הוטל עיצום כספי בסך 10,720,000 ₪ על "שירביט" בשל כשלים בתחום הגנת הסייבר
אירוע "שירביט" צריך לשמש כמקרה בוחן לצורך הפקת לקחים כיצד יש ליישם תכנית הגנה בסייבר בארגון.
החלטת הממונה על שוק ההון, ביטוח וחיסכון, ד"ר משה ברקת (ההחלטה) להטיל עיצום כספי בסך 10,720,000 ₪ על שירביט חברה לביטוח בע"מ, חשפה כי בשנים 2018-2020 – החברה הפרה רבות מהוראות הממונה בעניין ניהול סיכוני סייבר, הן בהיבטים טכנולוגיים והן בהיבטי ממשל תאגידי וניהול שוטף.
בין היתר, נמצא כי החברה לא הקצתה משאבים נאותים לתחום מערכות המידע והגנת הסייבר, כי לא התקיימו מנגנוני בקרה ופיקוח נאותים בתחום ניהול סיכוני סייבר וכי החברה לא פעלה בהתאם לנהלים, תוכניות העבודה ותוכניות סקרי הסיכונים, לרבות אלו אותם הגדירה בעצמה. מערכות טכנולוגיות מרכזיות ומהותיות לניהול סיכוני הסייבר לא הופעלו בצורה נאותה, לא עודכנו, לא טויבו, או לא הותקנו כלל.
אי העמידה בהוראות הממונה הביאה לכך שהחברה הייתה מצויה בחשיפה מהותית לסיכוני סייבר וכי רמת הניהול של סיכונים אלה לא עלתה בקנה אחד עם רמה ההולמת גוף מוסדי.
הגדרת מדיניות ממשל תאגידי וקביעת בעלי תפקידים אחראיים בארגון, מיפוי תהליכים רגישים בארגון, ביצוע סקר סיכוני סייבר, הערכת הסיכונים וניתוחם, טיפול בסיכונים, הגדרת תכנית עבודה ובקרות הגנה שוטפות הם חלק אינהרנטי בתהליך ניהול סיכוני הסייבר בארגון.
על כל ארגון לוודא כי ההסדרים החוזיים והטכנולוגיים שלו מול הספקים בשרשרת האספקה נותנים מענה הגנה הולם. ארגונים המעוניינים להכניס אליהם טכנולוגיות חדשות צריכים לוודא כי הן עומדות בתקינה המקובלת בתחום.
מקובל לחשוב כי הגופים המוסדיים, עליהם חלה רגולציה מפורשת בתחום ניהול סיכוני הסייבר, מוגנים באופן יחסי מפני תקיפת סייבר. הלכה למעשה, ברור כי עצם העובדה שרגולטור קבע רגולציה על גופים מוסדיים, אין בכך כדי להצביע כי רגולציה זו אכן מיושמת במלואה.
אשר לגופים שעליהם לא חלה רגולציה מגזרית המחייבת אותם לקבוע וליישם תכנית הגנת סייבר בארגון – רבים מהם אינם עושים כן.
קיימת תפישה לפיה תקנות הגנת הפרטיות (אבטחת מידע) מחייבת גופים רבים בישראל לוודא כי מערכות המידע שלהם מאובטחות מפני תקיפות סייבר, מתוך תפישה כי הערך העליון בהגנה על המערכות הוא שמירת סודיות המידע. בפועל, תקיפות סייבר עשויות להיות מגוונות יותר, ושתוצאתן אינה חייבת בהכרח להיות פגיעה בפרטיותם של אנשים (כמו במקרה "שירביט").
תקיפת הסייבר שחווה בית החולים "הלל יפה" הוכיחה את הנזק העלול להיגרם לבריאותם של מטופלים בשל שיבושים במערכות. עולם הגנת הסייבר הוא רחב, ואמנם עולם הגנת הפרטיות כלול בתוכו, אך הוא מכיל הרבה מעבר לכך, כמו למשל היבטים של זמינות המידע, כמו גם אמינותו.
תפיסת ניהול סיכוני הסייבר צריכה להשתנות. ארגון שמעוניין להגן על נכסיו הפיזיים, הכלכליים והרוחניים, אינו צריך להמתין לחקיקה של חוק הגנת סייבר בישראל, או לביקורת של רגולטור כדי לקבל החלטה לנהל תכנית הגנת סייבר בארגון.
קביעת תכנית הגנת סייבר ויישומה, כמפורט לעיל, תוך שיתוף כלל הגורמים האחראיים בארגון, תוביל לתוצאות טובות לארגון, בהגנה מפני תקיפות סייבר ומפני חשיפה לתביעות משפטיות ולעיצומים כספיים.
לפרטים נוספים בעניין זה הנכם מוזמנים לפנות לעו"ד ירון הרמן, ראש מחלקת הרגולציה ומשפט מנהלי במשרדנו, בדוא"ל: YaronH@gkh-law.com.
או לעו"ד צביקה גלבוע, בדוא"ל ZviG@gkh-law.com