אתר מערכת המשפט חשף פרטים מסכני חיים של תיקים חסויים

thumbnail

אין הרבה מאגרי מידע יותר רגישים מזה של מערכת המשפט בישראל, אבל בעיות במערכת החדשה אפשרה לחשוף גם תיקים שהתנהלו בדלתיים סגורות. לאחר דיווח למערך הסייבר התקלה תוקנה

https://www.haaretz.co.il/captain/software/.premium-1.7738659

מערכת “נט המשפט” היא אחת מהמערכות המרכזיות של מערכת המשפט בישראל, שכן היא מאפשרת לעיין בתיקים ובהחלטות דרך האינטרנט. כל עורך דין במדינה משתמש במערכת הזו לאינספור מטרות – מעיון והתעדכנות בתיקים ועד קריאת פסקי דין ועדויות בתיקים שלו או בתיקים אחרים. המערכת הזו היא חלק מרכזי ותשתיתי של מערכת המשפט, בלעדיה עורכי דין ושופטים במדינה לא יכולים להתנהל.

כמובן שלא כל תיק גלוי בפני כל אחד: ישנם תיקים חסויים (תיקים אלו נקראים “משפט בדלתיים סגורות”) – תיקים שחשיפה שלהם עלולה לגרום נזק לבטחון המדינה, תיקים שפרסום העדות בהם עלול לסכן את חיי העדים, תיקים בענייני קטינים, עבירות מין וכו’. בשל תוכנם, תיקים אלו לא ניתנים לעיון על ידי כל אחד אלא רק על ידי הצדדים הקשורים לתיק.

כשאדם שאין לו קשר לתיק מנסה לעיין במערכת “נט המשפט” הוא לא מורשה לעשות כן ומסיבה טובה, שכן דליפת תיקים חסויים עלולה להביא לנזק עצום לקורבן. כך היה לדוגמה במקרה דליפת כתב האישום מפרשת האונס בגן העיר, שהופץ ברשת והכיל עדויות ומידע על הפרשה הקשה וגרם לנזק פסיכולוגי ולמצוקה גדולה למתלוננים.

ב-18 באוגוסט הושקה מערכת תיק-טק, מערכת חדשה לניהול תיקים שהיתה אמורה לאפשר למשתמשים בה לגשת אל הנתונים שלהם באמצעות הנייד. כמה שעות לאחר פרסום האפליקציה גילה גיא זומר, אקטיביסט ופעיל חברתי, שבאמצעות האפליקציה הוא מסוגל לעיין ללא הפרעה בכל תיק. האפליקציה כלל לא בדקה הרשאות משתמש ואיפשרה לכל אדם לראות איזו תיק שהוא רוצה – בדלתיים סגורות או פתוחות.

המשמעות היא כבדה במיוחד: כל התיקים היו זמינים לכל משתמש במערכת, לפחות ברמת שם התיק הכולל את שמות הצדדים המעורבים – זהות של עדים וקורבנות, מידע של עבירות בטחון ומין, כל אלה היו חשופים לחלוטין לכל משתמש. לא ברור אם מידע נוסף היה חשוף, כיוון שזומר מיהר לדווח על כך ללא בדיקה טכנית מקיפה. הוא שלח בבהילות דיווח מפורט וצילומי מסך להנהלת בתי המשפט:

לאחר כמה שעות, מחלקת המחשוב של הנהלת בתי המשפט יצרה קשר עם זומר וטענה שאין לה קשר לאפליקציה או בכלל לממונה על אבטחת מידע, והפנתה אותו למוקד פניות הציבור. זומר פנה למערך הסייבר, גוף שאינו קשור לבית המשפט כמובן אך מהווה בשנים האחרונות קו הגנה ראשון ולפעמים אחרון באירועי דליפת מידע וסייבר. אחרי שיחה קצרה, הם הצליחו להביא לתיקון הבעיה.

מלבד השבחים הרגילים למערך הסייבר, אופן ההתנהלות של מערכת בתי המשפט מעורר תהיות וחששות כבדים: איך אפליקציה עולה לאוויר עם באג כל כך משמעותי? מדוע במחלקת המחשוב של בתי המשפט ופניות הציבור לא יודעים לטפל בבעיות אבטחה משמעותיות ואפילו לא יודעים מי הממונה על אבטחת המידע? ההתנהלות הזו לא מקובלת גם כשמדובר בחברה מסחרית, קל וחומר כשעוסקים ברשות קריטית בישראל.

זו לא הבעיה הראשונה שהתגלתה ב”נט המשפט”. המערכת המחשובית הזו היא אחת המטרות המאתגרות והמפחידות ביותר שיש בעולם הסייבר הישראלי.

