הנדון: סקירת חוזר ניהול סיכוני סייבר בנותני שירותים פיננסיים

כללי 

רשות שוק ההון ביטוח וחיסכון פרסמה ביום 14/02/2022 חוזר בנושא ניהול סיכוני סייבר בנותני שירותי פיננסיים (להלן: "החוזר").

מטרת חוזר זה היא לקבוע עקרונות להגנה מפני סיכוני סייבר בנותני שירותים פיננסיים כדי להבטיח את קיום התהליכים העסקיים והפעילות התקינה של נותן השירותים הפיננסיים וכן שמירה על סודיות, שלמות וזמינות של מערכות המידע ונכסי המידע של נותן השירותים הפיננסיים ושל לקוחותיו. בהתאם לחוזר זה, מסגרת ניהול סיכוני הסייבר תכלול פעולות של מניעה, נטרול, חקירה והתמודדות עם איומי ואירועי סייבר, במטרה לצמצם את השפעתם והנזק הנגרם מהם ללקוחות ולמערכת הפיננסית, בטרם התרחשותם, במהלכם ולאחריהם. ניתן לראות כי החוזר מבוסס מחוזר ניהול סיכוני סייבר בגופים מוסדיים 2016-9-14, עם התאמות מסוימות.

תחולה

החוזר יחול על נותן שירותים פיננסיים שהוא אחד מאלה: 

  • בעל רישיון למתן שירות פיקדון ואשראי;
  • בעל רישיון להפעלת מערכת לתיווך באשראי;
  • בעל רישיון למתן שירות בנכס פיננסי אשר נותן שירות שבו נשמר ומנוהל נכס פיננסי בחשבון ייעודי המנוהל עבור לקוח מסוים, ואשר מאפשר העברת נכס פיננסי לחשבון אחר. לעניין זה אין נפקא מינה אם מעביר הנכס ומקבל הנכס הוא אותו אדם.
  • כל בעל רישיון למתן שירותים פיננסיים שאינו מנוי לעיל, ואשר מתקיים בו אחד מאלה:
    • הוא שומר באופן מקוון הן את המידע על לקוחותיו והן את הנכסים הפיננסיים של לקוחותיו;
    • הוא משמש מקור מידע או משתמש בנתוני אשראי כהגדרתם בחוק נתוני אשראי, התשע"ו-2016;
    • הוא פועל או מבקש לקבל אישור לפעול כנותן שירות כהגדרתו בחוק שירות מידע פיננסי, תשפ"ב-2021.

תחילה 

  • תחילתו של חוזר זה שנה לאחר פרסומו.
  • על אף האמור:
  • תחילתו של חוזר זה לעניין גופים המנויים בסעיף ד(3) לעיל (תחולה) תהיה מיום פרסומו.
  • תחילתו של סעיף 4(ה)(1) - דרישות הגנת סייבר בהסכמי מיקור חוץ, לגבי הסכמי התקשרות קיימים, תהיה במועד חידושם.

ממשל תאגידי 

מוצע לקבוע הוראות העוסקות בתפקידים ובתחומי האחריות של הדירקטוריון, המנהל הכללי, ועדת ההיגוי ומנהל הגנת הסייבר, בנושאי הגנת סייבר ואבטחת המידע בנותן השירותים הפיננסיים, וכן לקבוע מסגרת לניהול סיכוני סייבר, הכוללת מדיניות, נהלים, ותכניות עבודה. במסגרת זו נותן שירותים פיננסיים ימנה מנהל הגנת הסייבר, וכן ימנה ועדת היגוי אשר תתכנס לפחות אחת לרבעון ותמנה לכל הפחות שלושה חברים, ביניהם מנהל הגנת הסייבר, מנהל מערכות המידע ומנהל סיכונים.

