עורכי דין / צילום אילוסטרציה: שלומי יוסף
דרמה של ממש בתחום הגנת הפרטיות במשרדי עורכי הדין. לאחר היוועצות עם ועדה הכוללת בכירים במערך הסייבר הלאומי, הרשות להגנת הפרטיות ומחלקת ייעוץ וחקיקה במשרד המשפטים, ועדת האתיקה הארצית של לשכת עורכי הדין בראשות עו"ד מנחם מושקוביץ יוצאת ברפורמה המטילה על ציבור עורכי הדין אחריות חוקית לאבטחת המידע הסודי של לקוחותיהם.
מנגנון אימות דו שלבי ושימוש בזום
למעשה, ועדת האתיקה מציבה רף מינימלי של חובת אבטחת מידע - אי עמידה בו תשמש כחזקה, לכאורה, בדבר הפרת חובתו האתית של עורך הדין בקשר עם חובת הסודיות וחיסיון עורך דין/לקוח, המוטלת עליו לאבטחה הולמת של המידע הסודי .
עמידה ברף המינימלי כשלעצמה תהווה תנאי חיוני, אך לא בלעדי, כדי להוות ראיה בדבר עמידת עורך הדין בחובתו. על-מנת שעורך הדין ייהנה מהחזקה לתקינות פעולתו, עליו להראות כי נקט באמצעי אבטחה התואמים את אופי המידע הסודי ופעילות משרדו. גם אם יתברר שזלג מידע, עמידה בהמלצות תשמש כבסיס להנחה כי עורך הדין עמד בחובותיו האתיים לאבטחת המידע.
על-פי עיקרי המלצות הוועדה, עורך הדין יעשה שימוש באמצעים טכנולוגיים שונים, בהתאם למידת רגישות החומרים ולמידת ההשפעה על הלקוח. על עורך הדין לבחון את מהימנות הספקים ותנאי ההתקשרות, בהתאם לדרישות הסכם ההתקשרות מול ספק שירותי טכנולוגיה.
נייר העמדה של ועדת האתיקה הארצית הינו מקיף במיוחד ועוסק בשלל פרטים, וכגון שימוש בהתקנים ניידים, מנגנון אימות דו שלבי, גיבוי בענן, שירותי גלישה, חיבור מרחוק, אפליקציות כגון זום, הגנה על הרשת האלחוטית, אנטי וירוס ועוד ועוד.
לדוגמה, ייאסר על עורכי הדין להשתמש בשירות הדואר האלקטרוני החינמי והפופולרי של גוגל (ג'ימייל). על-פי ההנחיות החדשות, עורך הדין יהא בעל רישיון בתשלום חוקי ועדכני של מערכת הפעלה למחשב מוכרת וידועה ושל שרתי דואר אלקטרוני מאובטח כראוי. יש לציין בהקשר זה כי לא ברור סטטוס המעמד של העברת מסמכים והתכתבויות משפטיות באמצעות תכנת הוואטסאפ, אשר היא בעצמה חינמית.
שירות טכנולוגיה חינמית לא עומד בדרישות
בעקבות המלצת רשות הגנת הפרטיות, קובעת לשכת עורכי הדין כי קיימת חזקה שספק שירותי טכנולוגיה חינמית, בכלל זה שירות דואר אלקטרוני, החשוף למידע סודי, אינו עומד בדרישות אבטחת המידע. ועדת האתיקה הארצית תראה בעורך הדין המשתמש בשרת דואר חינמי כמי שלכאורה מפר את חובת אבטחת המידע.
במסגרת חובת האבטחה ייקבע בין היתר כי על עורך הדין להגן באופן הולם על כל האמצעים הדיגיטליים שבשימושו, לרבות דוא"ל, גלישה באינטרנט ועמדות העבודה וכי על עורך הדין לנקוט באמצעים סבירים ולוודא כי כלל התוכנות בשימושו מעודכנות ומקבלות עדכוני אבטחה שוטפים. עוד נקבע כי על עורך הדין לאבטח ולעדכן את הליך הכניסה לאמצעים הטכנולוגיים בסיסמאות שלא יתגלו בנקל.
