המשפט נגד NSO: עתיד חברות הסייבר ההתקפי מוטל על הכף 

השאלה המרכזית העומדת כעת לדיון היא האם ניתן "להרים מסך" בין החברה הפרטית שמכרה את כלי התקיפה לבין הממשלה הזרה שעשתה בו שימוש. פרשנות

bigstock

בשנה האחרונה מתנהלת בארה"ב תביעה משפטית בין פייסבוק לחברת הסייבר הישראלית NSO שיכולה להשפיע על עתיד חברות הסייבר ההתקפי, ולהשליך על כלל הפעילות של חברות הסייבר הישראליות העוסקות בסיוע לרשויות אכיפת החוק. 

פייסבוק הגישה לפני כשנה תביעה תקדימית כנגד חברת NSO. פייסבוק טוענת כי החברה מכרה כלי תקיפת סייבר שניצל חולשות באפליקציית הואטסאפ, ובדרך זו נפרצו כ- 1,400 מכשירי טלפון, ומתוכם גם טלפונים של עיתונאים ופעילי זכויות אדם, וזאת בניגוד לחוק בארה"ב האוסר פריצה למחשבים. 

חברת  NSO טוענת כי מוצריה מסייעים לגופי ביון ואכיפת חוק ממשלתיים מורשים להילחם בטרור ובפשע, וכי השימוש בכלי הפריצה לא נעשה על ידם, אלא ידי הלקוחות שלהם – ממשלות ברחבי העולם, ולחברה אין שליטה על השימוש המבצעי בכלי התקיפה. 

על כן,  NSO ביקשה שהתביעה תידחה על הסף בגלל טיעון של "חסינות מדינה", כלומר מכיוון שמי שעשה בפועל שימוש בתוכנה אלה מדינות, ולמדינות זרות יש חסינות מפני תביעות אזרחיות בארה"ב, אזי יש להחיל חסינות זו גם על NSO, שלקוחותיה הן רק מדינות. 

בית המשפט דחה את הטענה וקבע כי חברה פרטית ישראלית לא יכולה לקבל "חסינות מדינה" לפי הדין בארה"ב. עתה מערערת NSO על ההחלטה בפני בית המשפט הפדראלי לערעורים. 

התפתחויות בתביעה כנגד NSO
בימים האחרונים היו התפתחות דרמטיות בהליך הערעור הדן בשאלה האם  NSO זכאית לחסינות מדינה. ראשית, ענקיות הטכנולוגיה האמריקאיות כגון מיקרוסופט, גוגל וסיסקו וכן קואליציית חברות בשם "Internet Association", שכוללת עשרות חברות טכנולוגיה בהן אמזון וטוויטר, מבקשות להצטרף להליך כנגד NSO כ"ידיד בית המשפט". 

חברות הטכנולוגיה הגדולות טוענות כי חברות סייבר התקפי כמו NSO, מפתחות כלי פריצה מתוחכמים ומעלות בכך את הסיכון שכלים אלה ישמשו למתקפות סייבר עויינות. לכן, חברות הטכנולוגיה טוענות כי אסור להעניק "חסינות מדינה" ל NSO, ויש לוודא כי חברות סייבר נותנות את הדין בארה"ב למעשים לא חוקיים.

שנית, קואליציה של ארגוני זכויות אדם בינלאומיים ועיתונות חופשית, בראשות אמנסטי וארגון Access Now, מבקשות אף הן להצטרף להליך המשפטי כנגד NSO. ארגוני זכויות האדם טוענים בבקשה כי בתי המשפט בארה"ב צריכים להטיל אחריות על חברת NSO, לאור סיועה לפגיעה קשה בזכויות אדם ברחבי העולם. בבקשה צירפו הארגונים שורת עדויות של פעילי זכויות אדם ממרוקו, רואנדה וטוגו, שנפגעו, לטענתם, בשל שימוש שעשו הממשלות במדינותיהם בכלי הפריצה של NSO כנגדם לצרכים פוליטיים. 

ארגוני זכויות האדם מדגישים בבקשתם כי הפעילות של NSO מנוגדת לדיני זכויות האדם הבינלאומיים ופוגעת בזכות לפרטיות ובזכות לחופש הביטוי שהם בליבת ההגנה של המשפט הבינלאומי. על כן, טוענים ארגוני זכויות האדם כי אסור לבתי המשפט בארה"ב להעניק חסינות לחברות כמו NSO, שפעילותם פוגעת בזכויות האדם ברחבי העולם, תוך שיתוף פעולה עם משטרים העושים שימוש לצרכים פוליטיים בכלי התקיפה של NSO. 

הצטרפות ארגוני זכויות האדם לתביעה היא בעלת משמעות רבה ביותר, מכיוון שכעת התביעה לא תתמקד רק בטענות להפרה של דיני המחשבים בארה"ב, אלא גם בטענות לפגיעה בזכויות אדם. 

