«  העיתונאי אלי לנדאו נפטר – מייסד אתר זה – READ IT NOW
  • Read IT Now
  • חדשות
  • אבטחת מידע/סייבר
  • משרד התקשורת לא נענה להצעה לפרסם באתר המשרד טבלה מרכזת לידיעת הציבור בדבר עמידת בעלי הרישיון ביישום הוראות ניהול ההגנה בסייבר: סבור שפרסום פומבי שכזה “חושף חולשות סייבר של בעלי רישיון ובכך מסכן את רשתותיהם ומנוייהם”

משרד התקשורת לא נענה להצעה לפרסם באתר המשרד טבלה מרכזת לידיעת הציבור בדבר עמידת בעלי הרישיון ביישום הוראות ניהול ההגנה בסייבר: סבור שפרסום פומבי שכזה “חושף חולשות סייבר של בעלי רישיון ובכך מסכן את רשתותיהם ומנוייהם”

17:29 12.08.2022

קטגוריות: אבטחת מידע/סייבר טלקום/וויירלס/מובייל

תגים: , , , , , , , , , , , , , , , , , , , , ,

ביום שני (2.5.2022)  בצהריים פירסמתי כאן באתר ידיעה שכותרתה: “על רקע מתקפות הסייבר האחרונות:  שר התקשורת וראש מערך הסייבר הלאומי בהצהרה משותפת – ספקיות התקשורת יחויבו לעמוד בסטנדרטים מחייבים להגנת סייבר”.

בפתח הידיעה נאמר כי “שר התקשורת יועז הנדל וראש מערך הסייבר הלאומי, גבי פורטנוי הכריזו (2.5.2022) בהצהרה משותפת לתקשורת על שורת צעדים שיחייבו את החברות להכין וליישם תוכניות להגנה בסייבר. התוכניות יכללו לראשונה שיטת עבודה סדורה ואחודה שתדרוש מהן לחזק את רמות ההגנה ולהיערך באופן אקטיבי למתקפות סייבר”.

רק לאחר פרסום הידיעה באתר התברר לי כי הדברים שנכללו בהודעה לעיתונות של משרד התקשורת ומערך הסייבר הלאומי מבוססים על מסיבת עיתונאים שנערכה באותו הבוקר ולפיכך עובדה זו לא צויינה בידיעה המקורית שלי.

בהמשך גם פורסם מסמך בן 23 עמודים של מנכ”לית משרד התקשורת לירן אבישר בן-חורין בנושא זה. בפתח המסמך נאמר כי “שירותי התקשורת ורשתות התקשורת בישראל מהווים תשתית לאומית חיונית הן בשגרה והן בחירום. משכך, ועם התעצמות איומי הסייבר והרגישות העודפת של רשתות התקשורת בתחום זה, על בעלי הרישיון להיערך כדי להגן מפני איומי סייבר על רשתות התקשורת שלהם, השירותים אותם הם מספקים, המנויים שלהם ומשתמשי רשת אחרים, ובכלל זה פגיעה בפרטיותם.

“ניהול הגנת הסייבר הכרחי מאחר שהציבור, גופים עסקיים, גופי ביטחון ורשויות המדינה,  משתמשים הן בשגרה והן בחירום בשירותי רשת התקשורת, ומעבירים ומאחסנים מידע רב בה ומחוצה לה. על כן, מהוות רשתות התקשורת בעולם כולו יעד אטרקטיבי לתקיפות סייבר מתוך הרשת ומחוצה לה”.

המסמך מאזכר את השימוע שערך משרד התקשורת בנושא באוגוסט 2021. “לשימוע התקבלו התייחסויות מהחברות שלהלן: בזק החברה הישראלית לתקשורת בע”מ, פרטנר תקשורת בע”מ, סלקום ישראל בע”מ, פלאפון תקשורת בע”מ, בזק בינלאומי בע”מ, הוט מובייל בע”מ, הוט טלקום בע”מ, קבוצת אקספון בע”מ, אינטרנט רימון בע”מ, טלזר 019 שירותי תקשורת בע”מ, רמי לוי שיווק השקמה תקשורת בע”מ, איי. בי. סי. בע”מ, איגוד האינטרנט הישראלי וכן התייחסויות ספורות מהציבור”.

