איגוד האינטרנט: "השימוש שעושה המשטרה בפגסוס כרוך בביצוע עבירות פליליות"
איגוד האינטרנט: "השימוש שעושה המשטרה בפגסוס כרוך בביצוע עבירות פליליות"
הדו"ח מבקר את השימוש שעושות רשויות אכיפת החוק בישראל בכלי פריצה, ריגול ושאיבת מידע. ומדגיש את הצורך לעדכן את החוק והרגולציה בנושא חדירה למכשירים חכמים ושירותי ענן. כמו כן, מחברי הדו"ח מציעים מתווה לאסדרת החיפוש
השימוש שעושה משטרת ישראל בפגסוס של NSO כרוך בביצוע עבירות פליליות לפי חוק המחשבים, והמידע שהיא שואבת ממכשירים אף חורג מסמכויות המשטרה לפי חוק האזנות הסתר — כך קובע דו"ח מקיף של איגוד האינטרנט הישראלי, שסוקר את השימוש שעושות רשויות אכיפת חוק בישראל בכלי פריצה, ריגול ושאיבת מידע דוגמת פגסוס של NSO.
לקריאת הדו"ח המלא של איגוד האינטרנט לחצו כאן
הדו"ח חובר על ידי ד"ר אסף וינר, סמנכ"ל רגולציה ומדיניות באיגוד, ועו"ד הדס תמם בן־אברהם, ראש המכון לסיכוני סייבר למנהלים בקריה האקדמית אונו ולשעבר קצינה ביחידת להב 433 במשטרה. הוא עבר ביקורת עמיתים על ידי פרופ' אור דונקלמן מאוניברסיטת חיפה, דנית ליבוביץ־שטי מאלפא פורנזיקס, ופרופ' מיכאל בירנהק, פרופ' יואב ספיר וד"ר עמרי רחום־טווויג מאוניברסיטת תל אביב. מנכ"ל איגוד האינטרנט, עו"ד יורם הכהן, חתום על האישור המקצועי לדו"ח. עוזרי המחקר הם נופר קדוש ועדו אילי.
חציו הראשון של הדו"ח מתמקד ברובו בסקירה של כלי הפריצה, שאיבת המידע והניתוח שנמצאים בשימוש בידי רשויות אכיפה במדינת ישראל, ובהם המשטרה, מצ"ח, רשות ניירות ערך, רשות המסים והרשות להגנת הפרטיות. הסקירה שמתמקדת בכלים מתוצרת סלברייט ו־NSO הישראליות, מבוססת ברובה על מידע שפורסם בעבר, ובכלל זה בדו"ח מררי - שפורסם באוגוסט 2022 על ידי צוות בדיקה בראשות המשנה ליועמ"שית לממשלה עמית מררי - דו"חות של האיחוד האירופי וארגונים אחרים ופרסומים בעיתונות העולמית, ואינה כוללת מידע חדש משמעותי.
עם זאת, אחרי שסקרו את אופן פעילותה של תוכנת פגסוס, בכלל זה הגישה המלאה שהיא מספקת למכשיר יעד ולכל חשבונות הענן שקשורים אליו, יכולתה לבצע הדבקה מרחוק ללא פעולה יזומה מצד המשתמש, והקושי הרב שכרוך בגילוי פעילותה בזמן אמת ואף בדיעבד - עומדים המחברים על הקושי המשפטי שנובע מהפעלתה במסגרת החקיקה בישראל. "ביצוע של האזנת סתר לתקשורת בין מחשבים באמצעות רוגלות כדוגמת Pegasus לרוב כרוך בביצוע העבירות הפליליות שקובע חוק המחשבים: שיבוש או הפרעה למחשב או לחומר מחשב; חדירה לחומר מחשב; כתיבה או העברה של תוכנה שתוצאתה תהיה מידע כוזב או פלט כוזב; או פעולות אסורות בתוכנה. על כן, אין להשוות את פגסוס לכלֵי האזנה 'מסורתיים' המשמשים את רשויות האכיפה".
הדו"ח קובע כי "נראה שפגסוס דומה יותר לפתרונות 'טרויאניים' או לפתרונות 'חיפושים מקוונים' שהופעלו בעבר על ידי ממשלות והעלו חששות משפטיים ומוסריים בלתי מבוטלים. בשל התכונות הייחודיות שלה, תוכנת הריגול פגסוס ודומותיה מהוות נקודת מפנה המשלבת דרגת פולשנות חסרת תקדים בהשוואה ליכולות עבר, עם תכונות המסוגלות להפוך רבים מאמצעי הנעילה והאבטחה של המכשירים החכמים לבלתי יעילים ולחסרי משמעות".
