רגולציה חלקית על טכנולוגיות סייבר התקפי אפשרה במשך שנים לחברות מסחריות בתחום למכור טכנולוגיות מעקב מתקדמות למשטרים שניצלו אותן לרעה. חשיפת פרשות אלו הובילה לביקורת חריפה על חברות הסייבר, תוך התעלמות מאחריותן של ממשלות לאסדרת פעילותן. רק שיח בינלאומי המשותף למדינות ולחברות יוביל לאסדרת תחום הסייבר ההתקפי ויבטיח שלא ישמש לפגיעה בזכויות אדם

אירועי 7 באוקטובר ומלחמת "חרבות ברזל" שפרצה בעקבותיהם הדגימו את חשיבותן של טכנולוגיות איסוף מודיעין בסייבר בעתות חירום. במקרים רבים הן היו הגורם שמבדיל בין מוות לחיים, בין מצוקה להצלה ובין חוסר ודאות להבנה ברורה של שדה הקרב. אך לצד היתרונות המובהקים שטכנולוגיה זו מציעה, הגעתה לידיים הלא נכונות מתגלה בשנים האחרונות כהרסנית. בירדן וביוון, במקסיקו ובאל סלבדור, בבחריין ובסעודיה – דומה שבאחרונה נחשפים כמעט מדי חודש מקרים חדשים של שימוש בטכנולוגיית אלה (המכונות גם "סייבר התקפי") לפגיעה בזכויות אדם ופרט.

עיקר הביקורת הציבורית על הפעילות הזדונית הזו מכוונת כלפי חברות הסייבר המסחריות. אלו מספקות את הטכנולוגיה שלהן לממשלות שמשתמשות בהן באופן שאינו עומד בסטנדרטים אתיים מערביים. מאמר זה מבקש לטעון שדווקא המדינות – ולא החברות המסחריות – הן שנושאות באחריות העיקרית למצב זה, לאור הימנעותן מגיבוש רגולציה מקומית ובינלאומית מחייבת לפיתוח טכנולוגיית סייבר התקפי, למכירתה ולשימוש בה. בהתאם לכך, הוא מבקש לשרטט את נקודת האיזון המתאימה בין ביטחון לאומי לפרטיות ולהתוות את הקווים המנחים לגיבוש רגולציה יעילה ומועילה של תעשיית הסייבר ההתקפי.

מבלי להסיר אחריות מהחברות המסחריות, הרי שבסופו של יום האחריות הכוללת לקביעת סטנדרטים לשימוש בטכנולוגיות סייבר מונחת לפתחן של מדינות

המאמר יתאר את שלושת הווקטורים המשמעותיים לבחינת רגולציה מתאימה על טכנולוגיית איסוף מודיעין בסייבר: (1) היקף איומי טרור ופשיעה וחומרתם; (2) זכויות הפרט והאופן בו הן נתפסות בדעת הקהל; ו-(3) אחריותן של מדינות לאסדרת התחום. אבקש להדגים תחילה כיצד המתודולוגיה הרגולטורית הנוכחית – המסתפקת בבחינת התנהלותן של חברות מסחריות והשתת סנקציות עליהן לאחר המעשה – אינה מצליחה להדביק את ההתפתחויות בשני הווקטורים הראשונים. לאחר מכן, אבקש להניח את היסודות לשיח בינלאומי לטובת גיבוש סטנדרטים על-מדינתיים, שיוכלו להתמודד הן עם המציאות הקיימת והן עם התפתחויות טכנולוגיות העתידיות.

 במאמר אטען כי התקדמות בתחום תתאפשר רק דרך פעילות רגולטורית דו-שלבית. בשלב הראשון, יש להתעקש על שיח בין מדינות החולקות תפיסת עולם דומה (like minded) במטרה לגבש תקינה (סטנדרטיזציה) בינלאומית. שיח זה צריך לבחון מי הן המדינות אשר תוכרנה כחברות ב"מועדון המדינות" שניתן למכור להן טכנולוגיית סייבר התקפי ולייבא אותה מהן בביטחון (יחסי) שלא ינוצלו לרעה, בהתאם לאופי המשטר שלהן ולמידת האפקטיביות של הבקרה שלהן על השימוש בטכנולוגיה.

כמו כן, יש לקבוע אילו גופים בכל מדינה ראויים לקבל גישה לטכנולוגיה. במסגרת זו, מדינות נדרשות לקיים דיאלוג גם עם חברות הסייבר המסחריות כדי לקבוע תנאי סף לאישור שיווק וייצוא של הטכנולוגיה שלהן. שיח זה ראוי שיסתיים בקביעת תקינה מחייבת, אמנה, או הסכמי שיתוף פעולה בין מדינות החולקות תפיסת עולם דומה וביצירת קוד אתי לחברות המסחריות בתחום.

בשלב השני, כתוצר של התקינה הבינלאומית, מדינות חברות תידרשנה לשלב בחקיקה שלהן את הסטנדרטים הבינלאומיים שנקבעו כתנאי סף לייבוא, ייצוא והפעלה של הטכנולוגיה, ויצטרכו לייצר את המנופים המדיניים והכלכליים על מנת לתמרץ את תעשיית הסייבר המקומית להפנים את הסטנדרטים הללו.

חשוב להדגיש כי מטרת המאמר איננה להסיר אחריות מהחברות המסחריות, שתחויבנה לעמוד בהנחיות הרגולטור ולהוכיח שימוש אתי והפצה שקולה של הטכנולוגיה. עם זאת, בסופו של יום האחריות הכוללת אל מול האזרחים לקביעת הסטנדרט הראוי לשימוש בטכנולוגיה מונחת לפתחן של מדינות.

מביטחון לאומי להצפנה מקצה לקצה

מאז הפכה רשת האינטרנט לציבורית והמונית, נעה מטוטלת הרגולציה בין שני קצוות: הגנה על פרטיות המידע של המשתמשים מול שמירה על ביטחון לאומי, המצריך לעיתים גישה למידע זה לטובת מאבק בטרור ובפשיעה. שורשיה של בעיית האסדרה של ימינו מצויים בפיתוחה והפצתה של טכנולוגיית הצפנה מקצה לקצה (end-to-end encryption). הצפנה זו יוצרת תווך תקשורת שרק הצדדים להתכתבות או לתקשורת חשופים אליו, והגישה לתוכן המועבר בשיחה בין הצדדים חסומה למי שאינו צד לשיחה. סוגיית הרגולציה של ההצפנה מקצה לקצה צריכה להיבחן בקונטקסט ההיסטורי שהוביל לגיבוש התפיסה העכשווית, המעמידה את פרטיות המשתמש מעל לכל.

