מימין: מני נאמן, אביבית קוטלר, ורד זליכה, דידי פרימור, צילום: משה בן יוסף
מיכאל לוי
30/06/2022
מדינת ישראל סובלת ממתקפות סייבר רבות הנובעות בחלקן מאיומים מדינתיים ובחלקן מהתגברות הפשיעה הכלכלית. המחסור במומחי אבטחת סייבר מיומנים ממשיך להציב אתגרים רבים עבור מנהלים בכירים והופך לנושא בעדיפות גבוהה של הדירקטוריונים בחברות. בכנס בהובלת משרד ליפא מאיר ושות' בשיתוף איגוד הדירקטורים דנו באתגרים שעומדים בפני מנהלים ודירקטורים להתמודדות עם איומי סייבר על חברות.
עו"ד ורד זליכה, שותפה וראשת תחום סייבר ובינה מלאכותית במשרד ליפא מאיר ושות' התייחסה לחשיבות קיום בקרות ניהוליות ומנגנוני ממשל תאגידי הולמים, לניהול סיכוני סייבר. לדבריה, "חשוב ליצור "שפה משותפת" בין ההנהלה הבכירה והדירקטוריון, לבין מנהלי הגנת הסייבר ואבטחת המידע בארגון, על מנת להבטיח כי נושאי המשרה מיודעים בענייני הגנת הסייבר הרלוונטיים, וכי דיווחים מתאימים מגיעים אליהם בזמן. עו"ד זליכה הוסיפה כי, "ניתן אף להתרשם מהליכי בדיקה מטעם רגולטורים בארץ ובחו"ל ומטענות שהועלו בהליכים משפטיים, כי ארגון שמקפיד לפעול לפי עקרונות ממשל תאגידי ראוי, בקרות ניהוליות, ציות לרגולציה, הקצאת משאבים הולמת לתחום הסייבר והקפדה על היגיינת סייבר בשגרה - כל אלה עשויים לסייע בצמצום מידת החשיפה המשפטית והרגולטורית של הארגון היה ויתרחש אירוע סייבר".
באשר להיכרות הדירקטוריון עם החקיקה והרגולציה הרלוונטיים לארגון בהיבטי הגנת סייבר ואבטחת מידע ציינה עו"ד זליכה כי "עניין זה משמעותי לא רק לצורך פיקוח על הציות לחובות החלות על הארגון (ביניהן חובות דיווח לרגולטורים באירועי סייבר), אלא הרגולציה עשויה לשמש גם כמצפן בידי הדירקטוריון לצורך קביעת האסטרטגיה והמדיניות בהגנת הסייבר, על אחת כמה וכמה כאשר מדובר ברגולציה ייעודית למגזר (כגון במגזר הביטוח או במגזר הבריאות). עם זאת, יש להבין כי אין להסתפק בכך, כיוון שבעולם הסייבר ישנם תקנים, הסמכות ו"פרקטיקות טובות". ראוי שהדירקטוריון יהיה מודע גם לאלו, ושהממונים על הגנת הסייבר בארגון יסבו את תשומת לבו לכך במקרים המתאימים, במיוחד כאשר מדובר בסטנדרטים מקובלים בתעשייה".
עו"ד מני נאמן, משנה למנכ"ל ויועץ משפטי של הפניקס התייחס להתנהלות של ארגונים בעת אירוע סייבר. לדבריו, "בעת אירוע, ארגונים צריכים לערוך בחינה רציונלית של השיקולים הנוגעים לאופי ההתמודדות. חשוב להבין, כי ניתן לחלק בין שתי קטגוריות מרכזיות: האחת, פשיעת סייבר כלכלית לחלוטין, והשנייה אירוע שמאחוריו עומדת מדינה, ובכל תרחיש עשוי להיגזר סט פעולות וקבלת החלטות שונות לפי אופי האירוע. על הדירקטוריון להקדים ולתרגל יחד עם ההנהלה את היערכותו לאירועים אלה, כמו גם את מידת מעורבותו בקבלת ההחלטות בארגון".
באשר להחלטה לגבי ביטוח סייבר הסביר עו"ד נאמן כי "השאלה כמובן מורכבת ממספר פרמטרים, ובין היתר יש לבחון את היקף הכיסוי הביטוחי. בדרך כלל, לארגונים קטנים ובינוניים מומלץ לרכוש ביטוח סייבר. ארגונים גדולים עשויים להעדיף חלופות כגון עיבוי מערכים טכנולוגיים, הסתייעות במערך יועצים וכיו"ב. בכל מקרה, מדובר בסוגייה משמעותית בניהול סיכוני הסייבר בארגון, ונכון שהנושא יובא לדיון בפני הדירקטוריון, לצורך קבלת החלטה עסקית מיודעת".
בשנים האחרונות איומי הסייבר הפכו למורכבים יותר ברמת התחכום ובהיקף, והאתגר של מנהלי אבטחת המידע בארגונים הולך ומתעצם. עו"ד אביבית קוטלר, ממונת הגנת המידע, סייבר ופרטיות בשירותי בריאות כללית התייחסה לחשיבות של תפקיד מנהל הגנת הסייבר בארגון, והסבירה כי "מנהל הגנת סייבר ואבטחת מידע (CISO) זו פונקציה קריטית בארגון. ארגונים חוו כשלים בתחום הגנת הסייבר ואבטחת מידע, בין היתר, כיוון שלא היה בארגון CISO במשרה מלאה. כחלק מהקצאת משאבים נאותה לתחום הגנת הסייבר בשגרה, על הדירקטוריון לברר האם קיים CISO בארגון ולוודא כי היקף המשרה שלו הולם את צורכי הארגון. בנוסף, כחלק מניהול הסיכונים, יש לברר האם קיים מרכז אירועי אבטחה (SOC) הפעיל 24 שעות בארגון, שיוכל להתריע על אירועי סייבר בארגון בזמן התרחשותם. על הדירקטוריון למנות גוף פנימי או חיצוני שיוכל לבדוק באופן שוטף את הארגון, ולהעריך את רמת המוגנות של הארגון".
ד"ר דויד (דידי) פרימור, מנכ"ל סיינומי (לשעבר ראש אגף טכנולוגיות ברשות הסייבר הלאומית) הוסיף כי "מעורבות ומחויבות מצד ההנהלה והדירקטוריון הם בעלי חשיבות קריטית להגנת הסייבר של הארגון. מנהל הגנת סייבר ללא הנהלה תומכת וביקורת בונה מהדירקטוריון יתקשה למלא את תפקידו בצורה מוצלחת".
חיים פינטו, מנהל מערכות מידע בסיסקו ישראל התייחס להשלכות המעבר של חברות למחשוב ענן. לדבריו, "כשמדברים על מעבר לענן, דירקטוריונים צריכים לבחון היכן יהיה הארגון חמש שנים קדימה, ולגזור מזה תוכנית אסטרטגית שתתורגם לתוכנית על ידי הארגון לתוכנית עבודה ישימה שתרתום את הארגון למהלך. על הדירקטוריון לוודא קיום בקרות שיוודאו את יישום התהליך ויובילו הארגון ליישום מטרותיו . כחלק מהתכנון ארוך הטווח, יש להבין כי במודל של מעבר לענן, אסטרטגיית הגנת הסייבר בארגון משתנה, הצעד הראשון במעבר הוא רענון תפיסת הסייבר בארגון שתתאים לעולם מרובה עננים".
יובל שגב, יו"ר פורום הסייבר באיגוד הדירקטורים הציע פתרון יעיל לאתגרים שניצבים בפני הדירקטורים בחברות. לדבריו, "מודל רמ"ה (רלוונטיות, מהימנות, השוואתיות המידע) של רשות החברות הממשלתיות יכול לשמש כלי פרקטי לקבלת החלטות בדירקטוריון. הכלי מסייע לענות על שאלות דוגמת תקציב הסייבר הראוי, מיפוי האיומים הרלוונטיים למגזר, ומידת ההסתמכות על מקורות מידע שונים". שגב הוסיף כי "לאור פערי הידע אותם זיהינו, התחלנו בהליכי הכשרה ייחודים של דירקטורים בתחום הסייבר".
עו"ד ורד זליכה, שותפה וראשת תחום הסייבר והבינה המלאכותית במשרד ליפא מאיר, ציינה בסיכום המפגש כי "מטרת המפגש לתרום להכשרה הנדרשת לדירקטורים, לחידוד תפקידי הדירקטורים ולבחינת הדרכים למימוש אחריותם, בין היתר, בהיבטי ממשל תאגידי, פיקוח ובקרה על הגנת הסייבר בארגון בשגרה, היערכות למשבר סייבר, הכרת הרגולציה בתחום וקבלת החלטות עסקיות מיודעות. מגוון ההיבטים שנדונו במפגש בשיתוף בכירים מהמשק ומעולמות הטכנולוגיה והסייבר נועדו לתת בידי דירקטורים "סל כלים" שעשוי לסייע בידם לקידום הנושא בארגונים ולהבנת אופן יישום המחויבויות על פי דין, והדברים עשויים אף לתרום לצמצום החשיפה המשפטית עקב אירועי סייבר".
