תיק פלילי שמתנהל לאחרונה בבית משפט מציף סוגיות מורכבות הנוגעות לריבונות, סמכויות שיפוט בינלאומיות ושאלות של פרטיות, הכל סביב השימוש הנרחב בשמירת דאטה ב"ענן". התיק אמנם עוסק בעבירות פליליות שלכאורה בוצעו בארץ אולם הסוגיות שעלו בו משותפות לרוב מדינות העולם ולפחות בחלקן מעולם לא נדונו או טופלו ברמת החקיקה.
"תיק טלגראס" התפוצץ בישראל במארס 2019 עם מעצרם של עשרות חשודים בהפעלת רשת סחר בסמים באמצעות אפליקציית מסרים מיידיים. כנגד כ-30 מהם הוגשו כתבי אישום שרובם ככולם עדיין מתנהלים בבית המשפט המחוזי מרכז. בדיונים התברר כי באישור משפטי בוצע חיפוש מרחוק במחשבים בחו"ל - שרתי הענן שעליהם נשמרה הדאטה של חלק מהחשודים - וזאת מבלי לקבל אישור מהמדינות שהשרתים בתחומן ומבלי ליידע אותן. עוד התברר כי בקשות של המשטרה לביצוע חיפושים כאלה אושרו על ידי היועמ"ש הקודם, אביחי מנדלבליט, או על ידי גורם בכיר אחר בפרקליטות המדינה. בהמשך לכך אישרו בתי המשפט חיפושים כאלה למרות שכלל לא ברור אם יש להם סמכות לאשר זאת.
צו משפט לחו"ל בלי סמכות
לפי הוראות החוק הישראלי כדי לבצע חיפוש במחשב או מכשיר סלולרי, על המשטרה לתפוס את המכשיר באופן פיזי ואז לקבל צו חיפוש בתוכנו. את הפעולה הזו לא ניתן לבצע באופן סמוי והיא חייבת להיעשות בידיעת בעל המכשיר. אלא שבשנים האחרונות יצרה ההתפתחות הטכנולוגית קושי מבחינת המשטרה: הרבה מהדאטה אינה שמורה בזיכרון של המכשיר הפיזי שנתפס אלא ב"ענן" - חוות שרתים של חברות שונות שפועלות בחו"ל. כך למשל התכתבויות דואר אלקטרוני, התכתבויות בחלק מאפליקציות המסרים המידיים, היסטוריית מיקומים, תשלומים, קבלות, תמונות והרשימה עוד ארוכה אינם בהכרח על המכשיר עצמו אלא בענן.
על פניו, גישה למידע ששמור על מחשב בחו"ל יכולה להתפרש כביצוע חיפוש משטרתי במדינה אחרת, אך חיפוש שכזה דורש פרוצדורה ביורוקרטית מורכבת וארוכה: יש להגיש בקשת סיוע משפטי לאותה מדינה, לקבל את אישורה, ובדרך כלל החיפוש יבוצע רק בנוכחות שוטרים מקומיים.
ישראל, כמו מדינות אחרות, הייתה מודעת כבר לפני כמעט עשור לבעייתיות שעלולה טכנולוגיות הענן ליצור בהקשר הזה. כבר ב-2014, במסגרת רפורמה בסמכויות החיפוש של המשטרה שגיבש משרד המשפטים, נכללה גם אפשרות לצו חיפוש שיכלול גם שרתים. אלא שהחקיקה בנושא מעולם לא הושלמה ובתי המשפט לא קיבלו את הסמכות להורות על חיפוש כזה.