המסמך כולל את עיקרי ההתייחסויות לשימוע ומענה המשרד אליהם.

בין היתר אחת ההתייחסויות הייתה ש”מוצע כי המשרד יפרסם באתר המשרד טבלה מרכזת לידיעת הציבור בדבר עמידת בעלי הרישיון ביישום הוראות ניהול ההגנה בסייבר (בדומה לפרסום של המשרד לגבי פניות ציבור).  פרסום המידע יאפשר לציבור לבצע בחירה מושכלת יותר של בעל הרישיון אשר ממנו הוא בוחר לקבל את שירותי התקשורת, וכן יעודד בעלי רישיון קטנים, שהשימוע לא חל עליהם, בכל זאת לאמץ אותו”.

הדברים לא התקבלו ע”י משרד התקשורת ובתגובה השיב המשרד כי “הטענה אינה מתקבלת. משרד התקשורת סבור שפרסום באתר המשרד של טבלה מרכזת בדבר עמידת בעלי הרישיון ביישום הוראות הנספח המעודכן חושף חולשות סייבר של בעלי רישיון ובכך מסכן את רשתותיהם ומנוייהם”.

התייחסות אחרת הייתה ש”יישום השימוע כרוך בעלויות גבוהות מאוד בכל שנה, יטיל מעמסה כבדה על החברה שהיא לא תוכל לעמוד בה, תגרום לפגיעה בחברה, בתחרותיות השוק ובמנויים וייאלץ את החברה להעלות משמעותית את המחירים של שירותי התקשורת שהם נותנים למנוייהם”.

בתגובה השיב המשרד כי “הטענה אינה מתקבלת. אל מול הנטל הכלכלי הכרוך ביישום הוראות ההגנה בסייבר יש להביא בחשבון את הנזק שיכול להיגרם במקרה של התקפת סייבר על רשת שאינה מוגנת כיאות, שכן כאמור לעיל, התקפות סייבר עלולות לגרום נזק משמעותי במניעת הגישה ואף השבתה של תשתיות חיוניות וכן חשיפה של מידע רגיש”.

טענה אחרת התקבלה באופן חלקי והמשרד הודיע כי “סיכוני הסייבר לרשתות התקשורת רק הולכים וגדלים ועל כן נדרשת מוכנות כמה שיותר מהירה על מנת להעלות את רמת ההגנה בסייבר. עיכוב ארוך מדי במוכנות הרשת להגנה בסייבר ליישום בפרק זמן של 24 חודשים מיום תיקון הרישיון, כפי שעלה בחלק מההתייחסויות לשימוע, חושף את רשתות התקשורת לסיכונים גבוהים ועלול לגרום לפגיעה ונזק משמעותיים הנובעים מרמת הגנת סייבר לא מספקת של הרשת. מבלי לגרוע מהאמור, הוראת התחילה תוקנה כך שמועדי התחילה יהיו ככלל כדלקמן: הוראות שעניינן בהכנה וכתיבת מסמכי תהליכים – 6 חודשים; הוראות שעניינן היערכות ושינויים שאינם מורכבים – 12 חודשים; הוראות שעניינן היערכות ושינויים מורכבים – 18 חודשים”.

טענה אחרת שהועלתה במהלך השימוע היא “שבמסגרת ביצוע תרגול להעלאת מודעות והתמודדות עם סיכוני הסייבר ישנה חשיפה למידע סודי של בעל הרישיון הקשור לנוהלי העבודה בארגון, העובדים והספקים, וכן מידע מסחרי רגיש. על כן, לא נכון שנציגי המשרד ינכחו בתרגיל ויחשפו למידע זה וניתן להסתפק בדיווח למשרד על ביצוע התרגול הממצאים והלקחים ממנו. כמו כן, יש צורך להבהיר על אופן שמירת המידע המועבר והאמצעים הננקטים כדי להגן עליו”.

