עוץ לי שאלת טריוויה של 1 נגד 100: איפה כתוב "באין תחבולות ייפול עם ותשועה ברוב יועץ" (התשובה
כאן). לעניינינו, נכון שלפעמים באין תחבולות ייפול שרת, תיפול רשת, אך תשועה לא תמיד ברוב יועץ. ריבוי יועצים מוביל לפעמים דווקא לבלבול. רבים מלקוחותינו הם יועצים. אנו מאמינים בלב שלם כי הם עושים את המיטב לטובת לקוחותיהם, אלא שכל אחד, במהלך השנים, מפתח תחומים אחדים בהם הוא מצטיין. לקוח המעסיק "יועץ לענייני..." מצפה ממנו תשובות מדויקות בכל רמות ופינות של אותו תחום. באותה מידה, מי שמעסיק עובד או מחלקה לטיפול במחשוב הארגוני, או בענייני חוק ומשפט, מצפה מהם לכסות את כל הסתעפות במקצוע. אנו חיים בעידן ההתמחות. התפתחות המדע, גדילת מאגר הידע האנושי, גודל וצפיפות האוכלוסייה מאפשרים ומחייבים זאת. לפני 200 שנה רופא ידע הכול, היה חייב להתמצא בכל, ממחלות טפיליות ועד לסיבוכי לידה. הסתכלו מסביב, תעברו על אתרי קופות החולים, אתרי בתי החולים, יש שם מחלקות שלמות לאיבר אחד, לפרוצדורה או אפילו לטכניקה אחת. למי יש חבר רופא עילוי בעל שם עולמי בניתוחי לב/מוח/מעיים... שניתן גם להתייעץ איתו בנושא פריחה טורדנית?
מקור בכיר בארץ בתחום הזיהוי הפלילי סיפר לנו השבוע על תופעה שאם לא הייתה עצובה, הייתה ממש מצחיקה. שופטים בישראל צופים בסדרות טלביזיה זרות, שם מחלקות פורנזיות מצוידות היטב, עם שפע כוח אדם ורקע מדעי. (במקרה, גם האנשים החכמים והידענים מאוד הללו, יפים וצעירים...). באותן תוכניות עם תסריטים מנצחים, הכול אפשרי. בעניין של שניות המשטרה מגיעה, בעניין של דקות יש זיהוי ממוחשב ושפע מידע על חשודים, חפצים וחומרים. עד תום הפרק לפחות, מצליח פענוח רמזים, לכידת נאשמים. השופט בטלביזיה נדרש רק לחתום על צווי חיפוש בהתחלה, וגזרי דין בסוף ארבעים הדקות בלבד. כל כך יפה... ששופטינו הטובים בציון לא קולטים איך זה שלא הגישו להם מהר יותר את כל הראיות עם הסברים מושכלים... הלא זה נראה להם כל כך פשוט! שכחנו להזכיר: בטלביזיה אין פגרה, אין שביתה, אין חופשה שנתית, חגי ישראל, חופשת מחלה, חופשה מרוכזת, ערמות תיקים בלתי מטופלים שנערמים על שולחן השופטים או מאיימים בקריסת הקומה של מזכירות בית המשפט. אין ימי קבלה, שעות קבלה שפתאום השתנו, אין "זה לא כאן, זה בבאר שבע" אם אתם בתל אביב, וההיפך אם אתם באר שבע. אין לא-עונה-לטלפון ואין "יצא מוקדם כי יש לו אירוע". אין חודשים ושנים של הפסקה במהלך המשפט, שבהם איש לא יודע למה לא מתקדמים.
לא רק בטלביזיה, תופעת "עורך הדין החוקר" הולכת ונפוצה. בין היתר, בגלל שפע עורכי הדין ביחס לאוכלוסייה, בגלל הרצון של משרדים גדולים לצמצם הוצאות, להציע סל רחב יותר של שירותים, הרגישות של מקרים מסוימים בהם מעדיפים שלא לערב ספקי משנה ועוד. תופעת "עשה זאת בעצמך" חדרה לתעשיית החוק במיוחד בתחום הגילוי הדיגיטאלי / אלקטרוני, ושירותי יעוץ משפטי עם נגיעה למידע דיגיטאלי ו/או מערכות מחשב. זה נכון ששורשי המחשוב המשפטי ואיסוף הראיות הדיגיטאליות טמונים במקצועות אכיפת החוק. המשטרה וחוקרים ממשלתיים משתמשים בכלים וטכניקות להעלות ראיות דיגיטאליות, לעקוב אחר עבריינים - הן בתחום האזרחי והן בתחום הפלילי. המערכות הצבאיות והפארה-צבאיות משתמשות באותם כלים למטרות הגנה מפני פגעים ופוגעים לאומניים. בשנים האחרונות נכנסו בעוצמה רבה להתדיינות הנושאים של מידע המאוחסן בצורה דיגיטאלי והגילוי האלקטרוני. הדרישה למקצוענים בתחום הולכת וגוברת כאשר השימוש בדואר אלקטרוני הולך והופך לצורת התקשורת העיקרית והטרנסקציות הפיננסיות יחד עם ניהול הכספים דרך האינטרנט, כה נפוצים. היות וגם היועצים המשפטיים וגם מחלקות מערכות המידע נזקקים לשירותים של מחשוב משפטי, המקצוענים החדשים צצו משני התחומים, אך לא לכולם אותם מיומנויות וידע במתודולוגיה. כמו בכל תעשייה צומחת, קיים טווח רחב של איכות בין היועצים. על הלקוחות הפוטנציאלים להבין זאת.