מסמכים שהגיעו לידי שומרים מעלים כי במשרד המשפטים הבינו זה מכבר את נפיצות הסוגיה ואת הפגיעה הפוטנציאלית בריבונותן של מדינות זרות. למרות זאת במשרד לא הורו להימנע מחיפושים כאלה אלא יצרו "מסלול עוקף" לחקיקה שנתקעה: היועץ המשפטי לממשלה יאשר מראש כל צו חיפוש כזה שמתכוונת המשטרה להגיש. לדברי שני גורמים שלקחו חלק בדיונים, המטרה היתה לוודא כי חיפושים כאלה ייעשו במשורה, ורק בתיקים שיצדיקו את הסיכון הבינלאומי. בתי המשפט אישרו בקשות כאלה, אלא שכאמור כלל לא ברור האם הדבר היה בסמכותם.
אישור היועמ"ש נדרש ככל הנראה מנובמבר 2017, ולא ידוע בכמה תיקים הוא התבקש בפועל. מסמך שהגישה המדינה לאחרונה לבית המשפט המחוזי מרכז אף חושף כי הוא גם לא הועלה על הכתב. "הפרוצדורה המחמירה של קבלת היתר מראש על דעתו של היועמ"ש (....) היא פרוצדורה שנקבעה בתחילה ללא הנחייה כתובה", נאמר במסמך. "(...) היא נועדה בעיקרה להבטיח שהפעולה המתבקשת לא תכלול מאפיינים אקסטרה-טריטוריאליים שיש בהם כדי להעצים טענות אפשריות לפגיעה בריבונותן של מדינות זרות".
נוהל משפטי מחייב שאינו כתוב הוא עניין יוצא דופן אך למרות זאת איש במשרד המשפטים לא מיהר להעלות אותו על הכתב ולהפך. שלוש שנים מאוחר יותר, בנובמבר 2020, פרסם פרקליט המדינה הנחיות לגבי חיפוש במכשירים פיזיים אולם גם בנוהל המפורט הזה - 13 עמודים אורכו - אין איזכור לחיפוש בענן או לאישור היועמ"ש. גם שני עדכונים שעבר הנוהל מאז לא הביאו להכנסת הענן פנימה.
רק בשנה שעברה הופיע רשמית נוהל כתוב וגם אז רק כהנחיה פנימית של חטיבת הסייבר של אגף החקירות והמודיעין במשטרה. מדובר בנוהל פנימי ולכן הוא אינו גלוי לציבור ונחשף כאן לראשונה. הנוהל הזה מקל על המשטרה: במקום אישור של היועמ"ש ניתן להסתפק באישור של הפיקוד הבכיר בחטיבת הסייבר של המשטרה ושל מנהל מחלקת הסייבר בפרקליטות המדינה, ד"ר חיים ויסמונסקי. בפי הגורמים שנחשפו לפרוצדורה התקבע האישור בשם "היתר ויסמונסקי".
הסוגיה העקרונית של היתר ויסמונסקי עלתה לאחרונה בדיוני תיק טלגראס. עו"ד קובי סודרי, שמייצג את אחד הנאשמים בפרשה, טען כי אין לרשויות סמכות לחפש בענן ללא חוק מפורש. שאלה נוספת שעלתה היא מתי נולדה הדרישה לאישור היועמ"ש. מתברר שהנוהל המשטרתי נכתב עוד ב-2017, אך הפרקליטות טוענת כי הוא נכנס לתוקף רק ארבע שנים מאוחר יותר, בינואר 2021, ועד אז פעלו לפי "פרוצדורה לא כתובה".
"כל פרוצדורת היתר משרד המשפטים נוצרה במטרה לעקוף את מגבלות הדין", טען עו"ד סודרי. "אנחנו טוענים שהדין הישראלי כלל אינו מאפשר לחדור למחשב מרוחק דרך מחשב תפוס, בוודאי אם הוא נמצא מחוץ לתחומי ישראל. שעל מנת שפעולת המדינה תהיה חוקית, החדירה דרך טלפון שיתפס בארץ, צריך חוק שיגיד זאת ולא קונסטרוקציה משפטית. הטעו בכוונה את בית המשפט כדי שיחשוב שמדובר בפעולה חוקית, בעוד שאינה כזאת".
