רגולטור שוק ההון האמריקאי מקשיח חובות דיווח אירועי סייבר לחברות ציבוריות

יש לקוות שחברות ינצלו את התמריץ הזה לשפר לא רק את מנגנוני הדיווח, אלא גם את מנגנוני הבקרה

רגולטור שוק ההון האמריקאי מקשיח חובות דיווח אירועי סייבר לחברות ציבוריות

Photo by Campaign Creators on Unsplash

הכללים החדשים של רשות ניירות ערך והבורסה האמריקאית ("SEC") בנושא ניהול סיכוני סייבר, אסטרטגיה, ממשל וגילוי תקריות על ידי חברות ציבוריות ("כללי אבטחת הסייבר") נכנסו לתוקף ב-18 בדצמבר 2023.

בעבר, חובות הדיווח אפשרו לחברות שיקול דעת רב יותר, במיוחד בקביעה האם אירוע אבטחת סייבר הוא בעל פוטנציאל פגיעה ב"נכסים המהותיים" של העסק. 

חוסר סימטריה בין החברות למשקיעים

בעוד שה-SEC אינו מפרט במפורש כיצד יש להעריך את המהותיות של אירוע, הוא מציין שההשפעה של תקרית כזו כוללת הפרעה עסקית, אובדן הכנסות, תשלומי כופר, עלויות תיקון, התחייבויות לצדדים מושפעים, עלויות אבטחת סייבר, אובדן נכסים, סיכוני ליטיגציה, ופגיעה במוניטין. 

חברות צריכות לקחת את כל אלה בחשבון בעת הערכת אירוע. בנוסף, בחלק אחר של המסמך, ה-SEC מדגישה את החשיבות של זיהוי "מערכות מפתח ומידע, כמו אלה שהחברה מחשיבה את "תכשיטי הכתר" שלה. כל השפעה על אלה בוודאי תיחשב כפגיעה בנכסים מהותיים.

כללים חדשים אלה חלים על חברות ציבוריות שהושפעו בשנים האחרונות ממתקפות סייבר, אשר, בתורן, השפיעו על משקיעים. 

[חן בורשן, קרדיט - סקייהוק]

קיימת חוסר סימטריה בין החברות למשקיעים בנוגע להיקף והשפעת מתקפות סייבר. למשקיעים חסר מידע מהימן בזמן אמת שעל פיו יוכלו לפעול, כלומר, להחליט האם להמשיך להחזיק במניות החברה, למכור אותה (או דווקא לרכוש מניות).

ה-SEC מפרט מספר גורמים שהניעו אותו לשנות את ההנחיות. התלות במערכות אלקטרוניות להפעלת עסקים מודרניים וההשפעה השלילית הפוטנציאלית של התקפות בקנה מידה גדול על מערכות כאלה גדלה מאוד בשנים האחרונות. 

העלייה במספר ובחומרת אירועי הסייבר המונעים ממגמות בשוק העבודה בעקבות הקורונה (בעיקר עבודה מהבית), הסתמכות על ספקי צד שלישי וריבוי פעילויות של פשעי סייבר. בעיקר כופרה. 

בנוסף, העלויות הגוברות וההשלכות השליליות של אירועי אבטחת סייבר על חברות.

סטנדרטיזציה בין גופי ממשל

ה-SEC גם רצתה לעדכן את הנחיות הדיווח שלה כך שיהיו דומות יותר לגופים מנהליים אחרים בארצות הברית,  כגון חוק דיווח תקריות סייבר עבור תשתיות קריטיות של CISA. חוק זה מחייב חברות שהן חלק ממגזרי התשתית הקריטיים לדווח על תקריות סייבר ל- CISA תוך 72 שעות מרגע הגילוי, ודווח על תשלומי כופר תוך 24 שעות.

ההנחיות החדשות נוקטות בגישה הוליסטית יותר לתפיסת אבטחת הסייבר ארגונים, וכעת היא דורשת גם דיווח על תקריות וגם דיווח שנתי מתמשך בכל הקשור למוכנות לאבטחת סייבר.

