אחת התשובות של NSO לטענות שמעלים נגדה מבקריה היא ההליכים הפנימיים הרחבים שיצרה החברה כדי למנוע שימוש לרעה בתוכנת הריגול שלה, פגסוס. החברה הצהירה, בהזדמנויות רבות, שיצרה מנגנונים רבים שנועדו למנוע מכירה של פגסוס למדינות או לקוחות שעשויים לעשות בה שימוש לרעה, ושאם יש חשד לשימוש שכזה יש לה הליכי חקירה מגובשים שיכולים לבדוק את הטענות ובמקרה הצורך גם לנתק לקוחות מהמערכת. אבל שני פרסומים מהימים האחרונים שבים ומעוררים ספקות מהותיים לגבי אמינות וחסינות הליכים אלו, הן לפני המכירה והן בתגובה לתלונות על שימוש לרעה.
אין לנו דרך לדעת איך דורגה תאילנד. NSO לא מפיצה מידע זה. אבל ההתרחשויות במדינה בעשור האחרון מצביעות על כך שהיא לא אמורה להנות מדירוג חיובי במיוחד. ב-2006 התרחשה בתאילנד הפיכה צבאית כשברקע טענות לשחיתות נגד הממשל. ב-2014 (השנה שבה דווח לראשונה על ראיות לכך שתאילנד משתמש בפגסוס) בוצעה הפיכה צבאית נוספת. ב-90 השנים האחרונות, אגב, היו במדינה לפחות 12 הפיכות מוצלחות ולפחות 7 כושלות. לא בדיוק מודל ליציבות והמשכיות שאמורות להיות שיקול חיוני בהחלטה האם לספק למדינה כלי ריגול עצמתי.
בחירות שנערכו שם ב-2019 לא כיננו מחדש את הדמוקרטיה הפרלמנטרית אלא הציבו בעמדות כוח את מתכנני ההפיכה הצבאית. השנים שמאז אופיינו במחאות ציבוריות סוערות. אלו דוכאו לא פעם באלימות על ידי הממשל, שמבצע מעצרים המוניים על בסיס האשמות כמו העלבת משפחת המלוכה. במקרה אחד, פעיל פרו-דמוקרטי נידון ל-150 שנות מאסר על בסיס האשמות אלה ומאז 2014 לפחות תשעה אקטיבסטים גולים נעלמו בעת ששהו במדינות סמוכות.
בכל הנוגע לפעילות מקוונת, מאז 2006 נחקקו שם חוקים המתירים למשטרה להחרים מחשבים וקבצים מקוונים של חשודים בהפצת מידע פורנוגרפי. בפועל, משמש החוק לרדיפת אקטיבסטים. למשל, עובד ממשל לשעבר שבינואר 2021 הורשע ב-29 סעיפים של פגיעה בכבוד משפחת המלוכה בעקבות קליפים מעליבים לכאורה שהעלה לרשת. הוא נידון ל-87 שנות מאסר, שהומתקו מאוחר יותר ל-43 שנה. החונטה הצבאית גם ביצעה מהלכים שנועדו להגביר את השליטה שלה על תעבורת הרשת או למסד את המעורבות שלה בהליכים פוליטיים במדינה.
לפי הדו"ח של סיטיזן לאב מאתמול, התקיפות נגד האקטיבסטים בתאילנד בוצעו בין אוקטובר 2020 לנובמבר 2021. רוב המידע שלעיל היה ידוע זמן רב קודם לכן, אינו סודי או קשה לגילוי בשום צורה. תאילנד היא מדינה לא יציבה מבחינה פוליטית, שנשלטת על ידי חונטה, מפעילה דרך קבע אמצעי דיכוי מקוונים ולא מקוונים נגד פעילים פוליטיים ומקימה מערכות מעקב המוניות שנועדו לדכא אוכלוסיות מוחלשות. כל אדם בר-דעת שיראה זאת יעלה ספקות לגבי החכמה שבמכירת כלי ריגול עצמתי דוגמת פגסוס למדינה שכזו ויחשוש מהשימושים השליליים שעלולים להתבצע בו.
ובכל זאת NSO בחרה, לכאורה, בתאילנד כלקוחה שלה, וכנראה כם המשיכה לשמר אותה כלקוחה. למרות מגנוני הבדיקה והאימות המשוכללים שעליהם היא מדווחת, למרות הליכי איסוף המידע והדירוג הקפדניים, היא המשיכה למכור לה את פגסוס. כל זה מעלה את השאלה: מה שווים מנגנונים אלה? עד כמה הם אמינים ורציניים? אי אפשר שלא לתהות האם לא מדובר באחיזת עיניים, במצג שווא שנועד להדוף ביקורת אך אין שום תוכן בבסיסו?.
הפרסום השני מערער את מנגנון החקירה שעליו מצהירה NSO. לפי החברה, במקרה שמתקבלת תלונה על שימוש לרעה היא מפעילה צוות ייעודי של חוקרים שפועל לפי הליך מוגדר היטב. הליך זה כולל הליכי הערכה ושיחה עם הלקוח הרלוונטי, איסוף וניתוח מידע (בין השאר, באמצעות בקשת וקבלת גישה לבסיס נתונים פנימי במערכות הלקוח שלפי NSO רק לה יש גישה אליו), בדיקה האם הלקוח פגע בעבר בזכויות אדם ועוד. בסיומו היא יכולה להתקבל החלטה על ניתוק הלקוח. ב-2020, דיווחה החברה בדוח השקיפות שלה משנה שעברה שהיא ביצעה 12 חקירות לבחינת שימוש לרעה במוצריה.
