התפקיד הקריטי של דירקטורים במתקפות סייבר בעידן החדש
התפקיד הקריטי של דירקטורים במתקפות סייבר בעידן החדש
מתקפות סייבר אינן עוד עניין טכני בלבד – הן אתגר אסטרטגי, כלכלי וחברתי כלל עולמי, המכתיב סדר יום חדש בעולם העסקי והמשפטי. הנזקים שגורמות מתקפות אלה, הנאמדים בטריליוני דולרים בשנה, מאלצים חברות לאמץ סטנדרטים חדשים של ניהול סיכונים
פרשת איליה ליכטנשטיין, שהגיעה לשיאה בפסק דין שניתן החודש, היא אחד המקרים הבולטים ביותר בעולם פשעי הסייבר ומסמלת את חומרת האיומים הללו בעידן הדיגיטלי. ליכטנשטיין, האקר רוסי-אמריקאי, הצליח לפרוץ למערכת המסחר של Bitfinex בשנת 2016 ולגנוב 120,000 מטבעות ביטקוין – שערכם כיום נאמד ביותר מעשרה מיליארד דולר. יחד עם אשתו, ניהלו בני הזוג מבצע מורכב להלבנת הכספים באמצעות שימוש באלפי ארנקים דיגיטליים ופלטפורמות סחר במטבעות קריפטו. הפרשה מדגישה את הקלות בה ניתן לבצע פשעים בסדר גודל אדיר באמצעות מחשב בלבד – דבר שמציב אתגר אדיר למערכות אבטחת הסייבר בעולם.
איום הסייבר הפך לתופעה עולמית המאיימת על מדינות, ארגונים, תאגידים מסחריים ואנשים פרטיים כאחד. ההיקף והתדירות של מתקפות הסייבר עולים משנה לשנה, ומחייבים את עולם העסקים להתאים את עצמו למציאות החדשה. בין המתקפות הנפוצות ניתן למנות את מתקפות הכופרה, שבהן האקרים נועלים מערכות ודורשים כופר כדי לשחררן; מתקפות פישינג, שבהן נגנב מידע רגיש באמצעות התחזות למיילים לגיטימיים; ומתקפות מניעת שירות מבוזרת (DDoS) שמובילות לקריסת מערכות באמצעות עומס מלאכותי. כל אלה גורמים לא רק לנזקים כלכליים עצומים אלא גם לפגיעה במוניטין ובאמון הציבורי. בשל כך, רובצת אחריות רבה על חברות בכלל וחברי הדירקטוריון בפרט למנוע מקרים אלו.
מתקפות אלה דורשות מענה מותאם הכולל טכנולוגיה, מודעות ואסטרטגיה נכונה לניהול המשבר. לפי הערכות, בשנת 2023 שולם לתוקפים סכום כולל של כ-450 מיליון דולר וממוצע של כ-1.7 מיליון דולר באירוע כופרה, אך הנזק הכולל שנגרם לארגונים ששילמו עלה בממוצע פי 50 מהסכום ששולם. סכומי הכופרה צפויים לעלות בשנים הקרובות בשיעורים דרמטיים.
עלייתם של איומי הסייבר אינה משאירה את הדירקטוריונים של החברות מחוץ למשוואה. אם בעבר נתפס תחום הסייבר כאחריות בלעדית של מחלקות ה-IT, כיום ברור שמדובר באחריות כוללת של ההנהלה והדירקטוריון. בישראל, רשות ניירות ערך קבעה הנחיות ברורות המבהירות כי הדירקטוריון אחראי על גיבוש מדיניות סייבר, פיקוח על ניהול סיכונים, והבטחת מענה ראוי לאיומים. הדירקטורים מחויבים לוודא שיש בקרה קפדנית על מערכות האבטחה, שהארגון מתמודד בצורה יעילה עם רגולציות בנושא, ושמבוצעות פעולות למניעת מתקפות ולניהול אירועי סייבר בשעת חירום.
