משרדי עריכת הדין בעידן לוחמת הסייבר (מאמר שפורסם בחדשות מחלקה ראשונה)

משרדי עריכת הדין הישראלים מצויים בסיכון גבוה מאוד למתקפת האקרים, שכן לצד המניעים העסקיים להכשלת עסקות שחברות ישראליות מעורבות בהן, קיימים לא פעם גם מניעים פוליטיים ואידיאולוגיים מצד ארגונים זרים וממשלות עוינות להכשיל עסקות רחבות היקף ונכון הדבר במיוחד לגבי משרדים המעורבים בעסקות בינלאומיות (מאמר שפורסם בתקשורת באתר News1- קישור למאמר).

——————————————————

בשבועות האחרונים כבשה “מלחמת ההאקרים” את הכותרות, כאשר האקרים ישראלים ופרו- פלשתינים משני צידי המתרס החליפו ביניהם מהלומות וירטואליות. לעת עתה עיקר פעולותיהם העוינות הסתכמו בפרסום פרטי כרטיסי אשראי ובהפרעה זמנית לפעילות התקינה של מספר אתרי אינטרנט, אולם נראה כי נזקי פעולות אלו שולי יחסית. ברם, האקרים עשויים לגרום לנזק כלכלי רחב היקף, ובפרט למשרדי עורכי דין ולקוחותיהם- חברות מסחריות, ארגונים וגורמים פרטיים.

משרדי עורכי דין על הכוונת

מספר כלי תקשורת בקנדה דיווחו לאחרונה כי לפחות שבעה משרדי צמרת במדינה נפלו קרבן לסדרת מתקפות סייבר מתוחכמות. מומחי אבטחת-מידע העריכו כי המניע מאחוריהן היה ניסיון להטעיית הרשויות והסחת דעת מחדירה רחבת היקף שבוצעה במקביל למערכות המחשוב של משרדי צמרת אחרים שהיו מעורבים ישירות בעסקת מיזוג ורכישה של תאגיד מקומי על-ידי תאגיד ענק בריטי.

במסגרת פעולות אלו בוצע ניסיון לגניבת מסמכים ולפגיעה בקבצים שונים במסדי הנתונים במשרדי עוה”ד הנפגעים. יש לציין כי המשרדים התקשו לאתר את מקור הנזק ולהעריך את היקפו, אך מקור ההתקפות היה ככל הנראה במחשבים מסין, ולפיכך מוערך כי הפעולות היו חלק מניסיון ריגול ואיסוף מידע מסחרי על-ידי חברות סיניות מתחרות או בידי הממשלה הסינית, במטרה לפגוע בעסקה עקב התנגדות ממשלת סין לעסקה.
במסגרת המתקפות, ביצעו ההאקרים שימוש בהונאה מסוג ‘פישינג’, שימוש בהודעות דוא”ל במטרה להטעות את הנמען ולגרום לו לספק בלא יודעין מידע אישי חשוב לצד הפוגע. בעסקה המדוברת ביצעו התוקפים וריאציה מתוחכמת של הונאת ‘פישינג’ במסגרתה נשלחו הודעות דוא”ל מזויפות למשרדים המעורבים בעסקה, ובהם התחזו ההאקרים לפקידי ממשלה בכירים ולבעלי תפקיד בחברות המעורבות בעסקת הרכישה. ההודעות הוסוו להודעות הנוגעות לעבודה השוטפת על העסקה וצורפו אליהן מספר קבצים. אחד הקבצים שצורפו להודעות הפעיל ‘רוגלה’ (spyware), תוכנת ריגול מתוחכמת שהתפשטה לעשרות ממחשבי משרדי עוה”ד ואפשרה להאקרים גישה למסד הנתונים בהם ואיסוף מידע ספציפי הנוגע לעסקה.

ללמוד מהניסיון הקנדי

הלקח מ”מלחמות ההאקרים” הינו ברור ומתבקש. משרדי עורכי דין מהווים מטרה טבעית להאקרים ולריגול תעשייתי עקב חשיפתם למידע מסחרי, עסקי ואישי רגיש. חברות עשויות להיעזר בשירותיהם של האקרים במטרה לחבל בעסקה של לקוחותיהם, להעניק יתרון בלתי הוגן למתחרה במכרז ואף לצורך השגת מידע פנימי על הנעשה בחברה לצרכי מרמה ומסחר בלתי הוגן בבורסה.

משרדי עריכת הדין הישראלים מצויים בסיכון גבוה מאוד למתקפת האקרים, שכן לצד המניעים העסקיים להכשלת עסקות שחברות ישראליות מעורבות בהן, קיימים לא פעם גם מניעים פוליטיים ואידיאולוגיים מצד ארגונים זרים וממשלות עוינות להכשיל עסקות רחבות היקף ונכון הדבר במיוחד לגבי משרדים המעורבים בעסקות בינלאומיות.

ברם, הביקורת שהובעה בתקשורת לנוכח אי מוכנות חברות האשראי והרשויות למתקפות סייבר מקבלת משנה תוקף בנוגע למשרדי דין, מאחר שדומה כי מודעותם של משרדים רבים לנושא אבטחת המידע נמוך למדי.

אבטחת מידע – הכרח במאה ה-21

מוטב ייעשו משרדי עריכת הדין, כמו גם רואי החשבון וסוכני הביטוח, אם יקדישו תשומת לב ומשאבים לנושא אבטחת המידע באתריהם ובמאגרי המידע של משרדם. משרדים רבים המקימים אתרים ומערכות מידע משוכנעים כי בוני האתרים מקימים אותם באופן מאובטח לחלוטין, אך לא כך הדבר.

חלק מבוני האתרים, תוכנות המידע כמו גם אנשי ה-IT במשרדים, אינם מחזיקים במיומנות הנדרשת לצורך אבטחה בהיקף הנדרש לפעילות המשרד. עולמנו הפך וירטואלי ומתוחכם, ויפה יעשו משרדים אם יסתייעו במומחים ייעודיים לאבטחת מידע שביכולתם לבצע בדיקות תקופתיות, להגביר עמידות למתקפות ובכך לצמצם נזקים לניסיונות פריצה.

הכותב הוא מנהל Robus, משרד ייעוץ אסטרטגי לתחום ה- Legal Marketing