בשנות התשעים של המאה הקודמת – ימיה הראשונים של האינטרנט כרשת המונית – ניסו מדינות המערב להימנע מהתערבות רגולטורית בהתפתחותה של הרשת. תנועת המטוטלת לכיוון השני החלה לאחר פיגועי 11 בספטמבר 2001, שהובילו את הממשל האמריקאי לנקוט בחקיקה לחיזוק הביטחון הלאומי ולהגברת הפיקוח על התכנים ברשת. תפיסת הביטחון הלאומי כערך עליון עברה אשרור גם בשנת 2011, כאשר הנשיא ברק אובמה האריך מספר הוראות מפתח ב"חוק הפטריוט", כדוגמת האפשרות לבצע האזנות סתר אחר יעדי מעקב החשודים בטרור.[1]

המטוטלת החלה לנוע לכיוון השני ביוני 2013, אז הדליף אדוארד סנודן, עובד קבלן שסיפק שירותים עבור הסוכנות לביטחון לאומי האמריקאית (NSA), חומר מסווג רב על תוכניות סודיות של הסוכנות למעקב רחב היקף בכל רחבי העולם.[2] פרסום החומרים בעיתונים מרכזיים כמו ה"גרדיאן" וה"וושינגטון פוסט", והתרעומת הציבורית הגלובלית שהם עוררו, חייבו את וושינגטון לבחון את מדיניות אבטחת המידע והפרטיות של אזרחיה.

רק מדינות בודדות, בעלות המשאבים לאתר ולהכשיר באופן סדיר כוח אדם צעיר ומיומן, מחזיקות ביכולת לפצח הצפנה - וברבות מהן צמחה תעשיית סייבר פרטית

בדצמבר 2013 פורסם דוח ועדת מומחים בנושא, שהמליץ לממשל לעודד יצירה של תקן הצפנה גלובלי.[3] ב-2015 הקים הנשיא ועדת מומחים לבחינת האופן בו עושות סוכנויות המודיעין שימוש בכלי מעקב.[4] באותה שנה קראו ארגוני החברה האזרחית ובכירים בממשל לנשיא לאפשר הצפנה מקצה לקצה, כתנאי בסיסי להפיכת האינטרנט למקום בטוח יותר.[5] 

במקביל, בממשל התבססה ההנחה כי כל פירצה טכנולוגית שתאפשר איסוף מידע של רשויות אכיפת חוק – תאפשר באותה מידה גם לרוסיה ולסין גישה קלה אליו.[6] באיזון בין הצורך באיסוף המידע במקרים ספציפיים באמצעות גישה סמויה אליו (Back doors), לאבטחה מלאה של המידע – בחר הממשל באבטחת המידע ובמניעת נגישות מוחלטת.[7] ראש ה-FBI טבע אז את המונח "Going dark" כדי לתאר כיצד רשויות אכיפת החוק מנועות מלגשת למידע ראייתי הכרחי על מנת להילחם בפשיעה ולמנוע טרור.[8] פרשת סן ברננדינו מ-2016, במסגרתה התנגדה חברת אפל לסייע ל-FBI לגשת לטלפון סלולרי של חשוד שהיה נעול בסיסמה, הדגימה זאת היטב.

ואכן, באותה עת החלו ארגוני פשיעה וטרור לנצל את תווך התקשורת המוצפן לתועלתם.[9] התפתחות זו הולידה צורך ביטחוני לפיתוח טכנולוגיה שתאפשר לסוכניות אכיפת חוק והמודיעין גישה לתקשורת מוצפנת ותעניק להן יכולות איסוף מודיעין, מעקב וסיכול.

מאחורי פלטפורמות התקשורת המוצפנות, בהן משתמשים פושעים וטרוריסטים (לצד אזרחים שומרי חוק), ניצבות ענקיות הטכנולוגיה; בהתאם, היכולת לייצר כלי עוקף הצפנה ולהביא מידע מודיעיני בעל ערך הפכה ליכולת צבאית. רק מדינות בודדות, אשר לרשותן עומדים המשאבים לאתר ולהכשיר באופן סדיר כוח אדם צעיר ומיומן שיוכל לאתגרי ההצפנה, מחזיקות כיום ביכולת לאומית כזו.[10] באותן מדינות החלה לצמוח תעשיית סייבר פרטית המבוססת על יוצאי היחידות הביטחוניות המובחרות, שהקימו חברות לפיתוח טכנולוגיה המתגברת על ההצפנה.

נסיקתן של חברות הסייבר ההתקפי ארעה על רקע היעדר רגולציה בינלאומית ופנים-מדינתית ביחס לאופן בו ראוי לרכוש, להפיץ ולהפעיל טכנולוגיה מסוג זה

ב-2010 נוסדה חברת NSO הישראלית, העוסקת בפיתוח תוכנות לאיסוף מודיעין בסייבר. לצדה קמו חברות נוספות, דוגמת קנדירו (ישראל), אינטלקסה (יוון), Positive Technologies (רוסיה),Computer Security Initiative Consultancy PTE LTD (סינגפור) ורבות אחרות. נסיקתן ארעה על רקע היעדר רגולציה בינלאומית ופנים-מדינתית ביחס לאופן בו ראוי לרכוש, להפיץ ולהפעיל טכנולוגיה מהסוג שהן מייצרות.

השילוב בין היעדר הרגולציה, אינטרסים מדינתיים[11] שלעיתים עודדו מדינות להפיץ את הטכנולוגיה המסחרית כחלק מאסטרטגיה מדינתית, האינטרסים המסחריים של החברות והביקוש הגובר לטכנולוגיה מהסוג הזה, עודד את הפצתה לכל המרבה במחיר. עם הזמן, החלה הטכנולוגיה להגיע לידיהם של משטרים אשר אינם פועלים לפי סטנדרטים אתיים מערביים – ועושים בהם שימוש לצרכים שחורגים ממה שמוגדר במערב כתכליות של ביטחון לאומי ואכיפת חוק.

כתוצאה, ארגוני חברה אזרחית ופעילי זכויות אדם החלו לעקוב אחר הפגיעה הקשה שגורמת טכנולוגיית הסייבר ההתקפי לזכויות אדם ברחבי העולם והקימו נגדה קול זעקה.[12] ב-2020, באמצעות שיתוף פעולה בין העיתונים, ארגוני זכויות אדם[13] ומכוני מחקר מכל העולם, נחשפו מאות יעדים – ביניהם דיפלומטים, עיתונאים ופעילי זכויות אדם – שהותקנה על גבי הטלפונים הסלולריים שלהם הרוגלה "פגסוס" של חברת NSO הישראלית.[14] 

הפניית הזרקור אל פעילות החברות המסחריות והביקורת הציבורית עליהן הגיעה לשיא בנובמבר 2021, כאשר משרד המסחר האמריקאי (The Commerce Department’s Bureau of Industry and Security) הכניס ארבע חברות סייבר התקפי – שתי חברות ישראליות, חברה רוסית וחברה סינגפורית – לרשימה (Entity List) של גופים המהווים סכנה לביטחון הלאומי ולאינטרסים המדיניים של המדינה.[15] 

בנקודת זמן זו, העולם כולו עסק באחריות החברות המסחריות – והתעלם מהצורך בהתוויית רגולציה ראויה להפצת הטכנולוגיה ולשימוש בה.

