העיתון המקצועי לענייני מסים

עורכים מקצועיים: יעקב גולדמן, עו"ד. אורי גולדמן, עו"ד
מנהל מערכת: אורי גולדמן, עו"ד

יום ו' 29.03.2024

תסדיר: 2024-03-29

אבטחת מידע במשרדי עו"ד ורו"ח

גירסה להדפסהגירסה להדפסה
מספר הגיליון: 
721
תאריך: 
08/01/2015
♦ בידי עורכי דין ורואי חשבון מצוי מידע רב ורגיש של לקוחותיהם, והם עלולים להיות יעד אטרקטיבי למתקפות סייבר ולזליגת מידע . במאמר זה נציג שורה של צעדים מעשיים שמומלץ לנקוט כדי לצמצם את הסיכון.
 
 ♦מקצועות עריכת דין וראיית החשבון מבוססים על אמון הציבור ולכן כללי אבטחת מידע ושמירת הסודיות הם הבסיס למקצועות אלה. עו"ד ורו"ח נחשפים למידע רגיש ביותר של לקוחותיהם, לרבות נתונים כספיים, מסחריים, אישיים ועוד רבים אחרים. ניהול מערכת יחסים נאותה בין רו"ח או עו"ד ללקוחותיהם אמור להיות מבוסס תחת הנחה, כי עו"ד ורו"ח ינקטו באמצעים הדרושים כדי שהמידע שברשותם לא ייחשף וסודיות המידע של לקוחותיהם ישמר בקפדנות יתרה.
 
חובת שמירת הסודיות ואבטחת מידע מעוגנים באופן פורמאלי הן בכללים ספציפיים החלים על מקצועות ראיית חשבון ועריכת דין והן בהוראות החוק והדין.
תקנות רואי חשבון (התנהגות שאינה הולמת את כבוד המקצוע), אוסרות על רואה החשבון לגלות, שלא בהסכמת הלקוח, דבר שהובא לידיעתו תוך כדי מתן שירות מקצועי, למעט סייגים המפורטים בתקנות והוראות חוק שונות.
 
 ♦הוראה דומה קיימת בכללי לשכת עורכי הדין (אתיקה מקצועית), תשמ"ו-1986 עורך דין ישמור בסוד כל דבר שיובא לידיעתו בידי לקוח או מטעמו, תוך כדי מילוי תפקידיו, זולת אם הסכים הלקוח במפורש אחרת ולמעט סייגים הדומים במהותם לאלה של רו"ח.
 
כך גם, חוק הגנת הפרטיות, תקנות וצווים מכוחו כוללים הוראות לקיום כללי שמירת הסודיות וכללי אבטחת מידע לגבי מידע אישי (לרבות מידע כלכלי) שבידי יחידים וארגונים.
בשנים האחרונות אנו עדים להתגברות מתקפות סייבר כנגד יחידים, חברות, מוסדות, ארגונים ואף מדינות. מתקפות אלה מבוצעות ממניעים כלכליים, פליליים, אנרכיסטיים, פרסומיים, פוליטיים, טרור ואחרים. אחת המטרות של מתקפות אלה הינה להשיג מידע סודי שיכול לספק יתרון כלכלי, תחרותי, צבאי, פוליטי או אישי לתוקף או למפעיליו.
מתקפת סייבר מבוצעת דרך מרחב קיברנטי והיא מכוונת לצורך שיבוש, השבתה, הרס, שליטה לא-מורשית על סביבות מחשוב, משאבי מחשוב, תשתיות מחשוב או לצורך פריצה למאגרי מידע ופגיעה בשלמות המידע או חשיפה וזליגת המידע.
 
