בשנים האחרונות, משטרת ישראל מפעילה כלים פורנזיים מתקדמים לאיסוף ועיבוד של מידע דיגיטלי מאמצעי מחשוב ככלל ומטלפונים ניידים בפרט.
רקע לדיון העכשווי
כחלק מהליכי חקירה ואיסוף מודיעין, משטרת ישראל מפעילה כלים פורנזיים מתקדמים לאיסוף ועיבוד של מידע דיגיטלי ממחשבים, טלפונים ניידים ומכשירים חכמים אחרים. פעולות אלו של פריצה, חיפוש או האזנה למידע ממכשירים דיגיטליים של אזרחים אמורות להיעשות אך ורק מכוח חוק ובהתאם להנחיות שנועדו לצמצם ככל הניתן את הפגיעה בזכויות החוקתיות של חשודים ובראשן הזכות לפרטיות.
בהקשר זה, נהוג להבחין בין כלים פורנזיים המחייבים תפיסה פיזית של המכשיר הנחקר (למשל, כלי Cellbrite בהם משטרת ישראל וגופי אכיפה נוספים משתמשים מזה שנים) לכלים פורנזיים המאפשרים גישה לנתוני המכשיר מרחוק (למשל, כלי פגסוס מתוצרת NSO). עם זאת, כלים אלו חולקים מאפיינים ויכולות חסרות תקדים: פריצה או עקיפה של מרבית תכונות האבטחה המובנות בטלפון ויכולת להעתיק את עושר הנתונים השמורים בו ובחשבונות ענן אליהם מקושר המכשיר; יחד עם יכולות ארגון וניתוח מידע מתקדמות המאפשר לרשויות אכיפת החוק לבחון ולנתח שפע המידע מהטלפון החכם בקלות וביעילות.
במהלך חודש ינואר 2022, עיתון ״כלכליסט״ פרסם תחקיר לפיו מזה מספר שנים המשטרה עושה שימוש שגרתי גם בכלי סייבר התקפיים המפותחים על-ידי חברת NSO Group ומאפשרים חדירה מרחוק, ללא ידיעת נחקרים. בעקבות פרסום זה, ועל רקע החשיפות ב״כלכליסט״, איגוד האינטרנט הישראלי, יחד עם ארגוני חברה אזרחית נוספים, פנו ביום 18.1.2022 ליועץ המשפטי לממשלה בקריאה לעצור מיידית את השימוש בכלים אלו שכן הם מופעלים ללא סמכות, בניגוד לחוק ופוגעים פגיעה חריגה בזכויות חוקתיות.
פניה דחופה מטעם ארגוני חברה אזרחית ליועמ"ש (18.1.2022)
האיגוד הוסיף והביע את עמדתו הנחרצת בדיון מיוחד בנושא שנערך בוועדה לביטחון פנים של הכנסת ביום 24.1.2022 וסיפק חומרי רקע לחברי הועדה אודות יכולותיהם של הכלים הטכנולוגיים לפריצה וחיפוש בטלפונים ניידים והאופן שבו טכנולוגיות מידע חדשות – בתחום מחשוב הענן ובתחום טכנולוגיות פורנזיות – מחייבת לעדכן את האסדרה המשפטית של חיפושים בחומר מחשב ככלל, ופריצה וחיפוש בטלפונים חכמים ושירותי ענן בפרט.
חומרי רקע מטעם איגוד האינטרנט לדיון המיוחד בוועדת הפנים (24.11.2022)
קישור לדיון שהתקיים בוועדת בטחון פנים (24.1.2022)
סקירה טכנולוגית תמציתית: יכולות כלי הפריצה והמעקב לטלפונים סלולריים:
כלים פורנזיים לפריצה או גישה מרחוק לטלפונים חכמים נועדו להעתיק את כלל הנתונים שניתן למצוא בדרך כלל בטלפון סלולרי ולחלץ ממנו מידע רב ככל האפשר. הנתונים כוללים מידע כמו אנשי קשר, תמונות, סרטונים, סיסמאות שמורות, תיעוד GPS, רשומות שימוש בטלפון ואפילו נתונים ״שנמחקו״ – לרוב תוך עקיפת תכונות האבטחה המובנות בטלפון או ניצול חולשות בתכנון החומרה או התוכנה שלו.
כלים פורנזיים לפריצה וחיקור של טלפונים ומכשירים חכמים אחרים מספקים גישה להיקף עצום של מידע אישי ורגיש. השימוש העיקרי של הכלים הוא איסוף יומני שיחות, רשימות אנשי קשר, מסרונים ותמונות. אבל בטלפונים מאוחסן הרבה יותר מידע ממה שנכלל תחת הקטגוריות האלה. למשל:
- שאיבת נתונים אגורים בדיעבד: מכשירים ניידים אוגרים תכני התכתבויות ונתוני מסגרת של התקשרויות עבר אשר בוצעו מהמכשיר. כלי סייבר התקפיים מאפשרים שאיבה של מידע זה, ובכלל זה תכני התכתבויות, מועדי ומשך שיחה.
