הפעילות המקוונת חושפת את נותני השירותים הפיננסים לאיומים קריטיים ומשמעותיים, ולמתקפות סייבר שעלולים לשבש את הפעילות התקינה ולגרום בין היתר לדליפת מידע ,לשיבוש ואף לפגיעה בנכסי לקוחות.
בחוזר זה מוגדרים עקרונות המחייבים ניהול סייבר באופן אפקטיבי, עדכני ושוטף על מנת להבטיח את פעילותם התקינה של נותני השירותים הפיננסים ואת השמירה על ענייני לקוחותיהם.
הוראות החוזר יחולו על נותן שירותים פיננסים שהוא אחד מאלה:
- בעל רישיון למתן שירות פיקדון ואשראי;
- בעל רישיון להפעלת מערכת לתיווך באשראי;
- בעל רישיון למתן שירות בנכס פיננסי אשר נותן שירות שבו נשמר ומנוהל נכס פיננסי בחשבון ייעודי המנוהל עבור לקוח מסוים, ואשר מאפשר העברת נכס פיננסי לחשבון אחר. לעניין זה אין נפקא מינה אם מקבל הנכס ומעביר הנכס הם אותו אדם.
- כל בעל רישיון למתן שירותים פיננסיים שאינו מנוי לעיל, ואשר מתקיים בו אחד מאלה:
- הוא שומר באופן מקוון הן את המידע על לקוחותיו וכן את הנכסים הפיננסיים של לקוחותיו;
- הוא משמש מקור מידע או משתמש בנתוני אשראי כהגדרתם בחוק נתוני אשראי, התשע"ו-2016;
- הוא פועל או מבקש לקבל אישור לפעול כנותן שירות מידע פיננסי כהגדרתו בחוק שירותי מידע פיננסי.
תחילתו של חוזר זה תהיה שנה מיום פרסומו [ מועד פרסום החוזר הינו 14.2.2022} וזאת כדי לאפשר לנותני שירותים פיננסים להיערך בהתאם בנוסף תחילתו של החוזר למבקש אישור לפעול כנותן שירות מידע פיננסי או כגוף פיננסי כהגדרתו בחוק שירות מידע פיננסי- התשפ"ב – 2021, תהיה ממועד פרסום החוזר. עמידה בהוראות החוזר היא תנאי לקבלת אישור לפעול כנותן שירות מידע פיננסי.
במסגרת החוזר מוצע לקבוע הוראות העוסקות בהגדרה וביישום התוכנית לניהול סיכוני סייבר על ידי נותן השירותים הפיננסיים, כך שתתייחס להערכת הסיכונים בפעילותו של נותן השירותים הפיננסיים ותכלול תכנית להפחת הסיכונים והתמודדות עמם. במסגרת הערכת הסיכונים, יתקיימו ערוצי דיווח לבעלי עניין ויגבשו תכנית ליישום ביקורת והפחתת סיכונים שזוהו.
מוצע לקבוע הוראות ליישום אמצעי הגנה לצורך הפחתת סיכוני סייבר, והוראות אשר יצרו מעגלי הגנה לחשיפות שונות שמקורן בתוך נותן השירותים הפיננסיים ומחוצה לו.
נותן שירותים פיננסים יינטר מערכות ויאסוף מודיעין באופן רציף וזאת לצורך זיהוי מוקדם של אירועים ועדכון מידי של תמונת מצב.
כמו כן, על נותן השירותים הפיננסים לפעול להגברת רמת המוכנות שלו לאירועי סייבר ופיתוח יכולות אפקטיביות לתגובה לאירועים מסוג זה כגון: קביעת נוהל הערכות , תוכנית התאוששות, קביעת דווח מיידי, תרגול של כלל בעלי תפקידים בנותן השירותים הפיננסים, זאת על מנת לאפשר למפקח לקבל תמונת מצב עדכנית בזמן אמת לצורך בחינת התנהלות נותן השירות הפיננסי וצעדים לצמצום הנזק.
כמו כן לבחון כי מבוצעים תהליכים נאותים של התאוששות והפקת לקחים בעקבות האירוע, ולבחון נקיטת פעולות נוספות ככל שעולה הצורך .
נותן השירותים הפיננסים יהיה מחויב לערוך סקרי סיכונים ומבחני חדירה שיבוצעו ע"י גורם מקצועי חיצוני ובלתי תלוי שמטרתם לזהות חולשות וכשלי אבטחה בנותן השירותים הפיננסים ולבחון את אפקטיביות הבקרות הקיימות בנותן השירותים הפיננסיים.
