חוק המחשבים – מהי חדירה למחשב?

עבירות רבות מבוצעות היום באמצעות מחשב. פשיעה בדרקנט, העברת כספים, תשלומים במטבעות וירטואליים על סמים או עבירות פליליות אחרות, הלבנת הון, ועוד

אלא שחוק המחשבים לא מצליח להתעדכן בקצב הטכנולוגיה. כתוצאה מכך, מתורגמות עבירות שאמורות להכנס תחת חוק המחשבים לעבירות פליליות. כך מולבשות עבירות מחשב על הגדרות קיימות, לעיתים אף באופן מאולץ.

מהי חדירה שלא כדין למחשב? מעבר להחדרת תוכנות זדון, ופריצה למחשב על מנת לגנוב מתוכו מידע. האם שליחת אי מייל לא רצוי הוא חדירה שלא כדין?, האם העברת קבצים או מטבעות וירטואליים למימון פעילות פלילית הם חדירה למחשב?

אם פלוני היה פותח חנות לממכר נשק וסמים – ברור לנו כי מדובר בעבירה. אך הקמת אתר לממכר סמים, נשק ושכירי חרב לא נכלל בחוק המחשבים ויש מאות ואולי יותר של אתרים כאלו ברחבי הרשת.

חוק המחשבים

חוק המחשבים, התשנ"ה־1995, ס"ח 1534 (להלן: "חוק המחשבים") נחקק לשם הסדרת השימוש במחשבים. החוק מאגד בתוכו מכלול היבטים הנוגעים למחשב, במטרה להתגבר על עבריינות המחשבים והקשיים בהתאמת דיני העונשין והנזיקין הקיימים לשימוש לרעה במחשבים. 

חוק המחשבים נחקק בשנת 1995, ומאז עבר מעט מאוד שינויים, (מאז חקיקתו ב־1995 שוּנה החוק רק פעם אחת: ב־10.07.12 הורחב נוסח סעיף 6 לחוק שעוסק ב'נגיף מחשב' כך שיכלול גם התנהגויות נוספות. יתר חלקי החוק עומדים בעינם.) והוא אינו נותן מענה לכלל עבירות המחשב, לדוגמא- הקמת אתרים לממכר סמים, פדופיליה או סחר בבני אדם, שימוש בהצפנה לצורך המלטות מן הדין, שימוש בביטקוין למימון עבירות ועוד.

 מה היא עבירת מחשב?

חוק המחשבים, מונה חמש עבירות בענייני מחשב וחומרי מחשב: (א) שיבוש פעילות תקינה של מחשב, ובכלל זה מחיקת מידע מחשב ושינוי מידע במחשב וזאת על פי סעיף 2 לחוק (ב) עבירות באמצעות מחשב שתוצאתן תהיה מידע כוזב שיש בו כדי להטעות על פי סעיף 3 לחוק (ג) חדירה לחומר מחשב שלא כדין לפי סעיף 4 לחוק (ד) חדירה לחומר מחשב שלא כדין כדי לבצע עבירה אחרת לפי סעיף 5 לחוק (ה) עריכת תוכנה או ביצוע פעולות שעלולות להביא לידי שיבוש פעולתו התקינה של מחשב או הפרעה לשימוש בו לפי סעיף 6 לחוק.

את עבירות המחשב נהוג לסווג לשני סוגים, לגישתו של  דויטש[1] – עבירות כלפי מחשב ועבירות באמצעות מחשב. ויסמונסקי[2] מציע חלוקה אחרת והוא מסווג את העבירות לשלוש קטגוריות  בהתאם ל תפקיד המחשב בביצוע העבירה: מחשב כיעד עבירה ("נגיף מחשב" או: "וירוס"), מחשב ככלי לביצוע עבירה (גנֵבה) ומחשב כעניין אגבי לעבירה (שלב קצר ומקרי בעבירה פיסית). נפרט:

עבירות נגד המחשב וחומר המחשב הן עבירות חדשות שנולדו עם המצאת המחשב, ואין  להן קיום ללא מחשב. עיקרון זה חל גם על עבירות אינטרנט שאין להן קיום ללא אינטרנט – חדירה למחשב, לדוגמא, המנויה בסעיף 4 לחוק המחשבים. דוגמא נוספת היא עבירה של עריכה או העברה של נגיף מחשב לפי סעיפים 6(א) ו־6(ב) לחוק המחשבים. ללא מחשב אין נגיף מחשב ולכן עבירה זו היא במובהק עבירה נגד מחשב. עוד אפשר למנות בקטגוריה זו עבירה לפי סעיף 2 חוק המחשבים – עבירה של שיבוש או הפרעה לפעולתו התקינה של מחשב.

