אחריות הדירקטוריון בניהול סיכוני סייבר בראי הרגולציה

פורסם בינואר 2023 במגזין "עדיף"

מתקפת הסייבר על JBS ביוני 2021 הייתה אירוע משמעותי לאחד ממעבדי הבשר הגדולים בעולם. המתקפה הביאה להשבתת פעילותה של JBS בצפון אמריקה ובאוסטרליה, מה שגרם להפרעה משמעותית בפעילות החברה ובשרשרת האספקה.

לתקיפה היו השלכות משמעותיות על דירקטוריון JBS, שכן הם היו אחראים על ניהול התגובה למתקפה והבטחת רציפות הפעילות. הדירקטוריון התמודד עם מספר אתגרים בעקבות הפיגוע, ביניהם הצורך להחזיר את הפעילות במהירות האפשרית, למזער את ההשפעה הכספית של התקיפה ולשמור על אמון לקוחות ועובדי החברה. התגובה למתקפה הסתבכה בשל העובדה שהתוקף דרש כופר תמורת גישה למערכות של JBS. הדירקטוריון נאלץ לקבל החלטות קשות אם לשלם את הכופר או לא, וכיצד להגיב למתקפה באופן שימזער את הסיכון לשיבושים נוספים בפעילות החברה.

מתקפת הסייבר של JBS היא רק דוגמה אחת מיני רבות המשמשת תזכורת לתדירות ההולכת וגוברת של התקפות סייבר על ארגונים ועל חשיבות הפרואקטיביות של הדירקטוריון בנושא ניהול סיכוני סייבר.

הדירקטוריון בחברה, בהתאם לתפישה המודרנית של אחריות נושאי משרה, אחראי על קביעת האסטרטגיה שלו וקבלת החלטות מפתח הקובעות את הצלחתו. עם זאת, בנוף הטכנולוגי המשתנה במהירות של ימינו, הדירקטוריון מתמודד בנוסף עם איום הולך וגובר מצד סיכוני אבטחת סייבר. ככל שהתקפות סייבר נעשות מתוחכמות ותכופות יותר, הדירקטוריון חייב לנקוט בצעדים כדי להבין את הסיכונים ולנקוט בפעולות מתאימות כדי לצמצם אותם.

בחודש ינואר 2023 פורסם גילוי דעת בנושא זה על ידי איגוד הדירקטורים בישראל המנתח לעומק ומציג המלצות של האיגוד ביחס לצעדים שדירקטוריונים צריכים לאמץ לניהול הסיכון. במאמר זה, נבחן את תפקיד הדירקטוריון בניהול סיכוני סייבר תוך התייחסות גם לגילוי הדעת וגם לעמדת הרגולטורים כפי שבאה לידי ביטוי בהוראות הרגולציה.

דרישות הרגולטור – בהתאמה לרמת החשיפה

הרגולטורים המובילים בנושא זה בישראל הינם מערך הסייבר הלאומי, רשות ניירות ערך, רשות שוק ההון והפיקוח על הבנקים ורשות הגנת הפרטיות. לכל אחד מהם גישה שונה, אך כולם מתייחסים לאותם היבטים. באופן כללי ניתן לומר שבהתאם לרמת החשיפה והסיכון, כך מתקבעות ומחמירות דרישות הרגולטור. ככל שלארגון יש פעילות או מערכות מחשב או חברות בנות במדינות אחרות, יש לבחון בנוסף את החשיפות בטריטוריות אלה.

ניתן לחלק את אחריות הדירקטוריון בהתאם לרגולציה השונה לכמה נושאים עיקריים:

  1. מיפוי סוגי התקפות הסייבר איתם מתמודד הארגון ואת סוגי הנזק הפוטנציאלי שעשוי להגרם. התקפות אלה יכולות ללבוש צורות רבות, כולל פרצות מידע, התקפות של תוכנות כופר, הונאות פישינג ואיומי פנים זדוניים. הן עלולות לגרום לאובדן מידע רגיש, הפסד כספי, נזק תפעולי, נזק למוניטין ואחריות משפטית. בהתחשב בהשלכות הפוטנציאליות, חיוני שהדירקטוריון יתייחס למיפוי זה וינקוט בצעדים כדי למזער את חשיפת הארגון לסיכונים אלו.
  2. הערכת סיכונים לזיהוי נקודות תורפה פוטנציאליות ואזורי חולשה. בהתבסס על תוצאות סקר סיכוני סייבר ניתן לבצע הערכת סיכונים ולפקח על יישום אמצעים להפחתת הסיכונים, כגון יישום אימות רב-גורמי, הצפנת נתונים רגישים וביצוע הדרכות אבטחה קבועות לעובדים.
  3. מיפוי ההשלכות המשפטיות של אבטחת סייבר. במקרה של הפרת מידע או מתקפת סייבר אחרת, הדירקטוריון עלול לשאת באחריות לנזק שנגרם. כדי למזער סיכון זה, על הדירקטוריון לוודא כי מדיניות אבטחת הסייבר של הארגון תואמת לחוקים ולתקנות הרלוונטיים ושיש להם ביטוח הולם כדי לכסות אובדן פוטנציאלי.
  4. מדיניות ונהלים נאותים לאבטחת סייבר. מדיניות זו צריכה לתאר את הצעדים שעל הארגון לנקוט כדי להגן על מידע רגיש ולמזער את הסיכון להתקפות סייבר, בהתייחס למיפוי הסיכונים ומיפוי ההשלכות המשפטיות שנעשו. כמו כן, לקבוע נהלים ברורים לפעולות מניעה ואבטחה, שגרות ניהול הסיכון, תגובה למתקפת סייבר, לרבות כיצד להכיל את הנזק, כיצד לשחזר נתונים וכיצד לדווח על האירוע לרשויות הרלוונטיות.
  5. מיפוי המדינות בהן חשוף הארגון להתקפת סייבר או לחשיפות הנובעות מהתקפת סייבר.

