ב 2018 חברת NSO הייתה במו”מ עם בני גנץ לרכישת חברת המימד החמישי שמפתחת מערכות בינה מלכותית לעיבוד נתונים בתחום המודיעין. הסיבה שהמו”מ כשל היה שממשלת ארה”ב החליטה להטיל הגבלות על עסקאות עם האוליגרך ויקטור וקסלברג, אחת המשקיעים הגדולים של המימד החמישי. לכן, חברת NSO שבעלי השליטה בה הם פרנסיסקו פרטנרס האמריקאים, ביטלו את העסקה.
באוקטובר 2019 הגישה ווצאפ (פייסבוק, מטה) תביעה נגד NSO, היוצרים של פגסוס, בקליפורניה. במקביל גם אפל (יצרני אייפון) הגישו תביעה לצו מניעה נגד הדבקת טלפונים בפגסוס, ועוד תביעה הוגשה ע”י קורבנות פגסוס מאל סלבדור.
הצוות הבינלאומי של משרד המשפטים הישראלי ללוחמה בטרור בראשות מרלין מזל נכנס לפעולה. החשש הגדול של מרלין הוא שהתביעה תגיע לשלבי גילוי מסמכים ואז יתגלו כל מיני דברים מביכים בקשר שבין ממשלת ישראל ו NSO. כך עולה משיחותיה עם עורכי הדין ששכרה, ארנולד ופורטר.
עוד עולה שמרלין מזל ביקשה מארנולד ופורטר להציע כסף לחברת מטה (ווצאפ ופייסבוק), שישולם ע”י ממשלת ישראל, אבל היועמשית של מטה סירבה והתעקשה על פס”ד עקרוני.
מרלין מזל הציעה ל NSO לטעון לחסינות כסוכנת של מדינת ישראל
מרלין מזל מיד שכרה את שירותי משרד ארנולד ופורטר (שאותם היא מעסיקה כבר מעל 10 שנים בהגנה מפני תביעות של אבות גרושים וכבר שילמה להם $1,500,000). מרלין ביקשה מעוה”ד ג’ונתן בלינג’ר וריביס אנדרסון לייעץ למשרד המשפטים איזה השלכות יש למדינת ישראל, איך אפשר לעזור ל NSO ולמנוע ביצוע של המצאה כדין דרך אמנת האג על הנהלת בתי המשפט.
כמו כן מרלין ביקשה מעוה”ד של ארנולד ופורטר לראות אם אפשר להציע כסף לסתום לווצאפ את הפה, והאם הוא יכול לתת לה חוות דעת מה יקרה אם NSO – פגסוס תטען שהם סוכנים של מדינת ישראל הזכאים לחסינות מדינתית מפני תביעות. מארנולד ופורטר אמרו לה שזה יהיה BOMBSHELL אם מדינת ישראל תודה בפומבי שפגסוס היא סוכנת של מדינת ישראל. הם יעצו לה לשמור על פרופיל נמוך.
מרלין מזל ביקשה מהם שיבדקו אם אפשר לפנות למשרד המשפטים האמריקאי כדי שיתערבו מאחורי הקלעים וידאגו לגרום לכך שהתביעה תיסגר.
מרלין מזל התחילה את הקריירה כתובעת עירונית בעיריית ניו יורק, אחרי שסיימה משפטים ב NYU. היגרה לישראל והפכה דיירקטורית של אגף הלחימה בטרור והגנה על ביטחון המדינה בערכאות זרות של משרד המשפטים.
טענת החסינות של NSO כסוכנת של מדינת ישראל נדחתה 3 פעמים. גם בבית המשפט הפדרלי, גם בבית משפט לערעורים ופדרלי וגם בבית משפט עליון בוושינגטון, 9/1/2023. כעת השופט שאליו חזר התיק הורה ל NSO למסור לווצאפ את הקוד לתכנת הפגסוס.
למה במשרד המשפטים מפחדים מהתביעה של ווצאפ נגד NSO בקליפורניה?
כי על פי החוק בקליפורניה מוטלת על NSO חובה לשמור את כל התכתובות הרלבנטיות לתביעה לצורך גילוי מסמכים עתידי. התכתובות עם משרד הביטחון ומשרד המשפטים עלולים לחשוף את ישראל לפדיחות שתוצאותיהן אי אפשר לשער.
במהלך התביעה שלחו עוה”ד של NSO הודעה ל NSO שהם חייבים לשמר את כל התכתובות. ראו “ממו” מתאריך 5/11/2020. NSO שלחה את הממו למשרד המשפטים הישראלי.
שימו לב למה שעוה”ד של NSO כותבים ל NSO בעמ’ 4:
הם כותבים שידוע להם שמדינת ישראל תפסה חומרים של NSO ושבימ”ש ישראלי הוציא על זה צא”פ, אבל זה לא יוכל לשמש הגנה מפני בקשה לביזיון אם NSO לא תמסור את החומרים לווצאפ בעתיד, כי עותקים משארו אצל NSO, ו NSO צריכה לנקוט צעדים מקדימים ולבקש מהשופט הישראלי להעתיק את כל החומר שנתפס שקשור לתביעה בארה”ב.
We understand that NSO’s ESI has been legally seized by the Government of Israel, although much of the information remains in NSO’s physical possession. We further understand that the Government of Israel interprets the Seizure Order—which states that NSO must not change, delete, or transfer ESI to any external person or entity other than the Government of Israel—to prohibit duplication or imaging necessary for ESI preservation. And we assume that violation of the Seizure Order would carry severe penalties.
If the Seizure Order is understood to prohibit NSO from making copies of its ESI (either because the order expressly prohibits NSO from making copies or because the ESI is legally not in NSO’s possession or control), we recommend NSO ask the Government of Israel to approach the Magistrate Court jointly and request that it amend the Seizure Order to permit NSO to: (1) interview custodians and identify relevant ESI;
(2) copy relevant systems and information in NSO’s possession for the purpose of complying with U.S. discovery preservation obligations; and (3) immediately turn over ESI copies to the Government of Israel.
Memo King & Spalding to NSO re Duty of Preservation Obligations of All correspondence with State of Israel 5-11-2020
ראו מכתב של עמית אשכנזי מ”הסייבר הלאומי” לעו”ד רועי שיינדורף 30/12/2019
עמית אשכנזי מוטרד מכך שהפסד של NSO יקלקל את המוניטין של מדינת ישראל. את המכתב שלח לפרקליט רועי שינדורף עם עותקים ליגאל אונא, ראש מערך הסייבר הלאומי, יעל גורן חזקיה יועצת בכירה לראש מערך הסייבר הלאומי, ורעות ימין מהלשכה המשפטית של מערך הסייבר הלאומי.
סייבר ישראל הלשכה המשפטית
ב’ בטבת, התש”פ, 30 בדצמבר, 2019
לכבוד
ד”ר רועי שיינדורף, משנה ליועץ המשפטי לממשלה
מר סדריק (יהודה) צבע, מחלקת ייעוץ וחקיקה (בינלאומי)
שלום רב,
הנדון: מערך הסייבר הלאומי – תביעת פייסבוק נגד NSO
בהמשך לדיון שהתקיים בלשכתך ביום 23.12.19, ולבקשתך אנו מציינים את העניין של מערך הסייבר הלאומי.
- בתמצית, מערך הסייבר הלאומי נדרש לשילוב בגיבוש העמדה הלאומית בהיבטים הבאים: היבטים משפטיים ומקצועיים הקשורים בפעילות טכנולוגית במרחב הסייבר, השפעת הדיון על המוניטין של תעשיית הסייבר הישראלית והפיקוח הישראלי עליה, וכפועל יוצא משני אלה, התדמית והיציבה הישראלית בסייבר.
- נציג היבטים אלה בקצרה להלן.
היבטים מקצועיים הקשורים בפעילות טכנולוגית במרחב הסייבר
- הפעילות המפורטת בכתב התביעה מתארת מעשים המהווים פעולות אסורות לכאורה לפי דיני המחשבים, הדינים האוסרים על פגיעה במחשב או במידע השמור בו, וזאת לצד טענות בדבר הפרות הוראות “תנאי שימוש” מסוגים שונים. טענות אלה עוסקות בפגיעה בהגנת הסייבר של מוצרים ושירותים במרחב הסייבר.
- בעידן שבו מערכות מחשב מחוברות אחת לשנייה, ולנוכח הקישוריות הרבה במרחב הסייבר, עולות תדיר שאלות של גבולות המותר והאסור בביצוע פעולות הקשורות בחדירה אסורה לחומר מחשב.
- בהקשר זה מערך הסייבר היה מעורב בהמלצות להנחיית פרקליט המדינה 2.38 בנושא “מדיניות העמדה לדין וענישה בעבירה של חדירה לחומר מחשב”, פסקה 15(א).[1]
- בנוסף, כידוע מתנהל בשנים האחרונות שיח מורכב אודות המתח שבין התועלת להגנת פרטיות והגנת הסייבר שבפריסה רחבה של הצפנה חזקה במוצרים ושירותים טכנולוגים, לבין הסיכון לפעילות המודיעין והאכיפה הממשלתית. משרד המשפטים האמריקני טוען שעקב פריסת הצפנה חזקה רשויות המודיעין והאכיפה אינן יכולות לבצע את תפקידן ולמנוע אירועי ביטחון או פשיעה חמורים.
- במובן זה למערך הסייבר עניין בהשתתפות בשיח מורכב זה, על היבטיו השונים, ועל הקשריו השונים.
השפעת הדיון על המוניטין של תעשיית הסייבר הישראלית והפיקוח הישראלי עליה
- ככל שיש סיכון שייקבע כי הפעילות המפורטת בכתב התביעה אינה חוקית, לקביעה זו לגבי חברה ישראלית גדולה מאוד, עלולה להיות השפעה על הדימוי של תעשיית הסייבר הישראלית.
- בנוסף, התביעה מעוררת שאלות לגבי היקפו וטיבו של הפיקוח מראש שמבוצע לגבי מוצרי ושירותי החברה הנתבעת בישראל.
- בפרט עולה השאלה האם המעשים המתוארים בכתב התביעה היו ידועים לרשויות הפיקוח, האם יש בהם הפרה של הוראות הפיקוח, ומה עמדת הגורמים המוסמכים בנושא הפיקוח על הייצוא בנושא.
- לכל אלה השפעה על תעשיית הסייבר הישראלית, אשר מערך הסייבר הלאומי מופקד בין היתר על קידומה בהתאם להחלטות הממשלה בנושא הסייבר.
חשש ליצירת זיקה בין הדיון הנוכחי לבין עמדות לכאורה של ישראל בתחום כללי התנהגות בסייבר
- מעורבות ישראלית ממשלתית בתיק זה, משיקולים שונים, מעלה חשש ליצירת זיקה, ולו תדמיתית, בין עמדותיה של הממשלה והאינטרסים שהיא מקדמת לבין פעילות החברה.
- בהקשר זה נזכיר את הפרופיל הגבוה שבו מנהלת חברת פייסבוק את התביעה, באופן הכולל מאמר דעה בעיתונות המובילה בארה”ב.[2]
סיכום
- על רקע האמור אנו מבקשים להשתתף בדיונים על מנת לבטא זוויות אלה במסגרת הליך קבלת ההחלטות, תוך איזון בין האינטרסים השונים העולים לבין היבטים אלה.
בכבוד רב,
עמית אשכנזי, היועץ המשפטי, מערך הסייבר הלאומי
העתק: מר יגאל אונא, ראש מערך הסייבר הלאומי
גב’ יעל גורן חזקיה, יועצת בכירה לראש מערך הסייבר הלאומי
גב’ רעות ימין, הלשכה המשפטית, מערך הסייבר הלאומי
[1] פרקליט המדינה, הנחייה 2.38 בנושא “מדיניות עמדה לדין וענישה בעבירה של חדירה לחומר מחשב”, https://www.justice.gov.il/Units/StateAttorney/Guidelines/02.38.pdf
[2] Will Cathcart , Why WhatsApp is pushing back on NSO Group hacking, [Will Cathcart is head of WhatsApp, which is owned by Facebook.], Washington Post, 29.10.19, https://www.washingtonpost.com/opinions/2019/10/29/why-whatsapp-is-pushing-back-nso-group-hacking/
ראו מכתב ששלח משרד “קלירי גוטליב” מוושינגטון עם חוות דעת ראשונית על השפעות התביעה על מדינת ישראל 26/12/2019
משרד קלירי גוטליב כתב למרלין מזל שאם NSO תטען שהיא סוכנת של מדינת ישראל ולכן מגיע לה חסינות כמו שיש למדינה ריבונית זרה זה יהיה BOMBSHELL ויפתח פתח לתביעות.
כמו כן הם הזהירו את מרלין מזל מפני דחיית קבלת מסמכים לביצוע מסירה לפי אמנת האג סע’ 13 (סעיף שמאפשר למדינה להתנגד ולא לבצע מסירה בטענה של פגיעה בריבונות ישראל). לדבריהם מותר להתנגד לפי סע’ 13, אבל שופטים אמריקאים לא אוהבים את ההתחכמות הזו, והם יגיבו באישור למשלוח בדואר אלקטרוני.
מרלין לא אהבה את התשובות האלה, ורצתה מישהו יותר זורם, ולכן פנתה אל הצמד חמד ממשרד ארנולד אנד פורטר שמוכנים לזרום איתה, ג’ון בלינג’ר וריביס אנדרסון.
Opinion of Cleary Gottlieb to State of Israel re NSO Hague and Sovereignty service 26-12-2019
ראו מכתב של מרלין מזל לעוה”ד האמריקאים המפרט את חששותיה
את הטיוטה ניסחה עו”ד ורד שפילמן ובגלל זה יש הרבה שגיאות באנגלית ב PDF
Dear Matthew and Alexis,
Further to our conversation, we are interested in obtaining legal advice with regard to the case Whatsapp v. NSO Group Technologies Ltd, Case No. 19-cv-07123-JSC. A copy of the complaint and of the docket sheet is attached. Our understanding is that the complaint was served on NSO three weeks ago through DHL and yesterday through the Israeli Central Authority (Directorate of Courts), although we have not yet received copies.
The Israeli Central Authority transmitted the complaint to an agent who served NSO pursuant to article 5(1)(b) of the 1965 Hague Service Convention. However, we do not know whether a confirmation of service has been sent to the plaintiffs.
We are specifically concerned that sensitive or confidential information that is held by NSO that relates to the State of Israel would be revealed in discovery proceedings. Therefore, we would appreciate your opinion on the following initial questions that we have identified:
Service
- Is it your understanding that the complaint has been properly served under US law?
- Would there still be any effect for the State of Israel to lodge an Article 13 objection under the 1965 Hague Service Convention, and if so, what is the time frame for lodging such a request? What would be the advantages and disadvantages of doing so?
- If Israel raises an objection, to what extent can the plaintiffs bypass such an objection by serving NSO through other means? Is there a deadline for the submission of an objection in order for it to be effective?
Procedure
- Can you explain the procedure of the case in terms of deadlines and next steps? According to what we understand from the docket, the next step is a submission on case management (including ADR) on 23 January, to be followed by a hearing on 30 January.
- When do you expect that the issue of discovery will first arise?
Strategic steps
- Please provide your initial analysis of the case, the plaintiffs’ motives and interests in the litigation, and the potential alternative paths for the parties to reach a settlement or of the defendants to dismiss the case.
- Please explain all the possibilities available to the US Government to intervene in these proceedings in order to dismiss the case or stop the proceedings before the discovery phase, including arguments that the case pertains to state secrets, defense, foreign relations of the US or of other foreign states.
- In this regard, please also describe the legal tools and/or strategies available to the US Government under US law to (a) protect information that is classified under US law, (b) otherwise protect US Government interests, or (c) in order to have the case dismissed?
- Please also clarify the likelihood that the court would grant the motion to dismiss based on an Amicus Brief submitted by the US Government asking to dismiss the case.
- Would it be possible for a foreign state to intervene in reliance on any of the strategies described above? What would be the potential likelihood of such intervention to succeed in dismissing the case ?
Discovery
- When do you expect that the issue of discovery would first come up? As a procedural matter, could discovery be ordered with respect to any preliminary motions?
- What are the legal tools and/or strategies available to the State of Israel to protect information that is classified under Israeli law, and/or the release of which would harm Israel’s national security? What is the timing as to filing of any related motions?
- To what extent would it be possible for NSO to object to the disclosure of information or documents on the grounds that such disclosure is prohibited under Israeli law or prohibited by an Israeli court order?
Is there prior precedent in which US courts have protected and/or compelled discovery of classified information of foreign states? If so, please provide a summary of these cases.
Motion to dismiss and other tools
- Does NSO have grounds for lodging a motion to dismiss? If yes, what would be the legal arguments they could raise and what is your assessment as to the likelihood that the federal district court would dismiss the case?
- Is there any other way to end the case, including, for example, using ADR? (We noticed this was referenced in the docket – is this a mandatory process either under the rules of the California Northern District or otherwise (e.g., under the Whatsapp user terms)?)
- What is the likelihood of a successful derivative immunity argument? If NSO wishes to raise this, would there need to be a statement by the relevant state(s) supporting this claim or could NSO raise this claim without referring to any supporting statement by a state? What are the advantages and disadvantages for Israel if NSO were to raise such an argument?
We would appreciate if you could get back to us with a capped fee and an estimate as to how much time you expect the research to take. We are aware that this case is coming in in the midst of the holiday season and that the deadlines are extremely tight, but it is important for us to receive your advice as soon as possible. Bearing in mind the current circumstances, please let us know how soon you can respond to us.
We would also appreciate if you could please track the docket and let us know of any developments.
טיוטה של מרלין מזל תביעת ווצאפ נגד פגסוס NSO מדינת ישראל חוששת מגילוי מסמכים 24-9-2019ראו הסכם ייצוג משפטי בין ARNOLD & PORTER למדינת ישראל נשלח למרלין מזל 4/2/2020
Retainer Arnold & Porter by State of Israel to represent in Whatsapp v NSO to Marlene Mazel 4-2-2020
ראו מכתב של ג’ון בלינג’ר למרלין מזל תיאום גרסאות עם NSO והעברת התביעה לישראל…… 2/4/2020
במכתב זה ג’ון בלינג’ר מודיע למרלין מזל שהם מתאמים גרסאות עם NSO בבקשת NSO למחיקה על הסף (MTD). הוא מספר לה שאחת הטענות היא שבתי המשפט בישראל נאותים ומתאימים לדון בתביעה של ווצאפ. לדבריו יש שורה של פסיקות בהן הצליח לטעון שמקום השיפוט צריך להיות ישראל.
ממש בדיחה. ששופטים ישראלים ידונו בתביעה של ווצאפ על חדירה דרך האפליקציה והדבקתה בפגסוס. הרי מייד ייצא צא”פ בישראל עם תעודת חיסיון והתיק ייקבר. חחח. אף שופט בשלושת הערכאות לא בלע את הפיתיון.
LTR of John Bellinger to Marlene Mazel in Whatsapp v NSO coordinating Versions with NSO 2-4-2020
מייל של ריביס אנדרסון למרלין מזל שעוה”ד של NSO לא מדייקים ומגזימים 2/4/2020
2/4/2020. מייל זה מתחיל בהעברה של טיוטה של הבקשה של NSO למחיקה על הסף מטעם באי כוחם King & Spalding.
