרי סייבר התקפי שהידוע בהם הוא תוכנת פגסוס - תוכנה המסווגת ככלי ביטחוני, המאפשרת לפרוץ לטלפונים ניידים ולמחשבים ולהאזין להם בלא ידיעת בעליהם. NSO מייצאת את התוכנה שלה תחת רישיון לסחר בנשק שניתן לה על ידי משרד הבטחון ומשרד החוץ הישראלי ועושה זאת על פי חוק. חוק יצוא הנשק הישראלי לא כולל כל התייחסות לאיסור מכירת נשק למדינות המפרות זכויות אדם, אלא מתיר מכירה לכל גוף מדיני אשר עיסוקו לחימה בטרור. לאורך השנים, שמה של NSO נקשר בשורה של פרשיות, במסגרתן נחשף כי התוכנה שימשה לכאורה לריגול אחרי עיתונאים, פעילי זכויות אדם ומתנגדי משטר במשטרים אפלים בעולם.
לאורך השנים, NSO הכחישה את מעורבותה בפרשיות השונות ואף טענה כי אינה אחראית על הפרות של זכויות הנעשות באמצעות התוכנה שלה, זאת בטענה כי היא מספקת רישיון בלבד ואינה מעורבת בשימוש. זאת למרות פרסומים שונים, בהם חשיפה בפייננשיל טיימס, אשר לפיה החברה נהגה לכאורה גם לסייע ללקוחותיה ולהדריך אותם בשימוש במוצר תוך שהיא מעורבת בפעילות שנעשתה. במקביל, החברה מיצבה את עצמה כבעלת מדיניות אתית קפדנית והקימה ועדת אתיקה פנימית אשר פועלת מזה כארבע שנים, ולפי החברה עצרה מספר עסקאות אשר דווקא אושרו על ידי משרד הביטחון, בשל החשש כי יובילו להפרות של זכויות אדם. גורם המקורב לחברה אמר ל"גלובס" כי NSO ויתרה על עסקאות בשווי כולל של כרבע מיליארד דולר בעקבות החלטות הועדה. עם זאת, חלק לא מבוטל מהפרשיות בהן נחשפה מעורבותה של NSO התרחשו במהלך כהונתה של הועדה, כלומר, אם הועדה אכן בחנה את כלל עסקאות החברה, היא לא הצליחה למנוע חלק מההפרות, לכאורה. הועדה כללה חבר חיצוני שלו ניתנה זכות וטו, באופן חריג, שכעת תמשיך להתקיים במתכונת של ועדת הדירקטוריון החדשה.
בפברואר האחרון, NSO נמכרה בחזרה לבעליה ולקרן נובלפינה מידי קרן ההחזקות פרנסיסקו פרטנרס. הקרן הביעה את מחוייבותה ללגיטימציה בין לאומית מיד עם הרכישה. כעת, החברה מודיעה על שינוי כללי האתיקה שלה באופן שיתאימו לראשונה להנחיות האו"ם. בנוסף, החברה מעוניינת לחזק את מעמדה כחברה היחידה בתחום שיש לה מדיניות פנימית שנועדה למנוע הפרת זכויות באמצעות מוצריה, ואת העובדה כי היא משקיעה משאבים במניעה של הפרות מסוג זה. לכן, בנוסף לשינויים במדיניות, החברה הודיעה עם על כך שתבצע בקרה תקופתית של מסמכי ונהלי מדיניות ההגנה על זכויות האדם על-ידי מומחים חיצוניים, ופנו אל ארגוני זכויות אדם שונים בבקשה לקיום דיאלוג על נהלי החברה, אך לא נענו.