ההשלכות על חברות הסייבר הישראליות 
גורל התביעה המשפטית כנגד NSO יכול להיות בעל השלכות מרחיקות לכת על כלל חברות הסייבר ההתקפי בישראל ובעולם. ראשית, השאלה המרכזית העומדת כעת לדיון היא האם ניתן "להרים מסך" בין החברה הפרטית שמכרה את כלי התקיפה לבין הממשלה הזרה שעשתה בו שימוש. כאמור, NSO טוענת שאין לה כל חלק בהפעלה של כלי הפריצה, ולכן התביעה למעשה היא כנגד המדינה שביצעה את הפריצה, ומכאן שיש להעניק חסינות לחברת סייבר המסייעת לגופי ביון ואכיפת חוק ממשלתיים מורשים. 

כלומר, הטענה היא שבדיוק כשם שלא ניתן להטיל אחריות על מפעל נשק בגין שימוש לא חוקי בנשק שנעשה על ידי חייל, כך לא ניתן להטיל אחריות על חברת סייבר התקפי המוכרת "טיל סייבר" לרשות אכיפת חוק. ככל שהטענה של NSO תידחה אזי המשמעות היא דרמטית, ולפיה בתי המשפט בארה"ב רואים בחברת סייבר פרטית כבעלת אחריות משפטית ישירה להפעלה המבצעית של כלי התקיפה על ידי הלקוח שלה – הממשלה הזרה.

לקביעה משפטית זו יכולה להיות השלכות מרחיקות לכת על חברות סייבר - מחשיפה של החברה לתביעות אזרחיות לפיצויים מצד מי שנפגע מהשימוש שעשו גופי אכיפת החוק בכלי הפריצה, ועד, בנסיבות מסוימות, אף הטלת אחריות פלילית אישית על החברה ומנהליה.  

שנית, ייתכן והמשך ניהול התביעה יוצא צו המחייב את NSO לבצע גילוי מסמכים מלא של כל הפעילות שלה ושל ההתקשרויות שלה עם ממשלות זרות. מטבע הדברים מדובר במידע רגיש ביותר, שעלול גם להרתיע לקוחות עתידיים. 

שלישית, ארגוני זכויות האדם טוענים בבקשה כי NSO לא עומדת בכללים של האו"ם לעסקים וזכויות אדם, וזו סיבה נוספת שלא להעניק לה חסינות בתביעה בארה"ב. החלטה שיפוטית בסוגיה זו יכולה להשליך למעשה על המשטר התאגידי וסטנדרט ההתנהלות המצופה מחברות פרטיות המוכרות טכנולוגיה לרשויות אכיפת חוק. 

כלומר, רק חברות שיוכיחו תרבות של ציות לחוק ועמידה בסטנדרטים גבוהים של אתיקה ושמירה על זכויות אדם יוכלו לטעון לחסינות בגין פעולות שביצעה המדינה שהפעילה את כלי התקיפה של החברה. ואילו חברות שלא מקפידות על סטנדרטים גבוהים ביותר יישאו באחריות.  

הצפי: שינויים ברגולציה 
במציאות בה פעילות עבריינית מתבצעת במרחב המקוון ובאפליקציות מוצפנות ישנה חשיבות רבה להמשך פעילותן של חברות הסייבר ההתקפי. ואולם "הממזרים שינו את הכללים", וחברות הסייבר הישראליות ואגף הפיקוח על היצוא הביטחוני (אפ"י) חייבים להפנים כי הסטנדרט המצופה מחברות הסייבר הפרטיות השתנה.

החברות חייבות להעמיד שיקולים של אתיקה וזכויות אדם בראש מעייניהם. רק לאחרונה קרא שר המשפטים לשעבר של קנדה פרופ' ארווין קוטלר בכנס סייברטק ארה"ב לממשלות דמוקרטיות ברחבי העולם להכניס תנאי במכרזים כי התקשורת עם חברות סייבר בתחומי אכיפת החוק תעשה בתנאי כי החברות יוכחו כי הן עומדות באמות-המידה האתיות הגבוהות ביותר בתחומי שמירה על זכויות אדם.

קשה להעריך כעת כיצד יסתיים המאבק המשפטי בארה"ב שיכול גם להתגלגל עד בית המשפט העליון שם, ואולם ניתן לומר בוודאות כבר כעת כי הקרבות המשפטיים, הביקורת הציבורית, ההתנגדות של ענקיות הטכנולוגיה והעמדה הנחרצת של ארגוני זכויות האדם ישנו באופן מהותי את הרגולציה על חברות הסייבר ההתקפי. 

הכותב הוא , מנכ"ל (CybeRighTech (CRT, מומחה לדיני זכויות אדם ומשפט וטכנולוגיה, מרצה במרכז הבינתחומי הרצליה ובעל תואר מוסמך במשפטים מאוניברסיטת הרווארד בארה"ב. 

אולי יעניין אותך גם