הממונה על שוק ההון, ביטוח וחיסכון ד"ר משה ברקת הטיל קנס כספי בסך של 10,720,000 ש"ח על חברת הביטוח שירביט (היום בבעלות קבוצת הראל ביטוח).
בהודעת הרשות נמסר כי "העיצום הכספי הוטל בגין הפרות משמעותיות ונרחבות של הוראות הממונה בתחום ניהול סיכוני הסייבר. הרשות התרשמה כי ניהול סיכוני הסייבר בחברה אינו מבוצע בצורה נאותה ובהתאם להוראות הממונה בעניין זה. לחברה נערך הליך של שימוע שלאחריו החליט הממונה כי בשל ממצאי הביקורת יוטל על החברה העיצום הכספי".
דליפת מידע רגיש
ביקורת הרשות בחברת שירביט התקיימה בעקבות מתקפת סייבר חמורה על החברה שהתרחשה לפני כשנה. המתקפה שבוצעה על ידי קבוצת ההאקרים BlackShadow הביאה לדליפת מידע רגיש על מבוטחי החברה ועובדיה. המתקפה שהדהימה את ענף הביטוח שיתקה את המערכות של שירביט לכמה ימים. קבוצת ההאקרים פרסמה באפליקציות טלגרם וטוויטר מידע פרטי נרחב ובו רישיונות ותעודות זהות של לקוחות החברה, תלושי משכורת של עובדים, הצעות לביטוח ללקוחות ואף הקלטת שיחה של לקוחה שהתקיימה עם נציגת שירביט.
בין לקוחות שירביט שפרטיהם האישיים פורסמו באופן זה, היו בכירים במערכת הביטחון וגם נשיא בית המשפט המחוזי בתל אביב. בהמשך פורסמו גם פרטי כרטיסי אשראי של לקוחות החברה. ההאקרים דרשו כופר בסך 50 ביטקוין (כמיליון דולר), וזאת תוך 24 שעות. הם איימו כי אם הסכום לא יועבר – המידע שבידיהם יופץ או יימכר לאחרים. שירביט לא נענתה לדרישת הכופר ובדוחותיה הכספיים לשנת 2020 היא ציינה כי מבחינתה האירוע הסתיים.
לא פעלה ע"פ הנהלים
ההפרות בתחום ניהול סיכוי סייבר בחברת שירביט התגלו בביקורת מקיפה בנושא שערכה הרשות במהלך שנת 2020. בביקורת נמצא, כי "בשנים 2018-2020 החברה הפרה רבות מהוראות הממונה בעניין ניהול סיכוני סייבר, הן בהיבטים טכנולוגיים והן בהיבטי ממשל תאגידי וניהול שוטף. בין היתר, נמצא כי החברה לא הקצתה משאבים נאותים לתחום מערכות המידע והגנת הסייבר, כי לא התקיימו מנגנוני בקרה ופיקוח נאותים בתחום ניהול סיכוני סייבר וכי החברה לא פעלה בהתאם לנהלים, תכניות העבודה ותוכניות סקרי הסיכונים, לרבות אלו אותם הגדירה בעצמה.
כמו כן, בביקורת עלה כי מערכות טכנולוגיות מרכזיות ומהותיות לניהול סיכוני הסייבר לא הופעלו בצורה נאותה, לא עודכנו, לא טויבו, או לא הותקנו כלל. אי העמידה בהוראות הממונה הביאה לכך שהחברה הייתה מצויה בחשיפה מהותית לסיכוני סייבר וכי רמת הניהול של סיכונים אלה לא עלתה בקנה אחד עם רמה ההולמת גוף מוסדי.
הממונה ברקת מסר: "הביקורת משדרת מסר ברור לפיו הרשות מצפה כי גופים מוסדיים ינהלו את סיכוני הסייבר ברמה גבוהה, וכי היא תמשיך לפעול בנחישות ובעקביות להבטיח טיפול נאות בסיכונים אלה".
בחברת שירביט בחרו שלא להגיב.
