פרקליט המדינה ממליץ: האקרים שחושפים פרצות אבטחה לא יועמדו לדין
הנחייה חדשה שפרסם שי ניצן ממליצה להימנע מהעמדה לדין של מומחי סייבר, במקרים בהם השתמשו בטכניקות האקינג כדי לגלות חולשות ופרצות בשירותים ויישומים. מומחי סייבר מסרו ל"כלכליסט" שמדובר בהקלה חשובה, שתסייע לשפר את האבטחה ברשת הישראלית
- ייזהר הגולש: האקרים מתחזים לחברת סלקום, מנסים להשיג פרטי אשראי
- איגוד האינטרנט הישראלי יוצא למלחמה נגד חוק הסייבר החדש
- חמאס תוקף גם בסייבר - באמצעות אפליקציית "צבע אדום" מזויפת
אנשי אבטחת מידע מנסים לעיתים לפרוץ לאתרים וחושפים חולשות ופרצות אבטחה, במטרה לדווח עליהן למפעיל האתר ולהוביל לסגירתן - ומשתמשים בטכניקות פריצה שמנוגדות לחוק. זאת, אף שמטרת פעילותם היא התרעה ותיקון פרצות, ולא גניבת מידע וחשיפתו או שימוש בו במסגרת פעולות פשיעה. כתוצאה מכך, הם נאלצים להתמודד לא פעם עם איומים מצד גורמים שונים.
"כמעט בכל מקרה של חולשת אבטחה עליה אני מדווח יש איומים מפורשים או מרומזים מצד הגוף הפרוץ. מעטים המקרים שזה לא קורה", אמר ל"כלכליסט" ההאקר והאקטיביסט נעם רותם, שבחודשים האחרונים חשף בין השאר פרצות אבטחה במערכת שמשמשת חלק ניכר מהרשויות המקומיות בישראל, באתר כרטיס המסעדות סיבוס ובאתר הגיוס של שירות בתי הסוהר.
המתכנת הבכיר רן בר זיק, שבין השאר חשף דליפות מידע מאתר קרנות השוטרים ופרצה במערכת זימון התורים של רשות האוכלוסין, הוסיף: "אני בסכנה. ברור. זו הסיבה שאני עושה את זה עם מערכת עיתונאית כמעט תמיד. וכן, כמעט תמיד היו איומים כשעשיתי דיסקלוז׳ר לבד. זו הסיבה שאני ממש ממעט לספר על ליקויים במידה ויש כשל שלא מעניין מערכת עיתונאית". פרקטיקות סייבר שכאלה, שנשענות על כלי פריצה לזיהוי כשלי אבטחה, מכונות "כובע לבן" ונתפסות כלגיטימיות במדינות רבות בעולם.
עתה, הוראה שפרסם ניצן יכולה להקל במעט את החשש של ההאקרים גם בישראל. "כאשר מבוצעות פעולות לאבטחת מידע או להגנה מפני דליפת מידע ממוחשב, ואגב ביצוען מושגת גישה לחומר מחשב ללא ידיעה או ללא הסכמה של המחזיק בו, והדבר נעשה בתום לב, ללא מניעים נוספים, בלא שנעברו עברות נוספות וללא עיון של ממש בתוכנו של המידע הממוחשב - הרי שככלל תגבר הנטייה להימנע מהעמדה לדין של החשוד", נכתב בהוראה, שעוסקת באופן רחב במדיניות הפרקליטות בנוגע להעמדה לדין וענישה של עבירות חדירה לחומר מחשב.
המשמעות, כך נראה, היא שבמקרים בהם האקר פרץ למערכות מחשוב כדי לזהות חולשות אבטחה ולהתריע עליהן, וללא מטרה זדונית, תוכל פרקליטות המדינה להמנע מהעמדתו לדין גם אם היה במעשיו עבירה על החוק. עם זאת, הניסוח מעורפל יחסית ולא ברור איך תיושם ההוראה בפועל.
מומחי אבטחה כמערכת החיסון של האינטרנט
"זו הקלה מבורכת ומתבקשת", אמר בר זיק. "כיום כל מי שחושף פרצה, אפילו בתמימות - ללא כלים טכניים - חשוף לאיומים. מה התוצאה? יש בישראל לא מעט מפתחים ומומחי אבטחת מידע מובילים שפשוט לא נוגעים באתרים ישראלים כי בישראל אין תרבות של חשיפה. איפה שיש האקרים טובים, שיכולים לדווח ללא חשש ולקבל גם שכר על הגילוי שלהם, יש מערכות טובות. איפה שיש הסתרה, איומים וחשש, המצב יותר בעייתי".
רותם ציין שהאקרים הם מערכת החיסון של הרשת: "הם מוצאים את החולשות ומדווחים עליהן על מנת שיסגרו לפני שיפלו לידיים של גורמים מרושעים. למרבה הצער, היום אין כל הסדרה של הפעילות הזו, ובעלי המערכות הפרוצות, במקום לברך על המזל הטוב שנפל בחיקם, נוטים לאיים פעמים רבות על מי שמדווח להם על פרצות אבטחה".