סגור
גג דו"ח טכנולוגי עומר כביר דסקטופ

דו"ח טכנולוגי
פרשת NSO היא רק קצה הקרחון, מה שמתחת לפני המים מפחיד הרבה יותר

אמנסטי הבהיר אתמול כי אין קשר ישיר בין רשימת 50 אלף הטלפונים שחשף ל-NSO, ובכך יצר חיבור בעייתי שיחליש את הטיעונים נגד החברה בעתיד, מוצדקים או לא. אולם מוקד הבעיה הוא בתעשיית רוגלות הסייבר הישראלית ומשרד הביטחון

אם יצא לכם לצרוך קצת חדשות בימים האחרונים, יכולתם אולי לקבל את הרושם שמפתחת תוכנות הריגול הישראלית NSO היא תמנון חובק עולם, גדול יותר מאמזון, פולשני יותר מפייסבוק, כזה שידו בכל וששם עין על כל אחד ואחת מאתנו.


רשימה מפלילה של 50 אלף מספרי טלפון קשרה את NSO ואת רוגלת פגסוס שלה לניסיונות מעקב אחרי עיתונאים, פעילי זכויות אדם ואפילו מנהיגים. עורכת ה-FT, נשיא צרפת ומלך מרוקו היו רק כמה מהמשמות שנטען או נרמז שהיו ליעד של פגסוס. מפחיד, באמת. מי יודע אחרי מי הם עוד עוקבים.

5 צפייה בגלריה
שלו חוליו מנכ"ל חברת  ה סייבר ה ישראלית NSO
שלו חוליו מנכ"ל חברת  ה סייבר ה ישראלית NSO
שלו חוליו, מייסד ומנכ"ל NSO
(צילום: יונתן בלום)

אבל הודעה שפרסם אתמול ארגון אמנסטי, שהוביל את עריכת התחקיר לצד קונסורציום העיתונאים פורבידן סטוריז, הבהירה מה שאנחנו ב"כלכליסט" טענו כבר ביום שני: אין קשר מהותי בין הרשימה ל-NSO, והחברה נמצאת במוקד הסיפור בעיקר כדי להפנות תשומת לב לפעילות הבעייתית שלה ושל לקוחותיה. זו בחירה בעייתית מאוד. ראשית, מכיוון שהיא יוצרת רושם מטעה, שלא לומר שקרי, שלפיו כל אחד מהשמות ברשימה היה יעד למעקבים של NSO (ורושם זה אכן חוזק במגוון סיפורי המשך). ושנית, חשוב יותר, מפני שהיא הופכת בעיה מערכתית לסוגיה של חברה אחת, מסמנת דמות מרושעת אחת שלכאורה טיפול בה יתקן את הכל, ומסירה אחריות מחברות אחרות בעייתיות לא פחות, רבות מהן ישראליות.
הרשימה המדוברת לא היתה פרט שולי אלא עמדה במרכז התחקיר. מדובר ברשימה מודלפת (לא ברור מהיכן) של 50 אלף מספרי טלפון שהיו נתונים לכאורה תחת מעקב של ממשלות וארגונים ברחבי העולם באמצעות פגסוס. היא כוללת בין היתר מספרי טלפון של עיתונאים, פוליטיקאים בכירים ואנשי עסקים. עורכי התחקיר גם ביצעו ניתוח פורנזי ל-67 טלפונים שנכללו ברשימה זו. הבדיקה העלתה כי ביותר ממחציתם, 37 טלפונים, נמצאו עדויות לפעילות של תוכנת הריגול הישראלית. ניתוח המעבדה הזה מצא גם ראיות לכך שזמן קצר בלבד חלף מרגע שמספרי הטלפון הללו הוזנו ברשימה ועד שנפרצו בידי פגסוס - לעתים שניות אחדות.
"לא רשימה סתמית"
התחקיר עורר סערה משמעותית ותגובת נגד חריפה נגד NSO מצד גורמים פוליטיים וארגוני עיתונאים, ויצר שיח ער ברשתות החברתיות. אדוארד סנודן, שהתפרסם בהדלפת מידע סודי מסוכנות ה־NSA האמריקאית, הגיב בראיון לגארדיאן ואמר ש״ממשלות חייבות לאכוף מורטוריום גלובלי על סחר בתוכנות ריגול״. נשיאת הנציבות האירופית אורסולה פון דר ליין אמרה ש"אם הדיווחים נכונים, זה לגמרי לא מקובל״. נשיא צרפת, עמנואל מקרון, קרא לפתוח בחקירה נגד החברה.

