הרשות לניירות ערך פרסמה, בחודש ינואר האחרון, דרישות גילוי עדכניות הנוגעות לסיכוני סייבר. הפרסום נעשה בעקבות ממצאים בעיתיים שהתגלו ב-72 חברות ציבוריות ישראליות - במסגרת ביקורת רוחב בנושא סיכוני סייבר שערכה הרשות. במסגרת הביקורת איתרה הרשות ליקויים בתחומים הבאים: ניהול סיכוני אבטחת מידע וסייבר; חובת הגילוי בנוגע לסיכוני סייבר ומתקפת סייבר; היערכות מוקדמת להתמודדות עם תקיפות סייבר; מתקפות סייבר וגילוי על התרחשותן. מתוך ממצאי הביקורת -
- בכ-90% מחברות המדגם, נוהל אבטחת המידע לא אושר על-ידי דירקטוריון החברה;
- כ-70% מחברות המדגם אינן מקבלות דיווחים עיתיים הנוגעים לסטטוס הגנת הסייבר ואבטחת המידע בחברה;
- רק בכ-50% מחברות המדגם קיימת תכנית עבודה שנתית מסודרת בנושא אבטחת מידע, כאשר ב-50% מאלו קיימת גם בקרה אחר ביצוע;
- כ-83% ממערכי אבטחת המידע בחברות אינם מיישמים תקנים המקובלים בתחום אבטחת המידע או הסייבר כלל;
- כ-40% מהחברות לא ביצעו הערכת סיכוני סייבר בשלוש השנים האחרונות;
- רק כ-18% מהחברות מתבססות על מתודולוגיה סדורה להערכת סיכונים, בבואן לשקול דיווח על סיכון סייבר כגורם סיכון בחברה;
- אצל כ-76% מחברות המדגם לא קיימת התייחסות כלל לתקיפות סייבר במסגרת נוהל רלוונטי, כאשר כ-58% מחברות המדגם כלל לא הסדירו את תהליך הגילוי הנוגע לאירוע מהותי כלשהו במסגרת נהלי עבודה;
- כמעט 50% מחברות המדגם לא מינו צוות תגובה לצורך מתן מענה במקרה של תקיפת סייבר;
- כ-25% מחברות המדגם חוו לפחות תקיפת סייבר אחת ברמה כלשהי בשלוש השנים האחרונות, כאשר 40% מהן לא קיימו דיון בדירקטוריון או בהנהלה ביחס למהות האירוע ולצורך במתן גילוי פומבי לגביו.
כמענה לממצאי הביקורת, הרשות ממליצה לחברות, בין היתר -
- לערב את הדירקטוריון בפיקוח על בנייה ותפעול של מערך ניהול סיכוני סייבר יעיל ובהעלאת נושא הסייבר באופן עיתי על סדר היום של דיוני הדירקטוריון;
- לבנות תכנית עבודה בתחום הסייבר עבור מערך אבטחת המידע, תוך פיקוח, ביצוע ויישום על ידי דרגים בכירים בחברה, ולשקול יישומו של אחד מהתקנים המקובלים בתחום הסייבר;
- ליישם תהליך הערכת סיכונים סדור המתבסס על מתודולוגיה מקובלת דוגמת סקר סיכונים, דירוגם וגילוים במסגרת הדוחות התקופתיים;
- לקבוע נהלים ותהליכים הקשורים לחובות הדיווח של החברה, ובין היתר, לעגן תהליכים ונהלים נדרשים לעניין גילוי בעת קרות תקיפת סייבר מהותית;
- לבחון את נחיצות מינוי צוות תגובה לאירועי סייבר, לרבות אופיו, הרכבו, סמכויותיו והכשרתו;
- להתייחס לצורך בקיומו של דיון בדירקטוריון החברה או בהנהלתה הבכירה לצורך קביעת מהותיות אירוע תקיפת סייבר ובחינת הצורך במתן גילוי בעניינו.