שירותי אבטחת מידע במשרד עורכי דין

האם גם משרדי עורכי דין זקוקים לחברות ייעוץ ושירותי אבטחת מידע? כמובן שכן. בתקופה האחרונה ובכלל בשנים האחרונות אנו עדים לעלייה מדאיגה של התקפות סייבר בהם מתקפות מסוגים שונים, כאשר הנפוצה מביניהם היא מסוג Ransomware, בה התוקפים מצפינים את המידע הנמצא על גבי מערכות המידע של האירגון, ודורשים בתמורה לשחרור ההצפנה כופר. משרדי עו"ד, מטבע עיסוקם, מחזיקים במידע רגיש על לקוחותיהם על פי חוק הגנת הפרטיות: החל ממידע בריאותי מסווג, מידע כלכלי ופיננסי, מידע על מצב משפחתי נתון או רצוי (לקוחות המעוניינים להתגרש מבלי שהדבר ייוודע לציבור הרחב), פטנטים לפני רישום, מידע על יציאה להנפקה בבורסה, פרטי משקיעים, הסכמי העסקה, חוזים סודיים וכל מידע אחר המוגדר כסודי ומסווג. במאי 2020 התפרסם מחקר שמצא, כי מעל 50% מהתקיפות על משרדי עו"ד כוונו כלפי משרדי עו"ד קטנים ובינוניים משום שאלה נוטים להיות מוגנים פחות ועל כן חשופים יותר לניסיונות פגיעה במידע שאותו הם מחזיקים. רק 20% מכלל הפגיעות כוונו אל משרדי עו"ד גדולים המונים מעל 500 עו"ד.

משרדי עו"ד בארץ ובעולם מהווים צומת חשובה באספקת מידע לגורמים חיצוניים. לא פעם משרד עו"ד מסויים עובד בשיתוף פעולה עם משרד עו"ד אחר, וזרימת המידע בין שני הגופים היא אך טיבעית, אך במקביל היא רבה וכוללת את המידע הרגיש ביותר באירגון. חשיפת מידע זה מסכנת את יציבות, תיפקוד ומוניטין האירגון ועלולה להיות הרסנית ביותר.


לכן על משרדי עורכי דין יעמדו בדרישות אבטחת מידע בסטנדרט המקובל בעולם, והיות שהמידע אינו רק מידע פרטי של אנשים, דרישות הבסיס שבתקנות הגנת הפרטיות (אבטחת מידע) אינן מספקות. מתוך הנתונים עולה כי בארגונים רבים אנשי אבטחת מידע המעריכים את סיכוני שרשרת האספקה אינם ערים לרגישות העבודה מול משרדי עורכי הדין ועל כן זו אינה מגובה בבקרות הספקים הכלולות בנוהלי אבטחת המידע בארגון או שהיא מקבלת חשיבות פחותה מפוטנציאל הסיכון האמיתי שלה לארגון. הנה כמה שאלות שכדאי לשאול:

· האם ידועה לכם רמת רגישות המידע שבידכם?

· האם הוגדרו נהלים כיצד לשלוח מידע בתוך ומחוץ לאירגון?

· האם מידע רגיש באירגון נשמר במקום מאובטח?

· האם אתם יודעים כיצד המידע מאובטח?

· למי יש גישה למידע?

· מהי מדיניות הסיסמאות במשרד שלכם?




כיצד ניתן להתגונן מפני אירועי סייבר ולקיים רמת אבטחת מידע גבוהה? טיפים שימושיים למשרדי עו"ד

· בכל התקשרות חדשה, יחד עם הסכם שכר הטרחה יש לצרף את דרישות אבטחת המידע ומסמך לחתימה בהתאם.

· יש להגביל את האפשרות לחבר התקנים ניידים.

· יש צורך באמצעי זיהוי ואימות אשר ימנעו גישה בלתי מורשית ע"י שימוש באמצעים פיזיים וקביעת מדיניות סיסמאות.

· יש לבצע בקרה ותיעוד גישה אוטומטי אשר יתעד כל שימוש במאגר בצורה רציפה ועצמאית. יש לשמור את נתוני התיעוד לפחות 24 חודשים.

· יש לבצע בכל תקופת זמן ביקורת אבטחת מידע הסוקרת את האיומים הפנימיים שיש לאירגון ואת האיומים החיצוניים.

· ביצוע סקר סיכונים הבודק את מערך האבטחה של האירגון, עד כמה הוא מוגן ומהן פירצות האבטחה בו. סקר זה בודק את כל רמות האבטחה במסגרת התהליכים והמערכות הקיימות באירגון, החל מאבטחת המידע הפיזית ועד לאבטחת התשתיות הכוללים את אתרי האינטרנט של האירגון, מערכות הפעלה, רשתות, מאגרי מידע, בסיסי נתונים, ניהול משתמשים והרשאות, תהליכי גיבוי ועוד.

· מומלץ להיעזר בעו"ד שתחום התמחותו הוא תקנות הגנת הפרטיות לייעוץ משפטי בנושא יישום התקנות ואבטחת מידע


חשוב לזכור! במקרה של הפרת דרישות החוק בנושא הגנת הפרטיות החוק מטיל אחריות על בעל המאגר, המנהל והמחזיק. יישום התקנות הוא חשוב והוא חייב להתבצע ע"י אנשי המקצוע הנכונים, בין אם מדובר בעו"ד הגנת הפרטיות ובין אם מדובר בחברה המספקת שירותי ביקורת אבטחת מידע.


אודיט בקרה וביקורת מציעה ייעוץ וביקורת אבטחת מידע. משרדנו מתמחה בהכנה, יישום והטמעה של אירגונים לעמידה בדרישות תקנות הגנת הפרטיות. אנו בעלי ניסיון רב ובעבודה מול משרד עו"ד ונשמח לסייע גם לאירגון שלכם להיות ערוך ומוגן.


אודיט,  בית אשרא, דרך מנחם בגין 65 ת"א | טלפון: 03-5616303 | פקס: 03-5616304 | מייל: info@audit-fa.co.il
ליצירת קשר מהירה שילחו הודעה בוואטסאפ