זה היה החודש הגרוע ביותר בתולדות NSO, חברה ישראלית שמעלליה יכולים לכלכל סדרה שלמה בנטפליקס: עלייתה ונפילתה של חברת סייבר שהלכה רחוק מדי.
תביעת הענק שאפל מגישה נגדה עכשיו בארה"ב היא רק אבן הדומינו האחרונה בסדרה ארוכה של תביעות, החלטות משפטיות וחשיפות מביכות שיצרו זיהוי בין NSO ובין הפרת זכויות אדם, רדיפת עיתונאים וחדירה לפרטיות של אזרחים ופעילים חברתיים. אפל מבקשת להוציא צו מניעה שיאסור על NSO כל שימוש או מגע עם תוכנות, מוצרים ותשתיות של אפל.
שבועות אחדים לפני כן, ממשלת ארה"ב הכריזה על הכנסת NSO לרשימה שחורה של חברות שאין להתקשר איתן ללא אישור מיוחד, ובית משפט אמריקאי נתן אור ירוק לתביעה של פייסבוק, שהאשימה את NSO בחדירה לחשבונות ווטסאפ של "מטרות" ברחבי העולם. אתמול פורסם שעסקת ענק של NSO עם ממשלת צרפת בוטלה בעקבות הגילוי שמוצריה שימשו לסימון הנשיא מקרון ושרים בכירים. חברות דירוג האשראי מיהרו להודיע על תחזית שלילית לחברה.
בקיצור, כרגע נראה שהבעיה הגדולה ביותר של NSO תהיה למנוע בריחת עובדים מחברה שנחשבת מאוסה בעיני ענקיות ההייטק הבינלאומיות ובעיני ממשלות זרות.
אבל הבעיה שלנו, בישראל, נמצאת במקום אחר. NSO היא החדשות של אתמול. את הלקח של כישלון החברה ונפילתה הציבורית והעסקית לומדות עכשיו חברות הסייבר ההתקפי האחרות שפועלות בישראל. חלקן כבר ידועות קצת, והופיעו בדו"חות ובתחקירים של מכוני סייבר וארגוני זכויות אדם בעולם. על אחרות כנראה לא נשמע. הן יעשו מאמצים גדולים להישאר לחלוטין מתחת לרדאר, אולי אפילו להירשם מחוץ לישראל. הכול כדי לא לשלם את מחיר החשיפה התקשורתית שמשלמת NSO.
הסייבר הפך מנכס לנטל
פרשת NSO לימדה את ראשי חברות הסייבר שיוזמות של "אחריות חברתית" (סיוע למשפחות נזקקות, חסות ליחידות סייבר צבאיות עבור צעירים עם מוגבלות, חנוכת האבים טכנולוגיים בפריפריה), לא מסוגלות להציל את התדמית של חברה שעושה עסקים עם הרעים. כשארה"ב מחרימה אותך ואפל תובעת אותך, קשה לגייס מתכנתים מוכשרים ומסובך לעשות עסקים.
הצרה היא שכל עוד ממשלת ישראל לא תרסן ביוזמתה חברות כאלה, הן ימשיכו לשרת כל מי שמוכן לשלם - אנחנו פשוט לא נדע מזה.
רק לפני שבוע נחשף בתחקיר נוסף של חברת ESET כי תוכנה זדונית של קנדירו הישראלית שימשה לשתול בעשרות אתרי חדשות באנגליה ובמזרח התיכון תוכנות ריגול המועברות למבקרים באתר (שיטה המוכרת בשם מתקפת "בורות מים"). אחד האתרים הוא Middle East Eye האנגלי המסקר את המזרח התיכון וגם את ישראל ומבקר את הממשלים הלא דמוקרטיים במדינות המפרץ. קנדירו הצהירה בעבר שהיא מוכרת לממשלות בלבד.
תא"ל במיל' יאיר קולס, ראש האגף לייצוא ביטחוני (סיב"ט) במשרד הביטחון (צילום: משרד ההגנה האמריקאי, CC)
חברה אחרת ומוכרת פחות שנחשפה לאחרונה היא קוואדרים, מפתחת תוכנות פריצה וריגול לטלפונים סלולריים שמזכירות מאוד את אלה של NSO (למשל הדבקה ב"זירו קליק", בלי שום פעולה מצד המשתמש). "דה-מרקר" דיווח שקוואדרים עושה עסקים עם ממשלת סעודיה באמצעות חברה קפריסאית שלא כפופה לפיקוח משרד הביטחון. שליט סעודיה התפרסם בשנים האחרונות בדיכוי יריבים ובני משפחה, וכן ברצח המזוויע של העיתונאי מתנגד המשטר ג'מאל חשוקג'י. חברות אלו הן רק קצה הקרחון שמתחת לספינת NSO השוקעת.
אל תטעו – לא צריך להיות שמאלן חובב זכויות אדם וטריבונלים בהאג כדי להסתייג מסייבר התקפי. נזקי הסייבר ההתקפי לא נוגעים רק לפעילי זכויות אדם, לאנשי אופוזיציה ולעיתונאים במקומות רחוקים. מעללי התעשייה, שבעבר הועילו לאינטרס הדיפלומטי של ישראל במדינות לא-דמוקרטיות, יוצרים כעת נזק היקפי וישיר לאינטרס הישראלי הציבורי, הכלכלי והממשלתי ברמות רבות. את המשברים הדיפלומטיים החריפים עם ארה"ב ועם צרפת כבר קשה להסתיר. בנט ושליחיו אולי הצליחו להוריד את הצרפתים מהעץ, אבל האמריקאים לא שיתפו פעולה, והתעקשו לסמן את NSO וקנדירו כחברות "עוינות".
