להוציא את הסייבר מגבולות הגזרה הטכנולוגית

ההוראות של בנק ישראל לניהול ההגנה הקיברנטית הן הזדמנות להעביר את ההיערכות להגנה מפני סייבר שלב אחד קדימה גם במגזרים נוספים ● הרבה מזה תלוי במילוי של הבנקים אחריהן

ההנחיות של בנק ישראל - פתח למגזרים אחרים

בנק ישראל יפרסם בשבועות הקרובים את ההנחיות הסופיות לניהול ההגנה הקיברנטית במערכת הבנקאית בארץ. טיוטת ההנחיות כבר הופצה בקרב ראשי המערכת וככל הנראה, לא יחולו בה שינויים רבים.

הבנק החליט להוציא את ההנחיות לא מפני שהוא חושב חלילה שמנהלי הבנקים ישבו עד היום בחיבוק ידיים. ההיפך הוא הנכון. אולם באופן טבעי, מרבית הפעולות שננקטו עד היום היו בזירה הטכנולוגית, מערכות המידע והמחשוב. זה כמובן מתבקש, והפעילות בתחום זה נעשתה על ידי הבנקים בין היתר במסגרת התקנות של בנק ישראל בנושאי אבטחת מידע.

החידוש העיקרי בהנחיות שעומדות להתפרסם הוא שלתפיסת בנק ישראל, סייבר הוא לא רק טכנולוגיה. החשיפה לפגיעה מסייבר קיימת בכל התהליכים הארגוניים והעסקיים של המערכת הבנקאית בישראל, החל ממחלקת משאבי אנוש וכלה, בין היתר, במחלקות העסקיות ובכל האגפים הלוגיסטיים.

אם מנסים לתמצת את החזון של בנק ישראל בנושא, הסייבר צריך לעמוד על סדר היום של כל מנהל בכל מחלקה ובכל סניף בנק. הסיפור הוא מודעות, רכישת ידע מה הסכנות הנובעות מהסייבר וכיצד להתגונן מפניהן.

המערכת הפיננסית היא מערכת מבוזרת, עתירת סניפים וקשורה עם שורה ארוכה של גורמי חוץ, בארץ ובחו"ל, כולל ספקים של מוצרים וציוד שאינם כפופים לבנק ישראל. מאחר שכך דרושה פונקציה בעלת תפקיד ניהולי בכיר, שתפקידה יהיה לראות את התמונה הכוללת של פעילות המוסד הפיננסי וליישם את ההנחיות בהתאם.

החוזר החדש מקדיש לכך פרק מיוחד. "הבנק ימנה עובד בכיר בעל ידע וניסיון מתאימים כמנהל ההגנה הקיברנטית, שיהיה כפוף ישירות לאחד מחברי ההנהלה", נכתב במסמך ההנחיות. השאלה הנשאלת היא כיצד אמור הבנק ליישם את ההנחיה הזו. בנק ישראל מבהיר שהוא לא מתכוון להכתיב לבנקים את המבנה הארגוני וחלוקת הסמכויות, ואין מודל קבוע ואחיד. הבנק מציין אמנם כי אין מניעה שמנהל ההגנה הקיברנטית ישמש גם כמנהל אבטחת המידע או שיהיה כפוף לו, ובלבד שיינתנו לו כל הסמכויות הדרושות, אולם הוא מצביע על "חשש כבד של ניגודי עניינים הנגזרים מעצם הכפיפות. בכל מקרה, הציפייה היא שמיקומו של מנהל ההגנה הקיברנטית ישקף את הגישה הרואה בסיכון הקיברנטי כסוגיה עסקית אסטרטגית, שמקיפה את כלל פעילות התאגיד ואינה מוגבלת רק לצד הטכנולוגי".

בהמשך המסמך מסביר המפקח על הבנקים, דודו זקן, מדוע הוא סבור שהכפיפות של מנהל הסייבר לא צריכה להיות דווקא למנמ"ר או למנהל אבטחת המידע. "מנהל ההגנה הקיברנטית הוא גורם מפקח ומנחה, ולכן הוא משתייך לקו ההגנה השני, ולא לצד התפעולי של הטכנולוגיה המגנה על מערכות המחשוב של הבנקים", הוא כותב.

זהירות: ההנהלות יכולות להתחמק

הגישה הזהירה של בנק ישראל מובנת, אולם היא עלולה להיות פתח להתחמקות של הנהלות הבנקים מליישם סעיף זה בהנחיות, כדי לחסוך בהוצאות ולא להוסיף פונקציות נוספות בתוך המערכת, שהיא ממילא מורכבת. צודק בנק ישראל שמנהל הגנה קיברנטית לא יעסוק רק בטכנולוגיה, אבל הוא חייב להיות בדיאלוג מתמיד עם מנהל האבטחה, שכן בסופו של יום, הגנה מפני סייבר מבוצעת באמצעות טכנולוגיה, שאותה צריך ליישם מנהל אבטחת המידע.

מצד שני, חשוב מאוד שהכפיפות תהיה לחבר הנהלה בכיר בבנק, מאחר שהיא תואמת את התפיסה הכוללת של בנק ישראל: אנחנו לא מכתיבים לבנקים רשימות מכולת מה צריך ולא צריך לעשות בנושא הגנה קיברנטית, אלא מצפים מההנהלות שתגדרנה את גבולות הגזרה ואת ההנחיות לגבי היערכות לסייבר והכי חשוב, תדאג לאכוף אותן, תוך הפעלת מערכי בקרה קפדניים.

הסייבר צריך להיות אחד הנושאים בהם מועצת המנהלים של בנק צריכה לדון ולבדוק כל הזמן. לא במקרה, ההתייחסות לנושא מגיעה כבר בפרק ב' של ההוראות הקשורות לממשל תאגידי ולאחריות דירקטורים.

מעבר לשאלת התפקיד, עוסקת ההוראה של בנק ישראל גם בניהול הסיכונים. אין ספק שסייבר הוא חלק מניהול הסיכונים השוטף של כל מערכת בנקאית. המטרה היא לצמצמם את החשיפה לאיום הקיברנטי, לרבות אבטחת סביבת הפעילות, הגנה פרו-אקטיבית, צמצום מעטפת התקיפה ושילוב הגורם האנושי.

השורה התחתונה: מסמך ההנחיות לניהול ההגנה הקיברנטית במערכת הבנקאית בישראל חשוב, ענייני וראוי לכל הערכה. המסר המרכזי הוא שצריך להוציא את הסייבר מהגזרה הטכנולוגית שלו ולהכפיף אותו לכל האגפים בבנק שחשופים לסייבר. את המשימה הזו צריך למלא מנהל הגנה קיברנטי, שיהיו לו גם שיניים לממש את המדיניות. אם המסר הזה יעבור, עליו להיות תקף גם לגבי מגזרים אחרים במשק, ולהוציא את הדיון סביב הסייבר אל מחוץ לגזרות הטכנולוגיות שבו הוא תקוע כיום.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים