חדירה לחומר מחשב מהווה עבירה פלילית ולפיכך אין מקום להתייחס אליה בסלחנות. נראה כי הדעה לפיה עבריינות "קלאסית" חמורה יותר מעבריינות "וירטואלית" פסה לאיטה מן העולם בימים בהם האקר מחשבים ממוצע בשנות התבגרותו הראשונות עלול להסב נזק בן מאות מיליוני דולרים בלחיצת כפתור.
עם זאת, חשוב לערוך את ההבחנה המתבקשת בין עבריינות מחשבים לבין "לימוד" מחשבים. בתקופה המודרנית נראה יותר מתמיד כי לימודי התחום אינם מתבססים עוד על לימוד פרונטלי כבימים עברו, אלא על התנסות אקטיבית באמצעות שיטוט במערכות מחשב ובאינטרנט. האינטרנט נועד מלכתחילה לאפשר אינטראקציה שכזו, וספק אם גם במקרים בהם לא היתה הכוונה לכך יש למונעה.
לפיכך קיים צורך לערוך הבחנה בין פעילות הנלווית ללימוד והכרה של מערכת מחשב, לבין כזו המיועדת לחדור ולהסב לה נזק. בעוד ראוי כי זו הראשונה תוגדר לרוב כלגיטימית הרי שאין ספק כי האחרונה ראוי לה שתזכה לייחס של עבריינות במלוא חומרתה.
הבעיה היא שבמקרים רבים נכשלים בתי-המשפט בהתמודדות עם מורכבות סוגיות אלה בשל מחסור בידע ובהבנה טכנית נדרשת. מערכת המשפט מצויה עדיין בראשית דרכה בהבנתה ובהתייחסותה לעבריינות הוירטואלית.
ניסה לחדור לאתר "המוסד"
במקרה שמצא דרכו לערכאות, ערך בית-המשפט את ההבחנה הטכנית והמהותית הנדרשת בעניין זה. באותו מקרה הוגש כתב אישום נגד נאשם, במסגרתו נטען כי הוא ניסה לחדור לחומר מחשב באתר האינטרנט של "המוסד". עוד נטען בכתב האישום כי זממו לא עלה בידו מכיוון שהאתר היה מוגן.
בית-המשפט התייחס בפסק-דינו לשתי הגישות הרווחות לגבי שאלת החדירה למחשב. הגישה האמריקאית צרה יותר ומתירה "דו-שיח חופשי" בין מחשבים באינטרנט. בעניין זה מתירים הפסיקה והחוק האמריקניים עקרונית מעין חדירה לשם קיום אינטראקציה מוגבלת בין מחשבים, והיא אסורה רק אם היא מלווה בשימוש לא מורשה או גרימת נזק למחשב. יתירה מזו, במשפט האמריקאי יש צורך גם בכוונה לעבור עבירה וגם בכך יש הרחבה.
הגישה האירופית, לעומת זאת, רחבה יותר ואומרת כי עצם החדירה למחשב אסורה - בלא קשר לגרימת נזק.
בית-המשפט קבע בענייננו כי פרשנות סבירה של לשונו הברורה והחד-משמעית של סעיף החוק הישראלי מלמדת כי עצם החדירה למחשב אסורה. בעניין דומה כבר נקבע בעבר כי מחיקת חומר מחשב אסורה מבלי קשר לשאלת גרימת הנזק. נקבע, כי במשפט הישראלי אין צורך שהחדירה תהיה מלווה בנזק כלשהו.
לאחר מכן בחן בית-המשפט את הגדרת המושג "חדירה" וחוסר הבהירות בהגדרת המונח חדירה למחשב. נקבע, כי "חוק המחשבים חוקק בתקופה בה הייתה סביבת העבודה שונה. בתקופה הטרום-אינטרנטית ואף מעט אחריה, כל התקשרות עם מחשב הייתה באמצעות הכנסת שם משתמש כלשהו שגובה בסיסמת כניסה. כדי להתחבר היה צורך להתקשר, להזין שם וסיסמא ואז ורק אז הופעל החיבור. בתקופה זו, היה ברור מהי חדירה. חדירה הייתה בעצם עקיפה של הצורך בשם וסיסמא, בדרך כלל, על ידי שימוש בשמות וסיסמאות של אחרים. לא היה לכן כל צורך מיוחד להסביר את המונח חדירה.
"המצב הטכנולוגי כיום שונה בהרבה. מחשבים מקושרים ומתקשרים ביניהם כיום בדרכים משונות. דואר אלקטרוני, החלפת תכנים אוטומטית, קבצי מוזיקה המוצעים לכל, שידורי רדיו וטלוויזיה דרך האינטרנט, מצלמות רשת בזמן חי, ויישומים שונים ורבים אחרים זמינים לשימוש. חלקם אף פועלים באופן אוטומטי כמעט ובשקוף למשתמש. במצב מעין זה של פעילות מתמדת, רוחשת, ושוקקת, לא ברור תמיד מהי חדירה מותרת, מהי חדירה חצופה, ומהי חדירה שלא כדין".
הקשר בין המוחשי לווירטואלי
בית-המשפט דן אף בדעות של מלומדים הגורסים כי יש לערוך הבחנה מוחלטת בין העולם המוחשי לבין העולם ה"וירטואלי" כדי למנוע את הגבלת התנועה והמוביליות המובנית בו. לדעתי, לא ניתן לקבוע כי רק חדירת אמצעי אבטחה כלשהו תיחשב כחדירה, כפי שלא ניתן לנתק לחלוטין כל קשר בין העולם המוחשי לעולם הוירטואלי - ממש כפי שהעדר נעילת דלתו של בית אין משמעה כי כל עובר אורח מוזמן להיכנס אליו, לשוטט בו לעשות בו ככל העולה על רוחו.
