כנס סייבר | פיצ'ר

"החלטות באירוע סייבר לא מתקבלות על ידי אנשי ה-IT בלבד"

עו"ד ענת אבן-חן, שותפה ומרכזת תחום רגולציה במשרד ברנע ג'פה לנדה, תיארה בכנס הסייבר של גלובס, "חומר למחשבה", את התהליכים המשפטיים שעוברת החברה וכיצד היועצים המשפטיים שלה פועלים במהלך התקפת סייבר

עו"ד ענת אבן-חן, שותפה ומרכזת תחום רגולציה במשרד ברנע ג'פה לנדה, תיארה בכנס הסייבר של גלובס, "חומר למחשבה", את התהליכים המשפטיים שעוברת החברה וכיצד היועצים המשפטיים שלה פועלים במהלך התקפת סייבר. "התפקיד שלנו הוא ללוות את הוצאת כל המסמכים שהוכנו מראש בעבודה מסודרת עם הנהלת החברה, כדי להעריך את השלכות האירוע, להבין האם יש חובה לדווח לרגולטורים כמו הרשות להגנת הפרטיות ולגופים פיננסיים כמו רשות ההון והמפקח על הבנקים, ולבדוק האם יש פה אירוע שמערב פגיעה במידע אישי או של מערכות טכנולוגיות בלבד.

"בנוסף, אנחנו בודקים האם האירוע מייצר חשיפות חוזיות, וחשוב לנו ללוות את החברה ולערב גורמים נוספים, כמו רשות הסייבר הלאומית. לאחר האירוע אנחנו מלווים את החברה בתהליכי שימוע שעשויים לעניין רגולטורים, בעקבות הדיווחים שהתקבלו לגבי הצעדים שהחברה נקטה קודם לאירוע והסבירות להם. חשוב גם להציג את הצעדים המתקנים".

לדברי אבן-חן, "ניהול אירוע סייבר - כולל ההכנה לאירוע, התגובות וניהול סיכונים נכון - לא מבוסס על החלטות של אנשי IT בלבד, אלא גם של הנהלת החברה. הם צריכים להתוות את הדרך ולשקול את השיקולים, וכדאי לעשות את זה בשגרה ובשוטף, כדי להציג התנהלות עסקית נכונה ועמידה במבחנים משפטיים כמו מבחן שיקול הדעת העסקי.

"זה גם מאפשר הקדשת משאבים ראויה לנושאים של היענות לצד ניהול הסיכונים, כך שאירוע לא ישתק את החברה והיא לא תידרש להקדיש את כל המשאבים שלה בטיפול באירוע ובהשלכות שלו".

לדברי פרופ' דן עמירם, סגן דיקאן הפקולטה לניהול ע"ש קולר אוניברסיטת תל אביב, "סיפור הסייבר חשוב, אבל חשוב גם לקחת אותו בפרופורציה ולנהל את העסקים במקביל.

"לפחות ממחקרים שיש לנו, לא עולה שאירועי סייבר גורמים לנזקים משמעותיים. זה לא נראה שהמכירות נפגעות או ששווי החברה נפגע, אבל האיכות שבה מנהלים את המשבר מגדירה את רמת הפגיעה. חברות שינהלו אותו יותר טוב, וגם ניהלו את הסיכון היטב, לא ייפגעו בעוד שאלה שלא נהגו כך עלולות להיפגע יותר".

עמירם הוסיף כי יש מקום להגדיר את המעורבות של המדינה באירועי סייבר, באמצעות חקיקה. לדבריו, כשמדינה תוקפת יש לה יכולות גדולות יותר מאשר לאזרח, וצריך לקחת זאת בחשבון. "יש תחושה שלא לוקחים את פגיעות הסייבר באותה חומרה. ברגע שהחלטת שהחברות עומדות ברגולציה, צריך להרתיע את הפושעים והגנבים ולפעול נגדם. זה תפקידה של המדינה. כי כשמדינה אחרת תרצה לפגוע בגוף עסקי אצלך, רוב הסיכויים שהיא תצליח. כנ"ל ארגוני פשיעה מתוחכמים - אם לא נרתיע אותם הם ימשיכו לעשות זאת, וזה באחריות המדינה: להעניש ולהרתיע". 

"בהרבה מקרים לוקח בכלל זמן להבין שמדובר באירוע סייבר", אומר אורי שיין, ראש היחידה לטיפול באירועים במערך הסייבר הלאומי. "אם קיבלת אירוע כופרה או שהגעת בבוקר ואתה מגלה שכל המחשבים נמחקו, אז זה ברור. אירוע של מחיקה יכול להיות תוצר של אירוע תפעולי לא טוב, אבל מהר מאוד אתה יכול להבין אם מדובר באירוע תפעולי או באירוע סייבר משמעותי.

"אבל לפעמים חולפות כמה שעות עד שאתה מבין שאתה תחת אירוע סייבר. זה גם תלוי בגודל החברה - אם זו חברה ענקית, כמובן שצריך חקירה פורנזית. יש חברות סייבר מאוד טובות במדינת ישראל, ואנחנו מעודדים חברות להיעזר בהן ולהתקשר עמן מראש, כחלק מניהול הסיכונים של החברה. לכן, אם באמת רוצים להבין איך נראה אירוע סייבר מקצה לקצה, צריך לראות במה התוקף ניסה לגעת ומה האינטרס שלו מאחורי זה".

