במהלך ינואר ביצענו הדרכה בפני פורום רואי חשבון בנושא “אירועי סייבר בהיבט של הנהלה בכירה”. הדגש מטבע הדברים היה מהזווית הפיננסית והרגולטורית.
כשאנו חושבים על מתקפת סייבר, הדברים שעולים מיידית בראשינו הם האקרים זדוניים, אנשי סייבר מקצועיים שמנסים להתמודד עם המתקפה, עסק מושבת ופרסום שלילי במדיה. כמה מאיתנו חושבים על מצב שבו המנכ”ל רוצה לשלם את הכופר? תופתעו אבל לעיתים זה קורה. מה עושים בכזה מקרה מבחינה חשבונאית? ראשית, האם זו פעילות חוקית? שנית, האם זה יוכר בהוצאות העסק?
כמו בהרבה דברים בחיים, גם כאן הדברים נמצאים בתחום האפור. ראשית בהיבט של חוקיות המהלך, ניקח לשם הדוגמה בעל עסק שנדרש לשלם דמי חסות לעבריינים. התשלום לא יהיה מוכר לצרכי מיסוי לצערו של בעל העסק, אבל האם יבואו אליו בטענות על חוקיות המהלך? הוא הרי יטען שניסה להציל את העסק, אין לו רווח עסקי מהמהלך, והשיקול היחידי הוא מניעת קטסטרופה עסקית. אם הנימוק הזה הוא לגיטימי, אזי במה זה שונים דמי חסות מתשלום דמי כופרה, אם בשני המקרים מטרת התשלום שנכפה על הלקוח היה למנוע את סגירת העסק?
רואה החשבון יצטרך להסביר את המהלך מול שלטונות המס. על פניו זה מעט פרוץ, מאחר ובוצע תשלום ללא קבלה ותיאורטית זה פתוח לניסיונות הונאה. לדוגמה להוכיח שאין כאן ניסיון הונאה שבו בעל עסק המציא את כל אירוע הכופרה בכדי להוציא כסף רב מהעסק לכיסו הפרטי. לכן, רואה החשבון חייב להיות מסוגל להציג ממצאים רבים ותיעוד של פעולות שבוצעו מול מערך הסייבר, הבנק, נזק אמיתי שנגרם בארגון.
ומה בנוגע לשאר ההיבטים, לדוגמה: הפסדים עקב הפסקת פעילות עסקית, תשלום למשכורות ולספקים בשעה שמערכות המחשוב לא פעילות, קנסות מנהליים שיגיעו בהמשך ועוד? כל אלה מחייבים הערכות פיננסית מראש והכנת נהלים מתאימים. לזה יתווסף כמובן הצורך לשוחח עם חברי הדירקטוריון לשם הצגת ההפסדים שנגרמו, וקבלת אישור מראש לפני תשלום לתוקפים. במקרה של חברה ציבורית, סמנכ”ל הכספים יצטרך כמובן לדווח גם לבורסה מה שיגרור אי נעימות ציבורית ואף פגיעה במניה. אבל, גם בחברה פרטית דברים עשויים להסתבך, נניח שמדובר בחברת בת, ייתכן שבחברת האם הנוהל אוסר על תשלום כופרה, מאחר והיא תידרש לדווח על כך במאזנים החשבונאיים שלה וזה עשוי לפגוע בה.
לסיכום, גם איש הכספים של החברה חייב להיות ערוך לאירוע סייבר. מדובר באירוע חוצה ארגון וכל מחלקה בארגון תמצא עצמה מושפעת ממנו. כאשר ב Madsec אנו מבצעים סימולציית סייבר להנהלה, הדגש שלנו הוא בסיוע למנהלי מחלקות, דוגמת: כספים, משפטית, משאבי אנוש ותפעול להיערך בהתאם בתחום האחריות שלהם, ולסמנכ”ל הכספים ישנה אחריות רבה כפי שראינו.
