אותו אדם, אותה שיטה, אותה מערכת משפט


פרשת מעצרם של 'הלמו' ועו"ד (סנ"צ בדימוס) בועז גוטמן אינה יכולה לעבור בלי בדק בית מעמיק אצל רשויות המדינה בכלל - ובהנהלת בתי המשפט בפרט. על פני הדברים, נראה שמדובר במחדל אבטחה חמור. המדינה נכשלה להגן על מערכת נט המשפט מפני פירצה, שלפני שנים שימשה דומה לה את החשוד 'הלמו' בכניסה לאתר אחר של הנהלת בתי המשפט. בין אם יש ממש בטענה שבוצעה לכאורה עבירה פלילית ובין אם לאו, מהפרטים שפורסמו נראה לכאורה שאותו אדם, חוזר על אותה שיטת פעולה, מול אותו גוף ציבורי בדיוק – ומצליח. אם זו לא רשלנות מצדה של המדינה, קשה לדעת רשלנות מהי.

לפני כשלוש שנים זוכה 'הלמו' מעבירה של חדירה שלא כדין למחשבי המרכז לגביית קנסות שמפעילה הנהלת בתי המשפט (פ 9497/08 פרקליטות מחוז ירושלים נ' משה הלוי). הלוי גילה כי אפשר לגשת במישרין למידע במרכז הקנסות על-ידי הוספת מספר תעודת הזהות של אדם למקום המתאים בכתובת האתר (ה-URL). השופט אברהם טננבוים קבע אז שלא ביצע חדירה שלא כדין לחומר מחשב: אפילו הזין הנאשם את מספר תעודת הזהות של שדות (הכוונה היא לבעל החוב, עופר שדות - ח.ר.) ל- URL באתר המרכז לגביית קנסות, אין המדובר ב"חדירה לחומר מחשב", פסק ביהמ"ש. הכלל הראוי הוא שכל אתר שניתן להיכנס אליו בקלות כה רבה, אי אפשר לטעון שאסור להיכנס אליו.

מדברי הלמו ב-Ynet נראה שנכנס כעת למסמכים באתר מערכת המשפט בדיוק באותו אופן שבו פעל אז: "זה לא פריצה למאגר מידע, זה גלישה לאתר אינטרנט. כל אחד בעל סקרנות יכול היה להיכנס למסמכים האלה", הסביר כשפורסם דבר מעצרו. "אני נכנסתי עם מספר תעודת הזהות שלי ולא השתמשתי בשום כלים"...

דין וחשבון לציבור


מערכת "נט המשפט" אוגרת בקבציה כמעט את כל תיקי המשפט בישראל. בתיקים אלה נמצא מידע שחלקו סודי מחמת זה שהוא נוגע לבטחון המדינה, חלקו חשאי מפני שהוא נוגע לביטחון עדים ומקורות מידע של המשטרה – ועיקרו חסוי כי הוא נוגע לפרטיותם של יחידים מקרב הציבור. מה אין בתיק משפטי? נתונים על הכנסותיו ונכסיו של אדם, על בעיותיו הרפואיות והנפשיות, על משפחתו וילדיו, על כושרו להיות הורה, על חייו ומשבריו, עסקיו וחובותיו – הכל פרוש בפני מערכת המשפט. ואם להסתמך על טענות המשטרה כעת, הכל היה גלוי בפני 'הלמו' לפחות.

הנהלת בתי המשפט אינה יכולה לצאת ממחדלה זה פטורה בלא כלום. כצעד ראשון היא חייבת דין וחשבון לציבור: האמנם נוצלה אותה פרצת אבטחת מידע פעמיים? אילו אמצעים ננקטו כדי למנוע הישנותם של מקרים כאלה ואחרים? כיצד זה קורה שמאגרי המידע הרגישים שהיא מפעילה נחדרים שוב – לא כל שכן על ידי אותו אדם ובאותה דרך? האם היו מקרים נוספים בעבר שלא פורסמו? כיצד זה לא התריעו מערכות הניטור של נט המשפט במשך שלוש שנים על קיומה של פעילות בלתי מורשית? מעבר לזה, טוב תעשה אם תיתן הודעה לכל אחד מנשואי המידע שפרטיהם ומסמכיהם נחשפו, כי כך קרה. מי שסודותיו הכמוסים בידי המדינה, זכאי לדעת אם נכשלה בשמירתם. ראוי שמבקר המדינה גם הוא יתן את דעתו על כך.

המדינה דולפת


פעם אחר פעם מתברר שהמדינה, השומרת בידיה את המידע הרגיש ביותר על אזרחי ישראל, נכשלת בשמירתו. מאגרי המידע החשובים ביותר דולפים ככברה – מירשם האוכלוסין, פנקס האימוצים, מאגרי הביטוח הלאומי ורשויות המס, מאגר הרשות השופטת ורבים אחרים. אם גורם פרטי כלשהו היה נכשל בשמירת המידע שבידיו, הרשות למשפט, טכנולוגיה ומידע (רמו"ט) כבר היתה נוקטת נגדו אמצעי אכיפה נוקשים. כך היתה עושה למרות שהמידע שבידי גופים פרטיים רגיש הרבה פחות מזה שבידי המדינה. המדינה לעומת זאת יוצאת פטורה בלא כלום.