כל אלו צריכים להתבצע באופן שוטף ורציף בשל השינויים התכופים בסיכוני הסייבר והשפעתם על הארגון, כך שיש גם לקבוע ולפקח על הדרך בה הארגון מתעדכן באופן שוטף ומתאים את עצמו באופן שוטף לסיכונים המשתנים.

חשיבות הידע בהתמודדות עם איומי סייבר

אחד האתגרים המרכזיים שעמם מתמודד הדירקטוריון בכל הנוגע לסיכוני סייבר הוא חוסר הבנה של הטכנולוגיה והסיכונים הכרוכים בה. ללא רקע בטכנולוגיה או באבטחת מידע, דירקטוריות ודירקטורים עשויים להיות המומים מהנוף המשתנה במהירות של איומי סייבר. זה יכול להקשות עליהם להעריך את הסיכונים ולקבל החלטות מושכלות כיצד להפחית אותם.

הארגון יכול לסייע להכשיר את הדירקטוריון ולסייע לו בהרחבת הידע הקיים ועדכונו באופן שוטף, כמו גם להעמיד לשירותיו יועץ מומחה. כמו כן, מוצע לכל ארגון למנות לפחות דירקטור.ית אחת מומחית בנושאי טכנולוגיה כדי לגשר על פערי הידע הקיימים. הפיקוח על הבנקים למשל, מחייב במינוי לפחות דירקטור.ית אחד בעלת ידע וניסיון מוכח בתחומי טכנולוגיות המידע. רשות שוק ההון מטילה את האחריות על הדירקטוריון לקבוע את מידת הצורך במינוי דירקטור.ית בעלת מומחיות בטכנולוגיות.

דרך נוספת להתמודד עם נושא זה היא הקמת ועדת דירקטוריון ייעודית לדיון בסיכוני סייבר. רשות שוק ההון קבעה חובה זו במסגרת הרגולציה המוטלת על גופים מוסדיים ועל נותני שירותים פיננסיים וכך גם הפיקוח על הבנקים. ועדה זו, בהתאם להוראות הרגולטורים, מניעה את כל הפעילויות אשר הוזכרו לעיל ומדווחת לדירקטוריון.

לסיכום, סיכוני אבטחת סייבר מהווים כיום את אחד האיומים המשמעותיים ביותר על כל ארגון והדירקטוריון האחראי לשלומו. הנזקים הפוטנציאליים כתוצאה מאירוע סייבר הם גבוהים עד כדי סכנה לקיומו של הארגון. כל אלו חושפים גם את הדירקטוריון באופן אישי לאחריות אם לא נקט מראש בכל הצעדים הדרושים להתמודד עם סיכון זה. עם זאת, על ידי נקיטת צעדים כדי לחנך את עצמם לגבי הסיכונים, יישום מדיניות ונהלים חזקים והערכת מצב אבטחת הסייבר הכולל של הארגון שלהם, הדירקטוריון נדרש לנקוט בצעדים יזומים כדי למזער את חשיפתו לסיכונים אלו ולהגן על הארגון שלו  מפני נזק ועל עצמו מפני פוטנציאל הטלת אחריות על הדירקטוריון עקב נזק כתוצאה מחשיפות אלה.

בנוף הטכנולוגי המשתנה במהירות, חיוני שהדירקטוריון יישאר מעודכן לגבי האיומים וינקוט בצעדים כדי להגן על הארגונים שלהם. על ידי נקיטת גישה פרואקטיבית ומושכלת לאבטחת סייבר, הדירקטוריון יכול וצריך להבטיח את ההצלחה והיציבות לטווח ארוך של הארגון.

צרו קשר עם PIL 

אנחנו ב-PIL תמיד שמחים לשמוע מכם 🙂

מלאו את הפרטים וניצור איתכם קשר בהקדם האפשרי

יכולים לכתוב לנו ישירות למייל- service@globalpil.co