להאזנה לכתבה
הוקלט על ידי הספרייה המרכזית לעיוורים ולבעלי לקויות קריאה
מוסף כלכליסט | 24.03.22
כשקראתי את התחקירים על השימוש שעושה המשטרה ברוגלות של NSO, היה לי ברור שמאחורי החשיפה עומד סוג של אדוארד סנודן, מישהו שמכיר את העסק היטב", אומר יורם הכהן.
כאיש המערכת לשעבר, הופתעת?
"הופתעתי מעצם השימוש בכלים כאלה בידי המשטרה, בלי שהיתה איזושהי אינדיקציה חיצונית שזה הכיוון. אם כי בדיעבד נזכרתי בנאום ראש הממשלה לשעבר בנימין נתניהו בעת מינוי המפכ"ל רוני אלשיך, שבו אמר שהוא מצפה שייכנסו למשטרה טכנולוגיות מתקדמות וכלי סייבר. אחרי שאפקט ההפתעה ירד, נותרה אצלי בעיקר תחושת אכזבה מהמערכת".
גם המשטרה הופתעה מחשיפת השימוש שלה ברוגלות, וכעת טוענת שעצירתו פוגעת ביכולותיה.
"היא היתה צריכה לקחת בחשבון את האפשרות הזו, ולהבין שהיא מסתובבת עם חמאה על הראש כשהיא מפעילה כלי כזה אחרי כל הפרסומים בעולם על NSO".
הכהן (61) מגיע מלב המערכת. הוא היה מי שהקים בתוך משרד המשפטים את הרשות למשפט, טכנולוגיה ומידע, שלימים הפכה לרשות להגנת הפרטיות, ועמד בראשה מ־2006 עד 2013. הרשות שייסד היא הגוף שמוסמך על פי החוק להגן על זכות היסוד לפרטיות ועל המידע האישי של אזרחי ישראל.
זו לא הפעם הראשונה שהכהן חש "אכזבה מהמערכת", בעיקר מהמשטרה, בכל הנוגע לפגיעה יזומה בפרטיות. "האכזבה הנוכחית מתלבשת על תחושות קשות שהיו לי עם סיום הקדנציה ב־2013", הוא אומר. "גם אז פגשתי את חוסר היכולת להשלים שינויי חקיקה שיזמתי בתחום הפרטיות, כדי שהחוק לא יפגר אחרי הטכנולוגיה. המערכת עצרה אותי אז וזה היה כישלון, כי החקיקה כיום לא תואמת את האתגרים המודרניים.
"את הכישלון הזה בדיוק אני פוגש שוב בעקבות התחקירים של 'כלכליסט'. מדובר בעצם במופע נוסף של אותו הדבר: משרד המשפטים והכנסת מועלים בתפקידם, שהוא לוודא כי המסגרת החוקית תואמת את ההתקדמות הטכנולוגית. מבחינת החוק נתקענו בתחילת שנות ה־2000. לא עדכנו את חוק האזנת סתר, את פקודת הראיות, את חוק הגנת הפרטיות ועוד. זה מאוד מתסכל עבור מי שבמשך יותר מ־30 שנה עוסק בממשק שבין משפט לטכנולוגיה".
הכהן מכהן כיום כמנכ"ל איגוד האינטרנט הישראלי וכיו"ר עמותת פרטיות ישראל. כבר בדיון הראשון בוועדה לביטחון פנים בכנסת לאחר פרסום התחקירים של תומר גנון ב"כלכליסט", טען כי אין כל תשתית משפטית שמסמיכה את המשטרה להשתמש בכלי הסייבר ההתקפיים, ושהשימוש בהם מחייב בדיקה פרלמנטרית או חיצונית. שבועיים לאחר מכן אמר הכהן כי "מסתמן פה האירוע החמור ביותר של הפרת חוק ופגיעה בפרטיות שנעשה בידי גוף מדינתי כלפי אזרחי ישראל".
בינתיים נראה שהמערכת — משרד המשפטים והמשטרה — בעיקר מגינה על עצמה.
"רק אחרי שעזבתי את שירות המדינה הבנתי כמה עוצמה יש למדינה כמערכת כשהיא שומרת על עצמה".
