ההשקעות בסייבר צפויות לעלות בעקבות הצעדים להגברת התחרות בבנקאות ושוק ההון

bigstockphoto.com IsraelDefense

הבנקאות המסורתית עוברת, מזה מספר שנים, תהליכי שינוי המתבטאים במספר מגמות בולטות: התעצמות התחרות מול שחקנים חדשים המגיעים, לאו דווקא, מהזירה הפיננסית המסורתית, פיתוח שירותי בנקאות דיגיטליים מתקדמים כדי לענות על דרישות הלקוחות לחדשנות והתאמה אישית, והתמודדות עם האפשרויות שמציעות טכנולוגיות מתקדמות, לקיצור תהליכי בנקאות מסורתיים.

אחת מהטכנולוגיות המעניינות ביותר, בהקשר זה, היא Blockchain, המאפשרת להבטיח יחסי סחר חליפין ושירותים בלתי-אמצעיים והמייתרת את הצורך בתיווך של צד שלישי (כדוגמת בנקים ומערכות פיננסיות) בעסקאות שבין מוכר לקונה.

שוק הפיננסים נתון לרגולציה הדוקה והוא מאופיין בריכוזיות גבוהה ובחסמי כניסה לשחקנים חדשים המבקשים לפעול בשוק. אמצעים טכנולוגיים מתקדמים כדוגמת מאגר מרכזי לנתוני אשראי, הקלות בתחום הסליקה ושיתוף תשתיות מחשוב - יכולים לסייע להנמכת חסמי הכניסה ולהגברת התחרות.

בסוף יולי 2016 , פרסם המפקח על הבנקים את תקנה 367 -"בנקאות בתקשורת". בפסקת הפתיחה של התקנה, מציין המפקח, כי על-מנת להתמודד עם השינויים בדרישות הלקוחות ולהתמודד עם התחרות הגוברת, פנו המוסדות הפיננסים לפיתוח שירותי בנקאות דיגיטלית, דוגמת פתיחת חשבון ושירותים נוספים, ללא צורך להגיע לסניף. בסעיף 2 של התקנה, מפרט הרגולטור כי למרות שתופעת הבנקאות הדיגיטלית מקובלת ונפוצה בעולם, היא טומנת בחובה סיכונים רבים: סיכוני אבטחת מידע וסייבר, פגיעה בפרטיות, מעילות והונאות, סיכוני ציות, הלבנת הון, סיכונים משפטיים ומוניטין ועוד, כלומר "קידמה וקוץ בה"...

סקר מקיף שערכה יבמ בשיתוף עםPonemon Institute   בקרב 755 מקצועני אבטחת מידע העלה, כי מרבית הארגונים רואים בהתקפות המקוונות המוכוונות בידי עבריינים (Targeted criminal attacks),  את האיום הגדול ביותר על קיומם. עוד מצביע הדו"ח, "The State of Advanced Persistent Threats", כי הנזקים הכלכליים האפשריים הנתפסים כחמורים יותר, הם פגיעה במוניטין וביציבות שכה חיונית בעולם הבנקאות, בשל גניבה או ניצול לרעה של נכסי המידע של הארגון.

בפרק ב' של התקנה הנזכרת קובע המפקח על הבנקים כי באחריות הדירקטוריון וההנהלה הבכירה לעגן את מסגרות הסיכון לניהול הבנקאות בדיגיטל, כפועל יוצא של אחריותם בתקנון, וכתנאי מקדים להפעלת השירות. לאור זאת, ניתן להעריך כי הנהלות המוסדות הבנקאיים יאשרו את ההשקעות הנדרשות להצטיידות וליישום מערכות הגנת סייבר.

ההתמודדות של הגופים הבנקאיים עם האיומים במרחב הסייבר כרוכה במורכבות טכנולוגית ועסקית גבוהה עבור הנהלות הבנקים, מנהל הסיכונים הראשי, מנהל אבטחת המידע הארגוני ומנהל הדיגיטל הראשי בארגון. על-מנת ליישם במהירות ובסביבה מאובטחת את השינויים הטכנולוגיים הנדרשים, ותוך הלימה מלאה לתקנות הרגולטור, חייבים בעלי תפקידים אלה לעבוד בשיתוף פעולה מלא.

בפרק ה' לתקנה, נדרשים הגופים המוסדיים לספק הגנה על הלקוחות, ובכלל זה, לעקוב אחרי ההתפתחויות של שיטות הונאה ואיומים בתקשורת בארץ ובעולם, ליישם מנגנונים אוטומטים לניטור בזמן אמת של פעילות חריגה (אנומליות) בחשבונות הבנק של הלקוחות - כל זאת, תוך מתן דיווח מלא ושקוף ומתן התראה על כל פעילות חריגה.

במסגרת הנחיות תקנה 367, יקבלו הלקוחות מידע על הסיכונים האפשריים בביצוע פעילות בסביבת הבנקאות הדיגיטלית. הנחיות אלו מורכבות במיוחד, מאחר ואין באפשרותם של הבנקים להתאגד ולהקים מאגר שיתופי של מידע אודות איומי סייבר (CERT), שיכלול את כלל האיומים והדיווחים הרלבנטים. בהקשר זה, ראוי לציין כי המערכת הבנקאית נדרשת להתמודד, לא רק עם הקמת מערכות טכנולוגיות לאכיפה, אלא גם עם פיתוח Know How"" עצמאי, שהוא אתגר לא פשוט בפני עצמו.

לפיכך, רבים מן הבנקים פועלים בשיתוף פעולה עם חברות ה-Security הגדולות בעולם, המציעות לא רק פתרונות מתקדמים לאיתור ומניעה של הונאות בנקאיות,  אלא גם גישה לגופי מחקר ומודיעין סייבר הפועלים, סביב השעון, ומנהלים מאגרי מידע עדכניים על פשיעת סייבר ברחבי העולם. חלק מאותם גופי מחקר ומודיעין סייבר ממוקמים בישראל ומשרתים מאות מהבנקים הגדולים בעולם .

אלון בילורובסקי הוא מנהל קבוצת ה-Security בחטיבת התוכנה, ביבמ ישראל.