"מנסים לייצר חיסון משמעותי למשק"

שיין מסביר כי מערך הסייבר אחראי על ההגנה במרחב האזרחי, עם הפנים למשק. "באנלוגיה מהעולם הביטחוני, אנחנו סוג של כיפת ברזל, אבל אנחנו לא באים להחליף את אותו ממ"ד שצריך להיות בכל מתקן וחברה. כלומר, החברה אחראית לנכסים שלה, יש לה חובה רגולטורית להגן על מערכותיה ועל המידע שלה.

"בעת אירוע, אנחנו נכנסים לתמונה לפי שיקולים של פגיעה בתשתית חיונית משמעותית, שיכולה לייצר אפקט משמעותי על הציבור. במקרים אחרים, במידה שאנחנו מזהים חברה שמהווה שרשרת אספקה שמחוברת לחברות רבות, ופגיעה בה יכולה לייצר פגיעה רחבה במשק, אנחנו לא רק מגיעים לחברה כדי לעזור להתאושש, אנחנו בעצם מסייעים לה להגן מפני פגיעה בחברות או בלקוחות אחרים.

"באנלוגיה לעולם האפידמי, אנחנו מנסים לייצר חיסון משמעותי למשק, באמצעות הוצאת מזהים לתקיפה מהחברה - אנחנו מחסנים את המשק באופן רחב מאותה פגיעה. המערך לא מחליף את חברות ה-IR. יש בישראל חברות טובות, ואנחנו נותנים את המטרייה הגדולה יותר ואת הראייה הלאומית - אנחנו יודעים להשליך מאירוע שהתחיל במגזר אחד למגזר אחר, כדי לבלום ולמנוע התפשטות".

לדברי שיין, "בסוף, גם אם מי שעומד מאחורי התקיפה זו מדינה, לעיתים התקיפה לא מורכבת טכנולוגית ומאוד בסיסית. ואז נשאלת השאלה האם מדינת ישראל צריכה להתערב גם במקום הזה. במקרים רבים אנחנו סורקים את המשק בצורה פרו-אקטיבית, מחפשים חולשות אבטחה ופונים באופן יזום לחברות עם מידע קונקרטי על חולשה בטכנולוגיה שחושפת אותם למתקפת סייבר.

"חלק מהחברות נרתמות וישר סוגרות את הפירצה, וחלקן מעדיפות לא לעשות זאת, מכל מיני טעמים. לצורך העניין, אם הייתה עכשיו תקיפה, ואותו תוקף השתמש באותה חולשה, נשאלת השאלה איפה נופלת האחריות - המדינה התריעה וביקשה, בשירות שניתן בחינם, והאירוע הזה יכול היה להימנע.

"גם לעסקים קטנים יש לפעמים כלים פשוטים שהם יכולים ליישם, ולא צריך להיכנס להשקעות גדולות. לפעמים זה עניין של מודעות, כגון ללא ללחוץ על לינק פישינג, או לייצר מנגנון אימות דו שלבי בהזדהות למערכת, שלא לוקח תשומות ומשאבים. חשוב גם לדאוג שבמערכות ההגנה שלך מוטמעים עדכוני האבטחה האחרונים.

"אנחנו שומעים מהרבה מנכ"לים את המשפט 'יש לי ממונה הגנת סייבר', ואז אני שואל מה היקף המשרה שלו, ומסתבר שהוא מגיע פעם בשבוע לכמה שעות. שאלה נוספת היא למי הוא כפוף בחברה, למי הוא מדווח - למנכ"ל או למנהל IT בחברה - כי לעיתים יש ניגוד עניינים בין שתי הפונקציות.

"גם אם עומדים בתקנים, זה עדיין לא פוטר אותך מלבצע פעולות מסוימות; וגם אם יש מערכת גיבוי, חשוב לכמה זמן יש את הגיבוי, האם תירגלת אותו וכו'. לפעמים פשוט לטייב את המערכות הקיימות ולבצע פעולות פשוטות יכול לסייע גם לעסקים הגדולים, ובטח לעסקים הקטנים. מעבר לזה שאפשר לפעמים לקנות חבילות הגנת סייבר שלמות.

"בסופו של דבר, מדובר בניהול סיכונים כפי שעושה המנכ"ל/ית בכל תחום - אבל בסייבר, אם לא סגרת את ציר הכניסה למערכת, האירוע יכול לחזור שוב ושוב. מצד שני, חשוב גם להיערך למשבר ולא תמיד זה דורש משאבים רבים, תלוי בכמות המערכות שלך. יש לנו תפיסה לאומית לניהול משבר - זה מופיע באתר שלנו, ואפשר להוריד את זה. יש שם עשר שאלות שאתה צריך לשאול את עצמך בתור מנכ"ל/ית החברה, ולקבל את ההחלטה המושכלת של ההיערכות שלך".