ברור היום לכל אדם ולכל בעל עסק, כי נושאי אבטחת המידע והסייבר הפכו למשמעותיים ביותר. כל אדם וארגון חשופים לעבירות מחשב ואיומים אינטרנטיים, ביניהם וירוסים, קוד זדוני, סוסים טרויאניים, מתקפות של האקרים, תוכנות כופר (Ransomware) החוטפות מידע רגיש ומצפינות אותו, התקפות מניעת שירות (Denial of Service) המשביתות אתרים ופעילויות דיגיטליות, השחתה של אתרים, שינוי תכנים ועוד.
ככל שהעסק גדול יותר, מוכר יותר וציבורי יותר, כך הסיכוי שיהפוך ליעד למתקפות גדל, בין אם אלה מתקפות כלליות ואיומים כלליים, שהיעד שלהם הוא למעשה כל מי שמחובר לרשת באופן אקראי ממש או כ-"רעש רקע" כללי, ובין אם אלה מתקפות ייעודיות, יזומות, המופנות ישירות אליו לאחר ש"סומן" כמטרה.
לעתים, המתקפה עשויה להגיע מצד מתחרה עסקי, במיוחד בתעשיות רבות שבהן האתיקה מפוקפקת וננקטת בהן אסטרטגיה של ריגול עסקי ותעשייתי וביצוע עבירות מחשב כחלק מן התחרות.
מדוע גברו האיומים הקשורים באבטחת מידע ומתקפות סייבר?
הפעילות העסקית והפרטית השוטפת כוללת בימינו שימוש במחשבים ניידים, הסתמכות על חיבור מרחוק לרשתות, מאגרי מידע ושרתים, שימוש ברשתות ציבוריות, שימוש מוגבר במובייל ובפרט בסמארטפונים לצרכי עבודה, מאגרי מידע המכונסים בפורטלים נרחבים ועוד. מדובר גם במאגרי מידע שבעבר לא היו חשופים כלל, כגון מערכות שכר, חשבות ותשלומים, מערכות ניהול כוח אדם ולקוחות, הנהלת חשבונות, התכתבויות, אימיילים, כתבי טענות רגישים ועוד.
מרבית העסקים אינם יכולים לתפקד כיום ללא הזמינות שהדיגיטציה הזו של המידע מאפשרת. בד בבד, התגברות השימוש וההסתמכות על טכנולוגיות מתקדמות, מגבירות מעצם טיבן וטבען את החשיפה של העושים בהן שימוש למתקפות סייבר ופריצות אבטחת מידע.
כל זליגה של מידע רגיש כזה יכולה לחשוף את בעלי העסק לסנקציות ואף לאחריות פלילית, מעבר לפגיעה הכלכלית מעצם החדירה למאגר המידע או הפגיעה הפוטציאלית לשם הטוב ולמוניטין העסקי
מהם הסיכונים המשפטיים הטמונים במתקפות סייבר?
מאחר שלא מעט מהעסקים אף מחזיקים ומנהלים מאגרי מידע רגיש של או הנוגע לצדדי ג', כגון: פרטים פיננסיים, פרטים אישיים, פרטי כרטיסי אשראי, פרטים המוגנים על פי חוק וכדומה, כל זליגה של מידע רגיש כזה יכולה לחשוף את בעלי העסק לסנקציות ואף לאחריות פלילית, מעבר לפגיעה הכלכלית מעצם החדירה למאגר המידע או הפגיעה הפוטציאלית לשם הטוב ולמוניטין העסקי.
ההתפתחות של תחום הסייבר והמתקפות על מאגרי מידע, הן מצד אנשים פרטיים ועסקים והן מצד מדינות, יצרו מצב בו המשפט והחקיקה מנסים להדביק את קצב ההתפתחויות הללו וליצור פתרונות בהתאם
כיצד מתמודד המחוקק עם בעיית אבטחת המידע והסייבר?
ישנם תחומים מסוימים הנתונים לרגולציה ופיקוח מחמירים - כמו תחום הפיננסים והבנקאות, תחום הבריאות, תחומי הייצור, התשתיות הלאומיות, המזון או אספקת שירותים חיוניים לציבור. כל חברה העוסקת באחד התחומים הללו נדרשת לעמוד בתקנים מחמירים של אבטחת מידע ואיכות, כמו גם הצפנה של נתוני אשראי. ישנם אף תקני רגולציה מחמירים המתייחסים לאבטחת מידע הנדרשת מחברות ציבוריות ואמות המידה המצופות מהן, אף בנושא ביקורת פנים ואיומים פנימיים ולא רק חיצוניים.
יחד עם זאת, יש לדעת, כי ההתפתחות של תחום הסייבר והמתקפות על מאגרי מידע, הן מצד אנשים פרטיים ועסקים והן מצד מדינות, יצרו מצב בו המשפט והחקיקה מנסים להדביק את קצב ההתפתחויות הללו וליצור פתרונות בהתאם. כל אלה מובילים לצורך בייעוץ משפטי מקצועי מורכב ומתמחה, שיתייחס הן לתקנים של אבטחת המידע, לרגולציה הרלוונטית לתחום והן לדרכים להישמר מתביעות נזיקין ותביעות פליליות במקרים של פריצה ומתקפות סייבר.
