גלובס - עיתון העסקים של ישראלאתר נגיש

מתקפות הסייבר הולכות ומתעצמות / צילום: Shutterstock, א.ס.א.פ קריאטיב

כמו הבנק, חברת האשראי, קופת החולים וקרן הפנסיה שלכם, חברת הביטוח צריכה להיות המקום הכי בטוח; שם נמצא המידע הכי יקר, הכי מזיק. הסיבה היא רגישות - המידע וקיבוץ הפרטים הנדרשים כדי לוודא את הזהות שלנו, מכיל הרבה יותר ממספר תעודת זהות.

השבוע התבשרו לקוחות חברת הביטוח שירביט שיש סיכוי יותר מסביר, שהפרטים הרגישים שלהם נגנבו על ידי קבוצת האקרים. לפי הדיווח, הדרישה משירביט היא כמיליון דולר בביטקוין, ואם הכסף לא יועבר בתוך 24 שעות, הסכום יוכפל ולאחריו המידע יימכר למרבה במחיר. פוטנציאל הסיכון הלאומי כאן, הוא שמידע על אנשי ביטחון ושירות ציבורי זלג לידיים עוינות.

פוטנציאל הסיכון האישי: לקוחות החברה חשופים למגוון רחב של עוקצים, התחזויות ונזקים שהעולם הדיגיטלי מאפשר כיום.

וכאן מתחיל השינוי במישור המשברי: כלי התקשורת הם אלו שדיווחו על האירוע. כשלוש שעות מאוחר יותר הוציאה שירביט הודעת סמס ראשונית ללקוחות אבל לדברי מספר לקוחות, זה היה עדכון הפוש האחרון. ניסיונות להשיג פרטי מידע נוספים נעשו ב-pull והם היו ביוזמת הלקוח, לא המותג.

אמצעי נוסף להגיע ללקוחות ולנהל איתם שיח הוא המדיה החברתית, שם נגלה שכלי התקשורת ומערך הסייבר הלאומי דיווחו בדפי הפייסבוק שלהם על הפריצה. בשירביט אין שום עדות לאירוע החמור והפוסט האחרון הוא מלפני 4 חודשים. במילים אחרות, המותג בחר בטקטיקה של הכלה והשקטה באירוע בעל פוטנציאל סיכון ללקוחות שלו.

מעבר לתגובה הארוכה לכלי התקשורת, שסיפרה עד כמה המותג מצוין, לפי הדיווחים, סיכום המידע שניתן בפועל ללקוחות בשירות הלקוחות הוא שילוב של "אנחנו לא יודעים", "אנחנו פועלים עם", "לא נגרם נזק ללקוחות". אם תהיתם, הפרסומות הקלילות עם חנוך דאום ממשיכות כרגיל. לכאורה, זו בחירה הזויה, ניהול משברים של פעם, אבל בואו נבחן אותה.

מה אי אפשר לומר

נכון לעכשיו, מסתמן שלא כל הפרטים ידועים וגם אם הם היו ידועים, בשל רגישות הנושא ומעורבותן של הרשויות, לא נכון ואי אפשר לומר את הכול.

תוסיפו למשוואה בקשה לשתי תביעות ייצוגיות ונוכל להבין שהאמירה, המסתכמת ב"אנחנו לא יודעים", אינה רחוקה מהאמת או ממה שניתן לומר. באירוע כזה לשירביט אין ברירה אלא לשתף פעולה עם הרשויות, אבל הציבור לא מודע לכך ולכן זה מוצג כיתרון.

לגבי "לא נגרם נזק", זה גם סביר, הרי לא בכל פעם ששוכחים לנעול את הבית נכנס פורץ ולא בכל פעם שמשאירים רכב מונע הוא נגנב. אז נכון לעכשיו לא נגרם נזק בפועל, אבל זה לא אומר שלא ייגרם.

מעבר ללפעול בהתאם להנחיות הרשויות במסגרת ניהול משבר הסייבר, מה מצופה ממותג במקרה כזה?

א. לעדכן ולהיות שקוף ככל שניתן, בהתאם למגבלות.

ב. לא להרגיע אלא להגן, ליזום ולהסביר ללקוחות מה הסיכון ומה הם צריכים לעשות, כדי לצמצם את הנזק.

ג. לעזור להם באופן אקטיבי לעשות את סעיף ב'.

אבל זה לא קורה.

למעשה, אי העשייה כאן עלולה להביא למצב שבו פוטנציאל הנזק יתממש וללקוחות לא יהיו כלים. אגב, נכון שיש בקשה לייצוגית, אבל אם היא מכתיבה את ההתנהלות, דווקא הפעילות האקטיבית היא זו שיש בכוחה להשפיע על סכום הפיצוי, אם הבקשות יתקבלו.

בואו נפרק את "המצופה": מי שמצפה הוא זה שמבין את החשיבות בשמירת פרטיות, מבין את פוטנציאל הנזק של פריצת סייבר כזו ומי שאימץ נורמות הדורשות ממותגים לעשות אקסטרה מאמץ לשמירה על פרטיות הגולשים והלקוחות.

ספויילר: הנורמות האלו עדיין לא עשו "עלייה" ולמעט מספר מנהיגי דעה ויודעי ח"ן הן לא מספיק מבוססות בישראל. זו הסיבה לכך שלמעט מספר איים בפייסבוק, עיקר השיח בנושא מתנהל בכלי התקשורת ובטוויטר. נתונים שקיבלתי מחברת הניטור מכ"ם אף תומכים בכך. כלומר, בכלי התקשורת יש Public Shaming, בטוויטר יש קצת Online Shaming ומה שיש בפייסבוק הוא בעיקר מהזווית של דיווח וייעוץ. בפועל, הלקוחות אולי חוששים אבל מגלים קונפורמיות והם כרגע לא במצב של התפרצות.

דווקא תגובת "לפי המצופה" של החברה, עלולה להרים את רף הלחץ ולהוביל לאותו שיימינג ומשבר רשת - כי אין ספק שיש כאן חריגה מהנורמה. השוני הוא שככל הנראה עדיין אין הלימה בין קהל הלקוחות לנורמות הללו.

במשבר הזה אין הזדמנות

מה הולך לקרות? אם תהיה פריצת דרך אל מול החוטפים, ייתכן ובאמת לא ייגרם נזק ללקוחות. אם לא, לאט לאט נשמע על סיפורים שיצופו ברשת ובכלי התקשורת על לקוחות שנעקצו, או שלא מוכנים לבטח אותם או שדמי הביטוח שלהם עלו באופן מפתיע. נבין זאת בדיעבד.

עבור שירביט אין במשבר הזה הזדמנות. לפעמים בהתמודדות עם משבר ניתן למצוא הזדמנויות, אבל לא כאן. אם הם היו בוחרים להתמודד "לפי המצופה" היתה להם הזדמנות לייצר סטנדרט חדש של אכפתיות, של חדשנות, של משהו שלא תואם את הדימוי שלנו מחברות ביטוח. היה להם יותר קשה, אבל הם היו משיגים יותר. ההזדמנות היא עבור חברות הביטוח ועבור כל מי שמחזיק פרטים רגישים ונושם לרווחה שזה לא אצלו. לאלו יש זמן להיערך, זמן להבהיר את החשיבות אצל מקבלי ההחלטות ולבנות את תרחיש לניהול משבר דומה בגזרתו.

הכותב הוא מומחה לשיימינג ומשברי רשת ובעל בלוג "המשבריסט"