משרד התקשורת השיב כי “הטענה אינה מתקבלת. תרגול המוכנות להתמודדות עם סיכוני הסייבר של בעל הרישיון הינו חיוני לבחינת יכולת התמודדותו כנגד איומי סייבר וסיכוני סייבר העלולים לפגוע ברציפות התפקודית של שירותיו וכן בשמירה על פרטיות המנויים ומשתמשי הרשת האחרים. לפי החלטת ממשלה 2443, המשרד אחראי לאסדרת ניהול הגנת הסייבר במגזר התקשורת, ואחת הדרכים שבהן הוא עושה זאת היא באמצעות נוכחותו בתרגילים שמקיים בעל הרישיון ובקבלת מסקנות התרגיל. משרד התקשורת סבור שישנה חשיבות לנוכחות בתרגול על מנת לקבל תמונה מלאה ומקיפה של המוכנות לסייבר בעוד שקבלת ממצאי ולקחי התרגול משקפים רק את השורה התחתונה. למותר לציין שעובדי המשרד פועלים בהתאם להוראות כל דין לעניין שימוש, שמירה או העברה של מידע סודי מסחרי מסוג כלשהוא שאליו הם נחשפים”.

עוד טענה שהועלתה היא ש”בראש ועדת ההיגוי להגנה בסייבר צריך לעמוד סמנכ”ל רלבנטי ולא המנכ”ל מאחר שמדובר בנושא מקצועי-טכנולוגי, וזאת כפי שקבוע היום בהוראות הרישיון בנוגע לרציפות תפקודית. בכל מקרה מנכ”ל החברה יהיה מעורב בעבודת הוועדה שכן הוא הגורם שמציג את התוכנית מדי שנה לדירקטוריון”.

תגובת משרד התקשורת: “הטענה אינה מתקבלת. ניהול הגנת הסייבר הנדרש מבעל הרישיון אינו מתמקד רק בהיבט הטכנולוגי-מקצועי אלא רלבנטי לתחומים רבים של בעל הרישיון כגון ההיבט המשפטי, רכש וספקים, הדרכה, כוח אדם וכו’. על כן, משרד התקשורת סבור שקיימת חשיבות בהטלת האחריות על המנכ”ל שיעמוד בראש הוועדה. עם זאת, ההוראה תוקנה כך שוועדת ההיגוי תוכל להתכנס בראשות המנכ”ל או סמנכ”ל רלבנטי שימונה על ידי המנכ”ל אחת לרבעון לפחות, ובראשות המנכ”ל אחת לשנה לפחות”.

בארה”ב: מחייבים מעתה בנקים ומוסדות אחרים לדווח על אירועי סייבר וכופרה

בבית-הנבחרים האמריקני מחייבים בחקיקה בנקים ומוסדות אחרים המטפלים בתשתיות קריטיות לדווח על אירועי אבטחת סייבר ותשלומי כופרה [cybersecurity incidents and ransomware payments]. בסנאט האמריקני כבר התקבלה חקיקה דומה [Strengthening American Cybersecurity Act].

אם תתקבל החקיקה תוטל חובה על בנקים לדווח בתוך 72 שעות ל- Cybersecurity and Infrastructure Security Agency, CISA  על אירועי סייבר מסויימים.

באשר לתשלומי כופרה תהיה חובה לדווח עליהם בתוך 24 שעות ממועד התשלום.

במידה ולא יהיה ציות לחוק, אזי ה- CISA יוכל לפנות לתובע הכללי כדי לנקוט בצעדים חוקיים נגד הבנקים שלא צייתו כיאות.

יצויין כי בנובמבר 2021 שלושה מאסדרים (רגולטורים) בתחום הבנקאות יזמו חקיקה המחייבת בנקים לדווח למאסדר הראשי שלהם על אירועי אבטחת סייבר משמעותיים וזאת בתוך 36 שעות מהרגע בו נמצא כי הדברים התרחשו.

בארה”ב היו מספר מקרים בשנים האחרונות בהם מוסדות פיננסיים גילו כי חוו אירועי אבטחת סייבר אבל חלף פרק זמן מסויים עד שגילו זאת לציבור לקוחותיהם.

נשיאות הכנסת אישרה הנחה על שולחן הכנסת את “הצעת חוק איסור פרסום זמני של מתקפת סייבר”

נשיאות הכנסת אישרה (16.5.2022) הנחה על שולחן הכנסת את “הצעת חוק איסור פרסום זמני של מתקפת סייבר” [פ/3792/24] שהגישה ח”כ מירב בן ארי. עתה, משהתפזרה הכנסת, הופכת הצעת החוק הזו לאחת מתוך מאות רבות של הצעות חוק פרטיות שאושרו לדיון אך לא יידונו כבר הפעם. אולי יועלו מחדש בכנסת הבאה.