מסגרת ניהול סיכוני סייבר (Framework) 

  • הגדרת מדיניות כתובה לניהול סיכוני סייבר, אשר תקבע את העקרונות המנחים ליישום הגנת סייבר בנותן השירותים הפיננסיים, ותיבחן לכל הפחות אחת לשנה, וכן בכל שינוי משמעותי. המדיניות תאושר ע"י הדירקטוריון (ככל שקיים).
  • הגדרת נהלים שיתייחסו לאופן יישום הגנת סייבר שייבחנו בכל שינוי משמעותי בפעילות הארגון ולפחות אחת ל-24 חודשים
  • הגדרת תכניות עבודה בתחום ניהול סיכוני הסייבר: תכנית ניהול סיכונים, תכנית התאוששות מאירוע סייבר, תכנית לביצוע סקרים, תכנית הדרכת מודעות עובדים ות"ע שנתית ליישום המדיניות, הנהלים ויתר תכניות העבודה.

ניהול סיכוני סייבר 

  • הגדרת תכנית עבודה לניהול סיכוני סייבר, שתעסוק בין היתר, בהערכת הסיכונים לתהליכים, למערכות מידע ולנכסי מידע. התכנית תאושר על ידי ועדת ההיגוי, תוצג לדירקטוריון ותנחה את נותן השירותים הפיננסיים בהקצאת משאבים להטמעת אמצעים לניהול סיכוני סייבר ובקביעת תכנית העבודה השנתית.
  • הצגת התוכנית לדירקטוריון תכלול לכל הפחות, פירוט סיכונים שיוריים, תכנית הפחתת סיכונים ופירוט הסיכונים המשמעותיים שנותן השירותים הפיננסיים החליט שלא להפחית לרמה מזערית ככל שניתן.
  • הגדרת תכנית להפחתת הסיכונים, על בסיס הערכת הסיכונים אשר בוצעה בהתאם לאמור לעיל.
  • בהתאם להערכת הסיכונים כאמור וכחלק מהתכנית להפחתתם יוגדרו בקרות מתאימות ואפקטיביות להתמודדות עם סיכוני סייבר. על הבקרות להתייחס למערכות מידע ולתהליכים בארגון וכן לצדדים שלישיים, דוגמת ספקי שירותים במיקור חוץ או לקוחות.

הגנת סייבר בנותן שירותים פיננסיים 

נותן שירותים פיננסיים יקבע אמצעי הגנה מפני סיכוני סייבר, ויתאים אותם למכלול סיכוני הסייבר שלו בהתאם לתוצאות הערכת הסיכונים. נותן שירותים פיננסיים יקבע לכל הפחות את אמצעי ההגנה הבאים:

  1. איסוף מודיעין. בחינת אפשרות לעבודה מול המרכז הארצי לניהול אירועי סייבר (CERT-il) ולשיתוף הדדי של מידע קיברנטי אופרטיבי עמו.
  2. ניטור ובקרת מערכות מידע. מערך ניטור ובקרה לקבלת דיווחים בזמן אמת ממערכות המידע השונות אודות חשש לאירוע סייבר, תוך שמירת לוגים לפרק זמן של 12 חודשים לפחות.
  3. מוכנות לאירועים.
    1. הגדרת נוהל היערכות וניהול אירועי סייבר, תוך עדכונו לאחר כל עדכון של הערכת הסיכונים ובחינתו לפחות אחת לשנה.
    2. הגדרת תכנית התאוששות ויעדי התאוששות מאירוע סייבר עד לתפקוד מלא בעת חזרה לשגרה, תוך התייחסות לתרחישי הייחוס, וליעדי השירות בחירום שנקבעו.
    3. תרגול שנתי של של כלל המערכים הרלוונטיים.
    4. הקמת צוות תגובה להתמודדות עם אירועי סייבר, שיבצע תרגול אירוע אמת אחת לשנה.
  4. ביצוע סקרי סיכונים ומבדקי חדירה. בתדירות הבאה:
    1. עבור מערכות מידע אשר יש אליהן גישה מרשת ציבורית - אחת ל-18 חודשים.
    2. עבור מערכות מידע שאין אליהן גישה מרשת ציבורית - אחת ל-36 חודשים.
    3. עבור מערכות מידע שאין אליהן גישה מרשת ציבורית ורמת הסיכון שלהן היא נמוכה - אחת ל-48 חודשים.
  5. יישום אמצעי הגנה במערכות מידע, תשתיות תקשורת ותפעול:
    1. אבטחת רשת וגישה מרחוק. 
    2. קישוריות לרשת האינטרנט – צמצום גישת העובדים לרשת האינטרנט למינימום הנדרש. 
    3. הוצאת נתונים – הגדרת נוהל הוצאת והעברת מידע אל מחוץ לחצרותיו של נותן השירותים הפיננסיים. 
    4. הצפנה – הגדרת נוהל מפתחות הצפנה.
    5. אבטחת תשתיות ומערכות מידע ועדכונן – שמירת רשימה עדכנית של תשתיות ומערכות מידע. 
    6. אבטחת מערכות קצה – לרבות הצפנת מערכות קצה ניידות. 
    7. הטמעת אמצעים למניעת חדירה של קוד עוין למערכות. 
    8. אמצעי הגנת סייבר בתהליכי רכש ופיתוח – הגדרת נוהל דרישות אבטחה בתהליכי רכש ופיתוח. 
    9. הפרדה בין סביבות ואבטחתן.
  6. ניהול משתמשים והרשאות.
    1. הגדרת נהלים לתהליכי הגנת הסייבר המתייחסים לניהול משתמשים, שיתייחסו לתהליכים שונים במחזור החיים של ניהול חשבונות משתמש במערכות מידע, החל מיצירת חשבון משתמש ואופן אישורו, ועד לאופן נעילת החשבון בתום ההעסקה או ההתקשרות. 
    2. תהליכי סקירה לכלל ההרשאות יבוצעו לכל הפחות אחת לשנה, ולחשבונות ספקי מיקור חוץ ועובדיהם וכן עובדים זמניים יבוצעו בתדירות גבוהה יותר.
  7. מיקור חוץ (Outsourcing) - הגדרת נוהל לדרישות הגנת סייבר בהסכמים עם ספקי מיקור חוץ, ביחס לסיכוני מיקור חוץ וביחס לאבטחת שרשרת האספקה, לרבות בשירותי מחשוב ענן. נוהל זה ייושם בעת התקשרות לראשונה עם נותן שירות במיקור חוץ.
  8. אבטחה פיסית וסביבתית. לרבות אבטחת ציוד וניירת.
  9. הגנת סייבר במשאבי אנוש וגיוס עובדים. בדיקות אמינות, החתמה על הצהרת סודיות, הדרכות מודעות.

אבטחת ערוצי קשר עם לקוחות

  • קביעת הוראות להגנה על ערוצי התקשורת עם לקוחות, לרבות מיפוי וניטור ערוצים דיגיטליים, יישום הצפנה ומנגנוני הזדהות חזקים, וכן שימוש באמצעי זיהוי קבועים - אמצעי זיהוי כגון שם משתמש וסיסמה קבועה שהוגדרה על ידי הלקוח.
  • ההוראות לעניין הזדהות לקוחות נחלקות לשתיים – אחת, זיהוי ראשוני של לקוחות בעת רישום לקוחות לשירות והשנייה זיהוי לקוחות בעת התחברותם לערוצי השירות לאחר הזיהוי הראשוני.
  • נותן שירותים פיננסיים אשר מיישם את הוראות חוזר נותני שירותים פיננסיים 2020-10-5 "התקשרות מרחוק עם מקבל שירות באופן מקוון", יראו בו כמי שממלא את ההוראות כאמור לעניין וידוא זהות בתהליך הרישום.

אבטחת ערוצי קשר בין נותני שירותים פיננסיים לגופים אחרים

בערוצי העברת מידע בין נותני שירותים פיננסיים ובין נותן שירותים פיננסיים לאחר, תיושמנה בקרות הגנת סייבר הכוללות הצפנת תווך התקשורת והנתונים מקצה לקצה, אפשרות מעקב אחר הגעת הנתונים ליעדם והגבלת הגישה לנתונים על בסיס "הצורך לדעת".