דו"ח ביקורת רשות ניירות ערך מחודש ינואר 2023 חושף ליקויים בהיערכות תאגידים מדווחים בנושא סיכוני סייבר, אשר עלולים להשפיע על עמידתם בדרישות החוק והרשות ומציג כללים נוספים ודגשים להתנהלות הדירקטוריון בנושא.
באוקטובר 2018 פרסמה רשות ני"ע עמדה משפטית מס' 105-33 בעניין "גילוי בנושא סייבר" שמטרתה העלאת מודעות התאגידים המדווחים לסיכוני סייבר תוך דגשים להיבטים מסוימים אשר הגילוי לגביהם עשוי להידרש על פי הוראות ניירות ערך. הרשות מעדכנת את העמדה המשפטית בימים אלה ותוסיף לה הבהרות ודגשים ובכלל זה לאור התובנות מהדוח.
בהתאם לסעיף 39 לתוספת הראשונה לתקנות ניירות ערך (פרטי התשקיף וטיוטת התשקיף – מבנה וצורה) התשכ"ט – 1969 ועמדת רשות ני"ע, סיכון סייבר מהווה אחד מגורמי הסיכון האפשריים שעשוים לחול על תאגידים מדווחים ולפיכך, ככל שקיים סיכון סייבר מהותי הרלוונטי לפעילותו, חלה חובת גילוי באשר לגורם סיכון זה, כאשר על הגילוי לכלול תיאור של הסיכון, התייחסות לקיומה של מדיניות הגנה, פיקוח על יישומה ובדיקת האפקטיביות שלה וכן את דירוג השפעתו של הסיכון על החברה (בסולם נמוך-בינוני-גבוה).
כמו כן, תקנה 36 (א) לתקנות דוחות תקופתיים ומיידיים, התש"ל – 1970, מסדירה את חובותיו של תאגיד לדווח מיידית בקרות אירוע החורג מעסקי התאגיד הרגילים או שיש בו כדי להשפיע באופן משמעותי על מחיר ניירות הערך של התאגיד. תקיפת סייבר עשויה להיחשב אירוע מהותי בהקשר זה. עקב כך, תאגיד נדרש, בין היתר, לשקלל את פוטנציאל הנזק ואת מכלול הנזק שנגרם או שעתיד להיגרם לו, הן במישרין והן בעקיפין, ולבחון הצורך בדיווח. היערכות מוקדמת של תאגיד להתמודדות עם תקיפות סייבר עשויה להקל על התנהלותו בנושא.
במהלך שנת 2022 ביצעה הרשות ביקורת רוחב במטרה לבחון את תהליך הגילוי והדיווח של התאגידים. הרשות בחנה את המתודולוגיה של תאגידים לבחינת מהותיות סיכון הסייבר ובחינת סבירותה, ואת האופן בו בחנו תאגידים את הצורך במתן גילוי למשקיעים ביחס לסיכוני סייבר ועצמתם. כן בחנה הרשות את אופי הגילוי הנוגע למדיניות ומנגנוני הגנה בהם נקטו תאגידים לצורך הפחתת סיכון הסייבר, פיקוח על יישומה של המדיניות ובדיקת האפקטיביות שלה. כן נבדקו היבטים בניהול סיכוני סייבר לרבות כלים להפחתת חשיפות, גילוי על תקיפות סייבר ותהליכי קבלת ההחלטות לגביהם, אופן הטיפול בתקיפות סייבר לאחר התרחשותן, ובהן הגילוי שניתן לציבור על אופן הטיפול, תוצאותיו והשלכותיו על התאגיד על האסטרטגיה העסקית, תוצאות הפעילות או מצבה הפיננסי של החברה לרבות צעדי התיקון שננקטו בעקבות המתקפה.
הביקורת מצאה כי קיימת מעורבות מעטה יחסית של הדירקטוריון בכל הקשור לפיקוח על היבטי הגנה מפני סיכוני סייבר ולאופן ניהול סיכוני אבטחת מידע בכלל:
ב-90% מחברות המדגם, לא אושר כלל נוהל אבטחת מידע על ידי דירקטוריון החברה.
ב-70% מחברות המדגם, חברי הדירקטוריון לא מקבלים דיווח עיתי בנושא הגנת הסייבר ואבטחת המידע ואינם מקיימים דיונים בנושא, ובחלק מהחברות לא מתקיימים כלל דיונים בנוגע להשפעת סיכוני הסייבר על פעילותה העסקית של החברה.
רק אצל כמחצית מחברות המדגם קיימת תכנית עבודה שנתית מסודרת, ובמחצית מתוכן קיים מעקב אחר ביצועה על ידי דרגים בכירים בחברה (כגון ועדת היגוי, ועדת אבטחת מידע, מנכ"ל, מנמ"ר ראשי וכד').
ב-40% מהחברות לא בוצעה הערכת סיכוני סייבר בשלוש השנים האחרונות, וכמעט מחצית מהחברות אשר כן ביצעו הערכה כאמור, לא הציגו את תוצאותיה לדירקטוריון. מבקרי הפנים של כ-40% מחברות המדגם לא ביצעו בחינה של היבטי אבטחת המידע וסיכוני סייבר במסגרת ביקורות הפנים בשלוש השנים האחרונות.
בקרב כ-76% מהחברות לא קיימת התייחסות כלל לתקיפות סייבר במסגרת נוהל רלוונטי. רבע מחברות המדגם חוו לפחות תקיפת סייבר אחת בשלוש השנים האחרונות, 40% מהן לא קיימו דיון בדירקטוריון או בהנהלה ביחס למהותיות האירוע והצורך מתן גילוי פומבי לגביו, ו-17% מהן קיימו דיון רק ביחס לחלק מהתקיפות שחוו.
בתמצית, בהתאם לדו"ח, מצופה מחברי הדירקטוריון ומהתאגידים המדווחים:
- לבטא מעורבות בהעלאת נושא הסייבר באופן עיתי על סדר היום בדיוני הדירקטוריון, במסגרתו יתקבלו דיווחים שוטפים בנושא מאנשי הטכנולוגיה בחברה, אישורים להתקשרויות עם גורמי חוץ בתחום, דיונים בהשפעת סיכוני הסייבר על פעילות התאגיד, ביצוע עדכוני תוכנה, העלאת מודעות עובדי החברה לסיכוני הסייבר, ניסיונם ומומחיותם של מנהלים בחברה בתחום, ועוד.
- מעורבות בבנייתו ותפעולו של מערך יעיל לניהול סיכוני סייבר ואבטחת מידע, ובכלל זה בניית תכנית עבודה שנתית/רב שנתית בתחום ויישומה הלכה למעשה על ידי דרגים בכירים בחברה.
- לבצע הערכת סיכונים באמצעות סקר סיכונים, שכנגזרת ממנו תיקבע ותיושם תכנית לצמצום חשיפות אשר אותרו במסגרתה, וכן ביצוע בקרה על בחינת אופן הניהול של סיכוני סייבר באמצעות ביקורת פנים.
- להיערך לתקיפת סייבר ולעת משבר, באמצעות קביעת נהלים ותהליכים הקשורים בחובות דיווח של החברה, עיגון תהליכים ונהלים לעניין גילוי בעת קרות תקיפת סייבר מהותית, וכן עריכת דיון בדירקטוריון לקביעת רף מהותיות אירוע סייבר ומתן גילוי בעניינו, בהתאם לפרמטרים כמותיים ואיכותיים. כן נדרש למנות צוות תגובה למתן מענה ראשוני בעת קרות אירוע סייבר כאמור.
לעיון בדוח המלא לחץ כאן.
לעמדת סגל הרשות משנת 2018 לחץ כאן.
לפרטים נוספים בעניין מבזק זה הנכם מוזמנים לפנות לעו"ד ירון הרמן, ראש מחלקת הרגולציה ומשפט מנהלי במייל: Yaron@gkh-law.com
או לעו"ד צביקה גלבוע במייל: ZviG@gkh-law.com