1. No category

‫מה חברי ועדת ביקורת צריכים לדעת על פרטיות המידע וסייבר‬
‫חנן טויזר‪CISA ,‬‬
‫על פי דיווחים במספר בלוגים אשר עוסקים בנושאי אבטחת מידע וסייבר‪ ,‬עולה כי במהלך מבצע "צוק איתן"‬
‫התקיימה מתקפת סייבר על אתרים ישראלים‪ ,‬על ידי קבוצת האקרים‪ ,‬וזאת מסיבות פוליטיות ולאומיות‪.‬‬
‫לאחרונה התבשרנו על מתקפת האקרים (אשר יוחסה לצפון קוריאה) על מחשבי חברת סוני‪ .‬כנראה כתגובה‬
‫לנסיגת החברה מכוונתה להוציא לאור סרט המעמיד את רודן צפון קוריאה באור מגוחך‪ ,‬ובעקבותיה בוצעה‬
‫מתקפת האקרים על רשת האינטרנט של צפון קוריאה (אשר מיוחסת לארה"ב)‪ .‬למרות שלכאורה מטרת‬
‫ההתקפות לעייל הינן במישור הלאומי‪ ,‬במקרים רבים מנוצלות פעולות לאומניות על ידי גורמים בעלי אג'נדה‬
‫פלילית לטובת קידום האינטרסים שלהם‪.‬‬
‫חדירה לפרטיות ופגיעה במרחב המקוון (‪ )Cybersecurity‬הם סיכונים אשר העולם העסקי נאלץ להתמודד‬
‫עמם מידי יום וההשלכות של פעולות חדירה על חברות מסחריות הופכות להיות יותר ויותר משמעותיות‪.‬‬
‫לאחרונה פרסם ארגון ה‪ International Organization of Securities Commissions, IOSCO -‬דוח אשר‬
‫מצביע על כך שבמהלך השנה האחרונה סבלו מחצית מכלל הבורסות בעולם מהתקפות סייבריות‪ .‬מהדוח‬
‫עולה כי חל גידול בהיקף ההתקפות המקוונות כנגד מוסדות פיננסיים ברחבי העולם‪.‬‬
‫סיכון מהותי נוסף הינה דליפת מידע‪ ,‬אשר אינה נובעת בהכרח מפעילות האקרים בלבד‪ .‬במקרים רבים דלף‬
‫של מידע רגיש נגרם על ידי גורמי פנים כתוצאה מליקויים באבטחת המידע‪ .‬במקרה ראוי לציון‪ ,‬קבוצת‬
‫לינקולן (‪ ,)Lincoln Financial Group‬אשר הינה חברה אמריקאית ואחת מ‪ 055 -‬החברות המובילות של‬
‫מגזין ‪ ,Fortune‬נקנסה בכ – ‪ $066,666‬ע"י הרשות הרגולטורית לתעשייה פיננסית (‪ ,)FINRA‬מאחר ונמצאו‬
‫ליקויים בבקרות לשמירת מידע של לקוחות‪ .‬זאת כתוצאה מסיסמאות חלשות אשר אפשרו למספר גדול של‬
‫עובדים קיימים ואף עובדים לשעבר לחלוק שמות משתמש וסיסמאות וכך לחשוף יותר ממיליון רשומות של‬
‫חשבונות לקוחות בתקופה של למעלה מ – ‪ 7‬שנים‪.‬‬
‫חשיפות כאלו יכולות לערער את ביטחון הלקוחות והציבור‪ ,‬לגרום להוצאות משפטיות ויחסי ציבור בעלות‬
‫של מיליוני דולרים ולהוביל לאובדן הכנסות‪ ,‬כאשר לקוחות יעברו למתחרים‪ .‬לכן‪ ,‬אין זה מפליא שנושאי‬
‫אבטחת מידע מושכים יותר תשומת לב מההנהלה‪ ,‬דירקטוריונים וחברי ועדות ביקורת – אשר אחראים בין‬
‫היתר על הפיקוח אחר ניהול הסיכונים בתאגיד‪.‬‬
‫מאחר ופרצות אבטחה יכולות להביא לגידול של החשיפות לסיכונים תפעוליים‪ ,‬אסטרטגיים‪ ,‬פיננסיים‪,‬‬
‫מוניטין וציות‪ ,‬ועדות הביקורת רוצות לדעת אילו צעדים אקטיביים ההנהלה נוקטת כדי לטפל בסיכונים‬
‫הקשורים להגנת הפרטיות והאבטחה‪ .‬בשנים האחרונות אנו עדים לכך שהנושא של מניעת פרצות אבטחה‬
