בשעה שבישראל עוד עסוקים בהשלכות התחקיר הבינלאומי בנוגע לפעילות המפוקפקת של חברת הסייבר ההתקפי NSO, ובעוד משרד הביטחון החל בחקירה רשמית של פעולתה, בריאד, בירת סעודיה, אפשר לשמוע רחשים של פעילות עסקית מטעם חברות כחול-לבן. הפעילות הזאת היא לאו דווקא מהסוג שמנפח את החזה בגאווה ישראלית טיפוסית. חברת NSO היא אומנם הפנים המוכרות יותר של תעשיית הסייבר ההתקפי, אבל היא בהחלט לא פועלת לבדה. למעשה, שורה ארוכה של חברות ישראליות שעוסקות בפעילות דומה לזו של NSO ממשיכות לפעול בסעודיה באין מפריע, תחת מעטה חשאי ומבלי שיצטרכו להתמודד עם האשמות דומות בדבר יצוא נשק למדינות טוטליטריות, מעקבים ופגיעה בזכויות אדם.
כתבות נוספות למנויי +ynet:
- "מ-70 לייקים בפייסבוק אני יודע עליך יותר משאתה יודע על עצמך"
- קרב הענקים של העולם הדיגיטלי: צוקרברג נגד ההאקרים מהרצליה
לא רוצים לפספס אף כתבה? הצטרפו לערוץ הטלגרם שלנו
בדו"ח השקיפות הכלל-לא-שקוף שפרסמה NSO לאחרונה, בניסיון להכשיר את פעילותה, צוינו חמישה מקרים שבהם החליטה החברה להפסיק קשרים עם לקוחות ממשלתיים כתוצאה משימוש פסול בכלי הריגול שלה. שמות המדינות לא פורסמו בדו"ח, אבל כעת אנו חושפים ש-NSO החליטה לקטוע קשרים עסקיים עם ממשלות סעודיה (כבר ב-2019, לפי הערכות), בדובאי ובאזרבייג'ן. גם גאנה ההפכפכה נדחתה מראש. זה כמובן לא מפריע ל-NSO לפעול במקומות כמו מרוקו, רואנדה, הונגריה, הודו, בחריין, קזחסטן, טוגו, איחוד האמירויות ומקסיקו - ולאן שהיא לא נכנסת, חברות ישראליות מתחרות דווקא כן נכנסות, מה שמחייב את השאלה: איך קורה שמדינת ישראל בכלל מאפשרת את זה?
ככה בשקט יחסי, בלי שהבחנו, צמחה בישראל תעשייה לא סימפטית של טכנולוגיות ריגול, מעקב ופריצה לטלפונים ולמערכות מחשב, שמגלגלת המון כסף - יותר ממיליארד דולר בשנה. הטכנולוגיה שמאחורי מערכות הריגול האלה היא היהלום שבכתר. בעוד חברות הגנת הסייבר הלגיטימיות עמלות על פיתוח אמצעים להגנה על הלקוחות שלהן, חברות הסייבר ההתקפי תמיד נמצאות צעד אחד לפניהן - מאתרות חולשות לצורך ניצול שלהן, ולא לצורכי הגנה.
חברות אחרות עוקבות אחר הקורבן באמצעות הרשת הסלולרית. יש טכנולוגיה שמזייפת רשת סלולרית וגורמות לקורבן להתחבר אליה מבלי שיידע ולהיחשף כליל. טכנולוגיה אחרת מסוגלת לזהות שני צדדים לשיחה ולעקוב אחר מיקומם ואחר השיחה ביניהם ברשת. הרבה פעמים פעולת הריגול כוללת שילוב של כלים מסוגים שונים - גם וגם וגם.
שירן גרינברג, ראש חמ"ל הסייבר של חברת סיינט (CYNET), מסביר שחברות הסייבר ההתקפי משקיעות מאמץ רב באיתור חולשות. אחד האמצעים הוא שוק שמתנהל באתר זירודיום (ZERODIUM), "היצחק לוי של עולם החולשות". לדבריו, חברות כמו NSO וקנדירו מוכנות לשלם סכומי עתק על חולשות חדשות לאייפון למשל. יש עובדים בחברות שציד חולשות הוא משימתם היחידה, והבונוס על חולשה מוצלחת עשוי להיות אסטרונומי, אבל לכישרון שלהם יש היבט בעייתי מבחינת ביטחון ישראל - לפעמים הם מגלים חולשות שזרועות הביטחון הישראליות משתמשות בהן, ושורפים אותן.
