ניהול סיכוני סייבר בנותני שירותים פיננסיים

בתוקף סמכותי לפי סעיפים 4(א) ו-39(א) לחוק הפיקוח על שירותים פיננסיים (שירותים פיננסיים מוסדרים), תשע"ו-2016 (להלן – "חוק הפיקוח על שירותים פיננסיים"), ובתוקף סמכותי לפי סעיפים 29(ג)(3), 35(ב), ו-62(ב) לחוק שירות מידע פיננסי, התשפ"ב-2021 (להלן – "חוק שירות מידע פיננסי"), ולאחר התייעצות עם הוועדה המייעצת, להלן הוראותיי:

כללי

הפעילות העסקית של חלק מנותני השירותים הפיננסיים היא עתירת טכנולוגיה ומתבצעת, במלואה או בחלקה, באופן מקוון. הדבר בא לידי ביטוי, בין היתר, בשמירת מידע אודות לקוחות, וכן בפעולות ניהול ושמירת נכסים פיננסיים המתבצעות באופן מקוון. בנוסף, חלק מנותני השירותים הפיננסיים מבקשים לקבל או נדרשים להעביר מידע באופן ממוכן בהתאם לחוק נתוני אשראי, התשע"ו-2016 ובהתאם לחוק שירות מידע פיננסי. 

פעילות מקוונת חושפת את נותני השירותים הפיננסיים לאיומים קיברנטיים ולמתקפות סייבר אשר עלולים לשבש את פעילותם התקינה, ולגרום בין היתר לדליפת מידע ולשיבושו ואף לפגיעה בנכסי הלקוחות. בנוסף, קיומם של ערוצי קשר המאפשרים העברת מידע בין גופים שונים במערכת הפיננסית מגביר את סיכוני ההדבקה ואת הסיכונים המערכתיים לכלל השוק. לפיכך, עולה הצורך לקבוע הוראות הנוגעות לניהול סיכוני סייבר של נותני שירותים פיננסיים. לאור הסיכון הגבוה בתחום הגנת הסייבר הכרוך בפעילותם של נותני שירותים פיננסיים המבצעים פעילות מהותית באמצעות מערכות דיגיטליות ומקוונות, ולאור קשרי הגומלין המתקיימים בין גופים שונים במערכת הפיננסית, נותני שירותים פיננסיים נדרשים לאמץ סטנדרטים גבוהים בתחום זה.

מטרת חוזר זה היא לקבוע עקרונות להגנה מפני סיכוני סייבר בנותני שירותים פיננסיים כדי להבטיח את קיום התהליכים העסקיים והפעילות התקינה של נותן השירותים הפיננסיים וכן להבטיח שמירה על סודיות, שלמות וזמינות של מערכות המידע ונכסי המידע של נותן השירותים הפיננסיים ושל לקוחותיו. בהתאם לחוזר זה, מסגרת ניהול סיכוני סייבר בנותן שירותים פיננסיים תכלול פעולות של מניעה, נטרול, חקירה והתמודדות עם איומי ואירועי סייבר, במטרה לצמצם את השפעתם והנזק הנגרם מהם ללקוחות ולמערכת הפיננסית, בטרם התרחשותם, במהלכם ולאחריהם.

החוזר מגדיר עקרונות המחייבים כי ניהול סיכוני סייבר יתבצע באופן אפקטיבי, עדכני ושוטף, על בסיס עקרונות ממשל תאגידי נאותים הכוללים, בין השאר, התייחסות לשיטות, לתהליכים ולבקרות, ובאופן המאפשר להתמודד עם איומי סייבר וניהול אירועי סייבר. 

חוק הפיקוח על שירותים פיננסיים מסדיר את פעילותם של גופים רבים ומגוונים אשר נבדלים זה מזה בסוג השירות שהם מספקים וכפועל יוצא מכך, גם ברמת סיכוני הסייבר שמעלה פעילותם העסקית. כאמור לעיל, רמת החשיפה של נותני שירותים פיננסיים לסיכוני סייבר עולה ככל שנתח משמעותי יותר מפעילותם מתבצע באופן מקוון, בין אם מדובר בשירות הניתן על ידם ללקוח ובין אם בממשקים שהם מקיימים עם גופים פיננסיים אחרים לצורך מתן השירות. כמו כן, סיכון סייבר משמעותי גלום בפעילות המתאפיינת בניהול ובשמירה של מידע שמתייחס הן ללקוחות והן לנכסי הלקוחות באופן ממוכן, והכל כמפורט בהוראות החוזר. על מנת לתת מענה הולם, מותאם ומדורג לניהול הסיכון בהתאם לפעילות העסקית של בעל הרישיון, הוחלט בשלב זה להחיל הוראות בעניין ניהול סיכוני סייבר על בעלי רישיון שרמת החשיפה של פעילותם לסיכוני סייבר היא הגבוהה והמשמעותית ביותר.

תיקון החוזר המאוחד

בחוזר המאוחד לעניין שירותים פיננסיים מוסדרים, בחלק 5 ('ניהול סיכונים והלבנת הון'), בפרק 3 ('ניהול סיכוני סייבר') יבוא סימן א' ('ניהול סיכוני סייבר בנותני שירותים פיננסיים') וסעיפים 1-6, המצורפים כנספח לחוזר זה.

תחולה

הוראות חוזר זה יחולו על נותן שירותים פיננסיים שהוא אחד מאלה:

בעל רישיון למתן שירות פיקדון ואשראי;

בעל רישיון להפעלת מערכת לתיווך באשראי;

בעל רישיון למתן שירות בנכס פיננסי אשר נותן שירות שבו נשמר ומנוהל נכס פיננסי בחשבון ייעודי המנוהל עבור לקוח מסוים, ואשר מאפשר העברת נכס פיננסי לחשבון אחר. לעניין זה אין נפקא מינה אם מקבל הנכס ומעביר הנכס הם אותו אדם.   

הוא פועל או מבקש לקבל אישור מהמפקח לפעול כנותן שירות מידע פיננסי כהגדרתו בחוק שירותי מידע פיננסי.  

כל בעל רישיון למתן שירותים פיננסיים שאינו מנוי לעיל, ואשר מתקיים בו אחד מאלה:

הוא שומר באופן מקוון הן את המידע על לקוחותיו וכן את הנכסים הפיננסיים של לקוחותיו ;

הוא משמש מקור מידע או משתמש בנתוני אשראי כהגדרתם בחוק נתוני אשראי, התשע"ו-2016.

תחילתו של חוזר זה שנה לאחר פרסומו.

על אף האמור בסעיף א':

תחילתו של חוזר זה לעניין גופים המנויים בסעיף ד לתחולה תהיה מיום פרסומו.

תחילתו של סעיף 4(ה)(1), לגבי הסכמי התקשרות קיימים, תהיה במועד חידושם.