הבנקים והמוסדות הפיננסיים בישראל משתפים כיום פעולה באופן הדוק עם מגוון רחב של ספקים חיצוניים. שיתופי פעולה אלה מציעים לארגונים יתרונות עסקיים רבים, אך יחד עם זאת מעלים חששות משמעותיים הנוגעים לאבטחת המידע, במיוחד בהתחשב בדרישות הרגולציה המחמירות של בנק ישראל והרשות להגנת הפרטיות. בפועל, לפי דוח חקירות אירועי אבטחת המידע של חברת Verizon, המגזר הפיננסי נמצא בין הענפים המותקפים ביותר בעולם, כאשר בישראל תחום זה מהווה יעד מרכזי לתוקפים, עם מספר הולך וגדל של ניסיונות פריצה ודליפת מידע.
במאמר זה נסקור את הסיבות המרכזיות שבגללן בנקים ומוסדות פיננסיים בישראל בוחרים לעבוד עם ספקים וקבלני משנה חיצוניים, נדון בסיכוני הסייבר המרכזיים שנובעים משיתופי פעולה אלו, ונבחן כיצד בניית תוכנית יעילה לניהול סיכוני ספקים בהתאם לרגולציה בישראל יכולה לסייע בצמצום הסיכונים הללו.
מדוע בנקים ומוסדות פיננסיים בישראל בוחרים לעבוד עם ספקים חיצוניים?
הסיבה אינה מסתכמת רק בחיסכון כספי.
בנקים וגופים פיננסיים בישראל מוציאים למיקור חוץ מגוון פעילויות, החל מחשבונאות ושמאות, דרך שיווק דיגיטלי, שירות לקוחות, ועד לניהול הלוואות ואשראי. העבודה מול ספקים וקבלני משנה מאפשרת למוסדות הפיננסיים בישראל ליהנות מיתרונות עסקיים משמעותיים כגון גמישות תפעולית, מומחיות ממוקדת, והפחתה בעלויות התפעוליות, אך כאמור, לצד יתרונות אלו קיימים גם אתגרי אבטחה משמעותיים שחשוב להתייחס אליהם בהתאם לדרישות הרגולציה המקומית.
בואו נבחן את הסיבות הללו מקרוב:
גמישות ויכולת התרחבות של צוותים פנימיים:
העסקת ספקים חיצוניים מאפשרת למוסדות פיננסיים בישראל להרחיב את הצוותים הפנימיים בהתאם לצורך המשתנה. במקום תהליך ארוך ויקר של גיוס מומחים חדשים, ספק חיצוני יכול לספק במהירות את המענה הדרוש לביצוע משימות חדשות.
חיסכון בעלויות, בעיקר בתהליכי גיוס:
גיוס עובדים בישראל הוא תהליך יקר, גוזל זמן, ולא תמיד מניב את התוצאות הרצויות. שימוש בספקים חיצוניים מאפשר חיסכון משמעותי בעלויות הגיוס, ולעיתים גם הקלה בהיבטי מס ותשלומים נוספים.
הגברת היעילות:
מיקור חוץ מאפשר למוסדות פיננסיים בישראל לפעול באופן יעיל ואפקטיבי יותר, להרחיב את היקף השירותים, להגדיל את מספר הלקוחות, ולשפר את ביצועי התפעול הפנימי.
הטמעת טכנולוגיות ופתרונות חדשניים:
עבודה עם ספקים חיצוניים היא הזדמנות מצוינת להכניס טכנולוגיות מתקדמות ופתרונות חדשניים במהירות, תוך הקטנת הסיכון לארגון. הספק החיצוני יכול לבצע את תהליך בחירת הפתרונות והבדיקות הראשוניות, כך שהארגון יכול לעבור ישירות לשלב ההטמעה.
למרות יתרונות אלו, מוסדות פיננסיים רבים בישראל עדיין מהססים להעסיק ספקים חיצוניים, בעיקר בשל החששות בתחום אבטחת המידע והציות לדרישות הרגולציה המקומית, כגון הנחיות בנק ישראל והוראות הרשות להגנת הפרטיות. בחלק הבא, נבחן לעומק את הסיכונים העיקריים ואת אתגרי הסייבר המרכזיים שעומדים בפני מוסדות פיננסיים בישראל כאשר הם עובדים עם ספקים חיצוניים.
סיכוני אבטחת סייבר בשירותים חיצוניים
השותף שלך עלול להפוך בקלות לנקודת התורפה שלך.
