כשמדברים על התעשייה הביטחונית הישראלית, הנרטיב הרגיל עוסק בחדשנות, בפריצות דרך טכנולוגיות ובהצלחה גלובלית. ישראל מייצאת יכולות ביטחוניות לעשרות מדינות, חברות ישראליות מובילות שווקים שלמים בתחום הסייבר וכלי הניטור, ואנשי מודיעין לשעבר הופכים ליזמים מצליחים. אבל לצד הסיפור הזה מתנהל גם דיון אחר – על גבולות השימוש בטכנולוגיה, על אחריות חברתית של יצרנים, ועל שאלות שאין להן תשובות פשוטות.
ארבע חברות ישראליות מובילות שמופיעות באינדקס ביטחונביז נמצאות בלב הדיון הזה: NSO Group, פאראגון סולושנס, סלברייט ובלאק קיוב. לכל אחת מהן סיפור שונה, אבל כולן מייצגות את אותו מתח יסודי שמעסיק את התעשייה הביטחונית כולה – בין היכולת הטכנולוגית לבין השאלה כיצד ולמי מותר להשתמש בה.
הרשימה השחורה שאף חברה ביטחונית לא רוצה להיות עליה
בנובמבר 2021 הוסיפה מחלקת המסחר האמריקאית את NSO Group לרשימה השחורה שלה – ה-Entity List – צעד נדיר ביותר נגד חברה ממדינה ברית קרובה לארצות הברית כמו ישראל. ההחלטה נבעה מממצאים לפיהם תוכנת הריגול פגסוס, שפיתחה NSO, שימשה ממשלות זרות למעקב אחרי עיתונאים, פעילי זכויות אדם, דיפלומטים ואנשי אופוזיציה ברחבי העולם. הרשימה השחורה אוסרת על NSO לרכוש טכנולוגיות אמריקאיות ללא אישור מפורש של הממשל.
NSO תמיד הכחישה כוונות זדוניות. החברה טוענת שפגסוס נמכרת אך ורק לממשלות דמוקרטיות, לצורך מאבק בפשיעה ובטרור, ושהיא דוחה מכירות לגורמים בעייתיים – אפילו לפי הערכותיה שלה, דחתה החברה הצעות עסקיות בהיקף של כ-300 מיליון דולר בין 2020 ל-2021 בגלל שיקולים אתיים. אבל גם לאחר ההכחשות, תחקיר הפגסוס פרוג'קט ב-2021 שבו שיתפו פעולה מעל 80 עיתונאים מ-17 מדינות, חשף רשימה של כ-50,000 מספרי טלפון שנבחרו למעקב על ידי לקוחות החברה. ממשלות כמו מקסיקו, ערב הסעודית, אמירויות ואחרות הופיעו ברשימה.
המקרה של NSO ממחיש בבהירות את הדילמה הבסיסית: תוכנת ריגול אפקטיבית מספיק כדי לשמש כוחות ביטחון לגיטימיים היא גם אפקטיבית מספיק כדי לשמש שליטים אוטוריטריים. ברגע שהמוצר יוצא מהמפעל, שליטת היצרן בשימוש בו מוגבלת ביותר – אפילו אם ההסכם עם הלקוח כולל איסורים מפורשים.
כשעיתונאים הם המטרה: שערוריית הריגול באיטליה
בינואר 2025 שלחה וואטסאפ התראות לכ-90 אנשים ב-24 מדינות ברחבי העולם, ובהם עיתונאים ופעילי חברה אזרחית, שמכשיריהם נפגעו על ידי תוכנת גרפייט של פאראגון סולושנס. המקרה הדרמטי ביותר היה באיטליה: בין הנפגעים היה פרנצ'סקו קנצ'לאטו, עורך ראשי של אתר Fanpage.it שפרסם חשיפות על פעילים ניאו-פשיסטים בתוך מפלגתה של ראש הממשלה מלוני. עמיתו צירו פלגרינו ועוד עיתונאי אירופי שביקש להישאר אנונימי נפגעו אף הם, לפי מחקר של Citizen Lab מיוני 2025.
