มิถุนายน 2565 คาเฮม เกลเฟนด์ (Chaim Gelfand) หัวหน้าฝ่ายปฏิบัติงานกฎหมายของบริษัท เอ็นเอสโอ กรุ๊ป (NSO) เข้าให้การต่อคณะกรรมาธิการไต่สวนเพื่อสืบสวนการใช้สปายแวร์เพกาซัสและสปายแวร์สอดส่องที่ศักยภาพเทียบเท่าในรัฐสภายุโรป (Committee of inquiry to investigate the use of the Pegasus and equivalent surveillance spyware) 

คาเฮมชี้แจงว่า เป็นความเข้าใจผิดเกี่ยวกับ NSO และเทคโนโลยีของ NSO เช่น การใช้งานสปายแวร์เพกาซัสและการเก็บข้อมูลของบุคคลที่ตกเป็นเป้าหมายและ NSO ไม่ทราบด้วยว่า เป้าหมายที่ลูกค้าที่เป็นรัฐบาลกำลังสืบสวนนั้นเป็นใคร จากนั้นจึงตอบคำถามที่ผู้แทนในรัฐสภายุโรป โดยจุดยืนของคาเฮมชัดเจนว่า เขาขอปฏิเสธที่จะตอบคำถามที่เจาะจงหรืออาจทำให้สามารถระบุตัวลูกค้าที่เป็นรัฐบาลหรือหน่วยงานรัฐได้

ในการให้การซึ่งใช้เวลาประมาณสองชั่วโมงครึ่ง แม้บางช่วงจะพยายามอธิบายว่า NSO ไม่ได้เก็บข้อมูลและไม่ทราบข้อมูลของคนที่ถูกเจาะระบบ แต่ก็มีหลายช่วงที่ผู้แทนของบริษัท NSO อธิบายถึงความรับผิดชอบและความสามารถของ NSO ที่จะตรวจสอบการใช้งานของลูกค้าและสั่งยุติการใช้งานสปายแวร์เพกาซัสเพื่อป้องกันการละเมิดสิทธิมนุษยชนได้ ซึ่งเนื้อหาส่วนนี้ถูกใช้เป็นหลักฐานในศาลแพ่งของไทย ในคดีที่จตุภัทร์ บุญภัทรรักษา หนึ่งในเหยื่อของเพกาซัสสปายแวร์ยื่นฟ้องบ NSO โดยพิสูจน์ว่า บริษัทผู้ผลิตสปายแวร์มีความสามารถและมีความรับผิดชอบต่อเหยื่อที่ถูกละเมิดสิทธิด้วย

พัฒนาสปายแวร์เพื่อ “ป้องกันเหตุร้าย” จึงขายให้รัฐเท่านั้น 

การให้การเริ่มต้นที่คาเฮมแถลงคำชี้แจงโดยสรุปว่า NSO ก่อตั้งในปี 2553 และได้รับการพัฒนาเพื่อตอบสนองความต้องการและข้อเรียกร้องของหน่วยงานบังคับใช้กฎหมายเพื่อที่จะหาเทคโนโลยีที่เป็นทางออกในการเก็บรวบรวมข่าวกรองในโทรศัพท์ที่มีการเข้ารหัสข้อมูล โดยมีความต้องการในการทำให้โลกเป็นสถานที่ที่ปลอดภัยยิ่งขึ้นและได้ทำเช่นนั้นมาโดยตลอดตั้งแต่วันแรกที่ก่อตั้ง บริษัทวางหลักการสำคัญสี่ประการ เช่น NSO จะขายผลิตภัณฑ์ให้แต่รัฐบาลเท่านั้น และ NSO ไม่ได้เป็นผู้ใช้งานระบบในการสอดส่องด้วยตัวเอง ผลิตภัณฑ์ของ NSO จะต้องได้รับใบอนุญาตการส่งออกจากรัฐบาลอิสราเอล ที่ผ่านมามีการขยายตัวของการใช้เทคโนโลยีการสื่อสารที่เข้ารหัสข้อมูลของผู้ก่อการร้ายและอาชญากรส่งผลต่อความสามารถของรัฐในการป้องกันเหตุร้ายไม่ว่าจะการก่อการร้ายและอาชญากรรมร้ายแรง เทคโนโลยีของบริษัทได้ช่วยรัฐในการแก้ไขปัญหาเหล่านี้

