הממונה על שוק ההון, ביטוח וחיסכון ד"ר משה ברקת, הטיל קנס כספי בסך של 10,720,000 ש"ח על שירביט חברה לביטוח בע"מ. "העיצום הכספי הוטל בגין הפרות משמעותיות ונרחבות של הוראות הממונה בתחום ניהול סיכוני הסייבר. הרשות התרשמה כי ניהול סיכוני הסייבר בחברה אינו מבוצע בצורה נאותה ובהתאם להוראות הממונה בעניין זה. לחברה נערך הליך של שימוע שלאחריו החליט הממונה כי בשל ממצאי הביקורת יוטל על החברה העיצום הכספי," נמסר מהרשות.
בדיוק לפני שנה, ב-30 בנובמבר 2020 התרחשה מתקפת סייבר על חברת הביטוח שירביט, שהביאה לדליפת מידע רגיש על מבוטחי החברה ועובדיה. מדובר היה באחת המתקפות הגדולות ביותר שבוצעו נגד חברה מסחרית בישראל, שגם שיתקה את המערכות של שירביט לכמה ימים וגם הוציאה מהן מידע שהוערך במאות אלפי מסמכים!.
את האחריות למתקפה לקחה על עצמה באופן פומבי קבוצת ההאקרים BlackShadow. כדי להוכיח את אמינות הודעתה, פרסמה קבוצת ההאקרים באפליקציות טלגרם וטוויטר רישיונות ותעודות זהות של לקוחות החברה, תלושי משכורת של עובדים, הצעות לביטוח ללקוחות ואף הקלטת שיחה של לקוחה שהתקיימה עם נציגת שירביט. בין לקוחות שירביט שפרטיהם האישיים פורסמו באופן זה, היו בכירים במערכת הביטחון וגם נשיא בית המשפט המחוזי בתל אביב. בהמשך אף פרסמה קבוצת ההאקרים דרישה כספית מחברת הביטוח להעביר אליה סכום של 50 ביטקוין (כמיליון דולר), וזאת תוך 24 שעות. קבוצת ההאקרים מאיימת כי אם הסכום לא יועבר (עד מחר בבוקר) המידע שבידיה יופץ או יימכר לאחרים.
המבוטחים נלחצו – נגד החברה הוגשו 4 תביעות ייצוגיות
בעקבות המתקפה השביתה חברת שירביט את אתר האינטרנט שלה כדי למנוע מתקפות נוספות. החברה פרסמה הודעה ללקוחותיה בה הבטיחה שבפרסום המידע לא נגרם להם נזק. הודעת ההרגעה לא עזרה הרבה ונציגי החברה נאלצו להרגיע המוני מבוטחים מודאגים שפנו אליה. החברה הוציאה הון תועפות על יועצים ועל אחזור המערכות והקמת מערכות חדשות. כמו כן היא נאלצה להתמודד עם מספר תביעות ייצוגיות שהגישו נגדה מבוטחים - 4 תביעות בגובה מאות מיליוני שקלים כל אחת, כפי שדיווחה החברה בדוחותיה הכספיים. החברה לא נענתה לדרישת הכופר ומציינת בדוחותיה כי מבחינתה האירוע הסתיים
החברה הייתה בחשיפה מהותית לסיכוני סייבר
רשות שוק ההון מסבירה, כי ההפרות בתחום ניהול סיכוי סייבר בחברת שירביט התגלו בביקורת מקיפה בנושא שערכה הרשות במהלך שנת 2020. בביקורת נמצא ,כי "בשנים 2018-2020 החברה הפרה רבות מהוראות הממונה בעניין ניהול סיכוני סייבר, הן בהיבטים טכנולוגיים והן בהיבטי ממשל תאגידי וניהול שוטף. בין היתר, נמצא כי החברה לא הקצתה משאבים נאותים לתחום מערכות המידע והגנת הסייבר, כי לא התקיימו מנגנוני בקרה ופיקוח נאותים בתחום ניהול סיכוני סייבר וכי החברה לא פעלה בהתאם לנהלים, תכניות העבודה ותוכניות סקרי הסיכונים, לרבות אלו אותם הגדירה בעצמה. כמו כן, בביקורת עלה כי מערכות טכנולוגיות מרכזיות ומהותיות לניהול סיכוני הסייבר לא הופעלו בצורה נאותה, לא עודכנו, לא טויבו, או לא הותקנו כלל. אי העמידה בהוראות הממונה הביאה לכך שהחברה הייתה מצויה בחשיפה מהותית לסיכוני סייבר וכי רמת הניהול של סיכונים אלה לא עלתה בקנה אחד עם רמה ההולמת גוף מוסדי.
ד"ר משה ברקת, הממונה על שוק ההון, ביטוח וחיסכון, מסר: "הביקורת משדרת מסר ברור לפיו הרשות מצפה כי גופים מוסדיים ינהלו את סיכוני הסייבר ברמה גבוהה, וכי היא תמשיך לפעול בנחישות ובעקביות להבטיח טיפול נאות בסיכונים אלה".
בחברת שירביט בחרו שלא להגיב