התקפות סייבר הפכו בשנים האחרונות לאירוע שאף אחד אינו חסין מפניו, מרמת מוסדות המדינה ועד לחברות ממשלתיות וחברות ציבוריות ופרטיות. העלייה בשכיחות התקפות הסייבר ובחומרתן מדאיגה ומחייבת היערכות דיווחית מצד החברות הציבוריות שנופלות קורבן להתקפות אלו. המשקיעים בבורסת תל אביב נתקלו פעמיים ובסמיכות זמנים בדיווחים על התקפת סייבר על חברות ציבוריות מקומיות - לפני מספר שבועות הייתה זו חברת סאפיינס, וממש לאחרונה דיווחה טאואר כי חוותה התקפת סייבר.
ההודעה העמומה של טאואר לפיה נפלה קורבן להתקפת סייבר והודעתה של סאפיינס קודם לכן, לא באמת ציידו את המשקיעים בכלים סבירים להבנת חומרת האירוע. לא ניתנו בהן פרטים בסיסים כגון: מה סוג ההתקפה שחוותה החברה? כמה זמן נמשך האירוע לפני שהתגלה? כמה זמן חלף מאז שהתגלה ועד שדווח למשקיעים? מה היו נזקיו? וכן הלאה.
ייתכן כי המידע הרלוונטי אינו מצוי במלואו ברשות החברה או שפרסומו עשוי לפגוע במאמץ למזער נזקים, אולם ברור כי איומי הסייבר על חברות ציבוריות, שהיו פעם בעלי הסתברות נמוכה, הופכים במרוצת הזמן לאיומים מרכזיים לא פחות מהתפתחויות שליליות בסביבה העסקית.
בניגוד למצב בישראל, שבו פגיעות סייבר בחברות ציבוריות הן אירוע נדיר יחסית, בארה"ב הורגלו משקיעים בחברות ציבוריות רבות בשנים האחרונות לתופעה, עקב שורה ארוכה של מתקפות סייבר שעלו לחברות אלו במצטבר עשרות מיליארדי דולרים.
140 חברות ציבוריות בארה"ב חוו אשתקד התקפות סייבר, גידול של 11% ביחס לשנת 2018 ו- 57% ביחס ל-2017. חברות בולטות דוגמת פייסבוק, יאהו, מריוט אינטרנשיונל ואחרות ספגו מתקפות סייבר גדולות שהסבו להן נזקים ישירים של מאות מיליונים ואף מיליארדי דולרים, כשחלק מהחברות אף חוו מתקפות חוזרות.
קיימת שונות גדולה בדרישות הדיווח ביחס להתקפות סייבר במדינות שונות, ומכאן שגם שונות ניכרת בתזמון הדיווח ורמת הפירוט שלו. רצוי שבורסות מפותחות יאמצו קוד דיווח אחיד בנושא זה, שצפוי להעסיק את המשקיעים רבות בשנים הבאות.
מחיר המניה סובל יותר ככל שהחברה מתעכבת בגילוי
הרשות לניירות ערך בארה"ב פרסמה בפברואר 2018 הנחיה לחברות ציבוריות בדבר הגילוי הנדרש ביחס להתקפות וסיכוני סייבר. הרשות הנחתה כי על החברות הציבוריות לבחון היטב את מהותיות הסיכונים והתקפת הסייבר בגיבוש הגילוי לציבור, וכי חקירה פנימית או חיצונית של המקרה אינה עילה בפני עצמה להימנע מדיווח למשקיעים במקרה שמדובר באירוע מהותי.
חברות שמתעכבות בדיווח למשקיעים ביחס לנזקים חושפות עצמן לתביעות - מוצדקות ולא מוצדקות, מצד תובעים סדרתיים - לכן יש להן אינטרס מובנה לעדכן את המשקיעים מוקדם ככל שניתן ותוך מתן פירוט מספק. יתר על כך, דיווח על התקפת סייבר במועד מקטין חשיפות למסחר במידע פנים.
חברת AUDIT ANALITICS שעוקבת אחר התנהלות החברות הציבוריות שחוו מתקפת סייבר בארה"ב, מדווחת כי משנת 2011 ועד 2019 הזמן הממוצע שבו החברה הנפגעת גילתה את הנזק הוא 108 ימים, ובממוצע חלפו 48 ימים עד שדיווחה לציבור המשקיעים.
המקרה הבולט ביותר של חברה שהותקפה בידי האקרים וגילתה זאת למשקיעים 1694 יום לאחר שהדבר נודע לה, היה של חברת יאהו, אשר הותקפה על ידי האקרים רוסים בשנת 2013 ודיווחה על כך רק בשנת 2016. רשות ני"ע של ארה"ב קנסה את החברה ב-35 מיליון דולר בגין העיכוב.
זאת ועוד: מחקרי ם אקדמיים שבחנו את ההשפעה השלילית על שווי השוק של החברות שחוו התקפת סייבר, לימדו כי הירידה הממוצעת במחיר המניה הייתה גדולה יותר ככל שהחברה התעכבה בגילוי, כך שגם כאן קיים תמריץ כלכלי לגילוי.
טאואר וסאפיינס הן צמד חברות טכנולוגיה ישראליות בולטות ודואליות אשר ניתן להניח כי לרשותן עומדים משאבים גדולים מהממוצע בכל האמור בהגנת סייבר ובהיבטים המשפטיים הנוגעים להתמודדות עם איומי הסייבר, ביחס לחברות השורה השנייה והשלישית הנסחרות בת"א.
החברות הציבוריות כולן, וודאי הקטנות שבהן, זקוקות לסיוע מקצועי וכספי על מנת להקדים תרופה למכה ולייצר מוגנות טובה לאירועים מורכבים ומסוכנים מעין אלו. היה ולא תתקבל תמיכה מסוג זה, הרי שמדובר ברולטה רוסית, שבה המקרה הבא שעשוי לגרום נזקים כבדים למשקיעים, ואף להביא לקריסת חברה ציבורית, עתיד להתרחש בכל עת.
במקביל, היה וחברה ציבורית מקומית נופלת קורבן לאירוע סייבר מהותי, עליה להימנע מגרירת רגליים והיא נדרשת לבצע גילוי מפורט מוקדם ככל הניתן, על מנת למנוע נזקים גדולים יותר למשקיעים ולה עצמה.
הכותב הוא יועץ כלכלי, דירקטור וחבר ועדות השקעה בגופים מוסדיים. כותב המאמר ו/או החברה עשויים להחזיק או לסחור בני"ע המצוינים בכתוב. האמור בכתבה אינו מהווה תחליף לשיווק השקעות ו/או ייעוץ השקעות המתחשב בנתונים ובצרכים המיוחדים של כל אדם
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.