מערכת המשפט העולמית ובכלל זה ישראל נדרשת בעידן שלנו לסוגיות משפטיות שלא נדרשו להן בעבר. רוב העסקים והחברות מבססים את כל פעילותם העסקית על מחשבים, מיילים אינטרנט ותוכנות. דבר זה יוצר סוגיות ובעיות אשר מערכת המשפט והמחוקק לא נדרשו לטפל בהן בעבר. מנכ"לים ובעלי עסקים רבים לא מודעים לחובותיהם ולאחריותם בכל הקשור למערכת המחשוב בארגון שלהם.
מאמר זה ינסה לתת סקירה קצרה על השינויים שחלו בשנים האחרונות בתחום החקיקה בנושא זה וכיצד זה נוגע לכל חברה.
לצורך כך נעבור על חוקים - חלקם חדשים - אשר נוגעים למערכת המחשוב ולאחריות החברה. נתייחס לכל עניין מכמה זוויות. חשוב להבין כי לא כל הסוגיות פתורות, וגם בעולם מתמודדים עם סוגיות קשות אלו בכל יום ומערכת המשפט (שופטים ועורכי דין) לא תמיד יודעים איך לגשת לבעיות אשר נוגעות לכך (כגון ראיות שאינן מוחשיות, קבצים תעבורת מידע באינטרנט וכו') עקב חוסר ידע ומחסור בתקדימים ומשפטים קודמים בנושאים אלה הסוגיות קשות לפתרון ואין תשובה מוחלטת לכולן (לדוגמא לפי איזה חוק ייענש פורץ לרשת מחשבים של חברה בישראל אשר יושב בגרמניה ופורץ למחשב דרך מחשב בהולנד?).
חוק המחשבים תשנ"ה 1995 הוא החוק העיקרי המתייחס לעבירות מחשוב שבו למעשה התייחס המחוקק לראשונה ל"פריצה" שאינה פיזית לבניין, מכונית וכו' אלא למחשב, ושבו בפעם הראשונה מתייחס המחוקק לפיתוח וירוס מחשב והפצתו.
חשוב להבין כי ה"פורץ" לא חייב להיות אדם מחוץ לחברה, הוא יכול להיות אדם מתוך החברה (ולרוב זה אכן כך). עובד אשר הפר את כללי החברה וביצע אחת או יותר מעבירות אלו במקרה זה יהיה חשוף גם הוא לתביעה על סמך חוק זה.
בסקירה זו נתייחס לחמישה חוקים עיקריים הרלוונטיים למערכות המחשוב בחברות ותאגידים
חוק המחשבים תשנ"ה 1995
חוק מאגרי המידע
חוק הגנת הפרטיות
חוק קניין רוחני וזכויות יוצרים
חוק חתימה אלקטרונית
חוק המחשבים תשנ"ה - 1995
מתייחס לארבע עבירות מחשוב עיקריות:
שיבוש או הפרעה למחשב או לחומר מחשב - כל המשבש פעולתו התקינה
של מחשב, מוחק חומר מחשב, גורם לשינוי בו דינו מאסר שלוש שנים.
מידע כוזב או פלט כוזב - המזין למחשב מידע כוזב או כותב תוכנה שתוצאות
השימוש בה מביאות למידע או פלט/קלט כוזב - דינו מאסר חמש שנים.
חדירה למחשב שלא כדין - החודר שלא כדין לחומר מחשב (בין אם
באמצעות התקשרות או התחברות או על ידי הפעלתו) דינו עד 5 חמש
שנות מאסר.
נגיף מחשב (וירוס) - עורך תוכנה המסוגלת לגרום נזק ו/או שיבוש למחשב
או לחומר במחשב דינו שלוש שנות מאסר. המעביר לאחר תוכנה זו (וירוס
או כל קוד זדוני אחר) דינו מאסר חמש שנים.
