סייבר | פיצ'ר

למה משרד הביטחון מגן על חברת הסייבר ההתקפי NSO

התביעות ההדדיות מול פייסבוק, העתירה לביטול רישיון היצוא הביטחוני, הפרסומים לפיהם תוכנת הסייבר ההתקפי סייעה לרצח העיתונאי הסעודי והיבוא האישי של הצנזורית הראשית היישר משורות צה"ל • מדוע מושכת חברת הסייבר ההתקפי NSO כל-כך הרבה אש, ואיך תיגמר ההסתבכות הנוכחית?

חברת הסייבר ההתקפי NSO / צילום: shutterstock, עיבוד: טלי בוגדנובסקי
חברת הסייבר ההתקפי NSO / צילום: shutterstock, עיבוד: טלי בוגדנובסקי

התפיסה הישנה של מהי מלחמה או מהו טרור הולכת ומשתנה, וכיום ברור שלצד החזית הפיזית מתנהלת מלחמה בחזית חדשה יחסית, שבשנים האחרונות רק הולכת ומתרחבת במהירות - חזית הסייבר. בחזית הזאת, לחברות כמו NSO, שפועלת מצד אחד תחת מעטה חשאיות מודיעיני ומצד שני כחברה אזרחית חשופה חלקית לתקשורת - יש תפקיד משמעותי מאוד, אבל כזה שעלול להיות גם בעייתי מאוד.

ככל שמתרבים הדיווחים על כך שהמוצר המרכזי של החברה - תוכנת הפריצה והשליטה פגסוס - משמש כלי בידי גורמים ממשלתיים נגד מתנגדי משטר, שוב ושוב מוצאת עצמה החברה תחת מתקפות בפרופיל גבוה בתקשורת ובבתי המשפט.

כך משתלטת המערכת של NSO על טלפונים
 כך משתלטת המערכת של NSO על טלפונים

כבר ב-2017 עלתה החברה לכותרות כשבניו יורק טיימס פורסם בכותרת ראשית כי ממשלת מקסיקו מפעילה תוכנת ריגול ישראלית נגד מתנגדים פוליטיים מבית. לפי העיתון, ממשלת מקסיקו פרצה לטלפונים הניידים של עורכי דין שנאבקים למען זכויות האדם, של עיתונאים ושל פעילים חברתיים שיוצאים למאבק נגד שחיתות שלטונית, ומקיימת אחריהם מעקב אלקטרוני מתמיד באמצעות תוכנת פגסוס.

שנה לאחר מכן, עלתה החברה לכותרות בהקשר לרצח העיתונאי הסעודי ג'מאל ח'אשוקג'י ב-2018 בקונסוליה הסעודית באיסטנבול. בעקבות הרצח, הגיש אזרח סעודי תביעה נגד NSO בבית השפט בתל אביב. בתביעה טען האזרח הסעודי כי "המערכת שימשה לריגול אחרי השיחות וההודעות הרבות של התובע עם העיתונאי המנוח. הריגול שנוהל אחריו וחשיפת תוכן השיחות וההודעות בינו לבין ח'אשוקג'י באמצעות המערכת תרם תרומה ממשית להחלטה לחסל את מר ח'אשוקג'י על ידי מתנקשים במבנה הקונסוליה". טענה זו הוכחשה נמרצות על ידי NSO.

ההתפתחות האחרונה בפרשה זו אירעה בחודש שעבר כשבית המשפט דחה את בקשת NSO להטיל חיסיון על ההליך המשפטי נגדה וקבע כי על החברה להגיש כתב הגנה בתיק עד ה-2 בפברואר. ב-NSO ניסו לגמד את משמעות ההחלטה וטענו כי "בית המשפט שלל על הסף את כל צווי המניעה שהתובע ביקש והורה על מחיקתם מהתביעה".

אם ייאסר היצוא: מכת מוות לחברה

התביעה של האזרח הסעודי הייתה רק אחת מבין שורה של מהלומות משפטיות ותקשורתיות שבהן מעורבות, נוסף על NSO, גם ממשלת ישראל; מערכת הביטחון הישראלית; חברות כמו פייסבוק ו-וואסטאפ, שמצויה בבעלות פייסבוק; ועיתונים מרכזיים בארה"ב ובעולם.

