את שנת 2020, שירביט, חברת ביטוח ותיקה ומוכרת, הייתה אמורה לסיים עם רווח של 26 מיליון ש"ח. אחרי שנת קורונה, זה הישג לא מבוטל ואני בטוחה שבשירביט כבר תכננו את החגיגות. אבל אז הגיע חודש דצמבר, עוד דקה והשנה מסתיימת. אבל לא, בום. הפתעה!! מתקפת סייבר משביתה את פעילות החברה למשך ימים ארוכים, מידע רגיש של מבוטחים מופץ ברבים והוו, כמה בלאגן.
באפריל שנת 2021, ארבעה חודשים בלבד אחרי תחילת מתקפת הסייבר אצלה, עדכנה שירביט את הדו"ח הכספי השנתי שלה והודתה שחודש דצמבר הארור עלה לה לא מעט! 25,200,000 שח למען האמת. בשורת הרווח נשאר פחות ממיליון ש"ח. 800,000 ש"ח למען הדיוק.
חודש לאחר מכן, במאי 2021, הודיעה שירביט שהיא מוכרת את פעילותה לחברת הביטוח הראל. יו"ר שירביט, שמפעם לפעם השתעשע במחשבה על מכירה וגריפת רווח נאה, לא דמיין אף בחלומותיו הגרועים ביותר שבסופו של דבר ימכור את העסק המשפחתי, שבאופן עקבי פרנס כ-200 משפחות ועוד מעגל נוסף של ספקים ונותני שירות, בנזיד עדשים, כ-100 מיליון ש"ח בלבד.
גם נזקים, גם קנס, גם תביעות
בנובמבר 2021, ואני לא יודעת אם העיתוי היה מכוון או לא, מועד שנה למתקפה, אבל המפקח על הביטוח הודיע שבגין הפרות אבטחת מידע רגולטוריות בשנתיים שקדמו לאירוע, הוא קונס את החברה בכמעט 11 מיליון ש"ח. אני מניחה שהיועצים המשפטיים של שירביט העריכו את גובה הקנס ושגם הוא שוקלל במחיר הרכישה הרשמי, כך שחברה יציבה עם ותק של 20 שנה, סיימה את חייה במחיר נמוך אפילו עוד יותר ואני מזכירה שהרשות להגנת הפרטיות ובית המשפט שדן בדרישה לקבל תביעה ייצוגית, גם הם עוד לא אמרו את המילה האחרונה.
בכל פגישה שלי עם מנכ"לים מסקטורים מגוונים, אני נשאלת מה שירביט יכולה הייתה לעשות אחרת, כשבצמוד לשאלה מתריע המנכ"ל ואומר "אבל אני עסק בינוני, אפילו קטן, אין לי את המשאבים של שירביט ובכלל, מה יש לתוקף לחפש אצלי".
כשאני אומרת ששירביט העסיקה "רק" 220 עובדים באותו חודש דצמבר שבו הכל התחיל להשתנות, אני נתקלת במבט המום. והתוקף - ממש לא אכפת לו מי אתם. באמצעותכם הוא יכול לעשות רווח כספי. בסבירות שגם לא תקשו עליו את החיים. אז למה לא?
בישראל, לפי הנתונים הרשמיים של הרשות לעסקים קטנים ובינוניים, נכון לשנת 2020 פועלים 18 אלף עסקים בינוניים, שהעסיקו יחד כ-700 אלף עובדים וייצרו כ-110 מיליארד שקלים. אם תשאלו כל איש מכירות מה נחשב עבורו עסק בינוני תגלו שעל הכוונת שלו יהיו בתי עסקים שמעסיקים בפועל כ-500 עובדים ומעלה. החל מ-50 עובדים עסק נחשב אמנם קטן, אבל כבר עם הצרכים שמחייבים השקעה כספית בטכנולוגיה, בתהליכים, בדרישות שחלקן רגולטוריות, חלקן מתוקף יישום הליכי תקינה ודרישות של לקוחות.
אני לא אוהבת להיות בתפקיד פרקליט השטן, אבל אנחנו מתחילים את שנת 2022 אחרי שנה עקובה מדימום כספי ומוניטיני בגלל קרבות קוד, דרישת כופר, השבתה והפצת מידע עסקי, כתוצאה ממתקפות סייבר, שרובן המכריע פגע בחברות ועסקים שנחשבים קטנים ובינונים. מצער אותי להגיד את זה באופן מובהק, מהדימום הכספי הזה לא מתאוששים, לא משנה כמה עמוק הכיס שלכם. מדובר ב-7-8 ספרות שתיאלצו להשקיע בניהול האירוע, 7-8 ספרות שלא תוכלו להשקיע בצמיחה, באנשי מכירות ושיווק, בפיתוח. ואני אפילו לא מתחילה לדבר על המשמעות של שנים אחר כך שבהן תיגררו בבתי משפט ושם מי יודע כמה עוד תיאלצו לשלם.
אני באמת שונאת את טקטיקות ההפחדה וכדי לאזן אגיד דבר חשוב שאולי אפילו יפתיע אתכם. את מרבית מתקפות הסייבר שהצליחו, אפשר היה למנוע בצורה מוחלטת! בחלק אחר ממתקפות הסייבר שהצליחו אפשר היה לצמצם מהותית את אפקט הפגיעה וההשפעה.
חפשו מתחת לפנס
מרבית מתקפות הסייבר מנצלות חולשות שמקורן קודם כל בנו, בגורם האנושי, בתהליכים, בבקרות. הבעיה במרבית הארגונים שבהן הצליחה מתקפת הסייבר הייתה חוסר תשומת לב אמיתית לסיכון עצמו. רוצה לומר שמרבית הארגונים העדיפו לחפש מעבר לקו הגבול כשיש מקרים מובהקים שדווקא נכון בהם לחפש מתחת לפנס. ואת החיפוש הזה, כמו כל דבר צריך לעשות בהכוונה של איש מקצוע. תחשבו על זה, הרי יש לכם רו"ח, יועץ מס, עורך דין.
גם אם אתם תותחים שיצאו מ-8200, אתם צריכים יועץ סיכוני סייבר שיעזור לכם לצמצם את ההשפעה של הסיכון המוחשי הזה על העסק שלכם, כי אי אפשר לסגור הכל רק עם טכנולוגיה.
הכותבת היא יועצת מומחית למנהלים בהיערכות והתמודדות עם סיכוני הסייבר העסקיים
