הרשות להגנת הפרטיות קבעה כי משרד עו"ד אליהו מלך ושות', הפר את הוראות חוק הגנת הפרטיות בעקבות אירוע אבטחה חמור שהתרחש בו. הרשות ביצעה הליך פיקוח מנהלי בעקבות דיווח שהתקבל מהמשרד, ממנו עלה חשד לתקלה בשרתי המשרד במהלך הליך הפיקוח עלה כי בחלק ממחשבי ושרתי המשרד נמצאה נוזקה מסוג כופרה.
הרשות להגנת הפרטיות ביצעה הליך פיקוח מנהלי לבירור אירוע אבטחה חמור, כהגדרתו בתקנות הגנת הפרטיות, שהתרחש במשרד עו"ד אליהו מלך ושות'. עם זיהוי התקלה, החל צוות מחברת "בינת תקשורת מחשבים בע"מ" (חברה המתחזקת את מערכת השרתים של המשרד) בבחינת התקלה, ולאחר תחקיר נמצא, כי המקור הוא נוזקה מסוג וירוס כופר.
בעקבות הדיווח על האירוע, ביצעה הרשות להגנת הפרטיות פעולות פיקוח שונות אשר כללו, בין היתר, קבלת מידע ראשוני ממשרד עורכי הדין לגבי האירוע ואופן הטיפול בו, פניה בדרישה לקבלת מידע ומסמכים נוספים ובחינת המידע וההשלמות שסופקו. כמו כן, ניתנו למשרד עורכי הדין מספר הנחיות לתיקון הליקויים שנמצאו.
ממצאי הפיקוח העלו, בין היתר, כי התוקף התקין והפעיל תוכנות זדוניות ברשת הארגונית במסגרת התקיפה. במועד האירוע, חלק מהשרתים ותחנות העבודה היו נעולים באמצעות משתמש מקומי, ובאמצעות הרצת תהליכי גניבת סיסמא מקומית, בוצעה כניסה לתחנות אלו. עוד נמצא, כי במועד האירוע על חלק מהשרתים הייתה מותקנת תוכנת TeamViewer המאפשרת התחברות מרחוק. תוכנה זו ידועה בחולשות האבטחה שלה, וקיימת המלצה לא לעשות בה שימוש, או לחלופין להסירה מיד לאחר השימוש.
הנחיות לתיקון הליקויים
הרשות קבעה כי באחריות המשרד לוודא כי הגישה למאגר המידע שברשותו נעשית בידי בעל הרשאה המורשה לכך בלבד. כמו כן, קבעה הרשות כי המשרד לא התקין אמצעי הגנה מתאימים מפני חדירה לא מורשית, טרם חיבר את מערכות המאגר שלו לרשת האינטרנט. בנוסף, קבעה הרשות כי משרד עורכי הדין לא התקין אמצעי אבטחה מקובלים לאבטחת נתוני הלקוחות מפני חדירה לא מורשית.
הרשות הדגישה כי משרדי עורכי דין, מעצם טיבם ועיסוקים מחזיקים במידע רב ורגיש. כמו כל בעלים או מחזיק של מאגר מידע, חלות עליהם חובות בקשר לאבטחת המידע שברשותם, בין אם המידע הוא שלהם עצמם, ובין אם של לקוחותיהם. חובה זו מקבלת משנה תוקף בשל חובתם של עורכי הדין לחיסיון כלפי לקוחותיהם. בהתאם נדרשים משרדי עורכי הדין לוודא כי הגישה למידע תהיה בידי בעל הרשאה בלבד. משרדי עורכי דין רבים מסתייעים בגורם חיצוני לצורך תחזוקת מערכות המחשוב במשרדם. עובדה זו כשלעצמה אינה פוטרת אותם מאחריותם לאבטחת המידע.
בנוסף, מדגישה הרשות, כי שימוש בתוכנות שיתוף (כגון TEAMVIEWR) טומן בחובו סיכוני אבטחת מידע. על בעל מאגר (או מחזיק), אשר עושה שימוש כאמור, לקחת בחשבון כי תוכנות אלו עשויות להוות פרצת אבטחה, אשר תעמיד בסיכון את המידע המוחזק על ידו.
בסיום ההליך קבעה הרשות, כי המשרד הפר את הוראות החוק והתקנות מכוחו וניתנו למשרד הנחיות לתיקון הליקויים שנתגלו.
__________________________________________________________