ในคำชี้แจงสำคัญที่เกี่ยวพันกับแนวทางการต่อสู้คดีของ NSO ในประเทศไทยคือ NSO การปฏิเสธการใช้ การรู้เห็นการใช้และการเข้าถึงข้อมูลของลูกค้า โดยคาเฮมระบุว่า NSO ขายใบอนุญาตใช้งาานเพกาซัสให้แก่หน่วยงานผู้บังคับใช้กฎหมายและหน่วยงานข่าวกรองของรัฐเท่านั้น โดยมีกระบวนการสอบทานทางธุรกิจ (due diligence) ก่อนและอนุมัติการส่งออกโดยรัฐบาลอิสราเอล จำนวนใบอนุญาตนั้นจำกัด (อ่านเพิ่มเติมในสรุปประเด็นข้อ 6.) และมีการทำสัญญา รวมถึงออกแบบอย่างรอบคอบในการอนุญาตเพื่อการใช้ที่ชอบด้วยกฎหมายเท่านั้น นอกจากนี้บริษัทไม่ได้รู้ตัวตนของปัจเจกบุคคลที่รัฐอาจกำลังสืบสวนและไม่รู้ว่าแผนการใดที่รัฐเหล่านั้นพยายามขัดขวาง

สรุปรายประเด็น – วิธีที่ NSO ตรวจสอบลูกค้า สืบสวนไป 25 กรณีและยกเลิกสัญญา 8 ราย

หลังคาเฮมชี้แจงต่อสมาชิกรัฐสภายุโรปและผู้ที่เกี่ยวข้องเสร็จสิ้น สมาชิกรัฐสภายุโรปและผู้ที่เกี่ยวข้องได้ผลัดกันถามคำถามโดยประเด็นที่ถูกถามหลักๆ แบ่งได้เป็นเจ็ดประเด็น ได้แก่ การประเมินก่อนการขายเพกาซัส การบริการหลังการขาย การเข้าถึงข้อมูลลูกค้า การตรวจสอบการใช้งานสปายแวร์ในทางที่ผิด การประเมินหลังการขายเพกาซัส จำนวนใบอนุญาตการใช้งาน และความข้องเกี่ยวของฝ่ายที่สาม รายละเอียดดังนี้

1.     การประเมินก่อนการให้ใบอนุญาต 

คาเฮมระบุว่า ลูกค้าทุกรายที่ NSO ขายสปายแวร์ให้จะต้องผ่านกระบวนการสอบทานธุรกิจ (due diligence) ล่วงหน้า สิ่งที่พิจารณามีประเด็นเรื่องหลักนิติธรรม รวมถึงกฎหมายเฉพาะที่บังคับใช้ในประเทศนั้น NSO มีการใช้มาตรฐานสากลในการจัดระดับประเทศรวมถึงภูมิหลังทางสิทธิมนุษยชนของประเทศเหล่านั้นเพื่อเป็นพื้นฐานในการวัดระดับความเสี่ยง เมื่อเริ่มกระบวนการสอบทานธุรกิจ NSO จะเก็บข้อมูลที่เกี่ยวข้องจากแหล่งข้อมูลสาธารณะและจะทำการตัดสินใจขายให้ประเทศนั้นๆ ทั้งนี้คาเฮมระบุด้วยว่า การทำงานจากการอ้างอิงข้อมูลสาธารณะที่สามารถเข้าถึงได้ไม่มีทางที่จะมีความชัดเจนร้อยเปอร์เซ็นต์และชัดเจนเกี่ยวกับประเทศใดประเทศหนึ่งเป็นการเฉพาะ (“…working based on publicly available information is never going to be 100% clear and clear-cut about a specific country…”)

