משרד הביטחון מונע מחברות מודיעין המבוסס פרסום מלפתח רוגלות / צילום: Shutterstock
בשנה האחרונה צמצם משרד הביטחון דרמטית את אישורי השיווק והמכירה שהוא מעניק לחברות סייבר התקפי, דבר שהביא לפיטורים ולצמצום המכירות בענקית הרוגלות NSO, ולסגירתן של חברות כגון קוואדרים, נמסיס ואינסייט, ושל חטיבות התקפיות בחברות כגון קוגנייט וקלע-דוד.
● אילון מאסק הקים חברה חדשה שתתחרה ב-ChatGPT
● יוקר המחיה מגיע לארוחות הצהריים בעבודה? 57% מעדיפים אוכל מוכן מהבית
לגלובס נודע, כי באגף פיקוח יצוא (אפ"י) במשרד הביטחון הרחיבו את ההגבלות גם על תעשייה אחרת, הפועלת בסמוך אליה - המודיעין המבוסס על פרסומות.
מדובר בתעשייה שפועלת מתחת לרדאר כבר שנים, ובה מפותחות בחשאי מערכות לאיכון משתמשים בהתבסס על החשיפה שלהם לפרסומות. כמו ענף הסייבר ההתקפי, גם תחום הריגול המבוסס על פרסומות, או "אד-אינט" כפי שהוא מכונה בתעשייה (ad-int, קיצור של Advertising Intelligence), מסייע לארגוני ביטחון במשימות מודיעיניות, אך נחשב נחות יותר מבחינה טכנולוגית, מפני שאיננו מאפשר את שאיבת תכולת המכשיר על ידי הדבקתו ברוגלות.
עד כה פעלו חברות המודיעין המבוסס על פרסום ללא פיקוח של אפ"י, מאחר שהן עושות שימוש בבורסות פרסום פתוחות ובאמצעים של בינה מלאכותית על מנת לבצע איכון של חשודים, אלא שכעת לגלובס נודע כי לפחות חברה אחת, רייזון מתל אביב, פיתחה מוצר משלים למערכת האיכון שלה המאפשרת לארגוני ביטחון להתקין בקלות רבה יותר רוגלות מודיעיניות.
ככל שנודע, אגף פיקוח יצוא לא התיר את מכירת המערכת ללקוחות זרים, זאת למרות שמדובר במוצר שולי עבור החברה המתפרנסת בכלל ממוצרי סייבר ובינה מלאכותית.
אחת הסיבות לכך נובעת מהאפקטיביות הגבוהה של פיתוח מערכת כזו, המאפשרת להדביק מכשיר טלפון ברוגלות של חברות אחרות באמצעות חשיפה לפרסומת. מדובר בטכנולוגיה מתקדמת יותר מזו של ספקיות הרוגלה הקיימות, כגון NSO, אשר מאפשרות את הפריצה למכשירים בהתבסס על חולשות במערכות הפעלה ואפקליציות, ומעסיקות עשרות חוקרים המאתרים אותן. מערכות הריגול המבוססות על פרסום אינן דורשות איתור של חולשה, ולכן הן מדאיגות את אגף פיקוח היצוא בישראל. ממשל ביידן הבהיר למשרד הביטחון כי לא יסבול יצוא של רוגלות למדינות לא דמוקרטיות. מרייזון, ביסייטפול ומשרד הביטחון לא התקבלה תגובה.
שילוב בין מודיעין ופרסום
תעשיית האד-אינט משלבת בין שני ענפים טכנולוגיים שבהם ישראל מצטיינת במיוחד: מודיעין ופרסום. עד לפני עשור שלטו בישראל חברות כמו קונדואיט, איירון סורס ופריון, שהתמחו בהטמעת פרקטיקות מעולם המודיעין למנועי פרסום, במטרה לשפר את ההתאמה בין שטחי הפרסום ובין המשתמש ולמקסם את ההכנסות מפרסומות על גבי אפליקציות, סרגלי כלים ודפדפנים.
השליטה הבלתי מעורערת אף זיכתה את תל אביב בכינוי המפוקפק "עמק ההתקנות" (Download Valley), בזכות חברות שהתמחו בפרסומות להתקנת תוכנות ומנועי חיפוש במחשבים ובטלפונים ניידים, לעיתים ללא הסכמה מפורשת של המשתמש.
בשנים האחרונות התבלטו שתי חברות ישראליות - רייזון וביסטייפול - בשוק המודיעין המבוסס על פרסום. החברות שואבות מידע מתוך בורסות פרסום שעובדות בדרך כלל עם מפרסמים, ומאפשרות להם למקד את המודעות שלהם במשתמשים בעלי הסיכוי הגבוה ביותר ללחוץ על המודעה.
מידע שכזה יכול לכלול, למשל, את האזור הגיאוגרפי שבו ממוקם המשתמש ואת הרגלי הגלישה שלו. למעשה בבורסות הפרסום מחזיקים את כל המידע הנחוץ על המשתמשים שלהם, למעט את זהותם. במקום זאת, המידע מקושר למספרים סידוריים המסמלים את המשתמשים השונים.
חברת רייזון (Rayzone) מרחוב יגאל אלון בתל אביב מפעילה באמצעות הזנת מידע הנשאב מבורסות פרסום פתוחות את "אקו", שירות שהיא מספקת לרשויות ביטחון, המאכן את מיקומם הפיזי של משתמשים. בצורה זו רשויות יכולות לזהות את מיקומו של חשוד, אך על מנת לבצע פעילויות נוספות - כגון מעצר או האזנה - עליה להשתמש בכלים אחרים. היא יכולה לשלוח כוחות לדירתו על מנת לעצרו או להתקרב לדירתו עם ניידת טקטית המסוגלת להדביק את הטלפון הנייד שלו עם רוגלות תוך חדירה לרשת האינטרנט האלחוטית שלו (WiFi).
