In June of this year, the National Cyber Defense Authority issued the ‘Cyber Defense Doctrine’ to organizations. On September 11, 2017, an expansion draft to the doctrine was published, with specific actions legal counsels should take when it comes to cyber defense in their organizations:
תורת ההגנה בסייבר לארגון והיועץ המשפטי
הרשות הלאומית להגנת הסייבר פרסמה בחודש יוני השנה את תורת ההגנה בסייבר לארגון. הגם שבעת הזו הרשות עדין אינה יכולה לאכוף על ארגונים בלתי מפוקחים לבצע פעילות הגנה בסייבר, מדובר במסמך סדור הפורש את משנתה של הרשות כיצד ארגון צריך להגן על עצמו מפני התקפות במרחב הקיברנטי. ב-11 בספטמבר 2017 הוסיפה הרשות ופרסמה טיוטת מסמך הרחבה לאותה תורת הגנה, המפרט דגשים לפעילות יועץ משפטי בארגון בתחום תורת ההגנה בסייבר. למעשה, לאחר ‘מיישם הסייבר’ בארגון ומנהלו של הארגון, הרשות רואה ביועץ המשפטי הפנימי בארגון כמי שנושא באחריות להגנה בפני והתמודדות עם התקפות סייבר.
הרשות הלאומית להגנת סייבר הוקמה בהחלטת ממשלה 2444 לפני כשנתיים וקיבלה מנדט ליצור מענה מערכתי שלם להתמודדות עם אירועי סייבר. תפיסת הייסוד היא כי פעילותם התקינה והסדירה של ארגונים הינה חיונית לחוסנה הכלכלי של המדינה, תוך רציפות תפעולית גם ברגעי משבר. בשנה האחרונה השקיעה הרשות משאבים רבים בבניין הכוח וארגונו ומספר העובדים ברשות קפץ מכ- 50 לכ- 170 עובדים. לאחר מכן פנתה הרשות לפרוש את משנתה בנוגע לתפישת ההגנה בארגונים.
תורת ההגנה שפירסמה הרשות הינה מסמך המפרט את דרך ההתגוננות הראויה והרצויה בארגונים, החל משלב ההגדרה של המשימה, ניתוח רמות הסיכון, המלצות כיצד להכין את הארגון להתקפה, להתמודדות עמה, לבלום את התפשטותה ועד חזרה לשגרה. תורת הגנה זו, ביחד עם תקנות הגנת פרטיות והוראות אחרות שונות, שואפות ליצור echo system הוליסטי המתאפיין במעורבות אקטיבית של הארגונים השונים, אשר מחייב ויחייב ארגונים גלובליים להגן על מידע פרטי.
ישנה אמירה מפורסמת של ראש ה FBI, לפיה ישנם שני סוגי ארגונים: אלו שהותקפו, ואלו שטרם הותקפו. כיום בהחלט ניתן לומר שהאמירה הנכונה יותר היא ששני סוגי הארגונים הם: אלו שהותקפו, ואלו שהותקפו אך עדיין אינם מודעים לכך. במצב זה יש לתורת ההגנה כוח להוות מגדלור המנסה לנתב את הספינות לנמל מבטחים, הגם שאינה מחייבת בשלב זה את הארגונים.
מתוך המסמך עולה בבירור כי הרשות רואה ביועמ”ש של הארגון ציר מרכזי בתהליכים רבים ושותף לניהול סיכונים, ולפיכך מעין שותף טבעי לקידום הגנה בארגון כנגד התקפות סייבר. בין יתר תפקידיו, היועמ”ש מעורב בתהליכי הרכש (של מוצרי הגנת סייבר ומוצרים ושירותים אחרים), בניסוח הסכמי עבודה, בניסוח מסמכי ההתקשרות עם הלקוחות ובכתיבת נהלים פנימיים בארגון. לדעת הרשות, כלל פעילויות אלו קשורות לקידום תורת ההגנה בסייבר בארגון. בהקשר זה, מתווה מסמך תורת ההגנה את הדרך תוך מתן דגשים וכלים ליועמ”ש בנושאים מגוונים כגון מעבר לענן, מניעת קוד זדוני, אבטחת טלפונים סלולריים, המשכיות עסקית וכיוצא באלה. עם זאת, הוא אינו מציע פתרונות ספציפיים, וכמובן שאינו מצביע על מוצרי הגנה מסוימים.
למרות כלליות הדגשים שבמסמך, ניתן לומר כי מבנהו וחיבורו נועדו לשתי מטרות: הראשונה, לאותת ליועמ”ש כי מצופה ממנו ליטול חלק פעיל בהטמעה של הגנת בפני התקפות סייבר; השנייה, להבהיר להנהלות הארגונים כי ליועמ”ש תפקיד מרכזי בתהליכים הללו בתוך הארגון ולפיכך ראוי כי יוזמן לקחת חלק בתהליכים אלו.
המסמך מעלה מספר סוגיות. הראשונה טריוויאלית: מי ימלא את החלל בארגונים בהם אין יועמ”ש פנימי? סוגיה נוספת היא האם בעצם התוויית המדיניות והדגשים, נוספה אחריות (מקצועית ו/או ניהולית) לתפקידו של היועמ”ש, אחריות אשר עלולה לחשוף אותו לתביעות אישיות של בעלי מניות/דירקטורים/לקוחות/ספקים? לבסוף, עולה השאלה אילו כלים מקצועיים יש ליועמ”ש להתמודד עם מטלה חדשה זו, והאם בין יתר תפקידיו והאחריות המוטלת לפתחו ראוי לצפות ממנו להרחיב ידיעותיו בידע משמעותי נוסף?
אין ספק כי איומי הסייבר הינם ‘סכנה ברורה ומיידית’ וכי על חברי הנהלה, ומעתה, על היועמ”ש בפרט, וכן על הדירקטורים בארגונים לדאוג להגנה מתודית, מתאימה, רציפה ועדכנית בפני האיום המתרחב ומשתנה חדשות לבקרים וזאת הן על מנת לעמוד בחובת האמונים שהם חבים לחברה והן בכדי למלא אחר הוראות חקיקה שונות. אנו ממליצים כי תצרו עמנו קשר על מנת להבין טוב יותר מה החובות החלות עליכם בהקשר זה ומהם הפתרונות האפשרים.
להורדת הדגשים ליועץ המשפטי לחצו כאן
***
לפרטים נוספים בעניין זה הנכם מוזמנים לפנות לעו”ד רמי מור-זהבי, ראש מחלקת סייבר ואבטחה, בטלפון 03-6074510 או בדוא”ל ramim@gkh-law.com