נציג NSO בעדות בפרלמנט האירופי: "לחברה אין גישה ללוגים במערכת של לקוחות שנותקו"
נציג NSO בעדות בפרלמנט האירופי: "לחברה אין גישה ללוגים במערכת של לקוחות שנותקו"
היועץ המשפטי של החברה עו"ד חיים גלפנד העיד בוועדת חקירה של פרלמנט האיחוד האירופי: "הדרך היחידה לנהל חקירה היא להבין מי המדינה שחשודה בתקיפה". לדבריו, ל־NSO יש לא פחות מחמישה לקוחות מהאיחוד האירופי
כש־NSO מפסיקה פעילות של לקוח פגסוס, היא מאבדת את הגישה ללוגים ששמורים על מערכת אותו לקוח ולא יכולה עוד לחקור טענות לשימוש לרעה מצדו בתוכנת הריגול — כך הודה היועץ המשפטי וסמנכ"ל הציות של מפתחת תוכנות הריגול הישראלית, עו"ד חיים גלפנד, בעדות בפני פרלמנט האיחוד האירופי.
בימים אלו עורכת ועדה מיוחדת של הפרלמנט חקירה רחבה על השימוש בתוכנות ריגול באירופה כאשר במרכזה עומדת פעילות פגסוס של NSO. במסגרת החקירה הגיע גלפנד לדיון ממושך של הוועדה על מנת לענות על שאלות מחוקקים. מי שצפה בדיון יכול היה להתרשם אולי שמרבית התשובות של גלפנד היו מתחמקות או נוסחתיות, כאשר בכמה מקרים הוא סירב לענות לשאלות ענייניות שעסקו בלקוחות ספציפיים, מה שעורר ביקורת מצד חלק מהמחוקקים בדיון.
עם זאת, לאורך הדיון חשפו דבריו של גלפנד כמה פרטי מידע חדשים על פעילות פגסוס. אחד המרכזיים שבהם נוגע ללוג שלדברי NSO מוטמע בכל מערכת, אינו נגיש, לטענתה, לתמרון ומחיקה על ידי הלקוח ונועד, לדבריה, לאפשר לה לזהות מקרים של שימוש לרעה בפגסוס. "אין לנו גישה למידע, הוא שמור רק באתר של הלקוח", אמר גלפנד בדיון. "בשרתי הלקוח שנמצאים באתר הלקוח יש audit log ששמור באזור שהלקוח לא יכול לגשת אליו ולמחוק מידע. במקרה שנדרש במסגרת חקירה לוודא האם מספר מסוים הותקף או לא, אנחנו מבקשים גישה מהלקוח לאזור זה במערכת, ואז יכולים להתחבר ולוודא האם המספר הותקף. זה נעשה כחלק מחקירה. במקרים שאנחנו צריכים לאמת טענות, ניגש לחלק זה במערכת ונראה שם מספר ומתי הוא הותקף. נוכל לוודא עם הלקוח האם היו לו צווים או לא. זה מה שנראה במצב הזה, לא נראה את המידע שנאסף או את המידע שהיה על הטלפון. נראה את ה־audit log ומתי המספר הותקף".
לדברי גלפנד, NSO חוסמת לקוחות שלא משתפים פעולה בחקירה. אם הלקוח לא ישתף פעולה נסגור את המערכת", אמר. "עשינו את זה בעבר ועשינו את זה לאחרונה. נעשה את זה עם כל לקוח שיפר את תנאי השימוש".
חוסמים משתמשים בעייתיים
פרטים אלו היו כבר מוכרים, אבל בדיון חשף גלפנד מידע חדש על פניו, שמגלה מה קורה לאותו לוג במקרה שהלקוח כבר נותק מהמערכת: "מה שיגביל יכולת לחקור טענות נגד לקוחות זה אם הלקוח נותק לפני שהטענה עלתה כי כדי לחקור טענה אנחנו צריכים גישה למערכות הלקוחות. אם הלקוח נותק לפני שההאשמה עלתה, לא נוכל לחקור האשמות נוספות נגד הלקוח לשעבר".
גלפנד הוסיף: "אחרי הפסקת רישיון אין לנו יכולת להתחבר למערכת הלקוח, ולכן אנחנו לא יכולים לנהל חקירה של הלוגים שנשמרו במערכת הלקוח, כי הפעילות הופסקה. בלי גישה זו, NSO לא יכולה למעשה לבדוק טענות לשימוש לרעה בפגסוס. הדרך היחידה לנהל חקירה היא להבין מי המדינה שחשודה בתקיפת קורבנות, כי המידע שמור בנפרד על כל מערכת של לקוח".
כלומר, במקרה שעולה טענה לשימוש לרעה בפגסוס NSO צריכה גישה למערכות הלקוח שחשוד בשימוש לרעה על מנת לבדוק טענות אלו. ואולם, אם הלקוח כבר נותק מהמערכת, ביוזמת NSO או, ייתכן, בגלל פקיעת חוזה, ל־NSO אין שום גישה ללוג הבלתי מחיק לכאורה ושום יכולת לבדוק טענות לשימוש לרעה. הלוג אולי עדיין שם, אבל לפי הודאת גלפנד עצמו בלתי נגיש לחלוטין ולכן חסר תועלת.