נותן שירותים פיננסיים ייעזר באמצעי הגנה ליישום במערכות מידע ,בתשתיות התקשורת ובתפעול.
תוצאות מבדקי החדירה וסקירת מערכות המידע של נותן השירותים הפיננסיים יכללו רשימה של כשלי אבטחה שנמצאו במבדקי החדירה, וכן רשימה של חולשות אבטחה שהתגלו בסקירת רכיבי הרשת על בסיס רשומות מפורסמות וגרסת התוכנה של המערכות. נותן השירותים נדרש לטפל בחולשות ובכשלי האבטחה שנמצאו בעקבות הסקרים ומבחני החדירה תוך פרק זמן שהוגדר בהתאם לרמת חומרת החשיפות והכשלים שזוהו.
נותן שירותים פיננסים נדרש ליישם אמצעי הגנה במערכות המידע, בתשתיות התקשורת ובתפעול, אשר מטרתם ליצור קווי הגנה על מערכותיו של נותן השירותים הפיננסיים.
לעניין אבטחת מערכות המידע ותשתיות התקשורת, מוצע לקבוע כי נותן שירותים פיננסיים נדרש להבטיח תהליכי עדכון מבוקרים למערכות ולתשתיות, וליישם עדכוני אבטחת מידע שוטפים באופן תקופתי.
יש לקבוע דרישות הגנת סייבר בניהול משתמשים, הזדהות משתמשים למערכות המידע וניהול הרשאות משתמשים ובקרת גישה, שיעוגנו בנהלים שיקבע נותן השירותים הפיננסיים. הדרישות נועדו למנוע כניסה לא מורשית למערכות נותן השירותים הפיננסיים, ולמנוע פגיעה בסודיות, שלמות וזמינות המידע.
ההרשאות למשתמשים יינתנו על בסיס צורך ולשם ביצוע תפקידם. לא יינתנו למשתמש הרשאות מעבר לנדרש לביצוע תפקידו, וזאת כדי לצמצם סיכונים הנובעים ממתן הרשאות עודפות.
מוצע לקבוע הוראות המתייחסות לאמצעי הגנת סייבר נאותים בתקשורת עם ספקי מיקור חוץ, וזאת במטרה לצמצם את הסיכונים הנובעים ממשקים עם ספקים אשר מעבירים מידע ונתונים או מתחברים למערכות המידע של נותן השירותים הפיננסיים.
מוצע לקבוע הוראות בעניין אבטחה פיסית של נותן שירותים פיננסים, בין היתר – הוראות בדבר יישום בקרות אבטחה פיסיות ואמצעי הגנה, שמטרתם למנוע כניסת גורם לא מורשה למרחב הפיסי או למערכות נותן השירותים הפיננסים שלא באמצעות הרשת, ולהימנע ממקרים בהם גורם לא מורשה מצליח להגיע למערכות או למידע רגיש עקב אבטחה פיסית לקויה.
מוצע לקבוע הוראות להגנה על ערוצי התקשורת עם לקוחות, לרבות מיפוי וניטור ערוצים דיגיטליים, יישום הצפנה ומנגנוני הזדהות חזקים, ושימוש באמצעי זיהוי קבועים כגון: שם משתמש וסיסמא קבועה שהוגדרה ע"י הלקוח. ההוראות לעניין הזדהות הלקוח נחלקות לשתיים-אחת, זיהוי ראשוני של לקוחות בעת רישום לקוחות לשירות והשנייה זיהוי לקוחות בעת התחברותם לערוצי השירות לאחר הזיהוי הראשוני. בעת רישום לקוחות לשירות, על נותן השירותים הפיננסיים לוודא את זהותו של הלקוח המבקש להירשם לשירות, וזאת כאשר לא קיים עדיין אמצעי הזדהות קבוע בידי מבקש השירות . לאחר הזיהוי הראשוני ,נותן השירותים הפיננסיים יזהה את לקוחותיו באמצעות אמצעי זיהוי אשר נקבע בהתאם לנהלים שהגדיר. כגון: משלוח מכתב לכתובת הלקוח שנמסרה מבעוד מועד, משלוח הודעת טקסט למספר טלפון שהלקוח מס וכדומה. במקרים בהם לא קיים ערוץ תקשורת המבוסס על מידע מוקדם, ניתן לוודא זהות לקוח באמצעות אוסף פרטי מידע שיש לנותני שירותים פיננסיים כמו: תאריך הנפקת תעודת זהות, פרטי אמצעי תשלום וכדומה.