בשנה האחרונה התרחשו בעולם מספר התקפות סייבר גדולות וחריגות בהיקפן, אשר גרמו לנזק רב ויקר. התקפות הסייבר אינן פוסחות על מדינת ישראל, ובכל אחת מהמתקפות הגלובליות שהתרחשו לאחרונה היו ניסיונות ואף הצלחות לחדור למשק הישראלי.
התקפות אלו הן המשך ישיר לנסיקה באירועי סייבר שארעה בשנת 2016, בה היה זינוק של 86% באירועי אבטחת מידע. רמת אבטחת המידע של החברה, כמו גם מודעות עובדיה לסכנות הסייבר, מהווה גורם משמעותי בסיכול ניסיונות תקיפות סייבר.
כיום, כל חברה חשופה לתקיפת סייבר, כפי שהיטיב להבהיר זאת אחד מראשי הFBI בעבר: "אני משוכנע שיש רק שני סוגים של חברות: אלו שהותקפו ואלו שיותקפו. ואף את אלו אפשר להכניס תחת הגדרה אחת: חברות אשר נפרצו וייפרצו שוב".
הסכנות והנזקים מהתקפת סייבר רבים ויקרים, כדוגמת תפיסת מידע של החברה ושחרורו בתמורה לתשלום כופר כספי; פגיעה במידע ו/או מחיקתו; שימוש במידע, כדוגמת שימוש בפרטי כרטיס אשראי ומספרי טלפון, ועוד. כמובן שעם הצלחת תקיפת הסייבר ניזוק אף המוניטין של החברה.
התקפת סייבר מוצלחת עלולה לגרום לעננה משפטית כבדה המרחפת מעל הדירקטורים ונושאי המשרה בחברה, הואיל ובעקבות כישלונם באבטחת המידע נגרם לחברה וללקוחותיה נזק רב.
בישראל ובעולם נכנסה לתוקף רגולציה מקיפה אשר מטרתה לשפר את רמת אבטחת המידע של מאגרי המידע וחוסנם מפני התקפות סייבר.
רגולציה – התקנת תקנות חדשות לאבטחת מידע
חוק הגנת הפרטיות, התשמ"א-1981 ("החוק"), מגדיר "מידע" כנתונים על מעמדו האישי והכשרתו המקצועית של אדם, ו-"מידע רגיש" כנתונים על אישיותו של אדם, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו, ומידע נוסף ששר המשפטים יקבע ככזה.
החוק דורש לרשום אוספי מידע רגיש, ובמקרים מסוימים אוספי מידע, כמאגרי מידע אצל רשם מאגרי המידע, ולנהלם לפי החוק, התקנות שהותקנו מכוחו והנחיות הרשות להגנת הפרטיות (לשעבר הרשות למשפט וטכנולוגיה) ("הרשות").
על ביצוע החוק אמונה כאמור הרשות, המוציאה מעת לעת הנחיות ביחס לאופן ביצוע החוק והתקנות שהותקנו מכוחו. כך למשל מוסדר בהנחיות הרשות האופן בו יש לנהל מאגר מידע, לאפשר זכות עיון, תיקון ומחיקה בו וכן להוציא מידע מתוכו לספקי מיקור חוץ. לרשות הוקנו סמכויות חקירה, ביקורת והטלת קנסות מנהליים.
ביום 8 במאי 2017 פורסמו תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. התקנות מגדירות על אילו מאגרי מידע תחול רמת אבטחה גבוהה או בינונית ומהם הצעדים שעל בעל מאגר מידע לנקוט לשם אבטחת המידע. כך למשל, מחייבות התקנות מינוי ממונה אבטחת מידע למאגר, מיפוי מערכות המאגר, מתן הרשאות גישה למידע שבמאגר לאנשים מתאימים, תיעוד אירועים המעלים חשש לפגיעה במידע שבמאגר, אבטחת אמצעי התקשורת של המאגר, התנהלות בעת אירוע אבטחת מידע, ביקורות תקופתיות לאבטחת המידע, גיבוי ושחזור המידע, ועוד.
