משרדי עורכי דין: חיסיון מקצועי בעידן הכופרה
משרד עו״ד מרכז את הסודות של מאות לקוחות, מחזיק כספי נאמנות — וכבול לחובת סודיות שהופכת כל איום הדלפה למנוף סחיטה. מה דורשים כלל 19 וגילוי דעת 1/22 של הלשכה, למה תיקי לקוחות הם מידע ברגישות מיוחדת לפי תיקון 13, איך עוצרים הונאת חשבון נאמנות בנוהל של עמוד אחד — ומה עושים עם המתח בין החיסיון לחובת הדיווח המיידי לרשות.
שבוע לפני השלמת עסקת מקרקעין, הלקוח מקבל מייל מכתובת אמיתית של עורכת הדין המטפלת: ״עדכון חשוב לקראת ההשלמה — פרטי חשבון הנאמנות התעדכנו, נא להעביר את יתרת התמורה לחשבון המעודכן״. הלוגו נכון, הסגנון מוכר, ההקשר מדויק עד רמת מספר התיק — כי המייל לא מזויף. הוא נשלח מתיבת המייל האמיתית של המשרד, שתוקף שקט יושב בה כבר שבועות וקורא הכול. הכסף יוצא לחשבון של התוקף, ובבוקר שאחרי מתחילות השאלות: מי נושא בנזק, מה עם ביטוח האחריות המקצועית — ומה בדיוק אומרים ללקוח.
התרחיש הזה הוא אחד משלושה שחוזרים על עצמם אצל משרדי עורכי דין. משרד עו״ד מרכז תחת קורת גג אחת את הסודות של מאות לקוחות, מחזיק כספי אחרים בנאמנות — וכבול לחובת סודיות שהופכת כל איום הדלפה למנוף סחיטה חזק במיוחד. במדריך הזה: שכבות החובה שחלות על משרד ישראלי, תרחישי התקיפה המרכזיים, ותוכנית עבודה שגם משרד של שלושה עורכי דין יכול ליישם.
החיסיון של עו״ד–לקוח מעוגן בסעיף 48 לפקודת הראיות ובסעיף 90 לחוק לשכת עורכי הדין: דברים ומסמכים שהוחלפו בין לקוח לעורך דינו בקשר לשירות המקצועי לא ייחשפו בהליך משפטי, בחקירה או בחיפוש. חובת הסודיות שבכלל 19 לכללי לשכת עורכי הדין (אתיקה מקצועית), התשמ״ו-1986, רחבה עוד יותר: עורך דין ישמור בסוד כל דבר שהובא לידיעתו בידי הלקוח או מטעמו תוך מילוי תפקידו. פרצת סייבר לא ״מבטלת״ את החיסיון — אבל היא עלולה לרוקן אותו מתוכן: סוד שפורסם ברשת לא חוזר להיות סוד.
למה דווקא משרדי עורכי דין? ארבע סיבות
- ריכוז סודות של רבים במקום אחד. פריצה לחברה חושפת את המידע שלה; פריצה למשרד עו״ד חושפת בבת אחת את תיקי כל הלקוחות — הסכמים, צוואות, תיקים פליליים, מידע רפואי מתיקי נזיקין.
- מידע עם שווי שוק מיידי. חומרי עסקאות M&A לפני חתימה, אסטרטגיית ליטיגציה, שווי תביעות והצעות פשרה — מידע שמעניין לא רק סוחטים אלא גם מתחרים וגורמים בשוק ההון.
- כסף זמין בתנועה. חשבונות נאמנות שמרכזים תשלומי עסקאות, ירושות ופיקדונות — עם הרגלי העברה בסכומים גדולים במייל, בדיוק התנאים שהונאות דיוג והתחזות אוהבות.
- מנוף סחיטה מובנה. אצל עסק רגיל, איום הדלפה הוא נזק תדמיתי; אצל משרד עו״ד הוא פוגע בלב החובה המקצועית — והתוקפים יודעים שזה מגדיל דרמטית את הלחץ לשלם.
הרקע הכללי לא מקל: לפי סיכום 2025 של מערך הסייבר הלאומי, התקבלו במוקד 119 כ-26,500 דיווחים על אירועי סייבר — זינוק של 55% לעומת 2024 — כשפישינג הוא סוג הדיווח הנפוץ ביותר עם כ-13,700 דיווחים. במקביל, נתוני Check Point מראים שארגון ישראלי ממוצע הותקף 1,881 פעמים בשבוע ב-2025, ודוח Verizon DBIR 2025 מצא כופרה ב-44% מהפרצות שנחקרו בעולם. משרד עורכי דין הוא בדיוק סוג הארגון שהמספרים האלה מתארים: עתיר מידע רגיש, דל משאבי IT.
