"המענה לסייבר נגד הבנקים – חשיבה מחוץ לקופסה"

"מתווה האיומים בסייבר הולך וגדל. על מנת לספק מענה מיטבי לאיומים, הבנקים מצופים לחשוב מחוץ לקופסה. במסגרת מתווה ההגנה שהם בונים, עליהם לחשוב גם על תרחיש עתידי, שטרם קרה – ולא רק על מה שקראנו עליו בתקשורת, שכבר היה", כך אמר בראיון בלעדי לאנשים ומחשבים בכיר במערך הפיקוח הבנקאי.

הבכיר התראיין בעקבות תרגיל סייבר שערכה ביום ה' האחרון, ה-24 לינואר, יחידת הסייבר בפיקוח על הבנקים (יס"פ). התרגיל נערך במתכונת שולחן עגול, לכלל התאגידים הבנקאיים ועסק, בין השאר, בנושא "תהליך עסקי מהותי".

הפיקוח על הבנקים ערך תרגיל סייבר לכלל המערכת הבנקאית, כחלק מתהליך חיזוק ניהול הסיכונים והיערכות לאירוע שעלול להתרחש במערכת. הרקע לפעילות הפיקוח הנו התגברות סיכוני הסייבר בכלל ואירועי סייבר גדולים המתרחשים בארגונים פיננסיים בעולם, שעלולים להתרחש גם בתאגידים בנקאיים בישראל.

במטרה לחזק את היערכות הבנקים וחברות כרטיסי האשראי להתמודדות מול אירוע סייבר, הפיקוח עושה שימוש בכמה כלי פיקוח – ועיקרם מתן הוראות פיקוחיות למערכת הבנקאית, ובראשן הוראת ניהול הגנת הסייבר והוראת ניהול סיכוני סייבר בשרשרת אספקה; ביצוע תהליכים לאכיפת יישום ההוראות בשטח; חיזוק הממשק של הבנקים והפיקוח על הבנקים עם מערך הסייבר הלאומי – כקו הגנה נוסף; וכמו כן עריכת תרגיל סייבר מגזרי, לפחות אחת לשנה, לכל המערכת הבנקאית, כמו זה שהתקיים בשבוע שעבר.

הבכיר סירב להתייחס למתווה האיומים, דוגמת הפריצה שאירעה בפברואר 2016, במסגרתה פרצו האקרים לבנק הפדרלי של ניו-יורק וגנבו משם 100 מיליון דולרים, ששייכים לבנק המרכזי של בנגלדש. הגניבה בוצעה על ידי שימוש בהזמנות מזויפות דרך פלטפורמת העברת הכספים הבינלאומית סוויפט (SWIFT), שהיא ליבת המערכת הפיננסית העולמית. ההאקרים זוהו בתחילה כסינים ומאוחר יותר כצפון קוריאנים. "אני לא רוצה לתת לתוקפים פוטנציאליים רעיונות", אמר הבכיר. לדבריו, "בתרגיל שמנו דגש על כל מיני אפיקי פעילות של הבנקים, כולל הסיכונים הקיימים בכל הרכיבים של שרשרת האספקה, לקוחות שעובדים מול הבנקים בערוצים הישירים, ועוד".

הוא ציין כי "האויב שיתקוף יכול להיות כל יריב פוטנציאלי: החל מהאקר מ'העולם הישן', עבור בהאקטיביסטים (הלחם מילים של האקר ואקטיביסט, י.ה.), ארגוני פשע מאורגן, ארגוני טרור, וגם שיתופי פעולה בין הגורמים השונים. ישראל, כמדינה, נדרשת להיות ערוכה – בסיוע מערך הסייבר הלאומי – לקראת כל סוג אויב וכל סוג מתקפה. התוקפים הפוטנציאליים הם מגוונים. עלינו להיות ערוכים מול כל הגורמים שמסוגלים להוציא לפועל מתקפת סייבר שכזו, כל מי שיש לו ניסיון, ידע, מטרה קונקרטית ומשאבים – לא מישהו שיש לו בבית סוס טרויאני".

חשיבות פרק הזמן מאז התקיפה ועד לגילויה בפועל

היבט נוסף שיש להתמקד בו, אמר הבכיר, "הוא פרק הזמן מאז התקיפה ועד לגילויה בפועל". הוא ציין כי "התמקדנו בהיבט לא פחות חשוב מהטכנולוגיה, והוא התהליכים העסקיים. איום סייבר לא בא לידי ביטוי באופן ישיר רק בהיבט הטכנולוגי או רק בכך שנגנב סכום כסף. מדובר בתהליכים עסקיים שיש להביט עליהם לאורך כל הדרך, כדי למנוע מצב בו איום סייבר, הנראה התהליך לא תקין – יתפרש באופן שגוי – כטעות ולא יובן שאכן זהו אירוע סייבר. זה הרבה יותר מורכב, ועל כך שמנו דגש בתרגיל: בבנייה של תהליכים מורכבים – כי המתקפות הולכות ונהיות מתוחכמות ומורכבות יותר. התוקפים מקדישים חלק ניכר מזמנם להיכרות מעמיקה עם יעד המתקפה, בטרם התקיפה בפועל".

לדברי הבכיר, "התרגיל נועד לתרגל בין היתר תהליכי קבלת החלטות עסקיות וטכנולוגיות בעת אירוע סייבר משמעותי ומתפתח, חיזוק ממשקי עבודה פנימיים וחיצוניים בעת אירוע סייבר, ותרגול התמודדות עם אירוע סייבר גם מול לקוחות התאגיד הבנקאי. התרגיל התייחס למרכיבים שונים בפעילות הבנקאית-העסקית והסביבה הטכנולוגית המשתנה ובכלל זה עבודה עם ספקים חיצוניים בחלק מהמערכות העסקיות המהותיות של הבנק. זו עלולה לחשוף את התאגיד לסיכונים: סיכוני צד שלישי או שרשרת האספקה; עבודה בדיגיטל על ידי לקוחות; אירועי פישינג של מידע מלקוחות ועוד".

"התרגיל", סיכם הבכיר, "היה יותר מורכב מהאירועים שאנו עדים להם. הוא אופיין במספר רב של משתמשים, כאשר המשתתפים הם גורמים ביחידות העסקיות – לא רק מנהלי סיכונים. התרחישים היו מורכבים וכללו מגוון היבטים של איומים וגורמי איום. כל יום אנו לומדים גם מאירועים אשר מתרחשים בעולם – בתרגיל זה השתדלנו שהוא יהיה צופה פני עתיד ושיגרום לגופים הפיננסיים לחשוב מחוץ לקופסה – ולא More of the same".