מחשבים: חוק, משפט ואתיקה

חוק זה מתייחס לארבע עבירות מחשוב עיקריות: • שיבוש או הפרעה למחשב או לחומר מחשב - כל המשבש פעולתו התקינה של מחשב, מוחק חומר מחשב, גורם לשינוי בו - דינו מאסר שלוש שנים. • מידע כוזב או פלט כוזב - המזין למחשב מידע כוזב או כותב תוכנה שתוצאות השימוש בה מביאות למידע או פלט/קלט כוזב - דינו מאסר חמש שנים. • חדירה למחשב שלא כדין - החודר שלא כדין לחומר מחשב (בין אם באמצעות התקשרות או התחברות או על-ידי הפעלתו) - דינו עד חמש שנות מאסר. • נגיף מחשב (וירוס) - עורך תוכנה המסוגלת לגרום נזק ו/או שיבוש למחשב או לחומר במחשב דינו שלוש שנות מאסר. המעביר לאחר תוכנה זו (וירוס או כל קוד זדוני אחר) - דינו מאסר חמש שנים. נושא חשוב נוסף הוא שהמחוקק קבע כי כל העובר על אחת או יותר מעבירות אלו חשוף לתביעה בגין "עוולה בנזיקין", דהיינו חשוף לתביעה אזרחית שבה יתכן ויאלץ לשלם פיצויים. חשוב להבין כי אם פרץ אדם למחשב בארגון מסוים וגנב מספרי כרטיסי אשראי, בין אם נמצא הפורץ ונענש ובין אם לאו, גם החברה אשר אכסנה במחשבים שלה את מספרי כרטיסי האשראי יכולה להיות חשופה לתביעה. על החברה להוכיח כי עשתה מאמצים סבירים להגן על המחשוב בארגון מפני פריצות על-ידי התקנת אמצעים מתאימים כגון מינוי אנשי מקצוע אשר הטמיעו ותחזקו מערכות אלו (due care) שאם לא כן הרי החברה חשופה לתביעה גם היא וסביר להניח כי גם תאלץ לשלם במקרים כאלו. יתכן כי הפורץ הוא ילד בן 16 אשר אין לו אמצעים כלכליים, ומערכת המשפט והנפגע מטבע הדברים יחפשו את ה"כיס העמוק", דהיינו את מי ניתן לתבוע ולהרוויח. לכן, במקרה כזה גם החברה הנפרצת חשופה לתביעה, וכל חברה שבמחשבים שלה מאוחסן מידע רגיש כזה או אחר על הלקוחות והספקים שלה חייבת בחובת ההגנה על מערך המחשוב בארגון.

חוק זה מתייחס למאגרי המידע שמחזיקה כל חברה אודות הלקוחות, לקוחות פוטנציאלים, ספקים וכו'. אותן רשימות חייבות להישמר בתנאים מסוימים, ולהתנהל על-פי חוק. מאגר מידע נחשב ככזה אם יתקיימו בו אחד מהבאים: - מספר האנשים ברשומות עולה על 10,000. - מכיל מידע רגיש (ישנה הגדרה בחוק מהו מידע רגיש כמו מידע בריאותי, כלכלי ועוד). - מידע על אנשים, כאשר המידע לא נמסר על ידם. - המאגר הוא של גוף ציבורי. - המאגר משמש לדיוור ישיר. מי שברשותו מאגר שכזה, או מנהל מאגר מידע, חייב בחובת רישום המאגר אצל רשם מאגרי המידע. עליו ו/או על מי שמינה מטעמו חלה החובה לניהול המידע והגנה עליו. מי שמחזיק/מנהל חמישה מאגרי מידע ויותר חייב למנות אדם שיוכשר לתפקיד אשר כל תפקידו יהיה לנהל מאגרי מידע אלו ולפעול על-פי חוק רישום מאגרי המידע. החוק נועד בראש ובראשונה למנוע פגיעה בפרטיותו של אדם על-פי חוק הגנת הפרטיות 1981, ולהגדיר את חובותיו של ארגון המחזיק נתונים רגישים כגון בנק או בית חולים בנושא הגנת הנתונים.

