שחמט משפטי: המאבק בין NSO לפייסבוק בבית משפט בקליפורניה

NSO ופייסבוק נאבקות מאוקטובר האחרון סביב כתב תביעה שהגישה פייסבוק. מצידה, רוצה פייסבוק להרתיע חברות איסוף בסייבר משימוש במוצרים שלה, כולל ווטסאפ. NSO מצידה רוצה לבטל את המשפט בארה"ב. שתי החברות משתמשות בטקטיקות משפטיות מעניינות. סקירה

חוליו שליו. צילום מסך מאתר cbsnews

באוקטובר 2019 הגישה WhatsApp - פלטפורמת העברת הודעות מקוונת בבעלות פייסבוק תביעה נגד NSO Group בפני בית המשפט המחוזי למחוז הצפון בקליפורניה. את ההתכתבויות תוכלו לראות באתר courtlistener.  מהות התביעה מצד פייסבוק היא בעיקר ל"תלות את NSO בכיכר העיר" למען יראו ויראו חברות איסוף מודיעין אחרות בסייבר. 

הטענה המרכזית של פייסבוק היא כי מוצר של NSO פגע ב1400 משתמשי ווטסאפ. "על פי התלונה של WhatsApp, פעילויות הריגול של NSO מפרות את החוק האמריקאי בנושא הונאת מחשבים וכן את הסכם המשתמשים של WhatsApp. WhatsApp הגישה בקשה לצו מניעה קבוע כדי למנוע מ- NSO גישה לפלטפורמה שלה", כך לפי ניתוח של אתר justsecurity.org.  חברת NSO מצידה רוצה לבטל את המשפט בארה"ב ואם כבר, לנהל אותו בישראל. 

סמכות שיפוט אישית

בהפשטה, קו התביעה של פייסבוק מתבסס על תחום שיפוט אישי. ככזה, על פייסבוק להוכיח קשר בין המעשים של NSO למדינת קליפורניה בה הוגשה התביעה. לצורך כך, פייסבוק טוענת לארבע 'נקודות השקה' בין NSO לקליפורניה. הנקודות כוללות את הטענות הבאות כלפי NSO. החברה הסכימה לתנאים של WhatsApp (הטענה שחרגו מהם). השגת מימון בקליפורניה (המשקיע של NSO נמצא בקליפורניה ולכן הטענה שהכסף של המשקיע שימש למימון פיתוח פגסוס). התקשרות עם מארח שרתים בשם QuadraNet לשימוש בשרתים שלו בקליפורניה ושימוש בשרתי WhatsApp בקליפורניה.

המטרה של פייסבוק, כאמור, היא לייצר קשר בין פעילות NSO למדינת קליפורניה על מנת לקיים את המשפט בארה"ב ולהביך את NSO פומבית. בצורה כזו, כל שאר חברות התקיפה בשוק של NSO יפחדו להשתמש בפלטפורמות של פייסבוק או ווטסאפ לצורך פעילות מבצעית, ופייסבוק תוכל לשווק זאת למנויים שלה כשכבת הגנה נוספת לכלל ההגנות הטכניות שמיישמת הרשת החברתית. או במילים אחרות : הרתעה משפטית. 

חסינות נגזרת

ממול, NSO מתבססת על קו הגנה של שיפוט מבוסס נושא (subject-matter jurisdiction). קו הגנה זה מאפשר לNSO להנות ממה שקרוי במשפט הבינלאומי חסינות נגזרת (derivative immunity). מדינה ריבונית זכאית לחסינות על פי חוק החיסיון הריבוני הזר (FISA) בארה"ב משיפוט על ידי בית משפט אמריקני. בצורה כזו, גם ארה"ב נהנת מחסינות משפטית במדינות אחרות. כלומר, זו נגזרת של חסינות מדינה ריבונית שמקבל קבלן פרטי מתוקף מכירת שירותים למדינה ריבונית. NSO היא חברה פרטית אמנם, אך לטענתה מספקת שירותים לגורמי ממשל באופן דומה לחברות נשק. 

לפי המסמכים שהציגה NSO, החברה מוכרת רשיונות הפעלה לגורמי ממשל שמפעילים את המערכת בעצמם, כאשר החברה מספקת להם תמיכה טכנית בלבד. מתוקף היותה ספקית שירותי תמיכה טכנית למדינות, היא זכאית לחסינות נגזרת ולכן לבית משפט אמריקני אין סמכות לשפוט אותה. זו תמצית הטענה.  התשובה האחרונה של NSO לפייסבוק הוגשה בתאריך 30 לאפריל 2020. באותו תאריך גם חוליו שליו, הגיש הצהרה אישית כתשובה לטענת פייסבוק על שימוש בשרתים בתחומי ארה"ב. על כך בהמשך. 