אתגר האסדרה

 האתגר של אסדרת טכנולוגיות "חדישות" או "מפציעות" (Emerging technologies) אינו ייחודי לזירת הסייבר. הוא מאפיין מקרים בהם קצב התפתחות הטכנולוגיה מהיר הן מהשיח הציבורי והן מפיתוח הידע הנדרש בגופים הרגולטורים הרלוונטיים. עם זאת, בכל הנוגע לטכנולוגיה העלולה לסכן זכויות אדם, הטלת מלוא האחריות לפתחן של החברות המסחריות איננה מסייעת ליצירת מסגרות ראויות לבקרה על הפצת הטכנולוגיה ולשימוש אחראי בה.

אסדרת תחום איסוף המודיעין בסייבר חסרה בשתי זירות: הבינלאומית והפנים-מדינתית. אתייחס לשתיהן כאן.

הזירה הבינלאומית

הבקרה על ייצוא נשק קונבנציונלי וסחורות וטכנולוגיות דו-שימושיות (dual-use) מתבצעת כיום באמצעות משטר ספקים המכונה "הסדר ואסנאר" – הסדר רב-צדדי אשר שותפות לו 42 מדינות חברות. מטרתו היא להוביל להגברת השקיפות והאחריות של המדינות החברות בכל הנוגע למוצרי ייצוא אלה.[16] 

רק בשנת 2017 נכנס לראשונה הפיקוח על "תוכנות חדירה" (Intrusion Software) להסדר ואסנאר, אך גם הוא לא הופעל מיד. בארה"ב, לדוגמה, התנהל ויכוח סביב הפרשנות הראויה שיש לתת לסעיף והוא הופעל רק במארס 2022.[17] עם זאת, חשוב להדגיש כי ההסדר אינו קובע כללים בינלאומיים לאופן שבו ראוי להפיץ את הטכנולוגיה; בפועל, הוא רק מסמן את אותן הטכנולוגיות הדורשות פיקוח, ומותיר את קביעת הכללים באופן פנימי בידי המדינות עצמן. לבד מהסדר וואסנאר, לא התקיים שיח של ממש בזירה הבינלאומית הקורא לאסדרת אופן ההפצה של טכנולוגיית איסוף מודיעין בסייבר עד לשנה האחרונה.

השימוש הלא ראוי בטכנולוגיה ומכירתה למשטרים שאינם מערביים גררו בשנים האחרונות קריאות מצד ארגוני זכויות אדם לאסור את השימוש בה, שהתניעו בתורם שיח בין-מדינתי לטובת אסדרת התחום. ארגון המדינות המפותחות, ה-OECD, פרסם בדצמבר 2022 הצהרה מולטילטראלית העוסקת בצורך של מדינות בשבירת ההצפנה במקרים הראויים לכך.[18] 

במארס 2023 נחתמה הצהרה מולטילטראלית נוספת של 12 מדינות – בהן ארה"ב, בריטניה, ניו זילנד, אוסטרליה וקנדה – בדבר הצורך להסדיר את השימוש בתוכנות ריגול, באופן שיעלה בקנה אחד עם שמירה על זכויות אדם ועם צורכי ביטחון לאומי.[19] אך חרף ההתייחסות המפורשת לבעיה, הצהרות אלו אינן מניחות תשתית רגולטורית לאופן בו ראוי להפעיל את הטכנולוגיה ואינן עוסקות בשאלה מהם תנאי הסף להפצה ולייבוא של הטכנולוגיה.

בתחילת 2024 התגבר השיח הבין-מדינתי סביב אסדרה. בפברואר התקיימה בפריז פסגה דיפלומטית בהובלת בריטניה וצרפת, שמטרתה להשיק תהליך עבודה על הסכם בינלאומי לאסדרת התפוצה של כלי סייבר התקפי. בכנס השתתפו נציגים של כ-35 מדינות מרחבי העולם, משפטנים, נציגי ענקיות הטכנולוגיה כדוגמת מיקרוסופט וגוגל ופעילי זכויות אדם.[20]  

קבוצת ניתוח האיומים של גוגל (Threat Analysis Group – TAG) יצאה בקריאה למדינות העולם ולחברה האזרחית להתאחד כדי לשנות את מנגנון התמריצים שאיפשר לטכנולוגיות הסייבר ההתקפי להתפשט, לשמר את המומנטום שנוצר ולייצר רגולציה שתמגר את השימוש לרעה בטכנולוגיות כאלו.[21]

ניכר כי בעת הזו, הכנסים המתקיימים מייצרים בעיקר הצהרות על הכוונה והנכונות לגבש כללים, אך ללא עיסוק בגיבוש הכללים עצמם וללא שילוב החברות העוסקות בפיתוח הטכנולוגיה הזו.

הזירה המקומית

החקיקה הפנימית של מדינות בתחום רגולציית סייבר התקפי משתרכת מאחור אף היא. מצב זה בא לידי ביטוי בשלושה מישורים: אסדרת הייצוא, אסדרת הייבוא (רכש של טכנולוגיה זרה על ידי גורמים פנים-מדינתיים) ואסדרת השימוש.

• אסדרת הייצוא – הפיקוח על הייצוא הביטחוני ברמה הדומסטית נעשה ללא סטנדרט בינלאומי מקובל. באופן הזה, הרגולטורים הם שקובעים את תנאי הסף (מגבלות וכללים) לייצוא הטכנלוגיה וגם את יעדי הייצוא. כך למשל, לפני 2021, ישראל התירה לייצא טכנולוגיית איסוף מודיעין בסייבר ליותר מ-100 מדינות.[22] כתנאי סף לייצוא, נקבע כי יש לספק הצהרת משתמש סופי (end user certificate), חתומה על ידי סוכנות אכיפת החוק או המודיעין הרלוונטית במדינת היעד, ובה התחייבות כלפי משרד הביטחון הישראלי כי השימוש שהסוכנות תעשה בטכנולוגיה יהיה למניעת פשיעה חמורה וטרור בלבד.

בנובמבר 2021, לאחר הכנסתן של החברות הישראליות קנדירו ו-NSO לרשימה השחורה בארה"ב, ביצע משרד הביטחון שני מהלכים משמעותיים: הראשון היה צמצום רשימת המדינות הזכאיות לפטור מרישיון שיווק ל-37 בלבד;[23] השני היה שינוי הצהרת המשתמש הסופי,[24] באופן שבו הסוכנות החתומה נדרשת להתחייב לסטנדרט לפיו "פשע חמור" מוגדר במדינה שלה ככזה שעונש המאסר עליו הוא שש שנים לפחות. סטנדרט זה, שנקבע כתנאי מחייב להענקת רישיון ייצוא, לא נגזר מתקינה בינלאומית, אלא היה תוצאה של ניסיון ישראלי "לכַּמֵת" את הסטנדרט האתי ביחס לשימוש בטכנולוגיה לכדי פרמטר בר השוואה.

מהלך זה של משרד הביטחון מטיל בפועל על החברות המסחריות את האחריות לבחינת המסגרת המשפטית הדומסטית בכל מדינת יעד לייצוא. החברות נדרשות לקיים שיח משפטי מעמיק אד-הוק למול גופי הממשל הרלוונטיים במדינות הייצוא ובמקביל מול משרד הביטחון הישראלי לטובת הנגשת המידע וגישור על הפערים כתנאי לייצוא. אף שמהלך זה בעל ערך בריסון ההפצה, עדיף שמדינות ינהלו את השיח ביניהן, יסכמו על מדיניות הפצה ויתוו הנחיות לחברות.

