פשיעת סייבר מוכרת כאחד האיומים המשמעותיים ביותר על שווקים פיננסיים בעולם. תקיפות סייבר עלולות לפגוע במגוון שירותים וגופים, כגון גופים המספקים שירותי מסחר ; או גורמי תשתית כמו הבורסה וכמו מסלקות ותאגידים שכספי הציבור מושקעים בהם. אמון הציבור בשוק ההון עשוי להיפגע בצורה ממשית אם פשיעת סייבר תיצור יתרון בלתי הוגן לשחקנים מסוימים בשוק, תספק להם מידע עודף, או תשבש את תמונת המסחר בבורסה ומנגנון קביעת המחירים בה.
אירוע סייבר עשוי לגרום גם לעלויות משמעותיות, ישירות ועקיפות. העלויות הישירות כוללות את הטיפול באירוע עצמו והנזק העקיף כולל פגיעה במוניטין, פגיעה באמון הלקוחות והספקים של התאגיד, העלאת פרמיות ביטוח סייבר ועוד. יתרה מכך, בשל אופיים האסטרטגי של סיכוני הסייבר, נושאי תפקיד בכירים בארגונים נושאים באחריות אישית על מניעה, טיפול ודיווח הקשור לסיכונים אלה ורשויות ניירות ערך, בארץ ובעולם, פועלות לחידוד ולעדכון תפקיד הדירקטוריון בניהול סיכון זה.
מודל האכיפה האמריקני
ארה"ב לדוגמה, היא אחת המדינות המתקדמות מבחינת אכיפה של אחריות הדירקטוריון למתקפות סייבר. הדירקטורים בארה"ב פועלים תחת שורה של חוקים מדינתיים ופדראליים ובהם תקנות של רשות ניירות הערך האמריקאית (ה- ,(SECחוק סרבנס-אוקסלי (SOX), חוק ניהול אבטחת מידע פדראלי (FISMA) ועוד. תקנות אלו חושפות את הדירקטורים לתביעות מצד שורה של גורמים החל מוועדת הסחר הפדראלית, רשות ניירות הערך האמריקאית, משרד המשפטים, פרקליטות המדינה ועד האנשים או החברות שנתוניהם הופרו.
בהנחייתו הראשונית לשנת 2011 בנוגע לסיכוני אבטחת סייבר וחובות גילוי בנוגע לאירועי סייבר, דרש ה-SEC מהחברות להעריך ליקויים פוטנציאליים בבקרות הגילוי והנהלים שלהן בנוגע להתקפות סייבר. בשנת 2018 עדכן ה-SEC הנחיות אלה, בין השאר, על מנת להדגיש את החשיבות של שמירה על מדיניות ונהלים מקיפים הקשורים לסיכונים ואירועי סייבר, וכדי להבטיח שמידע רלוונטי אודות סיכוני ואירועי סייבר ידווחו במעלה הסולם התאגידי על מנת לאפשר להנהלה להיות חשופה באופן מלא למתרחש.
אחד העיצומים הכספיים הבולטים שהטילה לאחרונה ה-SEC הינו על American First Financial Corporation (FAFC) בגין חוסר גילוי נאות ובקרה יעילה של סיכוני סייבר. FAFC, המספקת פוליסות ביטוח על נכסי נדל"ן, סבלה במאי 2019 מדליפת מידע של 800 מיליון מסמכים רגישים הקשורים לעסקאות אלה. ה-SEC הגיע למסקנה כי למנהלים הבכירים ב-FAFC לא היה את המידע הדרוש להערכת הסיכון הנובע מפגיעות אפליקציית האינטרנט של החברה. הוא קבע כי על גופים לדאוג שמידע חשוב למשקיעים ידווח במעלה הסולם התאגידי לאחראים לגילויים.
האכיפה שהפעילה ה-SEC על FAFC נעשתה בשיתוף NYSDFS, הסוכנות הממשלתית האחראית להסדרת תעשיות השירותים הפיננסיים בניו-יורק, כולל בנקים, חברות ביטוח ושירותי הלוואות משכנתא.NYSDFS פרסמה תקנות אבטחת סייבר מפורטות, שנכנסו לתוקף במלואן במארס 2019. התקנות כוללות הוראות למערכות לניהול סיכוני אבטחת סייבר מינימליים, אך מקיפים, תוכנית תגובה לאירוע, ערכת בדיקות חדירה שנתיות, דיווחים שנתיים ועוד. ביולי 2020 הכריזה NYSDFS על עונש של עד 1,000 דולר לכל הפרה של FAFC, חשבון הוצאות משפטיות שאף חברה לא רוצה להגיע אליו, או אפילו לכלול בתוכנית ניהול הסיכונים העתידיים שלה.
