אבטחת מידע לעורכי דין

מה צריך לדעת ואיך החלטת וועדת האתיקה תשפיע על המשרד שלך?

ועדת האתיקה הארצית של לשכת עורכי הדין פרסמה בתחילת החודש מסמך גילוי דעת מקדים  העוסק בנושא אבטחת מידע למשרדי עורכי דין.

מאמר זה יסביר מה בעצם נדרש ממך, מה העלויות של הדרישות החדשות, ומדוע נדרש ציבור עוה"ד לפעול לאבטחת מידע?

מה משפיע על מחיר קידום אתרים?

  • תחרות – אחד הדברים שמשפיעים ביותר על המחיר הוא רמת התחרות על הביטויים המבוקשים.
    עורכי דין, רופאים והעוסקים במקצועות הבריאות, רואי חשבון, שמאי מקרקעין, מהנדסים, אדריכלים ומתווכים כפופים לכללי אתיקה ופרסומת בתחומם. מתוך אמצעי השיווק המותרים למקצועות האתיקה, קידום אתרים הוא האפקטיבי ביותר להגעה ללקוחות, ולכן בתחומים אלו התחרות גדולה.
  • מומחיות – מומחיות היא הניסיון, הידע והיכולת לפתור בעיות, להשיג יעדים ולמנוע נזק. כולנו מכירים את הלקוח שבקש הצעת מחיר, בחר בחלופה הזולה ולאחר מספר חודשים מתקשר שוב. הניסיון לחסוך לא עבד ומאז התווספו לו עוד כמה בעיות (חלקן הודות לטיפול שבחר). עכשיו הוא חייב אותך כדי לפתור את הבלאגן.

    מקדם אתרים מומחה יודע לפתור בעיות, להערך לשינויים בגוגל וליצור יתרון מול המתחרים. אסטרטגית SEO איכותית היא השקעה לטווח ארוך השומרת על דירוגים ותנועה גם לאחר עדכוני גוגל, על מתן ערך מוסף לגולש, ועל חיזוק המוניטין של האתר ובעליו לאורך הפעילות.

 

 

  • נכונות לחכות לתוצאות – קידום אורגני בגוגל הוא תהליך שדורש זמן והשקעה לפני שרואים תוצאות. הזמן הממוצע שבו לקוחות מתחילים לראות תוצאות מקידום נע בין חצי שנה לשנה. מה משפיע על פרק הזמן הזה? גודל חבילת הקידום. ככל שהריטיינר החודשי גדול יותר, למקדם יש אפשרות לבצע יותר פעולות שמשפיעות על דירוג האתר, להכניס יותר תכנים איכותיים ולהקטין את פרק הזמן עד שהאתר מביא לקוחות.

  • מצב האתר – לא כל האתרים שווים בעיני גוגל. אתר שקודם בעבר באופן רשלני עלול להיות במצב של ענישה על ידי גוגל וידרוש משאבים גדולים יותר על מנת לשכנע את גוגל להתייחס אליו כאל בר סמכא    ולהציג אותו בתוצאות החיפוש. גם כאשר מדובר באתר שאינו מותאם לקידום (מבחינת מהירות טעינה, מערכת הניהול או היכולת לבצע שינויים באתר), התהליך יהיה יקר או ארוך יותר.

 

  • גודל האתר – קידום אתרי מסחר גדולים, אתרי חדשות או פורטלים יהיה תמיד יקר יותר מאשר קידום של אתר תדמית פשוט, משום שהם מורכבים יותר מבחינה טכנית ודורשים עבודה רבה יותר בתחזוקה השוטפת שלהם.

האם הדרישות החדשות מחייבות?​

לטענת הוועדה, עורכי דין מחוייבים כבר כיום לעמידה בדרישות אבטחת מידע לפי חוק הגנת הפרטיות. בנוסף הוועדה הודיעה שכדי לחזק את חובת היישום בכוונתה להציע תיקונים לכללי האתיקה בכל הנוגע לאבטחת מידע:

אם התיקון יתקבל משרד שלא יעמוד ברף המינימלי של אבטחת מידע ייחשב לכאורה כמי שהפר את חובתו האתית לגבי חובת הסודיות וחסיון עו"ד / לקוח.

משמעות הדבר היא שאם תתגלה פרצת אבטחה במערכות של משרדכם, ואם בעקבותיה תתבצע דליפת מידע – ככל שמשרדכם לא יעמוד ברף המינימאלי של אבטחת המידע הדליפה תיחשב כהפרה אתית של חובת החיסיון על ידכם.