הדיווח המתמשך (אינו קשור לתקרית סייבר ספציפית) מנחה חברות לחשוף את נוהלי הממשל הפנימיים שלהם בתחום אבטחת הסייבר בדוחות השנתיים. כולל תיאורים מפורטים של תהליכים המשמשים את הדירקטוריון לפיקוח על סיכוני אבטחת סייבר.

כגון, מינוי ועדות דירקטוריון ודיווח סטנדרטי על סיכוני אבטחת סייבר לדירקטוריון ו/או לוועדת הדירקטוריון המתאימה.

עליהן להגדיר מה תפקידה של ההנהלה בהערכת וניהול סיכונים מהותיים מאיומי אבטחת סייבר, לרבות מינוי תפקידים ייעודים כגון מנהל אבטחת מידע (CISO), הטמעת תהליכי דיווח על אירועי אבטחת סייבר וכן מניעה, איתור, הפחתה ותיקון שלהם. 

חובות דיווח לדירקטוריון על אירוע סייבר 

החברות נדרשות לתאר את התהליכים הפנימים שלהן להערכה, זיהוי וניהול סיכונים מהותיים מאיומי אבטחת סייבר. בנוסף, על החברות לבצע הערכה האם סיכונים כלשהם מאיומי אבטחת סייבר, כולל סיכונים מתקריות קודמים, השפיעו עליהן באופן מהותי או שסביר להניח שישפיעו עליהם באופן מהותי בעתיד. 

ההערכות צריכות להיות מתועדות כראוי כדי להתאים לכל פניה רגולטורית.

במקרה של תקרית הגורמת לפגיעה בנכס מהותי, על החברה לדווח על כך כולל פירוט של ההיבטים המהותיים של אופיו, היקפו, העיתוי וההשפעה של האירוע. 

אירוע כזה מוגדר כ: "התרחשות בלתי מורשית, או סדרה של התרחשויות בלתי מורשות קשורות, במערכות המידע של נרשם או המתנהלות באמצעותן, המסכנת את הסודיות, השלמות או הזמינות של מערכות המידע של הנרשם או כל מידע השוכן בהן".

 על החברה לקבוע אם אירוע אבטחת סייבר הוא מהותי מייד לאחר גילוי האירוע, ואם מדובר בפגיעה מהותית, לדווח על כך לא יאוחר מארבעה ימי עסקים לאחר הקביעה. 

זהו אתגר משמעותי עבור רוב החברות, ובוודאי מצריך עבודת הכנה מוקדמת לזיהוי הנכסים המהותיים ולבניית מודל שמעריך כיצד פגיעה בהם משפיעה על העסק. 

השינוי בהנחיות ה-SEC מחייב חברות ציבוריות להתחיל לכלול מידע על מוכנותן לאבטחת הסייבר בדוחות השנתיים שלהן, ולשם כך עליהן תחילה להקים תהליכים פנימיים לזיהוי והפחתת סיכוני אבטחת סייבר (כולל תגובה לאירועים ותוכניות המשכיות עסקית). 

לאחר מכן הן צריכות לקבוע את הקריטריונים שישתמשו בהם כדי לקבוע אם אירוע הוא מהותי. 

יש לעשות זאת בצורה מסודרת תוך התחשבות בשיקולים כספיים, משפטיים, תפעוליים ואחרים. 

לבסוף, עליהם לזהות ולקבוע מי יהיה האדם (או הוועדה) הממונה על ההחלטה שלאחר התקרית לדווח. 

בשינוי התקנות, ה-SEC מקשיח את עמדתו ומעמיס על החברות דיווחים נוספים, שנועדו להיטיב עם ציבור המשקיעים. 

יש לקוות שחברות ינצלו את התמריץ הזה לשפר לא רק את מנגנוני הדיווח, אלא גם את מנגנוני הבקרה. לדוגמא - לדעת בכל רגע נתון איפה נמצא המידע הקריטי של החברה. כמו גם, את מנגנוני האבטחה על אותו מידע.


חן בורשן מנכ"ל חברת הסייבר סקייהוק סקיוריטי

אולי יעניין אותך גם