הדוחות של יאהו חושפים את המתכון לכישלון בהתמודדות עם אירועי סייבר

דוחותיה הרבעוניים של יאהו, שפורסמו החודש, מספקים הצצה נדירה לפרטי התקריות גניבת המידע הגדולות בהסטוריה של האינטרנט, שגרמו לדליפת פרטיהם של מעל מליארד וחצי לקוחות יאהו. כפי שצויין בדוחותיה של יאהו, ועדה עצמאית שמינה דירקטוריון יאהו הסיקה כי לצוות אבטחת המידע בחברה היה מידע על התקריות כבר בשנת 2014. בסוף שנת 2014 הצוות המשפטי וחברי הנהלה בכירה ידעו כי צדדים שלישיים חדרו למערכות הארגון והשיגו מידע רב ורגיש על חשבונות משתמשים. לדברי יאהו, הבכירים לא הבינו כנדרש את חומרת האירוע ולא חקרו אותו לעמקו, ולכן לא פעלו באופן הנדרש. ביקורת מיוחדת הקדישה הועדה העצמאית לצוות המשפטי כאשר הסיקה שלצוות המשפטי היה מספיק מידע כדי לפעול לחקירת הנושא לעומקו. מנגד, הועדה לא הסיקה שהייתה הסתרה מכוונת של המידע.

עד היום הוגשו כנגד יאהו 43 תביעות ייצוגיות. בנוסף, מספר תביעות הוגשו כנגד החברה וכנגד נושאי משרה בחברה. הפריצה הציתה חקירה של רשות ניירות ערך בארה"ב (SEC), רשות הסחר הפדראלית (FTA) וכן משרדי פרקליטי מספר מדינות בארה"ב. חשיפת גניבות המידע סיכנה את העסקה למכירת אחזקותיה לווריזון אשר, לבסוף, כתוצאה מגניבת המידע נסגרה במחיר נמוך בכ- 350 מליון דולר אל מול מחיר העסקה המקורי. 

עיקר הביקורת על התנהלותה של יאהו נבעה מן האיחור המשמעותי בדיווח על גניבות המידע. כחברה ציבורית נסחרת, יאהו מחויבת לדווח על אירועים מהותיים. 

כיצד בוחנים מהותיות של אירוע סייבר? ככלל, נוהגות חברות ציבוריות לסווג אירוע כמהותי על פי כלל כמותי, כגון, השפעת האירוע על ההון העצמי או הנכסים של החברה. עם זאת, אירוע גניבת מידע לא יכול להבחן על פי שיקולים כמותיים. באירועי אבטחת מידע הפגיעה במוניטין היא מכפיל משמעותי לנזק הנגרם ולכן שאלת הדיווח מתעצמת: מחד, במידה ואירוע הסייבר הוא, באופן ממשי, חסר כל השפעה על פעילות התאגיד הדיווח עשוי להזיק לתדמית התאגיד ולגרור הליכים משפטיים מיותרים. בנוסף, הגילוי עשוי לגרום לירידה בשווי המניה ואולי אף למשוך פצחנים (האקרים) נוספים. מאידך, דיווח בסמוך למועד התקרית היה מונע טענות עתידיות כי הגילוי לא ניתן במועד ומאפשר ליאהו לנהל את הליך גילוי המידע לציבור מבלי שזה יכפה עליה. 

העובדה כי יאהו נאלצה לתת גילוי אודות מספר אירועי אבטחה במקביל מלמדת כי החלטת התאגיד שלא לדווח עשויה להיבחן על ידי הרגולטור והציבור בעתיד, עם קרות אירוע אבטחה נוסף. עוד חשוב לזכור כי חברות ציבוריות מחזיקות מידע פנימי רגיש רב, ואירועי אבטחת מידע עלולים להעלות חששות לסחר במידע פנים. 

