נוהל הפעלת המערך לחקירת עבירות בסייבר עבירות מחשב ומיצוי ראיות ממחשב – האגף לחקירות ולמודיעין ומחלקת תביעות
- כללי
- במשטרת ישראל קיים מערך משטרתי לחקירות עבירות בסייבר, עבירות מחשב ולאיסוף ראיות ממחשב, אשר מתבסס על יח' ארצית – יחידת הסייבר , ומחלק מיצוי ראיות הנמצאים בלהב 433 ועל מחלקים של חוקרי עבירות מחשב מיומנים הנמצאים במחוזות המשטרה. כמו כן קיימים חוקרים מיומנים בימ"רים וביח' מחוזיות אחרות על מנת לסייע באיסוף הראיות ממחשבים ברמת המחוז.
- הנחייה זו באה לקבוע את תחומי האחריות של היח' השונות והחוקרים המיומנים במערך לחקירת עבירות בסייבר , חקירת עבירות מחשב ובניהול חקירות פליליות של עבירות בסייבר בכלל ועבירות מחשב בפרט.
- הגדרות
- מרחב הסייבר
מרחב וירטואלי המתייחס לרשתות גלובליות של תשתיות תלויות טכנולוגיה , רשתות תקשורת ומערכות עיבוד מחשב בהם מתקיימת תקשורת מקוונת.
- חוקר סייבר
חוקר מחשב מיומן ביחידת הסייבר.
- מודיעין סייבר
עובד מודיעין / איסוף / הערכה ביחידת הסייבר.
- עבירות מחשב
עבירות פליליות שנקבעו בחוק המחשבים, התשנ"ה – 1995 (להלן: "החוק"), אותן ניתן לחלק לשתי קבוצות:
- עבירות נגד מחשב וחומר מחשב
המחשב משמש כיעד העבירה ע"י חדירה למחשב (סעיף 4 לחוק) שיבוש או הפרעה למחשב או חומר מחשב (סעיף 2 לחוק) ופגיעה או ניסיון לפגיעה במחשב באמצעות הפצת "נגיפי" מחשב (וירוס) (סעיף 6 לחוק).
- עבירות המבוצעות בסיוע מחשב
המחשב משמש ככלי עזר לביצוע עבירות הן על ידי חדירה למחשב (סעיפים 4 ו- 5 לחוק) והן על ידי אחסון מידע כוזב או הפקת פלט כוזב (סעיף 3 לחוק).
- איסוף ראיות ממחשב – איסוף ראיות מאמצעי המוגדר מחשב כהגדרתו בחוק המחשבים ואשר חוקר מחשב מיומן נקבע כמוסמך להפיק ראיות כמפורט בנוהל חטח"ק 03.300.035 "תפיסה וחיפוש במחשב"
- חוקר עבירות מחשב מיומן – איש משטרה אשר הוכשר במשטרת ישראל לבצע חיפוש במחשב כמתחייב מסעיף 23א' לפקודת סדר הדין הפלילי (מעצר וחיפוש)(נוסח חדש), התשכ"ט – 1969 בפרט, ולחקור עבירות מחשב בכלל.
- חלוקת תפקידים
- חו' סייבר בחטיבת החקירות – תפקידה לתאם ברמת המטה את פעילות היחידות החוקרות בסייבר והחוקרים המיומנים, לרכוש ציוד מתאים , לרכז הדרכות מתאימות ליחידות, מתן הנחיות מקצועיות לתפעול היחידות וביצוע בקרות ביחידות ובמחוזות.
- יח' הסייבר בלהב 433 – אחראית על חקירת עבירות המתבצעות בסייבר ברמה הארצית , חקירת עבירות חמורות , או שמדובר בחשיפת עבירות מורכבות ברשת.
- מחלק מיצוי ראיות בלהב 433 – תפקידו לסייע ליחידות המשטרה בלהב 433 במיצוי ראיות פורנזיות ממחשבים לצרכי חקירה, וכן סיוע ליחידות המחוזיות במיצוי ראיות פורנזיות הדורשות מומחיות מיוחדת ואמצעים מתוחכמים.
- מחלק עבירות מחשב במחוזות – תפקידם לחקור עבירות בסייבר בתחומי המחוז , בנוסף מסייעים למחוז במיצוי ראיות ממחשב לטובת חקירות של יחידות המשטרה בתחום המחוז.
- חוקרים מיומנים בימ"ר / חוקרים מיומנים ביח' המחוז – תפקידם לסייע במיצוי ראיות ממחשבים ביחידות החקירה בהם הם מוצבים.
