ההודעה של משרד המסחר של ארצות הברית כי שתי חברות סייבר-התקפי ישראליות - NSO ו-Candiru - ייכללו ברשימת החברות הזרות הפוגעות באינטרסים הלאומיים שלה, אינה בעלת השלכות מעשיות ומיידיות על המשך פעילותן. עם זאת, יש בכך כדי לסמן כיוון ברור לתעשיית הסייבר ההתקפי הישראלית - הכללים השתנו באופן דרמטי וחסר תקדים.
המשמעות המעשית של הכללת החברות הישראליות ברשימה של משרד המסחר (Entity List) היא שיש צורך בהיתר מיוחד למסחר בין חברות אמריקניות לבין החברות הנכללות ברשימה. כלומר, אין משמעות הדבר שאסור באופן גורף לגופים אמריקנים להיות בקשר עסקי ומסחרי עם אותן חברות, אלא שישנן מגבלות מסוימות וצורך בקבלת רישיון מיוחד לכך.
חשוב להדגיש כי ארה"ב לא הכניסה את החברות ל"רשימה השחורה" של הגופים האסורים במגע עם גופים אמריקנים (SDN List). בשל כך, לא בטוח שלהודעה של ממשלת ארה"ב תהיה משמעות מעשית ממשית ומיידית על פעילותן של אותן חברות, אולם אין ספק כי מדובר בפגיעה במוניטין ובהצהרה גלובלית חסרת תקדים של ארה"ב, שמתווה כיוון ברור בנוגע למדיניות המתגבשת של ממשלות המערב ביחס לחברות הסייבר ההתקפי והמשך פעילותן.
השפעה נוספת להודעה מהיום יכולה להיות על התביעה התקדימית שמתנהלת בארה"ב בין פייסבוק ל-NSO. פייסבוק טוענת כי החברה מכרה כלי תקיפת סייבר שניצל חולשות באפליקציית וואטסאפ, שבבעלות פייסבוק, ובדרך זו נפרצו כ-1,400 מכשירי טלפון, מתוכם גם טלפונים של עיתונאים ופעילי זכויות אדם, בניגוד לחוק בארה"ב שאוסר פריצה למחשבים.
חברת NSO טוענת מנגד כי מוצריה מסייעים לגופי ביון ואכיפת חוק ממשלתיים מורשים להילחם בטרור ובפשע, וכי השימוש בכלי הפריצה לא נעשה על ידם, אלא על ידי הלקוחות שלהם - ממשלות ברחבי העולם. לטענת החברה, אין לה שליטה על השימוש המבצעי בכלי התקיפה.
NSO ביקשה שהתביעה תידחה על הסף בשל טיעון של "חסינות מדינה", כלומר - מכיוון שמי שעשה בפועל שימוש בתוכנה אלה מדינות, ולמדינות זרות יש חסינות מפני תביעות אזרחיות בארה"ב - אז יש להחיל חסינות זו גם על NSO, שלקוחותיה הן רק מדינות. בית המשפט בארה"ב דחה בערכאה ראשונה את הטענה, וקבע כי חברה פרטית ישראלית לא יכולה לקבל "חסינות מדינה". NSO ערערה, ועדיין לא התקבלה החלטה על הערעור, שגורלו יכול להיות בעל השלכות מרחיקות לכת על כלל חברות הסייבר ההתקפי בישראל ובעולם.
השאלה המשפטית המרכזית שעומדת כעת לדיון היא האם ניתן "להרים מסך" בין החברה הפרטית שמכרה את כלי התקיפה לבין הממשלה הזרה שעשתה בו שימוש. כאמור, NSO טוענת שאין לה כל חלק בהפעלה של כלי הפריצה, ולכן התביעה למעשה היא כנגד המדינה שביצעה את הפריצה, ומכאן שיש להעניק חסינות לחברת סייבר המסייעת לגופי ביון ואכיפת חוק ממשלתיים מורשים. כלומר, הטענה היא שבדיוק כשם שלא ניתן להטיל אחריות על מפעל נשק בגין שימוש לא חוקי בנשק שנעשה על ידי חייל - כך לא ניתן להטיל אחריות על חברת סייבר התקפי המוכרת "טיל סייבר" לרשות אכיפת חוק.
אם הטענה של NSO תידחה, המשמעות יכולה להיות דרמטית - בתי המשפט בארה"ב יוכלו לראות בחברת סייבר פרטית כבעלת אחריות משפטית ישירה להפעלה המבצעית של כלי הסייבר על ידי הלקוח שלה - הממשלה הזרה. לקביעה משפטית זו יכולה להיות השלכות על כלל חברות הסייבר - מחשיפה של החברה לתביעות אזרחיות לפיצויים מצד מי שנפגע מהשימוש שעשו מדינות בכלי הפריצה, ועד הטלת אחריות פלילית בנסיבות מסוימות.
בנוסף, ייתכן ובהמשך ניהול התביעה יוצא צו המחייב את NSO לבצע גילוי מסמכים מלא של כל הפעילות שלה, ושל ההתקשרויות שלה עם ממשלות זרות. מטבע הדברים מדובר במידע רגיש ביותר.
אין ספק שההכרזה הרשמית של ממשלת ארה"ב כי חברת NSO ופעילותה פוגעים באינטרס הלאומי שלה לא יסייעו לה להגן על עצמה בתביעה שמנהלת נגדה פייסבוק, כמו גם לא ההצהרה כי החברה סיפקה "תוכנות ריגול עבור ממשלות זרות ששימשו ככלי לפגיעה בצורה זדונית בפקידי ממשל, עיתונאים, אנשי עסקים, פעילים, אנשי אקדמיה ועובדי שגרירויות".
חשוב להדגיש כי במציאות בה פעילות עבריינית, כמו גם פעילות טרור, מתבצעת במרחב המקוון ובאפליקציות מוצפנות, ישנו צורך בכלי סייבר התקפי לשם מניעת פעילויות שכאלה. ללא כלים אלה, רשויות אכיפת החוק "עיוורות" כלפי פעילות לא חוקית המתבצעת ברשת. עם זאת, חברות הסייבר הישראליות ומשרד הביטחון חייבים להפנים כי הסטנדרט המצופה מהחברות הפרטיות השתנה.
משרד המסחר הדגיש בהודעתו כי ההחלטה היא חלק ממאמציו של ממשל ביידן להציב את זכויות האדם במרכז מדיניות החוץ שלו, כולל על ידי פעילות לבלימת הפצה של כלים דיגיטליים שמשמשים לדיכוי ופגיעה בזכויות אלו. אין ספק כי שאר מדינות המערב יילכו בהתאם לכיוון שמתווה היום ההחלטה של ממשל ביידן.
הכותב הוא דוקטור למשפטים והפרשן המשפטי של אולפן ynet, מרצה באוניברסיטת רייכמן, מייסד (CybeRighTech (CRT, חבר הוועדה המייעצת לשר המשפטים לנושאי משפט, רגולציה וטכנולוגיה וחבר המועצה הציבורית להגנת הפרטיות במשרד המשפטים.