לא צריך להיות עורך דין כדי לדעת שמשרדי עורכי דין מחזיקים מידע רגיש וסודי רב של לקוחותיהם. מידע זה יכול להיות מידע פיננסי ועסקי, מידע רפואי ואף סודות אישיים ומשפחתיים לכן אין זו הפתעה שבשנים האחרונות משרדי עורכי דין הפכו ליעד איכות של תוקפי סייבר.

בגלל אופיו השמרני, עולם עריכת הדין תמיד היה איטי באימוץ שינויים - על אחת כמה וכמה כאשר מדובר בשינויים טכנולוגיים. גם בתחום אבטחת המידע נשאר עולם המשפט מאחור, ורוב משרדי עורכי הדין לא עומדים בסטנדרטיים בסיסיים ביותר של אבטחת מידע. תוקפי סייבר מודעים היטב לעובדה זו ומחפשים תמיד את הנקודה החלשה ביותר בשרשרת ההגנה. לכן סביר להניח שאותם תוקפים ינסו להשיג את המידע ממשרדי עורכי הדין, אשר מהווים מטרה קלה יותר, ולא מלקוחות המשרד שככל הנראה מנגנוני ההגנה שלהם ברמה גבוהה יותר.

עלייה של 70% בתקיפות

ואכן, מחקרים הראו עלייה של כ-70% בשלוש השנים האחרונות בכמות תקיפות הסייבר המכוונת כלפי משרדי עורכי דין. סקר נוסף שנערך בארה"ב ודגם כ-200 משרדי עורכי דין בגדלים שונים, מצא, כי נגד כל המשרדים נעשו ניסיונות תקיפת סייבר כאלו או אחרות, כאשר כ-40% מהמשרדים לא ידעו כלל שנפגעו מתקיפת סייבר; תקיפות הסייבר פגעו במידה שווה במשרדים גדולים ובמשרדים קטנים. נתון נוסף שעלה מהסקר, הוא ש-100% מהמשרדים לא עמדו בדרישות אבטחת המידע ובנהלי הטיפול במידע סודי שנדרשו על-ידי לקוחותיהם.

סוגי התקיפות והתוכנות המזיקות הנקראות "נוזקות" מתרבים ומשתכללים מיום ליום. מומחי אבטחת מידע יודעים לזהות עשרות מיליונים של נוזקות שונות והן כוללות:

1. את הווירוסים הישנים והטובים אשר נמצאים איתנו עוד משנות ה-70, מחליפות תוכנות מחשב אשר משכפלות ומפיצות את עצמן ע"י הדבקת קבצים ותוכנות במחשב שמשבשות את פעילות המחשב.

2. תולעים (worms) - תוכנת מחשב אשר דומה באופן פעולה לווירוס אבל אינה זקוקה להפעלת קובץ או תוכנה כלשהי על-מנת להפיץ את עצמה, אלא משתמשת במשאבי הרשת על-מנת לעשות זאת. פגיעתה כוללת פעמים רבות העמסה על תשתיות הרשת, לפעמים עד כדי השבתה מלאה.

3. סוסים טרויאניים (Trojan Horses) - נוזקה אשר פועלת ברקע ומסווה עצמה על-מנת שלא תתגלה. מטרתה בדרך כלל לאסוף מידע מהמחשב הנגוע ולהעביר אותו לתוקף.

4. רוגלות (Spyware) - שם כללי למשפחת נוזקות שמטרתן איסוף מידע, בדרך כלל על הרגלי גלישה והעדפות משתמש, והעברתו לתוקף. פעמים רבות נוזקות אלו "רוכבות" על תוכנות חינמיות המופצות ברשת.


5. תוכנות כופר (Ransomware) - נוזקה אשר מצפינה את הקבצים על המחשב הנפגע ודורשת כופר תמורת שחרור הקבצים מההצפנה.

6. דיוג - פישינג (Phishing) - ניסיון להונות את המשתמש ע"י הודעות דוא"ל מזויפות על-מנת לגנוב את פרטי הגישה שלו (שם משתמש וסיסמה) לשירותים השונים אליהם הוא מנוי.

מגמה מדאיגה נוספת היא העלייה בשימוש בדואר זבל (Spam). מחקרים אחרונים מראים, כי כ-60% מכלל תעבורת הדוא"ל העולמית היא תעבורת ספאם. נתון זה מדאיג לא רק בגלל ההשפעה של דואר הזבל על תשתיות האינטרנט והזמן והכסף המושקעים בניטור וניפוי הודעות אלו, אלא גם בגלל שהודעות דוא"ל אלו מהוות את המדיה הנפוצה ביותר בהפצת נוזקות. עובדה זו מבהירה גם את הנתון המראה ש-76% מהארגונים דיווחו בשנת 2016 שנפגעו מהתקפת פישיניג.

כמו מסמכי פנמה

בשנים האחרונות היינו עדים למספר לא מבוטל של התקפות סייבר משמעותיות אשר פגעו אנושות במשרדי עורכי דין מסביב לעולם, כגון הדלפתם של 11.5 מסמכים של מוסק-פונסקה ("מסמכי פנמה"). פריצה נוספת הייתה למשרד אפלבי, אשר גרמה לדליפתם של 13.4 מיליון מסמכים ("מסמכי פרדייז"). אחת מפירמות עורכי הדין הגדולות בעולם, DLA Piper, נפגעה מנוזקה שהשתלטה על מערכות המחשבים שלה והשביתה את פעולתה למשך שבוע, במהלכו ככל הנראה הושמדו מספר רב של קבצים.

