בנק ישראל: האחריות לתקיפות סייבר על שרשרת האספקה - של הבנקים
עמי רוחקס דומבה
| 16/11/2017
bigstockphoto
האם נשלם יותר בקרוב על ניהול חשבונות בבנקים בישראל? לפי טיוטאת הוראה של המפקח על הבנקים, הבנקים יהיו אחראים לפקח על הסיכון שנובע למערכות שלהם מהספקים שלהם - קרי, משרשרת האספקה.
"במקרה שתאגיד בנקאי יגיע למסקנה לאחר הבחינה, כי הספק המהותי אינו עומד בהתחייבותיו, באופן שחושף את התאגיד הבנקאי לסיכוני סייבר משמעותיים, ידווח להנהלת התאגיד, תוך הצגת סיכונים אלו והשלכותיהם על התאגיד ולקוחותיו. במקרה זה, על ההנהלה יהיה לשקול ולהחליט בדבר המשך ההתקשרות עם הספק", נכתב בטיוטאת הוראת הפיקוח שלא פורסמה לציבור.
להערכת הבנקים יישום הוראות החוזר יעלה להם כ-150 מיליון שקל. (מקור: גלובס). העלויות האלו צפויות להתגלגל על הלקוח הסופי.
"במסגרת הסכם ההתקשרות של התאגיד הבנקאי עם הספק המהותי, התאגיד הבנקאי יקח בחשבון את הצורך בשילוב ההיבטים הבאים בהסכם, בהתאם להערכת הסיכונים:
(א) הקשחת מערכות הספק המהותי המותקנות ברשת התאגיד הבנקאי בהתאמה לנהלי אבטחת המידע וניהול הסיכונים של התאגיד הבנקאי.
(ב) העברת קבצי Log ממערכות הספק, לפי בקשת התאגיד הבנקאי.
(ג) עריכת סקר סיכונים ומבדקי חדירה מבוקרים אחת לתקופה לפי דרישת התאגיד הבנקאי גם לעניין תסריטי הבדיקות, ובהתאם לניהול הסיכונים.
(ד) טיפול בממצאים שזוהו בסקר ובמבדקי החדירה תוך פרק זמן סביר לאחר גילויים.
(ה) ביצוע בדיקת מהימנות לעובדי הספק הקשורים לשירות הניתן לתאגיד הבנקאי.
(ו) מינוי נאמן אבטחת מידע וסייבר והגדרת סמכויותיו ותפקידיו.
(ז) הצגת רשימה של ספקי משנה אשר תומכים בשירותים הניתנים לתאגיד הבנקאי ע"י הספק המהותי מידי תקופה שתיקבע ע"י התאגיד הבנקאי.
(ח) קביעת הסדרים למחיקת נתונים של התאגיד הבנקאי המאחוסנים בחצרי הספק, לאחר סיום ההתקשרות ו/או לפי דרישת התאגיד הבנקאי.
(ט)ביצוע הפרדה בחצרי הספק בין סביבות העבודה (פיתוח, ייצור, וכד)'.
(י) דיווח לתאגיד הבנקאי על אירועי סייבר אשר יתרחשו אצל הספק או אצל ספקי משנה שלו", כותבים בטיוטת הפיקוח.
לא ברור מדוע בנק ישראל בחר שלא לפרסם את הטיוטה לציבור להתייחסות. כמו גם, לא ברור איך חושבים בבנק ישראל שהספקים של הבנקים יוכלו לעמוד בכל הדרישות האלו.
bigstockphoto
האם נשלם יותר בקרוב על ניהול חשבונות בבנקים בישראל? לפי טיוטאת הוראה של המפקח על הבנקים, הבנקים יהיו אחראים לפקח על הסיכון שנובע למערכות שלהם מהספקים שלהם - קרי, משרשרת האספקה.
"במקרה שתאגיד בנקאי יגיע למסקנה לאחר הבחינה, כי הספק המהותי אינו עומד בהתחייבותיו, באופן שחושף את התאגיד הבנקאי לסיכוני סייבר משמעותיים, ידווח להנהלת התאגיד, תוך הצגת סיכונים אלו והשלכותיהם על התאגיד ולקוחותיו. במקרה זה, על ההנהלה יהיה לשקול ולהחליט בדבר המשך ההתקשרות עם הספק", נכתב בטיוטאת הוראת הפיקוח שלא פורסמה לציבור.
להערכת הבנקים יישום הוראות החוזר יעלה להם כ-150 מיליון שקל. (מקור: גלובס). העלויות האלו צפויות להתגלגל על הלקוח הסופי.
"במסגרת הסכם ההתקשרות של התאגיד הבנקאי עם הספק המהותי, התאגיד הבנקאי יקח בחשבון את הצורך בשילוב ההיבטים הבאים בהסכם, בהתאם להערכת הסיכונים:
(א) הקשחת מערכות הספק המהותי המותקנות ברשת התאגיד הבנקאי בהתאמה לנהלי אבטחת המידע וניהול הסיכונים של התאגיד הבנקאי.
(ב) העברת קבצי Log ממערכות הספק, לפי בקשת התאגיד הבנקאי.
(ג) עריכת סקר סיכונים ומבדקי חדירה מבוקרים אחת לתקופה לפי דרישת התאגיד הבנקאי גם לעניין תסריטי הבדיקות, ובהתאם לניהול הסיכונים.
(ד) טיפול בממצאים שזוהו בסקר ובמבדקי החדירה תוך פרק זמן סביר לאחר גילויים.
(ה) ביצוע בדיקת מהימנות לעובדי הספק הקשורים לשירות הניתן לתאגיד הבנקאי.
(ו) מינוי נאמן אבטחת מידע וסייבר והגדרת סמכויותיו ותפקידיו.
(ז) הצגת רשימה של ספקי משנה אשר תומכים בשירותים הניתנים לתאגיד הבנקאי ע"י הספק המהותי מידי תקופה שתיקבע ע"י התאגיד הבנקאי.
(ח) קביעת הסדרים למחיקת נתונים של התאגיד הבנקאי המאחוסנים בחצרי הספק, לאחר סיום ההתקשרות ו/או לפי דרישת התאגיד הבנקאי.
(ט)ביצוע הפרדה בחצרי הספק בין סביבות העבודה (פיתוח, ייצור, וכד)'.
(י) דיווח לתאגיד הבנקאי על אירועי סייבר אשר יתרחשו אצל הספק או אצל ספקי משנה שלו", כותבים בטיוטת הפיקוח.
לא ברור מדוע בנק ישראל בחר שלא לפרסם את הטיוטה לציבור להתייחסות. כמו גם, לא ברור איך חושבים בבנק ישראל שהספקים של הבנקים יוכלו לעמוד בכל הדרישות האלו.
