דו"ח: הרשויות עושות שימוש עצום בכלי סייבר – ופוגעות בזכויות האזרח

רשויות אכיפת החוק בישראל עושות שימוש נרחב מאוד בכלי סייבר, בהם רוגלות, ופוגעות בזכויות האזרח – כך קובע דו"ח של איגוד האינטרנט הישראלי, שפורסם היום (ג'). בין אותם גופים נמנים המשטרה, מצ"ח, רשות ניירות ערך, רשות המיסים והרשות להגנת הפרטיות.

הדו"ח אמנם לא קובע במפורש שהשימוש שהמשטרה עושה בתוכנת סייפן, שהיא גרסה משונמכת של פגסוס מבית NSO, לא חוקי, אולם הוא מציין את השימוש הזה ובהמשך קובע כי "חשוב להבין כי ביצוע של 'האזנת סתר לתקשורת בין מחשבים' באמצעות רוגלות דוגמת פגסוס לרוב כרוך בביצוע העבירות הפליליות שקובע חוק המחשבים: שיבוש או הפרעה למחשב או לחומר מחשב; חדירה לחומר מחשב; כתיבה או העברה של תוכנה שתוצאתה תהיה מידע כוזב או פלט כוזב; או פעולות אסורות בתוכנה".

על פי הדו"ח, בישראל הוצאו בשנים האחרונות עשרות אלפי צווי חיפוש בטלפונים חכמים ובוצעו חיפושים רבים נוספים בהסכמת הנחקר. מחברי הדו"ח מסייגים את ה-"הסכמה" בהקשר זה ומציינים שלא אחת, היא ניתנת בסיטואציה של פערי יחסי כוחות בין החוקר לנחקר. הדו"ח קובע כי מדי שנה ניתנים מעל 20 אלף צווים המתירים חיפוש במחשבים, ובכלל זה בסמארטפונים, של נחקרים. ב-2019 לבדה הנתון עמד על 24 אלף. בנוסף, רק 0.7% מהבקשות שהגישה המשטרה ב-2020 לצווים שיפוטיים לפי חוק האזנות סתר – נדחו. מדובר ב-26 מ-3,692 בקשות. ב-2021 נרשם נתון מדאיג אף יותר, כאשר 3,350 מ-3,359 הבקשות שהוגשו – התקבלו.

באיגוד האינטרנט אמרו ש-"נתונים אלה מציגים על קצה המזלג את היקף התופעה וממחישים את היקף ופוטנציאל הפגיעה בזכויות ובחירויות אזרח של עשרות אלפי אנשים בשנה. מעגל הפגיעה של טכנולוגיות מתקדמות לחדירה וחיפוש בטלפונים ניידים לא מוגבל לאדם הנחקר, נוכח העובדה שמכשירים אלה מאחסנים לרוב מידע ונתונים רגישים של צדדיים שלישיים, כגון תמונות או סרטונים המתעדים גורמים תמימים ובלתי מעורבים, כגון בני/בנות זוג וילדים, או התכתבויות ומידע פנימי של ארגונים וחברות. מדובר במספר עצום של אזרחים שמושפעים מהשימוש המשטרתי בטכנולוגיות אלה".

הפגיעה העיקרית – באוכלוסיות שגם כך סובלות משיטור יתר

בדו"ח צוין כי השימוש הנרחב של רשויות החקירה בטכנולוגיות שחודרות לטלפונים החכמים פוגע בעיקר באוכלוסיות מוחלשות, שגם כך סובלות משיטור יתר, כגון יוצאי אתיופיה ולא יהודים. באיגוד האינטרנט קוראים לאסדרה חוקית של הנושא. כמו כן, הם קוראים להשית רגולציה על חיפוש מידע בענן שמאוחסן מחוץ לגבולות ישראל, ולהטיל חובת תיעוד מוגברת של פעילות הכלים הפורנזיים לפריצה ולחיפוש במכשירים חכמים.

מחברי הדו"ח אף ממליצים לחייב את רשויות האכיפה בשקיפות, במקרים של חקירות לא ביטחוניות, ובאופן כללי, למחוק מהמאגרים שלהן בתוך חודשים ספורים כל נתון שהן דלו מהמכשיר ושלא קשור למטרה שלשמה הוצא צו החיפוש, ולהתיר להן להכניס למאגרים רק מידע שרלוונטי לחקירה. עוד הם קוראים להגביל את ה-"הסכמה" של הנחקרים לחיפוש במכשירים שלהם, לאור העובדה שנחקרים חשים לעיתים מאוימים ולא תמיד מודעים להיקף החיפוש שרשויות החקירה עשויות לבצע במכשיריהם.

במקרים של מעצר או שהחקירה מניבה כתב אישום, קוראים באיגוד האינטרנט "לעדכן את מסגרת הדין והנוהל לחדירה וחיפוש במכשירים חכמים, כדי להבטיח את זכות האזרח להליך הוגן, ולשמור על האינטרס הציבורי להבטחת אמינות ומהימנות הראיות המובאות בפני בית המשפט – הן ביחס לאמינות הכלים הטכנולוגיים, והן ביחס לשרשרת הראייתית והגנה מפני זיהום החקירה".

מה אנחנו לא יודעים?

הדו"ח כולל שורה של שאלות שאנחנו עדיין לא יודעים את התשובות אליהן, כמו: מה ההיקף ההפעלה של כלים פורנזיים לחדירה ולחיפוש בסמארטפונים, דוגמת כלי סלברייט, בידי רשויות החקירה והאכיפה? האם יש לגופים האלה מדיניות ברורה לשימוש במידע? מה היקף השימוש של רשויות האכיפה בתוכנות באמצעות הדבקה מרחוק, דוגמת סייפן? האם גופי האכיפה מיישמים טכנולוגיות נוספות מסוג זה? מה פוטנציאל זיהום החקירה של המערכות האלה, הכרוכות בשיבוש פעילותו התקינה של המכשיר, ובמיוחד של מערכות אבטחת המידע שלו? וכמה מהחיפושים במכשירים כללו חיפושים גם בחשבונות הענן הקשורים אליו?

מחברי הדו"ח ציינו כי "המסגרת החקיקיתית של דיני החיפוש בישראל מיושנת ולא מאפשרת מנגנוני פיקוח וביקורת מספקים נגד שימוש חורג או לא הכרחי של רשויות האכיפה השונות בכלים טכנולוגיים רבי עוצמה לחילוץ נתונים אישיים ממכשירים חכמים ומחשבונות הענן המקושרים אליהם. הצורך בעדכון בוער במיוחד כיום, בעידן מחשוב הענן, שכן יכולתם של גופי האכיפה לחדור ולחפש בחשבונות ענן הנגישים מהמכשיר היא הרחבה עצומה של סמכויות החקירה וחודרנותה".

מערכת אנשים ומחשבים פנתה למשטרה בבקשת תגובה. אם וכאשר תגיע תגובה – היא תפורסם.