1. עסקה אפלה ברשת הדאקרנט
אם הייתם רואים את זה במותחן הוליוודי, ייתכן שהייתם אומרים שהעלילה לא אמינה. תוכנה ששווה מאות מיליוני דולרים נגנבת על ידי עובד של חברת אבטחת סייבר מובילה. כל נורות האזהרה נדלקות בעת הגניבה ואף אחד לא עושה דבר. במשך כשלושה שבועות שומר העובד את כלי הנשק העוצמתי בתחום הריגול מתחת למזרון בדירתו בנתניה - ואף אחד לא עושה דבר. במהלך התקופה הוא בודק בגוגל (כן, כן, גוגל) איך הוא יכול למכור את התוכנה הסודית, ובעקבות הבדיקה הוא מציע למכור את כלי הנשק שבידיו לגורם זר ב"דארקנט" - בתמורה ל-50 מיליון דולר.
רק אז, בזכות פנייתו של "הקונה הפוטנציאלי" לחברה ממנה נגנבה התוכנה, נעצרת הסאגה ההזויה - השב"כ נכנס לתמונה, המשטרה עוצרת את העובד, ונמנעת פגיעה בביטחון המדינה.
כל זה קרה במציאות. העובדות הללו מופיעות בכתב אישום שהוגש על ידי מחלקת הסייבר בפרקליטות המדינה, שפרטיו הותרו הבוקר (ה') לפרסום, לאחר שעל הפרשה הוטל איפול למשך תקופה בשל החשש מפגיעה בביטחון המדינה. מדובר בפרשה במסגרתה עובד של חברת NSO גנב תוכנה של החברה וניסה למכור אותה בדארקנט. התוכנה שנגנבה - פגאסוס שמה - מסווגת ככלי ביטחוני, ועל כן הגעתה לידיים הלא נכונות הייתה עלולה לפגוע בביטחון המדינה. שווייה של התוכנה ומוצרים נוספים שגנב הנאשם נאמד במאות מיליוני דולרים. נגד העובד הוגש בשבוע שעבר כתב אישום חמור המייחס לו עבירות ביטחוניות חמורות, מלבד עבירות גניבה ממעסיק.
חברת NSO עוסקת במתן פתרונות טכנולוגיים בתחום תקיפת הסייבר, לשם השגת מידע מודיעיני למטרות ביטחוניות. במסגרת פעילותה, החברה מייצרת כלים ותוכנות המאפשרים להפיק מידע הדרוש לשם הגנה על ביטחון המדינה ואזרחיה ולסיכול פיגועי טרור. החברה משווקת את מוצריה לגורמי ביטחון בישראל ובעולם, כאשר הייצוא לחו"ל מפוקח על ידי אגף הפיקוח על הייצוא הביטחוני במשרד הביטחון. בתקופה הרלוונטית לכתב האישום הועסקו בחברה כ-500 עובדים ושווי השוק שלה הוערך באחרונה בכמיליון דולר.
כתב האישום הוגש בשבוע שעבר במסגרת מה שמוגדר על ידי הרשויות כאחת מפרשיות הסייבר הביטחוניות-כלכליות החמורות בתולדות ישראל, עוסק בגניבת התוכנה ובניסיון למכור אותה. הנאשם, גבר בן 38, מואשם בעבירות של ניסיון לפגיעה ברכוש באופן שהיה בו כדי לפגוע בביטחון המדינה, גניבה בידי עובד, ביצוע פעולת שיווק ביטחוני ללא רישיון שיווק ביטחוני ושיבוש או הפרעה לחומר מחשב.
2. איך עושים את זה נכון?
במערכת הביטחון הבינו כבר מזמן שחברת NSO היא יצרנית נשק ישראלית לכל דבר ולכן הוטל עליה פיקוח של אגף הפיקוח על היצוא הביטחוני במשרד הביטחון. אנשי האגף הזה יודעים לוודא שהחברה לא תחתום עסקאות עם משטרים עוינים למדינת ישראל. הם לא יודעים למנוע העברת נשק מסוכן באמצעות דואר אלקטרוני. זוהי, בתמצית?, הבעיה העיקרית של יצוא סייבר ביטחוני מישראל.
אין ספק לאיש, גם לא בחברת NSO, שהפרשה הזו הסתיימה עם הרבה מזל. נפילת התוכנה לידיים עויינות היתה עלולה להתגלגל לפרשייה מרעישה בקנה מידה עולמי. אם הכלי היה נמכר לגופי ביטחון איראניים היה מדובר בפגיעה משמעותית בביטחון ישראל. אפשר להניח שהאקרים ברחבי העולם מנסים לפתח כלים דומים - ואין לדעת עד כמה הם מצליחים בכך - אך אין ספק שנפילה של פגאסוס לידיים לא נכונות עלולה לסכן את הדמוקרטיה.
