בית-הדין למשמעת של מ”י: “פליאה בעינינו כיצד הנאשם קיבל הרשאה לשימוש במחשב משטרתי לפני שעבר הכשרה ולו מינימלית בדבר נהלי אבטחת מידע”

רקע: בשנים האחרונות אני מפרסם באתר זה ידיעות המבוססות על פסיקות של בית-הדין המשמעתי לעובדי המדינה [נציבות שירות המדינה (נש”מ)] ופסקי הדין של בית הדין למשמעת ובית הדין לערעורים. זאת בעיקר בכל הנוגע לנושא שליפות מידע/שליפות נתונים, שלא באישור ובניגוד לתקנות.

= = = = = = = = = = = = = = = = = = =

בתיק מס’ 14/21: “התקיימו כמה דיוני הוכחות ונשמעו חלק מעדי התביעה. תוך כדי ניהול ההוכחות הגיעו הצדדים להסכמה ולפיה התביעה תתקן את כתב האישום והנאשם יודה באמור בו. ביום 12.12.2022 הרשענו את הנאשם, על פי הודאתו, בשתי עבירות של גילוי ומסירה של דבר הנוגע למשטרה לאדם בלתי מוסמך שיש בו כדי לפגוע בדרכי העבודה של המשטרה, ובעבירה של שימוש לרעה בסמכות שניתנה מכוח התפקיד”.

עפ”י הפרסום מבית-הדין המשמעתי של משטרת ישראל, “בכל הזמנים הרלבנטיים שימש האזרח ספיאן כמנהל עבודה בחברת “אמ”צ שמש”. בכל המועדים הרלבנטיים החזיק ספיאן בטלפון נייד. החברה עסקה בביצוע עבודות עפר תשתיות וגשרים, כאשר העבודה התבצעה באזור המלונות בים המלח, בתחום הגזרה של הנקודה. תחת פיקוחו של ספיאן היו כעשרים נהגים, לרבות נהגי משאיות וטרקטורים. במועדים הרלבנטיים הכיר הנאשם את ספיאן וזאת במסגרת יחסי העבודה אשר היו ביניהם, במסגרתם ביצעה החברה לעיתים חסימות של כבישים בזמנים של שיטפונות”.

עפ”י האישום הראשון, “[…] בכך שגילה הנאשם לספיאן את עצם קיומו של המבצע כאמור, בין היתר על מנת שיזהיר אחרים, וכן בכך שמסר פרטים הנוגעים למבצע, ובכלל זה הרכב הכוחות ואופי האכיפה כאמור לעיל, גילה הנאשם מידע הנוגע למשטרה לאדם בלתי מוסמך, שיש בו כדי לפגוע בדרכי הפעולה של המשטרה”.

כאן אתייחס לאישום השני: “בכל המועדים הרלבנטיים הייתה לנאשם הרשאה להיכנס למערכת המשטרתית “שירת הסירנה”. במספר מקרים ביצע הנאשר בדיקות בנושאים אישיים במערכת “שירת הסירנה” לפי בקשות של אותו ספיאן. “[…] הנאשם עשה שימוש לרעה בסמכות שניתנה לו מכוח תפקידו, בכך שנכנס שלא כדין למערכות משטרתיות שלא לצרכי עבודתו. בכך שהנאשם מסר לספיאן כי בנו כ. מופיע במערכות המשטרתיות כפסול נהיגה, מסר הנאשם את המידע לאדם בלתי מוסמך”.

בטיעוני התביעה לעונש נאמר בין היתר כי “באישום השני הנאשם בדק במערכות המשטרה פרטים שהיו חשובים לאדם איתו ניהל קשרים (במקרה זה סופיאן) והעבירו אליו. המידע כלל גם פרטים של צדדים שלישיים. שליפה והעברת מידע, פוגעים באמון הציבור במערכת אכיפת החוק שהמשטרה חלק ממנה שהרי הציבור מצפה שהמידע הרגיש הנמצא במאגרים ישמש אך לצרכי תפקיד ולא לצרכים פרטיים”.

בטיעוני ההגנה לעונש נאמר בין השאר כי “באשר לאישום השני של בדיקת מאגרי מידע – המידע שהועבר מסווג כהכי פחות רגיש וסודי ביחס למכלול המידע שבמאגרי המשטרה. לא מדובר במאות בדיקות ולא מדובר במידע שהועבר לצרכים מסחריים”.

