• Member Login
  • Become a Member
  • Database Search
IATI - Israel Advanced Technology Industries
IATI - Israel Advanced Technology Industries
IATI Resources Members' Contributions איומי סייבר כגורם סיכון בחברות ציבורית

איומי סייבר כגורם סיכון בחברות ציבורית

מאת עו"ד אמיר עסלי, שותף במחלקת שוק ההון במשרד ש. הורוביץ ושות'.

התממשותם של איומי סייבר כבר מזמן אינה שאלה של האם אלא שאלה של מתי. בשנים האחרונות נרשמה עליה מתמדת בחשיפת תאגידים לאיומי סייבר, המתבטאת בעליה בתחכום ההתקפות, בעוצמת הנזק הפוטנציאלי ובקושי לזהות התקפות אלו. חברות ציבוריות רבות נפלו קורבן לתקיפות סייבר אשר במסגרתן נגנבו פרטיהם של עשרות מיליוני לקוחות לרבות פרטי כרטיסי אשראי וחיוב, ונושאי משרה בחברות כגון Target ו- Home Depot נאלצים גם להתמודד עם תביעות נגזרות בעניין, מגמה אשר צפויה להמשיך ולהתחזק.

בישראל, קימות חובות רגולטוריות ספציפיות על בנקים וחברות ביטוח בהקשר של ניהול הגנת סייבר. כך למשל, בהתאם לחוזר הממונה על שוק ההון בנושא ניהול סיכוני סייבר בגופים מוסדיים אשר מרבית הוראותיו נכנסו לתוקף באפריל השנה -  מוטלת אחריות מוגברת על הדירקטוריון אשר אחראי על אישור מדיניות בתחום ניהול סיכוני הסייבר ועל מנכ"ל הגוף המוסדי אשר אחראי בין היתר על הבטחת ניהולו התקין של תחום סיכוני הסייבר.

גופים אלו נוהגים גם לספק לציבור המשקיעים גילוי בדוחותיהם ביחס לסיכוני סייבר והיערכותם, מה שמאפשר לציבור להעריך סיכונים אלו. לדוגמה, באחד הדוחות צוין, בין היתר, כי מושקעים מאמצים רבים כדי למזער ואף למנוע סיכונים כאמור, אך לא ניתן להבטיח הגנה מושלמת.

אך מה לגבי יתר החברות הציבוריות? מחקרים מראים כי לא רק בנקים וחברות ביטוח אשר מחויבים רגולטורית לדאוג לעניין חשופים - גם חברות מתחום האנרגיה והקמעונאות למשל מהוות יעדים מרכזיים לתקיפות סייבר. אולם, להבדיל מהבנקים וחברות הביטוח שמספקות גילוי רלבנטי, עיון בדוחות השנתיים אשר פורסמו לאחרונה מראה כי רוב החברות האחרות אינן מספקות גילוי כלל, ולכן, אף שיתכן שחברות אלו מנהלות בפועל הגנת סייבר, בהעדר גילוי לא ברורה רמת חשיפתן והיערכותן לסיכונים. גילוי ברור ורלבנטי עשוי גם לסייע לחברה להדוף טענות הנוגעות להעדר גילוי בקרות אירוע סייבר.

לצורך ההשוואה, מבדיקה שערכה לאחרונה רשות ניירות ערך הקנדית עולה כי 61% מתוך 240 החברות הכלולות במדד ה- S&P/TSX בבורסת טורונטו, כללו התייחסות לסיכוני סייבר במסגרת גורמי הסיכון המתוארים בדוחותיהם השנתיים.

האם לאור האמור קיים צורך בהחלת חובת גילוי ספציפית בנושא סיכוני סייבר (בדומה למשל לנעשה ביחס לסיכונים סביבתיים בעקבות דליפת הנפט המסיבית בקידוחי BP)? אני סבור שבשלב זה לא - מאחר ועל כל חברה ציבורית כבר חלה חובה כללית לתת גילוי בדוחותיה התקופתיים בנוגע לאיומים, החולשות וגורמי הסיכון האחרים של החברה, הנובעים מסביבתה הכללית, מן הענף ומן המאפיינים הייחודיים שבפעילותה.

מדוע אם כך כמעט ולא קיים גילוי בעניין אצל יתר החברות הציבורית שאינן בנקים וחברות ביטוח? יתכן שאצל חלק מהחברות העניין נבחן והמסקנה היתה כי אין מדובר באיום או גורם סיכון, ויתכן שאצל חברות אחרות העניין טרם נבחן.

על כן, מן הראוי שהחברות הציבוריות הרלבנטיות יבחנו מחדש את כלל גורמי הסיכון החלים על פעילותן תוך שימת דגש על נושא אבטחת המידע בכלל והסייבר בפרט ויתנו גילוי ככל הנדרש. בחינה כאמור אף יכולה להוביל חברות רלבנטיות אשר טרם עשו כן, לנקוט באמצעים הדרושים לצורך התמודדות עם איומי סייבר כגון אימוץ מדיניות ונהלים, לרבות נהלים אופרטיביים למצב של פריצה וכן בחינת הכיסוי הביטוחי של החברה.

| Terms of Use | Privacy Policy | Sitemap