סגור
קריקטוריסטקריקטורה יומית 4.8.21, איור: צח כהן

חובת ההוכחה על NSO

בעוד מבקרי NSO מביאים עדויות של קורבנות תוך זיהוי פעילות פגסוס על מכשירים, מנכ"ל החברה מתעקש שהכל שקרים והשמצות. אך כדי לשכנע, NSO צריכה לחשוף מסמכים, לספק ראיות ולהביא מבקרים חיצוניים עצמאיים

סדרת הכתבות שהתפרסמה בימים האחרונים על חברת NSO הישראלית, ולצדה הראיון עם מייסד החברה שלו חוליו שהתפרסם אתמול ב"כלכליסט", מפנים שוב את תשומת הלב למידת השליטה שיש לחברה על המוצר שאותו היא מוכרת ועל אופן השימוש בו.
ב־NSO מספרים על תהליך הולך ומחמיר של פיקוח אבל מתעקשים גם שאינם לוקחים חלק בהליך בחירת המטרות של הלקוח, אלא בודקים רק בדיעבד ובמקרה של תלונה.

דו"ח השקיפות שפרסמה החברה לפני כשבועיים היה רק האחרון בשורה של צעדים שנקטה בתגובה לאינספור דיווחים ודו"חות מקצועיים על ניצול לרעה של פגסוס נגד עיתונאים, עורכי דין, פעילי זכויות אדם ומתנגדי משטר מצד מדינות שדמוקרטיה וחופש ביטוי הם לא בדיוק נר לרגליהן. דיווחים אלו אילצו את החברה לשנות את אופן פעילותה, במטרה ליצור מנגנוני בקרה ופיקוח פנימיים הדוקים יותר על לקוחות פוטנציאליים וקיימים.

2 צפייה בגלריה
עיתונאי סעודי ג'מאל חאשקוג'י
עיתונאי סעודי ג'מאל חאשקוג'י
ג'מאל חאשקוג'י. NSO הכחישה שהרוגלה סייעה לרציחתו
(צילום: איי פי)

בתחילת יולי פרסמה NSO דו"ח שקיפות ראשון, שחושף כמה פרטים על אופן פעילותה ומאמציה להתמודד עם מקרי שימוש לרעה בפגסוס. לדברי החברה, בשלוש השנים האחרונות "האשמות שימוש לרעה בפגסוס הסתכמו בפחות מ־0.5% מהמקרים שבהם נעשה שימוש במערכת פגסוס על ידי הלקוחות שלנו". לפי הדו"ח, מאז 2016 חמישה לקוחות נותקו מהמערכת בעקבות חקירת שימוש לרעה, והקשר עם חמישה לקוחות נוספים הופסק בעקבות "חשש בנוגע לזכויות אדם".
NSO מעריכה את אובדן ההכנסות בעקבות הפסקת התקשרויות אלו ב־100 מיליון דולר. כן היא מעריכה שדחתה הזדמנויות עסקיות בשווי 300 מיליון דולר כתוצאה מתהליך ביקורת פנימי שיצרה. החברה לא מפרטת על מה מבוססות הערכות אלו. בשנה שחלפה, נכתב בדו"ח, פתחה החברה ב־12 חקירות בחשד לשימוש לרעה במוצריה. איך נראית חקירה? NSO מסבירה, מבלי לזהות את הלקוח או את החשד שהוביל לפתיחתה: "החקירה כללה כמה פגישות עם הלקוח, כולל בכירים בסוכנות, בחינה של החוק המקומי על ידי משרד עורכי דין מכובד במדינה, וניתוח והחלטה של NSO האם נעשה במוצר שימוש בהתאם לתנאים ולהסכמים עם החברה, כולל מחויבויות זכויות אדם". תוצאות החקירה לא פורטו. חקירה אחרת, שכללה "דיונים עם לקוחות לשעבר, בחינת מידע מקיפה ופסיקה סופית של GRCC (ועדת הסיכונים והתאימות של הדירקטוריון — ע"כ)", הסתיימה בהחלטה להפסיק את השימוש של הלקוח בפגסוס.
"אם לקוח לא משתף פעולה, אפשר למחוק את המערכת מרחוק"
ל־NSO אין גישה ישירה או בזמן אמת לשימוש שעושים לקוחות החברה בטכנולוגיה שלה. ואולם, לדבריה, במידת הצורך היא יכולה לבצע פעולות חקירה שיספקו לה גישה למידע זה. "יש לנו יכולת, באישור הלקוח, לעשות חקירה", אמר מייסד ומנכ"ל NSO, שלו חוליו, ל"כלכליסט" לאחר פרסום דו"ח השקיפות. "מה זו חקירה? יש לוג שנשמרות בו כל הפעולות שהלקוח עשה. אפשר לבקש מהלקוח את הלוג, לקבל נתונים ולעשות חקירה. הוא צריך לאפשר גישה. זה קובץ שאי אפשר לגשת אליו, למחוק אותו או לגעת בו. זה כמעט בלתי אפשרי. אם לקוח לא משתף פעולה, אפשר לנתק את המערכת מרחוק. מעולם לא קרה שרצינו גישה למידע ולא נתנו לנו אישור".
NSO גם ציינה בדו"ח הישגים של הטכנולוגיה שלה, כמו מניעת פיגועי ירי ופיגועי התאבדות, זיהוי רשתות פדופיליה וסחר בסמים ובבני אדם, איתור ילדים חטופים, מציאת ניצולים מתחת להריסות מבנים ומיפוי התפרצויות קורונה. הדו"ח לא מתייחס ישירות לאינספור הדיווחים והמחקרים שהעלו שממשלות שונות השתמשו בטכנולוגיה של החברה על מנת לרגל ולהתנכל לעיתונאים, פעילי זכויות אדם ומתנגדי משטר.

