מנכ"ל ומייסד חברת NSO, שלו חוליו, מברך על ההחלטה לבדוק את הטענות כי ממשלות שונות עשו שימוש בתוכנת התקיפה של החברה כדי לרגל אחרי עשרות אלפי לקוחות, ובהם פוליטיקאים, עיתונאים ופעילי זכויות אדם.
"נשמח מאוד אם תהיה חקירה של הפרשה, כדי שנוכל לנקות את השם שלנו", אומר חוליו. "אין לנו ולא היה לנו שום קשר לרשימה שפורסמה, ואם יתברר שהיה איזה לקוח שעשה שימוש לרעה במערכת שלנו למעקב אחר עיתונאים או פעילי זכויות אדם - הוא ינותק מייד. הוכחנו את זה בעבר, כולל לקוחות הכי גדולים שהיו לנו והפסקנו לעבוד איתם".
אם לא נעשה שימוש לרעה במערכת כמו שאתה טוען, למה אתה לא פותח הכל ומראה לכולם שהכל בסדר?
"כי יש ענייני סודיות, ועניינים של ביטחון לאומי ושל הסכמים מסחריים של המדינות שאנחנו עובדים איתן, ואני לא יכול לצאת ולהגיד 'את זה עשינו ואת זה לא עשינו'. אבל שיבוא גורם מדינתי - כל גורם, בכל מדינה - ואני מוכן לפתוח בפניו הכל, שייכנס, שיחפור מלמעלה למטה. תפאדל, שיבואו".
"ניתקנו לקוחות"
"פגסוס" נחשבת לתוכנת הפריצה המתקדמת בעולם לטלפונים סלולריים. היא מאפשרת לפורץ לשאוב מהם את כל המידע, לרבות תכתובות (כולל מוצפנות) ותמונות, מבלי להותיר עקבות. היא גם מאפשרת למשתמשים בה להפעיל מרחוק את המצלמה ואת המיקרופון של הטלפון שנפרץ. התחקיר שפורסם השבוע התבסס על רשימה מודלפת של 50 אלף מספרי טלפון, שאחריהם ביקשו ממשלות שונות בעולם לעקוב לכאורה באמצעות התוכנה של NSO.
חוליו (39) מספר כי למד על הפרשה לראשונה לפני כחודש. "הגיע אלי איזה צד שלישי, מישהו שלא קשור, שאנחנו עובדים איתו, ואמר לי 'תקשיב, נפרצו לכם השרתים בקפריסין וכל רשימת המטרות של NSO דלפה'. נכנסתי קצת ללחץ, אבל אחרי רגע נרגעתי - גם כי אין לנו שרתים בקפריסין, וגם כי אין לנו רשימת מטרות. זה לא עובד ככה: כל לקוח הוא לקוח בפני עצמו. אין איזה מקום מרכזי שבו מוחזקות כל המטרות של כל הלקוחות".
מה עשיתם?
"בינתיים בדקנו גם על השרתים שלנו, ובדקנו אצל הלקוחות, ולא גילינו ששום דבר נפרץ. אבל בגלל שזה נראה לנו מוזר, ביקשתי מהבחור הזה להביא לנו דוגמאות של הרשימה שדלפה. קיבלנו את הדוגמאות - כמה מספרי טלפון - והתחלנו לבדוק אותם אצל הלקוחות שלנו. אף אחד מהם לא היה מטרה של פגסוס. הבנתי שזה לא קשור אלינו, והמשכנו הלאה".
אבל הסיפור סירב לגווע. כעבור כמה ימים קיבל חוליו פנייה מאיש עסקים נוסף עם סיפור זהה על "רשימת מטרות" של NSO שמסתובבת בשוק, ובהמשך לכך - רשימת שאלות מהקונסורציום של העיתונאים שחשף השבוע את הפרשה בתקשורת העולמית. "היו שם האשמות מטורפות. בהתחלה צחקתי ואמרתי לעצמי שמישהו פה הולך ליפול על התחת, אבל אז אמר לי חבר שאני מפספס כי הולכים לנו על הראש בגדול.
