בנק ישראל דורש מהבנקים לקחת אחריות על סיכוני הסייבר של הספקים שלהם - כך עולה מטיוטת חוזר ששלח הפיקוח על הבנקים והגיעה לידי "גלובס". הבנקים וחברות כרטיסי האשראי יצטרכו לקבוע לספקים שלהם עקרונות לאבטחת סייבר, לפקח ולוודא שהם עומדים בהם, למנות נאמן אבטחת סייבר אצל הספק, ולבדוק את מהימנות העובדים של הספק שעובדים מול הבנק.
הנחיה זו תחול רטרואקטיבית אצל כל ספק מהותי שכבר היום עובד עם הבנק. גורמים בבנק ישראל מחדדים שסיכון סייבר שמתרחש דרך צד שלישי הוא סיכון שעולה בסביבה הטכנולוגית המתפתחת וחשוב לחזק את ניהולו.
בבנקים אומרים כי מדובר בהוראה בעייתית שכן היא אינה קובעת כללים ברורים לדרישות מהספקים ומגלגלת את האחריות אל הבנקים. "מדוע שלא רשות הסייבר הלאומית תקבע סטנדרטים לעבודה של ספקים מול כלל הגופים החיוניים במשק?", אומר גורם בכיר במערכת הבנקאית. "במקום שהמדינה תטפל בסוגיה רגישה כל-כך, במיוחד לאור העובדה שישראל היא יעד לתקיפת סייבר על רקע טרור, מפילים את האחריות רק על הבנקים. למה לא לוקחים כאן אחריות לאומית?", הוא מוסיף.
במערכת הבנקאית מעריכים כי יישום ההוראה יעלה לבנקים כ-150 מיליון שקל, זאת, בין היתר, מכיוון שיצטרכו להגדיל את מספר העובדים ליישום ההוראה. כמו כן, לא ברור מי יישא בעלויות היישום בהסכם מול הספק - האם הספק יספוג זאת או יגלגל זאת על הבנק.
נדרשים לפתוח הסכמים
"בשנים האחרונות גדל מספר אירועי הסייבר המתרחשים בארגונים פיננסיים בעולם ובישראל. אירועים אלה מתאפיינים ברובם בין היתר בגרימה של נזק ובשיטות תקיפת מתוחכמות וחדשניות, שמקורן לעתים בגורמים חיצוניים המספקים שירותים שונים לבנקים", מסביר הפיקוח על הבנקים בטיוטת החוזר את הרקע להנחיה. "לפיכך", כותב הבנק, "נדרש הבנק לקבוע את הפעולות הנחוצות, לוודא שהגורמים החיצוניים נוקטים באמצעים הנדרשים להפחתת חשיפת הבנק לסיכון סייבר. מטרת ההוראה להבהיר את האחריות של הבנ בנוגע לקיום תצורת עבודה מאובטחת מול הספקים החיצוניים, ואת חובותיו לניהול סיכוני סייבר הולמים בפעילות ספקים אלו בחצרותיהם, בחצרי הבנקים ובממשקים שלהם עם הבנק".
בפיקוח על הבנקים מציינים כי ההוראה מתייחסת לספקים מהותיים כדוגמת חברות המעניקות שירותי מסחר בשוק ההון. "הכוונה לנותני שירותים כגון תמיכה ותחזוקה של מערכת מידע, אחסון נתונים רגישים מחוץ לבנק, שירותי מיקור חוץ טכנולוגיים וכדומה. אין הכוונה לספקים בתחום המזון, הניקיון וכדומה", מבהירים בבנק ישראל.
אז מה למעשה נדרש הבנק לעשות? הבנק צריך לקבוע עקרונות להתחייבות של הספקים בנושא ניהול סיכוני סייבר ולוודא כי הם עומדים בעקרונות אלה. העקרונות ייחתמו בהסכם ההתקשרות עם הספק. בנוסף, הבנק נדרש לבצע אחת לתקופה מיפוי של הספקים המהותיים, בחינת הסכם ההתקשרות ועמידתו של הספק בהתחייבות. כמו כן, הבנק יצטרך, בין היתר, לבצע בדיקת מהימנות לעובדי הספק המעורבים בשירות הניתן לבקנק, ולמנות נאמן אבטחת מידע וסייבר אצל הספק (אפשרי שזה יהיה אחד מעובדי הספק). ההוראה תחול גם על ספקי המשנה של הספק. אמנם אין הכוונה לכל ספקי המשנה, אלא רק לאלה התומכים בשירות הניתן לבנק, אבל גם כאן לא ברור עד כמה יצטרכו הבנקים להרחיב את הפיקוח בשרשרת האספקה.
דרישות אלה יחולו כאמור, רטרואקטיבית גם עם ספקים שכבר נחתם איתם חוזר לפני תחילת ההוראה. כלומר, על הבנק לפתוח הסכמים ולהוסיף את הדרישות החדשות.
"יפילו עלינו את ההוצאות"
כאמור, בחלק מהבנקים לא אוהבים את ההוראה, שלמעשה מרחיבה את האחריות הבנקאית ומאלצת את הבנק לבדוק אפילו את נאמנות העובדים של הספק. עוד אומרים בבנקים, כי ההוראה בעייתית שכן היא לא קובעת עקרונות ברורים בדרישות מהספקים, אלא מאלצת כל בנק לתבוע דרישות אבטחה מהספק - ולא בטוח שהוא ישתף פעולה. "מה קורה במקרים בהם אנחנו עובדים מול מונופול או מול ענק בינלאומי שלא ממש רוצה שהבנק יקבע לו עקרונות וימנה נאמן? במקרה הטוב יפילו עלינו את כל ההוצאות, ובמקרה הרע פשוט יודיעו לנו על הפסקת ההתקשרות, כי עם כל הכבוד הבנקים בישראל הם לא לקוח משמעותי לענקיות הטכנולוגיה", מעריך גורם בנקאי.
בבנקים מבינים את הרציונל מאחורי הדרישה להדק את אבטחת המידע ולהתגונן מפני מתקפות סייבר שהופכות למתוחכמות ומסוכנות יותר ויותר, אך מעדיפים שבנק ישראל כרגולטור יקבע כללים ברורים שיהוו מעין תו-תקן, במקום שכל בנק יקבע כללים לפי הגחמות והפרשנות שלו את החוזר. אופציה נוספת היא שרשות הסייבר הלאומית תיקח אחריות על הנושא. בתחילת השנה אף התחיל לעבוד מרכז סייבר בנקאי הכפוף לרשות הסייבר הלאומית, ומטרתו לשפר את יכולות הבנקים להילחם במתקפות סייבר. בפיקוח על הבנקים סבורים שיכול להיות ערך רב למעורבות של רשות הסייבר בהסדרת נושא זה ברמת המשק. ובבנקים מוסיפים כי יהיה זה יעיל יותר כי הרשות או מרכז הסייבר הבנקאי יקבעו כללים ותו-תקן ברורים, מאשר שכל בנק ינהל זאת בנפרד מול כל ספק.
הפעולות שנדרשות מהבנקים:
■ לקבוע לספקים שלהם עקרונות לאבטחת סייבר.
■ לפקח על הספקים ולוודא שהם עומדים בכללים.
■ לבצע בדיקת מהימנות לעובדים הרלוונטיים אצל הספק.
■ למנות נאמן אבטחת סייבר אצל הספק.
■ הדרישות יחולו רטרואקטיבית על הסכמים קיימים וכן על חלק מספקי המשנה שעובדים עם הספק.