אמנה בינלאומית לפשיעה קיברנטית

אמנה חדשה העוסקת בכל הנוגע לפשיעה הקיברנטית קורמת עור וגידים וממש בימים אלה נכנסת לשלב האחרון בו היא תאושר סופית על-ידי מועצת האיחוד האירופי ותחול על כל מדינה שתסכים לקבל אמנה זו על עצמה. מדובר בגרסה האחרונה (ה-27 במספר) של אמנה בינלאומית על פשיעה קיברנטית (The Convention on Cyber-Crime) אשר החלה בהחלטה תקדימית של הועדה האירופית לבעיות פשיעה במהלך חודש נובמבר בשנת 1996, בה הוחלט כי תוקם תת-ועדה המורכבת בעיקרה ממומחים בתחום הפשיעה הקיברנטית (The Committee of Experts on Crime in Cyber-Space). מטרת ועדת המומחים הייתה לבחון את סוגיית הפשיעה הגוברת בתחום הקיברנטי במספר מישורים.

בין היתר, נבחנו סוגיית סמכות השיפוט והדין החל (ראה מאמרים קודמים); במקרה אחר נבחנו וקוטלגו סוגי עבירות המחשב והאינטרנט. מטרת ועדת המומחים הייתה אחת – לכתוב טיוטת הסכם אשר הצדדים להסכם זה ובאמצעותו יקבלו לידיהם כלים שונים שיאפשרו להלחם בתופעת הפשיעה הקיברנטית. בהתאם לתוכנית הראשונית שהוצבה לועדת המומחים, עבודתה היתה אמורה להסתיים לפני כניסת המילניום השלישי. אולם לאור התנגדויות נחרצות על-ידי גופים שונים לנוסח המקורי של הצעת הועדה, רק ביוני, 2001, הוגשה הגרסא המשופרת והסופית לאישור הועדה האירופית שבתורה העבירה את הטיוטא הסופית לאישור סופי לועדת השרים של האיחוד האירופי והבאתה לחתימת המדינות החברות. גם בחו“ל כמו בישראל, ניתן לחלק את מטרת האמנה לשלושה חלקים. החלק הראשון נועד ליצור הרמוניה בין החוק המקומי על שלל סוגי העברות, החטאים והפשעים המוכרים בתחומו לבין הפשיעה הקיברנטית וזאת באמצעות הקמת מעין “מתאמים“ אשר יחברו בין השניים.

המטרה השנייה, לספק בידי הגורמים השונים שיעסקו בחקירה, אכיפה והגשת כתבי אישום בגין פשיעה קיברנטית – את הסמכויות, הכוח המשפטי וכלי הפרוצדורה המתאימים בכדי לעשות מלאכתם נאמנה. יצוין, כי במדינות רבות, לא רק שאינן רשאיות או יכולות לנקוט בהליכים שונים נגד עבריינים קיברנטיים מחוץ לתחומן, אין בידיהן את הכלים והתשתית הראויה לטיפול בעבירות שכאלה גם בתחומן. לפיכך, המטרה השנייה של האמנה הייתה גם לספק את אותן סמכויות ואותם כלים למדינות שעדיין לא הקימו תשתית מתאימה לטיפול בעבירות שכאלה.

המטרה השלישית והאחרונה של האמנה, נבעה מהצורך ליצור אחידות בין כל המדינות החברות לאמנה ולכן על האמנה לייצר מנגנון שיאפשר שיתוף פעולה בינלאומי מהיר ויעיל דיו בכדי להילחם בפושעים בעידן המידע המקוון. אין חולק כי מטרות אלה שהציבו בפניהם מחברי האמנה, הינן מטרות נעלות ולכאורה פשוטות למדי. אולם, הנחת קווים מנחים בכדי להגיע למטרות אלה אינו עניין של מה בכך. לראיה, במשך כ-5 שנים, הוחלפו ושוכתבו כמעט כל סעיפי האמנה בכדי שיתאימו למכנה המשותף הרחב ביותר של אופי החוק ודרכי מימושו הנהוגים בעולם המודרני ומקובלים על רוב המדינות המתוקנות.

בכדי לעמוד בדרישה שעל האמנה להיות קלה לקריאה, נהירה ופשוטה ליישום חולקה האמנה ל-4 פרקים ראשיים: הגדרות מושגים; אמצעים שיש לנקוט ברמה המקומית (שינויים במשפט מהותי והפרוצדורלי); שיתוף פעולה בינלאומי; סעיפים מסכמים. הפרק הראשון כולל בתוכו את מירב המושגים הקשורים לתחום הפשיעה בתחום הקיברנטי והמחשבים, כאשר הושם דגש מיוחד על הגדרות ספציפיות של עבירות שונות.

