"מישהו החליט ללכת לנו על הראש. יש עליהום על הסייבר הישראלי"
מנכ"ל ומייסד חברת ,NSO שלו חוליו, מברך על ההחלטה לבדוק את הטענות כי ממשלות שו נות עשו שימוש בתוכנת התקיפה של החברה כדי לרגל אחרי עשרות אלפי לקוחות, ובהם פוליטיקאים, עיתונאים ופעילי זכויות אדם. "נשמח מאוד אם תהיה חקירה של הפרשה, כדי שנו כל לנקות את השם שלנו", אומר חוליו. "אין לנו ולא היה לנו שום קשר לרשימה שפורסמה, ואם יתברר שהיה איזה לקוח שעשה שימוש לרעה במערכת שלנו למעקב אחר עיתונאים או פעילי זכויות אדם - הוא ינותק מייד. הוכחנו את זה בעבר, כולל לקוחות הכי גדולים שהיו לנו והפסקנו לעבוד איתם".
אם לא נעשה שימוש לרעה במערכת כמו שאתה טוען, למה אתה לא פותח הכל ומראה לכולם שהכל בסדר?
"כי יש ענייני סודיות, ועניינים של ביטחון לאומי ושל הסכמים מסחריים של המדינות שאנחנו עובדים איתן, ואני לא יכול לצאת ולהגיד 'את זה עשינו ואת זה לא עשינו'. אבל שיבוא גורם מדינתי - כל גורם, בכל מדינה - ואני מוכן לפתוח בפניו הכל, שייכנס, שיחפור מלמעלה למטה. תפאדל, שיבואו".
"ניתקנו לקוחות"
"פגסוס" נחשבת לתוכנת הפריצה המתקדמת בעו לם לטלפונים סלולריים. היא מאפשרת לפורץ לשאוב מהם את כל המידע, לרבות תכתובות )כולל מוצפנות( ותמונות, מבלי להותיר עקבות. היא גם מאפשרת למ שתמשים בה להפעיל מרחוק את המצלמה ואת המי קרופון של הטלפון שנפרץ. התחקיר שפורסם השבוע התבסס על רשימה מודלפת של 50 אלף מספרי טל פון, שאחריהם ביקשו ממשלות שונות בעולם לעקוב
לכאורה באמצעות התוכנה של .NSO
חוליו (39) מספר כי למד על הפרשה לראשונה לפני כחודש. "הגיע אלי איזה צד שלישי, מישהו שלא קשור, שאנחנו עובדים איתו, ואמר לי 'תקשיב, נפרצו לכם השרתים בקפריסין וכל רשימת המטרות של NSO דלפה'. נכנסתי קצת ללחץ, אבל אחרי רגע נרגעתי - גם כי אין לנו שרתים בקפריסין, וגם כי אין לנו רשימת מטרות. זה לא עובד ככה: כל לקוח הוא לקוח בפני עצמו. אין איזה מקום מרכזי שבו מוחזקות כל המטרות של כל הלקוחות". מה עשיתם?
"בינתיים בדקנו גם על השרתים שלנו, ובדקנו אצל הלקוחות, ולא גילינו ששום דבר נפרץ. אבל בגלל שזה נראה לנו מוזר, ביקשתי מהבחור הזה להביא לנו דוגמאות של הרשימה שדלפה. קיבלנו את הדוגמאות - כמה מספרי טלפון - והתחלנו לבדוק אותם אצל הל קוחות שלנו. אף אחד מהם לא היה מטרה של פגסוס. הבנתי שזה לא קשור אלינו, והמשכנו הלאה".
אבל הסיפור סירב לגווע. כעבור כמה ימים קיבל חוליו פנייה מאיש עסקים נוסף עם סיפור זהה על "רשימת מטרות" של NSO שמסתובבת בשוק, ובהמשך לכך - רשימת שאלות מהקונסורציום של העיתונאים שחשף השבוע את הפרשה בתקשורת העולמית. "היו שם האשמות מטורפות. בהתחלה צחקתי ואמרתי לע צמי שמישהו פה הולך ליפול על התחת, אבל אז אמר לי חבר שאני מפספס כי הולכים לנו על הראש בגדול.
"בשלב הזה כבר ידענו שזאת רשימה שלא קשורה אלינו. לקחנו משרד עורכי דין והתחלנו לשלוח מכ תבים, ועובדה שרוב כלי התקשורת השתכנעו. עורכת ה'וושינגטון פוסט' אפילו כתבה שהיא לא יודעת מאיפה הרשימה הזאת ומי הכניס לתוכה את המספרים, ושאין לה שום אישור שהמספרים שייכים לפגסוס או שהם היו אי פעם מטרות או פוטנציאל למטרות". אז מי אחראי לסיפור הזה?
