"למנוע הפרעה לשלטון": על קורבנות הסייבר הישראלי, ועל עיוורונו

ראיון נידח של מייסד NSO פותח צוהר אל עולמם של מפיצי "תוכנת הריגול הפולשנית ביותר בעולם" • רווחי העתק של חברות הסייבר הישראליות נצברים במחיר רדיפתם וכליאתם של עיתונאים ופעילי אופוזיציה תחת משטרים רודניים, אבל התקשורת הישראלית שותקת • ואיך בדיוק מעניק ייצוא הסייבר רשת הגנה דיפלומטית להנצחת הכיבוש והאפרטהייד?

תכירו: תוכנת הריגול הפולשנית ביותר בעולם

בשנת 2014 סערה מקסיקו בעקבות פרשה מחרידה שבה כוחות משטרה ירו על שיירת אוטובוסים של סטודנטים להוראה (אשר היו בדרכם להפגנה המונית), עצרו 43 מהם – ואז פשוט העלימו אותם, פרקטיקה חביבה על רודנים באמריקה הלטינית. הממשלה התנערה מן האירוע, הסתירה את נסיבותיו, ובעקבות כך מונה צוות חקירה בינלאומי לפרשה. הצוות אכן הגיע לממצאים ברורים בדבר מעורבות הממשלה בפשע הזה; במקביל, החלה ממשלת מקסיקו לרדוף את חברי הצוות, לחסום את דרכם ולמנוע מהם מידע. אחד הכלים היה תוכנת "פגסוס" הישראלית, שהושתלה בטלפונים של החוקרים במטרה ברורה לשבש את פעילותם ולחשוף את כל מהלכיהם לשלטון. בעבר כבר פורסם שהממשלה רכשה את התוכנה לצורך מאבק בקרטלי הסמים. אך במרוצת הזמן התחוור שממשלת מקסיקו פשוט מפעילה את "פגסוס" כנגד כל אופוזיציה פוליטית שהיא מוצאת לנכון.

עיתונאים חוקרים במקסיקו גילו ש"פגסוס" הושתלה בטלפונים שלהם. העיתונאית הידועה ביותר במדינה, כרמן אריסטגוי, עלתה על הכוונת של השלטון לאחר שפרסמה תחקיר אודות מתת שחיתות בדמות אחוזת פאר, שקיבלה אשת הנשיא מאת קבלן שזכה בתמורה לחוזים ממשלתיים בהיקף של מאות מליוני דולרים. מיד לאחר החשיפה החל הטלפון שלה להתנהג באופן מוזר: הופיעו הודעות שמתייחסות לחייה האישיים, עם קישורים מומלצים. במקביל גם בנה בן ה-16 החל לקבל הודעות כאלה במכשיר שלו. היה ברור שהם תחת מעקב. פעילים בקמפיין בריאותי להטלת מס על יצרני משקאות ממותקים גילו שהם נתונים למעקב באמצעות אותה תוכנה ישראלית.

החברה שמייצרת את התוכנה, NSO Group, מושכת הרבה תשומת לב בתקשורת העולמית בשנים האחרונות; יותר ויותר מחלחלת ההבנה עד כמה חמורות ההשלכות הפוליטיות של התוכנות האלה, המכונות "סייבר התקפי". לפחות במקרה אחד, שיוזכר בהמשך, שיחקה "פגסוס" תפקיד מכריע בחילופי שלטון במדינה במרכז אמריקה. מדובר אם כן בכלי אסטרטגי. בישראל עדיין הנושא אפוף שתיקה, ומעט מאד עיתונאים ופוליטיקאים מעזים לגעת בו שלא דרך הפריזמה השחוקה של גיוס הון/רכישה/אקזיט. שתיקה תמיד טובה לעסקים. ראוי לציין את שי אספריל, שעוסק בנושא בעקביות, וגם את עידן רינג, וח"כ תמר זנדברג שמנסה להגביר את השקיפות על ייצוא הסייבר.

את NSO ייסדו ב-2010 שלושה שותפים – ניב כרמי, שלו חוליו ועמרי לביא. כרמי פרש במהרה והחברה צמחה במהירות; ב-2015 היא הרוויחה 75 מיליון דולר בשנה, ורק החודש רכשה קרן השקעות אמריקאית 40% ממניות החברה, לפי שווי של מיליארד דולר (הקרן, אגב, כבר נתונה ללחץ מצד ארגון שמתמחה בזכויות דיגיטליות לבטל את העסקה).

ההכנסות העצומות האלה מגיעות מממשלות בכל רחבי העולם; כלומר, מכספי מסים. מה הממשלות רוצות לדעת? כדרכן של ממשלות, הן רוצות לדעת הכל, על כל אחד, בכל רגע נתון. NSO מספקת להן בדיוק את זה.

מייסדי NSO, שלו חוליו ועומרי לביא. צילום: בר כהן

מי שחשף את מעורבותה של NSO  ברדיפות סייבר ברחבי העולם היה ארגון בשם Citizen Lab שפועל מאוניברסיטת טורונטו. מה עושה תוכנת "פגסוס"? הנה סיכום קצר:

"מרגע שהמצותתים השתילו את ה"פגסוס", הם יכולים לעשות שימוש בלתי מוגבל ביכולות של הטלפון שאליו הוחדר: הם יכולים לאכן אותו, לצותת לו, להוריד אפליקציות, להקליט את השיחות סביבו, לצלם באמצעותו, להוציא שיחות, לקרוא ולכתוב הודעות SMS ומיילים, לחדור לחשבונות רשתות חברתיות כמו פייסבוק, טוויטר ולינקד־אין ואפילו להתכתב בשמו של בעל הטלפון במסנג'ר ובסקייפ (אפליקציה שנחשבת קשה יחסית לחדירה). וזה עוד לא הכל: "פגסוס" מאפשר אפילו לנטר שינויים בדפוסי השיחות וה־SMS, באמצעות מערכות לזיהוי קול ומילים (שאותן חברות אחרות מפתחות בנפרד), ולהפנות את תשומת לב המצותת לפרטים שעשויים לעניין אותו."

