בנק ישראל מסדיר את השימוש בענן

בתחילת החודש פרסם המפקח על הבנקים בבנק ישראל טיוטות רגולציה שמטרתן הסדרת השימוש בענן וניהול ההגנה הקיברנטית במגזר הפיננסי. מדובר בצעד ראשון בישראל בכיוון של גורם ממשלתי (ומבורך). מומלץ לעוסקים בתחום לבחון לעומק ולהעיר . ניסוי ראשון בענן ציבורי התנהל החודש על ידי בנק פועלים והוא יכול לשמש כדוגמא לפערים בין המציאות למה שכתוב בטיוטת ההוראה

דוד זקן - המפקח על הבנקים

בנק ישראל עשה היסטוריה בישראל, כאשר בתחילת חודש אוגוסט האחרון הוא פרסם טיוטות של שתי הוראות בתחום הטכנולוגי - אחת שצפויה להסדיר את השימוש בענן במגזר הפיננסי (המסמך) ושנייה שצפויה להסדיר את ניהול ההגנה הקיברנטית (המסמך).

הגנה קיברנטית

בתחום זה המפקח על הבנקים מפרסם למעשה עקרונות פעולה שהוא מצפה מהבנקים לפעול על פיהם. בין העקרונות - מינוי עובד בכיר בעל ידע וניסיון כמנהל הגנה קיברנטית שיהיה כפוף לחבר הנהלה. זה יכול להיות אותו עובד שיהיה אחראי על אבטחת מידע. מנהל ההגנה הקיברנטית צריך לפעול בחופש מספיק כדי לתת חוות דעת עצמאית לחברי ההנהלה.

כל תאגיד בנקאי צריך שתהיה לו אסטרטגיית הגנה קיברנטית. היא תתעדכן כל שלוש שנים לפחות. כל שנה התאגיד יבצע הערכת סיכונים במרחב הקיברנטי.

בהיבט דיווח על אירועים קיברנטיים, יש לתאגיד הבנקאי חובת דיווח פנימית עד לרמת הנהלה וכן לפיקוח על הבנקים. חסר בטיוטה את הקשר של התאגיד הבנקאי והפיקוח על הבנקים עם רשות הסייבר הלאומית. כנראה בגלל פער הזמן בין פרסום הטיוטה להקמת הרשות.

כל תאגיד בנקאי יקים חמ"ל סייבר שיפעל 24 שעות ביום כל השנה. התאגיד גם יגדיר מאגר של תגובות בהתאם לרחישים השונים. התאגידים הבנקאיים ישתפו ביניהם מידע אודות אירועי סייבר.

ניהול סיכונים בסביבת מחשוב ענן

טיוטה נוספת נוגעת ביישום שירותי ענן במגזר הפיננסי. לפי המפקח על הבנקים, שירותי ענן הם מקרה פרטי של מיקור חוץ. חלק מהתובנות בהוראה כוללות: הבנק חייב להצפין נתונים רגישים שיכולים לפגוע בלקוח או בבנק [לא ברור מההוראה כל נושא ניהול המפתחות. בעיקר כאשר מדובר בספק שירותי ענן בחו"ל]; הבנק חייב אישור מהמפקח על הבנקים כדי להשתמש בשירותי ענן.

התאגיד הבנקאי לא ישתמש בשירותי ענן לפעילויות הליבה שלו. הוא גם לא יאחסן נתוני לקוחות מחוץ לישראל, אלא אם כן ספק שירותי הענן עומד בדירקטיבה האירופאית להגנה בסייבר של האיחוד האירופאי (
למסמך לחץ כאן/>). מידע נוסף אפשר למצוא כאן (כתבה).

הערות: האם הבנק בישראל חייב להודיע ללקוח הישראלי שהפרטים שלו מאוחסנים אצל ספק שירותים בחו"ל? למה המפקח לא מאמץ גם תקינה בנושא אבטחת מידע בענן של ארגון ה-FFIEC האמריקאי? או של משרד הביטחון האמריקאי בשם fedramp (הרחבה).

חוסרים בהוראות

מה חסר? מרכיב אחריות אישית של מנהלים. בפרק ב' של הוראת ניהול הגנה קיברנטית - "ממשל תאגידי" - מוגדרת האחריות של הדירקטוריון וההנהלה הבכירה. אולם המפקח על הבנקים נמנע מלפרט את צד האחריות המשפטית האישית של מנהלים שלא יפעלו על פי עקרונות ההוראה. גם בהוראה על שימוש בשירותי ענן אין התייחסות לנושא.

חסר גם הקשר לרשות הסייבר הלאומית ולגופים נוספים כמו שב"כ/משטרה/צה"ל. בסופו של דבר, פגיעה בבנקים היא פגיעה בביטחון הלאומי של ישראל. מה קורה אם כאקט מקדים להתקפה קינטית על ישראל, גורם עוין פוגע בבנקים? תחשבו מה קורה אם אזרחי ישראל קמים למציאות שבה המספרים בחשבונות הבנק שלהם לא נכונים. ומה קורה אם אחרי כמה שעות מדינות ערב / ארגוני טרור פותחים בהתקפה כוללת על ישראל? לא נעים.

יחד עם זאת, כפי שציינתי בתחילת הכתבה, מדובר בצעד ראשון ומבורך בארץ להסדרת פעילות המגזר הפיננסי במרחב הקיברנטי. בטח לאור העובדה שבנק פועלים כבר התחיל לבצע פעילות ניסיונית לפיתוח יישומים על בסיס הענן של אמזון (כתבה). קצת מוזר בכל זאת, שבנק פועלים משתמש בפלטפורמת ענן בחו"ל שאינה עומדת בדירקטיבה האירופאית. פשוט כי היא עדיין לא אושררה באיחוד האירופאי. הערות של הבנק המרכזי באירופה (ECB) על הדירקטיבה אפשר למצוא כאן.

You might be interested also