"זה נראה כאילו מישהו החליט ללכת לנו על הראש. הסיפור הזה הוא לא סתם. יש עליהום על הסייבר הישראלי באופן כללי. הרי יש כל כך הרבה חברות סייבר מודיעין בעולם, אבל כולם מתמקדים רק בי שראלים. לעשות כזה קונסורציום של עיתונאים מכל העולם ולהכניס פנימה את אמנסטי - זה נראה כאילו יש פה יד מכוונת". של מי?
"אני מאמין שבסוף יש שם או את קטאר, או BDS או גם וגם. בסוף זה תמיד אותם הגופים. אני לא רוצה להישמע עכשיו ציני, אבל יש מי שלא רוצה שייבאו לפה גלידות או שייצאו מפה טכנולוגיות. בעיניי זה לא מקרי שבאותו שבוע מנסים למנוע מחברת 'סלברייט' להנפיק בבורסה, מפרסמים תחקיר על חברת 'קנדירו' ואז על חברת 'קוודרים', ועכשיו אנחנו. זה פשוט לא הגיוני שזאת רק מקריות שהכל קורה ביחד". התחקיר מעלה שמתוך 65 מספרים שנבדקו, 37 היו מטרות של פגסוס.
"יש להם בעיה בסיפור. בוא נניח שזאת רשימת מט רות של פגסוס, אז איפה כל המקרים שטענו נגדנו בעבר - מעיתונאים ועד פעילי זכויות אדם במקסיקו - למה הם לא נמצאים בה? שיחליטו. או שהכתבות בעבר לא היו נכונות, או שהרשימה עכשיו לא נכונה. אני אומר בוודאות שזה קשקוש. מאז שהקמנו את הח ברה, לאורך כל השנים, לא היו לנו 50 אלף מטרות".
חוליו אומר כי ל NSO יש כיום 45 לקוחות, ולכל לקוח מותר על פי הרישיון לעקוב אחר 100 מטרות בממוצע בשנה. מי שבוחר את המטרות הוא הלקוח, ו NSO אינה מעורבת בבחירה או במעקב. "כשהקמנו את החברה קבענו לנו ארבעה חוקים. הראשון, שאנ חנו מוכרים רק לממשלות, ולא לחברות או לפרטיים. אתה יכול לדמיין כמה אנשים וחברות ניסו לקנות פה את הטכנולוגיה, ותמיד אמרנו לא. הכלל השני הוא שאנחנו לא מוכרים לכל ממשלה, כי לא כל ממשלה
"אני לא מבין. מרצדס מוכרת רכב, ואז עולה שיכור על הרכב, ודורס מישהו למוות. מישהו מאשים את מרצדס? לא ברור לי למה האש מופנית אלינו. אם יש טענות, שילכו אל הממשלות שחרגו והאזינו לעיתונאים"
"למה החברה קיימת? אם הייתי רוצה רק לעשות כסף, לא הייתי מוותר על לקוחות. ויתרנו על 300 מיליון דולר בשנתיים האחרונות בגלל לקוחות שלא אישרנו למכור להם, אז כנראה שזה לא רק כסף"
שלו חוליו, מנכ"ל ומייסד חברת ,NSO עמד השבוע בלב שורת תחקירים בינלאומית, שלפיהם תוכנת החברה "פגסוס" ריגלה אחרי מנהיגים
● בראיון מיוחד ל"ישראל השבוע" הוא טוען כי מאחורי ההדלפות עומדות "קטאר או ;BDS יש מי שלא רוצה שייבאו לכאן גלידות או שייצאו טכנולוגיות" ● "אין לנו רשימות של מטרות; אם מישהו מהלקוחות שלנו האזין לעיתונאים, הוא לא יהיה לקוח שלנו יותר" ● ומה יקרה אם הלחץ על החברה יגבר? "אנחנו עושים טובה לתעשייה ומושכים את כל האש; אני לא מוכן להישבר, כי לא עשינו משהו רע" בעולם צריכה להחזיק כלים כאלה.
