לאחרונה התפרסמה בתקשורת הידיעה כי בתוך שנה יחייב החוק האמריקני את הדירקטורים של החברות לשאת באחריות הישירה לאבטחת נכסי המידע של החברות הנגישות ומשתמשות ברשת האינטרנט. פרושו של דבר, שהדירקטורים יחוייבו ליטול אחריות לא רק על הנושאים הכספיים והביצועים העסקיים אלא גם על כל נושא הקשור בהפעלת אמצעי אבטחה, מניעת גניבות מידע באמצעות פריצות למערכות מחשבים, מניעת שימוש במידע לסחיטה, חובת השימוש בתוכנות הגנה עדכניות וביקורת תכופה עליהן וגם על העובדים בחברה.

ומהו המצב במדינת ישראל ?

כיום בישראל אין חקיקה או פסיקה מפורשת וישירה לגבי עניין אחריותם של הדירקטורים לאבטחת מערכות מידע, אך אם נבחן את חוק החברות תשנ"ט- 1999 (הידוע בשם: חוק החברות החדש) ואת הפסיקה בנושא אחריות דירקטורים, נמצא בהם תשובות גם לעניין זה .


הפסיקה

בפסק הדין בתביעת המפרק של בנק צפון אמריקה נגד הדירקטורים בבנק, נקבעו בין היתר מס' עקרונות חשובים לגבי מידת המיומנות והזהירות של דירקטורים:

1. במסגרת חובת המיומנות
1.1. הדירקטור חייב:
א. להיות מעורה בנעשה בבנק (החברה).
ב. לדעת על עסקיו.
ג. להכיר את דמויות המפתח.
ד. להכיר את מבנה הדירקטוריון.
ה. להכיר את ההנהלה הבכירה.
ו. להכיר את מבנה הבקרה הפנימית.
ז. להיות בעל ידע מינימלי על הבנק (החברה) ועל עסקיו.
1.2. ביהמ"ש קבע כי הדירקטורים בבנק לא הכירו את הנפשות הפועלות בחברה ובכך התרשלו.
1.3. ביהמ"ש ציין כי עצם ההסכמה לכהן כדירקטור מהווה הצהרת מכללא מטעמו כי הוא בעל כישורים הנדרשים לכהן בתפקיד האמור.
2. על הדירקטורים להתמצא במצב הפיננסי ובדוחות הכספיים.
3. הדירקטורים חייבים לקרוא בעצמם את דוחות הביקורת הפנימיים והחיצוניים.
4. חובה על הדירקטורים לדון בתכניות העבודה של המבקר הפנימי.
5. קיימת חובת נוכחות לפחות ברוב הישיבות אם לא בכולן.
6. יש להאציל סמכויות למנהלה בצורה מסודרת ומלאה.
7. יש לנהל ישיבות תוך העברת אינפורמציה ודיונים בענייני החברה לא בצורה שטחית.
8. חובה לנהל פרוטוקולים של ישיבות הדירקטוריון. על הדירקטור לקבל לידיו את כל הפרוטוקולים האמורים.

הלקח העיקרי מפסק דין זה מתייחס לנושאים של אחריות בגין מחדל. על אף שחלק מהדירקטורים סבל מהפסד כספי רציני, בכך שאיבדו את השקעתם ועל אף שהבנק היה בפיקוח צמוד של בנק ישראל שלא מנע את התרמיות, הוטלה על הדירקטורים אחריות אישית להפסדי הבנק, לאור מחדליהם (אי העשייה).




החקיקה

באשר לחקיקה יש להתייחס בעיקר לשני חוקים: חוק החברות החדש ופקודת הנזיקין (נוסח חדש).
בחוק החברות החדש ישנם שלשה סעיפים החשובים לענייננו בהקשר לחובות נושאי המשרה בחברה:

א. סעיף 252 (א): נושא משרה חב כלפי החברה חובת זהירות כאמור בסעיפים 35 ו- 36
לפקודת הנזיקין (נוסח חדש).
סעיף 252 (ב): אין בהוראת סעיף קטן (א) כדי למנוע קיומה של חובת זהירות של נושא משרה כלפי אדם אחר.
ב. סעיף 253 : נושא משרה יפעל ברמת מיומנות שבה היה פועל נושא משרה סביר,
באותה עמדה ובאותן נסיבות, ובכלל זה ינקוט בשים לב לנסיבות העניין, אמצעים סבירים לקבלת מידע הנוגע לכדאיות העסקית של הפעולה המובאת לאישורו או של כל פעולה הנעשית על ידיו בתוקף תפקידו, ולקבלת כל מידע אחר שיש לו חשיבות לעניין פעולות כאמור.
ג. סעיף 257 : נודע לדירקטור על עניין של החברה שנתגלו בו לכאורה הפרת חוק או
פגיעה בנוהל עסקים תקין, יפעל ללא דחוי לזימון ישיבה של הדירקטוריון כאמור
בסעיף 98 (ב) (2).

בפקודת הנזיקין (נוסח חדש) סעיפים 35 ו- 36 שהוזכרו לעיל, נחשב אדם כמתרשל אם:
א. עשה מעשה שאדם סביר ונבון לא היה עושה באותן נסיבות, או
ב. לא עשה מעשה שאדם סביר ונבון היה עושה באותן נסיבות, או
ג. שבמשלח ידו לא השתמש במיומנות, או לא נקט מידת זהירות, שאדם סביר ונבון וכשיר לפעול באותו משלח יד היה משתמש או נוקט באותן נסיבות.

