אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
המקרה של NSO: מה הטעם בדו״חות שקיפות אם אין דרך לאמת אותם משרדי NSO בהרצליה | צילום: אוראל כהן

דו"ח טכנולוגי

המקרה של NSO: מה הטעם בדו״חות שקיפות אם אין דרך לאמת אותם

דו"ח השקיפות הראשון שפרסמה מפתחת תוכנות הריגול NSO אמור לספק צוהר חדש לפעילות החברה. בפועל, לפי המבקרים, יש בו מעט מאוד שקיפות ולא מעט זריקת אחריות. "הדו"ח הוא פשוט ישראבלוף", טוען פעיל זכויות האדם עו"ד איתי מק. לעומתו, מייסד ומנכ"ל NSO, שלו חוליו, חולק על הביקורת, "נשמע פידבקים נבין מה חסר, ובדו"ח הבא נשפר"

01.07.2021, 10:30 | עומר כביר

מפתחות תוכנות ריגול כמו NSO הישראלית מאוד לא אוהבות להיחשף. טוב להן לפעול בצללים, כשאף אחד לא יודע מה בדיוק הן עושות ואיך. NSO פעלה, במשך זמן רב, במוד חשאי במיוחד. פעילותה גלויה רק ליודעי דבר ובעלי עניין. וכמובן שהיה לה נוח מהמצב הזה. אם אף אחד לא יודע מה אתה עושה, לא שמע עליך אפילו, יש לך מרחב פעילות עצום ונטול ביקורת.

זה התחיל להשתנות לאט לפני כעשור, כששי אספריל חשף ב"כלכליסט" את פעילות החברה ואת תוכנת הריגול שלה, פגסוס. בחמש השנים האחרונות הליך הגרירה של NSO מהצללים אל אור הזרקורים הואץ משמעותית, בעקבות תחקירים מקיפים על השימוש לרעה שנעשה בפגסוס, שפרסמו בעיקר מכון המחקר סיטיזן לאב של אוניברסיטת טורנטו ואמנסטי. השיא היה כנראה חשיפה של פייסבוק על השימוש שעשתה NSO בווטסאפ כדי לחדור למכשירים, שהוביל לכמה חשיפות המשך מביכות.

פרסומים רבים אלו, שזכו לתהודה רחבה בכלי תקשורת בכל העולם ובישראל (כולל פרסומים רחבים ועקביים ב"כלכליסט"), שינו את מעמדה של NSO מחברה אלמונית כמעט לחלוטין, לשחקנית המוכרת ביותר בתחום תוכנות הריגול להשכרה, ולאחת מחברות הטכנולוגיה הידועות בישראל. יש שיגידו אפילו ידועה לשמצה. שינוי מעמד זה גם אילץ את NSO לשנות את צורת העבודה שלה ביחס לעולם החיצון. היא שכרה דוברים פנימיים ויחצנים חיצוניים, החלה להגיב לפניות עיתונאים ואף להתראיין בהרחבה לעתים נדירות, הזמינה כתבים למפגשים במשרדיה – כשהיא מבינה ששקיפות, או לפחות מצג של שקיפות, היא אחת הדרכים היעילות להתמודד עם טענות לפעילות אפלה.

מייסד NSO שלו חוליו, צילום: יניב בלום מייסד NSO שלו חוליו | צילום: יניב בלום מייסד NSO שלו חוליו, צילום: יניב בלום

במקביל, היא החלה, לדבריה, לשנות את אופן הפעילות שלה, במטרה ליצור מנגנוני בקרה ופיקוח פנימיים הדוקים יותר על לקוחות פוטנציאלים וקיימים. בכך הגיבה החברה לאינספור דיווחים ודו"חות מקצועיים על ניצול לרעה של פגסוס נגד עיתונאים, עורכי דין, פעילי זכויות אדם ומתנגדי משטר מצד מדינות שדמוקרטיה וחופש ביטוי הם לא בדיוק נר לרגליהן.