חוק הגנת הפרטיות הוא אחד מחוקי היסוד העוסק בזכות האדם לפרטיות ובאיסור לפגוע בה. החוק מגדיר פעולות אשר עשייתן ללא הסכמת האדם מהווה פגיעה בפרטיותו. פגיעה כזו היא עוולה אזרחית אשר חלה עליה פקודת הנזיקין, דהיינו הינה עבירה פלילית. החוק מתייחס לאדם ולא לתאגיד או לחברה. אנו מכלילים חוק זה בסקירה זו על-מנת לעזור ולהבין את הדילמות השונות הניצבות בפני אנשי המחשבים, אבטחת המידע והמנהלים בחברות שונות. לדוגמא, האם מותר למעביד להאזין לשיחות טלפון של עובד? לבדוק לו את המייל (במחשבי החברה)? לבדוק היכן ומתי הוא גולש באינטרנט בשעות העבודה? התשובות לשאלות אילו אינן ברורות כל כך כפי שנדמה. נתייחס בתחילה לניטור ובדיקה של מאפייני גלישה של עובדים. בדיקה של כמות הגלישה באינטרנט היא מותרת, אבל בדיקה היכן גלשו העובדים יכולה בנסיבות מסוימות להיות בעייתית. על-מנת שלא לחשוף את החברה לתביעות (פגיעה בפרטיות) על החברה לנסח מדיניות שימוש באינטרנט ומיילים בחברה, להודיע באמצעות "באנרים" בכניסה לדפדפן האינטרנט או במייל או להחתים בחוזה העבודה את העובדים (האופציה הטובה ביותר), כיוון שכך הם מודעים לאפשרות שגלישת האינטרנט שלהם תנוטר. אם חברה מנטרת את הרגלי הגלישה של העובדים, אסור לה לנטר עובד מסוים, עליה לנטר קבוצת עובדים או את כל העובדים על-מנת שבעתיד יהיה ניתן להוכיח כי אותו עובד גלש לאתרים אשר אינם חלק מ"שיגרת העבודה" של גלישת האינטרנט בחברה תוך כדי השוואה לעובדים אחרים. סיבה נוספת לניטור כל העובדים היא על-מנת להוכיח כי לא הייתה כאן מגמה של היטפלות לעובד ספציפי על-מנת להביא לפיטוריו. ניטור ובדיקה של מיילים של עובדים הינה בעייתית יותר. אם עובד פתח ספרייה במייל ושם הספרייה הוא "פרטי נא לא לקרוא!!" עלולה להיות בעיה במידה והמעביד יקרא חומר זה, אף אם מדיניות העסק (אשר נאמרה ואף נחתמה בחוזה העבודה אוסרת מיילים פרטיים בחברה) במקרה זה יכול המעביד לפנות לעובד ולהורות לו למחוק את התיקיה הפרטית כיוון שזה נוגד את מדיניות החברה. חל איסור על מעביד לצותת לשיחות טלפון המתקיימות בארגון בין עובדיו ללקוחותיו (אם הוא לא שותף לשיחה זו) אלא אם כן ישנו צו המאפשר לו זאת. צילום מותר במקומות מותרים בלבד כגון אולמות עבודה ובתנאי שהצילומים אינם פוגעים באדם ומבזים אותו ואת פרטיותו (צילום בשירותים, מלתחות וכו'). ככלל לא תמיד החתמתו של עובד על הסכמה לביצוע פעולה זו או אחרת היא חוקית, אך לעיתים רק באמצעות החתמה כזו תסיר החברה מעליה אפשרות של תביעה.חשוב להבין כי הנושא אינו דיכוטומי וכל מקרה יבחן לגופו.