מנגד, עורכי הדין שירי רום ויוני חדד, ממחלקת הסייבר בפרקליטות, טענו בדיון כי עמדת המדינה היא שמיקומו הפיזי של השרת הוא בעל חשיבות משנית, ולעתים המדינה אפילו לא יודעת היכן הוא. החוק הקיים, הם סבורים, מאפשר לבצע חיפושים כאלה.
"רשות חקירה ישראלית עובדת בישראל לגבי חשוד ישראלי ותופסת ממנו בישראל טלפון, בצו של שופט ישראלי", אמר עו"ד חדד. "יש מידע שמקושר לטלפון הזה. לפעמים אנחנו יודעים איפה המידע נמצא, והרבה פעמים אנחנו לא יודעים. יכול להיות שהוא יושב על שרת מחוץ לישראל, (ועדיין) מירב הזיקות הטריטוריאליות הן בישראל. הטיעון שלנו הוא שיש סמכות, כי אם החשוד יכול לגשת למידע בלחיצת כפתור, אזי שופט יכול לתת צו שגם למשטרה יהיה גישה למידע".
"יש מאפיינים חוץ-טריטוריאליים בחדירה לענן, אבל הם מאד מצומצמים ולא מדובר בפעולה מובהקת מחוץ לישראל", הוסיפה עו"ד רום. "השאלה הטריטוריאלית היא למעשה צדדית".
במענה לשאלות השופטים הוסיפה רום: "יש פה פוטנציאל של פגיעה בריבונות של מדינות. אם למשל מדינה מסוימת סבורה שכל חדירה לשרתים שנמצאים בשטחה היא פגיעה חמורה בריבונות שלה, ומי שעושה את זה צריך לעמוד לדין, אז כמובן שצריך לשקול את העמדה הזו".
הקלות הבלתי נסבלת של חדירה לענן
עצם החיפוש שנעשה במסגרת חקירת תיק טלגראס בשרתים בחו"ל נחשף לפני כשנה בדיווח של Mako ואולם כעת חושף שומרים פרטים מטרידים הנוגעים לדרך בה בוצע החיפוש.
הנוהל המשטרתי מציין מפורשות כי אין היתר "לפיצוח סיסמה בשרת המרוחק בדרך של הפעלת כלי פריצה או עקיפה של הסיסמה". זאת, ככל הנראה, כדי להקטין את החשש שחברות הטכנולוגיה, או המדינות הזרות שהשרתים בתחומן, יתקוממו על החיפוש או אולי אפילו יגלו על קיומו. בשטח הדברים התבצעו אחרת.
בליל מבצע המעצרים של חשודי טלגראס, ב-12 במארס 2019, נלקח הטלפון הנייד של אחד מהם על ידי השוטרים. לפי עדותו בבית המשפט של שוטר מיחידת הסייבר שהשתתף במבצע, כדי לעקוף את סיסמת הכניסה למכשיר הועבר כרטיס הסים מהמכשיר של החשוד למכשיר משטרתי. בשלב הבא, כדי לעקוף את סיסמת הכניסה לחשבונות ואפליקציות, שירותי גוגל למשל, החוקר לחץ על כפתור "שכחתי סיסמה" וקיבל את קוד האימות למכשיר המשטרתי שבידו. לאחר מכן, לפי העדות, הוא שינה את הסיסמה לחשבונות השונים ומחק את כל בעלי הרשאות הכניסה מלבד המכשיר שבידו. מכאן הדרך לשחזור קוד הכניסה לסלולרי של החשוד כבר הייתה קצרה.
