לצלוח מתקפת סייבר במינימום פגיעה

הרגולציה בישראל לגבי סיכוני סייבר בחברות ציבוריות נחשבת מתקדמת מאוד, ואף ערה לסיכונים ונערכת בהתאם. בכל זאת, לא כדאי לקפוא על השמרים והנה כמה המלצות שכדאי לשקול ליישם לקראת שנת 2026, במיוחד לאור הנעשה בעולם

שיתוף בוואטסאפ

תגובות:

Handshake of two businesspeople who are negotiated the project to protect cyber security of international company. Padlock Hologram icons. Woman in business. צילום: Shutterstock

עינת מירון

תוכן שיווקי

22 ביולי 2025

לפני כמה שבועות שותף מקצועי שלי, מומחה לאבטחת סייבר, נכנס לעימות עם חבר דירקטוריון. הקולגה המליץ על קבלת חוו"ד חיצונית על דו"ח ניהול סיכונים שכלל סקירת מאגרי מידע. חבר הדירקטוריון כעס: "אתה טוען שמנהל אבטחת המידע לא מסוגל לבצע את העבודה שלו?". הקולגה הסביר שמנהל אבטחת המידע לא יכול לבקר את העבודה שלו עצמו ושבהתאם לשינויים בתקנות הגנת הפרטיות שנכנסות לתוקף באוגוסט 2025, זו גם דרישה מפורשת של הרגולציה.

זו הייתה שיחה צורמת ומיותרת שאפשר היה להימנע ממנה. יועצי אבטחת הסייבר רוצים את טובת הארגון ממש כמו שהיא חשובה לחברי הדירקטוריון. ההצלחה הכספית של החברה חשובה לא פחות משמירה עליה מדו"ח ביקורת שחושף עיגול פינות או התעלמות מהנחיה. האינטרס של יועצים אלו הוא שלעולם לא תתמודדו עם מתקפת סייבר, אבל כשזה כבר יקרה (כבר ידוע שזו שאלה של מתי ולא שאלה של אם) תצלחו אותה במינימום פגיעה.

עבודה יסודית של הרשות לני"ע

ברשות החברות הציבוריות נעשתה בשנים האחרונות, בשיתוף עם רשות ניירות ערך, עבודה יסודית מאוד במטרה לייצר היכרות ומודעות עם הסיכונים הצפויים לחברות ציבוריות כתוצאה ממתקפת סייבר.

זו גם כנראה הייתה עבודה רגולטורית רצינית ביותר שבאמת גרמה לחברות לעשות יותר משרצו או תכננו.

מאחר שמתקפות סייבר מתפתחות מהר יותר מעדכוני רגולציה ובכל כמה חודשים מייצרות כאוס חדש ומאחר והישראלים מומחים בלסמוך על "לי זה לא יקרה", הרשיתי לעצמי לערוך מעט את ההמלצות ולהוסיף להן המלצה אופרטיבית, קונקרטית, שמדייקת את השינויים הנדרשים לאור ניסיון נצבר ולאור התמורות הרבות שחלות בתחום ברמה שבועית ממש.

כמובן שכל חברה, בכל סקטור, גודל, ותק ותהליכים עסקיים, חייבת לבצע את התהליך באופן סדור המותאם לצרכיה ויעדיה אבל כל יו"ר דירקטוריון, מנכ"ל וחבר דירקטוריון, כדאי שישקול לבחון את הנושאים ולהעלות אותם לדיון בישיבה הקרובה.

המלצות היערכות ל-2026

עיקרי המלצות רשות ניירות ערך בנוגע להיערכות למתקפות סייבר בתוספת המלצה להיערכות לקראת 2026:

1. זיהוי והערכת סיכונים מהותיים - על החברה לבצע מיפוי של נכסי המידע הקריטיים שלה. יש לזהות את הסיכונים המהותיים הקשורים למערכות מידע, תהליכים עסקיים וטכנולוגיות תומכות. ההערכה צריכה להיות שוטפת, כחלק מניהול הסיכונים הכללי של החברה.

המלצה ל-2026: בצעו ניתוח סיכונים מבוסס תרחישים עסקיים ולא רק מבנה מערכות – למשל: "מה ההשלכות אם אתר קשרי המשקיעים נפרץ דווקא ביום פרסום הדוחות הרבעוניים?"

2. היערכות ומוכנות - החברה נדרשת להחזיק במדיניות אבטחת מידע מעודכנת. יש לוודא קיומם של נהלים לניהול אירועי סייבר, כולל מנגנוני תגובה, תקשורת פנימית וחיצונית, ניתוח פערים והפקת לקחים. מומלץ לבצע תרגולים תקופתיים (Simulation) לתרחישי תקיפה.

