דמיינו עולם בו האקרים יכולים לפרוץ למערכות מאובטחות בלחיצת כפתור, זיוף קולות ופרצופים נראה אמיתי מאי פעם, ומתקפות סייבר רחבות היקף מבוצעות על ידי קבוצות פשיעה קטנות ולא מתוחכמות מדי. עולם זה אינו תסריט מדע בדיוני - זוהי המציאות המתהווה כתוצאה משימוש גובר של בינה מלאכותית (AI) בתקיפות סייבר. בעוד ארגונים מתמודדים כבר עם נוף איומים מורכב, טכנולוגיות AI מתקדמות מעצימות את יכולות התקיפה של האקרים וחושפות עסקים לרמות חדשות של סיכון כלכלי ומשפטי.
מהפכת ה-AI שינתה את כללי המשחק בעולם תקיפות הסייבר. כלי בינה מלאכותית מספקים לתוקפי סייבר יתרונות חסרי תקדים. אלגוריתמי למידת מכונה יכולים לסרוק ולזהות חולשות אבטחה במהירות, בהיקפים גדולים בהרבה מהקיים, וליצור קמפיינים של דיוג מותאמים אישית וזיופים אמינים להפליא שקשה לזהות אותם בעיניים "רגילות". כתוצאה מכך, רואים עלייה דרמטית בתחכום ובקנה המידה של מתקפות. תחקיר של ה"וושינגטון פוסט" חושף כי בארצות הברית ובקנדה החלה בתקופה האחרונה מגיפה חדשה – סחיטה של אנשים על ידי שימוש בקול מג'ונרט – כלומר מיוצר על ידי תוכנת מחשב – של אחד מקרובי המשפחה שלהם, בטענה כי אותו אדם או אישה נמצאים במצוקה והם צריכים סיוע כלכלי. בתגובה ממהרים הקרובים להוציא כסף כדי לעזור ל"בני משפחתם" – רק כדי לגלות שבפועל הם דיברו עם קול שנוצר על ידי AI. דוגמה נוספת לעוצמה של AI היא התקפת ה-Deepfake על חברת אנרגיה בריטית ב-2019, שהסבה נזק של 220,000 דולר. התוקפים יצרו הקלטות אודיו מזויפות של בכירים בחברה באמצעות טכנולוגיית Deepfake, והצליחו לגנוב כספים בהעברה לחשבון זר. מקרה זה, ואחרים כמוהו, מדגישים את האתגרים החדשים בזיהוי ומניעת הונאות מבוססות AI.
תוצאות הרסניות לארגונים
התוצאות של מתקפות סייבר מוגברות AI עלולות להיות הרסניות לארגונים. עלות ממוצעת של מתקפת סייבר (גניבת מידע) עומדת על 4.45 מיליון דולר, עלייה של 2.3% בהשוואה לנתונים משנה שעברה, וזה לפני שמביאים בחשבון את הפגיעה במוניטין והשלכות משפטיות, אשר יכריעו אם הארגון ישרוד ביום שאחרי. סטארט-אפים ועסקים קטנים חשופים במיוחד, כאשר 60% קורסים תוך חצי שנה מתקיפת סייבר משמעותית.
אך הנזק הכלכלי הוא רק ההתחלה. האיום האמיתי נמצא מעבר לפינה. דירקטורים עלולים למצוא את עצמם על הכוונת המשפטית אם הם נכשלים בפיקוח על הגנת הסייבר. פרשת SolarWinds ב-2021, בה חברי דירקטוריון נתבעו בגין הזנחת נושא אבטחת המידע, היא אות אזהרה למנהלים להתייחס לאיומים ברצינות הראויה. בישראל חוק החברות מטיל אחריות אישית על מנהלים שלא פעלו למניעת נזק צפוי. למשל, מנהל שידע על חשיפת מידע ללא נקיטת צעדים סבירים, עלול לשאת באחריות אישית. אחריות זו חושפת נושאי משרה לתביעות אישיות במהלך הניהול השוטף ובגין אירועים ספציפיים. בנוסף, לנושאי משרה יש חובות כלפי מגוון רחב של תובעים פוטנציאליים. אלו כוללים את התאגיד עצמו, בעלי מניות, עובדים, ספקים, לקוחות ורשויות שונות. הנחית הרשות הגנת הפרטיות בנושא חובות הנהלה היא ניצן ראשון לרגולציה מחמירה שתשנה את התייחסות ההנהלה לנושא בשנים הקרובות.
אז מה יכולים ארגונים יכולים לעשות?
התשובה לאיומים המתפתחים היא רק אחת: מוכנות. המוכנות איננה רק היכולת להתאושש במישור הטכנולוגי, אלא יותר מכך, היכולת להגן על הארגון ביום שאחרי מתביעות נזיקין, מתביעות ייצוגיות ומסנקציות פליליות ומנהליות של הרגולטורים. כלומר המוכנות המשפטית, או כמו שאנחנו קוראים לזה LBCP – המשכיות עסקית משפטית – היא החשובה. היכולת להצביע על ביצוע הליכי מוכנות סבירים וראויים, עומדת בראש לצדו של הארגון ולצדם של נושאי המשרה בו בהתגוננות מפני השלכות המשבר בבית המשפט הפלילי או האזרחי.
כאשר מוסיפים לזה את העלות הנמוכה יחסית של הליכי המוכנות למול העלות האסטרונומית של משבר הסייבר, ניהול הסיכונים ברור ומצביע על הצורך במוכנות. זכרו, ארגונים לרוב מתאוששים טכנולוגית אבל עדין קורסים ונסגרים בגלל ה"נשורת הגרעינית" של תביעות משפטיות, ייצוגיות ואחרות, הליכים פליליים, קנסות, וסנקציות מהרגולטורים.
ולכן, כדאי שתתחילו להכין את הארגון כבר עכשיו ליום המחר.
עו"ד הדס תמם בן אברהם היא מומחית בהגנה על נושאי משרה בסייבר, מוכנות וניהול משברים, ראש מכון לחקר סייבר בקריה האקדמית אונו ודוקטורנטית למשפט וטכנולוגיה בר-אילן
