פרסומים

מזכר לקוחות | דיני תאגידים | יוני 2018

אחריות הדירקטוריון להתמודדות התאגיד עם איומי סייבר

מיי הריטג' (MyHeritage), חברה ישראלית המציעה שירותי גניאלוגיה משפחתית ובדיקות DNA, דיווחה בשבוע שעבר כי זיהתה פרצת אבטחה שבאמצעותה השיג תוקף את פרטי החשבונות של יותר מ-92 מיליון משתמשי האתר שלה.

אירוע זה מעורר את הצורך בהגברת המודעות בקרב חברי הדירקטוריון וועדת הביקורת של התאגיד, בפרט, ביחס לאחריותם להיערכות מקדימה של התאגיד להתמודדות עם איומי הסייבר, על מנת להקטין את החשיפה לאיומי תקיפת סייבר ודלף מידע, וביחס לאחריותם להערך ליום ההתקפה וליום שאחריה בעת הכלת האירוע והחזרה לשגרת פעילות התאגיד.

אין ספק כי איומי הסייבר הינם 'סכנה ברורה ומידית' לארגונים, ובמקרה בו איום שכזה מתממש עלול להיגרם לתאגיד נזק משמעותי ואף לקריסת הארגון במקרה של התקפת סייבר חמורה. התאגיד חשוף לא רק לנזקים הישירים שיסבול מהתקפת סייבר, אלא גם לתביעות של בעלי המניות, ספקים, לקוחות וצדדים שלישיים אחרים שיכולים להינזק כתוצאה מקשריהם עם התאגיד. על-כן, דירקטוריון סביר המעוניין בקיום ממשל תאגידי תקין, נדרש לבחון את התמודדות התאגיד עם איום זה, באמצעות הבטחת קיומה של הגנה מתודית, מתאימה, רציפה ועדכנית מפני האיום המתרחב ומשתנה חדשות לבקרים, כאשר על אמצעי ההגנה הננקטים להלום את רמת הסיכון הנשקף לחברה מהתקפות סייבר. זאת, הן על-מנת לבסס את חובת הזהירות והאמונים שלו כלפי התאגיד ולמנוע התרשלות של הדירקטורים והן בכדי למלא אחר הוראות חקיקה שונות. נדגיש, אין הכוונה כי הדירקטוריון יקדיש את כל עתותיו לנושא ההגנה מהתקפות סייבר, למעט ככל שהוא פועל בתעשייה רלוונטית, אלא עליו לבחון את הערכות התאגיד בנושא.

בחודש פברואר השנה, פרסמה הנציבות לניירות ערך ובורסות של ארצות הברית ("SEC"), כללים מנחים, אודות הגילוי הנדרש בחברות מדווחות ביחס לסיכוני סייבר, על מנת ליידע את ציבור המשקיעים בעיתוי הנאות, אודות תקריות וסיכוני סייבר מהותיים. הנחיות ה- SEC מתייחסות גם לחברות הנתונות לסיכוני סייבר מהותיים שטרם חוו אירוע סייבר, וזאת הן בדבר גורמי סיכון של התאגיד והוצאות התגוננות מפני אירועי סייבר עתידיים, והן ביחס להשלכות של אירועי סייבר שאירעו בתאגיד ובכלל זאת התייחסות לתפקיד הדירקטוריון בפיקוח על ניהול סיכוני סייבר מהותיים. נוסף לכך, ה- SEC מעודד את החברות הנסחרות לקבוע נהלים, שנועדו למנוע מאנשי פנים בחברה לנצל מידע פנים אודות סיכוני סייבר.

נציין כי בעמדות של רשות ניירות ערך בישראל, בנושא זה, מציינת הרשות כי מדובר בסיכון תפעולי המהווה גם סיכון אסטרטגי ושיטתי לתאגיד. תחכום האיום, הא-סימטריה בין הסיכון הנמוך לתוקף לגודל התגמול המתרגם לעוצמת הפגיעה בנתקף והשלכות התממשותו מחייבים התייחסות אסטרטגית מיוחדת של הדירקטוריון, במסגרת ניהול הסיכון התפעולי, ואישור מערך הבקרה הפנימית. נעיר כי הרגולטור הישראלי עדיין לא קבע הנחיות גילוי ודיווח בנושא זה, עם זאת, הנושא יכול לבוא לידי ביטוי, בין היתר, בגילוי התקופתי של תאגיד מדווח אודות הסביבה העסקית וגורמי הסיכון של התאגיד וכן לעניין חובת הדיווח המיידית בעת התרחשות של אירוע סייבר, אשר עשויה להיות לו השפעה מהותית על התאגיד או על מחיר נייר הערך של התאגיד.

