הממונה על שוק ההון פרסמה את ‘החזון הדיגיטלי לגופים המוסדיים’; גופים מוסדיים שיישמו תכניות מקיפות להשקעה בשיפור טכנולוגי יקבלו הקלות בהון

הממונה על שוק ההון, ביטוח וחסכון במשרד האוצר דורית סלינגר הציגה לגופים המוסדיים את החזון הדיגיטלי של האגף לשנים הקרובות. לדבריה, הדיגיטציה תסייע לקידום התחרות בשוק, לפישוט תהליכים והנגשתם, להגברת השקיפות, המצאת כלי השוואה לציבור החוסכים והמבוטחים ולהוזלת עלויות הניהול.

“עם ההתפתחות הטכנולוגית ותלותן של פעילויות עסקיות ברשת האינטרנט גדלו היקפם ועוצמתם של איומים קיברנטיים העלולים לשבש את פעילותם התקינה של גופים מוסדיים. על כן, עלה הצורך לעדכן את תפיסת ההגנה של גופים מוסדיים כך שתינתן התייחסות גם לאיומים אלו”, אומרת דורית סלינגר.

“אם בעבר תפיסת ההגנה התייחסה לאבטחת מידע, דהיינו הגנה על המידע בהיבט של סודיות, שלמות וזמינות המידע, הרי שכיום אבטחת מידע יהנה רק רובד אחד בתוך תחום ניהול סיכוני הסייבר עליו יש להגן. לצד הגנה על המידע, עולה הצורך להגן גם מפני שיבוש פעילותו התקינה של הרכיב הממוחשב עליו מתבסס הגוף המוסדי.

“מטרת חוזר זה הינה לקבוע עקרונות להגנה על נכסי הגוף המוסדי במטרה להבטיח את שמירת זכויות העמיתים והמבוטחים על ידי שמירה על סודיות, שלמות וזמינות נכסי המידע, מערכות המידע, התהליכים העסקיים ופעילותו התקינה של הגוף המוסדי. ניהול סיכוני הסייבר יכלול פעולות של מניעה, נטרול, חקירה והתמודדות עם איומי ואירועי סייבר במטרה לצמצם את השפעתם והנזק הנגרם מהם, בטרם התרחשותם, במהלכם ולאחריהם.

“החוזר מגדיר עקרונות לניהול סיכוני סייבר בגוף מוסדי ומחייב לנהל סיכונים אלו. על הגופים המוסדיים לנהל את סיכוני הסייבר באופן אפקטיבי, עדכני ושוטף, ועל בסיס עקרונות ממשל תאגידי נאותים הכוללים התייחסות לשיטות, לתהליכים ולבקרות ובאופן אשר יאפשר להם להתמודד עם איומי סייבר ולנהל אירועי סייבר.

“לאור מרכזיות גופים מוסדיים בשוק ההון הישראלי, ולאור הסיכון הגבוה בתחום הגנת הסייבר, מצופה מגוף מוסדי לאמץ סטנדרטים גבוהים בתחום זה”.

במטרה לעודד גופים לקדם את הדיגיטציה, אגף שוק ההון מפרסם הוראת שעה המעניקה הקלות בהון לגופים שיישמו תכניות מקיפות להשקעה בשיפור טכנולוגי. הפעולות הדיגיטליות מתייחסות לצירוף לביטוח, שיווק דיגיטלי, אימות זהות ללא צורך בתיעוד פיזי, נגישות למידע אישי, מסלולי שירות ממוחשבים ושימוש בשירותי מחשוב ענן לשיפור פעילותו העסקית של גוף מוסדי.

הקלות במתן היתרים לגופים דיגיטליים: “כדי לעודד כניסת שחקנים חדשים לשוק הביטוח והחיסכון, ישקול האגף מתן הקלות בדרישות רגולטוריות לגוף, שיתעתד לפעול במתכונת דיגיטלית לחלוטין. צעד זה נועד כדי להשיג מטרה כפולה, עידוד תחרות בשוקי הביטוח והחיסכון הפנסיוני בדמות הגדלת מספר השחקנים, לצד שיפור השירות, הוזלה במחיר והגברת שקיפות אשר יקבלו הצרכנים”.

בנוסף, פירסמה הממונה על שוק ההון, ביטוח וחסכון במשרד האוצר הוראות שמטרתן לקבוע עקרונות הגנה על נכסי הגופים בתחום סיכוני הסייבר. עקרונות אלו כוללים את כלל האיומים הטכנולוגיים העומדים בפני גוף מוסדי. הסוגיה מתייחסת להגנה מפני פגיעה בפעילותו התקינה של גוף מוסדי (כלומר, מניעת פגיעה במידע או במערכות הגוף).

הוראות הממונה דורשות מגופים מוסדיים לזהות ולאפיין את התפתחות האיומים וההתקפות בפניהם הם עלולים לעמוד, ולבצע פעולות פרואקטיביות לפיתוח יכולותיהם להתגונן בפני סיכונים אלו. גוף מוסדי נדרש להגדיר תוכנית לניהול סיכוני סייבר, החל בגילוי וזיהוי, הערכת מצב, הכלה, בלימה, ועד התאוששות וחזרה לשגרה. גוף מוסדי יבצע הערכה שנתית של התאמת אמצעי ההגנה למכלול סיכוני הגנת הסייבר שלו. הערכה זו תתחשב בהתפתחויות מתאר האיומים, באופי ההתקפות הנוכחי ובטכנולוגיות הקיימות במטרה להתמודד עם איומים אלה. גוף מוסדי גם יקיים מערך ניטור ובקרה לקבלת דיווחים בזמן אמת ממערכותיו השונות אודות חשש לאירוע סייבר.

