פרסום עמדת ממונה ממצאי ביקורת: ממצאי ביקורת בנושא ניהול המשכיות עסקית תרגיל אוקטובר 2015 - טיוטה

1 .כללי

בהתאם להוראות חוזר 11-9-2013 שעניינו ניהול המשכיות עסקית בגופים מוסדיים )להלן: "החוזר"( גופים מוסדיים נדרשים לגבש תכנית המשכיות עסקית שתבטיח תפקוד רציף ותקין במצב חירום. באוקטובר 2012 נדרשו גופים מוסדיים לערוך תרגיל המשכיות עסקית המדמה רעידת אדמה. במסגרת התרגיל ענו הגופים המוסדיים על שאלון בשלות ושאלון בקר ומסרו דיווח לממונה על שוק ההון, ביטוח וחיסכון )להלן: "הממונה"(.

בשנים 2014-2013 נערכו לגופים המוסדיים תרגילי המשכיות עסקית נוספים שעסקו בתרחישי מלחמה כוללת. בעקבות התרגילים פורסמו עמדות ממונה שפירטו את הממצאים העיקריים שעלו מן התרגילים. באוקטובר 2015 נדרשו גופים מוסדיים לערוך תרגיל המשכיות עסקית נוסף, שבמסגרתו התבקשו לדמות התמודדות עם אירוע רעידת אדמה. במהלך התרגיל בחלק מהגופים המוסדיים, השתתפו גם עובדי אגף שוק ההון, ביטוח וחיסכון )להלן: "אגף שוק ההון"(. התרגיל לווה בהנחיות בנוגע להיקף התרגול הנדרש, לתרחישים ולתהליכים העסקיים אותם נדרשו הגופים המוסדיים לדמות כגון: תהליכי תביעות, שינויים בשוק ההון, תקלות בתשתיות ובמערכות מידע וזמינות מוקדי שירות לקוחות. בנוסף, במסגרת התרגיל נדרשו הגופים המוסדיים לדמות פגיעה באתר המרכזי שלהם ולבחון את יכולתם להעתיק בפועל את אתר הפעילות המרכזי שלהם לאתר חלופי וכן להעביר לאגף שוק ההון דיווחים שונים הנוגעים לאירוע המתורגל, במתכונת הזהה לדיווחים אשר יהיו נדרשים להגיש לאגף שוק ההון בשעת חירום כנדרש בחוזר. בסמוך לתרגיל פורסמו אירועים נקודתיים בתחומים: תשתיות, סייבר, מערכות מידע ומבטחי משנה, להתייחסות הגופים בעת

התרגיל.

התרגיל נערך, לראשונה, במתכונת משולבת של אגף שוק ההון והגופים מוסדיים. יצוין, כי במהלך התרגיל פנו הגופים המוסדיים לנציגי אגף שוק ההון בשאלות בנוגע לתרחיש התרגיל בתחומים שונים כגון: זיהוי לקוחות ללא אמצעי זיהוי, חידושי פוליסות, משיכות וכדומה. נושאים אלו נבחנים על ידי האגף ומענה נקודתי יפורסם בנפרד.

המענה והתמודדות הגופים המוסדיים עם התרחיש שתורגל והתרשמות נציגי אגף שוק ההון שנכחו בתרגיל מהווים את הבסיס לממצאים המופיעים במסמך זה. לאור חשיבות הנושא, תימשך בחינת היערכות גופים מוסדיים להמשכיות עסקית בבדיקות פרטניות ובתרגילים, לרבות בחינת הטיפול בליקויים שנתגלו בגופים מוסדיים במהלך התרגילים.

2 .ממצאים

בהתאם לסעיף 4(ה( לחוזר: "גוף מוסדי יערוך תרגיל מקיף". תרגיל הרציפות התפקודית מהווה כלי בידי גוף מוסדי לבחינת יכולותיו לשמור על רציפות תפקודית במצב חירום, לשם כך עליו לדמות ככל האפשר את מצב החירום. במסגרת התרגיל נדרשת מעורבות של 

 גורמים שונים בגוף המוסדי בניהול המשבר, וביניהם דירקטוריון הגוף המוסדי. על הדירקטוריון ליטול חלק אקטיבי בתרגיל ובמהלכו עליו להתייחס לסוגיות רלוונטיות. יישומים חסרים: בגופים מוסדיים רבים נמצא כי מעורבות הדירקטוריון בתרגיל לא הייתה מספקת.

