אבטחת מידע לעורכי דין
מה צריך לדעת ואיך החלטת וועדת האתיקה תשפיע על המשרד שלך?
ועדת האתיקה הארצית של לשכת עורכי הדין פרסמה בתחילת החודש מסמך גילוי דעת מקדים העוסק בנושא אבטחת מידע למשרדי עורכי דין.
מאמר זה יסביר מה בעצם נדרש ממך, מה העלויות של הדרישות החדשות, ומדוע נדרש ציבור עוה"ד לפעול לאבטחת מידע?
לחיצה על הקישורים תעביר אותך מיידית לחלק שמעניין אותך במאמר:
- הקשר בין אבטחת מידע לעורכי דין
- מהן הדרישות החדשות של וועדת האתיקה?
- האם הדרישות החדשות מחייבות?
- מה כוללת החבילה הבסיסית, כמה הרכיבים בה עולים ותשובות לשאלות נפוצות
- מה מוסיפות רמות האבטחה האחרות
- האם אי אפשר יותר להשתמש בשירותים חינמיים?
- איך אפשר להתמודד עם הדרישה הזו?
- הזמנה למפגש זום חינמי עם מומחה אבטחת מידע
מה הקשר בין אבטחת מידע לחובות עורך הדין?
למרות שמערכת המשפט עדיין מפגרת טכנולוגית ועורכי דין עדיין תלויים בפקסים כדי לתקשר עם ערכאות משפטיות שונות, מערכות המחשוב במשרדים השתדרגו משמעותית.
משרדי עורכי דין רבים עובדים כיום בענן, מאפשרים לעובדים להתחבר מהבית אל תיקי הלקוחות ומערכת נט המשפט, והמייל המשרדי זמין לכולם גם בנייד. יתרה מכך, בתקופת הקורונה יותר משרדי עורכי דין עברו לעבודה מקוונת, לשימוש בתוכנות שיתוף וידיאו מרחוק כמו zoom לצורך ניהול פגישות מרובות משתתפים מרחוק, ולאחסון דיגיטלי של המידע.
מנגד, רוב עורכי הדין אינם מפעילים שיקול דעת בכל הנוגע להגדרות האבטחה בכלים בהם משתמשים במשרדיהם.
במצב האבטחה הנוכחי, ברוב משרדי עורכי הדין התרחשות של אירוע סייבר היא רק עניין של זמן.
כדי ליצור פרצת אבטחה כל שנדרש כיום זה לחיצה על קישור שנשלח אליך מלקוח פוטנציאלי או מכתובת אימייל שדומה לזו של לקוח קיים. מכאן, אותו גורם זדוני ששלח את הקישור יכול להגיע אל החומרים שנמצאים תחת חובת סודיות במחשב שלך, לרבות חומרים סודיים ותחת חסיון, ולעשות בהם כרצונו ואף למחוק קבצים או לדרוש תמורתם כופר.
מהן הדרישות החדשות של וועדת האתיקה?
השילוב בין ההתקדמות הטכנולוגית שעשו משרדי עוה"ד בשנים האחרונות, החומרים הרגישים בהם הם מחזיקים וחוסר ההבנה בתחום אבטחתם הופכים כל משרד עורך דין ליעד קל לתקיפה.
כדי להתמודד עם האיום, הוועדה מגדירה את הדרישות הבאות:
- מניעת גישה של גורמים לא מורשים למידע הסודי.
- עדכון הלקוח כאשר מתגלה פרצת אבטחה למידע סודי הקשור לייצוג שלו, כגון: אם הנתונים נחשפו אבדו או הושמדו ואם פרצת האבטחה פוגעת ביכולתו של עורך הדין לבצע את השירותים המשפטיים עבור הלקוח. העדכון יכלול פרטים על האירוע, פעולות שבוצעו להקטנת הנזק שנגרם, ופעולות לתיקון והסדרת הפעילות.
- הטמעת נוהל אבטחת מידע במשרד. פרצות אבטחת מידע מתבססות על התנהגות אנושית יותר מאשר על כשל טכנולוגי ולכן חשוב שעובדי המשרד יהיו מודעים לנהלי אבטחת המידע ויפעלו לפיהם.
- בעלות על תוכנות חוקיות, עדכניות וברישיון.
- אבטחת המידע באמצעות שימוש במספר שירותי אבטחה מתקדמים.
- גיבוי המידע וניהול הגיבויים באופן שיצמצם אובדן מידע לאחר תקיפה.
האם הדרישות החדשות מחייבות?
