Please ensure Javascript is enabled for purposes of website accessibility
duns100_2023

תִּעדוף בקרב רשויות החוק

אולי מוטב שהמשטרה וחברותיה לרשויות החוק תשקענה יותר משאבים בשיפור מערכות אבטחת המידע שלהן מאשר ברדיפה מיותרת אחרי גולשי אינטרנט תמימים?

 עו"ד איל רונת*

 11.4.13

אך לפני מספר ימים פקדה את מחוזותינו "מכה" נוספת של מתקפת סייבר, במסגרתה הצליחו גורמים עוינים לחדור למערכות מחשוב, לפרוץ לאתרים ישראליים, להשתלט על חשבונות של משתמשים ישראליים ברשתות חברתיות ועוד.

 אומנם, המכה לא כיסתה את שדותיה הווירטואליים של מדינתנו כפי שעשתה מכת הארבה במצרים, אך נדמה, כי לא ירחק היום.

 מתקפה זו, אשר גרמה לשיבושים לא מעטים ואף לנזקים, היה בה כדי לשמש תזכורת נוספת לרשויות בדבר הצורך לשפר את רמת אבטחת המידע במערכות השונות, באתרים רגישים ובכלל "ישראל הממוחשבת והמרושתת".

 נדמה, כי אין צורך להיות מומחה לאבטחת מידע או נושא משרה בממשלתנו הטרייה כדי להכיר בכך, כי במדינה כמדינת ישראל, לרמת אבטחת המידע ברשת בכלל ובמערכות המחשב הממשלתיות בפרט משנה חשיבות.

 בימים כאלה, לנו, הציבור, נותר רק לקוות כי האמונים על שמירת רמתה של אבטחת המידע כאמור ועל שיפורה אכן משקיעים את מלוא מרצם, מאמציהם ומשאביהם במלאכה חשובה זו.

 ואולם, לעיתים נדמה, כי המאמצים והמשאבים הללו מופנים לכיוונים אחרים.

 ביום 2.11.12 המהדורה המרכזית של חדשות ערוץ 2 הביאה לתשומת ליבו של הציבור הישראלי עניין חשוב ביותר, במסגרת כתבתו של גיא פלג שנשאה את הכותר "ההאקר של בתי המשפט מדבר" (הכתבה המלאה בקישור המצורף להלן – )

http://www.mako.co.il/news-law/legal/Article-068900d5ca2ca31004.htm.

 דא עקא, שהנחת היסוד של "המערכת" לא פסחה אף על חברת החדשות של ערוץ 2 בעצמה, בבוחרה את השם לכתבה – "ההאקר של בתי המשפט מדבר" (ההדגשה שלי, כמובן).

די בצפייה לא מעמיקה בכתבה או היכרות בסיסית עם מערכות המחשב נשוא כתבה זו כדי להבין, כי "כוכב" הכתבה אינו "האקר" כלל ועיקר, כי אם משתמש אינטרנט סביר ו"רגיל". נדמה, אם כן, כי הכשל המאפיין את מערכת בתי המשפט ואת הרשויות האמונות של שמירת שלטון החוק במדינתנו בהיבט זה דבק מעט אף בתקשורת, הגם שזו ביקשה לשרת את הציבור בהצגת כשל זה של הרשויות בנימה ביקורתית דווקא.

 מהו "האקר"?

למעשה, כיום מקובלת בעולמנו פרשנות שגויה קמעא למונח זה, שמקורה בהתפתחויות הטכנולוגיות של עולמנו המודרני בשנים האחרונות. במקור, האקר = אדם שמשתמש בכישוריו בתחום המחשבים כדי לבדוק את יציבותה של תוכנה ו/או של מאגרי מידע, במיוחד בהיבט המיגון שלה, מה שכולנו מכירים כיום כחלק מרבדיו החשובים של תחום אבטחת המידע. ואולם, הפירוש הניתן על-ידי רובנו ככולנו למונח הוא זה העוקב אחר משמעות המונח "קראקר" (Cracker), מלשון המילה "crack", דהיינו, פיצוח, פריצה: אדם המשתמש בכישוריו בתחום המחשבים והאינטרנט לצורך פריצה לאתרי אינטרנט ו/או לתוכנות ו/או למאגרי מידע, בדרך-כלל, תוך שהוא מבצע עבירה על החוק (וברוב המקרים, עבירות נוספות על עבירת הפריצה עצמה).