הפניה לדירקטוריון במהלך התרגיל נעשתה באופן מתודי בלבד ומבלי שהדירקטוריון היה מעורב בפועל בקבלת החלטות.

יישומים ראויים: במקצת מן הגופים המוסדיים הדירקטוריון היה שותף באופן פעיל בתרגיל ומעורבותו באה לידי ביטוי בדיונים ובקבלת החלטות בסוגיות שונות כגון: השקעות, זכויות עמיתים, ניהול הון ועוד.

בהתאם לסעיף 4(ד(1 לחוזר: "גוף מוסדי יקבע נהלים לאחזור מידע בפרק זמן סביר בקרות אירוע כשל באתר הראשי, כדי להבטיח התאוששות מהירה". בהתאם לסעיף 4(ד( לחוזר: "גוף מוסדי ייבחן את רכיבי הטכנולוגיה שלו הדרושים לתמיכה בתכנית להמשכיות עסקית, לרבות בחינת תפקוד מערכות מידע קיימות". יישומים חסרים: בחלק מהגופים המוסדיים נמצא כי לא נעשתה בשנים האחרונות בדיקה לבחינת ישימות אחזור מידע מעותקי הגיבוי הקשיחים.

יישומים ראויים: בחלק מן הגופים נמצא שאפשרות אחזור המידע מעותקי הגיבוי נבחנה במסגרת  תרגילים לבחינת העברת הפעילות מהאתר המרכזי לאתר הגיבוי )להלן: "אתר ה- DR.)"

בהתאם לסעיף 5(א( לחוזר: "גוף מוסדי יוודא כי התכנית להמשכיות עסקית תתייחס, בין היתר, להתנהלותו מול ספק או נותן שירות חיצוני מהותי )להלן: "גורם חיצוני"(". בהתאם לסעיף 5(ב( לחוזר: "הסכם התקשרות של גוף מוסדי עם גורם חיצוני יצמצם, ככל הניתן, את התלות בגורם החיצוני בנושאים הקשורים לתהליכי עבודה חיוניים. גוף מוסדי יסדיר את מהלך הפעילות או את קבלת השירותים מגורם החוץ במצב חירום".  יישומים חסרים: בחלק מהגופים המוסדיים, התכנית להמשכיות עסקית כוללת מיפוי חלקי בלבד של הספקים הקריטיים במצב חירום ואין בה פתרון למקרים שבהם אותם ספקים לא יהיו זמינים. כמו כן, גופים אלו לא ערכו הליך תיאום ציפיות עם הספקים בנוגע ליעדי השירות של הגופים בחירום. מקצת מהגופים המוסדיים לא התייחסו כלל במהלך תרגיל המשכיות עסקית לתלות הקיימת בספקים קריטיים.

יישומים ראויים: חלק מהגופים המוסדיים, ערכו, במסגרת התוכנית להמשכיות עסקית, תהליכים לזיהוי ומיפוי ספקים קריטיים לפעילות הגופים וכן פעולות למציאת ספקי שירות חליפיים לספקים אלו. בגופים אלו, רשימת הספקים החליפיים צורפה לפנקסי החירום. כמו כן, חלק מהגופים המוסדיים ערכו תהליך תיאום ציפיות עם הספקים בנוגע ליעדי השירות של הגופים בחירום. בנוסף, חלק מהגופים המוסדיים שילבו את ספקי השירות במסגרת תרגיל ההמשכיות העסקית שערכו.

בהתאם לסעיף 4(ב( לחוזר: "גוף מוסדי יזהה וימפה את התשתיות המשמשות אותו לתפקודו השוטף, כגון תשתיות פיזיות )מבנים, ציוד וכו'(, תשתיות IT( תקשורת, שרתים, מערכות מידע, ממשקים לגורמים חיצוניים, תשתיות אבטחת מידע וכו'( וכל תשתית אחרת )להלן: "תשתיות קריטיות"(. לאחר מכן יעריך גוף מוסדי את המשאבים והתשתיות הדרושים לו לקיום תהליכי עבודה חיוניים במצב חירום, בפרק זמן מזערי, ויבחן שימוש בחלופות אפשריות לצורך כך".

