לוגו איגוד הבנקים

מגזין בנקאות

קושי: 4 מתוך 5
זמן קריאה: 8 דקות

"ההגנה חייבת להיות רב-שכבתית"

את איומי הסייבר על חיינו כבר אין צורך להציג, ומדי פעם אנחנו מקבלים תזכורת לקיומם. כאשר מדובר במתקפה גלובלית, כפי שהתרחשה ב-12 במאי השנה, עוצמת ההתרגשות הציבורית עולה, אבל אנשים שעובדים בתחום הסייבר אינם זקוקים לריגושים מהסוג הזה כדי להבין את הסכנות.

רחל יעקבי, הממונה על הסייבר בפיקוח על הבנקים בבנק ישראל, אומרת שכל הגורמים המעורבים בתחום הסייבר בבנקים, לרבות גורמי הניהול הבכירים (דירקטוריון והנהלה), מתייחסים לאיומי הסייבר במלוא הרצינות. "עם זאת, יש לקחת בחשבון ששיטות התקיפה והאיומים נעשים הרבה יותר מתוחכמים וכמות האירועים בעולם גדלה. אסור להיות שאננים ולחשוב שהמערכת הבנקאית מוגנת, אלא תמיד להסתכל קדימה".

לדברי יעקבי, "התפישה בתחום הסייבר מבוססת על הגנה פרואקטיבית ושיתוף מידע ומודיעין. ההנחה היא שלא ניתן למנוע לחלוטין תקיפות סייבר – וזו תפישה שלא היתה קיימת בעולם אבטחת המידע. אם ארגון מהווה יעד לתקיפה על ידי גורם אחר בעל משאבים ורצון לפגוע בו – התוקף יכול להצליח לפגוע בארגון. לעיתים מספיקה רק חולשה אחת של גורם אנושי כלשהו בארגון, שמאפשרת לתוקפים לבצע את זממם. כלומר, מדובר בעולם של א-סימטריה בין המותקפים לתוקפים, כאשר ידם של התוקפים היא על העליונה".

הפיקוח על הבנקים הגביר בשנים האחרונות את פעילות הפיקוח על ניהול סיכוני הסייבר במערכת הבנקאית. לדברי יעקבי, יחידה הסייבר בפיקוח על הבנקים הוקמה בשנת 2012 מתוך תפיסה שהבנקים בישראל מהווים יעד לתקיפות סייבר גם על רקע המצב הגיאו-פוליטי. "זה מבוסס על הערכה שגורמים שמבקשים לפגוע במדינה ינסו לעשות זאת דרך פגיעה בכלכלת המדינה, כאשר המערכת הפיננסית בכלל והבנקים בפרט מהווים יעד מרכזי. בנוסף, כמו כל גורם פיננסי, הבנקים מתמודדים גם עם תקיפות לצרכי פשעי סייבר. מגוון הגורמים המאיימים הוא רחב, כולל פשע מאורגן, אקטיביסטיים ואפילו מדינות. בניהול סיכוני הסייבר צריך לקחת בחשבון כי בתרחיש קיצון, פגיעה בבנק אחד עלולה לפגוע ביציבות המערכת כולה.

"מבחינתנו, סיכון המוניטין הוא סיכון מהותי. אם יתרחש מצב של זליגת מידע של הרבה לקוחות של הבנק, זה עלול לגלוש למשבר שיסכן את המוניטין שלו. בתרחיש קיצון סיכון כזה עלול לגרום לתגובות קשות מצד הלקוחות עד כדי מצב של סיכון היציבות".

איך אתם פועלים?

"פעילות הפיקוח מתבצעת בשלוש רמות – ברמת הבנק הבודד, ברמת המגזר – המערכת הבנקאית – וברמה הלאומית, כאשר המטרה של היחידה היא לשפר את היערכות הבנקים בהתמודדות מול איומי הסייבר. אחד האלמנטים החשובים בהתמודדות עם איומי סייבר הוא שיתוף מידע וידע. כל שבוע אנחנו שולחים דיווח לבנקים שכולל מיעד על אירועים והתראות בתחום הסייבר – על אירועים שהיו בישראל ובעולם, מידע על מחקרים, על חולשות במערכות, ועוד.

"בנוסף, הקמנו פורום מקצועי בין-בנקאי להגנת הסייבר. הפורום הזה, שבו משתתפים מנהלי הגנת הסייבר בבנקים וגורמים נוספים, מתכנס כל 6-8 שבועות לדיונים שבהם מעלים סוגיות שונות, מנתחים אירועי סייבר בארץ ובחו"ל, לעיתים גם פוגשים מומחים חיצוניים ועורכים תרגילי סייבר מגזריים. כמו הבנקים, גם הפיקוח ערוך למתן מענה סביב השעון".

מהן נקודות התורפה?

