רשות ניירות ערך: אין מספיק דירקטורים בעלי ידע או מומחיות בתחום אבטחת מידע או הגנת סייבר
הביקורת של הרשות בוצעה על מדגם של כ-70 תאגידים מדווחים, המשתייכים לענפים שונים שלהם עלולה להיות חשיפה מוגברת לסיכון סייבר | ב-90% מהחברות שנדגמו, נוהל אבטחת מידע לא אושר כלל על ידי דירקטוריון החברה | חצי מהן טרם מינו צוות תגובה לאירוע סייבר
רם לוי
| 07/02/2023
bigstock
בין משקיעים לחברות מתקיימת כידוע עסקה בסיסית: המשקיעים יכולים להחליט אילו סיכונים הם רוצים לקחת, ועל החברות ליידע אותם על כלל הסיכונים הקיימים באופן שוטף. במקרה של חברות המגייסות כסף מהציבור, חלה חובה לשתף עם המשקיעים מידע על בסיס קבוע.
אחד הסיכונים המשמעותיים כלפי חברות הוא מתקפת סייבר, שעלולה לגרום נזקים בשווי מיליונים רבים, אם לא מיליארדים. אל תטעו: אם נתוני לקוחות נגנבים או אם חברה שילמה כופר, זהו כמובן מידע מהותי עבור המשקיעים.
למרות זאת, ולמרות שלחברות ציבוריות יש כבר חובות מסוימות בכל הנוגע לגילויי אבטחת סייבר, מסמך חדש של רשות ני"ע, שפורסם בשבוע שעבר, חושף תמונה עגומה למדי בנושא – ובכל הקשור להתנהלות דירקטוריונים של חברות בכל הנוגע למוכנות לקראת משבר סייבר, כמו גם בנוגע לשיטות העבודה ביחס לאבטחת סייבר, אסטרטגיה וניהול סיכונים, וכן להתנהלות בעת משבר.
המסמך המפורט של רשות ני"ע הינו למעשה עדכון לגילוי דעת משנת 2018, הנוגע לטיפול בסיכוני סייבר הנדרשים מתאגידים מדווחים. העדכון לגילוי הדעת, הכולל דרישות מחברות מפוקחות להגביר את רמת הגנת הסייבר שלהם, התפרסם בעקבות ממצאים שעלו במסגרת ביקורת רוחב שביצעה מחלקת ביקורת והערכה ברשות, אשר נועדה לבחון את תהליך הגילוי והדיווח של תאגידים מדווחים בכל הקשור לסיכוני סייבר ותקיפות סייבר.
הביקורת בוצעה על מדגם של כ-70 תאגידים מדווחים, המשתייכים לענפים שונים שלהם עלולה להיות חשיפה מוגברת לסיכון סייבר.
אין מספיק דירקטורים בעלי ידע
על פי הביקורת שערכה הרשות, במרבית החברות המפוקחות אין מספיק דירקטורים בעלי ידע או מומחיות בתחום אבטחת מידע או הגנת סייבר ביחס לסיכונים הקיימים. ב-76% מהחברות שהשתתפו במדגם לא קיימת כלל התייחסות לתקיפות סייבר במסגרת נוהל רלוונטי, ואילו ב-90% מהחברות שנדגמו, נוהל אבטחת מידע לא אושר כלל על ידי דירקטוריון החברה.
בנוסף, חברי הדירקטוריון של כ-70% מחברות המדגם אינם מקבלים דיווחים נדרשים הנוגעים לסטטוס הגנת הסייבר ואבטחת המידע בחברה, ואינם מקיימים דיונים בנושאים הרלוונטיים לתחום זה. בחלק מהחברות לא מתקיימים כלל דיונים בדירקטוריון בכל הנוגע להשפעת סיכוני ההסייבר על פעילותה העסקית של החברה.
עוד על פי ביקורת הרשות, כ-40% מהחברות כלל לא ביצעו הערכת סיכוני סייבר בשלוש השנים האחרונות, 30% לא הציגו את תוצאות הערכת הסיכונים במסגרת ישיבות הדירקטוריון ורק מעט פחות משליש מהחברות שכן קבעו תכנית לצמצום החשיפות שעלו במסגרת הערכת הסיכונים, יישמו את תכנית הצמצום במלואה.
זאת ועוד: 83% ממערכי אבטחת המידע בחברות אינם מיישמים אף לא אחד מהתקנים המקובלים בתחום אבטחת המידע או הסייבר.
חצי מהחברות לא מינו צוות תגובה לאירוע
נתונים מעניינים נוספים מהמדגם מראים כי כ-50% מהחברות לא מינו צוות תגובה לצורך מתן מענה במקרה של תקיפת סייבר, ואילו ב 58% מחברות המדגם כלל לא הסדירו את תהליך הגילוי הנוגע לאירוע מהותי כלשהו במסגרת נהלי עבודה. כ-50% מהחברות אשר כן מינו צוות תגובה למתקפת סייבר, אינן מקיימות תרגולים או הדרכות באופן מסודר עבור צוות זה.
בנוסף, כ-40% מהחברות שנדגמו לא ביצעו בחינה ברמה זו או אחרת של היבטי אבטחת מידע וסיכוני סייבר בארגון במסגרת ביקורות הפנים שבוצעו על ידם בשלוש השנים האחרונות, לכ-40% מהחברות אין מתודולוגיה סדורה בעניין זה ורק כ-18% מהחברות מתבססות על מתודולוגיה סדורה להערכת סיכונים דוגמת סקר סיכונים, בבואן לשקול דיווח על סיכון סייבר כגורם סיכון בחברה.
למרות הנתונים המצביעים על החשיבות המועטה שמייחסות החברות לאירועי סייבר, מהמדגם עולה כי כ-25% מחברות המדגם חוו לפחות תקיפת סייבר אחת ברמה כלשהי בשלוש השנים האחרונות, וכי כ-40% מהחברות שחוו לפחות מתקפת סייבר אחת בשלוש השנים האחרונות לא קיימו דיון בדירקטוריון או בהנהלה ביחס למהותיות האירוע ולצורך במתן גילוי פומבי לגביו. 17% נוספים מהחברות קיימו דיון בדירקטוריון, אולם רק ביחס לחלק מהתקיפות שחוו.
על סמך הממצאים האמורים, קבעה הרשות ארבעה תחומים שבהם מחויבות חברות להקפיד על עמידה בדרישות חדשות. הגברת מעורבות הדירקטוריון בניהול סיכוני סייבר (למשל, על ידי קבלת דיווחים תקופתיים על מצב הגנת הסייבר בחברה וקיום דיונים בנושא).
הערכה וניהול של סיכוני סייבר לפי מתודולוגיה סדורה ושיתוף ההערכות עם הדירקטוריון, גילוי נאות בנוגע לסיכוני סייבר שאליהם חשופה החברה והיערכות מוקדמת למתקפות סייבר, לרבות גיבוש נהלי אבטחת מידע, הטמעת תהליכי עבודה מוסדרים מראש לטיפול באירוע ודיווח על אירועי סייבר "משמעותיים" לציבור המשקיעים.
תקנות חדשות בארה״ב
לא רק רשות ני"ע התייחסה לנושא אחריות הדירקטוריון בנושא סייבר, אלא גם הדירקטורים עצמם. בגילוי דעת של איגוד הדירקטורים בישראל נכתב כי "אין ספק שהאחריות על נושא הגנת הסייבר והפרטיות מונחת לפתחו של הדירקטוריון.
״ראוי כי דירקטוריונים יקיימו לכל הפחות דיון ייעודי, שמטרתו קביעת מסגרת לעיסוק בנושא בתאגיד. מסגרת זו יכולה לכלול מספר צעדים פשוטים וברורים, דוגמת השתלמות, אישור תקציב ותוכניות עבודה, השתתפות בתרגולים עיתיים וצעדים נוספים".
ואם תהיתם מה המצב בנושא בעולם, אז בארה"ב, למשל, כבר לקחו אותו צעד קדימה. באפריל השנה צפויה הוועדה לניירות ערך ולבורסות (ה-SEC) לאשר תקנה שתשנה ותחמיר באופן משמעותי את האופן שבו חברות מדווחות על ניהול סיכוני סייבר, היערכות למשברי סייבר ודיווחים על אירועי אמת.
שינוי זה צפוי כמובן להשפיע באופן ניכר על האופן שבו חברות ציבוריות מתנהלות בכל הקשור לסייבר, ולהקרין גם על חברות רבות בעולם ובישראל.