סביב המכשיר הסלולרי של החשוד נוצרה עוד סוגיה משפטית סבוכה. אחרי שהוא נפתח בידי החוקרים ירדו מהענן לזיכרון של המכשיר תמונות ובהן תרשימי זרימה של ארגון טלגראס. במעבדה המשטרתית שאליה הועבר המכשיר נוצר עותק של כלל המידע שעליו שאינו ניתן לשינוי ("עותק מראה"). בעותק המראה נכללו גם הקבצים המפלילים, אף שבמקור לא היו שמורים על המכשיר. על דוכן העדים טען השוטר שהוא לא יודע להסביר כיצד ירדו הקבצים למכשיר.
בנוסף, חלק מהפעולות שביצעו החוקרים בזמן שהסלולרי היה בידיהם נמחקו מהיסטוריית הגלישה של המכשיר, אלא שדווקא עותק המראה, שמאפשר לשחזר גם פעולות שנמחקו, חשף אותן. השוטר שתפס את הטלפון בזירה העיד בבית המשפט כי הוא לא זוכר שמחק פעולות כלשהן, אולם כאמור לוג הפעולות הראה כי מחיקה שכזאת אכן בוצעה.
ומה קורה בעולם?
ישראל אינה המדינה הראשונה שנתקלת בסוגיית הענן. כבר ב-2001, הרבה לפני שירותי הענן, ניסחה מועצת אירופה אמנה ראשונה מסוגה שנועדה להסדיר שיתוף פעולה בינלאומי בלוחמה בפשיעת סייבר. מאז חתמו על האמנה 65 מדינות, כולל ישראל שהצטרפה אליה ב-2016. האמנה, שזכתה לכינוי "אמנת בודפשט", קובעת כי מדינה רשאית לגשת למידע המאוחסן במחשב שנמצא במדינה אחרת ללא הסכמתה אך ורק אם מדובר במידע פומבי הפתוח לציבור, או בהסכמה "חוקית ומרצון" של בעל השליטה במידע.
ד"ר רועי שיינדורף, שכיהן עד יוני השנה כמשנה ליועמ"ש לעניינים בינלאומיים, סירב להתייחס לדיונים בהם השתתף בנושא, אך הסביר כי "המשפט הבין-לאומי אינו קובע כללים חד משמעיים בשאלת החיפוש בשרתים הנמצאים בשטחה של מדינה אחרת. יש כרגע קבוצת עבודה שפועלת תחת אמנת בודפשט, שעוסקת בדיוק בנושא זה. בינתיים, הפרקטיקה של המדינות אינה אחידה, ומרביתן שומרות על עמימות בנושא".
"יש מדינות כמו קנדה, המסתייגות מאפשרות של חיפוש ישיר בשרתים במדינה זרה. מנגד, בלגיה למשל, מחזיקה בעמדה שאין קושי בביצוע חיפוש כזה", הוסיף ד"ר שיינדורף, המתמחה במשפט בינלאומי וסייבר. "גם בית המשפט העליון של נורבגיה קבע שבנסיבות מסוימות ניתן להוציא צו חיפוש כנגד גוף נורווגי ובמסגרתו לחפש גם בשרתים המצויים מחוץ לנורבגיה. אוסטרליה, אחת המדינות היחידות שקבעו הסדר מפורש בעניין בחקיקה, קבעה שבמקרה של עבירות חמורות יחסית, ניתן יהיה לבצע חיפוש בשרתים המצויים בחו"ל אם במאמץ סביר לא ניתן לקבוע את מיקומו של השרת".
בעוד אמנת בודפשט נחשבת לניסיון הבולט ביותר לשיתוף פעולה בינלאומי בתחום פשיעת הסייבר, בין המדינות הבולטות שלא הצטרפו לאמנה נמצאות רוסיה וסין, שמחזיקות גישה נצית של ריבונות באינטרנט. רוסיה, למשל, העבירה ב-2019 את "חוק ריבונות האינטרנט", שלפי פרסומים שונים יאפשר לה לנתק את האינטרנט הרוסי לחלוטין מהרשת העולמית. באותה שנה מוסקבה אף הובילה החלטה באו"ם על יצירת קבוצת עבודה שמטרתה לגבש אמנה בינלאומית חדשה בתחום הסייבר. מדינות אלה בהחלט עלולות לראות בחומרה כל גישה של מדינה זרה לשרתים בתחומן.
