נדרשו "ניהול סיכונים והיערכות מראש" – דר' נמרוד קוזלובסקי על התקפת הסייבר על שירביט
This post is also available in: 
English (אנגלית)
התקפת הסייבר על חברת הביטוח הישראלית שירביט בשבוע שעבר כבר הביאה לזליגה של נתונים רבים של החברה וחשפה מידע אישי של לקוחות ועובדים, כאשר החברה מסרבת בינתים לשלם את הכופר שדורשת קבוצת Black Shadow.
התקפת הכופרה מגבירה את החששות לגבי רמת העמידות של מוסדות וארגונים פיננסיים להתקפות סייבר, ומעלה שאלות לגבי תפקיד הרגולציה במקרים כאלה, ובעיקר איך אפשר להבטיח שבפעם הבאה חברות פיננסיות יהיו מוגנות יותר.
בראיון מיוחד ל-iHLS, אומר דר' נמרוד קוזלובסקי, ראש מחלקת טכנולוגיה ורגולציה בהרצוג פוקס נאמן:
"הסקטור הפיננסי מצוי תחת רגולציה קפדנית באשר לניהול סיכוני הסייבר ומחויב בתקנות מפורטות באשר לאופן הערכת הסיכון, הטמעת בקרות, ניהול אמצעי האבטחה ונהלי אבטחה וכן כפוף לחובות דיווח באשר לאירועי סייבר.
באירוע הנוכחי כאשר חברת שירביט, אשר כפופה לרגולציה של רשות שוק ההון, ביטוח וחסכון, הבינה כי היא נתונה לאירוע של דלף מידע וסחיטה, היא פעלה מול הרגולטור הן בדיווח על האירוע ובחקירתו והן מול מערך הסייבר הלאומי להנחייה ולתיאום החקירה".
לדבריו, "אירוע כזה מטיל שורה של חובות על החברה המותקפת הן בחקירתו והן בדיווח על האירוע לרשויות, לרשות שוק ההון ובמידה שמדובר במידע אישי, שדלף גם לרשות להגנת הפרטיות. חברה נסחרת אף חייבת בדיווח מיידי לבורסה. כמו כן, לאור תיקונים בחקיקת הגנת הפרטיות ישנן חובות דיווח לנשואי המידע במקרים הרלוונטיים". לצד זה, מוסיף דר' קוזלובסקי, "ישנן לרוב חובות משפטיות מכוח חוזים, המחייבות הן בחקירת האירוע והן בדיווח עליו לצדדים שלישיים עמם החברה מתקשרת, לרבות מבטחי הסייבר של החברה ומבטחי משנה. החברה מחויבת לבצע חקירה קפדנית פורנזית של האירוע ולפעול לתיחום האירוע ולמזעור הנזק הפוטנציאלי לנפגעים".
לדברי דר' קוזלובסקי, "באירוע הנוכחי מתעורר אתגר משפטי יחודי הנוגע לתשלום דמי כופר. הדין שהיה עמום בעבר באשר לחוקיות תשלום דמי כופר פורש לאחרונה על ידי הרשויות, והגישה השלטת היא שתשלום דמי כופר עלול להיות בניגוד לדין בהיבטי הלבנת הון ומימון טרור וכן להפר את חקיקת הסנקציות האמריקאית, האוסרת סחר עם מדינות ויישויות שונות. לפיכך, החברה בדילמה האם תשלום דמי הכופר שלעצמם אינו חושף אותה משפטית".
שאלנו איך אפשר להבטיח שבפעם הבאה חברות פיננסיות יהיו מוגנות יותר?
לדברי דר' קוזלובסקי, "הטיפול הנכון מבחינת שירביט וחברות דומות היה בהיערכות מראש ולא במענה בדיעבד. היערכות מראש לניהול סיכון הסייבר, בהתאם לרגולציה ולפרוטוקולי ניהול סיכון מקובלים, היתה יכולה למנוע את האירוע. בכלל זה, הקפדה על הצפנת מידע רגיש, הגבלות גישה למידע רגיש, הקשחת מערכות הזדהות והרשאות ובקרה על גישות חריגות ודלף מידע היו יכולות למנוע את האירוע".
והמסקנה – "יטיבו לעשות חברות אחרות אם תערכנה מראש לניהול הסיכון ולא תהיינה חשופות לחסדי התוקפים".
