ניהול ההגנה בסייבר בבנקאות

“התקפות סייבר נגד גופים פיננסיים הופכים להיות יותר תדירים, יותר מתוחכמים ובעיקר יותר נפוצים. נכון שהתקפות מניעת שירות (Denial of Service) מקבלות את הכותרות הגדולות, אך אנו עדים ליותר ויותר גופים פיננסיים החווים התקפות סייבר וניסיונות פריצה בשנים האחרונות”.

כך נפתח דוח “מצב הסייבר בבנקאות” שפרסמה מחלקת השירותים הפיננסים של מדינת ניו יורק, במאי האחרון. הדוח שהוגש למושל המדינה ולמפקח על הבנקים, סקר את התוכנית הארגונית והערכת העלויות המושקעות והעתידיות בתחום הסייבר של למעלה מ- 150 ארגונים פיננסיים מקומיים וזרים במדינה.

האם דוח זה היווה טריגר (נוסף?) לפרסום הוראת המפקח על הבנקים “לניהול ההגנה הקיברנטית“?

ניהול ההגנה בסייבר, כפי שמבקש המפקח, עולה בקנה אחד עם הדוח ויישומו יאפשר מתן מענה בדרגי הניהול לסיכונים הנתפסים טכנולוגיים אך עיקר השפעתם ניהולית ועסקית.

הדוח הניו יורקי מתאר עלייה גוברת במגוון איומי הסייבר והשפעתם העסקית. הדוח מציין כי:

ברמה הניהולית, מרבית הבנקים מנהלים מסגרת ארגונית הכוללת התייחסות  לסייבר. למחציתם יש תכנית אסטרטגית הכוללת גם איומים חדשים (יחסית), בעוד ה השאר מאמינים כי יעדכנו את האסטרטגיה במהלך התקופה הקרובה, בדגש על מענה לאיומים במרחב הסייבר ולהתקדמות הטכנולוגית. ברמה הטכנולוגית, ככל שהבנק גדול יותר, נראה שימוש רחב יותר בטכנולוגיות מתקדמות ותקציבים גבוהים יותר, בדגש על מתן מענה לדרישות רגולציה, פיתוח יכולות המשכיות עסקית והרחבת המוניטין הארגוני (או לפחות אי פגיעה בו).

האם הוראת המפקח על הבנקים בישראל יכולה להקדים את הבלתי נמנע? האם הוראה זו תחייב את סקטור הבנקאי בישראל להכיל עקרונות ניהול הסיכון ברמה ניהולית אסטרטגית? תחייב התייחסות דירקטוריון שוטפת?

 אין ספק שהשאיפה של מרבית הבנקים בנושאי השירותים הדיגיטליים מחייב החדרת טכנולוגיות חדשות וחדשניות. מי שמכיר פעילות עסקית חדשנית, יודע כי התחרותיות והרצון למקסום אפשרויות בד”כ משאיר את נושא האבטחה מאחור וללא טיפול הולם. מאידך, יישום ההוראה תחייב הסדרת תהליכי ממשל הגנה בסייבר וזהו בהחלט צעד ראשון ונכון בתהליך.

אחד השינויים המשמעותיים ביותר במעבר מאבטחת מידע להגנה בסייבר הוא השימוש במודיעין. ארגונים רבים מפתחים יכולות איסוף מודיעין, מתחברים לשירותי מידע מגוונים ובעיקר רוכשים מערכות עיבוד ואבטחה המותאמות לכמויות מידע ונתונים מורחבים (Big Data Analytics).

יחד עם זאת, ולמרות הרחבת יכולות הטכנולוגיה, הסייבר אינו רק הכלים. זהו מרחב פעולה עסקי הכולל תהליכים ואנשים. זהו מרחב פעולה עסקי המאפשר ומייצר הזדמנויות אין סופיות.. חלומו של כל ארגון. על מנת לנצל הזדמנויות אלו, על ארגונים להבין מהם היתרונות היחסיים שלהם, מהו המידע העסקי הרגיש שלהם, ומכאן על מה עליהם להגן. ההגנה אינה היקפית, אלא הגנה נקודתית. תקיפות במרחב הסייבר תמשכנה להתקיים ולהתעצם, ומול התעצמות זו על ארגונים פיננסיים לאסוף ולהשתמש במודיעין עסקי בהקשרי הסייבר. מטרת השימוש במודיעין הוא לנסות לזהות מי מתכנן תקיפה, למה ומה מעניין אותו. המטרה היא לשנות ולשבש ניסיונות תקיפה. הרי בסופו של דבר, התקיפות תתקיימנה, עלינו פשוט להקשות ככל הניתן ולגרום לתוקף/ים לעבור לניסיונות תקיפה על אתרים אחרים.