עוד התייחס גלפנד בדיון להשפעה שיש לכניסה לרשימה השחורה של מחלקת הסחר של ארה"ב על החברה. "הכניסה לרשימה השחורה משפיעה על היכולת של החברה לרכוש כל פריט שמיוצא תחת רגולציה של ממשלת ארה"ב", הוא אמר. "הגבלות אלו משפיעות על החברה, ואנחנו בטוחים שברגע שננהל דיונים עם ממשלת ארה"ב נוכל להסביר להם, כמו שאנחנו מסבירים כאן, איך החברה עובדת ולמה אנחנו חושבים שההיפך נכון ושהחברה נחוצה לביטחון העולמי, ושצריך להסיר אותנו מהרשימה". משתמע מהדברים ש־NSO טרם החלה בדיונים ישירים או מעמיקים על הוצאתה מהרשימה השחורה.
כמו כן סיפר גלפנד על הפעולות שעורכת החברה נגד לקוחות שחשודים בשימוש לרעה במערכת: "מאז הגעתי לחברה לפני שנתיים וחצי ערכתי 25 חקירות, חלקן עדיין פעילות ,אחרות הושלמו. סיימנו חוזים עם 8 לקוחות בשנים האחרונות, חלקם אחרי פרסום פרויקט פגסוס לפני שנה (תחקיר בינלאומי שבמרכזו רשימה של 50 אלף מספרי טלפון שהוגדרו כ'בעלי עניין' ללקוחות NSO — ע"כ). בעקבות הפרסום פתחנו בחקירות שהובילו לסיום חוזה עם חברות. כל לקוח שלא משתף פעולה עם חקירה ינותק. קודם אנחנו משהים את המערכת, ואם הם עדיין לא משתפים פעולה המערכת לא תיפתח מחדש.
"היכולת לסגור מערכת מרחוק יכולה להתבצע בשתי דרכים מרכזיות. הראשונה, עם הסכמת הלקוח. זה בניגוד לרצונו, אבל הוא מבין שבגלל ביטחונו זה לטובתו להתיר לנו לסגור את המערכת בצורה מסודרת. אנחנו נכנסים לחלק הרישיון ומסירים אותו. השנייה, כשלקוח לא מסכים לספק גישה, אנחנו מנתקים את היכולת לתקשר עם העולם החיצוני, ואם הוא לא יכול לתקשר לא ניתן להשתמש במערכת כדי לתקוף טלפונים חדשים נוספים".
לקוחות גם באיחוד האירופי
הודאתו של גלפנד שלפיה טענות שעלו במסגרת פרויקט פגסוס הובילו לחקירות ולניתוק לקוחות מתנגשת לכאורה עם טענה אחרת שלפיה אין קשר בין הרשימה שבמרכז הפרויקט לפגסוס: "המספר שדווח בפרויקט פגסוס הוא 50 אלף. זו לא רשימה של מטרות פגסוס (עורכי התחקיר מעולם לא טענו שמדובר ברשימת מטרות של פגסוס, אלא ברשימה של מספרים בעלי עניין בעבור לקוחות NSO — ע"כ). מהמידע שהמערכות שלנו אספו, מספר המטרות של כל הלקוחות שלנו בשנה נתונה הוא 12 אלף עד 13 אלף מטרות לכל הלקוחות שלנו ביחד בשנה שלמה. המספר הכולל של הלקוחות שהיה לנו בעבר הוא 60 לקוחות ב־45 מדינות. המספר ירד והוא כיום פחות מ־50 לקוחות".
גלפנד התייחס גם להיקף הפעילות של כל אחד ממשתמשי פגסוס. "לקוח מקבל רישיון למספר מסוים של מטרות שהוא יכול לתקוף בו־זמנית", טען. "המספר הזה לרוב חד־ספרתי או דו־ספרתי נמוך, תלוי מה שהלקוח מבקש. אבל אנחנו גם רוצים לוודא שהמספר תואם לאתגרים שהמדינה מתמודדת איתם ולגודלה של המדינה וגם האם זו סוכנות עם סמכויות רחבות או כזו שמתמקדת בסוגיה ממוקדת".
עו"ד חיים גלפנד, היועץ המשפטי של NSO: לקוח מקבל רישיון למספר מסוים של מטרות שהוא יכול לתקוף בו־זמנית. המספר לרוב חד־ספרתי או דו־ספרתי נמוך. אנחנו רוצים לוודא שהוא תואם לאתגרים שאותה מדינה מתמודדת איתם"
כמה חברי פרלמנט הבחינו בחוסר הלימה בין הצהרה זו להצהרה שמעליה, שכן 12 אלף עד 13 אלף מטרות בשנה בקרב כ־50 לקוחות עומד על 240 עד 260 מטרות ללקוח. גלפנד ניסה להסביר: "מדובר ברישיונות מקבילים. אם יש לו חמישה רישיונות, הוא יכול לטרגט במקביל חמישה טלפונים. כשהוסר המעקב, ניתן לתקוף עוד חמישה טלפונים. לכן לאורך זמן ניתן לתקוף מספר טלפונים גדול יותר מזה שמתיר הרישיון".
כשנשאל לגבי מספר הלקוחות שיש ל־NSO באיחוד האירופי השיב גלפנד: "יותר מחמישה, אבל אין לי המספר המדויק. היה לפחות מקרה אחד בעבר שבוטל חוזה עם מדינה באיחוד האירופי". תגובה זו התקבלה בספקנות בקרב משתתפי הדיון, שתמהו כיצד גלפנד מגיע לעדות בפני פרלמנט האיחוד האירופי ללא נתונים מדויקים לגבי היקף הפעילות של החברה שם. החקירה בפרלמנט של האיחוד האירופי צפויה להימשך, וחברים בוועדה צפויים להגיע בקרוב לסיור בישראל.