• אסדרת הייבוא – בשנתיים האחרונות  מנסות מדינות מערביות לגבש קריטריונים מקדמיים לדירוג חברות סייבר מסחריות המבקשות לייצא טכנולוגיית איסוף מודיעין בסייבר. מטרת הניסיונות היא לאלץ את החברות לעמוד בקריטריונים הללו אם ברצונן למכור את הטכנולוגיה שלהן לאותן ממשלות מערביות.

לאחר הכנסת NSO לרשימה השחורה בארה"ב החלו להישמע באיחוד האירופי קריאות לממשלות לפתח בעצמן טכנולוגיות סייבר התקפי ולהפסיק לרכוש אותן מחברות מסחריות

 מהלכי חקיקה הנרחבים ביותר בתחום זה מתקיימים בימים אלה בארה"ב. במשך חודשים ארוכים גובשה חקיקה החלה על גופי המודיעין ואכיפת החוק הקובעת סט של קריטריונים מחייבים שעל חברות מסחריות לעמוד בהן כתנאי לאפשרות לרכוש מהן טכנולוגיות,[25] ובמארס 2023 אף פורסם צו נשיאותי בנושא.[26] הקריטריונים כוללים יצירת רשימה של חברות ודירוגן לפי היסטוריה של שימושים לא ראויים במוצריהן, ובכלל זאת היסטוריה של שימוש בטכנולוגיה נגד נושאי משרה בעלי אזרחות אמריקאית, פרקטיקה של הפצה למשטרים שאינם דמוקרטיים, מעורבות של ממשלה זרה בפעילות החברה ועוד.[27] 

המהלך הוביל ביולי 2023 לכניסה של שתי חברות סייבר התקפי ישראליות נוספות לרשימות השחורות בארה"ב.[28] בפברואר 2024 הודיע מזכיר המדינה האמריקאי, אנתוני בלינקן, על מדיניות חדשה המאפשרת לממשל האמריקאי להטיל מגבלות על ויזות לאנשים המעורבים בשימוש לרעה ברוגלות.[29]

מעט לאחר הכנסת NSO לרשימה השחורה של משרד המסחר האמריקאי, באיחוד האירופי החלו להתפרסם גילויי דעת מטעם הרשות הממונה על הפרטיות מטעם האיחוד האירופי (EDPS) וארגוני זכויות אדם, הקוראים לממשלות לפתח בעצמן טכנולוגיות סייבר התקפי ולהפסיק לרכוש אותן מחברות מסחריות.[30] במקביל, בימים אלה מדינות האיחוד מקיימות בחינה רטרואקטיבית של שימושים שהן עשו בטכנולוגיה הללו וקורואת להתאמת מסגרות משפטיות להפעלה ולשימוש בכלים כתנאי לרכישה עתידית.[31] 

מהלכים נקודתיים אלו, אף שיש בהם כדי לסייע לגופי אכיפת החוק והמודיעין לפעול בהתאם לקריטריונים שגובשו ולסנן רכישה מחברות מסחריות המציבות סיכון לביטחון הלאומי של ארה"ב, לדוגמה, אינם מתרחבים לכדי מהלך אסדרתי בינלאומי גורף. כך, הקריטריונים לדירוג חברות נתונים לפרשנות רחבה שמתקיימת באופן חשאי ואינם מהווים כשלעצמם מהלך אסדרתי רחב הנוגע בליבת השאלה: מי המדינות שראוי שיפיצו כלי סייבר התקפי, שירכשו אותם ושישתמשו בהם? הקריטריונים אף אינם מתווים אמות מידה לתעשייה ביחס למגבלות שיש להטמיע בטכנולוגיה על מנת שתעמוד ברף הנדרש להפצה.

• אסדרת השימוש – חקיקה לאומית המגדירה סמכות לעשות שימוש בטכנולוגיית איסוף מודיעין בסייבר – במדינות רבות, החקיקה העוסקת ביכולת להשתמש בכלי סייבר התקפי איננה תואמת את התקדמות הטכנולוגיה הזו. כך, בישראל החקיקה העוסקת באיסוף מידע מטלפונים ניידים היא חוק האזנת סתר (1979).[32] רק בשנת 1995 נוסף הרכיב "תקשורת בין מחשבים" להגדרה של שיחה לחוק, והובהר כי הסמכות לבצע האזנת סתר כוללת את הסמכות להאזין לתקשורת המועברת בין מחשבים.[33] 

גם באירופה נמתחה ביקורת על כך שהחקיקה הפנימית של מדינות איננה תואמת את הטכנולוגיה המפותחת, ושנדרש תקן אירופי מוסכם לטובת הסדרת השימוש במדינות האיחוד.[34] בינואר 2023 הציע האיחוד רשימה של המלצות מחייבות[35] להפעלת הטכנולוגיה במדינות השונות וביקש מהמדינות החברות לאמץ אותן לחקיקה הפנימית. מדובר במהלך חשוב ומקיף, שמסתיים בקריאה למועצת האיחוד האירופי להציע הצעות חקיקה על בסיס ההמלצות. קריאות דומות לקביעת תקנים מוסכמים מגיעות גם מהאו"ם.[36]

על רקע האמור לעיל, בתת-הפרק הבא אבקש להציע מתווה אסדרה להפצה ושימוש של ממשלות בטכנולוגית איסוף המודיעין בסייבר.

האיזון הראוי – גישה דו-שלבית לאסדרה

 נקודת המוצא לכל דיון נורמטיבי בשאלת השימוש וההפצה של טכנולוגיית סייבר היא זו: גופי אכיפת החוק והמודיעין אינם יכולים למלא כיום את תפקידם מבלי שיוכלו להתגבר על הצפנה מקצה לקצה. משעה שהוחלט כי המדינות לא תחייבנה את ענקיות הטכנולוגיה להעניק להן גישה למידע במקרים מוסכמים, הנטל לגיבוש כללים לפיתוח טכנולוגיה מסחרית לשבירת הצפנה, לשימוש בה ולהפצתה – עבר לאחריות המדינות.

בפרק זה אבקש להציע גישה דו-שלבית לאסדרה. בשלב הראשון אציע לכונן שיח בינלאומי אשר יקבע את סך הקריטריונים שעל מדינות לעמוד בהם כדי לייצא את הטכנולוגיה, לייבא אותה ולהשתמש בה. מדינות שכבר עומדות בסטנדרט המוסכם תיכנסנה ל"מועדון החברות", והמעוניינות להצטרף תידרשנה להטמיע את הסטנדרט הנ"ל בחקיקה הפנימית.

שלב א׳ - קידום תקינה בינלאומית

אין להכחיש כי קיים קושי ניכר בגיבוש אסדרה בזירה הבינלאומית כתנאי לאסדרה אפקטיבית בזירה המדינתית. עם זאת, כאשר מדובר בטכנולוגיה שהפצה שלה בצורה לא אחראית עלולה להוביל לשימושים שאינם עולים בקנה אחד עם סטנדרטים אתיים מערביים, יש צורך בהסכמה רחבה ביחס לרף הנדרש ממדינות על מנת שיותר להן לייצא ולייבא טכנולוגיה שכזו.