כמו כן, גוף מוסדי חייב לבצע סקרים ומבחני חדירה על ידי גורמים מקצועיים, חיצוניים ובלתי תלויים, להקים מערך ניטור ובקרה בכדי שיוכל לקבל דיווחים בזמן אמת, ולאסוף ולנתח מודיעין בתחום הסייבר על ידי עובדיו או בעזרת גופים ייעודיים [כדוגמת המרכז הלאומי להתמודדות עם איומי הסייבר (CERT-IL)]. הגוף המוסדי יקים צוות תגובה שיוזעק בעת אירוע ויקיים תרגיל שנתי.

בין היתר נאמר כי “גוף מוסדי ימנה ועדת היגוי ובראשה יעמוד המנהל הכללי של הגוף המוסדי ובין חבריה יכללו מנהל מערכות המידע, מנהל הסיכונים ומנהל הגנת הסייבר [בעל מומחיות וניסיון מוכחים בתפקיד ניהולי בתחום הגנת הסייבר]”.

הצפנה: ההוראות קובעות כי “עבור מידע רגיש, גוף מוסדי יישם הצפנה להגנה על חיסיון בתווך התקשורת מחוץ לחצרותיו, יישם טכניקות הצפנה מוכרות שהוכחו כיעילות ויתקף את האפקטיביות של אלה באופן תקופתי.  גוף מוסדי יגדיר נהלים מתאימים ליצירה, עדכון, חידוש, התקנה וביטול של מפתחות הצפנה ככל שרלבנטי לפעילותו”.

מחשוב ענן: “בטרם הפעלת שימוש במערכות מבוססות ענן, על גוף מוסדי לבצע הערכת סיכונים ייעודית ולדון בנושא סיכונים אפשריים בוועדת ההיגוי. גוף מוסדי לא יאחסן מידע רגיש או נתוני לקוחות בענן מחוץ לגבולות מדינת ישראל, אלא אם בדק ווידא שספק הענן מקיים את רמת ההגנה בהתאם לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס”א – 2001 ולדירקטיבה על הגנת המידע במדינות האיחוד האירופי. בשירותי מחשוב ענן מחוץ לגבולות מדינת ישראל, מידע רגיש יוצפן, גם אם התשתית הינה ייעודית.  גישה לנתונים בענן תבוצע דרך כתובות מורשות בלבד. במקרים בהם נתוני גוף מוסדי מאוחסנים במערכת שאינה לשימושו הבלעדי של גוף מוסדי (Multi-tenant), יעשה שימוש בטכנולוגיות כגון הצפנה, מיסוך נתונים או טוקניזציה, במטרה למנוע חשיפה של מידע רגיש או נתוני לקוחות לגורמים שאינם מורשים. גוף מוסדי יכלול בהסכם ההתקשרות עם ספק מחשוב הענן, יכולת שליטה ובקרה שלו על הספק וכן אפשרות חד צדדית להפסקת השימוש בשירותי ספק מחשוב הענן תוך מחיקת המידע ממערכותיו והתחייבותו שלא ניתן לאחזר מידע זה במערכותיו”.

הפעילות ברמה הלאומית: “משרד האוצר ואגף שוק ההון שותפים בוועדה להבטחת מענה לאיומי סייבר ורציפות תפקוד התשתיות במערכת הפיננסית ברשות הסייבר הלאומית.  בשנה האחרונה הוקם CERT לאומי [Computer/Cyber Emergency Response Team]  שמרכז מוכנות וצוות תגובות לאירועי מחשוב ומתקפות סייבר בחירום. העבודה ב-   CERT הינה על פי מגזרים, שכן הכלים והמומחיות משותפים ודומים בתוך כל מגזר. המכלולים הראשונים שהוקמו הם מכלול האנרגיה ומכלול הממשלה,  וכעת צפויים לקום גם המכלול הבנקאי ומכלול פיננסי, הרלבנטי לגופים המוסדיים (…) בהתאם לכך,  לאחר הקמתו של ה- CERT  הפיננסי יפורסמו הוראות דין לגופים המוסדיים שיאפשרו להם לשתף פעולה, לדווח ולפעול בהתאם לקבלת דיווחים מה- CERT”.

תחולת ההוראות: מועד תחילתו של חוזר זה ב- 2 באפריל 2017. עם זאת, לגבי הסעיפים העוסקים בניטור ובקרת מערכות מידע, אבטחת ערוצי קשר עם לקוחות ואבטחת ערוצי קשר בין גופים מוסדיים לבין בעלי רישיון, מדובר ב-1 באוקטובר 2017. בעקבות כך, חוזר גופים מוסדיים 2006-9-6, “הוראה לניהול סיכוני אבטחת מידע של הגופים המוסדיים” – בטל.

■ פורסם לראשונה בחלון המבזקים באתר זה בתאריך  31.8.2016 בשעה 16:19

■ עדכון: 31.8.2016 בשעה 21:10