שליו חוליו, מייסד ומנכ"ל קבוצת NSO, מחברות ההייטק הישראליות המצליחות ביותר לפתרונות אבטחת סייבר, העניק ראיון מיוחד לפורבס לאחר שתחקיר שפורסם בשבוע שעבר חשף כי תוכנת הרוגלה של החברה, פגסוס, נמצאה במכשירי טלפון של עיתונאים, אנשי עסקים ופוליטיקאים בכירים ברחבי העולם.
במסגרת התחקיר, שהובא לפרסום על ידי אמנסטי ו-Forbidden Stories, נחשפה רשימה הכוללת כ-50 אלף מספרי טלפון שהיו נתונים לכאורה במעקב של ממשלות וארגונים באמצעות תוכנת הריגול הישראלית.
למרות האש והביקורת הרבה שחטף בימים האחרונים, חוליו נשמע דווקא במצב רוח מרומם במהלך הראיון שהעניק לפורבס, במהלכו תקף את הטענות שהושמעו נגד חברת הסייבר שלו: "רשימת הטלפונים הזו לא קשורה ל-NSO בשום אופן, וגם לא לתוכנת פגסוס. זה הדבר היחיד שאני יכול לאשר בנוגע לסוגיה הזו", הבהיר.
באותה נשימה, אמר מייסד NSO כי הוא לא מקבל על עצמו את האחריות לשימושים לא כשרים שנעשים לכאורה באמצעות מוצרי החברה: "אנחנו מוכרים את המוצר שלנו לממשלות וארגונים ברחבי הועלם, אין לנו דרך לעקוב אחר השימוש שהגופים האלו עושים במוצר שלנו. אם עושים בהם סוג של שימוש לא כשר, נעשה כל שביכולתנו כדי לחקור את הפעילות הזו ואם נגלה שאכן נעשה שימוש לרעה בתוכנה – נפסיק את ההתקשרות באופן מידי. תמיד פעלנו כך ונמשיך לפעול כך, אך באותה נשימה, אנחנו לא יכולים להיחשב האחראים לפעולותיהן של ממשלות".
"לאדם הסביר אין סיבה לדאגה"
הטכנולוגיה של NSO, מתעקש חוליו, נוצרה ביסודה כדי להגן על האזרחים הפשוטים מפני פשיעה וטרור: "אנשים נורמטיביים שלא מבצעים פשעים, כאלו שהם לא ה'בין-לאדנים' של העולם המודרני, אין להם סיבה אמיתית לחשוש מהטכנולוגיה שלנו. הם יכולים לסמוך על הגדרות הפרטיות במכשירי האפל והאנדרואיד שלהם".
עם זאת, מבקריה הקשוחים ביותר של NSO, לרבות העיתונאי אדוארד סנודן, טוענים כי תוכנות ריגול דוגמת פגסוס צריכות להיות אסורות לשימוש באופן מוחלט. חוליו מסרב להגיב להערות מצד הגורמים הללו וממשיך לטעון בתוקף כי "תוכנות כמו פגסוס הן הכרחיות כדי להציל חיים ולשמור על ביטחונם של בני אדם ברחבי העולם".
האתגר: ביקורת בינלאומית
פרסום רשימת מספרי הטלפון שנפרצו כללה כאמור גם פוליטיקאים מהשורה הראשונה, כמו נשיא צרפת עמנואל מקרון, וכן בכירים בממשל המקסיקני וההודי. השמות ברשימה, שהיו בפרופיל ציבורי גבוה למדי, גרמו למהומה תקשורתית בקנה מידה בינלאומי ולהטחת האשמות הדדיות בין NSO לבין מבקריה.
אלא שהדרך שבה התגלגלה רשימת המספרים לאמנסטי ו-Forbidden Stories עוד לא ברורה, כמו גם הקשר הישיר בין המספרים לבין NSO. העמימות לא מנעה מכלי התקשורת לקבוע כי מדובר באשמים הבלעדיים. עם זאת, ב-NSO טוענים כי הרשימה מציינת מטרות אפשריות להתקנת תוכנת הרוגלה, וכי אין הדבר מחייב כי כלל המספרים שמצוינים ברשימה אכן נמצאים במעקב.
"מספר הלקוחות הממוצע של משתמשים בתוכנת פגסוס הוא בערך 100 מטרות ללקוח, ואנו מוכרים כעת את המוצר ל-40-45 מדינות ברחבי העולם. אין כונן גדול מספיק כדי להכיל את כל היעדים שנמצאים ברשימה. לכן, 50 אלף מספרים זה מספר משוגע ולא הגיוני", הסביר המנכ"ל.
לדבריו, הנתונים הגיעו ממאגר נתונים בשם Home Location Register (HLR), מאגר הנשלט על ידי חברות הסלולר ומתבסס על מיקומי טלפונים ניידים, הודעות סמס ועוד. אם אכן מדובר במקור המדליף, מדובר בהסבר הגיוני לכמות המספרים שהודלפה, מה שסותר את הנימוק של חוליו לחוסר ההיגיון שבדבר.
ק'תל מק'אייד, סמנכ"ל הטכנולוגיה בחברת AdaptiveMobile, מסביר כי מאגרי נתונים בסגנון LHR מסוגלים לנתר כמות אדירה של מידע, המגיעה לכדי מיליארדי מספרי טלפון, כך שגודל הרשימה אינו גדול בקנה מידה זה, ואפילו קטן באופן יחסי.
ועדיין – NSO עומדת איתנה בהכחשתה את הקשר בינה לבין המספרים שפורסמו. גם אמנסטי שהייתה שותפה לפרסום התחקיר מסרבת להבהיר את הסוגיה ולחשוף את מקורות המידע שעזרו לייצר את הרשימה, אך הם עומדים איתנים מאחורי הטענה כי כלל המספרים קשורים בצורה כזו או אחרת לחברה הישראלית.
היסטוריה של פרסומים בעייתיים
זה אינו התחקיר הלא מחמיא הראשון שמתפרסם נגד NSO, וגם לא המאמר הראשון שעוסק בבעייתיות השימוש בתוכנה רבת העוצמה שפיתחה. תחקירים שיצרו הד תקשורתי ברחבי העולם התחילו להתפרסם כבר בשנת 2016, אך הפעם מדובר בתהודה יוצאת דופן גם בגלל השמות הגדולים שנמצאו ברשימה וגם בגלל ההיקף העצום והפרסום בכלי תקשורת גדולים ברחבי העולם.
ועדיין, חוליו מגן בחירוף נפש על המוצר של החברה וטוען כי למעלה מ-15 מתקפות טרור רצחניות ברחבי העולם נמנעו הודות לתוכנת הריגול. כמו כן, הוא מספר כי החברה הפסיקה את ההתקשרות עם גורמים, ארגונים ומדינות לאחר שגילו כי השימושים שבכוונתם לעשות בתוכנה אינם כשרים, אך במהלך הראיון הוא סירב להסגיר במי מדובר.
לסיום, השווה חוליו את החברה שהקים לחברת רכב, והמחיש זאת באמצעות מטפורה: "אם נהג שיכור דורס מישהו – האם זו אשמת חברת הרכב? לא, זו אשמת הנהג". מבקריה של NSO מסרבים לקבל את ההקבלה הזו, בייחוד בשל הפוטנציאל ההרסני הראשוני הקיים במוצר של החברה, והנכונות של NSO, לדבריהם, להפקיד מוצר טכנולוגי מסוכן בידי הלקוחות מבלי לבדוק כמו שצריך את המניעים שלהם.