"תוכנת הריגול הפולשנית ביותר בעולם" – כך הגדיר אותה מגזין "פורבס" בשנה שעברה. מנהלי החברה אינם מתראיינים, ולכל היותר שולחים תגובות קצרות לתקשורת: אנחנו חברה שומרת חוק, מוכרים טכנולוגיה לממשלות, לא מפעילים כלום.

ראיון נשכח ומאיר-עיניים

כמעט לא מתראיינים. אבל מסתבר שהיה ראיון אחד. והוא כל כך נדיר, וכל כך חושפני (שלא במתכוון), שמצאתי לנכון לפרסם את דבר קיומו כאן, ולצטט ממנו קטעים נבחרים. באפריל 2015 התראיין שלו חוליו, אחד ממייסדי NSO, לפודקאסט "השבוע", שעוסק בסטארטאפים ישראלים. בראיון שאורכו כחצי שעה מדבר חוליו בחופשיות רבה על עולם הסייבר, הפרוייקטים של NSO וחברות אחרות שהיה מעורב בהן. האווירה באולפן לא פורמלית, חברית-סחבקית; השאלות ברובן מתמקדות בפן העסקי של החברה. שלא במפתיע, ההבטים המוסריים של העברת תוכנת ריגול ("רוגלה") כל כך פולשנית לידיהם של רודנים אכזרים אינם עולים כלל לדיון.

במובן הזה יש משהו מרתק באופן שבו מצליחים שני המראיינים והמרואיין לרקד מסביב לנושא הרגיש כל כך מבלי לטבול לרגע את רגליהם בבוץ. זה מרתק כי מן השאלות ומטון השיחה ברור שלמראיינים אין בעצם מושג מה המצב הפוליטי במדינות שבהן הופצה "פגסוס", מי היו קורבנותיה, ואיזה אפקט היה לפרסום הזה בדעת הקהל העולמית. לא ולא; אותם מעניין הרבה יותר לשאול על המודל העסקי, על יזמות ושיווק, על הסוד להצלחה. אם יש בראיון איזושהי מחשבה פוליטית, היא בוסרית להחריד. דווקא בשל כך, האופן האגבי שבו משיב חוליו על השאלות המעטות שנוגעות בהבטים הפוליטיים של עסקיו פותח צוהר ייחודי למנטליות שמאחורי תעשיות הסייבר הישראליות.

הנה תמלול של קטע הראיון בדקות 7:52-9:31, ואחריו, מדרש טקסט קצר.

– זה סוג של נשק, בעצם, נכון?
– אני לא… תראה…
– אתה יצואן נשק, בעצם, אחי…
(צחוקים)
– כן, זה אני, warlords.
– תגיד, אתה יצואן נשק? לדעתך נכון להגדיר את זה בתור ייצוא נשק?
– אה, לא, כי זה לא הורג. אני חושב שנשק תפקידו בסוף להרוג, ואני מאד סולד מזה. אני חושב שאנחנו ממש לא בתחום של הנשק. אני חושב שאנחנו בדיוק ההיפך. אומנם זה נקרא סייבר התקפי, אבל תפקידנו בסוף זה לבוא ולהגן. בכל המקומות – ואני כמובן לא אפרט – שמכרנו את המערכות שלנו, הדבר הזה מציל, באמת לא עם פאתוס, מציל באמת יום יום חיים של אנשים.
– בגלל שהוא מונע פיגועים?
– הוא מונע פיגועים, הוא עוזר לתפוס אנשים, למצוא מיקומים של אנשים שנחטפו, הוא עוזר למנוע הברחות מאד מאד גדולות של סמים בכל מיני מדינות, הוא עוזר למנוע הפיכות.
– אתם בעצם חברה שמספקת כלים למודיעין, לממשלות?
– בסוף, NSO היא חברה טכנולוגית. בסדר? היא חברה שמפתחת טכנולוגיה. היא לא עושה שום פעולה בעצמה. הטכנולוגיות שאנחנו מפתחים, אנחנו מוכרים אותן לממשלות בעולם, והם משתמשים בטכנולוגיות האלה כדי בעצם לשמור על השלטון התקין, שזה אומר למנוע פשיעה ולמנוע טרור ולמנוע הפרעה לשלטון.

בואו נתעכב על הדברים שאומר שלו חוליו.

"נשק תפקידו בסוף להרוג" – ולכן "פגסוס" איננה נשק. שתי הטעיות כאן. ראשית, כמובן, יש מערכות נשק רבות שאינן הורגות באופן ישיר. כוונות לייזר, מערכות איכון, מערכות יירוט טילים, וכד'. שנית, מטרת השימוש ב"פגסוס" היא איסוף מודיעין על אזרחים מתוך הטלפון הפרטי שלהם. השימוש שנעשה במודיעין הזה יכול להיות כל שימוש שהוא – החל מזימון לחקירה, דרך הטלת פחד ואימה, איכון ולכידה, כליאה, חיסול והעלמה. הריגה היא אופציה לגמרי סבירה על הרצף הזה. NSO אינם באמת יודעים מה עושות ממשלות ברוגלה שלהם. בהינתן אופיין הרודני של ממשלות האלה, תהיה זאת היתממות לומר שהפעלת "פגסוס" אינה יכולה להיות שלב הכרחי בתהליך שסופו הריגה.

"הוא עוזר למנוע הפיכות". נו, וזה טוב? האם יש משהו רע אינהרנטית בהפיכות? תלוי כמובן מה טיבו של השלטון שמבקשים להפוך. האם ניסיון הפיכה נגד רודן צמא דם הוא דבר פסול? האם מי שמסייע לשמר את שלטונו של הרודן הזה, באמצעות "מניעת הפיכות", נמצא בצד הנכון או הלא נכון של ההסטוריה? על פי ממצאי Citizen Lab, "פגסוס" הופצה לא רק במקסיקו אלא גם בטורקיה, תאילנד, קטאר, קניה, אוזבקיסטן, מוזמביק, מרוקו, תימן, ניגריה, בחריין וערב הסעודית; כולן מדינות בעלות משטרים לא-דמוקרטיים בדרגה קלה או קיצונית. אם לקחת דוגמה אקראית מן הרשימה הזאת: במוזמביק, למשל, מנהלת הממשלה ציד אדם אחרי מתנגדים פוליטיים, נוקטת מדיניות חיסולי שדה, וכוחות הצבא מציתים כפרים.