5 צפייה בגלריה
אדוארד סנודן
אדוארד סנודן
אדוארד סנודן
(צילום: יאנה סופוביץ)

למרות הסיוג היחסי שבו הוצג הסיפור, הרשימה נקשרה ל-NSO בכל אחד מהדיווחים המקוריים בנושא. כל דיווח הקפיד להדגיש שמדובר ברשימה של מספרי טלפון שזוהו כבעלי עניין על ידי לקוחות NSO, ושמדובר ברשימה של מטרות אפשריות של לקוחות החברה, שמעידה על האפשרות שהם יעדי מעקב. כל פרסום קשר בין הרשימה לחברה, וחלקם אף הלכו רחוק יותר. "מרוקו סימנה את נשיא צרפת מקרון כיעד למעקב באמצעות פגסוס של NSO", נכתב באתר דה-מרקר, אחד השותפים בקונסורציום ובתחקיר. דיווחי המשך בכלי תקשורת שונים וברשתות חברתיות קשרו שוב ושוב בין הרשימה ישירות ל-NSO, וקידמו את התפיסה שכל מספר ברשימה היה לכאורה יעד של פגסוס.
אתמול, יצא אמנסטי בהבהרה משמעותית, ספק חצי-נסיגה מההאשמות הראשונות של התחקיר. "אמנסטי מעולם לא הציג רשימה זו כ'רשימת נפגעי רוגלת פגסוס של NSO', אם כי יתכן שחלק מכלי התקשורת בעולם עשו זאת", נכתב בהודעה לתקשורת שהפיץ הארגון. "אמנסטי, והעיתונאים השותפים לתחקיר וכלי התקשורת שבהם הם עובדים, הבהירו למן הרגע הראשון בשפה ברורה ביותר כי זו רשימה של מספרים שסומנו כמספרים שמעניינים את הלקוחות של NSO, שהם משטרים שונים בעולם. NSO טוענת שזו רשימה סתמית שיכולה הייתה להילקח אקראית מדפי זהב, אך לא כך הדבר: זו רשימה המעידה על תחומי העניין של לקוחות החברה, שהביעו עניין במעקב אחרי עיתונאים ופעילי זכויות אדם, יריבים פוליטיים, עורכי דין וכן הלאה. לא רק אחר חשודים בפדופיליה, פשיעה חמורה אחרת וטרור. בעקיפין, כמובן שהדבר מעיד גם על NSO ועל משרד הביטחון של ישראל, שככל הנראה לא פסלו לקוחות אלו מראש, מבעוד מועד".

5 צפייה בגלריה
משרדי NSO ב הרצליה
משרדי NSO ב הרצליה
משרדי NSO בהרצליה
(צילום: אוראל כהן)

אם כן, מבהירים באמנסטי, לא רשימה שקשורה ישירות ל-NSO אלא רשימה של מספרים בעלי עניין כלשהו בעבור ממשלות שעובדות עם התוכנה של NSO. המסגור הזה נראה פחות כמו דיווח חדשותי, ויותר כמו מינוף של רשימה על מנת לתקוף את NSO.
יש סיבות מצוינות לבקר את החברה, רבות מהן פורסמו ב"כלכליסט" בחמש השנים האחרונות. אבל הקישור שנעשה בין הרשימה ל-NSO, והשימוש בה נגד החברה, נראים כלא מוצדקים לחלוטין. זאת, במיוחד בהתחשב בכך שהמדינות שנמצאות ברשימה הן לקוחות גם של מתחרות של NSO, דוגמת קנדירו הישראלית.
NSO לא היחידה
הבעיות בייחוס ברשימה וההחלטה הבעייתית להשתמש בה כמנוף לתקיפת NSO בגין בחירת הלקוחות שלה, לא צריכות עם זאת לבטל את הממצאים האחרים של התחקיר. המרכזי שבהם: 37 טלפונים של עיתונאים ופעילי זכויות אדם, שעליהם נמצאו עדויות פורנזיות שהודבקו בפגסוס או שהיו מטרה של תוכנת הריגול. "מכשירי הסלולר האלו הגיעו פיזית - בשנת קורונה וכשבעליהם לכאורה תחת מעקב ולכן התקשורת איתם מוגבלת - לידי האנליסטים של מעבדות אמנסטי, ושנמצאו בהם עדויות וראיות ספציפיות המזוהות עם רוגלת פגסוס - שלכאורה אמורה כמעט שלא להותיר ראיות", נמסר מאמנסטי. "כלומר: עצם העובדה שזוהו המספרים הללו והמכשירים המשוייכים להם נבדקו - הדבר אירע כנגד כל הסיכויים. אמנסטי ושותפיה לתחקיר גם פרסמו דו"ח מתודולוגי מפורט שמתאר איך בדיוק נעשתה האנליזה".

