בתקופתנו הופכת מתקפת עבירות המחשב, לסוגיהן השונים, למכת מדינה של ממש. רק עתה מתחילים בתי המשפט לערוך הבחנה של ממש בין סודי העבירות השונים ולבחון את השאלה האמיתית המתעוררת במקרים רבים - האם פעולת הגולש אכן מהווה עבירה אם לאו.
חדירה לחומר מחשב מהווה עבירה פלילית [1] ולפיכך אין מקום להתייחס אליה בסלחנות. מה גם שסוג זה של עבריינות מסב נזק כבד ביותר לתשתית הכלכלית המודרנית ולציבור הרחב. נראה, כי הדעה לפיה עבריינות "קלאסית" חמורה יותר מעבריינות "וירטואלית" פסה לאיטה מן העולם, בימים בהם האקר מחשבים ממוצע בשנות התבגרותו הראשונות עלול להסב נזק בן מאות מיליוני דולרים בלחיצת כפתור. עם זאת, חשוב וחיוני לערוך את ההבחנה המתבקשת את עבריינות מחשבים לבין "לימוד" מחשבים.
בתקופה המודרנית נראה יותר מתמיד, כי לימודי התחום אינם מתבססים עוד על לימוד פרונטלי כבימים עברו אלא על התנסות אקטיבית באמצעות שיטוט במערכות מחשב וברשת האינטרנט והכרתם. מלכתחילה, נועדה רשת האינטרנט לאפשר אינטראקציה שכזו וספק אם גם במקרים בהם לא היתה הכוונה לכך יש למונעה. לפיכך, קיים צורך לערוך הבחנה בין פעילות הנלווית ללימוד והכרה של מערכת מחשב לבין כזו המיועדת לחדור ולהסב לה נזק. בעוד ראוי כי זו הראשונה תוגדר לרוב כלגיטימית, הרי שאין ספק כי האחרונה ראוי לה שתזכה לייחס של עבריינות במלוא חומרתה.
במקרים רבים נכשלים בתי המשפט בהתמודדות עם מורכבות סוגיות אלה בשל מחסור בידע ובהבנה טכנית נדרשת. מערכת המשפט מצויה עדיין בראשית דרכה בהבנתה ובהתייחסותה לעבריינות הוירטואלית.
במקרה שמצא דרכו לערכאות [2] ערך בית המשפט את ההבחנה הטכנית והמהותית הנדרשת בעניין זה. באותו מקרה, הוגש כתב אישום נגד נאשם במסגרתו נטען כי הוא ניסה לחדור לחומר מחשב באתר האינטרנט של "המוסד". עוד נטען בכתב האישום, כי זממו לא עלה בידו מכיוון שהאתר היה מוגן כדבעי.
בית המשפט התייחס בפסק דינו לשתי הגישות הרווחות לגבי שאלת החדירה למחשב. הגישה האמריקנית הינה צרה יותר ומתירה את ה-"דו-שיח החופשי" בין מחשבים באינטרנט. בעניין זה, מתירים הפסיקה והחוק האמריקנים עקרונית מעין חדירה לשם קיום אינטראקציה מוגבלת בין מחשבים והיא אסורה אך ורק אם היא מלווה בשימוש לא מורשה או גרימת נזק למחשב. יתירה מזו, במשפט האמריקאי יש צורך גם בכוונה לעבור עבירה וגם בכך יש הרחבה [3]. הגישה האירופאית, מאידך, היא רחבה יותר ולפיה עצם החדירה למחשב אסורה בלא קשר לגרימת נזק כלשהי.
בית המשפט קבע בענייננו, כי פרשנות סבירה של לשונו הברורה והחד-משמעית של סעיף החוק הישראלי מלמדת כי עצם החדירה למחשב אסורה. בעניין דומה כבר נקבע בעבר, כי מחיקת חומר מחשב אסורה מבלי קשר לשאלת גרימת הנזק [4]. בדרך ההיקש, קבע בית המשפט, ניתן ללמוד ממחיקה לחדירה. נקבע, כי במשפט הישראלי אין צורך כי החדירה תהיה מלווה בנזק כלשהו.
משכך, בחן בית המשפט את הגדרת המושג "חדירה" וחוסר הבהירות בהגדרת המונח חדירה למחשב. בהקשר זה, בחן בית המשפט את המושג באמצעות ההבחנה שהציע המלומד פרופ' קר במאמרו [5]. במאמרו, תמה פרופ' קר על כי אין כמעט מדינה שלא חוקקה חוקים האוסרים חדירה שלא כדין למחשב, אך עד היום אין קונצפציה ברורה לשאלה מהי אותה חדירה שלא כדין ומהם מאפייניה הבולטים. פרופ' קר הציע, לכן, הצעה מעניינת המבוססת במקצת על הסיבות לחקיקת רוב חוקי המחשבים כיום.
