המפקח על הבנקים רוצה התערבות של מערך הסייבר בעת אירוע קיצוני - ללא תשתית חוקית
עמי רוחקס דומבה
| 09/07/2019
bigstockphoto
מערך הסייבר והמפקח על הבנקים הודיעו על מסגרת עקרונות פעולה בין הגופים, זאת על אף שאין תשתית חוקית שעל פיה המערך יכול להתערב בנעשה בתחום הפיננסים בישראל. המערך פועל מתוקף שני כלים חוקיים - החלטת ממשלה והוראת שעה קבועה. החלטת הממשלה לא מספקת למערך יכולת התערבות במגזרים אזרחיים. הוראות השעה מכפיפה למערך גופי תשתיות מפוקחים שבעבר היו תחת פיקוח שב"כ. מעבר לכך, כל הפעולה של המערך על בסיס רצון טוב של הצד השני.
למעשה, מסגרת החוק בישראל בהקשר הרלוונטי מציבה את המערך כגורם מנחה לכל הגופים שאינם מפוקחים תחת הוראת השעה. כולל המערכת הפיננסית. מכאן, שמסמך עקרונות סודי, שאינו גלוי לציבור, בין המפקח על הבנקים למערך מעלה שאלות לאור העדר תשתית חוקית לשיתוף פעולה. למרות ניסיונות חוזרים לקבל את מסמך העקרונות מהמערך או מבנק ישראל, שני הצדדים ממשיכים לשמור על סודיות. לא ברור למה.
מידע שהגיע לישראל דיפנס, חושף כי חלק מהעקרונות נוגעים להתמודדות בנק ישראל עם אירוע סייבר קיצוני המאיים על יציבות המערכת הפיננסית. מדובר באירוע שבנק לא יוכל להכיל בעצמו. באירוע כזה, מערך הסייבר יתערב על מנת לשמר את המערכת הפיננסית.
חיזוק לדברים ניתן למצוא בדברים שכתבה המפקח על הבנקים בסקירת סיכום לשנת 2018. "על רקע הערכות הפיקוח על הבנקים כי סיכון הסייבר הוא סיכון גבוה ועולה, פעל הפיקוח לחיזוק והבניה של ממשקי העבודה מול מרכז הסייבר הלאומי, כדי ליצור מעין "כיפת ברזל לאומית" שתהווה שכבת הגנה נוספת בתחום הגנת הסייבר על המערכת הבנקאית", נכתב בסקירה שנתית 2018. "מטרת הפיקוח היא לוודא כי בהתרחש אירוע גדול בבנקאות בתחום הסייבר, הבנקים והפיקוח בסיוע מערך הסייבר ינהלו אותו בדרך שתצמצם את הפגיעות בלקוחות, באמון במערכת הבנקאית וביציבות הבנקים, וכי ההתאוששות מהאירוע תהיה מהירה."
אמנם מדובר בסיכון קיים ובהחלטה תיאורטית נכונה של המפקח על הבנקים בהנתן מצב בו בנק לא יכול להכיל מתקפת סייבר ועומד בפני קריסה. עם זאת, ראוי כי המפקח על הבנקים יפעל לחקיקה מתאימה שממסגרת את מרחב הפעולה של גוף סייבר ממשלתי בבואו להתערב ברשת נתונים של מוסד פיננסי בישראל. התערבות כזו, אם תקרה, תתן לאנשי המערך גישה למידע פרטי של עסקים ואזרחים.
תגובת המערך: "ההסכם עם הפיקוח על הבנקים מעיד על רצון משותף של גופים במשק להיעזר במומחיות של מערך הסייבר הלאומי כדי לשפר את רמת ההגנה על המגזר הפיננסי והבנקאי."