מועדון לדמוקרטיות ליברליות בלבד. השיח על הצטרפות ל"מועדון החברות" הנ"ל יוצא מנקודת הנחה שהפצה מסחרית של טכנולוגיית איסוף מודיעין בסייבר חייבת להיעשות רק בין מדינות בעלות משטר דמוקרטי. זאת, משום שרק עקרונות דמוקרטיים-ליברליים מבטיחים הגנה אפקטיבית על זכויות וחירויות אדם, כולל למיעוטים, ורק דמוקרטיות ליברליות מבקשות לקבוע בלמים וחסמים בפני כוחו של השלטון.

 יש לגבש פרמטרים כדי לקבוע אם מדינה מסוימת מקיימת סדרי משטר דמוקרטיים-ליברליים ובעלת מנגנונים המבטיחים הגנה על זכויות אדם

לאור זאת, השיח הבינלאומי צריך לקבוע פרמטרים לבחון אם מדינה מסוימת מקיימת סדרי משטר דמוקרטיים-ליברליים וכי יש בה מנגנונים המבטיחים הגנה על זכויות אדם. ראוי שדיון זה יכלול התייחסות, בין היתר, לפרמטרים הבאים:

• האם מתקיימים עקרונות היסוד של משטרים דמוקרטיים: הגנה אפקטיבית על זכויות מיעוט, שלטון החוק, הפרדת רשויות אפקטיבית ועצמאות הרשות השופטת, בחירות חופשיות, תקשורת חופשית, חופש התארגנות, הכרה משפטית בזכויות אדם באמצעות חוקה או חקיקת יסוד?

• מה מידת השחיתות במדינה ומהם מנגנוני ההגנה מפניה?

• האם קיימים חוקים המחייבים דיווח ושקיפות, כדוגמת חוק חופש המידע, ועד כמה השלטון מחויב בהנגשת המידע לאזרחים?

כבר היום קיימים אינדקסים שונים, כגון Democracy Index, Anti-corruption Index, מחקרים של ה- OECD ועוד העוסקים בניתוח מדינות ודירוגן. מכאן שנותר למדינות להסכים על הקריטריונים שיש להביא בחשבון והמשקל שיש לתת להם כאשר קובעים את הסטנדרט המינימלי הנדרש ממדינה לטובת רכש טכנולוגיית איסוף מודיעין בסייבר.

קביעת ייעוד השימוש ומנגנוני פיקוח. נוסף על בחינת סוג המשטר של מדינה מסוימת, יש לקבוע סט של שאלות שתסייענה לוודא כי המסגרות הדומסטיות הקיימות במדינה מסוימת עונות על התנאים. לדוגמה:

• מי הם הגופים במדינה שיש להם סמכות לעשות שימוש בטכנולוגיה ומי הגופים המפקחים עליהם בהצטיידות ובשימוש? 

• לטובת איזו פעילות ראוי לאשר שימוש בטכנולוגיה – מאבק בפשיעה חמורה? למטרות ביטחון לאומי ולוחמה בטרור?

• מהן חובות הדיווח של הגופים המשתמשים בטכנולוגיה בכל מדינה כלפי האזרחים?

• מהן הבקרות שיש להפעיל בדיעבד על השימוש בטכנולוגיה ומי הגופים המתחקרים?

• האם קיימים סעדים משפטיים לנפגעים משימוש בלתי הולם בטכנולוגיה?

גיבוש אמות מידה לפיתוח ושימוש בטכנולוגיה. נדרשות אמות מידה מנחות לגיבוש חקיקה לאומית אשר תסדיר את אופן השימוש בטכנולוגית איסוף מודיעין בסייבר. כאן המקום לקיים שיח בינלאומי הקובע מיהם מושאי ההגנה, באופן שיאפשר לאחר מכן למדינות להציג בפני החברות המסחריות הפועלות בשטחן את דרישות הסף הטכנולוגיות להטמעה במערכות, כתנאי לאישור ייצוא ורכש על ידי סוכניות ממשלתיות.

כך, לדוגמה, אם רוצים לוודא שהטכנולוגיה תכלול יכולת חקירה בדיעבד במקרה של פעילות אשר איננה עולה בקנה אחד עם הסטנדרטים הבינלאומיים שנקבעו להפעלתה, יש להחליט כי יצרניות הטכנולוגיה מחויבות להטמיע מנגנונים שיאפשרו קביעת הרשאות גישה של משתמשי הקצה למערכת ותיעוד כלל הפעולות בה. זאת, על מנת להבטיח אפשרות לתחקור בדיעבד, באמצעות שליפה ועיבוד של המידע שנאסף. בנוסף, אם מבקשים לצמצם את המידע הנאסף למינימום ההכרחי למניעת פשיעה חמורה וטרור, תוך איזון הצורך הזה למול פרטיות הנעקבים, יש לבחון הטלת מגבלות על סוגי המידע שמתקבלים מטכנולוגיה זו, כמו גם על היקף הנגישות למכשיר הנעקב ולפעילותו.

חובה לשלב את החברות המסחריות בשיח על אסדרה, כיוון שללא היכרות מעמיקה עם הטכנולוגיה שהן פיתחו לא ניתן יהיה לגבש מתווה ראוי

כדי לייצר הנחיות שחברות מסחריות תוכלנה להטמיע, ניתן להציע את השאלות הבאות כבסיס לשיח הבינלאומי:

• אילו סוגי מידע ראוי שייאספו באמצעות הטכנולוגיה? האם הגישה שמורה למשתמש הקצה בלבד, או לחברה המסחרית? האם נכון לדבר רק על אפליקציות להעברת מסרים מיידיים, או שיש לכלול רכיבים של "האזנת נפח", כדוגמת האפשרות לפתוח מיקרופון ומצלמה?

• אופן איסוף המידע – כיצד המידע מתקבל? מה הם קבועי הזמן לקבלת המידע? היכן המידע נשמר? מתי הוא נמחק? מהם המנגנונים לתיעוד הפעילות שנעשית?

• הסדרת הרשאות בהיררכיה שונה לגישה למערכת.

בנוסף, יש להציב עקרונות כלליים שיחייבו את החברות המסחריות, כדוגמת העסקת מומחים בתחום הציות והפיקוח על הייצוא הביטחוני, גיבוש מדיניות המטמיעה את הסטנדרטים הבינלאומיים ועוד. האו"ם דן בסוגיות אלו בשנה החולפת ויש מקום להיעזר בדיונים הללו,[37] אך תהליך זה איננו מהווה מהלך מקיף לאסדרה.