נראה לי שאת ההחלטה האם הפיכה היא הפתרון הנכון לטרור הפוליטי שנוקטות הלקוחות של NSO צריך להשאיר בידי קורבנות הטרור, האזרחים, ולא בידי מי שמרוויח עשרות מיליוני דולרים מ"מניעת הפיכות".

"NSO  לא עושה שום פעולה בעצמה". כן. כך גם יצרני פצצות מצרר וגז סארין, סוחרי סמים ומפעילי אתרים לפדופילים. הם לא מפציצים בעצמם, הם לא מכריחים אף אחד להתמכר לסמים, והם לא בהכרח פדופילים בעצמם. ובכל זאת, כולם מפתחים ומשכללים ומספקים כלי משחית למיניהם עבור הפושעים שכן משתמשים בהם, ואלמלא כלי המשחית האלה – חלק מן הפשעים לא היו יכולים להתבצע. עצימת העיניים של מי שמייצר כלי שמטרתו העיקרית היא פלישה לפרטיות לצורך ניטרול או חיסול פוליטי לא מנתקת אותו משרשרת האחריות.

"למנוע הפרעה לשלטון". כאן סוף סוף יוצא המרצע מן השק. המטרה העליונה של רוגלה פולשנית שנמכרת רק לממשלות, ובעיקר לממשלות רודניות, היא "למנוע הפרעה לשלטון". מדוע? כי הפרעה לשלטון היא, בהגדרה, משהו רע. בהגדרה של מי? של השלטון כמובן. אותו שלטון שמקבל את הפריבלגיה לעקוב אחרי מתנגדיו מקבל גם את הפריבלגיה להגדיר מה זאת "הפרעה". ו-NSO, אין צורך לומר, מקבלת ללא פיקפוק את הגדרות השלטון שאיתו היא עושה עסקים. ביזנס זה ביזנס, ו"הפרעות" הן לא חלק מהביזנס. כל זה ברור מאליו. מה שמעניין כאן הוא מעטפת הבורות-מרצון הזאת שאנשי הסייבר – ומדובר כאן על הצמרת, לא טכנאים זוטרים – נעטפים בה כשהם עושים עסקים מלוכלכים. חשוב לומר שבהחלט ייתכן שמדובר בשיקוף אמיתי של תודעתם ולאו דווקא ברטוריקה צינית; הדברים נאמרים בפודקאסט זניח למדי, באווירה נוחה וחברית, ולא מול חקירה עוינת. זה מה שהם חושבים על עצמם, וזה הסיפור שהם מוכרים לחברה הישראלית כולה. החברה הזאת, כמובן, מורגלת באורח החשיבה הזה, שבהקשר אחר קראתי לו "תורת האי-ידיעה הציונית".

אם יש כאן גורם ציני – ואליו נחזור בסוף הפוסט – זהו האגף לפיקוח על הייצוא הבטחוני (אפ"י) במשרד הביטחון. בתחקיר של שי אספריל משנת 2012 על NSO מוצגת המדיניות הישראלית כך: "משרד הביטחון הישראלי מאפשר ל־NSO למכור את ה"פגסוס" רק לממשלות, ולא לגופים עסקיים, משום שחדירה או השתלטות על מכשירים סלולריים היא מעשה שאינו חוקי במדינות מתוקנות." שימו לב: החדירה למכשירים סלולריים איננה חוקית במדינות מתוקנות. מה עושים? כשסוחרים עם "מדינות מתוקנות", אפשר לסחור עם הממשלה. זו הרי מעל החוק, גם אם היא כפופה לו באופן פורמלי. וכמובן שאפשר מראש לסחור עם מדינות "לא מתוקנות". את זה יודעים ב-NSO לעשות היטב.

כאן עולה השאלה האם ישראל עצמה היא מדינה מתוקנת או לא. שהרי תוכנת ריגול של NSO נמצאה לפני 3 חודשים גם על מכשירי אנדרואיד בישראל. התוכנה, הנקראת Chrysaor, היא אחותה הסוררת של "פגסוס" (שתוקפת מערכות iOS), ותוארה כערמומית ומזיקה אפילו יותר ממנה. האם בוגרי יחידת 8200 בחברות הסייבר סוגרים מעגל ומספקים לחבריהם בצה"ל כלי מעקב אחרי מתנגדי שלטון בישראל? הנה עוד שאלה שאין סכנה שתמצאו בתקשורת הישראלית.

* * *

באוגוסט 2016 שוב עלתה NSO לכותרות. פעיל זכויות אדם באיחוד האמירויות, אחמד מנסור, קיבל הודעת טקסט ובה קישור לאתר שבו, לכאורה, מידע על עינויים בבתי כלא במדינה. מנסור עצמו היה נתון לרדיפות משטר מזה שנים, ובחשדו העביר את ההודעה ל-Citizen Lab. כך נחשפה פרצת האבטחה במכשירי אייפון, שחברת "אפל" מיהרה לאטום. בתגובה הלקונית של NSO נמסר: "החוזים הנחתמים עם לקוחות החברה מחייבים שימוש חוקי בלבד בטכנולוגיה, אך ורק במטרה לחקור ולמנוע פשיעה וטרור." על מנת לסבר את האוזן באיזה משטר מדובר כאן, נזכיר רק שבאיחוד האמירויות מועלמים אזרחים דרך קבע, אסירים פוליטיים עוברים עינויים, והתארגנות עובדים אסורה בחוק (סקירת "אמנסטי" לשנים 2016-7). ישראל מחזרת באופן לא רשמי אחרי איחוד האמירויות. זהו קצה זנבו של הקשר האפל בין סחר הסייבר למעטפת התמיכה הדיפלומטית שממשלות ישראל מגייסות בעשור האחרון, ועל כך עוד בהמשך.

