במסגרת הדואליות של החיי הדירקטוריון הוא אחראי על שתי האונות של הארגון:
מצד אחד – החלק יצירתי: אסטרטגיה, חדשנות, הובלה והכוונה של פעילות החברה לעתיד, בדומה לאונה הימנית, האמנותית ומלאת הדמיון של המוח האנושי.
מצד שני – החלק האנליטי: בקרה ופיקוח על מה שהחברה מבצעת ו/או צריכה לבצע בהתאם להתוויות שהןפועל יוצא של הפעילות הראשונה. פעילות זו דומה לאונה השמאלית, המחושבת והמבוססת על ההגיון של המוח האנושי.
עולם הסייבר נוגע בשתי האונות. מחד, רמת היצירתיות הקיימת בעולם זה, עולה על כל דמיון. כל אירוע חושף אותנו לעוד דרך יצירתית שבה ניתן לפעול בעולם זה. תחת הנחה זו, יש להוביל את הארגון לנצל את כל האפשרויות הגלומות בפעילות בענף הסייבר וגם להתגונן באופן יצירתי מפני הסיכונים שהוא מקים. מאידך, הצורך לפקח על הפעילות ולבקר את האופן שבו פועלים.
מנהלים בארגונים אינם יכולים להתעלם מכך שעולם הסייבר מהווה לצד ההזדמנות, גם איום הולך וגובר, אשר תופס נפח גדול יותר ויותר מפעילות הארגון. הסיכון הגובר הוא הסיכון לכישלון מערכתי, שאינו תוצאה של סיכון פיזי ידוע, כגון שריפות, רעידות אדמה, אסונות טבע, שיטפונות וכו'. הכשל המערכתי יכול להתרחש בכוונה על ידי האקרים או כתוצאה מטעות אנושית. הקושי בזיהוי מקור הכישלון הוא הסיבה שמגזר הביטוח מתייחס אליו כאל "סיכון לכשל במערכות" שאינו מצריך הוכחה ל"מתקפת סייבר זדונית".
הכיסויים הביטוחיים הסטנדרטיים אינם נותנים מענה לסיכון זה, מכיוון שהוא אינו חלק מרשימת הסיכונים בפוליסת הרכוש ואינו כלול בהגדרת מקרה הביטוח בביטוח אחריות. ואכן, קיימת מגמה ברורה בקרב מבטחים ברחבי העולם להוסיף אי הכללה ספציפית לאירועי סייבר בפוליסות רכוש ואחריות מסורתיות.
אז מה מצופה ממנהל סביר לעשות על מנת לעמוד בסטנדרטים הנדרשים בתהליך ניהול הסיכונים התקין של הארגון?
חובתו של המנהל היא לבחון את מפת הסיכונים של הארגון, להקים גוף פנימי שמנהל תהליך סיעור מוחות מקצועי. גופים רבים בוחרים לערב בתהליך מומחה חיצוני, שבוחן מספר גדול של תרחישי כשלים אפשריים במערכת כדי להעריך כיצד הם ישפיעו על הארגון במספר היבטים:
1. ההיבט המשפטי: מצד אחד, אילו דרישות רגולטוריות מחייבות היערכות מוקדמת, לפני יום האירוע, וכיצד בדיוק על הארגון להיערך?מצד שני, אילו דרישות רגולטוריות מחייבות את הארגון מרגע גילוי הנזק, כולל דיווח לבורסה, לרשויות האבטחה ולאנשים שעלולים להיפגע (תלוי בתקנות מקומיות שונות בכל מדינה).
2. היבט עסקי: אילו נזקים (סוג הנזק וגם כימותו) עלולים להיגרם לארגון כתוצאה מכשל מוחלט של המערכות עד להשבתן (כגון אובדן רווחים)?
3. היבט פיננסי: איך ישפיע אירוע הסייבר על מאזן החברה, על התקציב שלה, על מחיר המניה שלה, על הסנטימנט של המשקיעים? על יכולת גיוס ההון?
4. היבט יחסי ציבור: איך יגיבו הלקוחות? כיצד תנהל החברה את המשבר? איך זה ישפיע על המוניטין? האם תהיה השפעה על הזמנות קיימות (ביטולים)? וכיצד יושפע צפי ההזמנות בעתיד?
מוכנות הארגון תלויה בהכנה נכונה, המורכבת משלושה פרמטרים: טכנולוגיות תהליכים אנשים נזקי הסייבר הגיעו בשנת 2020 ל- 2 טריליון $ (מבוטחים ולא מבוטחים), 90% מהם מערבים חולשה אנושית, 92.4% נעשה שימוש במייל, ואף-על-פי-כן, רק 31% מהארגונים מאמנים את העובדים שלהם באופן שוטף להתמודד עם האיום. הפער הזה, בהחלט יכול להיות משויך להיעדר מעורבות ופיקוח של הדירקטוריון, אשר לא הנחה את ההנהלהלבצע הדרכת עובדים סדירה ושוטפת שמטרתה להעלות מודעות ולאמן את העובדים לזהות סיכונים ולפעול באופן מתודי, כאשר הם נתקלים באחד.
בנוסף, חשוב לבנות פרק ייעודי לסיכוני סייבר בתוך תכנית ה- BCP, Business continuity plan. מסמך זה משמש את העוסקים בפועל בהתמודדות עם אירוע בעת התרחשותו, ומשמש ראייה לכך היא שהדירקטורים פעלו כדירקטורים סבירים ונקטו מבעוד מועד בצעדים הנדרשים בכדי למנוע ו / או למזעראת סיכון הכרוך באירוע מסוג זה. זהו 'הנמל הבטוח' (Safe harbor) עליו יוכלו להסתמך להגנתם, במקרה והתרחיש הגרוע ביותר יצא לפועל וגם תוגש בגינו תביעת רשלנות כנגדם.חשבו להבין שלא כל הסיכונים הנובעים מסייבר מקבלים כיום מענה של כיסוי ביטוחי.
לענף הביטוח יש עוד דרך משמעותית לעשות בענף הסייבר, בכדי להביאו לכיסוי אופטימלי של נזקים שאין להם פתרון הולם: נזקים פיזיים, אבדן רווחים שיניוני, נזקי מוניטין, ופיצויים מוסכמים.אבל לזכותו של ענף הביטוח יש לומר שגם הוא דינמי ומתפתח במהירות על מנת להקנות פתרונות לאתגרים החדשים שצצים לנו חדשות לבקרים.
מספר הארגונים שרוכשים פוליסות המכסות סיכוני סייבר גדל כל העת ושואף ל- 40% שנת 2020 הייתה לשנת שיא ברכישת ביטוח סייבר ברחבי העולם, והענף יגדל ביותר מ- 20% משנה לשנה ועל פי התחזיות שנערכו עד לשנת 2025.
דירקטוריון שיהיה ער לסיכון, ויוביל את ההנהלה לתיפוקד נכון, תוך פיקוח על הפעילות יוכל לחסוך מעצמו את מפח הנפש של סיכון שהתממש ללא שום מנגנון שיפוי ויאפשר את הישרדותו כעסק חי, גם לאחר אירוע שכזה.
כתבה: ריטה בעל-טכסא, עו"ד ומגשרת – מומחית בביטוחי דירקטורים וסייבר
