סייבר התקפי - בין יצוא בטחוני לייבוא אכיפתי

PDF

בחודש נובמבר 2021, לשכת הסחר של ארצות הברית הכניסה לרשימה השחורה שלה את חברות הסייבר ההתקפי הישראליות, NSO וקנדירו, בשל פעילות הנוגדת את הביטחון הלאומי ואת מדיניות החוץ של ארה"ב. זאת, בטענה כי החברות מספקות מערכות מעקב טכנולוגיות לממשלות שמשתמשות בהן נגד פקידי ממשל, אנשי עסקים, פעילי זכויות אדם, אקדמאים ועובדי שגרירות, במטרה לדכא ביקורת ואופוזיציה.[1]

מזה מספר שנים שמעללי החברות הללו וכלי התקיפה שלהן הם מושא לתחקירים של עיתונאים וארגוני מחקר, שחשפו את השימושים שעושות בהם מדינות טוטליטריות ודמוקרטיות-למחצה, בחסות מדינת ישראל.[2] מנגד, משרד הביטחון טוען כי כלי סייבר מיוצאים לשימוש גורמי ממשל לצורך חקירת פשעים ולוחמה בטרור בלבד.[3] אולם הגדרת "פשעים" ו"מעשי טרור" עשויה להיות שונה בין מדינה דמוקרטית המכבדת זכויות אדם לבין מדינה שממשלתה מתאמצת להיוותר בשלטון באמצעות דיכוי האופוזיציה.

קנדירו ו-NSO אינן היחידות, אלא רק קצה הקרחון אשר רובו חוסה תחת מעטה סודיות. על אף שישראל מובילה עולמית בייצוא מערכות סייבר,[4] הכתיבה המשפטית בנושא מעטה.[5]הדיווחים בנוגע לניצול לרעה של טכנולוגיה ישראלית מחייבים בחינה מחודשת של ההסדרים המשפטיים השולטים בייצוא שלה. ברשימה זו אבקש למפות כשלים מבניים, המונעים פיקוח הולם על חברות סייבר התקפי. בנוסף, אבחן בקצרה כיצד נכנסה לאחרונה אכיפה אלטרנטיבית טרנס-לאומית לוואקום שהותיר הרגולטור הישראלי, אצביע על כשליה בהקשר הישראלי, ואציע ראשית פתרון חלופי.

א. כשלים מבניים המונעים פיקוח על יצוא סייבר התקפי

על פי רוב, למדינות אין חובות ישירות כלפי אנשים שאינם שוכנים בטריטוריה שלהן או כפופים לסמכותן.[6] אולם, בשנים האחרונות נשמעים קולות הקוראים להרחיב את החבות המדינתית, ולמתוח את תחולתה על זכויות אדם מעבר לגבולות המדינה, בפרט במקרים של יצוא נשק.[7] ברשימה זו אבקש להשתמש בעקרונות המנחים של האו"ם המפרטים באילו מקרים מדינה עשויה להפר את חובותיה הבינלאומיות להגן על זכויות אדם. כפי שאראה, ישנו חשש ממשי כי מדינת ישראל אינה עושה שימוש מספק בכלים העומדים לרשותה – חקיקה, רגולציה וביקורת שיפוטית – לצורך מניעת שימוש לרעה בכלי סייבר ישראליים הנמכרים למדינות אחרות.[8]

חקיקה

החוק החולש על יצוא מערכות סייבר הוא חוק הפיקוח על יצוא ביטחוני, התשס"ז-2007 (להלן: "החוק"). מטרת החוק, המנוסחת בסעיף 1, היא הסדרת הפיקוח על יצוא ציוד ביטחוני מטעמי ביטחון ויחסי-חוץ.[9] הגנה על זכויות אדם אינה מצוינת כאחת המטרות העומדות בבסיס החוק. עובדה זו אינה מפתיעה, שכן החוק נחקק בעקבות פרשת מכירת טכנולוגיות של התעשייה האווירית לסין, אשר גרמה לאמריקאים לדרוש מישראל להנהיג פיקוח על היצוא הביטחוני, מחשש שטכנולוגיות יועברו לגורמים עוינים לארצות הברית.[10]

