פסק דין שניתן לאחרונה בארה”ב בפרשת אלפאבית (חברת האם של גוגל) הוא בעל פוטנציאל “התלקחות” רחב ובהמשך לפסק דין אחר שניתן השנה בפרשה של First American Financial Corp, מחדד את החשיפה של מנהלים ואת רף האחריות שלהם לדיווח על אירועי סייבר. בדרך גם נחשפות הלקויות הרבות בתחום הדיווח של חברות ציבוריות על חולשות בנושא, לרבות בהקשר של יישום מבחן המהותיות, שלא פוסחות גם על החברות בישראל.
בשנים האחרונות, רשויות ניירות ערך בעולם ובכלל זה ה-SEC וגם רשות ניירות הישראלית חידדו את נהלי הדיווח על אירועי סייבר שעיקרם ליידע את ציבור המשקיעים בעיתוי הנאות, אודות תקריות וסיכוני סייבר מהותיים. כלומר, חובת דיווח תקופתית על סיכוני הסייבר הנוגעים לפעילות החברה ולצידה חובת דיווח מיידית בעת התרחשות של אירוע סייבר, אשר עשויה להיות לו השפעה מהותית על התאגיד או על מחיר נייר הערך של התאגיד. עם זאת, בפועל המציאות מלמדת כי החברות מדווחות בד”כ דיווחים גנריים בדוחות התקופתיים שלהן, והמקרים הספורים שאנחנו כן רואים בגינם דיווח הם בדרך כלל אלה שכבר הגיעו לתקשורת בדרך כזאת או אחרת – בד”כ על ידי לקוחות או צדדים שלישיים ופחות מיישום חובות דיווח. בשורה התחתונה, אין באמת עקביות בגילוי. המחקרים מעידים על השפעה לא מהותית על מחיר המניה של דיווח נאות על אירועי סייבר – אבל כנראה שמה שעומד מאחורי זה הוא שדווקא האירועים הלא מהותיים הם אלה שמדווחים. כלומר, הממצא הוא שדווקא כאשר הגילוי נובע מהדלפה ולא מיוזמת החברה ההשלכות שלו על מחיר המניה משמעותיות. דוגמה שממחישה זאת היטב היא המקרה המוכר של יאהו שב- 2016 באיחור של שנתיים-שלוש נאלצה להודות, בעקבות זה שכ- 200 מיליון שמות חשבון, מיילים וסיסמאות הוצעו למכירה בדארק-נט, וזה התרחש ערב הקלוזינג של עסקת הרכישה שלה – מה שהוביל להתאמת המחיר כלפי מטה בכ- 8%.
נושא הדיווח למשקיעים על אירוע סייבר הוא לא טריוויאלי בכלל, זה מתחיל בשאלה האם בכלל מדובר ב”אירוע סייבר” וממשיך עם סף המהותיות שדורש הפעלת שיקול דעת והאינטרס הברור של המנהלים לא לדווח על מידע רגיש כזה. מבחינה חשבונאית, מבחן המהותיות הוא אחד ממבחני שיקול הדעת שהם תמיד יותר קשים כאשר יש כל כך הרבה רגישות ואינטרסים סביב המסקנה שלהם. הקביעה של מהותיות כאן צריכה להתבצע לפי גודל הפריצה ופוטנציאל הנזק שהפריצה מעידה עליו. חשוב להדגיש, זה שחברה שילמה כופר בסכום לא מהותי לא מעיד על כך שזהו מידע לא מהותי. כך למשל, תשלום כופר של חצי מיליון שקל בידי תאגיד גדול – ככל הנראה לא מדובר בסכום מהותי מבחינה כמותית – אבל אי אפשר להגיד שבהכרח זה לא מהותי לאור ההיבט האיכותי – הרי בעצם זה שהחברה היתה חשופה לפגיעה יכולות להיות משמעויות רבות קדימה. הרשויות אף סבורות שהמהותיות אינה כרוכה רק בנזק המיידי של האירוע למערכות המידע או לתפקוד החברה, אלא עשויה להיגזר מהפגיעה באמון הלקוחות בחברה בשל כשליה בתחום ומתביעות וחקירות הנגזרות מאירועים אלה.
