רק שהמשקיעים לא יידעו: החברות שמסתירות מתקפות סייבר - מגזין TheMarker - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

רק שהמשקיעים לא יידעו: החברות שמסתירות מתקפות סייבר

יאהו, שהמתינה יותר מחודש לפני שדיווחה על פריצת הענק שבה נגנבו פרטיהם של מאות מיליונים ממשתמשיה, לא עשתה שום דבר שחורג מהנורמה. מחקר חדש מראה כי חברות ציבוריות רבות אינן סבורות שמחובתן לספר לבעלי המניות שלהן על מתקפות סייבר

האקר

בספטמבר הודיעה יאהו כי ב-2014 נגנבו פרטיהם של כחצי מיליארד מהמשתמשים בשירותיה. באירוע, שנחשב פריצת אבטחת המידע הגדולה בהיסטוריה, נגנבו שמות משתמש, סיסמאות וסיסמאות מוצפנות (Hashed), כתובות דואר אלקטרוני, מספרי טלפון ותאריכי לידה, אך ככל הנראה לא נגנבו פרטי כרטיסי אשראי או מספרי חשבונות בנק. הפריצה מעמידה בסימן שאלה את העסקה לרכישת נכסי הליבה של יאהו על ידי ענקית התקשורת ורייזון ב־4.8 מיליארד דולר, עליה הוכרז רק שבועות אחדים קודם לכן.

המשקיעים אמנם עלולים להתאכזב מביטול אפשרי של העסקה, אך יותר מכך, עליהם לדרוש ממנכ"לית החברה מריסה מאייר תשובות לגבי הסתרת המידע לגבי הפריצה. לפי פרסום ב"פייננשל טיימס", מאייר היתה מעורבת בחקירת הנושא כבר מהתחלת הפרשה הנוכחית ביולי, כאשר האקר המכונה "פיס" הודיע כי פרץ לחשבונות המשתמשים. יותר מכך, כמה מעובדי החברה ידעו על המתקפה כבר ב־2014.

הנהלת יאהו הודתה כי למרות שהיתה מודעת למתקפה כבר באוגוסט, היא טרחה ליידע בעניין את ורייזון – שהסכימה לרכוש אותה ב־23 ביולי – רק יומיים לפני שהודיעה על כך בתקשורת. הסתרת המידע עלולה לעלות ליאהו בעסקה כולה, או בתסריט האופטימי, להביא להורדת שווי החברה בה.

חברה נוספת שהסתירה מידע מהמשקיעים היא חברת הקמעונות האמריקאית טארגט. בדצמבר 2013 פירסם הבלוגר בריאן קרבס (בעל הבלוג KrebsOnSecurity) ידיעה על כך שהחברה חוקרת חשד לגניבה של מיליוני פרטי כרטיסי אשראי. לטענתו, המידע הגיע אליו דרך חברות המנפיקות כרטיסי אשראי. ייתכן שהסיפור נודע מאחר שהחברות נאלצו לבטל ולהנפיק מחדש כרטיסי אשראי של טארגט. החברה הגיבה לפרסום רק למחרת, ודיווחה על חקירה של אירוע מתקפה.

בימים הבאים התבררו ממדי האירוע: האקרים הצליחו להתקין תוכנת ריגול על אלפי נקודות מכירה ברשת החנויות, וכך גנבו פרטי כרטיס אשראי של כ־40 מיליון לקוחות, ועוד כ־70 מיליון פרטים אישיים של לקוחות. הנזקים הכספיים הישירים לטארגט היו בעיקר מתשלום פיצויים ללקוחות והתמודדות עם תביעות, אך נזק עקיף נגרם בשל הפגיעה באמון הלקוחות. ברבעון הרביעי של אותה שנה ירדו הכנסות הרשת בכ־46%. כמה חודשים לאחר הפריצה עזב מנכ"ל החברה את תפקידו. היתה זו הפעם הראשונה שבה מנכ"ל של חברה נאלץ לשלם בכיסאו בעקבות מתקפת סייבר.

