עננים מעוכבים במערכת הפיננסית

המערכת הבנקאית בישראל מצויה בימים אלה בשיאן של הכנות והיערכות לקראת מעבר לענן, האצת תהליכים של בנקאות דיגיטלית ואינטרנטית. בספטמבר האחרון הכריז בנק לאומי כי הוא עומד להעלות נתוני לקוחות לענן ועל פי דיווחים, בנק ישראל אישר זאת. במרץ השנה אמר אבי כוכבא, משנה למנכ"ל ומנמ"ר בנק הפועלים, כי הבנק נערך להטמעת מערכת CRM בענן בחטיבה העסקית. הבנק ערך מכרז במסגרתו התמודדו כמה ספקים, כאשר לשלב הגמר הגיעו Salesforce ומיקרוסופט (Microsoft). הבנקים האחרים, שרוצים גם הם להתקדם לעולם הדיגיטלי, מבינים שהענן הוא אבן דרך חשובה אולם עדיין יושבים על הגדר וממתינים לראות כיצד יתפתחו העניינים בשני הבנקים הגדולים.

המחסום כאן הוא לא טכנולוגי אלא רגולטורי. במקרה הזה, הפיקוח על הבנקים בבנק ישראל. בדיקה שערכנו בשבועות האחרונים העלתה כי בניגוד לפרסומים, בנק ישראל טרם אמר את המילה האחרונה בנושא ועדיין לא נתן אישור סופי לבנקים לעלות לענן. בתשובה לשאלה שלנו הפנה אותנו דובר הבנק לטיוטה של מסמך שפורסמה בספטמבר בשנה שעברה ונושאה: "ניהול סיכונים בסביבת מחשוב". סעיף 3.2.1 בטיוטה, שהופצה לכל הבנקים, קובעת במפורש ש-"התאגיד לא יעשה שימוש בשירותי מחשוב ענן עבור פעילות ליבה". מערכות CRM הן לכל הדעות מערכות ליבה והנתונים שיש שם הם רגישים ביותר. עוד נכתב ש-" התאגיד הבנקאי לא יאחסן מידע או נתוני לקוחות בענן מחוץ לגבולות מדינת ישראל".

בהמשך המסמך רומז בנק ישראל באילו תנאים ייתכן שיאשר את המעבר לענן: בדיקת נאותות עם ספק הענן; שליטה מלאה בחוזה השירות, תוך אפשרות הפסקת ההתקשרות בצורה מידית; המידע שיועבר, אם בכלל, יהיה מוצפן; ולבנק תהיה אפשרות ניטור אירועי אבטחת מידע הקשורים לשימושו במערכת מחשוב הענן. החלק השני של טיוטת המסמך מתנה את השימוש בענן, אם וכאשר יינתן, בכך שהבנק יקבע מדיניות ברורה במעבר לענן, יבצע תהליכים של ניהול סיכונים ברורים ביותר עם חלוקת סמכויות וכמובן, שכל המסמכים האלה יאושרו במועצת המנהלים של הבנק. זאת, בנוסף להתייחסות מובנת שקשורה לחוק הגנת הפרטיות, שעלול להיות בהתנגשות עם המעבר לענן.

החלק האחרון של המסמך לא מותיר ספק: מבחינת הבנק, מחשוב ענן הוא מקרה פרטי של מיקור-חוץ, שלו יש הוראות נפרדות בפיקוח על הבנקים. בכל מקרה, כל בנק נדרש לקבל היתר מהמפקח על הבנקים לפני המעבר לענן, גם אם לא מדובר במידע על לקוחות. בחלקים אחרים שלו מציין המפקח על הבנקים שאכן, יש יתרונות חשובים במעבר לענן, אולם השימוש בו עלול לחשוף את הבנק המשתמש לסיכונים תפעוליים.

האישורים לא נראים באופק

מתי מתכונן בנק ישראל לפרסם טיוטה סופית ולתת אישורים לבנקים לרוץ עם הענן? בבנק ישראל אין תשובה לכך. המפקח, דודו זקן, הודיע כבר מזמן שהוא פורש. מחליפו לא מונה, בגלל הבחירות, מאחר שמינוי כזה דורש אישור של שר האוצר, על אף שאיננו מינוי פוליטי. כמו הרבה מערכות, גם בבנק ישראל מצפים להקמת הממשלה החדשה ולכניסתו של משה כחלון (ככל הנראה) לתפקיד שר האוצר.

בינתיים, בעוד בנק הפועלים רק בודק הצעות, בנק לאומי הלך כמה צעדים קדימה ובשנה שעברה בחר ב-Salesforce, כמערכת CRM בענן. צוותים רבים של הבנק, חלקם בעלות שכר די גבוהה, כי מדובר באנשי מקצוע נדרשים, עובדים כבר כמעט שנה, כדי להשלים את הפיתוח של המערכות. הנזק הכספי הישיר לבנק הוא לא קטן, בהנחה שצוותי הפיתוח ממשיכים לקבל שכר ולעבוד.

בבנק הפועלים יוצאים כנראה מתוך הנחה שעד שיסתיים תהליך התיחור והפיתוח, בנק ישראל יאשר את המעבר לענן בתנאים מגבילים, כפי שהם מופיעים בטיוטה. יש לשים לב שבנק הפועלים זהיר יותר במעבר לענן בחטיבה העסקית.

תגובות

מבנק ישראל נמסר כי מדיניותו בנושא הענן לא השתנתה, הטיוטה שפורסמה היא ההנחיה הנוכחית והוא לא נוהג להצהיר מתי יפרסם הנחיות חדשות. עוד העיר דובר הבנק כי להנחיות בנושא הענן אין קשר לסיום תפקידו של דודו זקן.

מבנק לאומי נמסר כי הוא עובד בצמוד עם בנק ישראל ועם הנחיותיו.

השורה התחתונה: זהירותו של בנק ישראל בכל מה שקשור לענן ראויה לשבח ומובנת. אולם, על אנשי הבנק להבין כי הטכנולוגיה מתקדמת בקצבים הרבה יותר מהירים מהשמרנות המאפיינת את המגזר הפיננסי כולו. אפשר גם ללמוד מניסיונם של בנקים גדולים בעולם, שביצעו את המעבר ונראה שלא סיכנו בצורה מהותית את המידע הרגיש על לקוחותיהם.