כל עוד NSO נמצאת תחת פיקוח משרד הביטחון ומאפשרת את שתילת פגאסוס במטרות בודדות בלבד, העניין נמצא תחת שליטה. אבל בלחיצת כפתור אחת העניין היה עלול לצאת משליטה לחלוטין ולהפוך למשבר עולמי.
הבנאליות של המקריות מכה כאן במלוא עוצמתה. אם העובד שגנב את התוכנה היה יוצא איתה לחו"ל, ההמשך היה עלול להיות נוראי. מה היה קורה אם היה מפיץ את התוכנה באלפי העתקים בדארקנט? קשה לדעת.
ובכל זאת, הסיפור בנאלי. המנהלים של חברת NSO אינם שונים מהסטארט-אפיסט שפגשת אתמול: הם צעירים, נלהבים, מוח מבריק וקצת תמים. במקרה יצא, שהגיקים האלה מתעסקים בכלי סייבר התקפי, שיכולים לסייע למשטרים רודניים להעלים מתנגדים באופן בלתי הפיך. מה להם ולמשטרים אפלים? בעיניהם, הם אנשים מוסריים ממש כמו חבריהם מעולמות הקלינטק או הפינטק.
וככה נוצר המיזוג המוזר, שבעולם של שרותי ביון, סוכנים ומרגלים, מסתובבים יזמי הייטק ישראלים שלא ממש נולדו בעולם הזה.NSO לא לבד בזירה הזו. כמה מאות חברות ישראליות עוסקות בסייבר התקפי, חלקן פיתחו כלים אכזריים ממש, שיכולים להפיל מערכות רמזורים ולגרום לתאונות דרכים או לכבות מערכות מצילות חיים בבתי חולים. הכל למטרות ראויות כמובן.
ההייטקיסטים של הסייבר מנסים להחיל על עולם כוחות האכיפה והמישטור את הכללים של העולם המוסרי שלהם. NSO הקימה ועדת אתיקה, שדנה בכל עסקה שהחברה שוקלת לחתום עליה. גם חברות אחרות משתדלות להישאר בצד של הטובים. הבעיה שאין להם כלים כדי לעשות את זה. הם לא צמחו בעולם כוחות הביטחון והם לא יודעים להתמודד עם שקרנים מקצועיים שקונים במתק שפתיים ציוד לחימה שמביא אנשים אל מותם. פרשת NSO פשוט מביאה אל אור הזרקורים בעיה רחבה, שעד עכשיו היה נוח להתעלם ממנה.
חברות הסטארט-אפ יודעות לגייס אנשי פיתוח מעולים. הן לא יודעות לסנן אנשים עם רקע בעייתי או עם חפרפרות.
הן יודעות למכור כמעט כל מוצר ברמת שכנוע גבוה לכל לקוח, הן לא יודעות איך להתמודד עם ביקוש בלתי מוסרי לטכנולוגיה שלהן. הפיקוח של משרדי הממשלה על חברות הסטארט-אפ הביטחוניות לקוי ומיושן. משרדי הממשלה יודעים למנוע מאדם לקחת טיל על כתפו ולצאת עימו מתחומי המפעל. הם לא יודעים איך למנוע ממנו להוריד את כלי הנשק לדיסק און קי ולשים אותו בכיסו.
הפרשה הזו שימשה בית ספר כל מי שהיה מעורב בה, מבלי שנגרמו נזקים ככל הנראה. אבל מזל לא צריך להיות גורם במערכת השיקולים. מישהו צריך לחשוב איך עושים את זה נכון: גם מפתחים ומייצרים, גם מגבילים, גם מפקחים. ורעיונות טובים הרי לא חסרים אצלנו.
3. איך פורצים? התשובה בגוגל
מכתב האישום עולה כי בנובמבר אשתקד החל הנאשם לעבוד ב-NSO בתפקיד מתכנת בכיר בצוות האוטומציה של החברה. במסגרת תפקידו, קיבל הנאשם גישה לשרתי המחשב של החברה, לכלים שפיתחה החברה ואשר מאוחסנים בשרתים, ולקוד המקור של מוצרי החברה המאוחסנים אף הם בשרתים. מדובר בפועל בגישה לכל הסודות הכבדים של תעשיית הסייבר.
בכתב האישום נכתב כי "עם תחילת עבודתו של הנאשם בחברה הובהר לו כי נאסר עליו להוציא ממקום העבודה את המידע השייך לחברה, נאסר עליו להעבירו לאחר, וכן חל איסור על חיבור התקני אחסון חיצוניים למחשבי החברה מבלי לקבל אישור מראש, ובכלל זה גם כוננים קשיחים חיצוניים. נוסף על כך, במחשבי החברה הותקנה תוכנת אבטחה אשר מונעת חיבור התקני אחסון חיצוניים".
