פתח תפריט נגישות

איך השפיעו תקיפות סייבר על ארגונים בטווח הארוך: משירביט ועד אינטל

איך השפיעו תקיפות סייבר על ארגונים בטווח הארוך: משירביט ועד אינטל | פרופ' דן עמירם

מתקפת הסייבר על חברת הביטוח שירביט בחודש דצמבר, חשפה מידע על לקוחות החברה, ולפי הרעש הציבורי והתקשורתי שנוצר סביב האירוע היה אפשר להאמין שהחברה נתונה במשבר עמוק. כיוון שהחברה אינה ציבורית, קשה מאוד להעריך את העלויות האמיתיות של ההתקפה - עלויות הכוללות את עלות הטיפול המיידי במשבר (יועצי אבטחה, תקשורת וכו') וכן עלויות ארוכות טווח, הכוללות אבטחת סייבר מוגברת, תביעות אזרחיות, קנסות פוטנציאליים, וגם העלות שהחשש ממנה הוא הגדול מכולם, והיא פוטנציאל הפגיעה במוניטין ועזיבת הלקוחות.


מחקרים שבדקו מה קרה לחברות שהותקפו מגלים מציאות מפתיעה - הלקוחות לא עוזבים בהמוניהם, ושווי החברה כמעט לא נפגע

תגובת הלקוחות: לא ממהרים לעזוב

בעקבות האירוע בשירביט, היו כמה ראיונות אנונימיים עם לקוחות החברה. לדבריהם, כיוון שמידע עליהם נחשף, הם לא יסכימו לעבוד עם החברה בעתיד. אולם האם לקוחות באמת עוזבים בהמוניהם את החברות שעברו התקפת סייבר? מחקר שנעשה בארה"ב ופורסם על ידי תאגיד ראנד (אבלון ושות', 2016) ערך סקר כדי לבדוק בדיוק את השאלה הזאת. 

הסקר, שנערך בקרב כ-2,000 גברים ונשים בארה"ב, העלה שכ-44% מהנשאלים קיבלו הודעה בשלב כלשהו במהלך חייהם לגבי פוטנציאל של זליגת מידע אישי עליהם. מתוך אלו שפרטיהם נחשפו, 89% המשיכו לעבוד עם החברה שממנה נפרצו הנתונים.

במחקר נוסף (אגרוואל ושות', 2020), הצליחו החוקרים להשיג מידע על התנהגות הלקוחות בפועל לאחר כשלוש התקפות סייבר שונות בקרב חברות מזון ופיננסים. מהתוצאות עולה כי לא נצפתה השפעה של התקפת הסייבר על עזיבת לקוחות או על הצטרפות לקוחות חדשים, והקיטון בפעילויות הלקוחות (באחד האירועים) היה רגעי בלבד ונעלם לאחר כמה חודשים.

במחקר אחר (ג'אנאקירמן ושות', 2018) החוקרים בחנו אירוע התקפת סייבר ברשת קמעונאות אופנה גדולה, שבה נחשף מידע על פרטי כרטיסי האשראי של לקוחות החנות הפיזית בלבד. מהמחקר עולה כי למרות שנצפתה ירידה חדה ברכישות בחנויות של הלקוחות שנפגעו, אותם לקוחות דווקא הגבירו את רכישותיהם באתר המקוון, ולקוחות שמידע לגביהם לא נחשף כלל לא שינו את היקף רכישותיהם.

המחקרים לעיל ומחקרים דומים אחרים מראים כי, בממוצע, לקוחות החברות אינם מתרגשים יתר על המידה מהתקפות הסייבר ואינם נוטשים את החברה. אולם עשויות להיות עלויות נוספות, חוץ מנטישת לקוחות, שפוגעות בצורה משמעותית בשווי החברה המותקפת.

תגובת המניה: מכה קטנה וחולפת

שירביט היא חברה שאינה נסחרת בשוק ההון ולכן לא ניתן בנקל לאמוד את השינויים בשווייה כתוצאה מהתקיפה. עם זאת, ניתן ללמוד על עלויות הפגיעה מתקיפות סייבר באופן רחב ומייצג יותר דרך חברות ציבוריות שדיווחו על התקפות כאלו בעבר

אחת מהנחות הבסיס במחקר בשוקי הון היא שבשוקי הון מודרניים מחיר מניה ציבורית משקף בתוכו, בממוצע, את כל המידע הקיים והתחזיות על החברה. לכן, כאשר חברה מודיעה על התקפת סייבר, מחיר השוק לאחר פרסום ההודעה אמור לגלם בתוכו במהירות את מרבית העלויות בגין אותה התקפה ומהווה את האומדן הטוב ביותר להשפעת התקיפה על שווי החברה.

