ביקורת על הרגולציה החדשה על הבנקים בנושא ניהול סיכוני אבטחה

ההוראה החדשה מאחדת, בפעם הראשונה מזה 30 שנה, שלוש הוראות, אולם גורמי מקצוע טוענים שהגנת הסייבר לא מקבלת בה את המשקל הראוי ● מומחים מבקרים אותה בחריפות: "ההוראה מגדילה את הסיכון הנשקף למגזר הבנקאי"

דני חחיאשוילי, המפקח על הבנקים.

הפיקוח על הבנקים בבנק ישראל עומד לפרסם בקרוב הוראה חדשה בנושא ניהול סיכוני טכנולוגיית המידע והגנת הסייבר, שתחליף שלוש הוראות שקיימות כבר 30 שנה. אלא שגורמי מקצוע בבנקים ויועצים הביעו פליאה ומתחו ביקורת על כך שתחום ניהול סיכוני הסייבר לא נמצא בעדיפות בולטת בטיוטה, שפתוחה בימים אלה להערות הציבור, עד ל-1 באוגוסט. לדבריהם, במקום לקבל התייחסות משלו, ההתייחסות לנושא הקריטי של אבטחת הסייבר היא חלק מהתפיסה הכוללת של אבטחת המידע.

ההוראה החדשה מחליפה את ההוראות 357, שהיא הבסיס לניהול סיכוני טכנולוגיית המידע, 361, שעוסקת בניהול הגנת הסייבר, ו-363, שעוסקת בניהול סייבר בשרשרת האספקה. הגורמים המקצועיים סבורים כי נושא הסייבר חייב להיות במעמד עצמאי, לקבל הוראה משלו, מאחר שהוא אחד האיומים המרכזיים על מערכות המחשוב של הבנקים. לדבריהם, הטמעת הרגולציה על ניהול הסייבר בבנקים בתוך אבטחת המידע הייתה נכונה לפני עשור, אולם לא נכונה לימינו.

המסמך בן 90 העמודים מגדיר את הרקע להחלטה לאחד את התקנות הקיימות להוראה אחת. בין היתר מוסבר בטיוטה ש-"יש להתאים את המסגרת הרגולטורית הנוכחית לניהול סיכונים טכנולוגיים לסביבה הטכנולוגית המשתנה, לאיומים המשתנים ולרגולציה המקובלת בעולם". עורכי המסמך מציינים ש-"לנוכח התגברות אירועי האבטחה, ובכלל זה הסייבר, כוללת ההוראה חלקים ייעודיים לאופן ניהול סיכוני אבטחה, ובכלל זה סייבר".

תגובות חריפות

הבנקים כבר העבירו הערות למפקח על הבנקים, וחלקם הביעו בשיחות סגורות פליאה על השנמוך של מעמד הסייבר. אולם, השינוי זוכה לביקורת מגורמים נוספים, בכירים בעולמות הסייבר והטכנולוגיה בכלל.

בועז דולב, מנכ"ל קלירסקיי, שהקים בזמנו את הפרויקטים הממשלתיים תהיל"ה וממשל זמין, ובין 2000 ל-2009 היה אחראי על עיצוב והקמת מה שהיה לימים למערך הסייבר הלאומי, שיגר לפיקוח על הבנקים מסמך תגובה מפורט, שבו הוא מותח ביקורת חריפה על החלק שמתייחס לסייבר. לדבריו, "נושא הגנת הסייבר לא זוכה בטיוטה החדשה לעדכון ושדרוג הוראה מספר 361, שנועדה לשפר את הגנת הסייבר במגזר הבנקאי – אלא להיפך".

עוד כותב דולב ש-"הטיוטה החדשה מקטינה את ההתייחסות לניהול הגנות הסייבר במגזר הבנקאי ומכניסה אותה למסגרת ניהול כלל הסיכונים הבנקאיים, תוך השמטת והפחתת רכיבים קריטיים בנושא". הוא ציין כי "הכיוון הכללי של ההוראה הוא חזרה למערכי אבטחת מידע, שמתאימים לעשור הקודם של איומי הסייבר. בכך מגדילה ההוראה את הסיכון הנשקף למגזר הבנקאי בטווחים הקצר והארוך כאחד".

