מימון כלכלת סייבר ופרטיות PDF

Summary

This document analyzes the financing of cybersecurity and privacy, looking at cyberattacks and corporate defenses. It examines the costs and motivations behind cyberattacks and how companies respond to such threats. Examples of famous cyberattacks on companies and their impact are analyzed.

Full Transcript

‫מימון כלכלת סייבר ופרטיות‬
‫נושא ‪ - 1‬מבוא‪:‬‬
‫למה האקרים תוקפים חברות )‪:(Home Depot, Target, Yahoo, Lockheed Martin‬‬ ‫ ‬

‫‪ o‬ברוב המקרים תקיפות סייבר הם למטרות‪ :‬סחיטה‪ ,‬ריגול עסקי‪ ,‬גניבת מידע על‬
‫לקוחות‪ ,‬פוליטיקה או ונדליזם‪.‬‬
‫איך חברות מתגוננות ‪ -‬הגנות סייבר‪:‬‬ ‫ ‬

‫‪.Firewall o‬‬
‫‪ o‬הצפנה של מידע רגיש‪.‬‬
‫‪ o‬ביזור‪.‬‬
‫‪ o‬הרשאות‪.‬‬
‫‪ o‬פיקוח‪/‬תחקיר‪.‬‬
‫‪ o‬חינוך העובדים‪.‬‬
‫‪ o‬ביטוחי סייבר‪.‬‬
‫למה הגנות אינן מושלמות?‬ ‫ ‬

‫‪ o‬עלות‪/‬תועלת – עלות ההגנה מול הנזק מהתקיפה‪.‬‬
‫‪ o‬הטכנולוגיה כל הזמן מתפתחת‪.‬‬
‫▪ מהם הנזקים לחברות מתקיפות סייבר?‬
‫לדוגמה‪ :‬הום דיפו‪ 56 ,‬מיליון‪ ,‬נזק מוניטין‪ ,‬כנ״ל לגבי חברת שירביט‬ ‫ ‬

‫נפגעו המכירות בעקבות הפגיעה במוניטין‪.‬‬
‫מוניטין‪.‬‬ ‫ ‬

‫רגולציה = קנסות מהמדינה כי לא הגנו מספיק על המידע‪.‬‬ ‫ ‬

‫מכירות ורווחים‪.‬‬ ‫ ‬

‫מחיר המניה = המדידה הכי טובה לנזקים היא ההשפעה על מחיר‬ ‫ ‬

‫המניה‪.‬‬
‫תקיפות סייבר מחקרים וספרות‪:‬‬ ‫ ‬

‫‪ o‬השפעת השוק למידע על תקיפות סייבר קטנה‪.Campbell (2003) Kannan (2007) :‬‬
‫‪ o‬רק לתקיפות גדולות יש השפעה על מחיר המניה‪.Gordon (2011) Kvochko (2015) :‬‬
‫‪ o‬מנהלים נוטים לחשוף התקפות קטנות ולהסתיר גדולות‪ – Amir (2017) :‬מחלק את‬
‫המנהלים ל‪ 3‬קבוצות‪:‬‬
‫▪ קבוצה ‪ – 1‬מסתירה את התקיפה וזה מתגלה )משפיע משמעותית על מחיר‬
‫המניה(‪.‬‬
‫▪ קבוצה ‪ – 2‬מגלה על התקיפה )משפיע משמעותית(‪.‬‬
‫▪ קבוצה ‪ – 3‬מגלה וזה לא משפיע משמעותית‪.‬‬
‫מקרי סחר במידע פנים – התקיפה הכי רווחית זה לגנוב מידע כספי מתוך החברה‪ ,‬פוטנציאל‬ ‫ ‬

‫רווח גבוה והסיכוי שיתפסו אותך על העבירה נמוך )כי אתה לא איש פנים(‪ ,‬בחור הודי שנתפס‬
‫על סחר ונשלח ל‪ 25‬שנה לכלא )קשה להוכיח צריך את מקור המידע( – דוגמאות למקרים‪:‬‬
‫‪.Galleon Group o‬‬
‫‪.Rajat Gupta o‬‬
‫‪.SAC Capital o‬‬
‫דליפות סייבר‪:‬‬ ‫ ‬