ภายใต้กฎหมายของอิสราเอล สปายแวร์เพกาซัสเป็นสินค้าควบคุมและจะต้องได้รับใบอนุญาตส่งออก ระบบของอิสราเอลเป็นระบบสองทางที่จะต้องได้ใบอนุญาตทางการตลาดก่อนและหลังจากนั้นจึงจะได้รับใบอนุญาตส่งออก ดังนั้นจึงมีกระบวนการสองขั้นตอนของการตรวจสอบโดยรัฐบาลอิสราเอล 

“Under Israeli law, this is an export-controlled item and therefore we are required to receive export licences. The Israeli system is a dual system where you first have to get a marketing licence and only afterwards you get an export licence. So there are two stages of review by the Israeli Government.”

2.    การบริการหลังการขาย

เกี่ยวกับการบริการที่ NSO ให้แก่ลูกค้าแต่ละราย เมื่อลูกค้าได้สิทธิการเข้าถึงระบบแล้วจะได้รับการอบรมพื้นฐานเกี่ยวกับการใช้งานระบบซึ่งเป็นการอบรมเพียงไม่กี่วัน กิจกรรมที่อบรมได้ทำบนเครื่องทดสอบ ไม่มีการตั้งเป้าหมายไปยังโทรศัพท์จริงระหว่างกิจกรรมอบรม หลังจากนั้น NSO จะให้การสนับสนุนด้านซอฟท์แวร์ คาเฮมระบุว่า เช่นเดียวกับบริษัทซอฟท์แวร์อื่นๆ NSO มีศูนย์บริการถ้าหากมีปัญหาด้านเทคนิคของระบบก็สามารถถามและ NSO จะช่วยในปัญหาทางเทคนิคของระบบ ปัญหาของซอฟท์แวร์ของระบบ การแก้ไข bug และจัดการอัพเกรดระบบให้

“Regarding the services that we provide, each customer, when they get the system, receives a basic training on the use of the system. It’s a training of a few days. All training activity is done on test devices. There’s no targeting of actual phones during those training activities. After that, we provide ongoing software support. Like other software companies, we have a service centre where if there is a technical problem with the system, they can raise a question and we help with the technical issues of the system, software problems with the system, bug fixes, providing upgrades”

3.     การเข้าถึงข้อมูลของลูกค้า

คาเฮม ปฏิเสธการรับรู้การใช้งานหรือการเข้าถึงข้อมูลในระบบของลูกค้า การเข้าถึงข้อมูลเป็นประเด็นหลักที่คาเฮมปฏิเสธตั้งแต่ในคำแถลงที่เขาเตรียมตัวมาแถลงต่อสมาชิกรัฐสภายุโรป โดยสรุปอย่างง่าย คาเฮมอธิบายโดยแบ่งระบบเป็นสองส่วน คือ ส่วนที่เก็บข้อมูลข่าวกรองและส่วนบันทึกการใช้งาน (Audit log) ในส่วนแรก ข้อมูลข่าวกรอง (ที่เอามาจากโทรศัพท์มือถือของเป้าหมาย) จะอยู่บนเซิร์ฟเวอร์ของลูกค้าในสถานที่ตั้งของลูกค้า ซึ่งเข้าใจได้ว่า เป็นประเทศปลายทางที่เป็นผู้ซื้อระบบ ข้อมูลที่ลูกค้าเก็บรวบรวมไม่ได้ถูกเก็บไว้ในคลาวด์ใดๆ และไม่มีฐานข้อมูลร่วมของลูกค้า NSO อีกส่วนหนึ่ง คือ บันทึกการใช้งาน (Audit log) จะอยู่ในเซิร์ฟเวอร์มีรายละเอียดหมายเลขโทรศัพท์ของเป้าหมายที่ถูกโจมตี ซึ่งลูกค้าจะไม่สามารถเข้าไปลบข้อมูลได้  ส่วนหลังนี้มีไว้เพื่อใช้ในการตรวจสอบกรณีมีข้อร้องเรียนการใช้งานสปายแวร์ในทางที่ผิด