אמנם תקנות הגנת הפרטיות (אבטחת מידע) וה- General Data Protection Regulation) GDPR) האירופיות, אשר יכנסו במקביל לתוקף בחודש מאי הקרוב, העלו לתודעה הציבורית את החובה של ארגונים לשמור על המידע של לקוחותיהם הנמצא בחזקתם ואחריותם. אולם, החובה לשמור על מידע זה אינה חדשה ועולה עוד מהוראות סעיף 17 לחוק הגנת הפרטיות שנכנס לחוק בשנת 1996 ומחובותיו הבסיסיות של כל עורך דין ללקוחותיו.

הבסיס למערכת היחסים שבין עו"ד ללקוחו היא האמון. פגיעה באמון זה כתוצאה מחשיפה של מידע סודי, אישי ורגיש של לקוחות המשרד, יכולה להוות מכת מוות למוניטין של המשרד ולחשוף את עורכי הדין לתביעות רשלנות מקצועית, תביעות נזיקיות ולהליכים משמעתיים בפני לשכת עורכי הדין.

מעבר לפגיעה זו, עלות התמודדות עם התקפת סייבר יכולה להאמיר לסכומים אשר (בוודאי כאשר מדובר במשרדים קטנים ובינוניים), עלולה להביא לסגירת המשרד. עלויות אלו כוללות שירותי incident response, פורנזיקת מחשבים אשר מטרתה להגדיר את היקף הפגיעה, עלויות אשר נובעות מהדרישה החוקית להודיע על הפרצה לרגולטור (הרשות להגנת הפרטיות), נזקים ישירים לתוכנות וחומרה, פגיעה בתפקוד העסקי של המשרד ופגיעה ביכולתו של המשרד לספק שירות ללקוחותיו.

בעיקר נחישות בהטמעת נהלים

החדשות הטובות הן, שרבים מהסיכונים ניתנים לגידור וריסון על-ידי מספר אמצעים פשוטים יחסית, אשר עלותם זניחה וחלקם אף אינם עולים כסף כלל. נכון שייתכן שחלק מן הפעולות שיידרשו יעלו כסף - כגון רכישת תוכנות אבטחה (אנטי-וירוס עדכני או firewall חדש) או היעזרות במומחי אבטחת מידע - אולם מרבית הפעולות הנדרשות מצריכות רק מודעות ונחישות בהטמעת נהלים פשוטים.

בשלב הראשון, על המשרד למפות את נכסי המידע שלו ואת הסיכונים הפוטנציאליים, וליצור מדרג אשר יעריך את רמת הסיכון של נכסי המידע. מפת סיכונים זו תהווה את הבסיס לעריכת מדיניות אבטחת המידע למשרד.

לאחר מכן יש להתחיל לפעול לגיבוש מדיניות אבטחת המידע והסייבר למשרד, אשר בבסיסה מודל אבטחת מידע אשר מניח בבסיסו שמירה על סודיות המידע, על שלמותו והגנתו מפני שינויים לא מורשים ועל זמינותו בהתאם לדרישות המשרד. כמו-כן, לצורך בניית מדיניות אבטחת המידע ניתן להיעזר בתורת ההגנה בסייבר לארגון אשר פרסמה הרשות הלאומית להגנת הסייבר.

לא לשכוח את האלמנט הפיזי

מדיניות אבטחת המידע תכלול נהלים, אשר יסדירו את מדיניות המשרד בקשר לגורמי הסיכון המרכזיים כגון ססמאות; בקרת גישה; עידכונים; גיבויים; שימוש ברשתות חברתיות; מתן גישה מרחוק לשרתי המשרד וכדומה.

במסגרת תוכנית זו, על המשרד לבדוק היטב את ההתקשרויות עם ספקים חיצוניים בנוגע לאבטחת מידע ולזכור, כי העברת ביצוע עבודת האבטחה לספק צד שלישי לא מסירה את האחריות למידע מהמשרד, מצד שני יש לזכור, כי הרבה פעמים שימוש במיקור חוץ ושרותי אבטחת מידע מנוהלים או אף שירותי תשתיות IT מנוהלים, יכולים להוות את הפתרון הטוב והכלכלי ביותר עבור משרד עורכי הדין.

נקודה חשובה נוספת עליה יש לשים דגש, היא הכשרת עובדים והעלאת המודעת שלהם לחשיבות ולמרכזיות של אבטחת המידע בארגון. ללא תוכנית מסודרת לביצוע הדרכות וריענונים לעובדים והטמעת בקרות של אבטחת המידע להליך המיון והקליטה של העובדים (לרבות במקרה של עזיבת עובד את המשרד), הוראות מדיניות אבטחת המידע לעולם לא ייושמו בפועל.

כמו-כן, על המשרד תמיד לזכור את האלמנט הפיזי של אבטחת מידע: מנגנוני ההגנה המורכבים והיקרים ביותר לא יועילו אם בסופו של יום עותק של אותו מידע רגיש, נגיש בתצורתו הפיזית לכל דורש או אם הגישה לחדר השרתים פתוחה לכל אדם.

עולם הסייבר ואבטחת המידע נוגע בכל משרד עורכי דין. לכן, משרדי עורכי דין צריכים להפנים שבמציאות החדשה, משרד שלא יהיה מודע לסיכוני הסייבר ולמשמעויות של התממשות סיכונים אלו - מסכן את עצם קיומו. עורכי הדין אינם יכולים לטמון ראשם בחול או להתחבא מאחורי ההגנה הלא-קיימת של אנונימיות המשרד.