 גם אלו שאינם בקיאים במונחים הללו ושלהם אין מושג קלוש בתחום יבחינו בנקל, כי בין המתואר בכתבתו הנזכרת לעיל של גיא פלג ובין עבירה על החוק אין דבר וחצי דבר.

המתואר בכתבה – ולצורך העניין, אין נפקא מינא אם מדובר במר משה הלוי, המרואיין בה, או באדם אחר כלשהו – מתעד שימוש סביר וטריוויאלי ברשת האינטרנט, הכוללת, בין היתר, אתרים של רשויות החוק ומערכת המשפט הישראליות, הפתוחים והנגישים לעיני כל.

 אין בכוונתי לחזור ולספר את הסיפור המתואר בכתבה, אך בקליפת אגוז, מדובר באזרח תמים, אשר נקלע מספר פעמים בשנים האחרונות להליכי חקירה משטרתיים כחשוד בביצוע עבירות מחשב ועבירות פליליות, כאשר "פשעו" היחיד היה, לכאורה, שניצל את הנגישות היתרה שמציעים אתרי מערכת המשפט הישראלית ברשת האינטרנט, כך שעיין במסמכים חסויים ומסווגים ולעיתים אף שמר אותם על מחשבו האישי – כפי שמאפשר כל אחד ואחד מהאתרים הללו.

 דבריי אלו מבוססים, כמובן, על הצפייה בכתבה המשודרת ולא על מידע "פנימי" כלשהו הנוגע למקרה. יובהר בזה, כי איני בקיא בפרטי החקירה עצמה, אולם, לית מאן דפליג, כי מדובר באדם שעיין במסמכים נגישים ברשת האינטרנט ככל אדם מן היישוב – ובלשון התואמת יותר את עולם האינטרנט, כ"משתמש קצה" פשוט ורגיל. מר הלוי לא הפעיל כישורים מיוחדים בתחום המחשבים או המידענות, לא הפעיל תוכנה כלשהי לאיתור המידע הרגיש שמצא, לא "רובוט" וירטואלי ואף לא כל כלי אחר. לטעמי, מדובר במקרה שאף נתקשה לתאר כ"פרצה הקוראת לגנב", שכן, לא מר הלוי ולא אף גולש אחר כלשהו – לו היה מתעניין בכך – נדרש לבצע פעולה מיוחדת כלשהי בכדי להגיע למידע המסווג, שמקומו, לדידנו, אינו ברשת החשופה והפתוחה. רוצה לומר, שאין מדובר לא ב"פרצה" ולבטח לא ב"גנב", שכן כדי להגיע למידע, מהגולש התמים במקרה המתואר כלל לא נדרש לזהות "פרצה" או לנצל פרצה כלשהי "לרעה".

 רק כדי להבהיר, דבר החיקוק המרכזי הנוגע ל"האקינג" בישראל, הלא הוא חוק המחשבים משנת 1995, מגדיר "חדירה לחומר מחשב" כ"חדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו", כאשר החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו, על פי חוק זה, הוא שלוש שנות מאסר (סעיף 4 לחוק). כן קובע החוק, בסעיף 5, כי "העושה מעשה אסור" לפי הסעיף האמור כדי לעבור עבירה לפי כל דין, דינו – מאסר 5 שנים.

אין ספק, כי מדובר בעבירות חמורות, שהמחוקק אף בחר לקבוע עונשים כבדים בצידן.

ואולם, "חדירה לחומר מחשב", כלשונו של החוק, אינה כל כניסה לאתר אינטרנט כזה או אחר, לבטח כאשר עסקינן במידע החשוף והנגיש לכל עין ברשת האינטרנט. למדקדקים שבינינו, אוסיף ואציין, כי המחוקק הישראלי אף לא קבע בחקיקה אחרת כלשהי כי שליפת מידע מרושת ונגיש בנסיבות כאלו או אחרות תיחשב לעבירה פלילית הנושאת עונש בצידה.

במילים אחרות, כל עוד השימוש הנעשה במחשב וברשת אינו שימוש בלתי חוקי כשלעצמו, אין מעשיו של המשתמש, לפי דיני ישראל, נכנסים לגדרי העבירה הפלילית הקבועה בחוק.