הפרק חולק ל-4 חלקים נוספים הכוללים הגדרה של תשעה סוגי עבירות: חדירה לא מורשית, תפיסה/ניטור לא מורשה, הפרעה למידע, הפרעה למערכת (מחשוב), שימוש שלא כדין של מכשירים, זיוף ממוחשב, הונאה ממוחשבת, עבירות הנוגעות לפורנוגראפית ילדים ועבירות הנוגעות לזכויות יוצרים וזכויות שכן. לדוגמה מספר הגדרות אשר בזמן הקרוב יחולו על מדינות רבות באירופה ואולי אף על ישראל. “חדירה בלתי חוקית“ (Illegal Access) – הגדרה זו כוללת את כל העבירות הבסיסיות הנוגעות לאיום או תקיפה של מנגנוני האבטחה המגנים על מערכות מחשב ו/או מידע. “חדירה“ מוגדרת ככניסה למחשב המחובר ברשת פנימית או חיצונית, המתבצעת ללא רשות. חדירה כזו המוכרת כ- “Hacking“, “Cracking“ או “השגת גבול ממוחשבת“ עשויה לחשוף את החודר למידע מסווג, לאפשר לו לעשות שימוש במערכות ללא תשלום ואף לעודדו לבצע עבירות חמורות יותר של הונאה וזיוף.

בעוד ברור כי הדרך הטובה ביותר להתמודדות עם איומים אלו הינה פיתוח אמצעי התגוננות מתאימים, פתרון מקיף ומלא לתופעה חייב לכלול גם הפעלת הליכים פליליים כנגד החודרים. יש להבחין, כמובן, בין מקרים אלו לבין מקרים בהם החדירה מבוצעת ברשות דוגמת הכניסה לאתר ברשת או שתילתם של “Cookies“ (המקלים על כניסה חוזרת לאתר). במדינות רבות כבר קיימת חקיקה פלילית בעניין זה אולם ישנם הבדלים רבים בגישה בין מדינה אחת לאחרת. בעוד שלפי הגישה המרחיבה, כל חדירה תהווה עבירה, הרי שלפי הגישה המצמצמת אין די בחדירה על מנת שתוגדר עבירה אלא יש להצמיד לחדירה אספקט נוסף כגון: התערבות במנגנוני אבטחת המידע, כוונה להשגת מידע מסוים ו/או כל הגדרה אחרת המבחינה בין חדירה “סתם“ לבין חדירה המהווה עבירה פלילית. ההבדל בין גישות אלה עלול לגרום לפער רחב ביישום האמנה במדינות השונות.

לדוגמא: סריקה (Port Scanning) אינה מהווה עבירה על-פי הגישה המצומצמת אך ניתן להגיש כתב אישום ואף להרשיעה בבית משפט הנוקט בגישה המורחבת. הגדרה נוספת הינה “קליטה בלתי חוקית“ (Illegal Interception) שדנה בהפרת הזכות לפרטיות בתקשורת נתונים. הרציונאל בעבירה זו זהה לעומד מאחורי איסורים מוכרים יותר כגון האיסורים על ביצוע ציטוט או הקלטת שיחות טלפון ללא אישור (ראה סדרת מאמרים קודמת על ניטור מידע פרטי במקום העבודה). מובן שגם במקרה זה, הכוונה הינה לתשדורות שאינן “ציבוריות“, במילים אחרות, אופן העברת המידע בין שני הצדדים בעל מאפיינים של תקשורת חשאית, לדוגמא: נעשה שימוש בהצפנה ו/או בתו המורה על תשדורת פרטית ו/או בכותרת נרשם כי המידע פרטי).

הזכות לפרטיות בתקשורת מעוגנת בסעיף 8 של האמנה האירופאית של זכויות האדם וכוללת את כל סוגי התקשורת האלקטרונית. על מנת לצמצם את סוגי המעשים הנכנסים בגדר עבירה זו הוצבה דרישה מקדמית והיא כי הקליטה תתבצע באמצעים טכניים, בין אם שלב הקליטה נעשה תוך התחברות לקווי תקשורת או יירוט של נתונים בתקשורת אל-חוטית. דרישה נוספת הנדרשת על מנת להגדיר מעשה מסוג זה כעבירה פלילית היא כי השגת המידע תתבצע במכוון וללא רשות. במדינות מסוימות, עשויה קליטה בלתי חוקית להתקשר לעניין חדירה בלתי חוקית ולפיכך אין מניעה להוסיף להגדרת העבירה אלמנטים שהוצגו לעיל כגון התערבות במנגנוני אבטחת המידע וכדומה. הגדרה בנושא פופולרי נוסף הינה “שיבוש מידע“ (Data Interference) שיועדה להבטיח פלטפורמה זהה להגדרת פגיעה מכוונת בתוכנות ובמידע, בדומה להגנה על אינטרסים מוחשיים וחפציים.

