נְגִישׁוּת

גודל טקסט

גדול קטן רגיל

ניגודיות

ניגודיות בהירה ניגודיות כהה רגיל

מצב קריאה

הפעל מצב קריאה חזור לתצוגה רגילה

אנימציות

בטל אנימציות הפעל אנימציות

ניגודיות גבוהה במיוחד

הפעל רגיל

גופן קריא

הפעל רגיל

טקסט מודגש

הדגש רגיל

הקראת טקסט

הקרא טקסט נבחר עצור קריאה

הדגשת קישורים

הפעל בטל
דווח
לְבַטֵל הצהרת ניגשות
תיק אישי
כספיות
פיקדונות
מחקות
עוקבות
כשרות
גידור בנאמנות
דרוג קרנות
הרכבי קרנות
אחזקות
מנהלים
גיוסים ופדיונות
מחזורי מוסדיים
חיסכון לכל ילד
גמל להשקעה
תיק אישי|כספיות|פיקדונות|מחקות|עוקבות|כשרות|גידור בנאמנות|דרוג קרנות|הרכבי קרנות|אחזקות|מנהלים|גיוסים ופדיונות|מחזורי מוסדיים|חיסכון לכל ילד|גמל להשקעה

חוזר דיווח על אירועי סייבר וכשל טכנולוגי- טיוטה

 

 
משה ברקת, צילום: פאנדרמשה ברקת, צילום: פאנדר
 
משה ברקת
LinkedinFacebookTwitter Whatsapp
17/07/2021
בתוקף סמכותי לפי הוראות סעיפים 2(ב) ו-42(א)(2) לחוק הפיקוח על שירותים פיננסיים (ביטוח), התשמ"א-1981 וסעיפים 39(ב) ו-40 לחוק הפיקוח על שירותים פיננסיים (קופות גמל), התשס"ה-2005, ולאחר התייעצות עם הוועדה המייעצת, להלן הוראותיי:

כללי

קצב השינויים המהיר בעולם הטכנולוגי כמו גם התלות בכלים טכנולוגים יוצרים חשיפות ואיומים חדשים. בשנים האחרונות גדל מספר אירועי הסייבר המתרחשים בגופים פיננסיים בארץ ובעולם. נוסף על הגידול במספר האירועים, חלה גם עליה ברמת התחכום ועמה גם פוטנציאל הנזקים של מתקפות הסייבר ואירועי כשל טכנולוגי נוספים.

המתקפות יכולות להיגרם על ידי תוקפים שונים, מתוך הארגון ומחוצה לו, והן יכולות להיות בעלות מאפיינים שונים, כגון: מתקפות דיוג (פישינג), DDOS (מניעת שירות), הנדסה חברתית ותקיפות אחרות תוך שימוש בדואר האלקטרוני או תוכנות זדוניות. המתקפות עלולות לגרום בין היתר לגניבת מידע רגיש, פגיעה (הצפנה, מחיקה, שינוי) או שיבוש של מידע, השחתה ופגיעה באתרי אינטרנט, גניבת כסף וריגול תעשייתי או מדיני. נדרשת מומחיות רבה באיתור התקיפות, במניעתן, ובמקרה של התממשות האיום – גם בהתאוששות ובמזעור הנזקים. 

היקף החשיפה לאיומי סייבר משתנה מארגון לארגון ותלוי בגורמים שונים ומגוונים, ביניהם תחומי פעילות, גודל הגוף, רגישות המידע הקיים בגוף, מידת התלות של הגוף בכלים טכנולוגים, אופן שמירת המידע בגוף וכן גורמים נוספים שעלולים להגביר את הרצון והמוטיבציה של התוקפים לפגוע בו.

הנזקים הכלכליים והעסקיים עקב תקיפת סייבר עלולים להגיע להיקף משמעותי עד כדי מצב של פגיעה ביכולת הגוף המוסדי לעמוד ביעדי השירות וביעדי ההמשכיות העסקית שלו. ההתאוששות ותיקון  הנזקים עד לחזרת הגוף המוסדי לפעילות מלאה עשויים להיות מורכבים.

על רקע כל אלה, רשות שוק ההון, ביטוח וחיסכון (להלן – רשות שוק ההון או הרשות) רואה חשיבות רבה בקבלת עדכון מידי ומפורט ככל הניתן במקרה של אירוע סייבר או אירוע טכנולוגי אחר אשר יש לו השפעה על התנהלותו של הגוף המוסדי. עולה הצורך להסדיר את הדיווח לרשות על קרות אירוע כאמור, ובכלל זאת את מועדי הדיווח, אופן הדיווח ותוכנו, ולהסדיר את דיווחים עוקבים, לאורך כל האירוע, עד לסיומו.

