הוראה שפורסמה לאחרונה מטעם הפיקוח על הבנקים בבנק ישראל (16.3.2015), מבקשת להסדיר את נושא ניהול הסייבר המתבצע כיום בתאגידים בנקאיים ובגופים פיננסיים בישראל. המפקח מציין בהוראתו את החשיבות הרבה שעל גופים אלו לייחס לסיכונים אליהם הם חשופים, לאור הפעילות העסקית-פיננסית הענפה המתנהלת בהם, ובשל היותה של ישראל יעד אטרקטיבי למתקפות סייבר נוספות, בעלות אופי בטחוני-מדיני במהותן.
הפיקוח על הבנקים בבנק ישראל מודע היטב לסיכונים ההולכים וגוברים מצידם של יריבים שונים, המאיימים על תאגידים בנקאיים בעולם ובישראל. בשל כך, כחצי שנה בלבד מאז שהוציא טיוטת הנחיה המבקשת להסדיר את נושא מחשוב הענן בגופים פיננסיים, התבשרנו לאחרונה על יוזמה חדשה אותה הפיקוח על הבנקים מבקש לקדם – הסדרת נושא ניהול הסייבר.
על מנת שיוכלו להתאים את מערך ההגנה מפני תקיפות הסייבר באופן דינאמי ובהתאם לאיומים המרחפים מעליהם, ההנחיה קובעת מסגרת מובנית, אך גמישה, אותה יהיה על כלל תאגידים וגופים פיננסיים בישראל לאמץ. בתוך כך, ההוראה אינה כוללת רשימת הנחיות סגורה לפיה יש לפעול, אלא מגדירה עקרונות כלליים, העתידים לאפשר לחברות חופש מסוים בעת מימושם. אימוץ עקרונות אלו עתיד להגשים מטרה נוספת אותה מבקש המפקח על הבנקים לקדם, והיא שינוי התפיסה הרווחת, לפיה ניהול סיכוני סייבר מהווה חלק בלתי נפרד מכלל ניהול הסיכונים בתאגיד, ולא כזה העומד בפני עצמו.
ההוראה כוללת חמישה פרקים: א) מבוא כללי המפרט את עקרונות היסוד לניהול הגנת סייבר. ב) פרק הדן בממשל תאגידי ותפקידיו במערך ניהול הסייבר. ג) פרק העוסק באסטרטגיה נאותה להגנת סייבר ומגדיר מסגרת לניהול הסיכונים בתוכה. ד) פרק הדן בסיווג והערכת סיכונים שונים. ה) פרק העוסק בבקרות השונות בהם על התאגיד לנקוט, כדי לצמצמם את חשיפתו לאיומים בתחום. במידה ויהיה צורך בכך, יפורסמו נספחים להוראה, שיכילו הנחיות פרטניות בנושאים הרלוונטיים, כך לדברי המפקח.
סקירה זו הינה למידע כללי וראשוני בלבד ואינה נועדה בשום מקרה לשמש כייעוץ משפטי ו/או כתחליף לייעוץ משפטי לכל מקרה ונסיבותיו. אין להסתמך על האמור מבלי להיוועץ עם עורך דין העוסק בתחום בטרם נקיטת כל פעולה או קבלת כל החלטה. הדברים נכונים למועד כתיבתם בלבד, ונכונותם עלולה להשתנות מעת לעת.
לקריאת ההוראה במלואה לחץ כאן