בשלב מאוחר יותר התברר כי העובד לא התרגש כנראה מההתראות הללו וניסה כבר בפברואר השנה לעקוף את מערכת ההתראה של החברה. מהאישום עולה, כי ב-12 בפברואר, בשעות הצהריים חיפש ואיתר הנאשם באינטרנט, בגוגל, שיטות לשיבוש פעולת תוכנת האבטחה. בהמשך, נטען, שיבש הנאשם את פעילות תוכנת האבטחה, כך שתתאפשר העברת נתונים בין תחנת העבודה לכונן חיצוני ללא אישור, ויום למחרת כבר חיבר כונן חיצוני לתחנת העבודה שלו, ללא אישור, תוך שהוא משבש את פעולת תוכנת האבטחה כאמור.
בלי קשר לפעולות הנ"ל, שלא התגלו באותו מועד, ב-29 באפריל השנה, שמונה חודשים בלבד לאחר שהחל בעבודתו, ועל רקע אי שביעות רצון ממנו, זומן הנאשם לשימוע לפני פיטורין. השיחה הזאת החלה שרשרת אירועים מטרידה: על פי האישום, בתום השיחה עם מנהלו, חיבר הנאשם התקן אחסון נייד לשרתי החברה והוריד לרשותו את התוכנות, המוצרים והמידע, לרבות קוד המקור של התוכנות, תוך שהוא מתגבר על מערכות ההגנה שבמחשבי החברה.
הנאשם נדרש לעשות שתי פעולות שונות על מנת לגנוב את התוכנה: ראשית - הורדת החומר אל מחשבו, ושנית - העתקתו לכונן חיצוני נייד. הפעולות הללו הדליקו את כל נורות האזהרה הקיימות בחברה, המתריעות מפני העתקת חומרים רגישים משרתי החברה, אך משום מה אף אחד לא עשה כל פעולה למנוע את הוצאת החומרים מהחברה על ידי העובד.
במשך תקופה החזיק הנאשם את החומר הרגיש בדירתו בנתניה, מתחת למזרון מיטתו, ואז הוא שוב עשה חיפוש בגוגל - הפעם הוא בדק איך הוא יכול למכור את התוכנה שגנב. "ביום 12.5.2018 בין השעות 16:30 ל-17:00, או בסמוך לכך, וכן ביום 27.5.2018 בשעה 23:20 או בסמוך לכך חיפש הנאשם באינטרנט, באמצעות מנוע החיפוש של Google, כיצד ניתן לסחור ביכולות הסייבר שנטל לרשותו, ולמי יוכל הנאשם למכור את יכולות הסייבר", נכתב באישום.
לאחר החיפוש שערך יצר הנאשם קשר באמצעות הדארקנט עם אדם ממדינה זרה, הציג את עצמו בפניו כהאקר הפועל במסגרת קבוצת האקרים שהצליחה לפרוץ למערכות המחשב של NSO והציע לאותו אדם לרכוש את יכולות הסייבר של NSO תמורת 50 מיליון דולר. את הכסף ביקש הנאשם במטבעות וירטואליים מבוזרים, מוצפנים ואנונימיים - שאינם מאפשרים התחקות אחר המחזיק בהם. ניסיון המכירה התגלה רק לאחר שאותו אדם שהוצע לו לרכוש את המוצרים הגנובים דיווח לחברת NSO על פנייתו של הנאשם. אז נכנסה NSO לתמונה, על מנת "לתפוס" את העובד המפוטר על חם בעת ניסיון המכירה. בתיאום בין החברה ל"רוכש הפוטנציאלי" השיב אותו רוכש להודעתו של הנאשם וביקש לקבל פרטים נוספים על יכולות הסייבר שמציע הנאשם למכירה. הנאשם, נטען באישום, מסר לו פרטים נוספים על המוצרים שאותם גנב לכאורה.
4. המשטרה והשב"כ נכנסים לתמונה
בעקבות האירועים האמורים, ב-5 ביוני השנה, פנתה החברה בדחיפות למשטרת ישראל והנאשם נעצר על ידי יחידת הסייבר בלהב 433 של המשטרה, כאשר גם השב"כ מעורב במעצר ובחקירה. על פי ממצאי החקירה, עסקת המכירה שתכנן הנאשם להוציא אל הפועל לא התממשה.