כאן המקום לציין כי חובה לשלב את החברות המסחריות המפתחות את הטכנולוגיה בשיח, כיוון שללא היכרות מעמיקה עם האופן שבו טכנולוגיה מסוג זה פועלת, קשה מאוד לייצר מתווה אסדרה ראוי. יש להביא בחשבון שבעוד שהשיח העולמי מדבר באופן כללי על Spyware, ישנם הבדלים רבים בארכיטקטורה של הטכנולוגיה. הבדלים אלה כוללים את היקפי המידע שנאסף; השוני בסוגי המידע השונים המובאים ("האזנת נפח", הכוללת יכולת לאסוף מידע ממצלמה וממיקרופון, לעומת יכולת מצומצמת של איסוף מידע מאפליקציות מוצפנות); האופן בו מתבצעת הגישה למכשיר (צורך בפעילות אקטיבית של המשתמש אליו מנסים להגיע, או היעדרה) ואופן השהייה עליו; אופן תיעוד הפעולות שנעשות על ידי המשתמשים; והבקרות המפותחות למניעת תקיפה של יעדים לא רצויים. כל הרכיבים הללו מתקשרים במישרין לקביעת הסטנדרטים הראויים לעיצוב הטכנולוגיה.

לבסוף, מכלול צעדים אלה יחייב הקמה של גוף תקינה בינלאומי, שיקבע את הפרמטרים ואת אופן בחינתם ויעניק למדינות סימול בהתאם. חלופה אפשרית לגוף שכזה (אף שהיתכנותה נמוכה יותר) היא גיבוש הסכמים מבוססי אמון לשיתוף פעולה בין מדינות like minded - אמנה בילטראלית או מולטילטראלית, שתקבע תנאי סף להצטרפות למועדון החברות על יסוד השיח הבינלאומי.

במטרה לתמרץ מדינות להצטרף לדיונים ולחתום על אמנה שכזו, מסמך שכזה חייב לקבוע כי הייצוא והייבוא של הטכנולוגיה יבוצעו רק בין מדינות אשר עומדות בפרמטרים שנקבעו, באופן שיאפשר להן להצטרף אל האמנה ולאשרר אותה. הצלחה של מנגנון כזה תלויה גם בגרעין המדינות שיובילו את הדיונים. כך, למשל, אם מדינות ה-Five Eyes (ארה"ב, קנדה, בריטניה, ניו-זילנד ואוסטרליה) ייזמו אותם, הדבר יתמרץ מדינות מערביות להצטרף.

שלב ב' – הטמעת הסטנדרט הבינלאומי בחקיקה פנימית

הטלת כללי פיקוח על ייצוא ביטחוני, בהתאם לסטנדרט הבינלאומי לייצוא. לדוגמה, קביעת רשימת מדינות מותרות לייצוא המתבססת על "רשימת המדינות החברות" הנ"ל, אשר לגביהן קיים קונצנזוס כי הן עומדות בסטנדרטים שנקבעו בזירה הבינלאומית.

במסגרת הפיקוח על הייצוא הביטחוני, על הרגולטורים במדינות מוטלת האחריות לוודא כי הטכנולוגיה המיוצרת על ידי חברות בשטחן מטמיעה את הסטנדרט הבינלאומי המחייב לאישור רישיונות ועומדת בו. כך, למשל, אם נקבע בזירה הבינלאומית כי התכלית הראויה לשימוש בטכנולוגיית איסוף מודיעין בסייבר היא מניעת פשיעה חמורה וטרור, יש לוודא כי הייצוא מתבצע אך ורק לגופי אכיפת חוק ואיסוף מודיעין, שיש להם מסגרת משפטית שמגדירה אותם כבעלי סמכות להצטייד ולהפעיל טכנולוגיה שכזו למטרות הללו.

ראוי שהרגולטור יקבע הנחיות למימוש סטנדרט אתי גבוה בחברות המסחריות, כגון חובה לגייס קציני ציות מנוסים, ולבקרה על יישום נהלים פנימיים בחברה

בנוסף, יש לוודא כי החברות מטמיעות גם מנגנונים משפטיים המחייבים שימוש לתכליות אלו, תוך הגדרה ברורה של איסורים חוזיים – דוגמת הפעלת הטכנולוגיה נגד פעילי זכויות אדם רק בשל פעילותם. על הרגולטור לוודא כי הטכנולוגיה המאושרת לייצוא תואמת את הסטנדרט שנקבע בזירה הבינלאומית. לדוגמה, יש לעמוד על כך שהמידע שנאסף באמצעות הטכנולוגיה מגשים את עיקרון "האמצעי שפגיעתו פחותה" – כזה ש"שואב" את מינימום המידע הנחוץ (לדוגמה: איסוף מידע העובר באפליקציות, לעומת פתיחת מיקרופון וביצוע האזנת נפח).[38] בנוסף, ראוי שהרגולטור יקבע הנחיות למימוש סטנדרט אתי גבוה בחברות המסחריות, כגון חובה לגייס קציני ציות מנוסים, ולבקרה על יישום נהלים פנימיים בחברה, כגון נהלי פיקוח על ייצוא ביטחוני ונהלים למניעת שוחד ושחיתות.

התאמת המסגרת המשפטית הלאומית לסטנדרט הבינלאומי. יש לגבש מסגרת משפטית התואמת את רמת הטכנולוגיה באופן המפנים את הסטנדרט הבינלאומי. מסגרת זו תכתיב מי הן הסוכניות הרלוונטיות במדינה שיש להעניק להן סמכות להשתמש בטכנולוגיה, מה אופן השימוש ההולם בה ומהם מנגנוני הבקרה והדיווח.

סיכום

 במאמר זה ביקשתי לתאר כיצד הרגולציה הבינלאומית והמדינתית בתחום הסייבר ההתקפי בימינו כושלת בהתוויית כללים ברורים עבור חברות הטכנולוגיה המסחריות, ובפועל מייצרת מצב שבו הן פועלות בראש ובראשונה בהתאם לאינטרסים המסחריים שלהן. הצעתי מודל אחר לאסדרה הנשען על מספר הנחות יסוד:

1.      בהיעדר פיתרון מדינתי לאתגר ההצפנה, גופי אכיפת חוק ומודיעין זקוקים לפתרון טכנולוגי שיאפשר להם להתמודד עם פשיעה חמורה, טרור וסכנות לביטחון הלאומי.

2.      טכנולוגיית איסוף המודיעין בסייבר היא טכנולוגיה פולשנית; משכך, יש להתוות רגולציה מקיפה אשר תגביל את השימוש בה לגופים ולמדינות שיוחלט כי הם עומדים בתקן בינלאומי.

3.      על חברות מסחריות חלה אחריות להטמיע את הסטנדרטים הבינלאומיים ולתת להם ביטוי בטכנולוגיה, באתיקה ובמאמצי השיווק והפעילות מול הלקוחות.

