מימין: חיים רביה, ראובן אידלמן, אילן גרזי, צילומים: תומר יעקובסון ומשרד המשפטים
“לאור העלייה במתקפות סייבר ואירועי אבטחת מידע, דירקטורים נדרשים לוודא את היערכות החברה להגנה מפני אירועים מסוג זה” – כך התריע עו”ד ראובן אידלמן, היועץ המשפטי של הרשות להגנת הפרטיות, בכנס שערך משרד פרל כהן צדק לצר ברץ. מנכ”ל ומייסד Code Blue וסגן ראש מערך הסייבר הלאומי לשעבר אמר כי יותר מ-60% מהחברות בוחרות לשלם כופר בתקיפות סייבר
“התכלית המרכזית מבחינתנו זה לגרום לדירקטוריון לקחת חלק פעיל יותר ואקטיבי באופן שבו החברה מתייחסת למידע אישי”, אמר עו”ד אידלמן, מנהל המחלקה המשפטית ברשות להגנת הפרטיות. בכנס, שערך משרד עורכי הדין פרל כהן צדק לצר ברץ, בשיתוף עם אירגון יועמ”שים למען יועמ”שים בעקבות הנחיה חדשה של הרשות להגנת הפרטיות המחייבת את הדירקטוריון לפקח על אבטחת המידע בחברה, אמר אידלמן כי הדירקטוריון נדרש “לשאול שאלות ולדרוש תשובות לגבי איך החברה ערוכה להתמודדות עם אירועים, באילו סוגים של מידע אישי החברה משתמשת, האם יש הסכמה מצד האנשים, האם המידע מועבר לחו”ל, ועוד”.
אידלמן הדגיש את אחריות חברי הדירקטוריון להגן כמה שניתן על המידע שקיים ברשות הארגונים. לדבריו, בשנים הקרובות דירקטוריונים יידרשו להגביר את העיסוק בנושא בין היתר “לאור הגידול במתקפות הסייבר בישראל ובעולם, במיוחד מאז פרוץ המלחמה האחרונה, אשר גרמה לעלייה משמעותית באיומים על חברות מכל המשק”.
האכיפה של הרשות להגנת הפרטיות, ציין אידלמן, מכוונת כלפי החברות ולא כלפי הדירקטורים עצמם. הרשות להגנת הפרטיות בוחנת האם החברה הביאה את הנושאים בפני הדירקטוריון, כפי שנדרש בהנחיה. במקרה של הפרות, עשויות להינקט סנקציות נגד החברה, כולל עיצומים כספיים, בהתאם לתיקון 13 לחוק הגנת הפרטיות המקנה לרשות סמכויות אכיפה רחבות. לצד זאת, אידלמן הבהיר כי ההנחיה בדבר אחריות הדירקטוריון לא מכוונת לכל חברה עם מאגר מידע, אלא לחברות שבהן ניהול המידע האישי נמצא בליבת פעילותן.
רפאל פרנקו, מנכ”ל ומייסד Code Blue וסגן ראש מערך הסייבר הלאומי לשעבר, חשף בכנס כי שיעור משמעותי מהחברות חוות תקיפות סייבר על אף אמצעי ההגנה המתקדמים שהן מפעילות, וכי מעל 60% מהחברות בוחרות לשלם את דמי הכופר שהאקרים דורשים מהן. הוא המליץ לחברות להיערך למתקפות אלו והדגיש כי הוא מתנגד לתשלום כופר.
“אם נתכונן נכון ונעשה הכנות למשבר, הסבירות לבלתי צפוי באירוע סייבר תקטן”, אמר. בשל כך, פרנקו ממליץ להתמקד בכמה היבטים מרכזיים כאשר נערכים לתקיפת סייבר. בין היתר לדבריו על החברה להבין מי התוקף, לוודא שהחברה עומדת בתנאי הרגולציה וההשקעה באבטחת המידע נמצאת מעל הממוצע הסקטוריאלי ולבחון את המסוגלות הארגונית הרב ממדית להתאושש מאירוע סייבר שקורה ולהיערך אליו.
פרנקו הזהיר כי האיום על המרחב הכלכלי הישראלי מתעצם, במיוחד מאז אירועי 7 באוקטובר. לדבריו, איראן וגורמי פשיעת סייבר מנצלים את הטכנולוגיות המתקדמות ביותר כדי לבצע תקיפות חכמות ומזיקות יותר, כולל הצפנת מידע, גניבתו וסחיטת לקוחות. “אנחנו רואים כאן שינוי משמעותי – התוקפים כבר לא מסתתרים, והאיום הופך לגלוי וברור,” הוא אומר.
עו”ד חיים רביה, ראש קבוצת הסייבר והפרטיות במשרד פרל כהן, אמר שהנחיית הרשות להגנת הפרטיות המופנית לדירקטוריון מטילה עליו נטל כבד. הוא הזהיר כי המבחנים לתחולת ההנחיה מחייבים בדיקה ושיקול דעת בכל חברה, וכי הכלי המרכזי שהיא קוראת ליישם – תוכנית אכיפה בחברה – מוכר בהקשרים של דיני ניירות ערך ותחרות אבל הוא עדיין חדש בהקשר לפרטיות.
עו”ד אילן גרזי, שותף וראש קבוצת שוק ההון במשרד פרל כהן, ציין כי הפסיקה בארה”ב בנושא צפויה להשפיע גם על בתי המשפט בישראל. “בתי המשפט בארה”ב קבעו במספר פסקי דין את הפעולות שמצופה מדירקטוריון סביר לנקוט בכדי להיערך למתקפות סייבר, לצמצם את הסיכוי להתרחשותן ולצמצם את הנזקים שעשויים להיגרם בעקבותיהם. בתוך כך נקבעו הקריטריונים ומועדי הדיווח ביחס לקרות אירוע סייבר, היקפו והנזקים שעשויים להיגרם בעטיו. אין ספק שפרמטרים אלו יאומצו וייושמו בפסיקת בתי המשפט בארץ, וישמשו אמת מידה הנוגעת לחובות הזהירות של הדירקטוריון בהתחשב בהנחיות רשות ניירות ערך וחוקי הגנת הפרטיות”.
לדברי גרזי, “הרגולטורים בארה”ב הטילו זה מכבר על תאגידים הפועלים בארצות הברית או נסחרים בבורסות בארה”ב קנסות שנעים בין מיליוני דולרים בודדים ועד למאות מיליוני דולרים. בשלב זה נפסקו ביחס לחברות ישראליות פיצויים בהיקף של מיליוני שקלים בודדים, ואולם דומה כי גם סכומי הפיצוי יעלו באופן משמעותי כתלות בהיקף הנזקים שיגרמו ללקוחות התאגידים ובעלי המניות בחברות”.