נפילה בנושא אבטחת מידע ולעתים תקרית אבטחת מידע או סייבר אחת יכולות להיות "מכת מוות" עבור עסקים גדולים וקטנים כאחד - לא רק בפן הפלילי או האזרחי, אלא בפן העסקי
מהו הייעוץ המשפטי הנדרש בתחום הסייבר ואבטחת המידע?
לפני הכל, חשוב להבין כיצד לשמור על המוניטין של העסק כמי שמקפיד על אבטחת מידע בתקנים המחמירים ביותר וכמי שפעילות עסקית עמו ומולו אינה חושפת צדדי ג' לזליגת מידע.
נפילה בנושא אבטחת מידע ולעתים תקרית אבטחת מידע או סייבר אחת יכולות להיות "מכת מוות" עבור עסקים גדולים וקטנים כאחד - לא רק בפן הפלילי או האזרחי, אלא בפן העסקי, מאחר שעשוי להיגרם נזק בלתי הפיך למותג שלהם. לא מעט מהמותגים החזקים ביותר של ימינו הם אינטרנטיים לחלוטין, כל המגע שלהם עם הלקוחות נעשה ברשת וגם תזרים ההכנסות שלהם, או שהם תלויים לחלוטין בזמינות השירות שלהם בזמן אמת והשבתות, אפילו קצרות, משמעותיות ביותר לגביהם.
נוסף על כך, חשוב שהייעוץ המשפטי יתמחה בדין העסקי והרגולטורי המשתנה בין מדינות בשל האופי חוצה הגבולות של מאגרי המידע כמו גם המתקפות עליהם.
אלמנט שלישי הוא התמחות לא משפטית בתחום הסייבר ואבטחת המידע של עורך הדין, והיכרות עדכנית עם התחום. יש חשיבות מכרעת לנושאים כמו תקני ISO (למשל 27001, 27799), SSAE16 Review, PCI-DSS בכרטיסי אשראי, Sox לחברות ציבוריות (Sarbanes-Oxley), היכרות עם כל נושאי מבדקי חדירה (Penetration Testing), הערכת סיכונים (Risk Assessment), מתודולוגיות בתחום והנחיות ארגונים כמו ISACA, IEEE וכו'.
כל אלה הופכים את הייעוץ המשפטי הניתן לעסקים ואנשים פרטיים בנושא למקיף, טוב ויעיל יותר.
יש לוודא שהמערכת של הלקוח עומדת ברגולציה הרלבנטית לסוג העסק שלו ושהוא עומד בתקנים ובדרישות אבטחת המידע המצופות בסקטור שלו
מה ניתן לעשות כדי למנוע מתקפות סייבר ולהתמודד עם תוצאותיהן מרגע שהתרחשו?
ראשית, יש לוודא שהמערכת של הלקוח עומדת ברגולציה הרלבנטית לסוג העסק שלו ושהוא עומד בתקנים ובדרישות אבטחת המידע המצופות בסקטור שלו. כך, למשל, על חברה ציבורית מושתות אמות מידה משפטיות שונות מאלה של חברה פרטית. קיימות גם אמות מידה משפטיות משתנות עבור חברות פרטיות מסקטורים שונים, למשל: הבטחוני, הרפואי, הפיננסי - לעומת עסקים וסקטורים שלא נתונים לרגולציה בנושא כלל. גם מבחן ה-"עסק הסביר" כמובן רלוונטי לשם קביעה (חלילה) בהיבט רשלנות או טענת עצימת עין.
בנוסף, יש להבין את החבות של הדירקטורים ונושאי המשרה השונים, ומהם הצעדים שעליהם לנקוט בנושאים של הגנת פרטיות ואבטחת מאגרי מידע.
הרגולציה בנושאים אלה משתנה ממדינה למדינה וכך גם אמצעי הפיקוח שכל מדינה מפעילה, וחברות בעלות פעילות בינלאומית צריכות לוודא שהן עומדות ברגולציה המשתנה
מהו הפן הבינלאומי של אבטחת מידע וסייבר?
הרגולציה בנושאים אלה משתנה ממדינה למדינה וכך גם אמצעי הפיקוח שכל מדינה מפעילה, וחברות בעלות פעילות בינלאומית צריכות לוודא שהן עומדות ברגולציה המשתנה.
הרגולציה עצמה משתנה תדיר. תקנות וחוקים חדשים מופיעים ללא הרף, בנסיון להדביק התפתחויות טכנולוגיות, ויש להתעדכן באופן קבוע בשינויים המשפטיים הללו. דוגמא טובה ביותר היא הכללים השונים ממדינה למדינה לגבי אפשרות אחסון מידע פיננסי בענן (Cloud), ולמעשה רגולציה (המחייבת למשל אישור דירקטוריון) יכולה להיות "כף המאזניים" גם בהקשרי פעילות יומיומית של תאגיד, בחירת טכנולוגיות, פתרונות וכיו"ב.
