© Toscanabanana

מענה אמנסטי אינטרנשיונל ישראל למתקפת הנגד של NSO על פרויקט פגסוס

קבוצת NSO ממקדת את תגובותיה לפרויקט פגסוס בפרטים שכלל לא נטענו נגדה, בניסיון להסיח את הדעת ולהסיט את האש ממנה בעקבות התחקיר חובק העולם שחושף את השימוש לרעה בתוכנת הריגול מתוצרתה. ראשית נבהיר: קבוצת NSO היא קצה הקרחון של השימוש לרעה בסייבר התקפי ישראלי ובנשק ישראלי, ואף על פי שלתפישתנו היא אחראית לשימוש לרעה במוצריה – היא אינה האחראית הבלעדית לכך, והאחריות הגדולה ביותר מוטלת על משרד הביטחון. 

מעבר לזאת, קבוצת NSO מתהדרת ב"גילוי" כי הרשימה של 50 אלף מספרי הטלפונים החכמים שהוצגה בתחקיר ככל לא קשורה למוצריה, שזו רשימה רנדומלית, שהמספרים האמיתיים מצומצמים בהרבה, שאלו כותרות פומפוזיות וסנסציוניות בהתבסס על בדיה וכן הלאה. האמת היא שאמנסטי מעולם לא הציגה רשימה זו כ"רשימת נפגעי רוגלת פגסוס של NSO". אמנסטי, והעיתונאים השותפים לתחקיר, הבהירו למן הרגע הראשון בשפה ברורה ביותר כי זו רשימה של מספרים שסומנו כמספרים שמעניינים את הלקוחות של NSO, שהם משטרים שונים בעולם. NSO טוענת שזו רשימה סתמית שיכולה הייתה להילקח אקראית מדפי זהב, אך לא כך הדבר: זו רשימה המעידה על לקוחות החברה, שהביעו עניין במעקב אחרי עיתונאים ופעילי זכויות אדם, יריבים פוליטיים, עורכי דין וכן הלאה. לא רק אחר חשודים בפדופיליה, פשיעה חמורה אחרת וטרור. בעקיפין, כמובן שהדבר מעיד גם על NSO ועל משרד הביטחון, שככל הנראה לא פסלו לקוחות אלו מראש, מבעוד מועד.

בנוסף, בניגוד לטענת NSO, במסגרת התחקיר ופרסומיו "לא נזרקו כל פעם מספרים שונים לאוויר". דוברי NSO מצליחים לייצר באופן מרשים נרטיב של גרסאות סותרות ומבולבלות כביכול, אלא שמדובר בנתונים שונים בהתייחס לתופעות שונות. בתוך רשימת ה-50 אלף, הייתה רשימה מצומצמת יותר של מספרים שהתחקיר זיהה ככאלו שהיו תחת מעקב כלשהו, אם כי אין ודאות כי רוגלת פגסוס מבית NSO שימשה לכך. כמו כן, היתה בתוך ה-50 אלף רשימה מצומצת של מספרים שזוהו כמספרים של עיתונאים. אלו שתי רשימות נפרדות, אם כי בחלק מהמקרים הן חופפות. הרשימה המצומצת ביותר מתוך כל זה היא רשימת המספרים שמכשירי סלולרי המשוייכים להם הגיעו פיזית לידי האנליסטים של מעבדות אמנסטי, ושנמצאו בהם ראיות ספציפיות המזוהות עם רוגלת פגסוס. כלומר: עצם העובדה שזוהו המספרים הללו והמכשירים המשוייכים להם נבדקו בשנת קורונה ולנוכח תוכנה המסווה את עקבותיה – הרי שהדבר אירע כנגד כל הסיכויים. אמנסטי ושותפיה לתחקיר גם פרסמו דו"ח מתודולוגי מפורט שמתאר איך בדיוק נעשתה האנליזה. אם ב-NSO רוצים לדייק בעובדות, כדאי קודם לדייק בטענות.

באשר לטענות ברמה העקרונית, NSO טוענת כי היא מוכרת את מוצריה רק לרשויות חוק ולסוכנויות ביון כחוק, וכי היא עומדת בסטנדרטים בינלאומיים בתחומה בהקשר של זכויות האדם, ואף מתהדרת בדו"ח השקיפות שפרסמה. גם אם כוונות החברה טובות, וגם אם נעשים מעשים חיוביים באמצעות מוצריה, אין היא מדייקת: הסטנדרטים הבינלאומיים דורשים הפעלת שיקול דעת טרם המכירה לגורמים מפירי זכויות אדם, לא כך נהגה NSO. מכיוון שתגובותיה של NSO בשנים האחרונות לא היו עקביות, קשה להעריך מה מידת השליטה של החברה הישראלית על השימוש לרעה במוצריה. מרגע שנמכר רוגלת פגסוס לגורמים שידועים כמפירי זכויות אדם – ממשלות או גורמים אחרים – ככל הנראה אין ל-NSO יכולת לוודא שאכן אין ניצול לרעה של המערכת, אלא אם מוגשת תלונה בנושא. רק שעל פי רוב הגורם שאמור להתלונן כלל אינו מודע לכך שנפל קורבן לשימוש לרעה של המערכת. בנוסף, אם קיימת האפשרות למנוע מבעוד מועד את הניצול לרעה במוצריה – חובה על החברה להשתמש באפשרות זו, ולא להתחבא מאחורי חוזים כאלה או אחרים שמפרטים תנאי שימוש כלשהם, של משטרים שקשה לבנות על אמינותם.

בנוסף לכך, יש להדגיש כי זה רווח במשטרים דכאניים שקולות ביקורתיים מואשמים לשווא כקשורים לטרור או לפשע, וכך הם מוצגים כ"מטרות לגיטימיות למעקב". קשה מאוד לרדת לרזולוציה של כל מקרה ומקרה על מנת לבחון האם מדובר בהאשמת שווא או בחשד סביר. עצם הבחירה למכור כלי ריגול רבי-עוצמה למשטרים דכאניים מובילה כמעט בוודאות לשימוש לרעה ולדיכוי מוגבר של קולות ביקורתיים. כל בר דעת מבין זאת גם ללא ניתוח פורנזי של מה שקרה בפועל על ידי אנליסטים. בנוסף, במשטרים דכאניים רשויות החוק וסוכנויות הביון, פעמים רבות, הן חלק גדול מהבעיה, לא הפתרון. 

נחזור שוב: כפי שטוענת חברת הסייבר מהרצליה, האשמה איננה בלעדית של NSO, אלא רוב האחריות נופלת על האגף לפיקוח על ייצוא ביטחוני במשרד הביטחון, שלא עושה את מלאכתו נאמנה. לצד רצינות רבה יותר בפיקוח בפועל, דרושה חקיקה חריפה יותר, שתאפשר למנוע הגעת כלי סייבר התקפי, ונשק ישראלי, לגורמים שמפרים זכויות אדם.