להלן סיכום כנס במכללת רמת גן “תעשיית הסייבר ההתקפי בישראל –בין השאת רווחים לכיבוד זכויות אדם” 8/12/2021
להלן סיכום הכנס באדיבות עו”ד עדי גל מהמחלקה הבינלאומית של הפרקליטות.
שימו לב: חיים גלפנד היה היועמ”ש של NSO (“קצין ציות”). הגן על NSO בחירוף נפש והיה מוכן להגיש תצהירי שקר שהכינו לו בפרקליטות (חיים ויסמונסקי, מרלין מזל ורד שפילמן) בתביעה של ווצאפ ופייסבוק נגד NSO בקליפורניה. כיום במשרד “שיבולת”.
לעומתו, עו”ד איתי מק הוא לוחם לזכויות אדם שהגיש עתירות לעליון לבטל את רישיון הייצוא של פגסוס למדינות שלא מכבדות זכויות אדם (מדינה עם רדיפה פוליטית, משטר דיקטטורי אלים, חקירות בעינויים, חיסול מתחרים ועיתונאים). גם עליו שמו רוגלות ופגסוס…..
From: Adi Gal <[email protected]>
Sent: Monday, December 13, 2021 5:54 PM
To: Gilad noam <[email protected]>; Galit Raguan <[email protected]>; Tomer Haramaty <[email protected]>; Dor Hai <[email protected]>; Nitai Ginio <[email protected]>
Subject: סיכום כנס בנושא: “תעשיית הסייבר ההתקפי בישראל: בין השאת רווחים לזכויות אדם”
היי,
ביום 8.12.2021 נערך כנס שכותרתו “תעשיית הסייבר ההתקפי בישראל: בין השאת רווחים לזכויות אדם”. את הכנס ארגן המרכז האקדמי למשפט ועסקים ברמת גן והשתתפו בו ד”ר תמר מגידו, ראש הקליניקה להגירה וגלובליזציה במרכז האקדמי רמת גן; אמיתי זיו, עיתונאי שעבד בעבר בדה מרקר וכיום בקשת, אשר סיקר בשנים האחרונות את תעשיית הסייבר הישראלית; עו”ד איתי מק אשר מוביל בשנים האחרונות עתירות מגוונות נגד מדינת ישראל בגין מדיניות הייצוא הביטחוני שלה; עו”ד חיים גלפנד, סמנכ”ל ציות בחברת NSO; וד”ר רונית קידר, מרצה בכירה במרכז האקדמי למשפט ולעסקים, ומייסדת-שותפה של המכון לאחריות חברתית של תאגידים במרכז.
במהלך הכנס נדון משולש היחסים שבין מדינת ישראל (ובפרט, משרד הביטחון), החברות הפרטיות, והמדינות הרוכשות את מוצרי הסייבר. יצויין כי בדברי הפתיחה של הכנס הובהר שמשרד הביטחון הוזמן להצטרף וסרב. להלן יפורטו עיקרי הדברים.
אמיתי זיו
o מוצרי סייבר הם כלי נשק לכל דבר ועניין – לכאורה, מוצרי סייבר נשמעים לגיטימיים יותר מנשק אחר אך אלה כלי נשק לכל דבר ועניין – מדובר בכלי תקיפה בפלאפונים חכמים, ולראייה, גם מדינת ישראל דורשת מ-NSO תהליכי אישור כמו אלה הנדרשים לאישור ייצואו של נשק קינטי.
זאת ועוד, במובנים רבים הסייבר בעייתי אף יותר מנשק חם. לפני 30 שנה, דיקטטור מאפריקה אשר חשד שמתחילה התארגנות או מחאה נגדו, היה שולח טנקים. היום, הוא לא זקוק להם שכן הוא יודע על ההתארגנות עוד לפני שהחלה, וכלי הריגול שברשותו מאפשרים לו לדכא אותה בשלבים מוקדמים.
