פרשת NSO: העובד לשעבר שגנב את תוכנת פגסוס נשלח ל-5 שנות מאסר

יחיאל איסקוב שגנב את תוכנת פגסוס - כלי עוצמתי שמי שמחזיק בו יכול להגיע לכל אדם בעולם, לצותת לו ולצלם אותו בלי ידיעתו - והציע אותה למכירה בדארקנט, הודה והורשע, במסגרת הסדר טיעון, בעבירות של גניבה בידי עובד והפרעה לחומר מחשב • ישלם קנס בסך 100 אלף שקל • עבירות הביטחון בהן הואשם במקור נמחקו

האקרים / צילום: Shutterstock / א.ס.א.פ קריאייטיב
האקרים / צילום: Shutterstock / א.ס.א.פ קריאייטיב

סוף ל"פרשת הסייבר מהחמורות בתולדות ישראל", בלי זכר לעבירות ביטחון: העובד לשעבר של חברת הסייבר הישראלית NSO שגנב את תוכנת פגסוס - כלי עוצמתי שמי שמחזיק בו יכול להגיע לכל אדם בעולם, לצותת לו ולצלם אותו בלי ידיעתו - והציע אותה למכירה בדארקנט, נשלח ל-5 שנות מאסר בפועל. זאת, לאחר שהורשע על-פי הודאתו, במסגרת הסדר טיעון, בעבירות של גניבה בידי עובד והפרעה לחומר מחשב. עוד הוסכם כי העובד לשעבר ישלם קנס בסך 100 אלף שקל, ויחולטו כל מחשביו האישיים והמידע שבהם. עבירות הביטחון בהן הואשם העובד בכתב האישום המקורי שהוגש נגדו - התפוגגו.

חברת NSO עוסקת במתן פתרונות טכנולוגיים בתחום תקיפת הסייבר, לשם השגת מידע מודיעיני למטרות ביטחוניות. במסגרת פעילותה, החברה מייצרת כלים ותוכנות המאפשרים להפיק מידע הדרוש לשם הגנה על ביטחון המדינה ואזרחיה ולסיכול פיגועי טרור. החברה משווקת את מוצריה לגורמי ביטחון בישראל ובעולם, כאשר היצוא לחו"ל מפוקח על-ידי אגף הפיקוח על היצוא הביטחוני במשרד הביטחון.

במסגרת הפרשה הוגש לפני כחצי שנה כתב אישום נגד העובד של חברת NSO, שגנב תוכנה של החברה וניסה למכור אותה בדארקנט ב-50 מיליון דולר. התוכנה שנגנבה - פגסוס שמה כאמור - מסווגת ככלי ביטחוני, ועל כן הגעתה לידיים הלא נכונות הייתה עלולה לפגוע בביטחון המדינה. השווי של התוכנה ומוצרים נוספים שגנב הנאשם נאמד במאות מיליוני דולרים.

כתב האישום המקורי שהוגש בפרשה ייחס לעובד לשעבר ביצוע עבירות ביטחוניות חמורות, מלבד עבירות גניבה ממעסיק; והרשויות אף הגדירו את הפרשה כאחת מפרשיות הסייבר הביטחוניות-כלכליות החמורות בתולדות ישראל.

ואולם, בכתב האישום המתוקן בו הודה והורשע העובד לבסוף אין זכר לעבירות הביטחוניות. על-פי כתב האישום המתוקן שהותר לפרסום, העובד, יחיאל איסקוב, בן 39 מנתניה, עבד ב-NSO בתפקיד מתכנת בכיר בצוות האוטומציה של החברה. במסגרת תפקידו הוא קיבל גישה לשרתי המחשב של החברה, לכלים שפיתחה החברה ואשר מאוחסנים בשרתים ולקוד המקור של מוצרי החברה המאוחסנים אף הם בשרתים. מדובר בפועל בגישה לכל הסודות הכבדים של תעשיית הסייבר.

בכתב האישום נכתב כי "עם תחילת עבודתו של הנאשם בחברה הובהר לו כי נאסר עליו להוציא ממקום העבודה את המידע השייך לחברה, נאסר עליו להעבירו לאחר, וכן חל איסור על חיבור התקני אחסון חיצוניים למחשבי החברה מבלי לקבל אישור מראש, ובכלל זה גם כוננים קשיחים חיצוניים. נוסף על כך, במחשבי החברה הותקנה תוכנת אבטחה אשר מונעת חיבור התקני אחסון חיצוניים".

