רשות ניירות ערך פרסמה דרישות גילוי עדכניות הנוגעות לסיכוני סייבר
מאת:
מערכת Telecom News, 25.1.23, 16:54
למעורבות הדירקטוריון משקל וחשיבות רבה בפיקוח על סיכוני סייבר ואבטחת מידע. תאגיד מדווח נדרש לדווח ולפרט על מדיניות ואסטרטגית ניהול סיכוני סייבר והמשאבים המוקצים לטובת ניהול הסיכון.
מחלקת תאגידים פרסמה עדכון לעמדת סגל 105-33 בנושא גילוי בתחום הסייבר הנדרש מתאגידים מדווחים. עמדה זו התפרסמה, בין היתר, בעקבות ממצאים, שעלו במסגרת ביקורת רוחב, שביצעה מחלקת ביקורת והערכה, שנועדה לבחון את תהליך הגילוי והדיווח של תאגידים מדווחים בכל הקשור לסיכוני סייבר ותקיפות סייבר.
עדכון עמדת הסגל והביקורת בוצעו נוכח הגידול במספר החברות, שחוו תקיפות סייבר ולאור השינוי שחל במאפייני הסיכון של איומי הסייבר, שהפכו בשנים האחרונות לסיכון משמעותי עבור חברות ציבוריות רבות. בנוסף, העמדה העדכנית עולה בקנה אחד עם המגמה בשוקי הון בעולם וביניהם ארה"ב הרואה חשיבות בהסדרת הגילוי והדיווח על סיכוני סייבר.
הביקורת בוצעה על מדגם של כ-70 תאגידים מדווחים המשתייכים לענפים שונים, להם עלולה להיות חשיפה מוגברת לסיכון סייבר.
להלן ממצאים ותובנות מרכזיים, שעלו במסגרת הביקורת:
מעורבות הדירקטוריון בפיקוח על ניהול סיכוני סייבר - קיימת מעורבות מעטה יחסית של דירקטוריונים בכל הקשור לפיקוח על ניהול סיכוני אבטחת מידע. הדבר בא לידי ביטוי בחוסר מודעות לנוהל אבטחת המידע של הארגון, היעדר קבלת דיווחים עיתיים הנוגעים לסטטוס הגנת הסייבר ואבטחת המידע בחברה, ואי קיום דיונים בנושאים אלה.
יצוין, שאחת הסיבות האפשריות לחוסר מעורבות זה עלולה להיות קשורה בהיעדרם של בעלי ידע או מומחיות בתחום אבטחת מידע או סייבר בקרב חברי הדירקטוריון, כפי שעלה ממרבית החברות, שנדגמו בביקורת.
קיימת חשיבות גדולה בקבלת עדכונים שוטפים מבעלי התפקידים הרלוונטיים בתאגיד כחלק מהצורך במעורבות של הדירקטוריון ונושאי המשרה בתאגיד באיתור, ניהול ופיקוח של סיכוני סייבר ואבטחת מידע. מעורבות זו, תסייע בבניית מערך יעיל לניהול סיכונים ולתיאום בין היעדים העסקיים לבין המערך הטכנולוגי.
הערכת סיכוני סייבר וניהולם - במקרים רבים, מערכי אבטחת המידע בחברות אינם פועלים על בסיס תכנית עבודה שנתית, ואילו אצל חלק ניכר מאלו שכן פועלים על בסיס תכנית כזו, לא מבוצעת בקרה אחר ביצועה הלכה למעשה.
כ"כ, חברות רבות לא ביצעו הערכת סיכוני סייבר בשנים האחרונות, וכמחצית מהחברות שביצעו לא הציגו את תוצאות הערכת הסיכונים לדירקטוריון. בנוסף, במספר רב של חברות לא בוצעה בחינה של היבטי אבטחת מידע וסיכוני סייבר במסגרת ביקורות הפנים בארגון בשנים האחרונות.
