בלעדי לכלכליסט
85% רואים בסייבר את האיום הגדול, אבל רק 3% מבינים בזה
חברת הייעוץ אנטרופי קוראת לגופים המוסדיים להעמיק בסיכוני הסייבר בבואם לבצע השקעה ולדאוג שחלק מחברי הדירקטוריון יוכלו לתרום בנושא: "התמהיל מוטה משמעותית לכיוון עורכי דין ובעלי מקצועות פיננסיים - צריך לרענן אותו"
חברת הייעוץ אנטרופי מנערת את הגופים המוסדיים לגבי איום שבעולם החברות כבר נערכות אליו - הסייבר. במסמך מקצועי קראה אנטרופי לגופים המוסדיים כי בבואם לבחון את הממשל התאגידי בחברה המועמדת להשקעה, יבחנו גם את סיכוני הסייבר. בנוסף ציינה כי יש לבחון את תמהיל הדירקטוריון ואת התאמתו לצורכי קבלת החלטות וניהול סיכונים, בין היתר בזירה זו.
- ניגוד העניינים של אנטרופי נפתר, ניגודי העניינים הישנים חוזרים
- ברקת התיש את אנטרופי: יוצאת מתחום הייעוץ לאסיפות כלליות
- בעקבות הדו"ח על תפקודה: אנטרופי קוראת להקמת ועדה ציבורית שתבחן את עתידה
החברה ערכה סקר בקרב דירקטורים בחברות ציבוריות, שלפיו במחצית מהארגונים אין דיון בנושא סייבר בדירקטוריון, בעוד בחצי השני הם מתנהלים, אולם לדעת הדירקטורים - לא בכמות מספקת. "בפועל", כותבת אנטרופי, "פחות מ־25% מהחברות מקיימות דיונים בדירקטוריון בתדירות מספקת בעניין הסייבר".
"שומעים סייבר ונלחצים"
"כשמוסדי משקיע בחברה, חשוב שיבין מה פרופיל הסייבר שלה ואיך היא מנהלת את הסיכון הזה, כדי שההשקעה שלו לא תרד לטמיון", אמר ל"כלכליסט" רואי סטאל, שותף ומנכ"ל אנטרופי יועצים. "זה נכון אף יותר בחברות ללא גרעין שליטה. חברה עלולה לקרוס כתוצאה ממתקפת סייבר. אפילו בבנקים, שפעם סיכון האשראי היה הסיכון הראשי שלהם וכל דירקטור שם מכיר את סיכוני האשראי ככף ידו, רואים בסיכון הסייבר כאחד המרכזיים; לכן הדירקטוריונים שלהם מכירים את נושא הסייבר לעומק. אבל בחברות שאינן פיננסיות, נושא הסייבר מרתיע את שדרות ההנהלה הגבוהות. הם שומעים סייבר ונלחצים".
85% מהדירקטורים סבורים שמידת איום הסייבר בארגונם היא בינונית עד גבוהה. על כך אמר מתי אהרן, שותף ומנכ"ל אנטרופי ממשל תאגידי: "העובדה ש־85% מהדירקטורים מוצאים שהסייבר הוא סיכון גבוה לחברה מצד אחד, אבל נרתעים מלעסוק בו מצד שני, מציגה תמונה עגומה לגבי נכונות הדירקטוריונים להתמודד עם הלא מוכר. לא אחת נוכחנו כי הטיפול של החברות מתמצה בהפניה למנהל הסייבר של החברה, אם קיים כזה, או למנהל מערכות המידע, כדי לקבל תשובות בנושא. אבל כשמדברים על דו"חות כספיים, הדירקטוריון לא מפנה לסמנכ"ל הכספים, אלא מקיים דיון בדירקטוריון בהיבטים האלה ונעזר אגב הדיון באנשי המקצוע. איזה דירקטוריון יודע להגיד מה השפעת סיכון הסייבר על החברה שלו כיום? ספק אם יש. בדיוק לכן העולם הולך לרגולציה בתחום".
מהסקר עולה כי כ־50% מהדירקטורים חושבים שלדירקטוריון אין יכולת לפקח באופן יעיל ואפקטיבי על סיכון הסייבר, ורק כ־40% מהדירקטורים סבורים שהארגון שלהם משקיע די משאבים להתמודדות בחזית הזאת. "עבור חברות במדד ת"א־35, הנתונים אף החמירו: 70% מהדירקטורים סבורים שלא מתקיימים מספיק דיונים בנושא סיכון הסייבר בדירקטוריון, וכ־60% מהם סבורים שלחברה אין יכולת לפקח על הנושא", ציינו באנטרופי.
לפי אנטרופי, על הדירקטוריון לכלול אנשים בעלי ניסיון ורקע בנושא הסייבר, כך שיוכלו לתרום בנושא הסייבר, ובמידה שאין — לדאוג שיהיה. ממיפוי שערכה החברה לחברות מדד ת"א־35, רק 3% מהדירקטורים הם מתחומי מדעי המחשב וה־IT, בעוד מרביתם מגיעים מתחומי הכלכלה, ראיית חשבון, מינהל עסקים ומשפטים.
אהרן מסביר כי "תמהיל הדירקטוריונים מוטה כיום באופן משמעותי לכיוון עורכי הדין ובעלי המקצועות הפיננסיים, בעוד החברות פונות יותר לעבר חדשנות, שיווק וסייבר. לכן צריך לרענן את התמהיל. גם עבודת הדירקטוריון צריכה להתאים עצמה להתמודדות עם הנושאים הקשורים לסיכונים של החברות, ובהם סייבר ומערכות מידע".
תקיפה עלולה לרוקן קופה
אנטרופי מצאה, כי רק בשש מתוך כלל חברות ת"א־35 קיימת ועדת משנה העוסקת בנושאי טכנולוגיה ומערכות מידע, מתוכן חמישה הם בנקים. "אף שזהו המצב כיום", כותבת החברה במסמך, "אנו סבורים שלגופים מוסדיים קיימת יכולת טובה לשפר היבטים אלו. הדרך לעשות זאת מתחילה בהכרת הנושא והבנת חשיבותו כחלק מניהול הסיכונים".
"הרלבנטיות היא לא רק למקומות שבהם מחשבי־על פועלים, אלא לכלל החברות", מדגיש סטאל. "הרי כולן עובדות עם מחשבים ודיגיטציה כדי להתייעל. חברת נדל"ן, לדוגמה, מגלגלת מאות מיליוני שקלים, ותקיפת סייבר אחת יכולה לרוקן אותה מהכספים. עד שהיא תקבל החזרי ביטוח, אם בכלל, תהיה לכך השפעה מהותית על עסקיה. זה נכון גם בתחומים אחרים, אבל הסייבר הוא הסיכון המרכזי הגדול לחברות כיום".
לאנטרופי יש מודל להערכת סיכון ממשל תאגידי של חברות ציבוריות, המתייחס לשוק ולמדד הרלבנטי על פני תקופת זמן. בראשית 2020 תתווסף לארבע הקטגוריות במודל גם אחת לניהול סיכונים, מערך ציות, רגולציה וסייבר. זו תשמש את המוסדיים להערכת הסיכון של כל חברה בנושא.