מצופפים שורות?
"בהחלט מצופפים, וחבל. האירוע הזה צריך דווקא לחזק את המשטרה ולא להחליש אותה. אם ייוולד תהליך שישפר את המסגרת המשפטית לעבודת הכלים האלה, זה יהיה לטובת הציבור, וזה מה שחשוב בגילויים של 'כלכליסט'. התחקיר עשה שירות טוב לציבור, כי הוא הפנה זרקור חשוב מאוד לבעיה הכללית של אי ההתאמה של המשפט לקצב התקדמות הטכנולוגיה".
נראה שבמסגרת ההגנה על המערכת צוות הבדיקה בראשות המשנה ליועמ"ש עמית מררי התעלם מהחומרים שהועברו אליו מהמקורות של "כלכליסט".
"וזה מאכזב. יש לי הערכה גדולה למערך הייעוץ המשפטי, לכן אני חושב שאפילו בשביל הנראות היה צריך לתת כבוד יותר גדול לפנייה כזו מצד המקורות. זה בהחלט יוצר הרגשה שהמערכת מגינה על עצמה. פקידי מדינה צריכים לקחת בחשבון שגם לאזרחים או לעיתונות יש אינטרס לגיטימי ושיכול להיות שהם צודקים".
אז צריך בדיקה חיצונית?
"לכל מערכת יש נטייה להגן על עצמה, ופה מתקיימת מערכת יחסים עמוקה של עבודה בין המשטרה לפרקליטות. לכן חשוב שהנושא ייבחן על ידי ועדה חיצונית, עם יכולת התבוננות מבחוץ, שתהיה שונה מזו של מי שעוסק בזה ביומיום. לא בהכרח ועדת חקירה כדי למצוא אשמים, אלא גורם שיבחן את השימוש בכלי הסייבר ההתקפיים ואם הוא נכון".
אתה טוען שוועדה בראשות המשנה ליועץ המשפטי, שהיה מעורב בתהליך, לא יכולה לבדוק את הפרשה הזו?
"בדיוק, ואני לא מתייחס לאנשים עצמם, כמו עמית מררי שאני מכיר ומעריך. מרגע שיש גוף שמעורב בתהליך, דרוש גוף חיצוני אחר שיבדוק באובייקטיביות. משרד המשפטים צריך למנות ועדת מומחים ציבורית, שיהיו בה מלבד נציגי הפרקליטות והמשטרה גם סנגורים ציבוריים ומומחי טכנולוגיה ומשפט, שלא רואים את הדברים רק מנקודת המבט של המדינה".
השיחות עם הכהן התקיימו הן לפני פרסום דו"ח הביניים של צוות מררי והן לאחריו, והוא לא שינה את עמדתו. "מבחינתי הדבר הכי חשוב בדו"ח הביניים הוא העובדה שבמסמך פורמלי של משרד המשפטים מדינת ישראל אומרת: 'כן, אנחנו משתמשים ברוגלות כלפי אזרחים חשודים, ואנחנו בעצם טוענים שמותר לעשות זאת לפי פרשנות משפטית לחוק האזנת סתר'. זאת אמירה מפורשת, לא איזו הזיה של 'כלכליסט', וזה מחייב דיון מעמיק. יש פה שאלות יסוד של זכויות האזרח, וגם אם יש חוות דעת של היועץ המשפטי או כל גורם משפטי אחר — זה עדיין לא אומר בהכרח שזה חוקי. כבר קרה בעבר בסיטואציה דומה שבית המשפט העליון קבע שפעולה משטרתית שהתבססה על פרשנות היועץ המשפטי לממשלה אינה חוקית ודורשת הסמכה מפורשת בחוק".
הסיטואציה שהכהן מדבר עליה היא פסק דין של בית המשפט העליון ב־2013 בעתירה של איגוד האינטרנט הישראלי נגד משטרת ישראל, בסוגיית צווי סגירה שהוצאו לאתרי הימורים באינטרנט. "הסתבר אז שהסמכות של קצין משטרה לחסום אתרי הימורים באינטרנט התבססה על פרשנות של היועץ המשפטי. הוא קבע שהיות שפקודת המשטרה מתירה לשוטר לסגור אתרי הימורים פיזיים, אז הוא יכול לסגור גם אתרי הימורים מקוונים", משחזר הכהן. "בית המשפט קבע שאין סמכות כזאת, חרף פרשנות היועץ המשפטי, וזה הוביל להסדרת הנושא בחקיקה. כיום יש חוק, וסגירת אתרי הימורים צריכה להיעשות בהליך סדור, באמצעות בקשת צו".