จากข้อสงสัยว่า ขั้นตอนการบำรุงรักษาในทางวิศกรรมคอมพิวเตอร์อาจเป็นช่องให้ NSO เข้าถึงข้อมูลของลูกค้านั้น คาเฮมอธิบายว่า NSO ให้บริการการบำรุงรักษาและมีการเชื่อมต่อบางลักษณะในบางส่วนของระบบที่จะทำให้ซ่อมบำรุงได้ แต่ไม่ได้เข้าถึงข้อมูลของลูกค้า  เขาระบุว่า NSO มีมาตรการที่เข้มงวดอย่างมากที่บังคับใช้อยู่เกี่ยวกับการเข้าถึงข้อมูล แม้จะมีบางครั้งที่ลูกค้าต้องการจะให้ข้อมูลกับ NSO เพราะว่าเกิดปัญหาขึ้นแต่ NSO ชัดเจนว่า ในฐานะบริษัท NSO ไม่สามารถรับสิ่งนี้ไว้ได้ ข้อมูลข่าวกรองเป็นข้อมูลที่อ่อนไหว คาเฮมระบุว่า ไม่มีลูกค้ารายใดที่จะอนุญาตให้ NSO เข้าถึง ลูกค้าคงจะไม่ใช้งานระบบที่คิดว่า มีความเสี่ยงที่ NSO จะเข้าถึงข้อมูลที่อ่อนไหวเหล่านั้นได้

“We have in place extremely strict protocols as far as the access to information. And even when customers sometimes want to provide us with information because they have a problem, we make it very clear that this is not something that we as a company can receive….Because, again, this is extremely sensitive information. I think this is clearly evident that none of our customers would allow us to access, they wouldn’t use a system that they thought there was a risk that we would access sensitive information.”

4.     การสืบสวนการใช้งานสปายแวร์ในทางที่ผิด 

กรณีที่มีข้อร้องเรียนเรื่องการใช้งานสปายแวร์ในทางที่ผิด NSO ประกาศว่า จะมีการดำเนินการสืบสวน ซึ่งขั้นตอนนี้จะสัมพันธ์กับการเข้าถึงบันทึกข้อมูลการใช้ (Audit log) ของลูกค้าดังที่กล่าวไปในข้อ 3. คาเฮมเล่าว่า ตั้งแต่ที่เขามาทำงานกับ NSO ประมาณสองปีครึ่ง คร่าวๆ คือ เริ่มตั้งแต่ปี 2563 จนถึงเดือนมิถุนายน 2565 มีการตรวจสอบการใช้งานในทางที่ผิดไปแล้ว 25 กรณี มีบางกรณีที่เสร็จสิ้นแล้วและบางกรณียังดำเนินการสืบสวนอยู่ ที่ผ่านมามีการยุติสัญญากับลูกค้ารวมแปดราย การสืบสวนจะเริ่มจากข้อสงสัยที่ปรากฏขึ้น เขาอ้างว่า “เกือบทั้งหมดมาจากผู้แจ้งเบาะแสของเรา…เรามีอีเมลแจ้งเบาะแส เราได้รับรายงานทั้งผ่านอีเมลแจ้งเบาะแสหรือสิ่งที่เอ็นจีโอหรือสื่อนำมาแจ้งให้เราทราบ สิ่งเหล่านี้เป็นจุดเริ่มต้นของการสืบสวนจากฝั่งของเรา” 