יתרה מכך, בשל הכלים הללו, יתכן שההתנגדות כלל לא תתחיל. כלומר, האפקט המצנן של הכלים הללו על הדמוקרטיה הוא עצום.
o ישראל השתמשה במוצריה של NSO כאמצעי להשיג מטרות דיפלומטיות – זיו התייחס גם לכותרת הכנס והדגיש שמיצוב הדיון “בין השאת רווחים לזכויות אדם” הוא מוטעה, שכן ממילא הציבור לא מרוויח דבר.
NSO היא חברה פרטית, המשתמשת במקלט מס ובעלת השליטה בה היא חברה בריטית.
אולם, לאורך השנים היה רווח אחר, פוליטי, שהרוויחה הממשלה הישראלית, אשר לדבריו של זיו השתמשה ב-NSO כנדוניה דיפלומטית.
מחקרים עיתונאיים משקפים שכאשר רוה”מ בנימין נתניהו רצה להשיג ערובות מכל מיני מדינות, NSO התחילה לעבוד באותה מדינה. כך, למשל, NSO החלה לפעול ברואנדה בתמורה לקבלתם של פליטים; באוגנדה בתמורה לתמיכה בשגרירות ירושלים; ובערב הסעודית בסמיכות להסכמי אברהם.
על הציבור להכיר בכך שישראל סוחרת בסייבר התקפי ועליו לשאול את עצמו האם עליה להגדיר מחדש את היעדים הדיפלומטיים שלה. שאלות אלה מתעצמות כאשר סחר זה מוביל למשברים דיפלומטיים. כך, למשל, כאשר ישראל החליטה שהיא מוכרת לאוגנדה תוכנות ריגול וזו השתמשה בהן לצורך מעקב אחר דיפלומטים אמריקניים.
o אין לייצא סייבר לדיקטטורות – ישראל אינה צריכה להישען על ייצוא נשק למדינות שהן דיקטטורות מובהקות. היקף הרווחים של ישראל מייצוא נשק עומד על כ- 8 מיליארד דולר בשנה; מתוך סכום זה, אפריקה מהווה כ-4 אחוז ואמריקה הלטינית תופסת 2 אחוז בלבד. אפשר וצריך לוותר על חלקים אלה בעולם.
עו”ד איתי מק
o בירך על כמות המשתתפים – לדבריו, בעוד בתחילת דרכו בעולם הייצוא הבטחוני היה עניין מועט בנושא, כמות האנשים (בכנס צפו ונכחו מעל 100 אנשים) משקפת עד כמה חשוב הנושא עבור הציבור.
o הסוגייה עקרונית יותר מהמקרה הספציפי של NSO, וישנן שאלות בוערות לגבי יחס האחריות הראוי בין משרד הביטחון, החברות והמדינות הרוכשות –
ראשית, נשאלת שאלת האחריות החלה על חברות אשר קיבלו אישור ממשרד הביטחון. מק תוהה האם משרד הביטחון הוא זה אשר צריך לקבוע את סטנדרט ההתנהגות שעה שהחברות הללו לא פועלות רק בגדרי מדינת ישראל אלא בעולם כולו. לדעתו, מכיוון שהפעילות חוצה גבולות, הסטנדרט של משרד הביטחון מוכרח להלום סטנדרטים בין-לאומיים.
שנית, כאשר נמצא שחברה ייצאה נשק לגורמים המפרים זכויות אדם – האם “הרמת המסך” תביא להעמדה לדין של בעלי המניות או של גורמים במשרד הביטחון? ככלות הכל, מבחינת החברות, הן פעלו כדין, מכוח חוק ומכוח רישיון שקיבלו מהממשלה. אך האם די ברישיון?