שכבות החובה: מהחיסיון ועד תיקון 13
על משרד עורכי דין ישראלי חלות במקביל כמה מערכות דינים — וכולן נפגשות באותה נקודה: אבטחת המידע שבידי המשרד. בפברואר 2022 פרסמה לשכת עורכי הדין גילוי דעת בנושא אבטחת המידע המצוי בידי עורכי דין (גילוי דעת 1/22), שקבע רף מינימום ברור: שימוש בשירותי מייל חינמיים לקבלה ולשליחה של מידע לקוחות ייחשב לכאורה הפרה של חובת הסודיות. גילוי הדעת דורש, בין היתר, התאמת הכלים הטכנולוגיים לרגישות המידע, עדכוני תוכנה שוטפים וסיסמאות חזקות, גישה מרחוק מוצפנת, הדרכת אבטחת מידע לפחות אחת לשנתיים — והיערכות לאירוע סייבר, כולל גיבויים ויידוע לקוחות שמידע חסוי עליהם נחשף.
ומעל כל אלה — חוק הגנת הפרטיות. תיקי לקוחות הם מאגר מידע לכל דבר, ומאז כניסת תיקון 13 לחוק הגנת הפרטיות לתוקף ב-14.8.2025 המשמעות כבדה יותר: הגדרת ״מידע בעל רגישות מיוחדת״ כוללת במפורש עבר פלילי, מידע רפואי, מידע פיננסי, צנעת חיים ודעות — בדיוק סוגי המידע שממלאים תיקי ליטיגציה, משפחה, נזיקין ופלילים. מאגר כזה ממוקם ברוב המקרים לפחות ברמת האבטחה הבינונית לפי תקנות אבטחת מידע (איך קובעים את הרמה — מדריך נפרד), על כל החובות הנגזרות — כולל דיווח מיידי לרשות להגנת הפרטיות על אירוע אבטחה חמור. והסנקציות בהתאם: עיצומים כספיים על הפרות תקנות אבטחת מידע מגיעים עד 80,000 ש״ח במאגר ברמה בינונית ועד 320,000 ש״ח במאגר ברמה גבוהה, ולצדם תביעות אזרחיות ללא הוכחת נזק עד 10,000 ש״ח לנפגע.
| שכבת החובה | המקור | מה זה אומר כשיש פרצה |
|---|---|---|
| חיסיון עו״ד–לקוח | סעיף 48 לפקודת הראיות; סעיף 90 לחוק לשכת עורכי הדין | חומר חסוי שהודלף לא ניתן ל״החזרה״ — הנזק ללקוח ולתיק בלתי הפיך |
| חובת סודיות אתית | כלל 19 לכללי האתיקה; גילוי דעת 1/22 של הלשכה | אבטחה רשלנית (למשל מייל חינמי) עלולה להיבחן כהפרה גם במישור המשמעתי |
| חוק הגנת הפרטיות | תיקון 13 + תקנות אבטחת מידע, התשע״ז-2017 | דיווח מיידי לרשות על אירוע חמור; עיצומים עד מאות אלפי ש״ח; תביעות ללא הוכחת נזק |
| אחריות מקצועית | הסכם הייצוג ודיני הנזיקין | חשיפה לתביעות רשלנות ולשאלות כיסוי ביטוחי — במיוחד בהונאות העברת כספים |
שלושת התרחישים שחוזרים על עצמם
תרחיש 1: הונאת חשבון הנאמנות (BEC). זה התרחיש מהפתיחה, וריאציה משרדית של הונאת המנכ״ל והחלפת החשבונית: התוקף חודר לתיבת מייל של עורך דין או מזכירה — לרוב דרך פישינג וסיסמה ממוחזרת — ואז לא עושה כלום. הוא קורא, לומד את התיקים, מזהה עסקה שמתקרבת לתשלום, ובודק מי מעביר כסף למי. ברגע הנכון הוא שולח ״עדכון פרטי חשבון״ — ללקוח, למשרד שמנגד או לבנק. הכסף שיוצא ברוב המקרים לא חוזר.
תרחיש 2: כופרה עם איום הדלפה. מתקפת כופרה מודרנית כמעט תמיד כוללת גניבת מידע לפני ההצפנה: גם אם הגיבוי מצוין והמערכות חוזרות לעבוד, התוקף מחזיק עותק של התיקים ומאיים לפרסם. אצל משרד עו״ד זו לא ״עוד דליפה״ — זו קטסטרופת חיסיון: חומר של לקוחות שאינם צד לאירוע, אסטרטגיות ליטיגציה חיות, מסמכי עסקאות רגישות. ולצד זה — לפי Verizon, 64% מקורבנות הכופרה לא שילמו, ותשלום ממילא אינו מבטיח מחיקה של החומר הגנוב. ההגנה האמיתית היא למנוע את הגניבה, לא לקוות לחסדי הסוחט.