בארה"ב התעוררה סוגיה דומה ב-2013 במהלך חקירת סחר בסמים שניהל ה-FBI. כחלק מהחקירה הוציאה הבולשת צו שהורה למיקרוסופט להעביר לה מיילים של אזרח אמריקאי חשוד. החברה סירבה בטענה שהמידע מאוחסן על שרתיה באירלנד ונמצא מחוץ לתחום הסמכות של בית המשפט האמריקאי.
לאחר שבית המשפט לערעורים במדינת ניו יורק קיבל את עמדתה של מיקרוסופט, העביר הקונגרס את "חוק הענן". החוק קבע שהרשויות בארה"ב רשאיות לכרות הסכמי שיתוף פעולה הדדיים עם מדינות אחרות, שיאפשרו לחברות לציית לצווים מסוג זה, גם אם המידע מאוחסן בפועל בשרתים מעבר לים. התנאי הוא שההסכמים יהיו הדדיים, ויבטיחו שמירה נאותה על זכויות של אזרחים אמריקאים. מדובר במעין הסכם כללי שמחליף את הצורך בבקשת סיוע משפטי פרטנית בכל תיק. לפי פרסום של משרד המשפטים האמריקאי עד כה נחתמו הסכמים כאלה בין ארה"ב לבריטניה ואוסטרליה בלבד, ומגעים מתקיימים עם עם האיחוד האירופי וקנדה.
גם בבריטניה היה עיסוק בנושא. ועדת מומחים שמינה משרד הפנים הבריטי כדי לבדוק את כל תחום החיפושים המשטרתיים קבעה במסקנות שפרסמה לפני כשנתיים כי החוק הנוכחי בממלכה לא ברור מספיק בשאלה זו וכי בפועל שוטרים שמבצעים חיפושים בסלולרים ניגשים גם לחומרים ששמורים בענן. הוועדה המליצה לשנות את החוק כך שיקבע מפורשות שלרשויות יש אפשרות לבקש צווי חיפוש שיכללו גם גישה לשרתים, וגם יקבע מהם התנאים להוצאת צו כזה. באשר לשאלה הבינלאומית, המומחים שאיתם התייעצה הוועדה הגיעו למסקנה שהחוק הבינלאומי אינו מספק תשובה חד משמעית לעניין, וכי בפועל הסיכוי שמדינה אחרת תראה בחיפוש כזה פגיעה בריבונותה – נמוך מאד.
"הבעיה הכי גדולה במצב בישראל הוא שהחקיקה לא מעודכנת", אומר ד"ר אסף וינר, סמנכ"ל רגולציה ומדיניות ציבורית באיגוד האינטרנט הישראלי. "אין לנו מערכת חקיקה שמתמודדת עם כל האתגרים של חיפושים דיגיטליים, ובפרט חיפושים בשרתים מרוחקים, ובתי המשפט מפצירים במחוקק להסדיר את זה. בסוף אי אפשר לצקת לתוך חקיקה מ-1995, לפני עידן האינטרנט הביתי ושנות אור לפני שמישהו חשב על מיחשוב ענן, את הטכנולוגיה של 2022. אז מה שקורה הוא שבתי המשפט בדרך כלל מצליחים לפרש את החקיקה בצורה שמעניקה סמכויות למשטרה, אבל לא בצורה שיוצרת מגבלות ברורים על הסמכות המשטרתית כדי לשמור על זכויות אדם".
"סוגיה לא פחות חשובה, שהגישה לחומרי ענן מעצימה אותה, היא הקלות הבלתי נסבלת של יצירת העתק משטרתי לכל המידע של אדם ברגע שהטלפון הנייד שלו נמצא בידי החוקרים", ממשיך ד"ר וינר. "ואגב, לא מדובר רק במשטרה, אלא בלא מעט רשויות שיש להן סמכויות חקירה כמו רשות המיסים, מצ"ח ואפילו הרשות להגנת הפרטיות".
