האיום הגדול על העסק הקטן

זאת כמעט קלישאה לקבוע שעמוד השדרה של כל עסק מודרני, בכל תחום, הוא רשת המחשבים. ההשקעה בחומרה ובתוכנה מגיעה לסכומים עצומים, וכשעלות התשתית עשויה להגיע למיליוני שקלים, עושים הכל כדי להגן עליה. אין חברה או בעל עסק שלא מתקינים סורגים, אזעקה, מצלמות ומעגלי אבטחה ואף רוכשים ביטוח מתאים כדי להתגונן מפני פורצים.

אולם לעומת המודעות הגבוהה לערכם של המחשבים עצמם, הנכס היקר והמבוקש הוא מה ששמור בהם. מרשימת הלקוחות, דרך תכניות עסקיות וקבצים משפטיים ועד נתונים כלכליים והוראות להעברות כספים. כל פגיעה לא מורשית במידע – גניבה, מחיקה, הפצה פומבית, שימוש לרעה במידע או סחיטה – תגרום לנזקים חמורים.

נכון, כולנו שומעים על פשיעת סייבר, אבל התסריטים האלה נשמעים לא פעם בלתי רלוונטיים. ראשית, הם פחות מוחשיים. אנחנו מבינים מה נדרש כדי לבצע פריצה "רגילה" לעסק, אך למרות שכולנו משתמשים במחשבים איננו יודעים מה נקודות התורפה שלהם. שנית, רוב הפרסומים בתחום – ורק בזמן האחרון שמענו על גניבת פרטי כרטיסי אשראי מאתר המכירות עלי אקספרס (Aliexpress) או השפעה של האקרים על שער הרובל – נותנים תחושה שרק גופי ענק בתחומי הטכנולוגיה והפיננסים הם יעד לפשיעה כזאת.

זאת טעות מוחלטת. דווקא עסקים קטנים ובינוניים חשופים מאוד לפשיעת סייבר. הנה כמה נתונים: באפריל 2015 פרסמה הוועדה לעסקים קטנים של הקונגרס האמריקני נתון לפיו 71% מהתקפות הסייבר מתרחשות בעסקים עם פחות ממאה עובדים. דו"ח של וריזון (Verizon) משנת 2015 מצא שלמעלה מ- 50% מהארגונים שחוו אובדן או השחתה של מידע כתוצאה מאירוע סייבר, הם עסקים קטנים. דו"ח של PWC מהשנה הזו מצא שב-2015 חל גידול של 38% במספר אירועי הסייבר שהתגלו על ידי ארגונים.

הסיכון האמיתי קרוב וממוקד

מדוע זה קורה? ראשית, פושעי סייבר מבינים שעסקים אלו פחות מוגנים והם משתמשים במנגנונים אוטומטיים שתוקפים אותם במקביל ולאורך זמן. שנית, הטעות הגדולה היא המחשבה שפשיעת סייבר מתרחשת על ידי גורם רחוק. לא פעם הסיכון האמיתי קרוב וממוקד: עובד שפוגע בחברה בזדון, חדירה מכוונת מטעם מתחרה, טעויות של עובדים המשתפים סיסמאות או מתקינים תוכנות ריגול ותקלות. מספיק שיש מתחרה אחד שמעוניין במידע, והוא יוכל לחדור למערכת הרבה יותר בקלות ממה שניתן לדמיין.

היקף הנזק של אירוע סייבר יכול להיות עצום. העסק עלול להתמודד עם אובדן מידע, גניבת כסף וניסיון סחיטה שעשויים לגרום לשינויים משמעותיים בכיווני ההתפתחות שלו. לעתים מדובר גם בפגיעה בלקוחות, במוניטין ובתדמית של העסק. העברת רשימת הלקוחות או קניין רוחני לגורם אחר עלולים ליצור מציאות עסקית חדשה שתגרור אובדן רווחים משמעותי. האירוע גם גורר הוצאות כבדות לחיזוק מערכות המידע. העסק עלול להיחשף לתביעות מצד גורמים אחרים ולחקירות מצד רגולטורים וגופי פיקוח, כך שהוא דורש גם ליווי משפטי, טכנולוגי ומקצועי. אחד הסיכונים המשמעותיים הוא שהעסק יושבת בשל אירוע סייבר. השבתה כזאת עלולה להנחית מכת מוות על עסק שאין לו תזרים מזומנים גמיש.

פשיעת הסייבר מכתיבה מציאות חדשה שמשתנה כל הזמן. היא דורשת מכל מי שיש לו נכס דיגיטלי משמעותי – להתגונן. המודעות בישראל עולה, אך שכר הלימוד של התאמה עלול להיות גבוה בזמן שהתוקפים לא ממתינים. ההתגוננות חייבת להישען על הגברת המודעות, חיזוק הטכנולוגיה – ובדיוק כמו שיש ביטוח למבנה ולתכולה, יש צורך גם בפוליסת ביטוח שתקיף את המגוון הרחב של מקורות הסיכון ואת השלכותיו של אירוע סייבר, ותוכל לסייע בהפחתת הסיכון העצום.

הכותב הינו סמנכ"ל השיווק בחברת הביטוח AIG.