לטענת הוועדה, עורכי דין מחוייבים כבר כיום לעמידה בדרישות אבטחת מידע לפי חוק הגנת הפרטיות. בנוסף הוועדה הודיעה שכדי לחזק את חובת היישום בכוונתה להציע תיקונים לכללי האתיקה בכל הנוגע לאבטחת מידע:
אם התיקון יתקבל משרד שלא יעמוד ברף המינימלי של אבטחת מידע ייחשב לכאורה כמי שהפר את חובתו האתית לגבי חובת הסודיות וחסיון עו"ד / לקוח.
משמעות הדבר היא שאם תתגלה פרצת אבטחה במערכות של משרדכם, ואם בעקבותיה תתבצע דליפת מידע – ככל שמשרדכם לא יעמוד ברף המינימאלי של אבטחת המידע הדליפה תיחשב כהפרה אתית של חובת החיסיון על ידכם.
במה צריך להצטייד כדי לעמוד בדרישות אבטחת המידע וכמה זה יעלה למשרד עו"ד?
הערה: העלויות משוערכות בלבד. ייתכן כי ניתן יהיה לקבל מחירים אחרים במסגרת חבילת התקשרות עם חברת מחשוב.
הוועדה המליצה על שלוש רמות אבטחת מידע לבחירתכם: בסיסית, מומלצת ומתקדמת.
החבילה הבסיסית לעורכי דין כוללת את המפרט הבא:
רישיון למערכת הפעלה חוקית של windows
הרישיון למערכת הפעלה צריך להיות עבור כל מחשב בנפרד.
עלות: בין 400-600 ₪ למשתמש (חד פעמי)
ספק מייל בתשלום (אופיס 365 / גוגל עסקי)
המייל הוא הדרך הנפוצה ביותר לפירצת אבטחת מידע, משום שקל יחסית לגנוב דרכו סיסמאות וזהות. ברגע שלגורם עוין יש גישה לסיסמאות, הוא יכול להגיע בקלות למידע רגיש כמו למשל חשבונות הנאמנות, מסמכים שנשלחו ועוד.
אם אתם עדיין עובדים עם יאהו, הוטמייל, וואלה, ודומיהם התקנות החדשות יאלצו אתכם להפרד מהם לשלום לטובת ספק מייל בתשלום שמספק הגנה על ערוץ הדוא"ל.
ג'ימייל (Gmail) מציעה שתי אפשרויות שימוש: אחת היא המייל החינמי שמסתיים ב[email protected], והשנייה היא רכישת חבילה דרך Google Workspace המאפשרת שליחת מיילים על הדומיין שלכם.
השימוש במייל החינמי של gmail לא יעמוד בדרישות החדשות של וועדת האתיקה.
לעומת זאת, מיילים שנרכשו דרך Google Workspace עונים לדרישות של הזדהות דו שלבית, זיהוי ספאם, הגנה מפני סיכונים ומניעת פישינג, ולכן ניתן להמשיך להשתמש בהם.
הפיירוול מספק שכבה ראשונה של הגנה על ערוץ הדוא"ל, אבל הגנה זו אינה מספיקה מאחר ושירותי מייל כדוגמת אופיס 365 או גוגל עסקי נמצאים בכלל בענן ולא על המחשב המקומי.
במקרה כזה, הפריצה כלל לא תתבצע למחשב שלכם אלא ברשת. מומלץ להוסיף עליה הגנות מספק המייל (למשל אימות דו שלבי השולח אישורים לסלולרי שלכם בהתחברות חדשה).
ניתן לרכוש גם הגנות על ערוץ הדואר מחברות המיחשוב.
עלות: Gmail Workspace – בין 6-18$ למשתמש לחודש
Outlook (Microsoft 365) – בין 4-16$ למשתמש לחודש
Next Generation FireWall (NGFW)
פיירוול מהדור החדש נראה כמו ראוטר ביתי, אבל כולל פיירוול, אנטי וירוס ו-Anti-Malware ועוד מגוון רחב של הגנות.
פיירוול מהדור החדש נראה כמו ראוטר ביתי, אבל כולל פיירוול, אנטי וירוס ו-Anti-Malware ועוד מגוון רחב של הגנות.
מה השימוש בו?
אם בעבר אנטי וירוס ופיירוול היו בודקים איומים על פי כתובת IP או מילים שהוגדרו מראש, הדור הנוכחי שלהם כולל בינה מלאכותית הבודקת לפי מגוון רחב של מערכים האם כל חלק מידע שמועבר ברשת נושא איום והאם מערכת ההפעלה נדבקה כתוצאה מפעולה שבוצעה. כתוצאה מכך, למערכת יש יכולת רבה יותר להחליט האם לסנן פעולה או משתמש שחשודים כזדוניים.
