סגור

דו"ח טכנולוגי
הגיע הזמן לחקירה רשמית של ישראל נגד חברת NSO

בחברת הסייבר ההתקפי הישראלית ממשיכים להדוף את הטענות נגדה, אבל בשעה שאלה מבוססות על מחקרים ונתונים זמינים לציבור, ב-NSO ממשיכים לסרב לספק מידע שמאמת את הכחשותיהם. אין מנוס מפתיחת חקירה רשמית נגד החברה ומי שחייבת להרים את הכפפה הזו היא מדינת ישראל

כשחברת NSO מדברת עם התקשורת, הרבה פעמים היא מפזרת רמיזות, אמירות חצי-ישירות, איתותים עדינים, או אמירות שאי אפשר לאמת. אתמול, למשל, בתגובה לדו"ח העדכני של סיטיזן לאב, שחשף שאייפונים של תשעה פעילים מתנגדי משטר בחריינים הודבקו בפגסוס, טענה NSO ש"נראה שסיטיזן לאב שוב מחזרו מידע נטול הגיון טכנולוגי, ושלא יכול להיות קשור ל-NSO".
הדו"ח של סיטיזן לאב דווקא מתבסס בעיקרו על ניתוח פורנזי של תשעה אייפונים חדשים, ו-NSO? לא מבהירה או מנסה לאמת את הממצאים. להגנתה של NSO היא אמנם לא ראתה את הדו"ח המלא טרם הפרסום, אך גם עתה, קרוב ליממה אחרי שפורסם, ו"כלכליסט" וידא שאכן בחברה ראו את הדו"ח המלא, לא מסרה NSO תגובה עדכנית. כי למה לטרוח להגיב לעניין, כשאפשר פשוט לזרוק האשמות באוויר.
2 צפייה בגלריה
מימין יו"ר NSO אשר לוי והמנכ"ל שלו חוליו
מימין יו"ר NSO אשר לוי והמנכ"ל שלו חוליו
מימין יו"ר NSO אשר לוי והמנכ"ל שלו חוליו
(צילום: עמית שעל)
לסיטיזן לאב יש, אגב, הסבר לשאלה למה לא למסור ל-NSO את הדו"ח לפני הפרסום. "אם נבחן את התגובה של NSO, זו לא תגובה פשוטה שאומרת, לא ראינו את הדו"ח ולכן אנחנו לא יכולים להגיב", אמר לי אתמול ד"ר ביל מרזק, עמית מחקר בכיר בסיטיזן לאב וחוקר באוניברסיטת קליפורניה בברקלי, שהוביל את המחקר הנוכחי. "הם מנסים ליצור ספין של מיסאינפורמציה. אומרים שהמידע לא הגיוני מבחינה טכנולוגית, לא קשור ל-NSO, מציינים תאריכים שגויים לסיפור של פורבידן סטוריז. המטרה היא לעשות ספין שמטיל ספק במחקר שלנו. אם ניתן להם את הדו"ח המלא מראש הם יעשו אותו דבר, אבל יהיה להם יותר מידע לעשות את זה".
לא שזה משנה, כי גם אחרי ש-NSO ראתה את הדו"ח המלא, התגובה המעודכנת שלה לא היתה יותר אינפורמטיבית, ועסקה יותר בהתקרבנות ותקיפת סיטיזן לאב. "NSO דורשת שסיטיזן לאב ישתפו את המידע שיש להם, אם באמת אכפת להם האם זכויות אדם נפגעו או לא", נמסר. "בלי מידע זה, יש לנו רק כותרות דרמטיות ושום קשר אמיתי ל-NSO. סיטיזן לאב במכוון מונעים מ-NSO לחקור ואולי למתן כל אפשרות לניצול לרעה של מוצריה, ולא מספקים מידע שמאפשר לחברה לטפל בהאשמות. עד שהם יבחרו לשתף פעולה ויאפשרו לנו לרדת לשורש העניין, יהיה קשה מאוד לנהל חקירה אמיתית".