הצעד האחרון, ברובד הגלוי של מלחמת הסייבר המתמשכת הזו, צפוי להתרחש מחר. בבית משפט בתל אביב, צפוי סיבוב נוסף בעוד אחת מסדרת הפרשיות הקשורות בחברה מהרצליה, כשיתקיים דיון נוסף במסגרת עתירה מנהלית שהגישו 30 פעילים נגד ראש האגף לפיקוח על יצוא ביטחוני (אפ"י), שר הביטחון, משרד הביטחון ומשרד החוץ ונגד חברת NSO, שפועלת מכוח אישור היצוא הביטחוני שהיא מקבלת ממשרד הביטחון.

העותרים הם מנכ"לית הסניף הישראלי של אמנסטי ויו"ר הוועד המנהל של הסניף, פעילים של הארגון וכן אזרחים, חלקם פעילים חברתיים או פוליטיים, שטוענים כי שהשימוש במערכת פגסוס של NSO נגד אמנסטי "חצה קו אדום". משמעות הבקשה של אמנסטי - ביטול רישיון היצוא - שעל פי כל ההערכות אין כמעט שום סיכוי שיתקבל, היא בעצם מכת מוות לחברה.

לפי העתירה "נעשה ניסיון, שייתכן שהתממש", להשתלט באמצעות מערכת מעקב מסוג פגסוס על סמארטפון של איש צוות אמנסטי. המעשה הנטען, נכתב בעתירה, "ערער את תחושת הביטחון האישי" של פעיל אמנסטי "וגרם לו למתח נפשי רב". בנוסף נטען כי האירוע "עורר תחושת חרדה גם בקרב פעילים ופעילות אחרים באמנסטי", וכן ש"בעקבות האירוע החמור, אמנסטי נדרשה להשקיע זמן, כוח אדם ומשאבים בהגברת מנגנוני האבטחה של הפעילים והפעילות בתנועה".

הגופים הממשלתיים נגדם הוגשה העתירה ביקשו לקיים את הדיון בדלתיים סגורות, ולאסור את פרסום תוכן הדיון. ב"תגובה מקדמית" שהגישו הם הזכירו עתירה דומה שהוגשה בנסיבות דומות בעבר, ושעסקה גם היא בסוגיית היצוא הביטחוני. עתירה זו, כך הזכירו הגופים, נדחתה על ידי בג"ץ.

NSO הגישה תגובה מקדמית בת 93 עמודים שבה נכתב כי "העתירה שבכותרת הינה דוגמה מובהקת לשימוש לרעה בהליכי משפט, במסגרת קמפיין פסול ושקרי שמנהל אמנסטי. העתירה לוקה בחוסר ניקיון כפיים קיצוני, בהסתרת עובדות מהותיות, בהיעדר זכות עמידה, בשיהוי כבד, בהיעדר מוחלט של תשתית עובדתית וראייתית בסיסית, בבקשת סעד גורף, קיצוני ומופרך במיוחד, ובניסיון חסר בסיס להתערב בשיקול דעתה של הרשות המוסמכת, שהוא רחב במיוחד בענייני ביטחון וחוץ".

במילים אחרות טוענת NSO בעצם שהעתירה היא מהלך המבוצע בפרקטיקה שזכתה לכינוי "לוחמה משפטית", שבה נעשה שימוש בהליכים משפטיים על מנת למשוך תשומת לב לסוגיות פוליטיות או חברתיות.

השנה שחלפה הייתה רצופה זעזועים גם בצמרת החברה. העתירה של אמנסטי הגיע זמן קצר לאחר שפורסם כי החברה מנהלת מגעים עם הצנזורית הראשית, תת-אלוף אריאלה בן אברהם להצטרפות לחברה. קודם לכן, במאי בשנה שעברה, פרשה הנשיאה המשותפת של החברה תמי מזאל-שחר, ושירי דולב מונתה במקומה. 

