העיצום שקיבלה הגשמה מהרשות לניירות ערך מהווה אבן דרך בגישה לאבטחת מידע

בשבוע שעבר נפל דבר בישראל. בפעם הראשונה, גוף רגולטורי, הרשות לניירות ערך, השית עיצום כספי בהיקף של 300,000 ש''ח על חברת הנדלן הגשמה, שבאפקליציה שלה זוהתה פרצת אבטחת מידע, שהובילה לחשיפת מידע אישי. 

 

כמי שעוסקת בהשלכות העסקיות של סיכוני הסייבר ומרצה בקורסים להכשרת דירקטורים, כמובן שהאירוע המדובר מעניין אותי במיוחד והחלטתי לנסות להעמיק בשאלת האכיפה הרגולטורית קצת יותר. 

 

באוקטובר18 פרסמה הרשות לניירות ערך מזכר קצר (105-33) המדבר על הרחבת גורמי הסיכון כפי שמפורטים בתקנה 36א להגדרת אירועי סייבר והצורך לדווח עליהם. המזכר לא מוצג כרגולציה מחייבת או כזו שפטיש אכיפה מרחף מעליה. בטח ובטח שהוא לא העמיק בשאלת סיכוני הסייבר כפי שהן מנחות את השוק הפיננסי ב-15 השנה האחרונות, באמצעות רגולציית 357 ולאחריה 361 של בנק ישראל. 

 

והנה, כאילו משום מקום, בפעם הראשונה, אכיפה משמעותית, כואבת ומדוייקת, מצד רגולטור שעד כה לא עסק בסיכוני הסייבר באופן מובהק. בטח לא גלוי. 

 

למרות הסיכון המיידי לשרידות העסקית, דווקא חברי דירקטוריון בחברות ציבוריות הם כמעט האחרונים להחשף לסיכון הסייבר, באופן שיגרום להם לתהות בישיבת הדירקטוריון על מנגנוני ההגנה שמפעיל הארגון כדי להקטין את הסיכון העסקי. במרבית המקרים, כמו כל אדם שזהו אינו המקצוע שלו, הם אפילו לא יידעו מה לדרוש או לשאול באותה ישיבה רבעונית כשעיקרה מוקדש לדיון על תקציב ומניות ושאלת רווח והפסד. 

 

החדשות הרעות לאותם חברי דירקטוריון הן שעם הבנה או בלעדיה, הרגולטור לא עוצר ומחכה להם. בעולם כבר מושתים קנסות עתק בשווי מאות מיליוני דולרים על הפרות של חוקי פרטיות ואבטחת מידע ומנהלים רבים אפילו שילמו בכיסא שלהם בזמן שהארגון מתמודד במקביל גם עם תביעות משפטיות נרחבות. 

 

מצופה כיום מחבר דירקטוריון שידע מה עליו לדרוש ממנכ"ל החברה כדי להבין לעומק את סוגיית סיכוני הסייבר. אם הוא מעולם לא שמע את מנהל אבטחת המידע שסוקר את האירועים איתם מתמודד הארגון ואת תכולת העשייה שלו, כדי לצמצם ולמנוע פגיעה שלהם בהמשכיות העסקית, הוא חוטא לתפקידו, מסכן את הארגון ואת עצמו. אם הוא לא יודע, עליו לשאול.

 

סיכון הסייבר הוא כנראה הסיכון העסקי הגדול ביותר איתו מתמודד הארגון, הרבה יותר מכל סיכון אחר, בשל גורם ההפתעה שבו, היקף הנזק הנרחב - פיננסי, משפטי, רגולטורי, רציפות תפקודית, פגיעה במוניטין - ובעיקר, העדר שליטה מוחלטת בקצב ההתפתחות שלו בשל העובדה שהכדור נמצא בידיים של התוקף. 

 

כשנחשף דבר העיצום על חברת הגשמה, פניתי לבנק ישראל בשאלה האם למרות הרגולציה הותיקה, המובילה בתחומה, מומשו עד כה עיצומים כספיים על הפרות בגופים הפיננסיים הכפופים לה. זו התשובה שקיבלתי: 

 

'לא הוטלו עיצומים ע"י בנק ישראל. הסיבה היא שהדגש העיקרי הוא על שימוש בכלים אחרים כגון הטמעת תהליכי עבודה נכונים, על מנת טייב את ההתמודדות של הגופים עם תחום אירועי הסייבר ואבטחת המידע.

"אציין שהנושא נמצא בדיון ובמעקב מתמשכים ע"י בנק ישראל, והיבטים רבים כגון המקרים הספציפיים שיגררו הטלת עיצומים, סכומי הקנסות, שמירה על כלי העיצומים ככלי הרתעתי ואפקטיבי נלקחים בחשבון".

 

נראה שהרשות לניירות ערך סימנה קו פרשת מים גם עבור הרגולטור הותיק בארץ. 

 

 

עינת מירון היא יועצת Cyber Resilience המתמחה בליווי ארגונים והנהלות להערכות והתמודדות עם אירועי סייבר בהיבטים העסקיים