מנכ"לים, פרצו למחשבי הארגון שלכם? אתם עלולים ללכת לכלא

חברת השבבים הבינלאומית טאואר דיווחה הבוקר (א') כי חוותה מתקפת סייבר, ששיבשה חלק מקווי ייצור השבבים שלה. בהודעה לבורסה ציינה החברה שמערכות ה-IT שלה זיהו אירוע סייבר חריג ולכן, כצעד חריג, הושבתו שרתים וכמה מערכי ייצור.

ההודעה הזו לא הפתיעה מומחי סייבר שונים בארץ ובחו"ל. מאז פרוץ הקורונה חלה עלייה משמעותית בהיקף מתקפות הסייבר על ארגונים, כאשר יעדי ההתקפה כוללים גם מערכות ליבה, ייצור, תשתיות, רשתות ועוד.

הפריצות האלה מבוצעות דרך חורי אבטחה שעד היום לא טופלו, בדרך כלל. זאת, על אף שמסלול הטיפול בהן ברור: פעילות של מנהלי אבטחה, יועצי סייבר ומומחים שונים באתר והתגברות על התקלה, בין אם על ידי מילוי נהלים הקיימים בארגון או מציאת פתרונות אד הוק, ולאחר מכן ביצוע תחקירים.

אם וכאשר התחקיר מגיע עד ללשכת המנכ"ל והנזקים שנגרמו ללקוחות הם ברמה כזו שמחייבים דין וחשבון או פיצויים, הפתרון שבו משתמשים בדרך כלל הוא הפעלת ביטוח מפני תקלות ופריצות מסוג זה, שיש, או לפחות כדאי שיהיה, לכל דירקטור ולכל מנהל בארגון. השימוש בפוליסת הביטוח מסיר מהמנכ"ל את האחריות לתקלות שהביאו לפריצה. אלא שגם אם האחריות הביטוחית מוסרת, יש למנכ"ל אחריות כללית למניעת פרצות אבטחה. לעתים, במסגרת תחקירים כאלה, כשמתחילים לרדת לעומקם של דברים, מגלים שבעבר הועלו בפני המנכ"ל דרישות להשקעות שנועדו למנוע פריצות חמורות וזה החליט שלא להיעתר להן. אחד השיקולים שאותם הוא לוקח בחשבון במקרים כאלה הוא שגם אם תהיה פריצה ותפקודי הארגון ולקוחותיו ייפגעו משמעותית, פוליסת הביטוח תעמוד לצידו, לפחות ברוב המקרים.

רוחות של שינוי – שהמנכ"לים לא יאהבו

התופעה הזו מתחילה לקבל תפנית בקרב מומחים ורגולטורים בעולם. מחקר מעמיק שערכה גרטנר הביא אותה לפרסם נייר עמדה שממנו עולה כי העידן הזה, של התחמקות מאחריות אישית של מנכ"לים לתקלות ופריצות מסוכנות, עומד לחלוף מהעולם. בעידן שבו האוטומציה של תהליכים מגיעה לשיאה, והקריטיות של מערכות המחשוב והמידע רק עולה עם הזמן, אחריות המנכ"ל חייבת להיות בהתאם, והוא כבר לא יכול לטעון "לא ידעתי" או "אני לא מבין בזה, יש לי אנשי מקצוע".

המחקר מעלה שבעתיד הלא רחוק, רגולטורים וממשלות יגיבו במהירות ובצורה קשה יותר לאירועים חמורים הנובעים מאי אבטחת מערכות (CBS). הרגולציה לא תסתפק רק בהרחבת התקנות והכללים, שיחייבו את הארגון ואת העומד בראשו לבצע את הפעולות הנדרשות, אלא יכולה להגיע גם לדרישה להסקת מסקנות אישיות. בגרטנר צופים, או שמא מזהירים, שהמנכ"ל ייחשב כאחראי ישיר על כל תקלה ופריצה למערכות כגון אינטרנט של הדברים, בקרה, ניתוח נתונים ומערכות מחשוב נוספות שמשפיעות על הייצור של הארגון.

הרגולטור והמחוקק צריכים להגדיר את אחריות המנכ"ל על מתקפה משמעותית על ארגונו, שפגעה באנשים ובארגונים רבים, כאחריות פלילית לכל דבר. בארצות הברית כבר החלו לדבר על כך, ובפני הסנאט מונחת הצעת חוק בהתאם.

פה ושם כבר הוגשו תביעות אישיות נגד מנהלים בכירים בארגון בגין תקלות ופריצות מעין אלה, אלא שהגישה המתגבשת היא שהאחריות לא צריכה להיעצר בדרג של המנהלים הטכנולוגיים. היא צריכה להגיע למעלה, עד למנכ"ל ולחברי הדירקטוריון.

יש להניח שאם התחזית של גרטנר תתממש ותתחיל מגמה כזו בעולם, גם בישראל הרגולטור, ואולי אפילו המחוקק, יצטרכו לתת את דעתם בנושא. אחריות פלילית אישית של המנכ"ל אולי תביא לפתרון הבעיות המרכזיות: חוסר מודעות, ורצון לחסוך ולמצוא פתרונות זולים יותר, שאחר כך עולים לארגון מיליונים, כתוצאה מתביעות ופיצויים שהוא נדרש לשלם.

השורה התחתונה: הקורונה האיצה תהליכי עבודה דיגיטליים וגרמה לשינויים מהותיים באופי העבודה בכל הארגונים. כתוצאה מכך, היא חשפה את מערכות המחשוב השונות – מערכות ליבה, תשתיות ואינטרנט של הדברים – למתקפות. לא מעט מנהלי אבטחה לא ישנים טוב בלילות לאחר שהם זיהו סכנות צפויות לארגון, אבל מתוסכלים מהחלטות המנכ"ל שלא לאשר פרויקטים ורכישת מערכות שיכולות להביא להגנה טובה יותר מפניהן. עושה רושם שבקרוב, אם חלילה יתרחש אסון, המנכ"ל לא יוכל להסתתר יותר מאחורי פוליסת הביטוח..