במה צריך להצטייד כדי לעמוד בדרישות אבטחת המידע וכמה זה יעלה למשרד עו"ד?

הערה: העלויות משוערכות בלבד. ייתכן כי ניתן יהיה לקבל מחירים אחרים במסגרת חבילת התקשרות עם חברת מחשוב.

הוועדה המליצה על שלוש רמות אבטחת מידע לבחירתכם: בסיסית, מומלצת ומתקדמת.

החבילה הבסיסית לעורכי דין כוללת את המפרט הבא:

רישיון למערכת הפעלה חוקית של windows
הרישיון למערכת הפעלה צריך להיות עבור כל מחשב בנפרד.

עלות: בין 400-600 ₪ למשתמש (חד פעמי)

ספק מייל בתשלום (אופיס 365 / גוגל עסקי)

המייל הוא הדרך הנפוצה ביותר לפירצת אבטחת מידע, משום שקל יחסית לגנוב דרכו סיסמאות וזהות. ברגע שלגורם עוין יש גישה לסיסמאות, הוא יכול להגיע בקלות למידע רגיש כמו למשל חשבונות הנאמנות, מסמכים שנשלחו ועוד.

אם אתם עדיין עובדים עם יאהו, הוטמייל, וואלה, ודומיהם התקנות החדשות יאלצו אתכם להפרד מהם לשלום לטובת ספק מייל בתשלום שמספק הגנה על ערוץ הדוא"ל. 

ג'ימייל (Gmail) מציעה שתי אפשרויות שימוש: אחת היא המייל החינמי שמסתיים ב[email protected], והשנייה היא רכישת חבילה דרך Google Workspace המאפשרת שליחת מיילים על הדומיין שלכם.

השימוש במייל החינמי של gmail לא יעמוד בדרישות החדשות של וועדת האתיקה.

לעומת זאת, מיילים שנרכשו דרך Google Workspace עונים לדרישות של הזדהות דו שלבית, זיהוי ספאם, הגנה מפני סיכונים ומניעת פישינג, ולכן ניתן להמשיך להשתמש בהם.


הפיירוול מספק שכבה ראשונה של הגנה על ערוץ הדוא"ל, אבל הגנה זו אינה מספיקה מאחר ושירותי מייל כדוגמת אופיס 365 או גוגל עסקי נמצאים בכלל בענן ולא על המחשב המקומי.

במקרה כזה, הפריצה כלל לא תתבצע למחשב שלכם אלא ברשת. מומלץ להוסיף עליה הגנות מספק המייל (למשל אימות דו שלבי השולח אישורים לסלולרי שלכם בהתחברות חדשה).

ניתן לרכוש גם הגנות על ערוץ הדואר מחברות המיחשוב.

עלות:  Gmail Workspace – בין 6-18$ למשתמש לחודש
Outlook (Microsoft 365) – בין 4-16$ למשתמש לחודש

Next Generation FireWall (NGFW)

פיירוול מהדור החדש נראה כמו ראוטר ביתי, אבל כולל פיירוול, אנטי וירוס ו-Anti-Malware ועוד מגוון רחב של הגנות.

פיירוול מהדור החדש נראה כמו ראוטר ביתי, אבל כולל פיירוול, אנטי וירוס ו-Anti-Malware ועוד מגוון רחב של הגנות.

מה השימוש בו?
אם בעבר אנטי וירוס ופיירוול היו בודקים איומים על פי כתובת IP או מילים שהוגדרו מראש, הדור הנוכחי שלהם כולל בינה מלאכותית הבודקת לפי מגוון רחב של מערכים האם כל חלק מידע שמועבר ברשת נושא איום והאם מערכת ההפעלה נדבקה כתוצאה מפעולה שבוצעה. כתוצאה מכך, למערכת יש יכולת רבה יותר להחליט האם לסנן פעולה או משתמש שחשודים כזדוניים.

אנטי וירוס מותקן על המחשב ויודע לזהות קבצים נגועים ולנטרל אותם. אבל כשהוא נכנס לפעולה, המשמעות היא שהוירוס כבר הגיע אל המחשב ולכן הוא אינו יכול להספיק בתור מערך הגנה מפני תקיפת סייבר.

האנטי וירוסים החדשים שמותקנים על הפיירוול עוצרים את הוירוסים עוד בשלב שבו המידע נשלח ברשת והם משתמשים בבינה מלאכותית כדי לזהות איומים. 