בכל מה שקשור לדיווחי סייבר של חברות ציבוריות, גילוי הדעת של רשות ני"ע הוא בהחלט תיקון של עיוות בנושא החובות על ארגונים לדווח על ניהול סיכוני סייבר ולהיערך למשברים בצורה רצינית - והחובה הזו מוטלת על הדירקטוריון. למרבה הצער, ברוב הדירקטוריונים אין כמעט ידע בנושא, כי אין הרבה דירקטורים שמבינים בסייבר.
לאור כמות ואיכות מתקפות הסייבר, שעלולות להשבית את עבודת החברה, לעלות מיליונים רבים ולפגוע גם בציבור הרחב, היערכות מוקדמת להתמודדות עם תקיפת סייבר הינה לא פחות מקריטית. על פי עמדת סגל רשות ני"ע, רצוי שהיערכות זו תכלול גם קביעת נהלים ותהליכים הקשורים לחובות הדיווח של החברה, בין היתר עיגון תהליכים ונהלים נדרשים לעניין גילוי בעת תקיפת סייבר מהותית.
במסגרת ניהול אפקטיבי של סיכוני ומשברי סייבר, הכרחי שתובא בחשבון גם בחינה של נחיצות מינוי צוות תגובה, לרבות אופיו, הרכבו, סמכויותיו והכשרתו. לדירקטוריון תפקיד חשוב ביותר בניווט הארגון בזמן הסערה, על ידי התוויית מדיניות ניהול המשבר של הארגון ופיקוח על ביצוע תפקידי המנכ"ל וההנהלה ופעולותיהם.
מתוקף אחריות הדירקטוריון, עליו גם לוודא שלחברה עומדים המשאבים הפיננסיים הדרושים לטיפול במשבר והשלכותיו, ושהמשבר לא פגע ביכולת הארגון לדווח על מצבו הפיננסי במסגרת הדוחות הכספיים.
בנוסף, ברגע שהחברה תתחיל לנהל את סיכוני הסייבר בצורה רצינית, היא תדרוש זאת גם מהחברות שעובדות איתה. לכן, מדובר כאן על מהלך שישפיע על המשק באופן רוחבי, בדומה לרגולציית הסייבר בתחום הבנקאות ושוק ההון.
הכותב הוא מנכ"ל ומייסד "קונפידס", החברה להגנת סייבר ולניהול משברי סייבר, שניהלה את המשבר בחברת "שירביט" וכתבה מסמך מפורט בנושא תפקיד ואחריות הדירקטוריון בניהול משברי סייבר
הביקורת של הרשות בוצעה על מדגם של כ-70 תאגידים מדווחים, המשתייכים לענפים שונים שלהם עלולה להיות חשיפה מוגברת לסיכון סייבר | ב-90% מהחברות שנדגמו, נוהל אבטחת מידע לא אושר כלל על ידי דירקטוריון החברה | חצי מהן טרם מינו צוות תגובה לאירוע סייבר
bigstock
בין משקיעים לחברות מתקיימת כידוע עסקה בסיסית: המשקיעים יכולים להחליט אילו סיכונים הם רוצים לקחת, ועל החברות ליידע אותם על כלל הסיכונים הקיימים באופן שוטף. במקרה של חברות המגייסות כסף מהציבור, חלה חובה לשתף עם המשקיעים מידע על בסיס קבוע.
אחד הסיכונים המשמעותיים כלפי חברות הוא מתקפת סייבר, שעלולה לגרום נזקים בשווי מיליונים רבים, אם לא מיליארדים. אל תטעו: אם נתוני לקוחות נגנבים או אם חברה שילמה כופר, זהו כמובן מידע מהותי עבור המשקיעים.
למרות זאת, ולמרות שלחברות ציבוריות יש כבר חובות מסוימות בכל הנוגע לגילויי אבטחת סייבר, מסמך חדש של רשות ני"ע, שפורסם בשבוע שעבר, חושף תמונה עגומה למדי בנושא – ובכל הקשור להתנהלות דירקטוריונים של חברות בכל הנוגע למוכנות לקראת משבר סייבר, כמו גם בנוגע לשיטות העבודה ביחס לאבטחת סייבר, אסטרטגיה וניהול סיכונים, וכן להתנהלות בעת משבר.
המסמך המפורט של רשות ני"ע הינו למעשה עדכון לגילוי דעת משנת 2018, הנוגע לטיפול בסיכוני סייבר הנדרשים מתאגידים מדווחים. העדכון לגילוי הדעת, הכולל דרישות מחברות מפוקחות להגביר את רמת הגנת הסייבר שלהם, התפרסם בעקבות ממצאים שעלו במסגרת ביקורת רוחב שביצעה מחלקת ביקורת והערכה ברשות, אשר נועדה לבחון את תהליך הגילוי והדיווח של תאגידים מדווחים בכל הקשור לסיכוני סייבר ותקיפות סייבר.