אנטי וירוס מותקן על המחשב ויודע לזהות קבצים נגועים ולנטרל אותם. אבל כשהוא נכנס לפעולה, המשמעות היא שהוירוס כבר הגיע אל המחשב ולכן הוא אינו יכול להספיק בתור מערך הגנה מפני תקיפת סייבר.
האנטי וירוסים החדשים שמותקנים על הפיירוול עוצרים את הוירוסים עוד בשלב שבו המידע נשלח ברשת והם משתמשים בבינה מלאכותית כדי לזהות איומים.
עלות: 500-2000$ בשנה
שירות EDR – Endpoint Detection and Response
EDR הוא כיום התחליף לאנטיוירוס. זוהי מערכת שמופעלת על נקודות הקצה (המחשבים עצמם) במטרה לאבטח, לאתר איומים ולהגיב להם.
EDR יכול לאתר חדירות שאינן מתבצעות דרך קבצים אלא דרך רוגלות (תוכנות זדוניות האוספות מידע מהמחשב ושולחות אותו אל גורמים עויינים) או נוזקות (תוכנות שנועדו לשבש את הפעילות, לאפשר השתלטות על המחשב לצורך דרישת כופר, להציג פרסומות או להחדיר סוגים שונים של וירוסים). EDR נותן פתרון יעיל למקרים של דרישת כופר.
עלות: 25$ בשנה לעמדה
- שירות גיבויים מנוהל
גיבוי הוא אחד הדרכים לאחזר מידע לאחר תקיפה. הוועדה מציעה 3 אפשרויות גיבוי לבחירה:
- גיבוי חם – גיבוי אוטומטי לדיסק המחובר למחשב
- גיבוי קר – גיבוי ידני על גבי דיסקים חיצוניים המתבצע אחת לכמה ימים, ונלקח אל מחוץ לחלל המשרד.
- גיבוי בענן – גיבוי אוטומטי בשרת ענן על ידי חברת מיחשוב מתמחה.
עלות: 25 אג' לכל ג'יגה מידע מגובה לחודש, כתלות בכמות המידע
מה מוסיפות רמות האבטחה האחרות?
החבילה המומלצת מוסיפה עוד רמות הגנה נגד האקרים, תמורת כמה מאות דולרים נוספים.
- הפעלת Sandbox– מאפשר לבדוק תקינות של קבצים בסביבה מבוקרת כדי לבדוק האם הם נגועים בוירוס או לא, מבלי לסכן את מערכת ההפעלה. מייקר את הפיירוול.
- התחברות מוצפנת דרך VPN – הצפנה של המידע שמועבר בהתחברות מרחוק.
החבילה המתקדמת מוסיפה עוד רכיבים שתפקידם לנטר את הפעילות בארגונים בהם יש תעבורת רשת רבה, או כמות גדולה של כל אדם עם הרשאות וגישה לקבצים .
- WAF – רכיב הבודק תעבורת רשת בזמן אמת בענן (להגן על הגלישה ועל אפליקציות)
- DLP – רכיב המוסיף קידוד לכל קובץ, המגדיר מי יכול לערוך, לצפות או לפתוח את הקובץ. אם הקובץ נשלח לכתובת הלא נכונה – המקבל לא יכול לראות אותו. במצב זה ניתן לדעת בכל זמן נתון מי צפה בקובץ ומי בצע בו שינויים.
- SOC – security operation center – מכשור בעל זמן תגובה מיידי שפועל 24/7 לאיתור ופעולה במקרה של פרצת אבטחה.
אי אפשר יותר להשתמש בשירות חינמי?
בסופו של דבר הכל שאלה של עלות תועלת. במסמך כותבת וועדת האתיקה כי אסור לעו"ד לנהל את המידע הסודי שלו על גבי שירותים חינמיים, אלא אם הוא וידא שהשירות עומד באופן מלא בדרישות האבטחה של החלטה זו, וכי במקרה של פרצת אבטחה יוטל העול בהפרכת החזקה על עורך הדין.
איך מצפים ממני להתמודד עם הדרישות הללו?
למשרד עו"ד אין באמת את היכולת להתמודד עם הדרישות הללו ולהרכיב את המפרטים בעצמו, אלא עליו להעזר בספק פתרונות טכנולוגיים שיציע לו חבילה מותאמת לצרכיו וינהל עבורו את השירות.
שירות של חברת מחשוב עבור משרד עורך דין המונה כ-10 עובדים, הכולל את כל דרישות הבסיס של וועדת האתיקה לרבות עבודה מלאה בענן, יעלה בסביבות ה-2,000 ₪ לחודש.
כדי לכתוב את המאמר הזה התייעצתי עם מומחי אבטחת מידע שענו על השאלות שלי.
אם גם לך יש שאלות בנושא, אני מזמינה אותך למפגש זום עם המומחים שלי שיענו בלייב על השאלות שלך.