"כדי לבחון את היערכות והתנהלות הגופים המוסדיים בנושא הסייבר, בחרנו לבצע מתקפות תרגול יזומות בכ־20 גופים מוסדיים במטרה לאתר חולשות ופרצות", כך סיפרה הממונה על שוק ההון, ביטוח וחיסכון, דורית סלינגר, בכנס הסייבר של לשכת המסחר בריטניה ישראל, שהתקיים ביום שלישי השבוע. "פעילות זו התגלתה כיעילה ביותר. קיבלנו מושג אמיתי מהשטח כיצד מנוהל הסיכון בגופים, ומצאנו פרצות שחלקן היו דרמטיות וחמורות, שתוקנו. דוגמאות לפרצות שהתגלו ונוצלו כדי לממש תקיפה וחדירה הן שימוש במערכות הפעלה שאינן מעודכנות כנדרש, מידע רגיש שנשמר ללא הגנה מספקת ובניגוד לנהלים, מנגנוני סינון תוכן ודואר אלקטרוני שנעקפו בקלות ושימוש במדיניות סיסמאות חלשה".
סלינגר סיפרה כי במסגרת התרגיל נכנסו שני גברים לגופים המוסדיים שנבדקו, "לשני הגברים לא היה אישור כניסה אך למרות זאת הם הצליחו לעקוף את אבטחת הבניין. לאחר זמן קצר הם חדרו לרשת הפנימית של הגוף המוסדי לאחר שנטרלו את כל מנגנוני ההגנה. שניהם השיגו שליטה מלאה על מערכות הליבה של החברה, על שרתי המיילים, על מערכות הנתונים, על בסיסי הנתונים ובעצם, על מה לא?" סיפרה הממונה. לדבריה, הביקורות של הרשות, כמו גם מגוון פעילויות נוספות בתחום הגנת הסייבר, הן פועל יוצא של שמירת עניינם של מבוטחים וחוסכים.
"אנו מבינים כי אחד הנושאים הבוערים היום הוא איך להגן על מבוטחים מפני מתקפות סייבר. הרי אנחנו עדים לניסיונות ואף להצלחות של מתקפות שהתרחשו במדינות שונות על גופי ממשלה, בנקים וחברות גדולות", הדגישה סלינגר והוסיפה כי "כל מנהלי הגופים מצאו ערך רב בממצאי הביקורת שהוצגו להם, הפנימו ותיקנו את הליקויים באופן מיידי. אנו מתכוונים להמשיך ולפעול בדרך זו ואף להרחיבה".
פעילות רגולטורית ותשתיתית
לדברי הממונה על שוק ההון, פעילות הרשות מתחלקת למספר נדבכים. ראשית, מבחינה רגולטורית, באפריל 2017 נכנס לתוקף חוזר מפורט לניהול סיכוני הסייבר. בנוסף, הרשות פועלת גם מבחינה תשתיתית. "קיימת חשיבות רבה בשיתוף פעולה בין גופי הממשלה השונים, למשל עם הרשות הלאומית להגנת הסייבר, שהקמתה הוא צעד מבורך והכרחי לזיהוי והתמודדות עם איומים רחבים ברמה משקית" מפרטת הממונה. "לשם כך רתמנו כבר בשלבי ההקמה של ה־cert הלאומי, את הגופים המוסדיים המרכזיים להתחברות למרכז הרציפות הפיננסית, ואנו רואים בכך ערך פוטנציאלי גדול. נמשיך לפעול לחיבור כלל הגופים המוסדיים לתשתית חשובה זו, כמו כן, הרשות פועלת לאישור מוצרי ביטוח".
חברות הביטוח מציעות כיום ביטוח מפני התקפות סייבר, בעיקר לעסקים גדולים ובינוניים. אנו צופים כי תחום זה יתפתח בקרוב גם למבוטחים שאינם בעלי עסק. שוק הביטוח מהווה מטבעו מנגנון להתמודדות עם סיכון. אנו רואים מגמה הולכת וגדלה של פעילות ביטוח מפני סיכוני סייבר שעלולים לבוא לידי ביטוי בכל מכשירי האלקטרוניקה שנפוצים היום, למשל טלוויזיות חכמות, סטרימרים, פלייסטיישן, מצלמות אבטחה ביתיות, מזגנים, איי־רובוט, ובית חכם", אמרה סלינגר.
בכנס חשפה סלינגר כי רשות שוק ההון מגייסת שני מומחי סייבר לרשות, שתפקידם יהיה להגביר את היערכות הגופים המוסדיים להתקפות סייבר. "בתקופה הקרובה נושא הסייבר יהיה בראש סדר העדיפויות שלנו מתוך מטרה להגן על מבוטחים וחוסכים, ולמנוע פגיעה בגופים מוסדיים ובכלכלה הישראלית".