הסרת החסמים למעבר של הבנקים לענן – יישור קו עם השטח

בנק ישראל החליט השבוע להסיר את החסמים הרגולטוריים שהיו עד כה למגזר הבנקאי בכל מה שקשור לשימוש במחשוב ענן, לרבות שירותים, יישומים ותשתיות – בארץ ובעיקר מחוץ לגבולות המדינה. עד כה, באופן רשמי אסור היה לבנקים לבצע תהליכי מחשוב והעברת מידע לחברות ענן בינלאומיות שמרכזי המחשוב שלהן אינן בישראל.

הסרת החסם הזה מגיעה עם עליית הדומיננטיות של הענן בשוק והצורך של ארגונים במעבר אליו. תרם לכך, ללא ספק, מכרז הענן הממשלתי נימבוס, שיאפשר למשרדי הממשלה ולארגונים מוטי רגולציה, כמו הבנקים, לעבור לסביבת ענן.

ההודעה של בנק ישראל מיישרת קו למעשה עם המציאות הקיימת: במערכת הבנקאית כבר נעשו לא מעט פרויקטים מבוססי ענן. רק באחרונה הכריז בנק לאומי בכנס AWS שהוא בנה את פלטפורמת הבנקאות הפתוחה שלו על גבי הענן של אמזון. AWS היא אחת משתי הזוכות במכרז נימבוס, יחד עם גוגל, והיא בונה בימים אלה את הדטה סנטרים שלה בארץ, כפי שתנאי המכרז דורשים. בינתיים, חלק מפעילות הענן של בנק לאומי משתמשת בשרתים שלה מחוץ לישראל.

בנק לאומי הוא לא הארגון היחיד: יש עוד שורה של ארגונים שהחלו בתהליכים של מעבר לענן של AWS, על בסיס העובדה שניתן להעביר, זמנית ובתנאים מסוימים, מידע לאחסון בענן מחוץ לישראל. ארגונים אחרים משתמשים בדטה סנטרים של החברות הישראליות הגדולות, שנבנו על בסיס הרגולציה, שאסרה על גופים מפוקחים, בין היתר במגזר הפיננסי, להשתמש בשירותי ענן בחו"ל.

בניין בנק ישראל בירושלים. צילום: אסתר ענבר, מתוך ויקיפדיה

לא בלי התניות

הסרת החסמים, כפי שבנק ישראל מגדיר אותה, כוללת כמה התניות, שהמשמעות שלהן היא הטלת האחריות על ארגונים שמחליטים ללכת לענן במה שקשור לניהול סיכונים, שמירה על פרטיות ועוד. זוהי אמירה מאוד מורכבת, שתציב בפני הנהלות הארגונים דילמות לא פשוטות וצורך בקבלת החלטות שעלולות לסכן את הארגון ובעיקר את הלקוחות. אם עד היום, מנהלי ארגונים מוטי רגולציה, לרבות פיננסיים, ידעו שלא ניתן לעבור לעבודה בענן מחוץ לישראל, ושעליהם לוודא שהגורמים הרלוונטיים בארגון לא חורג מזה, בנק ישראל מתיר את זה כעת, אבל מטיל את האחריות לעבודה על גבי ענן בחו"ל על הארגונים. עליהם לדאוג למילוי של קריטריונים, שקשורים לאבטחת מידע וסייבר, היבטים תפעוליים, המשכיות עסקית, בדיקת נאותות והקפדה על כללי ההתקשרות עם ספקי השירות. כל אחד מהסעיפים האלה הוא כאב ראש גדול – הן למנכ"לי הארגונים, הן למנמ"רים והן למנהלי האבטחה. הדבר דורש מהארגונים לבצע רה ארגון אצלם בכל מה שקשור להגדרת תחומי האחריות של המנהלים, השליטה, האישור. למעשה, בכלל, עליהם הגדרה מחדש את מדיניות העננים שלהם.

בנק ישראל משמש כאן כרגולטור שמתאים את עצמו ואת הוראותיו לשוק, למגמת המעבר של ארגונים, כולל הממשלה, לעבודה בענן, כדי למקסם תהליכי התייעלות שבימים אלה, על רקע הדיבורים על מיתון, מתבקשים יותר מתמיד

המערכת הבנקאית מתמודדת כבר כמה שנים עם המעבר לענן והטרנספורמציה הדיגיטלית לצד שימור של חלק ממערכות הלגאסי. ההנחיות החדשות יאפשרו לבנקים להאיץ את קצב ההתייעלות בכל מה שקשור לממשקים הדיגיטליים, ולמצוא פתרון לחלק מהם בשירותי הענן.

התגברות ושבירת תקרות זכוכית

הסרת החסמים על ידי בנק ישראל משקפת גם סוג של התגברות ושבירת תקרות זכוכית. בגלל אופייה של ישראל והעובדה שהיא מדינה קטנה מוקפת אויבים (חלקית), העברת מידע ושירותים לשרתים של חברות זרות נתפסה כסוג של סיכון, במיוחד במצבי קיצון של התפתחויות מדיניות או ביטחוניות. אלא שהשנים הרבות שבהן החברות האלה פעילות בשוק הישראלי הוכיחו שרמת האבטחה באותם שרתים בחו"ל לא פחותה מזו שיש בשרתים שנמצאים בישראל, ויש שיגידו שהיא אפילו רבה יותר. רמת ההגנה בגוגל, AWS וחברות דומות היא תוצאה של השקעת משאבים בסכומים גדולים, תקציבים שאין לאף חברה בישראל. וגם: אפשר לומר בזהירות שהשנים האחרונות הוכיחו שאין לאף מערכת מחשב חסינות מפני פריצות, מתקפות כופר ושלל איומי סייבר. שם המשחק בכל מקום הוא היערכות נכונה, תרגולים, הגדרת אחריות וניהול סיכונים, שבמקרה של הבנקים זה חלק מהביזנס שלהם.

השורה התחתונה: המהלך שעושה בנק ישראל להסרת הרגולציה למעבר לשימוש בעננים מחוץ לישראל על המערכת הבנקאית הוא צעד נכון, גם אם הוא מגיע קצת מאוחר. הבנק המרכזי משמש כאן כרגולטור שמתאים את עצמו ואת הוראותיו לשוק, למגמת המעבר של ארגונים, כולל הממשלה, לעבודה בענן, כדי למקסם תהליכי התייעלות שבימים אלה, על רקע הדיבורים על מיתון, מתבקשים יותר מתמיד.