מומחי סייבר מחלקים את העולם התאגידי-העסקי באופן גס לשניים: אלה שיודעים שפרצו להם ואלה שעדיין לא יודעים שפרצו להם. המסר ברור – אין הגנה של 100% מפני אירועי אבטחת מידע (אירועי סייבר) וכולם חשופים להתקפות.
לדוגמא, אל התאגיד הקמעונאי הענק Target בארצות הברית חדרו באמצעות ניצול הרשאת כניסה לרשת שניתנה לספק מזגנים. הפרדה פשוטה בין רשת תקשורת המזגנים של הארגון ובין רשת התקשורת הפנימית הייתה מונעת דליפה של כ-40 מליון מספרי כרטיסי אשראי, ואת גל התביעות שבא אחריה.
התקפות סייבר יכולות גם להיות מאוד מתוחכמות ולא צפויות. לאחרונה נחשף כי ארגון מרגלים דוברי רוסית בשם Epic Turla פרץ לתקשורת לוויינים וניצל אותה כדי להדביק מאות רבות של מחשבים ב-45 מדינות, לרבות מחשבים של ארגונים ממשלתיים, צבאיים, שגרירויות, מוסדות מחקר ועוד.
דרך פופולרית נוספת לתקוף את רשת המחשבים בארגון היא באמצעות Spear Phishing. שיטת התקפה זו עלולה להיות באמצעות מייל תמים למראה, אשר לכאורה נשלח מגורם אחד לגורם שני בתוך אותו ארגון, וכולל בתוכו לינק שכאשר לוחצים עליו פותח את הדלת לפורץ. מייל מסוג זה עלול אף לכלול מידע אישי או ארגוני נכון אשר נאסף ברשתות חברתיות או באמצעים אחרים ונועד להסיר חשדות של מקבל המייל. למשל בקשר עם תערוכה קרובה שמקבל המייל אמור להשתתף בה. דרך זו מאוד יעילה.
מי הם התוקפים הפוטנציאלים? האקרים הם לרוב התשובה הראשונה שעולה לראש, אך גם עובדים עשויים להוות סיכון אבטחה. עובד ממורמר עלול לפגוע בכוונה במערכות החברה, אך זדון אינו מרכיב הכרחי ולפעמים גם מבלי להתכוון עובד יכול להזיק למערכות המחשב על ידי הכנסת רכיב USB לא מורשה או דיסק שעליו נוזקה. מתחרים עסקיים גם הם עלולים להוות סיכון, ולהמחשה, רק לאחרונה נטען על ידי עובד של רשת מזון גדולה כי המעסיק שלו פרץ למאגרי נתונים של המתחרים. מי עוד? שותפים עסקיים, הקטיביסיסטים (שילוב של המילה Hack ו-Activist), טרוריסטים, מרגלים.
סייבר אינו רק בעיית IT – סייבר הוא סיכון כלל ארגוני, והמשמעות היא שההיערכות לסיכוני סייבר ברמת התאגיד אינה מסתיימת ברכישת תוכנות להגנה מפני התקפות או שדרוג תוכנת האנטי וירוס; ההיערכות מחייבת יצירת נהלים ותרבות ארגונית אשר צופה את פני הסיכון ונערכת להתמודד עמו.
כדי להתמודד עם איום הסייבר על התאגיד להשקיע זמן ניהולי ומשאבים על מנת לזהות את הנכסים הרגישים שלו, את האיומים הספציפיים הרלבנטיים אליו ולגבש תכנית היערכות לאירוע סייבר. בדומה לאופן בו חברות ציבוריות נדרשות להיערך לסיכון של זליגת מידע פנים, ולצעדים בהם נוקטות חברות היי-טק כדי לשמור על הקניין הרוחני שלהן, גם במקרה של התמודדות עם סיכוני סייבר הפתרון הוא שילוב של טכנולוגיה והיערכות משפטית–תאגידית נכונה.
בהיעדר הגנה הרמטית כנגד התקפות סייבר, אימוץ תכנית היערכות לאירועי סייבר תסייע לגדר את הסיכון ולצמצם את החשיפה של החברה ושל מנהליה להליכים משפטיים לאחר אירוע סייבר. הליכים משפטיים אלה, על אחת כמה וכמה בחברה ציבורית המחזיקה מידע פנים, הם צפויים וניתן להיערך אליהם בעוד מועד. תביעות יכולות להגיע מכיוון בעלי מניות (תביעה נגזרת), עובדים (כמו במקרה של Sony), שותפים עסקיים, לקוחות אשר נפגעו מהפריצה ועוד. בנוסף פריצת סייבר עלולה לזמן חקירה מצד שורה של גופים ממשלתיים ורגולטוריים.
הנהלת תאגיד אשר נערכת לסיכון של התרחשות אירוע סייבר ונקטה בפעולות הדרושות מראש, מקטינה הן את הסיכון להתממשות אירוע סייבר בארגון והן לטענות עתידיות כנגד הנהלת החברה.
זיו קינן הוא עורך דין בכיר במשרד קצנל דימנט, ומתמחה בדיני ניירות ערך, מימון וממשל תאגידי, וליווי שוטף של חברות טכנולוגיה.
פוסטים נוספים מאת זיו קינן כאן.
ziv@kdlaw.co.il +972.9.9500555 LinkedIn
שימו לב: אין לראות בפוסט זה ייעוץ משפטי או אחר, והוא אינו יוצר יחסי עורך דין-לקוח. אין להסתמך על תוכן זה, והוא לא נועד להוות שיקול לנקיטת פעולה או הימנעות מפעולה כלשהי.