סקירת תשתיות קריטיות אל מול איומי יחוס חיונית לצורך בניית תכנית להמשכיות והיערכות הגופים המוסדיים לחירום.

יישומים חסרים: בחלק מהגופים המוסדיים לא נערכה סקירה של תשתיות קריטיות אל מול תרחישי הייחוס כגון עמידות מבנים ותשתיות חשמל ומים ברעידת אדמה )תקן E74 FEMA )וכן מוגנות התשתיות הקריטיות )תקן 4 Tier / 3 Tier )בפני תרחישי ייחוס אחרים. כמו כן, לא נבחנה יתירות האתר הראשי ואתרים חילופיים וכן יתירות אתר ה- DR .

יישומים ראויים: במספר גופים מוסדיים נערכה סקירה של תשתיות קריטיות אל מול תרחישי הייחוס ובין היתר נבחנו עמידות המבנים בתקני רעידת אדמה ואיומי תרחישי ייחוס אחרים. הסקירה התייחסה לאתר הראשי, אתרים חילופיים שונים ואתר ה- DR .מיפוי זה יאפשר לגופים המוסדיים להיערך באופן מיטבי להקצאת תשתיות ומשאבים חילופיים זמינים במצב חירום. 

בהתאם לסעיף 4(ד( לחוזר: "גוף מוסדי ייבחן את רכיבי הטכנולוגיה שלו הדרושים לתמיכה בתכנית להמשכיות עסקית, לרבות בחינת תפקוד מערכות מידע קיימות". יישומים חסרים: בחלק מהגופים המוסדיים הנהלים המתייחסים להתמודדות עם אירועי סייבר מסתכמים בניתוק מערכות המידע מתקשורת עם גורמים חיצוניים בעת משבר. הנהלים של גופים מוסדיים אלו אינם מפרטים פעולות נוספות להתמודדות עם אירוע סייבר, כדוגמת פעולות שניתן לנקוט על מנת למזער את הנזק.

יישומים ראויים: במקצת מהגופים המוסדיים הוקמו צוותים ייעודים מקצועיים למתן מענה לאירועי סייבר. צוותים אלו פועלים במסגרת מלאה לטיפול באירועים שונים ובכללם אירועי סייבר. בנוסף הצוותים עורכים, בתדירות גבוהה, תרגולים לבחינת מוכנותם ולצורך עדכון הנהלים בהתאם לעדכונים שוטפים בנוגע לאיומי הסייבר הידועים. בנוסף, במקצת מהגופים המוסדיים נקבעו נהלים לפעילות ניטור שוטפת ולניהול אירוע סייבר, ובין היתר לפעולות שניתן לנקוט על מנת למזער את הנזק. כמו כן, חלק מהגופים המוסדיים התקשרו עם המרכז הלאומי להתמודדות עם איומי סייבר )IL-CERT )וכן עם חברות מומחיות בתחום לצורך קבלת שירותי הגנת סייבר, מבחני חדירות לגופים ועדכוני מודיעין

שוטפים על איומי סייבר.

בהתאם לסעיף 4(ה( לחוזר: "גוף מוסדי יטמיע את התכנית להמשכיות עסקית בקרב עובדיו, באמצעות הדרכת עובדים והכשרתם". יישומים חסרים: בחלק מהגופים המוסדיים, ההנהלה, הנהלת הגיבוי, צוותי החירום והעובדים הנדרשים בחירום לא עברו הדרכות בתדירות והיקף נאותים בעניין היערכות החברה במצב חירום. יישומים ראויים: בחלק מהגופים מוסדיים קיימת תכנית הדרכות בעניין היערכות החברה לשעות חירום שנועדה לוודא את הטמעת תכנית ההמשכיות העסקית והבטחת רציפות התפקוד בעקבות אסון.

