אחריות מפתחי תוכנה

כיום, פיתוח תוכנה נעשה ברובו על ידי שימוש בספריות קיימות, פרוטוקולים מובנים, קודים קיימים וכד', ההופכים את פעולת הפיתוח להרבה יותר נוחה ויעילה וחוסכים מהמפתח את הצורך לבצע פעולות טכניות רבות בכדי להתאים את התוכנה שפיתח למכשיר שלשמו מיועדת התוכנה. למעשה, שימוש בכלים אלו מאפשרת אף למפתח בעל יכולות פיתוח בסיסיות, ליצור תוכנה בעלת יכולות טכנולוגיות מורכבות. למשל, בשימוש במספר ספריות מסוימות בפיתוח באנדרואיד, ניתן לפתח אפליקציה אשר מאפשרת לכל בעלים בה גישה לכל מידע בטלפון האישי: החל מספר הטלפונים של המשתמש, התמונות האישיות שלו, היסטורית הגלישה שלו ועד לשליטה במצלמת הטלפון, במיקרופון, שליטה במכשיר ועוד. יכולות אלו של תוכנה אשר חודרת למחשב האישי, עלולה לפגוע פרטיות המשתמש, לבצע האזנת סתר ועוד. זהו למעשה תיאור של כל אפליקציה במכשירים של כולנו, החל מאפליקציות מובנות בטלפון החכם כגון פנס ומחשבון ועד לאפליקציות של משחקים, תוכן וכד'.

אם כך, עולה השאלה האם עצם פיתוח תוכנה בעלת היכולות כאמור, יכולה להקים אחריות פלילית למפתח התוכנה? התשובה היא כאמור ככל הנראה תלוית נסיבות.


סעיף 6 לחוק המחשבים הישראלי, מטיל עונש של 3 שנות מאסר על מפתח תוכנה המסוגלת לחדור למחשב, להפריע או לשבש פעולתו, למחוק או לשנות חומר מחשב, לבצע האזנת סתר או לפגוע בפרטיות המשתמש, הכל במטרה לבצע את אחת הפעולות האמורות שלא כדין. כמו כן, קובע הסעיף עונש מוגבר של 5 שנות מאסר, על אדם המפיץ, מציע לציבור, מעביר לאחר, מחדיר או מתקין תוכנה זו לאחר בכדי שתבוצע פעולה כאמור שלא כדין.


נציין, כי בשנת 2012, בעקבות חקיקתה של האמנה לפשעי מחשב האירופאית, "אמנת בודפשט", אשר אושרה ונחתמה על ידי מדינות אירופה וארה"ב ולהן סעיף דומה, ואשר בימים אלה עומלים על אישורה בישראל, תוקן סעיף 6 במטרה להרחיב את האיסור לעריכה ולהפצה של תוכנה גם אם אין בכך בכדי לגרום נזק או שיבוש למחשב או לחומר מחשב, אם הדבר נעשה בין היתר במטרה לחדור למחשב או לבצע פעולות שתוצאתן מידע כוזב וכן במטרה לפגוע בפרטיות או לבצע האזנת סתר. בכך, ביקש המחוקק למנוע התנהגות לא מוסרית עתידית.


אולם, להבדיל מאמנת בודפשט, הסעיף הישראלי אינו מבחין בין עריכת תוכנה שתוכננה או הותאמה בעיקרה למטרה שאינה כדין, היא האסורה, אלא עלול לכלול בתוכו אף איסור על עריכה והפצה של תוכנה דו- שימושית במהותה - תוכנה שתוכננה שלא למטרות פליליות אולם ניתן לעשות בה שימוש למטרות פליליות.


הואיל ומדובר בתיקון לסעיף חדש יחסית טרם ניתנו פסקי דין הנוגעים בעניינו בישראל, אולם במקרה שקרה בארה"ב למעשה בא לידי ביטוי החוסר בהבחנה של תוכנה דו שימושית כאמור. במאי 2014 הורשע אלכס יוכל, סטודנט בן 25, אזרח שוודיה, שנתפס במולדובה והוסגר לארה"ב, בהיותו בעלים של ארגון Blackshades במסגרתו פיתח, מכר והפיץ, תוכנה להשתלטות על המחשב מרחוק (remote access tool" – (RAT". התוכנה איפשרה לכל משתמש בה, ובעיקר לאלה בעלי יכולות טכניות בסיסיות, לפרוץ למחשבים ולבצע בהם כל פעולה שחפצו בה כגון לחדור, למחוק ולשנות קבצים, לשלוט ולהפעיל את המצלמה במחשב, להכליל את המחשב הנגוע ברשת Botnet לצורך מתקפות Ddos, להוריד ולהפעיל קבצי הפעלת מערכת, לעשות שימוש במחשב כ-proxy server, ועוד. על פי נתונים רשמיים, יותר מ-500,000 מחשבים נדבקו בתוכנה ברחבי העולם.