 צפייה בכתבתו המעניינת של גיא פלג מעלה את השאלה, האם לא מוטב שהרשויות האמונות על שמירת החוק במדינה תגֵבנה להתפתחויות הרבות שבתחום האינטרנט והמחשבים, המציפות אותנו בקצב שלא יתואר, הכל בד בבד עם התגברותה של תופעת ה"כפר הגלובאלי" מחד – ולהתפתחויות הרבות בתחום אבטחת המידע (או, ייתכן ויש לומר, היעדר אבטחת המידע) מאידך? האם לא נכון יותר, כי הן תשקענה את מיטב משאביהן בשיפור מערכות המיגון של מאגרי המידע שברשותן מאשר תבזבזנה אותם המשאבים על הליכי חקירה ומשפט כנגד גולשי האינטרנט המשתמשים ברשת באופן חוקי וללא כל שמץ של מחשבה פלילית או מעשה פלילי?

 נדמה כי התשובה לשאלה זו ברורה.

 בעידן הטכנולוגי בו אנו חיים, בו הכל ממוחשב ומרושת, לכל מידע עדין, חסוי ורגיש יש "נציגות" ברשת האינטרנט – אם באופן מוסדי ורשמי ואם באופן בלתי פורמאלי ופרטי; בעידן בו אנו נהנים מהיכולת לשלוף מידע כמעט על כל אדם, מוצר, עסק או עניין באמצעות הרשת ואף לבצע כמעט כל פעולה באופן מקוון; בעידן בו הפרטים האישיים של רובנו, לרבות פרטי חשבון הבנק וכרטיסי האשראי ומידע אישי, פרטי ועדין מסוגים אחרים נמצאים במאגרי מידע כה רבים ברשת; בעידן בו  אנו עדים חדשות לבקרים למקרים כגון "ההאקר הסעודי" וכיוצא באלה – נדמה כי הדרישה מרשויות השלטון בכלל, ומאלו הקובעות את גורלם של אזרחי המדינה במסגרת מערכת החוק והמשפט בפרט, למנוע זליגתו של מידע אישי או חסוי, בדרך של שיפור מערכות המיגון הרשתי והממוחשב, היא דרישה לא רק לגיטימית, כי אם בסיסית ומחויבת המציאות.

 ביקורת רבה נמתחת מדי יום ביומו על רמת האבטחה הירודה באתרי אינטרנט ישראליים, על ענפיהם השונים, רמה שזכתה לא פעם ולא פעמיים אף לכינויים כגון "עלובה" ו"מתחת לכל ביקורת". מחד גיסא, כפטריות לאחר הגשם מוקמים בישראל בתי ספר ומכללות בתחום אבטחת המידע, תחום בו נציגי מדינתנו הקטנה אף מובילים בקנה מידה בינלאומי (רק כדי לסבר את האוזן, לפי מקורות יודעי דבר, שוק אבטחת המידע בישראל צומח בשנים האחרונות בקצב מסחרר וערכו נכון להיום מוערך בכ-360 מיליון דולר לשנה!). מאידך גיסא, אנו עדים ל"בטן רכה", לכשלים, לפרצות ול"מפגעים" בתחום זה דווקא בקרב אתרי האינטרנט של האוחזים בהגה – רשויות השלטון של המדינה. לטעמי, מדובר בתופעה שאין הדעת סובלתה.

 איני יודע מה איתכם, אבל יותר מהאפשרות של ביצוע רכישת מצרכים בסוּפר בדרך של "שירות עצמי" בקופות אישיות וייעודיות, תוצר נוסף של רמת הקידמה הטכנולוגית של מדינת ישראל בתחום המחשב והרישות, לי, באופן אישי, חשוב יותר כי כל מידע "רגיש" ופרטי שלי, של בני משפחתי, חבריי ושל כל אחד ואחת מאזרחי המדינה לא יהיה נגיש וחשוף לכל דיכפין.

 מוטב כי אזרחי ישראל יזכו לאבטחת מידע יותר מאשר ל"הבטחת מידע".

 מוטב כי "הסוסים הספארטנים" שבשורותינו יזקפו קומה, לפני הופעתו של הסוס הטרויאני הבא, הלא-כן?

 * הכותב נמנה על צוות עורכי הדין במשרד עו"ד גיא אופיר, משרד המתמחה, בין היתר, בדיני מחשבים ואינטרנט, אבטחת מידע והיי-טק.

כתיבת תגובה