מאחורי הכותרות הכלכליות הגדולות מסתתר לא פעם עולם רחב של מחקרים אקדמיים מרתקים, שמרבית הציבור לא מודע אליהם. אנחנו שמחים להשיק כאן היום טור מיוחד שיחבר בין האירועים האקטואליים למחקרים אקדמיים. באמצעות הטור שיתפרסם בתדירות של אחת לשבועיים, נבקש להנגיש את המידע המחקרי הרלוונטי למנהלים, רגולטורים וכל מי שניהול, שוק ההון וכלכלה מעניינים אותו, והכול בשפה בהירה ומתומצתת. מי שירצה להרחיב את היריעה ולצלול למחקרים עצמם, יוכל לעשות זאת דרך הרפרנס שמצורפים לטור זה. פרופ' דן עמירם, רו"ח, סגן הדקאן בפקולטה לניהול ע"ש קולר באוניברסיטת תל אביב, וד"ר ארי אחיעז מאותה פקולטה, הם מומחים לשוקי הון, פיננסים וחדשנות, ויובילו את הטור בצירוף חוקרים מתחומים נוספים מפעם לפעם על פי העניין.
התקפת הסייבר על חברת הביטוח שירביט בתחילת החודש חשפה מידע על לקוחות החברה, ולפי הרעש הציבורי והתקשורתי שנוצר סביב האירוע היה אפשר להאמין שהחברה נתונה במשבר עמוק.
כיוון שהחברה אינה ציבורית, קשה מאוד להעריך את העלויות האמיתיות של ההתקפה - עלויות הכוללות את עלות הטיפול המיידי במשבר (יועצי אבטחה, תקשורת וכו') וכן עלויות ארוכות טווח, הכוללות אבטחת סייבר מוגברת, תביעות אזרחיות, קנסות פוטנציאליים, וגם העלות שהחשש ממנה הוא הגדול מכולם, והיא פוטנציאל הפגיעה במוניטין ועזיבת הלקוחות.
תגובת הלקוחות: לא ממהרים לעזוב
בעקבות האירוע בשירביט, היו כמה ראיונות אנונימיים עם לקוחות החברה. לדבריהם, כיוון שמידע עליהם נחשף, הם לא יסכימו לעבוד עם החברה בעתיד. אולם האם לקוחות באמת עוזבים בהמוניהם את החברות שעברו התקפת סייבר? מחקר שנעשה בארה"ב ופורסם על ידי תאגיד ראנד (אבלון ושות', 2016) ערך סקר כדי לבדוק בדיוק את השאלה הזאת.
הסקר, שנערך בקרב כ-2,000 גברים ונשים בארה"ב, העלה שכ-44% מהנשאלים קיבלו הודעה בשלב כלשהו במהלך חייהם לגבי פוטנציאל של זליגת מידע אישי עליהם. מתוך אלו שפרטיהם נחשפו, 89% המשיכו לעבוד עם החברה שממנה נפרצו הנתונים.
במחקר נוסף (אגרוואל ושות', 2020), הצליחו החוקרים להשיג מידע על התנהגות הלקוחות בפועל לאחר כשלוש התקפות סייבר שונות בקרב חברות מזון ופיננסים. מהתוצאות עולה כי לא נצפתה השפעה של התקפת הסייבר על עזיבת לקוחות או על הצטרפות לקוחות חדשים, והקיטון בפעילויות הלקוחות (באחד האירועים) היה רגעי בלבד ונעלם לאחר כמה חודשים.
במחקר אחר (ג'אנאקירמן ושות', 2018) החוקרים בחנו אירוע התקפת סייבר ברשת קמעונאות אופנה גדולה, שבה נחשף מידע על פרטי כרטיסי האשראי של לקוחות החנות הפיזית בלבד. מהמחקר עולה כי למרות שנצפתה ירידה חדה ברכישות בחנויות של הלקוחות שנפגעו, אותם לקוחות דווקא הגבירו את רכישותיהם באתר המקוון, ולקוחות שמידע לגביהם לא נחשף כלל לא שינו את היקף רכישותיהם.
המחקרים לעיל ומחקרים דומים אחרים מראים כי, בממוצע, לקוחות החברות אינם מתרגשים יתר על המידה מהתקפות הסייבר ואינם נוטשים את החברה. אולם עשויות להיות עלויות נוספות, חוץ מנטישת לקוחות, שפוגעות בצורה משמעותית בשווי החברה המותקפת.
