רשות שוק ההון בעקבות תרגיל הסייבר: מרבית המוסדיים לא נערכו לאירועי סייבר הכוללים סחיטה ודרישות כופר

רשות שוק ההון בעקבות תרגיל הסייבר: מרבית המוסדיים לא נערכו לאירועי סייבר הכוללים סחיטה ודרישות כופר

על פי חוזר שפרסמה הרשות, על גוף מוסדי להגדיר תכנית התאוששות ויעדי התאוששות מאירוע סייבר ולנהל את סיכוני הסייבר. בהתאם לכך הרשות ערכה תרגיל מתקפה בתחילת השנה ולהלן מסקנותיו

רשות שוק ההון פרסמה אתמול (ב') מסמך מסקנות סופיות על יכולות ההגנה והתפעול תחת מתקפה של המוסדיים בישראל, שמסתמך על תרגיל מתקפת הסייבר שקיימה בתחילת השנה.

במסגרת התרגיל של הרשות, התרגיל דימה מתקפת סייבר כנגד גופים מפוקחים אשר מומשה הן דרך הגופים עצמם והן דרך שרשרת האספקה של הגופים.

על פי חוזר שפרסמה הרשות בספטמבר 2016 ("חוזר ניהול סיכוני סייבר") על גוף מוסדי להגדיר תכנית התאוששות ויעדי התאוששות מאירוע סייבר ולנהל את סיכוני הסייבר באופן אפקטיבי ועל בסיס עקרונות ממשל תאגידי נאותים. בהתאם, הגופים הונחו בתרגיל להתייחס לכלל תחומי הפעילות (ביטוח לסוגיו, גמל ופנסיה) ויעדי השירות שהוגדרו על ידי החברות בחירום ולכל הפחות, לתהליכי הפדיונות, תשלום קצבאות, תביעות, ניהול השקעות וניהול קשרי לקוחות.

בנוסף, במסגרת התרגיל נדרשו המוסדיים לתרגל באופן מתודי פנייה או דיווח לגורמים חיצוניים.

בנושא תכנית ההיערכות להמשכיות עסקית ונהלי חירום בסייבר, נמצא כי במספר גופים תכנית ההמשכיות עסקית אינה עוסקת באירועי סייבר באופן ישיר. כמו כן, במרבית הגופים התכניות להמשכיות לא כללו התייחסות להתמודדות עם סוגיות כמו התמודדות עם סחיטה ודרישות כופר. במספר גופים לא נצפו נהלי עבודה רלוונטיים להתמודדות עם אירוע סייבר. בנוסף, בחלק מהגופים נצפו נהלי עבודה לא עדכניים ולא מקיפים להתמודדות עם אירוע סייבר, כאשר בין היתר לא התייחסו לזיהוי עמוק של לקוחות באירוע סייבר ולכן נוצר חשש לדליפת מידע המאפשר התחזות, ובעיקר בבקשות לביצוע פעולות רגישות כגון פדיון, ניוד ועוד.

גם הבקרות לאמינות נתונים במערכות תפעוליות בעת אירוע סייבר ושחזור נתונים לא היו טובות מספיק. מבחינת כוח אדם, חלק מהמוסדיים לא הגדילו את האיוש למענה ללקוחות מודאגים בעת האירוע.

הרשות מציינת לחיוב, כי בחלק מהמוסדיים קיימת תכנית היערכות להמשכיות עסקית משביעה רצון וגופים רבים מציגים נהלי חירום אופרטיביים ייחודיים להתמודדות עם אירוע סייבר.

על הדירקטוריון מוטלת החובה לדווח על כל אירוע סייבר משמעותי שכתוצאה ממנו, באופן ישיר או עקיף, נפגעו או הושבתו מערכות ייצור המכילות מידע רגיש למשך יותר משלוש שעות.

נמצאו מקרים בהם לא תורגל הדירקטוריון או שתורגל בדיווח באופן מינורי בלבד, ללא מעורבות מספקת בכלל תהליכי והתפתחויות התרחיש, וללא מעורבות בנקודות מהותיות להמשכיות עסקית.

בנוסף, בחלק מהמוסדיים, לא הוגדרו בעלי תפקידים ותחומי אחריותם בעת אירוע. לא בכל החברות מונו צוותי חירום ייעודיים, הכוללים צוותים טכניים וצוותים פורנזיים, בעלי

הכשרה מתאימה למצבי חירום. בגופים רבים נמצא כי לא קיימת הגדרת הסמכות הניהולית האמונה על הכרזת מצב חירום בסייבר.

הבדיקה הראתה כי במספר גופים קיים ספק מהותי, שמהווה ספק יחיד, אבל לא נערכו סקרי אבטחת מידע ממוקדי המשכיות עסקית אשר בוחנים את יכולת ההתאוששות של אותו ספק ויכולתו לחזור ולספק לחברה שירותים. מבחינת דיווח לרשות, בחלק מהגופים לא קיימים נהלי דיווח נאותים.

מסקנות הרשות אולי מעלות חששות, אך כאן המקום לציין כי בסיכום התרגיל הרשות הייתה שבעת רצון מרמת המוכנות הכללית של המוסדיים, למרות הפגמים שמצאה.