הצצה לדוחות יאהו- הבכירים משלמים את מחיר ההתקפה
דו"חותיה הרבעוניים של יאהו, שפורסמו בשבוע שעבר, מספקים הצצה נדירה לפרטי אחת מתקריות גניבת המידע הגדולות בהיסטוריה , שגרמו לדליפת פרטיהם של מעל מיליארד וחצי לקוחות. כפי שצוין בדו"חות החברה, ועדה עצמאית שמינה הדירקטוריון הסיקה כי לצוות אבטחת המידע בחברה היה מידע על התקריות כבר בשנת 2014.
בסופה של אותה שנה ידעו הצוות המשפטי וחברי ההנהלה כי צדדים שלישיים חדרו למערכות הארגון והשיגו מידע ורב רגיש על חשבונות משתמשים. לטענת הוועדה, בכירי יאהו לא הבינו את חומרת האירוע, כאשר לצוות המשפטי היה די מידע לפעול לחקירת הנושא לעומקו.
את מחירה של הפריצה משלמת יאהו עד היום, כשעיקר הביקורת כלפיה נוגע לאיחור המשמעותי בדיווח על גניבות המידע. עד כה הוגשו נגדה 43 תביעות ייצוגיות, לצד תביעות נוספות שהוגשו נגד החברה עצמה ונושאי משרה בה ורשות ניירות ערך בארה"ב ורשות הסחר הפדראלית אף פתחו בחקירת המקרה. אם לא די בכך, דליפת המידע סיכנה את מכירתה של יאהו לוריזון, והיא נסגרה במחיר הנמוך ב-350 מיליון דולר.
מקרה זה מעלה את השאלה כיצד בוחנים את חשיבותו של אירוע סייבר בחברה. ככלל, נוהגות חברות ציבוריות לסווג אירוע כמהותי על פי כלל כמותי, כגון, השפעת האירוע על ההון העצמי או הנכסים של החברה.
עם זאת, אירועי אבטחת מידע לעיתים קרובות לא יכולים להיבחן על פי שיקולים כמותיים.
באירועי אבטחת מידע הפגיעה במוניטין היא מכפיל משמעותי לנזק הנגרם ולכן שאלת הדיווח מתעצמת. מחד, במידה ואירוע הסייבר, חסר כל השפעה ממשית, הדיווח עשוי להזיק לתדמית החברה ולגרור הליכים משפטיים מיותרים.
בנוסף, הגילוי עשוי לגרום לירידה בשווי המניה ואולי אף לעודד ניסיונות פריצה נוספים.
מאידך, במקרה יאהו דיווח בסמוך למועד התקרית היה מונע טענות עתידיות על עיתוי הפרסום מצד בעלי מניות ורגולטורים ומאפשר ליאהו לנהל את ההליכי הגילוי השונים מבלי שאלו יכפו עליה.
על רקע המשבר שגרמה דליפת המידע ביאהו, הודיע דירקטוריון יאהו על עדכון תוכנית המגירה שלה לניהול אירועי סייבר, וזאת לצד שלילת הבונוס השנתי של המנכ"לית, מריסה מאייר וסיום תפקידו של היועץ המשפטי של החברה.
תוכנית לניהול אירוע סייבר כוללת נהלים משפטיים וטכניים, וכן נהלי דיווח המתאמים בין הצוות הטכני לצוות המשפטי והנהלת החברה. מרכיב מרכזי בתכנית לניהול אירוע סייבר הוא מסמך המפרט את הגופים להם מדווחת החברה בעת אירוע סייבר. רשימה זו עשויה לכלול את חברת הביטוח, ספק האינטרט, הרשויות הרלוונטיות וצדדים שלישיים שעשויים להיפגע מהתקיפה.
חשיבות קיומה של תוכנית שכזו מתעצמת ככל שפעילותו של התאגיד היא בינלאומית וכפופה לרגולציה זרה. בשנים האחרונות אנו רואים התגברות של הרגולציה הקשורה בהגנת מידע בעולם, כך לדוגמא קנסות בגין הפרת התקנות האירופאיות (GDPR) המיועדות להיכנס לתוקפן במאי 2018 עשוי לגרור קנס של עד 4% מהמחזור העולמי השנתי של החברה.
חשיבות נוספת לתכנית היערכות לאירוע סייבר היא גם כמסמך המתעד את ההליכים שנקטה החברה כדי למנוע ולהיערך לאירוע הסייבר. מסמך זה עשוי לשמש כראיה לזכות נושאי המשרה בחברה במקרה ויטענו כלפיהם שהתרשלו במניעה וההיערכות לאירוע. לו תוכנית שכזו הייתה מיושמת ביאהו, היא הייתה חוסכת חלק ניכר מאותן תביעות, ממזערת את הפגיעה במניה ואולי אף מצילה את הבונוס השנתי של המנכ"לית.
בעולם שבו נכסים דיגיטאליים מחליפים נכסים פיזיים ושטרם נמצא הפתרון הטכנולוגי שמספק הגנה מלאה כנגד אירועי סייבר, אימוץ של תוכנית שכזו בכל חברה וחברה הוא צעד מתבקש.
