חשיפת הרוגלה של חברת NSO, שהוחדרה בשנים האחרונות בחשאי לטלפונים של ראשי מדינות, עיתונאים ופעילי זכויות אדם, גררה ביקורת בינלאומית חריפה כלפי מדינת ישראל ותעשיית הסייבר ההתקפי שלה. כדי לתקן את הנזק ליחסי החוץ שלה ולכלכלתה, ישראל חייבת להגביר את הפיקוח על התעשייה. מלחמת "חרבות ברזל" הוכיחה כי תדמיתה הדמוקרטית של המדינה בקרב בעלות בריתה היא נכס לביטחון הלאומי – סיבה נוספת לפקח על שחקנים פרטיים שעלולים לשחוק אותה

רצח עיתונאי סעודי בשגרירות ארצו בתורכיה, האזנות סודיות לפוליטיקאים ביוון, מעצר פעילי זכויות אדם בדרום אמריקה, מעקב משטרתי לא מורשה אחר אזרחים בישראל – הקו המקשר בין השערוריות הללו ורבות אחרות שהתפרסמו בשנים האחרונות הוא אחד: בכולן נעשה שימוש ברוגלות סייבר.

על רקע התלות הגוברת של האנושות בטכנולוגיה, ובמכשירי סלולר בפרט, הפכו כלי סייבר מודיעיניים (או "סייבר התקפי") לאמצעי מרכזי בארסנל של גופי צבא ואכיפת חוק הנאבקים בטרור ובפשיעה חמורה ומאורגנת. רוגלות סייבר מאפשרות לחדור מרחוק ובאופן סמוי למכשיר סלולרי, להפעיל את הפונקציות השונות בו ולשאוב את תכולתו. בידיים הנכונות משמש מידע יקר ערך זה לסיכול התקפות טרור ולמעצר פושעים, אך בשנים האחרונות התברר כי היכולות המתקדמות של כלי הסייבר ההתקפי מנוצלות גם לרעה כדי לפגוע בחירויות פרט[1] ובזכויות אדם במדינות רבות בכל רחבי העולם. לצד זאת, ברמה הבינלאומית, רוגלות סייבר משדרגות בצורה משמעותית את יכולתן של מדינות לרגל אחת אחרי השנייה, ובהתאם יש להן השפעה על יחסי החוץ שלהן.

ישראל נחשבת לאחד מהמוקדים המרכזיים בזירת הסייבר ההתקפי העולמית, אשר כוללת כיום כעשרים חברות, ומשמשת מדינת הבית של מספר חברות מתקדמות בתחום. [2]תעשיית הסייבר המודיעיני המקומית משמעותית למדינה ממספר בחינות: היא מסייעת למצב את ישראל כמובילה טכנולוגית; משפיעה, לטוב ולרע, על תדמיתה הבינלאומית; וכמי שהניבה בשיאה מחזור שנתי של כמעט מיליארד דולר, גם תורמת רבות מבחינה כלכלית.[3] מערכת הביטחון הישראלית עודדה את תעשיית הסייבר המודיעיני במשך שנים רבות, ואף נטען כי היא מינפה אותה בשביל לקדם יחסים בינלאומיים עם מדינות אחרות (הסכמי אברהם, למשל).[4]

הנזק שגרמה תעשיית הרוגלות הישראלית עלול לפגוע ביכולתה של המדינה לנהל יחסי חוץ תקינים

המורכבות ביחסה של ישראל כלפי תעשיית הסייבר ההתקפי שלה נובעת, בין היתר, מכך שלמדינה מספר כובעים מול תעשייה זו. ראשית, המדינה היא הריבון אשר אמור לייצר רגולציה שתאזן בין פיתוח חדשני לאינטרסים חשובים אחרים (בעיקר חירויות הפרט); שנית, היא שומרת הסף אשר מעניקה רישיון ייצוא ושיווק לחברות סייבר ישראליות, במטרה לוודא, בין היתר, שהתעשייה הצבאית לא תפגע ביחסי החוץ של מדינת ישראל; ושלישית, היא עצמה לקוחה של תעשיית הסייבר המודיעיני שלה.[5] 

מבין החברות הישראליות, חברת NSO הפכה עם השנים לסמל של הסייבר ההתקפי, בשל היותה הראשונה שפעלה בתחום וגם מכיוון שמוצר הדגל שלה – רוגלת פגסוס – הפך, לטוב ולרע, לשם דבר בישראל ובעולם. בעבר נחשבה NSO לסיפור הצלחה של תעשיית הסייבר בישראל, אולם בשנים האחרונות תדמיתה נשחקה בעקבות גילויים לגבי שימוש לרעה שעשו לקוחותיה בפגסוס.[6] בתהליכים הבינלאומיים אשר נסקור ברשימה זו, ובכל דיאלוג בין-מדינתי אשר מתקיים ביחס לאסדרה אפשרית של תעשיית הסייבר ההתקפי, משמשת NSO כאמת המידה העיקרית; משכך, המשבר הנוגע לחברה יעמוד במרכז מאמר זה.

המשבר הבינלאומי המתמשך ביחס לשימוש לרעה בפגסוס פגע אנושות בתעשיית הסייבר ההתקפי בישראל: התדמית הבינלאומית שלה הושחרה והביקורת אף הובילה לסגירתן של מרבית החברות הישראליות שפועלות בתחום.[7] 

בישראל שאחרי 7 באוקטובר, נדמה כי המציאות הביטחונית החדשה יצרה בקרב הציבור השלמה מסוימת עם מאמצי השלטון להרחיב את השימוש באמצעי ביטחון פולשניים יותר, שעלולים להיות מנוצלים לרעה ולפגוע בעקרונות הדמוקרטיים של המדינה; אולם קיימת מתיחות מובנית בין מאמצים אלה לבין צורך הישראלי בהגברת הלגיטימציה והתמיכה הבינלאומיות בקרב בעלות ברית במערב למלחמתה בעזה ובגזרות אחרות.

מאמר זה בוחן את ההשפעה של תעשיית הסייבר המודיעיני על מדינת ישראל ועל יחסי החוץ שלה. טענתו העיקרית היא שהיעדרם של מנגנוני פיקוח מספקים פגעו בתדמיתה של מדינת ישראל, כמו גם ביכולתה לעמוד בסטנדרטים הבינלאומיים אליהם היא מחויבת. הנזק הרב שספגה תדמיתה של ישראל בשל פעילות תעשיית הרוגלות שלה, עלול בסבירות גבוהה לפגוע ביכולתה לנהל יחסי חוץ תקינים, שכן מדינות עלולות להירתע משיתוף פעולה עמה.

המאמר ייפתח בסקירה של תעשיית הסייבר המודיעיני הישראלית, ובמיוחד ה"חד-הקרן" אשר מסמל את התחום – NSO. לאחר מכן, הפרק האמצעי יעסוק בהשפעה של תעשיית הסייבר על יחסי החוץ של מדינת ישראל וידון בתפקיד של נורמות בינלאומיות באסדרה של תעשייה זו, במיוחד מכוח חובת החריצות הנאותה (due diligence) והעולם המתפתח של תאגידים וזכויות אדם.

הפרק האחרון ידון בהתמודדות עם האתגרים של תעשיית הסייבר המודיעיני, במבט לעתיד, ובמסגרתו נציע כי ללא ביצוע שינויים יסודיים באופן הפיקוח על הפיתוח והייצוא של טכנולוגיות הריגול, כמו גם נטילת חלק משמעותי יותר בשיח הבינלאומי בנושא, מעמדה של מדינת ישראל עלול להיפגע עוד יותר, וכתוצאה מכך גם יכולתה לנהל יחסי חוץ תקינים (במיוחד עם בעלות בריתה).