- יחידת הסייבר להב 433 – יעוד ותחומי אחריות
- חקירה – יח' הסייבר תעסוק בחשיפה ובחקירה של עבירות במרחב הסייבר כמפורט להלן:
- עבירות מחשב איכותיות הדורשות משאבי זמן, מומחיות ואמצעים מתוחכמים;
- עבירות בסייבר הנוגעות לנושאים בעלי עניין ציבורי רב;
- עבירות בסייבר בעלות היבט ביטחוני הדורשות שת"פ עם גורמים ביטחוניים (צה"ל, שב"כ, לוט"ר, ואח') וסיווג ביטחוני גבוה;
- עבירות בסייבר הנוגעות לתשתיות החיוניות ברמה הלאומית;
- עבירות בסייבר הדורשות שת"פ עם גורמי חקירה בחו"ל;
- כל עבירה אחרת במרחב הסייבר שר' חטיבת החקירות החליט על טיפולה במפלג.
- הנחייה מקצועית – יח' הסייבר תשמש מנחה מקצועי ליחידות המחוזיות בכל הנוגע לחקירת עבירות מחשב, בכפוף לעומס העבודה ולסדרי העדיפות בהם נתונה היחידה.
- הכשרה והדרכה – יחידת הסייבר תסייע לר' חוליית סייבר בחטיבת החקירות מבחינה מקצועית בהכשרות והדרכות, כדלקמן:
- גיבוש והעברת התכנים המקצועיים של קורס חוקר מיומן בסיסי.
- גיבוש והעברת התכנים המקצועיים של קורס חוקר מיומן מתקדם.
- הכשרות מיוחדות לחוקרי סייבר.
- הכשרות עיתיות.
- הדרכות לאנשי מודיעין מהיחידה בסייבר.
- חניכה אישית מקצועית ביחידה לכל חוקר סייבר, על מנת שיוסמך כחוקר מחשב מיומן ע"י חטיבת החקירות.
- שימור כשירות המערך – היח' תסייע לחטיבת החקירות, לשמר את הכשירות המקצועית של חוקרי המחשב המיומנים בכל רחבי הארץ ולשדרג את יכולותיו, וזאת בין היתר ע"י ארגון ימי עיון מקצועיים לחוקרי עבירות מחשב מיומנים מכלל הארץ.
- איסוף מודיעיני – יח' הסייבר תאסוף מודיעין בתחומי עבירות המבוצעות בסייבר.
- פעילות בינלאומית – יח' הסייבר מוכוונת לעבודה במעגלים קצרים ומקצועיים הדוקים מול חוקרי סייבר עמיתים בחו"ל:
- צוות תיאום חקירות בינ"ל יעבוד ישירות מול חוקרי הסייבר העמיתים בחו"ל תוך שת"פ עם מוקד הסייבר במח' סיגינט הפועל 24/7.
- פניות מהאינטרפול ולאינטרפול יעברו דרך מת"מ – חו' אינטרפול.
- בבקשות לחיקורי דין תפעל היח' למול מת"מ – חו' חיקורי דין.
- מו"פ – חו' המו"פ ביח' הסייבר תיתן פתרונות טכנולוגיים וסיוע מבצעי לצוותי החקירה והמודיעין:
- פיתוח כלי חומרה ותוכנה לאיתור עבריינים בסייבר.
- חקירת תחום הסייבר.
- אפיון צרכים חקירתיים ומודיעיניים בסייבר.
- בניית אמצעים טכנולוגיים בסייבר להתחקות אחר עבריינים / עבירות.
- איתור כלים ופתרונות טכנולוגיים קיימים , ומכונות וירטואליות לקידום משימות היחידה ולאיתור גורמים פליליים במתחם הסייבר.
- מחלק מיצוי ראיות ממחשב להב 433 – יעוד ותחומי אחריות
- איסוף ראיות ממחשב – המחלק יעסוק במיצוי ראיות ממחשבים עבור יח' החקירה של להב 433.
- המחלק יסייע ליח' המחוזיות במיצוי ראיות ממחשבים , כאשר הידע המקצועי / הציוד המקצועי אינו מאפשר למחוזות להפיק ראיות בכוחות עצמם.
- הנחייה מקצועית – המחלק ישמש מנחה מקצועי למחלקים המחוזיים בכל הנוגע למיצוי ראיות ממחשב, בכפוף לעומס העבודה ולסדרי העדיפות בהם נתון המחלק.
- המחלק יסייע לר' חוליית הסייבר בחטיבת החקירות בבחינת חלופות רכש לציודי בדיקה למחשבים ורכש תוכנות פורנזיות.
- הכשרה והדרכה – המחלק יסייע לחטיבת החקירות מבחינה מקצועית כדלקמן:
- גיבוש והעברת התכנים המקצועיים של קורס חוקר מיומן;
- חניכה אישית מקצועית במחלק לכל חוקר שהוסמך כחוקר עבירות מחשב מיומן, על מנת שיוסמך כחוקר מחשב מיומן ע"י חטיבת החקירות.
- הדרכות שוטפות לחוקרים המיומנים בנוגע לכלים פורנזיים.
- מחלקים במחוזות – ייעוד ותחומי אחריות
- במחוזות הוקמו מחלקים לחקירת עבירות במרחב הסייבר ,לחקירת עבירות מחשב ולמיצוי ראיות ממחשב לסיוע ליחידות המחוז.