החוק מגדיר תהליך דו-שלבי לצורך קבלת רישיון יצוא ביטחוני. תהליך זה חל גם על ייצוא מוצרי סייבר התקפי.[11] ראשית, יש לקבל רישיון שיווק ביטחוני, שמשמעותו רישיון לערוך משא ומתן לקידום עסקה.[12] לאחר קבלת רישיון השיווק, נדרשת קבלת רישיון יצוא ביטחוני.[13]

הרגולטור האמון על יישום הוראות החוק הוא האגף לפיקוח על היצוא הביטחוני במשרד הביטחון (אפ"י).[14] בנוסף, קיימות ועדות מייעצות לרגולטור, שתפקידן להמליץ בדבר מתן רישיונות. הללו כוללות עובדים של משרד הביטחון, משרד החוץ, משרד התעשייה, המסחר והתעסוקה וכוחות הביטחון.[15]

כפי שניתן להבין ממטרת החוק, מזהות הרגולטור ומזהות הגורמים המייעצים לו, ההסדרים בחוק עוצבו לאור אינטרסים של מדיניות-חוץ וביטחון, על רקע משבר ביחסי ישראל וארה"ב בשל הייצוא לסין.[16] שמירה על זכויות אדם לא היוותה מטרה בפני עצמה, התוחמת את גבולות עסקאות היצוא, אלא מטרה מסדר שני, שנועדה להגן על יחסי-החוץ של ישראל. גם אם זכויות אדם נלקחות בחשבון על ידי הרגולטור, על אף שאינן מצוינות בחוק כשיקול שעליו לשקול בבואו לתת רישיון, נראה כי בתחרות שבין הגנה על זכויות אדם לבין קידום האינטרסים הבינלאומיים של מדינת ישראל, האינטרסים הבינלאומיים גוברים. הצלבה בין רשימת המדינות שנמצא כי עשו שימוש פוגעני בכלי שפתחה NSO, לבין מדינות שעימן ישראל מבקשת לחזק את הקשרים הדיפלומטיים מחזקת מסקנה זו. כמו כן, ההצלבה מראה כי ישראל עושה שימוש ביצוא סייבר התקפי כמטבע דיפלומטי, כאשר הצד השני של המטבע הוא פגיעה בזכויות אדם.[17]

רגולציה

הפיקוח של הרגולטור על יצוא מערכות סייבר התקפי, מוגבל בשל שני מאפיינים מרכזיים שלו.

המאפיין הראשון, הוא ניגוד העניינים המובנה של הרגולטור. בשל מעטה הסודיות סביב נושא הייצוא הביטחוני, ניתן בשלב זה להתבסס בעיקר על תחקירים עיתונאיים. אלו מלמדים על קיומה של ראשית ראיה לניגוד עניינים של הרגולטור, משרד הביטחון, אשר אחראי על מתן רישיונות שיווק וייצוא. זאת, בשל קיומן של דלתות מסתובבות בין משרד הביטחון לבין חברות הסייבר ההתקפי,[18] מעורבות ישירה של משרד הביטחון בעסקאות המכר, ותפקידו הכפול של משרד הביטחון – הן כרגולטור והן כלקוח של חברות הסייבר ההתקפי.[19] כל זאת, בצל העובדה שישראל מתייחסת לתעשיית הסייבר כמנוע צמיחה כלכלי-אסטרטגי, פועלת על מנת לקבע את מעמדה כמובילה עולמית בתחום ואף משתמשת בעסקאות סייבר התקפי כמטבע דיפלומטי.[20] בשל הקשרים שמקיים הרגולטור עם התעשייה מבחינה אישית, כלכלית וביטחונית, נראה שקיימת הטיה מוסדית אשר מגבילה את היכולת של משרד הביטחון לפקח באופן אפקטיבי.

