היום :

 

ביטוח - דף הבית I

 

טיפ השבוע I

הוסיפו למועדפים I

צרו קשר I

מוכנות המבטחים לסייבר

היועצת קטיה שורצמן

יועצת הביטוח קטיה שורצמן

 

פתרונות ניהול סיכונים לחברות יזמים, קבלנים ויועצים

 

יכול להיות שאתם צודקים... לאתר היועצת Z
 


הרשמה לטיפים מהאתר

הרשמה לטיפים מאתר הביטוח

 קבלו את הטיפ השבועי,  לתיבת הדוא"ל שלכם - ללא תשלום

 

 

 

 

שם פרטי

 

 

שם משפחה

 

 

דואר אלקטרוני

 

 

תפקיד

 

 

חברה

 

   

 

 

 


  

 

דחו את תביעתכם - אל תהמרו על עצת חינם

 

 

עד כמה המבטחים בארץ מוכנים למתקפת סייבר?

 

 

איור של מתקפת סייבר על דף החוזר

ביום 13/5/2019, פרסם הממונה על שוק ההון ביטוח וחיסכון, ד"ר משה ברקת, ממצאים עיקריים של ביקורת רוחב בנושא המשכיות עסקית לאחר מתקפת סייבר.

 

מדובר על ביקורת בהמשך להוראות "חוזר ניהול סיכוני סייבר" שמחייב את המוסדיים להגדיר תכנית התאוששות ויעדי התאוששות מאירוע סייבר תוך התייחסות ליעדי השירות ולנהל את סיכוני הסייבר באופן אפקטיבי, עדכני ושוטף, ועל בסיס עקרונות ממשל תאגידי נאותים.

 

בשנים האחרונות שמה הרשות דגש הולך וגובר על תחום ניהול סיכוני סייבר וההתגוננות מפני מתקפות סייבר, בין היתר תוך אסדרת הנושא ונקיטת ביקורות ייחודיות.

 

בהמשך למגמה זו, בחודש נובמבר 2018 הונחו הגופים המוסדיים לערוך תרגיל המשכיות עסקית, שבמסגרתו התבקשו לתרגל התמודדות עם אירוע סייבר.

 

התרגיל דימה מתקפת סייבר כנגד גופים מפוקחים במגזר שוק ההון אשר מומשה הן דרך הגופים עצמם והן דרך שרשרת האספקה של הגופים.

 

בתרגיל הונחו הגופים להתייחס לכלל תחומי הפעילות (ביטוח לסוגיו, גמל ופנסיה) ויעדי השירות שהוגדרו על ידי החברות בחירום ולכל הפחות, לתהליכי הפדיונות, תשלום קצבאות, תביעות, ניהול השקעות וניהול קשרי לקוחות.

 

במסגרת התרגיל נדרשו הגופים המוסדיים לתרגל באופן מתודי פנייה או דיווח לגורמים חיצוניים.

 

המענה וההתמודדות של הגופים המוסדיים עם התרחיש שתורגל והתרשמות נציגי הרשות שנכחו בתרגיל מהווים את הבסיס לממצאים המופיעים במסמך זה. לאור חשיבות הנושא, תימשך בחינת היערכות גופים מוסדיים להמשכיות עסקית בבדיקות פרטניות ובתרגילים, לרבות בחינת הטיפול בליקויים שנתגלו בגופים מוסדיים במהלך התרגילים.

 

המסמך שפורסם אינו משקף את כלל הממצאים והתובנות שעלו, אלא רק את העיקריים, במטרה לשקף את עמדת הממונה לגביהם וכדי לתרום לשיפור התנהלות הגופים המוסדיים בנושא זה.

 

ממצאים

תכנית היערכות להמשכיות עסקית ונהלי חירום בסייבר - חוזר המשכיות עסקית מגדיר את מסגרת הפעולה המינימאלית הנדרשת מהגופים המוסדיים לצורך קיום המשכיות עסקית במצב חירום.

 

בהתאם להוראות לחוזר ניהול סיכוני סייבר, על הגופים לקיים תכנית המשכיות עסקית והתאוששות מאירוע סייבר.

 

במסגרת תכנית זו על הגופים לקיים מערך ניהול סיכונים ולהיערך לניהול מצבי משבר, לפתח עזרים, נהלים ושיטות עבודה בנושא היערכות וניהול מצבי משבר בסייבר, הכוללות בין היתר מתכונת ותדירות דיווח על אירועים, לרבות גורם מדווח, נמען הדיווח וזמן התגובה הסביר לדיווח, לצורך שמירה על רציפות התפקוד וההמשכיות העסקית.

