חשיבותן של רגולציות האבטחה בזמן המשבר הכלכלי

"אנו נכנסים לעידן של פיקוח על כל מה שנראה כבנק, נשמע כבנק ומתנהג כבנק" אמר פול קרוגמן, חתן פרס נובל לכלכלה, במסיבת עיתונאים ב-13 בנובמבר. בשבועיים שעברו מאז הצהרה זו, עם החרפת המשבר בשוק הישראלי, נראה כי הפיקוח בישראל יחול על כל דבר שמתחיל באות ב'. יטב אם החברות בשוק, בייחוד הפיננסיות, ייערכו לתקני רגולציה חדשים. זאת, במטרה לטפל בסיכונים הקיימים כבר היום במערכות הפיננסיות ובכדי להפחית מהעומס שייווצר ביום הפקודה. ויפה שעה אחת קודם. הפיקוח, שייעשה על-ידי רשויות החוק והממסד, ישאף לצמצום הסיכונים הקיימים בשוק ההון ולהגדלת מערך הביקורת הפנימי של החברות.

את חשיבות מעגלי אבטחת המידע הארגוניים הפנימו כמעט כל הארגונים. כולנו נוקטים באמצעי אבטחה שונים על-מנת לשמר את המידע הארגוני, להבטיח כי לא יבוא במגע עם גורמים שאינם מורשים ולמנוע דליפת מידע אל מחוץ לארגון.

אולם רגולציות האבטחה שנקבעו בעולם כסטנדרט עבור ארגונים וקובעות תקנות אבטחה המתחדשות לפי איומים וסיכונים משתנים, אינן נאכפות על-ידי מרבית הארגונים. רוב הארגונים מקדימים, בסדר העדיפויות הניהולי שלהם, את נושאי התפעול השוטף לפני נושאי הבקרה וניהול הסיכונים. נוצר מצב בו חופש הפעולה הניתן לעובד בארגון עלול לסכן משמעותית את משאבי הארגון, המוניטין שלו, ולעיתים, אף את קיומו. די לנו להיזכר במקרה של ז'רום קרוויאל, הסוחר בבנק הצרפתי "סוסייטה ז'נרל", שגרם להפסד של כ-5 מיליארד דולר לבנק. קרוויאל, בהכירו את דרכי פעולת המנגנונים בבנק על בוריין, ידע לנצל פרצות במנגנונים אלה כדי לבצע פעולות שגרמו להפסדי ענק ולפגיעה אנושה בבנק הצרפתי. הטמעה נכונה של מנגנוני בקרה ואכיפה של רגולציות מתאימות יכולים היו למנוע מהפקיד יד חופשית במערכות הבנק ולהציל את הבנק מההפסד הנורא.

אחת משאיפות המפקחים על שוק ההון בימים אלה היא החמרתם של תקני האבטחה הנהוגים בשוק, אימוץ תקני אבטחת מידע שמקורם מחוץ לשוק ההון ואכיפת תקנים אלה על כל מוסד פיננסי באשר הוא. זאת, בעיקר על-מנת למנוע כשלי תפעול העלולים לנבוע מסיכונים קיימים במערכות המידע של המוסדות הפיננסיים ועל-מנת למנוע מהמידע להגיע לגורם בלתי מורשה, כזה שיעשה בו שימוש לרעה.

תקן 357 הוא אחת הדוגמאות לרגולציות הנהוגות מזה שנים רבות בשוק ההון. התקן מבקש לקבוע את הדרך לניהול נכון של מערכות המידע בסביבה הבנקאית ורק בימים אלה, מתעתד להיכנס לפעולה בבתי השקעות ובחברות הביטוח. התקן קובע מבנה היררכי בניהול מערכות המידע, הדרכים בהן חייב מוסד להתנהל בהתקשרות עם לקוח קצה, שותף או ספק ואת השימוש במערכות אבטחת המידע. התקן מפרט אמצעים המסייעים לאבטחת המידע כהפרדת רשת האינטרנט מהרשת הארגונית, גיבוי והתאוששות והצפנת חומר רגיש או תווך תקשורת.

עם זאת, תקן 357 הוא מיושן יחסית. העידכון האחרון בו נעשה בשנת 2003 ואינו מביא בחשבון סיכונים חדשים שנוצרו עם הכנסת טכנולוגיות חדשות. דרכי הבקרה הנחוצות היום לארגוני שוק ההון אמורות להיות כאלה שתוכלנה להתמודד עם אמצעים חדישים של העברת מידע אל מחוץ לארגון דוגמת disk on key, דואר אלקטרוני, תוכנות מסרים מיידיים וכד'. רוב הרגולציות הבנקאיות המיושמות בארץ היום, נקבעו כשרוב האמצעים הללו עדיין לא היו קיימים.

תקן מקיף יותר שנוגע לאבטחת מידע בכלל ולאו דווקא בהקשר הפיננסי הוא ISO27001, שהוא תקן ISO עולמי לניהול מערך אבטחת המידע בארגון. תקן זה החליף בישראל את ת"י 17799 לאבטחת מידע, ואומץ על-ידי מכון התקנים בישראל. בניגוד לתקן 17799 שהיה תקן נהלי בעיקרו, תקן 27001 דורש ממנהל אבטחת המידע לבצע עבודה הלכה למעשה על מערכות ה-IT בארגון ולבחון את אמצעי הבקרה שהוא מפעיל על מערכות המחשוב. לאחר שמנהל אבטחת המידע הגדיר את תכולת מערכת ניהול אבטחת המידע בארגון ואת הסיכונים הקיימים ברשת הארגונית. הוא נדרש לפירוט עומק של כל מערכות הבקרה הפועלות בארגון ולהסברים הנוגעים למערכות האבטחה בהקשר של כל מערכת תפעולית. בדומה ל-ISO9000 המוכר לכולנו כתקן אבטחת האיכות, פועל תקן 27001 סביב מתודת ה"תכנן-בצע-בדוק-פעל" המעגלית, המחייבת את הארגון לשיפור תמידי.

תוצאות התקנים והרגולציות בכל ארגון יהיו מערכות טכנולוגיות שימכנו את ניהול הסיכונים בארגון מחד ויגבירו את רמת האבטחה והבקרה מאידך. אנשי מקצוע ייעודיים לביצוע הבקרה ואכיפת התקנים ומשאבים ספציפיים שיוקצו על-מנת לאכוף את אותן רגולציות, לפקח על מימושן ולהקפיד על יישום כללים וצעדים שנקבעו בהן.

בסיכומו של דבר, על כל מנהל IT בארגוני שוק ההון לדעת כבר היום: מהם סוגי המידע הנכנסים ויוצאים מהארגון במהלך יום עבודה; מהן הסכנות האורבות למידע הארגוני הרגיש ועד כמה אני מודע להן. חשוב לכל מנהל לאסוף מידע על הדרכים החדשניות ביותר הקיימות לשמירת המידע ומרגע שאסף מידע זה, עליו לשכנע את ההנהלה בדבר חשיבות השימוש בדרכים אלה ומכאן, חשיבות הטמעתה של מערכת הגנה רצינית.

נכון בימים כתיקונם, אולם בימים אלה ובאלה שבפתח נכון ביתר שאת: ארגונים בכלל וארגוני שוק ההון בפרט, מחויבים בשימת לב מיוחדת בכל הנוגע לאבטחתו של המידע הפיננסי. זאת, לשם שרידות ארגונית עסקית ולשם השבחת ניהול הסיכונים בארגון ובשוק ההון בכללו.