האם הקמת מרכז מודיעין, בין הבנקים, לשיתוף ידע רלוונטי ושימושי על איומי הסייבר תוך מיקוד באיומים ייעודיים והדרכים להתמודד מולם, כפי שהמליצה המחלקה לשירותים פיננסיים בניו יורק יכול לקום גם בישראל? האם זה הצעד הבא?

האם מרכז ידע שכזה יכול להתקיים עבור גופים מסחריים שאינם בנקים?

אשמח לשמוע את דעתכם והמלצותיכם…

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, ניהול סיכונים

3 תגובות

  1. חברת SAS יוצאת עם פתרון שמאוד מתאים לסייבר ההגנתי הבנקאי. הפתרון כולל יכולות סייבריות מתקדמות בתחומים של:
    – Predictive
    – זיהוי אנומליות ב- Devices או באנשים שהתנהגותם חריגה.
    – Rule Base System – Fraud
    – Social Network Analyssis – כולל זיהוי קשרים בין גורמי מעקב ברשת / בסיסי נתונים
    והכל בסביבה של Bigdata כולל ניתוחי טקסט בעברית וטיפול בכמויות מידע אדירות ובזמנים הקרובים ל- Near Real Time.
    פנו אלי בבקשה למצגת – ואבוא בשמחה
    מוטי סדובסקי
    SAS ישראל
    054-3385118

  2. שוקי פרייס says:

    ההערכות להגנת סייבר איננה רק מודיעין וטכנולוגיות זיהוי, הגנה ומניעה. נחוצה הערכות אינטגרטיבית, הכוללת מנהיגות של ההנהלה, מדיניות, ניהול כולל ואפקטיבי של המערכות הטכנולוגיות, הערכות לתרחישי התקפה ופגיעה, מיקצוענות של כל המעורבים וכו’. כל אלה כלולים בתקן 27032 ISO, המעניק לארגון עקרונות לניהול אפקטיבי, מבוקר ומסודר של מערכת הגנת הסייבר הארגונית.
    לדוגמה: ניהול סיכונים: זיהוי, הערכה, קבלת אחריות להקטנת הסיכון לפי כללי עדיפויות, קבלת החלטות על סיכונים שיוריים מקובלים וכו’.

  3. עמית קורן says:

    נושא המודיעין היה ונשאר שנוי במחלוקת. מעבר לעובדה שבנקודת הזמן הנוכחית המודיעין הנגיש לחברות מסחריות הוא במקרה הטוב דל ומעורפל, יש בעיה עם ההתמודדות עם המודיעין. הרי מה מטרתו של המודיעין? לספק מידע על מתקפה הולכת וקריבה, בטרם התממשותה. אבל מה יעזור המודיעין אם היכולת של הארגון להתמודד היא רק בסביבת המחשוב שבבעלותו (כלומר אצלו בבית)? היתרון העצום של המודיעין הוא היכולת המבצעית שבאה יחד איתו לסכל את הפעולה המתוכננת עוד לפני שהיא מתרחשת – ואת היכולת הזו אין לאף ארגון מסחרי. לכן, לדעתי, יש היגיון שמודיעין הסייבר ירוכז בידי גופים ממשלתיים שלהם גם היכולת לבצע סיכול “מעבר לקווים”.
    ארגון מסחרי לא יתנהל אחרת על בסיס מידע מודיעיני כזה או אחר, אולי רק יחדד עירנות. הרי פריסה של כלים, הגדרה של חוקים במערכות ניטור וכדומה הן לא פעולות מהירות ברזולוציה שיכולה להתאים לתגובה למידע מודיעיני – בטח ובטח כשהמודיעין הוא לא איכותי וכולל לרוב רק זמני תקיפה ולא יותר מזה.

Leave a Reply

Your email address will not be published. Required fields are marked *