0. זה קורה במשפחות הכי טובות.
דה-מרקר מדווח כי משרדי עורכי דין עמדו בשבועות האחרונים במרכזה של פרשת סחיטה מתוחכמת למדי: האקרים ניצלו את העובדה שברוב משרדי עורכי הדין אין ממונה על אבטחת מידע ואיש אבטחה מסודר ואין נהלי אבטחה שעוברים לעורכי הדין. הפרקטיקה בשני המקרים היתה שונה: באחד חדרו ההאקרים לתיקיה משותפת ודלו משם את המסמכים שהופנו להדפסה ובשני השתמשו בססמא שניטלה באמצעות Phishing ככל הנראה. דר' נמרוד קוזלובסקי העדר מערכות בקרה ונהלי אבטחה גורמות לכך. אלא, שלמרבית העסקים הקטנים אין את היכולת לנהל מערכות אבטחה מסודרות, והסיבה לכך נובעת בדרך כלל מנוחות. לדוגמא, אמש הלכנו לחנות שהיא חלק מרשת שלה סניפים בכל הארץ לקנות מוצרים בהתאמה אישית; בעת שהזינה הזבנית את פרטי הקשר שלנו לצורך ההזמנה, ראיתי שהיא חשופה למלוא הפרטים של כלל הלקוחות שרכשו ברשת בעבר, לרבות מספרי זהות, טלפונים וכתובות דואר אלקטרוני. ברור לי שהדבר לא נעשה מזדון, אבל הפרטיות היא לעולם לא שיקול כאשר בונים מערכות מידע שימושיות לעסקים.
1.
במשרד עורכי דין, לעומת זאת, הפרטיות אמורה להיות אינהרנטית: כללי לשכת עורכי הדין (אתיקה מקצועית) קובעים כי עורך דין חייב לשמור את כל המידע שקיבל מלקוחותיו בסוד, וכך גם פקודת הראיות, שסעיף 48 שלה קובע כי הייעוץ שניתן על ידי עורך הדין הוא חסוי, ולעורך הדין אסור לגלות פרטים על לקוחותיו ללא הסכמתם. לכן, הגנו בתי המשפט לא אחת על חסיון זה אף כנגד האזנות סתר או חיפושים שלא בחוק (עחה"ס 1/81 פלוני נ' מדינת ישראל, רע"פ 8873/07 היינץ נ' מדינת ישראל). הפרס, הנוגע לחסיון הרב, בא עם אחריות רבה: לעורך הדין יש חובה להגן ולאבטח את המידע, ויכול להיות שניהול ארכיטקטורה שגויה מסוג זה מהווה לא רק בעיית אבטחת מידע, אלא הפרה של חובת הסודיות כלפי הלקוח.
2.
אלא,שסוגיית האבטחה כלל אינה עולה לדיון כאשר עוסקים במידע שעשוי להיות לעיתים הרגיש ביותר אצל בני אדם: להפך, משרדי עורכי דין הם בין הראשונים להפר פרטיות על ידי שימוש במאגרים לא חוקיים לצרכי גביית חובות. כעת, מתעוררת השאלה האם לא ראוי שהרשות למשפט, טכנולוגיה ומידע תיישם, אולי בלי לדרוך על רגליים של לשכת עורכי הדין, נהלים לגבי אבטחת מידע במשרדי עורכי דין ובדיקות שגרתיות. הרי, לפי הפרשנות המרחיבה ביותר של החוק, ניתן לראות את אוסף הכוננים הקשיחים במשרד עורכי דין כמאגר מידע על פי חוק הגנת הפרטיות: הכוננים מכילים מידע ממוחשב, רגיש (לגבי מצב פיננסי, בריאותי או צנעת חייו של אדם), המאגר כולל מידע על אנשים שלא תמיד נמסר על ידיהם (לעיתים מדובר במידע שנמסר לצורך הכנת תביעה נגד אדם). אלא, שבמקרה זה, מספר חובות כגון החובה לפי סעיף 13 לעיין במידע, לא יכולים להתקיים עקב מניעה חוקית (ויש צורך לטפל בחריג זה): כלומר, לא יכול להווצר מצב בו אדם נמשרד עורכי דין מייצג בו את הצד שכנגד יבקש לעיין במה יש לאותו משרד אודותיו, לרבות מידע חסוי.
3.
לכאורה, עצם אי הרישום של המאגר אמור להיות שורש הבעיה; אלא, שהבעיה היא פשוט העדר האבטחה: הזלזול במידע הרגיש, אי הצפנתו ומתן הרשאות לאחרים לגשת אליו. לא מדובר רק בגילוי של מידע שלא בהסכמת הלקוח, אלא בפוטנציאל הרגיש של מכירתו לאחר לצורך השגת יתרון בהליך משפטי. על נזק מסוג זה אין דרך לפצות, לא משנה מה. הפתרון הוא פשוט: חינוך, חינוך, חינוך. אם לא נתחיל לחנך את משרדי עורכי הדין, לא נוכל להגיע לשום מקום.
הכוננים הקשיחים במשרדי עורכי דין כוללים יותר ממאגר מידע אחד: מסמכי הלקוחות, הנהלת החשבונות (עם נתונים על הכנסות מיחידים, מספרי תעודות זהות שלהם וכו') וכמובן מאגר משכורות העובדים. ועם זאת, יש לשים במרכז תשומת הלב את האבטחה עצמה ולא את החובה המנהלית (הבלתי נאכפת…) לרשום מאגרים. הרי לפני כשש-שבע שנים הודיעה רשמת מאגרי המידע דאז, יוספה טפיירו, למשרדי עורכי הדין שאינם חייבים ברישום מאגריהם אלא בהתקיים תנאים מסוימים של גודל, שמרבית עורכי הדין פטורים מהם… בשעתו יזמתי, כמשנה ליו"ר ועדת המחשוב בלשכת עורכי הדין, פרסום מדריך אבטחת מידע לעורכי דין מתוך הנחת יסוד שהאבטחה היא ביטויה הממוחשב של חובת הסודיות המקצועית. המדריך הודפס ונשלח לכל עורכי הדין בישראל והוא עדיין זמין ברשת – http://www.israelbar.org.il/article_inner.asp?pgId=44562&catId=1138
המסמך שמציג עו"ד רביה הוא מצויין, הן מבחינת דיוק והן מבחינת השפה הפונה למשתמש ההדיוט.
אני רק מדוע יש צורך במסמך זה רק לעורכי דין. האם הכתוב במסמך ובפוסט איננו תקף באותה מידע לכל בעל עסק או נותן שרות המחזיק במידע על לקוחותיו. על פניו נראה שרופאים, רואי חשבון, חברות שמירה או יועצי מיחשוב מחזיקים במידע רגיש באותה מידה.