הרשות לניירות ערך מצפה מארגונים לגילוי נאות במקרי מתקפות סייבר

הרשות לניירות ערך תדרוש גילוי נאות מצד תאגידים במקרה בו אירועי סייבר ישפיעו על פעילתם. במסמך שהופץ היום (א') וכותרתו "גילוי בנושא סייבר", מנתה הרשות סדרה של אירועים ודרישות שיהפכו לחלק מחובת הדיווחים התאגידיים במסגרת דוחות רבעוניים או תשקיפים. המסמך מהווה הרחבה של תקנות קיימות, ומציג את עמדת הרשות בנושאי אבטחה שונים.  

הרשות מסבירה בו שבגלל שסוגיית נזקי הסייבר הפכה לסיכון מהותי לפעילות הארגון וליכולתו לעמוד ביעדיו, יש צורך בשקיפות. מטרת הרשות, לדבריה, היא להגביר את מודעות המגזר התאגידי לאיומי סייבר, ולכך שיתכן שיידרש לדיווחים במקרים קיצוניים. "תקיפת סייבר יכולה להתבטא בנזקים ישירים ועקיפים ובהם – אובדן הכנסות, פגיעה ברכוש מוחשי ובלתי מוחשי (כגון במקרה של גניבת פטנטים או זכויות יוצרים), פיצוי ללקוחות נפגעים, עלויות משפטיות בשל תביעות צדי ג' שניזוקו וכדומה", נכתב במסמך.

"פגיעה במוניטין, הוצאות השיקום ובהם שחזור מידע, הגדלת פרמיות ביטוח ועלויות להגברת הגנות סייבר במקרה של נזקי סייבר עלולות אף הן להיות מהותיות .כמו כן, קיים סיכון בתקיפת סייבר למהימנות המערכות החשבונאיות בארגון, באופן שעלול לפגוע בדיווח הכספי או ביכולת הבקרה עליו", כל אלה חלק מהסיכונים שלדעת הרשות צריכים להיות מדווחים בהתאם לכללים החלים על גורמים אחרים.

ברשות מסבירים שהדרישות אינן באות במקום כאלה שכבר קבועות בחוק, ונוגעות לתחומי פעילות מסוימים כתשתיות קריטיות וחברות תקשורת. החידוש במסמך זה הוא הרחבת הדרישה גם לארגונים בתחומי קמעונאות, ייצור ועוד. נכון להיום, חברה שפועלת בתחום שכזה לא נדרשת לדווח על פריצה בעייתית למערכותיה.

ההוספה של אלמנט הסייבר לחלק מגורמי הסיכון העסקים עליהם נדרש לדווח למשקיעים מהווה עוד נדבך ברגולציה העקיפה שנבנתה בישראל בתחום אבטחת המידע. הממשלה עדיין לא העבירה את חוק הסייבר, שאמור לדרוש גילוי מלא במקרה של אירועי אבטחת מידע. אחד החסמים להעברתו הן הסמכויות הנרחבות שהוענקו לגופי האכיפה בחקירה של אירועים כגון החרמת מחשבים, ציתות ומעקב בצו שופט שלום בלבד.

ומה על החברות בשוק הפרטי?

המסמך מגדיל את השקיפות לה נדרשות חברות בורסאיות, אך השפעתו על החברות הפרטיות תהיה חלקית ביותר. ככל הנראה שתאגידים ידרשו יישור קו מולן רק לספקים - מה שלפחות ייאלץ אותם להגביר את השקיפות שלהם. ואולם, חברות שאינן חייבות בדיווח לבורסה עדיין יוכלו להימנע מגילוי נאות. העמדה של הרשות מכילה עוד יתרון - היא דורשת מעתה שנושא הסייבר יהפוך לעניין שהדירקטוריון יצטרך להתייחס אליו. עד היום תחום אבטחת המידע נתפס כחלק מהתפעול השוטף ומעטים הדירקטורים שהיו מעורבים בו.

ואולם, יש כמה נקודות במסמך הרשות שבולטות בהיעדרן. למשל, ההתייחסות לאירוע סייבר נקודתי - פריצה למסד נתונים, גניבת מידע או הפלת מערכות חד פעמית - היא מעורפלת: "במקרה של תקיפת סייבר, תאגיד נדרש, בין היתר, לבחון את מהותיות האירוע לצורך דיווח לציבור ולשם כך לשקלל את מכלול הנזק ופוטנציאל הנזק, הן במישרין והן בעקיפין", נאמר. במילים אחרות, הארגון יכול להחליט בעצמו אם לדווח או לא. בין היתר, הגדירה הרשות אירועים נקודתיים כמתקפת כופר, הפסקת פעילות של שירותים שונים, נזק למערכות המחשבים, ציתות, ריגול תעשייתי ומקרים בהם אותרה פרצת אבטחה במערכת שרכשה החברה, פיתחה בעצמה או סיפקה ללקוח.