המשקיעים בחברה, בעלי המניות בה, זכאים וצריכים לקבל דין וחשבון וכל מידע מהותי על החברה, שיאפשר להם לקבל החלטה מושכלת האם להשקיע במניה או לא, ובאיזה מחיר. לפי התקנות, חברות חייבות לדווח לציבור את כל המידע המהותי באופן אחיד ושקוף. מאחר שההחלטה איזה מידע לחשוף נתונה לפרשנות, הם מקבלים את ההחלטה בשיתוף עם היועץ המשפטי של החברה.

מנכ"לית יאהו מריסה מאייר
אי־פי

ואולם האם יאהו וטארגט לבד? ממש לא. מאחר שנושא הסייבר הוא חדש יחסית, והפגיעה הכספית לחברות לא תמיד מובהקת, התחום הזה עדיין פרוץ. מחקר ישראלי חדש מעלה כי חברות חושפות מרצונן רק מתקפות סייבר קלות, אך מסתירות את המתקפות המתוחכמות. החוקרים, פרופ' אלי אמיר וד"ר שי לוי מהפקולטה לניהול ע"ש קולר באוניברסיטת תל אביב, וצפריר ליבנה, דוקטורנט בבי"ס למנהל עסקים של אוניברסיטת צפון־קרוליינה (UNC), בחנו את הסוגיה דרך התגובה של החברות למתקפות, והשינויים בשערי המניות בעקבותיהן.

"אמנם וורן באפט אמר פעם כי הבעיה המרכזית של חברות תהיה מתקפות סייבר, וזה מה שיפיל חברות גדולות, אך מחקרים דווקא העלו כי המשקיעים לא מתרגשים מכך ולכן כנראה שזה לא 'ביג דיל' לחברות", אומר לוי. "בתחום מדעי המחשב נערכו מחקרים שבחנו את השפעתן של מתקפות סייבר על מחירי המניה, והממצאים היו כמעט חד־משמעיים: להתקפות הללו אין השפעה סטטיסטית על מחירה. צריך להביא בחשבון שמנהלים לא בהכרח מגלים הכל על החברה – או כי הם סבורים שזה לא מהותי, או כי הם מרמים. כדי להוכיח זאת עשינו הבחנה בין מתקפות שהחברות גילו באופן וולונטרי לבין מתקפות שהתגלו על ידי צד שלישי".

פרסום מידע על מתקפות על ידי צד שלישי הוא עניין נפוץ. למשל, חברות אבטחת מידע נוהגות להעסיק חוקרי סייבר שהתפקיד שלהם הוא לאתר פרצות וללמוד את שיטות הפעולה של התוקפים, וכך ללמוד איך להתגונן מהן. החברות הללו גם מנצלות את הפריצות כדי לשפר את המוניטין שלהן בשוק, ולכן נוטות להעצים את התחכום של המתקפות.

שלושת החוקרים בחנו כ־320 מתקפות בשנים 2015־2010, מתוכן 60 התגלו על ידי צד שלישי. מלבד ההשפעה על מחיר המניה, החוקרים בחנו גם את הנזק לפעילות החברות, במקרים שבהם הן עדכנו את המשקיעים בכך. מסקנתם היא כי הנזק שנגרם במתקפות עליהן לא דיווחו החברות מראש היה 1.8% משווי השוק של החברה, ובמקרים שהחברות כן דיווחו מיוזמתן, הסתכם הנזק ב־0.6% בלבד משווי השוק.

מחיר המניה שממנו נגזר שווי החברה אמור לשקף את הפגיעה הכלכלית בה, ולכן מסקנות המחקרים הקודמים, שלא זיהו פגיעה במניה כתוצאה ממתקפות סייבר, די מפתיעות. "גילינו כי המתקפות שצד שלישי מגלה עליהן הן משמעותיות יותר וגורמות לירידה של 2%־3%", אומר לוי. הירידה במחיר המניה משקפת את הפגיעה הישירה בחברה, אבל גם את אובדן האמון לגבי החברה והנהלתה – או מאחר שלא גילו את כל האמת למשקיעים, או בגלל החשש כי לא ידעו על המתקפה עד שפורסם על אודותיה על ידי צד שלישי.