ריביס אנדרסון מעביר את הטיוטה למרלין מזל ומסביר לה שעוה”ד של NSO מגזימים בתיאור הפיקוח של משרד הביטחון הישראלי על NSO, כשבפועל אין שום פיקוח כזה. כלומר NSO שיקרה לבית המשפט.
Reeves Anderson Email to Marlene Mazel that NSO Lawyers King & Spalding are embellishing 2-4-2020
התייעצות בין מרלין מזל וריביס אנדרסון על החשש שיתגלה כי NSO מחזיקה שרת בארה”ב 29/9/2020
התובעת ווצאפ ביקשה צו המורה לכל בעלי ענין לשמר ראיות הקשורות לכל פעילות של NSO על גבי שרתים אמריקאים, ומרלין מזל מאוד מודאגת שיתגלה כי NSO עברה על החוק האמריקאי. ריביס אנדרסון עונה לה שאם מדינת ישראל לא תשמור את הראיות האלה, השופטת עולה להתעצבן ולראות בכך חבלה בהליכי משפט.
Reeves Anderson telling Marlene Mazel that if NSO servers are in US and not disclosed 29-9-2020
ראו מייל של אבישי דון ממשרד ארנולד ופורטר למרלין על עיכוב גילוי מסמכים 30/9/2020
מייל מצחיק שבו משרד ארנולד אנד פורטר מתלהב מהעובדה שהשופט שפסק נגד NSO שלא מגיע לה חסינות, במקביל עיכוב את תהליכי גילוי המסמכים עד הערעור. לא היה מה להתלהב. מדובר בהחלטה סטנדרטית.
30-9-2020 Avishai Don at Arnold & Porter Mail to Marlene Mazel RE NSO appeal
מייל של ג’ון בלינג’ר מארנולד אנד פורטר למרלין מזל אחרי שיחה עם עוה”ד של NSO 1/10/2020: לשלם לווצאפ פיצוי ולסגור ענין.
בלינג’ר מספר שעוה”ד של NSO סבורים שהמכתב שמדינת ישראל שלחה מאוד עזר להם והשפיע על השופטת לעצור את גילוי המסמכים עד להחלטה בערעור.
עוה”ד של NSO גם חושבים שמדינת ישראל צריכה לפנות לתובעת מטה/ווצאפ ולהציע לה כסף. התובעת היא חברת מטה (ווצאפ/פייסבוק) והיועמשית של מטה היתה ג’ניפר ניוסטד. מדינת ישראל פנתה אליה 9 חודשים קודם לכן והיא סירבה לקחת כסף כפיצוי. היא רצתה הלטה עקרונית.
הם חושבים שעכשיו כשהעמידו הגנה כל כך טובה, ג’ניפר ניוסטד תכעס על עורכי הדין שהיא לקחה, על כך שגררו אותה לתביעת סרק, היא תבין ש NSO ומדינת ישראל יגררו אותה במשך שנים במשפטים, ולכן אולי כן תסכים לקחת כסף ולסגור ענין.
John Bellinger email to Marlene Mazel spoke to NSO lawyers King & Spalding 1-10-2020
ראו פירוט השתלשלות התביעה ב 2019-2020
החלק הנוגע לרקע עובדתי – ביחס להליך המשפטי המתנהל בארה”ב
א. פרטי התביעה:
- בתאריך 29 לאוקטובר 2019 הוגשה תביעה נזיקית על-ידי החברות Whatsapp ו- Facebook (להלן: “התובעות”) כנגד החברה הישראלית NSO Group Technologies Limited, וכן כנגד חברת Q Cyber Technologies Limited. (בעלת מניות הרוב בחברת NSO) (להלן: “הנתבעות”). התביעה הוגשה בבית המשפט הפדראלי במחוז הצפוני של קליפורניה (תיק מספר 4:19-cv-07123- Northern District of California – להלן: “בית המשפט בקליפורניה”).
- בכתב התביעה (המצורף לבקשה זו ומסומן “נספח א'”) נטען, בין היתר, כי הנתבעות יצרו, הפיצו והפעילו תוכנת ריגול כדי ליירט ולהפיק מידע מטלפונים סלולריים או מכשירים אחרים. נטען, כי מוצרי החברה כוללים את תוכנת “פגסוס” – תוכנת ריגול מסוג “סוס טרויאני”. נטען, כי תוכנות אלו, לרבות “פגסוס”, נועדו להתקין מרחוק ולאפשר גישה מרחוק לשליטה על מידע, לרבות שיחות, הודעות ומיקום – במכשירים ניידים המשתמשים במערכות ההפעלה של Android, iOS וBlackBerry. כתב התביעה מציין, כי הנתבעות ניצלו חולשות במערכות ההפעלה ואפליקציות והשתמשו בשיטות בעייתיות נוספות כדי לאפשר את הגישה הנ”ל.
- נטען, כי בהתאם לפרסומים בתקשורת ולמסמכי NSO, ניתן להתקין את “פגסוס” על טלפון, מבלי שהמשתמש בטלפון ינקוט בכל פעולה שהיא, כגון הקלקה על קישור או הודעה מסויימת. עוד נטען, שהנתבעות השתמשו ברשת מחשבים כדי לעקוב ולעדכן את הגירסה של “פגסוס” שהותקנה על גבי מכשיריהם של “הקורבנות” (כפי שכונו על-ידי התובעות בכתב התביעה). נטען, כי באמצעות רשת זו הנתבעות סיפקו שירותי תמיכה ושלטו על התפעול של לקוחותיהם ב”פגסוס “. עוד נטען, כי הנתבעות מספקות תמיכה טכנית ללקוחותיה המשתמשים ב”פגסוס “.
- נטען בכתב התביעה, כי בין ינואר 2018 ומאי 2019, הנתבעות יצרו, וגרמו ליצירת, חשבונות ווטסאפ ופייסבוק שונים והסכימו לתנאיי השירות של ווטסאפ. לפי הנטען, הנתבעות השתמשו או גרמו להשתמש בחשבונות אלה לשלוח תוכנה זדונית למכשירי יעד במדינות שונות, כולל קפריסין, ישראל, ברזיל, אינדונזיה, שוודיה והולנד, במהלך אפריל ומאי 2019 . נטען כי הנתבעות השתמשו בשרתים במדינות שונות, כולל בארצות הברית, על מנת להתחבר אל מכשירי היעד.
- נטען, כי הנתבעות ביצעו reverse engineering”” לאפליקציה של וואטסאפ ופיתחו תוכנה שאפשרה להן לחקות פעילות לגיטימית של וואטסאפ על מנת להפיץ תוכנה זדונית למכשירי יעד.
- נטען, כי בין התאריכים 29.4.2019 ועד ה- 10.5.2019 השתמשו הנתבעות בשרתי וואטסאפ, כדי להפיץ תוכנת ריגול לכ-1400 מכשירים ניידים לצורך ביצוע מעקב אחר משתמשי וואטסאפ מסוימים, לרבות עורכי-דין, עיתונאים, פעילי זכויות אדם, מתנגדים פוליטיים, דיפלומטיים ובכירי ממשל זרים אחרים. נטען, כי היעדים היו משתמשי וואטסאפ ממדינות שונות, לרבות בחריין, איחוד האמירויות ומקסיקו.
- סמכות שיפוט: בכתב התביעה נטען כי לבית המשפט הפדרלי של מחוז צפון קליפורניה סמכות לדון בתביעה, הן בשל עילות התביעה המבוססות על חקיקה פדרלית, הן נוכח ה התקיימות של diversity (כאשר לא כל הנתבעים הם מאותה מדינה בארה”ב),והן בשל התקיימותה של סמכות פרסונלית ביחס לנתבעות. הנימוקים לקניית סמכותו של בית המשפט מתייחסים, בין היתר, לסכום התביעה העולה על 75 אלף דולר כמו גם להסכמתן של הנתבעות לתנאי השירות של וואטסאפ, אשר כוללים תניית שיפוט מכוחה יכול בית המשפט דנן לקנות סמכות. כמו כן צוין כי הנזק לתובעות נגרם בקליפורניה ולכן ביהמ”ש מהווה את הפורום הנאות.
- עילות התביעה: התובעות טוענות לארבע טענות עיקריות, ביחס לעילות התביעה:
הפרת חוק המחשבים הפדרלי – התובעות טוענות כי הנתבעות הפרו את חוק המחשבים הפדרלי (California Computer Fraud and Abuse Act, 18 U.S.C. § 1030) בכך שבפעמים שונות בין ה-29 לאפריל 2019 ועד ה-10 למאי 2019, הנתבעות ניגשו, השתמשו או הביאו לשימוש בשרתי האיתות והממסר (signaling servers and relay servers) של התובעות ללא הרשאה, במטרה לפרוץ כ-1400 מכשירים. על-פי הנטען, הנתבעות ביצעו הונאה לצורך השגת מידע מהמכשירים הפרוצים, ב”מחשבים” ו”מחשבים מוגנים” כהגדרתם בחוק.
התובעות טוענות כי הונאה זו כללה הסכמה כוזבת לתנאי השימוש של וואטסאפ, שליחת פקודות לא מורשות למחשבי התובעות והסוואת הפקודות כתנועות רשת לגיטימיות, על מנת לקבל גישה למכשירי ללא ידיעתם או הסכמתם של המשתמשים.
כתב התביעה מפרט כי פעולות אלו גרמו הפסד לתובעות, אשר כולל גם את המשאבים שנדרשו לשם החקירה ותיקון ההונאה. לפיכך, מבוקש פיצוי בגין הפסדים ונזקים אלה.
הפרת ה- California Comprehensive Computer Data Access and Fraud Act– התובעות טוענות כי הנתבעות הפרו חוק זה, המהווה חלק מחוק העונשין של מדינת קליפורניהCalifornia Penal Code § 502) ), בכך שניגשו ביודעין וללא הרשאה למערכות ורשתות המחשבים של התובעות על מנת לתכנן ולהוציא לפועל הונאה ותחבולה וכן לקבל כסף, רכוש ונתונים שלא כדין. נטען, כי הנתבעות ביודעין וללא הרשאה ובניגוד לדין ערכו שימשו בשרתים, מערכות ורשתות מחשבים, לרבות כאלה המצויים בקליפורניה. כמו כן, הן ערכו שימוש כאמור גם במערכות המחשב ורשתות המחשבים של התובעות.
לפי כתב התביעה, פעולות הנתבעות גרמו לתובעות להפסדים ונזקים, ובהם השימוש במשאבים לשם חקירה ותיקון הפגיעה במערכות, פגיעה בשמן הטוב של התובעות וכן בטיב היחסים ביניהן לבין המשתמשים שלהן ומשתמשים פוטנציאליים, בסכום שיוכח במשפט. כתב התביעה מפרט כי בהתאם לחוק העונשין של קליפורניה, התובעים זכאים הן לפיצויים נזיקיים, שכר טרחת עורכי דין וסעד של צו מניעה, והן לפיצויים עונשיים.
הפרת חוזה – לפי כתב התביעה, כאשר הנתבעות ערכו שימוש בשירותי וואטסאפ, הנתבעות הסכימו לתנאיי השימוש של וואטס אפ ומחוייבות להן. צוין, כי התובעות ביצעו מצידן את חובותיהן הנדרשות לפי תנאיי השימוש. נטען כי הנתבעות הפרו את תנאי השימוש של וואטסאפ, ובכך פגעו בוואטסאפ, וממשיכות לפגוע בה. עוד צוין, כי כאשר הנתבעות הסכימו והתחייבו לפעול לפי תנאי וואטסאפ, גם הן וגם התובעות ידעו, או יכלו לחזות באופן סביר, כי ייגרם נזק כזה לתובעות כתוצאה מהפרת תנאיי השימוש על-ידי הנתבעות. כתב התביעה מפרט כי פעולות אלו גרמו הפסד לתובעות, אשר כולל פגיעה בשמן הטוב של התובעות וכן בטיב היחסים ביניהן לבין המשתמשים שלהן ומשתמשים פוטנציאליים וגם את המשאבים שנדרשו לשם החקירה ותיקון של מעשיהן של הנתבעות. לפיכך, מבוקש פיצוי בגין הפסדים ונזקים אלו.
הסגת גבול במיטלטלין (trespass) – עוד צוין בכתב התביעה כי הנתבעות הפריעו לזכות החזקה של התובעות במערכות המחשבים הנדונות, בין היתר באמצעות כניסה ושימוש, בשרתי התובעות בכדי להעביר קוד זדוני לצורך פגיעה שלא כדין במכשירים של משתמשים, וכל זאת ללא הרשאה מצד התובעות והמשתמשים. כתב התביעה מפרט כי פעולות אלו גרמו הפסד לתובעות, אשר כולל פגיעה בשמן הטוב של התובעות וכן בטיב היחסים ביניהן לבין המשתמשים שלהן ומשתמשים פוטנציאליים וגם את המשאבים שנדרשו לשם החקירה ותיקון של מעשיהן של הנתבעות. לפיכך, מבוקש פיצוי בגין הפסדים ונזקים אלו.
- הסעדים המבוקשים בכתב התביעה הם, בעיקרם, כדלהלן:
פסק דין שייקבע כי הנתבעות הפרו את החוק הפדרלי, החוק של מדינת קליפורניה ואת תנאיי החוזה עם וואטסאפ, וכן כי הנתבעות הסיגו גבול ברכושן של התובעות;
צו מניעה קבוע לפיו לא יהיו רשאיות הנתבעות, והפועלים מטעמן כגון עובדיהן, סוכנים שלהם וכיוצב’ וכן כל מי שפועל עמם – להירשם, להיכנס או להשתמש בשירותי התובעות ולקחת חלק בכל פעילות שיש בה כדי לשבש את פעילותן או להפר את תנאי השימוש שלהן; לקחת חלק בכל פעילות או לאפשר פעילות שיש בה כדי להפר את תנאיי השימוש של וואטסאפ או פייסבוק;
פיצויים לתובעות לרבות פיצויי השבה, פיצויים סטטוטוריים ופיצויים עונשיים, בסכומים אשר יוכחו במשפט (סכום הפיצויים המבוקש לא צוין).
החזר הוצאותיהן של התובעות, ובכלל כך שכר טרחת עורכי דינן.
- ב. פרטים כלליים אודות הליך הליטיגציה בבית המשפט בקליפורניה עד כה:
- הליך הליטיגציה שנוהל עד כה בבית המשפט בקליפורניה, מתמקד בעיקרו בטענות מקדמיות, בקשה להתליית גילוי ראיות ובקשות שונות שהוגשו על-ידי הצדדים, כגון בקשה לפסילת עורכי הדין של הנתבעות, בקשה להשתת סנקציות על התובעות ועוד.
נכון למועד כתיבת בקשה זו, בית המשפט בקליפורניה טרם הכריע בשתי בקשות עיקריות התלויות ועומדות בפניו: בקשה לדחייה על הסף אשר הוגשה על-ידי הנתבעות ביום 2.4.2020 ובקשה להתליית הליך גילוי הראיות עד לאחר החלטה סופית בדחייה על הסף, שהגישו הנתבעות בתאריך 16.6.2020. להלן נעמוד בקצרה אודות הליכים אלה.
בקשה לדחייה על הסף:
- ביום 2.4.2020 הגישו הנתבעות בקשה לדחייה על הסף של כתב התביעה. בקשה זו מבוססת, בין היתר, על הנימוקים העיקריים הבאים:
- היעדר סמכות שיפוט לבית המשפט משום שלנתבעים קיימת “חסינות ריבון נגזרת”(“Derivative foreign sovereign immunity”) . ביחס לכך, הנתבעות טענו כי המעשים שנטען שבוצעו, ככל שבוצעו, לא בוצעו על-ידן, אלא על-ידי ממשלות ריבוניות זרות שהן הלקוחות שלהן; הטענה היא שמאחר ואין סמכות שיפוט, לפי הדין האמריקאי, לדון בתביעה כנגד מדינות זרות בשל המעשים האמורים (מאחר ולא מתקיימים חריגים לחסינות הריבון לפי החוק האמריקאי בנושא, ה- FSIA), כך גם אין סמכות לדון בתביעה דומה נגד הנתבעות, אשר, לפי הנטען פעלו בשליחותן של אותן המדינות, ולכן זכאיות לחסינות גם כן.
- היעדר סמכות שיפוט פרסונאלית כלפי הנתבעות – בהקשר זה, בין היתר, צוין כי מדובר בחברה ישראלית, המנהלת את עסקיה בישראל, ואיננה עורכת עסקים בקליפורניה;
לבקשה צורף תצהיר מטעמו של מר שלו חוליו, מנכ”ל ובעלים משותף של חברת NSO. בתצהיר מתייחס, בין היתר, מר חוליו לנקודות הבאות:
- חברת NSO היא חברת טכנולוגיה המעצבת טכנולוגיה עבור ממשלות וסוכנויות ממשלתיות למטרות של בטחון לאומי ואכיפת חוק;
- הנתבעות מאוגדות בישראל ושם מצוי מקום העסקים העיקרי שלהן; הנתבעות אינן מקיימות עסקים בקליפורניה ואין להן משרדים או עובדים בקליפורניה, או במקום אחר בארצות הברית; התובעות לא ביצעו פעולות הרלבנטיות לכתב התביעה בקליפורניה ולא כיוונו כל מעשה הרלבנטי לכתב התביעה כלפי קליפורניה;
- המכירות של תוכנת “פגסוס” כפופות לרגולציה של ממשלת ישראל. הייצוא של תוכנת “פגסוס” מצוי תחת רגולציה של מערך הפיקוח על הייצוא הבטחוני.
- החוזים של חברת NSO דורשים ממשתמשי הקצה בתוכנת “פגסוס” להצביע על כך שהם שייכים לממשלה או שהם סוכנות מורשית מטעמה לצורכי בטחון לאומי או אכיפת חוק ולספק מסמכים נוספים ככל הנדרש, לצורכי אישור של משרד הבטחון;
- משרד הבטחון דורש מחברת NSO לספק תעודה חתומה ממשתמשי הקצה של תוכנת “פגסוס” שבה הם מצהירים שהתוכנה תשמש רק לצורך מניעה וחקירה של טרור ופעילות פלילית;
- חברת NSO משווקת את טכנולוגיית “פגסוס” רק לממשלות ריבוניות וסוכנויות מורשות לבטחון לאומי ואכיפת חוק, ועושה כן רק לאחר קבלת רישיון יצוא ממשרד הבטחון. חברת NSO איננה משווקת או מוכרת את תוכנת “פגסוס” לשימוש של יישויות פרטיות, האשמות התובעות בעניין זה שיקריות;
- באוקטובר 2017, שני נציגים של חברת פייסבוק פנו לNSO וביקשו לרכוש זכות שלימוש ביכולות מסוימות של “פגסוס” – אותה תוכנה אליה מפנות התובעות בכתב התביעה.