עלות: 500-2000$ בשנה

שירות EDR – Endpoint Detection and Response

EDR הוא כיום התחליף לאנטיוירוס. זוהי מערכת שמופעלת על נקודות הקצה (המחשבים עצמם) במטרה לאבטח, לאתר איומים ולהגיב להם. 

EDR יכול לאתר חדירות שאינן מתבצעות דרך קבצים אלא דרך רוגלות (תוכנות זדוניות האוספות מידע מהמחשב ושולחות אותו אל גורמים עויינים) או נוזקות (תוכנות שנועדו לשבש את הפעילות, לאפשר השתלטות על המחשב לצורך דרישת כופר, להציג פרסומות או להחדיר סוגים שונים של וירוסים).  EDR נותן פתרון יעיל למקרים של דרישת כופר.

עלות: 25$ בשנה לעמדה

  1. שירות גיבויים מנוהל
    גיבוי הוא אחד הדרכים לאחזר מידע לאחר תקיפה. הוועדה מציעה 3 אפשרויות גיבוי לבחירה:

  • גיבוי חם – גיבוי אוטומטי לדיסק המחובר למחשב
  • גיבוי קר – גיבוי ידני על גבי דיסקים חיצוניים המתבצע אחת לכמה ימים, ונלקח אל מחוץ לחלל המשרד.
  • גיבוי בענן – גיבוי אוטומטי בשרת ענן על ידי חברת מיחשוב מתמחה.  

עלות: 25 אג' לכל ג'יגה מידע מגובה לחודש, כתלות בכמות המידע

מה מוסיפות רמות האבטחה האחרות?

החבילה המומלצת מוסיפה עוד רמות הגנה נגד האקרים, תמורת כמה מאות דולרים נוספים.

  • הפעלת Sandbox– מאפשר לבדוק תקינות של קבצים בסביבה מבוקרת כדי לבדוק האם הם נגועים בוירוס או לא, מבלי לסכן את מערכת ההפעלה. מייקר את הפיירוול.
  • התחברות מוצפנת דרך VPN – הצפנה של המידע שמועבר בהתחברות מרחוק.

החבילה המתקדמת מוסיפה עוד רכיבים שתפקידם לנטר את הפעילות בארגונים בהם יש תעבורת רשת רבה, או כמות גדולה של כל אדם עם הרשאות וגישה לקבצים .

  • WAF – רכיב הבודק תעבורת רשת בזמן אמת בענן (להגן על הגלישה ועל אפליקציות)
  • DLP – רכיב המוסיף קידוד לכל קובץ, המגדיר מי יכול לערוך, לצפות או לפתוח את הקובץ. אם הקובץ נשלח לכתובת הלא נכונה – המקבל לא יכול לראות אותו. במצב זה ניתן לדעת בכל זמן נתון מי צפה בקובץ ומי בצע בו שינויים.
  • SOC – security operation center – מכשור בעל זמן תגובה מיידי שפועל 24/7 לאיתור ופעולה במקרה של פרצת אבטחה.

אי אפשר יותר להשתמש בשירות חינמי?

בסופו של דבר הכל שאלה של עלות תועלת. במסמך כותבת וועדת האתיקה כי אסור לעו"ד לנהל את המידע הסודי שלו על גבי שירותים חינמיים, אלא אם הוא וידא שהשירות עומד באופן מלא בדרישות האבטחה של החלטה זו, וכי במקרה של פרצת אבטחה יוטל העול בהפרכת החזקה על עורך הדין.

איך מצפים ממני להתמודד עם הדרישות הללו?

למשרד עו"ד אין באמת את היכולת להתמודד עם הדרישות הללו ולהרכיב את המפרטים בעצמו, אלא עליו להעזר בספק פתרונות טכנולוגיים שיציע לו חבילה מותאמת לצרכיו וינהל עבורו את השירות.

שירות של חברת מחשוב עבור משרד עורך דין שפועל לבדו, הכולל את כל דרישות הבסיס של וועדת האתיקה לרבות עבודה מלאה בענן, יעלה בסביבות ה-250 ש"ח לחודש. 

כדי לכתוב את המאמר הזה התייעצתי עם מומחי אבטחת מידע שענו על השאלות שלי.

אם גם לך יש שאלות בנושא, אני מזמינה אותך למפגש זום עם המומחים שלי שיענו בלייב על השאלות שלך. 

 

מפגש זום בנושא אבטחת מידע