פשיעת סייבר מוכרת כאחד האיומים המשמעותיים ביותר על שווקים פיננסיים בעולם. תקיפות סייבר עלולות לפגוע במגוון שירותים וגופים כגון גופים המספקים שירותי מסחר; גורמי תשתית כגון הבורסה וכמו מסלקות ותאגידים שכספי הציבור מושקעים בהם. אמון הציבור בשוק ההון עשוי להיפגע בצורה ממשית אם פשיעת סייבר תיצור יתרון בלתי הוגן לשחקנים מסוימים בשוק, תספק להם מידע עודף, או תשבש את תמונת המסחר בבורסה ומנגנון קביעת המחירים בה.
אירוע סייבר עשוי גורר גם לעלויות משמעותיות, ישירות ועקיפות. העלויות הישירות כוללות את הטיפול באירוע עצמו והנזק העקיף כולל פגיעה במוניטין, פגיעה באמון הלקוחות והספקים של התאגיד, העלאת פרמיות ביטוח סייבר, ועוד. יתרה מכך, בשל אופיים האסטרטגי של סיכוני סייבר, נושאי תפקיד בכירים בארגונים נושאים אחריות אישית על מניעה, טיפול ודיווח הקשור לסיכונים אלה ורשויות ניירות ערך, בארץ ובעולם, פועלות לחידוד ולעדכון תפקיד הדירקטוריון בניהול סיכון זה.
מה קורה בעולם?
ארה"ב לדוגמא, היא אחת המדינות המתקדמות מבחינת אכיפה של אחריות הדירקטוריון למתקפות סייבר. הדירקטורים בארה"ב פועלים תחת שורה של חוקים מדינתיים ופדרליים ובהם תקנות רשות ניירות הערך האמריקאית ( ,(SECחוק סרבנס-אוקסלי (SOX), חוק ניהול אבטחת מידע פדרלי (FISMA) ועוד. תקנות אלו חושפות את הדירקטורים לתביעות מצד שורה של גורמים החל מוועדת הסחר הפדרלית, רשות ניירות הערך האמריקאית, משרד המשפטים, פרקליטות המדינה ועד האנשים או החברות שנתוניהם הופרו.
בהנחייתו הראשונית לשנת 2011 בנוגע לסיכוני אבטחת סייבר וחובות גילוי בנוגע לאירועי סייבר, דרש ה-SEC מהחברות להעריך ליקויים פוטנציאליים בבקרות הגילוי והנהלים שלהן בנוגע להתקפות סייבר. בשנת 2018 עדכן ה-SEC הנחיות אלה, בין השאר, על מנת להדגיש את החשיבות של שמירה על מדיניות ונהלים מקיפים הקשורים לסיכונים ואירועי סייבר וכדי להבטיח שמידע רלוונטי אודות סיכוני ואירועי סייבר ידווחו במעלה הסולם התאגידי על מנת לאפשר להנהלה להיות חשופה באופן מלא למתרחש.
אחד העיצומים הכספיים הבולטים שהטילה לאחרונה ה-SEC הינו על American First Financial Corporation (FAFC) בגין חוסר גילוי נאות ובקרה יעילה של סיכוני סייבר. FAFC, המספקת פוליסות ביטוח על נכסי נדל"ן, סבלה במאי 2019 מדליפת מידע בהיקף של 800 מיליון מסמכים רגישים הקשורים לעסקאות אלה.
ה-SEC הגיע למסקנה כי למנהלים הבכירים ב-FAFC לא היה את המידע הדרוש להערכת הסיכון הנובע מפגיעות אפליקציית האינטרנט של החברה. הוא קבע כי על גופים לדאוג שמידע חשוב למשקיעים ידווח במעלה הסולם התאגידי לאחראים לגילויים.
האכיפה שהפעילה ה-SEC על FAFC נעשתה בשיתוף NYSDFS, הסוכנות הממשלתית האחראית להסדרת תעשיות השירותים הפיננסיים בניו יורק, כולל בנקים, חברות ביטוח ושירותי הלוואות משכנתא.NYSDFS פרסמה תקנות אבטחת סייבר מפורטות, שנכנסו לתוקף במלואן במארס 2019. התקנות כוללות הוראות למערכות לניהול סיכוני אבטחת סייבר מינימליים, אך מקיפים, תוכנית התגובה לאירוע, ערכת בדיקות חדירה שנתיות, דיווחים שנתיים ועוד. ביולי 2020 הכריזה NYSDFS על עונש של עד 1,000 דולר לכל הפרה של FAFC, חשבון הוצאות משפטיות שאף חברה לא רוצה לעשות או אפילו לכלול בתכנית ניהול הסיכונים העתידיים שלה.