"בשלב הזה כבר ידענו שזאת רשימה שלא קשורה אלינו. לקחנו משרד עורכי דין והתחלנו לשלוח מכתבים, ועובדה שרוב כלי התקשורת השתכנעו. עורכת ה'וושינגטון פוסט' אפילו כתבה שהיא לא יודעת מאיפה הרשימה הזאת ומי הכניס לתוכה את המספרים, ושאין לה שום אישור שהמספרים שייכים לפגסוס או שהם היו אי פעם מטרות או פוטנציאל למטרות".
אז מי אחראי לסיפור הזה?
"זה נראה כאילו מישהו החליט ללכת לנו על הראש. הסיפור הזה הוא לא סתם. יש עליהום על הסייבר הישראלי באופן כללי. הרי יש כל כך הרבה חברות סייבר מודיעין בעולם, אבל כולם מתמקדים רק בישראלים. לעשות כזה קונסורציום של עיתונאים מכל העולם ולהכניס פנימה את אמנסטי - זה נראה כאילו יש פה יד מכוונת".
של מי?
"אני מאמין שבסוף יש שם או את קטאר, או BDS או גם וגם. בסוף זה תמיד אותם הגופים. אני לא רוצה להישמע עכשיו ציני, אבל יש מי שלא רוצה שייבאו לפה גלידות או שייצאו מפה טכנולוגיות. בעיניי זה לא מקרי שבאותו שבוע מנסים למנוע מחברת 'סלברייט' להנפיק בבורסה, מפרסמים תחקיר על חברת 'קנדירו' ואז על חברת 'קוודרים', ועכשיו אנחנו. זה פשוט לא הגיוני שזאת רק מקריות שהכל קורה ביחד".
התחקיר מעלה שמתוך 65 מספרים שנבדקו, 37 היו מטרות של פגסוס.
"יש להם בעיה בסיפור. בוא נניח שזאת רשימת מטרות של פגסוס, אז איפה כל המקרים שטענו נגדנו בעבר - מעיתונאים ועד פעילי זכויות אדם במקסיקו - למה הם לא נמצאים בה? שיחליטו. או שהכתבות בעבר לא היו נכונות, או שהרשימה עכשיו לא נכונה. אני אומר בוודאות שזה קשקוש. מאז שהקמנו את החברה, לאורך כל השנים, לא היו לנו 50 אלף מטרות".
חוליו אומר כי ל־NSO יש כיום 45 לקוחות, ולכל לקוח מותר על פי הרישיון לעקוב אחר 100 מטרות בממוצע בשנה. מי שבוחר את המטרות הוא הלקוח, ו־NSO אינה מעורבת בבחירה או במעקב. "כשהקמנו את החברה קבענו לנו ארבעה חוקים. הראשון, שאנחנו מוכרים רק לממשלות, ולא לחברות או לפרטיים. אתה יכול לדמיין כמה אנשים וחברות ניסו לקנות פה את הטכנולוגיה, ותמיד אמרנו לא. הכלל השני הוא שאנחנו לא מוכרים לכל ממשלה, כי לא כל ממשלה בעולם צריכה להחזיק כלים כאלה.
"בפרספקטיבה של 11 שנים מאז שהחברה קמה, יש לנו 45 לקוחות אבל יש 90 מדינות שסירבנו למכור להן. הכלל השלישי הוא שאנחנו לא מתפעלים את המערכת אלא רק מתקינים את המערכת, מדריכים ועוזבים. והכלל הרביעי הוא שאנחנו רוצים להיות תחת פיקוח רגולטורי של משרד הביטחון. אנחנו מפוקחים מיוזמתנו מ־2010, למרות שחוק הפיקוח על סייבר ביטחוני נכתב רק ב־2017. מעולם לא עשינו אפילו עסקה אחת שלא היתה תחת פיקוח".
למה סירבתם למכור למדינות מסוימות?
"כי יש ממשלות שאתה יודע שאתה לא יכול לסמוך עליהן. שהן מפרות זכויות אדם, שמאזינות לעיתונאים, שהן מושחתות".
