צילום: שלומי יוסף

הרשות לני"ע: חברות תחויבנה לתאר את מדיניות ואסטרטגיית ניהול הסיכונים בסייבר

בנוסף, התאגידים ידרשו לפרט אם קיימת מומחיות של נושאי משרה וחברי דירקטוריון בתחום הסייבר או אם עשו שימוש בשירותי מיקור חוץ ובמומחים חיצוניים לשם התמודדות עם ניהול הסיכון

דור עצמון | 25/01/2023 14:34

נושאים בכתבה הרשות לנירות ערך סייבר

רשות ניירות ערך מפרסמת דרישות גילוי עדכניות הנוגעות לסיכוני סייבר הנדרש מתאגידים מדווחים. דרישות אלו מתפרסמות בעקבות ממצאים שעלו במסגרת ביקורת רוחב שביצעה מחלקת ביקורת והערכה, אשר נועדה לבחון את תהליך הגילוי והדיווח של תאגידים מדווחים בכל הקשור לסיכוני סייבר ותקיפות סייבר. הביקורת בוצעה על מדגם של כ-70 תאגידים מדווחים המשתייכים לענפים שונים, להם עלולה להיות חשיפה מוגברת לסיכון סייבר.

להלן ממצאים ותובנות מרכזיים אשר עלו במסגרת הביקורת: 1. מעורבות הדירקטוריון בפיקוח על ניהול סיכוני סייבר – קיימת מעורבות מעטה יחסית של דירקטוריונים בכל הקשור לפיקוח על ניהול סיכוני אבטחת מידע. הדבר בא לידי ביטוי בחוסר מודעות לנוהל אבטחת המידע של הארגון, היעדר קבלת דיווחים עיתיים הנוגעים לסטטוס הגנת הסייבר ואבטחת המידע בחברה, ואי קיום דיונים בנושאים אלו. יצוין כי אחת הסיבות האפשריות לחוסר מעורבות זה עלולה להיות קשורה בהיעדרם של בעלי ידע או מומחיות בתחום אבטחת מידע או סייבר בקרב חברי הדירקטוריון, כפי שעלה ממרבית החברות שנדגמו בביקורת.

קיימת חשיבות גדולה בקבלת עדכונים שוטפים מבעלי התפקידים הרלוונטיים בתאגיד כחלק מהצורך במעורבות של הדירקטוריון ונושאי המשרה בתאגיד באיתור, ניהול ופיקוח של סיכוני סייבר ואבטחת מידע. מעורבות זו, תסייע בבניית מערך יעיל לניהול סיכונים ולתיאום בין היעדים העסקיים לבין המערך הטכנולוגי.

2. הערכת סיכוני סייבר וניהולם – במקרים רבים, מערכי אבטחת המידע בחברות אינם פועלים על בסיס תכנית עבודה שנתית, ואילו אצל חלק ניכר מאלו שכן פועלים על בסיס תכנית כזו, לא מבוצעת בקרה אחר ביצועה הלכה למעשה. כמו כן, חברות רבות לא ביצעו הערכת סיכוני סייבר בשנים האחרונות, וכמחצית מהחברות שביצעו לא הציגו את תוצאות הערכת הסיכונים לדירקטוריון. בנוסף, במספר רב של חברות לא בוצעה בחינה של היבטי אבטחת מידע וסיכוני סייבר במסגרת ביקורות הפנים בארגון בשנים האחרונות.

ראוי כי מרכיבי ניהול סיכוני הסייבר יתבססו על כלים מקובלים, כגון: הערכת סיכונים באמצעות מתודולוגיה מקובלת דוגמת סקר סיכונים, הפעלת מערך אבטחת מידע תוך הסתייעות, במידת הצורך, בשירותי מיקור חוץ ומומחים בתחום אבטחת מידע, קביעת תכנית עבודה שנתית/ רב שנתית בתחום הסייבר וביצוע בקרות על ביצועה בפועל, ביצוע בקרה על בחינת אופן ניהול סיכוני הסייבר באמצעות ביקורת פנים ועוד.