‫‪ o‬דליפות גם באמצעות מתחם הסייבר‪:‬‬
‫▪ ‪ :R.R. DONNELLEY‬דליפות דו״ח גוגל ‪.2012‬‬
‫‪ o‬אמאזון של מידע פנים‪:‬‬
‫▪ רשת אוקראינית שנחשפה ‪ - 2015‬פרצה למחשבי חברות וגנבה דוחות כספיים‬
‫טרם הפרסום‪.‬‬
‫▪ מקור המידע היא חברת ציוד תקשורת גדולה‪ ,‬בין ינואר ‪ 2010‬עד דצמבר‬
‫‪ ,2015‬למעלה ממליון ניסיונות תקיפה‪/‬פריצה‪.‬המידע מופיע ללא שם החברה‬
‫)זיהוי חברות ציבוריות לפי בורסת מסחר ושיוך למדד‪.‬כלומר מחולק לחברות‬
‫ציבוריות ולא ציבוריות )ללא בנקים ומוסדות פיננסיים(‪.‬‬
‫▪ הנתונים נאספים ברמה היומית‪.‬‬
‫‪ o‬תקנות ה‪ SEC‬מחייבות גילוי של החברה על תקיפת סייבר רק אם הנזק לחברה הוא‬
‫מהותי‪.‬‬
‫▪ נזק מהותי = משפיע על ‪ 2%‬מהון החברה ומעלה‪.‬‬
‫‪ o‬תקנות מדינתיות מחייבות חברות לדווח כאשר נגנב מהן מידע של לקוחות‪.‬‬
‫‪ o‬אף חברה מעולם לא דיווחה כי נגנב ממנה מידע פיננסי לא ציבורי באמצעות תקיפת‬
‫סייבר‪.‬‬
‫‪ o‬תקנות ‪ States‬אמריקאיות‪ :‬מחייבות לדווח על תקיפת סייבר כאשר נגנב מידע של‬
‫לקוחות‪.‬‬
‫▪ כלומר אם זה לא מידע של לקוחות או לא מהותי )נגיד מידע פיננסי( אז הרבה‬
‫חברות לא מדווחות על המתקפות סייבר = מקובל לא לאשר ולא להכחיש )אין‬
‫תגובה(‪.‬‬
‫סיכום‪:‬‬ ‫ ‬

‫‪ o‬האקרים מבצעים תקיפות סייבר ממגוון סיבות‪.‬‬
‫‪ o‬לחברות לא תמיד יש אינטרס להגן על המידע שלהם בצורה מיטבית‪.‬‬
‫‪ o‬חברות נוטות להסתיר תקיפות‪.‬‬
‫‪ o‬הרגולציה הקיימת לא תמיד מתאימה לאיומים‪.‬‬
‫‪ o‬תקיפות סייבר יכולות לשמש ככלי גם לרווחים לא חוקיים בשוק ההון‪.‬‬

‫נושא ‪ – 2‬כמה חברות צריכות להשקיע בהגנת סייבר‪:‬‬
‫נמדוד פקטורים כמו נזק והסתברות לתקיפה‪.‬‬ ‫ ‬