הביקורת בוצעה על מדגם של כ-70 תאגידים מדווחים, המשתייכים לענפים שונים שלהם עלולה להיות חשיפה מוגברת לסיכון סייבר.
אין מספיק דירקטורים בעלי ידע
על פי הביקורת שערכה הרשות, במרבית החברות המפוקחות אין מספיק דירקטורים בעלי ידע או מומחיות בתחום אבטחת מידע או הגנת סייבר ביחס לסיכונים הקיימים. ב-76% מהחברות שהשתתפו במדגם לא קיימת כלל התייחסות לתקיפות סייבר במסגרת נוהל רלוונטי, ואילו ב-90% מהחברות שנדגמו, נוהל אבטחת מידע לא אושר כלל על ידי דירקטוריון החברה.
בנוסף, חברי הדירקטוריון של כ-70% מחברות המדגם אינם מקבלים דיווחים נדרשים הנוגעים לסטטוס הגנת הסייבר ואבטחת המידע בחברה, ואינם מקיימים דיונים בנושאים הרלוונטיים לתחום זה. בחלק מהחברות לא מתקיימים כלל דיונים בדירקטוריון בכל הנוגע להשפעת סיכוני ההסייבר על פעילותה העסקית של החברה.
עוד על פי ביקורת הרשות, כ-40% מהחברות כלל לא ביצעו הערכת סיכוני סייבר בשלוש השנים האחרונות, 30% לא הציגו את תוצאות הערכת הסיכונים במסגרת ישיבות הדירקטוריון ורק מעט פחות משליש מהחברות שכן קבעו תכנית לצמצום החשיפות שעלו במסגרת הערכת הסיכונים, יישמו את תכנית הצמצום במלואה.
זאת ועוד: 83% ממערכי אבטחת המידע בחברות אינם מיישמים אף לא אחד מהתקנים המקובלים בתחום אבטחת המידע או הסייבר.
חצי מהחברות לא מינו צוות תגובה לאירוע
נתונים מעניינים נוספים מהמדגם מראים כי כ-50% מהחברות לא מינו צוות תגובה לצורך מתן מענה במקרה של תקיפת סייבר, ואילו ב 58% מחברות המדגם כלל לא הסדירו את תהליך הגילוי הנוגע לאירוע מהותי כלשהו במסגרת נהלי עבודה. כ-50% מהחברות אשר כן מינו צוות תגובה למתקפת סייבר, אינן מקיימות תרגולים או הדרכות באופן מסודר עבור צוות זה.
בנוסף, כ-40% מהחברות שנדגמו לא ביצעו בחינה ברמה זו או אחרת של היבטי אבטחת מידע וסיכוני סייבר בארגון במסגרת ביקורות הפנים שבוצעו על ידם בשלוש השנים האחרונות, לכ-40% מהחברות אין מתודולוגיה סדורה בעניין זה ורק כ-18% מהחברות מתבססות על מתודולוגיה סדורה להערכת סיכונים דוגמת סקר סיכונים, בבואן לשקול דיווח על סיכון סייבר כגורם סיכון בחברה.
למרות הנתונים המצביעים על החשיבות המועטה שמייחסות החברות לאירועי סייבר, מהמדגם עולה כי כ-25% מחברות המדגם חוו לפחות תקיפת סייבר אחת ברמה כלשהי בשלוש השנים האחרונות, וכי כ-40% מהחברות שחוו לפחות מתקפת סייבר אחת בשלוש השנים האחרונות לא קיימו דיון בדירקטוריון או בהנהלה ביחס למהותיות האירוע ולצורך במתן גילוי פומבי לגביו. 17% נוספים מהחברות קיימו דיון בדירקטוריון, אולם רק ביחס לחלק מהתקיפות שחוו.
על סמך הממצאים האמורים, קבעה הרשות ארבעה תחומים שבהם מחויבות חברות להקפיד על עמידה בדרישות חדשות. הגברת מעורבות הדירקטוריון בניהול סיכוני סייבר (למשל, על ידי קבלת דיווחים תקופתיים על מצב הגנת הסייבר בחברה וקיום דיונים בנושא).
