מנהלים נוטים להעריך סיכוני סייבר באותו אופן שבו הם מעריכים סיכונים אחרים לתאגיד – על פי תוחלת היחס בין הנזק הפוטנציאלי שיגרם לחברה ובין הסיכוי להתממשות הסיכון. שימוש בנוסחה זו ביחס לאירועי סייבר הוא מאוד מאתגר ולעיתים מוטה.
“חכמת המלחמה מלמדת אותנו שלא לסמוך על האפשרות שלא יבוא האויב, אלא על כוננותנו לקדם פניו; שלא לסמוך על הסיכוי שלא יתקיף, אלא על העובדה שאנו עשינו את עמדתנו בלתי נכבשת”.
– סון טסו (孫子), אומנות המלחמה (孫子兵法)
לפרוץ זה משתלם. יחס העלות תועלת של ביצוע התקפת סייבר גדל בשנים האחרונות. ניתן לרכוש כלים לביצוע התקפות סייבר מהמדף בעלות נמוכה והרווח מכל התקפה נותר גבוה. כבר בשנת 2013 דווח על כך שרווחי פשעי הסייבר עולים על הרווחים מסחר בסמים.
הפריצות הופכות להיות מתוחכמות. תאגידים חשופים להתקפות סייבר מתוחכמות אשר פעמים רבות גוברות על ההגנות המקובלות. בהתאם, תאגידים נדרשים להשקעה גוברת בכלי הגנה. לעיתים העלות הכרוכה ברכישת אותם כלי הגנה עשויה להיות מאוד מכבידה ואף לא כדאית.
הטיית הגודל. תאגידים עשויים להעריך באופן מוטעה את האטרקטיביות שלהם עבור פצחנים (האקרים). בנקים, חברות כרטיסי אשראי, ותשתיות הם יעדים ידועים עבור האקרים ובהתאם נוהגים ארגונים אלו להשקיע משאבים רבים על מנת להתגונן מפני התקפות סייבר. יחד עם זאת, גם חברות קטנות הן יעד אטרקטיבי להאקרים. לדוגמא האקר עשוי לפרוץ לחברה קטנה על מנת להגיע לחברה גדולה יותר (חשבו למשל על חברה שמספקת שירותים למוסדות פיננסים, לבנק או לבורסה). כמו כן מטרת הפריצה עלולה להיות גילוי מידע עסקי או מידע אחר.
האקרים עלולים לנסות גם לחטוף מחשבים ולדרוש כופר עבור פתיחתם מחדש.
חברות ציבוריות עשויות להיות יעד אטרקטיבי להאקרים ללא קשר לגודלן בשל המידע פנים שהן מחזיקות.
למרות האמור לעיל, תאגידים בינוניים וקטנים עדיין עשויים להעריך את הסיכוי לאירוע סייבר כנמוך עבורן מה שהופך אותם באופן טבעי למועמדים להתקפת סייבר.
“אם תשלח תגבורת לכל מקום תהיה חלש בכל מקום”.
– סון טסו (孫子), אומנות המלחמה (孫子兵法)
הנזקים הישירים. אירוע סייבר עלול לגרום לתאגידים מגוון של נזקים ישירים ובהם: אובדן או גניבה של נכסי קניין רוחני, גניבה של מאגרי מידע סודיים, הרס או שיבוש מידע, פגיעה באמון, פגיעה בתשתיות קריטיות וסנקציות על ידי הרגולטור.
הנזקים העקיפים. יחד עם זאת, ההשפעה האפשרית של אירוע סייבר חורגת בהרבה מהמסגרת של הנזקים הישירים, וכוללת גם פגיעה במוניטין, במחיר המניה ושווי התאגיד וסיכונים משפטיים עקיפים. לדוגמא, התקפות סייבר בעלות פרופיל גבוה עשויות להוליד גל תביעות ובהן תביעות נגזרות בטענה שהדירקטוריון הזניח את חובות האמון והזהירות שלו.
למעשה, הסיכונים המשפטיים כל כך מגוונים ולא צפויים בהיקפם שקשה לאמוד אותם. לדוגמא, בחודש נובמבר 2014 קבוצת האקרים בשם “שומרי השלום” הדליפה מאגר מידע סודי שיהיה שייך לענקית הסרטים סוני. מאגר המידע כלל מידע אישי אודות אלפי עובדי סוני, התכתבויות דוא”ל בין עובדים, מידע לגבי משכורות ובונוסים לעובדים וכן מספר סרטים שטרם פורסמו בשעתו.
בעקבות דליפת המאגר הגישו עובדי סוני תביעה כנגדה. התביעה הסתיימה בפשרה של כ-8 מיליון דולר, אך בכך לא תמו הצרות המשפטיות של סוני. מן הפרטים שדלפו עלה למשל שבין מקבלי השכר הגבוה ביותר יש רוב מוחץ של גברים לבנים. הכוכבת ג’ניפר לורנס גילתה באמצעות תכתובות המייל שדלפו כי נהגו לשלם לה באופן מהותי פחות מאשר כוכבים גברים עמם שיחקה בסרטים, מידע זה תמך בטענות להפליה על רקע מגדרי ולכן הצית חקירה של ה- FBI.
בנוסף דלף מידע סודי אודות הסכמים ועסקאות שחתמה סוני תחת הסכם סודיות (NDA). הסכמי סודיות סטנדרטים אלו כוללים לרוב פסקה המחייבת לנקוט באמצעים סבירים כדי להגן על המידע הסודי. אם דירקטוריון סוני לא נקט את האמצעים הסבירים להתגונן מפני התקפת סייבר עשויה לקום עילת תביעה לצדדים שעמם התקשרה ב-NDA.
דליפת המידע בסוני היא דוגמא מצוינת לאופן הבלתי צפוי של ההשלכות המשפטיות של אירועי סייבר.
חשוב לציין כי כאשר מדובר בחברה ציבורית נסחרת ההשלכות המשפטיות עשויות להיות רחבות עוד יותר זאת מכיוון שחברות ציבוריות מחויבת בחובות דיווח אודות אירועים מהותיים. כל אירוע סייבר מעלה שאלות בנוגע לחובות הדיווח ובעיקר האם לדווח, מתי לדווח,ומה לכלול בדיווח.
למרות ההתפתחות המטאורית של תעשיית הסייבר בישראל בכל הנוגע לרגולציה ישראל עדיין מפגרת ביחס לארה”ב. הצעת חוק שהונחה על שולחן הכנסת כבר שלוש פעמים והעוסקת בחובות שיש להטיל על גורם שמאגר המידע שלו נפרץ טרם עברה.
בהעדר חקיקה פועלים הרגולטורים להסדיר את חובות הגופים המפוקחים במסגרת חוזרים מחייבים.
ביום 11 באוקטובר אגף שוק ההון ביטוח וחסכון במשרד האוצר פרסם טיוטת חוזר ניהול סיכוני אבטחת מידע בגופים מוסדיים. מדובר ברשימה ארוכה של משימות לביצוע ואולי מכאן חסרונה. נכון למועד זה טרם פורסם נוסח סופי של הטיוטא ולהבנתי בקרוב צפוי להתפרסם חוזר מעודכן ומתוקן.
בחודש ספטמבר נכנס לתוקפו חוזר המפקח על הבנקים בבנק ישראל שעניינו” ניהול הגנת הסייבר”(נב”ת361) החוזר חל על התאגידים הבנקאיים וחברות כרטיסי האשראי ומפרט את הדרישות הנוגעות לקיום תהליך אפקטיבי לזיהוי והערכת סיכוני סייבר. החוזר מטיל אחריות על הנהלות של גופים מפוקחים.