“מטרת חוק זה לקבוע הוראות בעניין איסור פרסום זמני של מתקפת סייבר, וכן לקבוע מנגנוני דיווח על קיום מתקפת סייבר, וכל זאת על מנת לצמצם, ככל ניתן, פרסום אודות מתקפת סייבר כאמצעי לחץ והבכה לארגון הנפגע וכן על מנת לוודא כי ההתמודדות עם האיום נעשית בצורה מיטבית עבור הארגון הנפגע ועבור פרטיות האזרחים”.

בדברי ההסבר נאמר כי “בשנים האחרונות חלה אינפלציה דרמטית בתקיפות סייבר ברחבי העולם ובישראל בפרט, בין היתר בשל דיגיטציה מואצת בחסות הקורונה, עבודה מרחוק – הגדלת הפגיעות של חברות, הקריפטו כאמצעי תשלום, מתקפות סייבר שונות על ישראל, לרבות התקפות סייבר של גורמים איסלאמיים, וכיוצא באלו.

“אירועי סייבר מונעים משתי מוטיבציות עיקריות: אירוע תודעתי שמטרתו לייצר כאוס והד תקשורתי, או אירוע שמטרתו כופר כסף. התוקפים משתמשים בדרך כלל באחד משלושת מנופי הלחץ: הצפנת קבצים של מערכות מידע וסחיטה לשם השבתם, גניבת מידע וסחיטה כנגד איום פרסום המידע ברבים על מנת לגרור צעדים משפטיים אזרחיים או רגולטוריים ופגיעה במוניטין, ופרסום המידע ברבים על מנת ליצור כאוס ותחושת אי בטחון.

“כלי האיום המרכזי של יוזמי אירועי הסייבר הוא התקשורת. ללא פרסומים תקשורתיים, התוקפים אינם מצליחים ליצור את אפקט הכאוס ולגרום לאיום ממשי.

“על-מנת לסכל את האמצעי המרכזי הזה, הצעת החוק מציעה להסדיר את אופן הטיפול במתקפות סייבר כנגד ארגונים ואת מנגנון הדיווח והפרסום אודותיהן. זאת, בין היתר, באמצעות קביעת איסור פרסום זמני אודות מתקפת סייבר. ההצעה קובעת מנגנונים הכוללים פנייה לבית משפט שלום, כאשר ישנו צורך להרחיב את משך הזמן שבו הפרסום אסור. כמו כן, מוצע להטיל עונשי מאסר על הפרת חוק זה”.

בהצעת החוק, ‘מתקפת סייבר’ מוגדרת כ”פעילות שנועדה לפגוע בשימוש במחשב או בחומר מחשב השמור בו, שלא על דרך גרימת היזק פיזי כגון שבירה, ובין היתר: שיבוש פעולתו התקינה של מחשב או שיבוש השימוש בו, לרבות בדרך של מחיקה  שינוי או הדלפת מידע, אחסון או הצגת מידע או פלט כוזב, מניעה או שיבוש הגישה לרשת תקשורת, מתן גישה לגורם שאינה מורשה, וכן חדירה שלא כדין כמשמעותה בחוק המחשבים; האזנת סתר לתקשורת בין מחשבים כמשמעותה בחוק האזנת סתר”.

הצעת החוק קובעת כי “לא יפרסם אדם אודות מתקפת הסייבר, מעת התרחשותה של המתקפה ועד חלוף 30 ימים מעת שליחת הדיווח הראשוני כאמור בסעיף 4(א) ולא יפרסם כאמור בתוך 14 ימים מיום דיווח שני כאמור בסעיף 4(ג), אלא ברשות בית משפט שלום.

“היה לממונה האבטחה בארגון, או בעל העסק חשד כי מתבצעת נגד הארגון מתקפת סייבר, ידווח דיווח ראשוני בהקדם האפשרי, לקצין בכיר שימנה המפקח הכללי של משטרת ישראל. הדיווח יתבצע על גבי טופס ייעודי שיישלח בהודעה אלקטרונית לכתובת ייעודית; השר יקבע הוראות לעניין זה בתקנות.