שתי הודעות טקסט שקיבל אחמד מנסור ובהן קישורים שמורידים למכשיר את תוכנת הריגול של NSO.

* * *

בחודש שעבר העבירה ממשלת פנמה בקשת הסגרה לארה"ב: נשיא פנמה הקודם, ריקרדו מרטינלי, שביקש מקלט מדיני בארה"ב, חשוד בהזמנת ציוד מעקב וריגול אחרי האופוזיציה שלו. כן, שוב מדובר ב"פגסוס" של NSO. על פי כתב התביעה, מרטינלי השיג באמצעות הרוגלה, שמסוגלת להקליט ולצלם ללא ידיעת בעלי הטלפון, הקלטות של חברי פרלמנט עושים סקס. חלק מההקלטות גם הודלפו ליוטיוב. מרטינלי דאג להעלים את שרת המחשבים שאליו נותבו החומרים האלה לפני שנמלט.

* * *

טכנולוגיות חדשות יוצרות, לצד המענה שבהן, גם צרכים חדשים. כך עובד הגיון השוק הקפיטליסטי. באופן טבעי, ההצפה של השוק בטחון הפנים בתוכנות סייבר התקפי, רוגלות וכלי פריצה, יצר את הצורך באמצעי מיגון יעילים, או מה שנקרא סייבר הגנתי. גם שם יש הרבה כסף. ונחשו מי הקים סטארטאפ של אבטחת סייבר זמן קצר לאחר הקמת NSO? נכון, עומרי לביא ושלו חוליו, המייסדים של NSO. לחברה קוראים Kaymera, ותפקידה הוא בדיוק להגן מפני רוגלות/נוזקות מסוג "פגסוס", תוצרת NSO.

מבולבלים? הנה ההסבר של שלו חוליו, מאותו ראיון בפודקאסט "השבוע" (דקה 3:54-4:30).

– ומה זה Kaymera?
– יש לנו היום אייפון ואנדרואיד והכל מאד בטוח, אבל בסוף בסוף בסוף אנחנו רואים (צחקוק) שכולם מאזינים לכולם. הטלפון הולך איתך לכל מקום. מדהימה כמות המידע שאפשר להוציא על בן אדם מהטלפון שלו, ואין היום טלפון מאובטח. השאיפה שלנו היתה לבנות, כמעט מאפס, טלפון מאובטח ברמה הכי גבוהה שאפשר למצוא היום.

מדהים, לא? מייסד חברת NSO, שהביאה את ריגול הסייבר הפולשני לשיאים חדשים, נדהם מכמות המידע שאפשר להוציא מהטלפון הפרטי. עדיין מבולבלים? אולי זה יעזור (דקה 1:17-1:40):

– NSO היא אחת מהחברות המובילות בארץ,  בעולם. ואחרי זה הלכת והקמת עוד חברה, שנקראת Kaymera.
– נכון.
– ש-Kaymera מגינה, זה כזה אנטי-NSO?
– לא, לא בדיוק. זה גם מכוון לשווקים נורא שונים.

ואללה. תחשבו על זה רגע: התוכנות מכוונות לשווקים נורא שונים. זה די ברור, לא? תוכנת פריצה לממשלות, תוכנת אבטחה נגד פריצות לשוק הפרטי. הייתי אפילו מעז לומר שמדובר בתוצאה כמעט לוגית של מצב העניינים. האם התוכנה של Kaymera מגינה מפני התוכנה של NSO? הנה שאלה מעניינת נוספת שלא הוצגה לשלו חוליו מעולם. התשובה, אני מניח, תהיה שלילית; מה פתאום שחברה אחת שלי תשבור את השוק לחברה השניה. אבל ברור שהצורך בתוכנות האבטחה עלה וגאה כתוצאה משגשוגן של תוכנות הפריצה – שגשוג שיש לזקוף לא מעט לזכות חברות הסייבר ההתקפי הישראליות. למעשה, אחד ממייסדי Kaymera, אבי רוזן, אמר את הדברים מפורשות בראיון ל"בלומברג": "כל מי שרואה את היכולות של המערכות של NSO מיד חושב על דרכים להגן על עצמו מפני יכולות דומות. כשראינו את הפוטנציאל, החלטנו לעשות ממנו חברה."

תיקון מתבקש: כשיצרנו את הפוטנציאל. אבי רוזן, דרך אגב, היה סמנכ"ל הפיתוח בחברת אבטחת המידע "סאיוטה" של נפתלי בנט. עולם קטן.

צילום מסך של תחנת עבודה של "פגסוס", שמציגה נתוני מיקום של מכשירים "נגועים". מקור: הדלפת מאגר הדוא"ל של Hacking Team.

NSO לא לבד

ענף הסייבר ההתקפי של ישראל משגשג וחברות חדשות צצות כל הזמן. להבדיל מן הכלים של NSO, חברות אחרות מעניקות שירותי מעקב וניטור באמצעות מערכות שמתחברות לתווך – שרתי מחשבים של מערכות תקשורת. שתי החברות הישראליות הידועות בתחום הן Verint ו-Nice Systems; חטיבת הסייבר של האחרונה נרכשה לפני שנתיים בידי "אלביט"; כעת אפשר לומר שדמם של מי-יודע-כמה פעילי זכויות אדם ברחבי העולם על ידיה של חברת הנשק ובטחון המולדת הגדולה ביותר בישראל.

