המפקח על הבנקים: דיווח על אירוע סייבר תוך שעתיים מקרות האירוע
"קבעתי את הוראת הנב"ת ותקנתי את הוראה 357 ,הוראה 367 והוראה 361", כותב המפקח
עמי רוחקס דומבה
| 25/11/2020
קרדיט: דוברות בנק ישראל. צולם ע"י אילנית זינגרמן ונתנאל בן שבת.
המפקח על הבנקים מפרסם קובץ טיוטת הוראות חדש תחת הכותרת "דיווח על אירועי כשל טכנולוגי ואירועי סייבר". במסגרת הפרסום, המפקח קובע כי עדכון טלפוני על אירוע סייבר במוסד פיננסי מפוקח נדרש תוך שעתיים מקרות האירוע. "לאחר התייעצות עם הוועדה המייעצת בעניינים הנוגעים לעסקי בנקאות ובאישור הנגיד, קבעתי את הוראת הנב"ת ותקנתי את הוראה 357 ,הוראה 367 והוראה 361", כותב המפקח.
"דיווח טלפוני יינתן תוך שעתיים מזיהוי האירוע כאירוע המחייב דיווח על מנת להעביר לפיקוח על הבנקים את המידע הראשוני הנדרש לגבי האירוע ולאפשר את היערכותו לטיפול באירוע תוך קשר הדוק עם התאגיד המדווח", נכתב בפרסום. "עוקב אחריו יינתן בכתב דיווח ראשוני תוך 8 שעות ממסירת הדיווח הטלפוני. בהמשך האירוע נדרש עדכון הדיווח על ידי התאגיד המדווח אחת ליום או בעת שינוי מהותי בהתפתחות האירוע. זאת, עד לסיום האירוע."
בשלב הראשון של הטמעת תהליך העבודה על פי ההוראה יועברו הדיווחים באמצעות מנגנון הכספות בקבצי אקסל. בשלב השני של הטמעת ההוראה, בכוונת הפיקוח על הבנקים להטמיע מערכת דיווחים ממוחשבת שבאמצעותה יועברו הדיווחים.
"בהגדרת "אירוע כשל טכנולוגי" נרחיב כי בהשפעה חמורה ונרחבת מדובר גם על הפעילות פנימה, כגון: נפילה במערכות הייצור במצב אקטיב אקטיב שהכניסה את הגיבוי לפעולה וכתוצאה מכך השירות לא נפגע או תקלה חמורה שקרתה ותוקנה לפני שהשפיעה בפועל (פוטנציאל טכנולוגי, להבדיל מפוטנציאל אבטחת מידע וסייבר)", כותבים בדיווח.
המפקח אף מוסיף בהוראה סמכות אקטיבית על האירוע. "בעת הכרזת סיום אירוע על ידי התאגיד הבנקאי, תתבצע בדיקה איכותית של הפיקוח על הבנקים כי אכן האירוע הסתיים."
"קבעתי את הוראת הנב"ת ותקנתי את הוראה 357 ,הוראה 367 והוראה 361", כותב המפקח
קרדיט: דוברות בנק ישראל. צולם ע"י אילנית זינגרמן ונתנאל בן שבת.
המפקח על הבנקים מפרסם קובץ טיוטת הוראות חדש תחת הכותרת "דיווח על אירועי כשל טכנולוגי ואירועי סייבר". במסגרת הפרסום, המפקח קובע כי עדכון טלפוני על אירוע סייבר במוסד פיננסי מפוקח נדרש תוך שעתיים מקרות האירוע. "לאחר התייעצות עם הוועדה המייעצת בעניינים הנוגעים לעסקי בנקאות ובאישור הנגיד, קבעתי את הוראת הנב"ת ותקנתי את הוראה 357 ,הוראה 367 והוראה 361", כותב המפקח.
"דיווח טלפוני יינתן תוך שעתיים מזיהוי האירוע כאירוע המחייב דיווח על מנת להעביר לפיקוח על הבנקים את המידע הראשוני הנדרש לגבי האירוע ולאפשר את היערכותו לטיפול באירוע תוך קשר הדוק עם התאגיד המדווח", נכתב בפרסום. "עוקב אחריו יינתן בכתב דיווח ראשוני תוך 8 שעות ממסירת הדיווח הטלפוני. בהמשך האירוע נדרש עדכון הדיווח על ידי התאגיד המדווח אחת ליום או בעת שינוי מהותי בהתפתחות האירוע. זאת, עד לסיום האירוע."
בשלב הראשון של הטמעת תהליך העבודה על פי ההוראה יועברו הדיווחים באמצעות מנגנון הכספות בקבצי אקסל. בשלב השני של הטמעת ההוראה, בכוונת הפיקוח על הבנקים להטמיע מערכת דיווחים ממוחשבת שבאמצעותה יועברו הדיווחים.
"בהגדרת "אירוע כשל טכנולוגי" נרחיב כי בהשפעה חמורה ונרחבת מדובר גם על הפעילות פנימה, כגון: נפילה במערכות הייצור במצב אקטיב אקטיב שהכניסה את הגיבוי לפעולה וכתוצאה מכך השירות לא נפגע או תקלה חמורה שקרתה ותוקנה לפני שהשפיעה בפועל (פוטנציאל טכנולוגי, להבדיל מפוטנציאל אבטחת מידע וסייבר)", כותבים בדיווח.
המפקח אף מוסיף בהוראה סמכות אקטיבית על האירוע. "בעת הכרזת סיום אירוע על ידי התאגיד הבנקאי, תתבצע בדיקה איכותית של הפיקוח על הבנקים כי אכן האירוע הסתיים."