“היה ובחלוף הזמן 30 ימים מעת שליחת הדיווח הראשוני סבר מומחה כי הטיפול במתקפה לא הסתיים ידווח הארגון, בהקדם האפשרי, לקצין בכיר שימנה המפקח הכללי של משטרת ישראל דיווח שני, אודות מצב ההתמודדות עם המתקפה ועל הפרטים שנתגלו לו בזמן שחלף, על גבי טופס ייעודי. אל הטופס, תצורף חוות דעתו של מומחה, שתכלול מידע אודות המתקפה לרבות פרטים בעניין המניע למתקפת הסייבר על הארגון הנפגע, השלכותיה וכל מידע בדבר פגיעות אפשריות לארגון.

“היה ובחלוף הזמן כאמור בסעיף (2ג) המתקפה לא הסתיימה, ידווח הארגון למערך הסייבר הלאומי דיווח שני, אודות מצב ההתמודדות עם המתקפה ועל הפרטים שנתגלו לו בזמן שחלף, על גבי טופס ייעודי. אל הטופס, תצורף חוות דעת של מומחה, שתכלול מידע אודות המתקפה, השלכותיה וכל מידע בדבר פגיעות אפשריות ל הגורם הממונה רשאי להמליץ בפני הארגון כיצד לפעול, ואף לבצע פעולות לשם שמירת פרטיות, בתיאום עם הארגון.

“חלפו 14 ימים מיום דיווח שני, יוכל הגוף לפנות לבית משפט שלום לבקשת צו איסור פרסום. בית המשפט ידון בבקשה, תוך מתן דגש לשאלת היות הפרסום מהווה  פרסום אודות מתקפת סייבר כאמצעי לחץ והבכה לארגון הנפגע. קבע בית המשפט כי צו איסור פרסום מוצדק, יוציא צו שמשכו לא יעלה על 45 ימים. חלפו 45 הימים והמתקפה עודנה נמשכת, רשאי הארגון לבקש מבית משפט שלום צו איסור פרסום שמשכו לא יעלה על 30 ימים נוספים, ולא יינתנו צווים נוספים על צו זה. החלטות כאמור בסעיף 5 ניתנות לערעור בתוך שבעה ימים, ובית המשפט שלערעור ידון בערעור בדן יחיד.

“[…] המפרסם מידע בניגוד לכללי חוק זה – דינו מאסר שישה חודשים. היה והמידע כולל חשיפת פרטים שיש בהם כדי לפגוע באינטרס חיוני –  דינו מאסר חמש שנים”.

= = = = = = = = = = = = = =

+ השר בהקשר של הצעת חוק זו הוא השר לביטחון הפנים.

+ ‘ארגון’ מוגדר כ”עסק או כל מי שמספק שירות לציבור, למעט המדינה ורשות מקומית”.

+ ‘הגורם הממונה’ מוגדר כ”עובד בכיר במערך הסייבר הלאומי שהוסמך על ידי ראש מערך הסייבר הלאומי לבצע את הפעולות לפי חוק זה או לפיו”.

+ ‘דיווח ראשוני מוגדר כ”הודעת ממונה האבטחה בארגון, או בעל העסק אם אין ממונה אבטחה כאמור, הכוללת פרטים אודות מתקפת הסייבר ואודות הארגון הנפגע, לרבות פרטים אודות מידע אשר ברשותו”.

+ ‘דיווח שני’ מוגדר כ”הודעת ממונה האבטחה בארגון, או בעל העסק אם אין ממונה אבטחה כאמור, הכוללת תיאור מפורט ההתמודדות הארגון עם  מתקפת סייבר, לרבות מידע אודות הנזק הנגרם, מערך ההגנה שעמד לרשות הארגון ככל שישנו, זהות התוקף אם ידועה, צפי להמשך המתקפה וכל מידע אחר הרלבנטי לתקיפה”.