בתחקיר שפרסמתי לפני שנה וחצי על סחר הנשק הישראלי עם ברזיל, הזכרתי גם את Verint ו-Nice Systems; שתיהן מכרו ציוד מעקב – חיישנים, מצלמות, מערכות ניטור – לערים ולבתי סוהר בברזיל (על הגיהנום ששורר בבתי הסוהר בברזיל אפשר לקרוא כאן וכאן). שתי החברות ידועות כמי שנצמדות באדיקות לכלל העסקי "לכסף אין ריח", ואינן בוחלות בשום לקוח. ב-2014 פירסם ארגון Privacy International , שחוקר כיצד ממשלות וחברות היי-טק פולשות לפרטיותם של אזרחים ברחבי העולם, דו"ח על המשטרים הרודניים במרכז אסיה (טג'יקיסטן, קירגיזסטן, טורקמניסטן, אוזבקיסטן וקזחסטן). בדו"ח כיכבו "ורינט" ו"נייס סיסטמז" כמי שסיפקו ואף הקימו מרכזי ניטור במדינות הללו, ששימשו לריגול אחרי מתנגדי משטר. שנה לאחר מכן פרסם הארגון דו"ח על רדיפת מתנגדי משטר בידי ממשלת קולומביה; "ורינט" ו"נייס סיסטמז" סיפקו למשטרת קולומביה מערכות ליירוט שיחות טלפון מתעבורת הטלקומוניקציה, כל זאת "מחוץ למסגרת החוק".

לפני שנה וחצי גם פורסם שישראל סיפקה לממשלת דרום סודן ציוד האזנה ליירוט שיחות שהופעל נגד מתנגדי המשטר; בדרום סודן, נזכיר, מתרחשים פשעים נגד האנושות מזה כמה שנים, והיא נתונה לסנקציות מצד ארה"ב ואמברגו צבאי מצד האיחוד האירופי. לא תתפלאו לגלות שגם את הטכנולוגיה הזאת סיפקה חברת "ורינט".

נוסף על כך, חברת "נייס סיסטמז" נחשפה בפרשת ה-NSA כמי שסיפקה (לצד חברת "נארוס", גם היא ישראלית) טכנולוגיות לציתות בלתי מובחן ובלתי חוקי (תכנית "פריזמה") עבור זרועות המודיעין האמריקני, ולממשלת דרום-אפריקה מערכות מעקב ששימשו לציתות לפעילים בקהילה הלהט"בית, אשר נרדפת בידי השלטונות במדינה. את "נייס סיסטמז" הקימו יוצאי יחידת 8200 של צה"ל, ואת הפרקטיקה של סחיטת אנשים על רקע נטייתם המינית למדו כבר שם. הצבא זה שיעור לכל החיים.

נקנח בבעלת הברית האמיצה של ישראל במרכז אסיה – אזרבייג'אן. משטר רודני – צ'ק. רדיפות של פעילי זכויות אדם – צ'ק. שימוש בתוכנות מעקב זדוניות של "נייס סיסטמז" – צ'ק. גם רודנויות אוזבקיסטן וקזחסטן נהנות משירותי המעקב של מערכות "ורינט" ו"נייס סיסטמז". במקרה אחד לפחות, תחקיר מאומץ של ארגוני זכויות אדם העלה שפעיל זכויות אדם באוזבקיסטן, שפירסם מאמרים ביקורתיים על השלטון בעילום שם, נשפט ונכלא ל-8 שנות מאסר על סמך שיחות סקייפ שניהל עם גולה פוליטי בשוודיה. השיחות יורטו, ככל הנראה, באמצעות ציוד המעקב של החברות הישראליות. אפשר לומר שבכל רחבי מרכז אסיה, פעילי זכויות אדם נרדפים ונכלאים הודות לטכנולוגיה ישראלית. כבוד.

עולם הסייבר ההתקפי הישראלי רוחש בפעילות של עוד הרבה חברות קטנות: "אביליטי", "סירקלס", "גיטה טכנולוגיות", "טרייספאן", "סלברייט", "C4", וגם "אלתא" של התעשייה האווירית בשנים האחרונות. החברות האלה מפתחות ומוכרות תוכנות מעקב, יירוט שיחות, התחזות למשתמשי סלולר וביצוע שיחות או שליחת הודעות בשמם, איכון גיאוגרפי של מכשירי סלולר, חדירה למחשבים וכיוב'. חלק גדול מהחברות האלה משתפות פעולה זו עם זו בחוזים ממשלתיים ומחליפות כוח אדם באופן תדיר; תחקיר מצוין של "פורבס" מכנה את השוק הזה "רווי בגילוי עריות".

נכון לשנת 2016, מתוך סך כל ההשקעה הגלובלית בחברות סייבר, 15% שייכים לחברות ישראליות. זהו נתח שוק עצום, כמעט בלתי נתפס, בהתחשב בגודלה היחסי של הכלכלה הישראלית. במלים פשוטות: הסייבר הישראלי הוא לא רק בעיה מקומית. הוא בעיה גלובלית.

איפה כאן הבעיה, בעצם?

אני חושד שישראלים רבים שלא קראו ולא יקראו את הפוסט הזה, גם לו קראו עד הנקודה הזאת, לא ממש היו רואים את הבעיה בכל התמונה שנפרשה כאן. טוב, אולי הם אומרים לעצמם, אז יחסים בין מדינות זה לא מופת להתנהגות מוסרית. אינטרסים קודמים לכל. טוב, עסקאות בשוק הסייבר אינן מונחות על-ידי שיקולי מוסר. ביזנס מעל הכל. מה בעצם אתה רוצה?

קודם כל, כדאי להסיר מן השולחן את איש הקש, "אינטרסים/ביזנס מעל הכל", כי גם מי שמפריח אותו – לא באמת מאמין בו. די להתבונן במקרי קצה כדי להבין זאת. למרות אינטרסים כלכליים מפתים, אין סחר כלכלי עם צפון קוריאה או עם סוריה, ושורה של משטרי אימים נתונים לאמברגו נשק ברחבי העולם. השאלה איננה אם אינטרסים הם תמיד מעל הכל (הם לא, המציאות מוכיחה אחרת), אלא איפה עובר הגבול. לכך יש כמה תשובות. ראשית, ישנו גבול המשפט הבינלאומי, שעליו מופקדים האו"ם ומועצת הביטחון. אכן, גם ההחלטות שם אינן נקיות מהטיות פוליטיות, אבל אין בנמצא שומר נאמן יותר של העקרונות האוניברסליים המגולמים באמנות הבינלאומיות.

