שוק ההון בישראל על הכוונת

ברשות לניירות ערך מיישמים מערכות מתקדמות במטרה לתפוס את ה"גורדון גקו" הישראלי. נתן הרשקוביץ, מנהל מערכות המידע של הרשות, מסביר כיצד

עמי רוחקס דומבה | 04/12/2014 13:25

מערכת IsraelDefense

הרשות לניירות ערך הוקמה ב-1968 ותפקידה העיקרי הוא להגן על ציבור המשקיעים בשוק ההון. לצורך כך היא מפקחת על חברות ציבוריות, בתי השקעות כאשר המטרה היא לוודא שהמשקיע מקבל את כל המידע שהוא צריך ובצורה מלאה. הרשות גם מפקחת על המסחר בבורסה לוודא שלא מתבצעות הונאות. במילים אחרות, היא אחראית, יחד עם בנק ישראל והאוצר, לביטחון המשקיעים בישראל. בעידן הסייבר, המשימה הזו הופכת להיות מורכבת יותר.

"אנחנו לא אומרים אם להשקיע או לא בחברה מסוימת", מסביר נתן הרשקוביץ, מנהל מערכות מידע של הרשות ב-12 שנים האחרונות. "התפקיד שלנו הוא לדאוג שיש לך כמשקיע את כל המידע. שלא ירמו אותך. המטרה היא שלא ייווצר מצב שיגידו לך שהחברה שרצית להשקיע בה מצוינת, והיא לא כזו. ניקח קרנות נאמנות לדוגמה. אם יש קרן שאומרת שהיא משקיעה 30 אחוזים במניות ו-70 אחוזים באג"ח, אנחנו לא אומרים אם זה טוב או לא, אלא מפקחים שהיא עומדת בהצהרות שלה".

היות ופעילות הרשות מושפעת משינויים טכנולוגיים בשוק ההון, ברגע שהמסחר הפך להיות ממוחשב, כך גם כלי המודיעין, הפיקוח והבקרה עברו התאמה לעולם החדש. וכמו בעולמות טכנולוגיים אחרים, גם בתחום זה, הרשות הישראלית פיתחה כלים שמציבים אותה כמובילה טכנולוגית בהשוואה לרשויות אחרות בעולם. אחד הכלים הוא מערכת מודיעין בזמן אמת שמנטרת את המסחר בבורסה ומנסה לאתר התנהגות חריגה.

"אם קנית ב-8 בבוקר מניה ומכרת ב-12, אז הכל תקין. אבל אם בין שעת הקניה למכירה התפרסם דו"ח חיובי אודות החברה שהמניה שרכשת מייצגת, זה מעלה חשד", מסביר הרשקוביץ. "כל טרנזקציה במסחר מקבלת ציון שמגדיר את החשד לגביה. אם הציון גבוה, החשד גבוה, ואנו בודקים את הטרנזקציה". לרשות יש גם סמכות לבצע חקירות כמו במקרים של הרצת מניות או שימוש במידע פנימי.

כאשר מדובר במניפולציות על שוק ההון, ישנם שני תרחישי ייחוס עיקריים שעמם מתמודדת הרשות. אחד הוא ניסיון של גורם עוין לפגוע בשוק ההון במטרה לשבש את שגרת החיים בארץ. במקרה זה הרשות היא חלק ממארג ארגונים שאמור לטפל בבעיה. התרחיש השני הוא ניסיון הונאה לצורך גריפת רווחים בצורה לא חוקית. בשני התרחישים, הכלים של הרשות אמורים לאותת שמשהו לא בסדר עם שוק ההון.

אחת השאלות המעניינות בהקשר פעילות הרשות, היא סביב המידע שעל בסיסו חברה עס?ית מפיקה את הדו"חות שלה. במציאות, כל חברה מנהלת את מערכות ה-IT בעצמה. מערכות אלו אוגרות את המידע ומנתחות אותו בשביל להפיק את הדו"חות התקופתיים. אם מישהו מצליח לחדור למערכות החברה ולבצע שינוי יזום בנתונים, הרשות לא תדע על כך אלא אם כן החברה דיווחה לרשות. ואם החברה לא יודעת שמישהו מתעסק לה במערכות? במצב כזה אף אחד לא יודע שהנתונים שנמסרים למשקיעים לא נכונים. למה זה חשוב? ובכן, בתרחיש מסוים יכול ארגון פשע בינלאומי לרכוש מניות של חברה שנסחרת באחד העם, ובאמצעות האקרים מקצועיים לדאוג שדו"חות החברה יראו טוב. אם זה יקרה, ערך המניה יעלה וכך גם הרווחים של ארגון הפשע. בתרחיש אחר, אותו ארגון יכול לקנות אופציות 'שורט' כאשר הוא מרוויח אם החברה מפסידה. במקרה כזה, לאחר רכישת האופציות, האקרים מטעם הארגון יכולים לפרוץ לחברה, לגנוב פרטי לקוחות, לפרסם זאת ברבים, להפיל את המניה ולגרוף מליונים. ואלו רק חלק מהתרחישים האפשריים שאפשר לדמיין.

