סערת הג'ימייל: ראש לשכת עורכי הדין מרגיע - "ניישם בהדרגתיות"

השבוע פורסם בגלובס כי ועדת האתיקה דורשת מעורכי הדין להגביר את אבטחת המידע ואף להפסיק להשתמש בג'ימייל • לאחר שעורכי דין יצאו נגד ההחלטה, יו"ר הלשכה אבי חימי מבהיר: "בכוונתי לוודא כי ההחלטה תיושם רק לאחר שקולכם וטענותיכם יישמעו ויזכו למענה הולם"

עו''ד אבי חימי, ראש לשכת עורכי הדין / צילום: איל יצהר
עו''ד אבי חימי, ראש לשכת עורכי הדין / צילום: איל יצהר

ראש לשכת עורכי הדין בישראל, עו"ד אבי חימי, יוצא עם מסר מרגיע לעורכי הדין, לאחר הסערה שהתעוררה בעקבות חשיפת גלובס על החלטת ועדת האתיקה הארצית בנוגע לאבטחת מידע דיגיטלי במשרדי עורכי הדין.

לאחר שמומחים ממערך הסייבר הלאומי והרשות לפרטיות שיבחו בראיון לגלובס את החלטה ועדת האתיקה, אומר ראש הלשכה, עו"ד חימי, כי לאחר שנחשף לסערה שנוצרה סביב ההחלטה, הוא פנה לוועדת האתיקה הארצית בנושא.

"כידוע, ועדת האתיקה הארצית היא סוברנית בהחלטותיה, ואינני מוסמך להתערב בהן. עם זאת, טיפול במצוקות עורכי הדין הוא בנפשי, לשם כך נבחרתי לתפקיד, וכך אני פועל מיום כניסתי לתפקיד", כתב חימי לציבור עורכי הדין.

לדברי עו''ד חימי, "בכוונתי לוודא כי ההחלטה תיושם רק לאחר שקולכם וטענותיכם יישמעו ויזכו למענה הולם. בהתאם, אפעל כי יישום ההחלטה ייעשה באופן הדרגתי ורק לאחר שיינתנו לנו הנחיות ברורות, הדרכה וכלים מתאימים".

עוד אומר חימי כי "לבקשתי, בשעות הקרובות תוציא ועדת האתיקה הבהרות בנוגע להחלטה, וכאמור ובכוונתי להמשיך ולהיות מעורב באופן אישי בכל הקשור ליישום ההחלטה, ואני מתחייב לכם שלשכת עורכי הדין תלווה אתכם צעד אחר צעד". 

"נדמה כי החובה להגנה על מידע במרחב הדיגיטלי היא בבחינת הכרח בל-יגונה בעידן הנוכחי ובייחוד במקצוע רגיש כשלנו, שחיסיון וסודיות הם בלב-ליבו של המקצוע. השינויים הם מחויבי המציאות, ויחד נמצא את הפתרונות ההולמים שיבטיחו את סודיות המידע מחד, אך לא יכבידו על ציבור עורכי הדין מאידך".

ועדת האתיקה: שירות טכנולוגיה חינמית לא עומד בדרישות

השבוע נחשף בגלובס כי לאחר היוועצות עם ועדה, הכוללת בכירים בכירים במערך הסייבר הלאומי, הרשות להגנת הפרטיות ומחלקת ייעוץ וחקיקה במשרד המשפטים - ועדת האתיקה הארצית של לשכת עורכי הדין, בראשות עו''ד מנחם מושקוביץ, יוצאת ברפורמה המטילה על ציבור עורכי הדין אחריות חוקית לאבטחת המידע הסודי של לקוחותיהם.

על-פי עיקרי ההנחיות, עורך הדין יעשה שימוש באמצעים טכנולוגיים שונים, בהתאם למידת רגישות החומרים ולמידת ההשפעה על הלקוח. על עורך הדין לבחון את מהימנות הספקים ותנאי ההתקשרות, בהתאם לדרישות הסכם ההתקשרות מול ספק שירותי טכנולוגיה.

לדוגמה, ייאסר על עורכי הדין להשתמש בשירות הדואר האלקטרוני החינמי והפופולרי של גוגל, Gmail. על-פי ההנחיות החדשות, עורך הדין יהיה בעל רישיון בתשלום חוקי ועדכני של מערכת הפעלה למחשב מוכרת וידועה ושל שרתי דואר אלקטרוני מאובטח כראוי. יש לציין בהקשר זה כי לא ברור סטטוס המעמד של העברת מסמכים והתכתבויות משפטיות באמצעות תוכנת הוואטסאפ, אשר היא בעצמה חינמית.

בעקבות המלצת רשות הגנת הפרטיות, לשכת עורכי הדין קובעת כי קיימת חזקה שספק שירותי טכנולוגיה חינמי, בכלל זה שירות דואר אלקטרוני, החשוף למידע סודי, אינו עומד בדרישות אבטחת המידע הנדרשות. ועדת האתיקה הארצית תראה בעורך הדין המשתמש בשרת דואר חינמי כמי שלכאורה מפר את חובת אבטחת המידע.