- גישה לנתונים מקומיים ואפליקציות: כלי סייבר התקפיים מאפשרים גישה לכלל הנתונים השמורים על מכשיר נייד, גם אם מעולם לא הועברו מהמכשיר לגורם אחר. נתונים אלו כוללים נתוני GPS, סיסמאות שמורות, אנשי קשר, תמונות וסרטונים. כמו כן, הכלים מאפשרים זיהוי אפליקציות המותקנות על המכשיר והתחקות אחר השימוש בהם.
- נתונים ש״נמחקו״: במקרים רבים, כאשר משתמש מוחק חומרים ממכשיר נייד, הם עדיין נגישים במאגרי נתונים שאינם חשופים למשתמש. כלי סייבר התקפיים מאפשרים פנייה למאגרים אלו ושאיבת חומרים אשר נדמה כי נמחקו.
- נתונים נוספים בטלפון (meta data): טלפונים חכמים אוגרים מידע רב אודות דפוסי ההתנהגות של בעל המכשיר ואופן השימוש שלו בו. כלי סייבר התקפיים מסוגלים לשחזר מידע כגון מועד התקנה ומחיקה של אפליקציות, תדירות שימוש בכל אפליקציה, שעות הפעלת המכשיר, התקני בלוטות׳ שחוברו למכשיר, רשתות וייפיי אליהן התחבר, מילים שנוספו למילון וכו׳.
- הפעלה מרחוק: כלי סייבר התקפיים רבים מסוגלים להפעיל מרחוק אפליקציות שונות הקיימות במכשיר, דבר המאפשר, לדוגמא, הפעלת מיקרופון או מצלמה ללא ידיעת בעל הטלפון.
תמצית עמדת איגוד האינטרנט הישראלי
למרות שבבתי המשפט התגבשה זה מכבר ההכרה בהיקפי הפגיעה העצומים של סמכויות רשויות המדינה לתפוס ולחדור לחומרי מחשב וטלפונים ניידים בפרט, החקיקה הרלוונטית נותרה הרחק מאחור ואינה מספקת מענה מספק לאתגרים החוקתיים הייחודיים שמתעוררים כתוצאה מהיקף המידע האישי והרגיש שרשויות החקירה יכולות להפיק מחדירה וחיפוש במכשירים דיגיטליים אישיים.
על רקע זה, כנקודת מוצא לדיון הציבורי שיש לקיים בימים אלו, חשוב להבין שהיעדרה של מסגרת חקיקתית עדכנית לחיפושים או "האזנה" לטלפונים חכמים בשיאו של עידן הרשת והמידע, למרות העליה בהיקף השימוש בהם על ידי רשויות החקירה בישראל, הובילה להפעלת כלים חודרניים ורבי עצמה ללא מגבלות או מנגנוני פיקוח הנדרשים כדי למנוע פגיעה לא-מידתית שלהם בזכות הפרט.
כנקודת מוצא לדיון הציבורי והמשפטי אותו נדרש לקיים בנוגע להפעלת כלי סייבר התקפי המאפשרים גישה נסתרת מרחוק למכשירים דיגיטליים של אזרחים, איגוד האינטרנט הישראלי מדגיש את הנקודות הבאות:
- פריצה והשתלטות מרחוק על טלפונים חכמים פוגעות בזכות החוקתית לפרטיות ולהליך הוגן, אשר יכולות להיעשות רק מכוח חוק המסמיך את רשויות המדינה לעשות כן. בכלל זה, יש לדחות את העמדה לפיה חוק האזנות סתר במתכונתו הנוכחית מעניק את ההסמכה הנדרשת לשימוש בכלי סייבר התקפיים. כיוון שכך, אפילו אם השימוש בכלים נעשה לאחר קבלת צו שיפוטי, ספק אם צו זה קביל נוכח היעדר סמכות לכך.
- על רקע היעדר הסמכה ברורה בחוק, על משטרת ישראל לחדול משימוש בכלי סייבר התקפיים באופן מיידי.
- החקיקה בישראל הנוגעת לחיפושים והאזנות סתר מיושנת ואינה מותאמת לעידן האינטרנט. יש לקדם הליך מקיף לעדכון החוקים הרלוונטיים, תוך שמירה קפדנית על הזכויות החוקתיות של חשודים.
- גם אם נניח שחוק האזנות סתר מתיר למשטרה להפעיל כלים התקפיים כדוגמאת פגסוס של NSO, נדרש לקבוע מגבלות ברורות על הפעלתם, בשים לב לכך שכלים אלו מאפשרים לרשויות החקירה נגישות לאמצעי איסוף החורגים בבירור מגבולות החוק.
- נוסף על שאלת הסמכות וההיקף של פריצה וחיפוש בחומר מחשב, יש לקיים דיון ציבורי ולקבוע מגבלות על השימוש העתידי שיכול להיעשות בחומר הדיגיטלי שנאסף, לרבות נהלים לחתימתו ומחיקתו לאחר פרק זמן מוגבל.
- לבסוף, יש לתת את הדעת על משמעות השימוש בכלים המפותחים בשוק הפרטי ולבחון האם יש לכך השלכות ייחודיות על זכויות הפרט. בהקשר זה, יש להבטיח שהמידע שנאסף אינו נגיש לגורמים מחוץ למשטרת ישראל ו/או נאגר במערכות אשר אינן מנוהלות על-ידי רשויות המדינה.