תרחיש 3: התחזות למשרד מול לקוחותיו. כאן התוקף בכלל לא חייב לפרוץ למשרד: מספיק דומיין דומה (משרד-כהן במקום משרד.כהן), לוגו מהאתר ונייר מכתבים משוחזר, כדי לשלוח ללקוחות ולצדדים לעסקה ״מכתב דרישת תשלום״ בשם המשרד. הלקוח משלם למי שהוא בטוח שהוא עורך הדין שלו — והמשרד מגלה זאת רק כשהתשלום האמיתי לא מגיע. גם בלי אשמה משפטית, הנזק לאמון כבר נעשה. הצמצום מתחיל מראש: מקבעים מול כל לקוח שפרטי החשבון לא משתנים במייל, לעולם.

תוכנית עבודה למשרד קטן — בלי מחלקת IT
מייל ואימות תשלומים: החזית הראשונה
המייל הוא מערכת ההפעלה של משרד עורכי דין, ולכן נקודת הכניסה המועדפת. הבסיס: מייל עסקי בדומיין המשרד (לא תיבות חינמיות — ראו גילוי דעת 1/22), אימות רב-שלבי (MFA) על כל תיבה בלי יוצא מן הכלל, וסיסמה ייחודית למייל. אבל טכנולוגיה לבדה לא עוצרת הונאת נאמנות — ההונאה מנצלת תהליך עבודה, לא פרצה טכנית. לכן הנכס החשוב ביותר הוא נוהל אימות תשלומים כתוב: פרטי חשבון נקבעים פעם אחת בפתיחת התיק ומאומתים בערוץ שני; כל בקשת שינוי חשודה כברירת מחדל; אימות קולי נעשה רק במספר ששמור בתיק מראש — לא במספר שבמייל הבקשה; ומעל סכום סף, עין שנייה של שותף.

הרשאות לפי תיק והצפנה
במשרדים רבים כל עובד — כולל מתמחים וצוות אדמיניסטרטיבי — רואה את כל התיקים. זה נוח, וזה גם אומר שפריצה לחשבון אחד חושפת את המשרד כולו. העיקרון הנדרש הוא Need-to-Know: הרשאות לפי תיק או מחלקה, כך שכל משתמש רואה רק את הדרוש לעבודתו. את זה משלימים בהצפנה: הצפנת דיסק מלאה על כל מחשב נייד (BitLocker/FileVault — כלול במערכת ההפעלה, בלי עלות) ונעילת מסך אוטומטית. מחשב נייד שנשכח במונית הוא אירוע אבטחה חמור — אלא אם הדיסק מוצפן, ואז הוא בעיקר הוצאה על חומרה.
ספקי ענן ותוכנת ניהול המשרד
תוכנת ניהול המשרד, אחסון הענן והמייל הם ״מחזיקים״ של מאגר המידע שלכם במונחי חוק הגנת הפרטיות — והאחריות כלפי הלקוחות והרשות נשארת אצלכם. שאלו כל ספק בכתב: האם יש הסכם עיבוד מידע (DPA) שמסדיר אבטחה, מחיקה ודיווח על אירועים? היכן המידע מאוחסן פיזית, והאם העברה לחו״ל עומדת בתקנות ההעברה? האם יש תמיכה ב-MFA ובהרשאות ברמת תיק? ומה תקבלו, ותוך כמה זמן, כשתבקשו לוגים אחרי אירוע? ספק רציני עונה בטופס מסודר; ספק שמתחמק — סימן אזהרה בפני עצמו.
תקשורת מאובטחת עם לקוחות — וגיבויים
הרגל נפוץ ומסוכן: שליחת תיק שלם — הסכם, צילומי ת״ז, דוחות רפואיים — כקבצים מצורפים במייל רגיל, לא מוצפנים. המייל נשאר בתיבות הצדדים לנצח, ונחשף כולו בכל פריצה לאחת מהן. החלופות פשוטות: קישור שיתוף מוגן סיסמה עם תוקף פג (קיים בכל פלטפורמות הענן העסקיות), פורטל לקוחות של תוכנת ניהול המשרד, ולכל הפחות קובץ מוצפן בסיסמה שנמסרת בערוץ אחר. ולצד אלה — גיבוי: שלושה עותקים, שני סוגי מדיה, עותק אחד מחוץ למשרד ומנותק לוגית, ובדיקת שחזור תקופתית. מול כופרה, הגיבוי הוא ההבדל בין השבתה של יום לבין משרד שמתחנן למפתח הצפנה.
