הצטרפות לדואר חשמלי | הסרת מנוי מדואר חשמלי
|
|
|
|
הפרקליטות: המחשב המקולקל של המדינה תקין לחלוטין 21/12/2009
| גיליון מספר 108 | משה הלוי halemo כדי שבית המשפט יקבל ראיות שמקורן במחשב, בעל
המחשב חייב להוכיח שהמחשב והתוכנה בו תקינים ומאובטחים. אך מה קורה כאשר המדינה
מעמידה לדין אדם בעבירה של חדירה לחומר מחשב שלא כדין ובשיבוש עבודת המחשב
הממשלתי? מצהירים שהמחשב שחדרו אליו תקין ומאובטח מפני חדירה. רשומה מוסדית בעידן המודרני, משמשים פלטים שהופקו ממחשב
כראיות קבילות בבית המשפט. בית המשפט יקבל פלטים כראיה לאמיתות תוכנם אם
מתקיימים מספר תנאים, ובהם שהמחשב והתוכנה שלו תקינים, ובעל המחשב נוקט באורח
סדיר באמצעי הגנה סבירים מפני חדירה לחומר מחשב ומפני שיבוש בעבודת המחשב. כך למשל, אם הבנק שלכם ינסה להוכיח בבית
המשפט שאתם חייבים לו כסף בגלל מינוס בחשבון העובר ושב שלכם, הוא יצרף לכתב
התביעה פלט מחשב ובו פרטי החשבון שלכם וכן פירוט של רשומות של כניסת כסף ויציאה
כסף. בנוסף, אם העניין יגיע לשלב ההוכחות, יוגש תצהיר שבו אחד מפקידי הבנק או
אחד מאנשי המחשב של הבנק, יצהיר כי בעבודה השוטפת של המחשב בבנק מתקיימים כללים
שונים. הכללים שחייבים להתקיים מוגדרים בחוק הישראלי. סעיפים 35 ו 36 בפקודת הראיות, התשל"א
1971, מגדירים את ההוראות הבאות: 35. הגדרות (תיקון: תשל"ח,
תשנ"ה) בסימן זה - "הליך משפטי" - הליך
אזרחי או פלילי בפני בית משפט, שניתן להביא בו ראיות; "מוסד" - המדינה, רשות
מקומית, עסק או כל מי שמספק שירות לציבור; "עסק" - לרבות משלח יד; "פלט" - כהגדרתו בחוק
המחשבים, התשנ"ה-1995; "רשומה מוסדית" - מסמך,
לרבות פלט, אשר נערך על ידי מוסד במהלך פעילותו הרגילה של המוסד; "תאגיד בנקאי" -
כמשמעותו בחוק הבנקאות (רישוי), התשמ"א-1980, ולרבות בנק ישראל. 36. קבילות רשומה מוסדית (תיקון:
תשנ"ה) (א) רשומה מוסדית תהא ראיה קבילה
להוכחת אמיתות תוכנה בכל הליך משפטי, אם נתקיימו כל אלה - (1) המוסד נוהג, במהלך ניהולו
הרגיל, לערוך רישום של האירוע נושא הרשומה בסמוך להתרחשותו; (2) דרך איסוף הנתונים נושא
הרשומה ודרך עריכת הרשומה יש בהן כדי להעיד על אמיתות תוכנה של הרשומה; (3) היתה הרשומה פלט - הוכח
בנוסף, כי - ((א)) דרך הפקת הרשומה יש בה כדי
להעיד על אמינותה; ((ב)) המוסד נוקט, באורח סדיר,
אמצעי הגנה סבירים מפני חדירה לחומר מחשב ומפני שיבוש בעבודת המחשב. (ב) היתה הרשומה פלט, יראו לענין
סעיף קטן (א)(1) את מועד עריכת הנתונים המהווים יסוד לפלט, כמועד עריכתה של
הרשומה. (ג) הוראות סעיף קטן (א) לא יחולו
על רשומה אשר נערכה על ידי רשות מרשויות החקירה או התביעה הפלילית והמוגשת בהליך
פלילי על ידי רשות כאמור. אין בהוראות סעיף קטן זה כדי לפסול או להגביל הגשת
רשומה כאמור, אם ניתן להגישה בהתאם להוראות סעיף 39ב. (ד) התקבלה ראיה מכוח סעיף זה,
