שקיפות תהליכית: כך מחליטים האם למכור את מערכת פגסוס ללקוח

חברת NSO היא היחידה בתחום הסייבר ההתקפי בעולם שאימצה לעצמה כללים של האו"ם לשמירה על זכויות אדם בנוסף לפיקוח של אפ"י. כך זה עובד. מיוחד לישראל דיפנס
 

bigstock

בחודשים האחרונים שמה של חברת הסייבר ההתקפי NSO עולה בפרסומים בעיתונות העולמית והמקומית בהקשר פגיעה בזכויות אדם. את האג'נדה מקדמים מספר גורמים, ביניהם ארגון אמנסטי (המחלקה הטכנית בארגון) ומספר עיתונאים המסקרים נושאי זכויות אדם ופרטיות. גורם נוסף המלבה את השיח בכלי התקשורת היא חברת פייסבוק שנמצאת במאבק משפטי מול NSO סביב הטענה כי הסוס של החברה הידוע בשמו הציבורי "פגסוס" הופעל נגד כ1400 משתמשי ווטסאפ. המשפט מתנהל בארה"ב ומייצר הרבה כותרות בכלי תקשורת רלוונטים. 

למרות הכותרות, חברת NSO אינה היחידה הפועלת בעולם בשוק הסייבר ההתקפי. בישראל פועלת עוד מספר חברות ביניהן למשל קנדירו, מרלין ועוד. בעולם, ידועה החברה האקינג טים האיטלקית שהחליפה בעלות לפני כשנתיים. מלבד אלו, ישנם עוד מספר חברות שמפעילות סוסים או אמצעים אחרים שמטרתם איסוף מידע מטלפונים סלולרים או מחשבים שולחניים מבוססי חלונות, לינוקס או Mac OS. 

ובכן, במאמר זה אנסה לחשוף בפני הקורא כיצד מתנהלת החשיבה סביב ייצוא כלים כאלו מישראל. המאמר יתבסס על ידע אישי ושיחות עם בכירים בחברת NSO שהסכימו לדבר על הנושא. זאת, כחלק מהליך שקיפות שעוברת החברה תחת הבעלים החדשים. נכון להיום, NSO היא החברה היחידה בעולם בתחום הסייבר ההתקפי שאימצה את קווי המדיניות של האו"ם בנושא זכויות אדם. כמו גם, החברה מימיה הראשונים מפוקחת על ידי משרד הביטחון (אגף הפיקוח על הייצוא) כמו כל חברה ביטחונית אחרת בישראל. הפיקוח על חולשות נעשה על בסיס הסכם ווסנאר שמתעדכן כל סוף שנה ומאומץ על ידי מדינת ישראל כחוק ישראלי בצורה אוטומטית.  

פיקוח על הייצוא

נתחיל מההתחלה עבור קוראים שאינם מעורים בנושא. כלי סייבר התקפי מאפשר לפלוני לפרוץ לטלפון או למחשב של יעד מודיעיני על בסיס חולשות בתוכנה באותו התקן. החולשה יכולה להיות במערכת ההפעלה או באחת האפליקציות המותקנות בהתקן. עולם החולשות מחולק בהפשטה לשניים - חולשות שלא צריכות התערבות משתמש (Zero Click) או כאלו הדורשות התערבות משתמש (One Click). ככל הידוע לכותב שורות אלו, מדינת ישראל אינה מאשרת ייצוא חולשות Zero Click מהחשש שאלו יכוונו נגד מטרות ישראליות. 

על פי חוק (הסכם ווסנאר), כל חולשה שרוצים לייצא מישראל ללקוח בחו"ל צריכה לעבור אישור של אפ"י. בין שמדובר באישור כפול (שיווק וייצוא) או רק ייצוא, כתלות במדינה אליה מייצאים. יתרה מכך, כל לקוח רוכש, מחויב בהסכם לקוח קצה בו הוא מצהיר בפני המוכר באילו מדינות הוא הולך להשתמש בכלי התקיפה ונגד אילו סוגי מטרות (פשע, טרור, צבאי, ריגול). המטרה היא למנוע פגיעה בזכויות אדם באמצעות שימוש בכלים כאלו נגד מתנגדי משטר, עיתונאים, או אזרחים תמימים (מעקב אחרי בן או בת זוג למשל). 