מדינת ישראל ותעשיית הסייבר ההתקפי

ישראל היא כיום מעצמת עולמית בתחום הגנת הסייבר ובתחום הסייבר המודיעיני.[8] היא בית לחברות סייבר מודיעיני רבות, אשר רובן נוסדו על מנת לקדם מטרות ראויות: התמודדות עם איומי טרור, הגנה מפני חטיפות קטינים, איתור ניצולים לאחר אסונות טבע ועוד.[9] מדובר בתעשייה הולכת וגדלה, אשר אסדרתה, ברמה המקומית והבינלאומית, דורשת איזון בין אינטרסים משמעותיים – חדשנות טכנולוגית (אשר משפיעה על יחסים גאו-פוליטיים ותדמית בינלאומית של מדינות), צורכי ביטחון (המשליכים על חירויות הפרט), אינטרסים כלכליים כבדי משקל, וכמובן – המשמעות של טכנולוגיה זו לשלטון החוק ולערכים דמוקרטיים.

חברת NSO, שהוקמה ב-2010, היא פורצת דרך וסמל של הסייבר ההתקפי הישראלי. מצד אחד, הצלחתה הבינלאומית סללה את הדרך ליצירה של תעשייה זו בישראל. מצד שני, החברה נאלצה בשנים האחרונות להתמודד עם ביקורת ולחצים מצד מדינות, ארגונים בינלאומיים ותאגידי ענק בשל דיווחים רבים מרחבי העולם על שימוש לרעה שעושים לקוחות NSO בתוכנת פגסוס, המגיעים לכדי פגיעה ממשית בזכויות אדם.[10] זאת, אף שהחברה קיבלה על עצמה מגבלות מעולם זכויות האדם, ואף מפעילה מערך רגולציה עצמית המבוסס על עקרונות אתיים.

בין היתר, נטען כי הרוגלה שימשה ממשלות לצורכי מעקב אחר פעילי זכויות אדם בבחריין וירדן, נציגי חברה אזרחית בקזחסטן, גורמי אופוזיציה בפולין, סגל דיפלומטי באוגנדה, עיתונאים באל-סלוודור ואף נציגי או"ם. אחת ההאשמות הבולטות ביותר הייתה הטענה לפיה פגסוס סייעה במימוש המזימה להוציא להורג ללא משפט את העיתונאי ג'מאל חשוקג'י בשגרירות סעודיה בטורקיה, מה שפגע ביחסים בין כל המדינות המעורבות.[11]

כיום, הרגולטור העיקרי אשר מפקח על שוק הסייבר ההתקפי בישראל (ובפרט רוגלות) הוא משרד הביטחון, אשר אחראי על מתן רישיון שיווק וייצוא של מוצרים אלה.[12] עם זאת,יכולתו של משרד הביטחון לפקח מוגבלת ממספר סיבות: כובעו הכפול כמפקח וכלקוח; תופעות דוגמת "הדלת המסתובבת" (מעבר של בכירים ברגולטור לתעשייה, ולהיפך); והלחץ לאפשר לתעשייה זו להתקיים בשם הרצון לשמר תעשייה צבאית ישראלית חזקה, שתוכל להציע את מרכולתה מעבר לים, בשווקים גדולים יותר מאשר השוק הישראלי.

במישור הטכנולוגי, קשה לפקח על ייצור, שיווק או שימוש ברוגלות, מאחר שאלו יכולות להיות משוכפלות ולפעול ברחבי העולם בו זמנית – להבדיל מכלי נשק רגילים, שמוגבלים למיקום פיזי אחד. כמו כן, עובד ממורמר של חברה טכנולוגית יכול לנסות ולמכור מוצר בשוק השחור, וניתן להעתיק קוד או לפתח תוכנות נגזרות שיכולות לשמש למטרות זדוניות.

מערך הפיקוח הקיים מאפשר בחינה של טכנולוגיות רק בשלב מאוחר, כאשר ישנו קושי לבצע בהן שינויים מהותיים, בין היתר בשל שיקולים כלכליים של פיתוח והתועלת הכלכלית של מתן הרישיון לטכנולוגיה כמות שהיא. עם זאת, עדיין חסר מנגנון רגולטורי שמסוגל להתמודד עם המורכבות של תעשייה זו ולתת מענה לסוגיות העולות משיווק וייצוא טכנולוגיות אלו; בהתאם, נציע בהמשך מנגנוני פיקוח משלימים. 

זליגה למרחב הישראלי – רוגלת סייפן

ב-2022 חשפו כלי תקשורת ישראליים כי השימוש בכלי סייבר התקפיים מתוצרת ישראל זלג גם לתוך המדינה.

במהלך חודש ינואר 2022, תחקיר של תומר גנון מעיתון "כלכליסט" חשף כי משטרת ישראל עשתה לכאורה שימוש בפגסוס.[13] בעקבות התחקיר, והביקורת הציבורית שהוא עורר, הוקמה ועדה ממשלתית בראשות המשנה ליועמ"ש (משפט פלילי), עו"ד עמית מררי. לאחר מספר חודשי עבודה, פורסם רשמית דו"ח מררי אשר אשרר חלק מהחשיפות של גנון והוסיף גילויים חדשים לגבי הפרשה.[14] 

ראשית, הסתבר כי משטרת ישראל לא השתמשה בפגסוס, אלא ברוגלה מותאמת ייחודית בשם "סייפן". שנית, נמתחה ביקורת על המשטרה בשל ההכנסה של מערכת האזנות רחבת היקף בלי שהובנה לאשורה על ידי מקבלי ההחלטות. עוד פסק הדו"ח כי השימוש בכלי סייבר מודיעיניים מסכן את ליבת שלטון החוק במדינה דמוקרטית, וכי שימוש לא ראוי בתוכנה מהווה פגיעה חמורה בפרטיות. בנוסף, נתגלה כי היכולות הטכנולוגיות של מערכת סייפן הן מעבר למותר לפי חוק, וכי נאסף מידע אישי מעבר לנדרש.[15] 

היוזמות הממשלתיות שהועלו בזמן "חרבות ברזל" להרחיב את סמכויות המעקב של גורמי השלטון אינן תורמים לחיזוק התדמית הדמוקרטית של ישראל

לאחר אימוץ דו"ח מררי, ובשל ביקורת ציבורית ומקצועית על האופי הסלחני של מסקנותיו, החל רצף דיונים בוועדת חוקה, חוק ומשפט של הכנסת ביחס לפרשה. בסיום סבב הדיונים, קראה הוועדה לממשלה להקים ועדת חקירה ממשלתית או ועדת בדיקה ממשלתית, בראשות שופט, בנושא הפעלת רוגלות על-ידי משטרת ישראל.[16] ואכן, בהמשך, הכריז שר המשפטים יריב לוין על הקמת ועדת בדיקה ממשלתית בראשות שופט בדימוס.[17] 

מאז אסון 7 באוקטובר, הביטחון הלאומי בישראל עלה, באופן מוצדק, לראש סדר העדיפויות של השלטון והציבור. בתקופה זו החל רצף מהלכים חקיקתיים אשר נועדו לחזק את הכלים בקרב כוחות הביטחון, בהם חוק להתמודדות עם תקיפות סייבר במגזר השירותים הדיגיטליים[18] ותקנה המרחיבה את הסמכות של צה"ל והשב"כ[19] לחדור למצלמה המותקנת במחשב. יחד עם זאת, מהלכים אלו, אשר הרחיבו את סמכויות המעקב והשליטה של גורמי השלטון, אינם תורמים על פניו לחיזוק התדמית הדמוקרטית של ישראל – אשר עוד לפני המלחמה הוחלשה על ידי התוכנית הממשלתית לשינוי מבנה מערכת המשפט, והסערה הציבורית שתוכנית זו עוררה.[20]

לתחושתנו, לאירועים במישור המקומי יש משמעות רבה גם במבט המתמקד של יחסי החוץ של המדינה. ראשית, מדינת ישראל מתגאה בהיותה דמוקרטיה יציבה במזרח התיכון "הפרוע", ומכאן כל התפתחות אשר מעידה על שחיקת שלטון החוק וערכים דמוקרטיים במדינה יקשו על שימור וחיזוק של תדמית זו. שנית, מדינת ישראל נסמכת על ייצוא ביטחוני של כלי סייבר התקפיים, גם מבחינה כלכלית וגם מבחינה תדמיתית – בתור "אומת הסטראט-אפ" אשר נתפסת כאחת מעשר המדינות המובילות בעולם בהגנת הסייבר.