עבירות באמצעות מחשב שהועתקו במלואן אל המרחב הממוחשב הן עבירות ה"עולם הישן", אשר זירת ביצוען עברה מן המרחב הפיסי למרחב הממוחשב. כאלו הן, למשל, עבירות של הימורים מקוּונים וכן עבירות ביטוי שונות: פרסומי תועבה, החזקה והפצה של פרסומים פדופילים, הפצת לשון הרע, פגיעה בפרטיות, הסתה לאלימות ולגזענות, פגיעה ברגשי דת ועוד. בשונה מעבירות נגד המחשב, בקטגוריה זו מדובר בעבירות שהיה להן – ועדיין יש להן – קיום בעולם הפיסי, כשאפשר, מבחינת יסודותיהן, לבצען כל כולן במרחב הממוחשב.

עבירות־מסתייעות־מחשב שהושלמו מחוץ למרחב הממוחשב הן עבירות שאומנם הושלמו מחוץ למרחב הממוחשב, אולם חלק מתהליך ביצוען עבר במחשב או בתקשורת בין מחשבים, ועל־כן ראיות להתרחשות העבירה עשויות להימצא במחשב. השלב ה"ממוחשב" בביצועה של עבירה־מסתייעת־מחשב אינו חייב להשלים יסוד מיסודותיה של העבירה אלא יכול להיות חלק משלבי הכנתה. הנפקוּת בעבירות־מסתייעות־מחשב היא בכך שעבירות אלו גם משאירות עקבות דיגיטאליים.

העבירות הפליליות בחוק המחשבים

סעיפים  4 ו-5 לחוק המחשבים –סעיף 4 וסעיף 5 לחוק המחשבים קובעים עבירות פליליות, לצורך כך אדון  בסעיפים  אלו.  הוראת סעיף 4 לחוק קובעת:  "החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו – מאסר שלוש שנים; לעניין זה, 'חדירה לחומר מחשב' – חדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו, אך למעט חדירה לחומר מחשב שהיא האזנה …"

הוראת סעיף 5 לחוק קובעת:  "העושה מעשה האסור לפי סעיף 4 כדי לעבור עבירה על פי כל דין, למעט על פי חוק זה, דינו – מאסר חמש שנים". העבירה לפי סעיף 5, כאמור בה, היא חדירה בכוונה לעבור עבירה אחרת מחוק המחשבים.

החוק אינו מגדיר את המונח "החודר שלא כדין".

גם סעיף 4 וגם סעיף 5 לחוק נועדו "ללכוד" את העבריין בשלב מוקדם בהתנהגותו הפלילית, אך סעיף 5 כולל עונש חמור יותר בשל יסוד נפשי חמור יותר והוא הוכחה של כוונה לעבור עבירה.

 מהי חדירה וירטואלית?

השאלה מהי חדירה על־פי סעיף 4 נשאלה כבר בפסיקה ובספרוּת. מדובר במונח מהעולם הריאלי, ונשאלת השאלה – מה הגבול שיש לעבור כדי שמעשה ייחשב חדירה. המונח 'חדירה' ביחס לעולם הריאלי, בניגוד לשם הפעולה הסתמי "כניסה", מעורר בנו קונוטציה שלילית של כניסה אסורה, כגון חציית קו הפרדה או גדר אסורה כלשהי. בעולם המקביל, הווירטואלי, אפשר לומר שכל צורה של התקשרות עם מחשב היא סוג של כניסה – כניסה למרחב הווירטואלי, ולכן השאלה הנשאלת היא אם כניסה זו היא בגדר "חדירה" ואם זו "חדירה שלא כדין".

שאלה זו אינה פשוטה, ולעניין החדירה קיימות פרשנויות מגוּונות בפסיקה. בעניין הלוי[3] קבע כבוד השופט טננבאום שרק כאשר יש מחסום איתן והוא נפרץ הרי זו חדירה, ואילו בהעדר מחסום כלשהו אין לדבּר על חדירה, ודאי שלא על חדירה שלא כדין. אפשר לומר שאם הכניסה היא קלה או שאין אמצעי אבטחה הרי שלא מתקיימת חדירה. 

בעניין מזרחי[4] קבע אותו מותב (כשהפעם הוא סותר את קביעתו בעניין  הלוי),  ש'חדירה' מתקיימת בכל תקשורת אינטראקטיבית בין מחשבים שונים ואין צורך שתלוּוה בנזק, והרכיב 'שלא כדין' הוא שיבחין בין מותר לאסור ויספק את הגוון הפלילי.