במסגרת חובת האבטחה ייקבע, בין היתר, כי על עורך הדין להגן באופן הולם על כל האמצעים הדיגיטליים שבשימושו, לרבות דוא"ל, גלישה באינטרנט ועמדות העבודה; וכי על עורך הדין לנקוט אמצעים סבירים ולוודא כי כלל התוכנות בשימושו מעודכנות ומקבלות עדכוני אבטחה שוטפים. עוד נקבע כי על עורך הדין לאבטח ולעדכן את הליך הכניסה לאמצעים הטכנולוגיים בסיסמאות שלא יתגלו בנקל.

ועדת האתיקה גם מטילה חובת הדרכה בנושא הגנת הפרטיות ואבטחת המידע. על-פי גילוי הדעת שנחשף בגלובס לראשונה, "עורך הדין ישתתף בהדרכה בנושא אבטחת מידע וחשיבותו, וזאת במהלך שנת 2022. לאחר מכן עורך הדין ישתתף מעת לעת בהדרכות עדכניות בנושא זה ולפחות אחת לשנתיים". על משרדי עורכי הדין תוטל החובה לוודא קיום נוהל הכשרה ל"מודעות אבטחת מידע וסייבר" לעובדים חדשים תוך ריענון הנוהל באופן תקופתי.

עוד נקבע כי על עורך הדין תוטל החובה להיערך לאירוע סייבר, אבטחת מידע ופגיעה בפרטיות ברמת סבירות גבוהה, על-מנת להבטיח התאוששות מהירה והגנה, ובכלל זה ביצוע גיבוי מאובטח למידע הסודי. מלבד זאת, ועדת האתיקה הארצית מטילה החל מהיום חובה על עורך הדין שחווה מתקפת סייבר לעדכן את הלקוח, נוכח גילוי פירצת אבטחה למידע סודי הקשור לייצוגו.

כאמור, אי-עמידה בדרישות אלה תחשוף את עורכי הדין לדין משמעתי על-פי כללי לשכת עורכי הדין, שיתוקנו בעקבות הרפורמה הזו. בנוסף ייקבע בתקנה על-ידי שר המשפטים כי "עורך דין ינקוט אמצעים הולמים לאבטחת המידע שיובא לידיעתו בידי לקוחו או מטעמו ואשר נשמר באמצעים דיגיטליים ובמערכות המידע בשליטתו ובשימושו". עוד ייקבע בתקנה כי "עורך הדין יעמיד את העובדים בשירותו על חובתם לשמור על סודיות העניינים המגיעים לידיעתם במהלך עבודתם ועל חובתם בדבר אבטחת המידע".

היו"ר מנחם מושקוביץ כתב בנייר העמדה כי אירועי זליגת מידע בארץ ובעולם, ההולכים ומתגברים, מחייבים את ציבור עורכי הדין להקנות משאבים לצורך אבטחת המידע הסודי. "הסיכונים והמורכבות במצב נתון זה חייבו את ועדת האתיקה הארצית להתוות דרך באשר לאופן אבטחת המידע הסודי וקביעת סף חובה, אשר אי-עמידה בו ייחשב כהפרת החובות האתיות.

"ועדת האתיקה הארצית, בדומה למוסדות מקבילים בעולם, מבקשת לשרטט באמצעות החלטה זו ובאמצעות החלטות נוספות שיפורסמו מעת לעת, את גבולות ההתנהלות הנדרשת בעת הפעלת אמצעים טכנולוגיים על-ידי עורכי הדין, תוך שמירה על גמישות טכנולוגית יחד עם הצורך באבטחת המידע ועמידה בחובת הסודיות החלה על עורך הדין ביחס למידע הסודי של לקוחות".

נייר העמדה של ועדת האתיקה הארצית הוא מקיף במיוחד ועוסק בשלל פרטים, כגון שימוש בהתקנים ניידים, מנגנון אימות דו-שלבי, גיבוי בענן, שירותי גלישה, חיבור מרחוק, אפליקציות כגון זום, הגנה על הרשת האלחוטית, אנטי וירוס ועוד ועוד.

עוד הוחלט כי הלשכה תקיים בעצמה, או באמצעות ספקים מטעמה, השתלמויות הסברה לעורכי הדין בדבר יישום חובת אבטחת המידע.

לדברי לשכת עורכי הדין, על כל משרד עורכי דין להתכונן באופן פעיל לקראת אירוע סייבר. אירוע סייבר אינו שאלה של "אם" אלא שאלה של "מתי". לאור זאת נקבע כי על המשרד להתכונן להתרחשות אירוע סייבר ברמת סבירות גבוהה על-מנת להבטיח התאוששות מהירה והגנה על העובדים והלקוחות.