על פניו, כל תיאום בין גופים מתחרים עשוי להיתפס כתיאום אסור, גם אם בפועל הפעולה המשותפת היא לגיטימית, לצרכי הגנה מאסון, גיבוי מידע, שיתוף טכנולוגיות הגנה וכד'
מה מקומם של חוקי ההגבלים העסקיים בהקשר של אבטחת מידע וסייבר?
כדי להצליח להתמודד עם אתגרי הסייבר השונים ולתת מענה הולם לאיומים, נדרש לא אחת תיאום בין חברות ובין גופים שונים. חברות צריכות להיות מתואמות עם הספקים שלהן, ספקיות התשתית, הלקוחות ולעתים אף עם מתחרים מאותו הסקטור.
מטרת התיאום היא לוודא שכל מי שנמצא עמן באינטראקציה כזו או אחרת (תקשורתית / עסקית / טכנולוגית, לאו דווקא משפטית) עומד באותם תקנים מבחינת הצפנה, אבטחת מערכות, ביקורת, הסמכה לתקנים. הנחת העבודה היא שחוזקת שרשרת שיתופי הפעולה או החברות נמדדת לפי החוליה החלשה ביותר דווקא. מספיק שאחת החוליות בשרשרת לקויה, וכל השאר חשופות להתקפות ולזליגת מידע דרכה ובאמצעותה.
כאן נכנסים לתמונה חוקי ההגבלים העסקיים הקובעים מהם ההסדרים האסורים או הכובלים. על פניו, כל תיאום בין גופים מתחרים עשוי להיתפס כתיאום אסור, גם אם בפועל הפעולה המשותפת היא לגיטימית, לצרכי הגנה מאסון, גיבוי מידע, שיתוף טכנולוגיות הגנה וכד'. כך, לעיתים פעולות טריוויאליות ביותר עשויות להוות עבירה על חוקי ההגבלים העסקיים. בלא מעט מן המדינות, החוק, כאמור, מפגר מאחורי השינויים הטכנולוגיים, וכידוע שינויי חקיקה אינם טריוויאליים, כך שפעולות שגרתיות עשויות "להיצבע" כאסורות ולייצר תסבוכות משפטיות לא פשוטות.
ייעוץ משפטי המתמחה בתחום יכול לסייע להימנע מנטילת סיכונים וביצוע פעולות המנוגדות לרגולציה, בעיקר כשהפעילות נושאת אופי בינלאומי, במספר מדינות שלכל אחת רגולציה שונה, כללים שונים, אמות מידה שונות ורשויות אכיפה הפועלות בדרכים שונות.
הנושא של סייבר ואבטחת מידע הולך והופך למרכזי יותר ויותר בפעילות עסקית. חברה שלא תיערך לכך בהתאם, תאבד את היתרון התחרותי שלה ותהפוך ללא רלבנטית
מה היתרון בייעוץ משפטי של עורך דין המתמחה גם בפן הטכני של אבטחת מידע וסייבר?
כאמור, הייעוץ המשפטי הרצוי הוא של עורך דין המתמחה הן בצד התיאורטי של החוק והן בפרקטיקות הנהוגות בארצות שונות ובסקטורים עסקיים שונים. נוסף על כך, נושא אבטחת מידע וסייבר דורש ייעוץ טכנולוגי מתאים, שיקטין לא רק את הסיכונים המשפטיים, אלא גם את הסיכונים הכלכליים והטכנולוגיים.
למעשה, כדי להתמודד היטב עם ספקטרום האיומים המתרחב כהלכה, לא אחת מדובר בעלויות לא מבוטלות ובהעסקת מספר אנשי מקצוע הפועלים יחד אשר גם צריכים להיות מתואמים האחד עם השני ומסונכרנים היטב. לעורך דין המחזיק בידע הטכנולוגי וההנדסי הזה יתרון רב הן מבחינת היקף ואיכות הייעוץ שלו והן מבחינת עלויותיו.
לסיכום, הנושא של סייבר ואבטחת מידע הולך והופך למרכזי יותר ויותר בפעילות עסקית. חברה שלא תיערך לכך בהתאם, תאבד את היתרון התחרותי שלה ותהפוך ללא רלבנטית. ההשלכות המשפטיות גם הן נרחבות וגדלות מיום ליום, במיוחד בחברות ציבוריות, בנושאים הקשורים לאחריות דירקטורים ונושאי משרה, בסקטורים "רגישים" (ביטחון, תשתיות לאומיות, רפואה, בנקאות ופיננסים), להגבלים עסקיים ופעילות בינלאומית, בחברות התלויות בטכנולוגיה או מחזיקות מאגרי מידע ומידע רגיש של צדדי ג', ואף מתפתחות תעשיות חדשות שלמות שהופכות להיות חלק חיוני בפעילות - כמו תעשיית ביטוח סיכוני הסייבר שפרצה לתודעה בשנים האחרונות וצפויה להתרחב מאד בשנים הקרובות עד להפיכתה ל-"סטנדרט זהב" בתעשיה.
*סייע בהכנת הכתבה: יותם בן מאיר, כתב זאפ משפטי