בהתאם לסעיף 4(ה( לחוזר: "גוף מוסדי יערוך תרגיל מקיף". מטרת התרגיל היא לבחון את התפקוד של הגוף המוסדי במצב חירום ואת יכולתו לשמור על רציפות תפקודית. כחלק מהתמודדות עם האירועים בתרגיל, הגוף המוסדי נדרש לנהל את המשבר ולקיים תהליכים קריטיים באמצעות שימוש במשאבים שונים העומדים לרשותו כגון הון אנושי, תשתיות ומערכות וזאת לצורך שמירה על רציפות תפקודית, ככל שניתן.

יישומים חסרים: בחלק מהגופים המוסדיים התקבלו החלטות נקודתיות במהלך התרגיל, ללא שנבחנה ההיתכנות ליישומן. לדוגמא, גוף מוסדי החליט להגדיל את הקיבולת של מוקד שירות הלקוחות ללא שבדק אם עומדים לרשותו המשאבים )תשתית, ציוד קצה מספק וכוח אדם( המאפשרים את יישום ההחלטה בפועל. דוגמא נוספת, גוף מוסדי החליט לחדש פוליסות בצורה אוטומטית ובאופן גורף ללא שבדק אם מערכות המיכון הקיימות מאפשרות לבצע זאת בפועל.

יישומים ראויים: בחלק מן הגופים המוסדיים, הליך קבלת ההחלטות נעשה בשיתוף הגורמים הרלוונטיים כגון אנשי התשתיות, משאבי אנוש ומערכות מידע. בנוסף, במסגרת הליך קבלת ההחלטות נבחנו חלופות שונות ונשקלו, בין היתר, המרכיבים הנדרשים לחלופות השונות וכן ישימות ביצוע ההחלטה. לדוגמא - גוף מוסדי החליט להגדיל את הקיבולת של מערך שירות הלקוחות, ולצורך קבל  ההחלטה נבחנה הקיבולת של המרכזייה, כמות העמדות שניתן לפתוח ומיקומן וכן האפשרות להסיט כוח אדם ממוקדי המכירות למוקדי השירותים.

החוזר מגדיר "תכנית המשכיות עסקית" כ"תכנית פעולה מקיפה, הקובעת נהלים ומערכות הדרושים כדי לשמר את רציפות פעילות גוף מוסדי במצב חירום ולשקמה".

בהתאם לסעיף 4(ו(2 לחוזר: "גוף מוסדי יקבע נהלי עבודה ידניים למקרים בהם לא ניתן לבצע פעולות מהותיות באופן ממוחשב על מנת לעמוד ביעדי השירות וההתאוששות. נהלים אלו יכללו מערך בקרות מפצות ותכנית לטיוב והזנת מידע עם סיום מצב החירום למערכות המידע הממוחשבות". יישומים חסרים: במספר גופים מוסדיים פנקסי החירום חלקיים וחסרים ולא מכילים נהלים שונים כגון שעוני פעילות מובנים למחלקות ואגפים שונים להסדרת תהליכי העבודה בחירום. כמו כן, פנקסי החירום לא הכילו רשימות חיוניות כגון רשימות עובדים ופרטי התקשרות, רשימות ספקים ודרכי התקשרות ורשימת אנשי מפתח במבטחי משנה. בנוסף, בחלק מהגופים המוסדיים נמצא כי פנקסי החירום לא כללו

נהלי עבודה ידניים ובקרות מפצות למקרים שבהם מערכות המידע אינן זמינות וכן לא נמצאו נהלים לעניין תשלומי מקדמות למבוטחים. במקצת מן הגופים המוסדיים לא נמצאו הוראות לעניין הזנת המידע מהטפסים הידניים למערכות המידע עם החזרה לשגרה.

יישומים ראויים: בחלק מהגופים נמצא כי פנקסי החירום נרחבים ומקיפים וכללו, בין היתר, שעוני פעילות שהסדירו תהליכי עבודה בחירום. כמו כן, פנקסי החירום הכילו רשימות אנשי קשר רלוונטיות לחירום כגון רשימות עובדים, רשימת ספקים הכוללת גיבוי לאנשי קשר ורשימת אנשי מפתח רלוונטיים במבטחי משנה. בנוסף, במספר גופים פנקסי החירום כוללים נהלי עבודה ידנית המתייחסים בין היתר לתשתיות תומכות, בקרות מפצות והזנת המידע מהטפסים הידניים, עם החזרה לשגרה. כמו כן, במספר גופים ישנם נהלים לעניין תשלומי מקדמות למבוטחים בזמן חירום.

