בחודש מאי האחרון הפיצה מחלקת הביקורת והערכה של רשות ניירות ערך שאלון "סיכון סייבר בתאגיד מדווח", באופן מדגמי, לתאגידים מדווחים. הרשות ביקשה לבדוק בשאלון את אופני ההתמודדות של חברות ציבוריות עם סיכוני סייבר, נוכח איומי סייבר שהפכו בשנים האחרונות לסיכון משמעותי עבור תאגידים במגוון ענפי המשק. הרשות מבקשת לבחון את נאותות הגילוי בדוחות התאגידים המדווחים, ואת הצורך בגילוי נוסף אודות סיכוני סייבר ומוכנות החברות הציבוריות לציבור המשקיעים.

שאלון מדגמי זה מתווסף לשתי עמדות סגל של הרשות בנושאי סייבר: עמדת סגל סייבר מאוקטובר 2018, המתייחסת להיקף הגילוי הנדרש אודות סיכוני סייבר בדוח התקופתי ובדוח הדירקטוריון, ובעת קרות אירוע סייבר – בחינת סיווגו כאירוע מהותי והגילוי אודותיו בדיווח מיידי; ועמדת סגל סייבר מיולי 2021 בנושא גילוי בנוגע לסיכונים לביצוע עבירות ניירות ערך תוך שימוש במרחב הקיברנטי, כגון עבירת מידע פנים או תרמית בניירות ערך באמצעות אירוע אבטחת מידע ואמצעי סייבר.

נראה כי מדובר בשאלון הבוחן את ההתנהלות של הנהלת החברה והדירקטוריון בחברה ציבורית בהיבטים של היערכות, מוכנות והתמודדות עם אירועי סייבר וגילוי ביחס לסיכוני סייבר. בין היתר, נשאלו החברות את השאלות הבאות:

​נזכיר בהקשר זה כי לגבי מאגרי מידע כמשמעותם בחוק הגנת הפרטיות, התשמ"א-1981 נדרש לאמץ נהלי אבטחת מידע נדרש מכוח תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. בנוסף, גופים הכפופים למפקח על הבנקים וגופים מוסדיים הכפופים לממונה על שוק ההון, הביטוח והחיסכון נדרשים לאמץ נהלי אבטחת מידע מכוח הרגולציה הסקטוריאלית שחלה בענפים אלה.

דיווח ודיונים ברמת הדירקטוריון

האם מתקיימים דיונים מהותיים בדירקטוריון בנושא סטטוס הגנת הסייבר בחברה?

מומחיות באבטחת מידע

האם יש חברי הנהלה או חברי דירקטוריון בעלי מומחיות בתחום אבטחת המידע או סייבר? (נציין כי אין כיום חובה בחוק למינוי דירקטורים בעל מומחיות בסייבר)

תוכנית עבודה שנתית באבטחת מידע

האם קיימת לחברה? האם קיימת בקרה על ביצוע תוכנית זו על ידי הדירקטוריון? נזכיר בעניין זה כי לפי תקנות אבטחת מידע יש לאמץ תוכנית עבודה שנתית ליישום תקנות אבטחת מידע.

הערכת סיכוני סייבר

האם החברה ביצעה הערכת סיכוני סייבר בשלוש השנים האחרונות? האם תוצאות הערכת הסיכונים נדונה בדירקטוריון או בוועדה מוועדותיו? האם החברה קבעה תוכנית לצמצום החשיפות שעלו כתוצאה מסקר הסיכונים? נציין כי כיום, לפי תקנות אבטחת מידע, אם לחברה מאגרי מידע שמסווגים ברמת אבטחת גבוהה, עליה לערוך סקר סיכוני אבטחת מידע אחת ל-18 חודשים ולתקן את הליקויים שיעלו במסגרתו. עניין זה מתקשר גם לתכנית העבודה השנתית, שחלק ממנה אמור לכלול תכנית לטיפול בחשיפות שעולות מסקרי סיכונים.

המבקר הפנימי

​האם במסגרת הביקורת הפנימית נבחנו היבטי אבטחת המידע או סיכוני סייבר? נוסיף כי לפי תקנות אבטחת מידע, יש לערוך ביקורת אבטחת מידע (פנימית או חיצונית) למאגרי מידע המסווגים ברמת אבטחה בינונית וגבוהה על ידי גורם מוכשר לכך אחת לשנתיים לפחות.

אופן הגילוי אודות סיכוני סייבר בדוחות החברה

באיזה אופן קובעת החברה את הדירוג של סיכוני הסייבר בגילוי אודות גורמי הסיכון בדוח התקופתי? האם קיים נוהל פנימי לגבי דיווח וגילוי במקרה של אירוע סייבר חריג?

גילוי לעניין אירוע התקפת סייבר

האם החברה נתקפה תקיפת סייבר בשלוש השנים האחרונות? וכמה תקיפות? האם התקיימו בחברה דיונים באשר למהותיות תקיפות הסייבר? בנוגע לחמש התקיפות האחרונות שחוותה החברה, הרשות ביקשה לצרף קטעי פרוטוקולים של ישיבות הדירקטוריון בעניין. 

בהקשר זה נבקש לציין כי לפי נתוני מערך הסייבר הלאומי, בשנת 2021 נצפתה עלייה בכמות אירועי אבטחת המידע: אחד מכל חמישה עסקים חווה אירוע אבטחה. חלק מהאירועים הוביל להשבתת פעילות באופן זמני וגרם נזקים כספיים ישירים תוך חשיפת מידע רגיש ואישי, במקרים מסוימים, ופגיעה במוניטין של החברה לטווח ארוך.

מובהר כי משלוח השאלון של הרשות הינו פרקטיקה שאינה מבוססת על דרישת דין. חלק מהשאלות מתייחסות לקבוע בדין וחלקן אף מוסיף עליו. עם זאת, האמור בשאלון ביחד עם שתי עמדות סגל שפורסמו כאמור מצביע על החשיבות הגוברת שרואה הרשות במוכנות חברות לאירועי סייבר, בניהול סיכוני הסייבר, וגילוי אודותם למשקיעים. השאלון עשוי אף לשמש כלי עזר פרשני להבנת חובות החברה בהקשר זה, כך שמוצע לבדוק אם שאלות אלה מיושמות בקרב התאגידים המדווחים. 

להעלאת המודעות והמוכנות של חברות והמנהלים בנושא זה, קיימנו בסוף חודש יולי כנס ייעודי ליועצים משפטיים שנערך במשרדנו ובו נערכה סימולציה ("שולחן מלחמה") של ניהול אירוע סייבר מתגלגל בחברה ציבורית, בהשתתפות פאנל מומחים, למתן מענה מקיף והוליסטי הכולל: נציגות ממחלקת הגנת הפרטיות וממחלקת שוק ההון של משרדנו, מומחים בניהול משברים (IR) ומומחי טכנולוגיה ואבטחת מידע.

מחלקת הגנת הפרטיות וה-IT של משרדנו ערוכה לתת ייעוץ משפטי הוליסטי בנושאים אלו, בדגש על בחינה, היערכות למניעה והתמודדות עם אירועי אבטחת מידע וסיכוני סייבר, וציות להגנת הפרטיות,  וזאת בין היתר (בשיתוף מחלקת שוק ההון) גם לחברות ציבוריות ולתאגידים מדווחים.