לפי הערכות פועלות בישראל כמה עשרות חברות שמפתחות ומפעילות טכנולוגיות כאלה. חלקן נשארות מתחת לרדאר, מחליפות שמות ובעלויות, חלקן רשומות מחוץ לישראל במטרה לחמוק מהרגולציה. "אפשר לדבר על שלושה סוגים של חברות כאלה", מסביר מנהל בכיר באחת מהן: "חברות שמפוקחות בישראל; חברות שיש להן טכנולוגיה זהה לחברות המפוקחות אבל פועלות ממקלטי רגולציה כמו קפריסין, דובאי ואחרים; וחברות שהן למעשה האקרים להשכרה. הן לא מציעות כלים טכנולוגיים, אלא מפעילות את שירותי המעקב בעצמן".
חברת NSO היא מהחלוצות. החברה התחילה במתן שירות תיקונים מרחוק לטלפונים סלולריים, אבל מהר מאוד עלו האנשים שם על האפשרות לחדור בקלות למכשירים ולעקוב אחרי בעלי הטלפונים, והפכו את זה למוצר ריגול מסוג חדש. אפליקציית פגאסוס של NSO מאפשרת לראות כל תכתובת של הקורבן, לשמוע כל שיחת טלפון שלו, לקרוא את הקבצים שלו, לראות את אנשי הקשר שלו, לצלם את מעשיו בכל רגע ולדעת את מיקומו. פגאסוס הולכות ומתחזקת. אם בעבר היה צריך לפתות את הקורבן ללחוץ על קישור זדוני, כיום אפשר לעשות "הזרקת רשת" ישירות, מבלי שיידע כלל. "זירו קליקס" קוראים לזה, כלומר אפס קליקים ותוכנת הריגול בפנים.
NSO משתייכת לסוג החברות שפועלות תחת פיקוח של משרד הביטחון. החברה הגדולה השנייה שנחשפה לאחרונה היא קנדירו (Candiru), שפיתחה טכנולוגיות פריצה למחשבים והתרחבה לאחרונה גם לתחומי הפריצה לטלפונים. לפי דיווח של מיקרוסופט, קנדירו מכרה את כלי הריגול שלה, Devil's Tongue, לקבוצת תקיפת הסייבר הסינית הפניום (Hafnium), וזו השתמשה בו כדי לעקוב אחרי יותר ממאה עיתונאים, פוליטיקאים ופעילי זכויות אדם. גם קנדירו פועלת תחת רישיון של משרד הביטחון באזרבייג'ן, באבו דאבי, בסעודיה, בסינגפור ומתברר שגם בסין.
אפשר להזכיר כאן עוד כמה חברות שבדרך כלל חומקות מהביקורת: רייזון (Rayzone) שמוכרת טכנולוגיית ריגול סלולרי, גיטה טכנולוגיות שפיתחה יכולות ציתות לסלולר, לוויין ורשתות אינטרנט ונרכשה על ידי ורינט הישראלית, וגם סייברביט (Cyberbit) שבבעלות אלביט מערכות, שסיפקה ב-2016 תוכנת ריגול באינטרנט לממשלת אתיופיה. גם חברת סלברייט, שפורצת למכשירי טלפון אחרי שנתפסו בידי זרועות משטרה, פועלת לפי פרסומים במדינות כמו וייטנאם, הונג קונג, רוסיה, בוצוואנה, גאנה, אינדונזיה, הודו, בחריין וסעודיה. הביקורת כלפיה מזכירה את זו שמופנית כלפי NSO: הרבה פעמים מדובר בטלפונים של קורבנות רדיפה.
הפיקוח של משרד הביטחון לא תמיד אפקטיבי. לפני כשנתיים החליט המשרד להשעות את רישיון היצוא של חברת אביליטי (Ability), שמוכרת מערכות האזנה סלולרית, לאחר שמכרה לכמה לקוחות מבלי לקבל רישיונות יצוא לעסקאות. בהמשך גם נפתחה חקירת משטרה כנגדה בחשד לעבירות על חוק הפיקוח על היצוא הביטחוני. זו אפילו לא היתה הבעיה הכי גדולה שלה: בארה"ב נחשף שאביליטי שיקרה בדיווח לבורסה בעניין עסקה עם "סוכנות משטרה בדרום אמריקה", שהתבררה כעסקה עם ברון הסמים חואקין גוזמן - "אל צ'אפו". החברה נתבעה על ידי הרשות לניירות ערך בארצות הברית (SEC), ובשנה שעברה נמחקה מהמסחר בנאסד"ק.