מחקר עדכני (ריצ'רדסון ושות', 2019) בחן 827 אירועי סייבר בארה"ב במהלך השנים 2004-2018. מהמחקר עולה כי התעשיות שנפגעו באופן הקשה ביותר הן בנקים וחברות ביטוח, וחנויות קמעונאיות. הפגיעות הנפוצות ביותר הן אובדן מידע פיננסי כגון מספרי חשבון וכרטיסי אשראי (53% מהמדגם) או מידע אישי של לקוחות (34% מהמדגם).

בבדיקה של השפעת ההודעה על שווי החברה עולה כי במספר הימים סביב פרסום ההודעות על התקפת הסייבר, מיום לפני ההודעה ועד שלושה ימים אחריה, ישנה ירידה מובהקת סטטיסטית במחיר המניה של החברות שנפגעו מהתקפת הסייבר לעומת חברות דומות. אולם ירידה זו משתקפת בתשואת חסר שלילית קטנה ביותר לכל הדעות – כ-0.3% בלבד.

יותר מכך, כאשר מרחיבים את טווח האירוע לחודש, 3 חודשים או חצי שנה לאחר פרסום ההודעה על התקפת הסייבר, נמצא כי אין ירידה מתמשכת במחירי החברות שנפגעו, וכבר לא ניתן להגיד שהחברות שנפגעו שונות באופן מובהק מחברות שלא נפגעו. גם אם הייתה השפעה רגעית שלילית קטנה על התשואות, השפעה זו חולפת תוך זמן קצר.

כמו כן, בדק מחקר זה מהן השפעות התקפות סייבר על התוצאות הכספיות העתידיות של החברות המותקפות לעומת חברות דומות שלא הותקפו. גם כאן עולה כי בחברות שהותקפו לא היה שינוי מובהק לעומת חברות דומות בהיקף ההכנסות, בשיעורי הצמיחה, ובתשואה על הנכסים (ROA).

תוצאות אלו, שמחזקות תוצאות דומות שהתקבלו במאמרים אחרים שבחנו את השפעת תקיפות הסייבר על ערך החברה, הינן עקביות עם האדישות היחסית שנצפית בהתנהגות לקוחות של חברות שנפגעו מתקיפת סייבר כפי שתוארה קודם לכן.

כמובן, לא ניתן לקבוע במדויק מה יעשו לקוחות שירביט או כיצד יושפע שווייה של החברה. אבל מהמחקרים שהוצגו לעיל, ניתן ללמוד שבממוצע ההשפעה היא מוגבלת מאוד, כלומר עזיבה זניחה של לקוחות ופגיעה זניחה בערך החברה ותוצאותיה. 

המאמר נכתב עם דר ארי אחיעז ופורסם לראשונה בגלובס

המאמר נכתב על ידי פרופ' דן עמירם

סגן הדקאן ופרופסור בפקולטה לניהול, ראש מכון החוג למחקר ביישומי הבלוקצ'יין וראש הקבץ הפינטק בתוכנית המוסמך במנהל עסקים


מאמרים מאת פרופ' דן עמירם


פרופ' דן עמירם מרצה בתכניות

  • אסטרטגיות פיננסיות

    העולם הפיננסי הנוכחי מאופיין באתגרים רבים כמו: איתור הזדמנויות השקעה המתאימות לסל ההשקעות של החברה, בחירת הדרך הטובה ביותר למימון...

    ימי ג׳ 16:00-20:15
    8 מפגשים
  • חדש

    ניהול ESG בארגונים

    גורמי  ESG- Environmental, Social, Governance – סביבה, חברה וממשל תאגידי, משמשים בידי משקיעים מוסדיים ופרטיים כאמצעי לניטור סיכונים וזיהוי הזדמנויות...

    ימי ג׳ 16:00-20:15
    8 מפגשים
  • חדש

    ניהול סיכונים

    בעולם גלובאלי, אירוע בריאותי במחוז נידח בסין, מתגלגל במהירות לאירוע מאקרו כלכלי בקנה מידה שלא נראה כמוהו. בעולם כזה, עלינו...

    ימי א׳ 16:00-20:15
    8 מפגשים