בגלל שרייזון ודומותיה אינן חודרות לטלפון הנייד של המשתמש, אלא עושות שימוש בהיסקים סטטיסטיים על בסיס מידע פתוח, הן אינן נזקקות לרישיון יצוא של אפ"י.
נרשמת כאילו הייתה מפרסמת
רייזון ודומותיה שואבות את הנתונים מהבורסות באמצעים שאינם ניתנים לזיהוי על ידי החברות: היא נרשמת לבורסות הפתוחות כאילו היתה מפרסמת, ואף הקימה לצורך כך שתי חברות בנות ישראליות, המחברות מפרסמים לבורסות פרסום - אימפלס פרוגרמטיק ואוקסילון.
רייזון הוקמה ב-2010 על ידי יוצאי מערכת הביטחון ערן רשף, יוחאי בר-זכאי, בעברו סגן מפקד 8200, ומתן כספי. היא הציעה בשנותיה הראשונות שירות לרשויות ביטחון המבצע איכון חשודים בהתבסס על חולשות שנמצאו בטכנולוגיות תקשורת קווית וסלולרית, שוק שהצטצמם בעקבות התפתחויות טכנולוגיות בתעשיית הסלולר והיחלשות התקשורת הטלפונית הקווית.
החברה גם עומדת מאחורי פלטפורמת החקירות המבוססת על ביג-דאטה TA9, המאפשרת לרשויות אכיפה לנהל חקירה ולסגור מעגלים מהירים יותר, ולאחרונה אף חתמה על הסכם ארוך-שנים עם המשטרה הפדרלית הבלגית. בנוסף, רייזון מספקת שירותי ייעוץ סייבר לחברות.
חברה ישראלית נוספת החולקת עם רייזון את תעשיית האד-אינט היא ביסייטפול (Bsightful) מהרצליה, של היזמים אברהם ברהון, גיא אמיר, גיא גילדור ואשר אלעזר. בחברה מושקעת גם קוגנייט - לשעבר זרוע המוצרים הביטחוניים של ורינט. בעוד שרייזון מתבססת יותר על בורסות פרסום המיועדים לדפדפנים, ביסייטפול עובדת עם פרסומות המשובצות באפליקציות המותקנות על גבי הטלפון (אפליקציות נייטיב). ובניגוד לרייזון, ביסייטפול איננה מתפעלת אתר אינטרנט ועובדיה אינם מונים את החברה כמקום עבודתם ברשת החברתית לעובדים לינקדאין.
לחברות הישראליות גם מתחרה אמריקאית, ונטל (Venntel) ממדינת וירג'יניה - מקום מושבן של סוכנויות מודיעין - שנבדקה בעבר על ידי הקונגרס ביוזמת הסנאטורית הדמוקרטית אליזבת וורן.
ונטל החזיקה בהסכמים עם המשרד לביטחון המולדת בארה"ב, רשות המסים המקומית והבולשת הפדרלית. בעבר טען ה"ביזנס אינסיידר" כי ונטל סייעה לרשויות ההגירה בארה"ב לאתר מהגרים בלתי חוקיים שחצו את הגבול ממקסיקו לארה"ב. על פי ההערכה, חולקות רייזון, ביסייטפול וונטל את שוק המודיעין המבוסס על פרסום, המגלגל כמה עשרות מיליוני דולרים בשנה.
"שימוש שלא לצרכי פרסום הוא הפרה בזכות יסוד הפרטיות"
עו"ד אושרית אביב, יועצת ציות, רגולציה ואתיקה לחברות טכנולוגיה טוענת כי גם אם המידע מבורסות הפרסום מתקבל באופן חוקי, הרי שהשימוש בו לצרכים שאינם כרוכים בפרסום נחשבים להפרה חוזית ומעבר לכך, בזכות יסוד הפרטיות. "מי שמקבל "מושב" בבורסת פרסום או עובד עם ספקי דאטה, חותם על חוזה שם מובהר לו מהם השימושים המותרים.
"גם בהיבט החוקי מדובר בנושא בעייתי, בעיקר במדינות אירופה ובקליפורניה שם קיימים חוקי פרטיות קפדניים יותר", אומרת אביב. "איכון באמצעות שילוב של דאטה מייצר פוטנציאל חולשה שמאפשרת לתוכנות אחרות לרכוב עליה, ועצם העובדה שאין למשתמש יכולת להבין מה קורה מאחורי הקלעים בטלפון שלו הופכת את הפעילות ללא-לגיטימית. החוקים הביטחוניים בארה"ב מאפשרים לבצע איכון ביתר קלות ביחס למדינות אחרות כל עוד מדובר בחשד סביר, גם ללא צו שופט - זו אחת הסיבות בגללן באירופה מתקשים לאפשר העברה של נתונים מחברות מקומיות לחברות אמריקאיות.
״אם חברות המודיעין טוענות שמדובר בנתונים שאינם מזהים משתמשים ספציפית, הרי שחוקי הפרטיות במדינות רבות רואים משפטית את נתונים הנשאבים מבורסות פרסום כנתונים אישים - ואף רגישים - לכל דבר״, אומרת אביב. ״שם מאופיינים הגולשים לפי המיקום הכללי שלהם, לפי מה שאמרו לפני דקה או שתי דקות או להיסטוריית הגלישה שלהם מהשניות האחרונות״.
חברות המודיעין, מצידן, מצטיידות גם הן בחוות דעת משפטיות אשר מגינות עליהן ועל לקוחותיהן מפני מעבר על החוקים והתקנות.