אבל מעבר לנזק הדיפלומטי קיימת הפגיעה המסחרית. גלי ההדף של החשיפות הבינלאומיות על NSO - פרויקט פגסוס, התביעות של פייסבוק ואפל - מסכנים את ההייטק הישראלי כולו, ובוודאי את התעשיות הביטחוניות. חברות גדולות כמו אמזון וספקיות שירותי ענן אחרות יחשבו פעמיים לפני שישתפו פעולה עם טכנולוגיה ישראלית. ועוד לא דיברנו על הכיבוש, ועל הלחץ המתמיד שגורמים פרו-פלסטיניים מפעילים על ענקיות הטכנולוגיה כדי שיחדלו לספק שירותים ומוצרים למערכת הביטחון ולממשלת ישראל.
בכנסת: איפול על הדיון בשקיפות
לקח חשוב אחד מפרשיות NSO הוא שהלחץ הציבורי שלנו, בישראל, צריך להתמקד במשרד הביטחון, בממשלה ובחברי הכנסת. הבעיה לא נעוצה בחברת טכנולוגיה מסוימת, אלא במערכת שמאפשרת לחברות כאלה לפנות לכיוונים מושחתים ובלתי מוסריים, שמזיקים לאינטרס הישראלי.
שורה של כלים יכולים לרסן את ממשיכי דרכה הסודיים של NSO. כבר ברור שתעשיית הסייבר ההתקפית הישראלית, למרות תרומתה למשטרים דכאניים ולפגיעה בזכויות אדם, מושכת עניין והשקעות מהעולם. לפי "כלכליסט", היא בין המובילות בעולם בהשקעות בתחום הסייבר. זה לא אומר שצריך לסגור את כל הענף, אבל צריך להציב לו כללים שקופים וחד-משמעיים שימנעו ממנו להזיק. מומחים כבר יש, ההמלצות כבר נכתבו.
כמה מהצעדים האלה מופיעים למשל בנייר עמדה מפורט שכתבו מומחי המכון הישראלי לדמוקרטיה - ד"ר תהילה שוורץ אלטשולר, עו"ד עמיר כהנא וד"ר רחל ארידור הרשקוביץ. המסמך הוכן כמצע לדיון שנועד להתקיים בוועדת המשנה לענייני מודיעין ועניינים מיוחדים של ועדת החוץ והביטחון של הכנסת, אם כי לא ברור מתי הדיון יתקיים ומי ישתתף בו. יו"ר הוועדה ח"כ רם בן ברק סירב למסור פרטים בסיסיים ביותר על הדיון הזה, וכמובן ישאיר אותו סגור לציבור.
ח"כ רם בן-ברק (צילום: יונתן זינדל)
נייר העמדה הזה ממליץ בין השאר למקד את הפיקוח על ייצוא ביטחוני של סייבר התקפי בדרישות שימזערו את הסיכוי לפגיעה בזכויות אדם ושירות משטרים דכאניים. לדוגמה: להתחשב בשיקולי הגנה על זכויות אדם בתהליכי קבלת החלטות; להגביר את השקיפות של תהליך הרישוי; לפשט רגולציה מורכבת; להעביר את האחריות לטכנולוגיות דו-שימושיות (אזרחיות וצבאיות כאחד) ממשרד הביטחון למשרד הכלכלה; להתחשב בשיקולים רחבים יותר, כגון פגיעה אפשרית בכלל ענף ההייטק; ולהטיל חובת צינון על פורשים בכירים ממערכת הביטחון לפני שיחצו את הכביש לחברות הסייבר ההתקפי - כפי שקרה עם בכירי NSO.
במאמר ב"וושינגטון פוסט" שמצוטט במסמך הזה מזהירים המשפטנים דיוויד קיי ומרייט שאק - הוא הממונה מטעם האו"ם על הגנת חופש הביטוי, והיא חוקרת בכירה מאונ' סטנפורד - מפני "אסון בינלאומי של טכנולוגיות מעקב, שבו כלי מעקב יציפו את העולם בעקבות הכישלון של ממשלות ומדינות למנוע או להגביל את ייצואם ואת השימוש בהם". אף שמדובר בבעיה גלובלית, אומרים השניים, גודלו של ענף הסייבר ההתקפי הישראלי והעובדה שהוא הפך לזרוע-מודיעין להשכרה לממשלים זרים, מטילים על ישראל אחריות מיוחדת.
קיי ושאק קוראים לישראל להגביל את ייצוא הטכנולוגיות למדינות שלא עומדות בסטנדרטים של שמירה על זכויות אדם, ולהגביר את השקיפות של רישום ותיעוד החברות המוכרות ושל תהליך האישור והפיקוח עליהן. במקביל יש להטיל מגבלות ולדרוש שקיפות גם מהממשלות הזרות שרוכשות את הטכנולוגיות. עוד הם קוראים לאפשר לקורבנות של טכנולוגיות ריגול לתבוע בבתי משפט בינלאומיים הן את הממשלים שרדפו אותם, הן את החברות שייצרו את הטכנולוגיה.
ישראל עוד רחוקה מאוד מיישום ההמלצות האלה. בכנסת אפילו מסרבים לומר מתי יתקיים עליהן דיון בבית המחוקקים. אם הרשויות בישראל רוצות להוכיח שהאינטרס האזרחי ועקרונות הדמוקרטיה והחופש עומדים בראש מעייניה, הגיע הזמן שיכבידו על התעשייה הרעילה הזאת במקום לטפח אותה.