מנהלי רשתות ואבטחת מידע חשופים יותר לתביעות

לפני כשבועיים ניתן בארה"ב פסק דין שעסק באחריות מנהלי הרשתות ואבטחת המידע על הרשתות שבאחריותם. פסק הדין עסק במקרה של ג'וזף סאליבן, לשעבר מנהל אבטחת המידע של אובר. בית המשפט הרשיע אותו בשיבוש הליכי משפט והסתרת מידע על פשע פדרלי.

הרקע להרשעה היה אירוע הפריצה לשרתי חברת אובר בשנת 2016, שבמסגרתה נגנבו פרטיהם של מיליוני נהגים ועשרות מיליוני משתמשים. על פי פסק הדין, הוא הורשע בכך שהסתיר את היקף הפריצה ואת חומרתה, בדגש על הסתרה מפני הרגולטורים הרלוונטיים. גזר דינו טרם פורסם, אך לפי סעיפי האישום שבהם הורשע צפוי לו עונש כבד. מדובר בהחלטה תקדימית, יחסית, המטילה את האשם על מנהל הרשת ואבטחת המידע ולאו דווקא על מנהליו, שידעו על הפריצה, אך ביקשו להסתיר אותה.

המשמעות המיידית כתוצאה מגזר הדין, עוד לפני שנקצב עונשו של סאליבן, היא העובדה, שמנהלי רשתות ואבטחת מידע (CSO – Chief Security Officer ו/או מקביליהם) ייאלצו לנקוט צעדים על מנת להגן על עצמם מפני האשמות והרשעות מסוג זה, לרבות בדרך של "בחירת" הפעולות שיינקטו כדי לגדר את הסיכונים ה"אישיים" כאמור, שהפסיקה והחוק מטילים עליהם. צריך להבין ולתת את הדעת, כי "הצרת" צעדי ה-CSO באי מתן הגנה הולמת בין אחריות ה-CSO בארגון לכלים שעומדים לרשותו עלולה דווקא לפגוע בארגון ולא להיטיב איתו.

כיום, ישנם מקצועות בכירים מעטים אשר אינם "כפופים" ישירות למנכ"ל או למנהל העסק. בהם, ואולי המוכר ביותר, הוא מבקר הפנים של החברה (היכן שקיים) וכו' – תפקידים אשר מעצם טבעם דורשים עצמאות גדולה יותר מאשר מנהל רכש, לדוגמה. בהקשר אליהם יש התייחסות משפטית, הגנות בחוק במקרה של פיטורים, סמכויות נרחבות, יחס שונה מהסביבה והכשרה אחרת, מעצם תפקידם. אך ה-CSO אינם כאלה.

כיום, CSO אשר "ייצא החוצה" לתקשורת או לרגולטור כזה או אחר וידווח על פריצה/דליפת מידע רגיש שהתרחשה תחת אחריותו מסתכן בפיטורים מיידיים ואף באחריות אישית "מוגזמת" במקרים מסוימים. אין עליו הגנת "חושף שחיתות" או הגנה אחרת. רק "טוב ליבו וסבלנותו" של בעלי העסק, שלא יפטר אותו (בנטרול, כמובן, השפעות חיצוניות של התקשורת/ציבור המשקיעים, אשר בתורם יכולים להפעיל לחץ על החברה לפעול בצורה מסוימת). נכון שגם על סמנכ"ל הכספים אין הגנה מצד החוק – אך בפועל, כל עוד יעשה את תפקידו (לרבות דיווחים מיידיים לבורסה כשנדרש) לא סביר כי יאונה לו כל רע. תפקיד ה-CSO נחשב לחדש יותר, ולכן ההתייחסות, הן המשפטית והן מבחינת החברה והמעסיק, שונה.

טוב יעשה המחוקק אם לא רק יחייב את ה-CSO (או מקביליהם) לדווח על תקלות, אלא גם ידאג להגן עליהם מבחינת החוק כראוי.

הכותב הוא ממשרד עו"ד בן-יעקב, המתמחה בנדל"ן, סייבר וניהול הון משפחתי.