הקדמה
אבטחת המידע הפכה אתגר רציני עבור ארגונים האחראים להגנה ולשימור נתוני לקוחות. עורכי הדין משרתים תפקיד קריטי בהבטיח כי חברות דבקות בדרישות האבטחה ההולכות וגדלות.
ככל שהעסק גדול יותר, מוכר יותר וציבורי יותר, כך הסיכוי שיהפוך ליעד למתקפות גדל, בין אם אלה מתקפות כלליות ואיומים כלליים, שהיעד שלהם הוא למעשה כל מי שמחובר לרשת באופן אקראי ממש או כ-"רעש רקע" כללי, ובין אם אלה מתקפות ייעודיות, יזומות, המופנות ישירות אליו לאחר ש"סומן" כמטרה.
לעתים, המתקפה עשויה להגיע מצד מתחרה עסקי, במיוחד בתעשיות רבות שבהן האתיקה מפוקפקת וננקטת בהן אסטרטגיה של ריגול עסקי ותעשייתי וביצוע עבירות מחשב כחלק מן התחרות.
מטרת המאמר הוא לספק סקירה כללית על תפקידו של עורך הדין . עורכי דין יוכלו להתייחס למאמר זה כדי להבין טוב יותר כיצד לבצע בדיקת נאותות סייבר אבטחה עבור הלקוחות שלהם. בעוד התקפות אבטחה הקיברנטי להמשיך להתפתח לאיומים מתוחכמים, חייבים עורכי הדין להתייחס בקנאות ביעוץ ללקוחות שלהם כדי למנוע בשוגג
התנהגות רשלנית לגבי תאימות לדרישות אבטחת הסייבר.
מהם הסיכונים המשפטיים הטמונים במתקפות סייבר?
מאחר שלא מעט מהעסקים אף מחזיקים ומנהלים מאגרי מידע רגיש של או הנוגע לצדדי ג', כגון: פרטים פיננסיים, פרטים אישיים, פרטי כרטיסי אשראי, פרטים המוגנים על פי חוק וכדומה, כל זליגה של מידע רגיש כזה יכולה לחשוף את בעלי העסק לסנקציות ואף לאחריות פלילית, מעבר לפגיעה הכלכלית מעצם החדירה למאגר המידע או הפגיעה הפוטנציאלית לשם הטוב ולמוניטין העסקי.
מה נכלל כחלק מיעוץ משפטי במרחב הסייבר ?
מענה ותגובה למתקפת סייבר הפוגעת הארגון או בלקוחות הארגון - ייעוץ משפטי משמש תפקיד קריטי בקרב חברות הנדרשות לתת מענה תואם מבחינה משפטית
כאשר החברה מבקשת למנוע ולהגיב להתקפות סייבר. כמו כן הייעוץ המשפטי מסייע לחברות לזהות אילו פעולות אזרחיות ופליליות ניתן לנקוט בעת מתקפת סייבר על החברות.
פרטיות - עיצוב לפרטיות היא גישה לפרויקטים בתחום מערכות המידע, שמקדמת את הגנת המידע האישי ואת הציות לדיני הגנת הפרטיות כבר מהשלב ההתחלתי.
כמו כן נדרש היועץ המשפטי לשמש כשומר סף ולוודא כי הארגון אינו חורג מתקנות הגנת הפרטיות ומחקים אחרים החלים עליו.
יעוץ לדירקטורים ונשאי משרה בכירה - לצד הנזקים הישירים והעקיפים הרבים שעשויים להיגרם לתאגיד בעקבות אירוע סייבר, התאגיד כפוף פעמים רבות לכללים רגולטוריים החלים על תחום פעילותו המיוחד, ובעקבות כך חשוף לחקירה והפעלת סנקציות מצד הרגולטור הרלוונטי, אם יתברר כי לא עמד בדרישות הרגולטוריות המחייבות.
המקורות הנורמטיביים ההולכים ומתפתחים אינם מסתפקים בהסדרת החובות היישומיות החלות על התאגיד, אלא פעמים רבות גם מביאים להטלת אחריות על הדירקטורים ונושאי המשרה של אותם התאגידים.