בין הפעולות האסורות על פי תקנה זו הם: גרימת נזק, השחתה, מחיקה, פגיעה בזמינות המידע, תיקון או שינוי המידע וכדומה, תקנה זו מהווה גם מקור לאיסור על החדרת וירוסים. מובן שעל מנת שפעולות אלו תיתפסנה כעבירות יש חובה שיעשו ללא רשות ובמכוון. בהקשר זה, שינוי נתונים על מנת להבטיח תקשורת אנונימית הינו לגיטימי ואינו מהווה עבירה, אולם שימוש שלא כדין ביכולות אלו, נניח לטובת ביצוע עבירה, יכול להיחשב כעבירה והכל בהתאם לנסיבות.

התניה נוספת המבחינה בין מעשה סתם לעבירה עשויה להיות מידת הנזק שנגרם. האמנה אינה מגדירה את מידת הנזק כהכרחית לגיבוש העבירה וכן לא קובעת מדד למידת הנזק הנדרש, קביעות אלו מוגדרות כפרשנות הניתנת לכל מדינה באופן ספציפי. כל שפורט לעיל הינו קצה קצהו של האמנה ולאלה מבינכם הנוגעים בתחום אבטחת המידע ו/או בכלל כדאי לתת את הדעת להתפתחות בינלאומית זו מאחר וקיים סיכוי כי היא תחול גם בישראל בשלב זה או אחר. “שיבוש מערכות“ (System Interference) – תקנה זו אוסרת את הפגיעה במערכות מחשב או תקשורת או את העיכוב בכשירותן באמצעות שימוש במידע ממוחשב, זאת על מנת להבטיח את תקינותם של מערכות אלו. בדומה לשיבוש מידע, גם שיבוש מערכות יכול להיעשות באמצעות החדרת וירוסים, מחיקת מידע, שינוי קבצים ומידע, “הפצצת“ מחשב בכמויות מידע גדולות וכדומה. על מנת ששיבוש או עיכוב יחשב לעבירה פלילית ישנה דרישה כי העיכוב יהיה “חמור“, ההחלטה איזה מקרה הוא חמור נתונה בידי המדינות והגופים השונים, לפי פרשנותם. כמו כן הפעולה חייבת להיות ללא רשות ובכוונה לגרום שיבוש / עיכוב משמעותי.

הפצת מידע מסחרי בדוא“ל יכולה בהחלט להוות מטרד, בייחוד כאשר נשלח מידע רב ו/או בתדירות גבוהה, אולם הדעה הרווחת היא כי פעילות זו אינה מהווה עבירה פלילית, אלא אם נעשית בכוונה לגרום לשיבוש מערכות. שימוש בלתי הולם ב“ציוד ייעודי“ – האמנה מגדירה כעבירה נפרדת מקרים בהם נעשה שימוש מכוון ובלתי הולם בציוד ייעודי, על מנת לגרום לאחת העבירות המופיעות לעיל. המדובר בשימוש במעין “כלי פריצה“ (Hacker Tools) לצורך ביצוע מעשים שאינם חוקיים. הרציונאל בקביעת עבירות אלו באופן נפרד מהעבירות הכלליות הוא הרצון לעקור תופעה זו מן השורש וכן למנוע תופעות כגון שוק שחור בכלי פריצה. נוסף על תקנה זו, האוסרת שימוש שלא כדין בכלים אלו, קיים איסור על ייצור, מכירת, החזקת והפצת כלים כאלו. האמנה מסמיכה כל מדינה או גוף לקבוע לגבי תחום שיפוטו מהם אותם אמצעים אסורים (הואיל וישנם גם אמצעים דו-תכליתיים שלאו דווקא משמשים לביצוע עבירות), עם זאת ישנה תמימות דעים כי על כל הגופים והמדינות לאסור באיסור פלילי לפחות את המכירה, ההפצה או יצירת הנגישות לסיסמאות או מידע פרטי.