השבוע פורסם כי בפורטוגל עדכנו את חוק הסייבר במדינה כך שיגן על חוקרי סייבר המוצאים חולשות באתרים שונים מהעמדה לדין.
זה לא סוד שחוקרי אבט"מ המדווחים על חולשות נתקלים לעיתים בחוסר מענה, תגובות מזלזלות, עוינות ולעיתים אף איומים בתביעה פלילית על חדירה למאגרי מידע ללא רשות וכו' וכו'…
האם יש באיומים האלה ממש?
מצטט לכם את סעיף מספר 4 מחוק המחשבים, התשנ״ה (1995):
החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו – מאסר שלוש שנים; לענין זה, ”חדירה לחומר מחשב“ – חדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו, אך למעט חדירה לחומר מחשב שהיא האזנה לפי חוק האזנת סתר, התשל״ט–1979.
החוק הוא ישן יחסית, וכמו שאתם רואים, הוא אינו מבדיל בצורה מפורשת בין תוקף זדוני לחוקר אבטחה שכוונותיו טובות, כך שמבחינה טכנית-משפטית, כל חדירה למערכת ללא אישור (גם אם המטרה היא למצוא פרצה ולדווח עליה) נחשבת לעבירה פלילית.
אז כל חוקר יכול עכשיו להיכנס לכלא?
לא בדיוק, בהנחיית פרקליט המדינה (2.38) סעיף 15א, ניתן למצוא סייג לעונש שמופיע בחוק המחשבים, המנסה להסדיר, ולא במעט, את הפעילות של חוקרי אבטחת מידע:
כאשר מבוצעות פעולות לאבטחת מידע או להגנה מפני דליפת מידע ממוחשב, ואגב ביצוען מושגת גישה לחומר מחשב ללא ידיעה או ללא הסכמה של המחזיק בו, והדבר נעשה בתום לב, ללא מניעים נוספים, בלא שנעברו עברות נוספות וללא עיון של ממש בתוכנו של המידע הממוחשב – הרי שככלל תגבר הנטייה להמנע מהעמדה לדין של החשוד.
לפני הנחיית הפרקליט אם מדובר בחוקר שפעל בתום לב תגבר הנטייה להימנע מהעמדה לדין.
מרגיע אתכם? כנראה שלא לגמרי, וזו הסיבה שארה"ב, גרמניה ועכשיו גם פורטוגל מסדירות את הנושא בחוק ומאפשרות לחוקרי אבט"מ להרגיש בטוחים יותר כשהם מבצעים חקירות ומדווחים על חולשות אבט"מ.
אז מה עושים היום חוקרי אבט"מ בישראל שרוצים לדווח על חולשות?
מערך הסייבר הסדיר את הנושא חלקית כאשר הוא מאפשר לחוקרים להעביר דרכו את הפרטים על החולשה והם אלו שפונים לארגון עם הפרטים. התהליך אמנם מונע חיכוך ישיר בין החוקר לארגון, אך הוא עדיין לא מושלם והנושא עדיין לא מוסדר בחוק בישראל…