+ ‘חוות דעת’ מוגדרת כ”הודעת מומחה הכוללת פרטים אודות מתקפת סייבר לרבות פרטים אודות זיהוי התוקף (לא ניתן בטח לא בקבועי זמן הללו), לנזקים שהתממשו או שיש חשש כי יתממשו, לדרכי ההתמודדות של הארגון ולצעדים שנקט או שצריך היה לנקוט בטרם התקיפה ובמהלכה”.

פורסמו תיקוני תיקון רישיונות של חברות תקשורת/אינטרנט הכוללים הוספת נספח ניהול הגנת הסייבר ו/או הפרדה בין שירות תשתית רחבת-פס ובין שירות גישה לאינטרנט ו/או הסרת חסמים תחרותיים בשירות קו כשר

משרד התקשורת פירסם (12.5.2022) תיקון רישיונות של חברות תקשורת הכולל הוספת נספח ניהול הגנת הסייבר ו/או הפרדה בין שירות תשתית רחבת-פס ובין שירות גישה לאינטרנט ו/או הסרת חסמים תחרותיים בשירות קו כשר.

מדובר בחברות: איי.בי.סי. איזראל ברודבאנד קומפני (2013); אינטרנט רימון ישראל  2009; בזק בינלאומי; בזק החברה הישראלית לתקשורת; ביטאיט; בינת עסקים; גולן בינלאומי; גולן טלקום; הוט טלקום שותפות מוגבלת; הוט מובייל; הוט נט שירותי אינטרנט; השיקמה אן.ג’י.אן תקשורת בינלאומית 015; וויידלי מובייל; טלזר 019 שירותי תקשורת בינלאומיים; יוניגיאה; לב אנאטל; לניר תקשורת; מסקיו טלפוניה; מרתון 018 אקספון; סלקום ישראל; סלקום תקשורת קווית; סלקט תקשורת; פלאפון תקשורת; פרטנר פתרונות תקשורת נייחים; פרטנר תקשורת; רמי לוי שיווק השיקמה תקשורת.

בתחום האבט”מ, צורף לרישיון נספח ה’1 – ניהול הגנת הסייבר.

במבוא לנספח נאמר כי “משק התקשורת בישראל מהווה תשתית לאומית חיונית הן בשגרה והן בחירום, ומכאן הצורך של בעל הרישיון לנהל את ההגנה בסייבר על מנת להפחית ככל שניתן את הסיכונים לפגיעה ברציפות התפקודית של שירותיו ושל מנויי ומשתמשי הרשת האחרים, בהתרחש אירוע סייבר.

“לשם כך, בעל הרישיון יטמיע תוכנית עבודה כוללת לניהול הגנת הסייבר וישפר את עמידתו כנגד איומי סייבר וסיכוני הסייבר.

“ניהול הגנת הסייבר של בעל הרישיון יתבסס על ההוראות המפורטות בנספח זה והתאמתן למאפייני הרשת ומאפייני השירות הניתנים על ידו. אין מניעה כי בעל הרישיון יפעל בדרכים נוספות לניהול הגנת הסייבר כדי לשפר את יכולת התגובה שלו לאירועי סייבר המקיפה את יכולות הזיהוי, הבלימה וההתאוששות, והכול בכפוף לעמידתו בהוראות נספח זה”.

בין היתר, נאמר כי “בעל הרישיון יכין, יאשר ויפעל לפי תוכנית להגנה בסייבר אשר תסייע לו להתגונן מפני תקיפות סייבר ולהתמודד עם אירועי סייבר במטרה להבטיח את יכולתו לפעול באופן רציף, להגביל את הפגיעה במתן שירותיו, לשמור על פרטיות מנוייו ומשתמשי הרשת האחרים, ולאושש את פעילותו בהתרחש אירוע סייבר. התוכנית תתבסס על משפחות של בקרות עבור שלבי ההגנה והמניעה, האיתור, התגובה וההתאוששות”.

