אגף שוק ההון במשרד האוצר פרסם אתמול (א') טיוטת חוזר בה נקבעות דרישות אבטחת מידע חדשות לגופים המוסדיים, המנהלים בין היתר את כספי החיסכון הפנסיוני של הציבור בישראל.
לאור מרכזיות הגופים המוסדיים בשוק ההון הישראלי, ולאור הסיכון הגבוה בתחום אבטחת המידע, מצופה מהם לנהל את סיכוני אבטחת המידע בסטנדרטים הגבוהים ביותר.
מטרת החוזר היא להבטיח את שמירת זכויות החוסכים על ידי שמירה על סודיות, שלמות וזמינות המידע, מערכות המידע והתהליכים העסקיים של הגוף המוסדי. החוזר מגדיר ומגביר את אחריות דירקטוריון והנהלת הגוף המוסדי לניהול תהליכי אבטחת מידע וסיכוני סייבר מתמשכים, להנחיה ופיקוח על יישום אבטחת המידע, ולמעורבות רציפה של גורמי אבטחת המידע במכלול פעילויות הגוף המוסדי.
החוזר אף יוצר פלטפורמה לפעילות דיגיטלית מלאה מול ציבור החוסכים, מאפשר שימוש במחשוב ענן, ומרחיב את ההיבט הרגולטורי בתחום הסייבר. זאת, נוסף על הסדרת פעילות הממשל התאגידי הקשורה להיבטי סיכוני אבטחת מידע וסייבר.
איסוף מודיעין
במסגרת ההוראות החדשות נדרשים הגופים לאסוף מודיעין כנגד מתקפות עתידיות במערכת הפיננסית ולהתכונן להפעלה דיגיטלית מלאה של מערכות המידע, כולל שיווק ומכירה והעברת מידע של מוצרי ביטוח ומוצרים פנסיוניים. זאת, נוסף על דרישה להיערכות הגופים לאירועי חירום, תוך תרגול ומתן דיווח שוטף לאוצר בנושא.
הגופים יורשו לעשות שימוש במערכות ענן, בכפוף להערכת סיכונים ייעודית ולהחלטת דירקטוריון. אחסון מידע אודות החוסכים לפנסיה בענן הקיים מחוץ לגבולות המדינה יוּתר רק בתנאי שספק הענן מציע רמת הגנת פרטיות בהתאם להוראות הדין הישראלית ועומד בהגדרת הגנת מידע ופרטיות של האיחוד האירופי.
באוצר מסבירים שניהול סיכוני אבטחת מידע הנו נדבך מהותי בניהול טכנולוגיות המידע לאור מרכזיות מערכות המידע בתהליכים העסקיים של הגופים המוסדיים ולאור הגידול בסיכונים להם הם חשופים בתחום זה, לרבות סיכוני סייבר.
האפשרות לעשות שימוש במערכות ענן צפויה להקטין הוצאות רכישה גדולות על מערכות מידע ותוכנות תשתית לגופים המוסדיים. בנוסף צפוי הענן לאפשר לגופים גמישות תפעולית רבה בשימוש מערכות המידע הנדרשות מהם ובצורך להגדילם במצבי חירום.
עסקים וארגונים הפועלים בסקטור הפרטי יכולים ללמוד רבות מחוזר זה, שכן אבטחת מידע הפכה במהלך השנים האחרונות לאחד הנושאים הרגישים ביותר בקרב מעסיקים. בארגונים רבים המידע הוא הנכס החשוב ביותר בו הם מחזיקים.
סקר שנערך ב-2013 בבריטניה מלמד שהיעדר מודעות של עובדים לסוגיית אבטחת המידע מהווה סיכון רב עבור הארגון. על המעסיק מוטלת האחריות להביא לידיעת העובדים את הדרוש על מנת להתנהל בצורה נכונה ולמנוע חשיפה של הארגון להתקפות סייבר.
נוסף על כך, לא פעם שימוש לא חוקי במידע בעל ערך עסקי רב של הארגון נעשה דווקא מבית. שיעור מקרי התרמית מצד עובדים כבר מזמן אינו מצוי בשוליים, וקיימת חשיבות רבה למתן ההרשאות הרלוונטיות לנגישות למידע בהתאם לתפקיד העובד ולמיקומו בהיררכיה הארגונית, תוך מעקב אחר העובדים להם הרשאה על מנת לוודא שאינם מנצלים לרעה מידע רגיש המגיע לידיהם.