- ל”פגסוס” יש אמצעי הגנה טכנולוגיים (“technical safeguards”). אחת ההגבלות הרלבנטיות לתיק זה, היא שתוכנת “פגסוס” לא ניתנת לשימוש כנגד מספר מכשיר סלולארי אמריקאי או כנגד מכשיר המצוי בגבולות הטריטוריאלים של ארצות הברית;
- הנתבעות אינן מפעילות בעצמן את תוכנת “פגסוס”. הלקוחות הריבוניים של החברה הם אלה שמפעילים בעצמם את התוכנה, על מנת לקדם את האינטרסים הריבוניים שלהם של מאבק בטרור ובפשיעה חמורה. התפקיד של הנתבעות מצומצם ליעוץ וסיפוק תמיכה טכנית לסייע ללקוחות בהקמה – ולא בהפעלה – של תוכנת “פגסוס”;
- אין לי ידיעה על שימוש בהודעות וואטסאפ על-ידי לקוחות של החברה, לצורך התקנת “פגסוס” על מכשיר מסוים. אם מי מהלקוחות עשה כן, הרי שהדבר נעשה מטעמו, לצרכי קידום אינטרסים ריבוניים של מאבק בטרור ובפשיעה חמורה, וללא מעורבות של הנתבעות;
- הנתבעות אינן מבצעות מעקב כנגד אף אחד ואף אוסרות מבחינה חוזית על הלקוחות שלהן להשתמש בטכנולוגיה לכל מטרה שאיננה מאבק בטרור ובפשיעה חמורה. אם ממשלה כלשהי ניצלה לרעה את תוכנת “פגסוס” שלא במסגרת המטרות הנ”ל – הדבר אינו בידיעתן של הנתבעות. כאשר הנתבעות חושדות בשימוש לא נאות, השימוש ללקוח זה יושעה לצורך חקירה בנושא, וככל שהחקירה תגלה שאכן נעשה שימוש ממושך שכזה, היא תפסיק לספק את השירות ללקוח;
- הליך של גילוי ראיות הנוגע לשימוש של לקוחותיהן של הנתבעות, ידרוש מממשלות ריבוניות לגלות מידע רגיש הנוגע לביטחונן הלאומי, מודיעין ומבצעים הנוגעים לאכיפת החוק;
- ביום 23.4.2020 הגישו התובעות את התנגדותן לבקשה לדחייה על הסף. במסגרת זו, טענו התובעות כי יש לדחות את הבקשה, והתבססו, בין היתר, על טענות לפיהן הנתבעות אינן זכאיות לחסינות – נגזרת או אחרת. לטענתן, דוקטרינות החסינות הרלבנטית בדין האמריקאי (תחת – Foreign Sovereign Immunity Act ה “FSIA”) אינה חלות ביחס לחברות פרטיות, וכן דוקטרינת החסינות הנגזרת איננה חלה ביחס לנתבעות. בתאריך 30.4.2020 הגישו הנתבעות כתב תשובה התומך בבקשתם לדחייה על הסף.
- בקשה זו עודנה תלויה ועומדת להחלטת בית המשפט בקליפורניה.
- יצויין, כי ביום 24.6.2020 הגישו הנתבעות בקשה נוספת, המבקשת למחוק את בקשת התובעים לסעד המניעתי אשר נכלל בכתב תביעה (ראו סעיף 5 למעלה). זאת בשל היעדר זכות עמידה (Standing), בטענה כי התביעה מתייחסת לטענות ביחס למעשי עבר, ואין באפשרותן של התובעות לבקש צו מניעתי ספקולטיבי הצופה פני עתיד, המתייחס לנזקים שעלולים להיגרם להן בעתיד. גם בקשה זו עודנה תלויה ועומדת. התובעות התנגדו לבקשה זו ביום 8.7.2020.
הליך גילוי ראיות:
- ביום 2.6.2020 נשלחה לנתבעות בקשה לגילוי מסמכים ראשונה מאת התובעות. לנתבעת הוקצבו, בהתאם לכללי הפרוצדורה, 30 ימים לשלוח לתובעות את המידע המבוקש, אלא אם כן היא מקבלת אורכה או מגישה בקשה לעיכוב הליך גילוי מסמכים.
- בין היתר, הבקשה נוקבת בדרישה להמצאה של מסמכים ותכתובות הנוגעים לשימוש במוצר על-ידי צדדים שלישיים, כולל licensing agreements, חומרי שיווק ועוד; מידע על פיתוח ובדיקת התוכנה של הנתבעות; מידע על הreverse engineering שנעשה ביחס לוואטסאפ; מסמכים המתארים את כל המידע ואינפורמציה (data and information) שחברת NSO או הלקוחות שלה השיגו מהיעדים או מכשירי היעדים (from the Target Users or the Target Devices); כל המסמכים והתקשורת המאפשרים זיהוי של כל הלקוחות של NSO אליהן מתייחס כתב התגובה מטעם הנתבעות לבקשה לדחייה על הסף; כל המסמכים ששימשו לשיווק, מכירה או קידום של התוכנה, לרבות מסמכים או תקשורת הקשורים לוואטסאפ או פייסבוק בכל צורה; גילוי מסמכים ותכתובות ביחס לזיהוי חולשות של וואטסאפ ופייסבוק, בתקופה שבין ינואר 2014 ועד דצמבר 2019.
- עוד יצוין, כי הבקשה מתייחסת להגדרה רחבה למושג “מסמכים” (ראה סעיף 4 לחלק ההגדרות בבקשה לגילוי מסמכים) הכוללת גם התייחסות למסמכים, מידע, תוכנות מחשב, מידע המאוחסן אלקטרונית וכל דבר מוחשי אחר בהתאם לכלל 34 לכללי הפרוצדורה הפדרליים – שזו, כך להבנת המבקשת, הגדרה רחבה מאוד.
- במקביל, החלו התובעות לפנות לצדדים שלישיים – חברות ואנשים פרטיים – הנמצאים בארצות הברית, עם צווי זימון להוצאת מסמכים או צו זימון למסירת עדות.
- בתאריך 16.6.2020 הגישו הנתבעות בקשה להתליית הליך גילוי המסמכים וזאת עד להחלטה סופית בבקשתן לדחייה על הסף. יוער, כי בבקשתה זו ציינו הנתבעות את הפסקה הבאה ביחס למדינת ישראל:
“After a review of these requests, NSO has identified that they include requests for information that is either confidential or detrimental to the national security of the State of Israel. As such, NSO has notified the State of Israel of the discovery requests and is currently reviewing its legal obligations to protect such information from disclosure. The State of Israel is also considering its position with respect to the requests”.
- ביום 30.6.2020 התובעות הגישו התנגדות לבקשה להתליית הליך גילוי הראיות. בין היתר, הדגישו התובעות כי הטיעון לגבי “חסינות ריבון זר נגזרת” (שתחול לגבי חברות פרטיות) הוא טיעון חדשני (novel) שקבלתו תדרוש הרחבה לא מוצדקת של הלכות של בתי המשפט במחוז הפדרלי שאליו משתייכת קליפורניה. לטענתן, הנתבעות לא הציגו כל פסיקה התומכת בטיעון חדשני זה. עוד נטען, כי לא ניתן לבסס התליה של הליך גילוי הראיות בהתבסס על חסינות ריבון נגזרת פוטנציאלית, שכן טיעון זה, מעבר לחדשנותו כאמור, דורש כשלעצמו גילוי ראיות ביחס לטיב מעשיהן של הנתבעות ובאיזה מובן, אם בכלל, פעלו תחת הנחייתן של מדינות זרות. עוד טענו התובעות, בין יתר הטיעונים שהוצגו, כי הנתבעות העלו אך באופן ספקולטיבי את ההתנגדות האפשרית של מדינת ישראל או ממשלה זרה אחרת מטעמים של בטחון לאומי – דבר שאינו מצדיק התליה של כל הליך הראיות. נטען, כי כל התנגדות לגילוי ראיות תוכל לידון במסגרת הליך גילוי הראיות, ומדינת ישראל תוכל להתייצב בהליך לצורך כך, כפי שעשתה במקרים אחרים.
- ביום 7.7.2020 הגישו הנתבעות את כתב התשובה בתמיכה לבקשתן להתליית הליך גילוי הראיות. הנתבעות מתייחסות, בין היתר, לטענה ביחס לחסינות ריבון נגזרת, כך שחסינות זו מגוננת מפני כל השתתפות בהליך הליטיגציה, ועל כן לא ניתן להמשיך בהליך גילוי הראיות כל עוד טענה זו תלויה ועומדת. עוד נטען, כי בית המשפט איננו זקוק להליך גילוי הראיות על מנת להכריע בבקשה לדחייה על הסף. כמו כן, נטען שדחייה לא תגרום נזק מהותי לתובעות. כמו כן הנתבעות מדגישות שוב כי הבקשה לגילוי מסמכים מהווה “מסע-דיג” לא ראוי ורחב, שיטיל נטל משמעותי על הנתבעות.
- בקשה זו עודנה תלויה ועומדת להכרעת בית המשפט בקליפורניה.
ראו מכתב של ריביס אנדרסון למרלין מזל אחרי הערעור בקליפורניה 13/1/2021
ראו כמה אנשים במשרד המשפטים הישראלי מכותבים לזה. כולם צפו בדיון שהיה בשידור חי ביוטיוב. הם מאוד מאוכזבים שמשרד המשפטים לא נתן חוות דעת על האפשרות שקבלן עבודה (סוכן פרטי) של ממשלת ישראל יזכה לחסינות ריבונית מתביעות בארה”ב בשל עבודתו בשירות ממשלה זרה (ישראל).
כולם חשבו שיש סיכוי שהטענה תתקבל ו NSO תצליח להיפטר מהתביעה.
ריביס אנדרסון התלהב מהעובדה שבערעור השופט שאל שאלות מאוד “אבסטרקטיות” על הקשר בין NSO למדינת ישראל. השופט הונסקר היה מאוד עוין ל NSO. השניים האחרים היו סימפטיים כלפי NSO אבל הסיכוי שיחליטו בעד NSO הוא 20%.
השופט מורגיה שאל למה לא ביקשו מהסטייט דיפרטמט להוציא תעודת חסינות SOI. העו”ד של NSO הצליח להתחמק מהתשוב ואמר שבהעדר SOI צריך להחליט לפי ההלכות הרגילות.
השופטים מורגיה והונסקר שאלו את העו”ד של NSO למה הוא טוען שהסטייט דיפרטמנט הכירה בחסינות של קבלן של מדינה ריבונית, כשאין שום ראיה לכך. העו”ד של NSO ענה שהעובדה שווצאפ תובעת את NSO ולא את מדינת ישראל מדברת בעד עצמה, כלומר שכדי לעקוף את החסינות של מדינת ישראל הלכו על הראש של הקבלן. זה כמו שמי שנפגע מירי של הצבא האמריקאי, תובע את יצרן הכדור ולא את הצבא האמריקאי שהזמין את כדורי הירי.
השופט נלסון שאל אם NSO מוכרת ללקוחות שהם לא ממשלות והם ענו שלא. לטענת NSO היא לא מבצעת את ההדבקה. מי שמדביק את הטלפונים ברוגלה אלו הממשלות שקונות את הפגסוס. לכן ההדבקה היא פעולה ריבונית של הממשלה שקנתה את הפגסוס.
השופט נלסון שאל את פייסבוק אם אפשר להשוות את המקרה למקרים של “חסינות נגזרת” של קבלנים אמריקאים שעובדים עבור הממשלה האמריקאית. פייסבוק ענתה שממש לא. חסינות נגזרת לחברות אמריקאיות שעובדות עבור ממשלת ארה”ב מבוססת על חוק חסינות מקומי, ואילו קבלן של מדינה זרה זה מבוסס על “הדדיות”. במקרה זה מכיון ש NSO לא אומרת מי הוא הריבון, אז אי אפשר להעניק הגנה של הדדיות לריבון שהזהות שלו לא ידועה.
השופט נלסון שאל את פייסבור מתי הבינו שהשרתים שלהם נחדרו ע”י פגסוס ופייסבוק ענתה ש NSO ביצעה טסטינג לחדירה לשרתים, וגם ממשלות אחרות הפעילו פגסוס שחדר לשרתים של פיייסבוק, וכדי לגלות מתי זה קרה צריך גילוי מסמכים.
לסיום העו”ד של NSO ניסה להפחיד את השופטים שאם הם יבטלו את החסינות של NSO, אז במדינות אחרות שופטים יבטלו את החסינות של חברות טכנולוגיה שעובדות עבור ממשלת ארה”ב. אבל השופטים עמו שרק הסטייט דיפרטמנט יכול לענות אם זו באמת תהיה התוצאה.
Reeves Anderson LTR to Marlene Mazel re NSO Appeal v Whatsapp in CA 13-1-2021
מרלין מזל כותבת לריביס אנרדסון שמדינת ישראל רוצה להיות מוצנעת 30/3/2020
במייל זה מרלין מזל כותבת לאנדרסון שמדינת ישראל מאוד רוצה לעזור ל NSO להצליח בבקשה למחיקה על הסף (MTD). היא מבקשת עותק מלא של התצהיר של חוליו שליו, אחד הבעלים. היא פנתה למשרד הביטחון MOD וקיבלה מהם (מישהו בשם רם) מכתב שיכול לעזור לטענה ש NSO היא סוכנת של ישראל.
לאור העובדה שזה מכתב ולא תצהיר היא חוששת שזה לא יתקבל. היא מבקשת עיצה איך להכניס את העובדה ש NSO סוכנת של ישראל בלי להודות בזה. היא מאוד מבקשת שאנדרסון יגיד לעוה”ד של NSO להקטין את האיזכורים למדינת ישראל, ושהמדינה לא תהיה בפרונט.
Marlene Mazel Email to Reeves Anderson State of Israel stay in shadow of NSO 30-3-2020
ראו גם כאן שיחה בין ריביס אנדרסון למרלין מזל על עזרה לחוליו שליו בהכנת תצהירו
4/1/2020. חוליו שליו הוא אחד הבעלים של NSO. הוא היה אמור להגיש תצהיר עם בקשה למחיקה על הסף, ועוה”ד שלו עבדו במשותף עם משרד המשפטים לשפר וללטש לו את התצהיר.
LTR of Reeves Anderson to Marlene Mazel NSO what to publish the export agreement 1-4-2020
ראו דו”ח פנימי של איתי אפטר שהכינה עברו ורד שפילמן לקראת הערעור הראשון בקליפורניה (לפני שערעורו לוושינגטון)
החלק הנוגע לרקע עובדתי – ביחס להליך המשפטי המתנהל בארה”ב
- א. פרטי התביעה:
- בתאריך 29 לאוקטובר 2019 הוגשה תביעה נזיקית על-ידי החברות Whatsapp ו- Facebook (להלן: “התובעות”) כנגד החברה הישראלית NSO Group Technologies Limited, וכן כנגד חברת Q Cyber Technologies Limited. (בעלת מניות הרוב בחברת NSO) (להלן: “הנתבעות”). התביעה הוגשה בבית המשפט הפדראלי במחוז הצפוני של קליפורניה (תיק מספר 4:19-cv-07123- Northern District of California – להלן: “בית המשפט בקליפורניה”).
- בכתב התביעה (המצורף לבקשה זו ומסומן “נספח א'”) נטען, בין היתר, כי הנתבעות יצרו, הפיצו והפעילו תוכנת ריגול כדי ליירט ולהפיק מידע מטלפונים סלולריים או מכשירים אחרים. נטען, כי מוצרי החברה כוללים את תוכנת “פגסוס” – תוכנת ריגול מסוג “סוס טרויאני”. נטען, כי תוכנות אלו, לרבות “פגסוס”, נועדו להתקין מרחוק ולאפשר גישה מרחוק לשליטה על מידע, לרבות שיחות, הודעות ומיקום – במכשירים ניידים המשתמשים במערכות ההפעלה של Android, iOS ו BlackBerry. נטען, כי הנתבעות ניצלו חולשות במערכות ההפעלה ואפליקציות והשתמשו בשיטות בעייתיות נוספות כדי לאפשר את הגישה הנ”ל
- נטען, כי בהתאם לפרסומים בתקשורת ולמסמכי NSO, ניתן להתקין את “פגסוס” על טלפון, מבלי שהמשתמש בטלפון ינקוט בכל פעולה שהיא, כגון הקלקה על קישור או הודעה מסויימת. עוד נטען, שהנתבעות השתמשו ברשת מחשבים כדי לעקוב ולעדכן את הגירסה של “פגסוס” שהותקנה על גבי מכשיריהם של “. נטען כי, באמצעות רשת זו הנתבעות סיפקו שירותי תמיכה ושלטו על התפעול של לקוחותיהם ב”פגסוס”. עוד נטען, כי הנתבעות מספקות תמיכה טכנית ללקוחותיה המשתמשות ב”פגסוס “.
- נטען בכתב התביעה, כי בין ינואר 2018 ומאי 2019, הנתבעות יצרו, וגרמו ליצירת, חשבונות ווטסאפ ופייסבוק שונים והסכימו לתנאיי השירות של ווטסאפ. לפי הנטען, הנתבעות השתמשו או גרמו להשתמש בחשבונות אלה לשלוח תוכנה זדונית למכשירי יעד במדינות שונות, כולל קפריסין, ישראל, ברזיל, אינדונזיה, שוודיה והולנד, במהלך אפריל ומאי 2019 . נטען כי הנתבעות השתמשו בשרתים במדינות שונות, כולל בארצות הברית, על מנת להתחבר אל מכשירי היעד.
- נטען, כי הנתבעות ביצעו reverse engineering”” לאפליקציה של וואטסאפ ופיתחו תוכנה שאפשרה להן לחקות פעילות לגיטימית של וואטסאפ על מנת להפיץ תוכנה זדונית למכשירי יעד.
- כתב התביעה נטען, כי בין התאריכים 29.4.2019 ועד ה- 10.5.2019 השתמשו הנתבעות בשרתי וואטסאפ, כדי להפיץ תוכנת ריגול לכ-1400 מכשירים ניידים לצורך ביצוע מעקב אחר משתמשי וואטסאפ מסוימים, לרבות עורכי-דין, עיתונאים, פעילי זכויות אדם, מתנגדים פוליטיים, דיפלומטיים ובכירי ממשל זרים אחרים. נטען, כי היעדים היו משתמשי וואטסאפ ממדינות שונות, לרבות בחריין, איחוד האמירויות ומקסיקו. כל זאת תוך שימוש בשרתים בארה”ב.
- סמכות שיפוט: בכתב התביעה נטען כי לבית המשפט הפדרלי של מחוז צפון קליפורניה סמכות לדון בתביעה, הן בשל עילות התביעה, על בסיס חקיקה פדרלית, ועל בסיס diversity (כאשר לא כל הנתבעים הם מאותה מדינה בארה”ב).,והן בשל התקיימותה של סמכות פרסונלית ביחס לנתבעות. הנימוקים לקניית סמכותו של בית המשפט מתייחסים, בין היתר, לסכום התביעה העולה על 75 אלף דולר כמו גם להסכמתן של הנתבעות לתנאי השירות של וואטסאפ, אשר כוללים תניית שיפוט מכוחה יכול בית המשפט דנן לקנות סמכות. כמו כן צוין כי הנזק לתובעות נגרם בקליפורניה ולכן ביהמ”ש מהווה את הפורום הנאות.
- עילות התביעה: התובעות טוענות לארבע טענות עיקריות:
הפרת חוק המחשבים הפדרלי – התובעות טוענות כי הנתבעות הפרו את חוק המחשבים הפדרלי (California Computer Fraud and Abuse Act, 18 U.S.C. § 1030) בכך שבפעמים שונות בין ה-29 לאפריל 2019 ועד ה-10 למאי 2019, הנתבעות ניגשו, השתמשו או הביאו לשימוש בשרתי האיתות והממסר (signaling servers and relay servers) של התובעות ללא הרשאה, במטרה לפרוץ כ-1400 מכשירים. על-פי הנטען, הנתבעות ביצעו הונאה לצורך השגת מידע מהמכשירים הפרוצים, ב”מחשבים” ו”מחשבים מוגנים” כהגדרתם בחוק.