“התוכנית תכלול לפחות את הנושאים שלהלן:

+ מיפוי וסיווג נכסי הסייבר שתפקודם התקין חיוני להגנת הסייבר ולהבטחת הרציפות התפקודית של תהליכים המוגדרים קריטיים ברשת בעל הרישיון;

+ ניתוח וסיווג סיכוני הסייבר אליהם חשוף בעל הרישיון, וסיכוני סייבר אשר יקבעו על ידי מנהל הסייבר בחברה, לרבות ניתוח ההסתברות לאירוע סייבר, הערכת סיכון שיורי (בהתאם להשפעת הבקרות שייושמו), ההשלכות והמשמעויות על העבודה השוטפת והתקינה של רשת בעל הרישיון;

+ הגדרת פערי ההגנה בסייבר אל מול המצב הרצוי, מה נדרש לעשות כדי לצמצם את הפערים האמורים ומהם המשאבים שיוקצו לשם כך;

+ הטמעת מנגנונים להגנה מסיכוני סייבר;

+ שילוב מנגנוני ניטור ובקרה שיאפשרו לבסס תמונת מצב עדכנית של הגנת הסייבר;

+ קביעת יעדי שירות ויעדי התאוששות מאירועי סייבר, ובכלל זה הטמעת מנגנונים להתאוששות ושמירה על רציפות תפקודית, בהתאם לניתוח הסיכונים ומשמעותם לרציפות התפקודית של בעל הרישיון; לעניין זה, “יעדי שירות” – יעדים הקובעים את רמת השירות למנויים ולמשתמשי הרשת האחרים בעת אירוע סייבר בהתאם לנספח זה;

+ יצירת מנגנוני ונוהלי דיווח לגורמים בתוך החברה, ובכלל זה לדירקטוריון, ומחוצה לה;

+ גיבוש נהלים ותוכניות ייעודיות לניהול ההגנה מסיכוני סייבר;

+ הגדרת סקירות תקופתיות לשמירה על עדכניות ורלבנטיות התוכנית;

+ הטמעה ותרגול התוכנית בקרב המנהלים, העובדים, הספקים וקבלני המשנה של בעל הרישיון”.

באשר לנושא מחשוב ענן נאמר בנספח כי “בעל הרישיון יכין “נוהל לשימוש בשירותי ענן” שיהיה תקף בכל סביבות הפעילות שלו, ויפעל לפיו; נוהל זה יכלול לכל הפחות את העניינים שלהלן:

+ מדיניות לבחינה ולאישור של השימוש בשירותי הענן בהתאם לרמת ההגנה הנדרשת לסוגי המידע והשירות;

+ שימוש בענן פרטי  (Private Cloud )בלבד עבור מערכות קריטיות שהוגדרו על ידי בעל הרישיון ככאלו;

+ איסור על שימוש בתשתית ענן ציבורי המתארח על שרתים מחוץ למדינת ישראל לעניין סביבת הפעילות של הרשת ההנדסית וסביבת הפעילות של ניהול הרשת;

+ מדיניות לבחינה ולניהול הסיכונים בכל מקרה שבו המידע נשמר מחוץ לשטח מדינת ישראל בסביבות המותרות לכך, בהתייחס לכל הפחות לנושאים שלהלן, ומבלי לגרוע מההוראות החלות על בעל הרישיון בהיבטי פרטיות: סוג המידע ורמת ההגנה הנדרשת עבורו; ארכיטקטורה (לרבות שיתוף משאבים עם חברות אחרות); ניהול תשתיות מחשוב הענן והגבלותיו; סיכון להוצאת צו משפטי לקבלת מידע של בעל הרישיון במדינה זרה; הסביבה המשפטית שבה פועל הספק; שרידות והמשכיות עסקית; הגדרת חלוקת אחריות ברורה בין ספק שירותי הענן ובין בעל הרישיון; הגדרת הדרישות מספק שירותי הענן למנגנוני ניטור, אבטחת מידע ודיווח על אירועים חריגים; הגדרת מנגנוני הגדרת מנגנוני הזדהות ובקרת גישה לשירותי ענן בהתאם לאיומים ולחשיפות הרלבנטיים לכל ממשק; כל גישה לשירותי ענן תכלול הזדהות דו-שלבית לכל הפחות.

“בעל הרישיון ייתן מענה למצבים שבהם אין גישה לשירותי הענן, אם מסיבה של תקלה של הספק או של התשתיות המאפשרות גישה אל הספק.

“בעל הרישיון יפעיל מנגנון ניטור אבטחת מידע במטרה לזהות אירועי סייבר בשירותי הענן”.