ארגוני זכויות אדם מתחו בעבר ביקורת על אמינות תהליך זה, כאשר תגובה מקובלת של NSO היא שהיא מתקשה לחקור ללא שיתוף פעולה של הקרבנות לכאורה. בארגון Human Rights Watch (HRW), למשל, החליטו ללכת עם החברה עד הסוף ולשתף פעולה באופן מלא בחקירה האם מנהלת אזור המזרח-התיכון וצפון-אפריקה בארגון, לאמה פאקיח, היתה קרבן של פגסוס ומצד מי.
בעקבות החשיפה פנה HRW ל-NSO וצירף ראיות שתומכות בכך שפאקיח הותקפה על ידי פגסוס. לטענת הארגון, החברה התחייבה לבצע "הערכה ראשונית" כדי לקבוע האם יש צורך בביצוע חקירה. תשובה התקבלה רק ב-27 ביוני, כחמישה חודשים אחרי הפנייה לחברה. חמישה חודשים לביצוע הערכה ראשונית בלבד, אפילו לא חקירה מלאה. תקופה שבמהלכה יכולים התוקפים להמשיך במעקב באין מפריע או להעלים ראיות שיאפשרו לקשור אותם לתקיפות. לא ברור מה בדיוק כללה ההערכה הראשונית של החברה או למה נדרש זמן רב כל כך כדי להשלים אותה, אך קשה להצדיק תקופת זמן ארוכה כל כך רק כדי לקבוע האם בכלל יש צורך לפתוח בחקירה.
גם התשובה שקיבל הארגון מ-NSO היתה רחוקה מלהיות מספקת. "הנושא נחקר כמיטב יכולתנו על סמך המידע שסיפקתם", ענה היועץ המשפטי וסגן נשיא NSO לציות, חיים גלפנד, לפי דיווח של HRW. "לא ראינו ראיות לכך שהמספר של מיז פאקיח, שסופק, טורגט על ידי מערכת פגסוס באמצעות הלקוחות הקיימים שלנו". כתב, ולא יוסיף.
גלפנד הוא פרקליט – ולפי כל הסימנים מוכשר ביותר. כשהוא כותב משהו, הוא בוחר את מילותיו בקפידה רבה. לכן ראוי לשים לב לכמה דברים בתגובתו, לכאורה קטנים אך בעלי משמעות. ראשית, הוא אומר "לא ראינו ראיות". ראינו זו בחירה מעניינת, פועל פסיבי במיוחד. מדוע לא כתב גלפנד ש-NSO לא מצאה ראיות? או שמאמצי החקירה שלה לא חשפו ראיות? זה מאוד קל לא לראות ראיות. כל אחד יכול לעשות את זה.
כמו כן, יש לשים לב להתייחסות גלפנד לכך שבדיקת NSO בוצעה על סמך המידע שסיפק HRW. הוא לא מלין על כך, לא מציין שהארגון סירב להעביר מידע, לא מבקש מידע נוסף ולא אומר שהיה נחוץ מידע חדש לצורך הבדיקה. במקרה זה, NSO תתקשה להתחבא מאחורי טענה זה.
"התשובה הלא מועילה של גלפנד רק מדגישה את חולשת התהליך הפנימי של NSO", אמרו ב-HRW. "פירוש אחד של תגובת NSO יכול להיות שלקוח לשעבר תקף את פאקיח, אבל החברה לא מפרסמת רשימת לקוחות שהחוזים אתם בוטלו. הסבר אפשרי אחר הוא ש-NSO התבססה על מידע לא מלא, כי החקירה תלויה בשיתוף פעולה של הלקוח. התשובה הריקה של NSO לאור שיתוף הפעולה המלא של Human Rights Watch מדגישה שאי אפשר לסמוך על החברה, ושאולי אפילו אין לה את היכולת לחקור את עצמה".
שני המקרים מדגימים בצורה מובהקת את חולשת התהליכים והמנגנונים הפנימיים של NSO. היא לא יכולה לזהות מראש מדינות שקיימת ודאות גדולה שיעשו שימוש לרעה במוצרים שלה ואין לה דרך אפקטיבית לחקור שימוש לרעה משעולה חשד לכזה. כל זה מביא למסקנה כמעט מתבקשת: המנגנונים האלה הם אחיזת עיניים שנועדה להוריד את הלחץ מהחברה ולא יותר.
מ-NSO נמסר בתגובה: "הבחירה המגמתית של גופים בעלי אג׳נדה פוליטית מובהקת לייצר שוב ושוב כותרות סנסציוניות באותם כלי התקשורת אך ורק על בסיס שמועות ומעשיות שקריות וחסרות כל בסיס פורנזי, ועל בסיס פרשנויות מעוותות לאמת ולמציאות, בעוד החברה ממשיכה לפתח טכנולוגיות מצילות חיים, אינה מצדיקה כל התחייסות רצינית".