שלישית, מהי האחריות של הגופים הרגולטוריים הפנימיים בחברות? מק מתייחס לכך שחברות שונות הקימו מנגנונים של ביקורת פנימית מתוך הציפייה (חסרת הבסיס, לפי מק) שאדם אשר סבור שמרגלים אחריו יוכל לפנות אליהן ואז תיערך חקירה האם אכן אותו אדם נתון למעקב והאם המעקב מוצדק. מק תוהה מי אמור לבצע את החקירה – החברות עצמן, היועץ המשפטי לממשלה, משרד הביטחון? במרבית הפעמים מדובר בעיתונאים ופעילי אופוזיציה שמעולם לא בחרו להיות תחת מעקב, ואין כל סיבה להניח שהם יתנו אמון בחברת המעקב הישראלית ומנגנון החקירה של הדיקטטורה שהעסיקה אותה. לדעתו, המנגנונים הגנריים של אחריות תאגידית שניתן לראות בתאגידים אחרים, אינם מתאימים למצב הייחודי של ייצוא בטחוני.
o משרד הביטחון צריך להיות הגורם האחראי לייצוא מבוקר ואל לו להתפרק מאחריותו – מק מציין שהוא מצא בארכיון המדינה עדויות לכך שעד שנות -90 לערך, ניסיונות להפריט ייצור נשק נחסמו, שכן היה חשש במשרדי החוץ והביטחון מאובדן שליטה, אלא שהחל משנות ה-90 ההפרטה הלכה והעמיקה וכיום פועלות בישראל כ-1000 חברות שפועלות באופן עצמאי יחסית. השאלה היא מי מגן על החברות הללו ואיזו ערובה יש להן שהן פועלות בהתאם לדין הבין-לאומי – בתי המשפט קבעו שהנושא לא שפיט, הכנסת לא רוצה להתעסק בנושא, ועדת החוץ והביטחון מעולם לא קיימה דיון ביחס לשאלת הייצוא למדינה ספציפית, ומשרד הביטחון מתנער ומרחיק את עצמו מהחברות לאחר שנתן להן רישיון עקרוני. לדבריו של מק, התנהלותו של משרד הביטחון סביב המקרה של NSO, משקפת כי הוא מפחד יותר שארצות הברית תבוא בטענות למערכת הרגולציה בישראל (חוק הפיקוח על ייצוא נשק) מאשר לאבד את NSO ולכן היא הושארה לבד במערכה. נשאלת השאלה האם אין אינטרס גם של החברות עצמן להרים את המסך מול משרד הביטחון.
עו”ד חיים גלפנד
NSO מוכרת כלים לגיטימיים אשר נועדו להילחם בטרור ועבריינות חמורה אחרת – כלי ההאזנה שהחברה מייצרת למעשה ממלאים את אותו תפקיד שמילאו כלי האזנה ישנים יותר אשר היו בשימוש על ידי ממשלות עד שחוקי המשחק השתנו בעקבות כניסתן של חברות הסלולר שהחליטו להצפין את המידע ולסרב לשתף פעולה עם הממשלות.
ללא האזנה זו, הממשלות נמצאות באפילה לגבי פעילות עבריינית כמו טרור, פדופיליה ועבריינות חמורה אחרת. NSO מאפשרת למלא את החלל הזה.
כמובן שניתן לעשות שימוש בכלים אלה גם למטרות שאינן לגיטימיות, אך זה נכון לגבי כל כלי שקיים בעולם – גם סכין מטבח, וגם פטיש יכולים להפוך לכלי נשק.
o מכיוון שמדובר בכלי עוצמתי נדרש אישור ייצוא של משרד הביטחון אך החברה מקיימת פיקוח עצמי נוסף – גלפנד מבהיר שמדובר בכלי חזק ולא בכדי מדובר במוצר לחימה הדורש תהליך אישור דו שלבי של משרד הביטחון: רישיון ייצור ולאחר מכן רישיון לייצוא.
