הדירקטורים מתבקשים להיערך למתקפת סייבר

הגניבה של פרטי כרטיסי האשראי מלאומי קארד שנחקרת בימים אלו, והבאג החדש שנחשף ב"כלכליסט" המאיים על אתרי הבנקים, מלמדים שגם ישראל מצטרפת למעגל הפוטנציאלי המתרחב של איומי הטרור הווירטואלי שכבר מכה בעולם. בשבוע שעבר דווח על מסמכים ששאבו האקרים ממחשבי חברת סוני.  

מתקפות על כמה חברות ענק בארה"ב שנחשפו בשנים האחרונות - ובהן טארגט, אדובי, ווינדהאם ובארנס אנד נובל - שבמסגרתן נגנבו פרטים אישיים ופרטים של כרטיסי חיוב השייכים לעשרות מיליוני לקוחות, משקפות מגמה הולכת ומתרחבת של מתקפות סייבר על חברות מסחריות.

הכיוון: חובת דיווח

האיומים שמופנים לכל עבר, התגברותם והחמרתם, אומר עו"ד תימור בלן, שותף במשרד גורניצקי, הניבו בשנים האחרונות שתי מגמות שעלולות להגדיל את הסיכונים המשפטיים הנשקפים לחברות ולדירקטורים. "הראשונה היא פיתוח רגולציה בתחום הסייבר המתמקדת בחברות מסחריות. רגולציה כזו הולכת ותופסת תאוצה בארה"ב ובאירופה, והיא מטילה על חברות חובות בתחום שמירת מידע על לקוחות, דיווח לרשויות ולציבור על פריצה למערכות החברה, או עמידות מערכות החברה מפני פריצה". בהקשר זה מזכיר עו"ד בלן את טיוטת הדירקטיבה של האיחוד האירופי שצפויה להיכנס לתוקף במהלך 2015, אשר מציעה במקרים מסוימים להטיל סנקציות קשות על חברות שלא יעמדו בחובות דיווח על פריצה למערכותיהן. בישראל ניתן לזהות ניצנים של רגולציה בתחום.

עו"ד פיני עזריה

כך למשל, בספטמבר האחרון פרסם בנק ישראל טיוטת הנחיה לבנקים ולחברות כרטיסי האשראי בנוגע לשימוש במחשוב ענן. כמו כן, לפני כשנתיים פרסם משרד המשפטים טיוטה של תקנות שעשויות לחייב חברות המחזיקות מידע על לקוחות לנקוט שורה של צעדים בתחום אבטחת מערכות המחשוב. "המגמה השנייה היא הגשה של תביעות נגד חברות שמערכותיהן נפרצו בהתקפות סייבר. כבר כיום הסיכונים המשפטיים בתחום הסייבר מוחשיים מאוד לחברות שפועלות בארה"ב ובאירופה. סיכונים אלו צפויים להפוך מוחשיים גם בישראל בשנים הקרובות", מזהיר בלן.

בשנה האחרונה הוגשו בארה"ב עשרות תביעות, בהיקף של עשרות ואף מאות מיליוני דולרים, מטעם לקוחות שפרטיהם נגנבו בהתקפות סייבר. תביעות נגזרות הוגשו אף מטעם בעלי מניות של החברות שנפגעו נגד דירקטורים בחברות האלו ונגד מנהליהן. בתביעות נטען שהדירקטורים הפרו את חובת הנאמנות שלהם כלפי החברה משום שלא נקטו צעדים מספקים להגנה על מערכות החברה, או שלא פעלו כראוי לצמצום הנזק עם קבלת המידע הראשוני על הפריצה.

לדברי עו"ד פיני עזריה ממשרד עורכי הדין אוסטרובר עזריה, "סיכוני סייבר שונים בהיקף ולרוב גם במהות מהסיכונים המסורתיים למידע. ברשתות המחשבים זורם מידע רפואי, כספי, פרטי וטכנולוגי. המידע הזה כפוף להגנות לפי חוקים שונים — הגנת הפרטיות, חוק הבנקאות, החוק לאיסור הלבנת הון — אלא שאותם דינים מטפלים במידע מתוך פריזמה מסוימת שיוצרת לעתים אשליית תקינות, אך מדובר בכיסוי חלקי, ולכן החברות נדרשות לסגור את הפער בטיפול הוליסטי שלם".

"חייבים דאטה־שר"

עזריה מתכוון לשיתוף פעולה בין חברות. "חייבים דאטה־שר, חלוקת מידע, וכן חלוקת אחריות בין הרשויות לגופים פרטיים. נחוץ שיתוף פעולה שוטף חוץ־ארגוני עם רשויות ועם עסקים בעלי פעילות דומה. אינך יכול לדרוש מבית באשקלון להתמגן מפני טילים, אבל בעולם הסייבר נדרש שיתוף פעולה כזה. בנק שחושד שהוא מותקף צריך לחלוק את המידע עם חברת האשראי". לפי בלן, "כדי להתמודד עם האיומים המשפטיים החדשים, מנהלים ודירקטורים נדרשים לתת את הדעת להטמעה של מדיניות סייבר רחבה בארגון".

במסגרת המדיניות הזו, הוא מסביר, על החברה לבחון אילו סוגי מידע נאגרים במערכותיה ומהם אמצעי ההגנה הקיימים בחברה. כמו כן, עליה לגבש נהלים לצמצום הסיכונים למתקפת סייבר, כמו נוהלי הרשאות גישה למערכות המידע, שימוש בסיסמאות וגם אבטחה פיזית של מערכות המחשוב.

נוסף על כך, יש לגבש נהלים למצב של פריצה, כולל בקרת נזקים, שיקום מערכות ודיווח לרשויות האכיפה וללקוחות. "במקביל", מוסיף בלן, "החברה חייבת לגדר את סיכוני הסייבר במסגרת היחסים המסחריים שלה. לדוגמה, לוודא שבהסכמים המסחריים שהיא חתומה עליהם יש התייחסות לחלוקת סיכונים ולהגנה על מערכות המידע, לוודא שהיא עומדת בחובות לגילוי מידע היכן שגילוי כזה נדרש, ולבחון את הכיסוי הביטוחי שלה במקרה של פריצה למערכותיה".