המלצה ל-2026: התרגיל השנתי חייב לקחת אתכם להתמודדות מציאותית אבל גם מאוד מאוד קונקרטית. שלבו תרגול שנתי שכולל גם את מנכ"ל החברה, נציגות של הדירקטוריון וכל בעל תפקיד משמעותי בשולחן ההנהלה. בסופו של דבר, כולם ייקחו חלק, כולם צריכים להכיר את הצפוי, בלוחות הזמנים הריאליים.

3. מעורבות הדירקטוריון וההנהלה - על הדירקטוריון וההנהלה להיות מעורבים באופן פעיל בניהול סיכוני סייבר. יש לקבל עדכונים שוטפים על רמת המוכנות, איומים עדכניים ופעולות שבוצעו.

המלצה ל-2026: הכניסו את נושא סייבר כסעיף קבוע בסדר היום של ועדת ביקורת או ועדת סיכונים. לישיבת הדירקטוריון הגיעו מוכנים עם שאלות למנהל אבטחת המידע. נצלו את תקציב ההכשרה וההעשרה שלכם כדי לקבל ייעוץ וליווי נפרד שיאפשר לכם שיפור והתקדמות לעומת עימות בגלל חוסר הכרות עם שינויים או דרישות צפויות.

4. שקיפות ודיווח - אם אירוע סייבר הוא בעל השפעה מהותית, קיימת חובת דיווח מיידי במערכת המגנ"א. המהותיות נבחנת לפי: השפעה על היכולת התפעולית של החברה, פגיעה אפשרית במידע רגיש (לקוחות, עובדים, משקיעים), סיכון להשפעה מהותית על תוצאות כספיות או מוניטין.

המלצה ל-2026: אחת לחצי שנה קיימו דיון עומק בסיכונים הרלוונטיים. הוספת פעילות AI לבדה מגדילה דרמטית חשיפות רבות לסיכוני אבטחת מידע. מפו אותם בצורה דינמית, תעדפו את הטיפול בהם והכינו מראש טיוטות הודעות מיידיות ודפי מסרים לכל הגורמים השונים מהעובדים, דרך המשקיעים, השותפים, הספקים, הרגולטורים וכו'. פחות משנה סוג המתקפה, מה שיותר משנה זה האימפקט שלה.

5. שילוב תחום הסייבר בדיווחים שוטפים – בדו"חות התקופתיים והפנימיים של החברה, יש לכלול התייחסות לסיכוני סייבר כחלק ממפת הסיכונים העסקיים. אם קיימים ליקויים או פרצות ידועות, יש לדווח עליהן בהתאם לשיקולי מהותיות.

המלצה ל-2026: הציגו באופן פומבי את גישת ניהול הסיכונים שלכם ובעיקר קבלו עבורה את אישור הדירקטוריון. גם השקיפות בפני המשקיעים הכרחית. המידע המונגש מאפשר תעדוף משימות בהתאם לצרכים ולמשאבים הארגוניים.

6. אחריות קבלני משנה וספקים - נדרש להחיל מדיניות אבטחת מידע גם על צדדים שלישיים בעלי גישה למידע או מערכות. חשוב לוודא חוזים הכוללים התחייבות לעמידה בנהלי אבטחת מידע, ניהול הרשאות, חובת דיווח ועוד.

המלצה ל-2026: בקשו מספקי IT וספקי שירות חיצוניים להשתתף בתרגול סייבר. בדקו מה נעשה אצל השותפים שלכם בעלי ההרשאות וכיצד הם עצמם מתייחסים לסיכוני הסייבר שלהם. אחד משליך על השני.

7. תרבות אבטחת מידע ארגונית - אתם רוצים לאמץ תפיסות אבטחת מידע כחלק משגרת העבודה היומיומית, ממש כשם שלא תבצעו הדרכות בעולמות הגיוס או הפיתוח בצורה אקראית.

המלצה ל-2026: אל תחכו לשאלת המשקיעים. שלבו פרק ייעודי למצבי סייבר בכל תשקיף או פרזנטציית גיוס. משקיעים רואים בכך אינדיקציה לאיכות הניהול ולא רק לאיכות האבטחה.

הכותבת עינת מירון מלווה ארגונים בתחום Cyber Resilience להיערכות והתמודדות עם סיכוני סייבר עסקיים וצמצום האימפקט ממתקפת סייבר.

חזרה למדור