"זה יכול לכלול דברים כמו היסטוריית המיקומים שגוגל שומרת באופן אוטומטי, חיפושים ברשת, תמונות, מסמכים, התכתבויות בכל פלטפורמה – לרבות אפילו אפליקציות הכרויות – ועוד", אומר וינר. "בלחיצת כפתור רשויות האכיפה יכולות להעתיק את כל המידע הזה. מה קורה לכל הדאטה הזה כשתיק נסגר? האם הן חייבות למחוק אותה לגמרי או שהוא נשאר כחומר מודיעיני? ומה לגבי פרטיות של צדדים שלישיים, או מידע שנמצא בענן ויכול להיות מוגן בחיסיון? הכל הרי יכול להיות מועתק, והסינון נעשה רק לאחר מכן. הכנסת חייבת לתת פתרונות לסוגיות האלה".
משרד המשפטים: בית המשפט יכריע
ממשרד המשפטים נמסר בתגובה: "עריכת חיפוש בדרך של חדירה לשרתים מרוחקים מקובלת במדינות רבות בעולם, והיא מאפשרת לרשויות האכיפה לערוך חיפוש אפקטיבי בחומרים ששימשו את החשוד לביצוע העבירות. הסמכות לערוך חיפוש כאמור נלמדת מהוראות פקודת סדר הדין הפלילי וחוק המחשבים, ועניינה נדון עתה בהרחבה בפני בית המשפט במסגרת פרשת טלגראס. טיעוני הצדדים בסוגייה המשפטית נשמעים בפני בית-המשפט ויוכרעו על-ידו.
"יובהר כי החיפושים עליהם מדובר נעשים לעולם לפי צו שופט ואין מדובר בחיפושים סמויים ללא ידיעת הנחקר, לו מוצג צו החיפוש בחומרי המחשב. עוד יודגש כי סמכות זו אינה עומדת בסתירה לאמנת מועצת אירופה בדבר פשעי מחשב (אמנת בודפשט), עליה מדינת-ישראל חתומה. האמנה קובעת את המכנה המשותף הבסיסי ביותר למדינות החברות באמנה, אולם היא אינה מונעת ממדינות החברות באמנה ליישם פרקטיקה של חיפוש בחומרים האגורים בשרתים מרוחקים. אכן מדינות שונות החברות באמנה, כגון בלגיה, ספרד, קפריסין, הולנד ואחרות מיישמות פרקטיקה זו של חיפוש בשרתים מרוחקים.
"אשר לשאלה המתייחסת למהלך לעיגון ההיבטים השונים בסמכות החיפוש במחשב במסגרת הצעת חוק החיפוש, יצוין כי מהלך זה אינו גורע מן האפשרות לפרש את החוק הקיים כמקנה את הסמכות האמורה.
"אשר לשאלה המתייחסת לתיקים נוספים בהם נעשה שימוש בצווי חדירה לשרתים מרוחקים, מדובר בנתון הנוגע לתיקים תלויים ועומדים, שבחלקם לא הוגש כתב-אישום. בקשת המידע בעניין זה בפרשיית טלגראס טעונה החלטה שיפוטית מתאימה ולכן לא ניתן למסור מידע בעניין זה".
ממשטרת ישראל נמסר בנוגע להתנהלות בחקירת תיק טלגראס: "בשל הליך משפטי שעודנו מתנהל בתיק בימים אלה, אנו מנועים להתייחס לגופו של עניין. נדגיש, החקירה לוותה על ידי הפרקליטות והחדירה לשרתים המרוחקים נשוא פנייתכם בוצעה על פי צו בית משפט ובאישור פרקליטות המדינה".