הממונה על שוק ההון, הביטוח והחיסכון, ד"ר משה ברקת, החליט לאחרונה (29.11.2021) להטיל עיצום כספי של כ-11 מיליון שקלים-חדשים על חברת הביטוח שירביט. העיצום הוטל בגין הפרות של הוראות נוהל סיכוני הסייבר שהוציא הממונה.
הקנס הוטל על רקע הפריצה לחברת שירביט והדלפת מידע אישי של מאות מבוטחים, בהמשך לכך, במהלך 2020. הפריצה נעשתה על-ידי קבוצת האקרים שכינתה עצמה בשם "בלאק שאדו", אשר פרצה לשרתי החברה, הצפינה נתונים, גנבה נתונים ובהמשך לכך ניסתה לסחוט כספים מהחברה באיום, כי מידע שנלקח על-ידה יזכה לפרסום פומבי, פרסום שבסופו של דבר אכן קרה. הממונה על שוק ההון נימק את החלטתו, כי יש בכך משום מסר ברור, לפיו הרשות מצפה מגופים מוסדיים הנתונים לפיקוחה, לנהל את סיכוניי הסייבר ברמה גבוהה.
קדמה להחלטת הממונה ביקורת מקיפה שנערכה על-ידו בשנת 2020 בחברת שירביט אשר בסופה אף נערך על-ידו שימוע לחברה. הביקורת בחנה את עמידת החברה בהוראות חוזר גופים מוסדיים 2016-9-14 "ניהול סיכוני סייבר בגופים מוסדיים" (31.8.2016). בביקורת נמצא כי בשנתיים שקדמו למועד עריכתה הפרה החברה הוראות רבות של הממונה בעניין ניהול סיכוני סייבר, הן בהיבטים טכנולוגיים והן בהיבטי ממשל תאגידי וניהול שוטף.
כך בין היתר, נמצא כי חברת שירביט לא הקצתה משאבים נאותים לתחום מערכות המידע והגנת הסייבר, כי לא התקיימו מנגנוני בקרה ופיקוח נאותים בתחום ניהול סיכוני סייבר וכי החברה לא פעלה בהתאם לנהלים, תוכניות העבודה ותוכניות סקרי הסיכונים, לרבות אלו אותם הגדירה בעצמה. בנוסף לכך עלה בביקורת כי מערכות טכנולוגיות מרכזיות ומהותיות לניהול סיכוני הסייבר לא הופעלו בצורה נאותה, לא עודכנו, לא עברו טיוב, או לא הותקנו כלל. לדעת הממונה, אי העמידה בהוראותיו הביאה לכך, שהחברה הייתה מצויה בחשיפה מהותית לסיכוני סייבר ובנוסף לכך כי רמת הניהול של סיכונים אלה לא עלתה בקנה אחד עם רמה ההולמת גוף מוסדי.
