נוכח ריבוי אירועי מתקפות הסייבר והחדירה למאגרי מידע של חברות ישראליות, פרסמה הרשות לניירות ערך (להלן "הרשות") ביום 25 בינואר 2023, עדכון ל"עמדת הסגל: גילוי בנושא סייבר" אשר פורסם בשנת 2018 (להלן "העדכון").
שכיחותם והיקפם של אירועי סייבר, כהגדרתם בעדכון "תקיפה במרחב הסייבר או פעילות אחרת אשר נועדה לסכן נכסי סייבר או מערכות ותשתיות הנתמכות על ידם", עלתה באופן נרחב בשנים האחרונות. באקלים הנוכחי של התקפות ענק על חברות במגוון ענפי משק ומעגל התאגידים בישראל, הנובע משילובם של גורמים שונים לרבות המצב הפוליטי-מדיני (בין בישראל ובין מחוצה לה), תלות גוברת וכמעט בלעדית בכלים טכנולוגיים לשמירה ואבטחת המידע בתאגיד, אופן שמירת המידע וזרימת מידע גלובאלית וכיוצא בזה, לצד עליה בינלאומית בחשיבות ההגנה על זכות הפרט לשמירה על פרטיותו ומידע אישי אודותיו, הצורך בקיומם של תהליכים פנימיים להערכת סיכוני סייבר וגילוי בנוגע לאירועי סייבר כמו גם הטיפול בהם, הפך משמעותי מבעבר בעיקר עבור משקיעים לצורך בחינת והערכת כדאיות ההשקעות בניירות ערך של החברות והבנת רמת הסיכון והחשיפה שלהן למתקפות סייבר.
בהתבסס על ביקורת שערכה הרשות במהלך שנת 2022, בנושא סיכוני סייבר בתאגידים מדווחים (לדו"ח הביקורת המלא אשר פורסם בחודש ינואר 2023, ראו כאן), מעדכנת הרשות ומוסיפה את ההמלצות והדרישות (בהתאם לסעיף הרלוונטי מטה) הבאות במסגרת העדכון:
- לצורך מקסום תהליכי הערכת סיכון הסייבר בארגון וניהולו, נדרש תיאום ושיתוף פעולה הדוק בין הצד העסקי בארגון לצד הטכנולוגי, קרי קיימת חשיבות גדולה במעורבות הדירקטוריון בפיקוח על בנייה ותפעול מערך ניהול סיכוני סייבר יעיל. אשר על כן, מציינת הרשות כי על הדירקטוריון לבחון את מידת הנחיצות והיקפה של המומחיות הנדרשת בהקשר זה, לרבות קבלת סיוע מקצועי בנושא הסייבר ובכלל זה, היוועצות עם מומחים חיצוניים. עוד הובהר בעדכון, כי במסגרת הדיווח הנדרשת בתקנות ניירות ערך (דוחות תקופתיים ומיידיים), תש"ל-1970, יציין ויפרט התאגיד את מומחיות נושא המשרה ו/או את הסיוע האמור בדו"חות החברה.
- הערכת סיכונים וביצוע סקר סיכונים אשר על בסיסה תיקבע מדיניות ניהול סיכונים כמפורט מטה.
- קביעת מדיניות ניהול סיכוני סייבר ואבטחת מידע (להלן "מדיניות ניהול סיכונים"), הינו בגדר חובה עבור כל ארגון, שכן יישום אפקטיבי של מדיניות ניהול סיכונים עשויה להקל על התנהלות התאגיד בעת משבר ולהפחית את הסיכון מפני פגיעה בזכויות הפרט (לדוגמה זכויות לשמירה על הפרטיות). במסגרת מדיניות זו, ככל וקיים בארגון סיכון סייבר מהותי, על התאגיד:
- לפרט את אסטרטגיית ניהול הסיכונים בנושא, לרבות מדיניות ניהול הסיכון, נהלים, פעולות ובקרות, וכן הערכות הארגון בדבר אפקטיביות מדיניות ניהול הסיכונים בהתמודדות והפחתת סיכון הסייבר.
- לציין אילו משאבים הוקצו להתמודדות וניהול עם סיכוני הסייבר לרבות זהות הגורמים האחראים לאישור וליישום מדיניות ניהול הסיכונים.
- במסגרת חובת הגילוי הקיימת על תאגידים מדווחים במקרה של אירוע או עניין החורגים מעסקי התאגיד הרגילים, מבהירה הרשות, כי על מנת לבחון האם אירוע סייבר מחייב דיווח מיידי כאמור, על התאגיד לשקלל את מכלול הנזק ופוטנציאל הנזק שנגרם/עלול להיגרם מהתקיפה, הן במישרין והן בעקיפין. על כן, מבהירה הרשות כי, יתכן שאירוע סייבר ייחשב כמהותי ובהתאם מחייב דיווח מיידי גם במקרים בהם מחד לא צפוי נזק כספי ממשי לתוצאות התפעוליות של התאגיד, אך מאידך קיימת השפעה מהותית על התאגיד במישור האיכותי.
- במקרה של פרסום דו"ח מיידי על אירוע סייבר, כאמור לעיל, על התאגיד לפרט האם התגלה מידע נוסף מהותי אשר יכול שיכלול השפעות על המצב הפיננסי של התאגיד, או שינוי במדיניות החברה בעקבות האירוע וכיוצא בזה, לרבות, בהתאם לנסיבות האירוע, זהות התוקפים, כמות התקיפות, נסיבות התקיפה, היקף וסוג הנזק, התמודדות התאגיד עם התקיפה, הפקת לקחים ועוד.
תכליתו של עדכון זה להציג חידושים בהנחיות הרשות לניירות ערך בנושא אבטחת מידע ואירועי סייבר, ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.
צוות APM – פרטיות ואבטחת מידע.