תביעת רשלנות או דרישת כופר - הדילמות של פירמות עורכי הדין ב-2021

פירמות עורכי הדין עדיין לא מנהלות את סיכוני הסייבר שלהן בצורה הטובה ביותר, אך הן יעד אסטרטגי נחשק עבור התוקפים. יש בהחלט מה לעשות

עינת מירון
תוכן שיווקי
שתפו כתבה במיילשתפו כתבה במייל
עינת מירון
תוכן שיווקי

השנה האחרונה לא היתה טובה למשרדי עורכי דין. לפחות לא בכל מה שקשור לתדמית שלהם מול לקוחותיהם. פירמות ענק ברחבי העולם וגם חברות לא קטנות בכלל בישראל, חוו בשנה האחרונה הרבה מאוד מתקפות סייבר, חלקן מאוד מתוקשרות, חלקן מאוד קשות ומטרידות. הפירמות Sayfarth Show Fragmon, Campbell Conroy & O'Niel, הן רק כמה מהשמות שהוזכרו בחודשים האחרונים כמי שהתמודדו בעצמן עם מתקפת כופר שדרשה מכל אחד מהן סכומי עתק וכללה איומים ישירים להפצת מידע הנוגע ללקוחות הבולטים שלהן, בהן החברות גוגל, מרצדס, אפל ורבות אחרות.

עינת מירון

צריך להגיד את זה ביושר. פירמות עורכי דין, הגם שרבות מהן החלו לעסוק בייצוג לקוחות בתחום סיכוני הסייבר, מתגלות בעצמן כמי שלא מנהלות את הסיכון בצורה המיטבית. וצר לי להיות האיש הרע, אבל לא – מסמכים משפטיים ארוכים ומסורבלים בפונט 10 הן לא המהלך הנכון להתמודדות עם הסיכון המדובר. מסמך משפטי לעולם לא יוכל להתמודד עם האמביציה והמוטיבציה של התוקפים.

משרדי עורכי דין הם יעד אסטרטגי להאקרים. אם בגלל הכסף הקל יחסית שאפשר למצוא אצלם כי את הכופר הם ישלמו (יש להם) מתוך חשש לפגיעה במוניטין, ואם בזכות המידע הרב והרגיש שמצוי אצלן על סודות מסחריים, קניין רוחני ומידע רגיש על אישים בפרופיל גבוה. יחד עם זאת, כמעט בצורה גורפת, אפשר להגיד על משרדי עורכי הדין שאבטחת מידע ומדיניות אבטחת מידע, לא נמצאות בראש סדר העדיפויות שלהם.

אחד הסיכונים הבולטים שניתן לייחס לפירמות עורכי דין הוא החובה לשמירה על סודיות המידע של הלקוחות. עורך הדין כידוע, מתחייב לעשות מאמצים סבירים כדי למנוע גילוי בלתי-מורשה של מידע שמסר לו הלקוח שלו. המשמעות היא שלא מספיק לשמור את הדבר בסוד, אלא גם צריך להגן עליו. באמצעות טכנולוגיה, מדיניות, תפיסות עבודה ועוד.

בשנת 2018 הוציא איגוד עורכי הדין האמריקאי חוות דעת רשמית הקובעת, כפי שמקובל להניח בתעשיית אבטחת המידע כולה – שמתקפת הסייבר, ובגינה פגיעה בשמירה על המידע, היא פונקציה של מתי ולא של אם.

אז האם עורכי הדין מתנהלים בשגרת עבודתם כשברקע עולות שאלות הנוגעות לאבטחת מידע כמו האם בטוח ללחוץ על הלינק הזה? האם הפוסט שעדכנתי במדיה החברתית, עלול לשמש כדרך לאסוף מידע על לקוחותיי או על דרכי התנהגותי? האם אני מודע לעובדה שישנן בין הודעות הדוא"ל שלי גם כאלה שנועדו לגרום לי לשתף מידע? הסטטיסטיקה מוכיחה שלא - לפי איגוד עורכי הדין האמריקאי, 42% ממשרדי עורכי הדין המעסיקים 100 עובדים לפחות, חוו מתקפת סייבר.

