ניהול סיכונים בסביבת איום סייבר משתנה מביאה לדרישות חדשות של רשות ניירות ערך
ניהול סיכונים בסביבת איום סייבר משתנה מביאה לדרישות חדשות של רשות ניירות ערך
רשות ניירות ערך פרסמה מסמך תובנות בנושא עריכת הסכם עם לקוחות באמצעות התקשרות מרחוק. מה צריך לעשות ואיך במאמר הבא
תקופת הקורונה יצרה שינויים רבים בעולם העסקים בארץ ובעולם, אשר באים לידי ביטוי, בין היתר, בדרישת הלקוחות לקבל שירותים בצורה דיגיטלית ומרחוק. שינוי זה לא פסח על עולם ההשקעות והפיננסים, ונותני שירות רבים עברו לעריכת הסכמים עם לקוחות באופן דיגיטלי. כך גם עולה ממסך תובנות שפרסמה הרשות לניירות ערך מביקורת רוחב שנערכה אצל יועצי השקעות, משווקי השקעות ומנהלי תיקי השקעות ("בעלי הרישיון") בנושא עריכת הסכם עם לקוח באמצעות התקשרות מרחוק ("מסמך תובנות").
מהנתונים שעלו מהמסמך, במהלך 2020 הצליחו חברות בעלות רישיון לגייס כ 15% יותר לקוחות חדשים מאשר בשנת 2019. זאת ועוד, רק כ- 27% מבעלי הרישיון שהחלו לתת שירותים בצורה מקוונת ציינו כי יעדיפו לחזור לתהליך שכולל מפגש פנים אל פנים מול הלקוחות. במילים אחרות, נראה שכיום, הן נותני שירותי ההשקעות והן הצרכנים מעדיפים שירותים מקוונים על פני השירות המסורתי, ולכל הפחות שירות משולב הכולל את שני המאפיינים הללו.
התובנות העיקריות הרלוונטיות לעניינו מתייחסות להיבטי סייבר ואבטחת מידע. לעמדת סגל הרשות, תהליך ראוי של התקשרות מרחוק חייב להתבסס על הערכת סיכונים מקיפה המתייחסת למכלול ההיבטים של התהליך. כך לדוגמא: נמצא שכ- 25% מבעלי הרישיון מעבירים קבצים ללקוחות ובחזרה במסגרת הליך ההתקשרות מרחוק, באופן שאינו מאובטח. העברת קבצים המכילים מידע רגיש באופן לא מאובטח, מעלה את הסיכון לפגיעה בשלמות המידע ולזליגתו לגורמים לא מורשים, בין אם בזדון ובין אם בשוגג.
לעמדת הרשות, מצופה כי בעלי הרישיון יפעלו להעברת מידע ללקוחות באופן מאובטח בלבד. על שיטות להעברת מידע באופן מאובטח ניתן ללמוד מהוראת נוהל בנקאי תקין 367 שעניינו בנקאות בתקשורת ("נב"ת 367"), אך לא רק. כך לדוגמא: נב"ת 367 קובע כי תאגיד בנקאי יעשה שימוש באלגוריתם הצפנה על מנת להגן על המידע של לקוחותיו העובר ברשתות חיצוניות לרבות האינטרנט ולמעט רשתות טלפוניה. יחד עם זאת, נאמר שם כי אין התאגיד הבנקאי מחויב להשתמש באלגוריתם הצפנה על מנת להגן על המידע של לקוחותיו העובר בדואר אלקטרוני ממנו אל הלקוח ולהיפך, זאת בכפוף לביצוע הערכת סיכונים מתאימה.
עוד עולה מדו"ח הרשות כי יותר מ- 40% מבעלי הרישיון אינם מבצעים בקרה טכנולוגית למניעת הכנסת שינויים בהסכם עם הלקוחות לאחר חתימתו. במצב זה עולה הסיכון כי הלקוח, או גורם אחר המשיג גישה למערך המחשוב שלו, יבצע שינויים במסמכים החתומים שמחזיר הלקוח לבעל הרישיון. כאשר בעל הרישיון לא מנהל נכון סיכון זה, הוא עלול להיות חשוף למצב בו הוא מחזיק הסכם התקשרות עם הלקוח אשר אינו עומד בהלימה לדרישות החוק והרגולציה או לתנאי ההתקשרות אותם הגדיר בעל הרישיון. גם פה נב"ת 367 מדגיש את החשיבות ביישום בקרות לוידוא שלמות ומהימנות המידע וזיהוי אירועים חריגים. כך למשל הנב"ת מציין כי התאגיד יבחן את הצורך ביישום אמצעים להבטחת השלמות של תוכן המסר ומניעת הכחשה בהעברת מידע.
לעמדת סגל הרשות, היערכות מוקדמת לתהליך התקשרות מרחוק, הכוללת בחינה של התהליכים הרלוונטיים, הכרחית וחשובה, לרבות קיומם של נהלי עבודה המהווים כלי בקרה חשוב לווידוא תקינות תהליך ההתקשרות ועמידתו בכל הדרישות הרגולטוריות. מצופה כי התהליך יוסדר במסגרת נהלי עבודה רלוונטיים או באמצעות נוהל ייעודי, בהתאם לשקול דעתו של בעל הרישיון.
• גילוי נאות: משרד הרצוג פוקס נאמן מלווה כעניין שבשגרה ברוקרים, יועצי השקעות פלטפורמות פינטק ובעלי רישיון, בין היתר, בהליכים מול רשות ניירות ערך ורגולטורים אחרים ומייעץ להם לגבי פעילותם ברחבי העולם.
