ב 15.12.2020 נערכה השתלמות בנושא סייבר בשיתוף איגוד הדירקטורים בישראל, קונסיינטה ומשרד עו"ד ליפא מאיר.
ההשתלמות עסקה בחלקו של הדירקטוריון במניעה ובזהירות לפני מתקפת סייבר, בניהול האירוע תוך כדי המתקפה ובהגנות המשפטיות לאחר האירוע.
בין הדברים שנאמרו בכנס, אמר גיא דגן, מנכ"ל ומייסד קונסיינטה כי ניהול משבר סייבר בחברה מתחיל הרבה לפני התרגיל, כחלק מתפקידו השוטף של הדירקטוריון. בעידן בו תקיפות סייבר הופכות להיות עניין שבשגרה, השאלה הופכת להיות מתי נותקף במקום האם נותקף. בתור הגוף המתווה את מדיניות החברה והמבקר ומכווין את פעילותה ובתור בעל האחריות העליונה מול הרגולטור, הארגון, הלקוחות ובעלי המניות, על הדירקטוריון לבצע פיקוח על נושאי אבטחת המידע כחלק מפעילותו השוטפת.
פיקוח זה מורכב מכמה רבדים וביניהם:
- הכרת עולם התוכן ברמת הדירקטוריון
- מעקב מתוזמן על חשיפות אבטחת מידע וסייבר בחברה ותוכניות להתמודדות
- וידוא נהלים מסודרים לניהול אירוע סייבר
- מעקב ועדת הביקורת של הדירקטוריון
- קביעת נוהל להסדרת היחסים בין הדירקטוריון להנהלה בשעת משבר
- תרגול הדירקטוריון באירוע סייבר ווידוא מוכנות לנושא בהנהלה ורמת הצוותים המקצועיים
- קביעת אנשי המקצוע שילוו את הדירקטוריון בזמן האירוע
- ווידוא מוכנות ההנהלה גם בנושא מסגרת התפעול של אירוע סייבר
בכל הקשור למסגרת תפעול האירוע, על הדירקטוריון לשים דגש, על תדירות הדיווחים וסוגי הדיווחים ובין היתר:
- לקבוע תדירות כינוס
- להחליט אילו נושאים יובאו להכרעת הדירקטוריון
- לוודא נאותות החלטות הנהלה
- לוודא הגדרות מתאימות לוועדת דירקטוריון לחירום אות מסגרת תפקידה
- לוודא דיווחים חיצוניים ואסטרטגיה תקשורתית
- לקבוע מיהם הגורמים שהדירקטוריון מעונין שיופיעו בפניו
- להכין מראש ולוודא ליווי של מומחי אבטחת מידע/ניהול משבר/משפטיים/תקשורתיים שילוו וייעצו לדירקטוריון
- לקבוע מהן דרישות הדירקטוריון מההנהלה בסוף האירוע?
כמו כן, ציין גיא כי ישמח לעמוד ולסייע למשתתפים בכל שאלה או תרגול שיידרשו.
עו"ד ורד זליכה, שותפה וראש תחום סייבר ו – AI בליפא מאיר (אשר שימשה בתפקידים קודמים היועצת המשפטית לסייבר בצה"ל וראש תחום מדיניות בינלאומית במערך הסייבר הלאומי), הציגה תובנות מאירוע סייבר רחב היקף בחברת ביטוח בארה"ב שאירע לפני מספר שנים, בעקבותיו ננקטו כלפי החברה הליכים משפטיים אזרחיים והליכים מטעם הרשויות והרגולטורים בארה"ב. עו"ד זליכה ציינה כי האירוע מדגים את המערכה המשפטית הרב-מימדית עימה נדרשת חברה להתמודד לאחר אירוע, ולקחים לגבי התנהלות חברה בניהול אירוע. בין התובנות – הצורך במיפוי החובות הרגולטוריות החלות על הארגון בהקשרי אבטחת מידע וסייבר ותרומתה של היערכות מתאימה מוקדמת. כמו כן הציגה את ההתפתחויות הבינלאומיות האחרונות ביחס לכופרה, וההתרעות שהוצאו בארה"ב באוקטובר 2020 מפני תשלום כופרה תוך הפרת סנקציות בארה"ב או תוך הפרת כללי איסור הלבנת הון ומימון טרור.