אחריות הדירקטוריון בנושא זה מקבלת משנה תוקף כשבוחנים פסיקות משמעותיות בתחום. במקרה Palkon v. Holmes אשר נדון בניו ג'רזי, נבחנה סוגיית אחריות הדירקטוריון בעקבות שלוש פרצות אבטחה נרחבות שאירעו בחברת Wyndham Worldwide Corporation, חברה ציבורית בתחום המלונאות. באותו מקרה, נגנבו פרטיהם של 600 אלף לקוחות. החקירה העלתה כי הדירקטוריון פעל באחריות וביקש להפיק לקחים מכל פריצה. החברה שכרה חברות טכנולוגיה לחקירת הפרצות, וקיבלה המלצות לשיפור מערך האבטחה, אותן החלה ליישם בהדרגה. כמו כן, הדירקטוריון קיים דיונים תכופים בנושא פרצות האבטחה, הן במסגרת ישיבות כלליות והן באמצעות ועדות ייעודיות, והוביל שינויים פרקטיים במערכות הארגון. בית המשפט דחה את התביעה כנגד הדירקטוריון, תוך קביעה כי פעולות אלו הראו ניהול אחראי ונחוש של סיכונים, וזאת על אף היקף הנזק שנגרם.
גם בישראל, דוגמאות מאירועים בולטים ממחישות את חשיבות ניהול סיכוני הסייבר על ידי הדירקטוריון. במקרה של שירביט, מתקפת סייבר שהתרחשה ב-2020 הובילה לדליפת 22,639 מסמכים רגישים, כולל מידע אישי, פרטי בנק ומסמכים רפואיים של לקוחות החברה. התובעים טענו כי החברה התרשלה באבטחת המידע ולא הייתה שקופה מספיק בנוגע להיקף הדליפה. במסגרת הסדר פשרה, שולמו כ-4.8 מיליון ש"ח למבוטחים שנפגעו, והראל, שרכשה את שירביט, התחייבה לשפר את מערך האבטחה שלה.
במאה ה-21, שבה איומי סייבר הם חלק בלתי נפרד מהמציאות העסקית, הדירקטוריון חייב לאמץ גישה פרואקטיבית לניהול סיכונים. אחריותו אינה מוגבלת עוד למעקב פאסיבי אחרי מדדי ביצוע; היא כוללת פיקוח הדוק בעצמו ובאמצעות יועצים רלבנטיים על ניהול סיכוני סייבר, גיבוש מדיניות מותאמת, קביעת נהלים ויישומם, בקרה על הגנה על מידע אישי ופרטי, הערכות מראש לתקיפות סייבר אפשריות ושיקום המערכות והעסקים בעקבות אירוע סייבר.
חברי הדירקטוריון נדרשים להבטיח את קיומם של תהליכים יסודיים לבחינת סיכוני סייבר, תוך שיתוף פעולה עם מנהלי מחלקות רלוונטיים. עליהם להוביל את המאמצים לחיזוק מערכות האבטחה, לא רק כאמצעי הגנה אלא גם כדי לעמוד ברגולציות המחמירות ההולכות ומתרבות בעולם. דגש מיוחד יש להעניק לאיומים על פרטיות מידע אישי, שבהם נדרש מהארגון לא רק למנוע את האירוע הבא, אלא גם להיערך נכון לניהול שקוף ויעיל של משבר במקרה הצורך.
אסטרטגיה סדורה לניהול סיכוני סייבר היא כיום כורח, ולא מותרות. הדירקטוריון נדרש לקחת חלק פעיל בגיבוש מדיניות מתקדמת לאבטחת סייבר, לוודא שנעשה שימוש בטכנולוגיות מתקדמות ושהארגון ערוך לתגובה מהירה ויעילה לכל תרחיש אפשרי. ניהול נכון של תחום זה מבטיח לא רק הגנה על נכסי החברה, אלא גם שמירה על אמון הלקוחות והמשקיעים.
עו"ד אילן גרזי הוא שותף וראש קבוצת שוק ההון וניירות ערך במשרד פרל כהן. עו"ד סהר עזר הוא עורך דין בקבוצת שוק ההון בפרל כהן