אם כך, מה צריך לדעת בעלים של משרד עורכי דין, או בכלל, עורך דין שמוטרד מהסיכוי להיפגע? עומד לרשותנו כאן משאב מוגבל ולכן אתמקד רק ב-3 סיכונים מהותיים:

מתקפת כופר

מרבית ההאקרים מחפשים רווח כספי. הם מתחקים אחר פרופיל הלקוחות שלך, מתעדכנים באירועים מהותיים ובוחרים את הרגע הנכון לבצע את המתקפה כך שלא תהיה מוטרד רק ממתקפת הסייבר עליך, אלא בעיקר ממה יעלה בגורלו של הלקוח שלך שעומד השבוע להנפיק את עצמו בבורסה או לדווח על פטנט חדש שעשוי להכניס לו מיליארדים. אז לאחר שפרצו למערכות המחשוב, גנבו את המידע הדרוש להם והצפינו את המידע, הם יציעו הצעה נדיבה – זה המחיר עבור האפשרות לעצור את המהלך. אם המשרד לא יסכים לשלם, המידע יופץ, המשרד יאבד נכסים רבים, יהיה חשוף לתביעת רשלנות מצד הלקוחות וההשלכות יהיו רבות, ארוכות טווח וקשות.

סחר במידע פנים

שיטה נוספת שבה משתמשים האקרים כדי ליהנות מהמידע שהשיגו בדרכים שונות היא כמובן מסחר באותו במידע רגיש על מיזוגים, הנפקות, רכישות וכו'. כשהמידע הוא בעל ערך, תמיד יהיה מי שיסכים לשלם עבורו. והרבה.

השבתה

הגבלת גישה למערכות המידע הארגוניות עלולה לייצר נזקים לא פחות דרמטיים. אם לעורך הדין אין אפשרות לנסח את המסמך המשפטי, בלוחות הזמנים שהוגדרו, הרי שלא ניתן לחייב את הלקוח בשעות עבודה או עלויות תוצרים. ומה עם העלויות שאותה פירמה תידרש להשקיע ברכישת ציוד חדש? אובדן לקוחות?

איך נמנעים מהתמודדות עם הסיכונים האלה? ממש כשם שנכון לבחור עורך דין כשיש בעיה משפטית, כך כמובן שמומלץ להיעזר באיש מקצוע שבקיא בעולם סיכוני הסייבר.

כללי האצבע לתרבות אבטחת מידע יהיו דומים לאלה שכולנו מכירים וקוראים בכל מדריך אינטרנטי כמו עדכון תוכנות, החלפת סיסמאות, הוספת מנגנוני הזדהות ועוד. יחד עם זאת, אבטחת מידע, ממש כמו משפטים, לא עושים בהתכתבות.

אסטרטגיה חדשה למשפט טכנולוגי

כשמדברים היום על אסטרטגיית אבטחת מידע למשרדי עורכי דין, אי אפשר שלא לדבר על תפיסת עבודה חדשה יחסית – Legal Operations. מדובר בתחום מולטי-דיסיפלינארי, שמטרתו לבצע ולאפשר אופטימיזציה לשירותים המשפטיים שנותנת המחלקה המשפטית או עורכי הדין שמלווים את הארגון. התהליכים הנדרשים משתנים בין ארגון לארגון, שכן סט הפעולות הנדרשות - לצד הכישורים והטכנולוגיות - משתנים בהתאם לגודל הארגון, האסטרטגיה שלו והצרכים הנדרשים.

תהליכי הייעול והאופטימיזציה מבוצעים על בסיס שיטת "חמשת העוגנים" שפותחה על ידי עו"ד עידו בר גיל והיא מטפלת, בין היתר, ב-LegalTech, תהליכים, ניהול פיננסי, ניהול ושימור הידע ואסטרטגיה. בבסיס השיטה עומדים שלושה עקרונות מנחים שהופכים אותה ליעילה, פרקטית ועם תוצאות/החזרי השקעה מיידיים: המחלקה המשפטית / עורכי הדין מעורבים בתהליכים רבים שרבים מהם כלל אינם "משפטיים". תהליכים אלה הופכים לעיתים להיות "צוואר בקבוק" וחסם, אולם שימוש יעיל בהם תומך בשינוי ארגוני.

בעולמות הסייבר, שבואו נודה, רובם הגנתיים, יישום השיטה כרוך, בין היתר, ביצירת תהליכים שונים באופן נכון המותאם לאיומים. תהליכים אלו, מטבע הדברים, לוקחים בחשבון – במקום המתאים – גם את אנשי אבטחת המידע וה-IT. ככל שתהליכים אלו נאכפים גם על ידי מערכות טכנולוגיות (ליגלטק), הרי שהיקף פוטנציאל הפגיעה בשל טעויות אנוש, פוחת. כששיקולי אבטחת מידע נכללים באופן מובנה בתוך התהליך למשל בכל התקשרות עם ספק, ניתן לצמצם את גורמי הבעירה ולא לכבות שריפות.

הכותבת היא מומחית Cyber Resilience המלווה מנהלים וארגונים בהערכות והתמודדות עם סיכון הסייבר העסקי