"בפרספקטיבה של 11 שנים מאז שהחברה קמה, יש לנו 45 לקוחות אבל יש 90 מדינות שסירבנו למכור להן. הכלל השלישי הוא שאנחנו לא מתפעלים את המערכת אלא רק מתקינים את המערכת, מדריכים ועוזבים. והכלל הרביעי הוא שאנחנו רוצים להיות תחת פיקוח רגולטורי של משרד הביטחון. אנחנו מפוקחים מיוזמתנו מ ,2010 למרות שחוק הפיקוח על סייבר ביטחוני נכתב רק ב .2017 מעולם לא עשינו אפילו עסקה אחת שלא היתה תחת פיקוח". למה סירבתם למכור למדינות מסוימות?
"כי יש ממשלות שאתה יודע שאתה לא יכול לסמוך עליהן. שהן מפרות זכויות אדם, שמאזינות לעיתונאים, שהן מושחתות". גם לחלק מהמדינות שאתם כן מוכרים להן יש רקורד בעייתי. למשל סעודיה, מרוקו, האמירויות.
"אני לא מתייחס ספציפית לשום לקוח, אבל רוב המדינות שאנחנו עובדים איתן, יותר משני שלישים, הן מדינות באירופה. שם רוב הביזנס שלנו, ואלה מדי נות שמשתמשות בכלי הזה ללחימה בטרור וללחימה בפשיעה. הניסיון לייצר סיטואציה כאילו כל מה שה ממשלות האלה עושות זה יושבות ומאזינות לעיתונאים הוא הזיה גמורה". ובכל זאת, יש ברשימה שפורסמה לא מעט עי תונאים שלכאורה עקבו אחריהם. "אם מישהו מהלקוחות שלנו האזין לעיתונאים זה חמור מאוד, והוא לא יהיה לקוח שלנו יותר".
אתה אומר שמי שקובע את הרשימה זה הלקוח. יכול להיות שהלקוחות שלכם עושים שימוש שלילי נרחב במערכת, ופשוט לא עלו עליהם. "אנחנו בוחרים בקפידה את הלקוחות, ואנחנו עושים איתם הסכמים מאוד חזקים, שמאפשרים לנו - אם יימ צא כי נעשה שימוש לרעה - לנתק להם את המערכת. כל לקוח עובר הדרכה מאוד ברורה מה מותר ומה אסור לו לעשות עם המערכת". ועדיין, איזו בקרה יש לך עליהם?
"יש לא מעט. אנחנו מגבילים את מספר המטרות, ואנחנו מגבילים אותם לטריטוריות מסוימות שבהן מותר להם לפעול. בכל מקרה שמגיע מידע אמין על הפרה, אנחנו חוקרים. על פי החוזה, הלקוח צריך לתת לנו גישה לאיזשהו לוג שמראה את כל הפעולות שבו צעו במערכת, ואם אנחנו רואים שבוצעה חריגה אנחנו יכולים לסגור לו את המערכת". זה קרה? "כן. היו חמישה לקוחות שניתקנו להם את המערכת בשנים האחרונות".
"על הצלת חיים אין קרדיט"
חוליו מגדיר את פגסוס "תוכנה שמצילה חיים". לדבריו, בעולם שבו שיחות מוצפנות מקצה לקצה אין כיום אלטרנטיבה אחרת למאבק בפשיעה חמורה וב טרור. "פעם היית בא אל מפעיל סלולרי עם צו שופט, ומאזין לשיחות. היום יש אפליקציות שאפילו לחברות שמפתחות אותן אין גישה למידע שעובר בהן. אז הצפנה זה דבר מצוין לאזרח הנורמטיבי, אבל ארגוני מודיעין ואכיפת חוק צריכים כלים כדי למנוע את הפיגוע או את הפשע הבא. בזכות התוכנה שלנו נמנעו פיגועים כמעט בכל יבשת בעולם, ונעצרו יותר ממאה פדופילים רק בשנים האחרונות. זה לא היה קורה בלי פגסוס". אתה תמיד תברח למקום הזה של תפיסת פדו פילים ומחבלים. "אז למה החברה קיימת"? בשביל להרוויח כסף.
"אם הייתי רוצה רק לעשות כסף, לא הייתי מוותר על לקוחות. ויתרנו על 300 מיליון דולר בשנתיים האח רונות בגלל לקוחות שסגרנו או שלא אישרנו למכור להם, אז כנראה שזה לא רק כסף". פגסוס זה נשק. הוא טוב כשהוא בידיים של הטובים, והוא עלול להיות רע כשהוא בידיים פחות טובות.
"בשונה מנשק, שברגע שמכרת אותו אין לך עליו שום שליטה, כאן יש לנו שליטה. אם מישהו עושה שימוש לרעה, אנחנו יכולים לנתק אותו". אבל אתה אומר שאין לך שליטה. שהלקוח קובע אחרי מי הוא עוקב.
