פרשת NSO מטילה עננה על הפרויקט הממשלתי
הרגולציה הדרקונית על ייצוא טכנולוגיות ביטחוניות, יחד עם ההלימה בין רשימת המדינות שקיבלו לידיהן את תוכנת הריגול של NSO לבין ידידותיה החדשות של ישראל בשנים האחרונות, מלמדות שכל עסקאות המכירה של המערכת לדיקטטורות ולסמי-דמוקרטיות נעשו באישורה ובעידודה של מערכת הביטחון
זה לא שלא ידענו שהטלפונים החכמים שלנו הם מכשירי ריגול ניידים, וששביל פירורי הלחם הדיגיטלי שאנחנו משאירים אחרינו יכול לשמש נגדנו. ובכל זאת, הגילויים בעולם בנוגע לשימושים במערכת "פגסוס" של חברת NSO כדי לעקוב אחר פעילי זכויות אדם, עיתונאים, פוליטיקאים ושומרי סף, מרעידים את התודעה. אולי בגלל שילוב הידיים הזה בין חברה פרטית ורווחית לבין הגורמים העלומים במערכת הביטחון.
צריך להיות ברור: הרגולציה הדרקונית וההדוקה על יצוא של טכנולוגיות ביטחוניות, יחד עם ההלימה הדי ברורה בין רשימת המדינות שקיבלו לידיהן את הצעצוע הטכנולוגי של NSO לבין ידידותיה החדשות של ישראל בשנים האחרונות - מלמדות שלא רק שמערכת הביטחון ידעה על כל עסקות המכירה של המערכת לדיקטטורות ולסמי-דמוקרטיות אלא שהעסקאות האלה נעשו באישורה ובעידודה. עוד הסתבר שהשיקולים ששוקלת מערכת הביטחון הם שיקולי יחסים אסטרטגיים שאינם כוללים התחשבות בפוטנציאל הפגיעה בזכויות אדם. מה שכנראה מעניין את מערכת הביטחון הוא למי אפשר לתת "מתנת ידידות" בדמות מערכת פגסוס של NSO, וכיצד אפשר יהיה להשיג שקט איזורי באמצעותה אם מדינות שכנות לנו ידכאו את מתנגדי המשטר שלהן. כל זה נעשה מאחורי מסך שחור של הסתרה בטחונית ובהימנעות מודעת של בג"ץ מלהתערב.
בכל השיח הזה נדמה שלא עלה עניין מרכזי, שננסה להציג אותו בתור חידה: מה הקשר בין פרשת NSO לבין נימבוס?
פרוייקט נימבוס הוא פרויקט רב שנתי ורחב היקף, בהובלת מינהל הרכש הממשלתי יחד עם רשות התקשוב הממשלתית, מערך הסייבר הלאומי, אגף תקציבים, משרד הביטחון וצה"ל, והוא מיועד לספק שירותי ענן עבור ממשלת ישראל. הרעיון מאחורי הפרוייקט הוא ששירותי הענן יסופקו מאתרי ענן מקומיים, והמידע – של הממשלה, של צה"ל ושל גופים פרטיים יעובד ויישמר בגבולות מדינת ישראל ותוך כפיפות לחוקי מדינת ישראל. זאת, בין השאר, באמצעות הקמת חברות בת בישראל שמולן תתבצע ההתחשבנות הממשלתית. כמובן שהפרוייקט יקדם גם העסקת אלפי עובדים, ייצור הזדמנויות לחברות הזנק ויביא לפיתוח תעשייה מקומית בתחום הענן.
חטיבת שירותי הרשת ומיחשוב הענן של חברת אמזון (AWS) נבחרה, יחד עם גוגל, בשלב הראשון של המכרז. אמזון כבר הודיעה על תחילת העבודות להקמת אתרי ענן מקומיים בארץ, כלומר - הקמה של חוות שרתים, או במונח הרשמי "איזורי זמינות" – AWS Regions, בהשקעה ראשונית המוערכת בכשני מיליארד שקל. לפי הודעת החברה, תשתיות המיחשוב בישראל ייפתחו במחצית הראשונה של 2023.
מומחי ביטחון הזהירו מהסכנה האסטרטגית שבהקמת חוות שרתים מעל פני האדמה במקרה של מתקפת טילים, ועלו גם חששות מפני אירועי פרצות אבטחה וחשיפת נתונים אישיים במיוחד בתקופת המעבר לענן שבה יאוחסנו הנתונים בשרתים באירופה. אבל, אף אחד לא שאל מה יקרה כשאמזון תחליט שאנחנו מפירים זכויות אדם.