‫שיווי משקל = נזק ‪ /‬ההסתברות לנזק‪ ,‬נק׳ כלכלית שממנה לא רוצים לזוז‪.‬‬ ‫ ‬

‫שיווי משקל מוגדר על ידי ‪ 3‬תנאים‪:‬‬ ‫ ‬

‫‪ o‬התנהגות השחקים חייבת להיות עקבים = תחת אותם תנאים תמיד תתקבל אותה‬
‫ההחלטה‪.‬‬
‫‪ o‬לאף שחק אין אינטרס‪/‬תמריץ לשנות את ההתנהגות )אסטרטגיה( שלו = מצבו של אף‬
‫שחקן לא ישתפר אם ישנה את האסטרטגיה שלו‪.‬‬
‫‪ o‬שיווי המשקל הוא תוצאה של תהליך )משחק( דינאמי = בכדי להגיע לש״מ על שחקן‬
‫משנה את האסטרטגיה שלו עד שמגיעים לנקודה שבה אף אחד לא רוצה לשנות‪.‬‬
‫‪ o‬סוגים של שיווי משקל‪:‬‬
‫▪ שיווי משקל ״נאש״ = דילמת האסיר = תקיפות סייבר‪.‬‬
‫אסטרטגיה מובהקת = ניתן לבחור בדרך פעולה אחת בכל פעם‪.‬‬ ‫ ‬
‫אסטרטגיה דומיננטית = אסטרטגיה שתמיד תהיה עדיפה על כל פעולה‬ ‫ ‬

‫אחרת של אותו שחקן‪.‬‬
‫לא תמיד ניתן להשיג שיווי משקל )משחק מעגלי(‪.‬‬ ‫ ‬

‫משפט נאש = לכל משחק רב משתתפים סופי קיימת לפחות‬ ‫ ‬

‫אסטרטגיית שיווי משקל מעורבת אחת‪.‬‬
‫‪ o‬אסטרטגיה מעורבת = ניתן לבחור במספר דרכי פעולה‪ ,‬כאשר‬
‫כל פעולה תתבצע בהסתברות מסוימת‪.‬‬
‫▪ שיווי משקל תחרותי = פירמות יצרניות ‪.MC=MR‬‬
‫▪ שיווי משקל סטטי‪/‬דינאמי = עלויות הייצור משתנות על ציר הזמן‪.‬‬
‫פונקציית ייצור‪:‬‬ ‫ ‬

‫‪ o‬משוואה המקשרת בין גומרי ייצור לתפוקה‪.‬‬
‫‪ = K o‬הון מכונות‪ = L ,‬עובדים – משקיע ‪ K‬ו‪ L-‬על מנת לייצר ‪.Q‬‬
‫‪ o‬תפוקה שולית‪ :‬קבועה‪ ,‬עולה )יתרונות לגודל( ויורדת )חיסרון לגודל(‪.‬‬
‫‪ o‬פונקציית הייצור של הגנת סייבר‪.‬‬
‫ניתוח עלות‪/‬תועלת )‪:(CBA‬‬ ‫ ‬

‫‪ o‬ניתוח פרויקטים = חברה תבצע פרויקט רק אם התועלת ממנו גדולה מהעלות‪.‬‬
‫‪ o‬שלבים בניתוח הפרויקט‪:‬‬
‫▪ הגדרת מטרות = לדוגמה יעילות עבודה‪.‬‬
‫▪ הגדרת השחקנים = חברה‪ ,‬עובדים‪.‬‬
‫▪ התוצאות האפשריות וחישוב הוצאות‪/‬תועלת לכל תוצאה = קניה‪/‬לא קניה‪,‬‬
‫מדידה‪.‬‬
‫מדידת עלות‪.‬‬ ‫ ‬

‫מדידת תועלת‪.‬‬ ‫ ‬

‫▪ היוון‪.‬‬
‫▪ בחירת דרך פעולה‪.‬‬
‫סיכום‪:‬‬ ‫ ‬
‫‪ o‬כלים מעולם הכלכלה והניהול יכולים להיות יעילים בניתוח החלטות ואירועים הקשורים‬
‫לסייבר‪ ,‬אבטחת מידע ופרטיות‪ ,‬נעשה שימוש בהמשך בכלים אלו בכדי לנתח אירועים‬
‫והחלטות שחברות מקבלות‪.‬‬

‫נושא ‪ – 3‬מה הנזק לחברות מהתקפות סייבר‪:‬‬
‫סוגי נזקים‪:‬‬ ‫ ‬

‫‪ o‬נזק ישיר = כסף‪ ,‬ציוד‪.‬‬
‫‪ o‬נזק עקיף = מוניטין‪ ,‬לקוחות‪ ,‬מידע עסקי‪.‬‬
‫‪ o‬נזק ארוך‪/‬קצר טווח‪.‬‬
‫מדידת נזק‪:‬‬ ‫ ‬

