הבנקים בישראל מחויבים מעתה לנהל הגנת הסייבר

המפקח על הבנקים בבנק ישראל, דוד זקן, פרסם ב- 16 במרץ חוזר שעניינו "ניהול הגנת הסייבר". החוזר חל על התאגידים הבנקאיים וחברות כרטיסי האשראי. ההוראה קובעת כי על התאגידים הבנקאיים לתת דגש מיוחד ולנקוט בצעדים הדרושים לניהול אפקטיבי של סיכוני הסייבר. בפרט, עליהם להרחיב את היכולות הקיימות של מערך אבטחת המידע באופן אשר יאפשר להם להתמודד נגד איומי הסייבר. בין ההוראות האופרטיביות - מינוי מנהל הגנת הסייבר והגדרה של אחריות דירקטוריון החברה לנושא.

החוזר מציין כי לאחרונה חל גידול באיומי הסייבר, להם חשופים גם מוסדות פיננסיים בישראל ובעולם, וכי הצורך לקבוע הוראה מיוחדת לנושא ניהול הגנת הסייבר, נובע מתוך הכרה כי במרכזיותם של איומים אלה במערך האיומים שבפניהם ניצבים התאגידים הבנקאיים.

החוזר נועד להדגיש את גישת הפיקוח על הבנקים לפיה ההתמודדות עם סיכוני הסייבר מהווה נושא חוצה-ארגון, המחייב מעורבות פעילה של הדרגים הבכירים בתאגיד הבנקאי. ההוראה כוללת הסדרה של דרישות וציפיות הפיקוח על הבנקים מהתאגידים הבנקאיים בנושא זה והיא קובעת מסגרת מובנית, אך גמישה, לניהול סיכוני הסייבר, תוך מתן חופש לתאגיד הבנקאי במימושה. לצורך כך, מגדירה ההוראה עקרונות להגנת הסייבר, בציפייה שהתאגיד הבנקאי יאמץ את העקרונות הללו בבניית מערך הגנת הסייבר שלו, בהתאם להיקף ומהות פעילותו ופרופיל הסיכון שלו. בהמשך, בכוונת הפיקוח על הבנקים לפרסם הוראה נוספת שעניינה בהסדרת נושא אבטחת המידע בתאגידים הבנקאיים.

ההוראה קובעת כי על התאגידים הבנקאיים לתת דגש מיוחד ולנקוט בצעדים הדרושים לצורך ניהול אפקטיבי של סיכוני הסייבר. בפרט, נדרשים התאגידים הבנקאיים להרחיב ולהעמיק את היכולות הקיימות של מערך אבטחת המידע, באופן שיאפשר להם להתמודד כנגד איומי הסייבר. ההוראה רואה את ניהול סיכוני הסייבר כחלק מהמערך הכולל של ניהול הסיכונים בתאגיד הבנקאי ונועדה להשתלב במערך הקיים של הוראות הניהול הבנקאי התקין. ההוראה אינה מחליפה הוראות אחרות ופרט את  הוראת ניהול בנקאי תקין מס' 357, שעניינה ב"ניהול טכנולוגיית מידע".

ניהול נאות של סיכוני הסייבר מחייב הרחבה והתאמה של המסגרת הקיימת של ניהול סיכוני טכנולוגיית המידע בתאגיד הבנקאי, בהיבטי תפיסת מרחב האיום ויכולות ההגנה הנדרשות, קובע החוזר החדש. הוראה 357 מתייחסת לבקרות אבטחת מידע ובקרות טכניות לניהול סיכוני טכנולוגיית מידע. הוראת ניהול הגנת הסייבר מתמקדת במנגנונים ובתהליכים הנדרשים לניהול הסיכון, ביעדי הגנת הסייבר וההרחבות הנדרשות ביכולות ההגנה, לרבות בבקרות הייעודיות הנדרשות לצורך השגת יעדי ההגנה.

ההוראה מפרטת את תחומי האחריות של הדירקטוריון וההנהלה הבכירה בתאגיד הבנקאי, מתוך הכרה כי מעורבותם של גופים אלה מהווה גורם מפתח ביכולתו של התאגיד הבנקאי לנהל באופן אפקטיבי את הגנת הסייבר. הציפייה היא כי התאגיד הבנקאי ייצור את מנגנוני הבקרה והדיווח הנדרשים לצורך כך. 

ההוראה קובעת כי התאגיד הבנקאי ימנה עובד בכיר, בעל ידע וניסיון מתאימים, כמנהל הגנת סייבר. על התאגיד הבנקאי לוודא כי מיקומו הארגוני וסמכויותיו של מנהל הגנת הסייבר יתמכו בתפקידו כגורם מנחה, מפקח ומתכלל של הפעילויות והתהליכים הרלבנטיים, לרבות ברמה העסקית-אסטרטגית של כלל פעילות התאגיד ולא רק ניהול של טכנולוגיית המידע. מנהל הגנת הסייבר יכול לשמש גם כמנהל אבטחת מידע ובלבד שלא יווצרו ניגודי עניינים בין התפקידים.

ההוראה מפרטת את הדרישות הנוגעות לקיום תהליך אפקטיבי לזיהוי והערכת סיכוני סייבר. הציפייה היא כי התאגיד הבנקאי יבצע זיהוי והערכה שוטפים של האיומים וסיכוני הסייבר. במסגרת הערכת בקרות הגנת הסייבר, יש לבחון באופן שוטף את רמת האפקטיביות של בקרות ההגנה השונות שיושמו לצורך הפחתת סיכוני הסייבר, כגון סקרי פגיעויות, מבדקי חדירה מבוקרים וכו'. תחולתו של החוזר היא החל מיום 1.9.2015.