כאמור, תאגידים ומשרדי עו"ד שוקלים גישה של "עשה זאת בעצמך" במאמץ לחסוך כסף ואולי גם לשמר הרגשה של שליטה על המצב בכך שמשאירים את התהליך אצלם פנימה. באופן תיאורטי, עלות ושליטה הם הרווח העיקרי של גישת ה"עשה זאת בעצמך" בתחום המחשוב הפורנזי, אך הסכנות של אותה דרך גדולות בדרך כלל הרבה יותר מן היתרונות. באינסוף מקרים גם המנהלים המוסמכים ביותר בפרויקטים של גילוי אלקטרוני ראו בצער שראיות דיגיטאליות יקרות ערך השתבשו במהלך האיסוף – גם בטעות, גם בכוונה – על ידי צוותים חדשים של "מומחים" שהורכבו במיוחד לפרויקט. כאשר בוחן מחשוב משפטי מוזמן למקרה בו הופעלה גישה של "עשה זאת בעצמך" הוא יכול להניח שאנשי מערכות המידע כבר עשו הצצה מהירה בראיות האלקטרוניות שישחקו תפקיד יסודי באותו מקרה. יש תסריט נפוץ שחוזר על עצמו שוב ושוב, כאשר מחלקת המידע הארגונית עוסקת באיסוף הראיות. זה קורה כאשר נודע (או בלשון משפטית "כשעובד נחשד") שעובד ביצע פשע מסוג "צווארון לבן", כגון סחר פנים או שינוי תאריכי אופציות, ומחליטים להעיף את אותו פונקציונר. הנ"ל נקרא לשיחה ומקבל מכתב פיטורין. בארגונים מתוקנים הוא תיכף אוסף את חפציו משולחנו בליווי איש ביטחון (שבמציאות אין לו בדיוק הנחיות מדויקות של מה מותר ומה אסור לאותו מפוטר לקחת עמו). התחנה הבאה שלו, עדיין בליווי צמוד, היא המחלקה למשאבי אנוש. המחשב שלו נשלח בינתיים למחלקת ה-IT של המעביד (ובמקרה האידיאלי זוכה גם הוא לליווי איש אבטחה כדי לשמר את שרשרת האבטחה). בהמשך, אנשי ה-IT עושים BOOT למחשב כדי לרחרח בדואל ובמסמכים שלו, בחיפוש אחר ראיות מרשיעות. לפעמים הם משכילים להעתיק מסמכים רלוונטיים למצע אחר (בד"כ תקליטור או דיסקון). ורק לאחר מכן, נשלח המחשב אל המומחה הפורנזי או מחכה להגעתו. עד כה השתלשלות האירועים נראית בלתי מזיקה, אך ברוב המקרים זהו הסיוט של כל חוקר פורנזי. ברוב המקרים מעשי הבדיקה השטחית משחיטים את מצב טוהר הראיות ומצמצמים בצורה משמעותית את סיכויי החוקר לגלות ולהציג ראיות לאמת. אסור שייווצר מצב בו המחשב מופקר ללא השגחה אף לרגע. אנשי מחשבים ולמעשה כל מי שלא מכיר ומאומן בשימור ראיות דיגיטאליות, אינם רגישים לחובת השמירה של שרשרת האבטחה. שרשרת זו מצריכה רישום ומעקב של כל הפריטים – פיזיים או וירטואליים מרגע מציאתם או גילויים ועד להצגתם בבית משפט. את המידע יש לשמר ולהיות מסוגל לדווח על מקום הימצאותו ומצב הנגישות אליו בכל רגע ורגע. במצב של איסוף עצמי או של איסוף מידע על פי תורת ה"עשה זאת בעצמך", החוקר הפורנזי יכול לצפות למצב חלש של שימור המידע, ולעיתים קרובות שרשרת האבטחה קטועה או בכלל בלתי קיימת.
