נְגִישׁוּת

גודל טקסט

גדול קטן רגיל

ניגודיות

ניגודיות בהירה ניגודיות כהה רגיל

מצב קריאה

הפעל מצב קריאה חזור לתצוגה רגילה

אנימציות

בטל אנימציות הפעל אנימציות

ניגודיות גבוהה במיוחד

הפעל רגיל

גופן קריא

הפעל רגיל

טקסט מודגש

הדגש רגיל

הקראת טקסט

הקרא טקסט נבחר עצור קריאה

הדגשת קישורים

הפעל בטל
דווח
לְבַטֵל הצהרת ניגשות
תיק אישי
כספיות
פיקדונות
מחקות
עוקבות
כשרות
גידור בנאמנות
דרוג קרנות
הרכבי קרנות
אחזקות
מנהלים
גיוסים ופדיונות
מחזורי מוסדיים
חיסכון לכל ילד
גמל להשקעה
תיק אישי|כספיות|פיקדונות|מחקות|עוקבות|כשרות|גידור בנאמנות|דרוג קרנות|הרכבי קרנות|אחזקות|מנהלים|גיוסים ופדיונות|מחזורי מוסדיים|חיסכון לכל ילד|גמל להשקעה

דוח ריכוז ממצאי ביקורת רוחב בנושא היבטים טכנולוגיים בפעילות זירות הסוחר

ביקורת הרשות לניירות ערך

 

 
Image by Gerd Altmann from Pixabay good byeImage by Gerd Altmann from Pixabay good bye
 
מורן שקד
LinkedinFacebookTwitter Whatsapp
27/12/2021
רקע

זירות הסוחר (להלן: "הזירות") הן פלטפורמות מסחר ממוחשבות, המאפשרות למשקיעים לסחור מול מפעילי הזירות באמצעות מכשירים פיננסיים שונים. הפעילות העסקית של זירות הסוחר עתירת טכנולוגיה, ונשענת ברובה על שירותי מיקור חוץ הניתנים בחלקם על ידי חברות הקשורות לזירה.

סעיף 44יז(א) לחוק ני"ע, התשכ"ח-1968 קובע כי "חברה בעלת רישיון זירה תנהל את זירת הסוחר באופן תקין והוגן". בנוסף, סעיף 44יג(ב)(4) לחוק קובע כי רשות ני"ע תיתן רישיון זירה לחברה אשר לה "מיומנות טכנית ואמצעים מתאימים לצורך הפעלת זירת הסוחר באופן שיבטיח את יציבות הזירה, אמינותה, זמינותה ואבטחת המידע שבה", כאשר חובה זו חלה על הזירה גם ביחס להתנהלותה השוטפת, כמוסדר בסעיף 44יד לחוק: "חברה בעלת רישיון זירה תעמוד, בכל עת, בתנאים הקבועים בסעיף 44 יג(ב)(1), (2א), (4) ו–(5)" (ההדגשות אינן במקור).

פעילות הזירות אף הוסדרה במסגרת תקנות ניירות ערך (זירת סוחר לחשבונו העצמי), התשע"ה- 2014 (להלן: "התקנות"). תקנה 2(א)(8)(יט) לתקנות מחייבת את זירת הסוחר לצרף לבקשה לרישיון תיאור של המערכת הטכנולוגית שבאמצעותה תספק את שירותיה, ובכלל זה תיאור גורמים חיצוניים לזירה המתפעלים את המערכת הטכנולוגית או חלק ממנה ותחומי אחריותם, ממשקים של המערכת הטכנולוגית עם גורמים חיצוניים לזירה, מערך שמירת הנתונים, גיבוי, אבטחת מידע ומנגנוני בקרה, בצירוף חוות דעת מומחה המאשרת כי המערכת פועלת בהתאם לתקנים מקובלים. בנוסף, תקנה 34 לתקנות קובעת כי "חברה תסדיר בנהלים את אופן שמירת המסמכים כדי להבטיח את קיומם, הגנתם מפני נזקים, הגישה אליהם, סודיות כלפי הלקוח, אפשרות גיבוי המידע, אחזור המידע ואיתור מסמכים במידת הצורך".