התקנות אף הרחיבו את מעגל החבים בקיום הוראות התקנות, כך שהחובות לפי התקנות החלות על בעל מאגר מידע, יחולו גם על מנהל המאגר ובחלק מהמקרים גם על מחזיקים במאגרים.
תקנות אלו יכנסו לתוקפן בעוד כחודש, ביום 8 במאי 2018.
רצוי לזכור, כי פגיעה בפרטיות לפי החוק היא עוולה אזרחית, שבחלק מהמקרים מאפשרת הטלת חיוב ללא הוכחת נזק בסכומים של עד 50,000 ₪ (או קנסות מנהליים כאמור לעיל) וכי במקרים מסוימים הפרת סעיפי החוק אף יכולה להוביל לסנקציה פלילית של עד שנת מאסר ללא צורך בהוכחת מחשבה פלילית או רשלנות.
תורת הגנה בסייבר לארגון מאת הרשות הלאומית להגנת סייבר
בדצמבר 2017 אישרה הממשלה את איחודן של הרשות הלאומית להגנת הסייבר ושל מטה הסייבר הלאומי ליחידה אחת אשר תקרא בשם "מערך הסייבר הלאומי", אשר תהא אחראית על כלל היבטי הגנת סייבר במרחב האזרחי.
מטעם מערך הסייבר הלאומי פורסמה לפני מספר חודשים תורת ההגנה בסייבר לארגון. מסמך זה מיועד לדירקטוריונים ולחברי הנהלה של חברות במשק, כמו גם למנהלי הגנה בסייבר, מיישמים וספקי IT. בראש עקרונות המסמך נמצאת אחריות הנהלת הארגון למידע, ובמסמך המלצות כיצד על החברה לפעול על מנת שרמת אבטחת הסייבר בקרבה תהא ראויה.
רגולציה גלובלית
בחודש הקרוב, ביום 25 למאי 2018, יכנס לתוקפו הGDPR (General Data Protection Regulation), הקובע סייגים וכללים לשמירה על פרטיות המידע ואבטחתו, אשר יהיה תקף במדינות האיחוד האירופי.
הוראות ה-GDPR מרחיבות את היקף חוק הגנת המידע האירופאי לכל החברות הזרות המעבדות מידע של תושבי אירופה. הGDPR דורש מהחברה, במקרים מסוימים, למנות נציג מקומי מיופה כוח (אם אין לארגון נוכחות במדינות האיחוד), למנות קצין הגנת המידע (DPO) (בנפרד מקצין אבטחת המידע), לנהל הגנה על מידע במערכות מושפעות, לדווח על אירועי פרצה למידע ועוד.
הפרה של הוראות הGDPR עלולה לגרום קנס מנהלי כבד, היכול להגיע לסך של עד 4% מהתוצר השנתי הגלובלי של החברה או לקנס עד 20,000,000 אירו, לפי הגבוה מבין השניים.
מדינות האיחוד האירופי נערכות לכניסת ההוראות לתוקף. כך למשל, בגרמניה הועבר בפרלמנט הפדרלי ביום 28.4.2017 חוק הגנת המידע חדש, אשר ייכנס לתוקף ביום כניסת הוראות הGDPR לתוקף. כך גם בצרפת, פרסמה הCNIL (הרשות הצרפתית להגנת המידע) צעדים אשר יש לבצע להכנת עסקים ליישום הוראות הGDPR. למעשה ניתן לומר כי בעוד כחודש, עם כניסת חודש מאי, תתרחש בעולם "מהפיכה חוקתית" בכל הנוגע לאבטחת המידע.
בעניין זה יצוין כי גם בסין נכנס לתוקפו ביום 1 ביוני 2017 חוק ביטחון הסייבר החדש, המטיל אחריות רבה על בעלי מאגרי המידע, במטרה לחזק את אמצעי הפיקוח והבקרה על אזרחי המדינה והזרים הפועלים בשטחיה.
כמו כן, גם בארה"ב נערכים להתמודדות עם איומי הסייבר. גופים פדרליים (כדוגמת ה-FTC (Federal Trade Commission the) או ה-FCC (the Federal Communications Commission)) מפרסמים הנחיות ונהלים בענין אבטחת סייבר. נוסף על זאת, ב-48 מדינות בארה"ב קיים חוק המטיל חובה על חברות שאירעה להן פרצת סייבר לחשוף את האירוע ללקוחות ולנקוט בצעדים לטיפול בפרצה ותוצאותיה. הודעה שכזאת תכיל כותרת "הודעה על הפרת מידע" ותתייחס בגופה ל"איזה מידע מעורב" ו"מה ניתן לעשות".