 

על תכנית ההמשכיות העסקית לכלול התייחסות למגוון האיומים הקיברנטיים, כולל התייחסות לסוגיות תשלומי כופר וכיוצ"ב.

 

יישומים חסרים:

במספר גופים נמצא כי תכנית ההמשכיות עסקית אינה עוסקת באירועי סייבר באופן ישיר. כמו כן, במרבית הגופים לא כללו תכניות ההמשכיות העסקית התייחסות להתמודדות עם סוגיות נרחבות ובהן התמודדות עם סחיטה ודרישות כופר.

 

במספר גופים לא נצפו נהלי עבודה רלוונטיים להתמודדות עם אירוע סייבר.

 

בחלק מהגופים נצפו נהלי עבודה לא עדכניים ולא מקיפים להתמודדות עם אירוע סייבר, כאשר בין היתר לא ניתנה התייחסות:

 

לזיהוי חזק של לקוחות בקרות אירוע סייבר עם חשש לדלף מידע המאפשר התחזות, ובעיקר בבקשות לביצוע פעולות רגישות כגון פדיון, ניוד וכיוצ"ב.

 

לבקרות באמצעותן יש לערוך בחינה לאמינות נתונים במערכות התפעוליות בעת התרחשות אירוע סייבר ובעת שחזור נתונים לאחר קרות אירוע אשר כלל דלף מידע.

 

להתנהלות משאבי האנוש בקרות אירוע סייבר הגורר פניות מרובות של לקוחות, תוך מתן דגש לעיבור כח האדם, התנהלות מוקדי שירות הלקוחות, מסרים מוגדרים מראש וכיוצ"ב.

 

יישומים ראויים:

בגופים רבים נצפתה תכנית המשכיות עסקית ייעודית להתמודדות עם אירועי סייבר. לגופים רבים קיימים נהלי חירום אופרטיביים ייחודיים להתמודדות עם אירוע סייבר, הכוללים התייחסות לזיהוי חזק של לקוחות, בקרות אמינות נתונים בחזרה לשגרה, תכנית הדרכות תקופתיות לעניין היערכות לחירום בתחומי הסייבר, התנהלות משאבי אנוש וכיוצ"ב.

 

הערכת סיכונים ועדכניותה

חוזר ניהול המשכיות עסקית מגדיר תרחיש ייחוס כאיום אזרחי, ביטחוני או כלכלי על גוף מוסדי שעלול לגרום נזק מלא או חלקי לתפקודו, ולהשבתה, חלקית או מלאה, של תהליכים עסקיים.

 

בהתאם לחוזר ניהול המשכיות עסקית, על הגופים לנתח סיכונים אשר עלולים להתממש בקרות תרחיש ייחוס, לקבוע יעדי שירות למצבי חירום אלו, לבנות תכנית המשכיות עסקית ולהטמיע תכנית זו.

 

החוזר מורה לכלול בתרחישי הייחוס לכל הפחות התייחסות לאסון, אסון גלובלי, אסון IT ומשבר כלכלי. חוזר ניהול סיכוני סייבר מנחה את הגופים לספק תמונת מצב עדכנית של מכלול הסיכונים עמם הוא מתמודד. הערכת הסיכונים צריכה להתבצע תוך זיהוי ומיפוי סיכונים בתהליכים, מערכות ונכסי מידע.

 

יישומים חסרים:

במספר גופים נמצא כי תכנית ההמשכיות העסקית לא כוללת התייחסות להתממשות אירוע סייבר, על כלל ההיבטים הנדרשים ניתוח סיכוני הסייבר בתהליכים חיוניים, כולל ההשפעה האפשרית שלהם על יעדי השירות של הגוף.

 

יישומים ראויים:

בגופים רבים כללה תכנית ההמשכיות העסקית תרחיש ייחוס של מתקפת סייבר, כולל התייחסות והטמעת ניתוח סיכונים ויעדי שירות בקרות אירוע סייבר.

 

ממשל תאגידי ואחריות ארגונית

בהתאם לחוזר ניהול סיכוני סייבר על הגוף המוסדי לדווח בהקדם האפשרי לדירקטוריון על כל אירוע סייבר משמעותי שכתוצאה ממנו, באופן ישיר או עקיף נפגעו או הושבתו מערכות ייצור המכילות מידע רגיש למשך של יותר מ- 3 שעות, וכן במקרה בו יש אינדיקציות לכך שמידע רגיש של לקוחות הגוף המוסדי או עובדיו נחשף או דלף.