מה קורה בישראל?
האירועים האחרונים בהם התקיימו תקיפות סייבר חמורות על חברות ביטוח וארגוני בריאות מעלה שוב את נושא מוכנות הארגונים להתמודדות עם אירועי סייבר, ובפרט את אחריות הדירקטוריונים לטיפול בסיכונים אלה.
חוק החברות מטיל אחריות אישית על מנהלים בחברה במידה ולא נקטו בצעדים בכדי למנוע נזק, אשר ניתן היה לצפות שיקרה. כך, למשל, בהקשר של התקפות סייבר, כאשר מנהל בחברה ידע, כי מידע על לקוחות החברה חשוף לגורמים עוינים, אך לא ננקטו על ידו פעולות סבירות שעשויות היו למנוע את חשיפת המידע, עלול אותו מנהל לשאת באחריות אישית על כך.
אחריות זו עלולה לחשוף כל אחד מנושאי המשרה לתביעה אישית במהלך הניהול השוטף של החברה, כמו גם בגין אירועים ספציפיים. החל ממצג שווא בהודעה לבורסה או אי פרסום אזהרת רווח ועד לתביעות הנובעות ממסגרת יחסי העבודה, חקירות מטעם רשויות ועוד.
בנוסף חלות על כל נושא משרה חובות גם כלפי מגוון רחב של תובעים פוטנציאליים כגון התאגיד עצמו, בעלי מניות, עובדים, ספקים, לקוחות, שכנים לעסק, בנקים וספקי אשראי, הרשות לניירות ערך, מס הכנסה, המשרד לאיכות הסביבה, הממונה על ההגבלים העסקיים ועוד.
עשרת הדיברות להתמודדות חברי דירקטוריון עם איומי סייבר
עכשיו, כשברור ללא כל ספק כי הפיקוח על סיכון הסייבר הוא חלק מתפקידו של כל אחד ואחד מחברי הדירקטוריון, על הדירקטוריונים לנקוט בצעדים מעשיים.
להלן ההמלצות המובילות שלנו לצמצום האחריות האישית בגין אירוע סייבר:
- חברי הדירקטוריון חייבים לבדוק ולהבין את התקנות, החוקים, ההנחיות והשיטות המקובלות לניהול סיכוני סייבר.
- וודאו כי הארגון שלכם מבצע באופן קבוע הערכות סיכון סייבר עצמאיות.
- ודאו שיש לכם תהליכים, נהלים ובקרות אפקטיביים להתמודד ולפקח על סיכוני הסייבר.
- וודאו שמסגרת אבטחת המידע של הארגון מוגדרת היטב, כולל שמירה על פרטיות הנתונים ומדיניות האבטחה. אלה צריכים להיות מותאמים לעסק שלך ועליהם להיות מוטמעים בקרב העובדים באמצעות הכשרה קבועה ותכופה.
- יש לוודא כי מוגדר היטב בעל אחריות בעל כישורים מתאימים בנושאי אבטחת הסייבר.
- התייעצו עם מומחי אבטחת המידע והסייבר כדי להבין את המדיניות והשיטות בהן הם נוקטים ולגלות כיצד הם מנהלים את השגרות השוטפות כדי לחשוף בעיות פוטנציאליות ופערים בולטים.
- וודאו שלפחות אחד מחברי הדירקטוריון בעל הבנה טכנית ברמה מספקת כדי להוביל דיונים ולשאול שאלות עומק בנושא אבטחת סייבר.
- שלבו נושאי אבטחת סייבר במהלך דיוני ישיבות הדירקטוריון כדי לוודא שהדירקטוריון מודע ומתמקד במאמצי אבטחת הסייבר של העסק.
- הכירו את פוליסות הביטוח המכסות את סיכון הסייבר של הארגון ומאמצי התגובה בעת אירוע סייבר.
- הקצו תקציב לשירותי תגובה לאירועים. ודאו שקיים צוות המוכן להתמודד עם אירועים.
*המאמר פורסם במגזין הסייבר של דה מרקר
צרו קשר עם המומחים שלנו >>