רק אסדרה מקיפה של התחום בזירה הבינלאומית, שתלווה לאחר מכן ביישום ברמה המדינתית, תוכל להבטיח למדינה שמבקשת להעניק לחברה מסחרית רישיון ייצוא, כי המוצר יימכר למדינה העומדת בסטנדרט הבינלאומי המוסכם. כאשר ייקבעו בזירה הבינלאומית כללים לאפיון מדינות שראוי שתקבלנה לידיהן את הטכנולוגיה, כללים לעיצוב הטכנולוגיה, כללים מדינתיים לשימוש בה, ומנגנוני בקרה וחקירה בדיעבד – רק אז, אני סבורה, תגיע המטוטלת הנעה בין צרכי ביטחון לאומי לפרטיות המשתמשים לנקודת האיזון המתאימה. זו תתאפיין בפיתוח זהיר של טכנולוגיה כירורגית ומפוקחת, המבטיחה כי השימוש במוצרי איסוף מודיעין בסייבר ייעשה באופן הפוגע בצורה מינימלית ולמען מטרות שכולנו, כאזרחי העולם, יכולים להיות בטוחים שהן ראויות בהתאם לסטנדרטים בינלאומיים מקובלים.

עו"ד רעות ימין היא מומחית למשפט בינלאומי, סייבר ורגולציה, המשמשת כיום היועצת המשפטית של חברת פאראגון פיתרונות בע"מ ואחראית על תחום הציות בה. בעברה עבדה כיועצת משפטית בקשרי חוץ ובפיתוח האסטרטגיה המשפטית הבינלאומית במערך הסייבר הלאומי של ישראל, וכן במשרד החוץ, שם ייעצה בין היתר בתחום הפיקוח על הייצוא הביטחוני.

המחברת מבקשת להודות ליובל שרון, סטודנטית לתואר ראשון במשפטים ובמינהל עסקים באוניברסיטת רייכמן ואנליסטית בצוות הציות בפאראגון, אשר סייעה בכתיבת המאמר.

(צילום: באדיבות המחברת)

הערות

[1] במאי 2011 חתם הנשיא ברק אובמה על הארכה לארבע שנים של שלוש הוראות המפתח בחוק הפטריוט האמריקאי (The Patriot Act), פעולה ששיקפה העדפה של אינטרסים הנוגעים לביטחון לאומי. לדוגמה: מתן הרשאות לחיפוש אחר תיעוד עסקי (סעיף "רשומות הספרייה"); מעקב אחר "זאבים בודדים" (אנשים החשודים כבעלי זיקה לפעילות טרור שאינה קשורה לארגוני טרור); וביצוע האזנות סתר "נודדות" אחר יעדים למעקב, תוך שימוש באפיון ייחודי אשר מבין את ניסיונותיו של היעד לשבור את המעקב על ידי שינוי מיקומו או החלפת טכנולוגיית התקשורת בה. החידוש היה שההיתר ניתן לביצוע מעקב אחר האדם, ולא להפעלת האמצעי שהיעד עושה בו שימוש. ראו:

Rep. F. James Sensenbrenner, “Text - H.R.514 - 112th Congress (2011-2012): FISA Sunsets Extension Act of 2011,” United States Congress, 25 February 2011. http://www.congress.gov/bill/112th-congress/house-bill/514/text.

[2] Barton Gellman and Ashkan Soltani. “NSA Tracking Cellphone Locations Worldwide, Snowden Documents Show,” Washington Post, 17 May 2023. https://www.washingtonpost.com/world/national-security/nsa-tracking-cellphone-locations-worldwide-snowden-documents-show/2013/12/04/5492873a-5cf2-11e3-bc56-c6ca94801fac_story.html.

[3] White House, Office of the Press Secretary, "Background on the President's Statement on Reforms to NSA Programs," 9 August 2013. https://obamawhitehouse.archives.gov/the-press-office/2013/08/09/background-president-s-statement-reforms-nsa-programs. For the report, see: Richard A. Clarke, et al., “Liberty and Security in a Changing World: Report and Recommendations for the President’s Review Group on Intelligence and Communications Technologies,” Review Group on Intelligence and Communications Technologies, 12 December 2013. https://obamawhitehouse.archives.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf

[4] Patricia Zengerle and Warren Strobel, “Obama Signs Bill Reforming Surveillance Program,” Reuters, 3 June 2015. https://www.reuters.com/article/us-usa-security-surveillance-passage-idUSKBN0OI2I920150603. 

[5] Access Now, “Encryption Letter to White House,”Access Now, 11 January 2015. https://alair.ala.org/bitstream/handle/11213/6099/01-11-16%20Coalition%20Letter%20to%20President%20Obama%20urging%20support%20for%20encryption.pdf?sequence=1&isAllowed=y.

[6] Nicole Perlroth and David E. Sanger, “Obama Won’t Seek Access to Encrypted User Data,” The New York Times, 10 October 2015. https://www.nytimes.com/2015/10/11/us/politics/obama-wont-seek-access-to-encrypted-user-data.html 

[7] “FBI Director James Comey told a congressional panel that the Obama administration won't ask Congress for legislation requiring the tech sector to install backdoors into their products so the authorities can access encrypted data.” See: David Kravets, “Obama administration won’t seek encryption-backdoor legislation,” ArsTechnica, 9 October 2015. https://arstechnica.com/tech-policy/2015/10/obama-administration-wont-seek-encryption-backdoor-legislation/ 

[8] James B. Comey, “Going Dark: Are Technology, Privacy, and Public Safety on a Collision Course?” Brookings Institution, Speech Transcript, 16 October 2014. https://www.fbi.gov/news/speeches/going-dark-are-technology-privacy-and-public-safety-on-a-collision-course 

[9] Thomas H. Kean et al., “Digital Counterterrorism: Fighting Jihadists Online,” Bipartisan Policy Center, March 2018. https://bipartisanpolicy.org/download/?file=/wp-content/uploads/2019/03/BPC-National-Security-Digital-Counterterrorism.pdf 

[10] סוכנויות כגון: National Security Agency (NSA), Central Intelligence Agency (CIA), Unit 8200.

[11] רונן ברגמן ומארק מאזטי, "החוזה של סעודיה עם NSO הוארך לאחר שיחה בין מוחמד בן סלמאן לנתניהו", הארץ, 28 בינואר 2022. https://www.haaretz.co.il/news/world/2022-01-28/ty-article/.premium/0000017f-dc2a-d3ff-a7ff-fdaa3d530000

[12] Bill Marczak et al., “Pegasus v. Predator: Dissident’s Doubly-Infected iPhone Reveals Cytrox Mercenary Spyware,” Citizen Lab, 16 December 2021. https://citizenlab.ca/2021/12/pegasus-vs-predator-dissidents-doubly-infected-iphone-reveals-cytrox-mercenary-spyware/ 

[13] Bill Marczak et al., “The Great iPwn: Journalists Hacked with Suspected NSO Group iMessage ‘Zero Click’ Exploit,” Citizen Lab, 20 December 2020. https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/ 

[14] "The Pegasus project," Forbidden Stories, n.d. https://forbiddenstories.org/case/the-pegasus-project/ 

[15] U.S. Department of Commerce, “Commerce Adds NSO Group and Other Foreign Companies to Entity List for Malicious Cyber Activities,” United States Department of Commerce, 3 November 2021. https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list; https://www.calcalist.co.il/calcalistech/article/bkn00wgwdf 

[16] Wassenaar Arrangement, “Introduction,” The Wassenaar Arrangement, 1 Dec 2022. https://www.wassenaar.org/