‫נכלל ביותר ויותר דיונים של ועדות ביקורת בארה"ב ובישראל‪.‬‬
‫מהן השאלות שצריכים לשאול חברי ועדות ביקורת מודאגים את ההנהלה? איך ועדות ביקורת יכולות לקבוע‬
‫את האפקטיביות של מאמצי ההנהלה להבטיח את הפרטיות והאבטחה של נכסי מידע? להלן ‪ 5‬שאלות‬
‫רלוונטיות שמומלץ לחברי ועדת ביקורת לשאול‪.‬‬
‫‪ .1‬על איזה נכסי מידע קריטי על הארגון להגן?‬
‫נכסי מידע משתנים בכל עסק‪ .‬הם יכולים לכלול סודות מסחריים‪ ,‬תוכניות מוצרים ותחזיות‬
‫הכנסות‪ ,‬כמו גם מידע פיננסי‪ ,‬רפואי או אישי על לקוחות ועובדים‪.‬‬
‫חוקים ותקנות מסוימים יכולים לקבוע כי נכסי מידע מסוימים יוגנו בדרכים קבועות‪ .‬כצעד ראשון‪,‬‬
‫ההנהלה צריכה לקבוע מהם חוקי הפרטיות והתקנות הרלוונטיים לארגון שלהם ולתעשייה אליה‬
‫הם משתייכים‪ .‬ברגע שדרישות העסק והציות מובנות ההנהלה יכולה לסווג את נכסי המידע של‬
‫הארגון לפי הקריטיות שלהם וצרכי הגנת המידע (למשל‪ ,‬חסוי‪ ,‬מוגבל‪ ,‬לשימוש פנימי בלבד‪ ,‬בלתי‬
‫מוגבל)‪ .‬ע"י סיווג נכסי המידע‪ ,‬ארגונים יכולים לקבוע בצורה טובה יותר על אלו נכסים יש להגן‬
‫ואיך לטפל בהם‪ .‬סיווג נכסי המידע יכול גם לשרת כבסיס לאחר מכן לקביעת סיכון‪ ,‬קביעת מדיניות‬
‫וחיזוק סביבת האבטחה והפרטיות של הארגון‪.‬‬
‫‪ .2‬איך סיכוני אבטחה נקבעים‪ ,‬מנוטרים ומדווחים?‬
‫ההנהלה צריכה לבצע הערכת סיכוני אבטחה כדי להעריך את האמינות‪ ,‬הזמינות ורמת הסודיות‬
‫של נכסי המידע בארגון‪ .‬הערכת הסיכון קובעת את הסבירות וההשפעה של פרצה קיימת‪/‬‬
‫פוטנציאלית ע"י הערכת התהליכים העסקיים ומערכות המידע‪ ,‬האנשים‪ ,‬הטכנולוגיה והפיקוח‪.‬‬
‫ברגע שתושלם‪ ,‬הערכת הסיכונים יכולה לעזור להנהלה לתעדף סיכונים של נכסי המידע של הארגון‪,‬‬
‫לזהות פערים ולקבוע פעולות שיש לבצע כדי לתקן ליקויים באופן מיידי ולטווח הארוך‪.‬‬
‫הערכת סיכוני האבטחה צריכה להתעדכן כל שנה וצריכה לכלול פירוט של פעולות מתקנות שיש‬
‫לבצע‪ .‬משימות אלה בדרך כלל נחלקות בין מחלקת אבטחת המידע‪ ,‬קצין הציות והביקורת פנימית‪.‬‬
‫כדי שהארגון יבטיח שהנושאים מטופלים כהלכה‪ ,‬על הארגון לשאוף לכך שביקורות והערכות‬
‫סיכונים צריכות להתבצע ע"י צדדים עצמאיים‪ ,‬בלתי תלויים בתהליכי העבודה‪ .‬ביקורות אבטחת‬
‫מידע והערכת סיכונים יכולות לכלול‪ ,‬בין היתר‪ ,‬הערכות פגיעות‪ ,‬מבחני חדירה לרשת‪ ,‬בדיקות‬
‫אבטחה ליישומי אינטרנט ובקרת גישה‪ .‬הארגון צריך להשתמש בתהליכים אלה כדאי לעקוב אחר‬
‫התקדמות תיקון הפערים ולדווח על תוצאות הביקורות‪ ,‬הסקרים ופעולות התיקון לועדת‬
‫הביקורת‪.‬‬
‫במהלך דיונים אלה‪ ,‬ועדת הביקורת צריכה להיות מודעת לבקרות שההנהלה הטמיעה כדי להגן על‬
‫המידע הרגיש של הארגון‪ .‬ועדת הביקורת צריכה לוודא כי מתקיימות הפעולות הנדרשות על מנת‬