בית המשפט קבע אז נחרצות ש"מדיניות משפטית ראויה היא להמתין להסדרה מפורשת בחקיקה בסוגיות של הצרת חופש הביטוי באינטרנט, ולאחר דיון ציבורי מעמיק. אין להשתמש בפרשנות 'לוליינית' כדי לתת למשטרה סמכויות לפגוע בזכויות אזרח".
הכהן משתמש בדוגמה הזו מול עמדת המשטרה, שמבססת את השימוש ברוגלות רק על פרשנות משפטית לחוק הקיים. "חוק האזנת סתר, שהמשטרה נסמכת עליו, תוקן ב־1995 במסגרת חוק המחשבים, במציאות טכנולוגית שלפני האינטרנט והסמארטפון. המציאות השתנתה דרמטית, אבל החוק לא הותאם ולא תוקף בבית המשפט. זה מאוד בעייתי ומחייב דיון ציבורי: האם הפעלת רוגלה, שמנצלת חולשות שכלל לא ידועות למשתמשים בטלפון, היא דבר שקול לציתות לשיחה. זה דיון שאני לא בטוח שנעשה בפורום הרלבנטי, וחייב להתקיים. ואם הייעוץ המשפטי לממשלה נתן חוות דעת שקובעת שהמשטרה יכולה להשתמש ברוגלות על בסיס החוק הקיים, צריך לאתגר אותה בדיון משפטי עמוק.
"חוק האזנת סתר תוקן בפעם האחרונה בקשר להאזנה לסגני שרים. כלומר, הפוליטיקאים דאגו להגן על עצמם מפני האזנות סתר, אבל הכנסת לא עסקה בשאלה המהותית אם חקיקה מלפני 27 שנה עדיין מחזיקה מים. וזה, אני מזכיר, תפקידה של הכנסת ותפקידו של משרד המשפטים, שאמון גם על הגנת זכויות האזרח ולא רק על הגנת יכולות המשטרה. וכאן לא מדובר באירוע זניח אלא בדבר בעל השלכות מרחיקות לכת".
הכהן אינו כופר בצורך של המשטרה בכלים מתוחכמים כדי להילחם באמצעותם בפשיעה. "המשטרה צריכה שיהיו לה כלים, אבל דרוש דיון כדי לקבוע איך לשנות את החוק כך שכלים חודרניים יותר יקבלו טיפול שונה מזה שקיים בחוק האזנת סתר. הבעיה היא שלמערכת נוח להשתמש בפרשנות של משפטנים שלא מבינים בטכנולוגיה ובאופן עמוק בפעולת הכלים, ולמשטרה לא היה אינטרס לשנות את החוק. למיטב הבנתי היה לה נוח עם פרשנות שאומרת שהחוק כולל פריצה לטלפון של חשוד והתקנה בתוכו של תוכנת פגסוס ודומותיה. זאת לעומת האינטרס שהיה למשטרה, למשל, להסדיר את חוק נתוני תקשורת כך שיאפשר לה לקבל נתונים מחברות התקשורת. עד ההסדרה היא היתה צריכה לשלם להן כסף עבור המידע, וזה הניע אותה להסדיר את הנושא".
אבל גם אם יתקנו את החוק, הטכנולוגיה תמשיך לרוץ קדימה.
"עיקרון־על בחקיקה בנושאים טכנולוגיים הוא שאסור שהיא תתייחס לטכנולוגיה קונקרטית, כי מולה היא תמיד תהיה בפיגור. לכן צריך ליצור עקרונות נכונים, ואותם לבדוק מדי פרק זמן. כיום החקיקה שלנו מפגרת בשנות דור לא רק אחרי הטכנולוגיה, אלא גם אחרי המצב בעולם. זה כשל מערכתי".