בעידן הסייבר, ארגון פשיעה יכול לפגוע בחברה גם בדרך עקיפה, באמצעות פגיעה בשרשרת האספקה שלה. פעולה שגם תוביל לירידה בערך המניה. לא משנה אם רוצים שערך המניה ירד או יעלה, באמצעות חדירה למערכות החברה או אחד הספקים שלה, אפשר 'לשחק' בשווי המניה. זאת, ללא קשר לביצועים של החברה בפועל. גם הרשות מצידה, ניזונה מנתונים אלו. "זו בעיה של הרבה רשויות כמונו בעולם. אנחנו לא מנהלים את החברות שאנו מפקחים עליהן. זה נמצא על השולחן בכל מדינה. זו בעיה גלובלית", אומר הרשקוביץ. "ברור לנו שאם לא ננקוט אמצעים, יום אחד נתעורר לתרחיש כזה. בגלל זה אנו מנסים להעלות את המודעות לסכנות הטמונות בסייבר. אנחנו לא נגיד לחברה שמערכות אבטחת המידע שלה לא מספיק טובות. בדיוק כמו שלא נעיר למנכ"ל על השקעות שהוא עושה. זה לא התפקיד שלנו".

האם הרשות יכולה לחייב חברות לעמוד בתקנים ורגולציה?

"זו תשובה מורכבת", מסביר הרשקוביץ. "הסמכות שלנו לא הומוגנית. כאשר מדובר בחברה ציבורית למשל, יש לנו סמכויות שונות ממקרה שמדובר בחברת השקעות. בשלב הזה אנו פועלים בעיקר להעלאת מודעות לנושא הסכנות בסייבר".

בנקודה זו ראוי להזכיר שהיציבות הפיננסית בישראל נשמרת על ידי שלושה רגולטורים - הרשות לניירות ערך, המפקח על הבנקים שפועל תחת בנ? ישראל והממונה על שוק ההון, ביטוח וחסכון שפועל תחת משרד האוצר. בעוד הרשות היא גורם מפקח, שני האחרונים גם קובעים מדיניות ולהם יש סמכויות נרחבות יותר בהיבט האכיפה. כולל יישום רגולציה. לאחרונה פרסם המפקח על הבנקים טיוטת רגולציה בנושא שימוש במחשוב ענן והגנה בסייבר במגזר הפיננסי. מעבר לאתגרים שהוצגו קודם לכן בהיבט ההגנה בסייבר, הרשות גם צריכה להגן על מערכות שהיא מתפעלת. אחת מהן היא מערכת 'מגנא' שבאמצעותה חברות מדווחת לבורסה על אירועים רלוונטיים. עוד היבט הוא פתיחה של שוק ההון לעולם באמצעות האינטרנט.

"עשינו ברשות צעדים כדי למשוך משקיעים מחו"ל. אבל כשאתה פותח את המערכות לעולם, אתה חשוף ופגיע יותר. לאחרונה השקנו מערכת להצבעה אלקטרונית עבור בעלי המניות. באמצעות מערכת זו, יוכלו משקיעים בניירות ערך להצביע באסיפות שבהן הם זכאים להצביע, באמצעות האינטרנט. מדובר בכלי חדשני שמספק נוחות למשתמשים, אבל טומן בחובו אתגרי הגנה", מסביר הרשקוביץ.

המטרה: הרתעה

הפגישה עם הרשות מציגה בצורה רחבה יותר את איום הסייבר על מדינת ישראל. לא מדובר רק בתשתיות קריטיות או מערכות צבאיות, אלא גם בכסף של האזרחים ובשוק העבודה. חלק נכבד מהאזרחים עובד בחברות שנסחרות בבורסה וחלק נכבד גם מושקע בכלים פיננסיים למיניהם בצורה ישירה או עקיפה באמצעות קרנות פנסיה ואחרות. אם מחר בבוקר מבוצעת הונאה כנגד כמה חברות ענק מרכזיות במשק הישראלי, זהו מצב שיכול לערער את חיי השגרה ואת יכולת המשילות של המדינה. תלוי בהיקף. תרחיש כזה שם את הפשיעה הקיברנטית במקום שווה ערך לאיום הסייבר בהיבט הביטחוני.

"יש התפתחות בכיוון הפשיעה", אומר הרשקוביץ. "מי שאין לו הגנות, זה עניין של זמן עד שיפגע".

אחת הדרכים להתמודד עם מציאות כזו היא יצירת הרתעה באמצעות טכנולוגיה. הרעיון פשוט: אם יותר קשה לבצע הונאה בשוק ההון הישראלי, ארגון הפשע יחפש מדינות אחרות, עם פחות הגנות על המשקיעים. "מעבר למערכות שמפקחות על המסחר בבורסה, יש לנו גם כלים שמאפשרים לעשות הצלבת נתונים מרשתות חברתיות ומרשת האינטרנט מול הנתונים שמדווחות החברות. זאת, כדי לראות שאנו לא מפספסים משהו", מסביר הרשקוביץ. "לדוגמה, אם יש דיווח ברשת על פריצה לחברה ישראלית והחברה לא דיווחה לבורסה, הרשות יכולה לבוא בשאלות לחברה".