גם לחלק מהמדינות שאתם כן מוכרים להן יש רקורד בעייתי. למשל סעודיה, מרוקו, האמירויות.
"אני לא מתייחס ספציפית לשום לקוח, אבל רוב המדינות שאנחנו עובדים איתן, יותר משני שלישים, הן מדינות באירופה. שם רוב הביזנס שלנו, ואלה מדינות שמשתמשות בכלי הזה ללחימה בטרור וללחימה בפשיעה. הניסיון לייצר סיטואציה כאילו כל מה שהממשלות האלה עושות זה יושבות ומאזינות לעיתונאים הוא הזיה גמורה".
ובכל זאת, יש ברשימה שפורסמה לא מעט עיתונאים שלכאורה עקבו אחריהם.
"אם מישהו מהלקוחות שלנו האזין לעיתונאים זה חמור מאוד, והוא לא יהיה לקוח שלנו יותר".
אתה אומר שמי שקובע את הרשימה זה הלקוח.
יכול להיות שהלקוחות שלכם עושים שימוש שלילי נרחב במערכת, ופשוט לא עלו עליהם.
"אנחנו בוחרים בקפידה את הלקוחות, ואנחנו עושים איתם הסכמים מאוד חזקים, שמאפשרים לנו - אם יימצא כי נעשה שימוש לרעה - לנתק להם את המערכת. כל לקוח עובר הדרכה מאוד ברורה מה מותר ומה אסור לו לעשות עם המערכת".
ועדיין, איזו בקרה יש לך עליהם?
"יש לא מעט. אנחנו מגבילים את מספר המטרות, ואנחנו מגבילים אותם לטריטוריות מסוימות שבהן מותר להם לפעול. בכל מקרה שמגיע מידע אמין על הפרה, אנחנו חוקרים. על פי החוזה, הלקוח צריך לתת לנו גישה לאיזשהו לוג שמראה את כל הפעולות שבוצעו במערכת, ואם אנחנו רואים שבוצעה חריגה אנחנו יכולים לסגור לו את המערכת".
זה קרה?
"כן. היו חמישה לקוחות שניתקנו להם את המערכת בשנים האחרונות".
"על הצלת חיים אין קרדיט"
חוליו מגדיר את פגסוס "תוכנה שמצילה חיים". לדבריו, בעולם שבו שיחות מוצפנות מקצה לקצה אין כיום אלטרנטיבה אחרת למאבק בפשיעה חמורה ובטרור. "פעם היית בא אל מפעיל סלולרי עם צו שופט, ומאזין לשיחות. היום יש אפליקציות שאפילו לחברות שמפתחות אותן אין גישה למידע שעובר בהן. אז הצפנה זה דבר מצוין לאזרח הנורמטיבי, אבל ארגוני מודיעין ואכיפת חוק צריכים כלים כדי למנוע את הפיגוע או את הפשע הבא. בזכות התוכנה שלנו נמנעו פיגועים כמעט בכל יבשת בעולם, ונעצרו יותר ממאה פדופילים רק בשנים האחרונות. זה לא היה קורה בלי פגסוס".
אתה תמיד תברח למקום הזה של תפיסת פדופילים ומחבלים.
"אז למה החברה קיימת"?
בשביל להרוויח כסף.
"אם הייתי רוצה רק לעשות כסף, לא הייתי מוותר על לקוחות. ויתרנו על 300 מיליון דולר בשנתיים האחרונות בגלל לקוחות שסגרנו או שלא אישרנו למכור להם, אז כנראה שזה לא רק כסף".
פגסוס זה נשק. הוא טוב כשהוא בידיים של הטובים, והוא עלול להיות רע כשהוא בידיים פחות טובות.
"בשונה מנשק, שברגע שמכרת אותו אין לך עליו שום שליטה, כאן יש לנו שליטה. אם מישהו עושה שימוש לרעה, אנחנו יכולים לנתק אותו".
אבל אתה אומר שאין לך שליטה. שהלקוח קובע אחרי מי הוא עוקב.