הזליגה של רוגלות לתוך מדינת ישראל, ובעיקר היעדר השליטה באשר לאופן ההכנסה לשימוש בכלי סייבר מודיעיניים, מייצרים תחושה של חוסר סדר – ועלולים לפגוע בתדמיתה הבינלאומית של ישראל.

נורמות בינלאומיות רלוונטיות

בשנים האחרונות מתרחב השיח לגבי חוקיות השימוש ברוגלות לאיסוף מידע אישי, הן מנקודת המבט של המשפט המקומי (ובמיוחד, דיני הפרטיות והגבלות על הפעלת סמכות שלטונית כופה) והן מנקודת המבט של המשפט הבינלאומי (ובמיוחד, זכויות אדם – כגון הזכות להליך הוגן, הזכות לחיי משפחה, הזכות לשוויון ועוד). אחד המחוללים העיקריים של השיח הוא המשבר המתמשך של NSO, אשר השפיע על מדינות רבות בעולם והמחיש את היכולות מרחיקות הלכת של כלי סייבר התקפיים.

שלא במפתיע, פרשת NSO העמידה את מדינת ישראל במקום רגיש. ראשית, היא נושאת באחריות לגבי הכניסה של תוכנות כמו פגסוס למרחב הגלובלי, שכן משרד הביטחון הוא שומר הסף אשר מעניק את רישיון הייצוא והמכירה, והשיח הבינלאומי אינו מעלים עין מתפקיד זה.[21] בנוסף, מדינת ישראל היא בעצמה לקוחה של חברות הסייבר ועושה שימוש ברוגלות; מכאן נובע שככל שמדובר בהפרה של המשפט הבינלאומי, הדבר משפיע ישירות על מאזן הזכויות והחובות של ישראל.

בחלק זה נתייחס לנורמות בינלאומיות רלוונטיות לדיון, ולהשלכתן על יחסי החוץ של ישראל. חרף הקשיים, אנו מאמינים כי עדיין ניתן לנצל את האירוע הזה כדי לשפר את מעמדה הבינלאומי של ישראל, וזאת דרך מיסודם של הליכי פיקוח יעילים ומשמעותיים יותר, אשר יבטאו מחויבות לשלטון החוק ולערכים דמוקרטיים.

יחסי חוץ ורגולציה פנים-מדינית

על רקע הפרסומים המתרבים על שימוש לרעה באמצעי סייבר התקפיים, גוברים בשנים האחרונות הקולות הקוראים לאסור על מכירה של רוגלות עד שתגובש רגולציה מספקת. לצד נציבות זכויות האדם של האו״ם ושורה של מומחים בינלאומיים, גם מועצת אירופה קראה לעצור את הייצוא, המכירה וההעברה של טכנולוגיות מעקב עד ליצירת הסדר חוקי בינלאומי מתאים.[22] לבסוף, ארה"ב נכנסה אף היא באחרונה לעובי הקורה בנושא.

במקביל לתגובות של ארגונים בינלאומיים ומדינות לפרשת NSO, גם השוק הפרטי הגיב במהרה ובעוצמה. כך, למשל, אמזון החליטה לפעול לניתוק NSO משרתי הענן שלה, וחברת אפל וחברת וואטסאפ, שאל מוצריהן פרצה לכאורה רוגלת פגסוס, אף תבעו את החברה.[23] אירועים אלו פגעו בתדמיתה של מדינת ישראל, ובפרט בנושא ההגנה על זכויות אדם. 

הגבלות הוויזה עליהן הכריזה מחלקת המדינה, לצד הצו נשיאותי של הנשיא ביידן, אינן נוגעות רק לישראל – הן חלק ממרוץ החימוש הטכנולוגי בין ארה"ב, סין ורוסיה

פגיעה קשה נוספת בתדמיתה של תעשיית הסייבר הישראלית, ושל מדינת ישראל במובן רחב יותר, נבעה מהחלטת האיחוד האירופי להקים ועדת חקירה בנושא השימוש בפגסוס. הדו"ח המסכם של הוועדה, אשר אומץ במאי 2023,[24] פירט את השימושים הבעייתיים ברוגלה באירופה במדינות דוגמת פולין, הונגריה, יוון, קפריסין וספרד.

בהמלצותיה, קראה הוועדה לקהילה הבינלאומית לשתף פעולה ולייצר כלים להתמודדות עם השימוש הנרחב בכלי סייבר התקפי, אשר פוגע בשלטון החוק ומערער יסודות דמוקרטיים. קביעות מסוג אלו מקשות על ניהול יחסים דיפלומטיים, אשר מבוססים על אמון, ובמיוחד כאשר מדובר בידידות ותיקות של ישראל.

בארה"ב, אחת הידידות הגדולות ביותר של ישראל – אשר חשיבות היחסים עמה להבטחת ביטחון ישראל הודגשה באופן משמעותי לאחר 7 באוקטובר – הוחלט ב-2021 על הכנסת NSO ל"רשימה השחורה" של מחלקת המסחר.[25] בנוסף, אשתקד פרסם נשיא ארה"ב ג'ו ביידן צו נשיאותי המגביל שימוש של רשויות אמריקניות בכלי סייבר התקפיים.[26] הצו מגדיר כי גורמי ממשל אמריקנים לא יוכלו לעשות שימוש ברוגלה אשר שימשה לאיסוף מידע ממשלתי או מידע אישי של אזרחי ארה"ב, או ברוגלה אשר השימוש בה הוביל לפגיעה בזכויות אדם.

 צעד דרמטי נוסף הגיע ב-5 בפברואר 2024, אז הודיעה מחלקת המדינה האמריקנית כי תטיל מגבלות על הנפקת ויזה לארה"ב על אישים שמעורבים, או היו מעורבים, בפיתוח, הפצה או שימוש ברוגלות שנוצלו לרעה, וכן על בני משפחותיהם.[27] נראה כי ארה"ב החליטה להצטרף למגמה, אשר עד כה הובלה על ידי אירופה, להגביל ולצמצם את השימוש ברוגלות (ואולי אף לאסור זאת כליל).

חשוב להדגיש כי הגבלות הוויזה המתוכננות, לצד הצו נשיאותי של הנשיא ביידן, אינן נוגעות רק לישראל – הן חלק ממרוץ החימוש הטכנולוגי הבין-מעצמתי בין ארה"ב, סין ורוסיה (שלוש מדינות מובילות בתחום הרוגלות). עם זאת, מאחר שישראל נחשבת מוקד מרכזי בזירת הסייבר ההתקפי, כל החלטה המגבילה עובדים בתעשייה זו עלולה לפגוע בה בצורה קשה.

המהלך האמריקאי מהווה אזהרה חמורה עבור מקבלי ההחלטות בישראל וגם עבור בכירים בחברות אלו (אשר שמותיהם מופיעים באתרי החברות). יחד עם ההחלטות של ארה"ב, בריטניה וצרפת להטיל סנקציות כלכליות על ארבעה מתנחלים,[28] מתקבלת תמונה מדאיגה במיוחד, אשר דורשת חשיבה מעמיקה מצד הקברניטים של ממשלת ישראל.

