ועדת האתיקה הארצית של לשכת עורכי הדין פרסמה הנחיות מהפכניות המטילות על עורכי הדין חובות אתיות בתחום הגנת סייבר ואבטחת מידע של לקוחותיהם.
"אירועי זליגת מידע בארץ ובעולם, ההולכים ומתגברים, מחייבים את ציבור עורכי הדין להקנות משאבים לצורך אבטחת המידע הסודי. הסיכונים והמורכבות במצב זה חייבו את ועדת האתיקה להתוות דרך באשר לאופן אבטחת המידע וקביעת סף חובה, אשר אי-עמידה בו יחשב כהפרת החובות האתיות", נכתב במסמך עליו חתום עו"ד מנחם מושקוביץ, יו"ר ועדת האתיקה הארצית.
בחודש שעבר פרסמה הרשות להגנת הפרטיות במשרד המשפטים דוח סיכום בעקבות אירוע בו האקרים שתלו תוכנת כופר ותקפו את מערכות המחשב של משרד עורכי דין גדול העוסק בתחום הגבייה והוצאה לפועל באזור הצפון. הרשות קבעה כי המשרד הפר את הוראות חוק הגנת הפרטיות ולא הגן כנדרש על מאגרי המידע שלו המכילים מידע רגיש.
ההאקרים ביצעו חדירה מרחוק אשר נעלה את מערכות המחשב של המשרד והשתילו בה תוכנות זדוניות, במקביל לדרישת תשלום. הרשות קבעה כי המשרד לא התקין אמצעי הגנה מפני חדירה לא מורשית, והשתמש בתוכנות כגון TeamViewer הידועות בחולשות האבטחה שלהן.
נוכח זאת, נקבע בהנחיות שהתפרסמו השבוע על ידי ועדת האתיקה הארצית כי "על עורך הדין להגן באופן הולם על כל האמצעים הדיגיטליים שבשימושו לרבות דוא"ל, גלישה באינטרנט, אפליקציות ועמדות העבודה. על עורך הדין לנקוט באמצעים סבירים ולוודא כי כלל התוכנות בשימושו מעודכנות ומקבלות עדכוני אבטחה שוטפים. על עורך הדין לאבטח את הליך הכניסה לאמצעים הטכנולוגיים מרחוק, ולוודא כי אמצעי התקשורת החזותית בה הוא עושה שימוש אינו מותיר גישה לצד שלישי, וכן אינו נצפה, מוקלט או מוסרט בידי צד שלישי בלא ידיעת המשתתפים בישיבה".
עוד נקבע כי על עורכי הדין להשתתף בהדרכה, ו"להיערך לאירוע סייבר, אבטחת מידע ופגיעה בפרטיות ברמת סבירות גבוהה על מנת להבטיח התאוששות מהירה והגנה. על עורך הדין חלה החובה לעדכן את הלקוח נוכח גילוי פרצת אבטחה למידע סודי".
לדברי הוועדה, עמידה ברף המינימלי של אבטחת המידע כפי שפורט במסמך, "תשמש כבסיס להנחה כי עורך הדין עמד בחיוביו האתיים לאבטחת מידע אף אם יתברר בדיעבד כי המידע זלג".
את הסערה בקרב עורכי הדין נוכח פרסום ההנחיות עוררה בעיקר הקביעה הבאה: "ועדת האתיקה הארצית תראה בעורך הדין המשתמש לקבלת ושליחת מידע של לקוחות בשרת דואר חינמי כמי שלכאורה מפר את חובת אבטחת המידע… חזקה היא שספק שירותי טכנולוגיה חינמי אינו עומד בדרישות אבטחת המידע הנדרשות".
משמעות ההנחיה: שימוש של עורכי הדין בג'ימייל, שירות הדואר האלקטרוני הבסיסי של חברת גוגל, אסור, ויש לשדרג לשרתים מאובטחים. בקרב עורכי הדין עלתה גם התהייה האם העברת מסמכים בווטסאפ, תיחשב כעבירה משמעתית.