הפיקוח שמופעל על NSO אינו חריג. פיקוח כזה מופעל על ידי משרד הביטחון על כל חברה ביטחונית בישראל. כל יצואן ביטחוני חייב להירשם במרשם של אפ"י, אחרת הוא עובר על החוק. אציין, כי בישראל פועלות חברות סייבר שפתחו מרכזי פעילות בארצות כמו קפריסין או בולגריה, שם הפיקוח רופף ביחס לישראל, ומאפשר להן לעקוף את אפ"י. מרבית העוסקים בתחום שפגשתי מודעים לנושא, אולם משרד הביטחון מעלים עין מהמגמה הנמשכת שנים. לא ברור מדוע. NSO כאמור פועלת מישראל (הרצליה), ומפוקחת על ידי משרד הביטחון. 

עוד נקודה חשובה לזכור היא כי במסגרת הפיקוח של אפ"י, המכירות מתבצעות אך ורק לגופים מדינתיים. שירותי ביון, משטרות, ביטחון פנים, משמר הנשיא, וכדומה. תחת מסגרת זו, NSO, או כל חברת סייבר אחרת בישראל, מוכרת למי שאפשר. לאחרונה פורסמו ידיעות החברה ניסתה למכור למשטרות ולשירות החשאי בארה"ב. למרות הכותרת, אין בכך כל פסול. NSO הינה חברה עסקית למטרות רווח, והיא מנסה למכור למי שאפשר תחת המגבלות. כך נוקטות גם כל חברות הנשק והסייבר בישראל, או בעולם, ללא יוצא מן הכלל. 

תאימות לדרישות האו"ם

ובכן, התהליכים בחברה בהקשר ציות לאפ"י ולאמנת זכויות האדם של האו"ם החלו בבניית צוות משפטי מתאים. על הפעילות מופקד אדם עם רזומה רחב וארוך שנים בתחום הביטחוני בישראל. בחברה פועל גם קצין פיקוח לרישוי אפ"י, מבוצעות הדרכות כנדרש בהקשרי ייצוא, דיונים תקופתיים בנושא ועוד. החברה מוכרת גם מוצרים שאינם מפוקחים. אלו אינם נדרשים לפיקוח של אפ"י. 

התאימות לדרישות האו"ם החלה בסביבות חודש ספטמבר אשתקד. מדובר במדריך שאינו מחייב משפטית, אך קובע צורת התנהגות נאותה בכל הקשור לשמירה על זכויות אדם. UNGP מורכב משני פרקים עיקריים - כללים החלים על מדינות או חברות. הדגש הוא על חברות שמפירות זכויוות אדם. NSO, כחברת תוכנה, נמצאת בתפר. מחד, החברה מוכרת תוכנה ליישויות מדינה, ולכן ככזו אינה פוגעת בזכויות אדם. NSO לא מפעילה את פגסוס עבור הלקוחות - אלו עושים זאת בעצמם. אולם, ישנו פוטנציאל שהלקוחות המפעילים את המערכת יכולים להפר זכויות אדם. 

היות ומדובר בקווים כלליים, החליטו בחברה לקחת את הידע בתחום הציות באופן כללי, ולהתאים אותו לדרישות האו"ם בהקשר זכויות אדם. מכיוון שמדובר בתחום חדש בעולם הפיקוח על חברות סייבר, התייעצו עם משרדי עו"ד בינלאומים בתחום זכויוות אדם. על בסיס עבודת מטה זו, גיבשו בחברה תכנית אותה מיישמים כבר כמעט שנה.  

התכנית בנויה ממספר נדבכים. ראשון, הוא תהליך בדיקת נאותות (due diligence) לכל גוף בכל מדינה שרוצים למכור לו. לצורך כך מבוצעת אנליזה פנימית, בין היתר בהתבסס גם על מידע גלוי אותו ניתן לאסוף אודות המשטר המדינה, התרבות במדינה בהקשר זכויות אדם, ופרסומים בהיבט זה אודות הגוף לו רוצים למכור באותה מדינה. את המידע הזה משלבים עם מספר אינדקסים גלויים המדרגים כיצד מדינות מטפלות בנושא זכויות אדם, שחיתות וחופש ביטוי. 

ניהול סיכונים 

לאחר קבלת ציון תקן משוקלל, מוסיפים את הסיכון הנובע מהכלי שרוצים למכור ללקוח. אם רוצים למכור פגסוס הסיכון יהיה גדול יותר מאשר מוצר האקליפס (נגד רחפנים) או מערכת היתוך מידע. לכל מוצר יש פוטנציאל סיכון אחר. כך, קובעים בתוך החברה ציון התחלתי לעסקה עם הלקוח המסוים. 

