עו"ד נעמי אסיא: "מנהלים מגלים אדישות לנזקי סייבר והשלכותיהם"

"הדיבורים הרבים על היערכות לסייבר, כמו גם האירועים שקרו, מזכירים את ההיערכות שהייתה בזמנו לבאג 2000. אולם, בניגוד להיסטריה המוגזמת שהייתה אז, כיום מנהלי הארגונים מגלים אדישות מוחלטת לנזקים שמתקפות סייבר עלולות לגרום לארגונים שלהם", כך אמרה עו"ד נעמי אסיא, המנהלת והבעלים של משרד עורכי הדין נעמי אסיא ושות', ומומחית לענייני מחשבים, אינטרנט וקניין רוחני.

עו"ד אסיא דיברה בכנס בנושא היערכות לסייבר שערכה באחרונה חברת הביטוח AIG לסוכניה. הכנס נערך לרגל השקת פוליסת ביטוח ייחודית של החברה להגנה מפני נזקי סייבר, ברמה של התגובה הראשונית – First Response. משרדה של עו"ד אסיא משמש נציגו של משרד עורכי דין מבריטניה, המרכז תחתיו את הטיפול בתחום הסייבר עבור AIG.

בדבריה סקרה עו"ד אסיא את המשמעות של שמירה על מידע ונתונים בעידן האינטרנט, כיצד כדאי להיערך למתקפות סייבר ומה החקיקה המעודכנת בנושא.

"השיח ההולך וגדל בנושא הסייבר, על השלכותיו, מזכיר לי את התקופה שלפני באג 2000, אז הייתה היסטריה מוחלטת בקרב הארגונים, שהשקיעו משאבים רבים בהיערכות ליום הגורלי. כשלעצמי טענתי שאמנם איש לא יודע מה יקרה במעבר לשנת 2000, אבל סביר להניח שלא תהיינה תביעות משמעותיות – וכך היה", אמרה עו"ד אסיא.

לדבריה, "התלות הכמעט טוטאלית של פעילות ארגונים במגזרים שונים במערכות מידע יוצרת לא מעט חולשות במערכות ההגנה שלהם, ואלה עלולות לחשוף את הארגון לסיכונים משמעותיים. במקביל, הולכים וגדלים מספר האיומים וזמינות כלי ההתקפה".

היא הוסיפה כי "תקיפת סייבר עלולה לשבש את פעולות הארגון: מניעת שירות ללקוחות, חשיפת מידע פרטי, מחיקה ושיבוש של נתונים, וחשיפת הארגון לתביעות אזרחיות ופליליות. ארגונים נדרשים לנקוט צעדים לניהול יעיל של הגנת הסייבר, במסגרת ניהול הסיכונים שהם חשופים להם".

עו"ד אסיא ציינה כי אחת הסכנות החמורות העלולות לנבוע ממתקפת סייבר על מאגרי מידע היא פגיעה בפרטיות של האנשים שהארגונים אוגרים את המידע עליהם. "הפגיעה הזו יכולה להתבטא בחשיפת מספר כרטיסי אשראי, סיסמאות לאי-מיילים או לאתרי אינטרנט, מידע מודיעיני ועוד. יכולים בנוסף להיות פרסומים שעלולים להשפיל בן אדם או לבזותו".

לדבריה, "כאשר מזהים מקרים של דליפת מידע החוצה, בין אם על ידי גורמים עוינים מחוץ לארגון או גורמים בתוכו, יש לנקוט בפעולות ישירות ומהירות לצמצום הפגיעה".

בהמשך היא סקרה את המצב החוקי בישראל וציינה את האחריות האישית המוטלת על מנהלי ארגונים בהגנה על המידע, כולל מפני נזקים שנגרמו כתוצאה מסייבר. היא דיברה על הפעילות של רמו"ט (הרשות למשפט ולטכנולוגיה במשרד המשפטים), שבין יתר תפקידיה היא אוכפת נהלים שקשורים בהגנה על מידע. בנוסף, היא הזכירה למשל את הנחיה 361 של המפקח על הבנקים, שמחייבת אצ הבנקים להגדיר תקן חדש של מנהל הגנה קיברנטי.