יש כמובן דרכים נוספות לעקוף את הפיקוח של משרד הביטחון. חברת קוודרים (Quadream), שפיתחה כלי ריגול דומה לזה של NSO, פועלת גם בישראל וגם בקפריסין. לפי הערכות היא מעבירה עסקאות בעייתיות - דוגמת עסקה שנחתמה עם סעודיה בשנת 2019 - דרך החברה הקפריסאית.
בכלל, בקפריסין אפשר למצוא פעילות ישראלית ערה, כמו זו של חברת אינטלקסה (Intellexa) שבבעלות טל דיליאן. החברה הקודמת שלו, סירקלס (Circles), התמזגה עם NSO ב-2014, ולפי חשיפה באתר The Verge היא הבסיס למוצר המעקב הסלולרי ש-NSO מציעה למחלקות משטרה בארה"ב. מגזין "פורבס" ראיין את דיליאן בקפריסין וקיבל הדגמה של הטכנולוגיות הנוכחיות שלו, כמו מעקב מתוך ואן מסחרי אחר כל טלפון ברדיוס של קילומטר ויכולת לשתול בו אפליקציית מעקב פולשנית.
גם חברת דארק מאטר (Dark Matter) פועלת בקפריסין. החברה נמצאת בבעלות של אבו-דאבי, ומעסיקה ישראלים יוצאי 8200 ויחידות מובחרות אחרות תמורת משכורת שמנה ורילוקיישן נוח. החברה מפתחת טכנולוגיית סייבר התקפי ונהנית מהידע המתקדם של יוצאי צה"ל.
וישנו גם הסוג המפוקפק ביותר של חברות כאלה: המידע על אודותיהן נשמר בסודי סודות, ועבודת הפיתוח והתחזוקה נעשית ממדינות בעלות סף מוסרי נמוך כמו הודו או אוקראינה. הישראלים מתפקדים בהן כאנליסטים וחוקרים, וגם משווקים את השירותים והמוצרים ללקוחות בעולם המערבי. במקרה הזה הלקוחות אינם בהכרח ממשלות.
כדאי להזכיר שלמרות מעמדם הבכיר בעולמות של טכנולוגיות הריגול, לא רק ישראלים פועלים בחזית הזאת: אחת החברות המוכרות היא FinFisher הגרמנית, שכלי הריגול שלה היו בשירות ממשלת בחריין במעקב אחר עיתונאים; וישנן גם חברת Hacking Team (או Memento Labs בשמה החדש) האיטלקית, שנחשפה ב-2015 כמי שמכרה תוכנות ריגול לעשרות ממשלות בעולם, וחברת Amesys הצרפתית שסיפקה מערכות ריגול לממשלת לוב.
לצד הטענות על היעדר פיקוח, גוברות טענות על מעורבות עמוקה של ממשלת ישראל, באמצעות משרד הביטחון, באישור העסקאות ואף בקידום שלהן כחלק ממערך האינטרסים מול מדינות אלה. גורמים בתעשיית הסייבר טוענים כי במקרים רבים, משרד החוץ הישראלי וזרועות הביטחון מקדמים שיתופי פעולה באמצעות "צ'ופר" - עסקה עם חברת טכנולוגיית ריגול ישראלית. הטענה הזו גם עלתה בדיווח של ה"ניו יורק טיימס", שלפיו ממשלת ישראל אישרה ל-NSO, לקנדירו, לקוואדרים, לורינט ולסלברייט למכור טכנולוגיה לסעודיה, ואף עודדה אותן לעשות זאת.
מדיניות זו גם עשויה להיות הסיבה לאישור של עסקאות עם מדינות כמו רואנדה, קזחסטן, אזרבייג'ן, הונגריה, מקסיקו, הודו ומרוקו. גם הסכמי השלום עם איחוד האמירויות, בחריין, סודן ומרוקו עשויים להיות תוצאה של עסקאות דומות. "מדינת ישראל לא פועלת כמו שצריך. יכול להיות שזה דורש חשיבת עומק, שתתבסס לא רק על שיקולי ביטחון אלא גם על סולם ערכי", אומר בכיר בתחום הסייבר.
