לכאורה, אם הסיפור שפורסם השבוע ב"כלכליסט" נכון – הרי שמדובר בפרשת ווטרגייט הישראלית: משטרה שמאזינה כאוות נפשה לאזרחים תמימים ומרגלת אחר יריבים פוליטיים של הממשלה שמובילים מחאה נגדה. מה שמפריד בין הכתבה הזאת לפרס פוליצר הוא פרט אחד מהותי מאוד: האם המשטרה פעלה במסגרת החוק או מחוצה לו?
רובה המכריע של העיתונות לא טרח להתעכב או לברר את הפרט הכלל־לא־שולי הזה. הם פצחו מיד במופע של צדקנות נחרצת שמאחוריה קל היה להבחין בבורות ובחוסר ההבנה המוחלט של רוב העיתונאים ביכולות של כלי מעקב, איך משתמשים בהם ומה מקומם במערכת אכיפת החוק.
נתחיל בעובדות שאין עליהן מחלוקת: באיחור ניכר, אחרי שרוב בני האדם נטשו את התקשורת באמצעות טלפוניה קווית ועברו לתקשורת סלולרית, החלה גם המשטרה להשתמש בכלי מעקב והאזנה שמותאמים לטלפונים סלולריים. בעשור האחרון מפעילה המשטרה כלי סייבר שרכשה מחברות כמו וורינט, סלברייט, פראגון וכן, גם של חברת NSO.
היו בקרב עמיתיי כאלה שעבורם זו הייתה תגלית מרעישה. הם נדהמו ונחרדו לגלות שהמשטרה מפעילה כלי מעקב של המילניום הנוכחי. כנראה בדמיונם עומד עדיין השוטר הטוב והמיטיב אזולאי ועוצר את הפשע בעוצמת המשרוקית שבפיו. בידי מי אם לא בידי המשטרה תפקיד המדינה את הסמכות להפעיל כלי מעקב כדי ללכוד פושעים? יש הסבורים שאסור לה למדינה כלל להפעיל כלי מעקב. מי שגדלו על סדרות הבלשים של שנות ה־70 וה־80 יודעים שכל מה שצריך כדי לתפוס את הרעים הוא אקדח, בלורית שופעת ואינטואיציה טובה.
אלא שארגוני הפשיעה של היום הם כבר לא אותם חוטפי ארנקים, אלא קונגלומרטים מתוחכמים הרבה יותר. הם מפעילים האקרים משלהם, ולפני כמה שנים קיבלו מתנה מענקיות האינטרנט, שהחלו לספק לכל משתמש יכולת תקשורת מוצפנת ברמה צבאית, בלתי ניתנת לפיצוח. עסקת סמים לא מתנהלת היום מתא טלפון ציבורי, אלא בתקשורת וואטסאפ שכדי לגלות אותה צריך לחדור לטלפון של אחד מהצדדים לפחות.
מי שמצפה שהמשטרה תוכל להתמודד עם הפשיעה המתקדמת כשהיא מצוידת רק בפנס ובכובע, לא יוכל בעוד כמה ימים למלא את אותם עמודי עיתונים במאמרי ביקורת נוקבים על אוזלת ידה. האיחוד האירופי הבין את זה כבר לפני כמה שנים והתיר למשטרות שלו להשתמש בכלי סייבר. כיום ניתן להשתמש בכלי מעקב בכל מדינות האיחוד, בכפוף לצווים משפטיים שמגדירים את משך המעקב ואת הפלטפורמה שאליה חודרים.
אצלנו המצב דומה, אף שהעשייה נשענת על חקיקה מיושנת של חוק האזנות סתר. כדי להפעיל כלי סייבר נדרשת המשטרה להציג חשד לביצוע פשע, לא פחות, ולקבל צו משפטי. את הבקשה אמור לאשר ראש אגף החקירות, חותם עליה קצין בדרגת נצ"מ, וקצין בדרגת סנ"צ אמור להציג אותה ללא פחות מנשיא בית משפט מחוזי או לסגנו. גם אצלנו, הבקשה צריכה להיות מוגדרת בזמן ובסוג הפלטפורמה שעליה יתקיים המעקב.
כאשר מדובר בתוכנה של NSO, לדוגמה, המשטרה רכשה גרסה מוגבלת של פגסוס שמאפשרת מעקב רק מרגע קבלת הצו. הגרסה לא מאפשרת למשטרה לשאוב את כל המידע מהטלפון ולא מאפשרת לקרוא את ההיסטוריה של הנעקב, אלא מההווה ואילך.
מלחמת הסייבר
שלא כמו בדמיונם של חלק מהעיתונאים: כלי הסייבר הסלולריים הם לא רשת דיג רחבה שאתה משליך ומקווה ללכוד משהו – הם ממוקדים אך ורק במטרה החשודה שהוגדרה. אגב, המשטרה לא רוותה נחת מהשימוש המאוד מצומצם שנעשה בתוכנת פגסוס, וחיפשה לה חלופות. כל אחד מהכלים שבידי המשטרה משמש למעקב אחרי לכל היותר כמה עשרות מטרות מדי שנה.