ציון תקן זה מגדיר עבור הצוות המשפטי את רמת בדיקת הנאותות שצריך לעשות ללקוח המסוים. ישנן שלוש רמות סיכון - נמוך, בינוני גבוה. אם נניח רוצים למכור פגסוס לצפון קוריאה - הסיכון יהיה גבוה. אם רוצים למכור לשירות החשאי של ארה"ב - הסיכון יהיה נמוך. בהתאם לרמת הסיכון, בוחרים את מידת ההשקעה בבדיקת הנאותות כאמור. אם רמת הסיכון נמוכה, הבדיקה תבוצע פנימית בתוך החברה. אם הסיכון גבוה, הבדיקה תכלול שימוש בשירותי מודיעין גלוי במיקור חוץ. 

סה"כ נבדקות כ10 עד 12 קטגוריות לכל עסקה מסוימת. התהליך יכול לכלול גם תשאול של אנשים בצורה ישירה, פגישות עם לקוח, וקבלת מידע מהלקוח באופן רשמי. לפעמים משתמשים בתהליך גם בחברות חקירה בינלאומיות מסחריות כמו kroll או אחרות. בודקים גם את החקיקה באותה מדינה בה פועל הלקוח המיועד בהקשרים של האזנות סתר וכו'. האם יש חקיקה מסדרת, האם לאזרח יש יכולת ערעור בפני בית דין באותה מדינה, ועוד. בודקים גם אם אין תביעות משפטיות נגד הלקוח המסוים בהקשר זכויות אדם.

כאמור, כל התהליך הזה מתבצע בNSO עוד בטרם הפניה לקבלת אישורים מאפ"י. לאחר גיבוש ציון תקן סופי לעסקה, ישנה אנליזה נוספת בתוך החברה. האם הסיכון דורש מגבלות מיוחדות במכירה, או שניתן למכור ללא מגבלות. ההחלטה מגיעה לוועדה ייעודית בחברה בראשות המנכ"ל שמחליטה. אם צריך, ההחלטה מגיעה לבורד של החברה שיש לו זכות וטו. בכל מקרה, כל עסקה מגיעה לידיעת בורד החברה בדיעבד. כל הסכם עם הלקוח מותנה בקבלת האישורים הנדרשים מאפ"י. בנוסף, כאמור, ככל שקיים פוטנציאל סיכון גדול יותר, כך ישנן יותר מגבלות חוזיות מול הלקוח. 

חשד לשימוש לא נאות

בשלב השימוש, ייתכנו פרסומים אודות חשד לשימוש לא נאות של הלקוח במערכת. פרסומים כאלו יכולים להגיע מהעיתונות, פניה של פלוני, עובדים אצל הלקוח, פניות של NGO ולפעמים מהלקוח עצמו. ברגע שמתקבל דיווח, ניגשים בNSO לבחון את המקרה.  ראשית, מבקשים מידע מהלקוח לגבי האירוע. על פיו, מחליטים האם נדרשים צעדים נוספים. צעדים אלו יכולים לכלול גם השהייה זמנית של המערכת. אם התשובות של הלקוח לא מספקות, ידרשו בחברה תשובות נוספות - הפעם, מפורטות יותר. 

יש לזכור כי הפרסומים לעיתים נובעים ממבצע מתגלגל של הלקוח נגד יעדי פשע או טרור. מבצעים כאלו לרוב מתארכים על פני תקופה של חודשים או שנים, כאשר השהייה של המערכת באמצע מבצע כזה, יכולה להוריד לטימיון עבודה של שנים. ביטול או כישלון מבצע כזה עלולים 'לשחרר מהחכה' פושע או טרוריסט שימשיך לפגוע באזרחים חפים מפשע. "מדובר בהחלטה הכי קשה שיש",  מציינים בחברה. לנתק לגורם מודיעיני מערכת באמצע מבצע. 

החלטות כאלו, לא הרבה, נעשו בעבר. עם זאת, ברוב המקרים, הלקוח מספק תשובות ראשוניות מספיק טובות בהתייחס לאירוע. לקוח שיבחר שלא לשתף פעולה עם NSO, יסתכן בהפרת חוזה וניתוק המערכת. בחברה אומרים כי בכל המקרים עד היום, היה שיתוף פעולה מלא של הלקוחות בכל חשד שעלה ביחס למקרה זה או אחר.  

לצד השיח מול הלקוח, בוחנים בחברה גם את ההליך המשפטי שעל בסיסו הוצדק השימוש במערכת. בחלק מהמקרים, שוכרים משרדי עו"ד מקומיים ומקבלים אימות לטענת הלקוח. אם נחתמו צווים משפטיים לשימוש במערכת, בודקים לוודא את תוכנם. כל מקרה נדרש להגיע למסקנה סופית האם הלקוח פעל בהתאם לחוזה ולחקיקה מקומית. אם משתכנעים סוגרים את התיק. לעיתים, נדרשת התייעצות עם משרדי עו"ד בינלאומיים. חקירה כזו, בשל המורכבות, יכולה לקחת מספר חודשים. אזכיר כי לאחרונה הועלו טענות כאלו בספרד ומרוקו, שתי הטענות עדיין בחקירה של NSO. 