‫‪ o‬מדידה ״ישירה״‪ :‬מנחשים‪ ,‬מניחים‪ ,‬משערים‪ ,‬הערכת נזק לא מדויקת‪.‬‬
‫‪ o‬מדידה ״עקיפה״ – באמצעות מחיר המניה‪.‬‬
‫▪ אם מחיר המניה ירד ב‪ 2%‬כאשר החברה שווה ‪ 100‬שקל אז הנזק לחברה הוא‬
‫‪ 2‬שקל‪.‬‬
‫אולם‪ ,‬ההנחה פה מניחה שכל הנזק מיוחס לתקיפת הסייבר‪.‬‬ ‫ ‬

‫▪ מדידה עקיפה עדיפה על מדידה ישירה‪.‬‬
‫▪ לרוב התגובה אחרי מתקפת הסייבר תהיה שלילית )מחיר המניה ירד( ולאחר‬
‫מכן יעלה ויתאזן שוב‪.‬‬
‫חקר אירוע‪:‬‬ ‫ ‬

‫‪ o‬מודדה תשואה באסטרטגיה של ״קנה והחזק״‪.‬‬
‫‪ o‬מחיר ביום המכירה חלקי מחיר ביום הקניה פחות ‪ = 1‬תשואת המניה‪.‬‬
‫‪ o‬בודקים את מחיר המניה לפני האירוע ואת מחיר המניה אחרי האירוע ומחשבים תשואה‪.‬‬
‫▪ כלומר = מחיר לפני האירוע חלקי מחיר אחרי האירוע פחות ‪ = 1‬הפסד אחרי‬
‫מתקפת סייבר‪.‬‬
‫‪ o‬שיבושים אפשריים‪:‬‬
‫▪ ירידה של כל השוק = יש להפחית אותה מהירידה של המניה עצמה‪.‬‬
‫תשואה עודפת = תשואת המניה פחות תשואת השוק‪.‬‬ ‫ ‬
‫▪ ניתן למצוא מדד שמשקף את השוק או שהמניה חלק ממנו ולראות כיצד היא זזה‬
‫ביחד אליו באותו טווח זמן‪.‬‬
‫▪ דוגמה – הום דיפו = העריכו נזק ב‪ 0.5%-‬בסוף היה נזק שיותר קרוב ל‪4%‬‬
‫)העריכו בחסר(‪.‬‬
‫מדידת סיכון בשיטת ‪:DGTW‬‬ ‫ ‬

‫‪ o‬רוצים לבחון מדד ייחוס שבוא יותר טוב מה‪ ,S&P500‬אז מסתכלים על מניות שזזות‬
‫ביחד בקבוצות )תיקי מניות(‪.‬‬
‫▪ כדי לעשות את זה נבחרו שני מאפיינים לקבוצות‪ :‬גודל ובוק טו מרקט‪.‬‬
‫▪ מגדירים סיכון ב‪ 6‬תיקים של גודל ובוק טו מרקט‪:‬‬
‫גודל = שווי שוק‪.‬‬ ‫ ‬

‫בוק טו מרקט = שווי נכסים חלקי שווי שוק‪.‬‬ ‫ ‬

‫מחלקים את השוק לחצי – מניות ״גדולות״ ומניות ״קטנות״‪.‬‬ ‫ ‬

‫מחלקים את השוק ל‪ 3-‬לפי בוק טו מרקט‪.‬‬ ‫ ‬

‫יוצרים סה״כ ‪ 6‬״תיקים״‪.‬‬ ‫ ‬

‫מחשבים תשואה ממוצעת לכל תיק‪.‬‬ ‫ ‬

‫ככל ש‪ BM-‬גדול יותר ככה החברה היא יותר חברת ערך ופחות חברת‬ ‫ ‬

‫צמיחה‪.‬‬
‫‪ o‬מסתכלים על החציון של ‪ BM‬מעל חציון נחשב גדול ומתחת‬
‫נחשב קטן‪.‬‬
‫חברות זזות ביחד לפי המדד הזה של ה‪.BM‬‬ ‫ ‬

