הגנת סייבר בדירקטוריון: אחריות דירקטורים וחובות פיקוח

מסגרת הפיקוח על הגנת הסייבר בדירקטוריון

כאשר מנכ"ל של חברת פינטק מתקשר בליל שבת ומודיע לדירקטורים על פריצה לרשת החברה שחשפה מאות אלפי פרטי לקוחות, השאלה הראשונה שעולה אינה רק "איך זה קרה" אלא גם "מה האחריות שלנו כדירקטורים". בעידן שבו התקפות סייבר הפכו לסיכון עסקי מרכזי, הדירקטוריון נדרש למלא תפקיד מהותי בפיקוח על מדיניות אבטחת הסייבר.

הרגולטור הישראלי, בעיקר המנהל לביטחון בסייבר הלאומי, פיתח הנחיות ברורות לגבי תפקיד הדירקטוריון בהגנת סייבר. על פי הנחיות אלה, הדירקטוריון אמון על קביעת המדיניות הכוללת של החברה בתחום אבטחת הסייבר, כולל הקצאת משאבים מתאימים ופיקוח על יישום אמצעי הגנה.

המסגרת המשפטית מחייבת את הדירקטוריון ליצור מנגנוני פיקוח ובקרה יעילים. זה כולל מינוי אחראי סייבר בכיר, קביעת נהלי דיווח ברורים למקרה של אירוע סייבר, וקיום דיונים תקופתיים בנושא מצב אבטחת הסייבר בחברה.

עקרונות יסוד בפיקוח הדירקטוריון

• פיקוח פעיל - הדירקטוריון לא יכול להסתמך על דיווחים פאסיביים בלבד
• הקצאת משאבים - אישור תקציבים מתאימים לאבטחת סייבר
• מעורבות בקביעת מדיניות - השתתפות פעילה בעיצוב אסטרטגיית הגנת הסייבר
• דיווח וזרימת מידע - יצירת ערוצי דיווח ישירים מהצוות הטכני

המסגרת המשפטית לאחריות דירקטורים בהגנת סייבר

האחריות המשפטית של דירקטורים בתחום הגנת הסייבר נגזרת ממספר מקורות משפטיים עיקריים. חוק החברות, התשנ"ט-1999, קובע את חובת הזהירות וחובת האמון של הדירקטור כלפי החברה, ובכלל זה הצורך לפקח על ניהול הסיכונים העסקיים - כולל סיכוני סייבר.

חוק הגנת הפרטיות, התשמ"א-1981, כפי שתוקן בתיקון 13, מטיל אחריות ישירה על "אחראי על מאגר המידע", אשר במקרה של תאגיד יכול להיות הדירקטוריון או מנהל מוסמך מטעמו. החוק קובע חובות ספציפיות בתחום אבטחת המידע ודורש הקמת מערכות הגנה מתאימות.

בנוסף, הנחיות המנהל לביטחון בסייבר הלאומי יוצרות מסגרת רגולטורית מחייבת עבור תשתיות חיוניות וחברות המחזיקות במידע רגיש. הנחיות אלה מתייחסות במפורש לתפקיד הדירקטוריון ולחובותיו.

רמות האחריות המשפטית

1. אחריות אזרחית - כלפי החברה, בעלי המניות, והצדדים השלישיים שנפגעו מאירוע סייבר
2. אחריות רגולטורית - כלפי הרשויות הפיקוחיות והקנסות האפשריים
3. אחריות פלילית - במקרים קיצוניים של רשלנות חמורה או הפרה מכוונת של החוק
4. אחריות מקצועית - התנהלות בניגוד לסטנדרטים המקובלים בתחום

חשוב לציין כי ביטוח אחריות דירקטורים סטנדרטי לא תמיד מכסה נזקים הנובעים מאירועי סייבר, ויש לבחון בקפידה את הפוליסה הקיימת.

יישום חובות הפיקוח בפועל: מה הדירקטוריון צריך לעשות

היישום המעשי של חובות הפיקוח דורש מהדירקטוריון לפתח גישה מובנית ושיטתית. הדבר מתחיל בהבנת נוף האיומים הספציפי לחברה ובהתאמת מנגנוני הפיקוח לרמת הסיכון הקיימת.

הצעד הראשון הוא קביעת מדיניות הגנת סייבר ברמת הדירקטוריון. מדיניות זו צריכה לכלול הגדרת רמת הסיכון המקובלת על החברה, הקצאת תקציבים לאבטחת סייבר, וקביעת אחריות ברורה לכל רמות הניהול. המדיניות חייבת להיות מותאמת לאופי העסק ולרגולציה הרלוונטית.