בהקשר זה קבע בית המשפט, כי
"חוק המחשבים חוקק בתקופה בה הייתה סביבת העבודה שונה. בתקופה הטרום-אינטרנטית ואף מעט אחריה, כל התקשרות עם מחשב הייתה באמצעות הכנסת שם משתמש כלשהו שגובה בסיסמת כניסה. כדי להתחבר היה צורך להתקשר, להזין שם וסיסמא ואז ורק אז הופעל החיבור. בתקופה זו, היה ברור מהי חדירה. חדירה היתה בעצם עקיפה של הצורך בשם וסיסמא, בדרך כלל, על-ידי שימוש בשמות וסיסמאות של אחרים. לא היה לכן כל צורך מיוחד להסביר את המונח חדירה.
המצב הטכנולוגי כיום שונה בהרבה. מחשבים מקושרים ומתקשרים ביניהם כיום בדרכים משונות. דואר אלקטרוני, החלפת תכנים אוטומטית, קבצי מוזיקה המוצעים לכל, שידורי רדיו וטלוויזיה דרך האינטרנט, מצלמות רשת בזמן חי, ויישומים שונים ורבים אחרים זמינים לשימוש. חלקם אף פועלים באופן אוטומטי כמעט ובשקוף למשתמש. במצב מעין זה של פעילות מתמדת, רוחשת, ושוקקת, לא ברור תמיד מהי חדירה מותרת, מהי חדירה חצופה, ומהי חדירה שלא כדין.
לדעת פרופ' קר מוגדר כיום המונח חדירה שלא כדין בצורה אינטואיטיבית מדי. לדעתו יש להרחיב את המונח 'חדירה למחשב' ולכלול בתוכו כל תקשורת אינטראקטיבית בין מחשבים שונים. לשיטתו, במצב הקיים כיום של אינטראקציה בין מחשבים, הרי החדירה קיימת כמעט תמיד ואת ההבדל בין חדירה מותרת לאסורה יש למצוא ביסוד של 'שלא כדין'. הצעתו היא להבדיל בין חדירות 'שלא כדין' הנובעות מיחסים חוזיים שבין הצדדים לבין חדירות שעקפו סיסמאות והגנות המבוססות על קוד המחשב (ובביטויו Regulation by Code Versus Regulation by Contract).
לגישתו, עצם העובדה שבעל מחשב איננו שש למעשי החודר אליו, איננה מספקת. העובדה שבעל האתר איננו מעוניין במעשי אחרים אין לה דבר עם ההליך הפלילי. רק אם החדירה הצליחה לעקוף אמצעי אבטחה ברורים כלשהם, ומטרתה הייתה לעקוף אמצעים אלו, אז ורק אז מדובר בחדירה שלא כדין".
בית המשפט דן אף בדעות של מלומדים, הגורסים כי יש לערוך הבחנה מוחלטת בין העולם המוחשי לבין העולם ה"וירטואלי" כדי למנוע את הגבלת התנועה והמוביליות המובנית בו. לדעת כותב שורות אלה, גם ההבחנה שערך פרופ' קר אין בה די. לא ניתן לקבוע כי רק חדירת אמצעי אבטחה כלשהו תיחשב כחדירה כפי שלא ניתן לנתק לחלוטין כל קשר בין העולם המוחשי לעולם הוירטואלי. ממש כפי שהיעדר נעילת דלתו של בית אין משמעה כי כל עובר אורח מוזמן להיכנס אליו, לשוטט בו לעשות בו ככל העולה על רוחו כך הדבר הוא גם בכל הנוגע לרשת האינטרנט.
המוביליות המובנית ברשת כל משמעה הינו כי חדירה רנדומלית ל"דלת פתוחה" אין להחשיבה כ"חדירה" פלילית. אין לייחס לה משמעות לפיה חדירה מכוונת לרכוש הפרט, ויהא הוא מוגן או בלתי מוגן, תיהנה מפטור גורף מאחריות. עם זאת כמובן, כל עוד קיים ספק באשר לסיבת החדירה או לאפשרות כי זו בוצעה שלא בצורה מכוונת ומתוך כוונה לפגוע בקניינו ובפרטיותו של הבעלים - הרי שעליו לשמש לטובת הנאשם.
לבסוף, קבע בית המשפט בענייננו כי
"אין אפשרות לקבוע באופן מוחלט כי בדיקת אבטחת אתר היא תמיד אסורה או תמיד מותרת. הסיווג המשפטי כמותר או אסור תלוי בנסיבות הספציפיות שבהן נעשתה הבדיקה, במטרה שבשלהן נעשתה, ובכוונתו של הבודק. אין כל אפשרות לנתקה מהן. ונדגיש, הכוונה היא לבדיקת אבטחה ולא לחיפוש חורי אבטחה כשלב מקדים לחדירה לא חוקית...