אך למרות התגברות המאמצים הבינלאומיים לקידום מנגנון אסדרה בתעשיית הסייבר המודיעיני, עד כה מדינת ישראל בחרה שלא לקחת חלק משמעותי בדיאלוגים בנושא. כפי שנסביר בפרק הבא, חשוב שישראל תיכנס לדיאלוג הבינלאומי לגבי אסדרה של שוק הרוגלות לשם שמירה על מעמדה ויחסיה עם מדינות מערביות, אשר פועלות למזער את הנזק ששוק זה גורם.

הצו הנשיאותי של הנשיא ביידן והסנקציות האחרונות שהוכרזו ממחישים כי השימוש בסייבר התקפי צפוי להצטמצם. בראייה רחבה יותר, הוא גם מדגים גם כי פרשת NSO מטילה ספק ברמת האמון לה זוכות החברות ישראליות (אשר חלקן, כמפורט לעיל, כבר "הוצאו מהמשחק" על ידי הכללתן ברשימה השחורה של משרד הסחר האמריקני).

מערכת הביטחון והממשלה בישראל עודדו במשך שנים רבות את תעשיית הסייבר המודיעיני ומינפו את הישגיה כדי לקדם יחסים בינלאומיים עם מדינות אחרות (הסכמי אברהם, למשל). אך התפתחויות לעיל מעידות כי תוך פרק זמן קצר יחסית הפכה תעשיית הסייבר ההתקפי הישראלית – ובראשה חברת NSO, שהיתה לסמל התעשייה בעיני העולם – מסיפור הצלחה לנטל, אשר משפיע באופן ממשי לרעה על יחסי החוץ של ישראל. פגיעה בתעשייה זו משמעותה, כמובן, גם פגיעה קשה בכלכלת ישראל. 

כפועל יוצא, על מדינת ישראל לאמץ צעדים ברמה הפנימית אשר יאותתו לקהילה הבינלאומית על רצונה להגן על שלטון החוק ולקדם ערכים דמוקרטיים. כן עליה להראות שבכוונתה להוות דוגמה ומופת למדינה אשר יודעת לפתח טכנולוגיה מתקדמת בשם מטרות חשובות, אך באותה העת מצליחה לשמר ערכים דמוקרטיים והגנה על חירויות יסוד אשר מאוימות על ידי טכנולוגיות מרחיקות לכת דוגמת פגסוס.

מלחמת "חרבות ברזל" הדגימה היטב שהתומכות העיקריות בישראל הן מדינות מערביות. מכאן שהחשיבות לשמירה על תדמיתה של המדינה בעיני הקהילה הבינלאומית – ובפרט בעיני מדינות ידידות מובילות – רק גוברת, ופיתוח טכנולוגי תוך שמירה על זכויות אדם מהווה רובד הכרחי להשגת מטרה זו.

חובת החריצות הנאותה

חובת החריצות הנאותה (Due Diligence) קובעת כי למדינה עומדת החובה לנקוט בצעדים מקדימים ומשלימים ביחס לחובה משפטית פוזיטיבית שהיא חבה בה, על מנת להיחשב כמקיימת אותה. חובת החריצות הנאותה היא עקרון כללי של המשפטי הבינלאומי, אשר יש לו ביטוי במספר ענפים. בין המרכזיים שבהם, ראוי לציין את משטר אחריות המדינה, אשר מגדיר מתי מדינה אחראית לפעולות של חברה פרטית הפועלת בשטחה.[29] 

מדריך טאלין, שמהווה פרשנות מקובלת לתחולתו של המשפט הבינלאומי במרחב הסייבר (אך אינו מסמך מחייב), קובע שלמדינה יש חובה למנוע פעילות סייבר בלתי חוקית משטחה,[30] גם אם מדובר בחברת טכנולוגיה פרטית.[31] בעוד מדריך טאלין הוא פרשנות בלתי מחייבת של המשפט הבינלאומי, ככלל, אמירה זו משקפת קונצנזוס רחב במישור הבינלאומי לגבי היקף חובתה של מדינה למנוע הפרות של המשפט הבינלאומי שמקורן משטחה, לרבות על ידי אנשים פרטיים וחברות. חובה זו באה לידי ביטוי גם במרחב הסייבר וגם במרחבים אחרים – למשל דיני מלחמה.[32] גם דיני זכויות האדם במשפט הבינלאומי מחייבים את המדינה לפעול בחריצות הנאותה כדי למנוע את הפרתן, ואם אלו הופרו – עליה לחקור, להעמיד לדין ולהעניק סעד ביחס אליהם.[33]

הדומיננטיות של ישראל בשוק הסייבר, כמו גם רמת הידע והמומחיות בתחום, מעידים כי רף האחריות של המדינה הוא גבוה - אך מנגנוני הפיקוח שלה אינם תמיד יעילים

במוקד החובה נמצא עצם הניסיון של המדינה לפעול, ולאו דווקא התוצאה של המהלך.[34] חובת החריצות הנאותה אינה מוחלטת, אלא חלה באופן יחסי ליכולות המדינה: ככל שמדינה מתקדמת יותר בתחום מסוים, כך הרף המצופה ממנה גבוה יותר.[35] אתגר מרכזי בהחלה של נורמה זו הוא קביעת היקף תחולתה הגאוגרפית, מאחר שהנורמה מוגבלת בעיקרה לפעולות הנעשות בשטחה של מדינה, או כאלו שמבוצעות מחוץ לשטחה אך מצויות בשליטתה.[36] 

חובת החריצות הנאותה רלוונטית לענייננו. כנקודת מוצא, הדומיננטיות של ישראל בשוק הסייבר, כמו גם רמת הידע והמומחיות בתחום, מעידים כי רף האחריות של המדינה הוא גבוה. משטר פיקוח ומתן רישיון ייצוא הוא פעולה מניעתית מצד המדינה,[37] כלומר מהלך חיובי במובן של חריצות נאותה. ועדיין, המציאות מלמדת כי מנגנוני הפיקוח הקיימים בישראל אינם יעילים תמיד, וזאת בשל פיקוח "רך" מצד משרד הביטחון, לצד ניגוד עניינים מובנה הנובע מכך שהוא אמור לפקח על ייצוא ביטחוני.

בהתאם, מאחר שמשטר פיקוח זה התגלה כלא יעיל – ובפרט לאחר פרשות בקנה מידה בינלאומי הפוגעות בתדמיתה של ישראל – נכון לחקור את האתגרים שנתגלו ביישומו ולשקול את חיזוקו. כחלק מהליך חקירה זה, ככל שנפגעו חירויות הפרט של אנשים מסוימים בשל שימוש ברוגלה (אשר לישראל הייתה השפעתה על הפעלתה, למשל באמצעות מתן רישיון ייצוא), למדינה קמה חובה לחקור ולהעניק סעד. על רקע זה, החלק המסכם של רשימה זו יציע הכללה של מנגנוני פיקוח המבקשים לבטא עמידה משמעותית יותר של מדינת ישראל בחובתה זו, מכוח עקרון החריצות הנאותה.