גוגל: הטעיית משקיעים
ניתוח של הפסיקה האחרונה במקרה של אלפאבית (חברת האם של גוגל) מחלץ מספר תובנות מרתקות על חובות דיווח של סיכוני וחולשות סייבר. במארס 2018 מגלים בגוגל כי כשל אבטחה באפליקציית הרשת החברתית שלהם +Google גרם לכך שמידע פרטי של מאות אלפי משתמשים (להערכת החברה) היה חשוף למפתחי אפליקציות חיצוניים במשך תקופה של כשלוש שנים. צוות לנושא מדיניות ומשפט בחברה הגיע למסקנה כי פרסום אותה חולשה שחשפה מידע אישי יוביל להשלכות רגולטוריות ותקשורתיות שליליות לחברה וצפוי להביא לחקירתה, בשל האווירה הציבורית בנושאי פרטיות ששררה באותם ימים. החברה מחליטה, לכן, באופן מודע, שלא לפרסם את קיומה של חולשת האבטחה ודבר המידע שהיה חשוף למפתחי אפליקציות. בדוחות רבעוניים של החברה בהם מאוזכר סיכון הסייבר לא מאוזכרת החולשה הספציפית או ניתן גילוי לכך שסיכוני הסייבר של החברה שונים מאלה שנדונו באופן כללי בדו״ח הרבעוני שקדם לכך. החברה תיארה באופן כללי את חשיבות השמירה על פרטיות ואבטחת מידע והבהירה שזהו סיכון לפעילותה אשר התממשותו עלולה לפגוע באמון הציבור בחברה, אך השתמשה באותה שפה כללית ביחס לסיכון כמו בדו״ח הרבעוני שקדם לכך ולא הזכירה את החולשה שהתגלתה. היא ציינה שלא נרשם סיכון ייחודי ביחס לסיכון שדווח בדו״ח הרבעוני הקודם.
עמדתה של גוגל היא שלא נדרשה חשיפה של החולשה שכן החברה סגרה את השירות ובו הפירצה ואין עוד סיכון לחשיפת מידע פרטי שתוביל לפגיעה בלקוחות. החברה דבקה במכוון במדיניות אי גילוי של הפרשה, ואולם, חשיפה עיתונאית של ה Wall Street Journal מספר חודשים לאחר מכן תיארה בפירוט את החולשה שהתגלתה ואת החלטת החברה שלא לדווח על הנושא.
בית המשפט קבע שאי דיווח בנסיבות אלה היה בניגוד לדין ויש בו להטעות משקיע סביר שאינו מודע לסיכוני האבטחה שקיימים בחברה. בין היתר יש בדברי בית המשפט אמירה משמעותית ולפיה גם אם פרצה נסגרה ואין עוד חשש לניצולה, זה לא אומר שלא נדרש דיווח כי במקום בו הנכס המרכזי הוא אמון הרי שעצם קיומה של החולשה מלמד על בקרות האבטחה ורמת האבטחה בארגון ויכול להשליך על אמון הציבור בחברה. כמו כן נקבע כי אי גילוי חולשה משיקולים של חשש מחקירה רגולטורית או תהודה תקשורתית לנושא הינה הסתרה מכוונת. בית המשפט מבהיר כי לעניין פרשנות ״המהותיות״ של המידע, הרי שהסיכון שהתגלות החולשה יוביל לחקירה רגולטורית כנגד החברה וכן לתביעות משפטיות מלמד על מהותיות המידע לאמון בחברה ולביצועיה העסקיים. יתרה מכך, רואים את מנהלי החברה הבכירים כמי שמבינים את ההשלכות של החולשה ואת השפעתה האפשרית על אמון הציבור בחברה גם אם לא הוכיח שהם קראו את הדוח עצמו. בית המשפט מדבר על מדיניות אי דיווח של החברה שיש בה כדי להטעות ומבהיר כי דיווח באופן כללי על סיכונים, ובכלל זה סיכוני סייבר, ללא פירוט על הסיכון הספציפי לחברה, כאשר סיכון זה כבר הבשיל והתממש, מהווה דיווח מטעה.