פאראגון, שהוקמה בישראל ונרכשה בשנים האחרונות על ידי קרן הון פרטי אמריקאית, הגיבה בצעד חריג: ביטול חד-צדדי של החוזים שלה עם לקוחות ממשלתיים איטלקיים, בנימוק שהממשלה האיטלקית הפרה את תנאי ההסכם האוסרים מעקב אחרי עיתונאים ואנשי חברה אזרחית. ממשלת איטליה מצדה הכחישה פעולות לא חוקיות, וועדת הפיקוח הפרלמנטרית COPASIR קבעה שהשימוש בגרפייט נגד שניים מהיעדים נעשה כחוק, אך לא מצאה ראיות לפגיעה בקנצ'לאטו. חקירת הפרקליטות ממשיכה.
הפרשה האיטלקית הגיעה לדיון בפרלמנט האירופי ביוני 2025, ועוררה תביעות לחקירת ועדה על תוכנות ריגול בכל מדינות האיחוד. החוק האירופי לחופש המדיה שנכנס לתוקפו ב-2024 מספק הגנות לעיתונאים, אך ניסיון מלוני להחריג מקרים של ביטחון לאומי ממחיש כמה קשה ליישם את ההגנות בפועל.
הכלי הפורנזי שהגיע למקומות שלא תוכנן
סלברייט היא דוגמה שונה – ולכן אולי מלמדת יותר. בניגוד לתוכנות ריגול שפועלות מרחוק, מוצר הדגל שלה UFED מחייב גישה פיזית למכשיר. זה נשמע כמו הגבלה משמעותית. אבל כשמדינה עוצרת עיתונאי, פעיל פוליטי או עורך דין זכויות אדם, הגישה הפיזית היא בדיוק מה שיש לה.
ארגוני זכויות אדם תיעדו שימוש במוצרי סלברייט לפריצת טלפונים של עיתונאי רויטרס שנכלאו במיאנמר בשל דיווח על טבח הרוהינגה, של עיתונאי בבוצוואנה, של פעילים פרו-דמוקרטיים ברוסיה, ושל עצורים בהפגנות פרו-פלסטיניות בירדן ב-2024 ו-2025. בסרביה, בדצמבר 2024, תיעד ארגון אמנסטי אינטרנשיונל כיצד שלטונות סרביים השתמשו בטכנולוגיית סלברייט לפתיחת מכשירים של עיתונאים ופעילים, ולאחר הפריצה התקינו תוכנות ריגול על המכשירים. בפברואר 2025 הגיבה סלברייט בהפסקת השירות לרשות המשטרה הסרבית.
מה שמייחד את מקרה סלברייט הוא שהחברה עצמה הכירה בסיכון בגילויים לרשות ניירות הערך האמריקאית לפני הנפקתה: היא ציינה כאחד הסיכונים המרכזיים שלה את האפשרות שמוצריה ישמשו בדרכים הנוגדות זכויות אדם. אם חברה מגדירה זאת בעצמה כסיכון עסקי מהותי – זה לא עוד שאלה תיאורטית, אלא בעיה מוכרת שדורשת מענה מבני.
כשמודיעין מגן על לווייתנים: חשיפת שחיתות בדרך לא צפויה
בלאק קיוב, חברת המודיעין העסקי שהוקמה ב-2011 על ידי יוצאי יחידות המודיעין הצבאי דן זורלא וד"ר אבי ינוס, מייצגת קטגוריה שונה בדיון הזה – לא תוכנת ריגול אלא עבודת מודיעין אנושית שמוכרת לגופים פרטיים, לרוב לצורכי חקירות משפטיות. ולפעמים, הסיפורים שצומחים מהעבודה הזו מגיעים ממקומות שלא ציפו להם. אחד המקרים שהפך לנשוא סיפור בינלאומי עסק בלוויתנים. איסלנד היא אחת המדינות הספורות בעולם שממשיכות לצוד לוויתנים, למרות לחץ בינלאומי. ב-2024 נחשף שיון גונארסון, שר איסלנדי לשעבר שאחראי על תיקי תחבורה, משפטים ופנים, ניהל שיחות בעייתיות עם גורם שהציג את עצמו כאיש עסקים שוויצרי שמעוניין לרכוש נדל"ן איסלנדי. במהלך הפגישות נגלגלה השיחה לנושא רגיש: חידוש רישיונות ציד הלוויתנים לחברת הציד האיסלנדית היחידה הפעילה. לפי הדיווחים, גונארסון – שבנו כבר יצר קשר עם אותו עסקן – מסר מידע שעלול להעיד על מעורבות בלתי תקינה בהחלטה הרגולטורית.