בשלב מאוחר יותר התברר כי העובד לא התרגש כנראה מההתראות הללו וניסה כבר בפברואר השנה לעקוף את מערכת ההתראה של החברה. מהאישום עולה כי ב-12 בפברואר בשעות הצהריים חיפש ואיתר הנאשם באינטרנט, בגוגל, שיטות לשיבוש פעולת תוכנת האבטחה. בהמשך, נטען, שיבש הנאשם את פעילות תוכנת האבטחה, כך שתתאפשר העברת נתונים בין תחנת העבודה לכונן חיצוני ללא אישור, ויום למחרת כבר חיבר כונן חיצוני לתחנת העבודה שלו, ללא אישור, תוך שהוא משבש את פעולת תוכנת האבטחה כאמור.

בלי קשר לפעולות הנ"ל, שלא התגלו באותו מועד, ב-29 באפריל השנה, 8 חודשים בלבד לאחר שהחל בעבודתו, ועל רקע אי-שביעות-רצון ממנו, זומן איסקוב לשימוע לפני פיטורים. השיחה הזאת החלה שרשרת אירועים מטרידה: על-פי האישום, בתום השיחה עם מנהלו, חיבר איסקוב התקן אחסון נייד לשרתי החברה והוריד לרשותו את התוכנות, המוצרים והמידע, לרבות קוד המקור של התוכנות, תוך שהוא מתגבר על מערכות ההגנה שבמחשבי החברה.

איסקוב נדרש לעשות שתי פעולות שונות על-מנת לגנוב את התוכנה: ראשית - הורדת החומר אל מחשבו, ושנית - העתקתו לכונן חיצוני נייד. הפעולות הללו הדליקו את כל נורות האזהרה הקיימות בחברה, המתריעות מפני העתקת חומרים רגישים משרתי החברה, אך משום מה אף אחד לא עשה כל פעולה למנוע את הוצאת החומרים מהחברה על-ידי העובד.

במשך תקופה החזיק איסקוב את החומר הרגיש בדירתו בנתניה, מתחת למזרון מיטתו, ואז הוא שוב עשה חיפוש בגוגל - הפעם הוא בדק איך הוא יכול למכור את התוכנה שגנב. לאחר החיפוש שערך יצר איסקוב קשר באמצעות הדארקנט עם אדם ממדינה זרה, הציג את עצמו בפניו כהאקר הפועל במסגרת קבוצת האקרים שהצליחה לפרוץ למערכות המחשב של NSO והציע לאותו אדם לרכוש את יכולות הסייבר של NSO תמורת 50 מיליון דולר. את הכסף ביקש איסקוב במטבעות וירטואליים מבוזרים, מוצפנים ואנונימיים - שאינם מאפשרים התחקות אחר המחזיק בהם.

ניסיון המכירה התגלה רק לאחר שאותו אדם שהוצע לו לרכוש את המוצרים הגנובים דיווח לחברת NSO על פנייתו של איסקוב. אז נכנסה NSO לתמונה על-מנת "לתפוס" את העובד המפוטר על חם בעת ניסיון המכירה.

בעקבות האירועים האמורים, ב-5 ביוני אשתקד פנתה החברה בדחיפות למשטרת ישראל, ואיסקוב נעצר על-ידי יחידת הסייבר בלהב 433 של המשטרה, כאשר גם השב"כ מעורב במעצר ובחקירה. על-פי ממצאי החקירה, עסקת המכירה שתכנן הנאשם להוציא אל הפועל לא התממשה.

איסקוב הודה במסגרת הסדר הטיעון, כי מעשיו סיכנו באופן ממשי את חברתNSO , המוערכת בשווי שוק של לפחות 900 מיליון דולר ויכלו להוביל לקריסתה.

בשל צו איסור פרסום לא ניתן להרחיב על הסיכון הביטחוני המגולם בפרשה.

מנהל מחלקת הסייבר בפרקליטות המדינה, ד"ר חיים ויסמונסקי, ציין כי "העונש שהושג במסגרת הפרשה מבטא את החומרה היתרה של גניבת קניינה הרוחני של החברה, כמו גם משמעותם של הכלים שפותחו בידי החברה עבור גורמים מדינתיים. בפועל, עלה בידי המשטרה לאתר את המידע שניטל בידי הנאשם, ועל כן אין אינדיקציה לזליגת המידע מעבר להוצאתו בידי הנאשם לביתו".