"אני לא מצליח להבין. מרצדס מוכרת רכב, ואז עולה שיכור על הרכב, דורס מישהו והורג אותו. מישהו מאשים את מרצדס? לא ברור לי למה כל האש מופנית אלינו. אם יש טענות, שילכו אל הממשלות שחרגו והאזינו לעיתונאים, ויטענו כלפיהן שהן מפירות זכויות אדם".
אתה באמת לא מצליח להבין? הרי מדובר כאמור בנשק. נטען שהמערכת שלכם סייעה לחיסולו של ג'מאל חשוקג'י.
"היתה טענה כזאת, ובדקנו עם כל הלקוחות שלנו אם פגסוס הופעל עליו, על המשפחה שלו, על אשתו, על הארוסה שלו. עשינו בדיקה מאוד מקיפה, וגילינו שבשום שלב לא היה שימוש בכלים שלנו. זה פשוט לא נכון".
אתה טוען שיש עכשיו גל, אבל NSO עושה כותרות שליליות כבר שנים. היו לא מעט פרסומים שחשפו שימוש לרעה במערכות שלכם.
"אני חושב שיש מי שמנסה בכל צורה ודרך להשבית את הטכנולוגיות האלה, והוא מערב בזה את כל מה שרק אפשר".
בפועל, NSO הפכה להיות שם נרדף לחברה רעה.
"זאת תחושה מחורבנת. המדינות שעובדות איתנו מבינות את התרומה שלנו לביטחון הלאומי שלהן, ואתה יודע שאתה עושה את הדבר הנכון, שאתה מציל חיים. אבל על זה אתה אף פעם לא מקבל את הקרדיט, ואלה 99 אחוז מהמקרים".
ויש את האחוז שבו המערכת הזאת עושה רע.
"נכון, ובאחוז הזה אנחנו מטפלים. סוגרים מערכות. אבל להגיד שבגלל האחוז הזה כל יתר הדברים שאנחנו עושים הם לא טובים, זה פשוט לא הגיוני".
התובע הכללי בצרפת הודיע שתיפתח חקירה בעקבות טענות שפגסוס שימשה את שירותי המודיעין של מרוקו למעקב אחר עיתונאים. אתה חושש?
"נהפוך הוא. אני רוצה שיחקרו ויבדקו. כי ברגע שגוף נורמלי יבצע את הבדיקה הזאת, הם יבינו שאין פה שום דבר".
גם בארץ נפתחה בדיקה.
"מעולה. אין דבר יותר טוב מזה, כי יתברר שאנחנו פועלים אך ורק על פי ההיתרים שניתנו לנו ושלא חרגנו מהם מעולם, ושהפרסומים האחרונים לא קשורים אלינו בשום דרך. הגיע הזמן שפעם אחת מישהו יבדוק את כל הסיפור הזה ויעשה סדר. יש לא מעט חברות אחרות שרודפות אחרי הדולר, תעשייה שלמה של חברות בעולם שכל המודל העסקי שלהן בנוי על ללכת ללקוחות ש־NSO סירבה להם או הפסיקה לעבוד איתם. כמעט בכל המקרים שהיו, גם כשהתברר שעשו שימוש בטכנולוגיות אחרות, ישר האשימו אותנו כי אנחנו נער הפוסטר של התעשייה הזאת".
ובכל זאת, אתה בעצמך אומר שהיו מקרים של שימוש לרעה בתוכנה.
"ודאי שהיו, ויש מדינות שהפסקנו לעבוד איתן בגלל זה. אנחנו החברה היחידה בארץ וחברת הסייבר היחידה בעולם שאימצה את התקן של האו"ם לשמירה על זכויות האדם. אנחנו עושים בדיקות נאותות על כל לקוח, מוציאים דו"ח שקיפות על ידי משרד עורכי דין אמריקני, מחזיקים ועדה חיצונית שבודקת אותנו ויש לנו ועדות פנימיות שמאשרות כל עסקה. כמות האנרגיה שמושקעת בזה היא אינסופית, וכל ניסיון לצייר סיפור אחר הוא בולשיט. פשוט הזיה".