שנית, ישנו גבול המשפט הלאומי, בכל מדינה ומדינה, שלא בכדי מעביר כל בקשת ייצוא בטחוני דרך מסננת הפיקוח הממשלתי. בישראל, בניגוד לחוק בארה"ב ובמדינות האיחוד האירופי, חוק הפיקוח אינו מתנה מתן אישורי ייצוא בשיקולי הפרה פוטנציאלית של המשפט הבינלאומי וההומניטרי. זאת לאקונה משפטית חמורה. שלישית, ישנו גבול המוסר האנושי הפשוט, שיכול לעתים להיות חד ומהדהד גם במקרים שבהם הגבולות הפורמליים שותקים, או טרם נוסחו די צורכם. תחום הסייבר ההתקפי הוא בדיוק תחום כזה, שבו החשיבה הפוליטית והביקורת המשפטית מפגרות אחרי המציאות שאצה קדימה. במקרים כאלה אין זה ראוי לאנשים הגונים להסתתר מאחורי אדישותה של מערכת החוק; להיפך, עליהם להמריץ אותה להתקדם בכיוון הרגולציה הנכון.

NSO, Verint ו-Nice Systems פועלות כולן בחלל ערכי מטריד. העובדות הן די פשוטות. כולן מנהלות את עסקיהן בחשאי; כולן עושות את עסקיהן עם ממשלות, שמסוגלות להציב את עצמן מעל החוק, ולא עם גורמים פרטיים, שחשופים לתביעות בגין פלישה לפרטיות; ורוב-רובה של פעילותן העסקית ממוקדת במשטרים רודניים ללא כל שקיפות דמוקרטית או ביקורת פומבית. ומדוע אין שקיפות וביקורת, ואיך זה מסתייע? לא מעט הודות לאותן תוכנות מעקב זדוניות, שמוחצות את מי שמביע ביקורת ודורש שקיפות. הכל תוצרת כחול לבן, תפארת הסייבר הישראלית.

בתמונה הזאת אפשר לראות בבהירות אף אחד מקורבנות הטכנולוגיה של "ורינט".

כן, ייתכן שממשלות שונות גם מפעילות את תוכנות המעקב והריגול הישראליות למלחמה בטרור ובהברחות סמים. האם יש בכך פיצוי אמיתי? האם האתגרים שהטרור והפשיעה מציבים מחייבים שימוש בכלים שהשפעתם ההרסנית חורגת כל כך מן הייעוד המוצהר שלהם? זה מזכיר קצת את הוויכוח הקלאסי בעד ונגד עינויים ככלי חקירה לחילוץ מידע מטרוריסטים. הוויכוח הזה היה אמור להיות מוכרע מזמן, אילו התנהל באופן הגון. דו"חות ממשלתיים קבעו שוב ושוב שעינויים אינם כלי חקירה אמין ויעיל; דו"חות של ארגוני זכויות אדם בישראל חשפו שהיקף השימוש בעינויים חורג הרבה מעבר ל"פצצה המתקתקת" ופוגע במאות ואלפים של חפים מפשע. אלמלא הדמגוגיה השגורה, עינויים היו כבר מחוץ לחוק.

במה שונה סייבר התקפי? שאפילו נטל ההוכחה הבעייתי כשלעצמו, "פצצה מתקתקת", לא חל עליו. תוכנות המעקב אוספות מידע על מליוני אנשים (כך חשף אדוארד סנודן), באופן שוטף; עילת הפעלתן לא דורשת יותר מחשד גרידא. וכשהן ממוקדות, תכופות הפושע הוא מי שעוקב ולא מי שנעקב. איך אמר שלו חוליו? תפקידן "למנוע הפרעה לשלטון". ההנחה שהשלטון "יודע טוב יותר" מן האזרח מה ואיך צריך לעשות היא כמובן הנחה שהשלטון מייצר ומפיץ; היא לעולם לא עומדת במבחן דמוקרטי אמיתי. וכנגדה מעידה כאלף עדים החשאיות הגמורה שאופפת את סחר הסייבר, זהותם של הלקוחות, מטרות הריגול. כשמעגל שותפי הסוד כל כך מצומצם וכולל את הרודן, מפקד זרוע המודיעין, ועוד קומץ מהנדסים – מובטח מראש שהמערכות יירתמו לשימושים פסולים, אולי גם מחרידים. אפלולית מצמיחה רקב.

העסק הזה מסריח גם מאטימות מוסרית, גם מתאוות בצע, וגם מצביעות של כל מערך התפנוקים שסובב את הצלחת חברות הסייבר. אבל הוא בעיקר גם מסריח מהראש. הראש זה משרד הביטחון, וליתר דיוק, האגף לפיקוח על הייצוא הבטחוני (אפ"י). להלן: האגף לאי-פיקוח על ייצוא סייבר. גם כאן נגלה שזו לא טעות, זו מדיניות.

אין פיקוח, אין דאגות

הנה אפיזודה שמאירה באור יוקד את הכשל העמוק שבפיקוח הבטחוני על ייצוא הסייבר ההתקפי. זוכרים את חשיפת המעורבות של NSO באיחוד האמירויות? זמן קצר לאחר מכן נודע שבתהליך מתן רשיון הייצוא של "פגסוס" לאיחוד האמירויות, חל שינוי בתנאי הרישיון. המערכת היתה אמורה תחילה "לכלול שכלול מתקדם המאפשר פריצה והשתלטות על דוא"ל מבלי שבעל המכשיר הסלולרי ילחץ על הקישור שקיבל במייל. אך זמן קצר אחרי מתן הרשיון, שינו באפ"י את התנאים ואילצו אותם למכור תוכנה שמצריכה לחיצה על הקישור לדוא"ל."

