הלקח שניתן ללמוד מפרשת NSO הוא פשוט: אם אתה מוכר את התוכנה שלך לממשלות מפוקפקות, עם היסטוריה בעייתית של זכויות אדם, אז אל תצפה שהן יעשו בו שימושים לא מפוקפקים בעליל. הסיפור הוא גם פשוט: חברת NSO היא חברה ישראלית (למחצה) שמוכרת חבילות ליחידות אכיפת חוק מדינתיות. הפעילות שלה מפוקחת בישראל בהתאם לחוק הפיקוח על ייצוא בטחוני, אבל זה לא אומר שהפיקוח הבטחוני כשל, וזה בטוח לא אומר שצריך עוד פיקוח. ולכן, כיוון שהכל לא ברור, נתחיל מהתחלה עם ההסבר המלא.
חברת NSO היא עוד אחת מאותן חברות "סייבר" ישראליות. מה החברה עושה? לפי כתבה מ2012, החברה מייצרת סוס טרויאני שמאפשר לממשלות ולגופי אכיפת חוק לערוך פעילויות במכשירים של פושעים ולמנוע פיגועים, אירועי טרור ומגפות אחרות. להזכירכם, בישראל זה לא בדיוק מותר. בישראל סעיף 6 בחוק המחשבים תוקן כך שיאסור על הפצה של וירוסים אלא אם הדבר מבוצע לא "שלא כדין" (כנראה הצעת החוק החשובה ביותר אי פעם של ח"כ רוחמה אברהם). כלומר, מותר לייצר נגיף מחשב אשר לא פועל "שלא כדין"; הפרשנות הנוכחית של מהו "שלא כדין" (עניין רעפ 8464/14 מדינת ישראל נ' ניר עזרא) היא "שלא בהסכמת בעל המכשיר" אלא שיכולים להיות מקרים נוספים שהם "כדין": על ידי צו בית משפט, לדוגמא. אבל עדיין, בישראל אין יכולת משפטית לבצע חיפוש סמוי בחומר מחשב, וכל חיפוש סמוי בחומר מחשב הוא אינהרנטית לא חוקי.
מה חברת NSO עשתה? היא מכרה סוס טרויאני לממשלה זרה, אשר ריגלה אחרי פעיל זכויות אדם, וגרוע מזה: היא נתפסה.
הפעילות של NSO בישראל, לפחות, היא לא חוקית שכן לאף רשות אכיפת חוק במדינה אסור להתקין תוכנות לחיפוש בחומר המחשב שלא בהסכמה ושלא בנוכחות שני עדים מטעם החשוד.
אז למי כן יכולה NSO למכור? למדינות אחרות. איזה מדינות? למדינות לא כל כך מתוקנות שבהן אין חקיקה דמוקרטית שלא מאפשרת למשטרה לערוך חיפושים סמויים. לצורך קבלת ההיתר הולך מנכ"ל חברת הסייבר למשרד הבטחון, לאגף פיקוח ייצוא בטחוני ומקבל היתר לייצוא בטחוני. בהיתר כתוב בדיוק לאיזו מדינה הוא מוכר ומהי הטכנולוגיה שהוא מוכר, כי זו הדרישה בחוק.
בכך, לפחות על פניו, אמור יצרן נשק הסייבר הזה ללכת הביתה ולישון בשקט. הוא מכר טכנולוגיה למדינה זרה תחת פיקוח של משרד הבטחון ובלי שיש לו בעיה משפטית עם כך. אבל האם "חוקי" זה הסטנדרט שאנחנו צריכים לעמוד בו? תעשיית הסייבר הישראלית צריכה לעשות קצת בדק בית; האם המטרה שלה היא לקדם דמוקרטיזציה של העולם, הגנה על פרטיות ופיתוח של טכנולוגיות שיעזרו להפוך את העולם טוב יותר, או שהיא רוצה לשתף פעולה עם דיקטטורים ושלטונות נאורים פחות שמשתמשים בטכנולוגיה שלה לדכא פעילי זכויות אדם.
הסטנדרט הזה של "חוקי אבל מסריח" הוא לא הסטנדרט הנכון למכירה של נשק וידע בטחוני. הסטנדרט הראוי הוא כזה שיאפשר למנכ"ל ללכת לישון טוב בלילה; הוא לא צריך להסתמך על חותמת הכשר של משרד הבטחון; התפקיד של משרד הבטחון הוא רק לבדוק שעצם הייצוא של הידע לא פוגע בבטחון מדינת ישראל ואזרחיה. לכן, ההיתר לייצוא לא אומר שהפעילות שבוצעה בחו"ל היתה חוקית. אם הפעילות של NSO היתה כזו שהיתה לNSO מעורבות בה, וידיעה על הפגיעה האפשרית בפעילי זכויות אדם, אזי יש להעמיד את מנהליה לדין על כך. העובדה שהם עשו זאת בהיתר לא מכשירה את הפעילות שלהם.
