ד"ר נועם ויינבלט, 2Bsecure: "הרגולטור סולל את הדרך למעבר זהיר של שירותים לענן"
הטיוטה החדשה של בנק ישראל תסייע לבנקים לבצע את המעבר בצורה מבוקרת, אמר ד"ר ויינבלט, מנהל מחלקת ניהול סיכונים ורגולציה בחברה
"למרות כל המגבלות, הרגולטור סולל עבור הבנקים את הדרך להעברה זהירה ומבוקרת של שירותים לענן", כך אמר ד"ר נועם ויינבלט, מנהל מחלקת ניהול סיכונים ורגולציה ב-2Bsecure.
הוא אמר את הדברים בשולחן עגול שערכו לא מכבר CloudZone מקבוצת מטריקס ו-2Bsecure, שעסק בהוראות החדשות של בנק ישראל בנושא מחשוב הענן. השתתפו במפגש מנמ"רים מהמגזר הפיננסי, נציגים של אמזון (Amazon) ובכירים נוספים.
ארתור שמונק, מנהל CloudZone, סקר את השימוש ההולך וגובר במחשוב ענן במגזר הפיננסי בעולם והציג סיפורי לקוח של בנקים מובילים. לדבריו, "בנקים רבים התחילו להעביר לענן סביבות נמוכות (פיתוח ובדיקות), DR ,BI וניהול סיכונים. בהמשך יעבירו גם סביבות מובייל וערוצים, אפליקציות לשירות לקוחות ועוד".
לכל אורך דבריו הדגיש שמונק את התועלת העסקית ואת החסכון הפיננסי שעתידים להיות מנת חלקם של גופים שיעברו לענן.
ארתור שמונק, מנהל CloudZone, יחידת הענן של מטריקס. צילום: ניב קנטור
המפגש נערך בעקבות טיוטה ששלח בנק ישראל לבנקים השונים בארץ ובה הנחיות חדשות איך עליהם לנהוג בכל הנוגע לשימוש ושילוב שירותי ענן. הטיוטה מתייחסת בעיקר להיבט של ניהול סיכונים הנובע מכך. על פי המסמך, "מחשוב ענן מהווה מקרה פרטי של מיקור-חוץ וההנחיות לגבי סוג שירותים זה תקיפות גם אליו".
ההנחיה הראשונה והחד משמעית אוסרת על הבנקים בישראל לעשות שימוש בשירותי ענן בכל מה שקשור לפעילות הליבה ומערכות הליבה. כמו כן, אוסר הבנק על התאגידים הפיננסיים בישראל לאחסן את המידע בענן אצל ספקים שהשרתים שלהם מחוץ לגבולות מדינת ישראל, למעט מקרים שבהם אותו ספק עומד בתנאים שהכתיב האיחוד האירופי על ספקים הפועלים בתחומו. ההנחיות מחייבות את הבנקים לעשות בדיקת נאותות ובדיקת חוסן כלכלי לכל ספק שהם מתקשרים איתו.
בהמשך ישנן הוראות אופרטיביות למעבר לענן: "על המידע להיות מוצפן בעת העברתו בתקשורת ויש לוודא שההצפנה יכולה להיות בשימוש גורמים נוספים בבנק", נכתב. כמו כן, הבנקים מצווים לבצע ניטור אירועי אבטחת מידע הקשורים למערכות ענן.
בהמשך קובע בנק ישראל כי על הגופים הפיננסיים המצויים תחת פיקוחו לקבוע מדיניות במסמך כתוב, שיגדיר בצורה ברורה את הסמכויות ופעולות גופי שירותי הענן, וכמובן לקבל את אישור הדירקטוריון. כמו כן מוטלת חובה על מנהלי התאגיד להציף בפני חברי מועצת המנהלים את הסיכונים הכרוכים בשימוש בענן.
פרקטית אין כל סיבה ממשית שארגון בנקאי יעבור לענן, ושלא נדבר על סוגיות אבטחת מידע והגנת הפרטיות שבנק ישראל מתעלם מקיומם....