המשטרה, התוכנה והריגול אחר אזרחים: "ברגע שחדרו לטלפון - הסיפור נגמר"
זעם לאחר הפרסום כי נעשה שימוש משטרתי נגד אזרחים באמצעות תוכנת הריגול "פגסוס" של חברת NSO. "קריסה טוטאלית של המשטרה", אמרו ב"דגלים השחורים" שהיו לכאורה תחת מעקב. מנדלבליט פנה למפכ"ל וביקש הסברים
סערה גדולה התעוררה הבוקר לאחר החשיפה בעיתון "כלכליסט", שלפיה משטרת ישראל השתמשה בתוכנת הריגול "פגסוס" של חברת הריגול הישראלית NSO כדי לאסוף מודיעין על אזרחים. בין היתר נאסף מודיעין, לפי הדיווח, נגד ראשי ערים מכהנים ונגד אנשי מחאת "הדגלים השחורים".
היועץ המשפטי לממשלה אביחי מנדלבליט פנה אל המפכ"ל קובי שבתאי וביקש הבהרות. מוקדם יותר היום (שלישי) הכחישו במשטרה את הטענות בתוקף והשר לביטחון פנים עמר בר-לב מסר כי "לאחר בירור, לא מתבצעת חדירה למכשירים ללא אישור שופט". המפכ"ל פרסם בצהריים הודעה ובה הבהיר כי חלק מהמקרים, בהם המעקב אחר מחאת "הדגלים השחורים" וכן אחר שני ראשי רשויות מכהנים, אינם נכונים. "הכול נעשה עם אישורים", אמר המפכ"ל.
בתוך כך, מבקר המדינה מתניהו אנגלמן מסר הערב כי בשבועות האחרונים החל משרדו בביקורת בנושא שימוש גורמי אכיפת החוק, בפרט משטרת ישראל, באמצעים טכנולוגיים לצורכי אכיפה. במסגרת הביקורת ייבדק גם השימוש בתוכנת "פגסוס".
ראש הרשות להגנת הפרטיות, עו"ד גלעד סממה, פנה למפכ"ל שבתאי בעקבות הפרסום וביקש הבהרות ובחינה של השלכות השימוש בתוכנה על פרטיות האזרחים. יש להזכיר כי הרשות להגנת הפרטיות משמשת כרגולטור האמון על הגנת המדע האישי בישראל.
ההכחשות לא הרגיעו את השטח. "איזה מזל שיצאנו למחאה הזאת כי התחושות שליוו אותנו שמשהו הולך לא טוב פשוט מגיע מכל הכיוונים", אמרה לאתר חדשות 13 שיקמה שוורצמן, מנשות ה"דגלים השחורים". "חבל שזה מגיע משומרי הסף שלא ידעו לעצור את הדברים האלה בזמן. זו קריסה טוטאלית של המשטרה, שאמורה להגן על האזרחים ולא לפעול נגדם". אנשי ארגון המחאה קראו לבר-לב לפרסם מיידית את שמות האזרחים והאזרחיות אחריהם ריגלו.
ניצב בדימוס קובי כהן, לשעבר מפקד מחוז ש"י במשטרה, חושב שכל דבר הוא הגיוני במסגרת החוק ומסביר כי שימוש במערכות, גם כאלה פחות מתוחכמות מ"פגסוס", היה חלק מהשגרה. "לא יודע להגיד לגבי המעקב אחר 'הדגלים השחורים', אבל צריך לזכור שמחבורות מאוד קטנות בעבר, קמו ארגונים מאוד בעייתים בנושא של טרור יהודי", מסביר ניצב בדימוס כהן.
כדוגמה הוא נותן את ארגון הימין הקיצוני להבה. "צריך להסתכל מה השיקולים. אני לא בחלתי בשום אמצעי חוקי כדי לנסות ולפרק את הגוף הזה. כל תוכנה שהייתה לי שיכולתי להשתמש בה לטובת זה - השתמשתי", כך כהן.
לשאלה אם היה משתמש בתוכנת "פגסוס", הוא השיב: "אם הייתי מבין שאני נמצא במאזן אימה כזה או אחר, שאני מוכרח לטפל לפני שיקרה משהו חמור, אז ודאי שהייתי משתמש בתוכנת פגסוס אם היו את האישורים המתאימים".