"אני לא מצליח להבין. מרצדס מוכרת רכב, ואז עולה שיכור על הרכב, דורס מישהו והורג אותו. מי שהו מאשים את מרצדס? לא ברור לי למה כל האש מופנית אלינו. אם יש טענות, שילכו אל הממשלות שחרגו והאזינו לעיתונאים, ויטענו כלפיהן שהן מפי רות זכויות אדם".
אתה באמת לא מצליח להבין? הרי מדובר כאמור בנשק. נטען שהמערכת שלכם סייעה לחיסולו של ג'מאל חשוקג'י.
"היתה טענה כזאת, ובדקנו עם כל הלקוחות שלנו אם פגסוס הופעל עליו, על המשפחה שלו, על אשתו, על הארוסה שלו. עשינו בדיקה מאוד מקיפה, וגילינו שבשום שלב לא היה שימוש בכלים שלנו. זה פשוט לא נכון".
אתה טוען שיש עכשיו גל, אבל NSO עושה כו תרות שליליות כבר שנים. היו לא מעט פרסומים שחשפו שימוש לרעה במערכות שלכם.
"אני חושב שיש מי שמנסה בכל צורה ודרך להש בית את הטכנולוגיות האלה, והוא מערב בזה את כל מה שרק אפשר". בפועל, NSO הפכה להיות שם נרדף לחברה רעה.
"זאת תחושה מחורבנת. המדינות שעובדות איתנו מבינות את התרומה שלנו לביטחון הלאומי שלהן, ואתה יודע שאתה עושה את הדבר הנכון, שאתה מציל חיים. אבל על זה אתה אף פעם לא מקבל את הקרדיט, ואלה 99 אחוז מהמקרים". ויש את האחוז שבו המערכת הזאת עושה רע.
"נכון, ובאחוז הזה אנחנו מטפלים. סוגרים מערכות. אבל להגיד שבגלל האחוז הזה כל יתר הדברים שאנחנו עושים הם לא טובים, זה פשוט לא הגיוני".
התובע הכללי בצרפת הודיע שתיפתח חקירה בעי קבות טענות שפגסוס שימשה את שירותי המודיעין של מרוקו למעקב אחר עיתונאים. אתה חושש?
"נהפוך הוא. אני רוצה שיחקרו ויבדקו. כי ברגע שגוף נורמלי יבצע את הבדיקה הזאת, הם יבינו שאין פה שום דבר". גם בארץ נפתחה בדיקה.
"מעולה. אין דבר יותר טוב מזה, כי יתברר שאנחנו פועלים אך ורק על פי ההיתרים שניתנו לנו ושלא חרגנו מהם מעולם, ושהפרסומים האחרונים לא קשורים אלינו בשום דרך. הגיע הזמן שפעם אחת מישהו יבדוק את כל הסיפור הזה ויעשה סדר. יש לא מעט חברות אחרות שרודפות אחרי הדולר, תעשייה שלמה של חברות בעולם שכל המודל העסקי שלהן בנוי על ללכת ללקוחות ש־OSN סירבה להם או הפסיקה לעבוד איתם. כמעט בכל המקרים שהיו, גם כשהתברר שעשו שימוש בטכנולוגיות אחרות, ישר האשימו אותנו כי אנחנו נער הפוסטר של התעשייה הזאת". ובכל זאת, אתה בעצמך אומר שהיו מקרים של שימוש לרעה בתוכנה.
"ודאי שהיו, ויש מדינות שהפסקנו לעבוד איתן בגלל זה. אנחנו החברה היחידה בארץ וחברת הסייבר היחידה בעולם שאימצה את התקן של האו"ם לשמירה על זכויות האדם. אנחנו עושים בדיקות נאותות על כל לקוח, מוציאים דו"ח שקיפות על ידי משרד עורכי דין אמריקני, מחזיקים ועדה חיצונית שבודקת אותנו ויש לנו ועדות פנימיות שמאשרות כל עסקה. כמות האנרגיה שמושקעת בזה היא אינסופית, וכל ניסיון לצייר סיפור אחר הוא בולשיט. פשוט הזיה". למה אתה לא מקים צוות בדיקה משלך לפרשה הזאת?
