שם משתמש
סיסמא
מימין: עו"ד שלומי הדר, עמית גל, שני שרביט ועו"ד עלי קלדרון צילום: סטודיו עדיף
כתבות נוספות בתחום
 
לוח אירועים
3 רגולטורים בשיח סייבר פתוח: "סוכנויות ביטוח קטנות רבות לא עומדות בדרישות החוק"
עמית גל מרשות שוק ההון, עדי קלדרון מהרשות להגנת הפרטיות ושני שרביט ממערך הסייבר הלאומי התייחסו לאיומים על ישראל ועל עולם הביטוח בפרט, וגם לחלוקת הסמכויות ביניהם: "בהגנת סייבר אין 100%, אירועים יקרו"
משבר הקורונה העצים סוגיות רבות, האיץ תהליכים והציף סיכונים. אחד הנושאים הללו הוא סיכוני הסייבר, לאחר שראינו עסקים רבים שעברו לעבודה מרחוק, הלימודים מתבצעים מרחוק וסיכוני הסייבר עצמם שהתעצמו. שלושה נציגים מהגופים המרכזיים במדינה שעוסקים בתחום הסייבר, הגיעו לכנס האלמנטר של עדיף כדי לעשות סדר ברגולציה בתחום הסייבר וגם בחלוקת התפקידים בין הגופים השונים.

שני שרביט, סמנכ"לית בכירה מדיניות במערך הסייבר הלאומי, הסבירה בפאנל, אותו הנחה עו"ד שלומי הדר, ממשרד עורכי הדין ג'ון גבע הדר ושות', כי מערך הסייבר הלאומי אחראי על הגנת מרחב הסייבר של מדינת ישראל. "אנחנו עוסקים במניעת תקיפות, בעליית ההיערכות בפני תקיפות מבעוד מועד וגם בתקיפות משברים לאומיים. יש לנו מוקד של הציבור בטלפון 119, אשר חווה עליה משמעותית בפניות שמגיעות אליו, לאחר שבשנה החולפת נרשמו כ-50% יותר מאשר בשנה שלפניה. אנחנו הכתובת המרכזית לנושא במדינת ישראל. בנושא הביטוח אנחנו רואים כלי להעלאת רמת ההגנה במשק ואיך הנושא של ביטוח סייבר יכול לקדם הגנה במשק הרחב. אנחנו מצפים שלאורך זמן גם בביטוח סייבר נהיה מעצמה, אין סיבה שזה לא יהיה, אנחנו בדרך לשם", אמרה שרביט.

עמית גל, ראש חטיבת ניהול סיכונים ברשות שוק ההון, הסביר כי ברשות שוק ההון קובעים הסדרה ומפקחים על הגופים המוסדיים, ותחת החטיבה שהוא עומד בראשה נמצא תחום טכנולוגיות המידע והסייבר. "אנחנו זיהינו את התחום כמאוד משמעותי, כסיכון מאוד גבוה במיוחד בשנה הזו של הקורונה, אבל עוד לפני כן. אנחנו נותנים דגש משמעותי בתחום, קובעים את הרגולציה והציפיה והפעילות שלנו הן לדאוג שהגופים יהיו בעלי רמת הגנה משמעותית וגבוהה בתחום הסייבר".

עו"ד עלי קלדרון, מנהל מחלקת אכיפה ברשות להגנת הפרטיות, הסביר כי הרשות להגנת הפרטיות היא הרגולטור היחיד בתוך משרד המשפטים. "הרשות מתעסקת בכל מי שמחזיק מאגר מידע שכולל מידע על עובדים, לקוחות וכל סוג של שירות. אנחנו רגולטור על כל המשק ובמסגרת החוק יש הנחיות לעניין השימוש במידע, מה עושים איתו וגם איך שומרים עליו. ב-2018 יצאו תקנות הגנת הפרטיות אבטחת מידע שקובעות באופן מפורט מהן החובות של כל ארגון ברגע שהוא שומר על המידע הזה, מה הוא צריך לעשות איתו, איך הוא אמור לשמור עליו. אנחנו פועלים במסגרת הסמכויות שלנו גם באכיפה של החוק והתקנות, החוק קובע תקנות והפירות ברמה הפלילית והמנהלית, גופים שלא יודעים לשמור על המידע וזה כמובן קורה באירועי דלף וסייבר, אנחנו בוחנים את זה ברמת האכפתית, בפעולות נוספות של הנחיה והסדרה כדי להעלות את רמת ההגנה על המידע שמחוזק על ידי הגופים", הסביר קלדרון.

רק לאחרונה התמודדה חברת ביטוח עם אירוע סייבר מתוקשר. עמית גל, נשמח שתתייחס לגישה של רשות שוק ההון להתנהלות באירוע מהסוג הזה.

גל: "לפני הכל צריך להבין דבר אחד, וזו התפיסה של הרשות, בהגנת סייבר אין 100%. אנחנו יוצאים מנקודת הנחה שגופים ייתקפו ואירועים יקרו, זו הנחת העבודה בתחום. זה לא אומר שאפשר להישען לאחור ולא לבצע פעולות, ורשות שוק ההון קובעת רגולציה וכללים מאוד משמעותיים ומפורטים, שאנחנו מצפים שגופים מוסדיים יעמדו בהם. צריך להבין שיש שתי תפיסות באמצעותן רשות שוק ההון מתמודדת עם אירוע. הראשונה היא כאשר אנו נתקלים במצב שבו אין ציות להנחיות. המצב האחר הוא כשאנחנו רואים ציות מלא, כלומר אם הגוף עושה כל מה שהוא צריך ויכול בשביל להתמודד עם האירוע, לפניו ואחריו, ואז הגישה של הרשות תהיה שונה. אנחנו לא מתמודדים רק עם אירוע, הפיקוח הוא תהליך מתמשך. בעולם שלנו נמצאות גם סוכנויות שהן ייעד לתקיפה ואנחנו מתחשבים בזה כרשות. על אף שלמדינה יש יכולות הגנתיות שמביאות אותן לידי ביטוי, עדיין הגוף צריך להגן על המידע שלו והגנת הסייבר היא דבר חשוב".

עלי, אני אשמח אם תתייחס גם על אירועים מהסוג הזה בהיבט אחר - של המבוטחים ואנשים הפרטיים.

קלדרון: "צריך לזכור שבסוף יש אנשים והמידע הזה הוא מאוד רגיש ואישי - מידע רפואי כמו האם אתה מעשן או חולה במחלות. זה מידע אישי שאנחנו נותנים לחברה או לסוכן, ומצפים שהם ישמרו עליו. לכן החוק קובע שהחובה היא של הגוף לשמור על המידע ולעמוד בדרישות המינימליות, ולכן קבענו במסגרת החוקים והתקנות מספר חובות ופעולות שאנחנו מבצעים כדי לוודא זאת. החוק מחייב כל גוף שקרה אצלנו אירוע סייבר לדווח לרשות באופן מידי, וברגע שמדווחים לנו אנחנו מבצעים תהליך ראשוני כדי לבדוק גם את מצב האירוע העצמו. לעיתים אנחנו מגלים לדוגמה שמצב אבטחת המידע בארגון הוא כל כך לא מספק שאנחנו אפילו יכולים להגיד לחברה שאנחנו לא מאפשרים לה להחזיק במאגר הלקוחות שלה. בדרך כלל זה מצב זמני עד שיטופלו הבעיות הספציפיות. אנחנו מבצעים גם פעולות של אכיפה, ברמה המנהלית, מבצעים בדיקות עומק בארגון גם על עמידה בדרישות החוק ועל כל הנהלים שצריך, וגם ברמה הפלילית. בדרך כלל, במקרים חמורים, אנחנו בודקים ברמה של לאתר את ההאקר שניסה להגיע למידע, או ברמה של הנהלת הארגון אם עובד עשה פעולה שהוא לא אמור לעשות, בדרך כלל עם כוונה ולא ברשלנות".

תרחיש שנבדק במערך הסייבר: נזק של 5 מיליארד שקלים בשל יומיים השבתה

במהלך הפאנל נשאלה שני שרביט על התרחישים העתידיים אותם צופים במערך הסייבר הלאומי בתחום סיכוני הסייבר. היא הסבירה כי השנה החולפת הרחיבה את משטח התקיפה, והתקיפות הופכות מתוחכמות יותר ונפוצות יותר. "עשינו עבודה מקיפה כדי לנסות להבין איך תראה תקיפה, איך נראית קטסטרופה. ניתחנו את הדבר התוצאות ויצרנו תרחישים, פרויקט אקסודוס. הנזק הראשון שבחרנו היה פוגען מדבק של 40,000 חברות במשק ונוצרה השבתה של יומיים וחצי של התפקוד של החברות הללו. הנזק שאנחנו הערכנו הגיע ל-5 מיליארד שקלים, וככל שהתרחיש מתעמק אנחנו מגיעים למצב שזה יכול להגיע ל-58 מיליארד שקלים. תרחיש דומה שבחנו, 25 חברות בורסאיות שבמשך של 10 ימים של השבתה מגיעות ל-1.6 מיליארד שקלים נזק. ברחבי העולם יש עוד נתונים, על נזקי הסייבר כנזקים מאוד משמעותי שהסבירות להתרחשותם גבוהה מאוד. הנזק העולמי בשנת 2020 מוערך בטריליון דולר. הסייבר הוא כאן ומתכוון להישאר כאן, הוא נוכח וצריך לחשוב ביחד איך נערכים אליו", אמרה שרביט.

בעקבות מה שאמרה שני לגבי התרחישים, אמנם תקנות אבטחת מידע נכנסו לתוקף ב-2018, יש צעדים חדשים שהרשות להגנת הפרטיות מתכוונת לנקוט בהם?

קלדרון: "הרשות פועלת במספר ערוצים. גם ברמה ההנחייתית אנחנו פועלים ומוציאים טיפים, מתעסקים בפעולות הסבר, בכנסים, בנישות מסוימות וגם מתעסקים בפעילות פיקוח הרוחב שבה אנחנו מנתחים סקטורים בתעשייה או במגזרים שבהם יש סיכונים גדולים לפרטיות, ואנחנו מבצעים שם פעולות בהן אנחנו בוחנים לא רק את הליקויים הספציפיים של החברות, אלא גם את הכשלים שאנחנו מוצאים במגזר. בסוכנויות הביטוח לדוגמה, שלחנו לעשרות סוכנויות ביטוח את אותם שאלונים ועשינו ניתוחים, נפרסם גם את הדו"ח.

"בשלב הזה אנחנו בפיקוח עומק שבו אנחנו מגיעים לחברות שרמת האבטחה לא מספקת, אבל כבר בממצאי ביניים מראים דברים מעניינים. אנחנו רואים הבדל משמעותי בין סוכנויות גדולות וקטנות, כאשר בגדולות מערך אבטחת המידע הרבה יותר טוב לעומת הקטנות שהרבה פעמים לא עומדות בדרישות החוק. אחד הנושאים שגילינו ככשל מרכזי זה הנושא של עבודה במיקור חוץ, 70% מסוכנויות הביטוח עובדים עם גופים במיקור חוץ לצורך מאגר המידע, וההתייחסות של אותן חברות הן לא כאל המחזיק במידע, הם לא מבקרים ומנתרים את הפעילות, לספק יש גישה למידע ורמת האבטחה שלו צריכה גם כן להישמר. אנחנו פועלים בהרבה מאוד רמות, רמת האכיפה היא באירועים החמורים במיוחד וזה מגיע ממודיעין, מהתקשורת, מדיווחים שאנחנו מקבלים מהגופים עצמם".

העלאת המודעות בגופים היא חלק מתפקידו של הסוכן

לסיום הפאנל נשאלו שלושת נציגי הרגולטורים כיצד הם רואים את תפקיד עולם הביטוח, בשים לב לנזקים בהיקפים עצומים עליהם דובר. גל ציין כי המודעות לסיכונים בתחום הסייבר בכל המשק מתגברת, יותר ויותר עסקים מבינים שהחשיפה של הסייבר מתפתחת וחושפת את הגופים לסיכונים משמעותיים. "חלק מהנזקים שאנחנו רואים ניתנים לביטוח, בחלקם יש אתגר יותר משמעותי, חלק מרכזי הוא המודעות של הגופים וללא ספק זהו אחד מתפקידיו של הסוכן, כמי שמכיר את המוצרים ואת הכיסויים המבוטחים שיכולים לתרום למבוטח. התרחישים האלה הם תרחישים מאיימים ואנחנו מסתכלים עליהם מהזווית שלנו כרשות שוק ההון. חברות הביטוח יפעלו בשביל לזהות את הסיכונים ולהבין אותם, כולם מבינים שבתחום הסייבר זו מטרה נעה, סיכונים מתפתחים ומשתנים ויכול להגיע מהרבה מטרות", ציין הסגן הבכיר לממונה על שוק ההון.

שרביט: "באותה רוח אני רוצה להתייחס לנושא הביטוח. זה חלק מאסטרטגיה כוללת והחלק של הביטוח הוא להעריך סיכון. חברות הביטוח מעריכות את הסיכון היום במשק, ככל שההערכה תהיה יותר מדויקת ונכונה העבודה תהיה יותר מקצועית, הפוליסות יהיו פחות עמומות ויותר מדויקות. הבנו שזה אתגר, ראש מערך הסייבר פרסם את הכלים שאנחנו מעניקים בשאלה 'איך עושים הערכת סיכון נכונה', רצינו לראות איך מחברים לפוטנציאל נזק, זה אמור להיות הערכת סיכון כוללת שתאפשר לחברות לעבוד נכון. בכל מקום שיהיה שיתוף מידע, לשתף מידע בתוך הממשלה ובתוך השוק, גם את זה אנחנו בוחנים. סוכני הביטוח נמצאים בשיבר המרכזי. את זה אנחנו רוצים לחזק, הסוכנים רוצים להיות בעלי ידע בעולם משתנה, עשינו קורס אחד יחד עם לשכת סוכני הביטוח והוא היה מאוד טוב. ב-11.3 יש עוד קורס שאמור לתת כלים לסוכני הביטוח בעבודתם והוא יכול לעזור להם להמשיך ולהשתבח. אני מקווה שעוד יירשמו".

מנחה הפאנל, עו"ד הדר, סיכם את הפאנל ואמר כי "יש משהו מעודד בכך שהמדינה לוקחת על עצמה את סוגיית סיכוני הסייבר בהיבטים השונים, מה שמחייב את כולם בעולם המתפתח לא לעצום עיניים, לקחת יוזמה, לבדוק אם צריך לעשות ביטוח מתאים או לנהל את העסק בצורה נכונה יותר, לדאוג לאבטחת מידע מתאימה".
 
הוסף כתבה למזוודה אישית
הוסף למזוודה אישית


גולש יקר,

תכני האתר ומוצרי עדיף מיועדים למנויים בלבד.

מנויי עדיף נהנים מחבילת ערך מושלמת: יותר מידע חדשותי, יותר ידע ויותר שירותים חדשים וייחודיים.

באפשרותך לצפות בתכני האתר באופן מיידי על ידי רישום קצר לקבלת מנוי היכרות ללא כל התחייבות.
הרשמה
שם פרטי:
שם משפחה:
שם חברה:
טלפון:
תפקיד:
אימייל:
סיסמא:
אישור סיסמא:
הנני מאשר את
 תנאי השימוש
באתר
אבקש לקבל עדכונים, חדשות ומידע שיווקי
הרשם וגלוש
כניסת מנוים
מייל:
סיסמא:
 
כניסה
 
הוסף תגובה לכתבה זו
כינוי:
אימייל:
כותרת:
תוכן:
אין לכתוב הודעה המפרה את  תנאי השימוש של Anet לרבות דברי הסתה, דיבה וסגנון החורג מהטעם הטוב
עדיין אין תגובות לכתבה זו.
 
עקבו אחרינו
כל הזכויות שמורות לאתר ANET.co.il 2011
המסלקה הפנסיונית