מהי חסינות נגזרת? ובכן, ניתוח של אתר justsecurity.org בנושא שופך אור על הטענה. "בעוד שתחום השיפוט האישי מעלה את השאלה האם לחברה מספיק קשרים עם ארצות הברית לתיק שיוכרע על ידי בתי משפט בארה"ב, מאמר זה מתמקד בטיעוני NSO הנוגעים לתחום השיפוט בנושא. בעניין זה, NSO מסתמכת לחלוטין על תורת החסינות הריבונית הזרה, והדבר מציב שאלה קשה במשפט הבינלאומי: האם חברה פרטית יכולה לקבוע חסינות מדינה בהליכים משפטיים שהמדינה אינה צד לה?", כותבים בניתוח. 

"המשפט הבינלאומי המנהגי מכיר בכך שכישויות ריבוניות מדינות זכאיות לדרגה מסוימת של חסינות מפני תביעה בפני בתי משפט זרים. על פי סעיף 1603 (ב) של FSIA, גורם משפטי נפרד נחשב 'סוכנות או מכשיר של מדינה זרה' כאשר מדובר ב'מרכיב של מדינה זרה או מחלקה פוליטית שלה, או רוב של מניותיה או אינטרסים אחרים של הבעלות הם בבעלות מדינה זרה או חלוקת משנה פוליטית שלה." בתגובת NSO, נכתב כאמור "גם כאן, התמיכה המצומצמת ש- NSO מספקת ללקוחותיה הריבוניים נעשתה כולה בשמם ובהנחייתם המפורשת [של לקוחותיה]." 

איך NSO יכולה לטעון לחסינות נגזרת של מדינה אם לא עבדה בשם מדינה (את המערכת מפעילים גורמי ממשל בעצמם כאמור)? ובכן, בניתוח של justsecurity מסבירים. "אם מסתכלים על המשפט הבינלאומי המנהגי, נראה כי המושג "חסינות נגזרת" שאותו מפעילה NSO מתייחס למה שמכונה "התחננות עקיפה" של מדינות זרות. בנסיבות מסוימות, המשפט הבינלאומי המנהגי מתיר לקבוע חסינות מדינה בפני בית משפט זר כאשר המדינה איננה צד למקרה, אולם בכל זאת מעורבות זכויותיה הריבוניות." 

התרת הקשר בין NSO לקליפורניה 

עוד וקטור הגנה של NSO הוא התרת הקשר בינה לבין קליפורניה. על מנת לעשות זאת, NSO שוללת בתגובה שלה את ארבעת נקודות הממשק שיצרה פייסבוק בינה לבין קליפורניה. "התובעים טוענים כי NSO נמצאת בתחום השיפוט בקליפורניה אך ורק על ידי הרשמה ל- WhatsApp. אולם, יצירת חוזה עם נאשם שאינו תושב אינה מספיקה לבדה כדי ליצור סמכות שיפוט. במקום זאת, על התובעים להראות כי NSO יצרה התחייבויות מתמשכות עם WhatsApp בקליפורניה. הם אפילו לא מנסים. הם פשוט טוענים כי NSO הסכימה לציית לתנאים וההגבלות בעת שליחת הודעות.", כותבים בתגובה. 

לגבי טענת השגת מימון בקליפורניה לפיתוח פגסוס, טוענים בNSO שפייסבוק לא הציגה הוכחות שהכסף שימש לפיתוח פגסוס. "גם אם חלק מהמימון מקליפורניה של NSO, נכנס לכאורה לפגאסוס, השימוש של NSO בכספי חברה כלליים התומכים בכל פעולתה לפיתוח טכנולוגיה זו אינו מקנה סמכות שיפוט. הקשר בין המימון כולו של NSO וכל שימוש ספציפי בפגסוס חלש מכדי ליצור "קשר ישיר" בין המימון לטענות התובעים", כותבים בתגובה של NSO. 

לגבי התקשרות NSO עם חברת אירוח השרתים QuadraNet בקליפורניה. "התובעים לא מגישים שום ראיות הקושרות את שרתי QuadraNet ל- NSO או Pegasus", טוענים בNSO. "אם הודעות פגאסוס היו עוברות דרך שרתי QuadraNet, הן היו נשלחות על ידי לקוחות NSO ולא על ידי NSO. אפילו אם NSO הייתה משתמשת בשרתים של QuadraNet, זה עדיין לא היה מספיק. התובעים מודים כי בתי משפט דחו את סמכות השיפוט הספציפית על סמך השימוש של הנתבע בשרתים של צד שלישי במקרה אחר. זאת מכיוון שזהו טיעון טריוויאלי מדי או מינורי מכדי לזכות בשיקול."

בהצהרה נפרדת של חוליו שליו, מייסד והמנכ"ל של NSO, טוען שליו כי השרתים שלכאורה שימשו את החברה בחברת QuadraNet הושכרו על ידי חברת WestBridge Technologies. לפי פייסבוק, זאת זרוע השיווק של NSO בארה"ב. שליו מצהיר כי "NSO אינה מפעילה שליטה על WestBridge Technologies." עוד מצהיר שליו כי "אף אחד מהדירקטורים של NSO או Q Cyber לא מתגורר בארצות הברית." 