הערכה וניהול של סיכוני סייבר לפי מתודולוגיה סדורה ושיתוף ההערכות עם הדירקטוריון, גילוי נאות בנוגע לסיכוני סייבר שאליהם חשופה החברה והיערכות מוקדמת למתקפות סייבר, לרבות גיבוש נהלי אבטחת מידע, הטמעת תהליכי עבודה מוסדרים מראש לטיפול באירוע ודיווח על אירועי סייבר "משמעותיים" לציבור המשקיעים.
תקנות חדשות בארה״ב
לא רק רשות ני"ע התייחסה לנושא אחריות הדירקטוריון בנושא סייבר, אלא גם הדירקטורים עצמם. בגילוי דעת של איגוד הדירקטורים בישראל נכתב כי "אין ספק שהאחריות על נושא הגנת הסייבר והפרטיות מונחת לפתחו של הדירקטוריון.
״ראוי כי דירקטוריונים יקיימו לכל הפחות דיון ייעודי, שמטרתו קביעת מסגרת לעיסוק בנושא בתאגיד. מסגרת זו יכולה לכלול מספר צעדים פשוטים וברורים, דוגמת השתלמות, אישור תקציב ותוכניות עבודה, השתתפות בתרגולים עיתיים וצעדים נוספים".
ואם תהיתם מה המצב בנושא בעולם, אז בארה"ב, למשל, כבר לקחו אותו צעד קדימה. באפריל השנה צפויה הוועדה לניירות ערך ולבורסות (ה-SEC) לאשר תקנה שתשנה ותחמיר באופן משמעותי את האופן שבו חברות מדווחות על ניהול סיכוני סייבר, היערכות למשברי סייבר ודיווחים על אירועי אמת.
שינוי זה צפוי כמובן להשפיע באופן ניכר על האופן שבו חברות ציבוריות מתנהלות בכל הקשור לסייבר, ולהקרין גם על חברות רבות בעולם ובישראל.
בכל מה שקשור לדיווחי סייבר של חברות ציבוריות, גילוי הדעת של רשות ני"ע הוא בהחלט תיקון של עיוות בנושא החובות על ארגונים לדווח על ניהול סיכוני סייבר ולהיערך למשברים בצורה רצינית - והחובה הזו מוטלת על הדירקטוריון. למרבה הצער, ברוב הדירקטוריונים אין כמעט ידע בנושא, כי אין הרבה דירקטורים שמבינים בסייבר.
לאור כמות ואיכות מתקפות הסייבר, שעלולות להשבית את עבודת החברה, לעלות מיליונים רבים ולפגוע גם בציבור הרחב, היערכות מוקדמת להתמודדות עם תקיפת סייבר הינה לא פחות מקריטית. על פי עמדת סגל רשות ני"ע, רצוי שהיערכות זו תכלול גם קביעת נהלים ותהליכים הקשורים לחובות הדיווח של החברה, בין היתר עיגון תהליכים ונהלים נדרשים לעניין גילוי בעת תקיפת סייבר מהותית.
במסגרת ניהול אפקטיבי של סיכוני ומשברי סייבר, הכרחי שתובא בחשבון גם בחינה של נחיצות מינוי צוות תגובה, לרבות אופיו, הרכבו, סמכויותיו והכשרתו. לדירקטוריון תפקיד חשוב ביותר בניווט הארגון בזמן הסערה, על ידי התוויית מדיניות ניהול המשבר של הארגון ופיקוח על ביצוע תפקידי המנכ"ל וההנהלה ופעולותיהם.
מתוקף אחריות הדירקטוריון, עליו גם לוודא שלחברה עומדים המשאבים הפיננסיים הדרושים לטיפול במשבר והשלכותיו, ושהמשבר לא פגע ביכולת הארגון לדווח על מצבו הפיננסי במסגרת הדוחות הכספיים.
בנוסף, ברגע שהחברה תתחיל לנהל את סיכוני הסייבר בצורה רצינית, היא תדרוש זאת גם מהחברות שעובדות איתה. לכן, מדובר כאן על מהלך שישפיע על המשק באופן רוחבי, בדומה לרגולציית הסייבר בתחום הבנקאות ושוק ההון.
הכותב הוא מנכ"ל ומייסד "קונפידס", החברה להגנת סייבר ולניהול משברי סייבר, שניהלה את המשבר בחברת "שירביט" וכתבה מסמך מפורט בנושא תפקיד ואחריות הדירקטוריון בניהול משברי סייבר