בעקבות גניבות המידע החליט דירקטוריון יאהו לשלול ממאריסה מאייר, מנכ"לית החברה, את הבונוס השנתי שלה. רונלד בל, היועץ המשפטי של יאהו, נאלץ לסיים את תפקידו ונשללו ממנו פיצויים. בנוסף, וכצעדי מנע מפני התקרית הבאה, הורה הדירקטוריון לחברה לעדכן את תכנית ההיערכות המשפטית והטכנית שלה לניהול אירוע סייבר. 

תכנית לניהול אירוע סייבר היא מעין תכנית מגירה הכוללת נהלים משפטיים וטכניים לניהול אירוע סייבר הנבנית בהתאם למסגרת כללים מקובלת. מטרת התכנית היא לאפשר את ניהול משבר הסייבר וחזרה לשגרה בהקדם האפשרי. בין היתר, התכנית כוללת מינוי בעלי תפקידים המעורבים בניהול האירוע כגון נציג הדירקטוריון, יועצים משפטיים, יועצי תקשורת, ומומחי סייבר; נהלי דיווח ותקשורת בין הצוות הטכני לצוות המשפטי והנהלת החברה. מרכיב מרכזי בתכנית לניהול אירוע סייבר הוא מסמך המפרט את הגופים להם מדווחת החברה בקרות אירוע, רשימה זו עשויה לכלול את חברת הביטוח, ספק האינטרט (ISP), הרשות למשפט טכנולוגיה ומידע (רמו"ט), רשויות רגולטוריות במקומות בהן פועלת החברה, צדדים שלישיים העשויים להפגע מהתקיפה ועוד. 

חשיבות קיומה של תכנית היערכות לאירוע סייבר מתעצמת ככל שפעילותו של התאגיד היא בינלאומית וכפופה לרגולציה זרה. בשנים האחרונות אנו רואים התגברות של הרגולציה הקשורה בהגנת מידע בעולם, כך לדוגמא קנסות בגין הפרת התקנות האירופאיות (GDPR) המיועדות להיכנס לתוקפן במאי 2018 עשוי לגרור קנס של עד 4% מהמחזור העולמי השנתי של החברה. 

חשיבות נוספת לתכנית היערכות לאירוע סייבר היא כמסמך המתעד את ההליכים שנקטה החברה כדי למנוע ולהיערך לאירוע הסייבר. מסמך זה עשוי לשמש כראיה לטובת נושאי המשרה בחברה במקרה ויטענו כלפיהם שהתרשלו במניעה וההיערכות לאירוע.    

תוכנית היערכות לאירוע סייבר הייתה מובילה ללא ספק, להליך קבלת החלטות מוצלח יותר, חוסכת מיאהו חלק מ-43 התביעות היצוגיות שהוגשו כנגדה, את הפגיעה בשווי החברה, ואולי גם חוסכת ממנכ"לית החברה את אובדן הבונוס השנתי שלה ומאפשרת ליועץ המשפטי של יאהו להמשיך בתפקידו.

בעולם שבו נכסים דיגיטאליים מחליפים נכסים פיזיים ושטרם נמצא הפתרון הטכנולוגי אשר מסוגל לספק הגנה מלאה כנגד אירועי סייבר אימוץ תכנית היערכות לאירוע סייבר הוא הכרחי.  

על הפריצה ליאהו:

בספטמבר 2016 חשפה יאהו כי מידע הקשור לחשבונות של מעל ל-500 מליון משתמשים נגנב בסוף 2014. בדצמבר 2016 חשפה החברה כי מידע הקשור למילארד חשבונות נוספים נגנב בשנת 2013.  המידע שנגנב כלל שמות, טלפונים, כתובות אימייל, תאריך לידה, ססמאות ושאלות לאימות סיסמא. עוד גילתה החברה כי זיוף של קוקיס (Cookies) אפשר לצדדים שלישיים להיכנס לחשבונות יאהו ללא צורך בססמא. ביאהו מאמינים שגופים הממומנים על ידי מדינות עומדים מאחורי גניבת המידע. 

עו"ד זיו קינן,  עוד בכיר במשרד קצנל דימנט