סטארטאפ ניישן: גם מעצמת סייבר וגם יעד חם למתקפות

בחודש שעבר, מערך הסייבר הלאומי פרסם הודעה על חשד לאירוע סייבר משמעותי ברשת המחשוב של אחד ממשרדי עורכי הדין הגדולים בישראל. גם בשנת 2024, אנחנו עדיין חשופים כל כך לסכנות הגדולות הטמונות בפריצות סייבר שכאלה, שמסמנות את יעדן ומזהות את החולשה בארגון ממנה ניתן להפיק את התועלת המרבית, ובדגש על תיבות דואר אלקטרוני ארגוני שהפכו להיות יעד תקיפות נפוץ במיוחד.

לאור הסכנות הרבות הקיימות ברשת, בשנים האחרונות ניכרת מגמה משמעותית של מעבר לניהול מאובטח של מידע רגיש, הן של המשרדים והן של לקוחותיהם, כתוצאה מריבוי אירועי סייבר שונים ומגוונים במוסדות רבים בישראל, בהם משרדי עורכי דין, מוסדות להשכלה גבוהה, חברות ביטוח ובנקים.

מדינת ישראל, הנחשבת למעצמת סייבר עולמית ומשפיעה בעולם בזכות שוק ההייטק המתקדם ויצירת פתרונות מתוחכמים למניעת אירועי אבטחת מידע, חווה בשנים האחרונות גם את הצד השני של המטבע.

התקדמות הטכנולוגיה והסכנות הגלומות בה הובילו לשינויים רבים, בין אם על ידי הנחיות מיוחדות להגנת פרטיות והחזקת מידע ועד להנחיות שימוש אופרטיביות בכלים טכנולוגיים דוגמת הבינה המלאכותית (כפי שניתן לראות בהנחיות לשכת עורכי הדין שהופצו בשבוע שעבר לשימוש בבינה מלאכותית).

בנוסף, בשנת 2022, פורסמו ההנחיות והחובות הנוגעות לאבטחת המידע החלות על עורכי הדין במסגרת החלטת ועדת האתיקה של לשכת עורכי הדין, שאף קבעה סנקציות שיחולו על עורכי דין שלא יעמדו בדרישות:

"ועדת האתיקה הארצית, בדומה למוסדות מקבילים בעולם, מבקשת לשרטט באמצעות החלטה זו ובאמצעות החלטות נוספות שיפורסמו מעת לעת, את גבולות ההתנהלות הנדרשת בעת הפעלת אמצעים טכנולוגיים על ידי עורכי הדין, תוך שמירה על גמישות טכנולוגית יחד עם הצורך באבטחת המידע ועמידה בחובת הסודיות החלה על עורך הדין ביחס למידע הסודי של לקוחו… עמידה ברף המינימלי של אבטחת המידע אשר מעוגן במסמך זה, תשמש כבסיס לכאורי להנחה כי עורך הדין עמד בחיוביו האתיים לאבטחת המידע אף אם יתברר בדיעבד כי המידע זלג."

בקרב חברות ציבוריות, היחס לסיכוני סייבר הופך להיות משמעותי יותר עבור משקיעים לצורך הערכת כדאיות ההשקעות בניירות ערך של החברות והבנת רמת הסיכון והחשיפה שלהן למתקפות סייבר.

בינואר 2023 פירסמה הרשות לניירות ערך דוח ריכוז ממצאי ביקורת רוחב בנושא סיכוני סייבר בתאגיד מדווח בו נכתב כי "בשל העובדה שאיומי סייבר הפכו כאמור לנפוצים יותר, ובמקביל דרישות הרגולציה החריפו בהתאמה (תקנות הגנת הפרטיות לדוגמא), הפכה הערכת סיכוני הסייבר לתהליך שהינו בגדר חובה עבור כל ארגון, כאשר במסגרתה נבדקים מערכי האבטחה של הארגון, רמת מוגנותו, פירצות האבטחה הקיימות וכדומה. מטרת הערכת הסיכונים היא בדיקת רמות האבטחה הקיימות במסגרת התהליכים והמערכות של הארגון, מאבטחת מידע פיזית ועד לאבטחת התשתיות, לרבות אתרי האינטרנט של הארגון, מערכות הפעלה, רשתות, מאגרי מידע, ניהול משתמשים והרשאות, תהליכי גיבוי ועוד."

על מנת להגן על המידע הרגיש והחשוב, שהגישה אליו על ידי גורמים זדוניים עלולה להיות הרסנית בקנה מידה גדול, חשוב לעבור למערכות מאובטחות לניהול ההתקשרות עם הלקוחות, ויפה שעה אחת קודם.

מגמה זו כבר בולטת במיוחד בקרב משרדי עורכי הדין המספקים לחברות השונות במשק שירותי ניהול מזכירות חברה, ומטיב השירות, מנהלים התקשרות הכוללת שיתוף ושליחת מסמכים המכילים את המידע האסטרטגי הרגיש ביותר על החברה.

בנוסף, קיימת מגמה בינלאומית נרחבת, שגם בישראל מתחזקת בשנים האחרונות, של מעבר מניהול הדירקטוריון ומזכירות החברה באמצעים מסורתיים כגון דואר אלקטרוני וקבצים שיתופיים - לפלטפורמה מאובטחת ונפרדת העומדת בתקני אבטחת המידע המחמירים ביותר ומגנה על המידע יקר הערך מפני גורמים זדוניים. יתרה מזאת, באירופה ובארה"ב דירקטורים, מנהלים ונושאי משרה דורשים את הכלים המאובטחים כחלק מנדטורי מעבודתם השוטפת וההכרה באחריותם על מידע הפנים ותקנות הפרטיות.

מגמה זו עדיין לא מספיק חזקה ונפוצה בישראל וזו העת להרחיב אותה משמעותית כדי להימנע מפריצות סייבר כגון זאת שהיינו עדים לה בחודש שעבר.

על הדירקטוריון כגוף מפקח מוטלת האחריות לוודא את יישום תקנות הגנת הפרטיות והטמעת מדיניות למניעת אירועי סייבר. ולכן ברוח המשפט "ממני תראו וכן תעשו" על הדירקטוריון לאמץ ואף לדרוש פתרונות טכנולוגיים מתקדמים הקיימים בשוק המסייעים בניהול עבודת הדירקטוריון וועדותיו בצורה מאובטחת כחלק מהנחלת התרבות האירגונית.


נורית קנר יהב היא מנכ"לית חברת Boardirector מקבוצת SQLink.