5 צפייה בגלריה
אקטיביסטים ועיתונאים מקסיקניים מפגינים נגד NSO ינואר 2020
אקטיביסטים ועיתונאים מקסיקניים מפגינים נגד NSO ינואר 2020
אקטיביסטים ועיתונאים מקסיקניים מפגינים נגד NSO. ינואר 2020
(צילום: רויטרס)

ממצא זה מבוסס על מתודולוגיה נרחבת שהציגה אמנסטי, ושאומתה על ידי ממכון סיטיזן לאב של אוניברסיטת טורנטו, והוא מצייר בפני עצמו תמונה רחבה ובעייתית של שימוש לרעה בפגסוס. ובניגוד לרשימה, לממצא זה אין ל-NSO תשובות טובות, פרט לאמירה לא משכנעת ונטולת גיבוי שהמספרים לא היו מטרה למעקב.
לו זה היה כל הסיפור, 37 טלפונים שעליהם אותרו סימנים לפגסוס, היה מדובר תחקיר ראוי וחשוב בפני עצמו, שדומים לו אגב התפרסמו לאורך השנים ב"כלכליסט" (הנה, רק בדצמבר האחרון דיוווחנו על מספר זהה של מכשירים נגועים בפגסוס של עיתונאים באל ג'זירה, ושמצדיק ביקורת משמעותית על החברה.
אבל לא זה המקרה כאן. התחקיר המקורי וסיפורי ההמשך שבעקבותיו עסקו בחלקם הגדול ברשימה, השמות שהתפרסמו בה והקשר שלהם ל-NSO וללקוחותיה. עתה, אחרי שהאפקט כבר הושג והרושם הוטמע, מגיע אמנסטי ומבהיר שאין קשר בין הדברים. אז מדוע נקשרה NSO לרשימה? כפי שאפשר להבין מהודעת אמנסטי, המניע הוא יותר אידיאולוגי מעובדתי ונועד להדגיש את בעייתיות המדינות שנמנות בין לקוחות NSO.
"רוב האחריות נופלת על האגף לפיקוח על ייצוא ביטחוני במשרד הביטחון"
"הרשימה מעידה על תחומי העניין של לקוחות החברה, שהביעו עניין במעקב אחרי עיתונאים ופעילי זכויות אדם, יריבים פוליטיים, עורכי דין וכן הלאה. לא רק אחר חשודים בפדופיליה, פשיעה חמורה אחרת וטרור. בעקיפין, כמובן שהדבר מעיד גם על NSO ועל משרד הביטחון של ישראל, שככל הנראה לא פסלו לקוחות אלו מראש, מבעוד מועד", נכתב. "עצם הבחירה למכור כלי ריגול רבי-עוצמה למשטרים דכאניים מובילה כמעט בוודאות לשימוש לרעה ולדיכוי מוגבר של קולות ביקורתיים. כל בר דעת מבין זאת גם ללא ניתוח פורנזי של מה שקרה בפועל על ידי אנליסטים. בנוסף, במשטרים דכאניים רשויות החוק וסוכנויות הביון, פעמים רבות, הן חלק גדול מהבעיה, לא הפתרון".
החיבור הזה, וההודאה המאוחרת בו, הוא בעייתי מאוד. ראשית, כי זה מושך את השטיח מתחת לכל תחקיר עתידי אחר שיתפרסם על NSO. בכל פעם שאמנסטי או אפילו סיטיזן לאב יפרסמו תחקיר משמעותי, מבוסס על ממצאים טכנולוגיים ופורנזיים מאומתים, שחושף שימוש לרעה בפגסוס, תוכל החברה להצביע על המקרה הנוכחי, ולהגיד: זוכרים איך גם אז התברר שאנחנו לא קשורים בסוף? אז הנה זה קורה שוב. האימפקט של תחקרים אלו יהיה קטן הרבה יותר.
החיבור גם מעלה את השאלה למה דווקא NSO? או, ליתר דיוק, למה רק NSO? החברה אכן מוכרת את התוכנה שלה למשטרים בעיתיים, אבל היא לא החברה היחידה שעושה זאת, וגם לא החברה הישראלית היחידה. רק בשבוע שעבר חשפנו ב"כלכליסט" את פעילותה של קנדירו הישראלית, שהרוגלה שלה אותרה על מחשביהם של 100 עיתונאים, פעילי זכויות אדם, מתנגדי משטר ועוד, ושרשימת הלקוחות המשוערת שלה חולקת שמות משותפים עם אלו של NSO.
המיקוד ב-NSO יוצר את הרושם השגוי שזו בעיה של חברה אחת, מתעלם מתעשייה שלמה ואקו-סיסטם רגולטורי מקיף שתומך בה ומקדם אותה. הולכי התחקיר הלכו על המטרה הקלה ביותר – חברה שכולם כבר מכירים, שתדמיתה חבולה ושנמצאת בעמדת מגננה – ונתנו למעשה פס לחברות אחרות, רבות מהן ישראליות, שיכולות להמשיך ולפעול באין מפריע.