คาเฮมระบุว่า หากมีข้อร้องเรียนขึ้นมา NSO จะมีการตรวจสอบในสองขั้นตอนคือ การตรวจว่า หมายเลขโทรศัพท์ดังกล่าวเคยตกเป็นเป้าหมายหรือไม่และตรวจสอบความชอบด้วยกฎหมาย  ในขั้นตอนแรก NSO จะต้องขออนุญาตจากลูกค้าเพื่อเข้าไปตรวจสอบบันทึกข้อมูลการใช้ว่า หมายเลขโทรศัพท์ที่เป็นเหตุในข้อร้องเรียนดังกล่าวตรงกับเคยใช้งานสปายแวร์เพกาซัสจริงหรือไม่ และหากใช่ มีการใช้สปายแวร์ในวันใด เขากล่าวด้วยว่า จากการตรวจสอบข้อร้องเรียนการใช้งานต่อเอมมานูเอล มาครง ประธานาธิบดีฝรั่งเศส, จามาล คาชอกกี นักสิทธิมนุษยชนชาวซาอุดิอาระเบียและเจฟ เบโซส อดีตซีอีโอของ Amazon ไม่พบว่า เคยมีการใข้งานระบบต่อบุคคลเหล่านี้  (we have stated this publicly before, about President Macron; the issues that came up about Jamal Khashoggi, questions of Jeff Bezos, the system was not used on those numbers.)

ขั้นตอนต่อมา คือ การทำความเข้าใจว่าอะไรคือเหตุผลที่ลูกค้าตั้งเป้าหมายไปยังหมายเลขเหล่านั้น ลูกค้าอาจมีข้อสงสัยอย่างร้ายแรงเกี่ยวกับอาชญากรรมต่อบุคคลนั้น หากสิ่งเหล่านี้ถูกต้องตามกฎหมาย การใช้ระบบเช่นนี้จะไม่ถือเป็นการละเมิดผู้ใช้ปลายทางหรือเงื่อนไขการใช้งานหรือกฎหมายระหว่างประเทศ  คาเฮมระบุว่า หากลูกค้าไม่ยอมให้ความร่วมมือสืบสวน NSO จะทำการปิดระบบ ซึ่งเคยทำมาแล้วและเพิ่งทำเมื่อไม่นานมานี้

คาเฮมระบุว่า สิ่งเดียวที่จะจำกัดความสามารถในการสืบสวนข้อร้องเรียน คือ การที่ลูกค้าปิดระบบ (Shut down) ก่อนหน้าที่ข้อร้องเรียนจะเกิดขึ้น หรือกรณีที่สัญญาสิ้นสุดกับลูกค้ารายนั้นไปแล้ว NSO จะไม่สามารถสืบสวนข้อกล่าวหากับลูกค้าเก่าได้อีก ประกอบกับคำชี้แจงข้างต้นที่ NSO จะต้องได้รับอนุญาตจากลูกค้าเสียก่อนจึงจะสามารถเข้าไปตรวจสอบการใช้งานในส่วนของบันทึกการใช้ได้ หากลูกค้าไม่ร่วมมือก็จะปิดระบบ  

“…..I can say that the one thing that would limit any ability to investigate such a claim would be the fact that if the customer had been already shut down prior to the fact of the claim coming up, because as I said before, to be able to investigate a claim, we would need access to a customer system. And if the customer was already terminated before the allegation came up, we would not be able to investigate further allegations against that former customer again….”

5.     การประเมินหลังการให้ใบอนุญาต 

ในช่วงการถามตอบมีผู้แทนในรัฐสภายุโรปหลายคนถามเรื่องการใช้งานในทางที่ผิดและการสืบสวนที่มีลักษณะการทำงานแบบตั้งรับ คือ จะดำเนินการต่อเมื่อได้รับเรื่องจากนักข่าวและผู้แจ้งเบาะแส รวมถึงการตรวจสอบการใช้งานของลูกค้าที่เป็นคำถามที่ผู้แทนหลายคนตั้งคำถามแต่ยังไม่ได้คำตอบ ประธานคณะกรรมาธิการ จึงถามว่า สิ่งใดที่ NSO ทำเพื่อตรวจสอบว่า ลูกค้าได้ปฏิบัติตามเงื่อนไขการใช้ ไม่ใช่เพียงแค่ในตอนที่ NSO ได้รับทราบการร้องเรียนจากนักข่าว แต่ NSO มีความรู้สึกที่ว่า เป็นหน้าที่ในการดูแลด้วยตัวเองหลังจากการขายผลิตภัณฑ์ด้วยหรือไม่  

