פרשנות | האם קנסות סייבר הפכו ל"הפרה יעילה"? תעשייה תוהה על האפקטיביות של הרגולציה

הסדר פשרה בסך 11.25 מיליון דולר בין משרד המשפטים האמריקאי (DOJ) לבין Health Net Federal Services וחברת האם שלה, Centene Corporation, מעורר שוב את הדיון הסוער בקרב מומחי סייבר: האם קנסות כספיים לחברות בגין הפרות אבטחת מידע אכן מרתיעים, או שהפכו לחלק מובנה במודל עסקי מחושב?

ההסדר נועד ליישב טענות לפיהן HNFS הגישה אישורים כוזבים בדבר עמידה בדרישות אבטחת סייבר במסגרת חוזה ממשלתי לניהול תוכנית TRICARE, המספקת שירותי בריאות לחיילים אמריקאים ובני משפחותיהם. משרד המשפטים טוען כי HNFS כשלה לעמוד בדרישות יסוד, כגון ביצוע סריקות פגיעות בזמן, תיקון פגיעויות אבטחה שהתגלו והתעלמות מהמלצות ביקורת חיצוניות ופנימיות.

הסכום, לכאורה, נכבד, אך היסטוריית הקנסות של Centene מעוררת תהיות קשות לגבי אפקטיביות הרגולציה. מאז שנת 2000, החברה צברה קנסות בהיקף עצום של כמעט 1.9 מיליארד דולר, רובם בגין הפרות חוזים עם הממשל. נתון זה מעלה סימני שאלה לגבי מידת ההרתעה של הקנסות.

הפרשה מעלה שאלות קשות לגבי האופן בו ממשל ארה"ב אוכף רגולציות סייבר. האם, למרות ההצהרות החוזרות ונשנות בדבר החשיבות של אבטחת סייבר, הממשל נכשל ביצירת תמריצים משמעותיים לשיפור ההגנה על מידע רגיש?

גורמים בתעשייה טוענים כי שינוי אמיתי יתרחש רק כאשר מנהלים יישאו באחריות אישית להפרות אבטחת מידע, והקנסות ייתפסו כגורם משמעותי המשפיע על השורה התחתונה של החברה, ולא כ"דמי עשיית עסקים" קטנים.

נכון לעכשיו, נראה כי ההסדר עם HNFS-Centene מעורר תחושה של דז'ה-וו. האם מדובר באות מבשר רעות המעיד על המשך מגמה של קנסות גבוהים שנספגים במודל העסקי, או שמא מדובר בתחילתה של גישה תקיפה יותר מצד הממשל? רק הזמן יגיד האם אכן יחול שינוי אמיתי בשטח.

הכתבה נכתבה בשיתוף יובל שגב, CISO של AIDOC.