התובעות טוענות כי הונאה זו כללה הסכמה כוזבת לתנאי השימוש של וואטסאפ, שליחת פקודות לא מורשות למחשבי התובעות והסוואת הפקודות כתנועות רשת לגיטימיות, על מנת לקבל גישה למכשירי ללא ידיעתם או הסכמתם של המשתמשים.
כתב התביעה מפרט כי פעולות אלו גרמו הפסד לתובעות, אשר כולל גם את המשאבים שנדרשו לשם החקירה ותיקון ההונאה. לפיכך, מבוקש פיצוי בגין הפסדים ונזקים אלה.
הפרת ה- California Comprehensive Computer Data Access and Fraud Act– התובעות טוענות כי הנתבעות הפרו חוק זה, המהווה חלק מחוק העונשין של מדינת קליפורניהCalifornia Penal Code § 502) ), בכך שניגשו ביודעין וללא הרשאה למערכות ורשתות המחשבים של התובעות על מנת לתכנן ולהוציא לפועל הונאה ותחבולה וכן לקבל כסף, רכוש ונתונים שלא כדין. נטען, כי הנתבעות ביודעין וללא הרשאה ובניגוד לדין ערכו שימשו לרבות כאלה המצויים בקליפורניה. כמו כן, הן ערכו שימוש כאמור גם במערכות המחשב ורשתות המחשבים של התובעות.
לפי כתב התביעה, פעולות הנתבעות גרמו לתובעות להפסדים ונזקים, ובהם השימוש במשאבים לשם חקירה ותיקון הפגיעה במערכות, פגיעה בשמן הטוב של התובעות וכן בטיב היחסים ביניהן לבין המשתמשים שלהן ומשתמשים פוטנציאליים, בסכום שיוכח במשפט. כתב התביעה מפרט כי בהתאם לחוק העונשין של קליפורניה, התובעים זכאים הן לפיצויים נזיקיים, שכר טרחת עורכי דין וסעד של צו מניעה, והן לפיצויים עונשיים.
הפרת חוזה – לפי כתב התביעה, כאשר הנתבעות ערכו שימוש בשירותי וואטסאפ, הנתבעות הסכימו לתנאיי השימוש של וואטס אפ ומחוייבות להן. צוין, כי התובעות ביצעו מצידן את חובותיהן הנדרשות לפי תנאיי השימוש. נטען כי הנתבעות הפרו את תנאי השימוש של וואטסאפ, ובכך פגעו בוואטסאפ, וממשיכות לפגוע בה. עוד צוין, כי כאשר הנתבעות הסכימו והתחייבו לפעול לפי תנאי וואטסאפ, גם הן וגם התובעות ידעו, או יכלו לחזות באופן סביר, כי ייגרם נזק כזה לתובעות כתוצאה מהפרת תנאיי השימוש על-ידי הנתבעות. כתב התביעה מפרט כי פעולות אלו גרמו הפסד לתובעות, אשר כולל פגיעה בשמן הטוב של התובעות וכן בטיב היחסים ביניהן לבין המשתמשים שלהן ומשתמשים פוטנציאליים וגם את המשאבים שנדרשו לשם החקירה ותיקון של מעשיהן של הנתבעות. לפיכך, מבוקש פיצוי בגין הפסדים ונזקים אלו.
הסגת גבול במיטלטלין (trespass) – עוד צוין בכתב התביעה כי הנתבעות הפריעו לזכות החזקה של התובעות במערכות המחשבים הנדונות, בין היתר באמצעות כניסה ושימוש, בשרתי התובעות בכדי להעביר קוד זדוני לצורך פגיעה שלא כדין במכשירים של משתמשים, וכל זאת ללא הרשאה מצד התובעות והמשתמשים. כתב התביעה מפרט כי פעולות אלו גרמו הפסד לתובעות, אשר כולל פגיעה בשמן הטוב של התובעות וכן בטיב היחסים ביניהן לבין המשתמשים שלהן ומשתמשים פוטנציאליים וגם את המשאבים שנדרשו לשם החקירה ותיקון של מעשיהן של הנתבעות. לפיכך, מבוקש פיצוי בגין הפסדים ונזקים אלו.
- הסעדים המבוקשים בכתב התביעה הם, בעיקרם, כדלהלן:
פסק דין שייקבע כי הנתבעות הפרו את החוק הפדרלי, החוק של מדינת קליפורניה ואת תנאיי החוזה עם וואטסאפ, וכן כי הנתבעות הסיגו גבול ברכושן של התובעות;
צו מניעה קבוע לפיו לא יהיו רשאיות הנתבעות, והפועלים מטעמן כגון עובדיהן, סוכנים שלהם וכיוצב’ וכן כל מי שפועל עמם – להירשם, להיכנס או להשתמש בשירותי התובעות ולקחת חלק בכל פעילות שיש בה כדי לשבש את פעילותן או להפר את תנאי השימוש שלהן; לקחת חלק בכל פעילות או לאפשר פעילות שיש בה כדי להפר את תנאיי השימוש של וואטסאפ או פייסבוק;
פיצויים לתובעות לרבות פיצויי השבה, פיצויים סטטוטוריים ופיצויים עונשיים, בסכומים אשר יוכחו במשפט (סכום הפיצויים המבוקש לא צוין).
החזר הוצאותיהן של התובעות, ובכלל כך שכר טרחת עורכי דינן.
- ב. פרטים כלליים אודות הליך הליטיגציה בבית המשפט בקליפורניה עד כה:
- הליך הליטיגציה שנוהל עד כה בבית המשפט בקליפורניה, מתמקד בעיקרו בטענות מקדמיות, בקשה להתליית גילוי ראיות ובקשות שונות שהוגשו על-ידי הצדדים, כגון בקשה לפסילת עורכי הדין של הנתבעות, בקשה להשתת סנקציות על התובעות ועוד.
נכון למועד כתיבת בקשה זו, בית המשפט בקליפורניה טרם הכריע בשתי בקשות עיקריות התלויות ועומדות בפניו: בקשה לדחייה על הסף אשר הוגשה על-ידי הנתבעות ביום 2.4.2020 ובקשה להתליית הליך גילוי הראיות עד לאחר החלטה סופית בדחייה על הסף, שהגישו הנתבעות בתאריך 16.6.2020. להלן נעמוד בקצרה אודות הליכים אלה.
בקשה לדחייה על הסף:
- ביום 2.4.2020 הגישו הנתבעות בקשה לדחייה על הסף של כתב התביעה. בקשה זו מבוססת, בין היתר, על הנימוקים העיקריים הבאים:
- היעדר סמכות שיפוט לבית המשפט משום שלנתבעים קיימת “חסינות ריבון נגזרת”(“Derivative foreign sovereign immunity”). ביחס לכך, הנתבעות טענו כי המעשים שנטען שבוצעו, ככל שבוצעו, לא בוצעו על-ידן, אלא על-ידי ממשלות ריבוניות זרות שהן הלקוחות שלהן; הטענה היא שמאחר ולא ניתן לתבוע, לפי הדין האמריקאי, מדינות זרות, בשל המעשים האמורים (מאחר ולא מתקיימים חריגים לחסינות הריבון לפי החוק האמריקאי בנושא, ה- FSIA), כך לא ניתן לתבוע את הנתבעות.
- היעדר סמכות שיפוט פרסונאלית כלפי הנתבעות – בהקשר זה, בין היתר, צוין כי מדובר בחברה ישראלית, המנהלת את עסקיה בישראל, ואיננה עורכת עסקים בקליפורניה;
לבקשה צורף תצהיר מטעמו של מר שלו חוליו, מנכ”ל ובעלים משותף של חברת NSO. בתצהיר מתייחס, בין , מר חוליו לנקודות הבאות:
- חברת NSO היא חברת טכנולוגיה המעצבת טכנולוגיה עבור ממשלות וסוכנויות ממשלתיות למטרות של בטחון לאומי ואכיפת חוק;
- הנתבעות מאוגדות בישראל ושם מצוי מקום העסקים העיקרי שלה ;
- הנתבעות אינן מקיימות עסקים בקליפורניה ואין להן משרדים או עובדים בקליפורניה, או במקום אחר בארצות ;
- התובעות לא ביצעו את הפעולות הנטענות בכתב ולא כיוונו כל מעשה כלפי קליפורניה;
- המכירות של תוכנת “פגסוס” כפופות לרגולציה של ממשלת ישראל. הייצוא של תוכנת “פגסוס” מצוי תחת רגולציה של מערך הפיקוח על הייצוא ויש למשרד הביטחון יכולת פיקוח על הייצוא על כל שלביו;
- החוזים של חברת NSO דורשים ממשתמשי הקצה בתוכנת “פגסוס” להצביע על כך שהם שייכים לממשלה או שהם סוכנות מורשית מטעמה לצורכי בטחון לאומי או אכיפת חוק ולספק מסמכים נוספים ככל הנדרש, לצורכי אישור של משרד הבטחון;
- משרד הבטחון דורש מחברת NSO לספק תעודה חתומה ממשתמשי הקצה של תוכנת “פגסוס” שבה הם מצהירים שהתוכנה תשמש רק לצורך מניעה וחקירה של טרור ופעילות פלילית;
- חברת NSO משווקת את טכנולוגיית “פגסוס” רק לממשלות ריבוניות וסוכנויות מורשות לבטחון לאומי ואכיפת חוק, ועושה כן רק לאחר קבלת רישיון יצוא ממשרד הבטחון. חברת NSO איננה משווקת או מוכרת את תוכנת “פגסוס” לשימוש של יישויות פרטיות, האשמות התובעות בעניין זה שיקריות;
- ל”פגסוס” יש אמצעי הגנה טכנולוגיים (“technical safeguards”). אחת ההגבלות הרלבנטיות לתיק זה, היא שתוכנת “פגסוס” לא ניתנת לשימוש כנגד מספר מכשיר סלולארי אמריקאי או כנגד מכשיר המצוי בגבולות הטריטוריאלים של ארצות הברית;
- הנתבעות אינן מפעילות בעצמן את תוכנת “פגסוס”. הלקוחות הריבוניים של החברה הם אלה שמפעילים בעצמם את התוכנה, על מנת לקדם את האינטרסים הריבוניים שלהם של מאבק בטרור ובפשיעה חמורה. התפקיד של הנתבעות מצומצם ליעוץ וסיפוק תמיכה טכנית לסייע ללקוחות בהקמה – ולא בהפעלה – של תוכנת “פגסוס”;
- אין לי ידיעה על שימוש בהודעות וואטסאפ על-ידי לקוחות של החברה, לצורך התקנת “פגסוס” על מכשיר מסוים. אם מי מהלקוחות עשה כן, הרי שהדבר נעשה מטעמו, לצרכי קידום אינטרסים ריבוניים של מאבק בטרור ובפשיעה חמורה, וללא מעורבות של הנתבעות;
- הנתבעות אינן מבצעות מעקב כנגד אף אחד ואף אוסרות מבחינה חוזית על הלקוחות שלהן להשתמש בטכנולוגיה לכל מטרה שאיננה מאבק בטרור ובפשיעה חמורה. אם ממשלה כלשהי ניצלה לרעה את תוכנת “פגסוס” שלא במסגרת המטרות הנ”ל – הדבר אינו בידיעתן של הנתבעות. כאשר הנתבעות חושדות בשימוש לא נאות, השימוש ללקוח זה יושעה לצורך חקירה בנושא, וככל שהחקירה תגלה שאכן נעשה שימוש ממושך שכזה, היא תפסיק לספק את השירות ללקוח;
- הליך של גילוי ראיות הנוגע לשימוש של לקוחותיהן של הנתבעות, ידרוש מממשלות ריבוניות לגלות מידע רגיש הנוגע לביטחונן הלאומי, מודיעין ומבצעים הנוגעים לאכיפת החוק;
- ביום 23.4.2020 הגישו התובעות את התנגדותן לבקשה לדחייה על הסף. במסגרת זו, טענו התובעות כי יש לדחות את הבקשה, והתבססו, בין היתר, על טענות לפיהן הנתבעות אינן זכאיות לחסינות – נגזרת או אחרת. לטענתן, דוקטרינות החסינות הרלבנטית בדין האמריקאי (תחת ה- Foreign Sovereign Immunity Act(מה השם המלא)FSIA ) אינה חלות ביחס לחברות פרטיות, וכן דוקטרינת החסינות הנגזרת איננה חלה ביחס . בתאריך 30.4.2020 הגישו הנתבעות כתב תשובה התומך בבקשתם לדחייה על הסף.
- בקשה זו עודנה תלויה ועומדת להחלטת בית המשפט בקליפורניה.
- יצויין, כי ביום 24.6.2020 הגישו הנתבעות בקשה נוספת, המבקשת למחוק את בקשת התובעים לסעד המניעתי אשר נכלל בכתב תביעה (ראו סעיף 5 למעלה). זאת בשל היעדר זכות עמידה (Standing), בטענה כי התביעה מתייחסת לטענות ביחס למעשי עבר, ואין באפשרותן של התובעות לבקש צו מניעתי ספקולטיבי הצופה פני עתיד, המתייחס לנזקים שעלולים להיגרם להן בעתיד. גם בקשה זו עודנה תלויה ועומדת.
הליך גילוי ראיות:
- ביום 2.6.2020 נשלחה לנתבעות בקשה לגילוי מסמכים ראשונה מאת התובעות. לנתבעת הוקצבו, בהתאם לכללי הפרוצדורה, 30 ימים לשלוח לתובעות את המידע המבוקש, אלא אם כן היא מקבלת אורכה או מגישה בקשה לעיכוב הליך גילוי מסמכים.
- המבקשת תטען, כי הבקשה לגילוי מסמכים מנוסחת בצורה רחבה. בין היתר, הבקשה נוקבת בדרישה להמצאה של מסמכים ותכתובות הנוגעים לשימוש במוצר על-ידי צדדים שלישיים, כולל licensing agreements, חומרי שיווק ועוד; מידע על פיתוח ובדיקת התוכנה של הנתבעות; מידע על הreverse engineering שנעשה ביחס לוואטסאפ; מסמכים המתארים את כל המידע ואינפורמציה (data and information) שחברת NSO או הלקוחות שלה השיגו מהיעדים או מכשירי היעדים (from the Target Users or the Target Devices); כל המסמכים והתקשורת המאפשרים זיהוי של כל הלקוחות אליהן מתייחסת כתב התשובה מטעם הנתבעות לבקשה לדחייה על הסף; כל המסמכים ששימשו לשיווק, מכירה או קידום של התוכנה, לרבות מסמכים או תקשורת הקשורים לוואטסאפ או פייסבוק בכל צורה; גילוי מסמכים ותכתובות ביחס לזיהוי חולשות של וואטסאפ ופייסבוק, בתקופה שבין ינואר 2014 ועד דצמבר 2019.
- עוד יצוין, כי הבקשה מתייחסת להגדרה רחבה למושג “מסמכים” (ראה סעיף 4 לחלק ההגדרות בבקשה לגילוי מסמכים) הכוללת גם התייחסות למסמכים, מידע, תוכנות מחשב, מידע המאוחסן אלקטרונית וכל דבר מוחשי אחר בהתאם לכלל 34 לכללי הפרוצדורה הפדרליים – שזו, כך להבנת המבקשת, הגדרה רחבה מאוד.
- במקביל, החלו התובעות לפנות לצדדים שלישיים – חברות ואנשים פרטיים – הנמצאים בארצות הברית, עם צווי זימון להוצאת מסמכים או צו זימון למסירת עדות.
- בתאריך 16.6.2020 הגישו הנתבעות בקשה להתליית הליך גילוי המסמכים וזאת עד להחלטה סופית בבקשתן לדחייה על הסף. יוער, כי בבקשתה זו ציינו הנתבעות את הפסקה הבאה ביחס למדינת ישראל:
“After a review of these requests, NSO has identified that they include requests for information that is either confidential or detrimental to the national security of the State of Israel. As such, NSO has notified the State of Israel of the discovery requests and is currently reviewing its legal obligations to protect such information from disclosure. The State of Israel is also considering its position with respect to the requests”.
- 6.2020 התובעות הגישו התנגדות לבקשה להתליית הליך גילוי הראיות. בין היתר, הדגישו התובעות כי הטיעון לגבי חסינות ריבון זר נגזרת שתחול לגבי חברות פרטיות הוא טיעון חדשני (novel) שקבלתו תצריך סטייה משמעותית מהלכות של בתי המשפט במחוז הפדרלי שאליו משתייכת קליפורניה. עוד טענו התובעות כי הנתבעות העלו אך באופן ספקולטיבי את ההתנגדות האפשרית של מדינת ישראל או ממשלה זרה אחרת מטעמים של בטחון לאומי – דבר שאינו מצדיק התליה של כל הליך הראיות. כל התנגדות לגילוי ראיות ספציפיות תוכל לידון במסגרת הליך גילוי הראיות, ומדינת ישראל תוכל להתייצב בהליך לצורך כך, כפי שעשתה במקרים אחרים. עוד נטען, כי לא ניתן לבסס התליה של הליך גילוי הראיות בהתבסס על חסינות ריבון נגזרת פוטנציאלית, שכן טיעון זה הינו לא רק תקדימי במיוחד אלא שהוא דורש כשלעצמו גילוי ראיות ביחס לטיב מעשיהן של הנתבעות ובאיזה מובן, אם בכלל, פעלו תחת הנחייתן של מדינות זרות .
- ביום 7.7.2020 הגישו הנתבעות את כתב התשובה בתמיכה לבקשתן להתליית הליך גילוי הראיות. הנתבעות מתייחסות, בין היתר, לטענה ביחס לחסינות ריבון נגזרת, כך שחסינות זו מגוננת מפני כל השתתפות בהליך הליטיגציה, ועל כן לא ניתן להמשיך בהליך גילוי הראיות כל עוד טענה זו תלויה ועומדת. עוד נטען, כי בית המשפט איננו זקוק להליך גילוי הראיות על מנת להכריע בבקשה לדחייה על הסף. כמו כן, נטען שדחייה לא תגרום נזק מהותי לתובעות. כמו כן הנתבעות מדגישות שוב כי הבקשה לגילוי מסמכים מהווה “מסע-דיג” לא ראוי ורחב, שיטיל נטל משמעותי על הנתבעות.
- בקשה זו עודנה תלויה ועומדת להכרעת בית המשפט בקליפורניה.
איתי אפטר רקע לערעור פגסוס בקליפורניה על הקביעה שאינם זכאים לחסינות
דו”ח פנימי של מרילין מזל על סיכויי הערעור הראשון בקליפורניה (לפני שערעורו לוושינגטון)
את הסקירה הכינה אביטל ברגר למרלין. 7/2/2021.
שלום וברכה,
נבקש לעדכן על כתב התשובה שהגישו ביום 5.2.2021 המערערות (NSO ו – Q Cyber) לבית המשפט לערעורים של ה-9th Circuit (מצ”ב).
יצוין, כי מדובר בניתוח פנימי שערכנו אנחנו, ועורכי הדין טרם שלחו את הסקירה שלהם ביחס להגשה זו.
