ההקלות בתחום הענן – צעד דרמטי למען התחרות בין הבנקים

באחרונה פרסם בנק ישראל, מעט מתחת לרדאר התקשורתי, טיוטה חדשה, שמסדירה את רכישת שירותי הענן על ידי הבנקים הישראליים. הבנקים בארץ נתונים לפיקוח הדוק וכל רכישה של שירות מספק חיצוני מחייבת בקרה רגולטורית, כדי לוודא שהם לא חשופים לסיכונים.

הטיוטה החדשה מציגה מספר הקלות, שנובעות משיפור של כלי אבטחת המידע, קידום תחרות בין הבנקים, שיפור השירות ללקוח ואולי הסיבה העיקרית להן – גופי פיקוח בעולם לא דורשים היתר מראש, אלא מתבססים על ניהול סיכונים נאות מצד הבנקים.

משמעות השינוי הרגולטורי היא ביטול הצורך בקבלת היתר מבנק ישראל במקרה של אחסון מידע על לקוחות הבנקים – מצב שיקל על הבנקים בתקשורת עם ספקי פינטק חיצוניים. יותר התקשרויות פוטנציאליות ייצרו יותר ערך לצרכנים.

ההוראות החדשות של בנק ישראל, בדומה להנחיה שלו מהשנה שעברה, מתירות אחסון מידע רגיש, כגון נתוני לקוחות, מחוץ לגבולות מדינת ישראל, אך חבל שהטיוטה עדיין מתייחסת לדירקטיבה האירופית, שבוטלה במאי האחרון והוחלפה על ידי תקנות הגנת הפרטיות האירופיות – ה-GDPR.

שינוי מהותי מהרגולציה הקודמת שכלול בהנחיות החדשות מרחיב את סמכויות ואחריות הדירקטוריון לאשר כל יישום ענן מהותי. בשורה התחתונה, בנק ישראל סומך על הדירקטוריונים של הבנקים שידעו לשפוט האם יישום ענן חיצוני מספיק בטוח עבור הבנק או לא.

חוסר הבנת האופן שבו פועלים ספקי הענן הציבורי?

עוד קובעות ההוראות החדשות שהחל מהשנה הקרובה, לא יידרשו הבנקים לקבל היתר לפעול בתשתיות ענן ציבורי. נשאלת השאלה – האם לא נכון להגדיר דרישה לביצוע בדיקת נאותות של ספק מחשוב הענן, הערכת סיכונים, ניטור אירועי אבטחת מידע והסכם התקשרות שמאפשר קבלת דו"חות ביקורת מהספק והפסקת השימוש בשירותיו ביוזמת הבנקים, עבור כל יישום ענן? ניהול סיכונים נאות הוא כורח המציאות לכל ארגון, בכל מגזר, ללא קשר לרגישות הנתונים המאוחסנים בענן.

טיוטת ההוראות החדשות מנחה את הבנקים להעביר לידי הפיקוח על הבנקים אחת לשנה רשימה של יישומי מחשוב ענן ומדגישה כי במקרה של "מחשוב ענן מהותי", הם נדרשים לציין את המיקום הגיאוגרפי של שרתי הענן (בדומה להנחיות בנושא מיקור-חוץ). הדבר עשוי להצביע על חוסר בהבנת האופן שבו פועלים ספקי הענן הציבורי ולהקשות על הבנקים בקיום ההוראה.

ספקי הענן המובילים פרושים על פני מספר רב של אזורים גאוגרפיים וכל אחד מהם בנוי ממספר דטה סנטרים המרוחקים האחד מהשני, אך מחוברים באמצעות קווי תקשורת מהירים. אצל מרבית ספקי הענן הציבורי, מיקום הדטה סנטרים חסוי, מסיבות של אבטחה פיזית, ולכן, גם אם לקוח של תשתית כשירות (IaaS) בוחר באזור מסוים, הוא לעולם לא ידע באיזה דטה סנטר מאוחסן המידע שלו.

על הבנקים יהיה להקפיד על ניהול רציף של ניהול הסיכונים של המידע בענן, ולא רק בעת ההתקשרות עם הספק בפועל. בתחום משתנה כגון שימוש בשירותי ענן, עם איומים המתגלים כל הזמן, מומלץ להקפיד על ביצוע תהליך ניהול סיכונים שנתי לכל יישום.

עדיין אסור להשתמש בענן לפעילויות ליבה

הפיקוח לא הסיר בהוראות החדשות את האיסור להשתמש בשירותי מחשוב ענן עבור פעילויות ליבה ומערכות ליבה. יש לזכור שבעולם, למשל באיחוד האירופי, ניתן להשתמש בשירותי מחשוב ענן עבור מערכות ליבה בנקאיות, בכפוף לאישור הפיקוח על הבנקים המקומי של אותה המדינה, ותוך קבלת הנחיות נוספות לאבטחת המידע ואבטחת מערכות המידע התומכות ביישום הבנקאי. אישור זה מאפשר הטמעה קלה ומהירה יותר, ומאובטחת כראוי. הצעד של בנק ישראל חשוב מאוד, אם כי עדיף היה לאפשר לבנקים ליישם את הענן ממערכות הליבה, וכך דווקא לסייע להם עוד יותר לשמור על המידע.

האנליסט ג'יימס אוניל צופה שבמהלך השנה הקרובה, פעילויות ליבה בנקאיות מבוססות שירותי ענן ציבורי יגדילו את נפח השוק שלהן, עד שיהוו חלק מתהליכי הרכש של מערכות ושירותים חדשים בבנקים. בנקים בחו"ל כבר החלו לבסס את מערכות הליבה שלהם על שירותי ענן, דוגמת וולט בנק באוסטרליה, אופן בנק בספרד, בנק יורו פסיפיק ובנק OakNorth הבריטי.

בשורה התחתונה, בנק ישראל הרים את הכפפה בכל הקשור לתחרות הבנקאית והביא חשיבה חדשנית ומחוץ לקופסה, שתתרום לתחרות. מחשוב הענן יאפשר לבנקים לייעל את מערכות המידע שלהם, להשתמש בטכנולוגיה העדכנית ביותר, שמצויה לרוב אצל ספקי הענן הציבורי ואצל חברות פינטק שפועלות כיום בעננים ציבוריים, לקדם את התחרות ביניהם ולהגדיל את היצע השירותים ללקוח בצורה משמעותית מאוד. היכולת להתקשר עם ספקי ענן חיצוניים מהווה החסם העיקרי לטכנולוגיות חדשות ומשמעותיות שהבנקים יכולים ליישם.

אייל אסטרין הוא ארכיטקט פתרונות ענן במרכז החישובים הבין אוניברסיטאי, וניר צ'רבוני הוא סמנכ"ל אבטחת מידע ב-Credorax.