הכשל הניהולי של "שירביט"

אחריות המנכ"ל וכשל האבטחה של חברת "שירביט"
תמונה של אבנר

התקשורת סיקרה באינטנסיביות את הפריצה לאתר חברת הביטוח "שירביט" ואת דרישת ההאקרים לתשלום כופר. ייתכן כי הסיבה העיקרית לסיקור הנרחב הייתה שהחברה מבטחת רבים מעובדי המדינה, כולל אנשי מערכת הביטחון בהווה ובעבר.

החברה מסרה לתקשורת כי קבוצת התקיפה Black Shadow פרצה לשרתי החברה ופרסמה הודעת איום ישירה על החברה שלפיה אם לא תשלם להאקרים סכום של 50 ביטקוין (כמיליון דולר) הפורצים ימכרו באינטרנט מידע אישי על לקוחות החברה. זמן קצר לאחר מכן החלו התוקפים לפרסם מסמכים שונים של הלקוחות. כמות המידע שהוצא משרתי שירביט הייתה עצומה.

מהפרסומים עולה די בבירור כי רמת האבטחה בחברה לא הייתה ראויה, ולכן להאקרים היה קל יחסית למצוא את פרצת האבטחה ולדלות פרטים רבים על מבוטחי החברה, ופרטים אלה הופצו ונמצאים כעת ברחבי רשת האינטרנט, בעיקר ב-dark net.

המיקוד של הסיקור התקשורתי היה ברמת האבטחה הבלתי מספקת של החברה ולא בסיבות לכשל האבטחתי החמור שאירע בה. הועלו שאלות קשות לגבי ההתרשלות האפשרית של "שירביט" וגם של גורמי הרגולציה – בעיקר מערך הסייבר הלאומי, שלכאורה לא דאג להתריע בפני החברה שהיא אינה עומדת בסטנדרט אבטחת המידע ולא דרש שתתקן מיד את פירצת האבטחה.

אני מבקש לדון בהיבט אחר, שלצערי לא נדון במקרה זה, והוא תחומי אחריות של מנהלים, בעיקר מנכ"לים, לאבטחת המידע בחברות שהם מנהלים. לדעתי האחריות על האבטחה נמצאת בתחום האחריות הישירה של מנכ"לים, אף כי הדבר לא נקבע רשמית.

בשנת 2009 יצא לאור ספר חשוב בתורת הניהול, ספרו של הנרי מינצברג הנקרא "ניהול" (Managing). אחד הנושאים החשובים שבהם עסק הספר הוא תפקידו של המנהל בעידן המידע. לפי מינצברג, אם בעבר אחריותו של המנהל הייתה בעיקר בתחום התפעול, דהיינו לוודא שהמערכת שעליה הוא מופקד תפעל באופן מיטבי, הרי שבעידן התפוצצות המידע המיקוד של אחריות המנהל עבר לכל מה שקשור במידע בארגון, כולל כמובן מערכות המידע ואבטחת מידע. לפי מינצברג, כדי שארגון יפעל באופן מיטבי עליו להיות מצויד במערכות מידע מתאימות ועליו לדאוג שייעשה שימוש נכון בתוצרי מערכות המידע, לדוגמה מידע תחרותי וכן מערכות מידע שתפקידן להגן על הארגון (היום נהוג להשתמש במושג Cyber Security). מכאן שמנכ"ל לא יכול לומר שלא היה מודע לכך שרמת האבטחה בחברה שהוא מנהל אינה מספקת מאחר שאינו בקיא בתחום זה, ובכך להטיל את האחריות על גורם ניהולי אחר הכפוף לו.

במקרה שלפנינו נערכה בדיקת אבטחת המידע בשירביט לאחר האירוע במטרה להבין כיצד אירעה התקלה. הבדיקה שנערכה על ידי גורם מקצועי בכיר העלתה כי החברה לא פעלה כנדרש ולא נתנה לנושא את תשומת הלב והמשאבים הנדרשים, אך מדו"ח הביקורת נעדר סעיף חשוב – מי אחראי ישירות למחדל זה?

באירוע זה – הכשל האבטחתי החמור של חברת שירביט בהגנה על המידע שברשותה – היה ניסיון מתחילת הדרך להציג את הכשל ככשל ברגולציה: כאילו מערך הסייבר הלאומי לא הציג בפני החברה דרישות אבטחה מסודרות. באחד הדיווחים שפורסמו נאמר גם כי תקופה קצרה לפני מתקפת ההאקרים נערכה בשירביט ביקורת אבטחת מידע ולא נמצאו חריגות.

הופעות התקשורת הבודדות של מנכ"ל החברה צבי ליבושור כוונו להרגעת הלקוחות ולהמעטה במידת הנזק שנגרם לחברה וללקוחותיה. המסר העיקרי שיצא מהחברה היה כי "באמצעות צוותי מומחים ממלכתיים ופרטיים בתחום הסייבר, שירביט פועלת להגן על המידע ועל לקוחותיה". משתמע מכך כאילו מדובר באירוע שהחברה לא הייתה יכולה להיערך לקראתו לבדה ולכן האשמה ברשלנות איננה עליה.

