$
בורסת ת"א

מוכנים למתקפת הסייבר הבאה? ספרו למשקיעים

חברות ביטוח ובנקים מדווחים על איומי סייבר כלפיהם. חשוב שגם שאר החברות הציבוריות יבדקו עצמן ויגלו שקיפות בנושא

אמיר עסלי 07:1006.07.17

התממשות איומי הסייבר כבר מזמן אינה שאלה של האם — אלא של מתי. בשנים האחרונות עולה בהתמדה החשיפה של תאגידים לאיומי סייבר, והיא מתבטאת בתחכום גובר של ההתקפות, בעוצמת הנזק שלהן ובקושי לזהות אותן. חברות ציבוריות רבות נפלו קורבן לתקיפות סייבר, שבמסגרתן נגנב מידע על עשרות מיליוני לקוחות, לרבות פרטי כרטיסי אשראי וחיוב. בשל כך נאלצים נושאי משרה בחברות כמו Target ו־Home Depot להתמודד עם תביעות נגזרות בעניין, מגמה שצפויה להמשיך ולהתחזק.

 

אחריות הדירקטוריון

 

בישראל חלות חובות רגולטוריות ספציפיות על בנקים וחברות ביטוח בקשר לניהול הגנת סייבר. כך, למשל, בהתאם לחוזר הממונה על שוק ההון בנושא ניהול סיכוני סייבר בגופים מוסדיים, שמרבית הוראותיו נכנסו לתוקף באפריל השנה, מוטלת אחריות מוגברת על הדירקטוריון. זה אחראי לאישור מדיניות החברה בתחום ניהול סיכוני הסייבר, בעוד על מנכ"ל הגוף המוסדי מוטלת האחריות להבטחת ניהול תקין של תחום סיכוני הסייבר.

 

גופים אלה נוהגים גם לדווח לציבור המשקיעים בדו"חותיהם על סיכוני הסייבר וההיערכות להם, דבר המאפשר למשקיעים להעריך את הסיכון הכרוך בתופעה. באחד הדו"חות צוין, לדוגמה, כי מושקעים מאמצים רבים כדי למזער ואף למנוע סיכוני סייבר, אך נאמר גם כי לא ניתן להבטיח הגנה מושלמת מפניהם.

 

עו"ד אמיר עסילי עו"ד אמיר עסילי צילום: יחצ

אך מה לגבי יתר החברות הציבוריות בישראל? הרי גם חברות מתחומי האנרגיה והקמעונאות, למשל, מהוות יעד מרכזי לתקיפות סייבר. אולם מעיון בדו"חותיהן הכספיים ל־2016 עולה כי מרבית אלה שאינן מחויבות לכך רגולטורית לא מספקות גילוי. לכן, ייתכן שחלקן מנהלות בפועל הגנת סייבר, אך בהיעדר גילוי לא ברורה רמת החשיפה וההיערכות שלהן לסיכונים.

 

לשם השוואה, מבדיקה שערכה לאחרונה רשות ניירות ערך הקנדית עולה כי 61% מתוך 240 החברות הכלולות במדד S&P/TSX בבורסת טורונטו, התייחסו לסיכוני סייבר במסגרת גורמי הסיכון המתוארים בדו"חותיהם השנתיים.

 

רגולציה — לא לכולן

 

האם צריך להחיל על כלל החברות הציבוריות חובת גילוי בנושא סיכוני סייבר? אני סבור שבשלב זה לא, מאחר שעל כל חברה כזו כבר חלה חובה כללית לספק גילוי בדו"חותיה באשר לאיומים, לחולשות ולגורמי הסיכון האחרים של החברה, הנובעים מסביבתה הכללית, מהענף ומהמאפיינים הייחודיים שבפעילותה.

 

מדוע לא קיים כמעט גילוי בנושא בקרב החברות הציבורית שאינן בנקים או חברות ביטוח? ייתכן שחלק מהן בחנו את האפשרות, והמסקנה היתה כי לא מדובר באיום או בגורם סיכון, ואצל אחרות ייתכן שהעניין טרם נבדק.

 

מן הראוי שחברות ציבוריות יבחנו מחדש את כלל גורמי הסיכון החלים על פעילותן, תוך שימת דגש על נושא אבטחת המידע בכלל והסייבר בפרט, ויספקו גילוי על כך ככל הנדרש. בחינה כזו יכולה להוביל את החברות הרלבנטיות שטרם עשו כן, לנקוט את האמצעים הדרושים להתמודדות עם איומי הסייבר — כמו אימוץ מדיניות ונהלים, לרבות נהלים אופרטיביים למצב של פריצה, וכן בחינת הכיסוי הביטוחי של החברה.

 

הכותב הוא שותף במחלקת שוק ההון במשרד ש. הורוביץ ושות'

 

 

סייבר סייבר צילום: cyberworldconnect

 

 

 

 

בטל שלח
    לכל התגובות
    x