ראוי, שמרכיבי ניהול סיכוני הסייבר יתבססו על כלים מקובלים, כגון: הערכת סיכונים באמצעות מתודולוגיה מקובלת דוגמת סקר סיכונים, הפעלת מערך אבטחת מידע תוך הסתייעות, במידת הצורך, בשירותי מיקור חוץ ומומחים בתחום אבטחת מידע, קביעת תכנית עבודה שנתית/ רב שנתית בתחום הסייבר וביצוע בקרות על ביצועה בפועל, ביצוע בקרה על בחינת אופן ניהול סיכוני הסייבר באמצעות ביקורת פנים ועוד.
גילוי בנוגע לסיכוני סייבר ומתקפות סייבר - בבוא חברות לשקול דיווח על סיכון סייבר כגורם סיכון בחברה, מעטות מהן מתבססות על מתודולוגיה סדורה להערכת סיכונים, כאשר לרוב החברות אין מתודולוגיה סדורה ולכל היותר הערכת הסיכונים שלהן מתבססת על ידע וניסיון של ההנהלה.
יישום תהליך הערכת סיכונים סדור, שמבוסס על מתודולוגיה מקובלת, דוגמת סקר סיכונים, יסייע לתאגיד להבטיח מתן גילוי נאות על סיכוני סייבר ואבטחת מידע כמו גם על גורמי סיכון אחרים הרלוונטיים לתאגיד ודירוגם בצורה נכונה (לפי הסיכון השיורי ולא הסיכון השורשי/גולמי). התהליך, כאמור, יאפשר בסיס לדיון בדירקטוריון בנוגע לגורמי הסיכון של התאגיד, דירוגם וגילוים בדוחות התקופתיים.
היערכות מוקדמת וגילוי על מתקפות סייבר בעת התרחשותן - ברוב החברות לא קיימת התייחסות כלל לתקיפות סייבר במסגרת נוהל רלוונטי, כאשר חלק ניכר מהן לא הסדירו את תהליך הגילוי הנוגע לאירוע מהותי כלשהו במסגרת נהלי עבודה. כ"כ, חלק מהחברות, שחוו מתקפת סייבר בשנים האחרונות, לא קיימו דיון בדירקטוריון או בהנהלה ביחס למהותיותו ולצורך במתן גילוי פומבי בעניינו.
היערכות מוקדמת של התאגיד להתמודדות עם תקיפת סייבר, שכוללת הסדרה מראש של נהלים ותהליכי עבודה שיטתיים לטיפול ותגובה בנוגע לאירוע סייבר, וכן עיגון התהליכים הנדרשים לעניין גילוי ודיווח לציבור המשקיעים על התרחשות אירוע סייבר מהותי, יאפשרו לתאגידים לנהל ולהתמודד בצורה אפקטיבית יותר עם תקיפת סייבר בפועל ומתן הגילוי הנאות לציבור המשקיעים.
יצוין, שבמסגרת עמדת הסגל מוטמעות, בין היתר, תובנות הביקורת הנוגעות לדרישות הגילוי והדיווח ביחס לסיכוני סייבר. אם תאגיד זיהה סיכון סייבר מהותי הרלוונטי לפעילותו, עליו לתאר את מדיניות ואסטרטגיית ניהול הסיכון, פעולות ובקרות שמופעלות לשם התמודדות עם סיכון זה וכן אפקטיביות מדיניות ניהול הסיכונים. בנוסף, התאגידים ידרשו לפרט אם קיימת מומחיות של נושאי משרה וחברי דירקטוריון בתחום הסייבר או אם עשו שימוש בשירותי מיקור חוץ ובמומחים חיצוניים לשם התמודדות עם ניהול הסיכון.
במישור הדיווח על תקיפות סייבר, שהתרחשו בפועל, בעמדת הסגל התווספה התייחסות לאופן שבו התאגידים נדרשים לבחון אם אירוע סייבר מחייב פרסום דוח מיידי ובפרט ביחס לצורך לקחת בחשבון פרמטרים כמותיים ואיכותיים בעת בחינת מהותיות האירוע ושקלול מכלול הנזק ופוטנציאל הנזק מהתקיפה.
המסמך המלא בנושא ממצאי הביקורת -
כאן.
עמדת הסגל העדכנית בנושא גילוי בתחום הסייבר הנדרש מתאגידים מדווחים-
כאן.