על פי העדויות שנאספו בחקירה, פעולותיו של הנאשם סיכנו באופן ממשי את חברת NSO ויכלו להוביל לקריסתה. מעבר לכך, על פי האישום, פעולותיו של הנאשם סיכנו את ביטחון המדינה, ולכן מיוחסת לנאשם עברה של ניסיון לפגוע ברכוש המשמש את כוחות הביטחון באופן שיש בו כדי להביא לפגיעה בביטחון המדינה. ואולם, בשל קיומו של צו איסור פרסום לא ניתן להרחיב על הפגיעה הביטחונית המגולמת בפרשה.
בבקשת מעצרו של הנאשם עד תום ההליכים נכתב, כי "המשיב (הנאשם) ביצע את העבירות המיוחסות לו בצורה מתוחכמת ותוך שימוש ביכולותיו הטכנולוגיות הגבוהות... המשיב ביצע את העבירות בעבור בצע כסף, למרות שהיה מודע לכך - או לפחות את עצם עיניו לכך - שהעבירות יובילו לפגיעה בביטחון המדינה, ועשויות להוביל לקריסת החברה, שמעסיקה כ-500 עובדים וששווייה מוערך בלפחות תשע מאות מיליון דולר. כל אלה מלמדים על המסוכנות הרבה הנשקפת מהמשיב, ועל החשש הרב שהמשיב ימשיך לסכן ביטחון המדינה ושלום הציבור אם ישוחרר".
נורות אזהרה חמורות / טל שחף
פרשת דליפת פגאסוס מעוררת כמה שאלות קשות. המטרידה מכולן היא האם התוכנה שנגנבה הגיעה לידיים לא מורשות, אולי ידיים עויינות. אם במהלך 21 הימים שבהן X היה חופשי לנפשו הוא יצר קשר עם גורמים כאלה, הוא היה יכול להעביר להם את התוכנה בקלות באמצעות הרשת. כלי כזה, בידיים לא נכונות, יכול להפוך לנשק מסוכן ביותר, שהשימוש בו נעשה ללא כל מגבלה או פיקוח.
מהחקירה עולה שככל הנראה הדבר הזה לא קרה. הניסיון הראשון למכור את התוכנה נעשה רק לאחר ש-X פוטר מהחברה סופית וניהל ויכוחים קולניים עם מעסיקיו. יש בזה הרבה מזל מבחינתה של NSO, שהיתה עלולה להיפגע אנושות אם התוכנה שלה היתה מסתובבת ברחבי העולם והיכולות הסודיות ביותר שלה היו נחשפות. יש בזה הרבה מזל גם מבחינתו של כל אדם שחרד לזכויות האדם ופרטיותו, וליכולות של מדינות מסוימות להשפיע על מערכות דמוקרטיות ומערכות מידע במדינות אחרות. ועדיין צריך לשאול האם NSO לא נהגה ברשלנות כשלא פעלה מיידית להוצאת הקוד מידיו של X .
שאלה שנייה שמתעוררת בעקבות הפרשה היא טיב העובדים שמעסיקה חברת הייטק, ומידת האמינות שלהם בעיקר כשמדובר בטכנולוגיה כה מסוכנת. עובדי חברות בטחוניות ישראליות נסרקים ומתוחקרים לעומק לפני קבלתם לעבודה. בהייטק כל אדם יכול להתקבל, ללא כל בדיקה כמעט.
ושאלה מטרידה שלישית היא מידת האפקטיביות שבפיקוח מערכת הביטחון על מערכות בטחוניות בתחום הסייבר. הפיקוח הזה מתגלה כעת כחסר שיניים, שמאפשר דליפה של טכנולוגיות קריטיות לידיים לא אחראיות. בעידן מלחמות הסייבר של 2018, יכול להיות שגם במשרד הביטחון צריכים לעדכן את שיטות העבודה.
"לא נעשה כל שימוש בחומר"
חברת NSO מסרה בתגובה: "ניסיונות לגניבת מידע פנים מתוך חברה הם תמיד איומים מאתגרים למניעה ולזיהוי. במקרה זה, החברה זיהתה תוך זמן קצר ביותר את ניסיון הגניבה, פתחה מיד בחקירה, איתרה את הגורם הרלוונטי, עידכנה בזמן אמת את רשויות החוק שפעלו במהירות ויעילות, ובתוך זמן קצר נתפס ונעצר העובד לשעבר בידי המשטרה, על בסיס החומר המפליל שנאסף על ידי החברה.
"כתב האישום קובע מפורשות כי העובד לשעבר ביצע את הגניבה מתוך כוונה למכור את המידע ולהפיק רווח כלכלי אישי. עוד קובע כתב האישום בצורה ברורה, כי לא נעשה כל שימוש בחומר וכי החומר לא נמסר לצד שלישי ולא פורסם. אנו מודים לחוקרי המשטרה ולפרקליטות על עבודתם המהירה והמקצועית.