"כי כבר בדקנו, ואם יגיע מידע חדש נבדוק שוב. כל מספר שמגיע אנחנו בודקים אותו. עד היום קיבלנו בערך 50 מספרים מתוך הרשימה. מכל השמות הגדולים שהיו עד עכשיו - נשיא צרפת מקרון, מלך מרוקו, עיתונאים ודיפלומטים צרפתים, ראש ממשלת בלגיה - אף אחד מעולם לא היה מטרה. ולכן אני אומר - הלוואי שיבדקו. מי שרוצה, מוזמן לבדוק".
מאיפה הביטחון הזה שלא ימצאו כלום? הרי אתה בעצמך אומר שאתה לא יודע אחרי מי הלקוחות שלך עוקבים. "כי אני יודע מה אנחנו עושים, ועם מי אנחנו עושים".
"דיס־אינפורמציה מטורפת"
אתה מבין שעלולה להיווצר מסה קריטית שתי כריע אתכם.
"ואז מה? יהיה עולם יותר מבאס, עם יותר פשע ויותר טרור ויותר פדופילים. זה בול מה שיקרה. וכנראה יהיו הרבה יותר חברות קטנות, בלי רגולציה, שילכו לכל מיני מקלטים בחו"ל ויעשו את אותו הדבר. אז עכשיו אנחנו עושים טובה לכולם ומושכים את כל האש עבור כל התעשייה, אבל אני לא מוכן להישבר. עקרונית. כי אני לא חושב שעשינו משהו רע. להפך. אני חושב שאנחנו עושים דברים טובים, ושהלקוחות שלנו מכירים בזה, והעובדים שלנו מכירים בזה, ובעיקר - שהאלטרנטיבה הרבה יותר גרועה". ויכול להיות שתבוא המדינה ותגיד שחברת NSO גורמת לה ליותר נזק מתועלת.
"אם המדינה תבוא ותגיד שהיא לא רוצה יותר טכנולוגיית סייבר בישראל, אני אצדיע ונקפל פה את הבסטה. אבל אני לא חושב שזה המצב". ועדיין, NSO עושה כעת לא מעט בלאגן למדיי נת ישראל.
"זה נכון, ואני חושב שזה לא מגיע למדינה. אם היינו חברה שפועלת בארה"ב או בבריטניה, הסיפור הזה לא היה קורה. חלק גדול ממה שאנחנו סופגים זה בגלל שאנחנו ישראלים".
ואולי הרגולציה בארה"ב או בבריטניה לא היתה מאפשרת לכם לפעול בחלק מהמקומות שאתם פועלים.
"אני לא חושב. אנחנו לא מוכרים היום בשום מקום שהאמריקנים לא היו מאפשרים לפעול. סין, רוסיה, קטאר, מצרים, צפון קוריאה - אלה מדינות שלא נמכור להן לעולם ברמה המוסרית. אין שאלה בכלל".
ובכל זאת, למדינת ישראל יש אינטרס שתפעי לו, בטח במדינות שהיחסים איתן רגישים כמו חלק ממדינות ערב.
"כל ניסיון לקשור אותנו עם המדינה הוא לא נכון. אנחנו חברה פרטית. בדיוק כמו שהמדינה נותנת לאלביט או לרפאל אישור למכור, כך גם לנו". אז למה עליכם יש כזה עליהום?
"כי על אף אחד לא נפל טיל, ולכולם יש אייפון. כולם מפחדים מזה. זה מגיע למצב שאנשים מקבלים סמס עם קופון הנחה לפיצה, ושולחים לנו אי־מייל שניסו להדביק אותם בפגסוס. כמות הדיס־אינפורמציה היא מטורפת". אתה לא מסוגל להבין למה?
"כן, אבל אני רוצה שיהיה ברור: זה לא שמדובר פה בהיקף ענק. כל הכותרות הראשיות והרעש המטורף שיש עכשיו זה בגלל 100 מטרות בשנה ללקוח. זה לא שאנחנו מיקרוסופט". איך הפרשה הזאת תיגמר?
"כבר אמרתי שאשמח שתהיה בדיקה, ושאני מתחייב לשתף פעולה באופן מלא עם כל בדיקה כזאת. ואני מאמין בכל ליבי שהבדיקה תסתיים בלא כלום, ויתברר שהרשימה הזאת לא שייכת אלינו. אני רק מקווה שכל העיתונים שתקפו אותנו השבוע יתנצלו אז. יותר מזה אני לא רוצה כלום". √
יכול להיות שהמדינה תגיד ש־OSN גורמת לה יותר נזק מתועלת? "אם המדינה תגיד שהיא לא רוצה יותר טכנולוגיית סייבר בישראל, אני אצדיע ונקפל פה את הבסטה. אבל אני לא חושב שזה המצב"