רוב רובם של חוקרי אבטחת המידע לא מעזים לגעת במערכת או להתקרב אליה, אבל לא בגלל מערכות ההגנה הרבות שמוצבות עליה או בגלל האיכות הטכנית יוצאת הדופן שלה. כדי לחשוף מה מצבה של המערכת צריך, ובכן, לבדוק מה המצב של המערכת. חשיפה היא עניין לא נעים ומורכב, אבל היא יכולה לגרום לסגירת החורים והבעיות ברוב המקרים. מדוע איש, כולל החתום מעלה, לא מנסים אפילו להתקרב?

הכל נובע מתקדים משה הלוי, הידוע בכינויו הלמו – האחרון שחשף את ערוותה של מערכת נט המשפט ושילם על כך מחיר כבד. באוגוסט 2012 הלמו נעצר ומחשביו הוחרמו בטענה שהוא פרץ למערכת. הלמו כמובן לא השתמש בכלי פריצה אלא בדפדפן בלבד, והמערכת היתה כל כך מחוררת שלא נדרש שום ידע טכני כדי לחדור אליה. למרות זאת, המשטרה והפרקליטות נקטו בסחבת ובמשך שנתיים הלמו נאלץ לחיות כשאישום פלילי מרחף מעל ראשו.

בסופו של דבר התיק נסגר, והלמו אף תבע את המשטרה והפרקליטות. בית המשפט פסק לטובתו, והשופט מתח ביקורת קטלנית על מנהלי מערכת “נט המשפט”. עם זאת, המסר הופנם: מי שיחטט במערכת יזכה לנחת זרועה של המערכת. התוצאה היא שחוקרי אבטחת מידע שדואגים לחשוף פרצות ישתדלו שלא להיכנס אליה.

מהנהלת בתי המשפט נמסר בתגובה:

בהנהלת בתי-המשפט יש ממונה על אבטחת מידע. אגף מערכות מידע ומחשוב בהנהלת בתי-המשפט מוסמך לתקני ISO 27001, 27032 לאבטחת מידע והגנת סייבר, שהינם תקנים בינלאומיים ומוכרים כסטנדרט גבוה לניהול מידע רגיש. בשנת 2018 זכתה מערכת בתי-המשפט בתחרות מצטייני המחשוב – 2018 IT AWARDS.

מערך המחשוב בהנהלת בתי-המשפט מתחקר ומטפל באופן מיידי בכל מקום בו קיים חשש לתקלה.

השאילתה עוסקת בשירות חדש שמעניקה מערכת בתי-המשפט להנגשת מידע באמצעות יישומון. בשל התקלה שאירעה נחשף שם התיק החסוי רק למי שבידו היה מצוי מספרו של התיק והקישו במערכת (נתון שאינו מפורסם בשום צורה שהיא) ולא מידע כלשהו מתוך התיק עצמו. התקלה אינה מהווה פירצה ולא התאפשר במסגרתה לצפות בתיק חסוי על ידי כל משתמש מזדמן.

התקלה דווחה לאגף המחשוב ביום 20.08.2019, אותרה וטופלה באופן יעיל ומיידי.

מערכת בתי-המשפט פועלת לשיפור וייעול השירותים הניתנים על-ידה לציבור הן באופן מסורתי והן באמצעים טכנולוגיים חדישים אותם היא מעמידה לשימוש הציבור. ככל שישנן תקלות הן נבחנות ומתוחקרות על מנת לצמצם את הסיכוי להישנות תקלות נוספות בעתיד.

פניות בנושאי מחשוב לרבות בנושאים הנוגעים לאבטחת מידע ניתן להפנות לפניות הציבור.  כמו כן, ניתן לפנות ישירות לאגף מערכות מידע ומחשוב לפי הפרטים המפורסמים באתר האינטרנט של הרשות השופטת.

ביום 27/2/17 נעצרה העיתונאית לורי שם טוב מעצר פוליטי, על פרסום כתבות ביקורת על שופטים, עובדים סוציאליים ועובדי ציבור. השופטת רונית פוזננסקי כץ שטיפלה בחלק נכבד של בקשות המשטרה לצווי חיפוש במחשבים של שם טוב, הודתה בתיק אחר (אלוביץ-בזק) כי קיבלה את פני השוטרים אצלה בבית, ולא בבית המשפט, כי השוטרים בחרו בה כי ידעו שהיא נוהגת לחתום ולתת להם את כל מבוקשם ללא בעיות וללא חקירות, ולמעשה שימשה השופטת פוזננסקי כץ, סניף של הפרקליטות בתוך בית המשפט.
Back To Top
%d בלוגרים אהבו את זה: