סגור

שירביט נקנסה ב-10 מיליון שקל בעקבות הפריצה לשרתי החברה

רשות שוק ההון הטילה את הקנס העצום על חברת הביטוח לאחר פרשת פריצת הסייבר לשרתיה וחשיפת מידע על לקוחות ב-2020, לאחר שנקבע כי רמת ניהול סיכוני הסייבר שלה לא הולמת גוף מוסדי; הקנס ישולם על ידי יגאל רבנוף, בעל השליטה בשירביט טרם מכירתה להראל ביוני השנה תמורת יותר מ-100 מיליון שקל

רשות שוק ההון מטילה פצצה על חברת הביטוח שירביט. משה ברקת, הממונה על הביטוח, הטיל עיצום כספי אדיר בהיקף של 10.72 מיליון שקל על שירביט בעקבות הפרות משמעותיות ונרחבות של הוראות הממונה בתחום ניהול סיכוני הסייבר.
ברשות מבהירים כי העיצום ישולם על ידי יגאל רבנוף, בעל השליטה המלאה בשירביט טרם מכירתה להראל. מכירת החברה נעשתה בחודש יוני השנה תמורת יותר מ-100 מיליון שקל.
על פי נציגי הרשות, הרשות התרשמה כי ניהול סיכוני הסייבר בחברה אינו מבוצע בצורה נאותה ובהתאם להוראות הממונה בעניין זה. ההפרות התגלו בביקורת מקיפה בתחום ניהול סיכוני הסייבר שערכה הרשות במהלך שנת 2020.
3 צפייה בגלריה
מטה חברת ביטוח שירביט אזור תעשייה פולג נתניה
מטה חברת ביטוח שירביט אזור תעשייה פולג נתניה
מטה חברת ביטוח שירביט, אזור תעשייה פולג נתניה
(צילום: Google Earth)
בביקורת, שבחנה את עמידת החברה בהוראות שנקבעו בחוזרים של הרשות שנוגעים לשמירה על נתוני החוסכים ("ניהול סיכוני סייבר בגופים מוסדיים"), נמצא כי החברה, בראשותו של צביקה ליבושר, לא הקצתה משאבים נאותים לתחום מערכות המידע והגנת הסייבר.
בנוסף לא התקיימו מנגנוני בקרה ופיקוח נאותים בתחום ניהול סיכוני סייבר, והחברה לא פעלה בהתאם לנהלים, לתוכניות העבודה ולתוכניות סקרי הסיכונים, לרבות אלו שהגדירה בעצמה. כמו כן בביקורת עלה כי מערכות טכנולוגיות מרכזיות ומהותיות לניהול סיכוני הסייבר לא הופעלו בצורה נאותה, לא עודכנו, לא טויבו או לא הותקנו כלל.

3 צפייה בגלריה
משה ברקת יושב ראש רשות שוק ה הון
משה ברקת יושב ראש רשות שוק ה הון
משה ברקת, יושב ראש רשות שוק ההון
(צילום: עמית שעל)

החברה נחשפה לסיכוני סייבר באופן מהותי ולא הולם גוף מוסדי
בהתאם, אי העמידה בהוראות הממונה הביאה לכך שהחברה היתה מצויה בחשיפה מהותית לסיכוני סייבר, וכי רמת הניהול של סיכונים אלה לא עלתה בקנה אחד עם רמה ההולמת גוף מוסדי.
ב-20 בנובמבר פרצה קבוצת האקרים בשם בלאק שאדו לשרתי חברת הביטוח שירביט, במה שהוגדר כאירוע הסייבר החמור ביותר שידעה עד כה המדינה. ההאקרים לא רק הסתפקו בהצפנת הנתונים וגנבתם, אלא גם ניסו לסחוט את החברה דרך איום על פרסומו בפומבי - מה שאכן בוצע בסופו של דבר בהיקפים קטנים מכפי שאוים.

3 צפייה בגלריה
הודעת הסחיטה של שירביט
הודעת הסחיטה של שירביט
הודעת הסחיטה של שירביט

פרט להפסדים הישירים מהפריצה, עד כה הוגשו ארבע תביעות ייצוגיות בסך כולל של 1.2 מיליארד שקל נגד החברה. בתביעות שהוגשו נטען כי החברה לא טיפלה בנושאי אבטחת המידע בהתאם לחובתה והפקירה את פרטיות לקוחותיה, ובכך תרמה לחשיפת מידע בהיקף רחב וברמת רגישות גבוהה.
בנוסף החברה בחרה לחסוך בעלויות אבטחת סייבר על חשבון מבוטחיה, וניהלה את האירוע בחוסר שקיפות. ארבע הבקשות מצויות בשלבים ראשוניים, אך עשויות להגדיל את הפסדי החברה כתוצאה מאותו אירוע.