נושא חשוב נוסף הוא שהמחוקק קבע כי כל העובר על אחת מעבירות אלו או יותר חשוף לתביעה בגין "עוולה בנזיקין" דהיינו חשוף לתביעה אזרחית שבה יתכן ויאלץ לשלם פיצויים.
חשוב להבין כי אם פרץ אדם למחשב בארגון מסוים וגנב מספרי כרטיסי אשראי, בין אם נמצא הפורץ ונענש ובין אם לאו, גם החברה אשר אכסנה במחשבים שלה את מספרי כרטיסי האשראי יכולה להיות חשופה לתביעה. על החברה להוכיח כי עשתה מאמצים סבירים להגן על המחשוב בארגון מפני פריצות על ידי התקנת אמצעים מתאימים כגון מינוי אנשי מקצוע אשר הטמיעו ותחזקו מערכות אלו (due care) שאם לא כן הרי החברה חשופה לתביעה גם היא וסביר להניח כי גם תאלץ לשלם במקרים כאלו.
יתכן כי הפורץ הוא ילד בן 16 אשר אין לו אמצעים כלכליים, ומערכת המשפט והנפגע מטבע הדברים יחפשו את ה"כיס העמוק" דהיינו את מי ניתן לתבוע ולהרוויח ולכן במקרה זה גם החברה הנפרצת חשופה לתביעה.
לכן כל חברה שבמחשבים שלה מאוחסן מידע רגיש כזה או אחר על הלקוחות והספקים שלה חייבת בחובת ההגנה על מערך המחשוב בארגון.
חוק מאגרי מידע
חוק זה מתייחס למאגרי המידע שמחזיקה כל חברה אודות הלקוחות, לקוחות פוטנציאלים, ספקים וכו'.
אותן רשימות בתנאים מסוימים חייבות להירשם להישמר ולהתנהל על פי חוק.
חוק זה מתייחס לניהול מאגרי מידע אלו.
מאגר מידע נחשב ככזה אם יתקיימו בו אחד מהבאים:
מספר האנשים ברשומות עולה על 10000.
מכיל מידע רגיש (ישנה הגדרה בחוק מהו מידע רגיש כמו מידע בריאותי,
כלכלי ועוד).
מידע על אנשים , אשר המידע לא נמסר על ידם.
המאגר הוא של גוף ציבורי.
המאגר משמש לדיוור ישיר.
מי שברשותו מאגר שכזה או מנהל מאגר מידע חייב בחובת רישום המאגר אצל רשם מאגרי המידע.
עליו ו/או על מי שמינה מטעמו חלה החובה לניהול המידע והגנה עליו.
מי שמחזיק/מנהל חמישה מאגרי מידע ויותר חייב למנות אדם שיוכשר לתפקיד אשר כל תפקידו יהיה לנהל מאגרי מידע אלו ולפעול על פי חוק רישום מאגרי המידע.
> החוק נועד בראש ובראשונה למנוע פגיעה בפרטיותו של אדם על פי חוק הגנת הפרטיות 1981, ולהגדיר את חובותיו של ארגון המחזיק נתונים רגישים כגון בנק או בית חולים בנושא הגנה על נתונים אלו.
חוק הגנת הפרטיות - חוקי יסוד תשמ"א 1981
חוק הגנת הפרטיות הוא אחד מחוקי היסוד העוסק בזכות האדם לפרטיות ובאיסור לפגוע בה. החוק מגדיר פעולות אשר עשייתן ללא הסכמת האדם מהווה פגיעה בפרטיותו. פגיעה כזו היא עוולה אזרחית אשר חלה עליה פקודת הנזיקין דהיינו הינה עבירה פלילית. החוק מתייחס לאדם ולא לתאגיד או לחברה.
אנו מכלילים חוק זה בסקירה זו על מנת לעזור ולהבין את הדילמות השונות הניצבות בפני אנשי המחשבים, אבטחת המידע והמנהלים בחברות שונות.
