מנהלי רשתות ואבטחת מידע חשופים יותר לתביעות

פסק דין בארה"ב, שהרשיע את מנהל אבטחת המידע לשעבר של אובר בשיבוש הליכי משפט והסתרת מידע על פשע פדרלי מציף את העובדה, כי מנהלי רשתות ואבטחת מידע אינם מוגנים כראוי בחוק

עו"ד עידן בן-יעקב.

לפני כשבועיים ניתן בארה"ב פסק דין שעסק באחריות מנהלי הרשתות ואבטחת המידע על הרשתות שבאחריותם. פסק הדין עסק במקרה של ג'וזף סאליבן, לשעבר מנהל אבטחת המידע של אובר. בית המשפט הרשיע אותו בשיבוש הליכי משפט והסתרת מידע על פשע פדרלי.

הרקע להרשעה היה אירוע הפריצה לשרתי חברת אובר בשנת 2016, שבמסגרתה נגנבו פרטיהם של מיליוני נהגים ועשרות מיליוני משתמשים. על פי פסק הדין, הוא הורשע בכך שהסתיר את היקף הפריצה ואת חומרתה, בדגש על הסתרה מפני הרגולטורים הרלוונטיים. גזר דינו טרם פורסם, אך לפי סעיפי האישום שבהם הורשע צפוי לו עונש כבד. מדובר בהחלטה תקדימית, יחסית, המטילה את האשם על מנהל הרשת ואבטחת המידע ולאו דווקא על מנהליו, שידעו על הפריצה, אך ביקשו להסתיר אותה.

המשמעות המיידית כתוצאה מגזר הדין, עוד לפני שנקצב עונשו של סאליבן, היא העובדה, שמנהלי רשתות ואבטחת מידע (CSO – Chief Security Officer ו/או מקביליהם) ייאלצו לנקוט צעדים על מנת להגן על עצמם מפני האשמות והרשעות מסוג זה, לרבות בדרך של "בחירת" הפעולות שיינקטו כדי לגדר את הסיכונים ה"אישיים" כאמור, שהפסיקה והחוק מטילים עליהם. צריך להבין ולתת את הדעת, כי "הצרת" צעדי ה-CSO באי מתן הגנה הולמת בין אחריות ה-CSO בארגון לכלים שעומדים לרשותו עלולה דווקא לפגוע בארגון ולא להיטיב איתו.

כיום, ישנם מקצועות בכירים מעטים אשר אינם "כפופים" ישירות למנכ"ל או למנהל העסק. בהם, ואולי המוכר ביותר, הוא מבקר הפנים של החברה (היכן שקיים) וכו' – תפקידים אשר מעצם טבעם דורשים עצמאות גדולה יותר מאשר מנהל רכש, לדוגמה. בהקשר אליהם יש התייחסות משפטית, הגנות בחוק במקרה של פיטורים, סמכויות נרחבות, יחס שונה מהסביבה והכשרה אחרת, מעצם תפקידם. אך ה-CSO אינם כאלה.

כיום, CSO אשר "ייצא החוצה" לתקשורת או לרגולטור כזה או אחר וידווח על פריצה/דליפת מידע רגיש שהתרחשה תחת אחריותו מסתכן בפיטורים מיידיים ואף באחריות אישית "מוגזמת" במקרים מסוימים. אין עליו הגנת "חושף שחיתות" או הגנה אחרת. רק "טוב ליבו וסבלנותו" של בעלי העסק, שלא יפטר אותו (בנטרול, כמובן, השפעות חיצוניות של התקשורת/ציבור המשקיעים, אשר בתורם יכולים להפעיל לחץ על החברה לפעול בצורה מסוימת). נכון שגם על סמנכ"ל הכספים אין הגנה מצד החוק – אך בפועל, כל עוד יעשה את תפקידו (לרבות דיווחים מיידיים לבורסה כשנדרש) לא סביר כי יאונה לו כל רע. תפקיד ה-CSO נחשב לחדש יותר, ולכן ההתייחסות, הן המשפטית והן מבחינת החברה והמעסיק, שונה.

טוב יעשה המחוקק אם לא רק יחייב את ה-CSO (או מקביליהם) לדווח על תקלות, אלא גם ידאג להגן עליהם מבחינת החוק כראוי.

 

הכותב הוא ממשרד עו"ד בן-יעקב, המתמחה בנדל"ן, סייבר וניהול הון משפחתי.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים