היערכות למתקפת סייבר? לא עניינם של המשקיעים

אם לשפוט על פי הדו"חות הכספיים שפרסמו לשנת 2014 תאגידי ענק כמו אסם, רמי לוי, רבוע כחול, דלק, מליסרון ושפע של חברות נדל"ן ישראליות, ניכר כי הם לא שמעו על האקרים, מתקפות סייבר או פריצות למערכות המחשוב בארגונים. כמחצית מהחברות במדד ת"א־100 אינן מתייחסות כלל לנושאי סייבר ואבטחת מידע בדיווחיהן, כאילו הן עדיין עובדות עם עט ונייר בלבד ולא עם מערכות מחשוב הניתנות לפריצה, תיאורטית לפחות.

אולי אף אחד מהן לא מצפה שמישהו ינסה לתקוף אותה כך. אחרי הכל לא מדובר בבנקים, חברות ביטוח וחברות אשראי שמתמודדות מול האקרים באופן קבוע ועוסקות בכך בדיווחיהן בהרחבה. ואולם, גם טארגט האמריקאית לא ממש ציפתה למתקפה כזו. אחרי הכל, מי כבר ירצה לפרוץ למחשבי רשת שמוכרת ביגוד, ריהוט לבית ומכשירי אלקטרוניקה?

בעולם כבר נכוו

בשנה שעברה טארגט, הקמעונאית השנייה בגודלה בארה"ב, גילתה לצערי מאוחר מדי על פריצת ענק שהתבצעה למחשביה דרך ספק של הרשת. הנזק היה אדיר: נגנבו ממנה פרטים של 40 מיליון כרטיסי אשראי, מהם כ־3 מיליון שנמכרו בשוק השחור והניבו להאקרים 54 מיליון דולר. לא רק שטארגט נאלצה לשלם יותר מ־300 מיליון דולר על תיקון הנזקים ושדרוג תשתית הסייבר, גם המוסדות הפיננסיים שהיו תלויים בה נכוו בכ־200 מיליון דולר. בשנה שעברה גם נפרצו מאגרי רשת מוצרי הבית הום דיפו, וכתוצאה מכך נחשפו פרטי חיוב של מיליוני לקוחות.

ומי היה מאמין שפריצה לאולפני סרטים תגרום לסערה בינלאומית ולאובדן נכסים של מיליוני דולרים? זה בדיוק מה שקרה לסוני, שחדירה למערכותיה הובילה לדליפת סרטים לרשת ולעימות בין ארה"ב לצפון קוריאה.

מתקפות סייבר כיום מגיעות לכל חברה המחזיקה בבסיס לקוחות, בקניין רוחני או בחיבור לספקים. אם בעבר השאננות בנושא אבטחת מידע היתה עוד איכשהו מובנת, הרי שכיום פשיעת הסייבר עלתה מדרגה.

רמי לוי

על רקע זה מפתיע לראות כי חברות גדולות רבות כל כך במשק הישראלי בתחומים כמו נדל"ן, תעשייה, ביומד, ביגוד, מזון ואפילו הייטק, כלל לא עוסקות בנושא אבטחת המידע כשהן מציגות את תוצאותיהן הכספיות. לא ניתן להסיק מכך שחברות אלה אינן מגנות על מאגרי הנתונים שלהן, אך נראה כי הן אינן סבורות שיש צורך לעדכן את המשקיעים שלהן לגבי היערכותן למתקפות אפשריות.

"לא חלק מהאג'נדה"

ברשימת החברות הללו ניתן למצוא גם את איתוראן, חברה המחזיקה במאגרים גדולים של רכבי יוקרה ובעליהם; אלרוב נדל"ן, הבונה מגדלי יוקרה ומאגריה כוללים פרטי קשר וחיוב של אוכלוסייה אמידה; גילת ופורמולה מערכות, חברות המנהלות פרויקטי תוכנה ותקשורת עבור ממשלת ישראל; וחלל תקשורת, העומדת מאחורי הלוויין עמוס. גם חברות שמחזיקות בתשתיות חיוניות בשעת חירום כמו בזק וסלקום, ולהבדיל כיל, מזכירות את נושא אבטחת המידע רק בהיקף מצומצם ולא באופן עקבי.

דן פרופר | צילום: אוראל כהן

מנגד, כחמישית מהחברות במדד ת"א־100 מתייחסות לנושא הסייבר בכובד ראש. הן מפרטות לא רק עד כמה פריצה למערכות המידע שלהן עלולה להיות מסוכנת, אלא גם מציגות את היערכותן למתקפות כגון אלה. חלקן אף מעסיקות מבקר פנים או חברות חיצוניות הבודקות את עמידותן לפריצות ומתקפות. ברוב המקרים מדובר בבנקים ובחברות ביטוח שחייבות לספק הוכחה לרמת האבטחה בהן במסגרת הרגולציה, אך נמנות עמן גם כמה חברות טכנולוגיה ביטחוניות כמו נייס ואלביט, או חברות הייטק שמספקות תשתיות לארגונים אחרים כמו אורמת ולייבפרסון.

לדברי ישי ורטהיימר, מנהל שירותי אבטחת מידע בפירמת KPMG, "בישראל מקפידים על אבטחת מידע כשחייבים. את חברות הביטוח והבנקים התחום הזה מעניין כי הרגולטור אמר להן שזה מה שצריך לעניין אותן, כמו גם החברות הביטחוניות שגם עליהן יש רגולציה בנושא. חברות התקשורת השקיעו רבות באבטחת מידע בעבר, אך כיום הן מזניחות מעט את התחום בגלל הקיצוץ החד שהן ביצעו בהוצאות".

"מאחר שאין רגולטור שמאלץ חברות קמעונאות ונדל"ן לדווח כיצד הן מגנות על מערכות המידע שלהן, לכאורה אין להן סיבה להראות שהן פועלות בעניין. מי שמאלצות אותן ליישם מדיניות אבטחת מידע הן חברות האשראי", מסביר ורטהיימר. "אם רשתות קמעונאות היו מגנות על המחשבים שלהן כמו בנקים, לא היו אירועים כמו הפריצות לטארגט ולהום דיפו. הנתונים במאגרים של החברות הללו לא שייכים להן אלא ללקוחותיהן, בדמות פרטים אישיים או פרטי אשראי.

"גם חברות נדל"ן מחזיקות במידע רב על לקוחותיהן ועל לקוחות פוטנציאליים, וחשופות לא פחות למתקפות סייבר. מה מפריע להאקר לזייף מייל שלפיו המנכ"ל מתפטר ולהוריד את מניית החברה? למרות זאת, מאחר שאיש לא מכריח את החברות האלה לאבטח את מערכותיהן, הן לא עושות הרבה. וגם אם הן עושות משהו, לא מדובר בחלק מרכזי באג'נדה שלהן.

"מדינת ישראל מפגרת בשמירה על פרטיות, ומאגרי מידע גדולים נמצאים תחת איום מתמיד. אמנם הפשע המאורגן מתמקד בהתקפות על המגזר הפיננסי, אבל מועדוני לקוחות גדולים הם קורבנות לא פחות משמעותיים, וכיום הם לא משקיעים במידה מספקת".

תגובות: "אין הנחיה"

מאסם נמסר: "באסם יש אבטחת מידע קפדנית ביותר בהתאמה לסטנדרטים העולמיים של נסטלה. הנושא לא נכלל בדו"חות משום שאין הנחיה כזו מצד רשות ניירות ערך".

מאלרוב נמסר: "אנו מדווחים על כל הנדרש מאיתנו על פי חוק".

מפורמולה מערכות נמסר: "אנו חברת אחזקות ללא מעורבות ישירה בנושא אבטחת המידע. עם זאת, אנו מציינים במסגרת הסיכונים שאליהם החברה חשופה גם כאלה הקשורים בתחום זה".

מחלל תקשורת נמסר: "החברה עומדת בכל ההוראות הרגולטוריות הנוגעות לאבטחת מידע ומייחסת לנושא חשיבות רבה".