השינויים מבוססים על תכנית שמיישמת את כללי האו"ם, וכוללת בעיקר מתן תוקף בין לאומי רשמי למדיניות החברה הקיימת, כדי לקבל עליה לגיטמציה. ראשית, החברה תקים ועדת דירקטוריון ייעודית חדשה לענייני ממשל תאגידי, סיכונים וציות שתחליף את ועדת האתיקה הפנימית. הועדה החדשה תורכב ממומחים חיצוניים ותבדוק מכירות שעומדות על הפרק, ותספק המלצות והחלטות לגביהן, הפי שעשתה ועדת האתיקה הפנימית. לוועדה תהיה הסמכות לדחות עסקאות או לדרוש ביצוע חקירות, אם עולה חשד לניצול לרעה של מוצרי החברה. NSO אף הודיע על מינוי של שלושה יועצים בכירים בהם טום רידג', שהיה השר הראשון של ארה"ב לביטחון המולדת; ג'רארד ארו, לשעבר שגריר צרפת לארה"ב ולישראל; וג'ולייט קאיים, לשעבר עוזרת המזכיר לעניינים פנים-ממשלתיים במשרד לביטחון המולדת האמריקני וחברה בוועדה המייעצת לענייני ביטחון לאומי.
לפי הודעת NSO, השינוי צפוי לכלול גם החלה של נהלים חדשים, בהם נהלי בדיקת נאותות פנימיים של כל הפעילות העסקית של החברה; בדיקה של תהליכי המכירה של החברה כדי לזהות פוטנציאל לפגיעה אפשרית בזכויות אדם, תוך התחשבות בביצועי העבר של הלקוחות בכל הקשור לזכויות אדם ושמירה על עקרונות ממשל תקין; מחוייבות חוזית של לקוחות NSO להגבלת השימוש במוצרי החברה למניעת וחקירת פשיעה חמורה בלבד וקבלת התחייבויות כי לא ישמשו להפרת זכויות אדם. כמו משרד הבטחון, שבודק ארגונים ספציפיים ולא ממשלות, גם החברה מתייחסת ללקוחותיה כאל ארגונים ממשלתיים בודדים ולא כאל ממשלות שלמות.
שינויים נוספים כוללים החלה של נהלים להגנה על יחידים וקבוצות בדרגות סיכון גבוהות מפני ניטור דיגיטלי שרירותי או על בסיס מאפיינים כגון גזע, צבע, מגדר, שפה, דת, דעות פוליטיות ואחרות, מוצא לאומי או חברתי, מצב כלכלי, מעמד או מעורבותם בפעילות של הגנה על זכויות אדם. כמו כן, החברה התחייבה לקביעת מנגנונים להגשת תלונות שיאפשרו לדווח על חשדות לניצול לרעה של מוצרי NSO על-ידי לקוחות החברה; לחקור כל מקרה בו היא נחשפת לדיווח אמין ומבוסס על שימוש לא חוקי במוצריה, כלומר באופן שמפר את החוק במדינה ממנה נעשה היצוא, או באופן שמפר את תנאי ההסכם המתיר שימוש במוצר רק למטרות מסויימות; על פרסום פומבי של המנגנונים והאפקטיביות של מדיניות הגנת זכויות האדם של שלה, אך בהתאם לאילוצים רגולטוריים, חוזיים, ביטחוניים ומסחריים שמגבילים את החברה מלחשוף מידע ספציפי.
כבר עם הרכישה, קרן נובלפינה התחייבה לשמירה על זכויות אדם ושיגרה מכתב לארגון אמנסטי אינטרנשיונל בו נכתב כי "הקרן נחושה לעשות את כל הנדרש כדי לוודא שהטכנולוגיה של NSO תשמש למטרה שלשמה היא נועדה - מניעת פשיעה והפרות של זכיות אדם על ידי טרור ופשעים חמורים". המכתב נשלח לארגון בנסיון להרגיע את הרוחות, לאחר שאמנסטי העולמית החלה בחודשים האחרונים במהלך משפטי מול משרד הביטחון הישראלי בדרישה שיבטל את רישיון סחר הנשק של החברה. זאת בטענה כי NSO מפעילה רשת גלובלית של ריגול וכי אמצעי הבטיחות הפנימיים שלה לשמירה על זכויות אדם אינם יעילים.