והנה אפשר לחזור לעניין NSO: יומיים אחרי שהתפוצצה הפרשה הנוכחית AWS אישרה שהיא ניתקה חשבונות בענן שהיו מקושרים לקבוצת NSO. מה שככל הנראה הרגיז את אמזון, הוא העובדה שנעשה שימוש בפלטפורמת CloudFront, אחד משירותי הענן שהיא מספקת – רשת העברת תכנים (CDN) המאפשרת ללקוחות להעביר דאטה, וידאו, אפליקציות וAPIs - באופן מהיר ובטוח - כדי להעביר את השלבים הראשונים של המתקפות כנגד המכשירים הניידים (שאליהם פרצה NSO) וכדי להסתיר את פעילות המעקב. כאשר ארגון "אמנסטי אינטרנשונל" פנה לאמזון בעניין, הודיע דובר מטעם אמזון לרשת CNN כי הם פעלו מהר כדי לכבות את החשבונות והרשת הרלבנטיים.
מה שהדובר לא הודיע הוא מכוח איזו מדיניות או איזה סעיף בתנאי השימוש של AWS חסמה אמזון את החשבונות של NSO. הרי כשאמזון איפשרה ל-NSO לרכוש ממנה שירותים בשנים האחרונות, לא היתה בעיה. יותר מזה, במאי 2020, כאשר אתר vice פרסם חשדות ש-NSO עשתה שימוש בתשתית של אמזון כדי להעביר נוזקות, אמזון אפילו לא הגיבה לפניות עיתונאים.
אם זה מזכיר לכם את ה"דה-פלטפורמינג" שביצעו ענקיות הדיגיטל בדונאלד טראמפ אחרי הפריצה לקפיטול בינואר האחרון, אתם בכיוון הנכון. כאשר שאמזון החליטה להוריד את פרלר, רשת חברתית אלטרנטיבית שאליה היגרו תומכי טראמפ אחרי שחשבונותיו בטוויטר נסגרו, הבנו שניתן לגרש אדם, או חברה, מהעיר הדיגיטלית באופן מהיר ויעיל, בלי להסביר ובלי לנמק. יותר מזה, אפשר להקשות על חברה כמו סלברייט להתמודד בנאסד"ק; להפסיק השקעות בחברה כמו אניוויז'ן בגלל החשש מפגיעה בזכויות אדם; לתבוע את NSO בבית משפט, כמו שעושה פייסבוק בימים אלה; לסלק את פרלר מחנויות האפליקציות, כמו שעשו אפל וגוגל. אבל שום דבר לא דומה לסילוק מהתשתית העננית. זה העונש החמור מכל העונשים.
סגירת חשבונות NSO יחד עם המקרה של פרלר בינואר 2021, וגם שיתוק חשבונות ארגון וויקיליקס בשנת 2010, מלמדים שאמזון לא מהססת לעשות די-פלטפורמינג כשמדובר בהפרות "פוליטיות" של תנאי השימוש: הפרת זכויות אדם והבכת בכירי הממשל בעולם. בעולם הנוכחי, במקום שבו רגולציה מדינתית או בינלאומית כדי להגן על זכויות האדם לא עובדת, תיכנס הרגולציה מצד ענקיות הדיגיטל – באמצעות ניתוק מהפלטפורמות.
כאשר מדינת ישראל מפקידה באופן ריכוזי את כל הנכסים הדיגיטליים שלה, כולל אלה של משרד הביטחון וצה"ל, בידי אמזון, ומספרת לנו שהריבונות שלנו תישמר כי הענן יהיה מקומי, היא לא נערכת לכך שהסטנדרטים של אמזון יהיו הריבון האמיתי שלנו ויהיו חשובים יותר מכל חקיקה מדינתית, וששיקוליה של אמזון לא יהיו תמיד גלויים ובהירים.
במאי השנה, סביב מבצע "שומר החומות" בעזה, התפרסם באתר הטכנולוגיה The verge שיותר מחמש מאות עובדי אמזון חתמו על מכתב שבו הם קוראים למנכ"ל החברה ג'ף בזוס למנכ"ל AWS אנדי ג'סי להכיר בסבל של הפלסטינים ולבטל חוזים עם ממשלת ישראל. מה יקרה כשהלחץ הזה יעבוד או כשיתפרסמו עוד סיפורים דוגמת זה של NSO?
פרשת NSO מלמדת שהחלטות מערכת הביטחון בעניין יצוא טכנולוגיות ביטחוניות צריכות להתחשב בשיקולי זכויות אדם, כי כך ראוי. אבל היא גם מלמדת שלמרבה הצער התמריצים הפנימיים לכך לא היו ממש קיימים. באופן פרדוקסלי, דווקא המעבר לענן באמצעות פרוייקט נימבוס, עשוי להיות התמריץ הזה, בגלל החשש לעוף מהענן ולהישאר לבד בשמים.
פורסם לראשונה ב׳הארץ׳.