מטרת חוזר זה היא לקבוע את סוגי המקרים בהם נדרש גוף מוסדי לדווח לממונה על אירועי סייבר וכשל טכנולוגי והוראות נוספות בנוגע לדיווחים אלה, על מנת להבטיח כי הגוף נוקט את הצעדים הדרושים לצמצום הנזק הנובע מאירוע זה, לוודא ביצוע תהליכים נאותים של התאוששות והפקת לקחים בעקבות האירוע ולאפשר לרשות לנקוט פעולות משלימות כאשר קיים חשש לאירוע בעל השפעה רחבה.

הגדרות

אירוע – אירוע סייבר, אירוע אבטחת מידע או אירוע כשל טכנולוגי;

אירוע אבטחת מידע – כל מקרה שבו חלה פגיעה בסודיות, שלמות או זמינות של מידע;

אירוע כשל טכנולוגי – התרחשות או תוצאה שאינם צפויים או שאינם מתוכננים כחלק מהפעילות התקינה של הגוף המוסדי ואשר יש להם השפעה משבשת על הפעילות התקינה של מערכות טכנולוגיות המשמשות את הגוף המוסדי וכפועל יוצא גורם לשיבוש פעילותו העסקית של הגוף המוסדי, תהליך או פונקציה השייכים לו, לרבות כשלים שמקורם במערכות חשמל, מים, מערכות תומכות ושירותים תומכים;

אירוע סייבר – כל מקרה של תקיפת מערכות או אמצעי טכנולוגי אחר ששייכים לגוף המוסדי, העלולה לפגוע בסודיות, שלמות או זמינות מערכות או המידע של גוף מוסדי;

ועדת היגוי – ועדת היגוי לניהול סיכוני סייבר כמפורט בסעיף 3.א(3) לחוזר סייבר;

חוזר סייבר – חוזר גופים מוסדיים 2016-9-14 "ניהול סיכוני סייבר בגופים מוסדיים" (31.8.2016); 

שעות עבודה מקובלות – ימים א'-ה' שהם ימי עסקים כהגדרתם בהוראות שער 1 לחוזר המאוחד, בין השעות 08:00-18:00.

אירוע חייב בדיווח 

גוף מוסדי ידווח לממונה על אירוע אשר עשויה להיות לו השפעה מהותית על הגוף המוסדי או על לקוחותיו. 

אירוע יוגדר מהותי על ידי גוף מוסדי בהתאם לנהליו הפנימיים או בהתקיים לפחות אחד מהתבחינים הבאים:

כל אירוע הגורם לשיבוש מהותי בפעילות הגוף המוסדי, והטיפול בו לא הסתיים תוך שלוש שעות מתחילתו; 

אירוע בו נפגעו או הושבתו מערכות ייצור של הגוף המוסדי המכילות מידע רגיש למשך של יותר משלוש שעות;

כל אירוע בעל השפעה מהותית, בהתאם להערכת הגוף המוסדי, על זכויות עמיתים או מבוטחים של הגוף המוסדי;

אירוע שמצריך מעורבות ישירה של מנהל הגנת הסייבר או מנהל מערכות המידע בהיקף של שלוש שעות ומעלה;

אירוע סייבר המעיד על מתווה תקיפה חדש או המעיד על רמת מורכבות גבוהה;

קיימות אינדיקציות לכך שמידע רגיש אודות עמיתים או מבוטחים של הגוף המוסדי נחשף, דלף, שובש או נמחק; 

קיימות אינדיקציות לכניסת גורם זר למערכות הגוף המוסדי, או כניסה של גורם אחר ללא הרשאות מתאימות או גורם בעל הרשאות אשר נכנס למערכות למטרה שאיננה אחת מהמטרות שלשמן קיימת עבורו הרשאה למערכות; 

דרישת כופר או סחיטה מכל גורם שהוא;  

אירוע אצל ספק שירות חיצוני או בעל רישיון המחובר למערכות הגוף המוסדי, אשר הביא את הגוף המוסדי לנקוט בפעולות הגנה או מנע על מנת להתמודד עם החשיפה למערכות הגוף המוסדי;

קבלת דיווח או פניה לגבי אירוע מגורם חיצוני לגוף המוסדי, למעט דיווחים המגיעים בעקבות בדיקות או ביקורות שבוצעו ביוזמת הגוף המוסדי או הרשות;

אירוע אשר דווח לגופי ממשלה ואכיפה אחרים.