ואכן, בהיבט ההרתעה, ישראל נמצאת במקום טוב. אחד הכלים לבחינת רמת הביטחון בשוק ההון הוא מדד בשם investor protection index. מדובר על מדד שנקבע על ידי הבנק העולמי ולפיו, ישראל נמצאת במקום השמיני מתוך 189 מדינות עם ציון זהה לארה"ב, אירלנד וקולומביה. ככל שרמת הביטחון על המשקיעים גבוהה יותר, כך 'עלות' ההונאה גבוהה יותר והיא פחות משתלמת. "המטרה היא לייצר הרתעה כדי למנוע עבירות, לא לתפוס אותן. שכל אחד יחשוב פעמיים אם כדאי לו לשקר במסחר או לדווח משהו שקרי", אומר הרשקוביץ.

ההיגיון הזה לא עובד כאשר מדובר במדינה או ארגון שרוצים לפגוע בישראל. במקרה כזה, התוקף ישקיע את מירב המשאבים העומדים לרשותו כדי לפגוע בשוק ההון הישראלי. גם כאן עומדים לרשות המשקיעים גופים כמו הרגולטורים הפיננסיים, השב"כ, המוסד וצה"ל שיכולים יחד לספק הגנה בסייבר שאין להרבה מדינות בעולם. תחום חדש של פיקוח אליו נכנסה הרשות לאחרונה הוא זירות מסחר באינטרנט. "מדובר בכלים פיננסיים שמאפשרים לכל אחד להמר על מדדים כמו מחיר הסוכר, החיטה או אופציות למיניהן. זה תחום שלא היה מפוקח, על ידי הרשות בעבר", מסביר הרשקוביץ.

איך אתם יודעים אם אתם עושים עבודה טובה?

"במציאות, הרשות יודעת רק על מקרים שהיא נחשפת אליהם. יחד עם זאת, מסבירים ברשות שיש מדדים כמו משוב מרשויות בחו"ל למשל. לארץ מגיעות משלחות מסין, ארה"ב ומדינות נוספות לראות את המערכות שמיישמת הרשות".

אתם מפעילים יחידה שמנסה לבצע מניפולציות בכוונה על המערכות כדי לאתגר אותן?

"אי אפשר לעשות מניפולציות 'על יבש' בבורסה. אם אתה מתערב במסחר, אתה משפיע על כסף אמיתי של אנשים. האפשרות היחידה היא סביבת סימולציה שאנו מפעילים, אבל זה לא בזמן אמת", מסביר הרשקוביץ.

שיתוף מידע וידע הוא מרכיב קריטי בהגנה בסייבר, ואחת לתקופה מתכנס "פורום רגולטורים פיננסיים" הכולל את בנק ישראל, האוצר והרשות. צריך לזכור שיש מתח מובנה בין הגופים האלו. בעוד תפקיד הרשות הוא לחשוף למשקיעים מידע, שני הגופים האחרים דואגים ליציבות המערכת הפיננסית ולא תמיד חשיפה של מידע תורמת לכך. "אחת לתקופה יש מפגש כזה, ומשתפים ידע. אחד התוצרים של המפגשים הללו הוא הקמה ש? צוות סייבר משותף להעברת מידע, הנחיות ונהלים", אומר הרשקוביץ.

מה היית משפר ברשות?

"סך הכול, רוב החברות בארץ פועלות כדין. אין להן בעיה עם שקיפות", מסכם הרשקוביץ. "פה ושם יש בשוליים חברות סוררות, אבל אי אפשר להגיד שחברות מטבען רוצות להסתיר מידע. יש דווקא מחקרים שמראים כי משקיעים מעריכים שקיפות. אם אני בא למשקיעים ואומר שיש בעיה, ואני פועל לתקן אותה, זה עדיף מאשר להסתיר מהם מידע שיתגלה בסוף. יש לא מעט דוגמאות כאלו של חברות שחשפו אירוע למשקיעים, וזה העלה את האמון בהן.

"בהקשר הסייבר, היה גוף שפנה אלינו כי החדירו לו וירוס. הוא הצליח אמנם לשחזר את הנתונים, אבל זה לקח זמן ועלה הרבה כסף. אם הוא היה מתקין אמצעי הגנה פשוטים יחסית, הוא היה חוסך את כל פעולת השחזור. זה עניין של מודעות לאיום הסייבר במגזר העסקי. את זה הייתי משפר".

לכתבות נוספות באתר ISRAEL DEFENSE היכנסו לעמוד הפייסבוק החדש של nrg

-->

הוסף תגובה

הגיבו