חוזר מקצועי 10/2018

עמדה משפטית מספר 105-33: גילוי בנושא סייבר

יניב בן ברוך יניב בן ברוך

מבוא
בשנים האחרונות עלה נושא ההתמודדות מול איומי הסייבר לסדר היום הציבורי והתאגידי. זאת, בין היתר, מאופיין של תקיפות הסייבר שהפכו עם השנים למתוחכמות והרסניות יותר. קצב השינויים המהיר בעולם הטכנולוגי כמו גם החדשנות וזמינות המידע היוצרים לעיתים תלות בכלים מחשוביים אשר לא אחת מסופקים או מתוחזקים על ידי גורמים חוץ אירגוניים. עולם זה מייצר חשיפות ואיומים חדשים שלעיתים קשים לזיהוי ודורשים מומחיות באיתורם, במניעתם, בהתאוששות מפגיעתם ובמזעור נזקים.

חשיפה לאיומי סייבר עשויה לנבוע מסוגים שונים של תקיפות ומגורמים שונים של מתקיפים, פנים ארגוניים וחוץ ארגוניים, הפועלים כלפי התאגיד עצמו או גורמים הקשורים אליו. תוצאת התקיפות היא בין היתר, גניבה, פגיעה (מחיקה, הצפנה) או שיבוש של מידע, השחתת אתרי אינטרנט, גניבת כסף (במסחר בבורסה, בנקים, חברות ביטוח) ועוד. היקף החשיפות לאיומי סייבר משתנה מתאגיד לתאגיד ותלוי בגורמים רבים ומגוונים, כגון: מצב פוליטי-מדיני, תחומי פעילות, גודל, רגישות המידע הקיים בתאגיד, תלות התאגיד בכלים מחשוביים, אופן שמירת הנתונים וזרימת המידע בתאגיד, וגורמים נוספים שיש בהם כדי להגביר את המוטיבציה לפגיעה בתאגיד.

תקיפת סייבר יכולה להתבטא בנזקים ישירים דוגמת אובדן הכנסות, פגיעה ברכוש מוחשי (כגון גניבת כסף, אובדן מלאי) וברכוש בלתי מוחשי (כגון במקרה של גניבת פטנטים או זכויות יוצרים), או עקיפים כגון: פיצוי ללקוחות נפגעים, עלויות משפטיות בשל תביעות צדדי ג' שניזוקו, פגיעה במוניטין, הוצאות שחזור מידע, הגדלת פרמיות ביטוח ועלויות להגברת הגנות סייבר וכיוצא באלה. כמו כן, קיים סיכון בתקיפת סייבר למהימנות המערכות החשבונאיות בארגון, באופן שעלול לפגוע בדיווח הכספי או ביכולת הבקרה עליו.

הנזקים הכלכליים והעסקיים כתוצאה מתקיפות הסייבר עלולים להגיע להיקף משמעותי עד כדי פגיעה ביכולת של התאגיד לעמוד בהישגים וביעדי שירות ובהמשכיות העסקית שלו. בנוסף, התאוששות וריפוי הנזקים יכול שימשכו זמן  רב עד חזרת התאגיד לפעילות תקינה, אם בכלל.

בישראל קיימים מספר גופים המפקחים, במישרין או בעקיפין, על חשיפת המשק לאיומי סייבר, תקיפות סייבר, מניעתם והתמודדות איתם. מבין גופים אלה, ניתן למנות את המפקח על הבנקים, רשות שוק ההון ביטוח וחיסכון, ורשות ניירות ערך. ממשלת ישראל החליטה על מדיניות לאומית כוללת בתחום הגנת הסייבר במסגרת שורה של החלטות ממשלה, שבמרכזן הקמה של גוף לאומי חדש המכונה 'מערך הסייבר הלאומי', להתמודדות עם תקיפות סייבר
[1].

בשים לב לחשיבות המתעצמת של הנושא, פרסם סגל רשות ניירות הערך ביום 21 באוקטובר 2018 את עמדה משפטית מספר 105-33: גילוי בנושא סייבר (להלן - "עמדת הסגל"). עמדת הסגל מובאת כאמור לאור טיבם ומאפייניהם הייחודיים של סיכוני הסייבר - גודל הסיכון הפוטנציאלי, מערכות וגורמי הגנה שהנם בשלבי התהוות והתמקצעות, ההיקף ההולך וגדל של הגורמים המעוניינים לנצל את הסייבר ככלי עוין או כלי פשע, האפשרות להפעילו ממיקום חוץ טריטוריאלי ועוד. מטרת העמדה היא להגביר את מודעות התאגידים המדווחים לסיכון זה ולתת דגש להיבטים מסוימים אשר הגילוי לגביהם עשוי להידרש על פי הוראות דיני ניירות ערך (כפי שהן במתכונתן הנוכחית).