אחריות אישית על מנהלים בחברה
האירועים האחרונים בהם התקיימו תקיפות סייבר חמורות על חברות ביטוח וארגוני בריאות מעלה שוב את נושא מוכנות הארגונים להתמודדות עם אירועי סייבר, ובפרט את אחריות הדירקטוריונים לטיפול בסיכונים אלה.
חוק החברות מטיל אחריות אישית על מנהלים בחברה במידה ולא נקטו בצעדים בכדי למנוע נזק, אשר ניתן היה לצפות שיקרה. כך, למשל, בהקשר של התקפות סייבר, כאשר מנהל בחברה ידע, כי מידע על לקוחות החברה חשוף לגורמים עוינים, אך לא ננקטו על ידו פעולות סבירות שעשויות היו למנוע את חשיפת המידע, עלול אותו מנהל לשאת באחריות אישית על כך.
אחריות זו עלולה לחשוף כל אחד מנושאי המשרה לתביעה אישית במהלך הניהול השוטף של החברה, כמו גם בגין אירועים ספציפיים. החל ממצג שווא בהודעה לבורסה, או אי פרסום אזהרת רווח ועד לתביעות הנובעות ממסגרת יחסי העבודה, חקירות מטעם רשויות ועוד.
בנוסף, חלות על כל נושא משרה חובות גם כלפי מגוון רחב של תובעים פוטנציאליים כגון התאגיד עצמו, בעלי מניות, עובדים, ספקים, לקוחות, שכנים לעסק, בנקים וספקי אשראי, רשות ניירות ערך, מס הכנסה, המשרד לאיכות הסביבה, הממונה על ההגבלים העסקיים ועוד.
בנוסף, חלות על כל נושא משרה חובות גם כלפי מגוון רחב של תובעים פוטנציאליים כגון התאגיד עצמו, בעלי מניות, עובדים, ספקים, לקוחות, שכנים לעסק, בנקים וספקי אשראי, רשות ניירות ערך, מס הכנסה, המשרד לאיכות הסביבה, הממונה על ההגבלים העסקיים ועוד.
עשרת הדיברות להתמודדות חברי דירקטורים עם איומי סייבר
עכשיו, כשברור ללא כל ספק כי הפיקוח על סיכון הסייבר הוא חלק מתפקידו של כל אחד ואחת מחברי הדירקטוריון, על הדירקטוריונים לנקוט בצעדים מעשיים.
להלן ההמלצות המובילות שלנו לצמצום האחריות האישית של חברי הדירקטוריון בגין אירוע סייבר:
- בדקו והבינו את התקנות, החוקים, ההנחיות והשיטות המקובלות לניהול סיכוני סייבר.
- וודאו כי הארגון שלכם מבצע באופן קבוע הערכות סיכון סייבר עצמאיות.
- ודאו שיש לכם תהליכים, נהלים ובקרות אפקטיביים להתמודד ולפקח על סיכוני הסייבר.
- וודאו שמסגרת אבטחת המידע של הארגון מוגדרת היטב, כולל שמירה על פרטיות הנתונים ומדיניות האבטחה. אלה צריכים להיות מותאמים לעסק שלכם ועליהם להיות מוטמעים בקרב העובדים באמצעות הכשרה קבועה ותכופה.
- וודאו כי מוגדר היטב בעל אחריות בעל כישורים מתאימים בנושאי אבטחת הסייבר.
- התייעצו מומחי אבטחת הסייבר כדי להבין את המדיניות והשיטות בהן הם נוקטים ולגלות כיצד הם נבדקים כדי לחשוף בעיות פוטנציאליות ופערים בולטים.
- וודאו שלפחות אחד מחברי הדירקטוריון הוא בעל הבנה טכנית ברמה מספקת כדי להוביל דיונים ולשאול שאלות בנושא אבטחת סייבר.
- שלבו נושאי אבטחת סייבר במהלך דיוני ישיבות הדירקטוריון כדי לוודא שהדירקטוריון מודע ומתמקד במאמצי אבטחת הסייבר של העסק.
- הכירו את פוליסות הביטוח המכסות את סיכון הסייבר של הארגון ומאמצי התגובה בעת אירוע סייבר.
- הקצו תקציב לשירותי תגובה לאירועים. ודאו שקיים צוות המוכן להתמודד עם אירועים.
נועם הנדרוקר הוא שותף, מנהל שירותי ייעוץ סייבר גלובליים, במרכז הגנת הסייבר, BDO ישראל.
גלעד ירון הוא דירקטור, מנהל תחום ציות, רגולציה, פרטיות ושרשרת אספקה במרכז