פרצה במשרד: המתח בין החיסיון לחובת הדיווח
כאן נמצאת הדילמה הייחודית לענף. תקנות אבטחת מידע מחייבות מאגר ברמה בינונית או גבוהה לדווח לרשות להגנת הפרטיות על אירוע אבטחה חמור באופן מיידי — ותיקון 13 העמיד את אי-הדיווח במדרגת העיצומים הגבוהה ביותר של הפרות התקנות. מנגד, עורכי דין חוששים — בצדק — שדיווח על פרצה יחשוף מידע חסוי. בפועל המתח ניתן לניהול: הדיווח עוסק בנסיבות האירוע — מה נפרץ, אילו סוגי מידע, כמה נושאי מידע, אילו צעדים ננקטו — לא בתוכן החסוי. מדווחים על ״חשיפת תיקי לקוחות הכוללים מידע פלילי ורפואי״ בלי לצרף את התיקים. ובמקביל, גילוי דעת 1/22 מוסיף את החובה כלפי הלקוחות: לקוח שמידע חסוי עליו נחשף צריך לשמוע את זה מכם — לא מהעיתונות ולא מערוץ הטלגרם של קבוצת התקיפה.
ההחלטות בליל האירוע — לדווח, למי, מה לומר ללקוחות — הן החלטות משפטיות עם השלכות משמעתיות וביטוחיות, ואסור להשאיר אותן לספק ה-IT בלבד. קבעו מראש בנוהל: שותף אחראי אחד מרכז את הטיפול, והמשרד נועץ בעורך דין חיצוני שמלווה אירועי סייבר — כן, גם משרד עורכי דין צריך עורך דין. התייעצות שמתועדת נכון גם מסייעת לשמור על חיסיון עבודת הצוות המטפל באירוע עצמו.
צ׳קליסט לשבוע הקרוב
- מפו את המידע: אילו תיקים יושבים איפה — תוכנת ניהול, ענן, מייל, מחשבים אישיים — ומי ניגש למה.
- הפעילו MFA היום על המייל, תוכנת ניהול המשרד והאחסון בענן — לכל המשתמשים, כולל שותפים.
- כתבו נוהל אימות תשלומים של עמוד אחד (חמשת השלבים שבאינפוגרפיקה) — והודיעו ללקוחות הפעילים: פרטי החשבון שלנו לא משתנים במייל, לעולם.
- עברו לתיבות מייל עסקיות בדומיין המשרד אם עדיין יש תיבות חינמיות בשימוש מקצועי — דרישת מינימום של גילוי דעת 1/22.
- צמצמו הרשאות: בטלו גישת ״כולם לכול״ בתוכנת הניהול ובענן; הרשאות לפי תיק או מחלקה.
- הצפינו את כל המחשבים הניידים והגדירו נעילת מסך אוטומטית בכל עמדות העבודה.
- שלחו לספק תוכנת הניהול שאלון קצר: הסכם עיבוד מידע, מיקום אחסון, MFA, לוגים ודיווח על אירועים.
- ודאו גיבוי 3-2-1 עם עותק מנותק — ובדקו שחזור בפועל, לא רק שהגיבוי ״רץ״.
- קבעו נוהל אירוע של עמוד אחד: מי מנתק, מי מדווח לרשות ולמוקד 119, מי מיידע לקוחות — ומי עורך הדין החיצוני שמלווה.
- סגרו את מעגל העוזבים: עו״ד או מתמחה שעוזב — ביטול הרשאות ביום העזיבה, כולל גישה מרחוק, תוכנת הניהול ותיבות משותפות.
השורה התחתונה
משרד עורכי דין מוכר ללקוחותיו בדיוק את הדבר שמתקפת סייבר מאיימת עליו: היכולת לשמור סוד. החדשות הטובות — רוב הצעדים שמפרידים בין משרד חשוף למשרד מוגן אינם דורשים תקציב של פירמה גדולה: MFA, נוהל תשלומים כתוב, הרשאות לפי תיק, הצפנה, גיבוי מנותק ונוהל אירוע. מה שהם כן דורשים זה החלטה של השותפים שאבטחת מידע היא חלק מהחובה המקצועית — כי זה בדיוק מה שהיא, גם לפי לשכת עורכי הדין וגם לפי חוק הגנת הפרטיות.
Cybertis מלווה משרדי עורכי דין כגורם מקצועי חיצוני לאבטחת מידע ופרטיות: מיפוי מאגרים וקביעת רמת אבטחה לפי התקנות, התאמה לתיקון 13 ולגילוי דעת 1/22, נוהלי תשלומים ותגובה לאירוע — בהיקף שמתאים גם למשרד קטן. הפגישה הראשונה עלינו.
לשירות CISO חיצוני לעסק*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. החובות החלות על משרד ספציפי תלויות בסוגי המידע, בהיקפו ובנסיבות, ומחייבות בחינה פרטנית.*