במקביל חלו גם שינויים מרחקי לכת במבנה ההחזקות בחברה: קרן פרנסיסקו פרטנרס מכרה את השליטה בחברה לפי שווי המוערך בכמיליארד דולר. את הרכישה הובילו מייסדי החברה שלו חוליו ועמרי לביא, בשיתוף עם קרן ההשקעות האירופית הפרטית נובלפינה. חוליו ולביא, שלפי דיווחים מחזיקים כיום בכ-10% מהחברה כל אחד, צפויים להשקיע בעסקה 100 מיליון דולר. יחד איתם ישקיעו בחברה גם חברי הנהלה ועובדי החברה כך שבסופו של דבר יחזיקו המייסדים והעובדים בכמחצית מהמניות.

החזית מול פייסבוק: מי מפר את הפרטיות

העתירה של אמנסטי מגיעה שבועות ספורים לאחר הסתבכות נוספת של החברה, במסגרתה חסמה פייסבוק כ-100 חשבונות פייסבוק ואינסטגרם של עובדי NSO, עובדים לשעבר ואף של בני משפחותיהם.

חסימת המשתמשים הייתה צעד חריג, שנקטה פייסבוק במקביל לתביעה משפטית שהגישה נגד NSO. פייסבוק תבעה את NSO על ניצול לרעה של חולשת אבטחה באפליקציית ווטסאפ, כדי להתקין את פגסוס על כ-1,400 מכשירי אייפון ואנדרואיד.

לפי "סיטיזן לאב", אחד הגופים שביצעו את המחקר עם ווטסאפ, שגם מוזכר בעתירה של אמנסטי, כ-100 מבין 1,400 החשבונות נפלו תחת ההגדרה של יריבים פוליטיים, אנשי דת ועיתונאים. גורמים בתעשיות הביטחוניות ששוחחו עם "גלובס" ביקשו להצביע על כך שדווקא משתמע מכך ש-1,300 מהחשבונות כן נפלו תחת ההגדרה של גורמים עוינים שייתכן שהייתה הצדקה למעקב אחריהם.

הם הוסיפו ותמהו גם - כיצד יכלה פייסבוק עצמה לדעת מי הם עובדי NSO אם היא לא הפרה את פרטיותם בעצמה, ופקפקו בטענה שהבדיקה נעשה על בסיס פרופילים ברשת החברתית לינקדין. כהערת אגב, גורמים אחרים בתעשייה סיפרו ל"גלובס" שמאז הפרשה ירדו עובדי NSO למחתרת ברשתות החברתיות ולא מציינים עוד את עובדת עבודתם בחברה בהווה ובעבר.

המהלך התקשורתי הבולט ביותר שעטף את התביעה של פייסבוק נגד NSO, היה טור דעה שכתב מנהל ווטסאפ ויל קת'קארט בוושינגטון פוסט שבו טען כי במהלך החקירה התגלה "דפוס מזעזע" לכאורה של "ריגול והתמקדות בפעילי זכויות אדם, עיתונאים ואנשים שעובדים עבור חברה מתורבתת". קת'קארט כתב כי "זאת צריכה להיות קריאת השכמה לכולנו: אמצעי שמאפשרים מעקב על חיינו הפרטיים משומשים לרעה על ידי חברות וממשלות בלתי אחראיות ששמות את כולנו בסכנה".

אלא שהיקף חסימת המשתמשים, העובדה שהיא בוצעה כלפי מספר רב של עובדי החברה, ואפילו כלפי עובדים לשעבר ובני משפחותיהם, הייתה צעד שגורמים בתעשיית הסייבר תפסו דווקא כצעד בריוני. הגורמים ביקשו להסב את תשובת הלב לסמיכות המקרה לשימוע של מנכ"ל פייסבוק מארק צוקרברג בקונגרס האמריקאי וטענו כי ייתכן מאוד שמדובר במהלך יחצ"ני שנועד להסיט אש מהרשת החברתית שזוכה לביקורת קשה ככל שמתרבים הטענות נגדה בנושאים של שמירה על פרטיות והתנהגות אנטי תחרותית.