המאפיין השני, הוא היותו של הסייבר ההתקפי "נשק בלתי נראה". לעומת כלי נשק שפוגעים פיזית ובאופן גלוי בבני אדם, דוגמת כלי ירי ופצצות, מערכות סייבר התקפי פועלות במחשכים, ופעולתן קשה לגילוי ונחשפת לעיתים רחוקות. כלי ירי מותירים חותם גלוי לעין וניתן לתיעוד. בתיעוד זה ניתן להשתמש כדי ליצור לחץ ציבורי ובינלאומי שמטרתו להביא לעצירת מכירת נשק לממשלות הפוגעות באזרחיהן. לעומת זאת, נשק סייבר מאפשר פגיעות רבות בחירות האזרחית, שאינן ניתנות לגילוי. כך למשל, מעקב אחר מתנגדי משטר, עיתונאים ומפלגות יריבות, פוגע בחברה האזרחית וחונק את הדמוקרטיה. באמצעות ניטור פעילותם והתקשורת שלהם זה עם זה, המשטר מסמן אזרחים המבקרים אותו, ולאחר מכן מבצע מעצרים, נוקט באמצעי הפחדה מפני הבעת ביקורת על השלטון ולעיתים אף פוגע פיזית באזרחים. זאת, מבלי שהנפגעים בהכרח מודעים לכך שפעילותם מפוקחת על ידי כלי סייבר שהוחדרו למכשיריהם הפרטיים. פעילות כלי הסייבר הללו במחשכים מונעת את היכולת ליצור לחץ בינלאומי נגד הפצתם והשימוש בהם.[21]

שני המאפיינים הללו, כאמור, מעלים חשש לקיומו של פיקוח למראית עין בלבד וליד קלה על ההדק במתן רישיונות הייצוא.

בשנים האחרונות, משרד הביטחון צמצם את ההגבלות על יצוא מערכות סייבר התקפי, כך שניתן לקבל פטור מקבלת רישיון שיווק למדינות ספציפיות.[22] רשימת מדינות הפטור אינה מפורסמת לציבור,[23] אולם על-פי פרסומים בתקשורת, היא מנתה 102 מדינות עד לא מזמן. בחודש נובמבר האחרון, בעקבות הפרסומים על אודות שימוש לרעה בסייבר התקפי תוצרת כחול לבן, צמצם הרגולטור את הרשימה ובצעד נדיר פרסם אותה לציבור. כעת הרשימה כוללת 37 מדינות, מרביתן במערב אירופה, אוסטרליה, ארה"ב וקנדה.[24]

כמו כן, בעקבות הכנסת NSO וקנדירו לרשימה השחורה של לשכת הסחר בארצות הברית, הרגולטור פרסם כי הוחלט להדק את הפיקוח על יצוא סייבר באמצעות תיקון הצהרת השימוש עליה חותמת המדינה הרוכשת.[25] ההצהרה מפרטת את גבולות השימוש במערכות, כך שהמדינה הרוכשת נדרשת להתחייב כי לא תעשה שימוש במערכת נגד אנשים שכל חטאם היה הבעת ביקורת נגד השלטון, או השתייכות לקבוצה מסוימת בחברה. אם יופרו תנאים אלו, מדינת ישראל תוכל לבטל את רישיון היצוא.

לטעמי, הצעדים בהם נקט הרגולטור הישראלי לא בהכרח מעידים על הגברת הפיקוח. ראשית, מאחר שרשימת מדינות הפטור אינה גלויה לציבור, ייתכן כי פרסום הרשימה המעודכנת היה חד פעמי, בשל צורך מדיני להציג שינוי כיוון. ייתכן שהרשימה תישאר מצומצמת עד יעבור זעם, ולאחר מכן תשוב למחשכי איסור הפרסום והיקפה יורחב בשנית. גם אם הרשימה תיוותר מצומצמת, חשוב להדגיש שייצוא סייבר התקפי למדינות שאינן ברשימה עדיין אפשרי, לאחר שהחברה המייצאת עברה את ההליך הדו-שלבי על מנת לקבל רישיונות שיווק וייצוא. שנית, הוספת דרישת החתימה על הצהרת השימוש מהווה מס שפתיים בלבד, שהרי מדינות דמוקרטיות-למחצה או מדינות שהשחיתות פושה בממשלתם יכולות להפר את הצהרתן ולעשות במערכות שימוש לדיכוי אזרחיהן. שלישית, בשל מעטה החשאיות סביב המערכות ויעדי המעקב של מדינות זרות, למדינת ישראל קשה לפקח כי אכן לא מופרים תנאי השימוש, כך שהאיום בביטול הרישיון נטול שיניים.

