ועידת ניו יורק
"תוכנת הריגול של חברת NSO נוצלה לרעה"
ביל מרזק, עמית מחקר בכיר בסיטיזן לאב, תקף את מדיניות חברת הריגול: "במדינות כמו סעודיה, אפילו ביקורת נגד משפחת המלוכה נחשבת לטרור"
"הביקורת הפנימית של NSO על השימוש שנעשה בתוכנת הריגול שלה פשוט לא מספקת", כך אמר ד"ר ביל מרזק, עמית מחקר בכיר במכון סיטיזן לאב של אוניברסיטת טורונטו ופוסט־דוקטורנט באוניברסיטת ברקלי, קליפורניה, בוועידה.
- נשיאת NSO: "לא עוקבים אחרי מספרים ישראליים"
- מנכ"ל NSO: "הטכנולוגיה שלנו לא סייעה לרצח העיתונאי הסעודי"
- תביעה נגד NSO: סייעה ברצח העיתונאי הסעודי ג'מאל חשוקג'י
מרזק הוביל כמה מהתחקירים המתוקשרים ביותר על השימוש שנעשה בפגסוס, תוכנת הריגול של NSO, נגד עיתונאים, אקטיביסטים ומתנגדי משטר במדינות שונות: "יש לנו הרבה ניסיון בבחינת חברות אחרות בתעשייה שהן בעלות מדיניות סינון עצמי של לקוחות. על סמך מה שראינו והשימוש לרעה שנעשה בתוכנה שלהם, נראה שהביקורת שלהם לא מספקת".
מרזק סקר בפתח דבריו את הפעילות בתחום תוכנות הריגול שמיועדות לשימוש ממשלות. "חברות כמו האקינג טים, סייברביט הישראלית ו־NSO מוכרות מוצרים לממשלות ולכוחות אכיפת חוק, ואלו מאפשרים להם לפרוץ למחשבים וטלפונים. הטענה שלהן דומה: 'אתם צריכים את הפתרון שלנו כדי להגיע למכשירים של פושעים וטרוריסטים'. מאז 2012 אנחנו מפרסמים דו"חות על ממשלות שמשתמשות בתוכנות כדי לתקוף מתנגדים: רופאים, עורכי דין, מנהיגים חברתיים ומנהיגי איגודים. הדו"ח המוכר ביותר שלנו היה על התוכנה של NSO שריגלה אחרי פעילים סעודים במדינות זרות, כמו כוכבי יוטיוב סעודים שלועגים למשפחת המלוכה הסעודית".
NSO טוענת שהתוכנה משמשת רק לזיהוי טרוריסטים, אך בסעודיה לעג למשפחת המלוכה מוגדר כפעילות טרור. "לממשלת סעודיה יש יחידת אנטי־טרור שפועלת נגד כל מי שמתאר את המלך באופן פוגע - אין שם קריאה לאלימות, אין פצצות או סכינים, רק ביקורת, וזה נחשב טרור".
מרזק תיאר את האופן שבו חשפה סיטיזן לאב את פעילות NSO: "גילינו זאת ב־2016, כשפעיל מדובאי קיבל הודעת SMS שהבטיחה חשיפה על עינויים עם קישור חשוד. הוא העביר את זה אלינו וגילינו דרך ההודעה פרצות במערכת ההפעלה של האייפון שאפל לא מכירה, שבאמצעותן הותקנה הרוגלה. דיווחנו על כך לאפל, שהשיקה עדכון על מנת לחסום את הפרצות.
"מרגע שהפרצה מתוקנת, הרוגלה לא תעבוד. NSO אומרת שזה שיבש לה את העבודה רק ל־30 דקות, אבל המחקר שלנו גילה שהיא פעלה בקיבולת מופחתת במשך שבעה חודשים. יש עלויות מבחינת זמן וכסף במציאת הפרצות האלו. לכן המחיר של התוכנות כל הזמן עולה".
בתשובה לשאלה מהקהל מה ימנע מחברות אחרות למכור תוכנות כאלו אם NSO תפסיק לעשות זאת השיב מרזק: "לחברות כמו NSO יש גישה ליכולת טכנולוגית מתקדמת - צריך הרבה כסף, זמן ואנשים כדי לבנות דברים כאלו. אם חברות כמו NSO יפסיקו למכור לממשלת מדכאות, הממשלות ייאלצו לפנות לחבורת מתוחכמות פחות עם מוצר שלא עובד כל כך טוב או אפילו לא עובד בכלל וזה יהיה ניצחון".
מרזק אמר עוד שבסופו של דבר יש הבדל מהותי בין ריגול מצד מדינות כמו ארה"ב או ישראל לריגול מצד מדינות לא דמוקרטיות: "במדינות כמו סעודיה אין פיקוח, אי אפשר לערער על החלטות של נסיך הכתר. התוצאות חמורות בהרבה מאשר במדינות שבהן האזרחים יכולים לדרוש תשובות מהממשלה".