מודל אי תלות 

כחלק מהמאמץ לפעול בנחישות נגד פגיעה בזכויות אדם, מיומה הראשון בנו בNSO את המערכת בהפרדה מבנית או אי תלות, בינה כספק התוכנה ללקוח המפעיל. בצורה כזו, הלקוח מפעיל בעצמו את המערכת. אפילו התמיכה הטכנית והעדכונים נעשים בצורה נפרדת מהערוץ המבצעי, כך על פי החברה. כלומר, לעובדי NSO אין גישה כלל להפעלת פגסוס. אי תלות מלאה. 

האי תלות מכתיבה בעת חקירת אירוע את הצורך של NSO בשיתוף פעולה של הלקוח. ללא שיתוף פעולה זה, החברה לא יודעת כלום אודות הקורבן לכאורה. אי תלות זו בין הגורם המוכר את התוכנה לגורם המפעיל אותה, נדרש גם בשל החשש המשפטי הזליגתי שיכול להיות בהקשר זה. "אנחנו חברת תוכנה. לא גוף מודיעין", אומרים בחברה.  

עם זאת, לעיתים, ישנם מצבים בהם הלקוח נמצא בנקודה קריטית של מבצע סיכול, כאשר צף חשד לשימוש לא נאות מצידו במערכת. לרוב, לקוח ביטחוני במצב כזה ימנע ככל הניתן לשתף פעולה עם NSO על מנת לא לפגוע במבצע. במקרים כאלו, החברה תבדוק כל מקרה לגופו. בהסתמך על ההיכרות עם הלקוח, ייתכן ובשלבים הראשונים, עד לסיום המבצע, החברה תסמוך על הלקוח בלאו ברירה עד לבירור הפרטים. 

לצד ניטור אירועים הקשורים לשימוש במערכת, החברה מנטרת בנוסף שינויים באווירה הפוליטית במדינת הלקוח. אירוע כמו חילופי משטר למשל, יכול להשפיע על ציון התקן של עסקה קיימת, ולהפעיל בתוך החברה את מנגנוני בדיקת הנאותות מחדש לגבי אותה עסקה. 

בקרוב: דו"ח שקיפות שנתי

על אף כלל הפעולות שפורטו לעיל סביב מניעת פגיעה בזכויות אדם, עולה השאלה כיצד החברה מתמודדת פנימית עם הלחצים שמפעילים אנשי המכירות על המחלקה המשפטית וההנהלה. בסוף היום, פלוני יכול לטעון כי הלחץ למכור גובר על הרצון לעמוד בכללי אתיקה בינלאומיים. ובכן, בחברה אומרים כי בעוד תהליכים כאלו אכן מתנהלים, כמו בכל חברה עסקית אחרת, תעיד ההיסטוריה כי NSO ויתרה על עסקאות של מליונים בגלל חשש לפוטנציאל פגיעה באזרחים תמימים. 

כאמור, מנגנוני האנליזה הפנימיים הנדרשים לפני כל עסקה, האישור הנדרש מההנהלה והבורד שמעמיד את בכירי החברה בפני חשיפה לתביעות, והאישורים הנדרשים מאפ"י, כל אלו, מייצרים מספר מעגלי בקרה ובקרה מפצה המווסתים את לחץ המכירות בהתאם לכללי האתיקה הבינלאומיים. יתרה מזאת, החברה מתכוונת, לראשונה, לפרסם במהלך שנה הבאה דו"ח שקיפות ראשון בתולדותיה כחלק מהמחויבות שלקחה על עצמה בהקשר שמירה על זכויות אדם. 

לסיכום, חברת NSO אינה שונה מכל חברה ביטחונית מפוקחת אחרת. ככזו, היא תנסה למכור לכל לקוח שאפשר תחת מגבלות הייצוא והאתיקה. השיפור בשקיפות בהקשרי תהליכי המכירה, אימוץ הכללים של האו"ם, ומגוון מנגנוני הבקרה שפורטו לעיל, מקטינים ככל הניתן את השימוש לרעה בפגסוס. כאמור, החברה עוסקת אף בימים אלו במספר חקירות אודות חשדות , לכאורה, שביצעו לקוחות פגסוס. מסקנות טרם פורסמו אודותיהן. עבור פלוני, המסקנה מכתבה זו היא כי בעתיד, אם וכאשר יצופו כותרות נוספות אודות שימוש לא נאות בפגסוס, ראוי יהיה להתייחס אליהן עם קורטוב של ספק מקצועי.