לוגו רשות ניירות ערך
רשות ניירות ערך
20/06/2023
במהלך החודשים נובמבר 2022 – מרץ 2023, ביצעה מחלקת ביקורת והערכה ברשות בדיקה מדגמית של אופן יישום המלצות שפורטו במסגרת חוזר התובנות שלהלן, בקרב חברות ניהול תיקים. בעקבות הבדיקה הוחלט לעדכן את חוזר התובנות. העדכונים בוצעו ביחס לתובנות מס' 2, 14, 15 ו-17 להלן, והם משקפים ליקויים רוחביים אשר עלו בבדיקת יישום התובנות ועמדות הסגל לגביהם. העדכון נכון ליוני 2023.
1. סיכוני אבטחת מידע וסייבר הם סיכונים אסטרטגיים וסיסטמיים ברמה המשקית. תחכום האיום הקיברנטי, עוצמת הסיכון והשלכות התממשותו מחייבים התייחסות מיוחדת אליו, הן ברמה אסטרטגית והן ברמה יישומית. יודגש שהסיכון הקיברנטי אינו מהווה סוגיה טכנולוגית גרידא אלא גם סוגיה עסקית- אסטרטגית חוצה ארגון, וככזה מחייב, לשם ביסוס מערך בקרות אפקטיבי, שילוב חוצה ארגון של אנשים, טכנולוגיה, תהליכים ונהלים.
2. בחודש מאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "תקנות אבטחת מידע" או "התקנות"), אשר חלות על כל הגופים בישראל המנהלים או מחזיקים מאגר מידע, כהגדרתו בחוק הגנת הפרטיות, התשמ"א-1981. התקנות קובעות עקרונות לאבטחת מידע, לשם הגנה על מידע אישי מפני שימוש לרעה על ידי גורמים בתוך הארגון ומחוצה לו. אי-יישום הדרישות העולות מתקנות אבטחת מידע עלול להוות הפרה לא רק של התקנות האמורות, אלא גם של הוראות הדין הייחודיות החלות על בעל רישיון מכוח חוק הסדרת העיסוק בייעוץ השקעות, בשיווק השקעות ובניהול תיקי השקעות, התשנ"ה-1995 (להלן: "חוק הייעוץ"). לפיכך, על חברות ניהול תיקים לנקוט במכלול הפעולות הנדרשות על מנת להגן, בין היתר, על המידע הנוגע ללקוחותיהן (ובפרט, מאגר נתוני לקוחות). עמדת סגל הרשות היא כי על חברות ניהול תיקים לתת ביטוי לפעולות האמורות, לרבות אלו שנעשות במסגרת יישום הדרישות העולות מתקנות אבטחת מידע, במסגרת נוהל אבטחת מידע (הנדרש על פי ההוראה לתאגידים המורשים בדבר חובת קביעת נהלי עבודה בנוגע לדרכי פעולתם והתנהלותם (נוסח חדש – 2015)).
3. על רקע האמור, התבקשו חברות ניהול תיקים להשיב לשאלון שמטרותיו העיקריות היו: (א) לעורר מודעות של בעלי הרישיון לנושא של סיכוני אבטחת מידע ואיומי סייבר בכלל, ולדרישת תקנות אבטחת מידע בפרט; (ב) למפות את המצב הקיים בנוגע להתמודדות עם הסיכונים והאיומים האמורים; (ג) להפיק, באמצעות ניתוח המענה לשאלון, תובנות אשר פרסומן עשוי לסייע להתמודדות טובה יותר של חברות ניהול תיקים עם סיכוני אבטחת מידע ואיומי סייבר.
4. מסמך זה בא לרכז את תובנות סגל הרשות מניתוח המענה לשאלון, ולזרקר מספר סיכונים שמודעות בעלי הרישיון אליהם ואופן ההתמודדות עמם טעונים שיפור (להלן: "ריכוז התובנות").
5. לנוחיותכם, מצורף בנספח מילון מושגים הכולל פירוט של מונחים מקצועיים הנזכרים בריכוז התובנות.
6. בכוונת סגל הרשות להמשיך לפעול להגברת מודעות מנהלי התיקים לסיכוני אבטחת מידע ואיומי סייבר ולשיפור אופן ההתמודדות עמם, בין היתר, באמצעים הבאים:
א. בדיקת נוהל אבטחת מידע של חברות ניהול תיקים בכלל, ושל חברות שהעריכו שהנוהל שלהן אינו מקיף מספיק בפרט.
ב. קיום דו-שיח בנושא סיכוני אבטחת מידע ואיומי סייבר עם חברות ניהול תיקים בכלל, ועם חברות שתשובותיהן לשאלון מיקמו אותן בקצה ההתפלגות בפרט.
ג. הכללת הנושא של התמודדות חברות ניהול תיקים עם סיכוני אבטחת מידע ואיומי סייבר במפרטי ביקורות שעורך סגל הרשות.