- רקע – סיכום נימוקי הערעור וכתב התגובה של פייסבוק
נזכיר כי, המערערות הציגו שלושה טיעונים עיקריים בנימוקי הערעור שהוגשו ביום 16.11.2020, כדלקמן: (1) לבית המשפט לערעורים קיימת סמכות שיפוט כלפי החלטת בית המשפט המחוזי לדחות את טענת NSO לחסינות בניגוד לטענת פייסבוק; (2) NSO פעלה כסוכן (agent) של מדינות ריבוניות זרות ולכן זכאית לחסינות מכח התנהגות conduct-based immunity)); ו- (3) בית המשפט המחוזי שגה בקביעתו כיNSO איננה זכאית לחסינות ריבון זר.
בתגובה, המשיבות (פייסבוק ו-וואטסאפ) הציגו שלושה טיעונים עיקריים כדלקמן: (1) לבית המשפט לערעורים אין סמכות שיפוט כלפי החלטת בית המשפט המחוזי לדחות את טענת NSO לחסינות; (2) גם אם קיימת לבית המשפט סמכות שיפוט לדון בערעור , הרי שממילא NSO אינה זכאית לחסינות מכוח התנהגות conduct-based immunity)) מכיוון שמדובר בחברה פרטית, ולא בבן אדם ;(natural persons)ו- (3) אפילו אם חברות פרטיות יכולות להיות זכאיות לחסינות מכוח התנהגות, NSO אינה יכולה לעמוד בדרישות הדוקטרינה.
- כתב התשובה מטעם המערערות
בתשובה לטענות שהעלו פייסבוק וואטסאפ, המערערות התייחסו בכתב התשובה שהגישו, בין היתר, לטענות העיקריות הבאות:
- לבית המשפט לערעורים קיימת סמכות שיפוט במקרה זה, שכן חסינות מכוח התנהגות היא חסינות מפני עצם התביעה (להבדיל לחסינות מפני הטלת חבות משפטית) – בהקשר זה, מפנות המערערות לתקדימים ב- 9th Circuit (כגון פס”ד דוגן נ’ ברק) וב- 4th Circuit (כגוןYousuf v. (Samantar אשר נטען כי מבססים את העובדה שחסינות מפני התנהגות מהווה חסינות מפני עצם התביעה וכי החלטה הדוחה חסינות זו ניתנת לערעור באופן מיידי. לטענת המערערות, המשיבות לא הצביעו על אף פסק דין המבסס את טענתן כי חסינות מכוח התנהגות איננה מהווה חסינות מפני תביעה.
עוד מציינות המערערות, כי אם בית המשפט יכריע אחרת, הדבר למעשה יהווה דחייה של תקדים של אותה ערכאה ממש וכן יצור מחלוקת (“a split”) אל מול ה-4th Circuit.
- חסינות מכוח התנהגות חלה כלפי סוכנים פרטיים של ממשלות זרות, בין אם המדובר באנשים (“natural persons”) ובין בישויות (“entities”) – המערערות דוחות את טענת המשיבות לפיה חסינות מכוח התנהגות מחריגה ישויות פרטיות וחלה רק כלפי אנשים פרטיים. זאת, על קצה המזלג, בעיקר, על בסיס הטענות הבאות:
- המשיבות למעשה ויתרו על טענה זו ואין באפשרותן להעלות אותה בשלב הערעור – המשיבות מעלות לראשונה במסגרת טענותיהן בהליך הערעור שישויות אינן יכולות לטעון לחסינות מכוח התנהגות. הן לא העלו טענה זו בפני בית המשפט המחוזי, כמו גם את הטענה שחוק חסינות הריבון הזר (ה-(FSIA הוא הבסיס המשפטי היחיד לחסינות של ישויות. בכך, הן ויתרו על טענות אלו.
- מכל מקום, טענת המשיבות שגויה גם לגופם של דברים, מן הטעמים הבאים:
- המשפט המקובל מגן על סוכנים פרטיים זרים, כולל ישויות פרטיות, בגין התנהגות שביצעו במסגרת תפקידם כסוכן – וואטסאפ איננה חולקת על כך שחסינות מכוח התנהגות מגנה על סוכנים פרטיים של ממשלות זרות הפועלים בתוקף תפקידם כסוכנים. NSO טוענת שחסינות מכוח התנהגות מתמקדת פחות בזהות האדם או הישות הטוענים לחסינות, ויותר באופי של הפעולה מכוחה נטענת החסינות. חסינות מכוח התנהגות נועדה להגן על ממשלות זרות, הפועלות באמצעות סוכנים. אשר על כן החסינות לא מתמקדת במעמד של הסוכן, אלא בפעילות שבוצעה בשם מדינה זרה. השאלה הרלבנטית היא האם הפעולה בוצעה עבור מדינה זרה, כאשר הן ישות והן אדם פרטי יכולים לפעול בשמה של מדינה זרה ולכן אין מקום להבחין ביניהם. עמדת החברה הינו שישות זרה המשמשת כ”סוכן” יכולה להיות זכאית לחסינות, גם אם איננה בגדר “נושא משרה זר”.
בנוסף נטען שאין להסיק מכך שעד כה הנתבעים בתיקים שנדונו היו אנשים, שישויות מוחרגות מחסינות כסוכן זר. ניתן ללמוד מכך רק שבעשורים האחרונים ממשלות זרות הגבירו את הסתמכותן על קבלנים חיצוניים. אכן, המשיבות וידידי בית המשפט מטעמה לא הצליחו להצביע על תיק אחד אפילו, או החלטה של רשות מבצעת, במסגרתם הוחלט לא להעניק חסינות מכוח התנהגות באופן קטגורי לישות פרטית, בשל מעמדה כישות. נהפוך הוא, ממשלת ארה”ב שמרה לעצמה את הזכות לטעון שהקבלנים מסוג ישויות, אותם היא מעסיקה, חוסים תחת חסינות ריבון בפסיקה בערכאה זרה או בין-לאומית – זאת, במסגרת עמדת ידיד בית משפט שהגישה בתיק CACI. (ראה: CACI Premier Tech., Inc. v. Shimari, Brief for the United States as Amicus Curiae at 10 n.1).
בנוסף, על אף שה-4th Circuit לא נקט מפורשות במונח “חסינות מכוח התנהגות”, הרי שבפועל ה-4th Circuit יישם את המבחן הנוהג ביחס לחסינות זו עבור קבלן שהינו תאגיד במסגרת תיק Butters וקבע שסוכנים פרטיים זכאים לחסינות “when following the commands of a foreign sovereign employer.”.
- חוק חסינות הריבון הזר (ה-FSIA) אינו מחריג ישויות מגדרי חסינות מכוח התנהגות – המערערות דוחות את טענת המשיבות לפיה ה-FSIA מבסס את הנסיבות הבלעדיות במסגרתן ישויות מלאכותיות יהיו זכאיות לחסינות ריבון זר. לטענת המערערות, ה-FSIA אינו חל במקרה זה, אלא חל המשפט המקובל. זאת, מכיוון שה-FSIA הינו חוק צר המתייחס רק לחסינות ריבון זר של מדינות זרות, ואילו במקרה זה מדובר על סוכן זר פרטי ולא על “מדינה זרה”. במסגרת חוק ה-FSIA ההגדרה של “ריבון זר” מכילה גם ישויות המצויות בבעלות המדינה, שכן הן מקבילות למדינה זרה ועל כן זכאיות לחסינות כמדינה זרה. אולם, כאשר מוגשת תביעה כנגד נושא משרה זר או נתבע אחר שאיננו עונה להגדרת הFSIA כ”מדינה זרה” – ה-FSIA לא יחול. אשר על כן, לא ניתן ללמוד ממנו לגבי השאלה האם ישויות פרטיות זכאיות לחסינות מכוח התנהגות – והדבר יוכרע לפי המשפט המקובל. לטענת המערערות, הקונגרס לא כיוון לכך שחסינות ריבון זר תחת ה-FSIA תחליף את החסינות מכוח התנהגות, אשר מהווה דוקטרינה שונה. דוקטרינת חסינות הריבון הזר תלויה בזהות הנתבע ואילו חסינות מכוח התנהגות תלויה בפעולות של הנתבע. המקרה הזה, כאשר הנתבעת היא סוכן פרטי זר, איננו מהווה תביעה כנגד מדינה זרה – ועל כן הינו מחוץ לגדרי ה-FSIA ויחול עליו המשפט המקובל.
- טיעוני המדיניות שהעלו המשיבות ועמדות ידיד בית המשפט מטעמן אינן במקומן ואינן רלבנטיות – מטרת חסינות מכוח התנהגות היא לוודא ששאלות הנוגעות ליחסים בין-לאומיים (למשל האם על ממשלות להסתמך על חברות פרטיות) יפתרו על-ידי מדינות, באמצעות צינורות דיפלומטים, ולא לאפשר לתובעים פרטיים כמו וואטסאפ לעצב את המערכת הבין-לאומית, בהתאם להעדפותיהם המבוססות על מניעים כלכליים. בכך שהיא מבקשת מבית המשפט להגביל כיצד ממשלות פועלות באמצעות סוכנים פרטיים, וואטסאפ מנסה למעשה להפר ריבונות של מדינות – הדבר שחסינות מכוח התנהגות נועד לאסור.
עמדות ידיד בית המשפט שהוגשו נוקטות גם הן באותה גישה בכך שהן מבקשות מבית המשפט לשלול חסינות כאמצעי להפסקת שימוש של ממשלות בטכנולוגית מעקב. ההאשמות שנטענו על-ידי ידידי בית המשפט מטעם המשיבות לכך שממשלות משתמשות בטכנולוגיה של NSO להפר את המשפט הבין-לאומי, הן בלתי קבילות בערעור, וחלקן הינן שקריות, חלקיות בצורה מטעה וממילא אינן רלבנטיות לשאלה האם חסינות מכוח התנהגות חלה על ישויות.
המערערות דוחות את טענת המשיבות וידידי בית המשפט מטעמה לכך שהמערערות צריכות לשאת באחריות משפטית לספק “תרופה” לקורבנות, בשל הפרות לכאורה של המשפט הבין-לאומי. המערערות העלו את הטענה, כי כאשר מישהו נפגע מפעולה ריבונית של מדינה, הפתרון הינו לבוא בדברים עם המדינות הרלבנטיות, להבדיל מהגשת תביעה בבתי משפט של מדינה אחרת.
בהקשר זה, תשומת לבכם לאמירה הבאה של המערערות ביחס למדינת ישראל, לפיה מדינת ישראל מפעילה רגולציה כבדה כלפי NSO ויש לה אפשרויות רבות במידה ותגיע למסקנה שNSO הפרה את החוק, לרבות האפשרות לשלול ממנה פעולה אל מול לקוחות מסוימים, ואף האפשרות לבטל לה כליל את הרשיון לנהל עסקים. על כן, ככל שוואטסאפ סבורה כי נפגעה בשל פעולותיה של NSO בשם מדינות זרות, עליה לבקש ממדינת ישראל – בין במישרין ובין באמצעות ממשלת ארה”ב – לנקוט בפעולה. ראו נא הדברים במקור (ההדגשות שלנו):
Nothing about NSO’s entity status justifies shunning the “political . . . redress” available to parties who claim to be “aggrieved” by a government’s conduct. Ans. Br. 49. Far from “fall[ing] into a regulatory void,” id., NSO is heavily regulated by its home nation of Israel. ER52–53. Israel has many options if it concludes that NSO has violated the law, including denying NSO the right to serve certain customers and rescinding its license to conduct business at all. ER52 ¶ 6, 55 ¶ 12. So if WhatsApp believes it has been wronged by NSO’s actions on behalf of foreign states, it should ask Israel—either directly or through the U.S. government—to take action. But WhatsApp may not use a lawsuit against an agent of foreign nations to prevent those nations from choosing the agents through which they “perform uniquely sovereign actions.” Broidy Cap. Mgmt., 982 F.3d at 595.
לבסוף, טוענות המערערות בהקשר זה, כי טענות המדיניות שמעלה וואטסאפ חלות גם כלפיי ממשלת ארה”ב, בנוסף למדינות זרות. ככל שישויות פרטיות אינן זכאיות לחסינות מכוח התנהגות, הדבר יאפשר למדינות אחרות לתבוע בערכאות זרות קבלנים אמריקאים ולשבש את מבצעיה הצבאיים או המודיעיניים של ארה”ב. חסינות מכוח התנהגות נועדה למנוע בדיוק תוצאה זו. וואטסאפ מנסה למנוע מכל המדינות, לרבות ארה”ב, להשתמש בטכנולוגיה או כלים אחרים שאין להן אפשרות לייצר בעצמן.
- הקביעות העובדתיות של בית המשפט המחוזי מצביעות על כך שNSO זכאית לחסינות מכוח התנהגות –
בית המשפט המחוזי הצביע על מבחן משולש עבור חסינות מכוח התנהגות: 1. האם מדובר בסוכן של מדינה זרה? 2. האם הפעולות בוצעו במסגרת תפקידו הרשמי של הסוכן 3. האם הפעלת סמכות שיפוט במקרה זה תעלה כדי אכיפת חוק כנגד מדינה זרה – ” to enforce a rule of law against the foreign state”. לטענת NSO, בית המשפט המחוזי הכריע במישור העובדתי כי NSO עומדת בשני התנאים הראשונים, בכך שהיא פועלת מטעם מדינה זרה והפעולות שלה בוצעו במסגרת תפקידה כסוכן של המדינה. בית המשפט המחוזי דחה את טענת החסינות, רק על בסיס ניתוח שגוי שערך לרכיב השלישי, בכך שקבע כי חסינות מכוח התנהגות אינה חלה כאשר סוכן זר נתבע בכובעו הפרטי.
בערעור, המשיבות מנסות למחות על ממצאיו העובדתיים של בית המשפט המחוזי ביחס לשני הרכיבים הראשונים הנ”ל, כאשר הן לא העלו זאת בפני בית המשפט המחוזי ועל כן אינן יכולות להעלות זאת לראשונה בשלב הערעור. גם אילו היו יכולות להעלות טענות אלו בשלב זה, הרי שאין בידיהן להראות שממצאיו של בית המשפט המחוזי היו שגויות בעליל.
לא זו אף זוNSO טוענת שאם מנתחים את ממצאיו של בית המשפט המחוזי במסגרת המשפטית הנכונה – הרי שהם מצביעים על כך שNSO אכן זכאית לחסינות.
וביתר פירוט:
- המערערות טוענות מכיוון שוואטסאפ לא הגישה ראיות עובדתיות רלבנטיות לסתור את העובדות שהציגה NSO בפני בית המשפט המחוזי על כך שNSO היא סוכן של מדינה זרה והפעולות שלה בוצעו במסגרת תפקידה – היא ויתרה על האפשרות לחלוק על העובדות הללו במסגרת הערעור;
- בית המשפט קבע בצדק שNSO הינה סוכן זר אשר פעל במסגרת תפקידו כסוכן – גם אם לא היתה מוותרת על הטענות האמורות, על המשיבות הנטל להצביע על כך שממצאיו של בית המשפט המחוזי היו “clearly erroneous” וזאת הן לא עשו. למעשה, בית המשפט קבע בצדק שNSO הינה סוכן זר אשר פעל במסגרת תפקידו כסוכן “agent[] of foreign governments”) .(ER11,
מעניין לציין, כי NSO מתייחסת לחוזה אליו מפנה וואטסאפ בשלב זה – של מכירת פגסוס למשווק פרטי (כדי להראות דוגמא לכך שפעלה עבור חברה פרטית). לטענת NSO, וואטסאפ ויתרה על זכותה לטעון זאת, בכך שלא העלתה את הטיעון המבוסס על נייר זה בפני בית המשפט המחוזי. מכל מקום, החוזה מציין כי NSO תספק את התוכנה לגאנה, לא למשווק פרטי. בנוסף, בהתאם לחוק הישראלי, העסקה כולה דורשת עיון ואישור של משרד הביטחון הישראלי: “”as required by Israeli law, the entire transaction was subject to review and approval by “IMOD,” Israel’s Ministry of Defense”.. כך שגם תחת חוזה זה, בדומה ליתר החוזים, NSO שימשה כסוכן של ממשלה זרה, ולא של גוף פרטי.
- חסינות מכוח התנהגות מגנה על סוכנים זרים שנתבעו בכובעם הפרטי (“in their individual capacity”) –
גם בהנחה שחסינות מכוח התנהגות חלה רק במקרה בו תביעה תעלה כדי אכיפת חוק כנגד מדינה זרה “would enforce a rule of law against the state” – אין הכוונה שפסק הדין יהיה בהכרח כנגד המדינה. הרי כל הרעיון של חסינות מכוח התנהגות הוא שהיא נדרשת כאשר המדינה עצמה איננה הצד האמיתי בעל האינטרס בתביעה – שאילו זה היה המצב – ממילא היה חל ה-FSIA אשר היה חוסם את התביעה. אשר על כן, טענת וואטסאפ לפיה על מנת להיכלל תחת חסינות מכוח התנהגות יש להראות שמדינה זרה היא הצד האמיתי בעל האינטרס בתביעה – היא שגויה. לטענת המערערות, תביעה מנסה לאכוף חוק כנגד מדינה זרה (“to enforce a rule of law against the state)” כאשר היא מבקשת לקבוע כי פעילות של סוכן זר בשמה של ממשלה זרה היתה לא חוקית. וואטסאפ מנסה לגרום לכך שיהיה לממשלות בלתי אפשרי להשתמש בטכנולוגיה שמוכרת NSO או כל קבלן פרטי אחר. אך בחירתה של ממשלה כיצד לבצע פעולות ריבוניות, היא כשלעצמה פעולה ריבונית.
נוכח כל האמור לעיל, המערערות טוענות כי על בית המשפט לערעורים להפוך את החלטתו של בית המשפט המחוזי אשר דחה את הבקשה לדחייה על הסף, ולקבוע כי NSO זכאית לחסינות מכוח התנהגות.
סקירת חומרים מהתקשורת שהכינו על תביעות נגד NSO-פגסוס – ירדן רובינשטיין
סקירת ההליכים המשפטיים והמחקריים כנגד חברת אן.אס.או בישראל וברחבי העולם
הליכים משפטיים
ישראל
- בגץ 5662/17 ח”כ תמר זנדברג נ’ שר הביטחון –
מדובר בעתירה לבג”ץ אשר הוגשה בשנת 2017, על-ידי ח”כ תמר זנדברג באמצעות עורך דין איתי מק (עורך דין ופעיל חברתי בתחום זכויות האדם), כנגד שר הבטחון, ראשת אגף הפיקוח על ייצוא בטחוני, משרד הבטחון ומשרד החוץ. בעתירה מאוחרת יותר שתפורט להלן (עתמ 28312-05-19) הזכירו העותרים כי הליך זה עוסק בביטול רישיון הייצוא של משיבה 5 באותה עתירה (חברת אן. אס. או) למקסיקו. ב-18.11.19 התקבלה החלטה של בית המשפט להסיר את איסור פרסום פסק הדין באופן יחסי, החושף את ההחלטה כי העתירה נדחתה.[1]
- עתמ 28312-05-19 מלקאר ואח’ נ’ ראשת אגף הפיקוח על ייצוא ביטחוני ואח’ –
עובדות המקרה: מדובר בעתירה מנהלית אשר הוגשה לביהמ”ש המחוזי בתל אביב-יפו, על-ידי 30 עותרים, המיוצגים על ידי עו”ד איתי מק. עותרת מס’ 1 היא מנכ”לית ארגון Amnesty International בישראל. העתירה הוגשה נגד ראשת אגף הפיקוח על ייצוא ביטחוני במשרד הביטחון, שר הביטחון, משרד הביטחון, משרד החוץ, וחברת אן. אס. או טכנולוגיות בע”מ (להלן: החברה). העתירה הוגשה, לטענת העותרים, על רקע ניסיונות להשתמש בתוכנת הריגול כלפי מכשיר סלולרי של איש צוות Amnesty International, כפי שפורסם באתר הארגון באוגוסט 2018.[2]
הטענות המשפטיות:
- העותרים טוענים כי אף שתוכנת פגסוס הייתה יכולה להיחשב מוצר “דו שימושי” (בעל שימושים ביטחוניים ואזרחיים), המשיבים 1-4 מחשיבים אותה כ”ציוד ביטחוני” לכל דבר ועניין, עליו חל חוק הפיקוח והייצוא שלו דורש רישיון לייצוא ביטחוני מהמשיבה 1. דהיינו, בכך שהגדירו את המוצר כ”ציוד ביטחוני”, המצריך אישור משרד הביטחון על מנת לייצאו, לא ניתן לייצאו באמצעות פיקוח ואישור אזרחי ממשרד הכלכלה בלבד. בכך טוענים העותרים כי המשיבים מזהים בעצמם את הסכנה האינהרנטית במוצר הדורשת פיקוח של המשיבה 1 ואפ”י (ראו פס’ 26 לעתירה).