יהיה הצד שכנגד זכאי לחקור חקירה נגדית עדים שזומנו על ידו לעדות, לשם הזמת
הראיה, אם עדים אלה קשורים עם בעלי הדין שמטעמו הוגשה הראיה. במילים פשוטות, כדי להוכיח לבית המשפט שהראיה
שמקורה במחשב היא נכונה ואמיתית, בעל המחשב חייב להצהיר שאי אפשר לחדור למחשב
שלו, וקיימים אמצעי אבטחת מידע סבירים מפני חדירה או שיבוש. בנוסף, בעל המחשב
יצהיר שהמוסד מתעד בזמן אמת נתונים שונים (ולא נניח רק לאחר מספר ימים). בעל דין (למשל האזרח בעל חשבון הבנק) שלא
מסכים למה שהמחשב טוען, ינסה לתקוף את פלט המחשב באמצעות מומחה משלו שיעיד
שהמחשב של הבנק לא תקין (למשל יעשה מאזן ויראה שהריביות אינן מחושבות נכון) ו/או
יביא עדים משלו שיעידו על הפעולות שנעשו, בניגוד למה שפלט המחשב טוען
("בעלי הפקיד 1,000 שקל אבל המחשב רשם רק 100 שקל"). משפט פלילי אך מה קורה כאשר המדינה מעמידה לדין אדם
בעבירות של חדירה לחומר מחשב שלא כדין ובעבירות של שיבוש חומר מחשב ו/או העברת
מידע כוזב ו/או מבצע פעולה שתוצאתה תהיה פלט כוזב? המדובר במחשב ששייך למדינה. לכאורה, הדינים הרגילים של הראיות צריכים
לחול על המקרה. יבואו עדים, האנשים שמטפלים במחשב, ויעידו מה קרה. חלק מעדותם
נמצא כבר בחומר החקירה שאספה המשטרה, ואלה הם פלטי המחשב. אך כאן טמונה הבעיה: פלטי המחשב שבידי
המשטרה. אם חדרו למחשב הממשלתי בקלות רבה כל כך, ואם עדיין אפשר לחדור אליו
בקלות רבה כל כך, איך בכלל פלטים אלה מקיימים את התנאים הקבועים לעניין הרשומה
המוסדית? ובכן, הם ממש לא. הפלטים הללו פשוט לא אמינים. בנוסף, בחומר החקירה אחד העדים מספר שלא
נשמרו לוגים לפעולות האחרונות שבוצעו באתר האינטרנט, מאחר ושרת המחשב שומר לוגים
למספר ימים בודדים בלבד. כאשר גילו את התקלה, כבר היה מאוחר מדיי. הלוגים לא
נשמרו. בפרקליטות מחוז ירושלים החליטו לפתור את
הבעיה הראייתית הקשה. על פי עדי התביעה כפי שהעידו במשטרה ובמזכרים שאינם חלק
מחומר החקירה, המחשב (ואתר האינטרנט) סבל וסובל מבעיות קשות ומתקלות שלא תוקנו;
היה קיים מחדל והיו הרבה תקלות; חסר מידע על פעולות שבוצעו בזמן החדירה למחשב;
החדירה היתה כל כך קלה ועדיין כל כך קלה. אך הפלא ופלא: כל זה לא מונע מהפרקליטות
לנסות ולהוכיח בבית המשפט שהמחשב עבד בצורה תקינה לחלוטין ואף היה היה מאובטח
למשעי. לקראת שלב ההוכחות מבקשת הפרקליטות משני עדי
התביעה, מומחים לאבטחת מידע, אחד מטעם ממשל זמין (תהיל"ה) והשני - מומחה חיצוני
מטעם המרכז לגביית קנסות, להצהיר על תקינותם של הרשומות המוסדיות, בהתאם להוראות
סעיף 36 לפקודת הראיות. שני עדים אלה חותמים על תצהירים שהכינה
הפרקליטות, ותצהירים אלה מוגשים לבית המשפט כבר בפתיחת עדותם. מחזה אבסורדי זה, לא יובן לעומד מן הצד, וגם
לא לנאשם, אך נפלאות הן דרכי הפרקליטות להוכחת אשמתם של נאשמים בעבירות מחשב:
הנאשם חדר למחשב אבל המחשב היה מאובטח מפני חדירה; פלטי המחשב מתעדים את כל שקרה