מוסדות פיננסיים נדרשים לעיתים קרובות להעניק לספקים חיצוניים גישה למידע רגיש, למערכות קריטיות ולמשאבים אסטרטגיים. זהו הסיכון המרכזי בשיתוף פעולה מסוג זה. אחרי הכול, אין ערובה לכך שהספק לא ינצל לרעה את זכויות הגישה שניתנו לו. בנוסף, תוקפים רבים מכוונים דווקא אל ספקים חיצוניים כדרך להשגת גישה לנתונים ומערכות רגישות של הבנק או המוסד הפיננסי.
חשוב לזכור כי גם כאשר הארגון מוציא למיקור חוץ שירותים מסוימים, האחריות הכוללת על אבטחת המידע נותרת במלואה על הארגון עצמו. הזנחה בתחום זה עלולה להוביל להשלכות חמורות, כפי שניתן ללמוד מאירועים שהתרחשו בשנים האחרונות:
-
באפריל 2017, קבלן משנה של בנק Scottrade העלה בטעות מאגר מידע לא מאובטח לענן, שכלל מידע אישי של כ-20,000 לקוחות הבנק. נציגי הבנק הדגישו כי התקלה נבעה מטעות אנוש של הספק החיצוני, ולא ממערכות הבנק עצמו.
-
ביולי 2017, האקרים תקפו את הבנק האיטלקי UniCredit באמצעות ספק חיצוני של הבנק. הבנק חווה שתי מתקפות משמעותיות בתוך עשרה חודשים בלבד, וכתוצאה מכך נחשף מידע רגיש מכ-400,000 חשבונות הלוואה של לקוחות.
-
בדצמבר 2018, אתר אינטרנט של הבנק המרכזי האירופי שנוהל על ידי ספק חיצוני הותקף, והתוקפים החדירו אליו תוכנות זדוניות. הפריצה לא אותרה במשך חודשים רבים, והביאה לסיכון ממשי של דליפת נתונים רגישים.
-
בינואר 2019, מספר בנקים וגופים פיננסיים בארה"ב נפגעו קשות לאחר שספק חיצוני בשם Ascension העלה שרת שהכיל כ-24 מיליון דוחות אשראי רגישים באופן לא מאובטח. כתוצאה מכך, המידע הפיננסי הרגיש היה חשוף לכלל הציבור.
בישראל, הרגולטורים ובראשם בנק ישראל והרשות להגנת הפרטיות מעניקים תשומת לב מיוחדת לנושא סיכוני הסייבר הנובעים מהעסקת ספקים חיצוניים. ניהול סיכוני ספקים הוא חלק בלתי נפרד מדרישות הרגולציה המקומית ומדיניות ניהול הסיכונים שנקבעה על ידי בנק ישראל והמפקח על הבנקים.
אז מהם הסיכונים המרכזיים שאליהם חשופים מוסדות פיננסיים שעובדים עם ספקים חיצוניים?
כפי שראינו, לא תמיד הספק עצמו הוא מקור הבעיה; לעיתים קרובות ספקים חיצוניים מהווים יעד אטרקטיבי עבור תוקפי סייבר המנסים להגיע דרכם אל הארגון המרכזי.
בואו נבחן שישה סיכונים מרכזיים בתחום אבטחת הסייבר שמוסדות פיננסיים בישראל צריכים להכיר ולנהל כאשר הם משתפים פעולה עם ספקים חיצוניים:
דליפות נתונים
מידע הוא הנכס החשוב ביותר של כל מוסד פיננסי בישראל, והוא עלול להפוך בקלות למטרה של פושעי סייבר או להיחשף עקב טעויות אנוש של ספקים חיצוניים.
השלכות פיננסיות
דליפות מידע עלולות להוביל בישראל לקנסות משמעותיים מצד הרגולטורים (כגון בנק ישראל והרשות להגנת הפרטיות), וכן לתביעות משפטיות מצד לקוחות שנפגעו. בנוסף, מוסדות פיננסיים שנפגעו ייאלצו לבצע ביקורות אבטחת מידע יקרות, חקירות פורנזיות דיגיטליות והטמעה מהירה של שיפורים טכנולוגיים לאחר האירוע.
נזק למוניטין
אירועי אבטחת מידע הקשורים לספקים חיצוניים עלולים לפגוע קשות במוניטין של הבנק או המוסד הפיננסי בשוק הישראלי, ולהוביל לאובדן אמון הלקוחות, שלעיתים קשה מאוד לשקמו.
