ממצאי תרגיל הסייבר: ליקויים מהותיים בחלק מהגופים המוסדיים

תרגיל שדימה מתקפת סייבר כנגד גופים מפוקחים במגזר שוק ההון התקיים בסיום השנה שעברה; כמו כן, נבדקה גם ההתנהלות מול הספקים איתם עובדים הגופים
שיתוף ב facebook
שיתוף ב twitter
שיתוף ב linkedin
שיתוף ב whatsapp
שיתוף ב email

בגופים רבים לא קיים נוהל התאוששות, או לחלופין קיים נוהל התאוששות לא מקיף לאחר התממשות אירוע סייבר". כך עולה מממצאי הביקורת שערכה רשות שוק ההון, ביטוח וחיסכון בעקבות תרגיל ההתמודדות עם מתקפות סייבר והמשכיות עסקית, שהגופים המוסדיים הונחו לבצע בחודש נובמבר האחרון.

התרגיל דימה מתקפת סייבר כנגד גופים מפוקחים במגזר שוק ההון, אשר מומשה הן דרך הגופים עצמם והן דרך שרשרת האספקה שלהם. בתרגיל הונחו הגופים להתייחס לכלל תחומי הפעילות (ביטוח לסוגיו, גמל ופנסיה) ויעדי השירות שהוגדרו על ידי החברות בחירום, ולכל הפחות, לתהליכי הפדיונות, תשלום קצבאות, תביעות, ניהול השקעות וניהול קשרי לקוחות.

הגופים המוסדיים נדרשו לתרגל דיווח לגורמים חיצוניים | צילום: Shutterstock

בנוסף, במסגרת התרגיל נדרשו הגופים המוסדיים לתרגל באופן מתודי פנייה או דיווח לגורמים חיצוניים. המענה וההתמודדות של הגופים המוסדיים עם התרחיש שתורגל והתרשמות נציגי הרשות שנכחו בתרגיל מהווים את הבסיס לממצאים שפרסמה בשבוע שעבר הרשות.

בביקורת מצוין עוד, שחוזר "ניהול סיכוני סייבר" שמנחה את הגופים להגדיר תכנית התאוששות ויעדי התאוששות מאירוע סייבר עד לתפקוד מלא בעת חזרה לשגרה, תוך התייחסות לאיומי הייחוס, תרחישי הייחוס, יעדי השירות בחירום שקבע לעצמו ויעדי השירות שהוגדרו בחוזר ניהול המשכיות עסקית.

עוד נמצא בביקורת כי בנושא מיפוי נכסי מידע, בחלק מהגופים לא קיים מיפוי או שקיים מיפוי חלקי בלבד של נכסי המידע על כלל מרכיביהם – מאגרי נתונים, התקנים או רכיבים של סביבה התומכים בפעילויות הקשורות במידע, לרבות תשתיות.

אין נוהל מחייב

בבדיקת הפעילות בנושא אבטחת סייבר אל מול הספקים עמם עובדים הגופים המוסדיים, נמצא במספר גופים כי בחינת תכנית ההמשכיות העסקית של הספקים החיצוניים המהותיים לא כללה בחינת היערכות הספקים למצבי חירום בסייבר ובכלל זאת: במספר גופים נמצא כי ישנו ספק מהותי אשר מהווה ספק יחיד, כאשר לא נערכו סקרי אבטחת מידע ממוקדי המשכיות עסקית אשר בוחנים את יכולת ההתאוששות של אותו ספק ויכולתו לחזור ולספק לחברה שירותים; כמו כן, נמצא כי נהלי החירום של הגופים לא כוללים הנחיות לשימוש במידע באתרי הספקים ומחיקת מידע בחלוף פרק זמן מוגדר מראש בקרות אירוע סייבר הכולל דלף מידע של לקוחות הגופים.

בכמה גופים נמצא כי לא קיים נוהל המנחה התנהלות בקרות אירוע המחייב ניתוק תקשורת עם ספקים חיוניים וההשלכות התפעוליות והעסקיות הנגזרות מניתוק תקשורת; במספר גופים נמצא כי לא קיימת תכנית סדורה להתנהלות מול בנקים במתארי שיבוש שונים של פעילות.

הרשות מדווחת גם כי "נמצאו מקרים בהם לא תורגל הדירקטוריון במסגרת תרגיל ההמשכיות עסקית, או לחלופין תורגל באופן תאורטי בלבד או באופן מינורי, ללא מעורבות מספקת בכלל תהליכי והתפתחויות התרחיש, וללא מעורבות בנקודות מהותיות להמשכיות עסקית בהתממשות אירוע סייבר". עוד נמצא כי ישנם גופים בהם לא קיימת הגדרה של בעלי תפקידים ותחומי אחריותם במצב של משבר בסייבר.

מהרשות נמסר, כי לאור חשיבות הנושא, תימשך בחינת היערכות גופים מוסדיים להמשכיות עסקית בבדיקות פרטניות ובתרגילים, לרבות בחינת הטיפול בליקויים שנתגלו בגופים מוסדיים במהלך התרגילים.

שיתוף ב facebook
שיתוף ב twitter
שיתוף ב linkedin
שיתוף ב whatsapp
שיתוף ב email