คาเฮมตอบโดยสรุปว่า กระบวนการสอบทานทางธุรกิจ (due diligence) ที่ NSO ทำก่อนหน้าการทำสัญญาจะถูกทำซ้ำทุกปีกับลูกค้าแต่ละราย จะมีการทบทวนอีกครั้งว่า ประเทศนั้นๆ มีความเปลี่ยนแปลงหรือไม่ที่เกี่ยวข้องกับหลักนิติธรรมภายในประเทศ ทั้งหมดจะนำไปสู่คำถามที่ว่า NSO จะให้บริการประเทศนั้นๆ ต่อไป มากไปกว่านั้นหากมีรายงานใดๆ ก็ตามที่เกี่ยวข้องกับการเปลี่ยนแปลงหลักนิติธรรมของประเทศ ไม่ว่าจะเป็นการรัฐประหาร หรือการชุมนุมประท้วงขนาดใหญ่ที่กำลังจะเกิดขึ้นในประเทศ จะนำสู่การระงับการใช้งานโดยอัตโนมัติจนกว่าจะสามารถระบุได้ว่า สถานการณ์นั้นไม่ได้เปลี่ยนแปลงฐานที่เคยอนุญาตให้ใช้งาน และระบบไม่ควรตกอยู่ในมือของผู้ที่ยังไม่ได้ดำเนินการสอบทานทางธุรกิจ

“….any sort of report with respect to a change in the country’s rule of law, whether it’s a coup or if it’s large protests that are coming up in the country, will lead to an automatic suspension until such time that we can determine if that situation has not changed and that the system should not fall into the hands of someone who has not gone through due diligence….”

นอกจากนี้ยังมีมาตรการที่ NSO เริ่มนำมาใช้ในช่วงประมาณต้นปี 2565 กับลูกค้าบางราย คือ ขั้นตอนการตรวจสอบที่บริษัทตกลงกับลูกค้ารายนั้น โดยจะสอบถามกับผู้รับผิดชอบในการตรวจสอบลูกค้ารายดังกล่าวเป็นระยะเพื่อเข้าใจาว่า การใช้งานที่ผ่านมาเป็นไปตามกฎหมายภายในประเทศนั้นๆ หรือไม่ ผู้ตรวจสอบเคยพบเห็นสถานการณ์ที่ระบบถูกใช้งานในลักษณะที่ขัดต่อกฎหมายสิทธิมนุษยชนระหว่างประเทศหรือกฎหมายภายในของประเทศลูกค้าหรือไม่

