שירותי אבטחת מידע במשרד עורכי דין

האם גם משרדי עורכי דין זקוקים לחברות ייעוץ ושירותי אבטחת מידע? כמובן שכן. בתקופה האחרונה ובכלל בשנים האחרונות אנו עדים לעלייה מדאיגה של התקפות סייבר בהם מתקפות מסוגים שונים, כאשר הנפוצה מביניהם היא מסוג Ransomware, בה התוקפים מצפינים את המידע הנמצא על גבי מערכות המידע של האירגון, ודורשים בתמורה לשחרור ההצפנה כופר. משרדי עו"ד, מטבע עיסוקם, מחזיקים במידע רגיש על לקוחותיהם על פי חוק הגנת הפרטיות: החל ממידע בריאותי מסווג, מידע כלכלי ופיננסי, מידע על מצב משפחתי נתון או רצוי (לקוחות המעוניינים להתגרש מבלי שהדבר ייוודע לציבור הרחב), פטנטים לפני רישום, מידע על יציאה להנפקה בבורסה, פרטי משקיעים, הסכמי העסקה, חוזים סודיים וכל מידע אחר המוגדר כסודי ומסווג. במאי 2020 התפרסם מחקר שמצא, כי מעל 50% מהתקיפות על משרדי עו"ד כוונו כלפי משרדי עו"ד קטנים ובינוניים משום שאלה נוטים להיות מוגנים פחות ועל כן חשופים יותר לניסיונות פגיעה במידע שאותו הם מחזיקים. רק 20% מכלל הפגיעות כוונו אל משרדי עו"ד גדולים המונים מעל 500 עו"ד.

משרדי עו"ד בארץ ובעולם מהווים צומת חשובה באספקת מידע לגורמים חיצוניים. לא פעם משרד עו"ד מסויים עובד בשיתוף פעולה עם משרד עו"ד אחר, וזרימת המידע בין שני הגופים היא אך טיבעית, אך במקביל היא רבה וכוללת את המידע הרגיש ביותר באירגון. חשיפת מידע זה מסכנת את יציבות, תיפקוד ומוניטין האירגון ועלולה להיות הרסנית ביותר, אך ברב הפעמים משרדים אלה אינם מגובים ע"י יועץ אבטחה וניהול אבטחה.

לכן על משרדי עורכי דין לעמוד בדרישות אבטחת מידע בסטנדרט המקובל בעולם, והיות שהמידע אינו רק מידע פרטי של אנשים, דרישות הבסיס שבתקנות הגנת הפרטיות (אבטחת מידע) אינן מספקות. ניתן לקבל שירותי אבטחת מידע במיקור חוץ או לשכור יועץ אבטחת מידע בארגון, אך לשירות אבטחת מידע חיצוני יש יתרונות ברורים כמו אובייקטיביות, יעילות גבוהה יותר ובדר"כ יותר אנשי מקצוע שיכולים לחוות דעה או לפעול במצב חירום.

מתוך הנתונים עולה כי בארגונים רבים אנשי אבטחת מידע המעריכים את סיכוני שרשרת האספקה אינם ערים לרגישות העבודה מול משרדי עורכי הדין ועל כן זו אינה מגובה בבקרות הספקים הכלולות בנוהלי אבטחת המידע בארגון או שהיא מקבלת חשיבות פחותה מפוטנציאל הסיכון האמיתי שלה לארגון. הנה כמה שאלות שכדאי לשאול:

· האם ידועה לכם רמת רגישות המידע שבידכם?

· האם הוגדרו נהלים כיצד לשלוח מידע בתוך ומחוץ לאירגון?

· האם מידע רגיש באירגון נשמר במקום מאובטח?

· האם אתם יודעים כיצד המידע מאובטח?

· למי יש גישה למידע?

· מהי מדיניות הסיסמאות במשרד שלכם?

כיצד ניתן להתגונן מפני אירועי סייבר ולקיים רמת אבטחת מידע גבוהה? טיפים שימושיים למשרדי עו"ד

· בכל התקשרות חדשה, יחד עם הסכם שכר הטרחה יש לצרף את דרישות אבטחת המידע ומסמך לחתימה בהתאם.

· יש להגביל את האפשרות לחבר התקנים ניידים.

· יש צורך באמצעי זיהוי ואימות אשר ימנעו גישה בלתי מורשית ע"י שימוש באמצעים פיזיים וקביעת מדיניות סיסמאות.

· יש לבצע בקרה ותיעוד גישה אוטומטי אשר יתעד כל שימוש במאגר בצורה רציפה ועצמאית. יש לשמור את נתוני התיעוד לפחות 24 חודשים.

· יש לבצע בכל תקופת זמן ביקורת אבטחת מידע הסוקרת את האיומים הפנימיים שיש לאירגון ואת האיומים החיצוניים.

· ביצוע סקר סיכונים הבודק את מערך האבטחה של האירגון, עד כמה הוא מוגן ומהן פירצות האבטחה בו. סקר זה בודק את כל רמות האבטחה במסגרת התהליכים והמערכות הקיימות באירגון, החל מאבטחת המידע הפיזית ועד לאבטחת התשתיות הכוללים את אתרי האינטרנט של האירגון, מערכות הפעלה, רשתות, מאגרי מידע, בסיסי נתונים, ניהול משתמשים והרשאות, תהליכי גיבוי ועוד.

· מומלץ להיעזר בעו"ד שתחום התמחותו הוא תקנות הגנת הפרטיות לייעוץ משפטי בנושא יישום התקנות ואבטחת מידע

· מומלץ להיוועץ עם יועץ אבטחה לגבי מצב אבטחת המידע של האירגון

חשוב לזכור! במקרה של הפרת דרישות החוק בנושא הגנת הפרטיות החוק מטיל אחריות על בעל המאגר, המנהל והמחזיק. יישום התקנות הוא חשוב והוא חייב להתבצע ע"י אנשי המקצוע הנכונים, בין אם מדובר בעו"ד הגנת הפרטיות ובין אם מדובר בחברה המספקת שירותי ביקורת אבטחת מידע, בה ישנה פונקציה של מומחה אבטחת מידע.

אודיט בקרה וביקורת מציעה ייעוץ וביקורת אבטחת מידע. משרדנו מתמחה בהכנה, יישום והטמעה של אירגונים לעמידה בדרישות תקנות הגנת הפרטיות. אנו בעלי ניסיון רב ובעבודה מול משרד עו"ד ונשמח לסייע גם לאירגון שלכם להיות ערוך ומוגן.