מרכיבי התכנית המעשית

• מינוי אחראי סייבר בכיר - בדרך כלל ברמת סמנכ"ל או CTO, עם קו דיווח ישיר לדירקטוריון
• קביעת מדדי ביצוע - KPIs ברורים למעקב אחר מצב אבטחת הסייבר
• תכנית הכשרות - הכשרת עובדים והעלאת המודעות לאבטחת סייבר
• תרגילי הדמיה - ביצוע תרגילים תקופתיים לבדיקת מוכנות לאירועי סייבר
• ביקורות חיצוניות - ביצוע בדיקות אבטחה ופניטרציה על ידי גורם חיצוני

הדירקטוריון חייב לוודא שמתקיימים ישיבות תקופתיות המוקדשות לנושא אבטחת הסייבר. מומלץ להקדיש לפחות ישיבת דירקטוריון אחת מדי רבעון לנושא זה, ולדרוש דיווחים שוטפים במקרה של אירועים משמעותיים.

ניהול משברים ודיווח על אירועי סייבר: תפקיד הדירקטוריון

כאשר מתרחש אירוע סייבר, הדירקטוריון עובר ממצב פיקוח שוטף למצב ניהול משבר פעיל. התגובה המהירה והמקצועית בשעות הראשונות יכולה להשפיע באופן מכריע על היקף הנזק ועל האחריות המשפטית הנובעת.

על פי תיקון 13 לחוק הגנת הפרטיות, קיימת חובת דיווח מיידי לרשות להגנת הפרטיות על הפרות אבטחת מידע. הדיווח חייב להתבצע תוך זמן קצר מזיהוי האירוע, והדירקטוריון צריך לוודא שקיימים נהלים ברורים למימוש חובה זו.

פרוטוקול תגובה לאירוע סייבר

1. הפעלת צוות ההתמודדות - זימון מיידי של הצוות הרלוונטי כולל נציג דירקטוריון
2. בידוד הפריצה - נקיטת צעדים מיידיים לעצירת הפריצה ומניעת הרחבתها
3. תיעוד ראשוני - איסוף ותיעוד ראיות ראשוניות באופן שישמר לצרכים משפטיים
4. דיווח רגולטורי - דיווח מיידי לרשויות הרלוונטיות בהתאם לחוק
5. הערכת נזקים - בדיקה ראשונית של היקף הפריצה והמידע שנחשף
6. תקשורת חיצונית - קביעת אסטרטגיית התקשורת עם לקוחות, ספקים ותקשורת

הדירקטוריון צריך להבטיח שקיים נהל ברור לדיווח עליו באירוע סייבר. זה כולל זימון מיידי של ישיבת דירקטוריון חירום, קבלת דיווח מפורט מהצוות הטכני, ומינוי נציג דירקטוריון לטיפול בהיבטים המשפטיים והרגולטוריים.

נכון למועד כתיבת מאמר זה, חובות הדיווח וזמני התגובה עשויים להשתנות בין תחומים שונים. יש להתייעץ עם יועץ משפטי לקבלת הנחיות עדכניות.

הערכת סיכונים ובקרה תקופתית: כלים לפיקוח יעיל

הדירקטוריון לא יכול לפקח באופן יעיל על הגנת הסייבר מבלי להבין את נוף הסיכונים הספציפי לחברה. הערכת סיכונים מקצועית ועדכנית מהווה את הבסיס לקבלת החלטות מושכלות בתחום הקצאת המשאבים ועדיפויות האבטחה.

תהליך הערכת הסיכונים צריך לכלול זיהוי והערכה של כל הנכסים הקריטיים של החברה - מידע לקוחות, קניין רוחני, מערכות תפעוליות, ותשתית הטכנולוגיה. לכל נכס יש להעריך את רמת החשיפה והסיכונים הפוטנציאליים.

מרכיבי הערכת הסיכונים

• מיפוי נכסים קריטיים - זיהוי כל המערכות והמידע הקריטיים לפעילות החברה
• זיהוי איומים - מיפוי האיומים הרלוונטיים לתחום הפעילות
• הערכת חולשות - בדיקת החולשות הקיימות במערכות ובתהליכים
• חישוב סיכונים - הערכה כמותית ואיכותית של הסיכונים השונים
• תעדוף אמצעי הגנה - קביעת סדר עדיפויות לטיפול בסיכונים

הדירקטוריון צריך לדרוש ביצוע הערכת סיכונים מקצועית לפחות פעם בשנה, ובאופן מיידי לאחר שינויים משמעותיים בפעילות החברה. ההערכה צריכה להתבצע על ידי גורם בעל מומחיות מתאימה, בין אם מהצוות הפנימי או חברה חיצונית מתמחה.

בנוסף להערכת סיכונים שנתית, יש לבצע מעקב שוטף אחר מדדי הביצוע בתחום אבטחת הסייבר. זה כולל מדדים כמו מספר הניסיונות פריצה שזוהו ונמנעו, זמני תגובה לאירועים, רמת ההכשרה של העובדים, ועמידה בתקני האבטחה הרלוונטיים.