נטל ההוכחה
חבר המועצה הארצית של לשכת עורכי הדין, עו"ד רועי ביטון, פרסם עצומה עליה חתמו למעלה מ-1,000 עורכי דין, לפיה ההנחיות והעבירות האתיות שנקבעו בגינן, הן מסוג הגזירות אשר אינן סבירות. "ההחלטה מטילה על עורכי הדין חובה לרכוש תוכנה וחומרה, להשתתף בקורסי אבטחת מידע, לרכוש אמצעים להיערכות מוקדמת, לשכור אנשי מקצוע ועוד. מדובר בהנחיה שמטילה על עורכי הדין הוצאות בגובה עשרות אלפי שקלים בשנה, ללא הסמכה מפורשת. ההוצאות יקשו בעיקר על משרדי עורכי הדין הקטנים ויגולגלו ללקוחות", כתב עו"ד ביטון.
עו"ד עמיחי ויינברגר, שעיסוקו בתחום האזרחי-מסחרי וייצוג חברות ורשויות ציבוריות, פנה לראש הלשכה עו"ד אבי חימי בבקשה לערוך דיון נוסף בהנחיות, נוכח העובדה שהן פורסמו ללא שיתוף מקדים של עורכי הדין, מבלי לשקול את ההשלכות. למשל:
הטלת חובת רישום ואחזקת מאגרי מידע על ידי עורכי הדין. מעמדת ועדת האתיקה עולה כי על כל עו"ד המחזיק ב"מידע רגיש" להחזיק מאגר מידע רשום אצל רשם מאגרי המידע, כאשר "מידע רגיש" על פי חוק הגנת הפרטיות הנו בין היתר, "נתונים על אישיותו של אדם, צנעת אישיותו, למשל הרגליו המיניים, מצב בריאותי, מצב כלכלי, דעות ואמונות".
לדברי עו"ד ויינברגר, "אם לומר את האמת, ניתן לשער כי למרבית עורכי הדין 'מידע רגיש' מעין זה, בין אם מדובר על מידע הנוגע למצב הכלכלי של מי שמצוי בכינוס הליכים פשיטת רגל, או על אישיותו של אדם שהורשע בפלילים ונעשה עליו תסקיר, או בין אם מדובר בעורכי דין העוסקים בדיני משפחה, או בין אם אלו עורכי הדין העוסקים בתביעות ביטוח לאומי ומחזיקים מידע רפואי ועוד. המשמעות הברורה של עמדת הוועדה היא כי עשרות אלפי עורכי דין בישראל אמורים כעת לפתוח ולרשום מאגרי מידע אצל רשם מאגרי המידע ולנהל את מאגרי המידע בהתאם להוראות הדין. האמנם כך? האם מישהו הבין את המשמעות הכבדה של הדברים?".
הטלת חזקה של אי עמידה בחובה האתית. "באופן תמוה גילוי הדעת קבע חזקה ההופכת את נטל ההוכחה והראיה (לחובת עורך הדין), משנקבע כי אי עמידה ברף מינימאלי תשמש חזקה לכאורה בדבר הפרת החובה האתית", כתב עו"ד ויינברגר. "נקבע על עורכי הדין לנקוט אמצעים סבירים לוודא כי התוכנות בשימוש מעודכנות. מהם אותם אמצעים סבירים? לקחו פרק של המלצות בלתי מוחשיות וכלליות בעליל, והפכו אותן לבעלות מעמד מחייב, שהפרתן יביא להיפוך נטל הראיה על עורכי הדין לנסות להוכיח שאכן הם לא הפרו את חובת הסודיות. נראה כי (הכותבים) לא נתנו את הדעת למשמעות העניין. כן נקבעה הטלת חובה על עורכי הדין להתעדכן מעת לעת בהתקדמות הטכנולוגית בקשר עם הגנת המידע – האמנם? האם באמת קיימים עורכי דין המסוגלים לעמוד בהגדרה זו? אולי מתי מעט".
עורכי הדין ויינברגר ואחרים מבקשים גם לחלוק על התזה כי היותה של תוכנה חינמית "משמעה בהכרח פרוטוקול אבטחה לקוי ופסול, או מחויבות לקויה של פלטפורמות אלו לשמור על סודיות המשתמשים, שכן, דווקא תוכנות ואפליקציות מקובלות אלו הנן בעלות פרוטוקולי אבטחה מהמתקדמות ביותר", ובכל מקרה, "ברור כי קביעה זו תפגע דווקא בעורכי הדין הצעירים יותר, שכן היא תטיל עוד עלויות ועוד תקורות יקרות שאינן מחויבות המציאות".
תגובת הלשכה תובא לכשתתקבל.