ברב שיח שהתקיים בהנחייתו של יעקב עוז, המתמחה באבטחת מידע והגנת הפרטיות, הציג יעקב עוז את 3 המלצות זה"ב (זהירות בסייבר) לדירקטור ולארגון והן:
1. למנות ממונה הגנת פרטיות, חיצוני או פנימי.
2. לכתוב תיק נהלי אבטחת מידע והגנת פרטיות.
3. להיות ארגון לומד ולתרגל עצמכם ב"משחקי מלחמה - מתקפת סייבר מקצה לקצה"
עו"ד הדס תמם בן אברהם, סגנית דיקן לרגולציה, תכנון ואסטרטגיה בקריה האקדמית אונו ציינה כי ישנם דגשים חשובים לניהול משבר סייבר והם:
1. הערכות נכונה ורגולציה ארגונית מובנת לניהול משבר מייעלת את הליך הטיפול ומצמצמת חשיפה משפטית (בין היתר, ממונה על ניהול המשבר וממונה על הניהול הקבוע, נהלים סדורים ותרגול אירועים)
2. עם פרוץ המשבר, מינוי עורך דין מומחה בתחום הסייבר ובתחום הפלילי, לליווי ההליך, שימור המידע הדרוש, פורנזיקה ותיעוד ההליך. כל אלה יסייעו הניהול הליך משפטי ביום שאחרי. מומחה בסייבר, טובים ככל שיהיו, לא יודעים לעשות זאת וזה גם לא תפקידם באירוע.
3. זכרו, רוב המשברים פורצים ממקור פנימי במערכת, דעו לנתר את המערכת כל הזמן, ובזמן משבר, שמרו לכם את האפשרות למצות את הדין.
4. ולסיום, קצת אופטימיות, כל משבר הוא זמני, תערכו נכון שביום שאחרי תצליחו לצאת ממנו מחוזקים.
עו"ד ריטה בעל טכסא, דירקטורית בחברות ציבוריות ופיננסיות בתחומי הנדל"ן והביטוח אמרה כי שילוב נכון של כלי ההתמודדות הנדרשים להתמודדות בפני אירועי סייבר הוא המפתח לחוסנו של הארגון ולעמידת הדירקטוריון באחריות המוטלת עליו. השילוב הנכון מתחיל במודעות וכולל היערכות מנהלתית וטכנולוגית מחד, ורכישת ביטוח נכון, מאידך. ההיערכות, אשר מרבית התקציב צריך להיות מופנה אליה, תיתן ממענה לאירועי ה- Frequency והביטוח יתן מענה לאירועי ה- Severity ולאירועי "ברבור שחור".
ריקי גרנות, דירקטורית בחברות ציבוריות וחברה באיגוד הדירקטורים בישראל אמרה כי הדירקטוריון אמון בין שאר תפקידיו על הסיכונים ומשכך גם על סיכון הסייבר. ברמת הפיקוח , הווידוא לקיומם של תהליכים ולא לניהולם, קיום סקר סיכונים , פערים להשלמה ובעקבות כך אישור תוכנית עבודה רב שנתית שתדווח לדירקטוריון, חשיבות בקיום נוהל מסודר של עבודה במהלך תקיפת סייבר, התאוששות מאסון , תקשורת.
עו"ד איציק שופן, מתמחה ב"פשיעת סייבר" ו- " הלבנת הון " סגן ניצב בדימוס בלהב 433 אשר בעברו פיקד על המפלגה לפשעי סייבר הדגיש כי קבלת שירותי אבטחת סייבר, אין בהם כדי למנוע חשיפה של הפירמה ונושאי המשרה בה לתביעות אזרחיות ופליליות וכן הוסיף כי תפיסת האבטחה בכלל ניהול אירוע סייבר, לרבות במישור המשפטי, דורשים שכבת מיומנות של ניסיון מודיעיני, מבצעי משפטי אל מול גורמי פשיעה ברשת.
קהל המשתתפים סיכם את הכנס כחיוני, חשוב ומעניין בפרט על רקע האירועים בתקופה האחרונה.