‫להגן על המידע‪ .‬למשל‪ ,‬האם הארגון מאפשר גישה למשתמשים רק למידע שהם צריכים על מנת‬
‫לבצע את עבודתם כהלכה? האם דליפת מידע או כישלונות במערך האבטחה התרחשו בזמן‬
‫האחרון? אם כן‪ ,‬איך טופלו ואיך יימנעו בעתיד? האם התרחשו דליפות מידע בארגונים אחרים‪,‬‬
‫מהן ניתן ללמוד על החשיפה לארגון?‬
‫איומי האבטחה משתנים במהירות וכך גם הטכנולוגיה‪ ,‬מאחר וכך‪ ,‬ועדת הביקורת צריכה לוודא‬
‫שהגורמים האחראיים על הנושא בארגון יהיו מעודכנים באופן שוטף אודות השינויים בשוק ויזהו‬
‫בזמן אמת שינויים ומגמות בנושאי אבטחת סייבר וחוקי פרטיות‪ ,‬איומי אבטחה ואמצעי הגנה‪.‬‬
‫‪ .3‬בידי מי הפקידה ההנהלה את האחריות לנושאי אבטחה ופרטיות?‬
‫ועדת הביקורת צריכה לדעת מי אחראי לשמירת נכסי המידע החשובים של הארגון וצריכה להעריך‬
‫האם התפקידים הקשורים הוקצו כיאות‪.‬‬
‫ועדת הביקורת חייבת להרגיש בטוחה שלגורם האחראי על אבטחת המידע יש הבנה יסודית בנושא‪,‬‬
‫כמו גם ידע מקיף בשיטות עבודה בנושאי אבטחה ופרטיות‪ .‬ועדת הביקורת צריכה להיפגש עם‬
‫הגורם האחראי ולבקש ממנו להסביר‪ ,‬במונחים עסקיים‪ ,‬את סיכוני האבטחה שזוהו והצעדים‬
‫המגנים הקיימים אשר נועדו למנוע ניצול לרעה של הסיכונים‪.‬‬
‫‪ .4‬מה צריך להיות תפקיד הביקורת הפנימית בנושא אבטחה ופרטיות?‬
‫כדי להבטיח שנושאי פרטיות וסייבר מיוצגים בצורה טובה בתוכנית הביקורת הפנימית של הארגון‪,‬‬
‫המבקר הפנימי צריך להקפיד שנושאים אלו יהיו חלק מסדר היום של ועדות הביקורת‪ .‬תחום זה‬
‫הינו מורכב ומקצועי‪ .‬לפיכך‪ ,‬על המבקר הפנימי לרכוש ידע בנושא או להסתייע במומחים ולבצע‬
‫בדיקה של הנושא בתדירת מספקת‪.‬‬
‫‪ .5‬איך הארגון יכול לאמץ תרבות של פרטיות הנתונים ואבטחה?‬
‫בעוד שארגונים רבים חושבים שפרטיות נתונים ואבטחה הם ענייני ‪ IT‬בלבד‪ ,‬במציאות הם נוגעים‬
‫לכל אספקט של הארגון‪ .‬ההנהלה צריכה ליצור תוכנית אבטחה מתמשכת‪ ,‬הנתמכת ע"י מדיניות‬
‫ותהליכים המקדמים אמינות ושמירה על פרטיות מידע‪ .‬האבטחה של נכסי הארגון תלויה בתרבות‬
‫בה כל הארגון אחראי לשמירה על נכסי המידע – לא רק מחלקת ה – ‪.IT‬‬
‫לסיכום‬
‫מידע משחק תפקיד חשוב בהפיכת ארגון למצליח‪ ,‬והארגונים של היום תלויים בנכסי המידע שלהם יותר‬
‫מפעם‪ .‬ארגונים ללא בקרות על נתוני פרטיות ואבטחה עלולים להיות פגיעים במיוחד לדליפות נתונים‬
‫והתקפות סייבר‪ ,‬דבר היכול לגרום לנזק משמעותי‪ .‬תפקיד ועדת הביקורת הוא לפקח על מאמצי ההנהלה‬
‫להגן על נכסי המידע‪ .‬בנוסף‪ ,‬ההנהלה צריכה ליידע את ועדת הביקורת על סיכוני אבטחה ואיומים חדשים‪.‬‬
‫נושאי אבטחת המידע ופרטיות הנתונים צריכים להיות חלק מתוכנית הביקורת הפנימית של הארגון וצריכה‬
‫לכלול הערכות סיכונים וביקורות באופן שוטף‪.‬‬