מאירוע אבטחתי חמור זה עולים מספר לקחים חשובים. בתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 נקבעו (בסעיף 3) סמכויות הממונה על אבטחת המידע בארגונים, אך לא נקבעה כפיפותו למנכ"ל, ובכך לא נקבע שלמנכ"ל יש איזו אחריות לתקינות של פעילות קריטית זו. מכאן שהלקח הראשון הוא שיש לקבוע כי מעתה ואילך למנכ"ל יש אחריות ישירה גם לתחום אבטחת המידע, מכיוון שכיום תחום זה הוא אחד הנושאים הקריטיים לחברה והוא יכול להביא לנזקים עצומים לחברות שאין להן מערכות אבטחה איכותיות. בכך אני מציע לנהוג כפי שעשו בחקיקת "חוק סרבנס-אוקסלי" בקונגרס האמריקני בשנת 2002 (הידוע בכינויו SOX), חוק בתחום החשבונאות שהפך לתקן חשבונאי מחייב בכל העולם. החוק חוקק לאחר שהתברר שחברות עסקיות ציבוריות קרסו במפתיע בשל אי סדרים או מעילות שהובילו לדיווחים כספיים מטעים, ואלה בתורם גרמו הפסדי ענק למשקיעים. לפי חוק זה, קיימת אחריות ישירה ואף פלילית של מנכ"לים ומנהלי כספים בחברות ציבוריות לאמיתות הדו"חות הכספיים שהחברה מפרסמת. החוק מחייב בעלי תפקידים בחברות עסקיות להצהיר אישית על קיום בקרות נאותות בארגון שיבטיחו דיווח כספי מדויק וימנעו מקרים של אי סדרים או טעויות בהצגת המצב של עסקי החברה כפי שמשתקף בדו"חות הכספיים.

הלקח השני הוא שעל מערך הסייבר הלאומי להוציא הנחיות שיסדירו גם את האחריות הישירה של מנכ"לים למצב האבטחה בחברה. אין להשאיר זאת לאחריות של מנהלי אבטחת המידע בחברה (CISO: Chief Information Security Officer), שכוחם מוגבל ומעמדם בחברה אינו בכיר. הנחיה זו תביא לכך שמנכ"לים יידרשו ללמוד היטב את נושא אבטחת הסייבר ויפעילו מנגנוני בקרה וביקורת שיבטיחו רמת אבטחה גבוהה כפי שנדרש. זו תהיה אחריותם האישית והם לא יוכלו להימלט ממנה. במידה שלא יעמדו בסטנדרט הנדרש, ייקבעו סנקציות עליהם. לכן יש לתקן בהתאם את תזכיר חוק הגנת הסייבר, שטרם הסתיימה חקיקתו.

לסיכום: הלקח מפרשיית הפריצה למאגר המידע של שירביט הוא שיש לקבוע אחריות אישית של המנכ"ל לפעילות אבטחת המידע בחברה שאותה הוא מנהל, מאחר שתחום זה הופך קריטי לשרידות חברות ורשלנות ביישומו יכולה להביא לנזק עצום, עד כדי הפסקת פעילותה של חברה עסקית והפסדי עתק לבעלי המניות.

 

שיתוף ב facebook
Facebook
שיתוף ב twitter
Twitter
שיתוף ב linkedin
LinkedIn
שיתוף ב whatsapp
WhatsApp
שיתוף ב email
Email

21 תגובות

  1. לטוב ולרע זה אחריות מנכל. אחרי ארוע כזה הלקוחות בורחים והחברה תיסגר.נקווה שלא יקרה . לשם כך צריכים לקחת אחריות ולהכנס אחראים.זו היתה רשלנות על גבול הפשע!!!

  2. ס'17 לחוק הגנת הפרטיות מטיל חובה ישירה על בעל מאגר מידע )שירביט( ומנהל מאגר מידע )אם לא מונה זה ישירות המנכ"ל ( לאבטחת המידע במאגר. כך שיש אחריות אישית של נושאי משרה על אירועי אבטחת מידע.

    במידה ולא היה מעורב מידע אישי אכן לא הייתה אחריות אישית למנכ"ל באופן ישיר. בעניין שירביט, יש אחריות אישית לנושאי המשרה.

    1. נכון מאד. סעיף 17 בחוק הגנת הפרטיות עונה על הבעיה שמובאת במאמר. בפירוש ניתן להיעזר בסעיף 17 הנ"ל כאשר מוגשת תביעת נזיקין אזרחית נגד מנהלים בחברה (ולא רק נגד המנכ"ל). בתביעה כזו יש להוכיח גרימת נזק לצד התובע. במקרה של שירביט נכון עשו מנהלי החברה "שזרקו מהמדרגות" את תביעת העבריינים שניסו להשתמש נגד החברה בשיטת "מצליח". אנא שימי לב שלא תמיד כותבי מאמרים בקיאים בכל החומר.

