הטיפים של היועצת קטיה
שורצמן
פתרונות
ניהול סיכונים, מכרזים, מפרטים ותביעות ביטוח לחברות יזמים, קבלנים ויועצים.
בעלת
ותק של 35 שנה בענף הביטוח הכללי, מתמחה בניהול סיכונים, מתן
הרצאות הדרכה, ייעוץ לאתרי אינטרנט, פיתוח פוליסות, חו"ד
מומחה, ניהול תביעות ועוד.
לאתר
היועצת
הרשמה לטיפים
מהאתר
קבלו את הטיפ השבועי, לתיבת הדוא"ל שלכם - ללא
תשלום
אין
להעתיק את הטיפים, לפרסמם או לעשות בהם כל שימוש אחר
|
דורית סלינגר בכנס
הסייבר
הממונה
על שוק ההון, ביטוח וחיסכון,
דורית סלינגר, הופיעה ביום 28/6/2017 ') בכנס
הסייבר של לשכת המסחר בריטניה ישראל. להלן נאומה, כפי שפורסם בהודעה לעיתונות באתר
הרשות הממונה על שוק ההון ביטוח וחיסכון:
"אני שמחה להיות כאן
ולדבר על נושא שמעסיק אותנו לא מעט – הסייבר.
לפני מספר חודשים
נכנסו שני גברים לאחד הגופים המוסדיים. לשני הגברים לא היה אישור כניסה אך למרות
זאת, הם הצליחו לעקוף את אבטחת הבניין. לאחר זמן קצר הם חדרו לרשת הפנימית של הגוף
המוסדי לאחר שנטרלו את כל מנגנוני ההגנה. שניהם השיגו שליטה מלאה על מערכות הליבה
של החברה, על שרתי המיילים, על מערכות הנתונים, על בסיסי הנתונים, ובעצם, על מה לא?
תרשו לי להרגיע אתכם
– מדובר בתרגיל יזום שביצענו בגופים מוסדיים במטרה לשפר את מנגנוני ההגנה בגופים,
ולשדרג את ניהול סיכוני הסייבר. אני עוד אחזור לכך בהמשך.
הביקורות שאנו
מבצעים, כמו גם מגוון פעילויות נוספות בתחום הגנת הסייבר, הן פועל יוצא של שמירת
עניינם של מבוטחים וחוסכים, כפי שרשות שוק ההון חרטה על דגלה. אנו מבינים כי אחד
הנושאים הבוערים היום הוא איך להגן על מבוטחים מפני מתקפות סייבר. הרי אנחנו עדים
לניסיונות ואף להצלחות של מתקפות שהתרחשו במדינות שונות על גופי ממשלה, בנקים
וחברות גדולות.
על כולנו מוטלת
החובה למנוע פגיעה כזו גם בישראל.
הפעילות שלנו מתחלקת
למספר נדבכים:
הנדבך הראשון הוא פעילות רגולטורית:
באפריל 2017 נכנס
לתוקף חוזר ניהול סיכוני הסייבר. החוזר מגלם בתוכו את ההבנה שהסיכון המדובר נוגע
לכל רמות הארגון ועשוי להתממש במספר רחב של תרחישים אפשריים, ומחייב היערכות
מערכתית, טכנולוגית ותהליכית, לרבות מודעות הדירקטורים, ההנהלה הבכירה והעובדים
והמנהלים לכך.
הוראות החוזר
מגדירות מסגרת רגולטורית מקיפה לניהול נושא הסייבר בגופים המפוקחים. למשל, החוזר
מחייב להגדיר מדיניות לניהול הסיכון ומחייב מינוי של מנהל הגנת סייבר. הגופים
מחויבים גם לבנות תכנית מקיפה לניהול סיכון הסייבר ולייצר מנגנון לאיתור חולשות.
כדי לבחון את
היערכות והתנהלות הגופים, בחרנו לבצע מתקפות תרגול יזומות בכ- 20 גופים מוסדיים
במטרה לאתר חולשות ופרצות. פעילות זו התגלתה כיעילה ביותר. קיבלנו מושג אמיתי מהשטח
כיצד מנוהל הסיכון בגופים, ומצאנו פרצות שחלקן היו דרמטיות וחמורות, שתוקנו.
דוגמאות לפרצות שהתגלו ונוצלו כדי לממש תקיפה וחדירה:
-
שימוש במערכות
הפעלה שאינן מעודכנות כנדרש.
-
מידע רגיש שנשמר
ללא הגנה מספקת ובניגוד לנהלים.
-
מנגנוני סינון
תוכן ודואר אלקטרוני שנעקפו בקלות.
-
שימוש במדיניות
סיסמאות חלשה.
אני שמחה לציין כי
כל מנהלי הגופים מצאו ערך רב בממצאי הביקורת שהוצגו להם, הפנימו ותיקנו את הליקויים
באופן מיידי. אנו מתכוונים להמשיך ולפעול בדרך זו ואף להרחיבה.
הנדבך השני הוא פעילות תשתיתית:
איומי סייבר על
גופים פיננסיים במדינת ישראל עשויים להתממש כחלק ממערכה כוללת. לכן קיימת חשיבות
רבה בשיתוף פעולה בין גופי הממשלה השונים, למשל עם הרשות הלאומית להגנת הסייבר
שהקמתה הוא צעד מבורך והכרחי לזיהוי והתמודדות עם איומים רחבים ברמה משקית. לשם כך
רתמנו כבר בשלבי ההקמה של ה-cert הלאומי, את הגופים המוסדיים המרכזיים להתחברות
למרכז הרציפות הפיננסית ואנו רואים בכך ערך פוטנציאלי גדול. נמשיך לפעול לחיבור כלל
הגופים המוסדיים לתשתית חשובה זו.
הנדבך השלישי הוא אישור מוצרי ביטוח:
חברות הביטוח מציעות
כיום ביטוח מפני התקפות סייבר, בעיקר לעסקים גדולים ובינוניים. אנו צופים כי תחום
זה יתפתח בקרוב גם למבוטחים שאינם בעלי עסק. שוק הביטוח מהווה מטבעו מנגנון
להתמודדות עם סיכון. אנו רואים מגמה הולכת וגדלה של פעילות ביטוח מפני סיכוני סייבר
שעלולים לבוא לידי ביטוי בכל מכשירי האלקטרוניקה שנפוצים היום, למשל טלוויזיות
חכמות, סטרימרים, פלייסטיישן, מצלמות אבטחה ביתיות, מזגנים, איי-רובוט, ובית חכם.
בנוסף, אנו נמצאים
בשלבי גיוס של 2 מומחי סייבר לרשות. תפקידם יהיה להגביר את היערכות הגופים המוסדיים
להתקפות סייבר.
בתקופה הקרובה נושא
הסייבר יהיה בראש סדר העדיפויות שלנו מתוך מטרה להגן על מבוטחים וחוסכים, ולמנוע
פגיעה בגופים מוסדיים ובכלכלה הישראלית."
|