תקיפת חברה היא אירוע אסטרטגי או אירוע טכנולוגי?
מלחמת "חרבות ברזל" הוכיחה כי תקיפות סייבר הן אמצעי בסל הכלים המלחמתי עם הניסיונות והפגיעות החוזרות ונשנות במשק הישראלי. על פי דו"ח מערך הסייבר הלאומי, עלותן השנתית של תקיפות סייבר בישראל מוערכת בכ־12 מיליארד ש"ח, סכום העולה בהתמדה מדי שנה נוכח ההתפתחויות הטכנולוגיות והזינוק בכמות ובתחכום ההתקפות.
לכך מצטרפים נתוני דוח הפעילות השנתי של השב"כ, שחשף כי בשנת 2024 סוכלו כ־700 מתקפות סייבר עוינות נגד גופים ציבוריים ופרטיים בישראל, עדות לעלייה בעוצמת האיומים ובהיקף הזירות שנמצאות תחת מתקפה. הדו"ח מדגיש כי פעילות הסייבר העוינת הפכה לכלי אסטרטגי בידי מדינות וגורמים עוינים, ולא רק לאתגר טכנולוגי נקודתי.
והנה, השבוע, דווקא ממשלת בריטניה היא זו ששיגרה מכתב רשמי תקדימי לראשי 350 החברות הגדולות במדינה ובו מסר חד וברור: ניהול סיכוני סייבר הוא באחריות הדירקטוריון, לא רק של מחלקת ה־IT , אנשי הסייבר ושומרי הסף.
המכתב, שנחתם בין היתר על ידי שרת האוצר רייצ'ל ריבס, שרת החדשנות ליז קנדל, שר הביטחון דן ג'רוויס וראש ה־NCSC (המרכז הלאומי לסייבר), מזהיר מפני עלייה דרמטית בהיקף ובתחכום המתקפות על חברות בריטיות, וקורא למנהלים "לקחת אחריות קולקטיבית על עמידות הסייבר של המשק הבריטי". במכתב גם מצויינים הצעדים שכל דירקטוריון נדרש לבצע בצורה מיידית וביניהן אימוץ “קוד ממשל תאגידי לסייבר הקובע כי הדירקטוריון אחראי לקביעת מדיניות, קבלת דיווחים שוטפים, ביצוע תרגילי תגובה, והכשרה ייעודית לחברי דירקטוריון. הצטרפות לשירות Early Warning של ה־NCSC – שירות ממשלתי חינמי שמתריע בזמן אמת על ניסיונות תקיפה והחלת תקן Cyber Essentials על כלל שרשרת האספקה, תקן בסיסי שמפחית ב־92% את הסיכון לתביעות ביטוח סייבר ומבטיח ניהול אחראי של סיכונים גם אצל ספקים
ומה המצב אצלנו בישראל כמי שחוותה, בפועל, מתקפות סייבר על חברות ובתי חולים?
על פי ממצאי הדו"ח, בכ־90% מהחברות הציבוריות שנבדקו לא אושר נוהל אבטחת מידע על ידי הדירקטוריון, וכ־70% אינן מקיימות דיונים שוטפים או מקבלות עדכונים תקופתיים בנושא סייבר. בנוסף, 40% מהחברות לא ערכו הערכת סיכוני סייבר בשלוש השנים האחרונות, ו־83% אינן מיישמות תקני אבטחת מידע מוכרים, כגון ISO 27001 או מתודולוגיית ההגנה בסייבר של מערך הסייבר הלאומי. בעקבות הממצאים הללו, פרסמה הרשות עמדת סגל מעודכנת (105-33), המחייבת חברות ציבוריות להציג גילוי נרחב ומהותי על תחום הסייבר.
עמדת הרשות מבהירה כי על תאגידים לפרט את מדיניות ניהול סיכוני הסייבר, את המתודולוגיות, הבקרות והאמצעים ליישומה, להציג את מעורבות הדירקטוריון וההנהלה בתהליך קבלת ההחלטות בתחום לציין את המומחיות והניסיון של חברי הדירקטוריון ונושאי המשרה הרלוונטיים ולהציג גילוי מלא על אירועי סייבר מהותיים, לרבות השפעתם על התוצאות הכספיות, על מערכות המידע ועל המוניטין הארגוני
הרשות מדגישה כי ניהול סיכוני סייבר הוא חלק אינטגרלי מממשל תאגידי תקין, וכי דירקטוריון שאינו עוסק בנושא באופן יזום וביקורתי, מפר את אחריותו למשקיעים. המגמה ברורה, גם בישראל כמו בבריטניה, הרגולטור מבקש להעביר את האחריות מעלה, אל שולחן הדירקטוריון מה שמחדד את השאלה האם אירוע אסטרטגי או אירוע טכנולוגי?
האירועים האחרונים באירופה מדגישים כי תקיפת סייבר היא בראש ובראשונה סיכון עסקי, לא טכנולוגי. כך למשל, בחודשים האחרונים חוותה יצרנית הרכב Jaguar Land Rover מתקפה רחבה ששיתקה את מערכות ה־IT של החברה והביאה להשבתת מפעלי הייצור בבריטניה ובעולם למשך שבועות. ההפסדים נאמדו במאות מיליוני פאונד, ושרשרת האספקה כולה – מספקי משנה ועד למפיצים – נפגעה. במקביל, חברת Marks & Spencer נאלצה להתמודד עם מתקפה שחשפה נתוני לקוחות והביאה לפגיעה קשה באמון הציבור, בירידות חדות במניית החברה ובהפסד תפעולי מוערך של כ־300 מיליון ליש״ט. שני המקרים ממחישים כי אירוע סייבר עלול לערער את רציפות הפעילות, לפגוע במוניטין ולגרום לנזק פיננסי כבד ולכן ניהול הסיכון חייב להתבצע ברמת ההנהלה והדירקטוריון, כחלק בלתי נפרד מהממשל התאגידי והאסטרטגיה העסקית של הארגון.
יובל שגב הוא יו"ר פורום הסייבר וטכנולוגיה, איגוד הדירקטורים בישראל