- לטענת העותרים, המשיבים 1-4 פוגעים ביסודות הדמוקרטיים של מדינת ישראל בסירובם למסור מידע על הרישיון שניתן לחברה, במיוחד מכיוון שמידע רב כבר פורסם בתקשורת. זאת, לטענת העותרים, מהטעם כי הציבור מפקח על רשויות השלטון (ראו פס’ 62-69 לעתירה).
- לטענת העותרים, יש להחיל ביקורת שיפוטית על סמכות ראשת אגף הפיקוח לשם התנהלות מנהלית תקינה, ומשום שכך, על ראשת אגף הפיקוח לפרסם את המידע והשיקולים שקדמו להחלטותיה על מתן רישיונות (ראו פס’ 73-80 לעתירה)
- לטענת העותרים, השימוש במערכת “פגסוס” של המשיבה 5 נגד Amnesty International מפר את מחויבויותיה הבין לאומיות של מדינת ישראל – ביניהן חובותיה להגן על הזכות לפרטיות,[3] הזכות לחופש הביטוי[4] והזכות לפעילות להגנה על זכויות אדם.[5]
- לטענת העותרים, המשיבים 1-4 חרגו מסמכותם, בכך שסייעו, על-פי הטענה, להתקיימותן של הפרות חמורות של דיני זכויות האדם, בניגוד לחוק הישראלי. חוסר הסמכות נובע, לטענתם, מחריגה ממרחב הסבירות של ההחלטה המנהלית בעניין הרישיון שניתן לחברה. העותרים טוענים כי חוסר הסבירות מתבטא באי שקילת כל השיקולים הרלוונטיים ו/או מתן משקל מוטעה לשיקולים השונים. לטענת העותרים, סמכות “הרשות” הקבועה בס’ 8 ו- 9 לחוק הפיקוח,[6] הפכה בנסיבות העניין החמורות לסמכות המחייבת את המשיבים 1-4. משלא נעשה שימוש בסמכות זו, חרגה הרשות ממתחם הסבירות ולכן גם מסמכותה.
יצוין, כי העותרים הזכירו את בגץ 5662/17 ח”כ תמר זנדברג נ’ שר הביטחון הנ”ל, אשר לדבריהם עסק בבקשה לביטול הרישיון של החברה במקסיקו.
הסעד המבוקש: להורות למשיבה 1 להפעיל את סמכותה הקבועה בחוק הפיקוח על ייצוא ביטחוני, תשס”ז-2007, ולהורות על ביטול רישיון הייצוא הביטחוני שנתן אגף הפיקוח על ייצוא ביטחוני למשיבה 5 לייצוא מערכת המעקב ששימשה ו/או משמשת נגד Amnesty International.
סטטוס ההליך: ההליך עודנו תלוי ועומד, בביהמ”ש המחוזי תל-אביב יפו. דיון מוקדם בעתירה נקבע לתאריך 16.1.2020.[7] הוא קיבל סיקור נרחב בתקשורת ישראלית[8] ובאתר אמנסטי הבינ”ל (ראה ה”ש 1).
- ת”א (שלום ת”א) 2401-12-18 עבד אלעזיז אלזהראני נ’ קבוצת אן. אס. או. טכנולוגיות בע”מ ואח’ –
עובדות המקרה: על-פי פרסומים בתקשורת, ב-2 באוקטובר 2018 נרצח העיתונאי ג’מאל חאשוקג’י, עיתונאי ביקורתי כלפי המשטר הסעודי המלוכני, בעת שביקר בקונסוליה הסעודית באיסטנבול. התובע, עומר עבד אלעזיז אלזהראני, הוא חברו ועמיתו של חאשוקג’י. לטענתו, תוכנת הריגול המפורסמת של החברה, “פגסוס”, שימשה לריגול אחר השיחות וחילופי ההודעות שקיים עם חאשוקג’י טרם הירצחו, והמידע שנאסף באמצעותה “תרם תרומה ממשית להחלטה לחסל את מר חאשוקג’י”.[9] לפני כשנה פנה עבד אלעזיז, אזרח סעודי המתגורר בקנדה, לבית-המשפט בתביעה נגד החברה ונגד חברת סייבר טכנולוגיות בע”מ (באמצעות עו”ד עלאא מחאג’נה). במסגרת זו, טען עבד אלעזיז, כי “תפקידן של הנתבעות בפעולות המעקב אינו מסתיים עם מכירת המערכת לגורמים ולמנגנונים שונים, אלא הוא נמשך מעבר לשלב זה והנתבעות ממשיכות לגלות מעורבות אקטיבית בשלבים של העברת הנתונים, עיבוד הנתונים, הדרכה על הפעלת המערכת, וגם סיפוק עדכונים ושדרוג למערכת”. משכך, נטען כי האחריות על השלכות הפעלת המערכת מוטלת על החברה.
הטענות המשפטיות: לטענת עבד אלעזיז, “השימוש במערכת ‘פגסוס’ והריגול אחר מעשיו וחשיפת שיתוף הפעולה בינו לבין המנוח חאשוקג’י תרמו תרומה ממשית לחיסולו. התובע יטען כי התקיים קשר סיבתי ישיר בין פעולות המעקב שבוצעו באמצעות מערכת ‘פגסוס’ שבאחריות הנתבעות לבין חיסולו של המנוח חאשוקג’י. התובע יטען כי פריצת מכשיר הטלפון החכם שלו על ידי מערכת ‘פגסוס’ הביאה לפגיעה בזכויותיו ובפרטיותו”.
הסעד המבוקש: עבד אלעזיז דרש פיצוי בסך 600 אלף שקל בשל הפגיעה בפרטיותו. בנוסף ביקש מבית-המשפט להוציא צו האוסר על החברה למכור תוכנות ריגול נוספות לערב-הסעודית ולחדול מלתחזק ולעדכן את התוכנות שמכרו לה, וכן צו המחייב את החברה ולקוחותיה לחדול מלרגל אחריו. בנוסף ביקש עבד אלעזיז מבית-המשפט להוציא צו האוסר על החברה למכור תוכנות ריגול למשטרים הידועים בהפרות שיטתיות של זכויות אדם.
סטטוס התביעה: בית-המשפט סירב לאחרונה (22.12.19) לבקשת הנתבעים לדחות את התביעה על הסף. כמו כן, סירב בית המשפט לבקשה להטיל חיסיון על ההליך המשפטי. דיון בקדם-משפט צפוי להתקיים בתאריך 13.7.2020, והצדדים צפויים להגיש את כתבי התביעה וההגנה בחודש פברואר 2020 (ראו החלטה מצ”ב).
- קפריסין
- בפתח הדברים יוער, כי היה קושי רב באיתור התביעה עצמה. על כן, המידע להלן נסמך אך ורק על דיווחים בתקשורת.
עובדות המקרה: על-פי הסיקור התקשורתי, מדובר בתביעה שהוגשה על ידי חמישה אזרחים מקסיקנים וכן אזרח קטארי (בודד) – כולם עיתונאים ופעילי זכויות אדם. התובעים טוענים שהופעלה כנגדם תוכנת ריגול בין השנים 2014-2016 שפותחה על ידי החברה.[10] לפי הדיווחים בתקשורת, נטען כי התביעה שהוגשה בבית המשפט המחוזי בתל-אביב על-ידי מר עבד אלעאזיז אלזהראני, הינה זהה לתביעה שהוגשה בקפריסין.
טענות משפטיות: לא הצלחנו לאתר את התביעה עצמה. אולם, כאמור, על-פי דיווחים בתקשורת, היא אמורה להיות זהה לזו שהוגשה בישראל על-ידי מר עבד אלעאזיז אלזהראני, ונסקרה לעיל.
הסעד המבוקש: היות ואין בידינו התביעה עצמה, לא ידוע לנו מהו הסעד המבוקש מהחברה.
סטטוס התביעה: למיטב ידיעתנו, התביעה הוגשה לא מזמן. אין בידינו מידע נוסף.
הליכים שאינם משפטיים
- מכון Citizen Lab, אוניברסיטת טורונטו –The Citizen Lab, interdisciplinary laboratory based at the Munk School of Global Affairs & Public Policy, University of Toronto
רקע: במאי 2019, לאחר פרסום הטענות כלפי החברה באמצעי התקשורת השונים, פתח מכון מחקר בשםCitizen Lab (להלן: המכון) באוניברסיטת טורונטו מחקר נרחב ומקיף על התנהלות החברה, ופרסם מספר דוחות בנושא.[11]
ב- 18 ליוני 2019, פורסם מכתב שנשלח לחברת , לאחר שפרסמה את תמיכתה בחברת אן. אס. או ואת כוונתה לרכוש בה מניות.[12] בהודעתם לתקשורת, לטענת המכון, טענו חברת Novalpina כי בכוונתם לערוך שינויים בחברת אן. אס. או שיקדמו ציות לעקרונות האו”ם לשילוב עסקים וזכויות אדם.[13] לאורך המכתב מפרט Citizen Lab על כשליה של חברת Novalpina בעבר לשמור על זכויות אדם באמצעות הטכנולוגיות שרכשה, ומדוע עליה ליישם את הכללים יותר באדיקות משיישמה אותם בעבר.
להלן תפורט הביקורת המרכזית שעולה מהמכתב כלפי Novalpina וחברת אן.אס.או:
- לטענת המכון, החברה נמנעת ממענה על שאלות הנוגעות להפרות שביצעה לכאורה, בשל טענות לחסיון. בתגובה ספציפית לשאלה שנשאלה חברת Novalpina, השיבה כי המידע מסווג ונוגע לחקיקת “ביטחון לאומי” (“[t]he underlying information relating to such investigations is highly confidential, with disclosure explicitly prohibited under national security legislation”)
- לטענת המכון, הסירוב המתמשך של חברת Novalpina למסור פרטים על הפרות עבר (past abuses) אינו עולה בקנה אחד עם עקרונות האו”ם לעסקים וזכויות אדם נשואי המכתב הנ”ל. לפי עקרון מס’ 21, חברות ועסקים צריכים לדווח באופן רשמי כיצד הם מתייחסים לסיכונים לפגיעה בזכויות אדם, ולספק מידע שיש בו כדי לבחון את הלימת הפתרונות שניתנים לפגיעות שכאלו בזכויות אדם.[14] תחת עקרון מס’ 22, על עסקים אשר זיהו אפשרות שגרמו בפעילותם או תרמו להתרחשותן של הפרות של זכויות אדם, להביא לשינוי או לשתף פעולה עם התרופות המתאימות להפרה באמצעות הפעלת הליך לגיטימי (should provide for or cooperate in their remediation through legitimate processes).[15]
למיטב ידיעת Citizen Lab ליום כתיבת המכתב לחברת Novalpina, החברות המדוברות מסרבות למסור מידע בנוגע למספר הפרות זכויות אדם שנטענו כנגדן, ובכך מונעות הערכה ובדיקה חיצונית של שמירה על זכויות אדם על ידי החברה, בניגוד לעקרונות המנחים של האו”ם כפי שנכתבו לעיל.
נוכח הסירוב למסור מידע כמבוקש, המכון גורס כי יש להניח כי החברה אינה יכולה, או אינה מוכנה (inability or unwillingness) לקחת את העניין ברצינות (בהקשר של עמידה בהתחייבויות החברה לשמירה על זכויות אדם).
- מקסיקו
בפתח הדברים נדגיש, כי לא עלה בידינו למצוא אינדיקציה בתקשורת לכך שתביעה כלשהי הוגשה בבית משפט במקסיקו כנגד החברה בנושא שיפורט להלן. אשר על כן, להלן נסקור את הפרסומים הרלבנטיים בתקשורת בנושא: יוער, כי מדובר במקרה נוסף אשר, לפי הכתבות בנושא, נחקר על ידי המכון citizen lab באוניברסיטת טורונטו.
בחודש מרץ 2019 עלו טענות בתקשורת כי נעשה שימוש בתוכנת ריגול של חברת אן. אס. או על מנת לכוון תקיפה של אלמנתו של עיתונאי מוכר במקסיקו.
על-פי הפרסומים, לאחר רצח העיתונאי המקסיקני חאבייר וולדס קרדנס (Javier Valdez Cárdenas), הידוע בסיקורו של סחר בינלאומי בסמים, החלו ניסיונות פריצה חוזרים ונשנים של מכשיר הטלפון הסלולרי של אלמנתו.[16] לטענת מכון Citizen Lab באוניברסיטת טורונטו, הודעות הטקסט שנשלחו לגריזלדה טריאנה (אלמנתו של קרדנס), גם היא עיתונאית במקצועה, טמנו בחובן תוכנה שאמורה הייתה להפוך את מכשירה הסלולרי של טריאנה למכשיר ריגול רב מימדים.[17]
[1] ראו החלטה בתיק מיום 18/11/2019 (מצ”ב).
[2] Amnesty International Among Targets of NSO-powered Campaign, 1 August 2018, 00:01 https://www.amnesty.org/en/latest/research/2018/08/amnesty-international-among-targets-of-nso-powered-campaign/
[3] לפי ההכרזה הבין-לאומית לזכויות אדם משנת 1948, סעיף 17 לאמנה הבין-לאומית בדבר זכויות אזרחיות ופוליטיות משנת 1966,
[4] סעיף 19 לאמנה הבין-לאומית בדבר זכויות אזרחיות ופוליטיות משנת 1966
[5] UNOHCHR, Declaration on the Right and Responsibility of Individuals, Groups and Organs of Society to Promote and Protect Universally Recognized Human Rights and Fundamental Freedoms, Adopted by General Assembly resolution 53/144 of 9 December 1998, article 1.
[6] סעיף 8 לחוק הפיקוח מעניק סמכות לרשות לסרב למתן רישיון או להתנותו בתנאים מסוימים, דוגמת שיקולים הנוגעים למשתמש הסופי או השימוש הסופי במוצר, (ס’ 8(7) לחוק). המוזכרים בעתירה בסעיף 75). סעיף 9 מעניק סמכות לרשות לבטל רישיון שניתן או להתלות או להגביל את הרישיון לפי השיקולים המנויים בסעיף 8 (ראו סעיף 9(א) לחוק)
[7] מס’ ההליך למעקב במערכת נט-המשפט: 28312-05-19.
[8]Is Amnesty right to say NSO failing new U.N. human rights test? Yonah Jeremy Bob, 15.10.2019 https://www.jpost.com/International/Is-Amnesty-right-to-say-NSO-failing-new-UN-human-rights-test-604224
NSO Spyware Used to Target Moroccan Human Rights Activists, Says Amnesty, Omer Kabir, 10.10.2019 https://www.calcalistech.com/ctech/articles/0,7340,L-3771734,00.html
[9] אושרה הגשת תביעה של מתנגד משטר סעודי נגד חברת הריגול הישראלית NSO, אורן פרסיקו, 29.12.2019 https://www.the7eye.org.il/355775
[10] UPDATE 2-Facebook sues Israel’s NSO Group over alleged WhatsApp hack, Raphael Satter and Elizabeth Culliford. 29.10.2019 https://www.cnbc.com/2019/10/29/reuters-america-update-2-facebook-sues-israels-nso-group-over-alleged-whatsapp-hack.html
[11] Posts tagged “NSO Group” https://citizenlab.ca/tag/nso-group/
[12] Novalpina Capital LLP to Unveil New Governance Framework at NSO Group Within 90 Days, June 14 2019 https://www.novalpina.pe/novalpina-capital-llp-to-unveil-new-governance-framework-at-nso-group-within-90-days/
[13] Letter to Novalpina Capital Regarding Statement on UN Guiding Principles, Ron Deibert
June 18, 2019 https://citizenlab.ca/2019/06/letter-to-novalpina-regarding-statement-on-un-guiding-principles/
[14] “Business enterprises should report formally on how risks of severe human rights impacts are being addressed and “[p]rovide information that is sufficient to evaluate the adequacy of an enterprise’s response to the particular human rights impact involved.” ראו המסמך השלם של העקרונות המנחים: UN Guiding Principles on Business and Human Rights, 2011, article 21 https://www.ohchr.org/documents/publications/guidingprinciplesbusinesshr_en.pdf
[15] שם, ראו עיקרון מס’ 22.
[16] NSO Group spyware used to target widow of Mexican journalist, researchers say, Sean Lyngaas
MAR 21, 2019 see: https://www.cyberscoop.com/nso-group-spyware-targeted-widow-mexican-journalist-researchers-say/
[17] Lawsuit Asks to Restrict Sales of Israeli Spyware, Lilach Baumer 02.09.18 https://www.calcalistech.com/ctech/articles/0,7340,L-3745470,00.html
הערת ירדן רובינשטיין: תיקנתי. מקווה שהבנתי נכון. בקליפורניה כתוב: NSO Group’s annual report filed on February 28, 2019, listed Defendant Q
סקירת עיתונות של ורד שפילמן על NSO
י”א טבת תש”פ
08 ינואר 2020
לכבוד
עו”ד מרלין מזל (ראש אשכול הליכים במדינות זרות),
עו”ד ורד שפילמן (הליכים במדינות זרות),
עו”ד סדריק צבע (ראש תחום סייבר),
שלום רב,
הנידון: סקירת חומרים מהתקשורת ביחס לחברת NSO
בסקירה זו, אציג את הנושאים אשר עלו בתקשורת ביחס לחברת NSO. במהלך הסקירה, עברתי על כל החומרים מהעיתונות בGoogle News ביחס לחברת NSO, וקטלגתי אותם בחלוקה הנושאית הבאה:
- תיקים
- ביקורת והצהרות
- מידע כללי על החברה
- הצהרות ודרישות ביחס לזכויות אדם
במסמך זה, אציג בקצרה את הרקע לכתבות עצמן ואת הנושאים העיקריים העולים מתוכן ביחס לנושאים שונים בחברה. כאמור, כל המידע שיוצג הינו מידע ממקורות פומביים. להלן ייסקרו הסוגיות המרכזיות:
א. תיקים:
- Amnesty v. MoD (Tel Aviv District Court)
מדובר בתביעה שהוגשה ע”י ארגון אמנסטי כנגד משרד הביטחון הישראלי, בדרישה לבטל את רישיון הייצוא של חברת NSO, בשל פגיעה ממוקדת בפעילי זכויות אדם וחוסר התגובה של משרד הביטחון לדיווחים דומים קודמים. התביעה הוגשה בפני ביהמ”ש המחוזי בת”א. התביעה היא פרי עמלם של ארגון אמנסטי, בשיתוף פעולה עם הקליניקה לזכויות אדם וצדק בין-לאומי באוניברסיטת ניו יורק (NYU). הארגון טוען, בהתאם לס’ 2(1) של הICCPR שעל המדינות לקחת צעדים אקטיביים להגן מפני פגיעה בפרטיות ע”י חברות ותאגידים שבמדינה. מתן אישור לייצוא ע”י משרד הביטחון, בהינתן שהמשרד יודע שהחברה מייצאת ומוכרת את התוכנה לממשלות שמפרות זכויות אדם, הנה הפרה של החובות לשמור על פרטיות, חופש ביטוי, וחופש דעה. הזכות לפרטיות היא כאמור non-derogable.