אחריות תאגידית לזכויות אדם

בשנת 2011 אומצו לראשונה עקרונות האו"ם בנוגע לתאגידים וזכויות אדם, מתוך הבנה כי תאגידים משפיעים על מאזן זכויות האדם בסביבה בה הם פועלים.[38] מדובר במסמך בעל מעמד לא מחייב מבחינה משפטית, שרק מראה על הדין כפי שעלינו לשאוף לקדם אותו (Lex Ferenda),[39] והשפעתו מוגבלת מכיוון שלא הוקם מנגנון אכיפה ליישומו.[40]

מספר חברות טכנולוגיה מובילות, בהן גוגל, אפל ומיקרוסופט,[41] החליטו על אימוץ מסמך עקרונות זה – בעיקר משיקולי תדמית, אך לעיתים גם מתוך רצון כן להטמיע ערכי זכויות אדם בפעילותן. גם חברת NSO קיבלה על עצמה בשעתו את המחויבות לעקרונות הללו, עוד לפני התעוררות הטענות לגבי שימוש לרעה בפגסוס.[42] 

בעת האחרונה, ישנה מגמה מקבילה המבקשת לקדם אחריות פלילית בינלאומית ביחס לפעילות תאגידים במקרים מסוימים.[43] למשל, נטען כי הפלטפורמות של חברת מטא (לשעבר פייסבוק) תרמה להפצה והדהוד מחדש של הסתה שהובילה לרצח העם של בני מיעוט הרוהינגה במיאנמר.[44] אירוע זה הוביל לביקורת ציבורית בינלאומית, ואף למהלכים משפטיים.[45] 

התפתחויות נורמטיביות מסוג אלו תורמות לשיח על אודות אסדרה של שוק הסייבר המודיעיני. עם זאת, כל עוד אין מדובר במסגרת משפטית מחייבת, הדבר אינו מגביל בצורה מספקת את הפגיעה של תעשייה זו בזכויות אדם וביחסים שבין מדינות. מסיבה זו, מדינות פועלות באפיקים נוספים – בעיקר דיפלומטיים – על מנת להתמודד עם תעשייה נפיצה זו.

מבט קדימה – היכן תשתלב מדינת ישראל בשיח הבינלאומי?

כמתואר לעיל, הצטברות עדויות על שימוש לרעה לכאורה בפגסוס ברחבי העולם יצרה משבר אמון עולמי ביחס לתעשיית הסייבר ההתקפי בישראל. פרשה זו מאירה את ישראל באור לא מחמיא, כמדינת ייצוא מובילה של אמצעי סייבר התקפיים שנוצלו לרעה, ומזמינה את השאלה – כיצד היא תבחר לפעול לאור תדמיתה, השלילית לרוב, בתחום מעורר מחלוקת זה?

בדו"ח של נציבות האו"ם לזכויות אדם הפצירו מומחים במדינת ישראל, "בתור מדינת האם של חברת NSO", לחשוף בפני הקהילה הבינלאומית פרטים לגבי עסקאות הייצוא של החברה, כמו גם ביחס לשימוש לרעה במוצריה על ידי לקוחותיה.[46] יש שהגדילו והביעו תקווה כי ישראל תהיה חלק מהפתרון הבינלאומי לבעיית תעשיית סייבר התקפי; עם זאת, באותה הנשימה הודו המחברים כי השימוש ברוגלות על ידי ממשלת ישראל – למשל, במסגרת פרשת פגסוס-סייפן – מעיד כי נכון לעתה המדינה אינה צועדת בכיוון זה.[47]

הדומיננטיות הרבה של ישראל בשוק הסייבר, כמו גם רמת הידע והמומחיות בתחום, מעידים כי רף האחריות של המדינה הוא גבוה. המציאות מלמדת כי מנגנוני הפיקוח הקיימים אינם מסייעים תמיד. הפגיעה שנובעת מפרשת NSO היא תדמיתית וגם כלכלית, שכן אובדן האמון הבינלאומי בתעשיית הסייבר ההתקפי בישראל כבר החלה להשפיע באופן ישיר – ועוד תשפיע בעתיד –  על ייצוא החוץ של המדינה (אשר חלק משמעותי מתוכו נבנה על תעשיית הסייבר ההתקפי).

ישראל צריכה להדק את הרגולציה על תעשיית הסייבר ההתקפי – גם בשלב הפיתוח של הרוגלות וגם בהליכי פיקוח בדיעבד

כמו כן, בעבר מדינת ישראל הייתה יכולה להתגאות בשוק זה ולבסס עליו, לפחות חלקית, את יחסי החוץ שלה – למשל, על ידי סיוע למדינות ידידותיות בתחום זה. אלא שבמצב הדברים הנוכחי, נראה כי כלי סייבר התקפיים מסוג פגסוס הופכים מוקצים, גם אם כרגע בעיקר ברמה הדיפלומטית ולא המשפטית. מכאן שהיתרון היחסי הזה עלול להפוך לגורם המייצר חשש או רתיעה מפני שיתוף פעולה עם ישראל.

לבסוף, העובדה ש-NSO מצאה את עצמה במאבק משפטי מול חברות ענק כמו אמזון ואפל משפיעה גם היא על יכולתה של מדינת ישראל לקיים אקו-סיסטם טכנולוגי פורח, אשר מזמין חברות בינלאומיות להשקיע בשוק הישראלי, תוך אמון במסגרת האסדרתית ובחברות הפועלות בו.[48]

על רקע חששות אלה, וכחלק מן המשבר המתגלגל, חזינו במגמה של החמרת ההגבלות בישראל על שיווק וייצוא סייבר התקפי. למעשה, אשתקד פורסם כי ב-2023 נסגרו 12 חברות סייבר מודיעיני ישראליות בשל הגבלות של משרד הביטחון והכנסת NSO לרשימה השחורה של ארה"ב.[49] במילים אחרות, משוק של 18 חברות ישראליות נותרו, נכון לכתיבת שורות אלה, רק שש. לאור זאת, החל משרד הביטחון בעבודת מטה במטרה לשפר את הפיקוח על ייצוא מוצרי סייבר ולהציל למעשה את מה שנותר מתעשייה זו.[50] 

כפי שהדגמנו, ישנה התעוררות בינלאומית במערב באשר לצורך לייצר אסדרה בינלאומית של שוק כלי הסייבר ההתקפיים, ובכלל של טכנולוגיה דו-שימושית (בעלת שימוש אזרחי וביטחוני). בתור מעצמת סייבר שסופגת ביקורת בינלאומית גוברת על יחסה המקל כלפי תעשיית הסייבר המודיעיני שלה – מגמה אשר צפויה להתחזק עקב המהלכים החקיקתיים האחרונים שצוינו לעיל – מדינת ישראל אינה יכולה להרשות לעצמה לשבת על הגדר. הקהילה הבינלאומית, לצד אזרחי ישראל, מצפים מהממשלה להוות דוגמה חיובית לשימוש בכלים רבי-העוצמה אשר היא דוגלת בייצוא שלהם.

ראשית, על ישראל להדק את הרגולציה ברמה הפנימית – גם בשלב הפיתוח של רוגלות וגם בהליכי פיקוח בדיעבד (למשל, ברמה הפרלמנטרית). בעיקר, עליה לבסס מערך פיקוח על טכנולוגיה שיש לה יישום ביטחוני טרם השימוש או הרכישה שלה (בין אם ממדינה או מחברה פרטית), וזאת גם מכוח חובתה על בסיס דיני הלחימה וגם על בסיס דיני זכויות האדם הבינלאומיים.[51] כיום, טכנולוגיות דוגמת פגסוס נבחנות רק בשלב מאוחר, כאשר קיים קושי משמעותי לערוך שינויים מהותיים במאפייני הטכנולוגיה, בין היתר בשל עלויות הפיתוח והתועלת הכלכלית של מתן הרישיון עבורה.