דיווח ראשוני על אירוע

אירע אירוע שמחייב דיווח בהתאם לסעיף 3 לעיל, יעביר גוף מוסדי יעביר דיווח טלפוני ראשוני בסמוך ככל הניתן ועד שעתיים מזיהוי האירוע, ולאחר מכן ישלים דיווח ראשוני בכתב עד 8 שעות ממועד הדיווח הטלפוני הראשוני, ככל שלא התקבלה הנחיה שונה מרשות שוק ההון. 

הדיווח הטלפוני יתבצע בכל שעה ובכל יום, ללא תלות בשעות העבודה המקובלות, ויועבר למנהל מחלקת טכנולוגיות מידע וסייבר או לאיש הקשר של הגוף המוסדי במחלקת הפיקוח על גופים מוסדיים ברשות (להלן – רפרנט או רפרנט הרשות). הדיווח הטלפוני ילווה בדיווח ראשוני באמצעות דוא"ל [email protected].

יובהר, כי ככל שזוהה אירוע נוסף בהתאם לסעיף 3 לעיל, או חלה התפתחות באירוע הנוכחי אשר עונה על אחד מהתבחינים המפורטים בסעיף 3 לעיל, הגוף המוסדי מחויב בדיווח טלפוני נוסף כאמור בסעיפים א' ו-ב' לעיל.  

במקרה בו מועד הדיווח הראשוני בכתב הוא בשעות שאינן שעות העבודה המקובלות, הדיווח הראשוני בכתב יועבר עם תחילת שעות העבודה המקובלות ביום העוקב, אלא אם התקבלה הנחיה אחרת מרשות שוק ההון. 

הדיווח בכתב ידווח על גבי קובץ אקסל "טופס דיווח אירוע טכנולוגי". הדיווח יועבר דרך הכספת, לתיקיית Technology. ככל שלגוף המוסדי אין יכולת לשלוח דיווח זה דרך הכספת הייעודית, הדיווח יועבר למחלקת טכנולוגיות מידע וסייבר ברשות שוק ההון בעותק קשיח או באמצעות דוא"ל חיצוני כאשר כלל המידע המועבר באמצעי זה יאובטח בסיסמה אשר תימסר בנפרד מהדוא"ל לרפרנט הגוף המוסדי. לפני כל הגשת דיווח, יש להוריד מהאתר קובץ דיווח מעודכן. לא יתקבל קובץ סרוק או מועתק משנה אחרת, קובץ שנבנה באופן עצמאי או קובץ PDF.

שם הקובץ יישא את השם הבא: cyber_xxxxxxxxx_ddmmyyyyhhmm.xlxs

xxxxxxxxx מציין את מספר הזיהוי של החברה (ח.פ);

ddmmyyyyhhmm מציין את תאריך ושעת הדיווח;

סיומת הקובץ תהיה xlsx בלבד.

דיווחים במהלך אירוע

גוף מוסדי נדרש לשלוח בכתב נתונים מעודכנים על פרטי האירוע ובכל מקרה ככל שחלו שינויים מהותיים בפרטי האירוע ו/או בהשלכותיו, בתדירות שלא תפחת מאחת ליום, ככל שלא התקבלה הנחיה אחרת מרשות שוק ההון. הדיווח יתבצע על גבי "טופס דיווח אירוע טכנולוגי".

דיווח על סיום אירוע

אירע אירוע שהוגדר מהותי בהתאם לאמור בסעיף 3(ב) לעיל, יידרש גוף מוסדי לדווח לרפרנט הרשות על סיום האירוע. 

סיום אירוע יוגדר בהתאם לתבחינים ולתרחישים שגוף מוסדי יגדיר מראש בנוהל, ולכל הפחות מצב בו ההערכה הסבירה היא כי אין חשש להישנות, החרפה או התפשטות של האירוע. התבחינים הפרטניים לסיום אירוע מסוים ייקבעו במהלך הטיפול באירוע ויאושרו על ידי ועדת ההיגוי. 

הדיווח אודות סיום האירוע יתבצע טלפונית עד שעתיים מקבלת ההחלטה על סיום האירוע, ודיווח בכתב על גבי "טופס דיווח אירוע טכנולוגי" יושלם ויועבר לרשות עד 8 שעות ממועד סיום האירוע. 

תחולה 

הוראות חוזר זה יחולו על כלל הגופים המוסדיים.

תחילה

תחילתו של חוזר זה ביום 30 בספטמבר 2021.

x