המסקנות

מהאמור לעיל נובע שעל הדירקטוריון בכל חברה שהיא, להזמין לישיבותיו מנהלים ועובדים בחברה על מנת לקבל מהם דיווח ולשאול אותם שאלות, להתעניין מעבר לדוחות המוגשים לידיו, ליזום בדיקות ושאלות ולהבין את ההשלכות הנובעות מפעילותה של החברה במישור הכללי ובמישור הסביבה העיסקית בה היא פועלת . כמו כן, על הדירקטורים לעשות כמיטב יכולתם על מנת למנוע מהחברה פגיעה עקב רשלנות באדם אחר או בקניינו.

בחברות כמו תאגידים בנקאים, חברות כרטיסי אשראי, חברות ביטוח וכיו"ב שנושאי אבטחת מידע ושמירת הסודיות הם חלק מליבת העסקים שלהם, נושא אבטחת המידע חייב להיות נושא קרדינלי על שולחנו של הדירקטוריון . יתר על כן, בחברות וירטואליות שעיקר עיסוקן מסחר ופעילות באינטרנט (וכיום רוב המסחר מתבצע בכרטיסי אשראי או בהעברות בנקאיות), נושא אבטחת המידע צריך לעלות לדיון על שולחן הדירקטוריון עוד לפני התחלת פעילות החברה. על הדירקטורים להזמין לישיבות את האחראי לנושא בחברה, לשאוב ממנו אינפורמציה על פעולות העובדים וההנהלה למניעת דליפת מידע ולהקציב את המשאבים הדרושים לכך (ואלו מתייקרים ככל שמתקדמת הטכנולוגיה).

ספק אם יתקבל טיעונם של דירקטורים בחברות שנמנו לעיל, שהם אינם צריכים לדון באבטחת המידע בארגון העיסקי בו שימשו כדירקטורים כי זה אמור להיות תפקידו של נושא המשרה או המתכנת הרלבנטי. טיעון כזה לא יתקבל, מכיון שלב ליבו של העסק הוירטואלי או הפיננסי כיום





הוא מעבר כסף או שווה כסף ברשת. התרשלות באבטחת המידע משולה להנחת חפיסות של שטרי כסף על גבי דוכן ברחוב, ללא השגחה . דירקטורים שאינם מתייחסים לנושא, לא משתמשים במיומנות במשלח ידם ולא מקיימים את חובת הזהירות כלפי החברה ו"כלפי אדם אחר" (ציטוט של לשון החוק). במקרה זה "אדם אחר" יכול להיות לקוחות (שפרטיהם האישיים
נחשפים בפני ה"האקרים"), או ספקים (שמעבירים במסגרת עבודתם עם החברה מידע עסקי סודי לחברה), או גורמים אחרים.

כאן המקום לציין שני מקרים שקרו בעיקר בארה"ב עקב כשל באבטחת המידע ואי פיקוח נאות על העובדים:

א. המקרה של סחיטת חברה להפצת דיסקים שאתרה לא אובטח כראוי והפורץ השיג פרטים של כרטיסי האשראי של לקוחות החברה – זה עלה לחברה מיליוני דולרים.

ב. המקרה של העברת מסרים מיניים ברשת הפנימית של מייקרוסופט (בישראל זוהי גם עברה על החוק למניעת הטרדה מינית, התשנ"ח - 1998 ) – וכתוצאה מכך נתבעה החברה ושילמה, גם כן, מיליוני דולרים.

לסיום, לתשומת ליבם של הדירקטורים יש לציין שתי נקודות חשובות:

א. בעניין חברות סטארט-אפ ואינטרנט: עפ"י המצב בשטח אנו רואים שחלק מחברות האינטרנט וסטארט-אפ הן חברות בהפסדים ואילו הדירקטורים שלהן ו/או שולחיהם הם גורמים בעלי הון שההשקעה בחברת האינטרנט היא רק חלק ממערך הנכסים שלהם ("בעלי הכיס העמוק"). אין ספק שמצב זה יהיה גורם חשוב בשיקוליו של התובע הפוטנציאלי לתבוע את הדירקטורים אישית - עם או בלי לתבוע את החברה. על אחת כמה וכמה אם החברה תיסגר ולא יהיה לתובע את מי לתבוע אלא את הדירקטורים (אנו רואים שבשנת 2000 כבר התחילה מגמה עולמית של העלמות חברות "דוט קום" ואינטרנט קטנות עקב מחסור במזומנים ובארה"ב לבדה, נסגרו מתחילת השנה מעל מאתיים חברות כאלה).
בהקשר זה חשוב לציין, כי הפוליסות לביטוח דירקטורים ונושאי משרה מכסות גם את מי שהיו דירקטורים בחברה, אך בתנאי שהארוע קרה בתקופת הביטוח או בתקופה הרטרואקטיבית המצויינת בפוליסה ובתנאי שהתביעה הוגשה בתקופת הביטוח (במקרה של כינוס נכסים או פשיטת רגל, זהו אחד היתרונות של ביטוח דירקטורים על פני שיפוי ע"י החברה).

ב. על הדירקטורים ונושאי המשרה לדאוג לביצוע פוליסת ביטוח המכסה את פעילותה של החברה באינטרנט. אי ביצוע פוליסה כזאת יכולה להחשב להתרשלות שעלולה לפגוע בחברה במקרה תביעה. על הדירקטור, הסבור כי במקרה של התרשלות כזאת הוא מכוסה בפוליסה לביטוח אחריות דירקטורים, לדעת, כי הפוליסות לביטוח דירקטורים של חלק מחברות הביטוח אינן מכסות במסגרת הפוליסה מעשה או מחדל בכל הקשור במישרין או בעקיפין לאי השגת ביטוח הולם ותקף עבור החברה.




תל-אביב 21/11/2000