בנק ישראל מעדכן את הנחיות הסייבר והטכנולוגיה לבנקים: “מענה לאיומים המשתנים בעולם הדיגיטלי”

בנק ישראל פרסם השבוע הנחיות מעודכנות לניהול סיכונים טכנולוגיים, סייבר ואבטחת מידע בתאגידים בנקאיים (ניהול בנקאי תקין הוראה מס' 364). ההנחיות החדשות, שנועדו להחליף מספר הוראות קיימות (הוראה 357: ניהול טכנולוגיית המידע. הוראה 361: ניהול הגנת הסייבר. הוראה 363: ניהול סיכוני סייבר בשרשרת אספקה.), משקפות את ההתאמה הנדרשת של המערכת הבנקאית לשינויים הטכנולוגיים המהירים, להתגברות האיומים במרחב הסייבר ולהתקדמות הטרנספורמציה הדיגיטלית.

ניהול סיכונים בעולם משתנה

העולם הפיננסי עובר בשנים האחרונות שינויים עמוקים בעקבות אימוץ טכנולוגיות מתקדמות, דיגיטציה של שירותים בנקאיים ותהליכי חדשנות. לצד היתרונות הרבים שמביאה הטרנספורמציה הדיגיטלית, היא מעלה את רמת המורכבות של המערכת הבנקאית ומגבירה את החשיפה לסיכוני סייבר. הנחיות בנק ישראל החדשות מתמודדות עם מציאות זו ומטרתן ליצור מסגרת אחידה לניהול סיכונים טכנולוגיים ולהבטיח את יציבות הבנקים מול איומים גוברים.

עקרונות מרכזיים בהנחיות

חוסן תפעולי ואבטחת מידע: בנק ישראל מחייב את הבנקים להקים תשתיות טכנולוגיות חזקות ועמידות בפני תקלות או מתקפות סייבר. ההנחיות כוללות הקפדה על גיבויים, ניהול יעיל של שינויים טכנולוגיים ושימוש באמצעי יתירות לתשתיות קריטיות. בנוסף, מושם דגש על הגנה על נכסי מידע מפני גישה בלתי מורשית ושמירה על סודיות, שלמות וזמינות המידע.

ניהול סיכונים מול צדדים שלישיים: בנק ישראל מזהיר מפני סיכונים הנובעים משיתוף פעולה עם ספקים חיצוניים ומחייב את הבנקים להחיל עליהם סטנדרטים מחמירים. על הבנקים לבצע בדיקות נאותות לכל צד שלישי שמקבל גישה למידע רגיש או מספק שירותים טכנולוגיים.

מודעות אנושית והכשרות: ההנחיות מדגישות את תפקיד העובדים בהגנה על נכסי המידע של הבנקים. כל עובד, כולל זמניים וחיצוניים, יחויב לעבור הדרכות תקופתיות בנושאי סייבר ואבטחת מידע, מתוך מטרה להפחית טעויות אנוש ולחזק את המודעות לסיכונים.

ניהול אירועים ומעקב שוטף: הבנקים מחויבים לפתח תוכניות לניהול אירועי סייבר ולבצע ניטור רציף של תקלות ואנומליות במערכות המידע. במקרי אירועי אבטחת מידע חמורים, נדרשת תגובה מהירה ודיווח מפורט לגורמים הרגולטוריים.

שקיפות ודיווח

כחלק מההנחיות, בנק ישראל מחייב את הבנקים להגיש דוחות סדירים בנושאי סייבר וטכנולוגיית מידע, הן להנהלות הפנימיות והן לגורמי הפיקוח. הדיווחים יבטיחו שקיפות מלאה ויאפשרו מעקב אפקטיבי אחר ביצועי הבנקים בתחום זה.

בנק ישראל מעודד את הבנקים להמשיך לאמץ טכנולוגיות חדשניות, אך דורש מהם לוודא שכל פתרון טכנולוגי חדש נבדק בקפדנות ומתואם עם מדיניות אבטחת המידע שלהם. “עלינו להבטיח שהחדשנות לא תבוא על חשבון היציבות,” נכתב בהודעה הרשמית.

תגובה רחבה בענף

גורמים בענף הבנקאות בירכו על ההנחיות החדשות והדגישו את חשיבותן בתקופה שבה מתקפות סייבר הופכות למתוחכמות יותר. עם זאת, חלקם הביעו חשש מהעלויות הכרוכות ביישום הדרישות. “ההנחיות מחייבות אותנו להשקעות נוספות בטכנולוגיה ובכוח אדם, אך הן קריטיות להמשך יציבותנו,” אמר בכיר באחד הבנקים הגדולים.

ההנחיות החדשות מבטאות את מחויבותו של בנק ישראל לשמור על מערכת בנקאית יציבה ובטוחה, תוך התאמתה לעידן הדיגיטלי ולסיכונים הגוברים במרחב הסייבר.