אין בעמדת הסגל כדי ליצור חובות גילוי חדשות וכל גילוי בהתאם לה כפוף למבחני המהותיות הרלוונטיים. כך למשל, תאגיד אינו נדרש לתאר סיכוני סייבר כלליים הקיימים ביחס לכלל המפוקחים, וזאת על מנת למנוע דיווחים גנריים שמהותיות האמור בהם למשקיע שולית או לא קיימת. התאגיד גם אינו נדרש למסור גילוי טכני ומפורט באופיו בענייני סייבר, אלא לנהוג בהקשר זה על פי דרישות ופרקטיקות הגילוי המקובלות גם בנושאים אחרים.

הדרישות הקיימות בדין באשר לסיכוני הסייבר ולמקרים של התממשותם
בדין הקיים ישנן דרישות גילוי שונות באשר לגורמי סיכון או להתממשותם. להלן העיקריות שבהן:


גילוי בתשקיף ובדו"ח התקופתי

אגורמי סיכון

סעיף 39 לתוספת הראשונה לתקנות ניירות ערך (פרטי התשקיף וטיוטת התשקיף - מבנה וצורה), התשכ"ט - 1969 (להלן - "התוספת הראשונה") מסדיר, בין היתר, את חובות הגילוי ביחס לגורמי הסיכון של התאגיד. הסעיף האמור דורש מתן סיכום קצר של האיומים, החולשות וגורמי הסיכון האחרים של התאגיד הנובעים מסביבתו הכלכלית, הענף והמאפיינים הייחודיים שבפעילותו. בהתאם לסעיף האמור, בין היתר, נדרש להציג את גורמי הסיכון, במתכונת טבלאית, על פי טיבם - סיכוני מקרו, סיכונים ענפיים, סיכונים מיוחדים לחברה - תוך דירוגם בקטגוריות על פי מידת השפעת כל גורם סיכון, ככל שניתן לגבי עסקי התאגיד (השפעה גדולה, בינונית וקטנה).


עמדת הסגל מבהירה בהקשר זה כי סיכוני סייבר
[2]  הנם גורם סיכון ככל סיכון אחר. לפיכך, אם קיים בתאגיד סיכון סייבר מהותי הרלוונטי לפעילות, הגילוי אודות גורמי סיכון יכלול תיאור בגינו תוך ציון מידת השפעתו, וכן יכלול התייחסות לקיומה של מדיניות הגנה, פיקוח על יישומה ובדיקת האפקטיביות שלה.
 
עמדת הסגל מוסיפה בהקשר זה כי כאשר תאגיד בוחן את מהותיות סיכוני הסייבר, רצוי לשקול, בין היתר, את הגורמים הבאים:

  • התרחשות תקיפות סייבר[3] קודמות, לרבות חומרתן ותדירותן;
  • ההסתברות להתרחשות תקיפות סייבר;
  • אפקטיביות יכולות התאגיד למנוע או להקטין את החשיפה לסיכוני הסייבר;
  • היבטים עסקיים של התאגיד ופעילותו, היוצרים סיכונים מהותיים בתחום הסייבר, והעלויות וההשלכות הפוטנציאליות של סיכונים אלה, לרבות סיכונים ספציפיים לתחום פעילותו וסיכונים של ספקי שירות וצדדים שלישיים אחרים עימם התאגיד בא במגע;
  • המשאבים הכרוכים בשמירה על הגנות סייבר[4] לרבות קיומו של כיסוי ביטוחי המתייחס לתקיפות סייבר;
  • הפוטנציאל לפגיעה בנכסים ובכללם קנין רוחני ומוניטין, וכן עוצמת הפגיעה האפשרית ביתרונות תחרותיים שיש לתאגיד;
  • חוקים ותקנות קיימים או תלויים ועומדים, אשר עשויים להשפיע על העלויות הנלוות לתאגיד בקשר עם אותה רגולציה.

  
ב. גילוי על אירועים החורגים מעסקי התאגיד הרגילים
סעיף 36 לתוספת הראשונה מסדיר את חובות הגילוי במקרה של אירוע או ענין החורגים מעסקי התאגיד הרגילים (ואשר לא ניתן לו גילוי מכוח דרישה אחרת בתוספת הראשונה). בהתאם לסעיף זה נדרש מתן פרטים בדבר כל אירוע או ענין, החורגים ממהלך העסקים הרגיל של התאגיד בשל טיבם, היקפם או תוצאתם האפשרית, ואשר יש להם או עשויה להיות להם השפעה מהותית על התאגיד.