במשטרה מתעקשים שהפעילו את כלי הסייבר כחוק, על בסיס פרשנות של היועץ המשפטי לממשלה ובאי כוחו.
"בדרך כלל המשטרה לא מכניסה על דעת עצמה טכנולוגיות כאלה. אני משער שהיו דיונים אצל היועץ המשפטי והגופים הרלבנטיים במשרד המשפטים וניתנו הנחיות. אבל גם אם היועץ המשפטי ער להגנה על זכויות הפרט, ברגע שזה נעשה במעמד צד אחד ואין מעורבות של הציבור, יכולים להיכנס לפעולה מנגנונים שהם לא מגינים. לכן נושא כזה צריך לעבור דיון ציבורי, זו מהות הדמוקרטיה".
בהרצאה מהזמן האחרון אמר המפכ"ל לשעבר רוני אלשיך שהמשטרה ניסתה לקדם חקיקה, אך הדבר לא צלח.
"אז שהוועדה שהצעתי שתקום תבדוק גם למה החקיקה לא התקדמה: האם זה כשל של הכנסת? של משרד המשפטים? של שר המשפטים? יש כל מיני דברים שצריך לבדוק והציבור זכאי לתשובות".
לטענת הכהן, גם הרכב צוות מררי מצביע על עומק הבעיה: "העובדה שצוות מררי נדרש לצרף אליו אנשי מקצוע חיצוניים מהשב"כ ומהמוסד אומרת שבמשרד המשפטים אין למעשה ידע מקצועי להסתכל על הדבר הזה באופן עצמאי. ואז מתחדדת השאלה אם חוות הדעת שניתנה לכאורה בידי היועץ המשפטי לממשלה ואפשרה את השימוש ברוגלות לוותה בכלל בחוות דעת טכנולוגית. למיטב ידיעתי אין היום במחלקת ייעוץ וחקיקה במשרד המשפטים ידע בסוגיות האלה והבנה עמוקה של טכנולוגיה".
כאן הכהן מפנה למקרה נוסף שבו פרשנות מרחיבה לחוק שבה בחרה המשטרה ונהדפה בבית המשפט: מערכת "עין הנץ", המתעדת באופן רציף את תנועות כלי הרכב בישראל ואוגרת את המידע הזה. המשטרה החלה להפעיל את המערכת בלי שנקבעו כללים ברורים והסמכה בחוק לגבי השימוש בה, ורק לאחר שהדבר התגלה והוגשה עתירה לבג"צ, הורה בשנה שעברה בית המשפט למדינה להסדיר את הפעלת המערכת בחקיקה.
"זה מאוד בעייתי כשהדברים נעשים רק בחדרי חדרים, גם אם יושבים בחדרים האלה יועצים משפטיים, כי הציבור כלל לא מודע לקיומה של מערכת כזו. למה לא הסדירו את עין הנץ בחקיקה מראש, אף שכבר ב־2008 היו דיונים בנושא אצל היועץ המשפטי? למה היו צריכים לחכות להוראת בית המשפט?
"יש פה דפוס. למשטרה אין אינטרס לעדכן את החקיקה, כי היא לא אוהבת מגבלות. ועל משרד המשפטים והכנסת לוודא שיהיו לה כלים, אך גם לרסן את כוחה".
כששולחים להכהן הודעת ווטסאפ, מענה אוטומטי מבהיר כי לאור השינוי בתנאי השימוש של קבוצת פייסבוק (הכוללת גם את ווטסאפ ואינסטגרם) אפשר לשלוח לו הודעות רק ב־SMS או באפליקציית סיגנל. "החלטתי לא לשתף פעולה עם האקט החד־צדדי של ווטסאפ להעביר מידע לפלטפורמות האחרות, שפוגע בפרטיות ולמעשה סוחר במידע על הקשרים שלנו", הוא מסביר. "הבעיה טמונה בכך שאנשים לא שואלים את עצמם איך הם מקבלים כלי כזה נוח בחינם. קיים פער בין זה שאנשים אומרים שהפרטיות חשובה להם לבין התנהגותם בפועל".