ועדת האתיקה גם מטילה חובת הדרכה בנושא הגנת הפרטיות ואבטחת המידע. על-פי גילוי הדעת שנחשף בגלובס לראשונה, "עורך הדין ישתתף בהדרכה בנושא אבטחת מידע וחשיבותו, וזאת במהלך שנת 2022. לאחר מכן עורך הדין ישתתף מעת לעת בהדרכות עדכניות בנושא זה ולפחות אחת לשנתיים". על משרדי עורכי הדין תוטל החובה לוודא קיום נוהל הכשרה ל"מודעות אבטחת מידע וסייבר" לעובדים חדשים תוך ריענון הנוהל באופן תקופתי.
עוד נקבע כי על עורך הדין תוטל החובה להיערך לאירוע סייבר, אבטחת מידע ופגיעה בפרטיות ברמת סבירות גבוהה, על-מנת להבטיח התאוששות מהירה והגנה, ובכלל זה ביצוע גיבוי מאובטח למידע הסודי. לדברי לשכת עורכי הדין, אירוע סייבר אינו שאלה של "אם" אלא שאלה של "מתי".
מלבד זאת, ועדת האתיקה הארצית מטילה החל מהיום חובה על עורך הדין שחווה מתקפת סייבר לעדכן את הלקוח, נוכח גילוי פירצת אבטחה למידע סודי הקשור לייצוגו. בנוסף, הוחלט כי הלשכה תקיים בעצמה או באמצעות ספקים מטעמה, השתלמויות הסברה לעורכי הדין בדבר יישום חובת אבטחת המידע.
אי עמידה בדרישות תגרור דין משמעתי
כאמור, אי עמידה בדרישות אלה תחשוף את עורכי הדין לדין משמעתי על-פי כללי לשכת עורכי הדין, שיתוקנו בעקבות הרפורמה הזו. מעתה ייקבע בתקנה על-ידי שר המשפטים כי "עורך דין ינקוט אמצעים הולמים לאבטחת המידע שיובא לידיעתו בידי לקוחו או מטעמו ואשר נשמר באמצעים דיגיטליים ובמערכות המידע בשליטתו ובשימושו". עוד יקבע בתקנה כי "עורך הדין יעמיד את העובדים בשירותו על חובתם לשמור על סודיות העניינים המגיעים לידיעתם במהלך עבודתם ועל חובתם בדבר אבטחת המידע".
היו"ר מנחם מושקוביץ כתב בנייר העמדה כי אירועי זליגת מידע בארץ ובעולם, ההולכים ומתגברים, מחייבים את ציבור עורכי הדין להקנות משאבים לצורך אבטחת המידע הסודי. "הסיכונים והמורכבות במצב נתון זה חייבו את ועדת האתיקה הארצית להתוות דרך באשר לאופן אבטחת המידע הסודי וקביעת סף חובה אשר אי עמידה בו יחשב כהפרת החובות האתיות.
"ועדת האתיקה הארצית, בדומה למוסדות מקבילים בעולם, מבקשת לשרטט באמצעות החלטה זו ובאמצעות החלטות נוספות שיפורסמו מעת לעת, את גבולות ההתנהלות הנדרשת בעת הפעלת אמצעים טכנולוגיים על-ידי עורכי הדין, תוך שמירה על גמישות טכנולוגית יחד עם הצורך באבטחת המידע ועמידה בחובת הסודיות החלה על עורך הדין ביחס למידע הסודי של לקוחות".
עורכי דין - פחות מוגנים ומחזיקים במידע רגיש
בצ'ק-פוינט מכירים זה מכבר את תופעת מתקפות הסייבר על משרדי עורכי דין. בחברה אומרים שעסקים קטנים, ומשרדי עורכי דין בפרט היו יעדים שכיחים של תקיפות סייבר בשנה החולפת.
"ראינו מקרה ובו משרד עורכי דין מהמרכז הותקף במתקפת כופרה מצד קבוצת תקיפה אירנית, ומשום שלא היו מוכנים לשלם את הכופר- פרטי לקוחות שלהם הודלפו לרשת האפילה.
"הסיבה שתוקפים משרדים מעין אלה כפולה: הם גם יחסית פחות מגנים על עצמם בהגנות מתאימות, והם גם מחזיקים במידע יחסית רגיש שאולי יעדיפו לשלם במקרה של תקיפה בכדי שלא ידלוף".