המוביליות המובנית ברשת כל משמעה הינו כי חדירה רנדומלית ל"דלת פתוחה" אינה "חדירה" פלילית. אין לייחס לה משמעות לפיה חדירה מכוונת לרכוש הפרט, מוגן או לא, תהנה מפטור גורף מאחריות. עם זאת, כל עוד קיים ספק באשר לסיבת החדירה או לאפשרות כי זו בוצעה שלא בצורה מכוונת ומתוך כוונה לפגוע בקניינו ובפרטיותו של הבעלים - הרי שעליו לשמש לטובת הנאשם.
לבסוף קבע בית-המשפט בענייננו, כי "אין אפשרות לקבוע באופן מוחלט כי בדיקת אבטחת אתר היא תמיד אסורה או תמיד מותרת. הסיווג המשפטי כמותר או אסור תלוי בנסיבות הספציפיות שבהן נעשתה הבדיקה, במטרה שבשלהן נעשתה, ובכוונתו של הבודק. אין כל אפשרות לנתקה מהן. ונדגיש, הכוונה היא לבדיקת אבטחה ולא לחיפוש חורי אבטחה כשלב מקדים לחדירה לא חוקית.
השופט אמר עוד, כי "ישנה תועלת חברתית בכך שאתרי אינטרנט ייבדקו על ידי הגולשים ויוזהרו על ידם אם מצאו הללו פרצות כלשהן. יתירה מזו, הייתי מעז לומר שאין כל פסול שגולשים יפרסמו ברבים אתרי אינטרנט (ובעיקר שרתי אינטרנט) שאינם מאובטחים. אם רשימה כזו תפורסם ברבים, יהווה הדבר תמריץ וזרז לאחראים לתקן את חורי האבטחה שלהם. גולשים הבודקים את פגיעותם של אתרים פועלים במידה מסוימת לטובת הציבור ואם עושים זאת הם בכוונה טובה וללא להזיק אף ברוכים יהיו".
בכך ערך בית-המשפט אבחנה ראויה בין בדיקת אבטחת אתר, בלא "תקיפתו", גרימת נזק או פריצת אבטחה קיימת או אף כשלב מקדים לשם כך, לבין פעילות שאינה כדין. עם זאת, ייתכן והרחיק בית-המשפט לכת משהעניק למשוטטים את הרשות לערוך בדיקות מהסוג הנ"ל לתועלת "גולשי הרשת" ככלל.
נראה כי מדובר ב"מדרון חלקלק" שעלול להוביל מבחינה זו גם לפריצה של ממש למערכות מאובטחות אך ורק כדי שניתן יהיה להוכיח שרמת האבטחה אינה גבוהה דיה ובכך עלולה להזיק לכלל גולשי הרשת. מלאכה זו נתונה לגורמים ממלכתיים ולא לכלל גולשי הרשת.
החוק אינו מעמיד את הגולש כ"פטרון" על יתר גולשי הרשת, ומבחינה זו נראה שבית-המשפט הלך רחוק מדי. את ההבחנה המתבקשת, שעליה לשמש כמובן לטובת הנאשם בכל מקרה של ספק, יש לערוך ביחסים שבין המשוטט לבין בעל המתחם ולא לנכס לו סמכויות מרחיקות לכת בשם כלל גולשי הרשת.
בנסיבות המקרה קבע בית-המשפט, כי "הנאשם התעניין זמן ממושך בהצטרפות למוסד. כשעלה אתר המוסד לאוויר, נכנס הנאשם לאתר המוסד מתוך מטרה להצטרף לשירותיו, וחשד כי מדובר באתר לא מאובטח. אין באתר כל דרך להתקשרות עם מנהליו מלבד טופס בקשת הצטרפות, כך שלא ניתן לברר זאת עם האחראים לו".
"הנאשם שלפנינו", נכתב בפסק הדין, "פנה לאתר העוסק בין היתר באבטחת מחשבים (וגם בפריצתם) והוריד ממנו תוכנה חינמית לבדיקת כשלי אבטחה. את התוכנה הסצפציפית בחר היות ולפי האתר, זו היתה תוכנה פופולרית ומספר ההורדות שלה היה הגבוה ביותר".
לאור כל אלו קבע בית-המשפט כי הנאשם לא פרץ ולא ביקש לפרוץ, אלא ניסה לבדוק את אבטחת האתר ולפיכך זיכה אותו מכל אשמה.
נראה כי ההבחנה שבין חדירה לבין "עיון" או "בדיקה", מורכבת ואת הכף צריכה להכריע, מעבר לכוונה שעמדה מאחורי הפעולה, גם יכולותיה ואופן פעילותה של התוכנה בה נעשה השימוש. לאלגוריתמים השונים ששימשו במהלך אותה פעולה, ולאופיים כבעלי מטרה אינפורמטיבית או אגרסיבית, משמעות מכרעת לעיתים בגיבוש ההחלטה באילו מקצוות כדין ניצב העניין.
המחבר הינו עו"ד, חבר וועדות המדע והטכנולוגיה, המחשוב והתכנות, הבנקאות והתובענות הייצוגיות של לשכת עורכי-הדין.
תוכן הכתבה אינו מהווה ייעוץ משפטי או תחליף לו, אינו חסין מטעויות והשמטות ואין להסתמך עליו לשם ביצוע או הימנעות מביצוע פעולה כלשהי.
www.rnc.co.il
תוכן הכתבה אינו מהווה ייעוץ משפטי או תחליף לו, אינו חסין מטעויות והשמטות ואין להסתמך עליו לשם ביצוע או הימנעות מביצוע פעולה כלשהי.
www.rnc.co.il