תגובת המניה: מכה קטנה וחולפת
שירביט היא חברה שאינה נסחרת בשוק ההון ולכן לא ניתן בנקל לאמוד את השינויים בשווייה כתוצאה מהתקיפה. עם זאת, ניתן ללמוד על עלויות הפגיעה מתקיפות סייבר באופן רחב ומייצג יותר דרך חברות ציבוריות שדיווחו על התקפות כאלו בעבר.
אחת מהנחות הבסיס במחקר בשוקי הון היא שבשוקי הון מודרניים מחיר מניה ציבורית משקף בתוכו, בממוצע, את כל המידע הקיים והתחזיות על החברה. לכן, כאשר חברה מודיעה על התקפת סייבר, מחיר השוק לאחר פרסום ההודעה אמור לגלם בתוכו במהירות את מרבית העלויות בגין אותה התקפה ומהווה את האומדן הטוב ביותר להשפעת התקיפה על שווי החברה.
מחקר עדכני (ריצ'רדסון ושות', 2019) בחן 827 אירועי סייבר בארה"ב במהלך השנים 2004-2018. מהמחקר עולה כי התעשיות שנפגעו באופן הקשה ביותר הן בנקים וחברות ביטוח, וחנויות קמעונאיות. הפגיעות הנפוצות ביותר הן אובדן מידע פיננסי כגון מספרי חשבון וכרטיסי אשראי (53% מהמדגם) או מידע אישי של לקוחות (34% מהמדגם).
בבדיקה של השפעת ההודעה על שווי החברה עולה כי במספר הימים סביב פרסום ההודעות על התקפת הסייבר, מיום לפני ההודעה ועד שלושה ימים אחריה, ישנה ירידה מובהקת סטטיסטית במחיר המניה של החברות שנפגעו מהתקפת הסייבר לעומת חברות דומות. אולם ירידה זו משתקפת בתשואת חסר שלילית קטנה ביותר לכל הדעות - כ-0.3% בלבד.
יותר מכך, כאשר מרחיבים את טווח האירוע לחודש, 3 חודשים או חצי שנה לאחר פרסום ההודעה על התקפת הסייבר, נמצא כי אין ירידה מתמשכת במחירי החברות שנפגעו, וכבר לא ניתן להגיד שהחברות שנפגעו שונות באופן מובהק מחברות שלא נפגעו. גם אם הייתה השפעה רגעית שלילית קטנה על התשואות, השפעה זו חולפת תוך זמן קצר.
כמו כן, בדק מחקר זה מהן השפעות התקפות סייבר על התוצאות הכספיות העתידיות של החברות המותקפות לעומת חברות דומות שלא הותקפו. גם כאן עולה כי בחברות שהותקפו לא היה שינוי מובהק לעומת חברות דומות בהיקף ההכנסות, בשיעורי הצמיחה, ובתשואה על הנכסים (ROA).
תוצאות אלו, שמחזקות תוצאות דומות שהתקבלו במאמרים אחרים שבחנו את השפעת תקיפות הסייבר על ערך החברה, הינן עקביות עם האדישות היחסית שנצפית בהתנהגות לקוחות של חברות שנפגעו מתקיפת סייבר כפי שתוארה קודם לכן.
כמובן, לא ניתן לקבוע במדויק מה יעשו לקוחות שירביט או כיצד יושפע שווייה של החברה. אבל מהמחקרים שהוצגו לעיל, ניתן ללמוד שבממוצע ההשפעה היא מוגבלת מאוד, כלומר עזיבה זניחה של לקוחות ופגיעה זניחה בערך החברה ותוצאותיה.
פרופ' דן עמירם הוא סגן הדקאן ופרופסור מן המניין בפקולטה לניהול ע"ש קולר באוניברסיטת תל אביב; מופקד על הקתדרה לשוקי הון ומוסדות פיננסים, ומנהל המכון למחקר בעסקים בישראל; משמש גם כדירקטור בבנק מרכנתיל ויו"ר הוועדה המייעצת לבקרה פנימית של האו"ם
ד"ר ארי אחיעז הוא מרצה בפקולטה לניהול על שם קולר באוניברסיטת תל אביב, בעיקר בתחומים הקשורים לשוק ההון, למימון חברות ולחדשנות בתעשייה הפיננסית (פינטק); מנהל את מכון חוגג לחקר יישומי הבלוקצ'יין