קיימות גישה לפיהן חדירה למחשב היא אך ורק כאשר אדם חודר ללבו ולקרביו של המחשב- חדירה שעל־פי־רוב כוללת גם פגיעה בו, ובדרך כלל במיומנות רבה. כך קבע כבוד השופט רון בעניין עזרא.[5] לדבריו מטרת החוק היא הגנה על המרחב הקבירטי: המחשב כאובייקט, ביטחון המכשיר ומרכיביו. להגנה מפני עברות אחרות יש איסורים אחרים. בית המשפט סבור שראוי להחיל את עבירת החדירה רק על מי שפורץ 'מנעול' טכנולוגי שהגן על הגישה החיצונית לאתר. אך מה בנוגע לשימוש בדרקנט? האם התקנת דפדפן טוֹר וגלישה בדרקנט כמוהן כפריצת "מנעול" טכנולוגי לפי שיטה זו? האם רכישת מטבעות וירטואליים והסתתרות בדרקנט כדי לעבור עבירות הן פריצת "מנעול" כאמור? ביחס לשאלות אלו הגיוני לצפות שבית־המשפט יבקש תשובה מהמחוקק, כפי שאומנם עשה בעניין עזרא.

לגישתו של אסף הרדוף,[6] עבירה של חדירה לחומר מחשב שלא כדין צריכה לחול  רק על מקרים של התגברות ישירה על מחסום טכנולוגי. אם העקיפה הושלמה על־ידי פלוני, והוא מכר את התוצר (סיסמא, למשל) לאלמוני, פלוני אשם בחדירה שלא כדין, ואילו אלמוני – בגישה ללא הרשאה (עבירה שיש ליצור, בגבולות מוקפדים) וכן בעבירות שעבר, אם עבר. הרדוף הגיע לתוצאה זו מניתוח פסקי־הדין של השופט טטנבאום בעניין הלוי ובעניין מזרחי, וייתכן שבדוגמאות הספציפיות האלו מסקנה זו מתקבלת.

גישה מצמצמת זו מקורה באופן השימוש המיושן יותר במחשב, שאוּפיין בסיסמאות סודיות, שמי שפרץ אותן נחשב לפצחן ("האקר") מתוחכם המסוגל לגבור על מחסום טכנולוגי באופן ישיר, ומדובר בהגנה שהייתה נדרשת בשעתה. אלא שהיום, בעידן ההצפנה, הרשתות הסמויות כמו הדרקנט (Darknet), אפשר להגיע בקלות רבה לעולם עברייני  מתחת לפני השטח , כאשר ההתגברות הטכנולוגית הישירה היא בת־השגה לכל מאן דבעי, ולכן יש לראות בהגדרה זו הגדרה נוקשה ביחס לאמצעים הטכנולוגיים העכשוויים.

בעניין בן קאסם^[7] הורחבה פרשנות חוק המחשבים, ונקבע כי החוק לא נועד להילחם אך ורק בשיטות ספציפיות של עבריינות מחשב אלא נועד למנוע מצב שבו טכנולוגיית המחשב, אשר ניתן לה ביטוי בכל שדות הפעילות המודרניים, תהפוך לכר פורה של פעילות עבריינית, בין אם המחשב הוא מטרת העבירה (למשל – הרס רשת מחשבים חיונית) ובין אם המחשב הוא אך כלי לביצוע העבירה.

ברע"פ עזרא קבע בית־המשפט העליון כי יש להעניק למונח  'חדירה' פרשנות מרחיבה, מילולית, לפיה כל ממשק בין מחשבים (דוגמת שליחת דוא"ל) מקיים את דרישת החדירה, שכן המחשב השולח מחדיר מידע למחשב המקבל. היסוד ההתנהגותי של העבירה, רכיב החדירה, מתגבש מעצם קליטתו של מידע במחשב.[8]

על־פי דויטש, חדירה לחומר מחשב היא עבירה באמצעות מחשב, כיוון שהחדירה למחשב היא שלב ראשוני הכרחי בדרך לעשיית עבירות נוספות באמצעות מחשב האינטרס שבאיסור על עבירה זו הוא למנוע את השלב המקדים, כלומר – למנוע ביצוע עבירות כבר בשלב הכנתן. אם כך, תכלית האיסור על חדירה שלא כדין היא למנוע ביצוע עבירות באמצעות מחשב או כלפי מחשב, ויש בכך משום חיזוק לפרשנות המוצעת כאן לפיה שימוש בביטקוין לצורך עבירה פלילית הוא חדירה למחשב. במישור הפלילי מבקש החוק להרתיע מפני חדירה למחשב, בהיות החדירה צעד המשמש בדרך כלל הכנה לעבירה אחרת ומחמת הקושי להוכיח את העבירה האחרת.

