29.11.2021

סאגת ה"פגסוס" של NSO - כאשר ציות לחוק אינו מספק

ביום 23 בנובמבר הודיעה אפל כי הגישה תביעה נגד חברת הסייבר הישראלית NSO על שימוש במוצר המעקב שלה, פגסוס, תוך התמקדות במשתמשי אפל.

מדובר בהתפתחות האחרונה במחלוקת ההולכת וגוברת סביב השימוש בפגסוס בעקבות פרסום דו"ח של אמנסטי אינטרנשיונל בחודש יוני, המפרט כיצד מספר ממשלות וארגונים השתמשו בפגסוס כדי לעקוב ולרגל אחרי מתנגדים ועיתונאים כדי לדכות זכויות אדם. הדו"ח של אמנסטי אינטרנשיונל פירט גם כיצד השתמשו בפגסוס כדי לפרוץ לטלפונים של כמה פוליטיקאים בכירים, כולל נשיא צרפת עמנואל מקרון.

בתחילת חודש נובמבר, משרד המסחר האמריקני הוסיף את NSO לרשימת הישויות שלו במסגרת תקנות מינהל הייצוא של ארצות הברית (EAR), וקבע כי NSO, יחד עם חברות סייבר אחרות שנוספו לרשימת הישויות "פיתחו וסיפקו תוכנות ריגול לממשלות זרות אשר השתמש בכלים אלה כדי לפגוע בזדון בפקידי ממשל, עיתונאים, אנשי עסקים, פעילים, אקדמאים ועובדי שגרירות. כלים אלה אפשרו גם לממשלות זרות לנהל דיכוי טרנס-לאומי, שהוא נוהג של ממשלות סמכותיות להתמקד במתנגדי משטר, עיתונאים ופעילים מחוץ לגבולות הריבוניים שלהם כדי להשתיק התנגדות. פרקטיקות כאלה מאיימות על הסדר הבינלאומי מבוסס הכללים".

ה-EAR מסדיר את הייצוא מארה"ב, את הייצוא מחדש ואת ההעברה החוזרת מחוץ לארצות הברית של כל הסחורות והטכנולוגיות שאינן סחורות או טכנולוגיות שהינן רגישות לצבא או לחלל, אשר נשלטות על ידי תקנות הסחר הבינלאומיות בנשק (ITAR). אין לבצע ייצוא, ייצוא חוזר או העברה חוזרת של סחורות וטכנולוגיות הכפופות להוראות ה-EAR לאדם או ישות הכלולים ברשימת הישויות ללא אישור מוקדם מהלשכה לתעשייה וביטחון של מחלקת המסחר (BIS) ו-BIS מפעילה בדרך כלל מדיניות של הכחשה ביחס לכל הבקשות לרישיון יצוא בקשר לייצוא לגורמים הרשומים ברשימת הישויות.

מלבד איסור על יצוא, ייצוא חוזר והעברות, אין איסור לעשות עסקים עם חברות ברשימת הישויות, אך היכללות ברשימה פוגעת במוניטין של החברה ותפגע בסיכויי החברה לעשות עסקים עם ממשלת ארה"ב. בדרך כלל, גם ממשלות ועסקים אחרים יהססו יותר להתקשר עם עסק שהוטלו עליו סנקציות על ידי ממשלת ארה"ב באופן זה.

מעניין לציין שאין כל רמיזה לכך ש- NSO אכן הפרה חוקים כלשהם. NSO טוענת כי פעלה בציות מלא לחוקי הפיקוח על היצוא הישראלי בכל עת ומכרה את מוצריה רק בהתאם לרישיונות היצוא שניתנו לה על ידי משרד הביטחון הישראלי. יתר על כן, NSO לא מואשמת בהפרה של חוקי הפיקוח על יצוא של ארה"ב. האשמה העיקרית שניתן להפנות ל-NSO היא שהיא לא עשתה מספיק בדיקת נאותות כדי לקבוע כיצד לקוחותיה הולכים להשתמש במוצרים שלה. עם זאת, החוק אינו מחייב רמה מעמיקה של בדיקת נאותות. בדרך כלל, יצואנים של מוצרים צבאיים ודו-שימושיים נדרשים לקבל מהרוכשים הצהרות משתמש קצה בהן הם מאשרים שהם עצמם משתמש הקצה או שהם מספקים פרטים מי יהיה משתמש הקצה והם מציינים באופן כללי מה יהיה השימוש הסופי של הפריט. היצואן נדרש לעשות מעט מאוד כדי לאשר את דיוק התוכן של תעודת משתמש הקצה או כדי לקבל מידע נוסף.

כמו כן, נמתחה ביקורת על ממשלת ישראל על כך שהיא "רכה" מדי באופן שבו שקלה ואישרה מתן רישיונות יצוא למוצרי הסייבר החודרניים. ביקורת זו הובילה לאחרונה לכך שמשהב"ט צמצם את רשימת המדינות שאליהן ניתן לייצא מוצרים כאלה מ-102 ל-37, שכללה הסרה מרשימת המדינות המותרות את בנות בריתה החדשות של ישראל, איחוד האמירויות הערביות ובחריין.

הלקח שניתן ללמוד מסאגה זו הוא שעסקים במגזרים מסוימים או עם סוגים מסוימים של טכנולוגיה רגישה, במיוחד טכנולוגיה שניתן להשתמש בה כדי לבטל זכויות אדם, צריכים לפעול בצורה מרחיבה יותר מהקבוע בלשון החוק כדי להישאר בצד הנכון של דעת הקהל. עסקים אלה צריכים לשקול כיצד הם מתנהלים בעסקה מסוימת, לא רק במונחים של "ציות לחוק". הם צריכים לשקול גורמים שונים אחרים כדי לקבוע אם עסקה עשויה להיות מומלצת או לא, גם אם חוקית - או לפחות איך הם עשויים להתנהל בעסקה באופן שעשוי לספק להם הגנה גדולה יותר מפני הקריסה ש-NSO חווה כרגע.

גיל רוזן, שותף במשרד יוסף שם טוב ושות', בעל נסיון עשיר בייעוץ לעסקים במגזר הביטחוני ובטחון המולדת (homeland security), לרבות חברות סייבר, בכל הקשור לעסקאות בינלאומיות לרבות שיקולי בקרת יצוא, ישמח להעניק לך כל סיוע שאתה עשוי להיזקק לו.

סאגת ה"פגסוס" של NSO - כאשר ציות לחוק אינו מספק