אותו עסקן שוויצרי היה, לפי הדיווחים, סוכן של בלאק קיוב שפעל מטעם ארגון סביבתי שביקש לחשוף מה שנראה לו כהשפעה בלתי חוקית על תהליך קבלת ההחלטות בנוגע לרישיונות הציד. פרסום הממצאים הוביל לסערה פוליטית באיסלנד. הפרשה ממחישה דיוק אחד חשוב: מודיעין עסקי כלי אינו ניטרלי מבחינה ערכית – הוא תלוי לחלוטין בשאלה מי מזמין אותו ולמה. כשהמזמין הוא גורם שמבקש לחשוף שחיתות אפשרית שפוגעת בסביבה, התוצאה מוגשת לציבור כחקירה בעלת ערך ציבורי. כשהמזמין הוא גורם שמבקש לדכא מידע, אותה מתודולוגיה בדיוק הופכת לבעייתית. זה המתח שתעשיית המודיעין העסקי מתמודדת איתו כל הזמן, ושאין לו עדיין מענה רגולטורי ממשי.
בשוק מודיעין עסקי פרטי אין כמעט רגולציה ייחודית. אין גוף שמסמיך חברות לאסוף מודיעין על אנשים פרטיים, אין דרישת שקיפות לגבי שיטות עבודה, ואין מנגנון תלונות בינלאומי מחייב. בניגוד לתחום הסייבר ההתקפי, שעליו יש לפחות מסגרת חלקית של בקרות ייצוא, תחום החקירות העסקיות-מודיעיניות נמצא בוואקום רגולטורי כמעט מוחלט.
לאן פונה הרגולציה ומה התעשייה צריכה להחליט בעצמה
הדיון הרגולטורי הולך ומתחזק. האיחוד האירופי מציב דרישות הולכות וגדלות – חוק חופש המדיה האירופי, שנכנס לתוקפו ב-2024, מגביל את האפשרות להשתמש בתוכנות ריגול נגד עיתונאים. ארצות הברית מצמצמת את הגישה של גופים פדרליים לכלי ריגול מסחריים לאחר פקודת הנשיא ביידן מ-2023. ישראל עצמה מחייבת את חברות הסייבר ההתקפי לקבל רישיון ייצוא ממשרד הביטחון – כלי שמאפשר למדינה להשפיע על מי מקבל גישה לטכנולוגיה, אם כי ארגוני זכויות אדם טוענים שהפיקוח אינו מספק.
אבל הרגולציה לבדה לא תפתור את הבעיה. הניסיון עם NSO, פאראגון וסלברייט מראה שאפילו חברות שמקיימות נהלי בדיקה מפורטים של לקוחות מוצאות את עצמן מעורבות בשימושים שלא תכננו. הטכנולוגיה חיה עצמאית מרגע שהיא בידי הלקוח. הפתרון הממשי דורש שילוב של מספר אלמנטים: בקרות ייצוא מחמירות יותר, דרישות שקיפות על שימוש בטכנולוגיה מצד לקוחות ממשלתיים, ומנגנוני ביטול-מרחוק שיאפשרו לחברות לנטרל שימושים מוכחים לרעה.
הדור הבא של חברות ביטחוניות ישראליות יצטרך לפעול בסביבה שבה הציפיות מהתנהגות אחראית גבוהות יותר מאי פעם. זה לא אומר שהטכנולוגיה לא צריכה להיות מפותחת – זה אומר שהפיתוח הטכנולוגי חייב לבוא עם תשובות ברורות לשאלה: מי מפקח, ואיך מבטיחים שהמוצר לא יהפוך לנשק בידי מי שלא אמור להחזיק בו.