הדו"חות החמורים, הפרסומים התכופים, התביעות המשפטיות אילצו את NSO לצאת במהלך יחצני בעיקרו על מנת לשנות את תדמיתה, או לפחות לרכך אותה. זה ההקשר שבו צריך לבחון את הצעדים השונים שעשה החברה בשנים האחרונות – לא רצון אלא כורח המציאות – וזה גם ההקשר שדרכו צריך להבין את המהלך העדכני של החברה מאתמול: פרסום דו"ח שקיפות ראשון מסוגו שאמור לספק צוהר חדש לפעילות החברה.

בשנים האחרונות, הפכו דו"חות שקיפות לסטנדרט בתעשיית הטכנולוגיה. חברות כמו אפל, פייסבוק, גוגל וטוויטר מפרסמות בקביעות דו"חות סביב הבטים שונים של הפעילות שלהן, שעוסקים בסוגיות כמו בקשות למידע משתמשים שהעבירו מדינות שונות או סוגי התכנים שפלטפורמות חברתיות חוסמות ומורידות. הם עמוסים במספרים ופילוחים שמאפשרים ללמוד על החברה עצמה והגופים שעובדים מולה.

זה לא דו"ח כזה. הן מכיוון ש-NSO היא לא חברה מבוססת משתמשים, והן מכיוון שהיכולת או הרצון שלה לספק שקיפות אמיתית מוגבלים. המספרים והנתונים הקשים שמספקת שם החברה מוגבלים. כך, למשל, לדברי NSO, יש לה כיום 60 לקוחות ב-40 מדינות. ביניהם, 51% מהלקוחות הם סוכנויות מודיעין, 38% רשויות אכיפת חוק ו-11% גופי צבא.

אבל למעשה, למרות שמו "דו"ח שקיפות ואחריות", מבקרים אומרים שיש בו מעט מאוד שקיפות ולא מעט זריקת אחריות. "הדו"ח הוא פשוט ישראבלוף", אמר ל"דו"ח טכנולוגי" פעיל זכויות האדם עו"ד איתי מק, שעתר בעבר, ללא הצלחה, בדרישה לבטל את רישיון הייצוא של NSO. "נקודת המוצא של הדו"ח היא איך עכשיו NSO מפקחת על היעדים של המערכת. כאן יש טנגו ש-NSO עושים כמה שנים, ודווקא בדו"ח של שקיפות יש שאלות על השקיפות של העמדה של NSO לגבי נקודת מפתח הזו".

מייסד ומנכ"ל NSO, שלו חוליו, חולק על הביקורת הזו. "בעינינו חשפנו המון", הוא אמר אתמול ל"דו"ח טכנולוגי". "נשמע פידבקים נבין מה חסר, ובדו"ח הבא נשפר. עצם זה שאנחנו באים ואומרים: זה מה שאנחנו עושים, אלו התהליכים – זה רף הרבה יותר גבוה מכל חברה אחרת בתעשייה הזו. נעשה התאמות. יכול להיות שיש עוד דברים שרוצים שנציג. דיברו למשל על המספרים (טענה של NSO שלפיה היא דחתה הזדמנויות עסקיות בשווי 300 מיליון דולר בגלל הליך הביקורת הפנימי שלה, ע"כ). אמרו לי, תראו את ההסכם, או כמה שילמו כל שנה המדינות שניתקתם. אפשר להראות דו"חות כספיים בלי שמות של מדינות. אין לנו בעיה להראות אם זה משהו מעניין".

מק מוצא עם זאת כמה נקודות בעייתיות שעולות מהדו"ח: "בתקופת הסקנדל של מקסיקו (שורה של חשיפות, בעיקר בניו יורק טיימס, על שימוש לרעה במערכת של NSO במדינה, ע"כ) NSO אמרה שאין לה יכולת לדעת מה היעדים ושאין לה יכולת להשבית את המערכת. ב-2019 שלו התראיין אצל רונן ברגמן בידיעות אחרונות, וזו היתה הפעם הראשונה ואחרונה שהוא אמר שיודעים מי היעדים, מה הכמות שלהם ושיש להם יכולת טכנולוגית לדעת כל יעד וגם יכולת להשבית אותה מבחינה טכנולוגית וחוזית. עכשיו בדו"ח הם פתאום חוזרים בהם ואומרים שאין להם ידע על הפרטים שהמדינות חוקרות. ובהמשך אומרים שהמדינות שומרות על חשאיות היעדים. אם הם לא יכולים לעשות פיקוח על היעדים, שזה סותר את מה שהם אמרו לברגמן, אין כאן שום פיקוח".