תגובת המפקח על הבנקים: "העקרונות מתייחסים לשיתוף פעולה בין הגופים, בכל הקשור להעברת ידע וכלים מקצועיים, התייעצות בתחומים הסדרתיים והתמודדות עם אירועי סייבר משמעותי. כפי שציינת, למערך הסייבר אין סמכות על המערכת הבנקאית."
bigstockphoto
מערך הסייבר והמפקח על הבנקים הודיעו על מסגרת עקרונות פעולה בין הגופים, זאת על אף שאין תשתית חוקית שעל פיה המערך יכול להתערב בנעשה בתחום הפיננסים בישראל. המערך פועל מתוקף שני כלים חוקיים - החלטת ממשלה והוראת שעה קבועה. החלטת הממשלה לא מספקת למערך יכולת התערבות במגזרים אזרחיים. הוראות השעה מכפיפה למערך גופי תשתיות מפוקחים שבעבר היו תחת פיקוח שב"כ. מעבר לכך, כל הפעולה של המערך על בסיס רצון טוב של הצד השני.
למעשה, מסגרת החוק בישראל בהקשר הרלוונטי מציבה את המערך כגורם מנחה לכל הגופים שאינם מפוקחים תחת הוראת השעה. כולל המערכת הפיננסית. מכאן, שמסמך עקרונות סודי, שאינו גלוי לציבור, בין המפקח על הבנקים למערך מעלה שאלות לאור העדר תשתית חוקית לשיתוף פעולה. למרות ניסיונות חוזרים לקבל את מסמך העקרונות מהמערך או מבנק ישראל, שני הצדדים ממשיכים לשמור על סודיות. לא ברור למה.
מידע שהגיע לישראל דיפנס, חושף כי חלק מהעקרונות נוגעים להתמודדות בנק ישראל עם אירוע סייבר קיצוני המאיים על יציבות המערכת הפיננסית. מדובר באירוע שבנק לא יוכל להכיל בעצמו. באירוע כזה, מערך הסייבר יתערב על מנת לשמר את המערכת הפיננסית.
חיזוק לדברים ניתן למצוא בדברים שכתבה המפקח על הבנקים בסקירת סיכום לשנת 2018. "על רקע הערכות הפיקוח על הבנקים כי סיכון הסייבר הוא סיכון גבוה ועולה, פעל הפיקוח לחיזוק והבניה של ממשקי העבודה מול מרכז הסייבר הלאומי, כדי ליצור מעין "כיפת ברזל לאומית" שתהווה שכבת הגנה נוספת בתחום הגנת הסייבר על המערכת הבנקאית", נכתב בסקירה שנתית 2018. "מטרת הפיקוח היא לוודא כי בהתרחש אירוע גדול בבנקאות בתחום הסייבר, הבנקים והפיקוח בסיוע מערך הסייבר ינהלו אותו בדרך שתצמצם את הפגיעות בלקוחות, באמון במערכת הבנקאית וביציבות הבנקים, וכי ההתאוששות מהאירוע תהיה מהירה."
אמנם מדובר בסיכון קיים ובהחלטה תיאורטית נכונה של המפקח על הבנקים בהנתן מצב בו בנק לא יכול להכיל מתקפת סייבר ועומד בפני קריסה. עם זאת, ראוי כי המפקח על הבנקים יפעל לחקיקה מתאימה שממסגרת את מרחב הפעולה של גוף סייבר ממשלתי בבואו להתערב ברשת נתונים של מוסד פיננסי בישראל. התערבות כזו, אם תקרה, תתן לאנשי המערך גישה למידע פרטי של עסקים ואזרחים.
תגובת המערך: "ההסכם עם הפיקוח על הבנקים מעיד על רצון משותף של גופים במשק להיעזר במומחיות של מערך הסייבר הלאומי כדי לשפר את רמת ההגנה על המגזר הפיננסי והבנקאי."
תגובת המפקח על הבנקים: "העקרונות מתייחסים לשיתוף פעולה בין הגופים, בכל הקשור להעברת ידע וכלים מקצועיים, התייעצות בתחומים הסדרתיים והתמודדות עם אירועי סייבר משמעותי. כפי שציינת, למערך הסייבר אין סמכות על המערכת הבנקאית."
