הממשלה לוקחת אחריות על הסייבר הפיננסי

מאז שנושא הסייבר עלה לסדר היום, השיח הציבורי סביבו השתנה ללא הכר. תחילה התייחסו לנושא בעיקר בהקשר האיום האיראני, פרשת התולעת סטוקסנט (Stuxnet), ועוד אי אלו אירועים עלומים שאף אחד לא לקח עליהם אחריות. הצבא, כמו גם המערכות הביטחוניות, דיברו פחות – אבל עשו מה שצריך כדי להגן על המערכות הקריטיות הצבאיות בישראל, וכולנו המשכנו לישון בשקט.

בהיבט האזרחי, הסייבר נקשר יותר ויותר עם מושג ישן יותר בעולם המיחשוב: אבטחת מידע. בכנסים טכנולוגיים, כמו גם באכסניה זו, נאמר ונכתב פעם אחר פעם על חוסר המוכנות של המגזר האזרחי לקראת התקפות סייבר. המוכנות לסייבר נקשרה עם תהליכים עסקיים ומיחשוביים, שבכל מקרה צריכים להיות בכל ארגון כחלק ממוכנות לאסון – לא בהכרח בהקשר של התקפות מרוכזות. שיח זה נשאר תקופה ארוכה בתוך המסגרות הטכנולוגיות.

בכנסים שונים דיברנו על BCP ,DRP וסייבר – הכל כחלק ממדיניות הגנה על נכסי החברה. הקריאות לערוך תרגולים לפחות פעם בשנה נפלו לרוב על הנהלות שלא התרגשו מכך. מנמ"רים, שהבינו את גודל השעה, ניסו להתריע ללא הצלחה. גם גורמים בממשלה ובמערכת הביטחון, שאמורים להיות אמונים על שלום הציבור וההגנה על האזרחים, לא ממש התלהבו לאמץ את הסייבר האזרחי.

התחושה בקרב רבים הייתה, כי מדובר בעיה פנים ארגונית של כל חברה וחברה, שצריכות לדאוג לשמור על נכסיהן הטכנולוגיים והממשלה לא צריכה או לא יכולה להתערב בנעשה בהן – לרבות במגזר הפיננסי, בבנקים ובחברות הביטוח. בנק ישראל החל להתעניין במוכנות הבנקים לסייבר בתקופה האחרונה, ואף מינה יועץ חיצוני שיסייע בהגדרת הצרכים והפתרונות.

מכל אלו הגיעו למסקנה שמקובלת על רבים: העורף האזרחי לא מוכן למתקפת סייבר משולבת, שעלולה ליפול על ראשינו בכל עת.

בוועידת הסייבר השנתית של INSS – המכון למחקרי ביטחון לאומי, שנערכה אתמול (ג'), שמעו המאזינים הרבים שמילאו את אולם הרצאות מוזיקה אחרת: הממשלה היא זו שצריכה לקחת אחריות על הסייבר האזרחי, שאחד ממאפייניו הבולטים הוא המגזר הפיננסי – והבנקים בראשו. היטיב לומר זאת יותר מכולם השר ד"ר יובל שטייניץ. הוא הגדיר את הסייבר כזירת איום נוספת – בדומה לזירות שיש בים, יבשה ובאוויר.

אלא שבניגוד לזירות אחרות, בזירה זו אי אפשר לבצע התקפות מנע, אלא צריך לרכז את כל המאמצים בהגנה. המגזר הפיננסי הוא העורק הרגיש של העורף, אותו עורף שהמדינה רוצה כל כך שימשיך בחיים תקינים גם בשעת חירום.

שיבוש מערכות בנקאיות הוא אחת הפעולות הראשונות שהאויבים שלנו חפצים לבצע, במטרה לפגוע בשגרת חיינו. שטייניץ אמר בצדק: סייבר, בדומה לטרור, לא יכול להכריע מדינה – אבל הוא עלול לגרום לשיבושים קשים בחיינו. לכן, המסקנה של השר היא שבגלל הקריטיות של המגזר הפיננסי, מי שאחראי על ההגנה עליו היא הממשלה. עליה לקחת אחריות ולוודא שהבנקים, חברות הביטוח וגורמים נוספים לא יהיו חשופים להתקפות. זה כמובן לא מוריד מאחריות של אף בנק לשמור על הנכסים שלו. אבל נראה שדבריו של שטייניץ היו בבחינת חידוש מבחינת התפיסה הממשלתית: כאשר מדובר על התקפות סייבר על מוסדות אזרחיים, הציבור לא יכול להגן על עצמו לבד, ולכן הוא זקוק למטרייה ממשלתית.

שטייניץ לא פירט במה כרוכה ההכרה הממשלתית. אולם, עצם ההכרזה לפיה הגנה מפני סייבר פיננסי שווה ערך להגנה על כל מערכת קריטית אחרת של המדינה, מקפלת בתוכה שינויים משמעותיים. זו הצהרה חשובה ביותר, שבוודאי תסייע למערכות. מעבר לזה, ההגנה על המערכות היא תוצאה של המשך ההובלה הטכנולוגית של ישראל בכל תחומי ההיי-טק והטכנולוגיה – ובמיוחד בתחום של הסייבר. בישראל פועלים כיום שתי שלוחות של בנקים זרים – ברקליס (Barclays) וסי טי בנק (citibank) – שכל אחת מהן מעסיקה עשרות עובדים, שכל תפקידם הוא פיתוח כלים ופתרונות טכנולוגים לשימוש הבנקים ולהגנה על מערכות הקריטיות שלהם. גם כאן ישראל יכולה להיות מובילה עולמית. ככול שהמערכת האזרחית הפנימית בישראל תוכיח נחישות ויזמות גדולה יותר בתחום הסייבר, כך יתייחסו אלינו ברצינות גורמים בינלאומיים אחרים.