בהתאם לסעיף 2(ה( לחוזר: "גוף מוסדי יטמיע את התכנית להמשכיות עסקית בקרב עובדיו, באמצעות הדרכת עובדים והכשרתם וכן יכין תכנית תרגול תקופתית. כמו כן, גוף מוסדי יערוך תרגיל מקיף, לכל הפחות אחת ל- 18 חודשים, בהשתתפות בקר בלתי תלוי שיבחן את התרגול וידווח על מסקנותיו. מסקנות התרגול יועברו להנהלת הגוף המוסדי ללימוד ולבחינת עדכונים נדרשים בתכנית להמשכיות עסקית".

גופים מוסדיים אלו לא תרגלו העברה מלאה של כלל הפעילות העסקית לאתר ה- DR ,כך שאין להם מידע בנוגע לאפשרות קיום פעילות כוללת באתר ה- DR ,בעת הצורך. יישומים ראויים: בחלק מהגופים המוסדיים נערכו תרגולים מקיפים לבחינת זמינות מערכות המידע באתר ה- DR לפעילות מלאה של הגופים. במסגרת התרגולים הגופים המוסדיים הפעילו את כלל מערכות המידע באתר ה- DR וערכו סידרת בדיקות לבחינת תקינותם של תהליכים עסקיים. במקצת מן הגופים בוצעה העברה מלאה של הפעילות העסקית השוטפת למערכות המידע באתר ה- DR ,וזאת למשך פרק זמן קצוב.

י. מתן שירות לקוחות בחירום

בהתאם לסעיף 4(ו()3 )לחוזר: "גוף מוסדי יקבע מנגנונים מהירים למתן שירות ללקוחות במצב חירום". בהתאם לסעיף 4(ג()2 )לחוזר: "גוף מוסדי יקים ממשקי תקשורת שיפעלו במצב חירום ויאפשרו קשר רציף וסדיר עם גורמים שונים )עמיתים, ספקים, עובדים, רשויות פיקוח וכו'(, לרבות ביצוע הפעולות הבאות:

מטרת תכנית המשכיות עסקית היא לשמר את רציפות הפעילות של הגוף המוסדי במצב חירום תוך שמירה על קשר רציף וסדיר עם גורמים שונים, ככל הניתן, ובין היתר, עם הלקוחות. יישומים חסרים: בחלק מהגופים המוסדיים לא הוכנו תסריטי שיחה למצבי חירום, קבצי שאלות ותשובות לפרסום באתר האינטרנט בעת חירום וכמו כן לא הוכנו תבניות של הודעות או תגובות לתקשורת במצב חירום.

יישומים ראויים: בחלק מן הגופים נערכו מבעוד מועד למצב חירום והוכנו תסריטי שיחה לתרחישי ייחוס שונים כגון: מלחמה, רעידת אדמה ואירוע סייבר, ובמסגרתם ניתן מענה לצרכים שונים של הלקוחות. בנוסף, במקצת מהגופים הוכנו קבצי שאלות ותשובות לפרסום באתר האינטרנט ותבניות של הודעות או תגובות לתקשורת בעת חירום.

יא. עותק גבוי שלישי

בהתאם לסעיף 4(ד(1" :גוף מוסדי יגבה את נתוניו בעותק נוסף על מנת להבטיח התאוששות של המידע במקרים בהם נפגע מידע באתר הראשי ובאתר החלופי בו זמנית".

יישומים חסרים: בחלק מן הגופים המוסדיים לא קיים עותק גיבוי שלישי של הנתונים למקרה שבו נפגעו האתר הראשי והמשני.

יישומים ראויים: בחלק מן הגופים המוסדיים נמצא ישנו עותק גיבוי שלישי שאינו מאוחסן באתר הראשי או המשני 

בכבוד רב,

דורית סלינגר,הממונה על שוק ההון ביטוח וחיסכון