הערה: במקצת מהדברים בגזר הדין כתוב “ספיאן” וביתר המקרים מופיע “סופיאן”. מוזר שבגזר דין רשמי אין עקביות באיות שמו של אותו אדם.

= = = = = = = = = = = = = = = = = = =

בתיק ביד”מ 27/22: “בשולי גזר הדין – אנו מורים להעביר עותק מהחלטה זו לר’ יחב”מ ולר’ אטו”ב על מנת לבחון האם יש צורך לשנות/להוסיף את נהלי הגישה למחשב של שוטרים בדגש על תדרוך לפני מתן שם משתמש/יוזר”.

כך נאמר בסייפא של גזר הדין בתיק זה בו הנאשם הוא שוטר בשירות חובה. הוא “הודה במיוחס לו בכתב האישום והורשע בביצוע שתי עבירות משמעת – התנהגות שאינה הולמת שוטר וביצוע פעולה המעמידה את השוטר במצב של ניגוד עניינים”.

לפי כתב התביעה, “במועד הרלבנטי לכתב האישום, שירת הנאשם בשירות חובה, כחובש ביחידת הרפואה באמ”ש במחוז ירושלים; במועד הרלבנטי לכתב האישום, שירת אביו של הנאשם, בתפקיד רופא שיניים בבה”ד מג”ב. בסוף אוגוסט 2021, בסוף יום העבודה, במרפאת מחוז ירושלים, נכנס הנאשם למשרדו של רופא המחוז, סנ”צ ד”ר מ., והתיישב מול מחשבו האישי. “באותן הנסיבות, נכנס הנאשם באמצעות הסיסמה האישית של ד”ר מ., אשר הייתה בידיעתו, למחשבו האישי של ד”ר מ., ללא ידיעתו וללא הסכמתו, ויצר מסמך רפואי הנקרא: “סיכום ביקור” על שם אביו של הנאשם, בו פירט את תלונת אביו לכאורה ולפיה המטופל “סובל משבר באצבע ימין. טוען שנעל סגורה לוחצת לו על האצבע”, והזין הגבלה רפואית המאשרת פטור מנעליים סגורות/צבאיות.  בסוף המסמך, הופיע שמו של ד”ר מ., ללא חתימתו.

“במעשים המתוארים, בכך שנכנס למחשב תוך הזדהות בסיסמה האישית של ד”ר מ., ללא רשותו, ובכך שנכנס לתיק הרפואי של אביו דרך המערכת המשטרתית ויצר מסמך: “סיכום ביקור” אשר תוכנו פורט לעיל, וזאת ללא ידיעתו של ד”ר מ. וללא אישורו, כאשר המסמך יוצר מצג נחזה לכך שאביו נבדק על ידי ד”ר מ. ואף קיבל אישור רפואי, התנהג הנאשם באופן שאינו הולם שוטר ושיש בו כדי לפגוע בתדמית המשטרה.

“בכך שטיפל הנאשם טיפול משטרתי-רפואי בעניינו של אביו, פעל הנאשם במצב של ניגוד עניינים, זאת בניגוד לקבוע בפקודת המטה הארצי, ניגוד עניינים במילוי תפקיד ובמינוי לתפקיד”.

בטיעוני התביעה לעונש נאמר כי “במעשיו כשל הנאשם מספר פעמים. גם בכך שחדר למחשבו האישי של הרופא תוך שניצל העובדה שעבד בצמוד אליו והכיר את סיסמתו האישית וגם בכך שיצר מסמך רפואי לפיו נחזה שאביו של הנאשם נבדק על ידי הרופא המחוזי ונרשמו לגביו אבחנות רפואיות של פטור מנעליים סגורות למשך 2 חודשים. מעשיו של הנאשם מצביעים על תעוזה והיעדר מורא ויש בהם פגיעה בערך האמינות – ערך יסודי בעבודה השוטפת של המשטרה. האמון חשוב לא רק כלפי הציבור אלא גם בתוך המערכת פנימה, בין היתר כבסיס למתן אמון של מפקדים בפקודיהם. התביעה אומנם רואה את המקרה בחומרה ומבקשת להעביר מסר ולפיו אין מקום בארגון למעשים שכאלו ויחד עם זאת, בחינת התיק לגופו מעלה שמדובר בשוטר חובה צעיר שמעשיו מלמדים על חוסר בשלות ולא על כוונה לעשיית מעשה אסור בכוונה”.