בחודשים פברואר-יולי 2021 נערכה על ידי סגל מחלקת ביקורת והערכה ברשות ני"ע ביקורת רוחב אצל זירות הסוחר, בנושא 'היבטים טכנולוגיים בפעילות הזירות'. מטרת הביקורת הייתה לוודא, בין היתר, כי ניהול הסיכונים הטכנולוגיים על ידי זירות הסוחר, מבוצע באופן נאות.

חוזר זה נועד לשקף את עמדת סגל הרשות במספר סוגיות אשר התגבשו במהלך הביקורת ויפורטו להלן. מצופה כי הזירות יפעלו ליישום התובנות המוצגות במסמך זה, ככל שהן רלוונטיות לגביהן.

ממצאי הביקורת ועמדות הסגל לגביהם

קבלת שירותים במיקור חוץ

זירות הסוחר מתבססות על קבלת שירותים במיקור חוץ ביחס לפלטפורמות המסחר המשמשות את הלקוחות. לרוב, שירותים אלו מתקבלים באמצעות חברות אחרות בקבוצה אליה משתייכת הזירה, בין אם מדובר בפלטפורמת מסחר שהיא פרי פיתוחה של הקבוצה או כזו שנרכשה מספק חיצוני על ידי אחת מחברות הקבוצה. מסגרת התקשרות דומה קיימת גם ביחס לשאר מערכות המחשוב התומכות בפעילות העסקית של זירות הסוחר.

מסקירת דפוסי הפעילות בזירות הסוחר ומעיון במסמכי ההתקשרות של הזירות מול ספקי המערכות עולה, כי חלק מהזירות אינן מבצעות בחינה עצמאית של נאותות הספק, קביעת רמת שירות נדרשת (SLA) וכן בקרה על עמידתו בתנאי החוזה והערכת טיב ההתקשרות עמו. לצורך כך, מסתמכות הזירות על בדיקת נאותות של הספק המבוצעת על ידי חברות אחרות בקבוצה, כאשר בדיקות אלו נערכות לרוב מנקודת ראות החברה המתקשרת בלבד, ועל כן אינן מבטיחות בהכרח את התאמת רמת השירות המתקבלת לצרכיה הפרטניים של הזירה ולדפוסי עיסוקה. נציין כי אמירה זו רלוונטית גם בכל הקשור לרמת המומחיות והניסיון של אנשי המקצוע המספקים שירותי מיקור חוץ לחברות בקבוצה, וכן ביחס לבחינת הלימת מדיניות ההמשכיות העסקית של ספקי החוץ למדיניות הזירה ולצרכיה בעניין זה.

לעמדת סגל הרשות, על זירות הסוחר לנקוט בגישה פרואקטיבית בכל הקשור לניהול הסיכונים הגלומים בקבלת שירותי מיקור חוץ, ולכל הפחות לקבל עדכונים שוטפים ביחס לאופן הטיפול בסיכונים אלו על ידי חברות אחרות בקבוצה.

בכל הקשור לשירותי מחשוב ואבטחת מידע, מומלץ לקבוע קריטריונים לגבי מומחיות וניסיון של אנשי מקצוע המספקים שירותים אלה בפועל, ולוודא עמידתם בקריטריונים אלה. כמו כן, על זירות הסוחר לוודא כי ספקי מערכות המחשוב הקריטיות מקיימים מדיניות המשכיות עסקית ומדיניות אבטחת מידע התואמות את מדיניות הזירה וצרכיה.

שמירת מידע על אודות לקוחות הזירה

כאמור, תקנה 34 לתקנות קובעת כי "חברה תסדיר בנהלים את אופן שמירת המסמכים על מנת להבטיח את קיומם, הגנתם מפני נזקים, הגישה אליהם, סודיות כלפי הלקוח, אפשרות גיבוי המידע, אחזור המידע ואיתור מסמכים במידת הצורך". גישת הלקוחות לפלטפורמת המסחר ולכלל המידע הפיננסי האישי הנלווה לפעילותם, נערכת באופן מאובטח באמצעות אתרי האינטרנט של הזירות. עם זאת, חלק מממשקי הזירות מול לקוחותיהן מנוהלים באמצעות דואר אלקטרוני, בפרט במקרים בהם נשלחים לבקשת הלקוחות דוחות הכוללים מידע פיננסי רגיש. דוחות אלו מועברים באופן לא מאובטח וללא הצפנה באמצעות סיסמה, דבר המעלה את הסיכון לדליפת מידע וחשיפתו לגורם בלתי מורשה.