לגבי שימוש בשרתי WhatsApp בקליפורניה. "התובעים לא מגישים שום ראיות לכך של- WhatsApp יש שרתים בקליפורניה ש- NSO השתמשה בהם. לעומת זאת, NSO הגישה ראיות לכך שלקוחות NSO, ולא NSO, השתמשו בפגסוס בכדי לשלוח הודעות דרך שרתי WhatsApp", כותבים בתגובה.

בהקשר שימוש לרעה בשרתי WhatsApp, טוענת NSO כי ההודעות שתוייגו על ידי פייסבוק כזדוניות, התנהגו כהודעות רגילות. ווטסאפ העבירה אותן ברשת שלה באותה צורה בה עברו הודעות שאינן זדוניות לטענתה. כלומר, אין הבדל טכני בין הודעה זדונית ללא זדונית, אלא רק בפרשנות של פייסבוק לבית המשפט. מכאן, שאם ההודעות שעברו מפגסוס טופלו ככאלו נורמליות ברשת של ווטסאפ, לא ניתן לטעון שNSO הפרה את תנאי השירות. בפועל, NSO השתמשה ברשת של ווטסאפ בדיוק כמו כל מנוי אחר שלא הפר את תנאי השירות. הנזק הנטען נעשה במכשיר הסלולרי של הקורבן. 

פייסבוק לא תובעת את הלקוחות של NSO 

ההגנה של NSO לא מסתיימת בבקשת חסינות נגזרת או ביטול סמכות השיפוט האישית. בNSO טוענים עוד כי בפייסבוק מכירים את המגבלה של תביעת מדינות ריבוניות בארה"ב, ולכן לא צירפו לתביעה מדינות זרות שהן למעשה הלקוחות של NSO. זאת, למרות שיש בארה"ב חובה לצרף לתביעה את כל הצדדים למעט חריגים כפי שמוגדר בRule 19. בNSO מבינים זאת, לכן, טוענת NSO, צריך לבטל את התביעה על פי סעיף זה, היות ולא ניתן לצרף את כלל הצדדים לתביעה. 

עוד טוענים בNSO כי פייסבוק לא הצליחה להוכיח שNSO פרצה לשרתי החברה. טענה נוספת של פייסבוק היא שאת הכלי של NSO מפעילה החברה בעצמה כחלק מהשירות שהיא מוכרת. ובכן, במציאות חברת NSO מוכרת רשיונות שימוש לתקופה נתונה, ואת הכלי מפעיל הלקוח כאמור. היות והמכירות של כלי הפגסוס במקרה זה הן רק לגופי ממשל, אזי, הממשלה שרוכשת את הרישיון - גם מפעילה את הכלי. 

יתרה מכך, אופי הלקוחות שרוכשים את רשיונות המוצר אינו כולל תרחיש סביר שבו היצרן, במקרה זה NSO, יפעיל את הכלי עבורו. האם פלוני חושב ששירותים כמו שב"כ או מוסד של מדינות אחרות יתנו לחברה ישראלית מהרצליה להפעיל להם את הכלי במהלך מבצע איסוף חשאי על יעדים? מציאות לחוד ותביעה לחוד. 

NSO: אנחנו לא האקר להשכרה

בתגובה שהגישה NSO כתבה החברה כי "באופן רחב יותר, התובעים אינם מגישים כל עדות שתומכת בהתקפותיהם על NSO כ'האקר להשכרה'. NSO לא פרצה לWhatsApp. התובעים אינם מאשימים את NSO בגניבת הנתונים שלהם, בגישה לשרתים שלהם בכדי לשנות אחד מהקודים שגורמים ל- WhatsApp לתפקד, או להשתיל קוד או וירוס זדוניים במערכות שלהם. התובעים רק מאשימים את NSO בכך שהיא מצליחה למצוא דרך לאפשר לקוחות הממשלתיים שלה להשתמש ב- WhatsApp כמנגנון הפצה עבור טלפונים של טרוריסטים ופושעים." 

NSO ממשיכה. "סמכות השיפוט האישית אינה יכולה להתבסס על תקשורת זרה העוברת דרך שרתים בקליפורניה. לבית משפט זה אין סמכות שיפוט בנושא מכיוון שממשלות ריבוניות זרות ביצעו את המעשים שהתובעים טוענים, כאשר NSO רק ממלאת תפקיד תמיכה טכנית עבור הממשלה הריבונית."

לבסוף, מבקשת NSO להעביר את הדיון המשפטי לישראל. "ל- NSO אין קשרים משמעותיים עם ארה"ב. הנטל להתדיין שם יהיה גבוה ויפגע באינטרסים הריבוניים של ישראל. ישראל היא פורום [משפטי] אלטרנטיבי הולם", טוענים בתגובת NSO. 

טרם התקבלה החלטה במשפט. 

אולי יעניין אותך גם

U.S. Embassy Abu Dhabi photo by Omar Fawzy/ Public Domain

אוסלו ג'  

ההסכמים הצפויים עם בחריין ואבו דאבי מהווים את אוסלו ג' - עוד יתד במסד וטפחות של המדינה הפלסטינית. כמו רבין שהחל את התהליך, נתניהו ממשיך אותו עם מכירת שטחים בתמורה כלכלית. נורמליזציה היא האוסלו החדש. דעה