רענן לוריא, בנק יהב: "היכולת של גורם להשבית מדינה קיימת"
"אם הבנקים יחדלו מלהתקיים, אנשים ייזרקו לרחוב, בתי החולים לא יתפקדו ועוד", אמר לוריא, מנהל אבטחת המידע של בנק יהב ● "לשמחתי", אמר, "יש אנשים טובים מאוד שמשולבים בתחום אבטחת המידע ואנשים חושבים שזה המפתח להצלחתנו כמדינה, בטח כדי לטפל באיום על תשתית הסייבר"
"בנקים הם תשתית לאומית. אם הם יחדלו מלהתקיים, אנשים ייזרקו לרחוב, בתי החולים לא יתפקדו ועוד. היכולת של גורם כלשהו בעולם כדי להשבית מדינה קיימת", כך אמר רענן לוריא, מנהל אבטחת המידע של בנק יהב.
לוריא דיבר במסגרת פאנל שדן בשאלה כיצד מתייחסים הבנקים והגופים הפיננסיים האחרים לסוגיית אבטחת המידע. הפאנל התקיים באחרונה במסגרת כנס InfoSec 2012, שנערך במלון דיוויד אינטרקונטיננטל בתל אביב, בהפקת אנשים ומחשבים. מלבד לוריא השתתפו בו אופיר זילביגר, מייסד ומנכ"ל SECOZ, גיל צבר, סמנכ"ל מערכות מידע בפסגות בית השקעות, ומני ברזילי, מבקר מערכות מידע בבנק הפועלים.
"לשמחתי", אמר לוריא, "אני מגלה שיש אנשים טובים מאוד שמשולבים בתחום אבטחת המידע ואנשים חושבים שזה המפתח להצלחתנו כמדינה, בטח כדי לטפל באיום על תשתית הסייבר".
לדבריו, "הבנקים נתונים ללא מעט רגולציה והמפקח על הבנקים מוציא הוראות ממוקדות לנושאים שונים. בסוף מרץ הוא הוציא חוזר לבנקים לגבי התמודדות עם מתקפות קיברנטיות המציב בפני הבנק אילו יעדים מצופים מהבנקים להשיג בתחום. בנוסף, יש דרישה לבצע בחינה של מערך המיחשוב כדי להקשיח את השרתים, לעדכן את הנהלים הרלוונטיים ולהקים חדר מצב שאמור להתמודד עם אירועי סייבר".
ברזילי אמר, כי "סייבר זה מונח בעייתי, שם של תקופה שהמאפיין שלה הוא המעבר מגישה של פישינג לגישה של סטיר פישינג. בגישה הקודמת, ההאקרים ניסו לתקוף את כולם וכיום הם מנסים לתקוף אישית. המאפיה, למשל, לוקחת האקרים ונותנת להם תקציב של עשרה מיליון דולרים כדי למצוא פרצה בבנק ולהוציא ממנו חצי מיליארד דולרים. הסיכון גבוה יותר, אבל הסבירות להתרחשותו קטנה. לעומת זאת, הסבירות של האיום הקלאסי מאוד גבוהה, אבל הנזק שלו נמוך יותר".
הוא ציין, כי "אי אפשר לייצר מערכת להתמודדות עם שניהם ביחד, צריך לטפל בהם בנפרד. יש לשים נקודה בסרגל ולקבוע כמה משקיעים בכל אחד מסוגי האיומים".
המשתתפים אף נתנו דוגמאות להתייחסות לאבטחת מידע בגופים שונים, כולל אלה שבהם הם מועסקים. צבר אמר, כי "בטפחות הוקמה ועדה דירקטוריונית שחברים בה נציגי הדירקטוריון לצד אנשי אבטחת מידע. הוועדה מתכנסת פעם ברבעון ודנה בכל הנושאים שקשורים לסיכונים בתחום. היא מדווחת לדירקטוריון ומקבלת ממנו אישור לביצוע לרבעון הבא. בנוסף, יש צוות אבטחת מידע שפורט את הדרישות למשימות. בשנה האחרונה הפעולות בנושא גדלו בצורה משמעותית ומבדיקות עולה איזון בין המענה לדרישות האבטחה לבין הצורך להראות לציבור את הנתונים באינטרנט".
"פסגות מתמודדת עם סוגיית אבטחת המידע בצורה די דומה לחברות הביטוח ולבנקים, משום שחלות עלינו, בין היתר, הרגולציות שחלות על שני המגזרים הללו", ציין צבר. "כמו בבנקים. המערכת המיועדת ללקוחות שלנו מאובטחת, על מנת לשמור עליהם חסויים. אנחנו נדרשים ליותר. יש לנו שני רגולטורים ולקוחות מסוגים שונים, למשל סוכני הביטוח, שרוצים לקבל את המידע על המבוטחים שלהם ולהעביר לנו אותו בצורה מאובטחת".
לוריא אמר, כי "החלטנו, בבנק יהב, להקים מנגנון שיטפל באירועי הסייבר. הטיפול נעשה בחדר מצב שמאויש על ידי גורמים טכנולוגים שמנהלים את תשתיות המיחשוב. יש שם אנשים שעוסקים בשרתים ובתקשורת, וכן גורמים ניהוליים. כל אירוע אבטחת מידע מדווח לדרגים גבוהים יותר, כולל להנהלת הבנק ולדירקטוריון, שהוא הגוף העליון שאחראי על אבטחת המידע בבנק. עד לא מכבר, אירועי אבטחת מידע היו מטופלים ברמת מנהל המיחשוב. הרגולציה עשתה סדר בכל הקשור לניהול האירועים".
ברזילי ציין ש-"רק בשנה האחרונה גדל תקציב אבטחת המידע אצלנו, בבנק הפועלים, ב-30%, והוא עומד עתה על 6% מתקציב המיחשוב. רכשנו סל של מוצרי אבטחת מידע ושכרנו יועצים שבאים לבדוק את המערכות. כמו כן, שדרגנו מוצרים קיימים". הוא הוסיף ש-"תקציב אבטחת המידע שלנו נועד ברובו לשפר את רמת האבטחה, כדי שלא תהיה זליגת נתונים ותימנע חדירה אל הנתונים".
תגובות
(0)