ה- SEC מעלה את רף האחריות
בפרשה נוספת, מוקדם יותר השנה, במקרה של First American Financial Corp הושגה פשרה מוסכמת עם ה – SEC לפיה החברה תחויב בקנס של כחצי מיליון דולר ותתחייב להחיל בקרות דיווח בעקבות הממצא כי החברה ביצעה הפרות לעניין בקרות ונהלי דיווח באשר לחולשת אבטחת מידע שחשפה מידע לקוחות רגיש. לפי ממצאי הצו המוסכם, לחברה נודע מעיתונאי על חולשת אבטחה במערכותיה אשר אפשרה גישה ישירה למידע רגיש של לקוחות בהיקף ניכר. חולשה זו נחסמה וטופלה על ידי הצוות הטכני. ואולם, כאשר החברה דיווחה על החולשה בדיווח מיידי הגורמים שהיו אחראים על הדיווח הבורסאי לא יודעו על מידע אבטחה הקיים בחברה בנוגע לחולשה ולא ידעו כי החולשה נמצאה כבר על ידי החברה בדוח בדיקת חדירות שנערך חמישה חודשים קודם לכן ולא טופלה בזמן למרות נהלי החברה. הצו מצא כי החברה כשלה בקיומן של בקרות דיווח ונהלים האמורים לוודא כי כל המידע הזמין והרלוונטי לחולשה שנמצאה ינותח טרם דיווח לציבור. כמו כן, הצו מצא כי כתוצאות מהיעדר בקרות דיווח בחברה, ההנהלה הבכירה כלל לא הייתה מודעת לחולשה שנמצאה ולכישלונה של החברה לתקנה. ה- SEC קבעה שעל חברה ציבורית חלה החובה לוודא כי מידע שחשוב למשקיעים מדווח ״במעלה הסולם התאגידי״ ומגיע לידיעת אותם גורמים שאחראים על דיווחי החברה לציבור. במקרה זה, שלא כמו במקרה אלפבית-גוגל, החברה דיווחה בדיווח מידי על חולשת האבטחה, אך, כאמור, נמצא שהדיווח לא היה מבוסס על המידע המלא הרלוונטי הנדרש ולכן החברה נמצאת בהפרה של הדין.
לקחים מיידים
שתי הפרשות המעניינות הנ”ל שהתבררו ב- 2021 מלמדות אותנו בראש ובראשונה כי מדיניות של הסתרת דיווחים על אירועי וסיכוני סייבר או אספקת דיווחים גנריים ללא חקירת המידע הרלבנטי, מובילה לאחריות משפטית בדיני ניירות ערך. צריך לזכור, סיכון סייבר הוא אמנם סיכון תפעולי – אבל מימדי ההשפעה העצומים שלו מוציאים אותו מהסיכונים התפעוליים הרגילים ומדמים אותו לסוג של סיכון-על, בעל השלכות פיננסיות ואסטרטגיות. הקושי הרב של התמודדות עימו הוא שבד”כ מנהלי הפירמות, לרבות מנהלי הסיכונים, מכירים היטב את הסיכונים הפיננסיים למיניהם וכאן הם נדרשים לעסוק בניהול של סיכון שלא מגיע (והוא אף רחוק) מהתחום שאותו הם מכירים. הפער הזה יוצר קושי משמעותי, אשר יחד עם עוצמות הנזק הפוטנציאליות של אירוע סייבר, הופכים את הסיכון הנ”ל לרגיש מאד. מציאות זאת משקפת את המורכבות הרבה שהתחדדה עם משבר הקורונה בשנה וחצי האחרונות והמעבר המואץ לדיגיטציה – הגלומה באחריות של דירקטורים ומנהלים בכירים לדיווחי סייבר. מה שבטוח הוא שאלה לא יכולים עוד לבחור במדיניות הסתרה מכוונת ולהמשיך לנהל את סיכוני הסייבר והאירועים הרחק מהעין הציבורית.
(*) נכתב ע”י שלומי שוב וד”ר נמרוד קוזלובסקי, שותף, הרצוג פוקס נאמן ו- Cytacic, מבית הרצוג אסטרטגיות.