למה הבנקים מפחדים מהשב"כ ומי ישלם את המחיר?

בסוף השבוע פורסם בכלי התקשורת, כי המפקח על הבנקים, דודו זקן, שיגר מכתב שבו הודיע לבנקים, כי השב"כ – באמצעות רא"ם (ר"ת הרשות הממלכתית לאבטחת מידע), לא יפקח על פעילות המיחשוב שלהם. זקן ביטל בכך הנחיה של המפקח הקודם, רוני חזקיהו, שניתנה באישור נגיד בנק ישראל, סטנלי פישר.

הפרשה כולה החלה לפני קצת יותר משנה, אז פורסם לראשונה על הכוונה לבקש מרא"ם לשלב נציגים מטעמה במערכות הניהוליות של הבנקים, כדי לוודא בין היתר שהבנקים אכן שומרים על המידע שלנו כראוי. זה לא שבנק ישראל לא סומך על הבנקים, הוא פשוט רצה להיות בטוח. הרי בנק ישראל מפעיל יחידה מיוחדת, שתפקידה הוא להיות הרגולטור של הבנקים בתחומי המחשבים והאינטרנט. את היחידה מנהלת ביד רמה רחל יעקבי, שמפקחת למעשה על המנמ"רים של הבנקים – גם הם בעלי מקצוע ומומחים בתחומם. עם כל זאת, לא יהיה זה דמיוני להעריך, שאילו היו שואלים את מנהלי האבטחה בבנקים לגבי שיתוף הפעולה עם רא"ם, רובם לא היו מתנגדים.

הרא"ם היא אמנם זרוע של השב"כ, אבל כל קשר בינה ובין פעילות הליבה של שירות הביטחון הכללי, כמעט ואינו קיים. המדובר בגוף מקצועי, שכל מה שמעניין אותו הוא הגנה על המידע ששייך לכלל אזרחי ישראל – אותו מידע שעל בסיסו מפקידים מיליוני אזרחים את כספם בבנקים ומנהלים את עסקיהם עם חברות האשראי.

אז למה בכל זאת מפחדים הבנקים מרא"ם? התירוץ שהם מכרו לחזקיהו ולפישר, הוא שהכנסת השב"כ להנהלות הבנקים, יבריח משקיעים מחו"ל. פישר לא ממש השתכנע, אבל מחליפו של חזקיהו, דודו זקן, נכנע ככל הנראה ללחצים – וויתר. הטענה הזו של הבנקים, לגבי הברחת משקיעים, היא מגוחכת. למשקיעים יש סיבות הרבה יותר טובות לברוח מפה, אם באמת היו רוצים לעשות כך. כאן, כמו שאתם יודעים, זה לא בדיוק שוויץ. גם הנגיד וגם זקן יודעים זאת היטב.

היתה גם טענה אחרת, שאיתה קשה יותר להתווכח, והיא שכניסתו של גוף ביטחוני לתוך עסקים פרטיים, מנוגדת לעקרונות הדמוקרטיה. אלא שמדינת ישראל אינה דמוקרטיה רגילה ולמרות הרגישות לחופש המידע והעיסוק, עדיין יש פה אילוצים ביטחוניים, שמחייבים לעיתים חריגה מנורמות שמקובלות במדינות מערביות שלוות.

נציגים של רא"ם יושבים בגופים שהתשתית שלהם היא קריטית בשעת חירום, דוגמת חברת החשמל, מקורות, שירותי הבריאות וכדומה. תפקידם של הנציגים הללו הוא לוודא שאותם גופים נוקטים את כל הצעדים כדי שהפעילות שלהם לא תושבת ותשבש את החיים האזרחיים במדינה – בין אם מדובר במתקפת טילים ובין אם מדובר במתקפות סייבר, דוגמת זו שאנו חווים עכשיו. זה יהיה שם המשחק במלחמות הבאות, וכבר נכתב על כך לא פעם: האזרחים יהוו את היעד העיקרי ותפקידם של הרשויות השונות, הלא-צבאיות, יהיה לוודא שהחיים ימשכו כרגיל במידת האפשר.

הבעיה המרכזית במקרה שלפנינו, היא הבדלי התפיסות בין הרשויות השונות באשר לחשיבות המיחשוב והקריטיות של בגופים כמו בנקים, רשתות מזון ושיווק, רשתות הפארם למיניהן וכדומה. השב"כ סבור, שתפקוד מערכות המיחשוב של הגופים הללו הוא קריטי ויודע שגופים שנשמעים להנחיות של רא"ם, נהנים מהגנה נוספת. מנגד, הרי שהמגזר העסקי והטייקונים הגדולים המנהלים אותו, סבורים שהכסף והמידע שלנו הוא הנכס הפרטי שלהם, ולכן הם לא יכניסו "צבא" למשרדים שלהם. למרבה הצער, נראה שהאנשים שאמורים לפקח על אותם מגזרים, קונים את סיפורי הסבתא על בריחת משקיעים ופגיעה בדמוקרטיה, ומשתפים פעולה עם אותם בעלי כוח והשפעה, שביומיום מתחרים ביניהם, אבל בעיתות "משבר" מהווים גילדה חזקה מאוד, שיודעת לשמור על האינטרסים שלה (אך לא על האינטרסים שלנו).

גם הטיעון לפיו הבנקים ממילא נמצאים תחת פיקוח, לא ממש מרגיע אף אחד ובטח שלא משכנע, לאור מה שקורה כאן בשבועות האחרונים. חברות האשראי, שהיו הקורבנות הראשונים להתקפות ההאקרים הנוכחיות, הוכיחו שוב ושוב כי אבטחת מידע היא בסך הכל עניין של ניהול סיכונים. כאשר מנמ"ר פונה להנהלת הארגון שלו ודורש משאבים נוספים לאבטחה, אבל ההנהלה מציעה "להסתדר" עם המפקח על הבנקים, נראה שרמת ההגנה על המידע אינה אופטימלית. אם הנהלת הבנק תואיל להתייעץ עם אותם נציגי רא"ם, שמבינים דבר או שניים באבטחה, היא ודאי תגלה שהעצות שלהם יהיו שוות המון בעת משבר.

ניתוב הבקשה לשילוב נציגי רא"ם בבנקים לפסים של בריחת משקיעים או פגיעה בדמוקרטיה, הוא עוד טריק מוצלח של ראשי הבנקים בישראל, המתנהגים כקרטל על חשבון הביטחון האישי של האזרחים. לצערנו, הלחץ שלהם הצליח – והמכתב שהם קיבלו כעת הוא בבחינת צפירת הרגעה למנהלי הבנקים, אבל צפירת אזהרה לכל יתר האזרחים, שידעו שבמקרה של אזעקת האמת, השב"כ לא יוכל לסייע להם למרות רצונו הטוב.