ישנה תועלת חברתית בכך שאתרי אינטרנט ייבדקו על-ידי הגולשים ויוזהרו על ידם אם מצאו הללו פרצות כלשהן. יתירה מזו, הייתי מעז לומר שאין כל פסול שגולשים יפרסמו ברבים אתרי אינטרנט (ובעיקר שרתי אינטרנט) שאינם מאובטחים. אם רשימה כזו תפורסם ברבים, יהווה הדבר תמריץ וזרז לאחראים לתקן את חורי האבטחה שלהם. גולשים הבודקים את פגיעותם של אתרים פועלים במידה מסוימת לטובת הציבור ואם עושים זאת הם בכוונה טובה וללא להזיק אף ברוכים יהיו".
בכך, ערך בית המשפט אבחנה ראויה בין בדיקת אבטחת אתר, בלא "תקיפתו", גרימת נזק או פריצת אבטחה קיימת או אף כשלב מדים לשם כך לבין חדישה שאינה כדין. עם זאת, ייתכן והרחיק בית-המשפט לכת משהעניק למשוטטים את הרשות לערוך בדיקות מהסוג הנ"ל לתועלת "גולשי הרשת" ככלל. נראה, כי עסקינן ב"מדרון חלקלק" אשר עלול להוביל מבחינה זו גם לפריצה של ממש למערכות מאובטחות אך ורק כדי שניתן יהא להוכיח כי רמת האבטחה אינה גבוהה דיה ובכך עלולה להזיק לכלל גולשי הרשת. מלאכה זו נתונה לגורמים ממלכתיים ולא לכלל גולשי הרשת.
החוק אינו מעמיד את הגולש כ"פטרון" על יתר גולשי הרשת ומבחינה זו נראה שבית המשפט הלך רחוק מדי גם אם מצורה מגולש הרשת ליטול על עצמו אחריות ואף אם המגמה היא לעודדו לפעול לתועלת כלל הגולשים. את ההבחנה המתבקשת, שעליה לשמש כמובן לטובת הנאשם בכל מקרה של ספק, יש לערוך ביחסים שבין המשוטט לבין בעל המתחם ולא לנכס לו סמכויות מרחיקות לכת בשם כלל גולשי הרשת. בהקשר זה קיים גם אינטרנט כללי לפרטיות מסוימת למתחמים ברשת האינטרנט - גם כאשר זו מעודדות שיתוף והחלפת מידע.
בנסיבות המקרה, קבע בית המשפט כי
"הנאשם התעניין זמן ממושך בהצטרפות למוסד. כשעלה אתר המוסד לאוויר, נכנס הנאשם לאתר המוסד מתוך מטרה להצטרף לשירותיו, וחשד כי מדובר באתר לא מאובטח. אין באתר כל דרך להתקשרות עם מנהליו מלבד טופס בקשת הצטרפות, כך שלא ניתן לברר זאת עם האחראים לו.
- הנאשם שלפנינו, פנה לאתר העוסק בין היתר באבטחת מחשבים (וגם בפריצתם) והוריד ממנו תוכנה חינמית לבדיקת כשלי אבטחה. את התוכנה הסצפציפית בחר היות ולפי האתר, הייתה תכנה זו פופולרית ומספר ההורדות שלה היה הגבוה ביותר".
לאור האמור לעיל, קבע בית המשפט כי הנאשם לא פרץ ולא ביקש לפרוץ אלא ניסה לבדוק את אבטחת האתר ולפיכך זיכה אותו מכל אשמה.
נראה, כי ההבחנה שבין חדירה לבין "עיון" או "בדיקה" מורכבת היא וכי את הכף צריכה להכריעה, מעבר לכוונה שעמדה מאחורי הפעולה, גם יכולותיה ואופן פעילותה של התוכנה בה נעשה השימוש. לאלגוריתמים השונים ששימשו במהלך אותה פעולה, ולאופיים כבעלי מטרה אינפורמטיבית או אגרסיבית, משמעות מכרעת לעיתים בגיבוש ההחלטה באילו מקצוות כדין ניצב העניין.
______________________
[1] סעיף 4 לחוק המחשבים, תשנ"ה-1995.
[2] ת.פ. 3047/03 (שלום-י-ם) מדינת ישראל נ' מזרחי, הכרעת דינו של כב' השופט אברהם נ. טננבוים מיום 29/2/04.
[3] עם זאת, גם במשפט האמריקני חל שינוי לאחרונה בשל אירועי ה-11 בספטמבר ושינוי הדינים בעקבותיהם.
[4] ת.פ. 3813/99 מדינת ישראל נ. עודד רפאלי, דינים שלום, כרך טז' עמ' 861.
[5] Orin S. Kerr "Cybercrime's scope: Interpreting "access" and "Authorization" in computer misuse statuter" New York University Law Review (November 2003) Vol. 78 No. 5 pp. 1596-1668.
______________________
המחבר הינו עו"ד, חבר ועדות המדע והטכנולוגיה, המחשוב והתכנות, הבנקאות והתובענות הייצוגיות של לשכת עורכי הדין.
תוכן המאמר אינו מהווה ייעוץ משפטי או תחליף לו, אינו חסין מטעויות והשמטות ואין להסתמך עליו לשם ביצוע או הימנעות מביצוע פעולה כלשהי.