כפי שקבע בית המשפט בעבר – הפיקוח של משהב”ט כולל שיקולים של זכויות אדם והפיקוח המדיני ראוי, אבל עבור NSO, הרגולציה היא רק הבסיס אשר קובע גבולות אדומים. בתוכם, החברה מגבילה את עצמה לסטנדרטים בין-לאומיים כגון UN GUIDING PRINCIPLES שקובע כללי התנהגות למדינות וחברות.
o מנגנון הביקורת הפנימי של NSO – כל מדינה שהחברה מוכרת לה את המוצר עוברת בדיקת נאותות אשר כוללת בחינה מעמיקה של מערכת החוקים במדינה, סמכויות החיפוש שלה, מדוע היא רוצה את הכלי הזה, והיקף הבדיקה משתנה בהתאם למידת הדמוקרטיות של המדינה. לאחר בדיקה זו הממצאים עוברים לאישורם של היועץ המשפטי של החברה, ההנהלה, והדירקטוריון.
o הלקוחות מתחייבים לשימוש ראוי ובמקרה של הפרה החוזה מסתיים – המערכת נמכרת במספר מאוד מוגבל של רישיונות שניתן להפעיל נגד מספרי טלפון, ורק באותם מקרים בהם יש חוזה בהם הלקוח מתחייב לשימושים ספציפיים. משרד הביטחון מכיר את ההצהרה בה משתמשת NSO וגם המשרד הבהיר מה השימושים המותרים והאסורים. לקוח שמפר את אותה התחייבות חוזית – יסגר.
לאורך הדרך היו לא מעט לקוחות שהתגלה שעשו שימוש בלתי ראוי ורישיונם נלקח מהם אך NSO אינה חשופה בזמן אמת לידע שנחשף באמצעות כלי הריגול, אף ארגון מודיעין לא יאפשר זאת, וגם לא סביר שחברה פרטית תהיה חשופה לידע כזה. בכל מקרה, הלקוחות מחוייבים לשתף פעולה בחקירה ולתת גישה למערכת שלהם. גלפנד אינו שולל את ההצעה של מק לפיה ברגע שמתעורר חשד להפרה היא תיבדק גם על ידי גורמים מדיניים ולא רק באמצעות החברה, אבל נכון להיום זה המנגנון הקיים והחברה עושה כמיטב יכולתה.
כאשר היה חשד שנעשה ריגול נגד גורמי מדינה אמריקאיים (כפי שדווח לאחרונה בתקשורת) הלקוחות שנחשדו במעקב הזה נסגרו עוד לפני שבוצעה חקירה וכעת הנושא נבדק לעומק.
o ההבחנה בין דיקטטורות לדמוקרטיות שערך זיו היא נאיבית – כשמסתכלים על מדדים בעולם, יש אולי 4-3 מדינות שמוגדרות כדמוקרטיות מלאות. יש כל מיני מדינות שבמדדים מסוימים יחשבו דמוקרטיות ובאחרים לא. בחלק גדול מדמוקרטיות יש גם סכנה שהם ישתמשו בזה נגד מתנגדי משטר ולפעמים דווקא בדיקטטורה יש פחות מתנגדי משטר.
o התייחסות להצהרתו של משרד הסחר האמריקאי – ראשית, יש להבהיר שלא מדובר “ברשימה שחורה”, זו רשימה שקובעת שחברות אמריקניות יכולות לייצא לחברה אך נדרש אישור.
שנית, אין הליך הוגן לפני ההחלטה אך ברגע שתינתן לחברה הזכות להציג את עמדתה, יש להניח שהיא תתקבל ו- NSO תצא מהרשימה. כרגע, החברה פועלת על-מנת לוודא שהיא עומדת בדרישות המשפט הבין-לאומי ונעשית עבודה רבה כדי להבין מי לקוחות ראויים ומי לא.
