ניהול סיכונים בסביבת איום סייבר משתנה מביאה לדרישות חדשות של רשות ניירות ערך
2 אוגוסט 2021
ביום 25 ביולי 2021 פרסמה רשות ניירות ערך ("הרשות") מסמך תובנות מביקורת רוחב שנערכה אצל יועצי השקעות, משווקי השקעות ומנהלי תיקי השקעות ("בעלי הרישיון") בנושא עריכת הסכם עם לקוח באמצעות התקשרות מרחוק ("מסמך תובנות"). (למסמך המלא לחצו כאן)
מהנתונים שעלו מהמסמך, במהלך 2020 הצליחו חברות בעלות רישיון לגייס כ 15% יותר לקוחות חדשים מאשר בשנת 2019. זאת ועוד, רק כ- 27% מבעלי הרישיון שהחלו לתת שירותים בצורה מקוונת ציינו כי יעדיפו לחזור לתהליך שכולל מפגש פנים אל פנים מול הלקוחות. במילים אחרות, נראה שכיום, הן נותני שירותי ההשקעות והן הצרכנים מעדיפים שירותים מקוונים על פני השירות המסורתי, ולכל הפחות שירות משולב הכולל את שני המאפיינים הללו.
התובנות העיקריות הרלוונטיות לעניינו מתייחסות להיבטי סייבר ואבטחת מידע. לעמדת סגל הרשות, תהליך ראוי של התקשרות מרחוק חייב להתבסס על הערכת סיכונים מקיפה המתייחסת למכלול ההיבטים של התהליך. כך לדוגמא: נמצא שכ- 25% מבעלי הרישיון מעבירים קבצים ללקוחות ובחזרה במסגרת הליך ההתקשרות מרחוק, באופן שאינו מאובטח. העברת קבצים המכילים מידע רגיש באופן לא מאובטח, מעלה את הסיכון לפגיעה בשלמות המידע ולזליגתו לגורמים לא מורשים, בין אם בזדון ובין אם בשוגג. לעמדת הרשות, מצופה כי בעלי הרישיון יפעלו להעברת מידע ללקוחות באופן מאובטח בלבד. על שיטות להעברת מידע באופן מאובטח ניתן ללמוד מהוראת נוהל בנקאי תקין 367 שעניינו בנקאות בתקשורת ("נב"ת 367"), אך לא רק. כך לדוגמא: נב"ת 367 קובע כי תאגיד בנקאי יעשה שימוש באלגוריתם הצפנה על מנת להגן על המידע של לקוחותיו העובר ברשתות חיצוניות לרבות האינטרנט ולמעט רשתות טלפוניה. יחד עם זאת, נאמר שם כי אין התאגיד הבנקאי מחויב להשתמש באלגוריתם הצפנה על מנת להגן על המידע של לקוחותיו העובר בדואר אלקטרוני ממנו אל הלקוח ולהיפך, זאת בכפוף לביצוע הערכת סיכונים מתאימה.
עוד עולה מדו"ח הרשות כי יותר מ- 40% מבעלי הרישיון אינם מבצעים בקרה טכנולוגית למניעת הכנסת שינויים בהסכם עם הלקוחות לאחר חתימתו. במצב זה עולה הסיכון כי הלקוח, או גורם אחר המשיג גישה למערך המחשוב שלו, יבצע שינויים במסמכים החתומים שמחזיר הלקוח לבעל הרישיון. כאשר בעל הרישיון לא מנהל נכון סיכון זה, הוא עלול להיות חשוף למצב בו הוא מחזיק הסכם התקשרות עם הלקוח אשר אינו עומד בהלימה לדרישות החוק והרגולציה או לתנאי ההתקשרות אותם הגדיר בעל הרישיון. גם פה נב"ת 367 מדגיש את החשיבות ביישום בקרות לוידוא שלמות ומהימנות המידע וזיהוי אירועים חריגים. כך למשל הנב"ת מציין כי התאגיד יבחן את הצורך ביישום אמצעים להבטחת השלמות של תוכן המסר ומניעת הכחשה בהעברת מידע.
לעמדת סגל הרשות, היערכות מוקדמת לתהליך התקשרות מרחוק, הכוללת בחינה של התהליכים הרלוונטיים, הכרחית וחשובה, לרבות קיומם של נהלי עבודה המהווים כלי בקרה חשוב לווידוא תקינות תהליך ההתקשרות ועמידתו בכל הדרישות הרגולטוריות. מצופה כי התהליך יוסדר במסגרת נהלי עבודה רלוונטיים או באמצעות נוהל ייעודי, בהתאם לשקול דעתו של בעל הרישיון.
הרצוג פוקס נאמן