מיסוד מנגנון פיקוח מקדים ייצר תמריץ להגביר את הציות לנורמות חוקיות, ובפרט זכויות אדם, באופן שלא יפגע כלכלית בצורה אנושה במפתחים – שכן ההתאמות הנדרשות ייעשו עוד לפני שהושקעו כספים בפיתוח מתקדם (מניעה של השקעות אבודות, או sunk cost). מנגנון מסוג זה יוכל גם לייצר תחושת שותפוּת בין תעשיית הסייבר המודיעיני בישראל לבין הממשלה.

הניסיון החלקי שתואר לעיל להתמודד עם הטענות והבעיות שעולות מהשטח מלמד על החשיבות בהגברת הפיקוח על כלים טכנולוגיים לאיסוף מידע אישי, ובמיוחד כאלו אשר יש להם יישום ביטחוני. אנו סבורים כי ראוי למסד מנגנון פיקוח משלים לזה הפועל במסגרת משרד הביטחון, אשר יבחן את הטכנולוגיה עוד בטרם מתן רישיון שימוש, שיווק או ייצוא. מנגנון זה צריך להביא בחשבון מספר תחומים: כלכלה, ביטחון, אתיקה, משפט ועוד.

שנית, ובמבט רחב, טוב יהיה אם מדינת ישראל תיקח חלק בשיח הבינלאומי בנושא אסדרת מרחב הסייבר ותנסה להשפיע על סדר היום, במקום לרדוף אחריו. אין הרבה מדיניות עם ידע, ניסיון ויכולות כמו ישראל בתחום זה – וניתן להראות זאת על מנת לשתף במידע ולחלוק תובנות באשר לפיתוח כלי סייבר התקפי, פיקוח עליהם ושימוש בהם. בנוסף, ניתן גם לפתח מנגנונים שיוכלו לשמש כמודל חיובי עבור מדינות אחרות – דוגמת מנגנון הפיקוח המוצע ברשימה זו.

טוב יהיה אם מערך החוץ של ישראל יבחר לשווק את מאמציה האחרונים של המדינה בתחום, האף שהם חלקיים, ולרתום אותם לחיזוק התדמית הבינלאומית של תעשיית הסייבר במחוזותינו ולהשבת אמון הציבור בה. צעד זה חשוב ברמה האסטרטגית והמשפטית, מבחינת יחסי חוץ ולשם חיזוק הכלכלה הישראלית. השתתפות פעילה תאפשר השפעה על היווצרות נורמות, תגן על ענף בעל חשיבות כלכלית עצומה ותסייע לשקם את מעמדה הבינלאומי של מדינת ישראל.

סיכום

פרשת פגסוס הובילה מדינות, גופים בינלאומיים ותאגידי ענק לגנות הן את חברת NSO והן את מדינת ישראל. בדומה לטלטלה שגרמו בארה"ב הגילויים של אדוארד סנודן בתחילת העשור הקודם, פרשה זו היא אירוע מכונן עבור מדינת ישראל, יחסי החוץ שלה ותעשיית הסייבר ההתקפי המקומית. ישראל נמצאת כעת בצומת דרכים: עליה להחליט אם להמשיך בדרך הנוכחית, שפגעה בה כלכלית ומדינית, או להתחיל להפעיל אמצעי פיקוח מחמירים יותר על תעשיית הסייבר ההתקפי שפועלת בשטחה ולקחת חלק פעיל יותר בעיצוב נורמות בינלאומיות בתחום.

חשוב להדגיש כי צעדי הרגולציה הפנימיים שחברת NSO נוקטת בהם אינם יכול לפטור את ישראל מאסדרת תעשיית הסייבר ההתקפי שלה. כמדינה ריבונית, יש לה אחריות מוגברת בהתאם לדין הבינלאומי, וכן מהיותה גוף עם אמצעים רגולטוריים רבים, להתמודד עם הקשיים שיוצרת הפעילות של תעשיית הסייבר ההתקפי. הכלים הרגולטוריים שחברות ישראליות מפעילות יכולים רק להשלים את המנגנונים של מדינת הייצוא, אך לא לבוא במקומם.

משבר הרוגלות הוא הזדמנות למסד הליכי פיקוח יעילים יותר על הכנסה של טכנולוגיה חדשנית לשימוש מערכת אכיפת החוק

במישור הפנימי, למרות המבוכה אשר גרמה פרשת סייפן, מדינת ישראל עדיין יכולה לנצל את המשבר כדי לצאת לתהליך של תיקון – מהותי ותדמיתי. משבר מסוג זה הוא הזדמנות למסד הליכי פיקוח יעילים יותר על הכנסה של טכנולוגיה חדשנית לשימוש מערכת אכיפת החוק.

אירועי 7 באוקטובר הולידו רצון עמוק לחזק ולהרחיב את מערך הביטחון, אולם ניתן לעשות זאת תוך למידה מן המשבר וללא התעלמות ממנו, ותוך יצירת איזונים נכונים ודרושים בין שיקולי ביטחון לבין ערכי דמוקרטיה פנימיים ובינלאומיים. זאת, במטרה לבטא את המחויבות של המדינה לשלטון החוק וכדי להחזיר את האמון הבינלאומי בתעשיית הסייבר המודיעיני הישראלית.

הניסיון שתצבור ישראל מצעדי התיקון יוכל לשמש אותה להדוף טענות על פיקוח לקוי ביחס לתעשיית הסייבר ההתקפי שלה בדיאלוגים עתידיים בזירות בינלאומיות. המודל יוכל להשפיע בהמשך על מסגרות רגולציה בינלאומיות עתידיות ולהוות השראה עבור מדינות אחרות.

נותר כעת לחכות ולראות איזה מקום ישראל מבקשת לעצמה בזירה זו – אם היא תבחר בשיקולים של הגנה על חירויות הפרט ושיקום יחסי החוץ שלה, או שתתבוסס במגננה אשר עלולה להגביר את הביקורת כלפיה ולהחריף את הצעדים שננקטים נגד תעשייה שחשובה לכלכלתה ולתדמיתה הבינלאומית.

ד"ר טל מימרן הוא ראש תכנית במכון תכלית, המנהל האקדמי של הפורום למשפט בינלאומי באוניברסיטה העברית וחבר סגל במכללה האקדמית צפת.

עו"ד עדן פרבר היא חוקרת במכון תכלית ומנהלת פרויקט התחרות הארצית במשפט הומניטארי במכללה האקדמית צפת.

המחברים מבקשים להודות למערכת "הזירה" על הערות העריכה המשמעותיות ועל העצות הטובות בהליך כתיבת רשימה זו.

(צילומים: באדיבות המחברים)

הערות

[1] ב-2023, למשל, נחשף כי במסגרת חקירת תיק רצח, עשתה המשטרה שימוש בחומרים שנשאבו תוך חריגה מצו בית המשפט. כתוצאה, הוחלט לפסול את השימוש בראיות הללו במשפט. ר': חן מענית, "הפרקליטות משכה ראיות מתיק רצח, כי הושגו על ידי שימוש ברוגלות שלא כדין", הארץ, 5 ביוני 2023. https://www.haaretz.co.il/news/law/2023-06-05/ty-article/00000188-8a5e-dded-a58e-abdebdf70000

[2] בין היתר, ישראל היא בית לחברת סאיטו (אשר בעבר נקראה קנדירו), חברת אינטלקסה, חברת NSO ועוד. 

[3] הסכום המוערך של הייצוא הביטחוני בשנת 2020 עמד על כשמונה מיליארד דולר, ובשנת 2021 על שיא של 11.5 מיליארד דולרים. מתוך סכום זה, כ-10% מההכנסות מבוססות על טכנולוגיות סייבר. ר': מערכת אתר משרד הביטחון, "חוזי הייצוא הביטחוני ב-2020: 8.3 מיליארד דולר", אתר משרד הביטחון, 1 ביוני 2021. https://www.mod.gov.il/Defence-and-Security/articles/Pages/1.6.21.aspx ; מערכת אתר משרד הביטחון, "2021: שנת שיא בייצוא הביטחוני של ישראל", אתר משרד הביטחון, 12 באפריל 2022. https://www.mod.gov.il/Defence-and-Security/articles/Pages/12.4.22.aspx 

[4] דורון פלדמן, "הסכמי אברהם – הממד הקיברנטי", צומת המזרח התיכון 11, 2021.