להזכירך, ישראל (המדינה כמו גם חברות ישראליות) מוכרת נשק גם לכמה מהגרועים במשטרים. השיקולים היחידים (למיטב הבנתי) הם פגיעה באינטרסים בטחוניים של המדינה, ופגיעה ביחסים עם המעצמות.
כל עוד זו המדיניות, אין סיבה ליצור כללים שונים לנשקי סייבר, ומנכ"ל NSO יכול לישון לא פחות טוב מיצרני עוזי, כטבמי"ם ושאר צעצועי קרב.
תודה על הפוסט המענין יונתן . תחילה , ראוי לציין , שהיו הצעות חוק , בדבר איסור יצוא בטחוני , למדינות בהן מופרות זכויות אדם וכדומה ( ראה לינק רצ"ב ) .
אלא שאתה כותב , ובעלמא נראה הדבר , כך :
" הפעילות של NSO בישראל, לפחות, היא לא חוקית שכן לאף רשות אכיפת חוק במדינה אסור להתקין תוכנות לחיפוש בחומר המחשב שלא בהסכמה ושלא בנוכחות שני עדים מטעם החשוד. "
אתה מבלבל הרי , בין ניטור המתכנה : חיפוש , לבין חיפוש רסמי , פיסית . חיפוש בנוכחות שני עדים , הוא על צו שופט !! כלומר , כאשר כבר מתקיימת עילה סבירה , חשד סביר , ויש צו שופט המאשר חיפוש , או כי אז , בכל הנוגע למחשבים , צריך שיהיה מומחה למחשוב , צריך לתת זמן התארגנות לאדם " המחופש " וכדומה הוראות ספציפיות ( וראה סעיף 23א והלאה , פקודת סדר הדין הפלילי ( מעצר וחיפוש ) ( נוסח חדש ) תשכ"ט 1969 ) .
אבל , נשאלת השאלה המאוד סבוכה , מה קורה כאשר מצב דחוף כדרך משל , מצב המזקיק חיפוש במחשב של חשוד , ואין שהות לקבל צו שופט ( כמו נניח האזנת סתר דחופה , או כי אז , ראש רשות בטחונית , יכול להכשיר בדיעבד החיפוש ) . יש גם מיכשור מונחה ג'י פי אס כמובן , שיכול להישתל ברכב של אדם נניח , והוא לא בבחינת וירוס במחשב כמובן . יש גם כמובן ניטור ואיתור של פעולה אינטרנטית , בלי וירוס במחשב .
ברור שהכלל הינו זה , שאין לבצע חיפוש או ניטור בלי צו שופט , עילה סבירה , דחיפות וכדומה …. אבל , אין עדיין ג'וריספרודונס לגמרי ברור בהרבה מצבי ביניים . וזה סיבוך , שאין בכלל להתחיל לתפוס אותו . מכיוון , שבמצבים דחופים כדרך משל , נושאי משרה , יכולים לעשות דברים הרבה יותר גרועים , מ- כולה : וירוס טרויאני במחשב כמובן . יש פה בעיה ענקית . בארה"ב , רק התחילו להתמודד איתה .
לינק להצעת החוק :
https://www.google.co.il/url?url=https://www.knesset.gov.il/privatelaw/data/20/263.rtf&rct=j&q=&esrc=s&sa=U&ved=0ahUKEwim6ofKjeTOAhWJPBoKHUgWAOUQFggTMAA&sig2=Atk-1meLeIj6b7VPZ9T5uQ&usg=AFQjCNEjq49s8cCoyvb88FerT02OnVMIng
תודה
זה שבסוף הסיפור החברה הינה ״סוחרת נשק״ ולא יותר, אינו אומר שיש להזניח את שאר הפרטים.
1. לאותם בעלים חברת אנטי וירוס שטוענת שהיא היחידה שיכולה לחסום את הנוזקות שהראשונה מפתחת… לי לפחות זה מרמז על עוד כמה סעיפים לרשימה מעבר לסחר בנשק
2. המדינה מפגינה רגישות ייתר לנושא קניין רוחני בתחום הסייבר, והסייבר ההתקפי במיוחד. לשם כך, שנית המדינה את חוק הפטנטים בצורה המאפשרת לה להלאים פטנטים אשר מוגשים אליה לצורך אישור. איפה היה הנושא כאשר הם הגיעו?