ביקורת שיפוטית

לאורך השנים, הוגשו מעט עתירות בנושא יצוא סייבר התקפי, במסגרתן דרשו העותרים לבטל רישיונות יצוא נשק למדינות הפוגעות באזרחיהן. הפסיקה בעניינן של עתירות אלו מאופיינת בהימנעות מהתערבות בשיקול הדעת של הרגולטור.[26]

בעניין אגמון, שפורסם לאחרונה, העותרים דרשו להורות למנכ"ל משרד הביטחון לעצור יצוא מערכות סייבר בשל השימוש שנעשה בהן על ידי הרשויות ברוסיה ככלי לדיכוי ולרדיפות פוליטיות.[27] בפסק הדין נקבע כי החלטות הגורמים המפקחים על יצוא ביטחוני מתקבלות לאור דברי החקיקה על בסיס של ביטחון לאומי והתחייבויות בינלאומיות. אשר על כן, שיקול הדעת המצוי בידי רשויות המדינה הוא רחב במיוחד ובית המשפט אינו מתערב בעניינים אלו של יחסי חוץ וביטחון, אלא במקרים חריגים.[28]

צמצום הביקורת השיפוטית בנושא והסרת ידיו של בית המשפט מהבחינה של ההחלטות לגופן מנטרל את המנגנון המדינתי השלישי והאחרון לפיקוח על היצוא הביטחוני של סייבר התקפי.

ב. יבוא אכיפתי

מערכות סייבר התקפי עושות שימוש בחולשות המצויות במוצרים אותם מפתחות ענקיות הטכנולוגיה, על מנת לפרוץ ולהשתלט על מכשירים של לקוחותיהן ברחבי העולם.[29] עובדה זו גרמה לענקיות הטכנולוגיה להיכנס לוואקום הרגולטורי שהותירה מדינת ישראל ולהפעיל אכיפה פרטית. מטא, חברת האם של פייסבוק, החלה לאחרונה לסגור חשבונות המיוחסים לחברות סייבר התקפי ישראליות.[30] אפל הגישה תביעה נגד NSO, שנים לאחר שפורסם לראשונה כי ביכולתה של NSO לפרוץ למכשיריה.[31] המקרים הללו מעידים כי ענקיות הטכנולוגיה, דוגמת מטא ואפל, פועלות נגד חברות סייבר התקפי באמצעות שלילת גישה למוצריהן ובאמצעים משפטיים, כאשר הדבר עולה בקנה אחד עם האינטרסים שלהן.[32] כלומר, הן בוחרות לפעול רק כאשר היעדר התייחסות מצידן יפגע בהן כלכלית או כאשר התייחסות לפריצות למוצריהן תועיל להן.

את הפעולות הללו ניתן לראות כחלק ממנגנון אכיפה טרנס-לאומי רך, העובד באמצעות רשתות החורגות מהממסד המדינתי, לצורך אכיפת סטנדרטים בינלאומיים.[33] אכיפה פרטית זו נגד חברות סייבר התקפי היא כלי אכיפה אקס-פוסט, המצוי בידי הנפגעות המשניות, ענקיות הטכנולוגיה. באמצעות כלי זה, ענקיות הטכנולוגיה תופסות את מקומה של המדינה בתור הרגולטור המפקח על יצוא סייבר התקפי. אבקש לכנות תופעה זו בכינוי "יבוא אכיפתי", שכן באמצעות תביעות אזרחיות והגבלת שימוש במערכות שלהן, ענקיות הטכנולוגיה פוגעות בכיסן של חברות הסייבר וגורמות להן להפנים את עלויות הפגיעה בזכויות אדם.