מדיניות היצוא הביטחוני של ישראל ספגה בעבר קיתונות של ביקורת סביב מכירת אמצעי לחימה שונים למדינות לא דמוקרטיות, שמשתמשות בהם כנגד אזרחים ולוחמי חופש. יצוא אמצעי ריגול טכנולוגיים הוא המשכה של אותה מדיניות. "האפליקציה של היום היא המטוס, הטיל והטנק של פעם", אומר אחד הגורמים. "אני חושב שעדיפה אפליקציה".
השיח בקרב קהילת הסייבר הישראלית שונה לחלוטין מזה שמצוי בתקשורת הישראלית. לא תמצאו כאן הרבה הבנה לשיקולים של מוסר וזכויות אדם. ההשקפה המשותפת לחלק נכבד מאנשי התעשייה, וכנראה גם למי שנותן רישיונות לפעולותיה, היא ששיקולי הביטחון גוברים על כל שיקול אחר. חשיפת הפגיעה בפעילים חברתיים ובעיתונאים לא מרגשת כאן רבים. לפעמים אפילו נדמה שהפעולות של ארגוני זכויות אדם, כמו אמנסטי, בכלל מסייעות לקידום המכירות של NSO ושל חברות נוספות.
במשרד הביטחון חוזרים ומציינים שהרישיונות לביצוע עסקאות ניתנים לאחר בחינה באגף לפיקוח על היצוא הביטחוני (אפ"י). ההנחה המובלעת היא שאם ניתן רישיון, העסק כשר, אבל מדיניות אפ"י מוכתבת מגבוה, ונראה שמערכת הביטחון פיתחה תתרנות מופלגת בכל הקשור לריח הרע שעולה מעסקאות למכירת טכנולוגיות ריגול.
"עצם הבחירה למכור כלי ריגול רבי-עוצמה למשטרים דכאניים מובילה כמעט בוודאות לשימוש לרעה ולדיכוי מוגבר של קולות ביקורתיים", אומרים באמנסטי. "קבוצת NSO היא קצה הקרחון של השימוש לרעה בסייבר התקפי ישראלי ובנשק ישראלי. רוב האחריות נופלת על האגף לפיקוח על יצוא ביטחוני במשרד הביטחון, שלא עושה את מלאכתו נאמנה". בארגון קוראים להחלת פיקוח ורגולציה מקיפים על תעשיית הסייבר, ולאימוץ כללי שמירה על זכויות אדם בקרב חברות הסייבר ההתקפי. עד אז, הם דורשים "הקפאה מוחלטת של יצוא, מכירה, העברה ושימוש בטכנולוגיות מעקב".
ועדת החוץ והביטחון של הכנסת עומדת לדון בפרשת NSO והיצוא הביטחוני בעוד כשבועיים. יו"ר הוועדה, ח"כ רם בן ברק, מכיר את נושא הדיון היטב, כמי שהיה יו"ר ואחר כך נשיא הממד החמישי לצד בני גנץ. לקראת הדיון מפרסם המכון הישראלי לדמוקרטיה נייר עמדה, שבו הוא קורא לממשלה להרחיב את השיקולים הצרים במתן רישיונות יצוא ביטחוני, ולכלול שיקולי זכויות אדם. ד"ר תהילה שוורץ אלטשולר, עמיתה בכירה במכון הישראלי לדמוקרטיה ומומחית למשפט וטכנולוגיה, אומרת: "ברור יותר ויותר כי אנו במסלול התנגשות עם אירופה". לדבריה, באירופה ייכנס לתוקף בספטמבר הקרוב תיקון המקשיח את כללי הפיקוח על היצוא, בדגש על מוצרי ריגול ואיסוף.
ההתנגדות לא נגמרת כאן. השבוע קראו ארבעה חברי קונגרס בממשל האמריקני לחקור את פעילות NSO ולעצור את מכירת כלי הריגול שלה למדינות טוטליטריות. בצרפת הורה הנשיא מקרון לחקור את פעילות הריגול שהתבצעה על אדמת צרפת ואף פנה לראש הממשלה, נפתלי בנט, לקבלת הבהרות. הלחצים המצטברים עשויים להשפיע על מדיניות הממשלה.