לעמדת סגל הרשות, על זירות הסוחר לוודא כי העברת קבצים המכילים מידע רגיש הנוגע ללקוחותיהן מחוץ לכותלי הארגון, לרבות ללקוח עצמו, תעשה באופן מוצפן בלבד. בנוסף, יש לעגן את אופן העברת המידע כאמור בנוהל אבטחת מידע.

עריכת סקר סיכוני סייבר

ממענה לשאלון הביקורת ומשיחות שהתקיימו עם הנהלת הזירות עולה, כי במרביתן לא נערכה הערכת סיכוני סייבר בשנתיים האחרונות. עניין זה מקבל משנה תוקף נוכח מעבר גורף של עובדי הזירות לעבודה מהבית באמצעות חיבור מרחוק למערכות הארגוניות, אשר התבצע ללא הערכה מקדימה של סיכוני סייבר הכרוכים בהליך זה. היעדר הערכה כאמור, עלול להקשות על הזירות לנהל את סיכון הסייבר באופן נאות ולמזער ככל הניתן את מידת התממשותו בפועל, ובכך עלול להפוך את הזירות לפגיעות יותר לאיומים מסוג זה.

לעמדת סגל הרשות, על זירות הסוחר לבצע בהקדם האפשרי הערכת סיכוני סייבר אשר תכלול, בין היתר, התייחסות לסיכונים הגלומים במעבר עובדים לעבודה מרחוק. כמו כן, ולאור הדינאמיות המאפיינת את עולם סיכוני הסייבר ואבטחת המידע ותכיפות השינויים בו, מומלץ לבחון ולקבוע מהי התדירות הסבירה לביצוע הערכת סיכוני סייבר.

מודעות עובדים לסיכוני אבטחת מידע

הגורם האנושי מהווה אחד מסיכוני אבטחת המידע הגדולים ביותר. משיחות עם נציגי זירות הסוחר ומעיון במסמכים הרלוונטיים שהועברו במסגרת הביקורת עלה, כי כל זירות הסוחר משקיעות משאבים בהעלאת מודעות עובדיהן לסיכוני סייבר, בין היתר באמצעות עריכת הדרכות מתאימות ושליחת עדכוני אבטחת מידע בדואר אלקטרוני. יחד עם זאת, שני אירועי סייבר שהתרחשו בשנה האחרונה בשתי זירות סוחר (בכל זירה אירוע אחד), וגרמו לשיבוש בתהליכים עסקיים באותן זירות, מעלים שאלות בדבר אפקטיביות תכניות העלאת מודעות העובדים הקיימות בזירות, כמפורט לעיל.

מומלץ לזירות הסוחר לפעול לבנייתה של תכנית מקיפה המשלבת הדרכות, עדכוני מידע ותרגולים להעלאת מודעות עובדיהן לסיכוני אבטחת מידע. בנוסף, מומלץ כי יעילות התכנית תיבחן בתדירות תקופתית על בסיס קריטריונים שייקבעו מראש.

המשכיות עסקית, גיבויים ושחזורים

בשיחות שהתקיימו עם הנהלת הזירות התברר, כי תחזוקת תכנית ההמשכיות העסקית ותפעול מערך הגיבויים והשחזורים, לרבות ביצוע תרגולים של התכנית ובדיקות תקינות הגיבויים, נערכות על ידי חברות אחרות בקבוצה, כאשר עובדי הזירות כמעט ולא נוטלים בהם חלק ולעיתים אף אינם מיודעים על קיומם (וכך גם הנהלות הזירות). יודגש, כי מעורבות עובדים בתרגילי היערכות לחירום מהווה נדבך מהותי בתחזוקת תכנית ההמשכיות העסקית והצלחתה, ומאפשרת רכישה ותרגול של המיומנות הנדרשת לצורך תפקודם בעת חירום. כמו כן, קיום מערך גיבויים תקין המותאם לצרכיה העסקיים של הזירה, מהווה תנאי מתלה לרציפות פעילות הזירות הן בקרות אירוע חירום והן כחלק מתפקודן השוטף.

לעמדת סגל הרשות, על זירות הסוחר ליטול חלק פעיל בתרגולי המשכיות עסקית המבוצעים ברמת הקבוצה ולוודא כי בדיקות תקינות הגיבויים כוללות גם גיבויים של כלל מאגרי הנתונים הרלוונטיים לפעילותן.

x