החוקים עיקריים כאן הם חוק זכות יוצרים, התר"ע - 1911 ופקודת זכות יוצרים 1924. חוקים אלו באים להגן על אינטרסים כלכליים ומוסריים של יוצרים ועל היצירה מהעתקות ומשימוש לא חוקי. נושא זה רחב מאוד, ואנו נתייחס אליו מכיוון המחשוב בעסק. הבעיה הראשונה הניצבת בפני מנהלי חברות ומנהלי אבטחת המידע היא שימוש לא לגיטימי ולא חוקי בתוכנות אשר לא נקנו כדין. על כל חברה לקבוע מדיניות מסודרת של קניית תוכנות וניהול הרישיונות בארגון. כמו כן, יש לקבוע מדיניות של שימוש והתקנה של תוכנות בעסק, ולהפיץ מדיניות זו לעובדים. חשוב להבין כי לא כל חומר המפורסם באינטרנט הוא נחלת הכלל וגם העתקה של תמונות או מלל ושתילתו באתר האינטרנט של החברה עלולה להיות הפרה של זכויות יוצרים. כמו כן, יש לקבוע מדיניות בעסק שאוסרת על המשתמשים לשתף קבצים דרך תוכנות שיתוף (או אף לאסור לחלוטין התקנת תוכנת מסוג זה). חשוב להבין כי במידה ומתבצע שיתוף של תכנים לא חוקיים (כגון סרטים או שירים) ממחשבי החברה, יכולה החברה לשאת באחריות אף אם הדבר בוצע ללא ידיעתה, לכן על החברה לאכוף ולידע את העובדים בנושא זה.

חוק חתימה אלקטרונית (דיגיטלית) הוא חוק חדש המנסה להסדיר את חוקיות ואמיתות חתימת הסכמים דרך תקשורת אלקטרונית למשל מייל וכו'. הבעייתיות הקיימת בהוכחת אמיתות ההודעות הביאה לחקיקת חוק זה. ניקח לדוגמא שתי חברות החותמות על הסכם מסוים דרך תכתובת מייל, ולאחר מכן אחת החברות מתכחשת לחתימה על ההסכם. איך נוכיח שאכן היא קיבלה את המייל וחתמה עליו? הרי כל האקר מתחיל יכול לזייף את הדואר האלקטרוני של החברה, לחתום בשמה, למחוק או לשנות את המיילים שנשלחים על ידה. סוג החתימה יכולה לשמש כהוכחה בבית המשפט ולחזק טענות אחד הצדדים באופן שלא יוכל להתכחש לחתימתו (non repudiation). חתימה אלקטרונית משמשת להוכחת שלושה דברים עיקריים: השולח חתם על מסר מסוים, מקורו של המסר אכן בשולח הנטען, המסר לא עבר שינוי או נפרץ בכל דרך שהיא. החוק קובע ארבע רמות לחתימה אלקטרונית, לכל אחת משקל ראייתי שונה במערכת המשפט: • ללא חתימה בכלל (למשל קובץ או דיסקט אשר אין עליו חתימה כלל). • בצירוף חתימה אלקטרונית פשוטה (למשל ציון פרטים מזהים כגון שם פרטי, שם משפחה במסמך word רגיל). • בצרוף חתימה אלקטרונית מאובטחת (חתימה אלקטרונית באמצעים הניתנים לשליטה של החברה עצמה, למשל המחשב שמאמת את נכונות הנתונים באמצעות אלגוריתמים מתמטיים נמצא אצל או בשליטה של החברה) מספק אמיתות למסר אך בערבון מוגבל כי אין צד שלישי המאמת את מקור ההודעה. • בצרוף חתימה מאושרת (החתימה הכי חזקה ומומלצת). זוהי חתימה המאושרת על-ידי צד שלישי, על-ידי גורם מאשרר שיש לו אישור ממשרד המשפטים, והוא מאמת לצד שמקבל את המסר כי אכן המסר הגיע מהיכן שנטען ולא שונה בדרך (התהליך מתבצע באמצעות הצפנה מתמטית שלא נכנס להסבר על דרכי פעולתה). כיום יש בארץ רק שתי חברות שקבלו אישור להיות צד שלישי מאמת זיהוי והגדולה שבהם היא : www.comsign.co.il