חוזר ניהול המשכיות עסקית מורה על מינוי צוותי חירום אשר יפעלו במצב חירום בהתאם לתכנית ההמשכיות עסקית, בהתאם לפעילויות החיוניות שעל הגוף המוסדי לקיים במצב חירום.

 

יישומים חסרים:

מעורבות לא מספקת של הדירקטוריון נמצאו מקרים בהם לא תורגל הדירקטוריון במסגרת תרגיל - ההמשכיות עסקית, או לחלופין תורגל באופן תיאורטי בלבד או באופן מינורי, ללא מעורבות מספקת בכלל תהליכי והתפתחויות התרחיש, וללא מעורבות בנקודות מהותיות להמשכיות עסקית בהתממשות אירוע סייבר.

 

היעדר הגדרת בעלי תפקידים ותחומי אחריותם ישנם גופים בהם לא קיימת הגדרה של בעלי -תפקידים ותחומי אחריותם במצב של משבר בסייבר:

 

לא בכל החברות מונו צוותי חירום ייעודיים הכוללים צוותים טכניים וצוותים פורנזיים, בעלי הכשרה מתאימה למצבי חירום בקרות אירוע סייבר.

 

בגופים רבים נמצא כי לא קיימת הגדרת הסמכות הניהולית האמונה על הכרזת מצב חירום בסייבר.

 

יישומים ראויים:

במספר גופים נצפתה רמת מעורבות גבוהה של ההנהלה והדירקטוריון בתרגיל ההמשכיות עסקית בקרות אירוע סייבר, כולל התייחסות לכלל היבטי התרגיל, ובחינת עמידה ביעדי השירות של הגוף.

 

בחלק מהגופים נצפתה מעורבות נרחבת של צוותי תגובה ייעודיים להתממשות אירוע סייבר, הכוללים גורמים מהיחידות העסקיות הרלוונטיות, צוותים טכניים וצוותים פורנזיים. כלל הגורמים עבדו בסנכרון מלא, תוך עבודה לפי נהלי החברה.

 

שרשרת אספקה

בהתאם לחוזר ניהול המשכיות עסקית על הגופים לוודא כי התכנית להמשכיות עסקית של הספק החיצוני עולה בקנה אחד עם התכנית להמשכיות עסקית שלו ומאפשרת עמידה מלאה ביעדי השירות.

 

יישומים חסרים:

במספר גופים נמצא כי בחינת תכנית ההמשכיות העסקית של הספקים החיצוניים המהותיים לא כללה בחינת היערכות הספקים המהותיים למצבי חירום בסייבר ובכלל זאת:

 

במספר גופים נמצא כי ישנו ספק מהותי אשר מהווה ספק יחיד, כאשר לא נערכו סקרי אבטחת מידע ממוקדי המשכיות עסקית אשר בוחנים את יכולת ההתאוששות של אותו ספק ויכולתו לחזור ולספק לחברה שירותים.

 

במספר גופים נמצא כי נהלי החירום של הגופים לא כוללים הנחיות לשימוש במידע באתרי הספקים ומחיקת מידע בחלוף פרק זמן מוגדר מראש בקרות אירוע סייבר הכולל דלף מידע של לקוחות הגופים.

 

במספר גופים נמצא כי לא קיים נוהל המנחה התנהלות בקרות אירוע המחייב ניתוק תקשורת עם ספקים חיוניים וההשלכות התפעוליות והעסקיות הנגזרות מניתוק תקשורת.

 

במספר גופים נמצא כי לא קיימת תכנית סדורה להתנהלות מול בנקים במתארי שיבוש שונים של פעילות מול, כולל התייחסות לשיבוש בקרות אירוע סייבר.

 

יישומים ראויים:

במרבית הגופים נמצא כי תכנית ההמשכיות העסקית כוללת בחינת תכנית ההמשכיות העסקית של הספקים החיצוניים המהותיים, כולל מתן התייחסות בנהלי החירום של הגופים להתנהלות מול ספקים מהותיים בקרות אירועי סייבר המחייב ניתוק תקשורת, מחיקת מידע רגיש והתנהלות מול בנקים במתארי שיבוש שונים.

 

מיפוי נכסי מידע

בהתאם לחוזר ניהול סיכוני סייבר, על הגופים לזהות תהליכים, מערכות ונכסי מידע ולמפות את הסיכונים הקיימים בתהליכים, מערכות ונכסי המידע הללו. כמו כן, על הגופים לנהל רשימה עדכנית של נכסי המידע ותהליכים הקיימים בו.