כך, במקרה של תקיפות סייבר מהותיות בתקופת הדוח, על התאגיד לכלול במסגרת הגילוי תיאור תמציתי של עיקרי האירועים שהתרחשו בתקופת הדוח או לחילופין לכלול על דרך של הפניה לדוחות מידיים שפרסם התאגיד שבמסגרתם נכלל תיאור אודות אירועים כאמור. התיאור יכלול, בהתאם לנסיבות ולעובדות ולמיטב ידיעת התאגיד, פרטים רלוונטיים כגון - זהות או סוג התוקפים, נסיבות התקיפה, כמות התקיפות ומשך זמן התקיפה, האם להערכת התאגיד היא הסתיימה, היקף וסוג הנזק שאירע לרבות השלכות עקיפות, הערכת התאגיד האם אותר מלוא הנזק הישיר, התמודדות התאגיד עם התקיפה, הפקת לקחים והאמצעים שננקטו כדי למנוע תקיפה חוזרת מסוג זה ועוד. אף אם לא קיים אירוע בודד מהותי אך התאגיד חווה מספר אירועים אשר במקובץ נחשבים כמהותיים, נדרש לבחון גילוי בגינם.

כזכור, תקנה 8א לתקנות ניירות ערך (דוחות תקופתיים ומיידיים), התש"ל-1970 (להלן - "תקנות הדוחות") קובעת כי תיאור התאגיד והתפתחות עסקיו במסגרת הדו"ח התקופתי יובא בהתאם לפרטים ולעקרונות של התוספת הראשונה. לפיכך האמור לעיל הינו בתוקף גם לדוח התקופתי.
 

גילוי בדו"ח דירקטוריון
תקנה 10 לתקנות הדוחות מסדירה את ההתייחסות למצב ענייני התאגיד בדו"ח דירקטוריון, וקובעת, בין היתר, כי דו"ח הדירקטוריון על מצב ענייני התאגיד בשנת הדיווח יכלול הסברים של הדירקטוריון על מצב עסקי התאגיד, תוצאות פעולותיו, הונו העצמי ותזרימי המזומנים שלו. ההסברים יתייחסו לאופן השפעתם של אירועים על הנתונים שבדו"חות הכספיים ועל הנתונים שבתיאור עסקי התאגיד, אם השפעה זו מהותית, ולסיבות שהביאו לשינויים שחלו במצב ענייני התאגיד בהשוואה לשנות הדיווח הכלולות בדו"חות הכספיים . דו"ח הדירקטוריון יתייחס לנתונים העיקריים בדוחות הכספיים ובתיאור עסקי התאגיד, ויכלול מידע נוסף המצוי בידי התאגיד לגבי שנת הדיווח, אם לדעת הדירקטוריון הם חשובים להבנת מצב ענייני התאגיד.
 
לפיכך, ככל שתאגיד סבור שחשיפתו לסיכוני סייבר הפכה בשנת הדוח למהותית יותר להבנת פעילותו באופן כללי, או אם אירעו תקיפה או תקיפות סייבר בעלי השפעה מהותית על אחד או יותר מסעיפי הדוחות הכספיים, יובאו הסברי הדירקטוריון בעניין.
 
במסגרת ההסברים תינתן התייחסות להשפעת האירועים על סעיפים מהדוחות הכספיים שהושפעו מהותית בשל סיכוני סייבר או תקיפות סייבר, כגון:

  • השפעות על סעיפים מאזניים כדוגמת לקוחות, מלאי, רכוש בלתי מוחשי.
  • השפעות על סעיפים תוצאתיים כדוגמת אובדן הכנסות, ירידות ערך, הפרשות, פגיעה ברווחיות.
  • סך העלויות שנוצרו לתאגיד הנובעות מהיערכות בגין הגנת סייבר.
  • השפעת תקיפה או תקיפות סייבר אשר טרם קיבלו או לא יקבלו ביטוי במסגרת הדוחות הכספיים אך הם מהותיים לפעילות התאגיד, כגון: הגשת תביעות, פגיעה בתיק הלקוחות, פגיעה במוניטין וכו'. 

גילוי בדיווחים מידיים

תקנה 36(א) לתקנות הדוחות קובעת כי בדוח יובאו פרטים בדבר כל אירוע או ענין החורגיםמעסקי התאגיד הרגילים בשל טיבם, היקפם או תוצאתם האפשרית ואשר יש להם או עשויה להיות להם השפעה מהותית על התאגיד, וכן בדבר כל אירוע או ענין שיש בהם כדי להשפיע באופן משמעותי על מחיר ניירות הערך של התאגיד.
 