בנט מכיר מקרוב את הפעילות של NSO. בחודש מרץ 2020 הוא פרסם תוכנית למאבק בקורונה, שהייתה מבוססת על טכנולוגיית מעקב של החברה: "הקמנו מערכת לאומית לניטור הקורונה, מבוססת AI - בינה מלאכותית", צייץ בנט, "לדעתי היא המתקדמת בעולם. משרד הביטחון, מפא״ת, יחידה 8200 וחברת היי-טק אזרחית חברו לפתח את המערכת המדהימה הזו. 'שופכים' לתוכה את תוצאות בדיקות הקורונה ואיכונים סלולריים, והמערכת עושה נפלאות". הפרסום גרר ביקורת נרחבת שהתייחסה בעיקר לפולשנות המערכת, שמציעה מעקב כולל אחר אזרחי ישראל.
גם שר הביטחון, בני גנץ, מכיר היטב את תחום היצוא הביטחוני וחברות המודיעין הטכנולוגי, עוד מהתקופה שבה עמד בראש חברת הממד החמישי. אבל ההיכרות עם NSO קרובה עוד יותר: לאחר שהחברה נקלעה לקשיים ב-2018, התנהלו מגעים בינה לבין חברת NSO על האפשרות ש-NSO תרכוש את הממד החמישי. בסופו של דבר לא נחתמה עסקה, והממד החמישי התפרקה.
ההיכרות המוקדמת של השניים עם NSO עלולה להשפיע על הדרך שבה יטפלו באירוע. בינתיים הבהיר גנץ כי "אנחנו לומדים את הנושא", והוסיף: "אנחנו מאשרים יצוא מוצרי סייבר רק לממשלות, ורק לשימוש חוקי ולמניעת פשעים וטרור". אתמול (יום ד') יצא לביקור בזק בצרפת, לפגישה עם שרת ההגנה הצרפתית. אין ספק שפרשת NSO תהיה גם היא על השולחן.
הפנינו לדובר משרד הביטחון שורה של שאלות בענייני מדיניות היצוא של כלי ריגול טכנולוגיים: האם כחלק מתהליך קבלת רישיון היצוא נערך בירור מה יהיו השימושים בטכנולוגיה? האם נערך פיקוח לאחר מכן, כדי לוודא שהשימוש בטכנולוגיה תואם את המטרות שהוצהרו? האם נשקלים שיקולי פגיעה בזכויות אדם במסגרת התהליך? האם משרד הביטחון מעניק רישיונות יצוא למדינות המוגדרות מדינות אויב? האם יש כוונה לשקול את המדיניות מחדש בעקבות הביקורת הציבורית עליה?
ממשרד הביטחון נמסר בתגובה: "מדינת ישראל אמונה על הפיקוח בכל הקשור לשיווק ויצוא של מוצרי סייבר מישראל, על פי חוק הפיקוח על היצוא הביטחוני מ-2007. רשימות הפיקוח הישראליות מבוססות על הסדר ואסנאר, ואף כוללות פרטים נוספים. בהחלטות בנוגע למדיניות הפיקוח נלקחים בחשבון שיקולים ביטחוניים, מדיניים ואסטרטגיים, לרבות דבקות בהסדרים בינלאומיים. מדינת ישראל מאשרת יצוא מוצרי סייבר רק עבור גורמי ממשל, לשימוש חוקי ולמטרות מניעת וחקירת פשעים ולוחמה בטרור בלבד. כל זאת, בכפוף להתחייבויות שימוש/משתמש סופי מטעם המדינה הרוכשת, לעמוד בתנאים אלו. ככל שמתברר כי נעשה שימוש בניגוד לתנאי הרישיון או בניגוד להצהרות מטעם המדינות הרוכשות ננקטים הליכים מתאימים. חשוב לציין כי למדינת ישראל אין גישה למידע שנאסף על ידי לקוחות חברת NSO".
בכל הנוגע למדיניות הממשלה, הפנה אותנו הדובר של נפתלי בנט להחלטת ממשלה על הקמת צוות מיוחד לטיפול בפרשה, בראשות מנכ"ל משרד הביטחון אמיר אשל ומנכ"ל משרד החוץ אלון אושפיז. הצוות כולל גם נציגים ממשרד הביטחון, ממשרד החוץ, ממשרד המשפטים, מהמוסד, מאמ"ן ומגורמים נוספים, והוא אמור לבדוק את התנהלות NSO ולגבש, אולי, מדיניות חדשה סביב התעשייה שאפשרה לה לצמוח.
פורסם לראשונה: 10:30, 29.07.21