לדוגמא האם מותר למעביד להאזין לשיחות טלפון של עובד? לבדוק לו את המייל (במחשבי החברה)? לבדוק היכן ומתי הוא גולש באינטרנט בשעות העבודה?.
התשובות לשאלות אילו אינן ברורות כל כך כפי שנדמה.
נתייחס בתחילה לניטור ובדיקה של מאפייני גלישה של עובדים. בדיקה של כמות הגלישה באינטרנט היא מותרת, אבל בדיקה היכן גלשו העובדים יכולה בנסיבות מסוימות להיות בעייתית.
על מנת שלא לחשוף את החברה לתביעות (פגיעה בפרטיות) על החברה לנסח מדיניות שימוש באינטרנט ומיילים בחברה, להודיע באמצעות "באנרים" בכניסה לדפדפן האינטרנט או במייל או להחתים בחוזה העבודה את העובדים (האופציה הטובה ביותר) כיוון שכך הם מודעים לאפשרות שגלישת האינטרנט שלהם תנוטר. אם חברה מנטרת את הרגלי הגלישה של העובדים, אסור לה לנטר עובד מסוים, עליה לנטר קבוצת עובדים או את כל העובדים על מנת שבעתיד יהיה ניתן להוכיח כי אותו עובד גלש לאתרים אשר אינם חלק מ"שיגרת העבודה" של גלישת האינטרנט בחברה תוך כדי השוואה לעובדים אחרים.
סיבה נוספת לניטור כל העובדים היא על מנת להוכיח כי לא הייתה כאן מגמה של היטפלות לעובד ספציפי על מנת להביא לפיטוריו.
ניטור ובדיקה של מיילים של עובדים הינה בעייתית יותר. אם עובד פתח ספרייה במייל ושם הספרייה הוא "פרטי נא לא לקרוא!!" עלולה להיות בעיה במידה והמעביד יקרא חומר זה, אף אם מדיניות העסק (אשר נאמרה ואף נחתמה בחוזה העבודה אוסרת מיילים פרטיים בחברה) במקרה זה יכול המעביד לפנות לעובד ולהורות לו למחוק את התיקיה הפרטית כיוון שזה נוגד את מדיניות החברה.
חל איסור על מעביד לצוטט לשיחות טלפון המתקיימות בארגון בין עובדיו ללקוחותיו (אם הוא לא שותף לשיחה זו) אלא אם כן ישנו צו המאפשר לו זאת.
צילום מותר במקומות מותרים בלבד כגון אולמות עבודה ובתנאי שהצילומים אינם פוגעים באדם ומבזים אותו ואת פרטיותו (צילום בשירותים, מלתחות וכו').
ככלל לא תמיד החתמתו של עובד על הסכמה לביצוע פעולה זו או אחרת היא חוקית, אך לעיתים רק באמצעות החתמה כזו תסיר החברה מעליה אפשרות של תביעה.
חשוב להבין כי הנושא אינו דיכוטומי וכל מקרה יבחן לגופו.
חוקי קנין רוחני וזכויות יוצרים
חוקים עיקריים:
חוק זכות יוצרים, התר"ע - 1911
פקודת זכות יוצרים, 1924
חוקים אלו באים להגן על אינטרסים כלכליים ומוסריים של יוצרים ועל היצירה מהעתקות ומשימוש לא חוקי.
נושא זה רחב מאוד, ואנו נתייחס אליו מכיוון המחשוב בעסק.
הבעיה הראשונה הניצבת בפני מנהלי חברות ומנהלי אבטחת המידע היא שימוש לא לגיטימי ולא חוקי בתוכנות אשר לא נקנו כדין. על כל חברה לקבוע מדיניות מסודרת של קניית תוכנות וניהול הרישיונות בארגון.
כמו כן על החברה לקבוע מדיניות של שימוש והתקנה של תוכנות בעסק, ולהפיץ מדיניות זו לעובדים.
