בן שלוש לוחם בסוסים טרויאניים - דורש אבטחת מידע
המפקח על הביטוח, אייל בן-שלוש, פרסם היום הוראה לניהול סיכוני אבטחת המידע בענף הביטוח וקרנות הפנסיה. ההוראה החדשה נועדה להסדיר את אופן הטיפול במידע הרגיש המצוי אצל המבטחים, הן מהיבטי צנעת הפרט (מידע רפואי), והן מהיבטים עסקיים (מידע פיננסי) ולהתוות את העקרונות לצמצום הסיכונים הנובעים משימוש במערכות מידע. התפתחות המערך הטכנולוגי התומך בפעילות העסקית בתחום הביטוח יוצרת מצד אחד, הזדמנויות עסקיות חדשות ומצד שני, טומנת בחובה סיכונים למידע האגור בו. אנשיו של בן שלוש אומרים היום, כי אי מניעת סיכונים אלו, עלולה לפגוע בכל המהלך התקין של פעילות המשק ככלל, ופעילות בענף הביטוח בפרט. לכן, הם אומרים, על חברות הביטוח וקרנות הפנסיה להיערך למניעת סיכוני אבטחת המידע ככל שניתן, להקצות משאבים כספיים, אנושיים וטכנולוגיים וליישם בקרות ומנגנוני אבטחת מידע. מבנה ההוראה כולל שלושה תחומים עיקריים: דרישות לנושא ניהול אבטחת המידע בארגון, דרישות כלליות ליישום בקרות אבטחת מידע ואופן הטיפול בנושאים הדורשים תשומת לב מיוחדת. בהתאם להוראה על חברות הביטוח וקרנות פנסיה להגדיר עקרונות שימוש מאובטח במערכות המידע שלהן, כולל הפעלת בקרות ומנגנוני אבטחת מידע שיטפלו בגילוי, מניעה, תיעוד והתרעה של חשיפה ואירועי אבטחת מידע. בנוסף, על העקרונות להתייחס לנושאים נוספים כגון: שימוש ברשת האינטרנט, שימוש בדואר אלקטרוני, שמירה וטיפול במידע, הרשאות גישה לוגיות ופיזיות, שמירה ושימוש בסיסמאות, נעילת המחשב בפני גישה כאשר אינו בשימוש וכדומה. היקף הזמן הנדרש ליישום ההוראה ייגזר בהתאם לפעילות העסקית של חברות הביטוח וקרנות הפנסיה ולמידת מוכנותן לדרישות ההוראה. לשם יישום ההוראה על הארגון להחיל נורמות ארגוניות בניהול אבטחת המידע, להגדיר מדיניות אבטחת מידע, סיווג נכסים וביצוע הערכת סיכונים, לבנות תוכנית עבודה ליישום ההוראה, לתכנן את אופן יישום בקרות אבטחת המידע, כולל כתיבת נהלים וליישם בקרות ומנגנוני אבטחת מידע ולהטמיעם בארגון. לצורך הכנת ההוראה נעזר המפקח בשרותי הייעוץ של חברה המתמחה בטיפול בסיכוני אבטחת מידע בארץ ובעולם. כמו כן, במהלך השנה האחרונה בוצע מיפוי חשיפות לסיכוני אבטחת המידע (מתאר איומים) במערכות הליבה המרכזיות במספר חברות ביטוח, על מנת ללמוד את היקפי החשיפה בארגונים אלו. הוראה זו מתבססת על עקרונות אבטחת מידע מקובלים והסתייעה ברגולציות שהותוו על ידי הגופים הבאים: ארגון התקינה הבריטי: BS7799, המפקח על הבנקים (ישראל): ניהול בנקאי תקין, ניהול טכנולוגיות המידע, הוראה 357, ועדת באזל לפיקוח בנקאי: Risk Management Principles for Electronic Banking , HIPAA Security Standard: Department of Health and Human Services, United States.