הדרישה ממשרד הביטחון מגיעה כחלק מעתירת הארגון נגד NSO, בטענה שהתוכנה שלה שימש לניסיון השתלטות על מכשיר הטלפון של איש צוות בארגון. עוד נטען בעתירה, אשר טרם ניתנה החלטה בעניינה, כי חוקרי סייבר תיעדו את השימוש בתוכנת הריגול פגסוס של NSO בשורה נרחבת של מתקפות על החברה האזרחית, לרבות 24 מגיני זכויות אדם, עיתונאים וחברי פרלמנט במקסיקו; אדם מצוות אמנסטי אינטרנשיונל; הפעילים הסעודים עומר עבדול עזיז, יחיא עסירי ור'אנם אל מסאריר; פעיל זכויות האדם עטור הפרסים מאיחוד האמירויות אחמד מנסור; וכן, לכאורה, ברצח העיתונאי מתנגד המשטר הסעודי ג'מאל חשוקג'י, אשר מנכ"ל החברה שלו חוליו הכחיש את מעורבות החברה ברצח.
דנה אינגלטון, מנהלת תחום הטכנולוגיה באמנסטי אינטרנשיונל, כתבה בתגובה להודעת החברה אודות ההתאמות החדשות למדיניות האו"ם, כי "בעוד שעל פני השטח זה נראה כמו צעד קדימה, ל-NSO יש היסטוריה של סירוב לקחת אחריות. החברה מכרה ציוד ריגול דיגיטלי לממשלות שהשתמשו בו לעקוב, לאיים ולהשתיק פעילים, עיתונאים ומבקרים. המדיניות החדשה מגיעה מאוחר מדי, עבור הפעילים שסומנו כמטרה עבור ממשלות מתעללות שהשתמשו בתכנת הריגול של החברה, בהם האקטיביסט הסעודי אחמד מנסור שנשפט ל-10 שנים בכלא ב-2018. החברה צריכה להראות שזהו יותר מניסיון להלבין את המוניטין הבעייתי שלה. היא לא יכולה לבחור מתי לכבד זכויות אדם - לכל החברות ישנה המחוייבות הזו על כל פנים".
ההתחייבות של NSO לשמור על זכויות אדם תהיה מאתגרת במיוחד משום שמקורן של מחצית מהכנסותיה הן במדינות המזרח התיכון, לפי מקורות שצוטטו בחשיפה של ה"פייננשל טיימס" במאי האחרון. לפי הדיווח, חוקרים באוניברסיטת טורונטו מצאו כי נעשה שימוש בתוכנה ב-45 מדינות, בהן בחריין, מרוקו, סעודיה ואיחוד האמירויות הערביות - כולן ידועות בהפרה של זכויות אדם. החוק הישראלי אמנם מתיר יצוא של נשק למדינות הללו, אך אם קרן נובלפינה תממש את הבטחותיה ותמנע ממכירת תוכנות ריגול למשטרים המפרים זכויות אדם, סביר כי המהלך יפגע פגיעה ממשית בהכנסות NSO .
במסמך המדיניות שפרסמה החברה בולטת הטענה כי למרות מחויבותה למנגנונים החדשים, האחראים הראשונים לכל הפרת זכויות שנעשת באמצעות מוצרי NSO הם הממשלות עצמן. לדברי החברה, האחריות להגן על זכויות אדם חלה על ממשלות ולא על חברות, והן אלה שצריכות לבצע חקירות ולמצוא הפרות שנעשות בתחומיהן. עם זאת, הטענות שעלו נגד החברה לאורך השנים אינן קשורות דווקא בהפרת החוק במדינה כזו או אחרת אלא על כך שהמדינות עצמן, ופעמים רבות גם חוקיהן הרשמיים, אינן שומרות על זכויות אדם כפי שהן מוגדרות בחוק הבינלאומי.