בהתאם, בקרות תקיפת סייבר, תאגיד נדרש, בין היתר, לבחון את מהותיות האירוע לצורך דיווח לציבור ולשם כך לשקלל את מכלול הנזק ופוטנציאל הנזק, הן במישרין והן בעקיפין. בנוסף, ככל ורלוונטי, ייתכן שהגילוי יכלול פרטים במתכונת לפיה ניתן גילוי אודות אירועים החורגים מעסקי התאגיד הרגילים (כנסקר לעיל).
 
להלן מספר דוגמאות, לא ממצות, לאירועים או עניינים בתחום הסייבר, אשר עשויים לחייבפרסום דיווח מיידי מכוח תקנה 36:

  • פעילותו העסקית של תאגיד הופסקה לפרק זמן;
  • מאגרי מידע נפרצו באופן אשר עלול להשפיע על פעילות התאגיד במישרין או בעקיפין. ככל שהמאגר מוגן על ידי דיני הגנת הפרטיות יש להתייחס לכך בנפרד ובנוסף;
  • מערכת מחשוב של התאגיד, המהותית לפעילותו, ניזוקה באופן הפוגע מהותית בפעילות התאגיד;
  • התאגיד נדרש לשלם כופר בסכום מהותי בעקבות תקיפת סייבר;
  • תאגיד גילה כי גורמים עוינים "צותתו" למערכות המחשוב (כגון דואר אלקטרוני), ונחשפו לסודות העסקיים או גילה כי נגנב מידע עסקי פרטי שחשיפתו עלולה לפגוע מהותית בתאגיד;
  • במוצרי החברה או במערכות שהחברה בנתה או הייתה אחראית להן התגלתה פרצת אבטחה מתחום הסייבר שבגינה קיימת לחברה חשיפה מהותית (כיצרנית, כספקית המוצר וכד').

בדיווח מכוח תקנה 36(א) לתקנות הדוחות יכלול תאגיד כל פרט חשוב להערכת השלכות האירוע המדווח על עסקי התאגיד, ובכלל זה -

  1. תיאור האירוע - ייכלל מידע בקשר עם מועד תחילת האירוע ומועד סיומו, מה כלל האירוע, סוג הנתונים שנחשפו, הגורמים שהביאו לקרות האירוע וצעדים שננקטו בעניינו.
  2. תיאור הנזק והערכת הנזק - במסגרת זו ייכלל תיאור הפעילויות והנכסים שהושפעו מהאירוע והערכת הפגיעה בהם, השפעה אפשרית על תוצאות פעילות התאגיד ובכלל זה פגיעה אפשרית בהכנסות, מידת הפגיעה (ככל שישנה) ביחסי לקוחות או ספקים, או פגיעה במוניטין של התאגיד. עד כמה שניתן, על התאגיד לכלול התייחסות להערכה כוללת של הנזק הצפוי.
  3. דיווחים משלימים על האירוע - בגין אירועים מסוימים תיתכן פגיעה מאוחרת או נמשכת בנכסים, חשיפה לתביעות או עלויות מהותיות להקמת מערכות הגנה וכדומה. לפיכך, יש לבחון הצורך במידע משלים אודות התפתחויות מאוחרות הקשורות לאירוע. 

 
 לקישור לעמדה המשפטית כפי שפורסמה על ידי הרשות בפורמט PDF לחץ/י כאן.

  
יובהר כי האמור לעיל אינו בגדר ייעוץ מקצועי ואינו מהווה תחליף לקריאה מעמיקה ומלאה של עמדת הסגל ולבחינת מכלול ההשלכות הנגזרות מכוחה.

_________________________________________________________________
[1] סגל הרשות מבקש להפנות את תשומת לב התאגידים המדווחים ל-'תורת ההגנה בסייבר לארגון' (הדפסה שניה) מאפריל 2018. המסמך פותח על ידי מערך הסייבר הלאומי והוא מהווה המלצה לכלל הארגונים במשק הישראלי. המסמך נכתב עבור דירקטוריונים והנהלות של חברות, מנהלי הגנה בסייבר ומיישמים וספקי IT וניתן להשתמש בו לטובת העלאת החוסן בסייבר בארגון. לקישור למסמך זה לחץ/י כאן.  
[2] "סיכון סייבר" או "איום סייבר" - סיכון להתרחשות תקיפת סייבר.
[3] "תקיפת סייבר" - פעילות שנועדה לפגוע בשימוש במחשב או בחומר מחשב השמור בו.
[4] "הגנת סייבר" - מכלול הפעולות הנדרשות למניעה, להתמודדות ולטיפול בתקיפת סייבר או איום סייבר, לצמצום השפעתם והנזק הנגרם מהם, במהלכם ואחריהם, ובכלל זה פעולות אבטחת מידע.