רשות ניירות ערך תבצע בדיקות עומק של סיכוני סייבר בתאגידים ובחברות

בתוכנית העבודה השנתית של הרשות, איומי הסייבר תועדפו בחשיבות גבוהה • בנוסף, הוגשה בקשה לפיה החברות יחוייבו להרחיב את המידע עליו הן מדווחות

סיכוני סייבר / אילוסטרציה: Shutterstock
סיכוני סייבר / אילוסטרציה: Shutterstock

בעולם כבר מבינים שצריך להיערך למתקפות סייבר. לצד חקיקה והגברת החשיבות של הנושא בארה"ב, יו"ר הרשות לניירות ערך בארה"ב (SEC), גארי גנסלר, הודיע שיבחן את האפשרות שחברות ציבוריות ידרשו לדווח בשקיפות מלאה למשקיעים על אופן ניהול והגנת הנתונים האישיים של הלקוחות ועל ההערכות למשברי סייבר שיכולים לבוא.

בצורה דומה, גם בישראל הבינו שצריך להתמקד בכל הקשור לאיומי סייבר - ברשות ניירות ערך נקבעה תכנית העבודה השנתית, ונושא סיכוני הסייבר קיבל עדיפות משמעותית.

בוחנים מחדש את עמדת הרשות על איומי סייבר

מי שאמונה על בחינות עומק של החברות היא מחלקת הביקורת ברשות ניירות ערך. רו"ח ועו"ד יעקב יודקביץ, מנהל המערך הפיננסי במחלקת תאגידים של הרשות לניירות ערך, מספר לגלובס כי הנושא מתועדף לשנה הקרובה. "אחד הנושאים המתוקנים להם לשנה הקרובה הוא ביקורות עומק בנושא של סיכוני סייבר. הם צפויים לבדוק את הגילויים שניתנו במדגם חברות ותאגידים המפוקחים ע"י הרשות - האם הן סיווגו נכון את הסיכון והאם הגילוי מפורט כנדרש. בנוסף לכך, הם יבדקו את התחום של אירועי סייבר ספציפיים - האם היו אירועים שלא דווחו והאם הדיווחים שכן התקבלו היו כמו שצריך. הביקורת תביא לנו חומר למחשבה וניסיון נוסף ותסייע לנו לגיבוש העמדה".

בתכנית העבודה מתוכנן גם לבחון מחדש את עמדת הסגל של הרשות שפורסמה לפני שלוש שנים. על פי עמדת הרשות כיום, החברות מחויבות להביא "סיכום קצר של האיומים, החולשות וגורמי הסיכון האחרים של התאגיד, הנובעים מסביבתו הכללית, מן הענף ומן המאפיינים הייחודיים שבפעילותו". הסיכום צריך להיות בהיר ותמציתי ולהסביר איך הסיכונים משפיעים על התאגיד. לצד זאת, החברות צריכות להציג טבלה שמציגה "סיכוני מקרו, סיכונים ענפיים, סיכונים מיוחדים לחברה - וידורגו בקטגוריות על פי השפעתם".

במסגרת הדיווח, החברה צריכה לשקול את המהותיות בנושאים שונים כמו: ההסתברות להתרחשות תקיפות סייבר, אפקטיביות למנוע או להקטין את החשיפה לסיכונים, הפוטנציאל לפגיעה בנכסים, המשאבים ועוד. כמו כן, התאגיד צריך לתאר בצורה תמציתית את עיקרי האירועים החורגים מעסקי התאגיד שהתרחשו ואת הפרטים כפי שהוא יודע.

 

יודקביץ’ מסביר ששנה לאחר פרסום העמדה הם עשו מהלך חריג. הם ערכו השוואה של כמות והיקף הגילויים של החברות, לפני ואחרי פרסום העמדה, וראו שלפרסום העמדה הייתה השפעה מאוד משמעותית וחברות התייחסו לזה יותר. בעקבות התגברות האיומים, בתכנית העבודה השנתית שלהם לשנת 2022 נבחן עדכון של עמדת הסגל.

"אנחנו מבינים שזה נושא שגובר ולכן אנחנו בוחנים את עדכון העמדה. צריך למצוא למצוא את האיזון של גילוי שייתן למשקיעים את המידע החשוב, אך לא ילאה אותם עם עודף מידע. בסוף אנחנו צריכים לתת לגילוי הזה מקום לצד הגילויים האחרים".

"כיום הדיווחים של החברות הן בדיחה"

ברשות מסתכלים על העולם ומה שקורה שם, והם בוחנים כמה שינויים. "ייתכן שנבחן מה נחשב אירוע מהותי לעניין גילוי בדוח השנתי - האם אירוע שהיה בעל פוטנציאל השפעה מהותית רעה אך החברה ניצלה ממנו ייחשב עניין מהותי. אם החברה הצליחה להיחלץ מאירוע, האם זה אומר שזה לא מהותי למשקיעים לדעת?", מסביר יודקביץ'.

אחת ההצעות שעולות לשולחן הרשות, היא בקשתה הרשמית של מנכ"ל חברת קונפידס, רם לוי, שמציע שחברות יהיו מחויבות להרחיב את המידע עליו הן מדווחות. "הבעיה היום שהדיווחים של חברות הן בגדול בדיחה. אי אפשר להבין מהדיווח פרטים חשובים. הדגש צריך להיות דיווח על מצב הגנת הסייבר של החברה וההערכות שלה לאירוע סייבר, ופחות על כך שהיא נתקפה, אלא אם מדובר באירוע מהותי. כיום יש בידי המשקיעים מידע מועט. הרחבת הדיווח ייתן למשקיעים הבנה רחבה יותר ויהיה אפשר לגזור השלכות פיננסיות".

על פי הבקשה הרשמית, המשקיעים צריכים לקבל את כל המידע הרלוונטי על האיום בסייבר: האם יש לחברה מנהל הגנת סייבר, מה הדרגה שלו בארגון, מה התקציב שמושקע, אילו גיבויים קיימים, האם מנטרים את המערכות הקריטיות, כל כמה זמן עושים סקרים ומבדקי חדירות למערכות הקריטיות, מה הממשל התאגידי של ניהול סיכון סייבר ועוד.

הרשות לא התייחסה להצעה הספציפית הזו, אך בשיחה עם יודקביץ’ הוא מפרט כי הם מסתכלים על הגילויים של החברות בכללותם, לא רק בתחומי סייבר. "רוב דרישות הגילוי של דיני ניירות ערך מתוארות בצורה כללית יותר, וכל חברה מתאימה לנסיבות שלה. כבר בעמדה הקיימת אנחנו מבקשים להתייחס לשאלה אם יש מדיניות הגנה, איך מפקחים עליה והאם היא אפקטיבית". יודקביץ' מסביר שכבר עכשיו מדובר בגילוי רחב יותר ביחס ליתר הסיכונים.

לצד זאת, אילן פלטו, מנכ"ל איגוד החברות הציבוריות, מתנגד להצעה. "החברה מנסה ליצור רגולציה לטובתם כדי לנצל את זה לצרכים עסקיים. כיום כבר יש כללים ברורים לגבי דיווח באירועי סייבר - איך צריך לדווח, כמה פעמים, איפה ובאיזה עיתוי. מדובר בהצעה שתגדיל את הנטל על החברות הציבוריות, זה ייצור דחייה וירחיק חברות פרטיות מלהיות חברות ציבוריות. ההנחיות היום מספקות ומכסות את כל האפשרויות".