[5] ר' למשל: עמית מררי ושות', דין וחשבון הצוות לבדיקת האזנות סתר לתקשורת בין מחשבים, ירושלים, אב התשפ"ב – אוגוסט 2022 (להלן: "דו"ח מררי"); תומר גנון, "בניגוד להנחיות מררי: המשטרה לא רכשה תוכנת מעקב חדשה ללא אישור היועמ"שית", כלכליסט, 28 במאי 2023. https://www.calcalist.co.il/local_news/article/hjbiapki3

[6] ר' למשל: עומר כביר, "סיטיזן לאב: פגסוס ריגלה אחר עיתונאים ופעילי זכויות אדם במקסיקו עד 2021", כלכליסט, 3 באוקטובר 2022. https://www.calcalist.co.il/local_news/article/bjylml00zs

[7] עומר כביר, "הסייבר הישראלי מצטמק: מ-18 ל-6 יצרניות רוגלה בתוך שנה", כלכליסט, 19 באפריל 2023. https://www.calcalist.co.il/calcalistech/article/rjdbgg3fn

[8] שירי חביב ולדהורן, "מעצמת סייבר: שווי החברות שיצאו מישראל עומד על כ-54 מיליארד דולר", גלובס, 10 בפברואר 2020. https://www.globes.co.il/news/article.aspx?did=1001317811

[9] NSO Group, Transparency and Responsibility Report 2021, 30 June 2021. https://www.nsogroup.com/wp-content/uploads/2021/06/ReportBooklet.pdf

[10] Forbidden Stories, “The Pegasus Project”, n.d. https://forbiddenstories.org/case/the-pegasus-project/

בנוסף, ארגון Citizen Lab פרסם דוח על חברת קנדירו (היום סאיטו) לפיו נמצאו מעל 100 נפגעים כולל מגיני זכויות אדם, מפגינים, אקטיביסטים ופוליטיקאים במדינות רבות בהן איראן, הרשות הפלסטינית, לבנון, ספרד, סינגפור ועוד. ראו:

Bill Marczak et al., “Hooking Candiru: Another Mercenary Spyware Vendor Comes into Focus,” The Citizen Lab, 15 July 2021. https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/ 

[11] Dana Priest, “A UAE agency put Pegasus spyware on phone of Jamal Khashoggi’s wife months before his murder, new forensics show,” The Washington Post, 21 December 2021. https://www.washingtonpost.com/nation/interactive/2021/hanan-elatr-phone-pegasus

[12] ראו באתר משרד הביטחון, "אמנת שירות", ללא תאריך. https://exportctrl.mod.gov.il/About/Pages/amana.aspx

[13] תומר גנון, "חברת NSO בשירות משטרת ישראל: פריצות לטלפון של אזרחים ללא פיקוח או בקרה", כלכליסט, 18 בינואר 2022. https://www.calcalist.co.il/local_news/article/s1b1xwx6y

[14] ראו: דו"ח מררי.

[15] בנוסף, בעוד החוק מתיר לאסוף מידע שהוא "תקשורת בין מחשבים", סייפן אפשרה לקלוט מידע נוסף כמו פרטי יומן, פתקים ורשימת אפליקציות. יכולות אלו מעלות את הסיכון לפגיעה בפרטיות, שכן ניתן לשלוף ממכשיר מידע אישי רגיש שלא במסגרת הצו ושאינו קשור בהכרח לביצוע עבירות.

[16] מתן וסרמן, "ועדת החוקה לממשלה: הקימו ועדת חקירה על פרשת פגסוס ו-NSO", מעריב, 13 ביוני 2023. https://www.maariv.co.il/news/politics/Article-1014667

[17] אברהם בלוך, "בעקבות פרשת פגסוס: לוין הודיע על הקמת ועדת בדיקה ממשלתית", מעריב, 20 ביולי 2023 https://www.maariv.co.il/news/politics/Article-1024131

[18] חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבות ברזל), תשפ"ד-2023.

[19] תקנות שעת חירום (חרבות ברזל) (הסמכת שירות הביטחון הכללי לביצוע פעולה בחומר מחשב המשמש להפעלת מצלמה נייחת), תשפ"ד-2023.

[20] “The overhaul of Israel’s judiciary will maim its democracy, says Polly Bronstein,” The Economist, 14 Febraury 2023. https://www.economist.com/by-invitation/2023/02/14/the-overhaul-of-israels-judiciary-will-maim-its-democracy-says-polly-bronstein; Kevin Shalvey, “Israel approves divisive judicial overhaul, weakening court's power amid pro-democracy protests,” ABC News, 24 July 2023. https://abcnews.go.com/International/israel-vote-divisive-judicial-overhaul-amid-protests/story?id=101600450

[21] ראו בהמשך פירוט על קריאות של מומחים באו"ם לישראל לקחת אחריות. כמו כן, ראו הודעות עיתונאות אשר מתייחסות לפרשת פגסוס כ"חברת סייבר התקפי ישראלית" למשל:

Amnesty International, “Massive data leak reveals Israeli NSO Group’s spyware used to target activists, journalists and political leaders globally,” 19 July 2021. https://www.amnesty.org/en/latest/press-release/2021/07/the-pegasus-project/; Stephanie Kirchgaessner, “Israeli spyware company NSO Group placed on US blacklist,” The Guardian, 3 November 2021. https://www.theguardian.com/us-news/2021/nov/03/nso-group-pegasus-spyware-us-blacklist/ 

[22] Council of Europe, “Pegasus spyware and its impact on human rights,” 20 June 2022. https://www.coe.int/en/web/freedom-expression/-/pegasus-spyware-and-its-impacts-on-human-rights 

[23] WhatsApp v. NSO Group, et. al, No. 4:19-cv-7123 (N.D. Cal. Oct. 29, 2019); Apple Inc. v. NSO Group Technologies Limited No. 3:21-cv-09078 (N.D. Cal. 23.11.2021).

[24] Committee of Inquiry to investigate the use of Pegasus and equivalent surveillance spyware, European Parliament, Draft report of the investigation of alleged contraventions and maladministration in the application of Union law in relation to the use of Pegasus and equivalent surveillance spyware (2022/2077(INI)), 28 November 2022. https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/PEGA/PR/2023/05-08/1267987EN.pdf

[25] חברות ישראליות נוספות גם הן הוכנסו לרשימה זו, כגון אינטלקסה וסאיטו (קנדירו). ראו להלן:

Jacob Magid, “Malicious activities: US blacklists Israel’s NSO Group and Candiru spyware firms,” Times of Israel, 3 November 2021. https://www.timesofisrael.com/us-blacklists-israels-nso-group-and-candiru-spyware-firms/; Assaf Gilead, “Biden administration bans spyware cos Intellexa and Cytrox,” Globes, 18 July 2023. https://en.globes.co.il/en/article-biden-administration-bans-spyware-cos-intellexa-and-cytrox-1001452642/ 

[26] “FACT SHEET: President Biden Signs Executive Order to Prohibit U.S. Government Use of Commercial Spyware that Poses Risks to National Security,” The White House, 27 March 2023. https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/27/fact-sheet-president-biden-signs-executive-order-to-prohibit-u-s-government-use-of-commercial-spyware-that-poses-risks-to-national-security/#:~:text=Today%2C%20President%20Biden%20signed%20an,rights%20abuses%20around%20the%20world.