האינטרס המוגן על־ידי חוק המחשבים במסגרת העבירה של חדירה לחומר מחשב, אם כן, הוא מניעתו של השלב המקדים בביצוע עבירות נוספות באמצעות המחשב. המחוקק מבקש למנוע מראש את השלב המקדים, ובכך הופך את החדירה לחומר המחשב לעבירה בפני עצמה.

 "שלא כדין"

עד כה עמדנו על פרשנות המונח 'חדירה', וראינו שעל־פי פרשנות בית־המשפט העליון ורוח חוק המחשבים כפי שמופיעה בדברי ההסבר לחוק, יש לפרשו פרשנות תכליתית, מרחיבה. חדירה למחשב היא כל ממשק בין מחשבים.

כעת, יש להבחין בין חדירה כדין לחדירה שלא כדין. גם כאן החוק מותיר אותנו עם מונח רחב היקף מבחינה פרשנית. האם "שלא כדין" פירושו ללא רשות, הרשאה, הסכמה? או שמא "שלא כדין" פירושו שלא על־פי כל דין, דהיינו, שיש בפעולה כדי לעבור על דין קיים?

על־פי דויטש, ה"דין" הוא או הסכמה מוסמכת (לדוגמא, רשות שנותן פלוני לאחר להחדיר תוכנה למחשבו האישי של פלוני) או כאשר קיים דין המתיר את הפעולה (לדוגמא, אנשים השובתים כדין, וכתוצאה מהשביתה הם זונחים את עבודתם במחשב ומידע נפגע). לשון אחר, דויטש מתמקד בָרְשות או בסמכות לבצע את החדירה. בשני המקרים אפשר לשאול: האם היה מותר? האם מישהו – לרבות החוק – אִפשר את הפעולה? נראה כי את האפשרות השנייה אפשר להרחיב מִקל וחומר – אותם עובדים ששובתים שובתים כדין, ולכן נהנים מהגנת החוק ואי־אפשר להעמידם לדין בגין המידע שנפגע במחשבים בזמן ששבתו. אך אם השביתה הייתה אסורה (למשל, בניגוד להוראות בית־המשפט), האם היו עומדים לדין בגין הפגיעה בחומרי המחשב? נראה שכן – הם פגעו בחומרי מחשב – אומנם בלי לגעת במחשב (!) – כשאין להם רשות לא לבצע את עבודתם הכרוכה במחשבים. מכאן אפשר להסיק שהמונח "שלא כדין" מתייחס גם לכל דין.

אורין קֵר (Orin Kerr),[9] פרופסור למשפטים בבית־הספר למשפטים 'גוּלד' של אוניברסיטת דרום קליפורניה, מונֶה שני סוגים שונים של שימוש "שלא כדין" במחשב. האחד מבוצע באמצעות "עקיפת טכנולוגיה" – התגברות על מכשול טכנולוגי (דוגמת דרישת סיסמא), והשני באמצעות "עקיפת חוזה" – בחדירה למחשב באופן שאינו מורשה (למשל כניסה לאתר בלי לקרוא את תקנון האתר). לטענתו יש להעמיד לדין רק מי שעקף מכשול טכנולוגי, וזאת מן הטעם שאדם שהתגבר על מכשול טכנולוגי עשה מעשה חמור יותר, הראוי לטיפול במסגרת המשפט הפלילי. צמצום זה נובע מהחשש ממדיניות שתאפשר הרשעת כל אדם שעשה שימוש לא־מותר במחשב (נער בן 16 שצפה בפורנו ללא קריאת תנאי האתר המאפשרים צפייה מעל גיל 18). גם קֵר, בדומה להרדוף, מדבר על מכשול טכנולוגי שמי שעוקף אותו עשה מעשה חמור וראוי להעמידו לדין פלילי.

באמנה הבין־לאומית לפשעי מחשב[10] עבירת החדירה למחשב מתוארת במונחים 'גישה' ('access') ו'ללא זכות' ('without right') כדלהלן: "the access to the whole or any part of a computer system without right". דברי ההסבר לאמנה מגדירים מונחים אלה: 'גישה' מוגדרת ככניסה למערכת מחשוב, כולה או חלקה, כמו גם למערכת מחשוב אחרת אשר מחוברת אליה רשתית; והמונח 'ללא זכות' מוגדר כהתנהגות ללא סמכות (בין בחקיקה בין בהוראה מנהלית, שיפוטית, חוזית או הסכמית) או כהתנהגות שאינה חוסה תחת הגנות משפטיות מעוגנות, תירוץ, הצדק או עיקרון משפטי רלוונטי אחר בדין המדינתי. נראה כי כדאי לבכּר את ההגדרה 'ללא זכות' על־פני ההגדרה 'שלא כדין', משום שהעומד מאחוריה הוא זכותו של אדם לעשות מעשה. אין לאדם זכות להיכנס למחשב ולשלם באמצעותו בביטקוין על סמים משום שמעשה זה עומד בניגוד לחוק הפלילי. כיוצא בזה אין לאדם זכות להיכנס למחשב ולגנוב יצירה כי הדבר עומד בניגוד לחוק זכויות יוצרים, אין לו זכות לממן טרור וכן הלאה.