הליכים משפטיים כתוצאה מהתקפות סייבר
התקפות סייבר מוצלחות גורמות לחברות הפסדים בסכומים גבוהים מאד ואף עלולות לגרום לתביעות ישירות כנגד הדירקטורים ונושאי המשרה בחברה. להלן מספר דוגמאות לחברות אשר נפגעו קשות מתקיפת סייבר ומההליכים המשפטיים הנלווים לה.
הסדר בסך 18.5 מיליון דולר מול חברת Target בעקבות נזקי התקפת הסייבר בשנת 2013
בשנה האחרונה הושג הסדר מול חברת Target האמריקאית עקב נזקי התקפת סייבר שנערכה כנגד סניפי החברה בשנת 2013. נזכיר, כי בתקופת החגים של שנת 2013 נפרצו מערכות החברה ונחשפו פרטי אשראי של כ40,000,000 לקוחות. בנוסף לזאת, נחשפו פרטים אישיים, כגון כתובות מייל, של כ70,000,000 לקוחות. בעקבות התקפת הסייבר עזב מנכ"ל Target את החברה, והיה למנכ"ל הראשון המשלם בכסאו בגין התקפות סייבר.
בהסדר האחרון נקבע כי חברת Target תשלם סכום כולל של כ18,500,000$ ל-47 מדינות בעקבות נזקי אותה תקיפה. בצירוף סכום זה, עומד הסכום ששילמה Target בעקבות הפריצה למערכותיה עד כה על כ-202,000,000$. סכום זה כולל, בין היתר, הסדרי פשרה בתביעות ייצוגיות ונגזרות שהוגשו נגד החברה.
אשלי מדיסון תשלם 11,200,000$ במסגרת הסדר לסיום תביעה ייצוגית בעקבות התקפת סייבר
הבעלים של אתר אשלי מדיסון, אשר נפרץ ביולי 2015 ומידע על מיליוני משתמשים נחשף ברשת, הסכים לשלם 11,200,000$ ליישוב תביעה ייצוגית שהוגשה כנגד החברה בשם 37 מליון משתמשים אשר פרטיהם נחשפו.
Anthem Inc. תשלם 115,000,000$ בעקבות התקפת סייבר Anthem Inc., אחת ממבטחות הבריאות הגדולות בארה"ב, תשקיע 115,000,000$ בהקמת קרן תשלומים עקב התקפת סייבר שחוותה בשנת 2015, בעקבותיו סוכנו בחשיפה נתוניהם האישיים של כ-79,000,000 בני אדם. זאת נעשה כחלק מהסדר בתביעה ייצוגית שהוגשה נגד החברה עקב התקפת הסייבר.
צידה לדרך
כפי שהובהר לעיל, על הדירקטורים ועל הנהלת החברה מוטלת האחריות למניעת אירועי סייבר. כך, מוטלת על הדירקטורים ונושאי המשרה בחברה החובה לנקוט באמצעים סבירים להגנת המידע בחברה, כגון הכרת סיכוני הסייבר הקיימים והפוטנציאלים כלפי החברה; מינוי צוות עובדים האחראי על הגנת הסייבר בחברה; גיבוי המידע; הדרכת עובדים להגנת מרחב הסייבר בחברה; בדיקה תקופתית לאבטחת המידע בחברה; דיון בסיכוני הסייבר לחברה ובהיערכות החברה לאיומים אלו בישיבות הדירקטוריון, ועוד. דברים אלו מקבלים משנה תוקף עם כניסתן לתוקף של תקנות הגנת הפרטיות (אבטחת מידע) וה-GDPR בחודש מאי הקרוב.
המידע המוגש לעיל הינו מידע כללי בלבד, אין בו כדי להוות ייעוץ או חוות-דעת בנושא, והוא אינו תחליף לקבלת יעוץ משפטי ו/או חוות דעת.