על פי הודעת הרשות, ציינה הרשות כי הם ביצעו הליך פיקוח מנהלי בעקבות דיווח שהתקבל מהמשרד, ממנו עלה חשד לתקלה בשרתי המשרד ובמהלך הליך הפיקוח עלה כי בחלק ממחשבי ושרתי המשרד נמצאה נוזקה מסוג כופרה.
הרשות להגנת הפרטיות ביצעה הליך פיקוח מנהלי לבירור אירוע אבטחה חמור, כהגדרתו בתקנות הגנת הפרטיות, שהתרחש במשרד עו”ד אליהו מלך ושות’.
עם זיהוי התקלה, החל צוות מחברת “בינת תקשורת מחשבים בע”מ”, חברה המתחזקת את מערכת השרתים של המשרד, בבחינת התקלה, ולאחר תחקיר נמצא, כי המקור הוא ניזוקה מסוג וירוס כופר.
בעקבות הדיווח על האירוע, ביצעה הרשות להגנת הפרטיות פעולות פיקוח שונות אשר כללו, בין היתר, קבלת מידע ראשוני ממשרד עורכי הדין לגבי האירוע ואופן הטיפול בו, פניה בדרישה לקבלת מידע ומסמכים נוספים ובחינת המידע וההשלמות שסופקו. כמו כן, ניתנו למשרד עורכי הדין מספר הנחיות לתיקון הליקויים שנמצאו.
ממצאי הפיקוח העלו, בין היתר, כי התוקף התקין והפעיל תוכנות זדוניות ברשת הארגונית במסגרת התקיפה, כאשר במועד האירוע, חלק מהשרתים ותחנות העבודה היו נעולים באמצעות משתמש מקומי ובאמצעות הרצת תהליכי גניבת סיסמא מקומית, בוצעה כניסה לתחנות אלו.
עוד נמצא לדברי הרשות להגנת הפרטיות, כי במועד האירוע על חלק מהשרתים הייתה מותקנת תוכנת TeamViewer המאפשרת התחברות מרחוק, תוכנה זו ידועה בחולשות האבטחה שלה וקיימת המלצה לא לעשות בה שימוש או לחלופין להסירה מיד לאחר השימוש.
הרשות קבעה כי באחריות המשרד לוודא כי הגישה למאגר המידע שברשותו נעשית בידי בעל הרשאה המורשה לכך בלבד, כמו כן, קבעה הרשות כי המשרד לא התקין אמצעי הגנה מתאימים מפני חדירה לא מורשית, טרם חיבר את מערכות המאגר שלו לרשת האינטרנט.
בנוסף, קבעה הרשות כי משרד עורכי הדין לא התקין אמצעי אבטחה מקובלים לאבטחת נתוני הלקוחות מפני חדירה לא מורשית.
מהרשות להגנת הפרטיות נמסר: “הרשות מדגישה כי משרדי עורכי דין, מעצם טיבם ועיסוקים מחזיקים במידע רב ורגיש.
כמו כל בעלים או מחזיק של מאגר מידע, חלות עליהם חובות בקשר לאבטחת המידע שברשותם, בין אם המידע הוא שלהם עצמם ובין אם של לקוחותיהם, חובה זו מקבלת משנה תוקף בשל חובתם של עורכי הדין לחיסיון כלפי לקוחותיהם.
בהתאם נדרשים משרדי עורכי הדין לוודא כי הגישה למידע תהיה בידי בעל הרשאה בלבד.
משרדי עורכי דין רבים מסתייעים בגורם חיצוני לצורך תחזוקת מערכות המחשוב במשרדם, עובדה זו כשלעצמה אינה פוטרת אותם מאחריותם לאבטחת המידע.
שימוש בתוכנות שיתוף, כגון TEAMVIEWR, טומן בחובו סיכוני אבטחת מידע. על בעל מאגר או מחזיק, אשר עושה שימוש כאמור, לקחת בחשבון כי תוכנות אלו עשויות להוות פרצת אבטחה, אשר תעמיד בסיכון את המידע המוחזק על ידו.
בסיום ההליך קבעה הרשות, כי המשרד הפר את הוראות החוק והתקנות מכוחו וניתנו למשרד הנחיות לתיקון הליקויים שנתגלו.
הרשות מבקשת לציין לטובה את שיתוף הפעולה של המשרד ואת הפעולות שנקט ממועד הדיווח על האירוע לשם אבטחת המידע המצוי ברשותו ולמניעת הישנות מקרים דומים בעתיד”.
ממשרד עורכי הדין, עו”ד אליהו מלך ושות’, נמסר בתגובה לפניית חדשות NWS: “בראש ובראשונה חשוב להדגיש כי מדובר באירוע משנת 2019, אשר דווח על ידנו ומיוזמתנו מיד לכשהתגלתה התקלה שהתבררה בהמשך כהחדרת וירוס כופר לחלק ממחשבי המשרד.
האירוע טופל על ידנו מיד ובמקביל לדיווח לרשות, תוך הפעלת מיטב הכוחות המקצועיים והמומחים העוסקים בתחום, בעלויות כספיות כבדות למשרדנו.
אמצעי הגנה שברשותנו ופעילותנו המיידית, המקיפה והמקצועית כנ”ל, אשר זכתה לתשבחות גם מהרשות להגנת הפרטיות (אשר לצערנו מצאה לנכון לציין זאת רק בסוף ובשולי ההודעה הארוכה שפרסמה),
גרמו לכך שהאירוע הסתיים מבלי שנגרם כל נזק לציבור ו/או לצד שלישי כלשהו ומבלי שזלג פריט מידע כלשהו מהמערכת החוצה.
כאמור, האירוע משנת 2019 הסתיים זמן קצר לאחר התרחשותו ללא כל נזק וללא זליגת מידע כנ”ל, תוך שיתוף פעולה מלא ואקטיבי מצדנו עם הרשות והנחיותיה – משלב גילוי התקלה ועד לשלב תיקונה המלא והעמדתה על רמת אבטחה גבוהה ביותר,
שלדעת מומחים מובילים בתחום, הינה יוצאת דופן באיכותה, ככל שמדובר במגזר הפרטי”.