    2. הכוונה שלי היא לא לנושא הפלילי אלא לנושא האחריות הניהולית של מנכ"ל. אם בחברה היה CISO לא מספיק מיומן ובמשרה חלקית – הרי שזו אחריות ניהולית של המנכ"ל לדאוג שאיש מתאים יאייש את המשרה במשרה מלאה ויתפקד באיכות מירבית.

    3. סליחה שאני לא מצטרף לחגיגה אבל אירועים מהסוג הזה יכיחים לקרות לכל חברה..ראו ערך קיה מוטורס מעכשיו ואפילו ענקית הסייבר fireye ומייקרוסופט.
      גם בתחום הסייבר יש סבירות ולא כל כשל בדיעבד הוא כשל שיכלו לראות לפני (כמו שנכתב בכתבה עצמה..טרם הפריצב היה דוח ביקורת בנושא אמ שלא העלה ליקויים משמעותיים)

      אחריות אישית ניהולית צריכה להיות על היעדר ניהול או רשלנות.

      פריצות סייבר יכולות לקרות לכל החברות במשק

  3. תודה רבה אדמית. אם זה כך – הכיצד שאף אחד לא נתן את הדין על אירוע חמור זה?

    1. אף אחד לא נתן את הדין כיוון שלא הוגשה תביעה נגד אף אחד. למונח "אחריות ניהולית" אין משמעות משפטית ברורה. בכל מקרה אחריות המנהל היא כלפי בעלי המניות ואלה יכולים לפטרו אם אינו ממלא את מטרות החברה. במקרה של שירביט לא הוכח נזק אפילו כלפי מי מהמבוטחים שפרטיו הודלפו. ולגבי העסקת CISO – הכל שאלה של עלות\תועלת. עד כמה שידוע (אולי לא נמסרה כל האינפורמציה) לא הייתה עזיבת מבוטחים את שירביט וכולה הייתה סערה בכוס מים. הבעיה היותר גדולה היא לזהות מי היו המתנכלים לחברה ולהעמידם לדין.

  4. היות ששירביט הינה חברת ביטוח היא כפופה לחוקי ה-ISox שאומץ ע"י המפקח על הביטוח ושוק ההון מ-2010.
    נגזרת של חוקי ה-SOX ולפיכך ההנהלה נושאת באחריות על אפקטיביות הבקרה הפנימית.

    1. הזכרתי את SOX בגלל האחריות הברורה של מנהלים בתחום הדיווח הפיננסי שנקבעה גם חוקית, הרבה מאד שנים אחרי שהדבר נפל בין הכסאות. כאשר אני מדבר על הנושא הניהולי – מהי אחריות המנכ"ל? הוא לצערי מושג גמיש מדי ולכן אני מזכיר במאמר של ספרו של מינצברג שניסה לקבוע אמות מידה לסטנדרד ניהולי.

  5. מאמר מצוין. גם אני חושבת שנבנה במערכות מידע היא נקודת חולשה משמעותית אצל מנהלים בישראל.

    1. תודה רבה יהודית. שנים רבות אני מוטרד מהמצב שבו מנכ"לים בורחים מכל מה שקשור למערכות מידע בטענה שהם לא מבינים בתחום. אז שילמדו את הנושא לעומק.ויקחו אחריות.

  6. במערכות מידע כי התחום מסובך והם לא רוצים להיות אחראים במקרה לכישלון שסיכוייו גדולים. ואז הם מעלים בעצם את הסיכוי שאכן יהיו כשלונות.

    1. יכול להיות. אני חשבתי שחשוב ללמד מכך לקח כדי למנוע אירוע דומה בעתיד. אבל אינני תמים- לא מיישמים כאן לקחים.

  7. של החברה אבל את האחריות הכשלונות הם מטילים על אחרים. בעצם כך גם הממשלה וראשיה.

  8. המידע שלהן
    ומנהלים שלא בונים שליטה ובקרה על מערכות אלה אינם ראויים להיות מנכ"לים.

    1. נכון מאד. הבעיה היא שמנהלים לא נותנים לנושא זה את העדיפות הניהולית הנכונה וגם מתרחקים ממנו כי לא מבינים בנושא. ואת זה צריך לשנות.

  9. ואם יש משהו שהמנהלים חלשים בו זה תחום מערכות המידע
    כך לימד אותנו מרצה מסוים

    1. יש לשים לב, הכוונה הברורה שלי היא שתקבע אחריות ניהולית של המנכל לאבטחת המידע בחברה, גם אם זה יקבע בנהלי רשות הסייבר. אין להשאיר זאת ליד המקרה.

  10. הטלת האחריות על רשות הסייבר הלאומית האיא שגויה
    הפיקוח על הביטוח פרסם חוזרים רבים בנושא אבטחת מידע ואף התקיימו תרגילים לניהול משבר סייבר בחברות הביטוח.

    זוהר שני רבה, רואה חשבון מבקר פנימי ומבקר מערכות מידע מוסמך

כתיבת תגובה

האימייל לא יוצג באתר.

פרסום תגובה מהווה הסכמה לתנאי השימוש באתר.
התגובות יפורסמו לפי שיקול דעת העורך.

עשוי לעניין אותך