אבטחת מידע בבנקאות מנקודת מבטו של הפיקוח על הבנקים - רחל יעקבי בכנס אילא

03.03.04

אבטחת מידע בבנקאות מנקודת מבטו של הפיקוח על הבנקים

עיקרי דבריה של הגב' רחל יעקבי, מנהלת יחידת ביקורת מערכות מידע בפיקוח על הבנקים, בכנס איל"א

הפיקוח על הבנקים הסדיר לאחרונה את תחום אבטחת המידע במערכת הבנקאית על פי סטנדרטים מחמירים ומתקדמים על פי קני מידה בינ"ל. במסגרת זו הושם דגש על חיזוק מעורבות הדירקטוריון וההנהלה בתחום זה, בניגוד לגישות שרווחו בעבר ושגרסו כי האחריות בתחומים אלו מוטלת אך ורק על  פונקציית טכנולוגיית המידע בתאגיד הבנקאי. הגב'  יעקבי הבהירה כי קיום הנחיות הפיקוח על הבנקים מחייב תהליכים מתמשכים של התמודדות עם מציאות של סיכונים דינאמיים ושינויים טכנולוגיים תכופים בתחומי הפעילות השונים. באופן ספציפי הדגישה הגב' יעקובי את חובת התאגידים הבנקאיים לקיים הערכת סיכונים על בסיס מתמשך, לעקוב אחר התפתחויות טכנולוגיות ולערוך סקרי בטיחות וניסיונות חדירה מבוקרים מעת לעת, במטרה להעריך את האפקטיביות של אמצעי האבטחה.

עוד הדגישה כי סיכוני אבטחת המידע מתרחבים לנוכח התפתחות שרותי הבנקאות בתקשורת ושרותי מיקור החוץ ( ה- Outsourcing) ובפרט לנוכח מגמת ההסתייעות הגוברת בשרותים אלו, מה שחושף את רוכשי השירותים למוקדי סיכון חדשים. מצופה מהתאגידים הבנקאיים לנהל את הסיכונים הקשורים לאבטחת מידע בדומה לסיכונים פיננסיים – יש לזהות סיכונים אלו, להעריך אותם, ולנקוט את האמצעים הנאותים למזעורם תוך הפעלה מוסדרת של כלי שליטה ובקרה לכל אורך השדרה הניהולית והדרג הדירקטוריוני.

בנק ישראל מצפה מהתאגידים הבנקאיים, להטמיע את הכלים לצורך מניעה ואיתור אירועים של התממשות סיכון, ובאופן שיבטיח כי יישמר נתיב ביקורת שיאפשר את שחזור האירוע החריג, וקיום מערך תגובה ודיווח על אירועים חריגים. יש לפעול למניעת אפשרות שבה  תאגיד בנקאי ייקלע לארוע חריג, מבלי שבידיו אמצעים מספקים לשחזר את האירוע ולהתחקות אחר מאפייניו, על מנת להפיק לקחים אופרטיביים ולמנוע הישנות של אירועים דומים בעתיד. בעניין זה הפנתה להוראות החדשות שהוציא הפיקוח על הבנקים והמחייבות תיעוד מדוקדק בתוך המערכות הממוכנות של כל פעולה, ואפילו שאילתות, שמוזרמות אל המערכת וכל זאת- תוך חובה בלתי מתפשרת של יכולת זיהוי חד ערכי של המשתמש.