על כלל האישורים שמקבלת המשטרה מבתי המשפט היא מחויבת לדווח אחת לחודש ליועץ המשפטי לממשלה. שם, בוחרת המשנה ליועץ כמה מהמקרים ובוחנת אותם כדי לוודא שהצו הוצא כדין. אחת לשנה המשטרה גם מדווחת לוועדת חוקה, חוק ומשפט על כלל הצווים שהוציאה.
בתי המשפט בישראל נוטים להיות מקילים.
מדי שנה מקבלת המשטרה יותר מ־3,000 צווים שמתירים לה האזנה ומעקב. אל מול הנדיבות הזאת מעורר הפרסום ב"כלכליסט" את השאלה: למה לה למשטרה לפעול בניגוד לחוק כאשר בתי המשפט נוטים לאשר את בקשות המעקב? למה לשוטרים להסתבך בעבירה כאשר החוק מעניק להם את הכלים לבצע מעקב כדין? שלא כמו סטירה שנותנים לחשוד במחשכים, הפעלת כלי סייבר משאירה עקבות אלקטרוניות שניתן לאתר גם בדיעבד.
הדוברים ששלחה המשטרה לאולפנים גמגמו בתשובה על השאלות האלה. נדמה היה שהם להוטים יותר לשמר את העמימות של יכולות המשטרה מאשר לטהר את הדאגה הציבורית. לכן נדרשת בדיקה חיצונית חדה ומהירה. אם יתברר ששוטרים פעלו שלא במסגרת החוק – יש לטפל בהם כמו בעבריינים. אחר כך אפשר לבחון את טיב הפיקוח השיפוטי על הכלים האלה ואת התאמת החוק לטכנולוגיה הנוכחית.
לצפות ב־2022 שמשטרה תפעל ללא כלי סייבר זה כמו לדרוש לפרוק את המשטרה מנשקה כי אקדחים יכולים גם להרוג. מה שצריך להעסיק אותנו הוא מי מפעיל את הנשק ולאיזו תכלית. התפיסה כאילו הרוע טמון בטכנולוגיה היא ילדותית. השאלה היא איזה שימוש עושים בה. יש שסימנו את NSO ואת חברות הסייבר ההתקפי הישראליות כסמל הרוע, וחבל שהצנזורה לא מתירה לי לפרסם כמה חיים הצילה הטכנולוגיה הזאת, כולל לא מזמן באירוע המוני שהתקיים בתל אביב.
אחרי ש־NSO נכנסה לרשימה השחורה של משרד המסחר האמריקאי, היא נראית היום כמו חברה בגסיסה. עם חוב של קרוב לחצי מיליארד דולר, עם לקוחות שמקפיאים חוזים, ועובדים שנוטשים את הספינה הטובעת – ספק אם היא תשרוד את המשבר. האמריקאים נחושים לחסל את חברות הסייבר ההתקפי של ישראל ולהעביר אותן אל הצד השני של האוקיינוס האטלנטי. מנגד, המוסד גם הוא להוט לקלוט את חוקרי החולשות של הסייבר ההתקפי, שהם העוצמה האמיתית של התעשייה הזאת, ולפתח את הכלים שלהם תחת חסות ממשלתית.
בעוד הממשל האמריקאי נלחם ב־NSO, מתייצבות שורה של חברות אמריקאיות בתור לרכוש אותה. האם ישראל צריכה להרכין ראש אל מול ארה"ב ולהוציא מתחומה את יכולות הסייבר ההתקפי, שלבד מהפרנסה שהן מספקות פה, הן תורמות לביטחון הלאומי שלנו וליחסי החוץ?
האם אנחנו מעדיפים שאת הסייבר ההתקפי למדינות האזור יספקו הסינים? התשובה צריכה להיות ביכולת העמידה של הדרג המדיני מול הלחצים האמריקאיים ובמנגנוני פיקוח שיצמצמו את הסיכוי לשימוש לרעה בכלים האלה, בחו"ל וגם אצלנו.
כאשר כולנו מסתובבים עם מצלמה, מיקרופון ומכשיר שמתעד בלי הפסקה אותנו ואת התקשורות שאנחנו מנהלים – מושגי הפרטיות שלנו משתנים. כל אזרח שומר חוק חייב לדעת שאין חשש שהמדינה מאזינה לו או עוקבת אחריו, אם לא עשה דבר שמעורר חשד לפשע. אבל כדאי שגם יזכור ויפנים שבאותו זמן פייסבוק, גוגל או האפליקציה המדליקה של מזג האוויר שהוריד, עוקבות אחריו בלי הרף, בלי צו ובלי אישור משפטי.
הכותב הוא הפרשן הצבאי של חדשות 13