איומי סייבר הם חלק מהיום-יום של תאגידים ברחבי העולם והם אינם פוסחים על אף סקטור. על-פי דוח של חברת IBM, בשנת 2022 הגיעה העלות הגלובלית של התמודדות עם פרצות אבטחה לשיא של כל הזמנים - 4.35 מיליון דולרים לאירוע סייבר בממוצע. בהתחשב במספר ההולך וגדל של אירועי סייבר, מדובר בהוצאה משמעותית במיוחד.
בינואר 2023 פרסמה רשות ניירות ערך הנחיות עדכניות ורחבות המחייבות את כלל התאגידים המדווחים ביחס להתמודדות עם איומי סייבר. השינויים העיקריים שבוצעו כוללים הרחבה משמעותית של חובת הגילוי ביחס למדיניות ניהול סיכוני סייבר, גילוי על מומחיות נושאי משרה וחברי דירקטוריון בפיקוח וניהול סיכוני סייבר, הבהרות ביחס לאופן בחינת "מהותיות" אירוע סייבר ועוד.
מספר גופים בישראל אמונים על אסדרה בתחום איומי הסייבר. במגזר הפיננסי, שזוכה למירב תשומת הלב האסדרתית, ניתן לציין את המפקח על הבנקים, רשות שוק ההון, ביטוח וחיסכון וכן את רשות ניירות ערך.
במהלך שנת 2022 ביצעה מחלקת ביקורת והערכה ברשות ניירות ערך ביקורת רוחב, במטרה לבחון את תהליך הגילוי והדיווח של התאגידים המדווחים בנוגע לסיכוני סייבר. הביקורת, שבוצעה באמצעות ניתוח מענה לשאלון רוחב אשר הופץ בקרב מדגם של 72 תאגידים מדווחים, בוצעה לאור רצונה של הרשות ליישר קו עם המדיניות של שוקי ההון בעולם, לרבות ה -SEC, בדבר אסדרת הגילוי והדיווח של התאגידים.
ממצאי ביקורת הרוחב
ממצאי הבדיקה הצביעו על פערים משמעותיים, בעיקר ביחס למעורבות מעטה של הדירקטוריון בנוגע לפיקוח על היבטי הגנה מפני סיכוני סייבר ואופן ניהול סיכוני אבטחת מידע. למעשה, הביקורת העלתה כי חברי הדירקטוריון של כ-70% מחברות המדגם לא קיבלו דיווחים עיתיים הנוגעים לסטטוס הגנת הסייבר בחברה. ממצא נוסף שפורסם הוא, כי אחוז ניכר מהחברות לא מחזיקות בתוכנית עבודה שנתית בתחום הסייבר ולא מקיימות תהליך ביקורת אפקטיבי נדרש על-ידי דרגים בכירים בחברה. בהתאם, רוב החברות לא ביצעו סקרי סיכונים מקיפים כדי לאתר חולשות במערך הסייבר שלהן.
בנוסף, הרשות מצאה כי חברות מעטות בלבד מתבססות על מתודולוגיה סדורה להערכת סיכונים, כאשר לרוב הערכת הסיכונים שלהן מתבססת על ידע וניסיון של ההנהלה. כמו כן, הממצאים מלמדים כי ברוב החברות שנבדקו לא התייחסו לתקיפות סייבר במסגרת נוהל רלוונטי ואף לא הסדירו את חובת הגילוי.
העדכונים המרכזיים בעמדת הרשות
לאור ממצאי הביקורת והפערים המהותיים שהוצגו, עודכנה, כאמור, עמדת רשות ניירות ערך בראשית שנת 2023. אלו התוספות המרכזיות שהוצגו בה:
1. גילוי ביחס למדיניות ניהול סיכוני סייבר ומומחיות דירקטוריון בתשקיף ובדו"ח התקופתי: תאגידים החשופים לסיכוני סייבר מהותיים, נדרשים כעת לפרט את אסטרטגיית ניהול הסיכונים בנושא, הכוללת את מדיניות ניהול הסיכון, נהלים, תהליכי עבודה, פעולות ובקרות. יתירה מכך, חובה על התאגיד לפרט על המשאבים שמוקצים על-ידו לניהול סיכוני סייבר, בעל התפקיד שאחראי ליישום מדיניות זו ועוד.
כמו כן, נדרש גילוי על מומחיות נושאי משרה וחברי דירקטוריון בתחום הסייבר, בהתאם לסעיפים 26 ו-26א לתקנות ניירות ערך. במסגרת זו יש לפרט האם לנושא המשרה יש ניסיון, מומחיות או מיומנות בנושא אבטחת מידע או סייבר. דרישה זו נשענת על עמדת הרשות שהובאה בביקורת הרוחב, לפיה לדירקטוריון תפקיד חשוב כגוף המפקח על פעילות החברה בתחום ניהול סיכוני סייבר. בנוסף, אם התאגיד בחר להשתמש בשירותי מיקור-חוץ ומומחים חיצוניים, יש לפרט זאת כחלק מהמדיניות.
2. גילוי בדיווחים מיידיים (אירועי סייבר מהותיים): במסגרת בחינת מהותיות האירוע נדרשים תאגידים לשקלל את הנזק שנגרם או עלול להיגרם כתוצאה מהתקיפה. הנחיות הרשות מחדדות, כי בבחינת "מהותיות" האירוע יש לבחון פרמטרים כמותיים לצד פרמטרים איכותיים. לפיכך, גם אם אירוע הסייבר לא עלול לגרום נזק כספי ממשי, ייתכן כי הוא יצריך דיווח מיידי על בסיס הפרמטרים האיכותיים.
3. תיאור תקיפות סייבר מהותיות במסגרת דוח תקופתי: אם פורסם דוח מיידי על אירוע סייבר, יש לבחון האם התגלה מידע מהותי נוסף בנוגע לאירוע ולפרטו במסגרת הדוח התקופתי. מידע נוסף צריך לכלול השפעות על המצב הפיננסי של התאגיד, שינוי במדיניות החברה בעקבות האירוע וכל עדכון רלוונטי אחר.
היערכות מוקדמת לסיכוני סייבר
עדכון עמדת הרשות לניירות ערך בנושא הסייבר מדגיש את החשיבות שרואה הרשות בתפקיד ההנהלה והדירקטוריון ביחס לניהול סיכוני סייבר, הן בשלב היערכות לאיומי הסייבר וקביעת ממשל תאגידי מתאים, והן בתפקידם בניהול אירוע סייבר.
מומלץ להנהלות וחברי הדירקטוריון לעודד את המודעות בארגון לחשיבות הטמונה בהיערכות מוקדמת לסיכוני סייבר, ליצור תשתית מתאימה לזיהוי וניהול אירועי סייבר וכן לדמות אירועי סייבר בארגון על מנת להיות מתורגלים כנדרש, אם הסיכון חלילה יתממש.
הכותב הוא ראש מחלקת הפרטיות והסייבר במשרד עוה"ד ברנע ג'פה לנדה
בשיתוף איגוד החברות הציבוריות