עו"ד רמי תמם, קצין לשעבר ביחידת סייבר במשטרה וכיום מנהל תוכנית סייבר פורנזיק וסקיוריטי בקרייה האקדמית אונו, אומר כי יש פגיעה בפרטיות, אך אם שופט בבית משפט החליט לתת אישור לחיפוש אז יש ממש בדרישה. "זה לא באמת משנה באיזו תוכנה אתה משתמש, כל זמן שאתה מקבל את הכיסוי הרלוונטי - עובד לפי חוק ומקבל צווים", מסביר עו"ד תמם.
"כל הפעלה", כך תמם, "גם אם מדובר בתוכנת פגסוס, היא מגובה משפטית. השאלה היא האם הגיבוי הזה נכון והאם לא צריך גורם חיצוני בדמות בית משפט שייתן דעתו על ההפעלה ושיוכל לבחון את תוצריה, כלומר מי בודק את הממצאים? המשטרה עצמה או גוף חיצוני? מה עושים עם החומר המודיעיני שנצבר? מוחקים אותו, שומרים אותו?".
לדברי תמם, "בהאזנת סתר לצורך העניין, יש נתיב ניירת משפטית מאוד מובהק, יש דיונים לפני הצו, יש בקשה להאזנת סתר מבית משפט ויש בסוף תוצרי הפקה של אותה האזנה. כולם נבחנים על התוצרים האלו".
רן בר-זיק, עיתונאי טכנולוגיה בעברו וכיום ארכיטקט תוכנה בחברת סולוטו, מסביר את הפרסום ב"כלכליסט" הבוקר ואומר כי לא מדובר כאן רק בהאזנות. "זה הכול, כל מה שיש לך על הטלפון. צריך להבין, זו לא התקפה של איזה נוכלים, כפי שאנחנו מכירים, לדוגמה שנשלחה אלייך הודעת טקסט או מייל עם קישור, מדובר על דבר שלא ניתן להתגונן מפניו", הוא אומר לאתר חדשות 13. "ברגע שהתוכנה משתלטת על הנייד שלך, היא משתלטת לך על הכול: על המיילים, תמונות, סרטונים, הודעות, אפליקציות ועוד. הסיפור נגמר עבור אותו אובייקט ברגע שהתוכנה בתוך הנייד".
על תוכנת "פגסוס" מסביר בר-זיק: "היא מתבססת על פרצות שנקראות ZERO DAY, כלומר על חולשות, וזה מה ש'פגסוס' עושים, הם מזהים חולשות במערכות ההפעלה של אפל, או של אנדרואיד ואז משתלטים על הנייד, ללא שום פעולה מצד האובייקט. זה כלי התקפה מדינתי, לא מדובר על ספאמרים, לכן גם צריך רישיון להחזיק בתוכנה הזו".
מיי ברוקס-קמפלר, מומחית סייבר מקהילת בטוחים אונליין, אומרת גם כי ברגע שהייתה חדירה, לא ניתן למנוע אותה טכנית. "מי שחדרו לו לא יידע אם התקינו לו את 'פגסוס' במכשיר. עם זאת, המשטרה יכולה להכניס בקרות שמתריעות על הגבלות גישה למשאבים רגישים. כלומר הם יידעו מי משתמש בתוכנה ואיך אותו שוטר לצורך העניין פועל עם התוכנה".
ברוקס-קמפלר טוענת גם כי "זה לא טריוויאלי להטמיע את זה בכל כך הרבה מספרי טלפונים ניידים ושאף אחד לא יעלה על זה. ל-NSO אין אינטרס להתקין את התוכנה באינספור מכשירים מכיוון שהם יפסידו על זה כסף".
מהמשטרה נמסר בעקבות התחקיר ב"כלכליסט": "אין שחר לטענות. כל פעילות המשטרה בתחום זה הינה על פי דין, על בסיס צווי בית משפט ונוהלי עבודה מוקפדים. משטרת ישראל תמשיך לפעול בנחישות לאכיפת החוק במדינת ישראל".
תגובת חברת NSO: "ככלל, איננו מתייחסים ללקוחות קיימים או פוטנציאליים. נבקש להבהיר כי החברה לא מפעילה את המערכות שברשות לקוחותיה ולא מעורבת בהפעלתן. עובדי החברה לא חשופים למטרות, כמו גם לא חשופים למידע אודותיהן, לא מעורבים ולא חשופים לפעילות מבצעית של לקוחותינו ולא לכל מידע הקשור לחקירות המנוהלות על ידי הלקוח. החברה מוכרת את מוצריה תחת רשיון ופיקוח לשימוש של גופי ביטחון ורשויות אכיפת החוק מדינתיים למניעת פשע וטרור באופן חוקי ועל פי צווי בית משפט והחוק המקומי בכל מדינה".