[27] המגבלות מאפשרות למחלקת המדינה האמריקאית לסרב להנפיק ויזה לאנשים שמשתייכים לאחת משלוש קבוצות: (1) אנשים החשודים בשימוש לרעה באמצעי סייבר התקפיים, במטרה לעקוב אחר אנשים באופן שרירותי או בלתי חוקי, להטריד, להשתיק או לאיים על עיתונאים, פעילים חברתיים או אנשים מאוכלוסיות מוחלשות, ועוד; (2) מי שהפיק רווח כספי משימושים אלו בסייבר התקפי, כולל מי שמנהל חברה אשר מוכרת סייבר התקפי למדינות המשתמשות בו לרעה; ו-(3) בני משפחה גרעיניים של מי שנמנה על קבוצות אלו. ראו:

Antony J. Blinken, Announcement of a Visa Restriction Policy to Promote Accountability for the Misuse of Commercial Spyware, Press Statement, U.S. Department of State, 5 February 2024. https://www.state.gov/announcement-of-a-visa-restriction-policy-to-promote-accountability-for-the-misuse-of-commercial-spyware/

[28] Steve Holland, Susan Heavey and Daphne Psaledakis, "Biden imposes sanctions on Israeli settlers accused of West Bank violence," Reuters, 1 February 2024. https://www.reuters.com/world/biden-issue-order-targeting-jewish-settler-violence-wbank-politico-2024-02-01/ 

[29] Draft articles on Responsibility of States for Internationally Wrongful Acts, with commentaries p.5 (2001).

[30] Tallinn Manual 2.0, rule 6: “A state must exercise due diligence in not allowing its territory… to be used for cyber operations that affect the rights of, and produce series adverse consequences for, other States.”

[31] Talita Dias & Antonio Coco, Cyber Due Diligence in International Law, Oxford: Oxford Institute for Ethics, Law and Armed Conflict, 2021, pp. 127-130.

[32] Case concerning Armed Activities on the Territory of the Congo (Democratic Republic of the Congo v. Uganda), Judgment, ICJ [2005] Reports 2005.

[33] Human Rights Committee, “General Comment No. 31 [80]: The Nature of the General Legal Obligation Imposed on States Parties to the Covenant,” United Nations, CCPR/C/21/Rev.1/Add.13, 26 May 2004. https://tbinternet.ohchr.org/_layouts/15/TreatyBodyExternal/Download.aspx?symbolno=CCPR%2FC%2F21%2FRev.1%2FAdd.13&Lang=en 

[34] Case Concerning Application of the Convention on the Prevention and Punishment of the Crime of Genocide (Bosn. & Herz. v. Serb. & Montenegro), Judgment, 2007 I.C.J Rep. 43, ¶ 430 Feb. 26).

[35] Nicholaus Tsagourias, “Self-Defence against Non-state Actors: The Interaction between Self-Defence as a Primary Rule and Self-Defence as a Secondary Rule,” Leiden Journal of International Law, Vol. 29, Issue 3, 2016, pp. 801, 817.

[36] Asaf Lubin, “Selling Surveillance,” Indiana Legal Studies Research Paper No. 495, 2023, pp. 20-21. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4323985.

[37] ברוך ברכה, משפט מנהלי, תל אביב: הוצאת שוקן, 1987, כרך א, עמ' 61.

[38] United nations Human Rights Office of the High Commissioner, Guiding Principles on Business and Human Rights: Implementing the United Nations ‘Protect, Respect and Remedy’ Framework", New York: United Nations, 2011.

[39] עקרונות 15-11 במסמך האו"ם.

[40] Andreas Rasche & Sandra Waddock, “The UN Guiding Principles on Business and Human Rights: Implications for Corporate Social Responsibility Research,” Business and Human Rights Journal, Vol. 6, Issue 2, June 2021, pp. 227, 232.

[41] “Human Rights”, Google, n.d. https://about.google/human-rights/; Apple, Apple Supplier Code Of Conduct And Supplier Responsibility Standards, 2023. https://www.apple.com/supplierresponsibility/pdf/Apple-Supplier-Code-of-Conduct-and-Supplier-Responsibility-Standards.pdf; Microsoft Corporate Social Responsibility, “Microsoft Global Human Rights Statement,” Microsoft, n.d. https://www.microsoft.com/en-us/corporate-responsibility/human-rights-statement?activetab=pivot_1:primaryr5

[42] “Human Rights Policy”, NSO Group, n.d. https://www.nsogroup.com/governance/human-rights-policy/

[43] Marina Aksenova & Linde Bryk, “Extraterritorial Obligations of Arms Exporting Corporations: New Communication to the ICC,” Opinio Juris, 14 January 2020.

https://opiniojuris.org/2020/01/14/extraterritorial-obligations-of-arms-exporting-corporations-new-communication-to-the-icc/

[44] Statement to the Human Rights Council by Nicholas Koumjian, Head of the Independent Investigative Mechanism for Myanmar, on the 51st Regular Session of the Human Rights Council, 12 September 2022. https://iimm.un.org/statement-to-the-human-rights-council-by-nicholas-koumjian-head-of-the-independent-investigative-mechanism-for-myanmar-on-the-51st-regular-session-of-the-human-rights-council/ 

דו"ח שהוזמן על ידי מטא ביקר גם את מדיניות החברה במהלך מבצע "שומר החומות" במאי 2021 בישראל. הדו"ח קבע כי היה לפייסבוק תפקיד בהתגברות התקריות האלימות במדינה במהלך האירועים:

BSR, Human Rights Due Diligence of Meta’s Impacts in Israel and Palestine in May 2021: Insights and Recommendations, September 2022, p. 4. https://about.fb.com/wp-content/uploads/2022/09/Human-Rights-Due-Diligence-of-Metas-Impacts-in-Israel-and-Palestine-in-May-2021.pdf

[45] The Republic of Gambia. v. Facebook, Inc., 567 F. Supp. 3d 291 (D.D.C. 2021); Priya Pillai, “The Republic of The Gambia v Facebook, Inc.: Domestic Proceedings, International Implications,” Opinio Juris, 8 Aug 2020. http://opiniojuris.org/2020/08/08/the-republic-of-the-gambia-v-facebook-inc-domestic-proceedings-international-implications/ 

[46] OHCHR, “Spyware scandal: UN experts call for moratorium on sale of ‘life threatening’ surveillance tech,” Press releases, 12 August 2021. https://www.ohchr.org/en/press-releases/2021/08/spyware-scandal-un-experts-call-moratorium-sale-life-threatening.

[47] Daniel Estrin, “What to Know about the Spying Scandal Linked to Israeli Tech Firm,” NPR, 25 August 2021. https://www.npr.org/2021/08/25/1027397544/nso-group-pegasus-spyware-mobile-israel.

[48] ראו למשל ניתוח הלחצים של חברת אמזון בעקבות המצב בישראל:

Tehila Shwartz Altshuler, “NSO Spyware May Threaten Israel's Love Affair with Amazon and Google,” The Israeli Democracy Institute, 27 July 2021. https://en.idi.org.il/articles/36096 

[49] כביר, "סייבר הישראלי מצטמק".

[50] שם.

[51] Human Rights Committee, General comment No. 36 on article 6 of the International Covenant on Civil and Political Rights, on the right to life, CCPR/C/GC/36, 30 October 2018, at para. 65; Tal Mimran and Yuval Shany, “Integrating Privacy Concerns in the Development and Introduction of New Military or Dual-Use Technologies,” in: Russell Buchan and Asaf Lubin (eds.), The Rights to Privacy and Data Protection in Times of Armed Conflict, Hebrew University of Jerusalem International Law Forum Working Series [06-21], 2022. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3992769