בועז דולב, מנכ"ל קלירסקיי.

בועז דולב, מנכ"ל קלירסקיי. צילום: ניב קנטור

הוא מותח ביקורת גם על סעיף אחר בהוראה, שמבטל את ההוראה הקיימת שמחייבת את הבנקים לבצע בדיקות חדירות, ומשאיר את זה לשיקול דעתם.

לסיכום כותב דולב: "במהלך העשור האחרון הוקמו במגזר הבנקאי יחידות הגנת סייבר מצוינות, והמשך תמיכה רגולטורית הולמת הינה קריטית על מנת להבטיח את הגנת הסייבר על הבנקים. להבנתנו, נדרשים שינויים מהותיים בהוראה החדשה על מנת לעמוד באתגרי הסייבר".

בכיר לשעבר בבנק ישראל, שהועסק בפיקוח על הבנקים, סבור גם הוא שההוראה החדשה משנמכת את ההתמודדות עם איומי הסייבר, ו-"למעשה מבטלת את המהפכה שסימלה בזמנו הוראה 361, כמו גם הרבה מאוד סעיפים שהיו בהוראה הקודמת". לדבריו, "המטרה של המסמך היא חיובית, אבל בפועל הוא לא מתאים לעידן האינטרנט של היום והאיחוד, בסופו של דבר, לא ישיג את מטרתו".

"הבנקים צריכים לקבל את התיעדוף המתאים"

אופיר זילביגר, יועץ אבטחה בעל ותק של 30 שנים, שכיום משמש כמנהל מרכז הסייבר הישראלי ומוביל פעילות הסייבר הגלובלית של BDO, מזהה שינוי במיקום ובמעמד סיכון הסייבר במערכת כלל הסיכונים של ניהול המידע בבנקים. "חיברו פה בין שלוש הוראות נפרדות, כאשר הוראה 361 אכן שיקפה את הצורך לתת לסייבר מעמד מיוחד, וכאן מדובר בחלק מההוראה הכללית. אני סבור שעדיין, צריך לתת לניהול סיכוני הסייבר את הקדימות ותשומת הלב המתאימים, לאור עוצמת האיום על הבנקים, שהיא מאוד גבוהה ואף מתגברת. צריך לעשות זאת באופן כללי לתשתיות הקריטיות של מדינת ישראל. אנחנו במלחמה וסייבר הוא איום מאוד רלוונטי, שהבנקים צריכים לנהל בצורה מסודרת ומסונכרנת מול התעשייה, ולקבל את התיעדוף המתאים", ציין.

הוא העיר שצריך ללמוד היטב את המסמך, משום שייתכן שלפיקוח על הבנקים יש סיבות לתפיסה כפי שהיא באה לידי ביטוי בטיוטת ההוראה. "בסופו של דבר", אמר זילביגר, "אין כאן שינוי דרמטי בהוראות, אלא ריכזו וסידרו אותן מחדש".

אופיר זילביגר, מנהל מרכז הסייבר הישראלי ומוביל פעילות הסייבר הגלובלית של BDO.

אופיר זילביגר, מנהל מרכז הסייבר הישראלי ומוביל פעילות הסייבר הגלובלית של BDO. צילום: ניב קנטור

ככלל, הוא ביקש לציין שלמערכת הבנקאית יש מערכת יחסים מאוד בריאה עם הפיקוח על הבנקים. "הבנקים בישראל ידועים ברמת ציות גבוהה ביותר להוראות ולתקנות לעומת מערכות מקבילות בעולם", אמר זילביגר. "הפיקוח נעשה בצורה מקצועית, והוא מבוסס על תפיסה נכונה של התבוננות כיצד הרגולציה מיושמת על ידי הבנקים, ועל סמך זה לנסח את ההוראות".