כן מציינים המחברים שמניתוח דו"ח מררי, שבדיקת השימוש שעושה המשטרה בפגסוס, או כפי שמכונה המערכת על ידי המשטרה "סייפן", אף חורג מהסמכויות שמקנה לה חוק האזנות הסתר: "במערכת סייפן ובמערכות דומות נוספות שבידי משטרת ישראל לא כוונה באופן מלא היכולת הטכנולוגית לקבל את סוגי המידע הבאים שאינם מהווים מידע מסוג 'תקשורת בין־מחשבים', כגון רשימת אפליקציות המותקנות על גבי המכשיר המודבק, ונתונים אישיים מסוג פתקים, אנשי קשר או פרטי יומן החורגים מסמכות המשטרה לפי חוק האזנות סתר, שאינה כוללת אפשרות לגשת למידע האגור במכשיר. מידע מסוג זה אף התקבל בפועל לא אחת אצל המשטרה, ואף לאורך תקופת פעילותה של המערכת היתה אפשרות שבה 'באופן פאסיבי ייחשף מידע למפיק... גם אם המפיק לא נכנס באופן אקטיבי לצפייה באותו פריט מידע'". הציטוט שמביאים מחברי דו"ח איגוד האינטרנט לקוח מתוך דו"ח מררי.
על סמך הסקירה שבוצעה ולאור פערי המידע שהתגלו, מזהים מחברי הדו"ח צורך לעדכן את החוק והרגולציה בנושא חדירה למכשירים חכמים ושירותי ענן על ידי רשויות אכיפה בישראל. זאת, תוך הכרה במספר קשיים. אלו כוללים אתגרים הקשורים להבטים של אמינות ומהימנות הראיות שהופקו באמצעות כלי החדירה, לכך שכלי הפריצה מאפשרים גישה לא רק למידע ששמור על המכשיר, אלא גם למידע שמאוחסן בשירותי ענן שמקושרים למכשיר זה - למשל, גוגל דרייב או חשבונות מייל - כאשר שרתיהם ממוקמים לא פעם מחוץ לשטח מדינת ישראל. כמו גם לחשיפה המוגברת של אוכלוסיות מוחלשות לשימש בכלים אלו.
אתגרים נוספים נוגעים ליכולת של הכלים לחלץ מידע ממכשירים ושירותי ענן ללא סינון של סוג החומרים או תקופתם, היקף הנכסים הדיגיטליים שאדם ממוצע מחזיק במכשיר הנייד שלו ושהגישה אליהם לא כרוכה בצווים נפרדים, הפגיעה שחיפוש מסוג זה מייצג גם לצדדים שלישיים - כמו תכתובות עם בני משפחה וחברים או מידע עסקי־סודי על מקום עבודת בעל המכשיר, ויכולת של חשודים לעיין במסמכי החקירה במכשירם שמוגבלת מאוד ביחס לחומרי חקירה אחרים בשל המומחיות שנדרשת להבנת המסמכים.
לאור כל זאת, מציעים מחברי הדו"ח מתווה לאסדרת חיפוש במכשירים ניידים חכמים, על בסיס כמה עקרונות מרכזיים, בהם: הגבלת אפשרות החיפוש על בסיס הסכמה וללא צו שיפוטי, הטלת חובת תיעוד על פעילות כלי החדירה והחיפוש, וחיוב רשויות החקירה בפרסום דו"חות תקופתיים על השימושים שנעשים בכלים אלו. "המסגרת החקיקתית המיושנת של דיני החיפוש בישראל אינה מאפשרת מנגנוני פיקוח וביקורת מספקים נגד שימוש חורג או בלתי־הכרחי של רשויות האכיפה בכלים טכנולוגיים רבי עוצמה לחילוץ נתונים אישיים ממכשירים חכמים ומחשבונות הענן המקושרים אליהם", נכתב. "חדירה וחיפוש בטלפון חכם פוגעים בחריפות בחירות האזרח והזכות להליך הוגן, עקב המציאות הטכנולוגית בה הטלפון החכם הוא המחשב האישי הנפוץ ביותר. הצורך בעדכון מסגרת הדין והנוהל להפעלת אמצעים טכנולוגיים לחדירה ולחיפוש בטלפונים ניידים בוער במיוחד כיום, בעידן מחשוב הענן, שכן היכולת של גופי האכיפה לחפש בענן היא הרחבה עצומה של סמכויות החקירה וחודרנותה".