[להרחבה: ראו כתבות בתיקיית Cases -> Facebook and WhatsApp וכן ראו הסקירה שהכינה ירדן רובינשטיין ביחס להליכים משפטיים בענין חברת NSO].
- Former Employee Case (Criminal)
יחיאל איסקוב, בן 39 מנתניה, תוכניתן בחברת NSO גנב לכאורה קוד שלה וניסה למכור אותו בשוק השחור, בעקבות זימון לשימוע פיטורין. הוא היה בכיר בחברה ובמסגרת התפקיד קיבל גישה לשרתי החברה, לכלים שפיתחה ולקוד המקור. בעקבות הזימון לשימוע פיטורין, איסקוב גנב את מוצרי החברה במכשיר אחסון ניד. עלות המוצרים שהחזיק באחסון נאמד במאות מיליוני דולרים. המוצר שניסה לגנוב “מאפשר חשיפה והבנה מלאה של אופן פעילות המערכת”. לאחר שגנב את המוצר, ניסה למכור אותו בשוק השחור. הוא שמר את האחסון מתחת למזרון בביתו, חיפש בגוגל “כיצד לסחור ביכולות סייבר”, והתחזה להאקר וניסה למכור את המוצר בתמורה ל50 מיליון דולר שישולמו במטבעות וירטואליים. אחד מהקונים הפוטנציאליים דיווח על כך לNSO. הוא נעצר והואשם בניסיון לפגיעה ברכוש באופן שיש בו לפגוע בביטחון המדינה, גניבה בידי עובד, וביצוע פעולת שיווק ביטחוני ללא רישיון שיווק ביטחוני, ושיבוש והפרעה לחומרי מחשב. פעולותיו של איסקוב סיכנו באופן ממשי את חברתNSO ויכלו להביא לקריסתה. החומרים שנגנבו אפשרו גם בנייה של כלים שיחסמו את מוצרי NSO ולבנות נשקי סייבר אחרים. לבסוף נקבע במסגרת הסדר טיעון שירצה חמש שנות מאסר וישלם 100 אלף שקלים. יחד עם זאת, בכתב האישום המתוקן בו הודה והורשע, אין זכר לעבירות ביטחוניות כפי שהיה בכתב האישום המקורי. יש הטוענים שפרשה זו היא שהביאה לקיצה את אפשרות הרכישה של חברת ורינט האמריקאית את חברת NSO בשווי מיליארד דולר, אף שדיווחים סותרים אומרים שהעסקה נדחתה מסיבות אחרות.
[להרחבה: ראו כתבות בתיקיית Cases -> Former Employee Case].
- Facebook and WhatsApp Case
חברת וואטסאפ, וחברת האם שלה פייסבוק, תובעות את חברת NSO הישראלית על פריצה לטלפונים ניידים באמצעות פרצת אבטחה באפליקציית וואטסאפ בשביל ריגול אחרי עיתונאים, עורכי דין, פעילי זכויות אדם, מיעוטים פוליטים, דיפלומטים ונציגי ממשלות. מדובר בפריצה לכאורה של 1400 מכשירים בארבעה יבשות. התביעה הוגשה לביהמ”ש הפדרלי בסן פרנסיסקו. לפי התביעה, חברת NSO יצרה הודעות פתיחת שיחה שהכילו קוד זדוני, שהופיע למשתמש כשיחת וידיאו רגילה כאשר ברקע הותקן קוד בזיכרון של הטלפון, אפילו כשהשיחה לא נענתה. הקוד התקשר עם שרתי החברה וחברת NSO יכלה לחטט בתכני וואטסאפ ושאר המידע שבטלפונים הניידים. בין האנשים שהיוו מטרה- אנשים מבחריין, איחוד האמירות וערב הסעודית, פעילים מתנגדי שלטון מרואנדה וכו’. חברת וואטסאפ הודיעה לעיתונות כי: “בווטסאפ אנחנו מאמינים שלאנשים יש זכות יסוד לפרטיות, ושלאף אחד אחר לא צריכה להיות גישה לשיחות הפרטיות שלנו”. בעקבות התביעה עזב חבר דירקטוריון החברה, זמיר דב”ש, בשל העובדה שמשרד הפרסום שלו מייצג גם את חברת פייסבוק. [להרחבה: ראו כתבות בתיקיית Cases -> Facebook and WhatsApp Case].
מצורף לתביעה, בין היתר,חוזה של החברה עם ממשלת גאנה משנת 2015 באמצעות חברה מקומית בשם Infralcos. נטען, כי על-פי החוזה פרט לחומרה, ניתן שירות הדרכות, אספקה של ציוד חומרה, ומרכז תמיכה 24/7/365. אין כחלק מהחוזה הגבלה של שימוש או חובה לעמוד בתנאי המשב”ל כפי שטענו. [להרחבה על סוגיה זו, ראו כתבות בתיקיית General Company Information -> Scandals -> Ghana ; כמו כן ראו Vice- NSO’s Spying Contract Doesn’t Limit Use of its Hacking Tools to Terrorism and Crime (30.10.2019); Haaretz- NSO Gives Lots of Justifications for Selling Spy Tech. Facebook’s Law Suit Proves Them Wrong (19.11.2019)].
התביעה של וואטסאפ מבוססת על הComputer Fraud and Abuse Act, בטענה ש NSO הפרה את החוק בשל כניסה לשרתים ללא אישור מוואטסאפ. יחד עם זאת, מדובר בפרשנות בעייתית- כך לא ניתן להעלות על הדעת בפרשנות דומה שתהיה דרישה לפנות לגוגל על מנת לשלוח מייל ללקוחות בגמ’ייל [New York Times- Whatever You Think of Facebook, the NSO Group is Worse (6.11.2019)].
יש לציין גם כי לא ברורה של מי האחריות- זה שניצל את החולשה או זה שפיתח פלטפורמה עם חולשה. כמו כן, הפרת כללי השימוש של וואטסאפ לא מהווה כשלעצמה הפרה של החוק, וכן כי וואטסאפ לא הזהירה את NSO לפני התביעה. המעורבות של פייסבוק בתביעה כזו עלולה לחזק את התפיסה של כוח מופרז שלה במלחמה בחברות אחרות כחלק מהמעמד המונופולי שלה, במקום שהתביעה תהיה דרך ארגונים אחרים [גלובס- פייסבוק נגד NSO: מה עומד מאחורי התביעה המפתיעה (30.10.2019)]. פייסבוק כך היא החוקרת, התובעת והשופטת- לאור מחיקת החשבונות [ראה: גלובס- NSO מסתבכת עם פייסבוק- השבוע בהייטק (2.11.2019)]. פרשה זו עלולה גם להביא ל”ייבוש” של ענף גילוי חולשות הסייבר, ולהעביר את הכוח למדינה למציאת כוח זה לצורך אכיפת חוק [Lawfare- WhatsApp Suit Against NSO and the Limits of Lawful Hacking (5.11.2019)].
יש להכניס למערך השיקולים את אמירתו של השר גלעד ארדן ביחס לחברת פייסבוק ש”יש לה דם על הידיים” כיוון שלא מונעת פיגועי טרור שמפורסמים ומתוכננים מראש בשירותיה, דבר שהוביל למעין שיתוף פעולה עמם [IMEM News- Facebook Sues NSO (10.11.2019)].
- NSO Workers Facebook Block Case
שמונה עובדי חברת NSO תובעים את חברת פייסבוק בביהמ”ש המחוזי בת”א כיוון שהחברה חסמה את חשבונות הפייסבוק והאינסטגרם שלהם, של עובדים לשעבר ושל בני משפחותיהם. חברת פייסבוק הגיבה כי חברתNSO עברה על החוק האמריקאי, ולכן החסימה תעמוד על כנה. הפרשה התפרצה בעקבות תביעת החברה את NSO. [להרחבה: ראו כתבות בתיקיית Cases -> NSO Workers Facebook Block Case].
- US Senator Investigator
סנטור משפיע מארה”ב סיפר לעיתון הגארדיאן שהוא בוחן פריצה לטכנולוגיות של אזרחים אמריקאים ע” חברת NSO, תוך פגיעה בביטחון הלאומי. הדבר מתרחש בעקבות התביעה של WhatsApp נגד NSO בישראל. [ראה תיקייה Cases-> US Senator Investigation].
- Saudi Khashoggi Murder
NSO הקפיאה את המסחר של החברה הישראלית עם סעודיה בעקבות רצח העיתונאי הסעודי מתנגד המשטר, ג’מאל חשוקג’י בקונסוליה הסעודית באיסטנבול. החברה טענה שביצעה תחקיר פנימי לפיה הטכנולוגיה שלה לא הייתה מעורבת ברצח הזה. עומר עבדול עזיז, פעיל חברתי סעודי שגר בקנדה, תובע את NSO בביהמ”ש המחוזי בת”א בטענה שסייעו לממשל הסעודי ושאבו מידע על שיחות העיתונאי שנרצח. [להרחבה ראו תיקייה Cases -> Saudi Khashoggi Murder. להרחבה על התיק בארץ ראו הסקירה שנשלחה על-ידי ירדן רובינשטיין ביחס להליכים משפטיים בענין חברת NSO].
- UAE and Mexico Cases (Cyprus and Israel)
הניו יורק טיימס פרסם כי חברת NSO סייעה לכאורה לאיחוד האמירויות לרגל אחרי שליטי קטאר וסעודיה, וכן למתנגדי משטר. העיתון פרסם בתאריך מוקדם יותר תחקיר, לפיו סייעו לממשלת מקסיקו לעקוב אחרי עיתונאים. כתוצאה, הובאו שתי תביעות בקפריסין ובישראל. התביעות הוגשו ע”י אזרח קטארי ועיתונאים פעילים ממקסיקו.
NSO מכרה את המוצר לממשלת מקסיקו עם תנאי מפורש לשימוש נגד פושעים וטרוריסטים, אך פעילים נפלו קורבן. גם ממשלת פנמה רכשה את אותה תוכנה, והשתמשו בה בשביל לרגל אחרי יריבים פוליטים. המיילים המודלפים מראים שחברה קשורה לNSO השתמשה לריגול אחרי בכירים במדינות זרות. עולה מהמיילים שהאמירויות ביקשו ב2014 לצוטט לאמיר קטאר וליורש העצר הסעודי מוטאיב בן עבדאללה. האמירויות תמכו ביריבו של מוטאיב לכתר- מוחמד בן סלמר. [להרחבה ראו תיקייה Cases -> UAE and Mexico Cases (Cyprus and Israel)].
- הצהרות וביקורות:
- האו”ם
הדווח המיוחד של מועצת האו”ם לזכויות אדם לקידום הגנה על הזכות לחופש ביטוי, דיוויד קיין, האשים את ישראל בכך שאינה מספקת פיקוח נאות על חברות שעושות שימוש לרעה בטכנולוגיות מעקב ממוקדות שנמכרות בשוק החופשי לממשלות בעולם, כולל ממשלות עם עבר שלילי ביחס לזכויות אדם. בדו”ח מצויינת חברת NSO כאשר, בגרסת הטיוטה היו לצדה ארבע חברות סייבר ישראליות נוספות ששמותיהן הוסרו בגרסה הסופית. קיין מתייחס גם לתביעה של ארגון אמנסטי, אשר נסקרה לעיל. כמו כן, קיין שלח מכתב לחברת NSO בה הוא מבקר את מדיניות זכויות האדם החדשה של NSO. אף שבירך על המאמץ להגנה על זכויות אדם במגזר הפרטי, הוא סבר שהמדיניות של NSO מעלה שאלות רבות. [להרחבה ראו כתבות בCriticism and Statements -> UN Statements].
- יחידים ודעות
בתיקייה זו מצויינים מספר רב של כתבות דעה ביחס לחברת NSO, והיחס לשמו של ענף ההיי-טק בישראל [תיקיית Criticism and Statements -> UN Statements]. כמו כן, נציין את אמירת השר זאב אלקין כי אין מעורבות ישראלית בפרשה: . יש להדגיש את אמירתו של אדווארד סנודן שאמר כי NSO והישראלים הם הגרועים ביותר מקרב אלה שמוכרים כלי ריגול המשמשים לפגיעה בזכויות אדם. הוא טען כי הציבור הישראלי לא מוטרד משום שהוא בטוח בתעשייה, אבל צריך לחשוב על המודל באופן רחב וכלפי מי זה משמש. סנודן טען שהחליט לדבר על הנושא עם הציבור הישראלי משום שהאמין שזה נושא חשוב, על אף שחבריו ייעצו לו לא לעשות כן בשל הכיבוש הישראלי [ראה כלכליסט- אדווארד סנודן: NSO הישראלים הם הגרועים שבגרועים (6.11.2018)].
- NSO
שירי דולב, נשיאת אמרה שהדיון החברתי ביחס לחברה היה אחר אם ניתן היה לחשוף את הצלחות החברה ואת המחבלים והפדופילים שנעצרו באמצעות הטכנולוגיה שלהם. היא כפרה במושג “חברת ריגול” אלא הבהירה שמדובר בחברת טכנולוגיה שמסייעת לארגונים ממשלתיים. כמו כן, אמרה בראיון בלעדי ל”ליידי גלובס” כי היא רואה בעצמה סוג של שגרירה ישראלית-ציונית-ערכית. היא טענה שמנסים לפגוע בה רק בגלל ההצלחה וההשפעה הרבה שיש להם בטווח כל כך קצר.
בוקי כרמל, יועץ לחברת NSO (לשעבר ראש הרשות הלאומית להגנת סייבר, מקים חטיבת הטכנולוגיה של המלמ”ב) סיפר כי הטכנולוגיה היא רק לגופי מודיעין ממשלתיים תחת מסגרת נוקשה של כללים, וסטנדרט אתי שנקבע ע”י ועדת אתיקה עצמאית שמורכבת ממומחים בעלי שם עולמי בתחום יחב”ל וזכויות אדם. הוועדה יכולה להטיל ווטו על סמך חשש שרקע פוליטי יביא לניצול להליכים לא ראויים.
קרן הVC נובלפינה, שסייעה למייסדי NSO לרכוש את החברה חזרה מפרנסיסוק פרטנרס, מעוררת חששות בקרב ארגוני זכויות אדם ולכן אמרה כי ביצעה את בדיקת הנאותות הנדרשת. הקרן אמרה כי הצפנה מקצה לקצה מהווה קושי לרשויות אכיפת החוק.
[להרחבה ראו תיקייה Criticism and Statements -> NSO].
- Citizen Lab (University of Toronto)
מכון Citizen Lab הוקם באוניברסיטת טורונטו בשנת 2001 ע”י פרופ’ רונלד דייברט, ועוסק בחקר איומים דיגיטליים על פרטיות וזכויות אדם.
ד”ר ביל מרזק, עמית מחקר בכיר בCitizen Lab תקף את מדיניות “חברת הריגול” וציין כי הביקורת הפנימית של NSO לא מספקת. חברות פרטיות שמוכרות מוצרים לכוחות אכיפת חוק ומאפשרות פריצה טוענות שצריך פתרון לגישה של מכשירים כאלה, ואז משתמשות בכך נגד רופאים, עו”ד, מנהיגי חברתיים וכו’. כך לדוגמא: החברה מוכרת רק למלחמה בטרור, אך בסעודיה לעג לבית המלוכה הסעודי וביקורות אחרות נחשב כטרור.
ד”ר ג’ון סקוט ריילטון מהמכון דיבר על כך שמדינות צריכות ריגול, אך אלה שלא מספקות בעצמן פונות לחברות לוואי, שמוכרות שירותים שיש להם תוצאות לוואי הרסניות. וואטסאפ שיתפו פעולה איתם לגלות מקרים של מטרות לריגול שאינן אכיפת חוק- במסגרת הסכם חשאיות עם וואטסאפ. אלה שעקבו אחריהם כוללים שדרנים, עיתונאים, אנשי אקדמיה, פעילי אופוזיציה, נשים שנפלו קורבן לאלימות מקוונת ומנהיגים דתיים. פעילות זו זוהתה במסגרת 45 מדינות- לרבות קנדה, ארה”ב, בריטניה, איחוד האמיריות, מצרים, סעודיה, ישראל, לבנון, ירדן ושטחי הרשות, ברזיל, קניה, דרום אפריקה, פולין, שוויץ, וכו’. NSO הגיבה בטענה שהדו”ח מלא בליקויים.
הדרך שבה פעלו היא סריקה של השרתים ששימשו לשליטה במכשירים נגועים- לכל אחד משרתים אלה מקושר דומיין שמשמש את המכשיר הנגוע כדי לגשת לשרת. הזיהוי של השרת הוא לא דומיין אלא כתובת IP. ההבדל בין דומיין לכתובת IP דומה להבדל בין שם איש קשר למספר הטלפון שלו. כדי להבין את איתור הIP פנו לשירות DNS- שמחבר בין IP לדומיינים, וכך ניטרו את המקומות והאנשים. מאוחר יותר, חוקרי Citizen Lab טענו שזיהו ניסיונות לרגל אחרי פעילותם.
[להרחבה: ראו כתבות בתיקיית Criticism and Statements -> Citizen Lab (University of Toronto). להרחבה נוספת בנושא של Citizen Lab ראו גם הסקירה שערכה ירדן רובינשטיין ביחס להליכים משפטיים ומחקריים כנגד חברת NSO].
- מידע כללי על החברה:
- מיזוגים ורכישות
NSO נוסדה ב2009 ע”י שלו חוליו, עמרי לביא וניב כרמי. כרמי פרש לאחר שלושה שבועות. חוליו מנכ”ל החברה, ולביא דירקטור. ב2014, 60% ממניות החברה נמכרו לפרנסיסקו פרטנרס תמורה ל110 מיליון דולר, כאשר חוליו ולביא נשארו עם 11% מהמניות כל אחד.
ב2017 היו מגעים של NSO עם קרן בלאקסטון האמריקאית לקנות 40% ממניות החברה תמורת 400 מיליון דולר, שנכשלו.
ב2018 בחנה קרן ורינט הישראלית-אמריקאית אפשרות לרכישת החברה תמורת מיליארד דולר. עסקה זו בוטלה בין השאר בשל פרשת העובד הפנימי שחשף מידע על החברה – שתיסקר בהמשך.
טענה אחרת הייתה שהעסקה הייתה טובה לבעלי המניות אך לא לחברה ככלל.
בשנה זו חברת NSO הייתה במו”מ עם בני גנץ לרכישת חברת המימד החמישי שמפתחת מערכות בינה מלכותית לעיבוד נתונים בתחום המודיעין.