 

תהליך זיהוי נכסי מידע (נכס מידע הוא מאגר נתונים, התקן, או רכיב של סביבה התומך בפעילויות הקשורות במידע, לרבות תשתיות) ובכללם נכסי סייבר התומכים בתהליכי הליבה של הגוף המוסדי, הינו תהליך חיוני לקבלת תמונה רחבה ומעמיקה בנושא אשר תאפשר רמה גבוהה של הגנה על יעדי השירות הללו.

 

יישומים חסרים:

בחלק מהגופים לא קיים מיפוי או שקיים מיפוי חלקי בלבד של נכסי המידע על כלל מרכיביהם - מאגרי נתונים, התקנים או רכיבים של סביבה התומכים בפעילויות הקשורות במידע, לרבות תשתיות.

 

בגופים רבים נמצא כי לא מבוצעות בדיקות של נכסי סייבר חיוניים באתרי ספקים ונותני שירות מהותיים, לצורך זיהוי איומים וסיכונים, ומהם הסיכונים של דלף מידע והתמודדות עם מחיקת מידע באתרי הספקים, ובכלל זאת נוהל המסדיר התנהלות בעת חשש לגניבת מידע על לקוחת החברה מספקים אלו.

 

יישומים ראויים:

לגופים רבים קיים מיפוי מקיף של נכסי המידע בגוף המוסדי, על כלל מרכיביהם מאגרי נתונים, - התקנים או רכיבים של סיבבה התומכים בפעילויות הקשורות במידע, לרבות תשתיות.

 

במספר גופים נמצא מיפוי של נכסי הסייבר המהותיים באתרי ספקים ונותני שירותים מהותיים, כמו גם נהלים המסדירים התנהלות מול ספקים ונותני שירותים אלו בקרות אירוע דלף מידע או פגיעה בנתונים באתריהם.

 

הגשת דיווחים לממונה ולגורמי אכיפה

חוזר ניהול המשכיות עסקית מנחה את הגופים לדווח לממונה באופן יזום ומידי עם קרות אירוע חריג בעל השפעה מהותית עליו. בנוסף חוזר ניהול סיכוני סייבר מנחה את הגופים לקבוע מתכונת ותדירות דיווח על אירועים, לרבות גורם מדווח, נמען הדיווח וזמן התגובה הסביר לדיווח.

 

יישומים חסרים:

בחלק מהגופים לא קיימים נהלי דיווח נאותים לעדכון הרשות. כמו כן, במספר גופים נצפה דיווח לרשויות מפקחות אודות אירוע סייבר ודלף מידע, כאשר הדיווח לא בוצע גם לרשות שוק ההון.

 

יישומים ראויים:

במרבית הגופים קיימים נהלי דיווח פנימיים להנהלה ולדירקטוריון וכן נהלי דיווח חיצוניים משטרה, הרשות להגנת הפרטיות, רשות שוק ההון, הבורסה לני"ע ועוד.

 

תכנית התאוששות ממשבר

חוזר ניהול המשכיות עסקית מנחה את הגופים לקבוע יעדי ההתאוששות, לרבות רמות התאוששות וזמני התאוששות צפויים, עד לתפקוד מלא בעת החזרה לשגרה.

 

לחוזר ניהול סיכוני סייבר מנחה את הגופים להגדיר תכנית התאוששות ויעדי התאוששות מאירוע סייבר עד לתפקוד מלא בעת חזרה לשגרה, תוך התייחסות לאיומי הייחוס, תרחישי הייחוס, יעדי השירות בחירום שקבע לעצמו ויעדי השירות שהוגדרו בחוזר ניהול המשכיות עסקית.

 

יישומים חסרים:

בגופים רבים לא קיים נוהל התאוששות או לחלופין קיים נוהל התאוששות לא מקיף לאחר התממשות אירוע סייבר. בין היתר נצפו גופים אשר נוהל ההתאוששות שלהם לא כולל הנחיות ישירות להתאוששות מאירוע סייבר הכרוך באובדן מידע מהותי, התאוששות מאירוע בו מערכות מידע חיוניות מושבתות ואופן מעבר לאתר חירום תוך הגדרת סדרי עדיפויות בטיפול וחזרה לשגרה וכיוצ"ב.

 

יישומים ראויים:

בחלק מהגופים קיימים נהלים ייעודיים להתאוששות מאירוע סייבר, כולל הנחיות להתאוששות מאירוע סייבר הכולל אובן מידע מהותי, נהלים למעבר לאתר חלופי בעת קריסת מערכות מידע מהותיות תוך הגדרת סדרי עדיפויות בטיפול וחזרה לשגרה וכיוצ"ב.

 

 

 

כל זכויות התוכן שמורות לקטיה שורצמן ולהוצאת "הסעיפים הגדולים" © Copyright