פרשת NSO - סייבר, ביטחון ומה שביניהם
פרשת NSO הציפה לא מעט סימני שאלה סביב ייצוא הטכנולוגיות הביטחוניות שמספקת תעשיית הסייבר הישראלית למשטרים לא דמוקרטיים. האם השימוש בתוכנות מעקב הוא לגיטימי, עד כמה משרד הביטחון מעורב בעסקאות כאלה, ומהן ההשפעות ארוכות הטווח של הפרשה על תעשיית הסייבר המקומית?
מתי זה לגיטימי להשתמש בתוכנות מעקב והיכן עובר את הגבול?
תוכנות המעקב, הכוללות האזנה ואיסוף מידע, מותרות תחת כמה תנאים - הראשון, כאשר הן מופעלות על ידי רשויות אכיפת חוק; השני, כאשר השימוש הוא למטרה מוגדרת של חקירת עבירה ספציפית, והשלישי, בכפוף לפיקוח שניתן בדרך כלל באמצעות בתי משפט.
פגסוס ודומותיה הן בעלות מאפיינים ייחודיים: הן לא מערכות תקיפה (כי הן לא חוסמות מערכת, מוחקות מידע במחשב היעד או משנות אותו) אלא מערכות איסוף מידע בלבד, כשאחר כך מישהו אחר עושה שימוש במידע שנאסף. לכן אפשר לעשות בהן כל מיני שימושים, כאלה שהם פוגעניים וכאלה שלא (כלומר הן מה שמכונה דו-שימושיות). מרבית המכירות של פגסוס הן אכן לרשויות אכיפת חוק במדינות שעושות במערכת שימוש ממוקד ומפוקח על ידי מערכות המשפט המקומיות. אלא שלאור הפרסומים עד כה, אנו מבינים כי באמצעים הללו עשו שימוש גם גורמים פוליטיים או לצרכים פוליטיים במדינות דיקטטוריות או סמי דמוקרטיות. יתרה מזאת, התוכנות הופעלו באופן לא ממוקד, כלומר אספו הכל מכל, ולא נגד אנשים החשודים במעשי עבירה אלא כנגד פעילי זכויות אדם ועיתונאים, ללא כל פיקוח של מערכות משפט.
כלומר, הבעיה היא העומק והרוחב של השימושים הלא לגיטימיים, לצד השימושים הלגיטימיים החשובים שאפשר לעשות במערכת כזאת.
מדוע משרד הביטחון לא עצר את המכירה למשטרים לא דמוקרטיים שעושים שימוש לרעה בכלים הללו?
חשוב להבין, משרד הביטחון אישר את המכירות האלה ויש לשער שאף תמך בהן. במשרד פועלים שני אגפים - אפ"י, אגף פיקוח על ייצוא טכנולוגיות ביטחוניות, וסיב"ט, האגף לייצוא ביטחוני, שמעודד ייצוא של טכנולוגיות ביטחוניות. במידה רבה, האחרון הוא החתול ששומר על השמנת. צריך להבין שהפיקוח על הייצוא הביטחוני, ובכלל זה של טכנולוגיות ביטחוניות, הוא מאוד הדוק במדינת ישראל. כל חברה כזאת צריכה לעבור 4 שלבים של רגולציה: הראשון- רישום במרשם הייצואנים הביטחוניים, השני- רישום המוצר לטובת קבלת סיווג ביטחוני, השלישי- רישיון לשיווק (כלומר, אישור להציע את המוצר המסוים למדינה מסוימת), ובשלב הרביעי, אם אכן מתרקמת עסקת מכירה - קבלת רישיון מכירה. המשטר הזה הוא דרקוני, ומיועד לשמור על הפיקוח של מדינת ישראל על הייצוא הביטחוני. לכן, אי אפשר להגיד שהמדינה אינה יודעת או לא חשוב לה למי מוכרים את הטכנולוגיות האלה.
לכאן בדיוק נכנסים השיקולים שנבחנים במשרד הביטחון: ישנם ארבעה סוגים של שיקולים:
- שיקולים ביטחוניים להבטיח את העליונות של ישראל ולמנוע הגעת המוצרים לגורמים עוינים (האם מוצר שנמכור עתה יגיע לידיים של חיזבאללה?)
- שיקולים בינלאומיים שבהם מעורב גם משרד החוץ - מלחמות סחר בינלאומיות (לא מוכרים לסין בגלל ארה"ב)
- יחסים בינ"ל (לא מוכרים אמצעים לאוקראינה בגלל רוסיה, מוכרים להונגריה והודו עקב הידידות עמן)
- זכויות אדם בעיקר בהיבט של עתירות נגד משרד הביטחון על ידי פעילי זכויות אדם
Shutterstock
איך הפרשה הזו תשפיע על תעשיית הסייבר המקומית ומהן ההשלכות לטווח הארוך?
השם הטוב של תעשיית הסייבר הישראלית נפגע מפרסומים שכאלו והפגיעה עלולה להיות ביזמים אחרים. הפרשייה הנוכחית מציגה לעולם לא תעשייה שעושה טוב, אלא כזו שמייצאת נשק מתוחכם המועבר למדינות שזכויות האדם הן מהן והלאה. תעשיית הסייבר הישראלית היא מנוע וקטר לכלכלה הישראלית, ולמעשה למדינה יש כאן תפקיד כפול: יד אחת רוצה לקדם את התעשייה ולעודד חדשנות והיד השנייה פוגעת בה בגלל שיקולי ביטחון עלומים כמו שאנו רואים מהפרשה הזאת ומאחרות שקדמו לה. אם חברות כמו אמזון מכבות שרתים של חברות ישראליות – הנזק הוא של כלל התעשייה. אם חברה כמו מייקרוסופט עוצרת השקעות בחברות ישראליות של סייבר ואיסוף כמו שכבר קרה בעבר – משקיעים אחרים ילכו בעקבותיה. חשוב להבין, כי בעידן הנוכחי ענקיות הטק העולמיות לא משחקות – הן פוגעות במי שנוהג לא לפי החוקים שלהן, בין אם זה נראה לנו מוצדק ובין אם לא.
את עולם הסייבר מחלקים לרוב לשניים- הגנתי והתקפי. המקרה שלפנינו הוא מיוחד כי הוא עוסק בתחום שלישי - תחום האיסוף. כשחברה כמו NSO מכניסה פגסוס לטלפון היא לא מוחקת את המידע ולא מזיקה לו, אלא אוספת אותו. אולם, לפי הפרסומים, בשלב הבא מדינות ורשויות בעולם הילכו אימים על עיתונאים ופעילי זכויות אדם באמצעות אמצעים אלה. השאלה שמונחת לפנינו גדולה יותר. נצטרך להכריע מה עושים עם מערכות שרק אוספות מידע, במציאות בה נתונים בעלי ערך רב ועלולים לשמש לדיכוי אוכלוסיות.