למה אתה לא מקים צוות בדיקה משלך לפרשה הזאת?
"כי כבר בדקנו, ואם יגיע מידע חדש נבדוק שוב. כל מספר שמגיע אנחנו בודקים אותו. עד היום קיבלנו בערך 50 מספרים מתוך הרשימה. מכל השמות הגדולים שהיו עד עכשיו - נשיא צרפת מקרון, מלך מרוקו, עיתונאים ודיפלומטים צרפתים, ראש ממשלת בלגיה - אף אחד מעולם לא היה מטרה. ולכן אני אומר - הלוואי שיבדקו. מי שרוצה, מוזמן לבדוק".
מאיפה הביטחון הזה שלא ימצאו כלום? הרי אתה בעצמך אומר שאתה לא יודע אחרי מי הלקוחות שלך עוקבים.
"כי אני יודע מה אנחנו עושים, ועם מי אנחנו עושים".
"דיס־אינפורמציה מטורפת"
אתה מבין שעלולה להיווצר מסה קריטית שתכריע אתכם.
"ואז מה? יהיה עולם יותר מבאס, עם יותר פשע ויותר טרור ויותר פדופילים. זה בול מה שיקרה. וכנראה יהיו הרבה יותר חברות קטנות, בלי רגולציה, שילכו לכל מיני מקלטים בחו"ל ויעשו את אותו הדבר. אז עכשיו אנחנו עושים טובה לכולם ומושכים את כל האש עבור כל התעשייה, אבל אני לא מוכן להישבר. עקרונית. כי אני לא חושב שעשינו משהו רע. להפך. אני חושב שאנחנו עושים דברים טובים, ושהלקוחות שלנו מכירים בזה, והעובדים שלנו מכירים בזה, ובעיקר - שהאלטרנטיבה הרבה יותר גרועה".
ויכול להיות שתבוא המדינה ותגיד שחברת NSO גורמת לה ליותר נזק מתועלת.
"אם המדינה תבוא ותגיד שהיא לא רוצה יותר טכנולוגיית סייבר בישראל, אני אצדיע ונקפל פה את הבסטה. אבל אני לא חושב שזה המצב".
ועדיין, NSO עושה כעת לא מעט בלאגן למדינת ישראל.
"זה נכון, ואני חושב שזה לא מגיע למדינה. אם היינו חברה שפועלת בארה"ב או בבריטניה, הסיפור הזה לא היה קורה. חלק גדול ממה שאנחנו סופגים זה בגלל שאנחנו ישראלים".
ואולי הרגולציה בארה"ב או בבריטניה לא היתה מאפשרת לכם לפעול בחלק מהמקומות שאתם פועלים.
"אני לא חושב. אנחנו לא מוכרים היום בשום מקום שהאמריקנים לא היו מאפשרים לפעול. סין, רוסיה, קטאר, מצרים, צפון קוריאה - אלה מדינות שלא נמכור להן לעולם ברמה המוסרית. אין שאלה בכלל".
ובכל זאת, למדינת ישראל יש אינטרס שתפעלו, בטח במדינות שהיחסים איתן רגישים כמו חלק ממדינות ערב.
"כל ניסיון לקשור אותנו עם המדינה הוא לא נכון. אנחנו חברה פרטית. בדיוק כמו שהמדינה נותנת לאלביט או לרפאל אישור למכור, כך גם לנו".
אז למה עליכם יש כזה עליהום?
"כי על אף אחד לא נפל טיל, ולכולם יש אייפון. כולם מפחדים מזה. זה מגיע למצב שאנשים מקבלים סמס עם קופון הנחה לפיצה, ושולחים לנו אי־מייל שניסו להדביק אותם בפגסוס. כמות הדיס־אינפורמציה היא מטורפת".
אתה לא מסוגל להבין למה?
"כן, אבל אני רוצה שיהיה ברור: זה לא שמדובר פה בהיקף ענק. כל הכותרות הראשיות והרעש המטורף שיש עכשיו זה בגלל 100 מטרות בשנה ללקוח. זה לא שאנחנו מיקרוסופט".