אולם, יש לתת את הדעת לכך שאכיפה זו מוגבלת בכמה היבטים. ראשית, בשל מעטה החשאיות סביב חברות סייבר, רק אם נחשפת הפריצה ורק לאחר שיוכה לחברה מסוימת, ניתן לנסות לתבוע אותה. קשה לאמוד עד כמה פיקוח מעין זה מרתיע חברות סייבר, אשר פועלות בחשאיות ומתוך הנחה שלא ייתפסו. שנית, האכיפה מתבצעת על ידי גורמים רחוקים וזרים לאינטרסים של מדינת ישראל ולאינטרסים של הנפגעים הישירים ממערכות הסייבר. זוהי הפרטה של החוק לידיים זרות למדינת ישראל, במסגרתה ענקיות הטכנולוגיה מעצבות את החוק, שכן הן בוחרות מתי וכיצד לבצע אכיפה באמצעות נקיטת צעדים כמו שלילת גישה למוצריהן ופעילות בשדה המשפטי. כך, הן מגדירות את הסטנדרטים ההתנהגותיים הנדרשים ונכנסות לוואקום הרגולטורי שהותירה המדינה. [34]

הרהורים בדבר תיקון החקיקה

הגנה על זכויות אדם במסגרת יצוא ביטחוני של סייבר התקפי מחייבת יצירת תמריצים. אלו יכולים להתבטא באכיפה ציבורית ובאכיפה פרטית. אכיפה ציבורית כיום נתקלת במכשולים הנובעים מהמבנה המוסדי של מנגנוני הפיקוח המדינתיים והטיית הרגולטור בעד קיום עסקאות היצוא. אכיפה פרטית כיום מונעת מאינטרסים כלכליים צרים של ענקיות הטכנולוגיה, ולפיכך אינה מקדמת בהכרח הגנה על זכויות אדם. עתירות מנהליות ועתירות לבג"ץ, אשר מבקרות מתן רישיונות לחברות סייבר התקפי, ניתן לראות בתווך שבין אכיפה ציבורית לאכיפה פרטית. מחד, מדובר בעתירות המוגשות על ידי אזרחים המודאגים מפגיעה בזכויות אדם שנעשית בשמם. מאידך, קיימת יכולת תיאורטית לבית המשפט להתערב בהחלטות הרגולטור, כך שהוא מהווה זרוע מדינתית נוספת שנמנעת מהגברת הפיקוח על חברות הסייבר ההתקפי.

קושי נוסף במנגנון האכיפה הפרטית הוא שמדובר במנגנון בו ניתן להשתמש רק לאחר שנחשף הניצול לרעה של כלי סייבר התקפי. אולם כאמור, פעמים רבות הוא לא ייחשף לעולם, או רק כשיהיה מאוחר מידי. לעומת זאת, הרגולטור הישראלי, הפועל בחסות החוק, יכול לשקול לפני מעשה אם להעניק רישיונות שיווק וייצוא למדינה שאינה מכבדת זכויות אדם.

אירועי החודשים האחרונים מזמנים את המחוקק הישראלי לשקול תיקון של הבעיות המבניות בחוק, על מנת להפוך את האכיפה המדינתית לכלי אפקטיבי בשמירה על זכויות אדם. השינויים הנדרשים הם הוספה מפורשת של זכויות אדם למטרות החוק, שקיפות בהליך מתן הרישיון וכן אפשרות להסמכת רגולטור אחר, שאינו משרד הביטחון, אשר יהיה נטול פניות בעת מתן רישיונות לחברות סייבר התקפי. בכל הנוגע לביקורת השיפוטית, התחקירים על אודות ניגודי העניינים בהם פועל הרגולטור מעלים את השאלה – האם הרגולטור לא מצוי בניגוד עניינים מוסדי, המונע ממנו לקבל החלטות על מתן רישיונות יצוא סייבר התקפי? על אף צמצום התערבות בית המשפט בהחלטות הרגולטור, ייתכן כי יש בידו של בית המשפט להתערב בהן, לאור קיומו של ניגוד עניינים מוסדי.[35]

* בוגרת אוניברסיטה במשפטים (LL.B), אוניברסיטת תל אביב.

אזכור מוצע: הילה גולדשמיד "סייבר התקפי – בין יצוא בטחוני לייבוא אכיפתי" פורום עיוני משפט (תגוביות משפט) מו (20.1.2022) https://www.taulawreview.sites.tau.ac.il/tguvit-goldschmid.