- בכל מחוז המחלק יהיה במפלג ההונאה המחוזי.
- במחוז ש"י המחלק יהיה בימ"ר ש"י במפלג התשאול.
- משימות מחלק סייבר במחוז:
חקירה – מחלק הסייבר במחוז יעסוק בחקירה של עבירות במרחב הסייבר בתחומי המחוז.
- המחלק יטפל באופן בלעדי בעבירות מחשב ע"פ חוק המחשבים שבוצעו בתחום המחוז.
- המחלק יסייע ליח' החקירה במחוז בטיפול בתיקים שמקום ביצוע העבירה היה בתחומי המחוז , אשר בוצעו בסייבר.
- המחלק יטפל בתיקי חקירה אשר הופנו אליו לסיוע מיח' הסייבר הארצית, אשר מקום ביצוע העבירה אותר במחוז.
מיצוי ראיות – מחלק הסייבר במחוז יסייע ליח' החקירה במחוז במיצוי ראיות ממחשב שנתפסו במחוז. בהתאם למותווה בהנחיית חטח"ק 03.300.035.
הנחייה מקצועית – מחלק הסייבר ינחה מקצועית את החוקרים המיומנים בימ"ר המחוזי ובתחנות.
- חוקרים מיומנים במחוזות – נע"ת
- מתוך רצון לתת שירות מהיר לשטח, הוצבו ביח' האוספות ראיות רבות ממחשב, חוקרים מיומנים נע"ת אשר תפקידם לסייע בעבודה השוטפת בכל הקשור לאיסוף ראיות ממחשב.
- החוקרים לצורך עבודתם ייעזרו ביח' המחוזיות בסיוע טכני ובהכוונה מקצועית על מנת להפיק ראיות ממחשבים.
- שיטת העבודה
- התקבלה תלונה או מידע ביח' חקירה אודות עבירה בסייבר או עבירת מחשב תפתח היחידה בחקירה.
- ראתה היחידה כי העבירה אינה בתחום אחריותה המקצועית , תעביר היחידה את התלונה לטיפול היחידה שהעבירה בתחום אחריותה המקצועית. מחלוקות בין יח' משטרה לגבי מי היחידה שתטפל בחקירה תבוצע בהתאם לנוהל חטיבת החקירות 03.300.021 "הטיפול בתיקי חקירה בעבירות משותפות למספר יחידות"
- נדרשה יחידת חקירות במחוז לקבל סיוע מקצועי באשר לחקירת עבירה בסייבר או עבירת מחשב, ביצוע חיפוש במחשב או תפיסת מחשב –
- ר' יחידת החקירות במחוז יפנה אל ר' המחלק הנוגע בבקשה ובה יפרט את הסיוע המקצועי הנדרש וכל פרט רלבנטי.
- קיבל ר' המחלק בקשה כאמור – יספק את הסיוע המקצועי המבוקש בהקדם.
- חוקרי המחוזות יוכלו להסתייע בהנחייתו המקצועית של ר' יחידת הסייבר בלהב 433 בכל שאלה הנוגעת לניהול חקירת עבירות בסייבר , עבירות מחשב, ביצוע חיפוש במחשב ותפיסת חומר מחשב.
- ראתה יחידה בתיק חקירה כי היא נדרשת לסיוע במספר חוקרים מיומנים לביצוע פעולות דחופות בתיק חקירה , תפנה לחטיבת החקירות / רמ"ד סיוע חקירתי לקבלת סיוע כאמור , ורמ"ד סיוע חקירתי במידה והשתכנע שקיים צורך כאמור ינחה את המחוזות להקצות חוקרים מיומנים לתגבור.
- התחייבות חוקר לשירות במערך חקירות עבירות סייבר
- חוקר עבירות מחשב מיומן אשר ייצא לקורס חוקר מחשב מיומן יתחייב לשרת בתפקידו לפחות ארבע שנים.
- חוקר עבירות מחשב מיומן אשר ייצא לקורס חוקר מחשב מיומן מתקדם יתחייב לשרת בתפקידו לפחות שלש שנים.
- העברת חוקר מיומן מתפקידו במערך חקירות הסייבר , לפני תום תקופת ההתחייבות, תחייב אישור ר' חטיבת החקירות.
- דיווח:
באחריות כל ר' מחלק להעביר לחוליית סייבר בחטיבת החקירות, אחת לחודש ולא יאוחר מהיום השלישי בחודש, דיווח מפורט לגבי פעילות המחלק – הן ביחס לחקירות עבירות סייבר / עבירות מחשב שהחוליה ניהלה, והן ביחס לאיסוף ראיות ממחשב שהחוליה ביצעה – על גבי טופס דיווח שדוגמתו רצ"ב ומסומנת נספח א'.
נספח א'
תאריך _________
טופס דיווח פעילות-יחידה/מחלק ___________ לחודש________________
מס"ד | פל"א | חודש | מהות הבדיקה ותיאור חומר המחשב שנבדק | סה"כ בדיקות | הערות |
פירוט מקרים ראויים לציון: