המפקח על הבנקים: המערכת לא ערוכה מספיק למתקפת סייבר
המפקח על הבנקים, יאיר אבידן, אומר בשיחה עם ice שהמסקנות בתום התרגיל הגדול שנערך לבחינת מוכנות המערכת למתקפת סייבר משמעותית הן כי "המערכת צריכה לעשות שיעורי בית"
בתקופה האחרונה נערך תרגיל גדול של בנק ישראל, במטרה לבחון את יכולת ההתמודדות של המערכת הבנקאית מול מתקפת סייבר. התרגיל יצר תמונות סוראליסטיות; כך למשל נשכר חדר חדר האירועים של הבורסה בתל אביב, וכל מנכ"לי הבנקים וחברות כרטיסי האשראי נקראו לחדר הזה, באופן שאם לא היה מדובר בתרגיל חירום, היה מכניס את כל הנוכחים לכלא לתקופות ארוכות.
עכשיו, ציירו לכם את התמונה הבאה: תל אביב, בניין הבורסה, חדר מפואר, שולחן עגול וסביבו יושבים כל מנכ"לי הבנקים וחברות כרטיסי האשראי בישראל. ניתן להניח שאם הייתה תמונה של הרגע הזה, הרי שהצלם היה זוכה בפוליצר. בכל מקרה, תיאוריות קונספירציה רבות היו יכולות להיוולד מתיעוד של הרגע הזה.
כדי למנוע ממנהלי הבנקים וחברות האשראי שיח שאינו קשור לתרגיל, התיישבו בין הנוכחים נציגים של הפיקוח, שהיו אמורים לנטר התפתחות של "שיח אסור" בין הנוכחים. ביניהם עמד (פיזית) המפקח על הבנקים, יאיר אבידן, כדי שהמראה הסוריאליסטי הזה לא יגלוש למעשים פליליים.
נניח לרגע למחזה המוזר הזה וננסה להתמקד בעילת ההתכנסות: האם המערכת הבנקאית יכולה להתמודד עם מתקפת סייבר כבדה, כזו שעומדת מאחוריה מדינה?
מספר תרחישים נבחנו, אך כדי שלא לגלוש לעולמות שאין לנו את המנדט לדון בהם, נתמקד בכך שבמידה ומתחרשת מתקפת סייבר כבדה, הרי שהמערכת הבנקאית צריכה להפגין שתי תכונות: הראשונה היא שרידות - כלומר, יציאה מהמתקפה ללא נזקים משמעותיים. השנייה היא המשכיות - כלומר, להמשיך לספק לציבור שירות, ואפילו יהיה זה שירות בסיסי, תוך כדי אירוע חריג בעוצמתו.
בשיחה עם ice אמר יאיר אבידן, המפקח על הבנקים, כי בסיומו של התרגיל התברר שהמערכת הבנקאית "צריכה לעשות שיעורי בית".
עוד אמר אבידן "היה תרחיש סייבר אצלנו, שמחתי מאוד לרכז את המערכת הבנקאית לתרגיל. תרגיל סייבר הוא חשוב מאוד בעיקר כדי לאמן את עצמנו. בסיומו של התרגיל היה משוב מהמשתתפים וכל השחקנים כולל חברות כרטיסי האשראי ומס"ב".
- מה אנחנו יכולים לדעת על התוצאות של המשוב הזה?
"יש לנו בהחלט שיעורי בית לעשות. כי חלק מהתרגיל היה מה לא מכוסה מספיק וזה מחייב אותנו להמשיך להתאמן".
משמעות דבריו של אבידן היא כי המערכת הבנקאית אינה ערוכה לטפל במתקפת סייבר חריגה- ונדגיש "חריגה" - כי במתקפות שנצפו בתרחישים הסבירים ומעבר להם דווקא התגלתה מוכנות ראויה של המערכת.
עיקר הליקויים שהתגלו היו בנושאי נהלי עבודה, תקשורת וסנכרון בין המערכת הבנקאית עצמה, הפיקוח ואנשי הסייבר. כך, למשל, אם בנק אחד נפגע אנושות במתקפה כזו, מה דינם של יתר הבנקים - האם הם צריכים לעצור את העבודה? האם להמשיך? וכן הלאה, כשלכל החלטה יש שרשרת נהלים, שצריכים להתגבש, להיכתב, ולדברר אותם החוצה כדי שלא ליצור פניקה, וכמובן לפתור את הבעיה במינימום נזק.
באופן עקרוני בעולמות הסייבר קיימים אינסוף תרחישי תקיפה ולכן המערכת הבנקאית מציירת אינסוף תרחישים ודרכי התמודדות איתם אבל מהתרחישים השונים עולים ליקויים רוחביים שצריך להתמודד איתם כמו גיבוש נהלים כלל מערכתיים במידה ורק חברת כרטיסי אשראי אחת או בנק אחד נפגעים, כיצד עובר המידע, כיצד הוא מטופל וכיצד הוא יוצא לציבור.
נזכיר שבמרכז הדברים עומד אמון הציבור המערכת הבנקאית. די לחשוב על תרחישים אפוקליפטיים בהם אדם לא יכול לגשת לכספו שמופקד כדין בבנק ומפוקח בהתאם. זירת הסייבר הפכה בשנים האחרונות לזירת לחימה כמו שאר הזירות מוכרות ולא תמיד מעוניין התוקף לעשות נזק אלא רק לזרוע פניקה בציבור. לא תמיד מדובר באירוע טרור או אירוע עוין אלא אף גניבת כסף, סחיטה וכן הלאה ומכאן החשיבות הגדולה (מבלי לפריז אף גדולה מאוד) שמייחסים בבנק ישראל לתרגיל הגדול שהתקיים (והסתיים) לא מכבר ולמסקנות העולות ממנו.