[1] Commerce Adds NSO Group and Other Foreign Companies to Entity List for Malicious Cyber Activities, U.S Department of Commerce (Nov. 3, 2021) https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list. הרשימה השחורה היא כלי להגבלת העברה של טובין לגופים שמעורבים בפעילות המנוגדת לביטחון הלאומי או למדיניות החוץ של ארצות הברית.

[2] הגר שיזף ויונתן יעקבזון "תעשיית הריגול הישראלית מסייעת לדיקטטורים בכל העולם לרדוף הומואים ומתנגדי משטר" הארץ (19.10.2018)https://www.haaretz.co.il/magazine/.premium.HIGHLIGHT-MAGAZINE-1.6569594 (להלן: תעשיית הריגול);Forensic Methodology Report: How to Catch NSO Group’s Pegasus, Amnesty, 6 (July 18, 2021) https://www.amnesty.org/en/documents/doc10/4487/2021/en/; Hooking Candiru, citizen Lab (July 15, 2021) https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus. [3] פרוטוקול ישיבה 61 של הכנסת ה-24, 466-465 (13.10.2021). [4] ניבה אלקין-קורן ואמנון רייכמן אסדרת יצוא טכנולוגיות סייבר ממדינת ישראל: ההסדר הראוי, 7 (יוני הר כרמל עורך, 2018) https://cyber.haifa.ac.il/images/pdf/asdarat-tech-2018.pdf (להלן: ההסדר הראוי). [5] עיקר הכתיבה עוסק באסדרת השימוש בסייבר התקפי בתוך המדינה ובהגנה מפניו. את מעט הכתיבה הקיימת בנושא יצוא סייבר התקפי ניתן למצוא בהצעות מדיניות: ההסדר הראוי, לעיל ה"ש 4; תהילה שוורץ-אלטשולר, עמיר כהנא, ורחל ארידור-הרשקוביץ מצע לדיון בוועדת חוץ וביטחון בעקבות פרשת 'פגסוס', 2-1 (26.7.2021) https://www.idi.org.il/media/16676/pegasus.pdf (להלן: מצע לדיון). [6] תומר שדמי "חובות ללא גבולות: יחסי תלות כהצדקה לחיוב תאגידים ומדינות זרות בחובות של זכויות אדם" משפט וממשל כב 93, 95, ה"ש 2 (2021) (להלן: חובות ללא גבולות). [7] שם, בעמ' 123. [8] UN Human Rights Office of the High Commissioner, Guiding Principles on Business and Human Rights, 3 (2011) https://www.ohchr.org/documents/publications/guidingprinciplesbusinesshr_en.pdf. על אף שמדובר בעקרונות מנחים ולא בכללים מחייבים, הם יוצרים מתווה לפיו על מדינות לפעול על מנת למלא את חובותיהן תחת המשפט הבינלאומי. עקרונות מנחים אלו חלים ביחס לזכויות אדם בתוך המדינה, אולם באמצעות אמנות וחקיקה, ניתן להחילם גם מחוץ לטריטוריה של המדינה. ראו בעמ' 4. [9] סעיף 1 לחוק. [10] עוזי עילם "הפיקוח על היצוא הביטחוני: תמונת מצב -2007" עדכון אסטרטגי 9, 47, 50-49 (2007). [11] סעיף 2 לחוק. [12] סעיף 14(א) לחוק. [13] סעיפים 15(א) ו-16 לחוק. [14] סעיף 2 לחוק. [15] סעיף 24 לחוק. [16] מצע לדיון, לעיל ה"ש 5, בעמ' 2-1. [17] אבי בר-אלי "ואז הבכיר קם, והודה: אישרנו יצוא נשק שסיכן זכויות אדם – כי זה שירת אותנו" The Marker (4.12.2021) https://www.themarker.com/technation/.premium.HIGHLIGHT-1.10439913. [18] תופעת הדלתות המסתובבות בענייננו מתבטאת במעבר של אנשי ביטחון אשר שירתו בתפקידים בכירים ורגישים, לחברות סייבר