NSO לא נשארה אדישה ופתחה חזית משפטית נוספת מול בפייסבוק. שמונה עובדי החברה הגישו תביעה נגד פייסבוק בחו"ל בדרישה לפתוח את החשבונות החסומים שלהם.

אחת הטענות שהשמיעו גורמים בתעשייה היא ש-NSO משחקת תפקיד ייחודי במערכות היחסים שבין ענקיות האינטרנט למערכות ביטחון ואכיפת החוק. כך, לפי הטענה, מערכות ביטחון תלויות בענקיות האינטרנט בבואן לבקש את שיתוף הפעולה במסגרת חקירות שהן מנהלות נגד חשודים. במקרים רבים ענקיות האינטרנט לא ששות לשתף פעולה עם מערכות הביטחון והדבר שם את מנגנוני הביטחון במקום בעייתי. בעוד שבעבר אפשר היה לשלוח סוכן שיתקין ציוד האזנה בארונות שרות של רשתות תקשורת, היום כשרוב התקשורת נעשה באמצעות האינטרנט, התלות שלהם בענקיות הטכנולוגיה הולך וגובר.

אל הפער הזה נכנסות חברות כמו NSO שמאפשרות לכל צד למלא את חלקו בהצגה. באמצעות ניהול של מערכה גלויה מול חברה כמו NSO ענקיות האינטרנט יכולות להציג כלפי חוץ מצג של מגנות הפרטיות וחופש הביטוי. מנגנוני ביטחון יכולים מצדם להשתמש בחברה כמו NSO או בכלים שלה, כחוצץ שמרחיק אותן גם מהסיכון שכרוך בפעילות חזיתית מול הענקיות וגם מהסיכון שכרוך בסיוע ישיר לגופי ביטחון אחרים.

המלשינון של NSO: לקדם פרו אקטיביות

NSO מצידה מנסה בכל כוחה לשכנע את הציבור בנחיצותה ובאחריות שהיא מגלה. כך, ב-11 בספטמבר הודיעה החברה על כוונתה לבצע התאמות לכללים המנחים של האו"ם לעסקים ולזכויות אדם ופרסמה שני מסמכי מדיניות חדשים: מסמך אחד של מדיניות זכויות אדם שאושר על ידי הדירקטוריון וההנהלה בחברה, ומסמך מדיניות שני שהגדיר תהליך של "מלשינון" שמאפשר הגשת תלונות על ידי גורמים חיצוניים.

המחשבה שמאחורי המנגנון הוא להציג את החברה כקפדנית ופרו אקטיבית, וככזו שמרצונה תוותר על עסקאות או תבטלן במקרה שהיא תגלה כי נעשה שימוש לא אתי במערכות שלה, למשל שימושים פרטיים או פגיעה בגורמים שהחברה לא מעוניינת בכך שמוצריה יהיו קשורים בסיוע לפגיעה בהם. המנגנונים הללו מנסים ככל הנראה להעביר את המסר לפיו החלופה ל-NSO היא לא עולם טוב יותר ללא כלי תקיפת סייבר אלא עולם שבו הלקוחות הפוטנציאליים של שירותיה יפנו לחברות שלאו דווקא נוהגות באחריות כפי שהיא נוהגת.

השאלות שנותרות פתוחות אם כן הן, עד כמה, בניגוד ליצוא הביטחוני ה"רגיל" נכון שדווקא הסוגיה של נשק סייבר תידון בבתי משפט או על גבי העיתון. שאלה נוספת היא האם הפעילות של NSO נעשית בתיאום מלא עם המערכת הביטחונית והאינטרסים הביטחוניים של ישראל או שהיא משרתת אינטרסים נוספים שאולי לא תמיד עולים בקנה אחד עם האינטרסים של המדינה. השאלה השלישית היא מיהם הגורמים שמנסים שוב ושוב לדחוף דווקא את NSO הישראלית לקדמת הבמה, מדוע הם עושים זאת, ומי עומד מאחוריהם.