חברות הביטוח עדיין לא עומדות בהוראות ענתבי לסיכוני אבטחת מידע

חלק ניכר מחברות הביטוח והגופים המוסדיים בישראל אינם עומדים בדרישות אבטחת המידע שקבע המפקח על הביטוח, ידין ענתבי, ושנכנסו לתוקף בתחילת יולי 2007.



נושא מערכות המידע הוא נקודה כואבת בקרב חברות הביטוח והגופים המוסדיים שמערכות המחשוב שלהם מפגרות אחרי המערכות בבנקים. הבעיה צפה במלוא חומרתה לאחר שגופים אלה החלו לנהל כספים בהיקפים גדולים - בעקבות רכישת קרנות פנסיה, קרנות נאמנות וקופות גמל והשתלמות.



ענתבי הוציא בשנה החולפת כמה חוזרים שמציבים לגופים המוסדיים דרישות שונות לגבי מערכות המידע. אחד הדברים שהטרידו את ענתבי הוא נושא סיכוני אבטחת המידע, ועוד באוקטובר 2006 הוציא בעניין חוזר.



עקרונות אבטחת המידע בחוזר מבוססים על עקרונות שהותוו לבנקים במסגרת הוראות באזל 2. הגופים המוסדיים נדרשו להגדיר מדיניות אבטחת מידע, סיווג נכסים וביצוע הערכת סיכונים, וליישם בקרות ומנגנוני אבטחת מידע שונים על פי הוראות שפורטו בחוזר. הוראות החוזר נכנסו לתוקף בתחילת יולי 2007, כאשר לגבי כמה הוראות ספציפיות נקבע בחוזר כי הן יחולו החל מ-2009.



כיום, כמעט שנה לאחר הוצאת החוזר, מתברר כי חלק ניכר מחברות הביטוח וכן גופים מוסדיים אינם מצליחים לעמוד בהוראותיו. באחרונה פנתה אבנת, חברת אבטחת מידע וניהול סיכונים שנותנת שירותים לכמה חברות ביטוח ולגופים מוסדיים נוספים לענתבי בבקשה לקבל דחייה לעמידה בהוראות.



ענתבי נעתר לבקשת חברת אבטחת המידע, ודחה החלת חלק מסעיפי החוזר על חברות הביטוח והגופים המוסדיים להם היא נותנת שירותים. לגבי חלק מהסעיפים ניתנה דחייה עד תחילת 2008. בפנייה לענתבי פורטו בהרחבה הקשיים הקיימים בהטמעת המערכות בגופים המוסדיים, כך שיתאימו להוראותיו. מדובר הן בקשיים הנוגעים להיערכות בתוך הגופים המוסדיים, הטמעה והגברת מודעות בארגון ויידוע הלקוחות, והן בקשיים טכנולוגיים.



חברות הביטוח וקרנות הפנסיה משקיעות משאבים רבים בשדרוג המערכות הטכנולוגיות והתאמתן לדרישות ענתבי, אך גם כיום חלק מקרנות הפנסיה נקנסות על ידי ענתבי בשל איחורים בהעברת כספי עמיתים או בשל איחורים בדיווחים לעמיתים, כאשר הן עצמן תולות את הקשיים שלהן במערכות הטכנולוגיות.