בניגוד להנחיית הרשות לניירות ערך: גולד בונד לא שיקפה למשקיעים את סיכוני הסייבר
בניגוד להנחיית הרשות לניירות ערך: גולד בונד לא שיקפה למשקיעים את סיכוני הסייבר
דו"ח הדירקטוריון של החברה חושף כי ייתכן שניתן היה למנוע את השבתת פעילותה של הקבוצה המחזיקה בספנות ישראל בתחילת ינואר השנה עקב פריצת סייבר שביצעו האקרים פרו-פלסטינים. בנוסף, הוא קובע כי "החברה לא עמדה בחובת הדיווח המוטלת עליה" באשר לסיכון זה
חברת גולד בונד, שפעילותה הושבתה לפני כשנה על ידי פריצת סייבר של האקרים, לא שיקפה כראוי את סיכוני הסייבר שמאיימים עליה למשקיעים. על פי דו''ח הדירקטוריון על מצב ענייני החברה שפורסם לאחרונה, כ-3 שנים לפני האירוע, ב-2019, רשות ניירות ערך העבירה הנחייה לכל החברות הבורסאיות שעליהן היא מפקחת - עמדה משפטית של מחלקת תאגידים בעניין "גילוי בנושא סייבר" - במסגרתה היא הנחתה את החברות לנתח סיכוני סייבר ולהסביר כיצד הן אמורות להתמודד עמם.
ברשות מסבירים שגולד בונד לא שיקפה לציבור המשקיעים את סיכוני הסייבר כפי שנדרש ושהם לא יודעים לומר אם החברה נערכה כיאות או שלא לסיכוני סייבר פוטנציאלים, אבל הלכה למעשה החברה אכן נפרצה באופן כזה שגורם לתהות האם אכן ניסתה ליישם בפועל את הערכות הסיכונים שלה.
אירוע הפריצה למחשבי החברה נחשף בינואר שעבר. על פי הודעת החברה לבורסה מה-31 בינואר האחרון, תקיפת סייבר השביתה את מחשבי החברה וכתוצאה מכך גם חלק גדול מפעילותה. עוד מסרה החברה כי שיבושים שהחלו בלילה זוהו כחדירה של גורם זר למערכות שלה וכי בהמשך התברר שההאקרים שככל הנראה עומדים מאחורי תקיפת המחשבים של גולד בונד הם קבוצה המכנה את עצמה Hackers of Saviors - האקרים פוליטיים שפועלים בשם המאבק הפלסטיני. פעילות החברה, בכל אופן, נפגעה למשך לפחות עשרה ימים במקרה טוב ויותר מחודש במקרה הרע.
גולד בונד טוענת שמדובר ככל הנראה בגורם שמופעל בידי מדינה או נתמך על ידי אחת. עם זאת, מומחי סייבר לא בהכרח יכולים להצביע על גורם כזה או אחר בוודאות, שכן ייחוס של מקור תקיפה נחשב לבעייתי ביותר. לוטם פינקלשטיין, מנהל מחלקת מחקר הסייבר והמודיעין בצ'ק פוינט, הסביר לנו בהמשך לאירוע, כי "המתקפה הנוכחית שונה באופיה ממתקפות קודמות, שכן הפעם עולה החשש כי הקבוצה הצליחה להדליף מידע רגיש ועל פי פרסומים בערוץ הטלגרם המזוהה עמה נראו צילומים ממצלמות אבטחה. אם זה נכון, הרי שמדובר בגישה למערכות פנימיות בחברה. בינתיים קשה לדעת אם מדובר בקבוצה איראנית, פלסטינית או אחרת. עד כה הוערך שמדובר בקבוצה לא מקצועית במיוחד, שמטרתה בעיקר הפצה של פרופגנדה פרו־פלסטינית".
ברשות כותבים בביקורת שצורפה לדו''ח הדירקטוריון ש"נראה כי אילו ביצעה החברה לצורך פרסום דוחותיה לשנת 2020 את אותה בחינת מהותיות אשר נערכה על ידה לקראת דוח 2021 ניתן היה לצפות שהדיווח במסגרת הדוחות לשנת 2020 בנושא זה היה מכיר בסיכון סייבר כגורם סיכון לחברה. החברה לא עמדה בחובת הדיווח המוטלת עליה ביחס למתן גילוי על קיומו של סיכון סייבר כגורם סיכון החל על החברה בדוח 2020".