לשם כך מוצע כי לכל הפחות התמודדות התאגיד עם איומי הסייבר תשולב בתכנית העבודה של מבקר הפנים של התאגיד, אשר יבדוק היבטים שונים של הסוגיה בעצמו או ייעזר ביועץ ייעודי לנושא זה, ותוצאות בדיקתו ייבחנו ויידונו על ידי ועדת הביקורת. בנוסף, אנו ממליצים כי נושא זה יידון אחת לשנה בדירקטוריון, כאשר במסגרת דיון בנושא, יבחן הדירקטוריון את הערכות התאגיד לאירועי סייבר, ובפרט את רמת ההשקעה הכספית וסבירותה ביחס להשקעות אחרות וביחס לסיכון הספציפי והכללי של התאגיד, ההתמודדות עם האיומים ודרכי הכלתם, ככל שיקרו ויקבל את דיווחי ועדת הביקורת ומבקר הפנים בנושא. כמובן, מידת החשיפה והנזק הצפוי מסיכוני הסייבר לתאגיד תשפיע על רמת ההערכות של התאגיד ומתאגידים הנמצאים ברמת סיכון גבוהה יותר, תידרש הערכות משמעותית יותר ולעיתים גם פיקוח הדוק יותר של הדירקטוריון.

לפירוט נוסף אודות דרך ההתגוננות הראויה והרצויה בארגונים וכן תורת ההגנה בסייבר לארגון, שפורסמה על-ידי הרשות הלאומית להגנת הסייבר, ולדגשים לפעילות היועץ המשפטי הפנימי בארגון בתחום התמודדות עם התקפות סייבר, ראו במבזק קודם בנושא שפורסם על ידי מחלקת סייבר ואבטחה של משרדנו [כאן].

בהקשר זה, יש להזכיר את תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, שנכנסו לתוקף בחודש שעבר, אשר קובעות סטנדרטים חדשים, מעודכנים, מקיפים ומפורטים יותר מאלה הקבועים כיום בחוק ביחס לאבטחת מידע אישי, ואשר יחולו על גופים פרטיים וציבוריים האוספים מידע אישי במאגרי מידע. תקנות אלו קובעות, בין היתר, חובות דיווח מידיות לרשם מאגרי המידע שברשות להגנת הפרטיות, בקרות אירוע אבטחה חמור, לרבות בקשר לצעדים שבעל המאגר נקט בעקבות האירוע.

לפרוט נוסף אודות תקנות הגנת הפרטיות וכן בדבר מדיניות אכיפת התקנות על-ידי הרשות להגנת הפרטיות, ראו מבזקים שפרסמה מחלקת קניין רוחני ופרטיות של משרדנו [כאן] ו-[כאן].

משרדנו מייעץ ומסייע בימים אלו לרבים מלקוחותינו בנושא זה. לפרטים נוספים בעניין זה ובנושאי הערכות הדירקטוריון לאיומי סייבר בהיבטי הממשל התאגידי, הנכם מוזמנים לפנות לעורכי הדין ב-GKH עמם הנכם בקשר. בנושא איומי הסייבר והערכות החברה בעניין, הנכם מוזמנים לפנות לעו"ד רמי מור-זהבי, שותף, ראש מחלקת סייבר וחברות ביטחוניות, בטלפון 03-6074510 או בדוא"ל  ramim@gkh-law.com. בנושאי הגנת הפרטיות הנכם מוזמנים לפנות לעו"ד אלה טבת, שותפה, ראש מחלקת קניין רוחני ופרטיות, בטלפון 03-6074588 או בדוא"ל ellat@gkh-law.com.

משרד גרוס, קלינהנדלר, חודק, הלוי, גרינברג, שנהב ושות' (GKH), הנו אחד ממשרדי עורכי הדין הגדולים בישראל, המונה למעלה מ-170 עורכי דין. למשרד התמחות ופעילות ענפה בתחומי המשפט המסחרי, ובין היתר בתחום מיזוגים ורכישות, שוק ההון, הייטק וטכנולוגיה, בנקאות, מימון, ליטיגציה, הגבלים עסקיים ודיני תחרות, אנרגיה ותשתיות, איכות הסביבה, קניין רוחני, דיני עבודה ומיסים.

המידע בחוזר זה מיועד ללקוחות משרד גרוס, קלינהנדלר, חודק, הלוי, גרינברג, שנהב ושות' וידידיו. כל המידע הנכלל בחוזר זה הינו בבחינת מידע כללי ותמציתי בלבד, ואינו מהווה חוות דעת או ייעוץ משפטי. על המשתמש לקבל עצה מקצועית נפרדת לכל פעולה משפטית או אחרת בקשר לנושאים שנדונו בחוזר.

רונה ברגמן נוה

טלפון +972-3-6074430
אימייל

Download vCard

אלה טבת

טלפון +972-3-6074541
אימייל

Download vCard

דוד אולשטיין

טלפון +972-3-6074444
אימייל

Download vCard