בצורה אמינה מאוד, אבל עדיין - חסר מידע רלבנטי להוכחת האשמה, כי המחשב לא תיעד
את הכל. אין אפילו כתובת IP
אחת לרפואה (יש כתובות אחרות לא רלבנטיות). מאחר ועדי התביעה אינם שקרנים מקצועיים,
עדותם חושפת את המחדלים הקשים בעבודת המחשב הממשלתי: "תקלה חמורה"
יאמר אחד העדים. השני יוסיף שהתכנתים התעלמו מההוראות לכתוב את התוכנה בצורה
מאובטחת. שניהם יצקצקו בלשונם ויסבירו שהפעולות שביצע הנאשם לא היו נורמטיביות,
ובכלל - אתר האינטרנט לא נבנה לעבודה של משתמשים לא נורמטיביים. איזה משתמש
נורמטיבי ירצה בכלל להתעסק עם הכתובת הטקסטואלית של הדף המוצג לפניו בדפדפן, ה URL ? התצהירים על קבילותה של הרשומה המוסדית
הופכים במהלך הליך ההוכחות לבדיחה מצחיקה על אנשי הפרקליטות: מצד אחד הניסיון
להוכיח שהמחשב תקין ומנגד עדי תביעה שהצהירו בכתב, אך מקשקשים את עצמם לדעת, בעל
פה, על דוכן העדים, עד כמה המחשב לא היה תקין. הנאשם אפילו לא צריך להביא מומחה
משלו. הפרקליטות ועדי התביעה שלה, עשו בשבילו את העבודה הקשה. הכרעת הדין מרוב תקלות (של הפרקליטות, לא של המחשב),
הביטוי "רשומה מוסדית" אינו מוזכר בהכרעת הדין. הכרעת הדין מספרת את
הסיפור הפשוט בלי להתייחס לנסיונה של הפרקליטות להכשיר שרצים אלקטרוניים בדמותם
של תצהירים סתמיים והזויים על טיבם של פלטי המחשב המצויים בחומר החקירה. אלא שפעולתה הנבזית של הפרקליטות צריכה
להדאיג את האזרח הקטן בריבו עם הממשלה ועם הצורך להוכיח שהוא צודק בקשר לפעולת
מחשב שביצע והממשלה היא זו שמשקרת. קשה מאוד להפריך תצהיר שבו מומחה מחשבים מטעם
המדינה מעיד בבית המשפט שהמחשב תקין והרשומה המוסדית כשרה למהדרין. כיצד יוכיח נאשם ו/או בעל דין שהוא דווקא זה
שצודק? למי בית המשפט יאמין? לשני מומחי אבטחת מידע מטעם המדינה, או לאזרח הקטן
שהשתמש במחשב הממשלתי? לא טעיתם... בית המשפט ייתן אמון בטענות המדינה ולא
בטענות הצד שכנגד. כל שנותר לבעל הדין לעשות בפעם הבאה, אחרי
שיגמור לרצות את המאסר ו/או עבודות השירות ו/או לשלם את הוצאות המשפט, הוא פשוט
לא להשתמש באתרי האינטרנט הממשלתיים, ולפעול בצורה הישנה והטובה: לעמוד בתור,
למלא ניירת, לקבל חותמת כחולה ולשמור ערימות מסמכים לעתיד. אם פרוייקט ממשל זמין רוצה לנחול הצלחה בקרב
אזרחי ישראל, הדבר הראשון שצריכים אנשיו לעשות זה פשוט להפסיק לשקר ולהסתיר
מחדלים, לספר את האמת לא רק בבית המשפט אלא גם בפני נציגי הפרקליטות וחוקרי
המשטרה, ולהפסיק להיגרר לפרובוקציות הזויות מבית היוצר של פרקליטות המדינה,
שמתאפשרות הודות לאווירת לינץ' רגעית ו/או תמידית כנגד האזרח הקטן. תפ 9497/08 הכרעת דין http://halemo.net/edoar/0107/state_vs_halemo_20091129.htm תצהיר ראשון על הרשומה המוסדית - זאב
רובינשטיין תצהיר שני על הרשומה המוסדית - גדעון ינקוביץ |
|
|
|
תגובות הקוראים |
|
|
|