הניסוח המעט פתלתל הזה עשוי להצביע על כך שלמעשה החברה לא ממש התייחסה ברצינות להנחיות של רשות ניירות ערך, שכן אם היתה מתייחסת אליהם כראוי אולי היתה נערכת בצורה יותר מקצועית ואירוע הפריצה - שבוצע על פי הערכות גורמי מקצוע בידי קבוצה לא מאוד מתוחכמת - היה נמנע. החברה, מנגד, טוענת שפעילות הסחר האלקטרוני שלה היתה זניחה לפני 2021 ושהיא נערכה לסיכונים בהתאם. גם כאן אפשר לתהות האם חברה שמפעילה מסוף מטענים, משתמשת בציוד מחשוב גם בפעילות השוטפת ובאופן כללי לא עובדת רק עם ניירות ועטים, לא היתה צריכה להפנות הרבה יותר תשומת לב לסיכוני סייבר פוטנציאליים שיכולים להשבית את פעילות מערך המחשוב שלה בהפתעה ובתוך זמן קצר.
"החזרה לפעילות של מסוף מטענים כמו שמפעילה גולד בונד יכולה לקחת גם שבועות", אמר אז ל"כלכליסט" רם לוי, מנכ''ל חברת הסייבר קונפידס. "מסוף שלא מתקשר עם העולם לא יכול לתפקד. גולד בונד הוא מסוף עורפי והמשמעות היא שלא ניתן לקבל ולהוציא מכולות. נמל ומסוף נשענים על מספר מערכות המקושרות זו לזו וכולן מחליפות מידע אלקטרוני עם חברות ספנות, יבואנים, יצואנים, מכס, נמלים אחרים ועוד. זה מה מגביר את המורכבות של טיפול באירוע".
בגולד בונד טוענים ש"החברה אינה מקבלת את עמדת הביקורת", ומוסיפים כי "בדוח 2020 עמדה החברה בכל חובות הדיווח המוטלות עליה ביחס למתן גילוי אודות גורמי סיכון מהותיים להם היא חשופה. לקראת פרסום דוח 2020, ערכה הנהלת החברה, יחד עם יועציה המקצועיים, מספר רב של דיונים שבהם ביצעה ניתוח של גורמי הסיכון המהותיים להם חשופה החברה; והן לנוכח העובדה כי בשנת 2020 פעילות האיקומרס של החברה, שהינה פעילות עתירת טכנולוגיה, הנסמכת כולה על תשתיות אינטרנט ותשתיות מקוונות, היתה פעילות זניחה, כשרק עם התפתחות פעילות זו במהלך שנת 2021 ,הפך סיכון הסייבר למהותי יותר".
עם זאת, בחברה כן אומרים שלאחר הפריצה היא "העריכה מחדש את עמדתה לגבי סיכון הסייבר". כמו כן, מסבירים שם שהחברה מבצעת ביקורת עומק בנושא היערכות לאירוע סייבר על ידי גורם מקצועי ושזו צפויה להסתיים עד סוף השנה. גולד בונד, לדבריה, אף החלה להעסיק מנהל מערכות מידע במשרה מלאה - כלומר, היא לא העסיקה אחד כזה עד כה. חשוב לציין שמנהל מערכות מידע אינו תמיד מומחה סייבר או בעל כישורים מספיקים כדי להעריך כיצד יש להגן על תשתיות טכנולוגיות, מחשבים ותקשורת פני תקיפות האקרים - אבל עדיין, טוב שיש כעת אחד כזה.
כעת, נוכח הביקורת, גולד בונד עשויה להיות חשופה לקנסות או לעיצומים מטעם רשות ניירות ערך. לרשות יש סמכות להטיל קנסות ולהעניש חברות שלא עמדו בחובות ובהנחיות חובת הדיווח. קנסות אלה נעים בין עשרות למאות אלפי שקלים, אבל הם נדירים. בינתיים, לא ברור כלל אם ברשות בכלל מתכוונים לחקור את המקרה או שוקלים הטלת קנס.
גולד בונד היא לא חברה קטנה או לא משמעותית. מדובר בחברה הנסחרת בבורסה בת"א בשווי של 580 מיליון שקל, כך לפי אתר הבורסה היום (ב'). בעלי השליטה בה הם משפחת שמלצר, שלומי פוגל ומסופי ספנות (שבשליטת משפחת בורכרד) - כל אחד מהם עם אחזקה של 29.1%. החברה גם מחזיקה במספנות ישראל, כשהאחזקה בה מחולקת באופן שווה בין החברה, משפחת שמלצר, שלומי פוגל וסמי קצב – כל אחד מהם עם 20% (לפוגל ולשמלצר יש כאמור גם אחזקה עקיפה דרך גולד בונד). שווי השוק של מספנות ישראל שהונפקה בת"א בספטמבר 2020 עומד על 2.374 מיליארד שקל.
פנינו לגולד בונד לקבלת תגובה, אך עד לפרסום הכתבה לא התקבלה התייחסות מהחברה.
