בדיקת רשות ני"ע: חברות ציבוריות לא ערוכות מספיק למתקפת סייבר

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד אור כהן

חבר בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: דקה אחת
שמור ב"תכנים שלי"

הרשות לניירות ערך פרסמה, בחודש ינואר האחרון, דרישות גילוי עדכניות הנוגעות לסיכוני סייבר. הפרסום נעשה בעקבות ממצאים בעיתיים שהתגלו ב-72 חברות ציבוריות ישראליות - במסגרת ביקורת רוחב בנושא סיכוני סייבר שערכה הרשות. במסגרת הביקורת איתרה הרשות ליקויים בתחומים הבאים: ניהול סיכוני אבטחת מידע וסייבר; חובת הגילוי בנוגע לסיכוני סייבר ומתקפת סייבר; היערכות מוקדמת להתמודדות עם תקיפות סייבר; מתקפות סייבר וגילוי על התרחשותן. מתוך ממצאי הביקורת -

  • בכ-90% מחברות המדגם, נוהל אבטחת המידע לא אושר על-ידי דירקטוריון החברה;
  • כ-70% מחברות המדגם אינן מקבלות דיווחים עיתיים הנוגעים לסטטוס הגנת הסייבר ואבטחת המידע בחברה;
  • רק בכ-50% מחברות המדגם קיימת תכנית עבודה שנתית מסודרת בנושא אבטחת מידע, כאשר ב-50% מאלו קיימת גם בקרה אחר ביצוע;
  • כ-83% ממערכי אבטחת המידע בחברות אינם מיישמים תקנים המקובלים בתחום אבטחת המידע או הסייבר כלל;
  • כ-40% מהחברות לא ביצעו הערכת סיכוני סייבר בשלוש השנים האחרונות;
  • רק כ-18% מהחברות מתבססות על מתודולוגיה סדורה להערכת סיכונים, בבואן לשקול דיווח על סיכון סייבר כגורם סיכון בחברה;
  • אצל כ-76% מחברות המדגם לא קיימת התייחסות כלל לתקיפות סייבר במסגרת נוהל רלוונטי, כאשר כ-58% מחברות המדגם כלל לא הסדירו את תהליך הגילוי הנוגע לאירוע מהותי כלשהו במסגרת נהלי עבודה;
  • כמעט 50% מחברות המדגם לא מינו צוות תגובה לצורך מתן מענה במקרה של תקיפת סייבר;
  • כ-25% מחברות המדגם חוו לפחות תקיפת סייבר אחת ברמה כלשהי בשלוש השנים האחרונות, כאשר 40% מהן לא קיימו דיון בדירקטוריון או בהנהלה ביחס למהות האירוע ולצורך במתן גילוי פומבי לגביו.

כמענה לממצאי הביקורת, הרשות ממליצה לחברות, בין היתר -

  • לערב את הדירקטוריון בפיקוח על בנייה ותפעול של מערך ניהול סיכוני סייבר יעיל ובהעלאת נושא הסייבר באופן עיתי על סדר היום של דיוני הדירקטוריון;
  • לבנות תכנית עבודה בתחום הסייבר עבור מערך אבטחת המידע, תוך פיקוח, ביצוע ויישום על ידי דרגים בכירים בחברה, ולשקול יישומו של אחד מהתקנים המקובלים בתחום הסייבר;
  • ליישם תהליך הערכת סיכונים סדור המתבסס על מתודולוגיה מקובלת דוגמת סקר סיכונים, דירוגם וגילוים במסגרת הדוחות התקופתיים;
  • לקבוע נהלים ותהליכים הקשורים לחובות הדיווח של החברה, ובין היתר, לעגן תהליכים ונהלים נדרשים לעניין גילוי בעת קרות תקיפת סייבר מהותית;
  • לבחון את נחיצות מינוי צוות תגובה לאירועי סייבר, לרבות אופיו, הרכבו, סמכויותיו והכשרתו;
  • להתייחס לצורך בקיומו של דיון בדירקטוריון החברה או בהנהלתה הבכירה לצורך קביעת מהותיות אירוע תקיפת סייבר ובחינת הצורך במתן גילוי בעניינו.