דעה | ״הרווח של שירביט לשנה נמחק בגלל מתקפת סייבר אחת״
עינת מירון טוענת במאמר דעה כי ״חברה רווחית תסיים את הפעילות שלה רק כי לא השכילה להבין את סיכון הסייבר״
עינת מירון
| 05/04/2021
bigstock
שירביט פרסמה אתמול (א) את הדו"ח השנתי המסכם של 2020 ותמונת המצב עגומה. נשים לרגע בצד את העובדה שחברה שפעלה כאן מעל 20 שנה, פרנסה מעל 200 משפחות ועוד כמה מעגלי פרנסה של ספקים ונותני שירות, היתה רווחית זמן ממושך וביטחה במשך שנים רבות את מרבית עובדי המדינה, עתידה להמכר במחיר נמוך בגלל חוסר אכפתיות או הבנה של סיכון הסייבר.
ועכשיו שימו לב למספרים האבסולוטיים: הפסד של 8 מיליון ש״ח ברבעון הרביעי - שהושפע בסך הכל מחודש אחד, הוביל את החברה שהיתה רווחית לאורך השנה למצב שבו נמחקת הרווחיות השנתית כולה, לסך של 800 אלף ש״ח לעומת 26 מיליון בשנה הקודמת.
פרמיות החברה ב-2020 הסתכמו ב-453 מיליון שקל לעומת 532 מיליון שקל ב-2019, ירידה של 15%. ברבעון הרביעי, שמושפע מהחודש האחרון בו התקיימה המתקפה, קטנו הפרמיות ל-91.5 מיליון שקל, ירידה של 8% לעומת הרבעון המקביל.
נגד החברה עומדות כרגע ארבע תביעות ייצוגיות בסך של 1.2 מיליארד שקל, בהליך ממושך שיקח שנים של הוצאות משפטיות שעדיין אי אפשר להעריך. גם הממונה על שוק ההון והרשות להגנת הפרטיות טרם אמרו מילה משמעותית בנושא.
בלי שמץ של ציניות, זה דו"ח מתסכל. סיכון הסייבר הוא אמנם סיכון, אבל כזה שלא יכול להכלל בתפיסת ניהול הסיכונים הרגילה. בדו"ח הכספי של שירביט כל כך הרבה מילים על ניהול סיכונים עם המון נוסחאות וחישובים. ועדיין, חברה רווחית תסיים את הפעילות שלה רק כי לא השכילה להבין שבתחום סיכון הסייבר צריך לעשות את זה אחרת.
לפני כמה שבועות סירבתי להגיש לחברה פיננסית גדולה הצעת מחיר. זאת, כיוון שהחברה חיפשה קיצורי דרך כדי לכסת"ח. החברה המדוברת חושבת שביטוח סייבר ומנהל אירוע הם המענה לסיכון, אני לא יכולה לעשות שקר בנפשי. אני לא יכולה לעבוד עם מנהלים וחברות שממשיכים לחשוב על מתקפת סייבר בראייה מיושנת של ניהול האירוע בלבד.
הנה, הדו"ח של שירביט אומר זאת במפורש, לשירביט היה ביטוח סייבר כולל פעילות ניהול סיכונים ענפה. ברגע המשבר פעלו בחברה צוותים מיומנים ומקצועיים. אבל מיומן ומקצועי ככל שתהיה, כשאין הערכות מתאימה שמבינה באמת את סיכון הסייבר הייחודי, היכולת לנהל ולהכיל את האירוע פשוט לא קיימת.
האבסורד הוא שההשקעה שנדרשת להערכות, להבנת משמעות סיכון הסייבר היא כמעט בתקציב של קופה קטנה ביחס לנזק שאנחנו רואים כאן, עד כדי ממש סגירת הפעילות העסקית. וכן, צריך להגיד גם את זה שוב ושוב - בשירביט הועסקו 200 עובדים.
"רק" 200 עובדים. מי שחושב שסיכון הסייבר פוגע רק בחברות שמעסיקות 1000 ויותר עובדים ושחברות קטנות לא מעניינות את התוקפים, כדאי שיתעורר או שיתחיל לחפש לעצמו עבודה חדשה למקרה שהחברה שהוא מנהל כרגע תאלץ לסגור את פעילותה.
