בעת האחרונה אנו חווים שיעור גדל והולך של מתקפות סייבר בזירה המקומית, כמו גם העולמית. בין המותקפים בתי חולים, אוניברסיטאות, חברות ביטוח, תשתיות, אתרי אינטרנט ועוד. המשמעות היא שאין עוד ארגון המוגן הרמטית מפני אלה. המתקפות עלולות לערער את היציבות הארגונית, לפגוע בנכסי הארגון, במוניטין שלו ובלקוחותיו ולסכן חיי אדם.
כל תהליך עסקי נתמך על ידי מערכת מידע, ומכאן, מערכות המידע משחקות תפקיד מרכזי ומהותי בכל ארגון. על כן הן יכולות להפוך גם למיקוד סיכון קריטי. הצורך לאזן בין דרישות הארגון ועובדיו לבין דיגיטציה של תהליכים וגישה למידע הוא מורכב ומאתגר.
תקיפות סייבר עלולות להתבצע הן על הרשת המנהלתית של הארגון והן על הרשת התפעולית שלו. הרשת המנהלתית היא זו שבה מתנהל היום-יום הארגוני (מסמכים שנקראים, מעובדים ונשמרים, מיילים ועוד). לעומתה, הרשת התפעולית היא רצפת הייצור (מכונות, בקרים וחיישנים למיניהם), שמחוברים לכדי יחידה מתפקדת אחת שמטרתה קבלת תפוקה מרבית. פגיעה ברשת התפעולית עלולה לסכן עובדים, לקוחות, לפגוע באיכות הסביבה, להשבית קווי ייצור ועוד.
על סוגי התקיפות הנפוצים ביותר נמנים בעיקר מתקפות "פישינג" שמטרתן השגת נתוני משתמשים, מתקפות Denial-of-service שנועדו להשבית מערכות מחשב על ידי יצירת עומס חריג על משאביהן הדיגיטליים ועוד. נושאי המשרות הבכירים והדירקטורים בתאגידים נדרשים להיות מסוגלים להגן על שיקוליהם, בחירותיהם וצעדיהם ולבסס את החלטותיהם. כך גם בכל הנוגע להתנהלותם אל מול אירועי סייבר.
ההערכות לתקיפות סייבר היא מהלך חוצה ארגון שמתחיל מההנהלה, והטכנולוגיה היא רק חוליה אחת בשרשרת המניעה וההגנה. חובתם של נושאי המשרה והדירקטורים להיות מודעים לאחריות ולחבות המשפטית שלהם
הרגולטורים ומערכת המשפט נמצאים בתהליך בסיסי של הרחבת אחריותם של נושאי המשרה והדירקטורים גם תחום זה. כך, לדוגמה, חוק החברות קובע בסעיף 252 (א): "נושא משרה חב כלפי החברה חובת זהירות כאמור בסעיפים 35 ו-36 לפקודת הנזיקין (נוסח חדש(" ובסעיף 253: "נושא משרה יפעל ברמת מיומנות שבה היה פועל נושא משרה סביר, באותה עמדה ובאותן נסיבות".
עמדת הרשות לניירות ערך היא שהתמודדות עם איומי סייבר מחייבת התייחסות מיוחדת, מעבר לזו הקיימת במסגרת ניהול הסיכונים הכולל של הארגון. לפיכך, כאשר מבקשים לנהל את הסיכון התפעולי, חייבים להעניק התייחסות מיוחדת לעוצמת הסיכון ולהשלכות העלולות להתקיים עם התממשותו, הן ברמה האסטרטגית (על ידי התייחסות הדירקטוריון, כבר בעת קביעת מדיניות ניהול הסיכונים ואישור מערך הבקרה הפנימית), והן ברמה היישומית (על ידי הרחבת והעמקת מערכות הבקרה, כמענה לסיכונים הייחודיים הנובעים מאיומי סייבר).
כבר ב-2017 הורה בנק ישראל לבנקים לכלול "לפחות דירקטור אחד שיהיה בעל ידע וניסיון מוכח בתחומי טכנולוגית המידע". ביוני 2021 הגדיל הפיקוח על הבנקים וקרא לבנקים לחזק עוד יותר את ההבנה הטכנולוגית של הדירקטוריון.
הדירקטוריון נדרש לנקוט בין היתר צעדים כגון אישור מדיניות אבטחת המידע והסייבר הארגונית; וידוא עמידה ביעדי ציות לפי דרישות החוק, הנחיות הרגולציה, דרישות חוזיות וצרכים עיסקיים; הערכת פרופיל הסיכונים הארגוני (Risk Profile) והגדרת תיאבון הסיכון.
עוד נדרש הדירקטוריון לדון ולאשר את אסטרטגיית אבטחת המידע והסייבר, תוך שהוא מוודא קיומו של סעיף תקציבי ייעודי לנושא. עליו לדאוג לקבל דיווחים מממונה אבטחת המידע והסייבר בארגון, וכן לדון ולבצע מעקב תקופתי, בפרקי זמן קבועים וסבירים, אחר פערים משמעותיים ביישום תוכנית העבודה שעליה הוחלט.
במסגרת דיונים רבים שמשרדי ואנוכי עורכים עם ארגונים רבים, גדולים וקטנים כאחד, קיימת דילמה לגבי הגורם שישמש כממונה על אבטחת המידע והסייבר ומהות תפקידו. התנאי הבסיסי הוא כמובן ניסיון מקצועי וכישורים מתאימים בתחום, אך לא זאת בלבד. על הארגון לוודא שילובו בתהליכים ובצמתים המרכזיים כגון ועדות היגוי, אבטחה פיזית, תהליכי רכש בתחום המחשוב ועוד. בנוסף, מומלץ כי הממונה על אבטחת המידע והסייבר לא יעסוק בתחומים נוספים מעבר לתחום זה ויהיה חבר הנהלה עם יכולת קבלת החלטות אופרטיביות.
לסיכום, ההערכות לתקיפות סייבר הינה מהלך חוצה ארגון אשר מתחיל מההנהלה, והטכנולוגיה היא רק חוליה אחת בשרשרת המניעה וההגנה. חובתם של נושאי המשרה והדירקטורים להיות מודעים לאחריות ולחבות המשפטית שבה הם נושאים בהקשר זה, מה שדורש מהם ליצור תוכנית רחבת היקף, מושכלת ומבוקרת והכל מתוך הייעד להגן על הארגון באופן מרבי ומיטבי.
רו"ח שלומי בני הוא שותף ומנהל מחלקת ייעוץ וביקורת מערכות מידע, סייבר ורגולציה ב-RSM שיף הזנפרץ ושות' רואי חשבון