את הפער הזה, הוא אומר, אפשר לראות גם בפרשת הרוגלות. "האזרח הפשוט לא רואה את עצמו כפושע, ולכן ליד המשפט 'אין לי מה להסתיר' יושב המשפט 'לי זה לא יקרה', כלומר אחריי לא יעקבו. זו טעות, כי אנשים עלולים לגלות שבגלל עבירה פעוטה יחסית משתמשים מולם בכלים אימתניים".
למשל?
"תאר לעצמך מקרה שבו חבורת צעירים נתפסה על ידי המשטרה מעשנים קנאביס, ומי מביניהם שרכש את הסם עבור חבריו נחשד אף בסחר בסמים. זו כבר עבירה מסוג פשע, ולפי חוק האזנת סתר היא מאפשרת הוצאת צו האזנה לאותו אדם. לפי הפרשנות של המשטרה כיום, כאן למעשה נסללה בפניה הדרך להשתלת רוגלה בנייד של החשוד הזה. הרי אם קיימת פרשנות שהאזנת סתר באמצעות רוגלה שווה להאזנת סתר רגילה, אז הכללים הם אותם כללים, וכך אפשר להשתמש בזה גם נגד אדם נורמטיבי".
אז מה הפתרון?
"הסדרה בחוק של שימוש ברוגלות הסייבר צריכה לקבוע רף גבוה יותר. מצד אחד, ייתכן שבעבירות של פשיעה חמורה יכולים לתת למשטרה יד חופשית יותר, אולי אפילו חיפוש מרחוק לאחור בנתוני עבר בטלפון בסיטואציות מסוימות. מצד שני, יש חשדות שבהם לא ראוי לאפשר פגיעה בפרטיות: לא חיפוש רגיל בטלפון, לא האזנת סתר, ובטח לא השתלת רוגלה.
"זה מחייב כמובן רמת פירוט גבוהה ועמוקה יותר בפני השופטים. אנחנו רוצים שיתפסו פושעים, אבל גם צריכים לשאול מה המדינה משדרת לאזרחיה. יש עשרות פסקי דין של העליון שמבהירים עד כמה הטלפון הנייד הוא תמצית חייו של אדם. אי אפשר גם לומר שזה נורא חשוב, וגם להביע זילות במנגנון שמאפשר לחדור את מערכת ההגנה של המוצר הזה".
הכהן מעלה סוגיה נוספת בנוגע לשימוש ברוגלות: קרב טכנולוגי בין החברות הפורצות ליצרניות הטלפונים ומפתחי אפליקציות המסרים המיידיים, שלא היה קיים בעבר. "עולה שאלה אם ניתן לקבוע קטגורית שמידע שמושג באמצעות שימוש ברוגלה עומד במה שנקרא 'שרשרת ראייתית' — כלומר אם הראיה לא נפגעה או זוהמה בדרך". בקשר לזה הוא מזכיר אירוע מלפני כמה חודשים, שבו בתגובה לרמיזה של חברת סלברייט הישראלית כי הצליחה לחדור לאפליקציית סיגנל, הודיעה סיגנל כי תשנה אותה כך שישתבש מידע שנאסף ממנה על ידי גורם חיצוני.
"זה משמעותי", הוא אומר, "כי בניגוד להאזנת סתר מהעולם הישן, שבה המשטרה היתה מתחברת למרכזייה של חברת תקשורת בהסכמתה ובשיתוף פעולה, בעת שימוש ברוגלה המשטרה בעצם פורצת מערכות הפעלה ומנגנוני הגנה מובנים שיש במערכות של הניידים.
"כדי לפרוץ את הטלפונים הרוגלה עושה טריקים ושטיקים, ונוסף על כך גם מסתתרת. זו בעצם מעין מלחמה בין מערכת ההפעלה לבין מי שמנסה לחדור אליה, ועולה השאלה אם לא יכול להיות שנגרמים בדרך נזקים למידע שנאסף, ומי בודק אם נגרמו נזקים כאלה. על סמך איזו חוות דעת משפטית־טכנולוגית אתה יכול להציג ראיה שהושגה בדרך כזו, ולהגיד שהיא תקפה?".
זה נעשה עד היום?