הבנתם? קודם אישרו תוכנה זדונית-להחריד, שמופעלת ללא כל מעורבות הקורבן. מיד התעשתו – מישהו שם ודאי כיחכח ורטן "אבל מה עם האינטגריטי שלנו כעובדי ציבור?" – ואישרו תחתיה תוכנה זדונית-כמעט-להחריד, זהה לחלוטין בפולשנותה, שנבדלת מן המקור רק בהידרשות ללחיצה על קישור (ואולי אותו מכחכח הוסיף "נו, מי שלוחץ על קישור לא מזוהה יכול להאשים רק את עצמו. ידינו יהיו נקיות!").

כך נראה הפיקוח הבטחוני על ייצוא הסייבר ההתקפי בישראל.

לאור זאת, מגיעות תשואות לח"כ תמר זנדברג, היחידה בכנסת שטורחת להעלות שוב ושוב את הנושא לדיון (וזוכה להתעלמות שיטתית של כלי התקשורת העיקריים). זנדברג כותבת:

"בין מנגנוני הבקרה הקלושים אפשר למנות את חוק הפיקוח על הייצוא הבטחוני, שמסתמן ככסת"ח שנועד לרצות דרישות אמריקאיות ולא כמנגנון פיקוח אמיתי. בכלל, מאז נחקק חוק הפיקוח, במקום להגביר את האכיפה מערכת הביטחון עסוקה בסחיטת הקלות מהכנסת – דוגמה אחת היא תיקון לחוק שמאפשר פטור אוטומטי מבקשת רישיון, שוועדת החוץ והביטחון מקדמת ממש בימים אלה. אבל מנגנוני הפיקוח הכמעט לא קיימים כוללים לא רק את החוק, אלא גם שיח ציבורי דל ומושתק, כמו גם מעטה חשאיות סמיך והיעדרם הכמעט מוחלט של תחקירים עיתונאיים בסוגיית ייצוא הנשק…

המשך הייצוא הזה משול לייצוא כוונת לרובה בטענה שהיא לא זו שיורה. בעתירה שהגשתי באמצעות עו"ד איתי מק לבג"ץ בדרישה לעצור את ייצוא מערכת המעקב, נציגי מערכת הביטחון הבטיחו כנראה לשופטים שהם לוקחים בחשבון שיקולים של זכויות אדם. "כנראה", משום שהדיון היה חסוי ולא יכולנו להשתתף בו – הוא נערך במעמד צד אחד (א-פרופו שקיפות, על העתירה הוטל צו איסור פרסום אחרי שכבר פורסמה, למרות שהיא מבוססת במלואה על חומרים גלויים שפורסמו). אלא שלאור הדיווחים שזורמים מהמדינה, טענה זו אינה עומדת במבחן המציאות."

בעתירה האחרונה שהגישה זנדברג, בשיתוף עם עו"ד איתי מק, הם דורשים לבטל את רשיון הייצוא של תוכנת "פגסוס" לממשלת מקסיקו, לאור הגילויים שתוארו בתחילת הפוסט. מה הסיכויים לכך? לא בשמיים. כדי להבין למה, עלינו לצלול סוף סוף אל לב השאלה המדינית המכרעת: מה האינטרס של ישראל להפיץ בעולם רוגלות/נוזקות ושאר מרעין בישין טכנולוגיים? אינטרס כלכלי קיים, בלי ספק, אבל הוא בעיקר מיטיב עם בעלי העניין, מנהלי חברות הסייבר. מה למדינה ולזה?

קחו עזרה בדיכוי אצלכם, תנו גיבוי לדיכוי אצלנו

אני אחזור כאן על חלק מן המסקנות בתחקיר על סחר הנשק עם ברזיל, תחת הכותרת "הבומרנג המדיני: בינאום הסכסוך עם הפלסטינים". מי שהפך את הסכסוך עם הפלסטינים למכרה זהב כלכלי, מי שבנה משק שמנוע הצמיחה העיקרי שלו הן תעשיות הביטחון והסייבר, ייצוא הנשק וטכנולוגיות בטחון המולדת – היה ישראל עצמה. וכמו שכבר ראינו, סוד ההצלחה של הסיפור הזה לא נעלם מעיני העולם: לא מעיני הלקוחות ולא מעיני הקורבנות. הניסיון המבצעי שנרכש בהתמודדות ארוכת שנים עם אוכלוסיה אזרחית עוינת, בניהול קרבות באזורים אורבניים צפופים מול כוחות גרילה, באיסוף מודיעין משוכלל, באבטחת גדרות ובניטרול איומים מן האוויר – הניסיון הזה מגובש, נארז ומיוצא לחו"ל. ישראל "מייצאת את עזה" לממשלות שניצבות בפני אתגרים דומים של שליטה באוכלוסיה אזרחית מדוללת-משאבים ועוינת.

המדיניות הישראלית הזאת נשענת על כרעי תרנגולת. בכל אותן מדינות שמשתמשות בטכנולוגיות השליטה הישראליות מתהווה מתח הולך וגובר בין התמיכה הבלתי מסויגת של הממשלה בישראל – בהחלטות או"ם, בוועדות בינלאומיות, בביקורים דיפולומטיים – לבין המחאה העממית בקרב האוכלוסיה שנפגעת מן הטכנולוגיה הזאת, ובאופן טבעי מזדהה גם עם מצוקת הפלסטינים. מדיניות חוץ שמושתתת על התנכרות מוחלטת של הלקוח לקהל המצביעים שלו אינה מבשרת טובות.

כפי שמציין עו"ד איתי מק, נתניהו רק לוקח צעד קדימה מדיניות ישראלית ארוכת שנים:

"בפועל מדינת ישראל נסמכת כבר עשרות שנים על תמיכתן של מדינות לא דמוקרטיות אשר מקבלות נשק בתמורה להצבעותיהן בעדה, כגון החונטות באמריקה הלטינית ומשטר האפרטהייד בשנות השבעים והשמונים. עם סיום המלחמה הקרה והסכמי אוסלו, בראשית שנות התשעים, חודשו יחסיה הדיפלומטיים הרשמיים של ישראל עם מדינות רבות בעולם, יחסים שנותקו על רקע מלחמות 67' ו-73'. חששן של מדינות רבות להצביע בעד ישראל התפוגג, והשיטה הישראלית של מכירת נשק תמורת הצבעות בפורומים בין-לאומיים התרחבה גם לאזורים חדשים ביבשות אסיה ואפריקה."