[17] Robert Rarog and Randy Wheeler, “U.S. Department of Commerce Implements New Export Controls to Combat Malicious Cyber Activities,” JD Supra, 21 March 2022. https://www.jdsupra.com/legalnews/u-s-department-of-commerce-implements-2859327/ 

[18] OECD Legal Instruments, “Declaration on Government Access to Personal Data Held by Private Sector Entities,” OECD.org, 13 February 2023. https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0487

[19] The White House, “Joint Statement on Efforts to Counter the Proliferation and Misuse of Commercial Spyware,” 30 March 2023. https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/30/joint-statement-on-efforts-to-counter-the-proliferation-and-misuse-of-commercial-spyware/

[20] Alexander Martin, Britain and France assemble diplomats for international agreement on spyware, The Record 6 Feburary 2024. https://therecord.media/britain-france-assemble-diplomats-international-agreement 

[21] "Buying Spying: Insights into Commercial Surveillance Vendors," Google Threat Analysis Group, https://storage.googleapis.com/gweb-uniblog-publish-prod/documents/Buying_Spying_-_Insights_into_Commercial_Surveillance_Vendors_-_TAG_report.pdf 

[22] עודד ירון, "אם כך ישראל מטפלת בפרשת NSO וקנדירו, הפרשה הבאה כבר בדרך", הארץ, 30 בנובמבר 2021. https://www.haaretz.co.il/captain/software/2021-11-30/ty-article/.premium/0000017f-efdd-da6f-a77f-ffdf1e730000

[23] מאיר אורבך, "משרד הביטחון קיצץ בשני שליש את מספר המדינות שחברות הסייבר יכולות למכור להן", כלכליסט, 25 בנובמבר 2021. https://www.calcalist.co.il/calcalistech/article/sjnu1zhof

[24] אגף הפיקוח על היצוא הביטחוני, "הצהרת שימוש משתמש סופי - מוצרי סייבר ומודיעין", משרד הביטחון, 6 בינואר 2021. https://exportctrl.mod.gov.il/About/Updates/Pages/06122021.aspx 

[25] United States Congress, “James M. Inhofe National Defense Authorization Act for Fiscal Year 2023,” U.S. House of Representatives, 7 December 2022. https://docs.house.gov/billsthisweek/20221205/BILLS-117hres_-SUS.pdf 

[26] The White House, “Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security,” https://www.whitehouse.gov/briefing-room/presidential-actions/2023/03/27/executive-order-on-prohibition-on-use-by-the-united-states-government-of-commercial-spyware-that-poses-risks-to-national-security/#:~:text=Therefore%2C%20I%20hereby%20establish%20as,foreign%20government%20or%20foreign%20person 

[27] U.S. Senate Select Committee on Intelligence, “James M. Inhofe National Defense Authorization Act for Fiscal Year 2023,” U.S. Senate, 3 January 2022. https://www.intelligence.senate.gov/legislation/intelligence-authorization-act-fiscal-year-2023-division-f-james-m-inhofe-national

[28] עומר בן יעקב, "ארה"ב הטילה סנקציות על תאגיד הריגול של בכיר אמ"ן לשעבר", הארץ, 18 ביולי 2023. https://www.haaretz.co.il/news/security/2023-07-18/ty-article/.premium/00000189-692d-de4e-adeb-ffadf56b0000 

[29] המגבלות מאפשרות למחלקת המדינה האמריקאית לסרב להנפיק ויזה לאנשים שמשתייכים לאחת משלוש קבוצות: (1) אנשים החשודים בשימוש לרעה באמצעי סייבר התקפיים, במטרה לעקוב אחר אנשים באופן שרירותי או בלתי חוקי, להטריד, להשתיק או לאיים על עיתונאים, פעילים חברתיים או אנשים מאוכלוסיות מוחלשות, ועוד; (2) מי שהפיק רווח כספי משימושים אלו בסייבר התקפי, כולל מי שמנהל חברה אשר מוכרת סייבר התקפי למדינות המשתמשות בו לרעה; ו-(3) בני משפחה גרעיניים של מי שנמנה על קבוצות אלו. ראו:

Antony J. Blinken, Announcement of a Visa Restriction Policy to Promote Accountability for the Misuse of Commercial Spyware, Press Statement, U.S. Department of State, 5 February 2024. https://www.state.gov/announcement-of-a-visa-restriction-policy-to-promote-accountability-for-the-misuse-of-commercial-spyware/

[30] Alexander Martin, “Civil liberties groups call for EU ban on spyware,” The Record, 1 February 2023. https://therecord.media/civil-liberties-groups-call-for-eu-wide-ban-on-spyware; European Data Protection Supervisor, “EDPS Preliminary Remarks on Modern Spyware,” European Data Protection Supervisor, 15 February 2022. https://edps.europa.eu/data-protection/our-work/publications/papers/edps-preliminary-remarks-modern-spyware_en

[31] Sophie in ‘t Veld, “EU final report Investigation of alleged contraventions and maladministration in the application of Union law in relation to the use of Pegasus and equivalent surveillance spyware,” European Parliament, A9-0189/2023, 22 May 2023. https://www.europarl.europa.eu/doceo/document/A-9-2023-0189_EN.html

[32] חוק האזנת סתר, תשל"ט-1979.

[33] עמית מררי ושות', דין וחשבון: הצוות לבדיקת האזנת סתר לתקשורת בין מחשבים, ירושלים: אב התשפ"ב – אוגוסט 2022, עמ' 18-17.

[34] “[The PEGA committee] considers that there is a clear need for common EU standards regulating the use of spyware by Member State bodies, drawing from standards laid down by the CJEU, ECtHR and the Venice Commission; considers that such EU standards should cover at least the following elements…” In: Sophie in ‘t Veld, “European Parliament Draft Recommendation to the Council and the Commission,” European Parliament Committee of Inquiry, 4 January 2023. https://www.europarl.europa.eu/doceo/document/PEGA-RD-740554_EN.pdf 

[35] Ibid.

[36] United Nations High Commissioner for Human Rights, The Right to Privacy in the Digital Age: Report of the Office of the United Nations High Commissioner for Human Rights, A/HRC/51/17, 4 August 2022. https://documents-dds-ny.un.org/doc/UNDOC/GEN/G22/442/29/PDF/G2244229.pdf?OpenElement

[37] United Nations Special Rapporteur, Position Paper of the United Nations Special Rapporteur on the Promotion and Protection of Human Rights and Fundamental Freedoms while Countering Terrorism, United Nations Human Rights Special Procedures, April 2023. https://www.ohchr.org/sites/default/files/documents/issues/terrorism/sr/2022-12-15/position-paper-unsrct-on-global-regulation-ct-spyware-technology-trade.pdf

[38] כפי שהוצע בדוח המלצות רשמי של האו"ם מאפריל 2023. ראו:

United Nations Special Rapporteur, Position Paper of the United Nations Special Rapporteur on the Promotion and Protection of Human Rights and Fundamental Freedoms while Countering Terrorism, United Nations Human Rights Special Procedures, April 2023. https://www.ohchr.org/sites/default/files/documents/issues/terrorism/sr/2022-12-15/position-paper-unsrct-on-global-regulation-ct-spyware-technology-trade.pdf