הדלקת מחשב (BOOT) המעורב בחקירה פורנזית מיד גורמת לשינויים במידע וחושפת את המקרה לטיעונים של התערבות בראיות. כאשר טכנאי מחשבים מדליק וסורק מחשב, חל עדכון אוטומטי של meta-data חשוב ונוצרים שינויים מלאכותיים במערכת ההפעלה. במקרים אלו, אנו נחשפים לחשד להתערבות מכוונת, או לכל הפחות להתערבות בלתי מכוונת עם שיבוש ראיות. כך, נולד "מקרה בתוך מקרה", סיבוך שהצוות המשפטי יאלץ להתמודד עמו ויוסיף לזמן, עלויות ו/או חומרת העונשין של המשפט כולו. שיבוש ראיות אלקטרוניות יכול להשפיע החל מפגיעה בשם הטוב של התאגיד, דרך עונשים נוהליים או כלכליים מאת בית המשפט, ועד לפסקי דין של ברירת מחדל. בקיצור, איסוף הראיות ובחינתם הראשונית על ידי אנשי מקצוע בלתי מיומנים משבש את הראיות ברמת הקוד הבינארי הנסתר ומסכן את התהליך כולו. אפילו הפרקליטים שוגים לפעמים בנושא באיסוף המידע. הכרנו פרקליטים ש - אולי מטעמי נוחות - ביקשו מלקוחותיהם לבצע את איסוף הראיות בעצמם ולהעביר להם אותן, תוך כדי החלטה עצמית של המשתמש לגבי אילו מסמכים יכולים להיות רלוונטיים. הלא ברור שמי שביצע פשע של צווארון לבן לא ירצה להעביר לפרקליטו חומר שמפליל אותו. נוהל תקין קובע הנחלת גישה חסרת פניות באיסוף ראיות לרוחב כל רמות האפוטרופוסות. בשיטת "עשה זאת בעצמך" – הן אם זה נעשה על ידי משפטן והן על ידי איש מערכות מידע, עלולים להתעלם ממקורות מידע שהם קצת פחות מובנים מאליהם מן הצפוי, אך עדיין מקור של ראיות חשובות שלא כדאי לפספס. חלק ממקורות המידע השניוניים הללו כוללים כונני USB וחיצוניים אחרים, כונני הרשת האישיים והמחלקתיים, מחשבי כף יד וכל התמסורת המידית האגורה בהם, ומערכות ואמצעי הגיבוי. לעיתים קרובות באיסוף בשיטת "עשה זאת בעצמך" חסרים צעדים חיוניים נוספים כגון תיעוד פוטוגראפי, שהוא נוהל נחוץ מפני שאחרי הכול מדובר בתיעוד של זירת פשע. הנוהל התקין לתיעוד הפוטוגראפי חייב להתחיל מוקדם, כאשר מחלקת משאבי אנוש מודיעה מראש לחוקר הפורנזי על כך שעומדים לפטר עובד. החוקר יתלווה על ידי אנשי אבטחה לשולחן העבודה של אותו עובד ויהיה נוכח בזמן שהנ"ל מנקה את שולחנו. ועוד לפני שאותו מפוטר טרי מתחיל לאסוף את חפציו, מצלמים את שולחנו ואת הניירת הסובבת אותו, מסמכים ופתקים דביקים (שעל פי מיטב המסורת במחוזותינו מכילים את הסיסמאות החשובות!!) כן יצולמו המספרים המזהים של פריטי החומרה, את חיבורי ה-USB אשר בצד המחשבים, המודמים, כרטיסי ה-NIC, ועוד. המומחה הפורנזי מתעד כל דרך דרכה ניתן היה לזרום מידע אל מחוץ למחשב. רמת הדיוק בתיעוד זה מחזקת את בניין החקירה מפני טיעונים נגדיים מן הצד השני. התיעוד הפוטוגראפי אינו עניין פעוט, בעיקר במקרים בהם מחשב נישא או שולחני יכול להוות כל גרעין התביעה. אם אותו מחשב יעלם או ישונה בדרך כלשהי, הדבר יוכל לגרור סנקציות חותכות. אם יורו להם לבצע איסוף מידע פורנזי, אנשי מערכות המידע יעשו כמיטב יכולתם ויפעילו את השיטות הטובות המוכרות להם. אלא שלא תמיד השיטות הטובות לעבודה במערכות מידע מתאימות לאיסוף ראיות פורנזי. למשל, הגישה של חיפוש ביישומים מקומיים או יישומי ווינדווס כגון