הנה ההגיון הדיפלומטי הקר. סרבנות השלום של ישראל דוחקת אותה יותר ויותר לבידוד בינלאומי. השותפות הלכאורה-טבעיות של "הדמוקרטיה היחידה במזרח התיכון" – כלומר, הדמוקרטיות האירופאיות – אינן מתייצבות אוטומטית לצידה בפורומים בינלאומיים, בהצבעות באו"ם וכיוב'. בצר לה, ישראל חייבת להישען יותר ויותר על תמיכתן של מדינות לא דמוקרטיות. אשרינו – מאלה לא חסר. אבל ביחסים בינלאומיים, כידוע, אין מתנות חינם. איך תגמול ישראל לאותם משטרים דכאניים תמורתן תמיכתן הדיפלומטית? בוא נשאל זאת כך: מהו הצורך הקבוע, העיקרי והבוער ביותר של כל שלטון דכאני? זה די פשוט: להישאר בשלטון. למחוץ כל אופוזיציה.

כאן נכנסות תעשיות הסייבר הישראליות למשוואה: לא רק שהן קוצרות רווחי עתק מן העסקאות האלה, הן גם משרתות אינטרס חיוני של מדינת ישראל: הן אלה שמספקות את מטבע החליפין שבו נקנית תמיכת רוב העולם בהמשך משטר האפרטהייד והכיבוש בשטחים. אלמלא רשת הביטחון הבינלאומית הזאת, ישראל היתה מידרדרת עד מהרה למעמד מצורעת, כמו צפון קוריאה. רק שישראל השכילה להבטיח לעצמה בסיס תמיכה בינלאומי איתן – שנשען, למרבה הזוועה, על משטרי דיכוי רצחניים. האם בורמה, בורונדי, אזרבייג'אן ומקסיקו היו טורחות לסכל החלטות אנטי-ישראליות אלמלא נהנו מאספקה שוטפת של אמצעי לחימה ומערכות מעקב מישראל?

מתחילים להבין למה הפיקוח הבטחוני על כל הייצוא הזה רופף כל כך? למה מתעסקים שם בלחיצות על קישורים במקום בשאלות המהותיות?

כך הכריז נתניהו בכנס הסייבר הלאומי בשנה שעברה:

"אמרנו שבתחומים רבים הכל מותר אלא אם כן יש עליו איסור ספציפי. זה הכיוון שבו אנחנו הולכים בתחום הסייבר היום. אנחנו אומרים שהכל מותר אלא אם כן יש עליו איסור ספציפי… היעד שלי הוא להמשיך להצמיח את תעשיית הסייבר ברמה הלאומית והבינלאומית באותו קצב שבו התקדמנו בעבר."

את הפֶטיש הטכנולוגי ירש נתניהו משמעון פרס, אותו פוליטיקאי שמילים כמו "סייבר", "ננו-טכנולוגיה" ו"סטארטפ ניישן" היו מעבירות רעד בבשרו ושולחות ברק בעיניו. כמו פרס, גם נתניהו מסונוור כליל מן השילוב של גניוס יהודי, יוקרה בינלאומית ובוחטות של כסף. ושניהם מעולם לא אמרו לציבור שלהם מילה כנה אחת על המניעים המדיניים הנסתרים לעודד את ענף הייצוא הזה (ובהערת אגב: חרף הרטוריקה, לא "השוק החופשי" איפשר את שגשוגו של הסייבר הישראלי, אלא התערבות ממשלתית מסיבית לטובת המגזר, בארץ ובחו"ל, כולל התגייסות של משרד החינוך להכשיר כוח אדם לצבא ובהמשך לשוק הפרטי, החל מכיתה י', נושא שראוי לתחקיר כלכלי בפני עצמו).

את הקשר הגורדי הזה חייבים מתנגדי המשטר בישראל להבין, ובהמשך לפרק. הכיבוש ותעשיות הנשק שלובים זה בזה לבלי הפרד; המאבק נגד שניהם הוא מאבק אחד. פעילי שמאל שמקדישים את כל מרצם להגנה על זכויותיהם הנרמסות של פלסטינים צריכים להבין שהכיבוש איננו סתם עווית משיחית שלקחה בשבי "ישראל השפויה". הכיבוש הוא תוצר וגם מחולל של נדבך מרכזי בכלכלה של "ישראל השפויה". וחטיבת הסייבר של "אלביט" היא מחסום בפני שוויון וצדק לכלל האנשים בין הים לירדן לא פחות מן הבולדוזרים של המנהל האזרחי. אין טעם לבזבז אנרגיות של כעס על המגזר הפרטי. אחרי שהבנו שאת NSO מנהלים חלאות מוסריות, מה נעשה עם ההבנה הזאת? אין בה שום עוקץ פוליטי. את הזרקור יש להפנות את מערכות השלטון שמאפשרות ומעודדות את השגשוג החולני הזה, ואף פורצות עבורו שווקים חדשים כל הזמן. צריך לדבר עליהן, מה הן מרוויחות מכל זה – ומה אנחנו מפסידים.

החודש נודע שרשות הסייבר הישראלית מגבשת תכנית הגנה מפני התערבות זרה בבחירות בישראל. הנה הצעה דמיונית: שישראל תפסיק לספק כלי סייבר להתערבות אלימה בפוליטיקה של מדינות זרות. סייג עקרוני שכזה על מדיניות החוץ, שיצמצם משמעותית את רשימת הקורבנות של תעשיית הסייבר הישראלית ברחבי העולם, עשוי להוריד פלאים את המוטיבציה להיפרע מאיתנו. סתם מחשבה.