בנק ישראל לבנקים: מנו מנהל להגנה ממתקפות סייבר

הבנק המרכזי מגדיר באופן מפורט מה על כל בנק לעשות כדי להתמודד עם האיומים הקיברנטיים, וכן דורש מהם לאמץ עקרונות הגנה שלא קיימים כיום

דודו זקן / צילום: תמר מצפי
דודו זקן / צילום: תמר מצפי

בנק ישראל מוטרד מאיומי הסייבר על המערכת הבנקאית. ל"גלובס" נודע כי בפיקוח על הבנקים, בראשות דודו זקן, דורשים כי כל בנק יקים מערך הגנה קיברנטי, וימנה מנהל הגנה קיברנטית שיעמוד בראשו.

באחרונה העבירו בבנק ישראל טיוטת חוזר לבנקים העוסקת בנושא "ניהול הסיכון הקיברנטי", ובה נדרשים הבנקים להתייחס בצורה מפורטת ולהקצות משאבים כדי להילחם באיומי הסייבר. בנק ישראל דורש מהבנקים ליישם עקרונות הגנה שלאו דווקא קיימים כיום, וכן דורש מהם שיתוף של מידע, מודיעין והגנה לעומק.

הבנקים נדרשים למנות עובד בכיר בעל ניסיון וידע מתאימים כמנהל הגנה קיברנטית. "על אף שלמנהל אבטחת המידע ולניהול טכנולוגיית המידע תפקיד משמעותי בהתמודדות עם סיכון זה, הרי שבכדי לספק הגנה אפקטיבית נדרש קיומה של פונקציה ייעודית לנושא, אשר משלבת מגוון תחומים, גם כאלה שאינם משתייכים לניהול טכנולוגיות כגון זיהוי הונאות, הגנה פיזית, כוח אדם, ציות ועוד", נכתב במסמך שהופץ לבנקים.

עוד עולה מהמסמך כי המפקח על הבנקים עשוי לאפשר למנהל ההגנה הקיברנטית לשמש בתפקיד זה גם בחברות-בנות של הבנק, ולא לדרוש כי כל חברה-בת תמנה לתפקיד אדם אחר.

בבנק ישראל לא מגדירים את רמת בכירות העובד והאם יצטרך להיות חבר הנהלה לדוגמה, אך רומזים כי הם מצפים כי ייחשב בכיר בבנק. "הציפייה היא כי למנהל ההגנה הקיברנטית תהיה יכולת להביע את דעתו באופן עצמאי מול המנהלים, ושהסוגיות המועלות על ידו יזכו בתשומת הלב הנחוצה, ויהוו נדבך בעל משמעות בעת קבלת ההחלטות".

בבנק ישראל מציינים כי מנהל ההגנה הקיברנטי יהיה מעורב בעשייה השוטפת הקשורה בעיקר לניטור וניהול אירועים קיברנטיים. עוד דורשים בבנק ישראל כי הבנקים יחלקו סמכויות בין מנהל אבטחת המידע לבין מנהל ההגנה הקיבנרטית בכל הנוגע להיבטי ניהול אירוע של מתקפת סייבר.

עוד מבקשים בבנק המרכזי להגדיל את המעורבות של דירקטוריון והנהלת הבנק בנושאים האלה. בנק ישראל רוצה שדירקטוריון הבנק יתווה אסטרטגיית הגנה, יעקוב ויפקח על יישומה ויקבל דיווח בעת אירוע משמעותי.

באשר להנהלת הבנק, זו נדרשת לגבש את מדיניות ההגנה, לעקוב אחר האפקטיביות שלה, לקבל דיווח תקופתי ותמונת מצב על האיומים ודרכי ההתמודדות.

בבנק ישראל מוטרדים זה תקופה ארוכה מפוטנציאל האיום במתקפת סייבר. "לאחרונה חל גידול מתמיד באיומים הקיברנטיים, שאליהם חשופים מוסדות פיננסיים בעולם ובישראל. איומים אלה מתאפיינים בתחכום הולך וגובר, בעוצמת פוטנציאל הנזק ובקושי לזהות התקפות שכאלה.

נוכח העובדה שישראל, ובכלל זה המגזר הפיננסי, מהווה יעד מועדף להתקפה ע"י יריבים שונים, חשופים הבנקים להתקפות אלו. מתוך הכרה במרכזיותו ובהשלכותיו של איום זה, עלה הצורך לפרסם הוראה מיוחדת לנושא", מסבירים בבנק ישראל את הסיבה להוצאת ההוראה.

נזכיר כי כבר לפני שנתיים הביעו בבנק ישראל אי-נוחות ממידת המוכנות של הבנקים למתקפת סייבר, וביקשו מהם לזרז את היערכותם לנושא ולערב יותר את ההנהלה והדירקטוריון. כעת נראה כי בבנק ישראל עברו לשלב הפרקטי יותר, ומפרטים בצורה רשמית יותר מה על הבנק לעשות כדי להתמודד עם איום שכזה.

עוד נציין כי מבחינת בנק ישראל, מערך ההגנה הקיברנטית צריך להיות מעורב גם בתחומים החורגים מתחומי הגנת המידע הרגילים, כגון טיפול בהונאות ופשע, הגנה על הפרטיות, הגנה פיזית, הגנה על תשתיות וכדומה. המערך יטפל בהגנה מפני איום קיברנטי בכל שרשרת האספקה של הבנק לרבות רשתות חברתיות, ספקים, נותני שירות ולקוחות, וכן הם דורשים לשלב יכולות מתקדמות במערך ההגנה, ביניהם לדוגמה הונאת תוקף.

עוד דורש בנק ישראל כי כל בנק יעגן במסמך את אסטרטגיית ההגנה הקיברנטית שתכלול את עיקרי ההגנה, תיאור הכלים להערכת הסיכון ואופן הבקרה. בנק ישראל גם מגדיר שבעת אירוע קיברנטי יוקם חדר מצב, ויוגדר מראש מי העובדים שיאיישו אותו, סמכויותיהם ונוהלי העבודה. בעת אירוע קיברנטי נדרש הבנק להכין יומן אירועים שבו יתועדו ההתרחשויות. הבנק יגדיר סולם של רמת כוננות ופעילות נדרשת בהתאם להתראות ולתרחישים.

בנק ישראל גם מתייחס לנהלים שבשגרה, ומבקש כי הבנקים יפעלו לצמצום החשיפה למתקפות באמצעות צמצום הרשאות של משתמשים, חסימה של התקן נייד, סינון סוגי קבצים היכולים להיכנס למערכת וכדומה. הדרישות הללו מהבנקים אינן הפעולה היחידה שעושים בבנק ישראל לטיפול בנושא מתקפת הסייבר.

בנק ישראל גם יוזם הקמת מרכז סייבר משותף לבנקים, שירוכז תחת חברת שב"א, הנמצאת בשליטת הבנקים. שב"א אף החלה בתהליך של בניית מכרז להפעלת מרכז הסייבר. לפי הערכות, הנחישות של בנק ישראל לפעול בתחום הסייבר מגובה בתמיכה של רא"מ (הרשות לאבטחת המידע) הנמצאת במשרד ראש הממשלה, אשר חוששת ממתקפת סייבר שתגרום למעין "פיגוע כלכלי" במדינה.

הדרשות מהבנקים
 הדרשות מהבנקים