אאוטלוק ו- Adobe. שיטות חיפוש אלו לעיתים קרובות אינן יעילות מפני שהן מפספסות ראיות חשובות כגון מסמכים מצורפים למיילים ומלל הנמצא בתוך מסמכי PDF שלא ניתנים לחיפוש. לעיתים קרובות, אנשי IT משתמשים לאיסוף מידע פורנזי בכלים כגון Norton Ghost או NT Backup במקום בכלים פורנזיים נאותים. הכלים הנפוצים בשוק מערכות המידע לא תמיד נבדקים ואפילו קבילים למטרות התדיינות. חברות ומשרדי עורכי דין חייבים להבטיח שמי שמבצע את העבודה יהיו אנשים עם רקע, ידע, ניסיון, וציוד מתאימים. כאשר מחפשים אחר עד מומחה כדי להעיד לגבי האוֹתֶנְטִיּוּת של ראיות אלקטרוניות, הלקוח ועורך הדין שלו חייבים להימנע מלהיקלע לסיבוך של מומחים שיכלו להיתפס כמשוחדים. עדות של עד מומחה ניתנת לביטול אם רק יעלה חשד קל של ניגוד אינטרסים. זה שמי שחקר את הראיות לא יוכל בסופו של דבר להציע חוות דעת בלתי משוחדת (אם כדי לשמור על אינטרסים של המעביד או של חבר לעבודה) הינה דאגה לגיטימית. אנשי מערכות מידע בדרך כלל מעוניינים בשמירה על מקום העבודה שלהם, כך שלהטיל עליהם את האיסוף והניתוח של ראיות אלקטרוניות למען המעביד שם אותם במצב קוֹנְטְרוֹבֶרְסְיָאלִי. מאידך, התקשרות עם צד גימל, חוקר פורנזי חיצוני, מבטל את הסיכוי לניגוד אינטרסים. זאת, כל עוד אותו חוקר חיצוני מחזיק ברקורד מקצועי חסר רבב. כאמור, עדות המומחה היא בדרך כלל התוצר הסופי של חקירה פורנזית. ולכן, אם משרד עורכי דין יבצע בעצמו את החקירה הדיגיטאלית, יהיה כאן קונפליקט. משרדי עורכי דין יכולים לאסוף, לנתח, למיין ולבחור מתוך המידע הראיתי, אך באופן כללי הם לא אמורים לשקול לבצע את החקירות הפורנזיות בעצמם. הן תאגידים והן משרדים של עורכי דין עומדים בפני שתי אפשרויות בעת הצורך בחקירה פורנזית, האחת היא –כאמור- לשכור חוקר או גוף מומחה חיצוני. האפשרות השנייה היא בניית משאבים פנימיים לבצע את העבודה. הן על ידי קבלת מומחים פורנזיים לעבודה בקרבם, הן על ידי הכשרת אנשי IT או פרקליטים למשימות של חקור פורנזי. אפשרות זאת אינה דבר פעוט, או זול. מאמרים בחו"ל מעריכים את העלות של הקמת מעבדה פורנזית פנימית ואיכותית בעלויות שבין 125,000 ל-250,000 דולר. למחיר זה יש להוסיף את העלות השנתית של העסקת אותם עובדים חוקרים. רק בתאגידים בגודל מתאים יש צידוק להקמת מעבדה פנימית כזו.
היו מקרים בהם ארגונים החליטו שבמקום להקים מעבדה פנימית, ישלחו מספר אנשי IT להשתלם על מנת שיוכלו להצהיר כי קיים אצלם משאב פנים ארגוני של מחשוב פורנזי. הבעיה עם אותן השתלמויות היא כי לעיתים –שוב ממניעים כלכליים- הצוות מקבל הכשרה להשתמש במספר קטן של כלים פורנזיים מסחריים, ומצליחים בזאת רק לגרד את קליפת הנושא כולו. גם אם אין תעסוקה מלאה לצוות שרק הוכשר, הם נשאבים חזרה לתפקידיהם הקודמים ומהר מאוד הופכים לבלתי יעילים.
Quid Pro Quo לסיכום: עשה זאת בעצמך מצמצם עלויות אך מניב לעיתים קרובות תוצאות פגומות או בעיתיות. לשלם מה שמגיע למומחה מתאים זה לא תמיד דבר פעוט (ולפעמים כן, בהתאם לחשיבות המקרה), אך בנוסף לסיכויים טובים יותר להגיע אל האמת, משמר את האמינות והשם הטוב של המזמין
|