האם יש בכלל צורך בחוק המותאם להתפתחות הפשיעה ברשת?

האם האינטרנט דורש מערכת מותאמת של כללים או האם מערכות הכללים הקיימות, באמצעות פרשנות יכולות לחול על כל ההיבטים בשימוש באינטרנט?.

לכל אפשרות יתרונות וחסרונות. לחקיקה כוח בקביעת מדיניות רחבה, המבוססת על מחקר וצבירת ידע בהכנת הצעת החוק. לעומת זאת, בית המשפט מחויב לפתרון הסכסוך שלפניו. שסכסוך זה לא בהכרח מייצג את כל האספקטים של הסוגיה הנדונה. אם כי בוודאי בתי המשפט לוקחים בחשבון את השלכות הפסיקה על שחקנים אחרים, אך עדיין הכרעה שיפוטית היא תמיד נקודתית לאותו מקרה נבחן.

לקבלת ייעוץ, ייצוג וליווי בעניין עבירות מחשב פנו למשרדנו

עו"ד חיים יואל בת-אל

---

[1] מיגל דויטש "חקיקת מחשבים בישראל" עיוני משפט כב(2) 427, 430 (1999).

[2] חיים ויסמונסקי"על ענישה בעברות מחשב" מחקרי משפט כד 81, 84–85 (2008).

[3] ת"פ (שלום י-ם) 9497/08 פרקליטות מחוז ירושלים נ' הלוי, פס' 8–26, 44–50. (פורסם בנבו 29.11.09)

[4] ת"פ (שלום י-ם) 3047/03 מדינת ישראל נ' מזרחי, פדאור 04(12) 769, 791-794 (2004). מדובר באדם חסר הבנה באבטחת מחשבים, נכנס לאתר המוסד למודיעין ולתפקידים מיוחדים אליו הצטרף

 וחשד שהשרת אינו מאובטח. מכיוון שהאתר לא אפשר לתקשר עם מנהליו למעט מילוי טופס בקשת הצטרפות, פנה לאתר העוסק באבטחת מחשבים והוריד בחינם תכנה לבדיקת כשלי אבטחה. הוא הפעיל את התוכנה והתוכנה נתנה פלט שמזרחי לא הבין. הוא הואשם בניסיון חדירה לחומר מחשב. מזרחי זוכה, בית המשפט קבע שלא הוכח כי רכב 'שלא כדין', אין פסול בבדיקת אבטחתו של אתר שהרי כל האתרים קשורים ופגיעותו של אח משפיעה על האחרים. אם היה מוכח שמטרת בדיקת כשלי האבטחה הייתה במטרה לנצל כשלים אלו אז היה ניסיון לעבור עבירה. 

[5] ת"פ (שלום י-ם) 40102-06-10 מדינת ישראל נ' עזרא, (פורסם בנבו, 12.2.12)

[6] אסף הרדוף "דיני העונשין גולשים באינטרנט: היסוד הפיזי הווירטואלי" הפרקליט נב 67 (2013).

[7] ת"פ (מחוזי תל אביב ) 40250/99 מדינת ישראל נ' מונדיר בן קאסם בדיר, (פורסם בנבו, 13.11.01)

[8] רע"פ 8464/14 מדינת ישראל נ' ניר עזרא (פורסם בנבו, 15.12.2015).

[9] ראו: Orin Kerr, Cybercrime's Scope: Interpreting "Access" and "Authorization" in Computer Misuse Statutes, 78 N.Y.U. L. Rev. 1596, 1641, 1664, 1649 (2003).

[10] ראו: Council of Europe, Convention on Cybercrime, 185 European Treaty Series (2001)

http://www.europarl.europa.eu/meetdocs/2014_2019/documents/libe/dv/7_conv_budapest_/7_conv_budapest_en.pdf. האמנה נחתמה ואושררה הן על־ידי ארצות־הברית הן על־ידי בריטניה, אך לא על־ידי ישראל.