"יש למנוע מהחוליה החלשה לחשוף את הבנקים לסייבר"
"אנו מגדירים להנהלות הבנקים את הציפיות הפיקוחיות שלנו בהתייחס לסטנדרטים שעליהם לדרוש מגופים עימם הם מתקשרים לצורך קבלת שירותים שונים", כך לדברי המפקחת על הבנקים, ד"ר חדוה בר
הפיקוח על הבנקים מחדד את הדרישות לגבי ניהול סיכוני סייבר למול הספקים החיצוניים של הבנקים. על פי המפקחת על הבנקים, ד"ר חדוה בר, "בנקים פועלים יותר ויותר באמצעות ספקי שירות וגופים חיצוניים שונים, כגון ספקים הנותנים שירותי מסחר בשוק ההון ושירותי טכנולוגיה לבנק. אלה מהווים חלק מ-'שרשרת האספקה' של הבנק".
"אנו מגדירים להנהלות הבנקים את הציפיות הפיקוחיות שלנו בהתייחס לסטנדרטים שעליהם לדרוש מגופים עימם הם מתקשרים לצורך קבלת שירותים שונים. זאת, על מנת שהחוליה החלשה בשרשרת האספקה לא תחשוף אותם לסיכוני סייבר וזליגת מידע".
בשנים האחרונות, נמסר מבנק ישראל, "גדל מספר אירועי הסייבר המתרחשים בארגונים פיננסיים בעולם ובישראל. אירועים אלה מתאפיינים ברובם בגרימה של נזק רב ובשיטות תקיפה מתוחכמות וחדשניות, שמקורן הוא לעתים בגורמים חיצוניים, המספקים שירותים שונים לתאגידים הבנקאיים והם נכללים בשרשרת האספקה של התאגידים הבנקאיים".
הפחתת חשיפת התאגיד הבנקאי לסיכוני סייבר
לפיכך, קובע בנק ישראל, "התאגיד הבנקאי נדרש לקבוע את הפעולות הנחוצות, כדי לוודא שספקי השירותים החיצוניים המהותיים, נוקטים באמצעים הנדרשים להפחתת חשיפת התאגיד הבנקאי לסיכוני סייבר".
הפיקוח על הבנקים פרסם היום (א') הוראת ניהול בנקאי תקין, בנושא ניהול סיכוני סייבר בשרשרת אספקה. מטרתה, נמסר, "היא להבהיר את אחריות התאגיד הבנקאי בנוגע לקיום תצורת עבודה מאובטחת מול הספקים החיצוניים, וכן את חובותיו של הבנק לניהול סיכוני סייבר הולמים בפעילות ספקים אלה ובממשקים שלהם עם הבנק".
על פי ההוראה, תאגיד בנקאי נדרש לקבוע עקרונות להתחייבויותיהם של ספקים חיצוניים מהותיים בנושא ניהול סיכוני סייבר וכן לוודא עמידה בעקרונות אלה. בנוסף, ההוראה מפרטת רשימה של הגנות מקובלות, שאת הצורך בשילובן נדרש התאגיד הבנקאי לשקול במסגרת הסכם ההתקשרות מול הספק החיצוני. כך, למשל, קביעת אופן מחיקת הנתונים של התאגיד הבנקאי המאוחסנים אצל הספק, לאחר סיום ההתקשרות ביניהם.
ההוראה מגדירה חובת דיווח של הגורמים הרלוונטיים בתאגיד הבנקאי להנהלה, כשעולה חשש כי הספק חושף את התאגיד לסיכוני סייבר משמעותיים. על בסיס דיווח זה והערכת הסיכון, על ההנהלה יהיה לשקול ולהחליט בדבר אופן המשך ההתקשרות עם הספק החיצוני. לדוגמה, צמצום הפעילות, הטמעת בקרות מפצות בתאגיד הבנקאי, הפסקת ההתקשרות, ועוד.
תגובות
(0)