חשוב להבין כי לא כל חומר המפורסם באינטרנט הוא נחלת הכלל וגם העתקה של תמונות או מלל ושתילתו באתר האינטרנט של החברה עלולה להיות הפרה של זכויות יוצרים.
כמו כן יש לקבוע מדיניות בעסק שאוסרת על המשתמשים לשתף קבצים דרך תוכנות שיתוף (או אף לאסור לחלוטין התקנת תוכנת מסוג זה).
חשוב להבין כי במידה ומתבצע שיתוף של תכנים לא חוקיים (כגון סרטים או שירים) ממחשבי החברה, יכולה החברה לשאת באחריות אף אם הדבר בוצע ללא ידיעתה, לכן על החברה לאכוף ולידע את העובדים בנושא זה.
חוק חתימה אלקטרונית - אפריל 2001
חוק חתימה אלקטרונית (דיגיטלית) הוא חוק חדש המנסה להסדיר את חוקיות ואמיתות חתימת הסכמים דרך תקשורת אלקטרונית למשל מייל וכו'.
> הבעייתיות הקיימת בהוכחת אמיתות ההודעות הביאה לחקיקת חוק זה. ניקח לדוגמא שתי חברות החותמות על הסכם מסוים דרך תכתובת מייל, ולאחר מכן אחת החברות מתכחשת לחתימה על ההסכם. איך נוכיח שאכן היא קיבלה את המייל וחתמה עליו? הרי כל האקר מתחיל יכול לזייף את הדואר האלקטרוני של החברה, לחתום בשמה, למחוק או לשנות את המיילים שנשלחים על ידה.
סוג החתימה יכולה לשמש כהוכחה בבית המשפט ולחזק טענות אחד הצדדים באופן שלא יוכל להתכחש לחתימתו (non repudiation).
חתימה אלקטרונית משמשת להוכחת שלושה דברים עיקריים:
השולח חתם על מסר מסוים.
מקורו של המסר אכן בשולח הנטען.
המסר לא עבר שינוי או נפרץ בכל דרך שהיא.
החוק קובע ארבע רמות לחתימה אלקטרונית, שלכל אחת מהן משקל ראייתי שונה במערכת המשפט:
ללא חתימה בכלל (למשל קובץ או דיסקט אשר אין עליו חתימה כלל).
בצירוף חתימה אלקטרונית פשוטה (למשל ציון פרטים מזהים כגון שם פרטי,
שם משפחה במסמך word רגיל).
בצרוף חתימה אלקטרונית מאובטחת (חתימה אלקטרונית באמצעים הניתנים
שליטה של החברה עצמה, למשל המחשב שמאמת את נכונות הנתונים
באמצעות אלגוריתמים מתמטיים נמצא אצל או בשליטה של החברה) מספק
אמיתות למסר אך בערבון מוגבל כי אין צד שלישי המאמת את מקור
ההודעה.
בצרוף חתימה מאושרת (החתימה הכי חזקה ומומלצת). זוהי חתימה
המאושרת על ידי צד שלישי, על ידי גורם מאשרר שיש לו אישור ממשרד
המשפטים, והוא מאמת לצד שמקבל את המסר כי אכן המסר הגיע מהיכן
שנטען ולא שונה בדרך (התהליך מתבצע באמצעות הצפנה מתמטית שלא
נכנס להסבר על דרכי פעולתה)
כיום יש בארץ רק שתי חברות שקבלו אישור להיות צד שלישי מאמת זיהוי והגדולה שבהם היא : http://www.comsign.co.il/
נכתב ע"י אורי שמאי, מנהל System
* אין לראות במאמר זה יעוץ משפטי, הכותב הוא איש מחשבים במקצועו ובכל מקרה מומלץ לפנות לעורך דין.
מנהל מחשוב ואבטחת מידע
בחברת חשבשבת.
cissp mcp cne ccsa
בחברת חשבשבת.
cissp mcp cne ccsa