הסיבה שהמו”מ כשל היה שממשלת ארה”ב החליטה להטיל הגבלות על עסקאות עם האוליגרך ויקטור וקסלברג, אחת המשקיעים הגדולים של המימד החמישי. לכן, חברת NSO שבעלי השליטה בה הם פרנסיסקו פרטנרס האמריקאים, ביטלו את העסקה. ב2019 מייסדי החברה, חוליו ולביא, גייסו 500 מיליון דולר למימון הרכישה של החברה מבעלי השליטה- פרנסיסקו פרטנרס.
הקרן סייעה למייסדי NSO לרכוש את החברה חזרה מפרנסיסוק פרטנרס, תמורת כמיליארד דולר כאשר 500 מיליון מתוכם גויסו מהבנקים קרדיט סוויס וג’פריס. [ראו להרחבה כתבות General Company Information -> Finance, Sales, Mergers and Acquisitions].
- מידע על יחידים בחברה (מייסדים, בעלי מניות וכו’)
ישנן מספר דמויות חשובות ביחס לחברת NSO,כעולה מכתבות שנסקרו:
- שלו חוליו ועמרי לביא הם מייסדים של החברה. הם שניהם בוגרי 8200. הם נבחרו להיות חלק מ100 המשפיעים של דה מארקר.
- זמיר דחב”ש– חבר דירקטוריון NSO וראש משרד הפרסום “שלום ת”א” ויועץ התקשורת של חברת פייסבוק וחברת NSO שעמד בראש הפרסום שלהם. הוא עזב בשל הגשת התביעה ע”י פייסבוק.
- תמי מזל שחר הייתה ראש NSO שהובאה ע”י ערן גורב- בכיר בפרנסיסקו פרטנרס- עזבה את החברה אחרי 4 שנים בחודש מאי ומיד מונתה ב29.12.2019 לראש חברת Incredibuild.
- גיא ברנר- עובד לשעבר של NSO שנחסם בפייסבוק ובאינסטגרם התחיל את התביעה נגד פייסבוק. אליו הצטרך גם יוג’ין שרמן, לשעבר ראש מחלקת המידע והIT של NSO.
- יאנה פיל- מנהלת גלריות אומנות יוקרתיות בלונדון שהייתה גם בעלת מניות בקרן נובלפינה ששולטת בחברת NSO, נאלצה לפרוש מתפקידיה בעולם האומנות בשל ביקורת ציבורית רבה שעלתה ע”י ארגוני זכויות אדם בשל פרסום עיתון הרגידאן.
- בוקי כרמל, לשעבר ראש ראשות הסייבר ויועץ לחברה- כתב מאמרי דעה שבהן תמך באופן פומבי בNSO.
- עו”ד שמואל סנראי, היועמ”ש לחברת רפאל במשך ה-14 השנים האחרונות, הצטרף כיועמ”ש לחברת NSO ב29.7.2019.
- לפני מספר ימים, פורסם כי הצנזורית הצבאית הראשית ביקשה להקדים את פרישתה מצה”ל בשל הצעה להצטרף לNSO כמנהלת קשרי הציבור והרגולציה של סייבר.
- החברה מינתה מספר יועצים פנימיים- טום רידג’ (ראש ביטחון פנים לשעבר בארה”ב), ג’רארד אורד (שגריר צרפת לישראל ולארה”ב לשעבר), וג’וליאט קאיים (פרופ’ בהרווארד).
- סתיו שפיר קיבלה תרומות לפריימריז שלה מאביטל חוליו בת זוגתו של שלו חוליו מייסד NSO.
[ראו להרחבה כתבות General Company Information -> Founder, CEO and Other Personal Information].
- מידע על המוצר
ישנן הרבה כתבות עם המון ביטויים טכניים ביחס ליכולות NSO, כאשר לא בטוח מהימנות התוכן מעבר לעובדה שניתן בתוכנה לרגל עכשיו מכשירים במספר רב של יעדים. כמו כן, ישנו דיון ביחס למעקב, ריגול וזכויות אדם, והעובדה שהמידע נמכר לממשלות זרות- בין אם הן מוכרות ככאלו אשר שומרות על זכויות אדם ובין אם לא [ראו להרחבה כתבות General Company Information -> Product Information].
- פרשיות
ישנן מספר פרשיות, שאף שלא כולן עלו לכדי תביעות כשלעצמם (אף שחלקם הרכיבו במידה מסוימת תביעות אחרות). ניתן לקרוא עליהם בהרחבה במסגרת כתבות בתיקייה [General Company Information -> Scandals]. להלן אסקור את העיקריות שבהן:
- בלק קיוב- חברת בלק קיוב, שסייע להארוי ווינשטיין, סימנה ועקבה אחרי שישה אנשים שהיו מעורבים בתביעות נגד חברת NSO.
- DEA- המחלקה לאכיפת וניהול סמים בממשלת ארה”ב (DEA) רצתה לרכוש שירותים מחברת NSO. הם יצאו מהמו”מ, בגלל המעורבות הבעייתית של החברה ובשל העלויות הגבוהות של שירותיהם.
- גאנה- חברת NSO מכרה לממשלת גאנה ב2015 באמצעות חברה קשורה בשם Infralcos חומרה ושירותים בתמורה ל4 מיליון דולר. העסקה נחשפה במקרה בשל הליכים משפטיים, כשבין המסמכים שמצורפים לתביעה הרלבנטית שהגישו פייסבוק וואטס אפ היה החוזה המדובר. בכתבות נכתב, כי אין במסגרת החוזה הגבלה של שימוש או חובה לעמוד בתנאי המשב”ל כפי שטענו, דבר שמעלה חשש ביחס לפגיעה בזכויות אדם ע”י המשטר.
- גוגל- באוקטובר 2019 עדכנה חברת גוגל, בעקבות גילוי של חוקרת האבטחה של החברה הגב’ מאדי סטון, את משתמשיה על פירצה שנמצאה במכשירים רבים שלה, לרבות סמסונג, שיואמי, וואוי ופיקסל. גוגל ייחסה את הפירצה לחברת NSO, כאשר NSO הכחישה זאת בכל תוקף. לדברי גוגל, הפירצה אפשרה להגיע לליבת מערכת ההפעלה ולהגיע לרוב המידע על המכשיר, ולהשתלט על המכשיר מרחוק.
- הודו ופקיסטן- לפי מקורות זרים ודיווח של עיתון הגארדיאן, הטכנולוגיה של חברת NSO שימשה את הודו בריגול אחר לפחות 20 בכירים פקיסטניים ע”י הודו באמצעות חדירה לתוכנת הוואטסאפ שלהם. הסוגיה מתקשרת גם להפצת סרטונים אינטימיים באוניברסיטה בהודו.
- מרוקו- לפי ארגון אמנסטי, השתמשו בNSO כדי לעקוב אחרי פעילי זכויות אדם במרוקו. NSO הודיעו שיחקרו את הנושא. בין הפעילים מעטי מונג’ב- היסטוריון, עיתונאי ופעיל חופש ביטוי ועבד אלצאדק אלבושתאוי, פרקליט זכויות אדם המוכר במחאות נגד הממשל.
- איחוד האמירויות- הניו יורק טיימס פרסם כי חברת הסייבר DarkMatter העסיקה קבוצה של עובדים לשעבר של NSO. העובדים עבדו ישירות עם אנשי שירות הביטחון והמודיעין של האיחוד, והיו מעורבים במעקב אחרי האקטביסט אחמד מנסור שנשלח למאסר באמירויות. יתרה מכך, אפליקציית ToTok הוסרה מחנויות האפליקציות בשל דיווחים שקושרים אותה לשירותי ריגול באיחוד האמירויות, ולאור העובדה שווטסאפ, סקייפ ופייס-טיים לא חוקיים באמירויות.
- הפריצה לוואטסאפ- “פיננשל טיימס” דיווחה כי חולשת אבטחה אפשרה לשתול בסמרטפונים את תוכנת NSO. בעקבות דיווח זה החלה תביעה מאוחרת יותר, אך בשלב זה הדיווחים הם על הפרשה שקדמה לכתב התביעה. NSO ניצלה את פירצה זו לשלוח את תוכנת הריגול לבכירים במספר מדינות, כולל בעלות ברית. החולשה שהתגלתה אפשרה להתקין תוכנת ריגול על מכשיר המשתמש ולקבל גישה מלאה על המחשב. לא היה אפילו צורך שהמטרה יענה לשיחת ועידה. הובהר שישראלים לא נפגעו.
- מחויבות לזכויות אדם:
במכתב פתוח פנו אמנסטי אינטרנשיונל וארגונים אחרים, לרבות עיתונאים ללא גבולות, מכון ברנשטיין לזכויות אדם בNYU, Human Rights Watch ועוד – לקרן נובלפינה קפיטל. זאת, בדרישה למנוע מקבוצתNSO שבה הקרן שולטת מלהפר זכויות אדם באמצעות הכלים שהיא מייצרת.
הקרן הודיעה מיד עם הרכישה כי היא מעוניינת בלגיטימציה בינלאומית. לכן, החברה הודיעה על שינוי כללי האתיקה של החברה כך שיתאמו את כללי האו”ם, וליצור מדיניות פנימית שנועדה למנוע הפרת זכויות באמצעות המוצרים שלה. לאור לחץ זה, ולצד תביעות שעלו כנגדה, הודיעה חברתNSO ב10.9.2019 כי בכוונתה לבצע התאמות לכללים המנחים של האו”ם לעסקים ולזכויות אדם, ולהיות הראשונה בענף הסייבר לעשות זאת. במסגרת ההתאמות פרסמה שני מסמכי מדיניות בנושא. כמו כן, הודיעה החברה על בקרה תקופתית של מסמכי ונהלי המדיניות ע”י מומחים חיצוניים וארגוני זכויות אדם. בין הנהלים: נהלי בדיקת נאותות של הפעילות העסקית, תהליכי מכירה של החברה לזיהוי פוטנציאל לפגיעה בזכויות אדם, התחשבות בביצועי עבר של זכויות אדם וממשל תקין, מחוייבות חוזית להגבלת שימוש למניעת פשיעה בלבד.
האו”ם הגיב ביחס להצהרות בחברה וטען שהמדיניות בפועל ריקה מתוכן, וכי לחברה אין יכולת אמתית על סמך פעילותיה כרגע לנטר את השימוש במוצריה כדי למנוע פגיעה בזכויות אדם.
החברה מינתה מספר יועצים פנימיים- טום רידג’ (ראש ביטחון פנים לשעבר בארה”ב), ג’רארד אורד (שגריר צרפת לישראל ולארה”ב לשעבר), וג’וליאט קאיים (פרופ’ בהרווארד).
[ראו הרחבה- בתיקיית Human Rights Pledge, Demand and Response].
עיקרי טיעון בערעור של NSO בבית המשפט העליון האמריקאי
כשהתיק הגיע לעליון בוושינגטון התבקש יועמ”ש ממשלת ארה”ב לחוות דעה. היועמ”ש חיווה דעתו נגד NSO שאין לה סיכוי בערעור. בעיקרי טיעון אלה NSO טוענת שיועמ”ש ממשלת ארה”ב טועה וכן מגיעה לה חסינות, כקבלנית וסוכנת של מדינת ישראל.
NSO מבקשת להשוות את מעמדה לזה של עובדי מדינה. כשעובדי מדינה ישראלים או זרים אחרים נתבעים, חוק חסינות המדינות הזרות FSIA לא חל, אבל עדיין יכולים לדרוש ולהוכיח חסינות על סמך ההלכות הבריטיות הישנות של המשפט המקובל. ככה נקבע בפס”ד סמנטר. NSO מבקשת שגם לה יתנו חסינות לפי ההלכות הישנות של המשפט המקובל כמו לעובדי מדינה.
אבל היועמ”ש האמריקאי חיווה דעתו שלא מגיע ל NSO חסינות, והוא גם סירב לתת לה חסינות דיפלומטית SOI – שזו איגרת דיפלומטית שדומה ל”תעודת חיסיון ממשלתית”.
NSO משבחת את עצמה ככלי הכי יעיל במניעת טרור, ושהיא מפוקחת היטב ע”י ממשלת ישראל, ושבמתקפת טרור בלונדון התגלה שהערבושים התכתבו בווצאפ כמה דקות לפני המתקפה.
אבל זה טיעון פסיכי כי יש טלגרם, סיגנל, ועוד אין ספור תוכנות סמס, וחוץ מזה השופט הראשון אמר שהוא לא מוכן לתת חסינות לסוכנת הקבלנית NSO אלא אם כן יתייצב גוף שמוכן להודיע כי הוא ישלם את הפיצוי, אם התובעים יזכו. הכוונה כמובן למדינת ישראל. לכך עוה”ד של NSO לא ענו בכלל.
NSO v Whatsapp Supreme Court Appeal Supplemental Brief of NSO 2-12-2022
See “Supreme Court declines to block WhatsApp lawsuit over NSO phone hacking”, TechCrunch, 9/1/2023
https://techcrunch.com/2023/01/09/whatsapp-green-light-lawsuit-nso-group-supreme-court/
ראו עדכון של Reeves Anderson למרלן מזל ש NSO הפסידה בבימ”ש עליון בארה”ב
שימו לב כמה מכותבים יש במשרד המשפטים לתביעה זו נגד NSO ע”י ווצאפ שבה מדינת ישראל אינה נתבעת: איתי אפטר, טל שטרית, יעל ויינר, ענבר לינהרד, חיים ויסמונסקי, מורן אשוואל, עומר פסטל, דוד גולדפרב, גלעד נועם, שרון גפן, טל גרוס ו”אדם W ממשרד ראש הממשלה.
כולם מאוד מאוכזבים שהתיק חוזר לבימ”ש פדרלי מחוזי מבלי ש NSO קיבלה חסינות כסוכנת של מדינת ישראל.
כתב התביעה של ווצאפ ופייסבוק נגד NSO בקליפורניה
כתב תביעה ווצאפ ופייסבוק נגד NSO בקליפורניה
סקירת ספקי שירותי רוגלות לפרקליטות – מאת אסתר מנדלסון
TOP ISRAELI CYBER COMPANIES IN RELEVANT FIELD
The following is a brief overview of some of the major players in the cyberweapon industry. These companies produce offensive cyberweapons, but some also offer cyber security (defensive) solutions. It is important to note that while several articles mentioned companies like Fifth Dimension, Picsix, Senpai, WiSpear (launched in Israel, but based in Cyprus), and Cytrox, there does not appear to be enough public source information about them – let alone information regarding internal compliance policies. Many of these companies are not easily searchable and some do not even appear to have websites.
Of the companies reviewed, none seems to have a comprehensive policy regarding sale of products to problematic actors – most do not appear to have ethics policies of any kind; those companies which do are dual companies (i.e. companies which offer both offensive and defensive products, e.g. Elbit).
Ability Inc.
- Off-air cellular and satellite interception and geo location
- “Our products are restricted to authorized government agencies only.”
- Cellular interception products: ULIN, GoDown
- Former member of NSO group; merged with Cambridge
- No information regarding specific internal compliance policies
Elbit – CYBERBIT
https://elbitsystems.com/about-us-major-activities-intelligence-and-cyber-systems/
- Intel product: WIT
- Collection from PC product: PSS
- Collection from Internet product: OSINT
- Interception product: TARGET360
- “CYBERBIT’s customers include governmental, intelligence, homeland security and law enforcement authorities as well as commercial customers.”
- Extensive list of general ethics compliance policies, but none that specifically deal with cyberweapons (e.g. “Conflict Minerals Compliance Policy”, “Whistleblower and Investigations Procedure”, “Code of Business Conduct and Ethics”)
Rayzone
- Interception, cyber intel, location, and OSINT products, as well as cyber security products
- “intelligence solutions for national agencies”
- No indication of internal compliance policies on company website, however, they have a Legal and Compliance Officer (profile on LinkedIn)
Verint
https://www.verint.com/our-company/
- “Our products are used every day by security and intelligence organizations globally to support their missions. We are proud to help make the world a safer place.”
- “Core values”: integrity, innovation, transparency, humility, and passion
- “The Verint Code of Conduct provides Verint employees with comprehensive guidance on important ethics and compliance issues and delivers a framework for making good decisions and communicating concerns. We also strive to achieve more complete compliance through training and guidance. Verint employees are required to undergo training in a variety of matters pertinent to our business, including the Code of Conduct, Foreign Corrupt Practices Act, and Insider Trading, among others.”
- Privacy policy re: collection, use, and disclosure of personal information https://www.verint.com/our-company/legal-documents/privacy-policy/
- No indication of specific internal compliance policies; no indication that they sell only to governments; job posting for “Director of Internal Controls” – the posting says that experience s required, but it is also listed as an internship
D-Fend Solutions
https://www.d-fendsolutions.com/
- Drone company
- Sells to governments and private corporations (including prisons, airports, media providers, etc.)
- Drones work on an “autonomous end-to-end system that takes over communication links of rogue commercial drones and lands them safely in a designated zone”
- Drones have tracking, data extraction, and friend-foe identification capabilities
- Rafael and the Israel Aerospace Industries (IAI) are listed as partners
- No indication of compliance policy
Cellebrite
https://www.cellebrite.com/en/home/
- Data extraction and de-coding as well as analytics products
- Company also sells devices with built-in software
- No indication of compliance policy, however, the company posted a position for a Compliance Officer
Jenovice
- Website lists “target audiences” as law enforcement and national security agencies, cyber crime units, military special forces, and “high level prisons” – the latter can include state or government institutions, depending on the country, so it is unclear as to whether this company sells to private entities
- Recently participated in exhibitions in the Czech Republic and Colombia
- “tactical solutions in the field of Offensive Cyber Security”
- No indication of compliance policy
Cobwebs Technologies
- Sells to government agencies, military and law enforcement, as well as private entities
- Dark web solutions; metadata extraction
- Company emphasizes the importance of this type of technology in fighting crime and terrorism
- No indication of compliance policy
Candiru
- Operates on the Darknet
- Very secretive – website not easily searchable
- Forbes reported that company might have sold cyber weapons to government of Uzbekistan
https://www.forbes.com/sites/thomasbrewster/2019/10/03/meet-candiru-the-super-stealth-cyber-mercenaries-hacking-apple-and-microsoft-pcs-for-profit/#2c8f91595a39, https://www.israeldefense.co.il/en/node/40497
Ke-La
- Operates on Darknet; offensive products
- Provides customer with actionable intel from Darknet
- Analysts qualify and analyze intel – highly targeted intel
- No indication that company only sells to governments
- No indication of compliance policy, but company seems to be open about its operations
IOTT
- SIGINT, WEBINT, tactical technical intel for naval, land, and intel units; coastal, maritime surveillance; cyber security
- Company sells to governments, militaries, law enforcement, intel agencies, etc. – but no specific statement about selling exclusively to governments, etc. and not to private customers
- No indication of compliance policy; very little information about the company in general
Related Articles
https://www.thedailybeast.com/the-companies-that-will-track-any-phone-on-the-planet (Picsix, Ability, Rayzone)
https://www.fastcompany.com/90369108/inside-the-shadowy-world-of-spyware-makers-that-target-activists-and-dissidents (Verint, Elbit, Senpai)
https://www.calcalistech.com/ctech/articles/0,7340,L-3749924,00.html (Fifth Dimension)
https://www.haaretz.com/israel-news/business/israeli-startup-fifth-dimension-shuts-due-to-link-with-sanctioned-oligarch-1.6748192 (Fifth Dimension)