בשנים האחרונות אנו עדים לעליית מדרגה בהיקף ובחומרה של מתקפות סייבר על מערכות המידע של ארגונים פרטיים וציבוריים בארץ. כפי הנראה, מדובר באיום שלא יחלוף בקרוב והוא אף עלול להתעצם. ההשלכות על חיינו - ועל תפקודו של הארגון המותקף - עשויות להיות דרמטיות. מגמה זו מחייבת את החברות הציבוריות להיערך כראוי להתמודדות עם משבר מסוג זה, לרבות סוגיית הדיווח על האירוע לרגולטורים שונים, ובמקרה של תאגיד מדווח בבורסה - גם למשקיעים בשוק ההון.
מכאן עולה השאלה האם ובאילו במקרים נדרשת חברה לדווח על אירועים אלה, שכן לכל מתקפה היקף שונה, מאפיינים ייחודיים והשלכות אחרות, מה גם שהחקיקה הקיימת מעורפלת ולעתים אף בלתי עדכנית;וכאשר החברה המותקפת היא תאגיד מדווח בבורסה - עולה גם השאלה באשר לחובה לדווח על כך לציבור המשקיעים.
לצמצם את החשיפה
כיום נושא הדיווח על מתקפת סייבר נמצא בתחום סמכותם של רגולטורים שונים, בהתאם למאפייני הפעילות של הארגון המותקף ורמת האבטחה החלה על מאגרי המידע המעורבים במתקפה. המרכזית שבהם היא הרשות להגנת הפרטיות ("הרשות"). מתקפת סייבר "מוצלחת" נופלת בהגדרה של "אירוע אבטחה" על-פי תקנות הגנת הפרטיות (אבטחת מידע), שמחייבות, בין היתר שמירת תיעוד פנימי ביחס לכל אירוע אבטחה.
עם זאת, החובה לדווח לרשות להגנת הפרטיות על אירוע האבטחה איננה גורפת ומתייחסת ל"אירוע אבטחה חמור" בלבד. אירוע אבטחת מידע חמור במאגר מידע שחלה עליו רמת אבטחה גבוהה הוא אירוע שנעשה בו שימוש במידע מהמאגר, בלא הרשאה או בחריגה מהרשאה, או שנעשתה פגיעה בשלמות המידע;במאגר מידע שחלה עליו רמת אבטחה בינונית, מדובר באירוע שנעשה בו שימוש בחלק מהותי מהמאגר, בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע לגבי חלק מהותי מהמאגר.
רמת אבטחת המידע של מאגר המידע נגזרת, בין היתר, ממטרות המאגר, סוג המידע (למשל, מידע הנוגע לבריאותו של אדם, למצבו הכלכלי, לנושאים שהינם בגדר צנעת הפרט, ביומטרי וכדומה), היקף הפעילות של המאגר, גודל מאגר המידע או מספר מורשי הגישה אליו.
בהתאם לחוק ולעמדת הרשות, חובת הדיווח כאמור חלה ביחס לכל אירוע אבטחת מידע חמור, גם אם אינו כרוך בדליפה של מידע או באובדן מידע, לרבות במקרים של צפייה במידע בלבד, או מניעת השימוש במידע. למשל, וירוס כופרה המצפין הקבצים ומונע גישה למידע. על בעל המאגר, המחזיק בו או מנהלו, לפעול באופן נמרץ על מנת לזהות אילו מאגרי מידע נפגעו ולאמוד את היקף הפגיעה בהם, על מנת לקבל החלטה מושכלת בדבר קיומה של חובת הדיווח לרשות. את הדיווח לרשות יש למסור באופן מיידי ולצורך כך מומלץ שבעל המאגר יסתייע בגורמים מקצועיים ועורכי דין בעלי מומחיות בתחום הגנת הפרטיות והסייבר. כך ניתן לצמצם את החשיפה להפרה של חובות הדיווח השונות, שכרוכה באחריות משפטית.