"בתקיפות מתוחכמות התוקף לומד את הארגון – גם את המערכות שלו, סביבת הפעילות, וגם את הגורם האנושי שבאמצעותו אפשר לחדור. אחרי הלימוד הוא יכול לתקוף בנקודה החלשה שזיהה בארגון. זה יכול להיות עובד שפתח מייל שהיה מכוון אליו. לדוגמה, בעקבות כנס שבו השתתף, העובד מקבל מייל עם הצעה להשתתף בכנס אחר, פותח כדי לראות, נכנס ללינק כלשהו או פותח קובץ שצורף למייל ושמכיל קוד עוין, ומאותו רגע התוקף יכול לחדור למערכות הארגון.

"התוקף תמיד יוכל להקדים את ההגנה. לכן, ההגנה צריכה להיות רב-שכבתית. כלומר, לא מספיק שיש לך לדוגמה פיירוול. תמיד צריך לקחת בחשבון ששכבת הגנה אחת יכולה להיכשל בגלל טעות אנוש או תקלה כלשהי וחייבת להיות שכבת הגנה נוספת. ההשקעה הנדרשת אינה רק בטכנולוגיה. אם ארגון משקיע הרבה בטכנולוגיה וקונה את כל הכלים החדשניים, אבל בקרב עובדיו אין מודעות לסיכוני הסייבר והוא אינו בודק את האפקטיביות של ההגנות – הסיכון שלו להיפגע יהיה גבוה יותר".

איך מיושמת ההוראה שפרסמתם בנושא הסייבר לפני כשנתיים?

"לפני שהפיקוח על הבנקים מוציא הוראות, הוא בדרך כלל בוחן את הרגולציה הרלוונטית של רשויות פיקוח על מגזרים פיננסיים בעולם. לדוגמה, בתחומים של ניהול סיכונים אנחנו מתבססים על הוראות באזל, אבל בנושא הסייבר לא מצאנו רגולציה בעולם. לכן, קיבלנו החלטה לנסות ליצור 'יש מאין'. התוצאה היא שההוראה שהוצאנו מעוררת עניין גם בעולם, והפצנו תרגום שלה לרשויות פיקוח אחרות ולכל גורם שהתעניין בנושא הסדרת הגנת הסייבר.

"ההוראה קודם כל מתייחסת להגדרות עולם הסייבר. טווח איומי הסייבר שונה מהעולם המסורתי של אבטחת המידע. כמו בארגונים אחרים, איומי הסייבר אינם רלוונטיים רק ליחידת ה-IT בבנק, אלא נוגעים לכל היחידות העסקיות והיחידות התומכות בבנק וגם לגורמים חיצוניים שיש להם קשר עם הבנק, כמו גורמים עסקיים, לקוחות, ספקים, וכל שרשרת האספקה. כדי ליישם את זה, דרשנו גם להגדיר תפקיד חדש בבנקים ובחברות כרטיסי האשראי – מנהל הגנת הסייבר, האחראי, בין היתר, על תכלול כל היבטי הגנת הסייבר".

אבל בשונה מהוראות אחרות שלכם, לא הגדרתם רשימה סגורה של כללים.

"זו אכן לא הוראה של כללים, והיא גם לא עוסקת ב-IT או באבטחת מידע. היא מגדירה מה צריך לקחת בחשבון כאשר מתכננים את מערך ההגנה להתמודד עם סיכוני ומתקפות סייבר, מהו מרחב האיומים. ההוראה עוסקת בצורך לתכנן הגנה שתהיה פרואקטיבית, כלומר לחשוב מראש מהם האיומים האפשריים, מי הגורמים הפוטנציאליים שיכולים לתקוף את הבנק ומהן נקודות התורפה שיכולות לסייע להם לתקוף. היא מדגישה את הצורך במערכות ניטור ומערכות אנומליה – לא רק בתחום הטכנולוגיה אלא גם בתחום העסקי – ואת הצורך להמשיך לתת שירות גם אם המערכת הותקפה. נדרשת חשיבה מחוץ לקופסה, יותר ראייה קדימה, שמחייבת שינוי בתפיסה.

"אחד האתגרים החשובים הוא לזהות ניסיון תקיפה סמוך ככל האפשר למועד התרחשותו. אחת הבעיות היא שארגונים עלולים להיות לא מודעים לתקיפה שבוצעה, כי קשה לזהות אותה, כמו בדוגמה של J. P. Morgan Chase, שזיהה תקיפה רק לאחר כחודשיים (לפי הפרסומים). ככל שעובר הזמן עד זיהוי התקיפה, הנזק עלול להיות גדול יותר וניהול האירוע – מורכב יותר.