אתגרי ציות לרגולציה
מוסדות פיננסיים בישראל כפופים לדרישות רגולטוריות מחמירות כגון הוראות בנק ישראל, חוק הגנת הפרטיות ותקנות אבטחת מידע של הרשות להגנת הפרטיות. אי-עמידה בדרישות אלו תוביל לא רק לקנסות ועונשים כספיים, אלא גם להשלכות משפטיות משמעותיות.
הפרעות תפעוליות
אירוע סייבר שנגרם כתוצאה מפעולות או מחדלים של ספק חיצוני עלול לשבש באופן מהותי את פעילות המוסד הפיננסי, להשפיע לרעה על זמינות השירותים ולהוביל לפגיעה מתמשכת בלקוחות ובתפקוד הכללי של הארגון.
סיכוני שרשרת אספקה (צד שלישי נוסף)
מי אמר שלספקים שלך אין ספקים נוספים משלהם? עליך לוודא שהספקים שלך אינם מוציאים בעצמם שירותים קריטיים נוספים למיקור חוץ ללא אישורך. חשוב לעגן זאת באופן מפורש בחוזים עם ספקים חיצוניים בישראל.
החדשות הטובות הן שאת כל הסיכונים הללו ניתן לצמצם משמעותית על ידי בניית תוכנית אפקטיבית לניהול סיכוני ספקים חיצוניים (TPRM – Third-Party Risk Management). בחלק הבא נדריך אותך כיצד לבנות תוכנית כזו, צעד אחר צעד ובהתאמה לדרישות הרגולציה המקומית בישראל.
כיצד בונים תוכנית לניהול סיכוני ספקים חיצוניים?
מניעה תמיד עדיפה על טיפול.
ניהול סיכוני ספקים הוא תהליך מקיף של זיהוי, ניתוח וניהול הסיכונים שנוצרים מהעבודה עם ספקים וקבלני משנה. הרגולטורים בישראל, ובראשם בנק ישראל והמפקח על הבנקים, הגדירו באופן ברור שלבים מומלצים במחזור החיים של ניהול סיכוני ספקים, ובהם:
- תכנון: בניית תוכנית מקיפה לניהול היחסים עם ספקים חיצוניים, הכוללת הערכת סיכונים, הגדרת מדיניות ונהלים בהתאם למורכבות ולרמת הסיכון של כל ספק.
- בדיקת נאותות: אימות ובדיקת הספקים מראש, לרבות יכולתם לעמוד בדרישות אבטחת המידע, ביציבות הפיננסית, ובדרישות הרגולטוריות החלות בישראל.
- ניהול מו"מ וחתימת חוזה: ניסוח וחתימה על חוזים הכוללים סעיפים מפורטים וברורים לגבי זכויות, חובות ואחריות של כל אחד מהצדדים, בהתאם להנחיות בנק ישראל.
- ניטור ובקרה שוטפת: לאחר חתימת החוזה, הקפדה על ניטור רציף של פעילות הספק החיצוני במטרה לאתר אירועים חריגים ולהגיב אליהם במהירות.
- פיקוח ואחריות הנהלה: אחריות ברורה של הנהלת המוסד הפיננסי להבטיח קיום מנגנוני פיקוח ובקרה נאותים לניהול סיכוני ספקים.
תוכנית מסודרת לניהול סיכוני ספקים חיצוניים במוסדות פיננסיים היא הכרחית להבטחת המשכיות עסקית, עמידה בדרישות הרגולציה בישראל, והגנה על הארגון מפני איומי סייבר. תוכנית זו כוללת מדיניות, נהלים, כלים ופעילויות שונות שמטרתם לזהות, לצמצם ולנהל באופן פרואקטיבי סיכונים שמקורם בספקים חיצוניים.
הנה כמה מהיתרונות המרכזיים של הטמעת תוכנית ניהול סיכוני ספקים (TPRM) במוסדות פיננסיים בישראל:
האם הנתונים המדאיגים הללו מחייבים אותנו להיכנע לפחד? בהחלט לא.
למעשה, דו"חות אלו יכולים להיות מועילים מאוד ולספק לארגון תובנות משמעותיות לבניית תוכנית פעולה יעילה. המפתח הוא להתמקד לא רק באירועים עצמם, אלא בעיקר בסיבות העומדות מאחוריהם.
לדוגמה, בדו"ח "עלות דליפת נתונים 2021" מצוינות מספר סיבות נפוצות לאירועי דליפת מידע, ביניהן גישה בלתי מורשית, עובדים זדוניים ומתקפות פישינג.