חובות דיווח נוספות
על ארגונים מסוימים מוטלות חובות דיווח נוספות בעת מתקפת סייבר. כך למשל, על בנקים ומשקיעים מוסדיים (חברות ביטוח ומנהלי קופות גמל, מנהלי קרנות נאמנות וכדומה) מוטלות חובות דיווח נרחבות יותר למפקח על הבנקים ולמפקח על שוק ההון, בהתאמה, ועל גופים ממשלתיים חלה חובת דיווח למערך הסייבר הלאומי. כבר תקופה ארוכה עומדת על הפרק יוזמת חקיקה להרחבת סמכויות המערך גם ביחס לארגונים אזרחיים, אך כיום גוף זה נעדר סמכויות אכיפה ועוסק בעיקר בייעוץ לפונים אליו. ככל שהארגון המותקף רכש כיסוי ביטוחי מפני סיכוני סייבר, כמובן שעליו למסור הודעה על כך גם למבטח. גורם נוסף אליו ניתן לשקול פנייה בעת מתקפת סייבר (במיוחד על רקע פלילי, אך לא רק) הוא משטרת ישראל.
דיווח לציבור על השלכות האירוע
נוסף על כל אלה, כאשר הארגון המותקף הוא תאגיד שניירות ערך שלו רשומים למסחר בבורסה, יש לבחון ללא דיחוי את הצורך בפרסום דיווח פומבי על מתקפת הסייבר למחזיקי ניירות הערך. השיקולים המנחים לפרסום דיווח מסוג זה מתמקדים בהערכה של היקפן האפשרי של השלכות האירוע על עסקי התאגיד או על שערי ניירות הערך שלו. שיקולים אלה רחבים יותר מהשיקולים שיש לארגון רגיל בנוגע לדיווח לרשויות, שכן הם אינם מוגבלים לפגיעה האפשרית בפרטיות של הגורמים שנתוניהם נכללים במאגר המידע, אלא להשלכות האפשריות של מתקפת הסייבר על מצבו של התאגיד המותקף כולו.
כך, למשל, בהתאם לעמדת רשות ניירות ערך, עלולה לקום חובת דיווח מיידי על מתקפת סייבר בין היתר כאשר מתקפת הסייבר הובילה להשבתה או לשיבוש משמעותי של פעילותו העסקית של התאגיד, כאשר מערכות המידע של התאגיד החיוניות לפעילותו העסקית ניזוקו באופן מהותי, כאשר התאגיד נדרש לשלם כופר בסכום מהותי, או כאשר התגלה לתאגיד שבמסגרת המתקפה נחשפו סודות עסקיים או פרטי מידע רגישים, שעלולים לגרור פגיעה מהותית ביתרונו התחרותי.
הדיווח לציבור צריך לכלול, בין השאר, תיאור של האירוע, לצד הערכה של השלכותיו האפשריות על פעילות התאגיד ועסקיו וכימות כספי של השלכות אלה, ככל הניתן. עם זאת, ייתכנו מקרים שבהם ניתן לדחות את הדיווח מסיבות מסוימות. למשל, בהתאם לדיני ניירות ערך, קיימת אפשרות לעיכוב פרסומו של דוח בנסיבות שבהן הפרסום עלול למנוע השלמתן של פעולות בהן נוקט התאגיד ביחס למתקפת הסייבר או כאשר הפרסום עלול לסכן את הצלחתן של פעולות אלה.
חשוב להדגיש כי במקרה של אירוע אבטחת מידע חמור בארגון אשר כפוף למספר רגולטורים, יש לדווח על האירוע לרשות וכן לבחון את חובות הדיווח הנוספות. הפרה של חובות הדיווח עלולה, כשלעצמה, להוסיף נדבך של חשיפת הארגון לאחריות בגינה, שרצוי כמובן להימנע ממנה (ובמקרה של הפרת חובת דיווח לבורסה - גם חשיפה לאחריות אישית של המנהלים).
עו"ד עופר ינקוביץ' הוא שותף ומנהל מחלקת תאגידים ושוק ההון במשרד וקסלר ברגמן ושות'. עו"ד אלן יוסף היא שותפה ואחראית תחום הפרטיות ואבטחת מידע במשרד וקסלר ברגמן ושות'