"בדרך כלל כשהמשטרה מכניסה טכנולוגיית אכיפה חדשה, היא צריכה לבוא ולהסביר למה היא תקפה מבחינה ראייתית. במקרה של הרוגלות עד היום, למיטב ידיעתי, לא היה דיון בבית משפט שבו המשטרה אמרה שהיא משתמשת בהן. הציבור לא ידע והסנגורים לא ידעו, כך שלא היה ניתן לשאול את השאלות האלה. וגם אם נניח שהמידע שמושג תקף משפטית, יש עוד שאלה חשובה מאוד שטרם לובנה, והיא מה מטרת האיסוף.
"יכול להיות שתוצרי האזנת הסתר מרוגלות בכלל לא מגיעים לבית המשפט כראיה, והם רק שימשו טריגר לעשות דברים אחרים. למשל ככלי לאיסוף מודיעין משטרתי לקראת חקירה — ואז אנחנו נמצאים בכלל ברובד אחר".
איסוף מודיעין משטרתי לא מוסדר בחוק?
"מערך המודיעין של המשטרה לא מוסדר באופן פורמלי בחוק, בפקודת המשטרה. בצבא, להבדיל, אנשי מודיעין צבאי — ואני מכיר זאת היטב מעברי בצבא — עושים דברים שהיו עשויים להיחשב עבירות פליליות חמורות, אבל מבחינה משפטית זה נתפס נורמטיבי כי זה מופנה כלפי האויב. אבל כשמדובר בסיטואציה שבה המדינה מפעילה את יכולותיה כלפי אזרחיה, זה חייב להיות מוסדר בחוק.
"בין השאר צריך להסדיר גם את נושא הפיקוח: מי מוודא היכן חומרים נשמרים, מה עושים עם מידע עודף שלא הופך לראיה בתיק, איך מבטיחים שלא נעשה שימוש אסור במידע, איזה חומר צריך להימחק ומתי. מניסיוני, גופי מודיעין לא נוטים למחוק לבדם מידע, אלא אם קיימים כללים מוסדרים.
"מהיקף ההליכים המשמעתיים שנפתחו, אנחנו יודעים שהיו מקרים שבהם שוטרים עשו שימוש לרעה במאגרי מידע משטרתיים. בגדול, האופן שבו מתנהל מערך המודיעין המשטרתי לא מוסדר, לא בחקיקה ראשית ולא בתקנות. זה תפקיד הכנסת, אי אפשר להשאיר את זה ליועצים משפטיים או לחוקרים שצריכים לעשות את עבודתם".
הסוגיה האחרונה שדורשת הסדרה, מבהיר הכהן, היא היחסים בין המשטרה לספק של תוכנות הסייבר ההתקפי. "צריך להבטיח ש'לוגים' (רשומות) של מערכות כאלה ייחתמו בחתימה אלקטרונית בידי צד שלישי נאמן", הוא אומר. הסוגיה מתחדדת למקרא המשפט מעורר התהיות בדו"ח הביניים של צוות מררי, שלפיו נמחקו רשומות בידי המשטרה.
הכהן, שב־2001 הקים את אופרציית החתימה הדיגיטלית הראשונה שאושרה בישראל למסמכים משפטיים, מסביר כי "יש פתרונות טכנולוגיים כדי לוודא שלא ניתן למחוק או לשנות לוגים שנרשמים, אבל לרוב זה מחייב צד שלישי נאמן, מעבר לספק התוכנה ולמשתמש. בהחלט ניתן לייצר מצב שאותו גורם שלישי לא יידע מה תוכן המידע, אבל כן יידע להגיד שהמידע נרשם ויוודא שהוא לא נמחק.
"חלק מהתהליך שצריך להיעשות כיום הוא מנגנון הפרדת התפקידים בין ספק הרוגלות לבין המשטרה, כדי לוודא שאף צד לא מנצל את כוחו לרעה. אפשר לקבוע מנגנונים טכנולוגיים כך שיהיה בטוח שהשימוש נעשה באופן תקין ובוודאי מתועד, ולא תלוי במשטרה וב־NSO לבדן. אבל בשביל לדרוש את זה צריך הבנה טכנולוגית עמוקה, וזה משהו שמשפטנים לא בקיאים בו מספיק".