הרגולטורים מטילים האחריות על מדיניות הסייבר על הנהלות תאגידים ודורשים מהן לקבל החלטות בנושאים טכנולוגיים מורכבים. מסביר על כך אלי זילברמן כספי שותף בחברת קונפידס המתמחה בייעוץ בתחום הסייבר:
“בעיית הסייבר לא יכולה עוד להישאר בעייתו של מנהל אבטחת המידע או מנהל הגנת הסייבר. מנהלים בכירים ודירקטורים צריכים להיות חלק מעיצוב אסטרטגיית הגנת הסייבר. אנו רואים את השינוי בגישה גם בהתייחסות הפיקוח על הבנקים המציין בהוראתו האחרונה בנושא הגנת הסייבר (נב“ת 361) הדורש מהדירקטוריון בין היתר, להתוות את אסטרטגיית הגנת הסייבר ומההנהלה הבכירה לגבש את מדיניות הגנת הסייבר התאגידית.
נשמע יפה אך בפועל יש פער ידע טכנולוגי בין קברניטי הארגון לבין שורש בעיית הסייבר, האופן שבו אנו בונים את הגשר הנחוץ כדי לחבר בין העולם העסקי לעולם הטכנולוגי הוא באמצעות תהליך “איום הייחוס” שמטרתו לזהות את הפערים בהלימה בין האסטרטגיה העסקית ופעולות להגנת הסייבר. היופי בתהליך היא ההזדמנות לקיום שיח מאד רחב עם הארגון הכולל גם את הפן המשפטי, האסטרטגי, הארגוני, הביטוח וגם הטכנולוגי. התהליך עושה ללקוח לא רק סדר אלה גם מגייס את כל הארגון לנושא הגנת הסייבר ובמיוחד את מקבלי ההחלטות.“
ישנו קושי להעריך את תוחלת הנזק בכל הקשור לאירועי סייבר. מלבד לנזקים הישירים, מתלווים גם נזקים משפטיים משניים. הבשורה הטובה היא כי ישנם דרכים פשוטות יחסית שבהן יכול התאגיד לנקוט כדי להקטין את החשיפה לאירוע סייבר ובכלל זה את החשיפה המשפטית.
מבחינת החשש מפני הליכים משפטיים ובכלל זה תביעה נגזרת, נושאי המשרה ימזערו את החשיפה להליכים אלו אם ינקטו במדיניות של גיבוש תכנית הגנה אפקטיבית מפני אירועי סייבר ויפקחו על ביצועה. בכך יניח הדירקטוריון את היסוד הראיתי להפעלת טענת ההגנה בדבר “כלל שיקול הדעת העסקי” ואי תחולת החריג לפטור מחובת זהירות.
בפן המעשי הדירקטוריון יכול לנקוט במספר צעדים נוספים ובהם: (א) הקדשת ישיבות דירקטוריון לדיון בסכנות הסייבר של התאגיד וזיהוי הנכסים הרגישים של התאגיד; (ב) הנחיית הנהלת החברה לאמץ תכנית הגנה אפקטיבית מפני אירועי סייבר וניתור התקדמותה; (ג) הקדשת משאבים נדרשים לתכנית הגנת הסייבר של התאגיד. חשוב כי צעדים אלו יהיו מתועדים באופן מפורט בפרוטוקולים של הדירקטוריון וועדותיו.
חשוב כי הליך זה ילווה ביועצים מתאימים בתחום הסייבר, המשפט והממשל התאגידי.
זיו קינן הוא עורך דין בכיר במשרד קצנל דימנט, ומתמחה בדיני ניירות ערך, מימון וממשל תאגידי, וליווי שוטף של חברות טכנולוגיה.
פוסטים נוספים של זיו כאן.
ziv@kdlaw.co.il +972.9.9500555 LinkedIn
שימו לב: אין לראות בפוסט זה ייעוץ משפטי או אחר, והוא אינו יוצר יחסי עורך דין-לקוח. אין להסתמך על תוכן זה, והוא לא נועד להוות שיקול לנקיטת פעולה או הימנעות מפעולה כלשהי.