שי זנדני, סייטג'יק: "איומי הסייבר מוחשיים והרגולטור התייחס אליהם ברצינות"
כתב: הילל יוסף
"איומי הסייבר נמצאים בפתחו של כל ארגון וארגון, לרבות התאגידים הבנקאיים. הם נערכו מבעוד מועד למימושה של הנחייה 361 של המפקח על הבנקים, הנחייה שמקבלת תהודה עולמית", כך אמר שי זנדני, מנכ"ל סייטג'יק (Cytegic) ונשיא ISACA ישראל.
זנדני התראיין לקראת כנס שעורכת החברה. הכנס, בהפקת אנשים ומחשבים, יתקיים ביום ה' השבוע, ה-28 במאי, בבורסה לניירות ערך בתל אביב. הוא יישא את הכותר "אתגרים בהתמודדות עם הנחייה 361".
הנחייה 361, אותה פרסם המפקח על הבנקים, אמר זנדני, "דנה בניהול סיכוני סייבר. היא קובעת כי על תאגידים בנקאיים להקים מערך לניהול איומי סייבר, לבצע הערכת מוכנות לאיומי הסייבר, ולגזור מתוך ההנחייה והמיפוי של הסיכונים תוכנית עבודה שוטפת. בנוסף, ההנחייה גורסת כי יש להראות שהמדובר בפעילות מתמשכת, ולא בפעילות חד-פעמית. הנחייה 361 פורסמה בחודש מרץ השנה ותיכנס לתוקף בספטמבר 2015".
"ההנחיה היא בראש ובראשונה שינוי מדיניות. יש בה דרישה ברורה לערב את ההנהלה הבכירה ברמת האסטרטגיה בהגנת הסייבר של התאגיד. ההנהלה קובעת מדיניות ואסטרטגיה ומנהל אבטחת המידע (או מנהל הסייבר על פי ההנחייה), לצד המנמ"ר, יממשו אותה בפועל. זוהי אמירה משמעותית לפיה המצב השורר כיום, בו הנושא מוטל על כתפי הדרג הטכני, צריך להשתנות, ואיומי סייבר – כמו כל סיכון פיננסי – מחייבים התייחסות רצינית מצד ההנהלה הבכירה של הבנק", אומר זנדני. "ההנחייה ממשיכה את הקו שנגזר מאירועי האבטחה הבולטים שהתרחשו לאחרונה ברשתות קמעונאיות כמו טארגט (Target) ובחברה רב לאומית כמו אולפני סוני (Sony). הנהלות בכירות חייבות להיות מעורבות במימוש תפיסת ההגנה, כי הסיכונים מהותיים לשגרת הארגון ותפקודו".
בימים הקרובים, אמר זנדני, יפורסם מסמך המשותף לרם לוי, חוקר באוניברסיטת תל אביב ומנכ"ל קונפידס, בשילוב סייטג'יק, "המסמך סוקר את איומי הסייבר בשנים האחרונות במגזר הבנקאי. הוא כולל תיעוד של אירועים שצלחו על תאגידים בנקאיים. המסמך מראה כי יש התגברות גדולה מאד של איומים על תאגידים בנקאיים, בשל העובדה כי שם נמצא הכסף".
"פגיעה בתאגיד בנקאי היא כיום חלק ממכלול שלם של פגיעה באורח החיים האזרחי", ציין, "היא היום חלק מאיומי הטרור הקיברנטי. המגמה היא שהאיומים גדלים והגרוע מכל צפוי להגיע".
לדברי זנדני, "הפיקוח על הבנקים בבנק ישראל ביצע עבודה מאוד יסודית, גם מול השטח לפני פרסום ההנחייה, ולכן הארגונים החלו ביישום עקרונות שלה עוד בטרם היא פורסמה. אנו בסייטג'יק רואים ארגונים שכבר נערכו למימוש ההנחייה".
"האיום הוא כאן, הוא מוחשי", אמר זנדני, "הרגולטור הישראלי – בנק ישראל – התייחס אליו ובצורה מקורית, מעמיקה ולא מסורתית. ישראל היא המדינה הראשונה בה הרגולטור מפרסם הנחיה שכזו והפרסום עורר הדים בקרב גורמי מקצוע בעולם, שמאד מתעניינים ברגולציה, על מנת לבחון את יכולת האימוץ שלה בארצות אחרות".
"אנו בסייטג'יק", סיכם זנדני, "משלבים בין מידע מודיעיני הקשור לאיומי הסייבר, על פי חתך גיאו-פוליטי, ומגזר עסקי. לדוגמה, בעת מבצע 'צוק איתן', רמת העצימות של ההתקפות על הבנקים בישראל הייתה גבוהה ועמדה על לפחות פי 4-5 מהרגיל. ארגונים צריכים, ורוצים לדעת על זה לפני – על מנת להתכונן לאירועים כאלה בטרם התרחשו. לכן, יש חשיבות רבה לאפשרות להיערך על בסיס המודיעין הרלוונטי (כפי שגם גורסת הנחיה 361). את בסיס המידע המודיעיני, אנו מטילים על מצב בשלות ההגנות בארגון ויודעים לתעדף את ההגנות (בקרות) שהתאגיד נדרש לטפל בהם באופן מיידי ולהציג את החוליה החלשה בשרשרת בכל רגע נתון. התשתית שלנו מאפשרת לתאגיד בנקאי ליישם את הנחייה 361 באופן שוטף – ובאמצעות פרסום דו"חות לרגולטור, כנדרש".