רחל יעקבי, בנק ישראל: "הסייבר שינה את אבטחת המידע – מה שהיה לא יהיה"

"לפני כמה שנים, השאלה הגדולה הייתה האם הסייבר הוא 'באאז' או שמדובר באיום אחר, שונה, מוחשי וממשי. כיום אנחנו מבינים שהתשובה ברורה: הסייבר הוא אכן איום אחר. מה שהיה בעולם אבטחה המידע השתנה, התרחב, התעצם", כך אמרה רחל יעקבי, מנהלת יחידת ניהול סיכונים תפעוליים והממונה על הטכנולוגיה והסייבר בפיקוח על הבנקים בבנק ישראל.

יעקבי דיברה בכנס שערכה היום (ה') Cytegic, בהפקת אנשים ומחשבים, בבניין הבורסה בתל אביב. הכנס נשא את הכותרת "אתגרים בהתמודדות עם הנחיה 361", השתתפו בו עשרות מקצועני אבטחת מידע והגנת סייבר בעולם הבנקאות ומחוצה לו, והנחה אותו שי זנדני, מנכ"ל החברה.

לדברי יעקבי, "חל שינוי ברכיבים הרלבנטיים לעולם האיומים: בגורמי האיום השונים, בשיטות התקיפה המתוחכמות, במרחב האיומים ובאמצעי ההגנה שיש ליישם". היא הוסיפה כי "איומי סייבר מתאפיינים בזמינות רבה, במיעוט עלויות ובתקיפות א-סימטריות מול מאמצי ההגנה".

במהלך דבריה הציגה יעקבי את טיוטת הנחיה 361, שפורסמה במרץ השנה. היא ציינה כי הפונקציה להגנת הסייבר בבנק ישראל הוקמה לפני 3.5 שנים. "הנחת היסוד שלנו היא שישראל מהווה יעד אסטרטגי לתקיפות סייבר מצד מגוון גורמים – האקטיביסטים (האקרים אקטיביסטים – י"ה), ארגוני פשיעה, ארגוני טרור ומדינות. מטרת הגוף בראשו אני עומדת היא חיזוק מערך הבנקאות וחיזוק העמידות של כל תאגיד בנקאי וחברת כרטיסי אשראי בפני תקיפות סייבר".

יעקבי אמרה כי "הפיקוח על הבנקים עושה שימוש במספר כלים פיקוחיים, כגון: הסדרה, דיווחים, ביקורות ומעקב שוטף. הוראת ניהול בנקאי תקין 361 מסדירה את נושא הגנת הסייבר והיא מבטאת את התפיסה הפיקוחית בנושא. היא כוללת עקרונות ולא רשימת בקרות ליישום, היא גמישה ליישום ומתאימה את עצמה להוראות אחרות, רלבנטיות, של הפיקוח על הבנקים, כגון ניהול סיכונים, ניהול המשכיות עסקית וניהול IT. הנחייה 361 היא לא הנחיית אבטחת מידע ולא עוסקת ב-IT".

"סייבר – סיכון תפעולי אך גם אסטרטגי"

בהמשך ציינה יעקבי כי "ניתן לראות סיכון סייבר כסיכון תפעולי – אך הוא גם סכנה אסטרטגית ומערכתית לתאגיד בנקאי. הנחיה 361 מדברת על תפישת הגנת הסייבר בכל היבטי פעילות הבנק – לא רק הטכנולוגית אלא גם ביחידות העסקיות והתומכות, בתוך הארגון ומחוצה לו, בגורמים שיש להם קשר ישיר ולא ישיר עם הארגון, בשגרה ובזמן אירוע. איום הסייבר חוצה ארגון ומכך נגזרת תפישת ההגנה בתחום".

"ניהול אירוע סייבר הוא תהליך מובנה, שכולל זיהוי, ניתוח, הכלה, הכרעה והשבה. סיום אירוע סייבר כולל תחקור והפקת לקחים, מעקב אחר יישום הלקחים והתובנות המופקות", הוסיפה.

יעקבי הדגישה את החשיבות של מעורבות הדירקטוריון וההנהלה והיותם גורם מפתח בניהול הגנת הסייבר. "הדירקטוריון נדרש לקבוע את אסטרטגיית הסייבר. ההנהלה נדרשת לגיבוש המדיניות, ולאחריות עליה, כמו גם עליה להיות מעודכנת על אירועי אבטחה", אמרה.

היא הבליטה את הקריאה שכלולה בהנחיה 361 "להקמת תפקיד חדש: מנהל הגנת סייבר – CCDO. מדובר בגורם בכיר, כפוף להנהלה, בעל ידע וניסיון מתאימים. עליו להיות עצמאי, בעל יכולת השפעה וללא ניגודי עניינים, ככל שניתן".

"הגנת הסייבר – הרחבה של אבטחת המידע"

"תפיסת הגנת הסייבר היא הרחבה והעמקת יכולות ההתמודדות הקיימות של אבטחת המידע", אמרה יעקבי. "ההנחיה מבטאת את הצורך בהקמת מערך הגנת סייבר אפקטיבי ויעיל, עם ראייה תהליכית ומימוש עקרונות כגון: מיפוי מרחב האיומים, תפיסה כוללת, שיתוף גורמים, פרו-אקטיביות, התמודדות מול איום ממוקד ושילוב יכולות הגנה מתקדמות".

לדבריה, "הדגש הוא על מערכי גילוי, חקירה ותגובה, בנוסף למערך המניעה הקיים, עמידות, פרטיות לקוחות וכן רמות גבוהות של אמינות, נאותות וזמינות. יש לבסס מערך בקרות אפקטיבי להפחתת רמת סיכוני הסייבר, שיושתת על שילוב חוצה ארגון של טכנולוגיות, תהליכים, נהלים ואנשים. יש לאבטח את סביבת הפעילות, למפות ולזהות סיכונים, להגדיר מדיניות, לקבוע מנגנונים לנוכחות מקוונת ולוודא שכל הגורמים פועלים להגנת הסייבר בתחום, לרבות גורמים חיצוניים".

יעקבי סיימה באמרה כי "הנחת היסוד היא שאין לנו יכולת למנוע את כל אירועי הסייבר, ולפיכך נדרש לפתח יכולות מתקדמות של ניטור, ליצור יכולות זיהוי ואיתור ולפעול במהירות עם זיהוי התרחשות אירוע סייבר. זאת, לצד שיתוף מידע ומודיעין, ניטור וניהול נכון של אירוע סייבר. את כל זה יש לעשות באופן אפקטיבי. בנוסף, צריך לתת דגש על תרגולים כאמצעי אפקטיבי להערכת מוכנות הבנק".