הקשר בין הגבלים עסקיים והגנת הסייבר
כדי להצליח להתמודד עם אתגרי הסייבר השונים ולתת מענה הולם לאיומים, נדרש לא אחת תיאום בין חברות ובין גופים שונים. במדינת ישראל רשות ההגבלים העסקיים מפקחת על תיאום המידע בין החברות. הפיקוח החל עקב החשיבות המשקית בשיתוף מידע בין גופים מסחריים בהתמודדות מול איומי הסייבר, והצורך להגן על תשתיות חשובות במדינת ישראל. רשות ההגבלים מציגה כללים לניתוח תחרותי של שיתוף מידע, שמטרתם לתת אמות מידה להערכה של הסדרי שיתוף מידע ולהגדיל בכך את הוודאות של גופים המעוניינים לקחת חלק בשיתוף מידע בעל ערך אבטחתי, מבלי לחשוש מהפרה של הוראות חוק ההגבלים העסקיים.
רשות ההגבלים מציבה שני תנאים לשיתוף מידע אבטחתי. התנאי הראשון נוגע לסוג המידע המועבר במסגרת שיתוף
המידע. בעניין זה מובהר, כי ככל שהמידע המועבר נדרש לצורך הגנת סייבר ואינו נוגע לפעילותם העסקית של הצדדים, לא עולה חשש מפני התאמת הפעילות המסחרית של הצדדים.
התנאי השני נוגע לחשש העולה במקרים בהם נמנעת ממתחרה גישה למערכות שיתוף המידע. מאחר שמידע
לצורך הגנת סייבר מספק ערך משמעותי לגופים הפועלים בענף או בשוק הרלוונטי, מניעת גישה שלהם למערכות
שיתוף מידע עלולה להפחית את יכולת התחרות שלהם, להעלות את חסמי הכניסה לשוק ולעיתים אף למנוע
כניסה של גופים חדשים לתחום.
לסיכום
מאמר זה אינו משקף את כל התפקידים שיש ליועץ המשפטי בתחום הסייבר בארגון, אלא נותן נגיעה בתפקידים המהותיים.
אין ספק כי היועצים המשפטיים משרתים תפקיד אינסטרומנטלי הנושאים הנוגעים להגנת סייבר. חברות מסתמכות על עורכי הדין ומצפות לקבל ייעוץ משפטי המסייע להם לנהל והכיל את סיכוני האבטחה. לעורכי הדין לא רק יש הזדמנות לספק ייעוץ בנושא ההגנה במרחב הקיברנטי אלא גם אחריות להשתתף בכל ההיבטים של הגנת הסייבר מקצה לקצה. הייעוץ המשפטי צריך להשתלב בניסוח הסכמים חוזיים ולוודא כי ההסכמים מכסים את הלקוח בנושאי אבטחת המידע. מבין התפקידים שעל עורכי הדין יש ומומלץ לבצע ניתן למנות תפקידים של ייעוץ חיצוני או עסקאות. ללא קשר ספציפי לתפקידו ומעמדו של עורך הדין, חשוב לא פחות שיכיר את נושא האבטחה הקיברנטי לעומק מקצה לקצה; כדי לשרת טוב יותר את הלקוח. עורכי הדין חייבים לעבור הדרכות והסמכות בתקנים כגון NIST, ISO וכל תקן אחר הישים לתחום . בנוסף, זה חיוני כי עורכי הדין ישתפו פעולה עם מובילי תחום הגנת הסייבר בארגון.
על הייעוץ המשפטי להיות מעורב באופן פרואקטיבי בכל הביטי אבטחת המידע בארגון.
הנושא של סייבר ואבטחת מידע הולך והופך למרכזי יותר ויותר בפעילות עסקית. חברה שלא תיערך לכך בהתאם, תאבד את היתרון התחרותי שלה ותהפוך ללא רלבנטית. ההשלכות המשפטיות גם הן נרחבות וגדלות מיום ליום, במיוחד בחברות ציבוריות, בנושאים הקשורים לאחריות דירקטורים ונושאי משרה, בסקטורים "רגישים" (ביטחון, תשתיות לאומיות, רפואה, בנקאות ופיננסים), להגבלים עסקיים ופעילות בינלאומית, בחברות התלויות בטכנולוגיה או מחזיקות מאגרי מידע ומידע רגיש של צדדי ג', ואף מתפתחות תעשיות חדשות שלמות שהופכות להיות חלק חיוני בפעילות - כמו תעשיית ביטוח סיכוני הסייבר שפרצה לתודעה בשנים האחרונות וצפויה להתרחב מאד בשנים הקרובות עד להפיכתה ל-"סטנדרט זהב" בתעשייה.
אלכסנדר רייף
מומחה דיני פרטיות ואבטחת מידע