ד”ר רונית קידר
o לחברות יש כוח תאגידי גדול ועליהן לשקול את טובת הציבור – השאלה היא לא למי החברות מרגישות נוח למכור, שכן הדיון העקרוני הזה לא יכול להישאר במסגרת שיקול דעתה של החברה. מדובר בדיון ציבורי עקרוני שעליו לקבוע מהם הכללים הראויים שצריכים להסדיר את מדיניות הייצוא. משפטנים רגילים לחשוב על המשפט כמערכת מקבילה שיוצרת כללים ומגבלות וכל מה שלא נכלל בתוך המגבלות הללו הוא בגדר מותר – כך גם חברות מתייחסות לזה, ומכאן שלכאורה אם משרד הביטחון הנפיק רישיון הן בסדר. אלא שקידר מבקשת לראות במשפט כמערכת הפעלה של החברה, וככזו היא לא רק אמורה לאפשר פעולות מסוימות אלא לייצר גם נורמות.
o דיני התאגידים כוללים מנגנונים שיכולים להרחיב את שיקול הדעת של החברות – סע’ 11 לחוק החברות קובע שתכלית החברה העסקית היא השאת רווחיה. ואולם, רווחיה אינם רווחי בעלי המניות, אלא רווחיה של התאגיד כולו ולאחר מכן סעיף 11 ממשיך ואומר שמותר וניתן לשקול שיקולים נוספים של העובדים, החברה והציבור בכללותו. קידר מציעה על כן להתייחס לסעיפים הללו בצורה פחות שמרנית באופן אשר משרת את הציבור. כלומר, אם בעלי המניות דורשים מכירה למדינה מסוימת, על החברה לשקול גם את עניינו של הציבור על פי חוק.
o החברות והמדינות מסתתרות זו מאחורי זו ונוצר ואקום באחריות משפטית – תאגידים ומדינות הם שני הכוחות המרכזיים כיום בעולם. אלא שבסייבר התקפי כל אחד מסתתר מאחורי השני שכן החברה אומרת – אני קיבלתי רישיון מהמדינה, ואילו המדינה אומרת – זו לא אני ביצעתי את ההפרות, זו החברה. כך נוצר פער באחריות ויש קושי לשבור את המעגל.
ד”ר תמר מגידו
מגידו סיכמה וציינה שבעוד הדיון נסב סביב NSO, בישראל ישנה תעשייה ענפה של ייצור וייצוא בטחוני, והתכלית של כל החברות הללו היא לסייע למדינות להילחם בטרור או פשיעה חמורה. אכן, אם למדינה יש יכולת ליירט שיחה של שני ראשים של ארגון טרור והיא יכולה לצפות או להאזין להם, כלי ההאזנה הללו חשובים. ואולם, כאשר הכלים הללו מופנים כלפי מתנגדי משטר, עיתונאים ואקטיביסטים אין זה לגיטימי.
לדבריה, בשנים האחרונות טכנולוגיה ישראלית נמכרה לעשרות מדינות בעולם, והיא שימשה למעקב אחרי עיתונאים, להטב”ים ואחרים. מעקב זה אינו רק מביא לפגיעה בפרטיות של יעדיו, לא פעם הסכנה האמיתית היא לחירותם וחייהם. על רקע הידיעות הללו כבר ב-2019 קבע דייויד קיי שיש להטיל מורטוריום על סייבר התקפי מתוך הבנה של הסכנות הטמונות בהן ולאחרונה ארה”ב החליטה להכניס את NSO וקנדירו לאותה רשימה שחורה, שכדי לסחור איתן צריך אישור מיוחד. הן נכנסו לרשימה הזו על בסיס ראיות לכך שהן סיפקו תוכנות ריגול למדינות שעשו בהן שימוש נגד אקדמאים, עובדי שגרירות, עיתונאים, אקטיביסטיים ועוד. הפרקטיקות הללו – קבע משרד הסחר האמריקאי – מסכנות את הסדר הבין-לאומי. לא יתכן שישראל לא תתייחס לסכנה הזו. אמנם משרד הביטחון הודיע שיגביר את האכיפה אך בינתיים ננקטו צעדים מאוד מינוריים שלא משנים מהותית את האכיפה של רישיון הייצוא או הייצור.
הכנס זמין לצפייה כאן.
בברכה,
עדי
עדי גל, עו”ד
המחלקה למשפט בין-לאומי| ייעוץ וחקיקה
( 073-3928724 / 054-5968980
לצפיה: