|
|

אבטחת רשת, פשעים ברשת ועוולות אזרחיות

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on pinterest
Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

מאת עו"ד רונן בנדל

עולם אבטחת הרשת נדרש מידי יום להתמודד עם סיכוני אבטחת סייבר חדישים, הן מנקודת מבט של ייעוץ יזום והערכת תאימות, כמו גם מתן תגובה לאירוע נקודתי. עורכי דין בתחום הסייבר במרחב הקיברנטי באירופה ובארה"ב, מתמודדים מדי יום עם ביקורות פנימיות וחקירות ממשלתיות, תוך התדיינות משפטית. הצורך המתמיד של חברות הזקוקות להגן על נתונים פנים ארגוניים ואישיים רגישים, יוצר ביקוש רחב לידע אודות הסטנדרטים החוקיים המתפתחים במהירות בעולם של אבטחת סייבר בעיקר ברחבי ארצות הברית ברמה הפדרלית והמדינתית ובאיחוד האירופי. הבית הלבן אימץ בשנת 2014 את הוראות המכון הלאומי לתקינה וטכנולוגיה (NIST) במסגרת אבטחת סייבר,  יחד עם אימוץ הוראות נציבות ניירות הערך (SEC)) במקביל ניתן לראות מגמה מתפתחת באיחוד האירופי בעיקר בבריטניה (אשר פרשה מן האיחוד) שהתחילה בשנת 2014 להשיק תוכנית מקיפה תוך קריאה למדינות החברות, ולכל החברות הגדולות במדינות השונות, לזהות פגיעויות וחולשות, ולטפל בסיכוני הסייבר שלהן. ישנו צורך הולך וגדל במתן ייעוץ משפטי למגוון רחב של חברות במגזרי תעשייה רבים כאשר אלו נדרשות רגולטיבית להתכונן מראש ולהקים מערך אבטחה וזיהוי חולשות פוטנציאליות, בעיקר לנוכח מתקפות סייבר הולכות ומתרבות המתבטאות בעיקר בחדירות למאגרי נתונים ומידע.

Cyber

פעולות חקירה ואכיפה

חברה שמתעלמת מהוראת השעה וצוק העתים עלולה למצוא עצמה במהירות מושא לחקירה ממלכתית או פדרלית. לצורך ההמחשה, נניח ועסק קמעונאי בארה"ב אשר מחזיק בידיו מאגר נתונים של כרטיסי אשראי, נחשף לפריצה, תוך ניצול חולשה במחשב או ברשת המחשבים שלו. משם זולג מידע בדבר פרטים אישיים לרבות פרטי הכרטיסים. או אז נציבות הסחר הפדרלית (FTC), , וועדות הקונגרס האמריקאי, שלא לדבר על הרשויות להגנת הנתונים באירופה לרבות רגולטורים בינלאומיים אחרים העוסקות בנושא אבטחת סייבר ,ינהלו חקירה, כאשר אותו קמעונאיי יאלץ  להציג את ארכיטקטורת האבטחה של העסק בכלל ובפרט את הנהלים בעסק לצורך אבטחת הנתונים שלו. במקביל, ה- FBI, השירות החשאי האמריקני וחברות האשראי, להן יש רגולציה עצמאית, כמו   גם תעשיית כרטיסי החיוב, עשויות להיות מעורבות בחקירה, מה שעלול לייצר סנקציות כנגד עסקים קמעונאיים כאלו או חברות, מוסדות וארגונים. משכך כל החברות במשק העולמי, למעט אלו שפטורות לפי כל דין בכל מדינה, חייבות לוודא שהן ערוכות לחקירות מהסוג האמור ולהקדים וללמוד ולהבין את היתרונות הקיימים מול הסיכונים הרובצים לפתחן שעה שהם מתקשרים באופן עקיף או באופן לא מודע עם חברות אשראי, ביטוח, בתי השקעות, ובתוך כך הם מכפיפות את עצמן לרגולטרים  השונים כאמור וההוראות בדבר החובה לעמוד בחקירות דרקוניות.

מכאן, הולך וגדל הצורך בפריסה מהירה של אסטרטגיות חקירה, ניהול משברים אל מול התקשורת ובחינת היקף הבעיה תוך מתן תשובות מיידיות באופן עקבי וקוהרנטי כמובן.

הכנה: זיהוי, הגנה, איתור, תגובה והתאוששות מהתקפות סייבר

כאמור העיתוי הוא חשוב.יש להקדים ולהקים מערך סייבר בפני מתקפות אפשריות. ולכן יש צורך בגורם שלישי מסייע  אשר יידע להעריך את הסיכונים ם השונים באמצעות כלים מתאימים ברמה הטכנולוגית וברמה המשפטית, תוךבדיקת ההיבטים המשפטיים של אותם סיכונים, החל במגזרים עסקיים שונים, עובר לבדיקות נאותות לפני מיזוגים ורכישות, דרך בחינת התכנותם של סיכוני סייבר במסגרת אותם עסקאות מיזוג ורכישה ועריכת חוזים מתאימים לצורך התקשרויות משפטיות שכאלה, וכלה בייעוץ בנושאי ממשל ותאגיד, ומהי אחריותו של הדירקטוריון. משרדי למשל מעניק שירותי ייעוץ, בדבר חובת הציות  מתוך הבנה מעמיקה של תקנות הגנת הפרטיות כמו גם ייעוץ במישור הרגולטרי הבינלאומי. מהי הרגולציה הפדרלית והממלכתית בארה"ב לדוגמא, מהם התקנים בענף קונקרטי, ומהן שיטות העבודה המומלצות למטרות תאימות לפני עסקאות בינלאומיות.ישנה חשיבות מכרעת לאופן ניהול המידע, עריכת נהלי האבטחה, ייעוץ בדבר נקיטת צעדים​​ נדרשים לא רק לצורך ציות לחוק ולרגולטור אלא גם ע"מ להבטיח הגנה קשוחה ובכלל זה, תכנון פרוטוקולים לאבטחת נתונים, שיתוף ושימוש בנתונים, שמירת רשומות ושיטות מחיקה מסוכנות הניתנות לסיכול.

ניהול משברים באירועי סייבר

במקרה של מתקפה, חובה כאמור לנהל את המשבר. חברה שהותקפה חייבת לזהות באופן מיידי את האיום, לקבוע את היקפו וחומרתו, לשקול כיצד לעבוד ביחד עם המשרד המייעץ לצורך קיום הוראות החוק ואכיפתו ,לרבות ניתוח הסיכונים במישור הפלילי. יש לגבש החלטה מדעת באשר לצורך לשתף או שמא קיימת חובה בדין להודיע ​​על האירוע לצרכנים, ללקוחות, לשותפים עסקיים לרבות שיתוף סוכנויות ממשלתיות, וניסוח מענה הולם אל מול פניות תקשורתיות, עמידה איתנה מול חקירה מטעם הממשל או הרגולטור והכל באופן מתואם ועקבי. יש לזהות סדרי עדיפויות ושמירה על מיקוד אסטרטגי באמצעות כל אחד מהשלבים הללו. יש לפתח מנגנון לתעדוף התקשרויות והבנות מוקדמות אל מול הרגולטור בכל זמן נתון כדי להמנע מחשיפה מיותרת בתקשורת כמו גם חסכון בעלויות משפטיות או ניהול סכסוכים בכתלי בית המשפט.

אינטראקציה עם רגולטור

פירמות משפטיות בינלאומיות בארה"ב לדוגמא מקיימות אינטראקציה עם סוכנויות פדרליות מרכזיות, כמו ה- FTC ה FBI  , השירות החשאי האמריקני ומדורים מסויימים של המחלקה לביטחון פנים,  לרבות גורמים בקהילת המודיעין. באירופה מייצרות הפירמות אינטראקציה עם  מערך התקשורת הבריטי, עם הרשות להגנת נתונים, עם הקבינט בבריטניה, איגוד המבטחים הבריטיים (ABI) המחלקה לעסקים חדשנות ומיומנויות (בי איי אס) וכל וזאת על מנת לקבל מידע בדבר סיכוני סייבר מוחשיים והתווית אופן פעולה כדי להמנע מראש עם תוצאות הרות גורל.

איומים מתמשכים מתקדמים

נדבך זה הפך מסובך עוד יותר עם עלייתם של איומי אבטחת סייבר בחסות המדינה, כגון איומים מתמשכים מתקדמים (APTs) המייצרים נזק רב ומעוררים סוגיות פוטנציאליות שונות משמעותיות.  כיום עומדות חברות לאומיות ובינלאומיות בפני סכנה של  אובדן סודות מסחריים, מידע תחרותי ככל שהדברים נוגעים לקניין רוחני, וזאת עוד מבלי להתייחס לנזקים משמעותייים מסחריים וציבוריים לאור פוטנציאל פגיעה בתשתיות קריטיות.

נוכח הסיכונים ההלכים וגדלים, השיטות המתוחכמות לזהות חולשות או לעבור "חומות הגנה" אשר משתכללות כמעט מדי יום ומנגד, התערבות מחוייבת המציאות ובאופן שונה מהאופן שבו הורגלנו בעבר, של רשויות האכיפה והרגולטור, אשר נדרש להשיג את ההתקדמות הטכנולוגית וליישם הוראות חוק משתנות באופן תדיר כדי שלא להשתרך מאחור, יוצר מגמות משפטיות המשלבות טכנולוגיה, ייעוץ אסטרטגי וייעוץ משפטי בהקפים עצומים. כיום כמעט כל בעל עסק חשוף במודע או שלא במודע לחקירות פליליות ו/או תביעות אזרחיות בהיעדר מערך אבטחה או אפילו בהיעדר מחשבה על חשיבות הגנת המידע שנמסר לידיו באופן חוקי לחלוטין. למעשה חולש הרגולטור על המשפט הפרטי לצורך אכיפה והכל כשמדובר בסיכוני סייבר.

לפרטים נוספים מוזמנים לפנות לעו"ד רונן בנדל – 072-3953626