גורמי סיכון אלו מוזכרים גם בדו"ח מדד הסיכון של סייבר, לצד איומים נוספים כגון תוכנות כופר ורשלנות עובדים. בנוסף, מסקר דליפות הנתונים הפנימיות לשנת 2021 עולה כי עסקים רבים מודאגים בעיקר ממתקפות פישינג ומרשלנות עובדים. מחקרים נוספים מציינים את הסיכון להוצאת מידע (Data Exfiltration) כאחד האיומים המרכזיים והמדאיגים ביותר עבור ארגונים.
אז מה ניתן לעשות?
ידע הוא כוח, אך לדעת מהם הנכסים הדיגיטליים החשובים ביותר שלך אינו מספיק כדי להבטיח הגנה מלאה מפני איומים. חשוב לנטר ולנהל בצורה מדויקת מי ניגש לנכסים הרגישים של הארגון וכיצד נעשה בהם שימוש בפועל. רק כך ניתן לזהות במהירות את הגורמים לאירועים חריגים ולהגיב לאיומים חדשים ביעילות ובזמן.
כדי להשיג זאת, מומלץ ליישם פתרון חזק לניטור פעילות משתמשים, שיאפשר לך לתעד, לנתח ולהגיב בזמן אמת לכל פעולות המשתמשים במערכות ובשרתים של הארגון. רצוי לשלב פתרון זה עם אמצעים למניעת הוצאת מידע והטמעת הנהלים המומלצים בתחום אבטחת הסייבר.
Syteca היא פלטפורמת ניהול סיכונים פנימיים מקצה לקצה, המספקת יכולות ניטור פעילות משתמשים וניתוח התנהגות בזמן אמת. הפלטפורמה מתעדת את פעולות המשתמשים, מצרפת אליהן מטא-נתונים עשירים, ומאפשרת חיפוש וסינון מהירים במהלך אירועים חריגים.
גורם נוסף שחשוב לשים אליו לב הוא המודעות שלך לסיכונים המרכזיים המאיימים על נכסי המידע של הארגון. ביצוע הערכות סיכון וביקורות סייבר באופן שוטף יאפשר לך להגדיר סדר עדיפויות ברור, לקבוע על אילו נכסים להגן תחילה, ומהם הסיכונים העיקריים שיש למנוע.
באמצעות יכולות הדיווח המתקדמות של Syteca, תוכל להפיק דוחות מותאמים אישית במועדים מוגדרים, ולייצא אותם בפורמטים בטוחים לצורך מעקב ובקרה שוטפים.
כמו כן, מומלץ להגביל את הגישה למידע ולמערכות קריטיות רק למעגל מצומצם של משתמשים מורשים. לשם כך רצוי להשתמש בשיטות כמו עקרון הזכות המינימלית, סיסמאות חד-פעמיות ואימות רב-גורמי (MFA), שיסייעו לך למנוע ממשתמשים בלתי מורשים להשיג גישה למידע רגיש.
Syteca מספקת יכולות אימות דו-שלבי מתקדמות, המיישמות בצורה מלאה את עקרונות ה-MFA.
- כיצד ניתן להתאים את אמצעי אבטחת הסייבר לשינויים מתמשכים?
הישאר גמיש כדי להישאר מוגן.
כל ארגון עשוי להתמודד עם מצבים מורכבים כמו מיזוגים ורכישות, דרישות חדשות מלקוחות, שינויים בדרישות רגולטוריות או אפילו משברים גלובליים כמו מגפת הקורונה. חלק מהשינויים צפויים מראש, אך אחרים מתרחשים במהירות גבוהה מכפי שארגונים יכולים להיערך אליהם.
בפרט, מגפת הקורונה הובילה לשינויים דרמטיים בדרכי העבודה. לפי מחקר של חברת Ladders, עד סוף שנת 2022 צפוי אחוז המשרות המרוחקות בתפקידים בעלי שכר גבוה בצפון אמריקה להגיע ל-25%, בהשוואה לפחות מ-4% לפני המגפה.
הלקח המרכזי מכך הוא ששינויים הם בלתי נמנעים. בעוד שעובדים שהיו רגילים לעבוד מהמשרד עוברים למודל עבודה מרוחק או היברידי, מנהלים ואנשי אבטחת מידע חייבים ללמוד כיצד להתאים את הארגון במהירות למציאות המשתנה ולהבין בדיוק מה עליהם להגן, מפני אילו איומים, וכיצד.
המעבר לעבודה מרחוק בתקופת COVID-19 בלבד יצר מגוון רחב של אתגרים חדשים בתחום אבטחת הסייבר.