3. גילוי בנוגע לסיכוני סייבר ומתקפות סייבר – בבוא חברות לשקול דיווח על סיכון סייבר כגורם סיכון בחברה, מעטות מהן מתבססות על מתודולוגיה סדורה להערכת סיכונים, כאשר לרוב החברות אין מתודולוגיה סדורה ולכל היותר הערכת הסיכונים שלהן מתבססת על ידע וניסיון של ההנהלה.

יישום תהליך הערכת סיכונים סדור המבוסס על מתודולוגיה מקובלת דוגמת סקר סיכונים, יסייע לתאגיד להבטיח מתן גילוי נאות על סיכוני סייבר ואבטחת מידע כמו גם על גורמי סיכון אחרים הרלוונטיים לתאגיד ודירוגם בצורה נכונה (לפי הסיכון השיורי ולא הסיכון השורשי/גולמי). תהליך, כאמור, יאפשר בסיס לדיון בדירקטוריון בנוגע לגורמי הסיכון של התאגיד, דירוגם וגילוים בדוחות התקופתיים.

קיראו עוד ב"שוק ההון"

4. היערכות מוקדמת וגילוי על מתקפות סייבר בעת התרחשותן – ברוב החברות לא קיימת התייחסות כלל לתקיפות סייבר במסגרת נוהל רלוונטי, כאשר חלק ניכר מהן לא הסדירו את תהליך הגילוי הנוגע לאירוע מהותי כלשהו במסגרת נהלי עבודה. כמו כן, חלק מהחברות שחוו מתקפת סייבר בשנים האחרונות לא קיימו דיון בדירקטוריון או בהנהלה ביחס למהותיותו ולצורך במתן גילוי פומבי בעניינו.

היערכות מוקדמת של התאגיד להתמודדות עם תקיפת סייבר, הכוללת הסדרה מראש של נהלים ותהליכי עבודה שיטתיים לטיפול ותגובה בנוגע לאירוע סייבר, וכן עיגון התהליכים הנדרשים לעניין גילוי ודיווח לציבור המשקיעים על התרחשות אירוע סייבר מהותי, יאפשרו לתאגידים לנהל ולהתמודד בצורה אפקטיבית יותר עם תקיפת סייבר בפועל ומתן הגילוי הנאות לציבור המשקיעים.

יצוין כי במסגרת עמדת הסגל מוטמעות, בין היתר, תובנות הביקורת הנוגעות לדרישות הגילוי והדיווח ביחס לסיכוני סייבר. אם תאגיד זיהה סיכון סייבר מהותי הרלוונטי לפעילותו, עליו לתאר את מדיניות ואסטרטגיית ניהול הסיכון, פעולות ובקרות שמופעלות לשם התמודדות עם סיכון זה וכן אפקטיביות מדיניות ניהול הסיכונים. בנוסף, התאגידים ידרשו לפרט אם קיימת מומחיות של נושאי משרה וחברי דירקטוריון בתחום הסייבר או אם עשו שימוש בשירותי מיקור חוץ ובמומחים חיצוניים לשם התמודדות עם ניהול הסיכון.

במישור הדיווח על תקיפות סייבר שהתרחשו בפועל, בעמדת הסגל התווספה התייחסות לאופן שבו התאגידים נדרשים לבחון אם אירוע סייבר מחייב פרסום דוח מיידי ובפרט ביחס לצורך לקחת בחשבון פרמטרים כמותיים ואיכותיים בעת בחינת מהותיות האירוע ושקלול מכלול הנזק ופוטנציאל הנזק מהתקיפה.

הטלגרם שלנו - תכנים בלעדיים ויחודיים

הגב לכתבה

שם המגיב *

כותרת תגובה *

תוכן התגובה

השדות המסומנים ב-* הם שדות חובה