השב"כ רוצה להגן על ה-IT של הבנקים; מומחה לתחום: "המפקח על הבנקים דווקא מסתדר מצוין"
"מבחינה מקצועית, המפקח על הבנקים יותר מקצועי בהיבטי אבטחת מידע לעולם הבנקאי מאשר הרשות הלאומית לאבטחת מידע בשב"כ", אמר הגורם ● יוסי ברקליפה ואופיר זילביגר - מומחי אבטחה ב-SECOZ: "החשש של הבנקים מפני תופעת 'האח הגדול' אינו רלוונטי. לא יועבר מידע מהבנקים לשב"כ" ● השב"כ בתגובה: "קיים צורך קריטי בהגנה מפני איומי טרור קיברנטי. האמירות לפיהן השב"כ 'מפקח' על חשבונות הבנקים ופוגע בפרטיות - מופרכות"
שירות הביטחון הכללי (שב"כ) מבקש לפקח על מערכות ה-IT של הבנקים בישראל – כך דיווח הבוקר (ב') העיתון מעריב. על פי הידיעה, פנה השב"כ באחרונה למנהלי הבנקים בבקשה לקבל היתר למינוי מפקח מיוחד מטעמו על המערכות ה-IT שלהם. הסיבה לפניה, דווח, היא החשש מהשתלטות גורמים עוינים על המערכות שתביא לשיתוקן, ובכך להרס התשתית הכלכלית במדינה. בבנקים חוששים כי משמעותו של צעד כזה היא, כי השב"כ יוכל בעתיד לחדור אל חשבונותיהם של הלקוחות בישראל.
"מבחינה מקצועית, המפקח על הבנקים יותר מקצועי בהיבטי אבטחת מידע לעולם הבנקאי מאשר הרשות הלאומית לאבטחת מידע בשב"כ. המפקח על הבנקים ממש לא זקוק לשב"כ על מנת שיפקח על הבנקים, לא תהיה בכך שום תועלת", כך אמר לאנשים ומחשבים גורם בנקאי בכיר המעורה בעולם אבטחת המידע במגזר הפיננסי.
נכון להיום, הבנקים מפוקחים בתחום מערכות ה-IT על ידי המפקח על הבנקים. הפיקוח כולל דרכים למיגון, גיבוי, הפעלה, התגוננות והפעילות בשעת חירום של מערכות ה-IT שלהם. בראיון לאנשים ומחשבים אמרו יוסי ברקליפה – יועץ בכיר ומנהל פרויקטים בתחום אבטחת המידע ב-SECOZ, ואופיר זילביגר – מנכ"ל החברה, כי חששם של הבנקים אינו מוצדק. לדברי השניים, "החשש של הבנקים מפני תופעת 'האח הגדול' אינו רלוונטי. לא יועבר מידע מהבנקים לשב"כ. גם אם הרשות הממלכתית לאבטחת מידע – רא"ם שבשב"כ – היא זו שתפעל לאבטחת מערכות ה-IT בבנקים, הדבר יהיה רק ברמת הפיקוח ובקרה על יישום הנחיות. לשב"כ לא תהיה כל גישה למידע הפיננסי עצמו". השניים ציינו, כי כבר לפני יותר משנה פנה רא"ם לבנקים, לאחר שהנפיק חוזר ובו הנחיות לטיפול ב-IT הבנקאי בהיבטי טרור קיברנטי, הגנה על תשתיות קריטיות BCP ו-DRP.
מנגד, אמרו השניים, כי חששו של השב"כ מובן, והוא נובע מרצונו להגן על ה-IT הבנקאי ולהתייחס אליו כאל כל תשתית קריטית אחרת במדינה, דוגמת מערכות ה-IT של חברת החשמל.
אלא, אמרו ברקליפה וזילביגר, "שהמפקח על הבנקים עושה עבודה מדהימה בכל היבטי אבטחת המידע בעולם הבנקאי. הוא מהווה מגדלור וסמן ימני קיצוני ראשון במעלה בכל תחום הרגולציות המעודכנות. הוא מבצע פיקוח הדוק ואפקטיבי על הבנקים בישראל. אנו בטוחים שאבטחת המידע של הבנקים היא ברמה גבוהה. אם מישהו טוען כי אבטחת המידע בבנקים בישראל היא לא גבוהה מספיק – הוא טועה ומטעה".
השאלה, אמרו השניים, היא "מה יהיה הערך המוסף של רא"ם, כמי שיהיה זה שיפקח על הבנקים בעולם אבטחת המידע. איננו רואים ערך שכזה, למעט כלים או שינים שכבר יש למפקח על הבנקים בעצמו". לדבריהם, למפקח על הבנקים יש כיום יותר ידע שנצבר בעולם אבטחת המידע במגזר הפיננסי, מתוקף פעילותו בתחום, מאשר לזה הקיים ברא"ם. ברקליפה וזילביגר הוסיפו, כי ממילא, בסופו של דבר גם אם ייווצר מצב חדש, הרי שחלק מהעבודה בפועל ימשיך להיעשות על ידי חברות ייעוץ חיצוניות, שכבר פועלות בתחום כבר כיום, דוגמת SECOZ ואחרות, ולכן בעצם לא ישתנה דבר.
היתרון היחידי, אמרו ברקליפה וזילביגר, הוא שלרא"ם יש יותר ידע בעולם הטרור הקיברנטי. "שיקולי המפקח על הבנקים בעת ההנחיות השונות, קשורים להיבטים של נזילות ויציבות פיננסית של המערכת הבנקאית. ייתכן כי אנשי רא"ם יכולים לספק נקודת מבט נוספת, בהיבט של אבטחת מידע מקוונת וטרור קיברנטי".
מהשב"כ נמסר כי, "הפרסום הבוקר במעריב רצוף אי-דיוקים מהותיים, היוצרים תמונת מציאות מעוותת בנוגע לתפקידו של השב"כ בהגנה על תשתיות קריטיות במדינת ישראל בכלל ומול המערכת הבנקאית בפרט. פעילותו של השב"כ בתחום זה, מטרתו הגנה על תשתיות המחשב של הבנקים ולא פיקוח".
עוד הוסיפה דוברות השב"כ, כי "שב"כ מצר על כך שגורמים בעלי אינטרס, בוחרים להכפיש את עשייתו של הארגון בתחום חשוב זה, באמצעות פרסומים תקשורתיים חסרי בסיס ומשוללי כל יסוד. מעריב בחר להתעלם מן העובדות אשר מבהירות בצורה חד משמעית את התוקף החוקי, הסמכות המשפטית ובעיקר את הצורך הקריטי בהגנה מפני איומי טרור קיברנטי, אשר הפך לאיום מוחשי בעולם כולו. האמירות לפיהן כאילו השב"כ 'מפקח' על חשבונות הבנקים ופוגע בפרטיות, מופרכות ואינן מבוססות על עובדות".
עם כל הכבוד בכלל והמקצועי בפרט שיש לי למצוטטים בכתבה " משני צידי המתרס", נראה לי שמהראוי שילמדו בפרטיות את החוק והוראותיו, לפני צאתם בהכרזות.