התגובה או הספין מבלבלים את היוצרות. זו לא האחריות של סיטיזן לאב לספק ל-NSO מידע על השימוש שעושים לקוחות במוצריה. זו האחריות של NSO לדעת מה נעשה במוצרים שלה, ולא להטיל על גורמים עצמאיים את האשמה על כך שאין לה יכולות לדעת או לחקור שימוש לרעה במוצריה. התגובה גם מתעלמת משפע מידע טכני שמופיע בדו"ח, וש-NSO יכולה לאמת או להפריך אם היא רוצה בכך. בנוסף, הדו"ח קושר ישירות את בחריין למעקב אחרי לפחות ארבעה מהפעילים. לאור העובדה שלדברי NSO כל לקוח תוקף בממוצע רק 100 מטרות בשנה, האם כל כך קשה לחברה לבצע חקירה ולברר האם בין אותן 100 מטרות יש פעילים של ארגוני זכויות אדם או מתנגדי משטר?
זה נכון שסיטיזן לאב לא מספקת ל-NSO את כל הפרטים שברשותה, ובפרט פרטים מזהים של קורבנות שביקשו להישאר אנונימים. יש לכך כמה סיבות. ברמה העקרונית, לסיטיזן לאב אסור לזהות מקורות שביקשו שזהותם לא תחשף. זו תהיה התנהגות לא מוסרית, שתפגע באמינות של מכון המחקר ותקשה עליו לבצע מחקרים נוספים בעתיד. בנוסף, בפעמים ש-NSO כן קיבלה מספרי טלפון לבדיקה, התשובה תמיד היתה שהם לא מטרות של פגסוס – בלי שום תימוך עצמאי בטענה זו. למעשה, זו התנהגות די קבועה של NSO: להעלות טענות בלי לספק להן תיקוף. אז למה למסור מידע ולהתנהל בשקיפות מול גוף שלא עושה זאת בעצמו?
ויש גם סיבה מעשית, מבוססת על ניסיון עבר. הטלפון של אחד מתשעת הפעילים הבחריינים הותקף לראשונה על ידי פגסוס במרץ 2019. תקיפה זו כבר דווחה בעבר, והפעיל דיבר עליה בראיון משותף עם אחד ממחברי הדו"ח ב-2020. שש שעות בלבד אחר שידור הראיון, המפעיל הבחרייני פרץ פעם נוספת למכשירו של הפעיל עם פגסוס. כלומר, חשיפת זהות המותקפים מעמידה אותם בסיכון לפרצה נוספת, סיבה מספיק טובה שלא לחשוף את זהותם למפתחת תוכנות הריגול.
משחק תקשורתי מצד NSO ראינו בעקבות התחקיר שכונה "פרויקט פגסוס", ושבמרכזו רשימה של 50 אלף מספרי טלפון שהיו בעלי עניין כלשהו ללקוחות NSO. בראיון שערך כלכליסט עם מייסד ומנכ"ל NSO, שלו חוליו, שאלנו אותו האם ייתכן שהממצאים של הפרויקט קשורים ללקוחות עבר. "חד-משמעית", הוא השיב. "שינינו את כל מדינית זכויות האדם שלנו ב־2020 ונכנסנו לתקן של האו"ם. אלו נתונים מ־2017 ו־2018, ומאז ניתקנו חמש מערכות".
הדו"ח של סיטיזן לאב מאתמול, ש-NSO לא סיפקה בינתיים פרטי מידע אחד שסותר אותו, מעלה שגם בשעה שהמדיניות נכנסה לתוקף, פעילים בחריינים היו קורבנות של פגסוס. הדבר מצביע על הבעייתיות בדבריו של חוליו. בחריין היא מדינה עם רקורד בעייתי, אפילו מסוכן, בכל הנוגע לשמירה על זכויות אדם וחופש מקוון של אזרחיה. אם NSO אכן ממשיכה למכור לה את פגסוס, הדבר מצביע על כך שמדיניות זכויות האדם של החברה לא אפקטיבית, או שמדובר בעיקר בהצגה שנועדה להשתיק את הביקורת עליה ולאפשר לה להמשיך לפעול כבעבר. ל-NSO או שלא אכפת מזכויות אדם, או שאין לה שום יכולת אפקטיבית לפקח על הלקוחות שלה ועל השימושים שהם עושים במערכת. איך שלא הופכים את זה, החברה לא יוצאת מכך טוב.