דניאל בר און

ד"ר נמרוד קוזלובסקי, שותף במשרד עוה"ד הרצוג, פוקס נאמן ובקרן ההון סיכון JVP, מחזק את מסקנות המחקר: "לחברות יש מוטיבציה גבוהה מאוד לא לדווח, מכל מיני סיבות: זה עלול לחשוף את החברה לעוד מתקפות; הן מניחות שזה עלול לפגוע באמון של הלקוחות העסקיים; המנהלים חוששים שכתוצאה מדיווח עלולות להיות בדיקות נגדם, ופוחדים מחקירות של רשות ני"ע או הרשות להגנת הצרכן; וגם למנהלי אבטחת המידע יש מוטיבציה גבוהה מאוד שפריצות כאלה לא ייחשבו לאירועים משמעותיים, בגלל התפישה כי האחריות לכך מוטלת עליהם". לוי מוסיף גם כי יש רגולטורים במדינות שונות, למשל בקליפורניה, שהבינו כי החברות לא בהכרח מדווחות למשקיעים ולכן מחייבים אותן לדווח למדינה וליצור קשר עם הלקוחות, כדי שיהיו מודעים לכך שהפרטים שלהם דלפו.

קוזלובסקי, שמייעץ לחברות רבות לגבי סוגיות משפטיות הקשורות למתקפות סייבר, טוען שהוא רואה דינמיקה של הסתרת האירוע. "החברות משתדלות לבצע חקירה שקטה, אפילו בתוך החברה", הוא אומר. "בשלב שבו חברה נמצאת בדילמה אם לפרסם או לא, היא עושה הכל כדי להימנע מדיווח, אם ניתן להימנע ממנו, ומחפשת נימוקים לכך שאין חובת דיווח במקרה הספציפי הזה. הרבה טיעונים משמשים לכך – לא היתה פגיעה מטריאלית, כלומר הפגיעה לא נגעה למידע רב; לא נגרם נזק כלכלי גדול; או שהפריצה לא נגעה להיבטים משמעותיים בארגון. כמו כן, החברות מנסות להראות שלא נגרמה להן פגיעה חיצונית, למשל שלא היתה זליגת מידע של משתמשים".

פגיעה במוניטין של החברה שתשפיע על הכנסות עתידיות, או גניבת סוד מסחרי שתפגע במעמד החברה מול המתחרות שלה, עלולות לגרום נזק רב, ועשויות להיכנס תחת ההגדרה של פגיעה מטריאלית, אך זה מותנה בשאלה כמה החברה מקלה עם עצמה. טיעון נוסף שמאפשר לחברות לא לפרסם דיווח למשקיעים הוא שאם החברה טרם השלימה את זיהוי כל הפרצות, היא מסתכנת בפריצות נוספות.

החברות משתמשות בשני נימוקים נוספים כדי להימנע מפרסום דיווח למשקיעים על אודות פריצות סייבר: הראשון הוא הטענה שטרם הושלם הזיהוי כל כשלי האבטחה; השני הוא הסתתרות מאחורי דרישותיהם של גופי אכיפת החוק, הדורשים לעתים לשמור על חסיון כדי לא לפגוע במאמצי החקירה.

לדברי קוזלובסקי, יש מתח מובנה בין מנהלי החברות ליועצים המשפטיים, שמתקשים לחיות בשלום עם אי הדיווח. ואולם, אם עד המתקפה של יאהו מרבית היועצים המשפטיים שיתפו פעולה עם החברות, קוזלובסקי מספר כי מתקפת הסייבר הזו עוררה רעידת אדמה. "פתאום עורכי הדין מבינים שהשתנתה הסביבה הרגולטורית, ואז או שהחברה חשופה לתביעות, או שהם חשופים. לכן עורכי הדין נמצאים בעמדה יותר תקיפה מול החברות".

גם כשחברות מפרסמות פרטים על המתקפה, הן נוטות לפרסם מידע לקוני שרחוק מאוד מלשקף את הידוע לאנשי אבטחת המידע. לא פעם קשה להבין מתוך הדיווחים מה היה אופי המתקפה, איזה מידע נלקח, מה המוטיבציה של התוקף ומהן ההערכות האמיתיות של החברה לגבי הפגיעה האפשרית במוניטין שלה. המידע הזה נוטה להיות מדוד ומצומצם, הוא מפורסם בעיקר לצורך כסת"ח משפטי, והוא מקשה מאוד על המשקיעים להעריך באמת את גודל הנזק שנגרם לחברה.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#