חובת הדיווח

לדברי עו"ד אסיא, מתקפת סייבר היא "חדירה או תקיפת מערכות מחשוב או תשתיות מבוססות מחשב, לרוב על ידי גורמים חיצוניים או על ידי מדינה עוינת למדינה בה פועל הארגון. הנזק יכול להיות בנושאי המידע הקשור לאנשים שפרטיהם נחשפו, לחברות מסחריות או לרשויות שאגרו את המידע, למדינה עצמה".

היא מנתה שורה של תהליכים שלדבריה מתחייבים לאחר שמזהים אירוע סייבר בארגון: בירור ראשוני, גיבוש דפוסי פעילות, השגת שליטה ראשונית וניהול האירוע על מנת למזער השפעת הנזקים על חלקים אחרים בארגון.

"יש חשיבות רבה לחזרה לפעילות מלאה של כל מערכות הארגון, לרבות כל מערכות המחשוב שלו. צריך לבצע תחקיר והפקת לקחים, תוך בחינה של כל האירוע מתחילתו ועד לסופו", אמרה עו"ד אסיא. עוד היא הדגישה כי "על הארגון לקבוע מדיניות ברורה בנושא הסייבר, להקצות את המשאבים המתאימים ולבצע מעקב, לרבות בחינת האפקטיביות של המדיניות".

"תפיסת ההגנה של הסייבר הארגוני צריכה להיות שילוב של יצירת מערכי הגנה המשלבים בין הגורם האנושי לגורם הטכנולוגי; שילוב יכולות מתקדמות במערך הגנה, לרבות יצירת מצגים של הונאת התוקפים, יצירת מלכודות, זיהוי דפוסי פעולה חשודים בתוך המערכת הממוחשבת וגם הפעילות העסקית", ציינה.

בחלק האחרון של דבריה היא התעכבה על חובת הארגון שהותקף ליידע את מי שקשור בו על המתקפה, כדי למזער נזקים שעלולים לנבוע מזליגת מידע החוצה.

"אחד הדברים החשובים בתחום מניעת הסייבר הוא, במקרה של תקיפה, ליידע את מי שהמידע שנפרץ שייך אליו ולהסביר לו על כך", אמרה עו"ד אסיא. "זה מאפשר לנושאי מידע להתארגן, להחליף סיסמאות, לבטל כרטיסי חיוב ולבצע כל פעולה נחוצה אחרת".

היא ציינה כי "החקיקה בתחום זה ברחבי העולם עדיין בראשיתה, אבל יש התקדמות בקצב מהיר. ארצות הברית מובילה במגמה זו וכיום, 47 מדינות בה חוקקו חוקים שמחייבים חברות ליידע לקוחות וצדדים שלישיים במקרה שמידע לגביהם זלג באופן לא מורשה. גם האיחוד האירופי פועל בנושא, וכבר חוקק חוקים המחייבים חברות טלקום וספקי אינטרנט לנקוט בפעולות ספציפיות, תוך קביעת לוחות זמנים, וליידע את הלקוחות במקרים של זליגת המידע לגביהם".

"בישראל, נכון להיום, לא קיימת חובה חוקית להודיע לנושאי המידע במקרה של מתקפת סייבר", הוסיפה עו"ד אסיא.

לדבריה, הזמן הממוצע לגילוי תקיפה של מאגרי מידע באמצעות תוכנות זדוניות הוא 80 יום והזמן הממוצע שלוקח כדי לפתור את התקלה עומד על 123 יום.

"פועל יוצא של תקיפת מאגרי מידע וזליגת מידע הוא גניבת זהויות של לקוחות", אמרה. "39% מלקוחות חברות האשראי חוו גניבת זהויות. המידע המבוקש ביותר לגניבות: פרטי כרטיסי אשראי, מידע בריאותי, ציונים ממוסדות חינוך וסיסמאות כניסה לשירותי בנקאות".

לסיום התייחסה עו"ד אסיא לפוליסת הביטוח החדשה של AIG נגד סייבר ואמרה כי היא מכסה המקרים הבאים: מניעת שירות כתוצאה ממתקפה על החברה; שימוש לא מורשה במידע; אובדן נכסים דיגיטליים; סחיטה, מעשה טרור או ניסיון סחיטה; עלויות משפטיות; והפרעה למהלך העסקים.