בטיעוני ההגנה לעונש נאמר בין היתר כי “הנאשם הודה במח”ש. הוא עדיין משרת באותו מקום – במרפאה במחוז ירושלים. לדברי הנאשם, נוהל העבודה היה שהרופא והחובש נכנסים יחד למערכת ומזינים את הפרטים של הנבדק ולכן ידע מהו היוזר של הרופא. לדבריו רק חשב שהוא חוסך זמן לרופא במשימה אותה ביצע”.

בדיון ובהכרעה של בית-הדין המשמעתי של מ”י נאמר כי “מערכת המחשוב המשטרתית כוללת מספר רב של מערכות ובהם בין היתר מאגרי מידע כגון המרשם הפלילי, מערכות הפעלה של מערכים אופרטיביים/ייעודים כדוגמת ‘שירת הסירנה’ או ‘מלאכת מחשבת’ ומערכות הפעלה של מערכי תומכים כדוגמת כספים, רכש,  כוח אדם ועוד.

“כמו כן ובשונה מהעבר, מערכות אלו אינן רק אינפורמטיביות ו/או משמשות כמכונת כתיבה משוכללת, אלא מערכות יישומיות המאפשרות ביצוע עבודה וקבלת החלטות ללא כל צורך בנייר וחתימה ידנית. השימוש במערכות מוגבל רק לבעלי הרשאות מתאימות ומסווג לצרכי מילוי התפקיד במשטרה ולצורך זה בלבד.

“הפועל היוצא הוא שנדרש לוודא באופן חד חד ערכי שהמשתמש במחשב הינו האדם המורשה לבצע הפעולות ולכן לכל שוטר במשטרה הרשאות ייעודיות לשימוש בחלק הרלבנטי לגביו, מאותן מערכות. שוטר מקבל “חליפה ייחודית” של הרשאות בהתחשב, בין היתר, מתפקידו, השכלתו, מעמדו בארגון, סיווגו הביטחוני והצורך האירגוני בגישתו לאותם מאגרים/מערכות.

“משום כך, מושכלות יסוד הן כי כל שוטר יכול להיכנס למערכת המשטרתית תחת זהותו שלו – שם משתמש (“יוזר”) פרטי שלו בלבד. אסור לשוטר להיכנס למערכת תחת שם משתמש של שוטר אחר. מעבר לאיסור כניסה שכזו לכשעצמה, קיים חשש כי שוטר שנכנס למערכת המשטרתית תחת שם משתמש שאינו שלו, יוכל לצפות בחומרים שאינו מורשה לצפות בהם וגם יוכל לבצע פעולות שאסור לו לבצע, בין אם בזדון ובין אם בשגגה, על כל המשתמע מכך.

“במקרה זה הנאשם כשל הן בעצם הכניסה בשם המשתמש של הרופא המחוזי והן בעצם רישום דו”ח ממנו נחזה בכזב כי הרופא בדק את אביו ואישר לו פטור רפואי. לכאורה, הפטור הנ”ל היה מעניק לאביו של הנאשם טובת הנאה בדמות פטור מנעלים צבאיות סגורות.

“מטיעוני התביעה עולה כי לדעתה מעשיו של הנאשם בוצעו מחוסר בשלות ולאו דווקא מכוונת תחילה לרמות את המערכת המשטרתית […] הנאשם, שאך ביקש לקצר הליכים, ביצע את שביצע.

“[…] לא נשמעו ראיות לגבי גישתו של הנאשם למחשב משטרתי ואיזו הכשרה קיבל, אך מדבריו עלה כי עבד יחד עם הרופא המשטרתי בהזנת פרטי נבדקים לפני כניסתם לרופא. פליאה בעינינו כיצד הנאשם קיבל הרשאה לשימוש במחשב משטרתי לפני שעבר הכשרה ולו מינימלית בדבר נהלי אבטחת מידע”.

= = = = = = = = = = = = = = = = = = =