"ההוראה מציבה סטנדרט לניהול הסיכונים, אך גם משאירה עצמאות לבנקים"

גדי דודיאן, לשעבר סמנכ"ל בכיר ומנהל הטכנולוגיות של בנק יהב, סבור כי "ההוראה החדשה נועדה לאפשר ניהול נכון ואפקטיבי של סיכוני טכנולוגיית המידע, שגדלים מיום ליום, לענות לאתגרי הסביבה הטכנולוגית המשתנה ולהתאים לרגולציה המקובלת בעולם. בנק ישראל חושב, ובצדק רב, שנדרש להתאים את המסגרת הרגולטורית לניהול סיכונים טכנולוגיים ולטפל במגוון הנושאים שלגביהם הוא מפרט בטיוטה". לדבריו, "ההוראה החדשה מרכזת את כל עולמות התוכן הרלוונטיים לסיכון ה-IT, והיא תהווה מקור מרכזי אחיד שבו יוגדרו כלל הסיכונים הטכנולוגיים, באופן כזה שיתאים לכל טכנולוגיה, לרבות סיכוני אבטחת המידע והגנת הסייבר, ובהתאם לסטנדרטים המקובלים בקרב רגולטורים בינלאומיים. בהרבה מאוד מקרים אנחנו מחקים את המדינות המובילות בנושא זה".

דודיאן העיר כי "ההוראה אמנם מגדירה ומציבה סטנדרט כיצד יש לנהל את הסיכונים השונים, אך בד בבד משאירה גמישות לתאגיד הבנקאי לנהל את הסיכון בהתאם לטכנולוגיות השונות שאותן הוא מאמץ, באופן עצמאי, בהתאם לסיכונים השונים והמשתנים כפי שהוא רואה אותם, ובהתאם לאיום הייחוס הפרטני של כל תאגיד ותאגיד".

גדי דודיאן, לשעבר מנמ"ר בנק יהב.

גדי דודיאן, לשעבר סמנכ"ל בכיר ומנהל הטכנולוגיות של בנק יהב. צילום: ניב קנטור

"הפיקוח על הבנקים, באמצעות ההוראה, מטיל אחריות מוגברת על הנהלות הבנקים, ומחייב אותן לנהוג בזהירות הנדרשת, לשפר בכל עת את המסגרת הקיימת לניהול הסיכונים ולהתאים אותה לסביבה הטכנולוגית הדינמית שבה הם פועלים. כל זאת אל מול מתאר האיומים, שמשתנה ללא הרף", ציין דודיאן. הוא קרא למנמ"רים ככלל, ולא רק במגזר הבנקאי, "לקחת את הנושא ברצינות יתרה, לדאוג למשאבים הנדרשים – כוח אדם, מערכות ותקציבים, לבצע תרגולים שוטפים, כולל סקרים והערכות סיכונים, ולוודא שהם עשו את כל מה שניתן מצידם כדי לוודא את עמידות הארגון מפני תקלות ומתקפות, שיכולות להיות הרסניות".

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. אני

    1. הראשון בעל תרומה משמעותית למשק אך לא היה ממקימי ומעצבי מערך הסייבר, אם כבר מדובר ברם מחברת קוניפדס. השני בכלל לא קרא את ההוראה. 2. יש סטנדרטים עולמיים. יש מגמות ויש תפקידים. תפקיד הפיקוח הוא היזונים ובלמים להגנת הלקוח. הורדת חסמים, דרישות לביקורת ובקרה זאת לא הגנה על הלקוח...זאת זריקת אחריות ופתח לתקלות. 3. מדינת ישראל מוקפת אויבים (גם וירטואלים) שמטרתם פגיעה בשירותים חיוניים במדינה. המסמך מאפשר לארגון ולעומד בראש היחידה הטכנולוגית להחליט ללא בקרה וביקורת בסיסית. זה לא סביר ומאוד מסוכן 4. כבר מהקריאה הראשונה של סמנכל הטכנולוגיות של בנק יהב (קטן ולא מייצג שרותי דיגיטל וטרנפורמציה פיננסית) ניתן להבין כי הואדת החסמים מעלה את הסיכון על המשק. איך המסמך יקבל ביטוי במעבר לשרותי core banking גלובלים? כבר אין MF...אז מה יעשו? חמוצים? מסמך מאוד מסוכן ושגוי בהערכה הטכנולוגית שלו בסייבר וחבל.

אירועים קרובים