חוליו הסביר בתגובה שבמידת הצורך יכולה NSO לראות מי היעדים. "יש לנו יכולת, באישור הלקוח, לעשות חקירה. מה זה חקירה? יש לוג שנשמרים בו כל הפעולות שהלקוח עשה. אפשר לבקש מהלקוח את הלוג, לקבל את הנתונים ולעשות חקירה. הוא צריך לאפשר גישה. זה קובץ שאי-אפשר לגשת אליו, למחוק אותו או לגעת בו. זה כמעט בלתי אפשרי. אם לקוח לא משתף פעולה אפשר לנתק את המערכת מרחוק. אבל מעולם לא קרה שרצינו גישה למידע ולא נתנו לנו אישור", אמר.

סוגיה אחרת היא הרשימה השחורה של מדינות שאתן לא עובדת NSO, ושמונה לפי הדו"ח 55 מדינות. "אני לא מכיר 140 מדינות בעולם שהן דמוקרטיות ומקפידות על זכויות אדם. הלוואי, היינו בעולם אחר", ציין מק.

לדברי חוליו, מדובר ברשימת המדינות שלהן לא מוכרת החברה שום מוצר, ושרשימת המדינות שלהן היא לא מוכרת את תוכנת הריגול פגסוס גדולה יותר ועומדת על כמעט 90 (לחברה יש גם מוצרי רחפנים, מערכת לזיהוי אנשים שלכודים בהריסות ועוד). ואולם, הוא הוסיף, אין ודאות שכל מאה ומשהו המדינות הנותרות יכולות להיות לקוחות החברה. "יש מדינות שכבר בדקנו ואמרנו לא מוכרים, אבל יש מדינות שלא דנו בהן. או שלא היתה פנייה או שלא היתה החלטה", הוא אמר. "זה לא שעם כל המדינות האחרות אני עובד. הרשימה של ה-90 מורכבת מרשימה שחורה שאמרנו שלא נמכרו לפני שהתחלנו, ומדינות שבעקבות פנייה שלהן ובדיקה שעשינו החלטנו שלא נמכור להן. ויש מדינות שלא היו ברשימה אבל החלטנו לאורך הדרך שאנחנו לא רוצים לעבוד אתן".

השאלה המתבקשת היא מדוע לא מפרסמת NSO את הרשימה השחורה שלה. החברה אמנם מנועה, לדבריה, מלפרסם את זהות הלקוחות שלה אך אין שום מניעה להגיד מי לעולם לא יכול להיות לקוח שלה. "לא בא לנו לריב עם העולם", אמר חוליו. הסבר זה לא משכנע במיוחד, ועושה רושם של ניסיון התחמקות לא רציני.

בהקשר זה, התייחס חוליו למעמדה של ערב הסעודית במערכת דירוג פנימי שיצרה החברה ושקובעת אילו מוצרים ימכרו לאילו מדינות ובאילו תנאים. "כנראה (שהיא היתה מדורגת) מאוד מאוד נמוך", אמר. "לא היינו צריכים לדון בסעודיה מאז שעשינו את תוכנית הדירוג ברבעון הראשון של 2020. לא יודע אם בכלל היינו דנים על סעודיה בתוכנית החדשה". לפי כמה דיווחים, המערכת של NSO סייעה ברצח העיתונאי הסעודי ג'מאל ח'אשוקג'י ושימשה בניסיון לפרוץ למכשיר של כתב הניו יורק טיימס שמרבה לבקר את המדינה. מדבריו של חוליו עולה שנכון להיום, ערב הסעודית לא לקוחה של החברה וגם לא תהיה בעתיד. בעקיפין אפשר להסיק שבעבר היא נמנתה על לקוחותיה. האם NSO הפסיקה לפעול במדינה בעקבות הדיווחים בנושא? לשאלה זו, כמו להרבה שאלות אחרות שעולות מן הדו"ח, אין מענה.

סוגיה נוספת שעולה מהדו"ח היא ההסתמכות של NSO על פעילות במסגרת החוק המקומי. "הם אומרים שהם דורשים מהמדינות לפעול לפי החוק, ושהסוכנויות יהיו סוכנויות רשמיות", אמר מק. "אבל שום מדינה לא-דמוקרטית לא מודה שהיא מפירה זכויות אדם, וצריך לבחון איך מוגדרת שם עבירה פלילית. הם מציבים עקרונות שרלוונטים למדינה כמו שוויץ, לא יכולים לדבר על הסטנדרטים במדינות שבהן דווח שנעשתה תקיפה של פעילי זכויות אדם ועיתונאים. זה אבסורד, כי אפילו קוריאה הצפונית טוענת שהיא מקפידה על זכויות אדם. הם מגלגלים את האחריות על המדינות. גם בהקשר של מי היעדים והשימוש, וגם מבחינת עמידה בחוק".

חוליו טען בתגובה: "אנחנו הרבה פעמים במדינות רוצים לוודא שחוקי הפשע תואמים לסטנדרט בינלאומי. אם לצורך העניין יש במדינה חוק שלפרסם ציוץ נגד הנשיא זה פשע, אנחנו לא נקבל כזה דבר. צריך להבין את ההקשר, וזה מה שחשוב. הרבה פעמים עיתונאים רואים צד אחד של הסיפור. לא מבינים את ההקשר".

ואולם, מעל כל אלו בלב הדו"ח יש בעיה מהותית אחת: NSO היא מקור המידע היחיד בהקשר זה. "הדו"ח מראה שאין מערכת עצמאית של מנגנוני הגנה שתבטיח שהטכנולוגיה לא מנוצלת על מנת לפגוע בזכויות אדם", מסר ל"דו"ח טכנולוגי" מנהל סיטיזן לאב, פרופ' רון דייברט. "בשעה שהיא מכירה לכאורה בראיות המרובות לניצול לרעה של הטכנולוגיה שלה, NSO גם לא מוכנה לנקוט בצעדים משמעותיים כדי למנוע ניצול שכזה. למעשה, החברה עדיין ממשטרת את עצמה מאחורי דלתיים סגורות ועושה שימוש בגורמים פנימיים בעלי עניין שמתחזים לאנשי פיקוח חיצוניים. היא אז מבקשת מאתנו בחוץ לקבל את הבטחותיה כמו שהן. מדובר בתיאטרון של רגולציה פנימית, ללא פיקוח עצמאי מהותי ומנגנוני הגנה משפטיים חזקים".

וזה לב העניין. יכול להיות ש-NSO עשתה מהפכה משמעותית בהתנהלותה. שהיא הקימה מנגנונים יעילים וחזקים שמונעים פגיעה בזכויות אדם באמצעות הטכנולוגיה שלה, כפי שהיא טוענת. הבעיה היא שלנו אין דרך לדעת את זה, כי הדבר היחיד שיש לנו זו המלה שלה. מלה שהיא מפיצה לא כי היא רוצה, אלא כי הנסיבות אלצו אותה לעשות זאת.

האם NSO באמת הצליחה ליצור הגנות משמעותיות או שמא הכל פרוץ והמגנונים הם לראווה בלבד? האם הדיווחים על שימוש לרעה הם לא יותר מאנומליות אקראיות (NSO עצמה מודה בדו"ח במספר קטן של מקרים, 0.5% האשמות שימוש לרעה מכלל השימושים במערכת, 10 לקוחות שנותקו או הקשר אתם הופסק בעקבות חקירה או "חשש בנוגע לזכויות אדם"), או אולי בעיה מערכתית שהחברה לא מסוגלת או לא מעוניינת לטפל בה? האם פגסוס היא כלי מדהים לעצירת פיגועים, לכידת פדופילים והשבת ילדים חטופים, או מערכת ריגול אכזרית שמשמשת מנהיגים סמכותנים לביצור שלטונם ולדיכוי מתנגדים?  לפי NSO, התשובה לכל הברירות האלו היא תמיד האפשרות הראשונה. השאלה היא האם אנחנו יכולים להאמין למה שהחברה מספרת לנו.


תגיות