‫סיכום‪:‬‬ ‫ ‬

‫‪ o‬קשה למדוד נזק מתקיפת סייבר גם בדרך עקיפה‪.‬‬
‫‪ o‬נמדוד לפי מחיר מניה )עקיף(‪.‬‬
‫‪ o‬בשביל לעשות את המדידה בצורה המדויקת ביותר צריך מדד ייחוס‪.‬‬

‫נושא ‪ – 4‬מחקרים על פריצות סייבר‪:‬‬
‫גורדון ולואב כותבים על נושאים רבים‪:‬‬ ‫ ‬
‫‪ o‬השפעה של פריצות סייבר על החברה = פריצות סייבר הן מקור משמעותי לדאגה בקרב‬
‫חברות פרטיות וציבוריות‪.‬‬
‫‪ o‬כמה כסף חברה צריכה להשקיע בהגנת סייבר‪:‬‬
‫▪ ״שכל ישר״ – ניסיון להעריך את הנזק שנגרם‪.‬‬
‫▪ עלויות ישירות ועקיפות – עלויות ישירות זה נזק למערכות ומידע‪ ,‬עקיפות זה נזק‬
‫למוניטין‪.‬‬
‫▪ שימוש במחירי מניות – הדרך הכי קלה זה שימוש במחיר המניה‪.‬מסתכלים על‬
‫המחיר סביב ההתקפה )לפני אחרי(‪ ,‬מנסים להעריך בערך את הירידה שקשורה‬
‫להתקפה‪.‬בטווח הארוך – הנזק לא משמעותי‪ ,‬בטווח הקצר יש ירידה אבל לא‬
‫מאוד גדולה בדרך כלל‪.‬‬
‫‪ o‬חקר אירוע‪:‬‬
‫▪ מסתכלים ‪ 120‬יום לפני התקיפה על שער המניה כדי לראות אם ביום ההתקפה‬
‫באמת קרה משהו חריג‪ ,‬בודקים מה קרה ‪ 3‬ימים אחרי ההתקפה‪.‬‬
‫▪ התוצאות שלהם‪:‬‬
‫לרוב הפריצות אין השפעה מהותית על מחיר המניה‪.‬‬ ‫ ‬

‫פריצות עם השפעה גדולה על מחיר המניה יכולות לאיים על שרידות‬ ‫ ‬

‫החברה‪.‬‬
‫בעלי מניות סובלניים לפריצות סייבר‪.‬‬ ‫ ‬

‫חברות שיפרו את יכולת ההתאוששות שלהם מפריצות סייבר‪.‬‬ ‫ ‬

‫‪ o‬על בסיס חקר האירוע חוזרים לשאלה כמה חברה צריכה להשקיע בהגנת סייבר? אי‬
‫אפשר הרי לעשות ‪ NPV‬להשקעת סייבר כי השקעת סייבר היא לא תזרים שמניב‬
‫תקבולים חיוביים‪.‬‬
‫▪ השקעת סייבר במקרה הטוב חוסכת לחברה כסף בעתיד )היא יותר כמו ביטוח(‪,‬‬
‫קשה למדוד את האפקטיביות שלה במובנים האלה‪ ,‬כלומר האם החברה חסכה‬
‫כסף או בזבזה כסף‪.‬‬
‫▪ בנוסף יש השפעות חיצוניות – השקעות סייבר של חברה אחת משפיעות על‬
‫בטיחות הסייבר של חברות אחרות‪.‬למה? אם אחת מוגנת ואחת לא אז‬
‫התוקפים יעדיפו לתקוף את החלשה‪ ,‬אם חברה אחת משקיעה זה דוחף גם את‬
‫החברה השנייה להשקיע‪.‬‬
‫דברים נוספים‪ :‬שיתוף אינפורמציה בין חברות ‪