"בתהליך הניטור השוטף נעזרים כיום בכלים שלא היו קיימים בעבר, כמו כריית מידע וביג דאטה. בנוסף, צריך לקבוע כללים איך מנהלים אירוע סייבר, מיהם הגורמים המעורבים. ייתכן שבכל אירוע סייבר נדרשת מעורבות של גורמים שונים – ושוב, אין מדובר רק בעובדי ה-IT אלא גם בגורמים עסקיים, מערך הדוברות וכו'".

מדברים על כך שהמעבר של ארגונים, כולל בנקים, למחשוב ענן יוצר סיכונים חדשים.

"אחד הנושאים שקשורים להיערכות הבנקים בתחום איומי הסייבר הוא אכן ניהול הסיכונים בסביבה של מחשוב ענן, והפיקוח הוציא התייחסות בנושא הזה ביוני 2015. במחשוב ענן מדובר לעתים באחסון מידע, שעשוי להיות רגיש, בשרתים שנמצאים אצל גורמים אחרים, כולל חברות שנמצאות מחוץ לישראל".

מהן המגבלות של הבנקים בתחום הזה?

"קבענו שמערכות ופעילויות ליבה של הבנקים וחברות האשראי לא תהיינה בענן. צריך לזכור שהיה מדובר בתחום חדש יחסית, ולמרות שבפיקוח למדנו אותו באופן יסודי, לא היה עדיין ניסיון בכל ההיבטים של שימוש במחשוב ענן, וגם הבנקים לא התנסו בו עד אז. גם מבדיקה שערכנו במערכות בנקאות בעולם, לא ראינו בנקים שעושים שימוש מסיבי בענן ציבורי. בנקים חוששים עדיין מאחסון מידע רגיש בענן, ונוטים לעשות שימוש בענן פרטי שלהם. לכן, קבענו שלא נמנע מהבנקים לבצע פרויקטים של מחשוב בענן, אפילו ענן ציבורי, אבל כל מהלך כזה מחייב פנייה לבקשת היתר מהפיקוח".

צפויות הקלות לבנקים?

"המסר לבנקים היה שנבחן להקל בהמשך. ואכן, בעקבות הניסיון שנצבר בארץ ובעולם, ולאחר התייעצות עם מומחים בנושא, אני מקווה שבקרוב תצא הוראה עם הקלות, כך שבמקרים שבהם אין אחסון של מידע רגיש בענן אלא שימושים בענן לצרכים אנליטיים, שיווקים ואחרים, הבנקים ימשיכו כמובן לנהל את הסיכונים של כל פעילות כזו, כפי שנעשה ביחס לכל פעילות, אבל ללא צורך בקבלת היתר מהפיקוח. אם מדובר באחסון מידע על לקוחות, מידע רגיש אחר או כל מערכת בענן שחשופה לאפשרות תקיפת סייבר שעלולה לפגוע בבנק – הבנקים יחויבו להמשיך לקבל היתר מוקדם מהפיקוח. לדוגמה, אם בנק יחליט להעביר את כל הדואר האלקטרוני לענן, הוא יצטרך לפנות אלינו".

כמה היתרים ניתנו?

"עד היום הפיקוח נתן לבנקים כ-25 היתרים לפרויקטים בענן ציבורי. הגישה שלנו היא לעודד פיתוח טכנולוגיות חדשות, מתוך הכרה שיש ערך בשימוש בענן להגברת התחרות. זה אמור לסייע לבנקים לפתח מוצרים יותר מהר, ולהוזיל עלויות של פיתוחים ומוצרים חדשים, ובכך להיטיב גם עם הלקוחות. זו טכנולוגיה ראויה ונחוצה, ואי אפשר להימנע ממנה, תוך כמובן ניהול סיכונים נכון".

איך עובד שיתוף הפעולה עם מטה הסייבר הלאומי?

"יש לנו קשר עם מטה הסייבר הלאומי ורשות הסייבר. רשות הסייבר הלאומית בשיתוף משרד האוצר הקימו מרכז סייבר בנקאי, שהחל לפעול בתחילת 2017. הפיקוח על הבנקים, ובראשו המפקחת על הבנקים, מקדם באופן שוטף ואקטיבי את פעילות מרכז הסייבר הבנקאי ורואה בו פרויקט-על.

"המטרה של המרכז היא לשתף מידע, לנטר התראות ואירועי סייבר, ולסייע לבנקים להתמודד עם אירועי סייבר; בכך לתת ערך לבנקים – שכבת הגנה נוספת. המרכז מקבל מידע מגורמים שונים ומעביר לבנקים כל מידע רלוונטי לאחר עיבודו. במקביל, אם הבנקים חווים ניסיונות תקיפה או אירועי סייבר אחרים, הם אמורים לשתף את המרכז. הבנקים לא חושפים מידע עסקי או על לקוחות, אלא בדרך כלל מידע על המאפיינים של התקיפה. המטרה היא ליצור אמון בין כל הגורמים, שמשפר את היכולת של הבנקים להתגונן".