האמריקאים הם אלו שבנו את שוק המניות המשוכלל בעולם, וככזה, הם מאותגרים להיות הראשונים לשכללו ולהתאימו לאפשריות (אלגו-טריידינג) ולאיומים חדשים.
בשל כך, הוקמה ה-SECה (Securities and Exchange Commission) אשר הינה רשות פיקוח בארצות הברית האחראית לניהול ופיקוח ציבורי על שוק ההון האמריקאי; רשות זו הוקמה בשנת 1934 על מנת להחזיר את אמון המשקיעים לשוק הפיננסי בארה"ב.
באוקטובר 2011 ה-SEC הוציאה הוראה המכתיבה לכל חברה הנסחרת באופן ציבורי אשר חוותה מתקפת סייבר להצהיר על ההתקפה והנזק שנגרם לה (לדוגמא: קנין רוחני שנגנב). בהמשך, החברה צריכה לתחקר את האירוע, לגבש תוכנית פעולה למניעת הישנות האירוע ולהגיש המסקנות ל-SEC.
לפני כן, רק בנקים ובתי חולים היו מחויבים בהוראה מסוג זה.
מדוע נקטו בצעד זה?
- לצורך גיבוש החלטת מסחר צריכים המשקיעים לדעת על אירוע כזה.
- באם מידע פומבי נגנב (רישומי אשראי, פרטים אישיים וכו), יש למזער את הנזק ולהודיע ללקוחות.
- הגברת המודעות לנושא ולנזק הפוטנציאלי.
- שמירה על יציבות שוק המניות, לאור האיומים החדשים.
על פי כלכליסט, המצב בארץ קצת שונה, כמחצית מהחברות במדד ת"א־100 אינן מתייחסות כלל לנושאי הסייבר ואבטחת מידע בדיווחיהן. אחת החברות אף הגיבה "הנושא לא נכלל בדו"חות משום שאין הנחיה כזו מצד רשות ניירות ערך".
נשאלת השאלה: מדוע בישראל, מדינת הסייבר, אומת הסטארט-אפ, אין חובת דיווח? האם "הסנדלר הולך יחף"? אולי ארצות הברית מחמירה בדרישת חובת הדיווח?
במאמר שפורסם במגזין MarketWatch, נטען כי בטווח הבינוני אין השפעה ממשית לביצועי המניה לאחר שהחברה חוותה מתקפת סייבר. המגזין ניתח כמה מניות של חברות שחוו התקפה (כגון: Target) ומצא כי ההשפעה היתה משמעותית בטווח הקצר, אך בטווח הבינוני התמתנה עד לכדי אי השפעה.
לטענתם, הסיבות לכך, הן:
- ציבור המשקיעים אדיש למתקפות סייבר- יש הגורסים כי כל החברות נפרצו, אך לא כולן יודעות זאת.
- החברות לא מוסרות את כל המידע באופן מיידי- מבחירה או מכורך המציאות, החברות אומנם מצהירות באופן מיידי על ההתקפה, אך ההיקף המלא מתגלה רק לאחר מספר ימים.
- לא ניתן לכמת את הנזק שנגרם- המשקיעים והאנליסטים עדיין לא למדו לנתח ולכמת את ההשפעות והנזק.
עוד תמיכה לחוסר ההשפעה מגיעה ממגזין Financial Times, על פי מחקר ב- Freshfields Bruckhaus Deringer (משרד עו"ד מוביל באנגליה), פחות מ10% מהחברות ;סבלו מנפילה של מעל 5% במניה, אך רובן חזרו למחיר המניה הנקוב לאחר שבועיים.
מאידך, נראה שתגובת השוק לא משקפת את הפוטנציאל האמיתי והנזק הגלום במתקפת סייבר של האקרים מיומנים. בראיון שערך מגזין Business Insider עם האקר שבחר להיות אנונימי תחת השם Eightkay, חשף כמה הרסנית יכולה להיות מתקפה שכזו. ההאקר, תיאר כיצד ניתן לחזור ולהיכנס למערכות המחשוב של הבורסה האמריקאית, ולשנות לחלוטין את רצף המסחר.
המתקפות נהיות יותר ויותר מתוחכמות, ומעל 50% מהבורסות בעולם חוו התקפה בצורה זו או אחרת; רק חודש שעבר התבשרנו על התקפה שכזו.
לשכת המסחר של ארצות הברית (US Chamber Of Commerce) חוותה דעתה וטענה כי חובת הדיווח והגילוי של מתקפות סייבר "מציירות לוח מטרה" על חברות ציבוריות; הוול סטריט ג'ורנל מרחיב ומתאר שדווקא ההפך הוא הנכון, ה- SEC מעוניינת להרחיב זאת, ולבדוק כיצד הדירקטורים והסוחרים מטפלים באיום זה בצורה פרואקטיבית. בשונה מ- SEC, לשכת המסחר מציעה שהחברות אכן ידווחו על ההתקפה לרשויות (לדוגמא: מרכז בקרת סייבר לאומי) אך באופן לא פומבי.
לסיכום, אני אישית מאמין שגם בישראל צריכה להיות חובת הדיווח על אירועי סייבר בחברות שאנו (וקרנות הפנסיה שלנו) משקיעים בהם. המשקיעים זכאים לקבל שקיפות לא רק במעמד התשקיף, אלא במסחר היום-יומי אשר יכלול את כל הסיכונים הקיימים כגון, מתקפות סייבר.