חוק הגנת הפרטיות, התשמ"א-1981 מטיל על הבעלים, המחזיקים והמנהלים של מאגר מידע את החובה לאבטח את המידע שבו. ההוראה הלאקונית בחוק הגנת הפרטיות מגובה בתקנות, לאקוניות לא פחות, הכוללות 120 מילים בלבד. תקנות אלה, משנת 1986, קובעות סטנדרטים מיושנים שאינם מתאימים עוד לעולם של מאגרי מידע אין סופיים, מבוזרים, השוכנים בחלקם בשירותי ענן מחוץ לתחום הטריטוריאלי של ישראל. ועם זאת - החובה לאבטח את המידע היא העיקרית בחובות המוטלת על בעל מאגר. התפיסה המודרנית של פרטיות גורסת שעיקרה נמצא בשליטתו של אדם על המידע המופץ אודותיו. בלא אבטחת מידע לא תיתכן שליטה כזו.

טיוטה ועוד טיוטה


חוק הגנת הפרטיות הוא חוק מיושן. מזמן מלאה העת להחליפו בחוק מודרני. אלא שמשרד המשפטים מתנהל בעצלתיים, כאילו יש זמן ואין דוחק. טיוטת תקנות אבטחת מידע חדשות פורסמה אמנם בתחילת 2010, אולם מאז טופלה באיטיות משוועת. רמו"ט ריכזה את הערות הציבור לטיוטה, והעבירה נוסח מתוקן של תקנות למשרד המשפטים, שם הם שכבו באין מפריע עד אשר פרשת ה'האקר הסעודי' בתחילת השנה החרידה את המשרד מרבצו. או אז, בדחיפות זומן דיון בלשכת שר המשפטים כדי לקדם את התקנות. הדחיפות שככה כשהפרשה ירדה מסדר היום הציבורי, ורק כעבור כחצי שנה פרסמה רמו"ט... טיוטת תקנות חדשה. התקנות הסופיות טרם התפרסמו.

בשלהי 2011 פורסמה הצעת חוק לתיקון מקיף בחוק הגנת הפרטיות, על-ידי הוספת סמכויות אכיפה מרחיקות לכת. הסמכויות הללו אמורות לפי התיקון לרבוץ על התשתית המיושנת של החוק. הן כוללות, בין השאר, סמכות להטיל על בעלי מאגרי מידע קנסות בסכומי עתק המגיעים לכדי 3.2 מיליון ₪. ועם זה, סמכות האכיפה מופנית למגזר הפרטי. אין בהן התייחסות לאכיפת כללי אבטחת מידע במגזר הממשלתי-ציבורי. הדעת מתקשה להשלים עם לאקונה כזו. אחרי הכל, 'האקר סעודי' יכול לגנוב מאתר אינטרנט פרטי, לכל היותר, את פרטי כרטיסי האשראי של לקוחותיו. הנזק המצטבר שנגרם לחברות כרטיסי האשראי מפרשה זו, הסתכם ב... עשרת-אלפים ₪ בלבד. אבל עובד ציבור חמדן יכול ליטול ממאגרי המידע של מס ההכנסה או הביטוח הלאומי מידע רגיש לאין ערוך, ואת הנזק הנגרם לפרטיותם של אזרחים מדליפות כאלה אי-אפשר לאמוד בכסף

ייצוגית נגד המדינה


בעולם של לוחמת סייבר, אבטחת המידע היא מרכיב בחוסן הלאומי. מאגר המידע של הנהלת בתי המשפט כולל מידע על חלק ניכר מאזרחי המדינה. למידע כזה יש שימוש גם בידי מדינות עוינות. והנה, מאגר כה מרכזי היה חשוף לא בפני קבוצת האקרים מתוחכמת, אלא – אם יתברר שיש ממש בחשדות – בפני משתמש אחד מתוככי ישראל. הקלות שבה התבצע הדבר, ומשך הזמן שבו היה המאגר חשוף בלא שהפרצה התבררה (שלוש שנים לפי החשד) מעוררים דאגה חמורה בדבר אבטחתם של מאגרי המידע הממשלתיים. במקום שבו 'הלמו' בודד הצליח, קבוצת האקרים איראנית תחולל שמות.

אפשר לקבוע כלל אצבע: מאגרי המידע במגזר הפרטי מאובטחים טוב יותר מאלה של הממשלה. הסיבה נעוצה בכך שמידע במגזר הפרטי הוא נכס עסקי רב חשיבות. חברות ועסקים יכולים לקום וליפול על שימוש נכון במידע ושליטה בו. הממשלה לצערנו אכפתית פחות לחשיפת המידע על אזרחיה. היות שאי אפשר להבחין בפעילות שיטתית ונמרצת כדי לאבטח את מאגרי המידע של אזרחי ישראל, יש לתמרץ את המדינה לשמור את פרטי אזרחיה על-ידי כך שתתווסף לחוק התובענות הייצוגיות עילה המאפשרת לתובעה במקרים כגון אלה. מה שלא בא מתוך הקפדה על כבוד האזרח ופרטיותו, יבוא אולי דרך הכיס.