מיכה וייס, מזרחי טפחות: "העולם מתקדם לכיוון בו כל סיכון אבטחה מתורגם לתג מחיר"

"עולם אבטחת המידע מתקדם לכיוון של שילוב הסיכונים התפעוליים ומציאת המשמעות הכלכלית שלהם. כך, בזמן הקרוב, נגיע לנוסחה מספרית שתאפשר לתרגם כל סיכון וממצא אבטחת מידע לתג מחיר, ובשל זאת, הדבר מייד יתורגם להקצאת הון מצד הבנק", כך אמר מיכה וייס, מנהל היחידה לאבטחת מידע בבנק מזרחי-טפחות.

וייס דיבר בפאנל בכירי אבטחה בעולם הבנקאות שנערך במסגרת כנס אבטחת המידע השנתי InfoSec 2010, הנערך זו הפעם העשירית ברציפות. הכנס, בהפקת אנשים ומחשבים, התקיים אתמול (ב') במרכז הכנסים אבניו בקריית שדה התעופה, בהשתתפות מאות מנהלי אבטחת מידע ומקצוענים בתחום. את הפנל הנחה אופיר זילביגר, מנכ"ל SECOZ.

וייס התייחס בדבריו לתקנה 357 שהוציא בנק ישראל, ומטרתה לאתר מוקדם ככל האפשר סימנים המעידים על פעילויות לא תקינות במערכות המידע של הבנקים, ובכלל זה שימוש לא מורשה, חריג או זדוני. התקנה מצטרפת לתקנות דומות שהוציאו רגולטורים מקבילים בעולם, ובכלל זה תקנות באזל II וסרבנס-אוקסלי. "357 זה הבסיס למה שהחלו לעשות כל הבנקים", אמר, "ולאחריה יש את באזל II. גם במסגרת זו, יש לפעול ולבצע צעדים שצריך להתקדם עימם. אנו עושים את כל הפעילויות הנדרשות למימוש התקנות הללו".

על פי וייס, חשוב וטוב שההיבטים של אבטחת המידע בעולם הבנקאי קשורים לגישה כלכלית, ה-"מתמחרת" את סיכוני האבטחה השונים. "אם הנושא אינו הדוק לגישה הכלכלית – זה לא משפיע", אמר. "בסוף זה עניין כלכלי. אם נתרגם אבטחת מידע לכסף ולהשפעתו על הארגון, אזי זהו הכיוון שאליו הולכים. זה הולך ומתקדם למימדים יותר מספריים. בזמן הקרוב, נגיע לנוסחה מספרית שתאפשר לתרגם כל סיכון וממצא אבטחת מידע – לתג מחיר, ולכסף – ואז מייד יתורגם הסיכון להקצאת הון הנדרשת מהבנק". וייס סיים בציינו, כי קיים קושי להוכיח את הקשר בין ההקצאה הכספית הנדרשת בעולם האבטחה הבנקאית, ובין החקר ההשקעה בתחום, ולכן הוא שמח על המהלך לקביעת ה-"עלויות" של סיכוני האבטחה. "זה האתגר של מנהלי האבטחה בעולם הבנקאי – עליהם להיערך איך למנוע את הסיכונים הללו".

"אבטחת מידע היא תרבות"

רחל יעקבי, מנהלת יחידת ביקורת מערכות מידע והממונה על הטכנולוגיה בבנק ישראל, אמרה, כי "באזל II מגדיר את דרישות הקצאת ההון עבור סיכונים של המערכת הבנקאית". לדבריה, "התקנה קובעת שיש להתייחס לא רק לסיכונים הפיננסיים, אלא יש גם סיכונים תפעוליים, שהם לא פחות חשובים". לדברי יעקבי, "ציפיות הרגולטור (יחידת המפקח על הבנקים בבנק ישראל – י.ה.) הן שכל בנק יקיים סקר סיכונים תפעוליים, ובתוכם סיכוני אבטחת מידע, שתהיינה תכנית אבטחה שנתית ורב-שנתית ושלכל בנק יהיו כלים לניטור אירועים חריגים". הציפייה הזו, ציינה יעקבי, נובעת מהרצון שמנהלי האבטחה בבנקים "יעשו את תפקידם בצורה נאותה ואפקטיבית ויביאו להעלאת רמת אבטחת המידע בעולם הבנקאי". יעקבי סיימה באמרה, כי "אבטחת מידע היא תרבות, וממשל אבטחת מידע הוא תהליך מתמשך. על הבנקים לעקוב אחר ההתפתחויות הטכנולוגיות ולהטמיע את אמצעי הבקרה הנדרשים".

מיכה קורקידי, מנהל בכיר וראש ענף אבטחת מידע בבנק לאומי, ציין, כי חלקים נרחבים ממימוש היבטי האבטחה השונים בעולם הבנקאות נגזרים מבאזל II. "מדובר בתהליך ארוך ומתמשך", הסביר. "בסופו של דבר, השאיפה היא להגיע לכך שאם לא תגענה תקנות חדשות, ייערכו סקרי אבטחה וניהול סיכונים – וכל ההיבטים השונים יימצאו תקינים". לדברי קורקידי, "מנהלי אבטחת המידע בעולם הבנקאות אינם רק מנהלי אבטחה, אלא הם מנהלים סיכוני אבטחת מידע, ולסיכון יש עלות, מחיר וערך לנזק, לרבות המשמעויות המשפטיות הנגזרות ממנו". הוא סיים בציינו, כי "יש סיכונים שצריך לקחת, כי אי אפשר לגדר את הכול".

ישי ורטהימר, מנהל אבטחת מידע בוויזה-כ.א.ל, אמר, כי יש הצדקה לקיומו של הרגולטור בעולם הבנקאות, אף שהוא לעתים מעמיס בהנחיות. ורטהימר סיפר, כי בעבר הוא ביצע פרויקט מיחשוב בבנק פולני מקוון בוורשה. לתדהמתו, הוא גילה שאחד הנהלים של הבנק מאפשר למי שפותח בו חשבון להוציא את כל כספו בבת-אחת. מצב זה, ציין ורטהימר, מביא לכך שהבנק יהווה יעד נרחב לפעולות הונאה ופישינג. "אמרתי לאנשי ה-IT הפולנים, כי את המחיר למצב הזה הלקוח משלם, ולכן, לפעמים צריך רגולטור שיגן על השוק", סיכם.