2 צפייה בגלריה
שלו חוליו מנכ"ל חברת  ה סייבר ה ישראלית NSO
שלו חוליו מנכ"ל חברת  ה סייבר ה ישראלית NSO
מייסד ומנכ"ל NSO, שלו חוליו. "אפשר לנתק את המערכת מרחוק"
(צילום: יונתן בלום)

ב־2019, למשל, NSO התחייבה, בין השאר, לשלב נוהלי בדיקת נאותות פנימיים בכל התהליכים העסקיים של החברה במטרה לזהות, למגר ולנהל סיכונים לפגיעה בזכויות אדם ולערוך בדיקה יסודית של כל תהליכי המכירה של החברה כדי לזהות פוטנציאל לפגיעה אפשרית בזכויות אדם כתוצאה מניצול לרעה של מוצרי NSO; הצהירה על מחויבות חוזית של לקוחותיה להגבלת השימוש במוצרי החברה למניעת וחקירת פשיעה חמורה (לרבות טרור) וקבלת התחייבויות כי לא ישמשו להפרת זכויות אדם; ניסחה נהלים ייעודיים להגנה על יחידים וקבוצות בדרגות סיכון גבוהות מפני ניטור דיגיטלי שרירותי. ואולם כל הצעדים הללו, וגם דו"ח השקיפות עצמו, לא יכולים לפתור בעיית יסוד ששבה וחוזרת בכל עיסוק שלילי בחברה. בסופו של דבר, מה שיש לנו כתגובה אלה טענות החברה בלבד.
מבקרי NSO עושים עבודה טובה בהבאת עדויות של קורבנות, פיתוח כלים לזיהוי פעילות פגסוס על מכשירים ומיפוי תשתית הפעילות המקוונת שלה, ושאר ראיות שאולי הן לא תמיד חד־משמעיות, אבל המתודולוגיה מאחוריהן ברורה וניתנת לבדיקה, פיקוח ושחזור על ידי גורמים אחרים. יש גוף רחב של מחקרים ועדויות שכל אחד, עם הידע המתאים, יכול לבדוק ולאשש או להפריך את הממצאים שנוגעים ל־NSO. ומה יש לחברה בתגובה? רק את המילה שלה שכל זה אינו נכון. NSO לא מציגה מסמכים, לא מספקת ראיות פורנזיות או אחרות, לא מביאה עדויות של לקוחות או גורמים אחרים מחוץ לחברה, לא הביאה בינתיים אפילו את הגורמים העצמאיים שלדבריה מינתה כדי לבקר את פעילותה בהליך שהוא יותר פנימי מחיצוני. כל מה שיש לה זה את חוליו שמתייצב מול המיקרופונים ואומר: תאמינו לי, הכל שטויות.
NSO צריכה לעשות הרבה יותר כדי להוכיח את טענותיה
"כלכליסט" שוחח עם חוליו לא מעט פעמים בשנים האחרונות. ברמה האישית הוא אדם נעים, כריזמטי ומשכנע, כזה שמקרין אמונה עמוקה במה שהחברה עושה ובצדקת דרכה. אבל כשהשיחה מסתיימת ומסתכלים על הרשימות, מבינים שכל מה שיש בסופו של דבר זו המילה שלו. מילים יפות, מול גל של עדויות וראיות מגוונות ממגוון גורמים עצמאיים, מחוקרים מנוסים ומוערכים שהוכיחו את עצמם ואת הכישורים שלהם פעם אחר פעם, אנשים שמדברים בקולם על הפגיעה שנגרמה להם. לא משנה כמה יפה ידבר חוליו, כמה משכנעים יהיו הדברים שלו, זה לא יצליח לבטל את כל מה שניצב מנגד.
יכול להיות שהוא צודק, שבאמת כל הפרסומים על NSO הם שקרים והשמצות, ושזו החברה המושמצת ביותר בהיסטוריה, על לא עוול בכפה. אבל כדי לשכנע אותנו בכך, NSO צריכה לעשות הרבה יותר. לחשוף מסמכים, לספק ראיות, להביא מבקרים חיצוניים עצמאיים באמת שהציבור יכול לסמוך עליהם. אם, למשל, ד"ר ביל מרזק ממכון סיטיזן לאב של אוניברסיטת טורנטו יקבל גישה מלאה, ואז יאמר: אני לא יכול לומר מה ראיתי, אבל הכל שם תקין כיום ואין סיבה לדאגה, יהיה בכך די והותר. אך כל עוד הם לא עושים את זה, האפשרות היחידה היא להאמין לצד השני. המילה של NSO פשוט לא מספיקה.