6.     จำนวนการออกใบอนุญาตใช้งาน

คาเฮมอธิบายวิธีการออกใบอนุญาตว่า ลูกค้าจะได้จำนวนใบอนุญาตในการเจาะเป้าหมายเป็นการเฉพาะในเวลาเดียว จำนวนดังกล่าวมักจะเป็นตัวเลขหลักเดียวหรือสองหลักต่ำๆ ซึ่งบางครั้งจะขึ้นอยู่กับการที่ลูกค้าร้องขอ แต่คำร้องดังกล่าวนั้นจะต้องถูกตรวจสอบจาก NSO เพื่อให้แน่ใจว่า จำนวนใบอนุญาตสอดคล้องไปกับประเทศนั้นๆ พิจารณาจากขนาดของประเทศ ปริมาณภาระงานความรับผิดชอบของหน่วยงานรัฐบาล หน่วยงานนั้นมีความรับผิดชอบกว้างๆ ในการต่อต้านปราบปรามอาชญากรรมหรือไม่ หรือเป็นหน่วยงานที่รับมือกับประเด็นเฉพาะ จำนวนใบอนุญาตจะรวมเป็นส่วนหนึ่งของกระบวนการสอบทานทางธุรกิจ (due diligence) การใช้งานพอสรุปความได้ว่า หากรัฐบาลหรือหน่วยงานหนึ่งได้รับใบอนุญาตห้าใบจะทำให้เจาะโทรศัพท์พร้อมกันได้ห้าเครื่องในเวลาเดียวกัน และเมื่อยุติหรือลบการสอดส่องโทรศัพท์เหล่านั้นแล้ว จึงสามารถเจาะโทรศัพท์เครื่องอื่นอีกห้าเครื่องได้

“The number of licences are concurrent, which means that a customer can, if he has five licences, it means he can target at one given time five phones. Once it has removed the surveillance on those phones, it can then target another five phones.”

7.     มีบุคคลที่สามเข้ามาเกี่ยวข้องอีกหรือไม่

ระหว่างการไต่สวน Bartosz Arłukowicz  ผู้แทนจากโปแลนด์สอบถามในประเด็นการเข้ามาเกี่ยวข้องของบริษัทเอกชนในการซื้อขายสปายแวร์เพกาซัส เขาระบุว่า มีรายละเอียดใบแจ้งหนี้จากบริษัทเอกชน คาเฮมตอบว่า “หน่วยงานรัฐบาลเป็นผู้ใช้ปลายทาง (End-user) เสมอ การติดตั้งของระบบอยู่ที่หน่วยงานของรัฐบาลเสมอ มีบางครั้งที่จะมีบุคคลที่สามสำหรับการค้าขาย (Commercial third parties)  ที่จะเข้ามาเกี่ยวข้องในการทำธุรกรรมด้วยเหตุผลในด้านความปลอดภัย บ่อยครั้งที่บุคคลที่สามนี้จะทำหน้าที่เป็นตัวกลางระหว่าง NSO และรัฐบาลในด้านเกี่ยวกับสัญญา พวกเขาไม่เคยได้รับระบบ พวกเขาไม่มีสิทธิในการเข้าถึงระบบ พวกเขาทำหน้าที่ในด้านพาณิชย์เท่านั้น และระบบจะติดตั้งโดยผู้ใช้ปลายทางและใช้โดยผู้ใช้ปลายทางเท่านั้น 

คาเฮมอธิบายว่า บริษัทของเราจะเป็นผู้ติดตั้งระบบในสถานที่ของผู้ใช้ปลายทาง และอีกครั้งอย่างที่ได้กล่าวไปบริษัทเอกชนสามารถเข้ามาเกี่ยวข้องได้บางครั้งในแง่มุมทางพาณิชย์ของการขายอันเป็นส่วนหนึ่งของการตลาด แต่ไม่ได้รับระบบหรือสิทธิในการเข้าถึงระบบ ใบรับรองของผู้ใช้ปลายทาง (End-user certificate) ถูกลงนามโดยรัฐบาลและส่งให้แก่รัฐบาลอิสราเอลในฐานะข้อผูกพันระหว่างรัฐบาลต่อรัฐบาล”

“the government agencies are always the end user. The installation of the system is always at the government agency. There are sometimes commercial third parties that are involved in the transaction for reasons of security aspects. These commercial third parties will very often be in between as an intermediary between NSO and a government on the contractual side of things. They never receive the system itself, they do not have access to the system. They’re acting only on the commercial aspects and the system itself is installed by the end user and is only used by the end user. It’s installed by our company in the end user’s facility. And again, as I said, a private company can be involved sometimes in the commercial aspects of the sale as part of the marketing, but does not receive the system or access to the system. The end-user certificate is signed by the government and provided to the Israeli Government as a government-to- government commitment.”