במקביל, עקב התפתחות טכנולוגית, ניידות ונגישות של מידע, מתגברים איומים שהיו קיימים גם קודם לכן כגון טעויות אנוש העלולות לגרום לחשיפה וזליגת מידע לא מכוונת. לצד זאת, קיימים סיכונים של גניבת התקנים ניידים הכוללים מידע רגיש, הדלפות מצד עובדים המבקשים למכור מידע, עובדים ממורמרים וכדומה.
כיוון שבמשרדי רו"ח ועו"ד מנוהל מידע סודי רב של לקוחותיו הן במדיה קשיחה והן באמצעים ממוחשבים הוא עלול להיות יעד פוטנציאלי ואף מועדף לתקיפה על ידי גורמים זדוניים. חלק ממתקפות סייבר שבוצעו כוונו לא ישירות כנגד ארגונים אלא כנגד נותני שירותים לאותם ארגונים להם הייתה גישה לנתונים רגישים של הארגונים שבהם רמת אבטחת מידע הייתה פחותה.
 ♦על מנת להתמודד עם מגוון האיומים והסיכונים ולעמוד בדרישות רגולציה מומלץ, כי משרדי רו"ח ועו"ד ינקטו צעדים הן ביישום מדיניות ובקביעת נהלים והן בהטמעת פתרונות טכנולוגיים מקובלים לשמירה על סודיות ואבטחת מידע. להלן יובאו חלק מהצעדים הנבחרים בהתאם לתקני אבטחת מידע מקובלים. יצוין, כי היקף הצעדים צריך להיגזר מגודל המשרד, סוגי הלקוחות, סוגי המידע המנוהלים, הערכת סיכונים פנימית ודרישות ספציפיות של לקוחות, תנאים בהסכמי התקשרות ועוד. בין היתר מומלץ על נקיטת צעדים הבאים: לבצע סקר סיכוני אבטחת מידע לצורך מיפוי איומים, מיפוי נכסי מידע רגישים של לקוחות אותם נדרש לאבטח, מיפוי דרישות חוק ותקנות החלות על המשרד בהיבטי סודיות ואבטחת מידע. להגדיר מדיניות אבטחת מידע ושמירת הסודיות ולעגן בנהלים דרכים, שיטות ואמצעים ליישום המדיניות. להציג מדיניות ונהלים לכלל עובדי המשרד ואף ספקים להם קיימת נגיעה למידע של לקוחות ולהעביר הדרכות מתאימות לשיפור מודעות העובדים בהיבטי אבטחת המידע ושמירת הסודיות הן לעובדים החדשים והן רענון לעובדים הקיימים. לנקוט באמצעי אבטחה פיזית נאותים ובין היתר שימוש באמצעי בקרת כניסה למשרדים ואזורים רגישים כמו חדר שרתים, ארכיון, שימוש בכבלי נעילה למחשבים ניידים, הצבת אזעקות ומצלמות באזורי גישה רגישים, שימוש בכספות לאכסון מדיה רגישה ועוד. להטמיע פתרונות טכנולוגיים מקובלים במטרה לצמצם סיכונים למתקפות סייבר כנגד רשת הפנימית של המשרד ובין היתר הטמעת מוצרי אבטחה מקצועיים הבאים: חומת אש רצוי עם רכיב IPS (מערכת למניעת חדירות), אנטי וירוס, מסנני תוכן לתעבורת אינטרנט (מניעת הורדת קבצים מסוגים מסוכנים, מניעת גישה לאתרים לא מאושרים), מסנני תוכן לתעבורת דוא"ל נכנס, מערכת לגישה מרחוק בטכנולוגית  VPN מאובטחת ומוצפנת ורצוי עם מנגנון זיהוי חזק למשתמשים הניגשים מרחוק. בנוסף, רצוי לבצע מבדקי חדירה מבוקרים על ידי מומחי אבטחת מידע חיצוניים פעם במספר שנים המדמים ניסיונות פריצה אמתיים על ידי גורמים זדוניים כדי לבדוק אפקטיביות בקרות אבטחת מידע במשרד. 
להטמיע אמצעי אבטחה לוגיים נאותים בתוך הרשת הפנימית למידור גישה למידע של לקוחות וקביעת הרשאות מתאימות כך שהגישה תתאפשר לפי עקרון של "תאפשר גישה רק למידע שנחוץ לביצוע המשימות שהוטלו על עובד מסוים בקשר לאותו לקוח".
 
לנקוט באמצעים טכנולוגיים להגבלת אפשרויות להעביר נתונים מחוץ למערכות המשרד ללא אישור מראש ופיקוח וללא אמצעי אבטחה נאותים. בין היתר, מומלץ לצמצם ערוצים בהם ניתן להעביר מידע מחוץ למשרד.
לסיכום: מומלץ לבצע סקר אבטחת מידע בידי מומחי אבטחת מידע חיצוניים ובלתי תלויים אשר ימליצו על יישום בקרות נוספות במידת הצורך לצמצום הסיכונים.


מס פקס בע"מ
רח' החשמונאים 90
קומה 2
תל אביב ת.ד 20445

טל. 03-6966733
פקס. 03-6966744

info@masfax.co.il

 

 

 

אין האמור באתר מהווה יעוץ משפטי, יעוץ מקצועי, חוות דעת, סקירת המצב המשפטי ו/או הדין הרלבנטי.

ליעוץ משפטי ניתן ליצור קשר עם משרד עורכי הדין גולדמן ושות'

הנני מסכים/מסכימה לתקנון האתר.