הפיקוח על הבנקים מחדד את הדרישות לגבי ניהול סיכוני סייבר למול הספקים החיצוניים של הבנקים



בשנים האחרונות גדל מספר אירועי הסייבר המתרחשים בארגונים פיננסיים בעולם ובישראל. אירועים אלו מתאפיינים ברובם בגרימה של נזק רב ובשיטות תקיפה מתוחכמות וחדשניות, שמקורן הוא לעתים בגורמים חיצוניים המספקים שירותים שונים לתאגידים הבנקאיים והם נכללים בשרשרת האספקה (Supply Chain) של התאגידים הבנקאיים. לפיכך, התאגיד הבנקאי נדרש לקבוע את הפעולות הנחוצות כדי לוודא שספקי השירותים החיצוניים המהותיים נוקטים באמצעים הנדרשים להפחתת חשיפת התאגיד הבנקאי לסיכוני סייבר. 

הפיקוח על הבנקים פרסם היום הוראת ניהול בנקאי תקין בנושא ניהול סיכוני סייבר בשרשרת אספקה, שמטרתה להבהיר את אחריות התאגיד הבנקאי בנוגע לקיום תצורת עבודה מאובטחת מול הספקים החיצוניים, וכן את חובותיו לניהול סיכוני סייבר הולמים בפעילות ספקים אלו ובממשקים שלהם עם התאגיד.  

על פי ההוראה, תאגיד בנקאי נדרש לקבוע עקרונות להתחייבויותיהם של ספקים חיצוניים מהותיים בנושא ניהול סיכוני סייבר וכן לוודא עמידה בעקרונות אלו. בנוסף, ההוראה מפרטת רשימה של הגנות מקובלות, שאת הצורך בשילובן נדרש התאגיד הבנקאי לשקול במסגרת הסכם ההתקשרות מול הספק החיצוני (למשל, קביעת אופן מחיקת הנתונים של התאגיד הבנקאי המאוחסנים אצל הספק, לאחר סיום ההתקשרות ביניהם).

ההוראה מגדירה חובת דיווח של הגורמים הרלוונטיים בתאגיד הבנקאי להנהלה כשעולה חשש כי הספק חושף את התאגיד לסיכוני סייבר משמעותיים. על בסיס דיווח זה והערכת הסיכון, על ההנהלה יהיה לשקול ולהחליט בדבר אופן המשך ההתקשרות עם הספק החיצוני (כדוגמת צמצום הפעילות, הטמעת בקרות מפצות בתאגיד הבנקאי, הפסקת ההתקשרות, וכד').

המפקחת על הבנקים, ד"ר חדוה בר: "בנקים פועלים יותר ויותר באמצעות ספקי שירות וגופים חיצוניים שונים, כגון ספקים הנותנים שירותי מסחר בשוק ההון ושירותי טכנולוגיה לבנק, המהווים חלק מ'שרשרת האספקה' של הבנק. אנו מגדירים להנהלות הבנקים את הציפיות הפיקוחיות שלנו בהתייחס לסטנדרטים שעליהם לדרוש מגופים עימם הם מתקשרים לצורך קבלת שירותים שונים, על מנת ש"החוליה החלשה" בשרשרת האספקה לא תחשוף אותם לסיכוני סייבר וזליגת מידע".