יוכל עצמו פיתח את התוכנה והעמידה למכירה ומעבר לכך לא עשה בה שימוש אחר. למרות זאת, נאשם הוא בשני סעיפים של פריצה למחשבים (computer hacking) אשר העונש המקסימלי של כל אחד מהם הוא 10 שנות מאסר, סעיף אחד של קשירת קשר לבצע הונאה באמצעות מכשיר פריצה ( conspiring to commit access device fraud) אשר העונש המקסימלי בגינו הינו 15 שנות מאסר ועוד.


להגנתו טען יוכל, כי לא פיתח את התוכנה למטרות פליליות, אלא בכלל לצורכי מדע ומחקר - לספק לסטודנטים למדעי המחשב פלטפורמה לאימון וניסויים. במשפטו אף הביע חרטה על שהתחיל את הפרוייקט: “I deeply regret starting this whole project, which obviously went out of control”. בית המשפט התעלם מנתון זה ואמר בתגובה לדברים כי “The message must go forth that this is a serious crime worthy of a serious punishment,” cybercriminals deserve stiffer punishments because crimes committed on the Internet are especially difficult to detect and root out. לבסוף, בעקבות הסדר טיעון שנסגר עם יוכל ובתמורה להודעתו באשמה בעניין זה, הומתקו סעיפי האישום נגדו והוא נידון ל-4 שנות מאסר בפועל ולקנס של 200,000 דולר.

בדומה לבית המשפט האמריקאי אשר ביקש לאסור את עצם פיתוח התוכנה המאפשרת חדירה שלא כדין ללא קשר לנסיבות פיתוחה (מחקר), בית המשפט העליון הישראלי מדצמבר 2012 אימץ פרשנות מרחיבה של המונח "חדירה למחשב שלא כדין", ולמעשה יכולה להוציא מחוץ לחוק בישראל כל תוכנה בעלת יכולת של חדירה למחשב. בפס"ד של בית המשפט העליון הישראלי נקבע, כי "חדירה למחשב שלא כדין" הינה כל הכנסת מידע למחשב ללא הסכמת בעליו. ובהקשר של סעיף 6 האמור - כל המפתח תוכנה בעלת יכולת חדירה למחשב בהיעדר הסכמת בעלי המחשב אסורה. למעשה, תחת הגדרה זו, נכנסים בין היתר, מנועי החיפוש באינטרנט וכלים שונים לאיתור פרצות ואבטחת המידע ולמעשה עלולים לחשוף לאחריות פלילית את אנשים או החברות שפיתחו אותם כגון גוגל, יאהו ועוד.


העליון התייחס בפסק דינו לבעייתיות זו והודה, כי פרשנות מרחיבה זו יוצרת חוסר ודאות באם אדם יפול בגדרי העבירה או לא, אולם העדיף זאת, הואיל ולשיטתו פוטנציאל הנזק העצום הכרוך בעבירות מחשב מחייב הגדרה רחבה זו. ככלי התמודדות עם בעיה זו מציע העליון לעשות שימוש בשכל הישר ובסייג "זוטי דברים" שבחוק העונשין הישראלי לפיו, אף אם התנהגות מסוימת חברתית הינה שלילית או מפירת חוק, על פי הסייג אין בהתנהגות זו אותה מידה האנטי חברתית הראויה להיכלל במסגרת הופעה עבריינית ומכאן שאין היא תיכלל בגדר ההתנהגות פלילית. העליון מטיל הבחנה זו על גורמי התביעה. אולם, הטלת ההבחנה כאמור על גורמי התביעה היא בבחינת "לתת לחתול לשמור על החלב" ויוצרת אכיפה סלקטיבית שיכול ותהיה אינה צודקת.


בנוסף, הגדרה זו יכולה לשחק לידיהם של עבריינים כאשר על ידי פעולה פשוטה מאוד של ניסוח תנאי שימוש דרקוניים אחידים ומקפחים שאף אחד כלל לא טורח לקוראם, ייתן המשתמש את הסכמתו לביצוע הפעולות "הלא חוקיות" של התוכנה, כך שמטרת החוק מלכתחילה מרוקנת מכל תוכן.


מה ניתן לעשות? נראה כי כעת על אדם או חברה המבקשים לפתח תוכנה בעלת יכולות כאמור, לנסח תנאי רישון ברורים אשר מתריעים מפני שימוש לא חוקי בה וכן לדרוש הסכמה מסוימת ומדעת של המשתמש בה. כמו כן, ראוי כי רשויות החוק והמחוקק בישראל יאמצו את הסייג באמנת בודפשט בעניין, לפיו רק פיתוח תוכנה למטרה עיקרית של עבירה על החוק תיכנס בגדר הסעיף ותפטור תוכנות דו –שימושיות כגון כאלה שבפעולתן ומטרת השימוש בהן למעשה מגינות על המחשב והמשתמש או שהשימוש בהן נעשה לצורכי מחקר אמיתיים.

8 צפיות