הכותבת היא מומחית Cyber Resilience להתמודדות עם סיכוני סייבר בהיבטים העסקיים.
עינת מירון טוענת במאמר דעה כי ״חברה רווחית תסיים את הפעילות שלה רק כי לא השכילה להבין את סיכון הסייבר״
bigstock
שירביט פרסמה אתמול (א) את הדו"ח השנתי המסכם של 2020 ותמונת המצב עגומה. נשים לרגע בצד את העובדה שחברה שפעלה כאן מעל 20 שנה, פרנסה מעל 200 משפחות ועוד כמה מעגלי פרנסה של ספקים ונותני שירות, היתה רווחית זמן ממושך וביטחה במשך שנים רבות את מרבית עובדי המדינה, עתידה להמכר במחיר נמוך בגלל חוסר אכפתיות או הבנה של סיכון הסייבר.
ועכשיו שימו לב למספרים האבסולוטיים: הפסד של 8 מיליון ש״ח ברבעון הרביעי - שהושפע בסך הכל מחודש אחד, הוביל את החברה שהיתה רווחית לאורך השנה למצב שבו נמחקת הרווחיות השנתית כולה, לסך של 800 אלף ש״ח לעומת 26 מיליון בשנה הקודמת.
פרמיות החברה ב-2020 הסתכמו ב-453 מיליון שקל לעומת 532 מיליון שקל ב-2019, ירידה של 15%. ברבעון הרביעי, שמושפע מהחודש האחרון בו התקיימה המתקפה, קטנו הפרמיות ל-91.5 מיליון שקל, ירידה של 8% לעומת הרבעון המקביל.
נגד החברה עומדות כרגע ארבע תביעות ייצוגיות בסך של 1.2 מיליארד שקל, בהליך ממושך שיקח שנים של הוצאות משפטיות שעדיין אי אפשר להעריך. גם הממונה על שוק ההון והרשות להגנת הפרטיות טרם אמרו מילה משמעותית בנושא.
בלי שמץ של ציניות, זה דו"ח מתסכל. סיכון הסייבר הוא אמנם סיכון, אבל כזה שלא יכול להכלל בתפיסת ניהול הסיכונים הרגילה. בדו"ח הכספי של שירביט כל כך הרבה מילים על ניהול סיכונים עם המון נוסחאות וחישובים. ועדיין, חברה רווחית תסיים את הפעילות שלה רק כי לא השכילה להבין שבתחום סיכון הסייבר צריך לעשות את זה אחרת.
לפני כמה שבועות סירבתי להגיש לחברה פיננסית גדולה הצעת מחיר. זאת, כיוון שהחברה חיפשה קיצורי דרך כדי לכסת"ח. החברה המדוברת חושבת שביטוח סייבר ומנהל אירוע הם המענה לסיכון, אני לא יכולה לעשות שקר בנפשי. אני לא יכולה לעבוד עם מנהלים וחברות שממשיכים לחשוב על מתקפת סייבר בראייה מיושנת של ניהול האירוע בלבד.
הנה, הדו"ח של שירביט אומר זאת במפורש, לשירביט היה ביטוח סייבר כולל פעילות ניהול סיכונים ענפה. ברגע המשבר פעלו בחברה צוותים מיומנים ומקצועיים. אבל מיומן ומקצועי ככל שתהיה, כשאין הערכות מתאימה שמבינה באמת את סיכון הסייבר הייחודי, היכולת לנהל ולהכיל את האירוע פשוט לא קיימת.
האבסורד הוא שההשקעה שנדרשת להערכות, להבנת משמעות סיכון הסייבר היא כמעט בתקציב של קופה קטנה ביחס לנזק שאנחנו רואים כאן, עד כדי ממש סגירת הפעילות העסקית. וכן, צריך להגיד גם את זה שוב ושוב - בשירביט הועסקו 200 עובדים.
"רק" 200 עובדים. מי שחושב שסיכון הסייבר פוגע רק בחברות שמעסיקות 1000 ויותר עובדים ושחברות קטנות לא מעניינות את התוקפים, כדאי שיתעורר או שיתחיל לחפש לעצמו עבודה חדשה למקרה שהחברה שהוא מנהל כרגע תאלץ לסגור את פעילותה.
הכותבת היא מומחית Cyber Resilience להתמודדות עם סיכוני סייבר בהיבטים העסקיים.