5 צפייה בגלריה
ריגול ממשלתי ניטור המוני פרטיות מצלמות מעקב 4
ריגול ממשלתי ניטור המוני פרטיות מצלמות מעקב 4
ריגול ממשלתי
(צילום: שאטרסטוק)

"האשמה איננה בלעדית של NSO, אלא רוב האחריות נופלת על האגף לפיקוח על ייצוא ביטחוני במשרד הביטחון, שלא עושה את מלאכתו נאמנה. לצד רצינות רבה יותר בפיקוח בפועל, דרושה חקיקה חריפה יותר, שתאפשר למנוע הגעת כלי סייבר התקפי, ונשק ישראלי, לגורמים שמפרים זכויות אדם. NSO היא קצה הקרחון של השימוש לרעה בסייבר התקפי ישראלי ובנשק ישראלי, ואף על פי שלתפישתנו היא אחראית לשימוש לרעה במוצריה - היא אינה האחראית הבלעדית לכך, והאחריות הגדולה ביותר מוטלת על משרד הביטחון", אומרים באמנסטי, וצודקים.
NSO היא רק קצה הקרחון, ומה שמתחת לפני המים מפחיד הרבה יותר. תעשיית הסייבר ההתקפי בישראל סובלת מהעדר פיקוח מצד הרגולטור, שלא לומר שיתוף פעולה אקטיבי שלו בחדירה למדינות בעייתיות, כמו ערב הסעודית, על מנת לקדם אינטרסים ביטחוניים או מדיניים של ישראל. הפיקוח על התעשייה הישראלית רקוב וסמלי בלבד, וחברות רבות פועלות כמעט באין מפריע מתחת למכ"ם של התקשורת העולמית. המיקוד ב-NSO, כפי שנעשה בתחקיר זה, יוצר את הרושם שמדובר בחברה בעייתית אחת, שאם רק תתיישר כל הבעיה תתוקן. ולא כך הוא.
תעשייה שצריכה לעבור טיפול שורש
יכול להיות (אם כי לא סביר, האינטרסים הביטחוניים/מדיניים/מודעיניים/כלכליים חזקים מדי), שבעקבות התחקיר הרגולטור הישראלי ייכנס לפעולה ויטיל מגבלות משמעותיות, אולי אפילו משתקות, על פעילותה של NSO. כולם ימחאו כפיים, העיתונאים יטפחו לעצמם על השכם על השג נאה, ויעברו לסיפור הבא. והחלל שנוצר? הוא ימולא מיד על ידי מגוון חברות ישראליות, את שמותיהן של חלקן הציבור כלל אינו מכיר שיפעלו באותו גיבוי שהן מקבלות כבר היום ממערכת הביטחון וממשלת ישראל.
יש כאן תעשייה שלמה, רקובה לגמרי, שצריכה לעבור טיפול שורש יסודי. סימון חברה אחת, הגם שבצדק, לא יפתור את הבעיה הזו אלא ייצור את האשליה של בעיה נקודתית שאפשר לטפל בה בקלות. צריך להתמודד עם תעשיית רוגלות הסייבר הישראלית, צריך לדרוש יותר פיקוח ומגבלות על החברות שמאחוריה. אבל הדרך לעשות את זה היא לא באמצעות מניפולציות בעייתיות שסופן יותר נזק מתועלת.
לכתבה זו פורסמו 0 תגובות ב 0 דיונים
הוספת תגובה חדשה
אין לשלוח תגובות הכוללות מידע המפר אתתנאי השימוש של כלכליסט לרבות דברי הסתה, דיבה וסגנון החורג מהטעם הטוב.