“התקפות סייבר נגד גופים פיננסיים הופכים להיות יותר תדירים, יותר מתוחכמים ובעיקר יותר נפוצים. נכון שהתקפות מניעת שירות (Denial of Service) מקבלות את הכותרות הגדולות, אך אנו עדים ליותר ויותר גופים פיננסיים החווים התקפות סייבר וניסיונות פריצה בשנים האחרונות”.
כך נפתח דוח “מצב הסייבר בבנקאות” שפרסמה מחלקת השירותים הפיננסים של מדינת ניו יורק, במאי האחרון. הדוח שהוגש למושל המדינה ולמפקח על הבנקים, סקר את התוכנית הארגונית והערכת העלויות המושקעות והעתידיות בתחום הסייבר של למעלה מ- 150 ארגונים פיננסיים מקומיים וזרים במדינה.
האם דוח זה היווה טריגר (נוסף?) לפרסום הוראת המפקח על הבנקים “לניהול ההגנה הקיברנטית“?
ניהול ההגנה בסייבר, כפי שמבקש המפקח, עולה בקנה אחד עם הדוח ויישומו יאפשר מתן מענה בדרגי הניהול לסיכונים הנתפסים טכנולוגיים אך עיקר השפעתם ניהולית ועסקית.
הדוח הניו יורקי מתאר עלייה גוברת במגוון איומי הסייבר והשפעתם העסקית. הדוח מציין כי:
ברמה הניהולית, מרבית הבנקים מנהלים מסגרת ארגונית הכוללת התייחסות לסייבר. למחציתם יש תכנית אסטרטגית הכוללת גם איומים חדשים (יחסית), בעוד ה השאר מאמינים כי יעדכנו את האסטרטגיה במהלך התקופה הקרובה, בדגש על מענה לאיומים במרחב הסייבר ולהתקדמות הטכנולוגית. ברמה הטכנולוגית, ככל שהבנק גדול יותר, נראה שימוש רחב יותר בטכנולוגיות מתקדמות ותקציבים גבוהים יותר, בדגש על מתן מענה לדרישות רגולציה, פיתוח יכולות המשכיות עסקית והרחבת המוניטין הארגוני (או לפחות אי פגיעה בו).
האם הוראת המפקח על הבנקים בישראל יכולה להקדים את הבלתי נמנע? האם הוראה זו תחייב את סקטור הבנקאי בישראל להכיל עקרונות ניהול הסיכון ברמה ניהולית אסטרטגית? תחייב התייחסות דירקטוריון שוטפת?
אין ספק שהשאיפה של מרבית הבנקים בנושאי השירותים הדיגיטליים מחייב החדרת טכנולוגיות חדשות וחדשניות. מי שמכיר פעילות עסקית חדשנית, יודע כי התחרותיות והרצון למקסום אפשרויות בד”כ משאיר את נושא האבטחה מאחור וללא טיפול הולם. מאידך, יישום ההוראה תחייב הסדרת תהליכי ממשל הגנה בסייבר וזהו בהחלט צעד ראשון ונכון בתהליך.
אחד השינויים המשמעותיים ביותר במעבר מאבטחת מידע להגנה בסייבר הוא השימוש במודיעין. ארגונים רבים מפתחים יכולות איסוף מודיעין, מתחברים לשירותי מידע מגוונים ובעיקר רוכשים מערכות עיבוד ואבטחה המותאמות לכמויות מידע ונתונים מורחבים (Big Data Analytics).
יחד עם זאת, ולמרות הרחבת יכולות הטכנולוגיה, הסייבר אינו רק הכלים. זהו מרחב פעולה עסקי הכולל תהליכים ואנשים. זהו מרחב פעולה עסקי המאפשר ומייצר הזדמנויות אין סופיות.. חלומו של כל ארגון. על מנת לנצל הזדמנויות אלו, על ארגונים להבין מהם היתרונות היחסיים שלהם, מהו המידע העסקי הרגיש שלהם, ומכאן על מה עליהם להגן. ההגנה אינה היקפית, אלא הגנה נקודתית. תקיפות במרחב הסייבר תמשכנה להתקיים ולהתעצם, ומול התעצמות זו על ארגונים פיננסיים לאסוף ולהשתמש במודיעין עסקי בהקשרי הסייבר. מטרת השימוש במודיעין הוא לנסות לזהות מי מתכנן תקיפה, למה ומה מעניין אותו. המטרה היא לשנות ולשבש ניסיונות תקיפה. הרי בסופו של דבר, התקיפות תתקיימנה, עלינו פשוט להקשות ככל הניתן ולגרום לתוקף/ים לעבור לניסיונות תקיפה על אתרים אחרים.
האם הקמת מרכז מודיעין, בין הבנקים, לשיתוף ידע רלוונטי ושימושי על איומי הסייבר תוך מיקוד באיומים ייעודיים והדרכים להתמודד מולם, כפי שהמליצה המחלקה לשירותים פיננסיים בניו יורק יכול לקום גם בישראל? האם זה הצעד הבא?
האם מרכז ידע שכזה יכול להתקיים עבור גופים מסחריים שאינם בנקים?
אשמח לשמוע את דעתכם והמלצותיכם…
3 תגובות