פיקוח על ספקים וצדדים שלישיים: הרחבת גבולות האחריות

בעידן של מחשוב ענן ושירותי SaaS, חברות טכנולוגיה מסתמכות על עשרות ואף מאות ספקים חיצוניים. כל ספק מהווה נקודת סיכון פוטנציאלית, והדירקטוריון נושא באחריות להבטיח שמתקיים פיקוח מתאים על הסיכונים הנובעים מצדדים שלישיים.

האתגר המרכזי בפיקוח על ספקים הוא המורכבות והיקף הקשרים. חברה טיפוסית עשויה להיות חשופה לסיכוני סייבר דרך ספק ענן ראשי, עשרות כלי SaaS, ספקי פיתוח וקידוד חיצוניים, וגורמים נוספים בשרשרת האספקה הדיגיטלית.

מסגרת פיקוח על ספקים

• קטלוג ספקים - מיפוי מלא של כל הספקים הקריטיים והמידע שהם מעבדים
• הערכת סיכוני ספקים - סיווג ספקים לפי רמת הסיכון והקריטיות
• חוזי אבטחה - הכללת דרישות אבטחת סייבר ברורות בהסכמי הספקים
• ביקורות ספקים - ביצוע ביקורות תקופתיות לבדיקת עמידה בסטנדרטי האבטחה
• תכניות המשכיות עסקית - הכנת תכניות לטיפול בהפרעה בשירותי ספקים קריטיים

הדירקטוריון צריך לוודא שקיימת מדיניות ברורה לניהול סיכוני ספקים, הכוללת תהליכי אישור לספקים חדשים, מעקב שוטף אחר ספקים קיימים, וטיפול במקרים של הפרת אבטחה אצל ספק. במקרים של ספקים קריטיים, רצוי לכלול בהסכם זכות ביקורת ישירה של מערכות האבטחה של הספק.

רצוי לכלול בהסכמי הספקים סעיפי אחריות וביטוח המתייחסים באופן ספציפי לנזקים הנובעים מאירועי סייבר, כיוון שסעיפי אחריות סטנדרטיים לא תמיד מכסים נזקים מסוג זה.

הכשרת דירקטורים ומוכנות ארגונית: בניית יכולות פנימיות

דירקטורים רבים מגיעים לדירקטוריון עם רקע עסקי חזק אך ללא הכשרה מתמחה בתחום הגנת הסייבר. הפער הזה יכול ליצור סיכון משמעותי, כיוון שדירקטור שלא מבין את הנושא לא יוכל לבצע פיקוח יעיל או לקבל החלטות מושכלות.

תכנית הכשרת דירקטורים בתחום הגנת הסייבר צריכה לכלול הבנת האיומים העיקריים, הכרת המסגרת הרגולטורית, הבנת הטכנולוגיות הבסיסיות, ופיתוח יכולת להעריך את איכות הדיווחים הטכניים המוגשים לדירקטוריון.

מרכיבי תכנית ההכשרה

1. הכשרה בסיסית - הבנת עקרונות אבטחת הסייבר והאיומים הנפוצים
2. רגולציה ואחריות משפטית - למידה מעמיקה של החובות המשפטיות
3. מקרי מבחן - ניתוח מקרים ממשיים של חברות שעברו אירועי סייבר
4. תרגילי הדמיה - השתתפות בתרגילי הדמיה של אירועי סייבר
5. עדכונים שוטפים - הכשרות תקופתיות על איומים חדשים והתפתחויות רגולטוריות

מעבר להכשרת הדירקטורים עצמם, הדירקטוריון צריך לוודא שהחברה כולה מוכנה להתמודד עם אתגרי הסייבר. זה כולל הכשרת כל העובדים, בניית תרבות אבטחה ארגונית, ופיתוח יכולות פנימיות לזיהוי ותגובה לאיומים.

חשוב להבין שהגנת סייבר איננה רק עניין טכנולוגי אלא גם עניין ארגוני ותרבותי. הדירקטוריון צריך להוביל בהטמעת תרבות של מודעות לאבטחה ואחריות אישית של כל עובד לשמירה על אבטחת המידע. הכשרות תקופתיות, מבחני הדמיה, ותהליכי עדכון שוטפים מהווים חלק אינטגרלי מהמוכנות הארגונית לאיומי סייבר.

האמור במאמר זה מהווה מידע כללי בלבד ואינו מהווה ייעוץ משפטי. לקבלת ייעוץ מותאם לנסיבות הספציפיות של חברתכם, אנו מזמינים אתכם ליצור קשר עם משרדנו.

מאת

עו"ד אור אלישיב

מייסד משרד עו"ד אור אלישיב, המתמחה בדיני טכנולוגיה, הגנת פרטיות, קניין רוחני ומשפט מסחרי. מלווה חברות טכנולוגיה, סטארטאפים ומשקיעים בינלאומיים.