2 צפייה בגלריה
ביל מרזק עמית מחקר בכיר ב מכון סיטיזן לאב של אוניברסיטת טורונטו
ביל מרזק עמית מחקר בכיר ב מכון סיטיזן לאב של אוניברסיטת טורונטו
ביל מרזק, עמית מחקר בכיר במכון סיטיזן לאב של אוניברסיטת טורונטו
(צילום: אוראל כהן)

חלק ניכר מאותו ראיון עם חוליו התמקד בהכחשת הקשר בין רשימת 50 אלף המספרים לחברה. הרשימה כלל לא קשורה לחברה, טען, "בכל ההיסטוריה של NSO עד היום אין 50 אלף מטרות לפגסוס. זו רשימה מהונדסת שלא קשורה. זו בדיחה". כשרק התפרסם התחקיר, ואף שאני בדרך כלל מתייחס בספקנות לאמירות של NSO, נטיתי להאמין הפעם לטענות של חוליו. ההצגה הבעייתית של הרשימה על ידי כלי התקשורת שהשתתפו בתחקיר, והעובדה שלא הוסבר מה מקור הרשימה או איך היא נקשרה דווקא ל-NSO, תרמו גם הם לתחושה שיותר מרשימה בעלת קשר כלשהו לפגסוס, מדובר ברשימה שמונפה על מנת להעלות את החברה על המוקד, תוך התעלמות משחקניות אחרות בתעשייה, רבות מהן ישראליות, שהרשימה יכולה להיות רלוונטית אליהן באותה המידה.
אבל בחודש האחרון הצטברו ראיות חדשות שמחייבות בחינה מחדש של הסוגיה. לגילוי בתחקיר המקורי שלפיו מבין 67 טלפונים שנבדקו ב-37 אותרו סימנים של פגסוס או ניסיון להתקין את התוכנה, הצטרפה בדיקה של הרשויות בצרפת שמצאה עדויות לפעילות של פגסוס על טלפונים של שלושה עיתונאים שהיו ברשימה. התחקיר של סיטיזן לאב מאתמול חיזק את חשיבות הרשימה, כשמצא שמבין תשעת הפעילים שהותקפו בפגסוס, המספרים של חמישה מהם היו ברשימה.
הקשר של הרשימה ל-NSO עדיין לא ברור, אך הטענה שלפיה אין שום קשר אינה מחזיקה עוד מים. חודש אחרי פרסום התחקיר, אני נאלץ להודות שטעיתי בהערכה הראשונה שלי לגבי הרשימה. הממצאים המצטברים מצביעים על כך שיש קשר או קורולציה בינה לבין קורבנות פגסוס, ואף שסביר להניח שלא כל אחד מ-50 אלף המספרים שבה היה יעד להתקפה על ידי הרוגלה, הקשר חזק מספיק על מנת להפוך את הרשימה לכלי עבודה מרכזי של גורמים כמו אמנסטי וסיטיזן לאב בבואם למפות את היקף הפעילות של פגסוס. לא הוכחה בפני עצמה, אך בהחלט נקודת מוצא חשובה או כלי עזר משמעותי בכל חקירה בתחום.
את החקירה הזו צריכה להוביל מדינת ישראל. עד עכשיו, ישראל הגיבה בנרפות לפרסומים השונים על NSO וחברות ישראליות אחרות בתחום דוגמת קנדירו. המהלך המשמעותי ביותר היה ביקור במשרד NSO כשבוע אחרי פרסום פרויקט פגסוס, שכלל בעיקר קבלת מצגות מבכירי החברה במרכז המבקרים שלה. אם החקירה הניבה מסקנות או צעדים כלשהם, אם היו אפילו מהלכי חקירה נוספים, אנחנו לא שמענו על כך.
הצטברות הפרסומים, במיוחד לגבי NSO, לא מאפשרים עוד למדינת ישראל לשבת על הידיים בחוסר מעש. הביקורת הציבורית והמדינית מתגברת, כשדו"חות עתידיים צפויים לתדלק אותה. אם זה יימשך, יהיו גם השלכות שיפגעו בישראל ובתדמיתה. הדרך היחידה להתמודד עם זה היא באמצעות חקירה אמיתית ושקופה, שתאפשר לציבור בישראל לדעת איזה שימושים עושות מדינות בטכנולוגיה המסוכנת שמפותחת כאן, ומה עושה המדינה על מנת להבטיח שטכנולוגיות אלו לא משמשות לכרסום הדמוקרטיה ופגיעה בזכויות האדם במדינות אחרות.