איך הפרשה הזאת תיגמר?
"כבר אמרתי שאשמח שתהיה בדיקה, ושאני מתחייב לשתף פעולה באופן מלא עם כל בדיקה כזאת. ואני מאמין בכל ליבי שהבדיקה תסתיים בלא כלום, ויתברר שהרשימה הזאת לא שייכת אלינו. אני רק מקווה שכל העיתונים שתקפו אותנו השבוע יתנצלו אז. יותר מזה אני לא רוצה כלום".
בישראל מבינים: גל הפרסומים לא יכול להישאר בלי מענה
ישראל הרשמית נעה בימים האחרונים באי נוחות, בעקבות גל הפרסומים על ריגול נרחב שביצעו ממשלות שונות ברחבי העולם באמצעות תוכנת "פגסוס" של חברת NSO הישראלית.
NSO היא חברה פרטית, אבל פעילותה מפוקחת במלואה על ידי האגף לפיקוח על היצוא הביטחוני (אפ"י) במשרד הביטחון.
יתרה מכך, למדינה יש אינטרס מובהק בפעילותה של NSO, מכמה סיבות: מכירות הסייבר בכלל והסייבר ההתקפי בפרט מהווות כיום נתח מרכזי ביצוא הביטחוני, ומזרימות לישראל מיליארדי דולרים בשנה; וטכנולוגיות סייבר מתקדמות מאפשרות לה להדק יחסים ולשתף פעולה עם מדינות שונות, ובהן כאלה שאין לה עימן יחסים גלויים, במאבק נגד אויבים משותפים דוגמת איראן וגורמי טרור שונים.
על הרקע הזה ברור מדוע הצמרת המדינית־ביטחונית נרתעה מלפתוח בחקירה מיידית וגלויה של הפרשה. החשש המובהק היה לא רק מפגיעה כלכלית - בחברות הסייבר, וכתוצאה מכך בהכנסות המדינה - אלא גם מפגיעה ביחסים עם חלק מהמדינות.
מטבע הדברים, מדובר בעיקר ברגישות שבין הלקוחות של NSO - סעודיה, איחוד האמירויות, בחריין ומרוקו - מדינות שהרקורד שלהן בשמירה על זכויות אדם הוא בעייתי, בוודאי בהשוואה למרבית לקוחותיה של NSO - שהן דמוקרטיות מערביות.
מנגד, מבינים בישראל כי הגל העצום של הפרסומים בשלל כלי תקשורת ברחבי העולם לא יכול להישאר בלי מענה. לא רק בגלל הצורך לוודא כי "פגסוס" לא שימשה לפגיעה נרחבת באזרחים; הביקורת העקיפה היא על מדינת ישראל, כמי שמאפשרת - ולעיתים קרובות דוחפת ומקדמת - את מכירותיה של המערכת בעולם, ומכאן גם כמדינה שמשתפת פעולה עם הפרה סיטונית של זכויות אדם.
בסופו של דבר הוחלט על "בדיקה", שמתנהלת בהשתתפות גורמים ממשרדי ראש הממשלה, החוץ, הביטחון והמשפטים, וכן גורמים מהמוסד ומצה"ל. היא נועדה לא רק לברר אם נעשה שימוש פסול במערכת ובתנאי הרישיון שלה, אלא גם לסבר את דעתם של ממשלות וארגונים שונים ברחבי העולם שהביעו דאגה בעקבות פרסום הפרשה.
בירור העובדות במקרה הזה חשוב לא רק לחברת NSO ולמכירות שלה, אלא גם למדינת ישראל. הוא יאפשר להתמודד עם לחץ מדיני שעלול להתפתח על ממשלות שונות להימנע מרכש של טכנולוגיות סייבר ישראליות, וגם להתמודד במקרה הצורך עם תביעות וחרמות בינלאומיים.
גם אם מטבע הדברים והסודיות לא כל הפרטים יתפרסמו, מדובר בבדיקה מתבקשת. מי שטוען שאין לו דבר להסתיר לא צריך לחשוש ממנה.
יואב לימור
