אחריות דירקטורים לנזקי סייבר

איומי הסייבר והנזקים שהם יכולים לגרום למערכות מיחשוב בסקטור האזרחי, חורגים מזמן מגבולות חדרו הצר של מנהל אבטחת המידע או המנמ"ר. העובדה ששיבוש מערכות מחשב עלולה לפגוע ישירות בפעילות העסקית של חברות גדולות וקטנות, מתחילה לחלחל מעלה-מעלה, אל קומת ההנהלה. סקר שנערך באחרונה באוניברסיטת קרנגי-מלון שבפנסילבניה, בשיתוף RSA – זרוע האבטחה של EMC, מגלה שהמודעות לסכנות הסייבר מגיעה בהחלט גם אל קומת הדירקטוריון של החברות הציבוריות. כך, מעלים הממצאים, כי חברי מועצות המנהלים מתחילים להבין שקריסת מערכות מידע ומיחשוב כתוצאה ממתקפת סייבר, תתגלגל מהר מאוד לפתחם, ותטיל עליהם את האחריות.

בסקר של המעבדה ללימודי וחקר הטרור באוניברסיטת קרנגי-מלון, בו השתתפו כמה מאות חברי מועצות מנהלים בארגונים גדולים בארה"ב, נשאלו הנסקרים בין היתר עד כמה הם מודעים לנושא. 57% מהמשיבים הודו, כי הם אינם רואים תאימות מיידית בין הצורך להתגונן מפני התקפות סייבר, לבין הצורך להגן על עצמם, בצורת פוליסת ביטוח זו או אחרת, למקרה שיהיו חשופים לתביעה.

עם זאת, מסתמנת מהסקר תופעה לפיה ביותר ויותר מועצות מנהלים קיימים כיום גורמים שמתחילים לבדוק את העניין. יש אפילו ועדות מיוחדות שעוסקות בפרטיות ובסיכוני אבטחה. על פי הסקר, בשנת 2012 חל גידול של 48% במספר החברות שמינו ועדות כאלו. על פי סקר אחר, שנערך על ידי המגזין הכלכלי פורבס (Forbes), שני-שליש מאותן חברות מעסיקות מומחי סייבר במשרה מלאה. לעומת זאת, בחברות עצמן עדיין לא קיימת הפרדה מוחלטת בין תפקיד המנמ"ר או מנהל האבטחה, לתפקיד מנהל הסייבר או הפרטיות – והמשימה מוטלת על כתפיהם של בעלי תפקידים אלו.

נתוני הסקר זה, לצד סקרים נוספים, נחשפו אתמול (א') בכנס InfoSec 2012 בהרצאתו של בועז דולב – מנכ"ל Clear Sky ומנהל ממשל זמין לשעבר. דולב אמר, שגם בישראל המצב דומה, וגם פה עדיין קיים פער גדול בהבנת הקשר שבין סיכוני האבטחה והסייבר למערכות ה-IT, לבין הסיכון הנשקף להנהלת החברה. אבל גם בארץ, כמו בחו"ל, יש גם צד אופטימי: ככול שדירקטורים יגלו עניין רב יותר בנושא הסייבר – ישאלו שאלות ויבקשו לדעת כיצד הארגון נערך להתקפות מן הסוג זה – כך תגדל רמת האבטחה בארגון.

דולב ציין, כי כל ההמלצות של המומחים, כולל הסקר הבינלאומי שהציג, מצביעות על כך שיש צורך דחוף בהפרדה בין תפקיד מנהל אבטחת המידע לתפקיד המנמ"ר, שבאופן עקיף אחראי על הגנה מפני מתקפות סייבר. דולב ממליץ לכל הדירקטוריונים להקים ועדות מקצועיות, שתתכנסנה באופן דחוף לפגישות עם נציגים מתחומי הביטחון ועם חטיבות הליבה המקצועיות בארגון. הפעילות הזו, אמר דולב, תביא לרענון ולסקירת כל נהלי האבטחה בחברה, בדיקתם אל מול האיומים הקיימים וסריקה של כל הגופים שמספקים פתרונות לארגון.

השלב השלישי הוא כמובן כתיבת נהלים תרגול קבוע ומסודר – פעולה שלא מתבצעת מספיק. ברגע שהנושא יעמוד על סדר היום של מועצות המנהלים, והן תדרושנה דיווחים שוטפים, נוכל לראות הרבה יותר פעילות בתחום הזה.

תהליך הגדלת המודעות בקרב דירקטורים, למרות שעלול ליצור לחצים ודרישות שיופנו לחדרו של מנהל האבטחה, יסייע לו בעקיפין. הדו-שיח של המנמ"ר עם ההנהלה יהיה ברור יותר, המנכ"ל יידע היטב כי עליו לדווח לממונים איזה משאבים בדיוק הפקיד בידי מנהל האבטחה לביצוע המשימות – וכך האחריות לא תהיה רכושו הבלעדי של ה-CISO.

התופעה הזו תלך ותתחזק בכל העולם – וגם בישראל. רק לאחרונה נודע, כי בנק ישראל החל להתעניין בנושא הסייבר ולבדוק כיצד האיום משפיע על אותם גופים פיננסיים שנמצאים תחת חסותו. פרסום קריטריונים במסגרת רגולציה לסייבר, תניע את כל הגופים האחרים במשק – ובסופו של דבר כולנו נצא נשכרים.