התקפי, ובשימוש שהם עושים בקשרים ובידע שצברו בתפקידיהם על מנת לקדם את האינטרסים של החברות הללו אל מול הרשויות. דוגמאות לכך ראו אצל יסמין יבלונקו "מהשב"כ ל-NSO: מינוי נוסף של איש ביטחון לחברת הסייבר התקפי" גלובס (18.2.2020) https://www.globes.co.il/news/article.aspx?did=1001318914. [19] אמיתי זיו "'ואם נדבר עם ביבי, זה יעזור?': מערכת הביטחון היא סוכנת המכירות של הסייבר הישראלי בחו"ל" The Marker (20.7.2021) https://www.themarker.com/technation/.premium-MAGAZINE-1.10014777; הגר רבט "בחסות הממשלה: הצד המכוער של הסייבר הישראלי" כלכליסט (20.7.2021) https://www.calcalist.co.il/local_news/article/rk4oinqro. [20] ההסדר הראוי, לעיל ה"ש 4, בעמ' 8-7. [21] Heejin Kim, Global Export Controls of Cyber Surveillance Technology and The Disrupted Triangular Dialogue, 70 ICLQ 379, 382 (2021); תעשיית הריגול, לעיל ה"ש 2. [22] "בקשת רישיון שיווק ביטחוני" אפ"י http://www.exportctrl.mod.gov.il/Guide/Pages/Step4.aspx. [23] תקנה 1(3) לתקנות הפיקוח על יצוא ביטחוני (פטור מרישיון שיווק ביטחוני), התשס"ח-2008. [24] מאיר אורבך "משרד הביטחון קיצץ בשני שליש את מספר המדינות שחברות הסייבר יכולות למכור להן" כלכליסט (25.11.2021) https://www.calcalist.co.il/calcalistech/article/sjnu1zhof. [25] "הצהרת שימוש משתמש סופי – מוצרי סייבר ומודיעין" אפ"י (6.12.2021) http://www.exportctrl.mod.gov.il/About/Updates/Pages/06122021.aspx. [26] ראו לדוגמה עת"מ (תל אביב-יפו) 28312-05-19 מלקאר נ' ראשת אגף הפיקוח על הייצוא הביטחוני (12.7.2020); בג"ץ 5662/17 זנדברג נ' שר הביטחון (18.11.2019). [27] בג"ץ 1942/21 אגמון ואח' נ' מנכ"ל משרד הביטחון, פסקאות 2-1 (27.6.2021) (להלן: עניין אגמון). [28] שם, פסקה 7. [29] Trey Herr & Paul Rosenzweig, Cyber Weapons & Export Control: Incorporating Dual Use with the PrEP Model, 8 J. Nat'l Sec. L. & Pol'y 301, 303 (2016). [30] אסף גלעד "לא רק NSO: מטא יוצאת למלחמה נגד חברות הסייבר ההתקפי הישראליות" גלובס (16.12.2021) https://www.globes.co.il/news/article.aspx?did=1001394958. [31] Apple sues NSO Group to curb the abuse of state-sponsored spyware, Apple (Nov. 23, 2021) https://www.apple.com/newsroom/2021/11/apple-sues-nso-group-to-curb-the-abuse-of-state-sponsored-spyware/. [32] תהילה שוורץ-אלטשולר "פרשת NSO מטילה עננה על הפרויקט הממשלתי" הארץ (25.7.2021) https://www.haaretz.co.il/captain/net/.premium-1.10019570. [33] הסבר על מנגנוני אכיפה טרנס-לאומיים המופעלים על ידי גורמים שאינם המדינה ראו אצל יוסף ויילר ודורין לוסטיג "פתח דבר: מקום טוב באמצע: מבט תלוי הקשר על המהפכה החוקתית בישראל" עיוני משפט לח, 419, 494-493 (2016). [34] שם; מצע לדיון, לעיל ה"ש 5, בעמ' 18; חובות ללא גבולות, לעיל ה"ש 6, בעמ' 110. [35] יצחק זמיר "ניגוד עניינים בשירות הציבורי" משפט, תרבות, אתיקה, פוליטיקה 225, 246-244 (2009).