בד בבד, חל גידול משמעותי בעצמת איומי הסייבר, הן מבחינת היקפם, הן בבחינת גורמי האיום והן בהיבטיתחכום וזמינות כלי התקיפה.

Transcription

1 עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) פרק א': כללי מבוא להתפתחות המתמשכת ולחדשנות הטכנולוגית נודעת השפעה מרחיקת לכת על האופן שבו תאגידים בנקאיים מנהלים את עסקיהם ועל האופן שבו הם מתקשרים עם לקוחות, ספקים ושותפים. קצב השינויים המהיר בתשתית הטכנולוגית, החדשנות המתמדת במתן שירותים בנקאיים ללקוחות, זמינותם של השירותים "בכל עת, בכל מקום", הקישור של מערכות מידע ותיקות של התאגיד הבנקאי לתשתיות מחשוב מודרניות ו"פתוחות", כמו גם התלות הגוברת בשירותי מחשוב ותקשורת המסופקים על ידי צד שלישי, יוצרים כר נרחב מאוד להיווצרות חולשות במערכי ההגנה של התאגיד הבנקאי אשר עלולות לחשוף אותו לסיכוני סייבר משמעותיים. בד בבד, חל גידול משמעותי בעצמת איומי הסייבר, הן מבחינת היקפם, הן בבחינת גורמי האיום והן בהיבטיתחכום וזמינות כלי התקיפה. התממשותם של סיכוני סייבר עלולה לשבש את פעילתו התקינה והמאובטחת של התאגיד, ולגרום בין היתר, למניעת שירות מלקוחותיו, לחשיפת מידע פרטי, למחיקה ושיבוש נתונים של התאגיד הבנקאי ושל לקוחותיו, לירידה באמון הציבור, לפגיעה בתדמית התאגיד הבנקאי וביכולתו לנהל את נכסיו ואת נכסי לקוחותיו באופן נאות. בתרחיש קיצון התממשותםשלסיכוניםאלו עלולה לפגועביציבותושל התאגיד הבנקאי. אשר על כן, על התאגידים הבנקאיים לתת דגש מיוחד ולנקוט בצעדים הדרושים לצורך ניהול אפקטיבי של הגנת הסייבר. בפרט, נדרשים התאגידים הבנקאיים להרחיב ולהעמיק את יכולות ההתמודדות הקיימות של אבטחת המידע באופן אשר יאפשר להם להתמודד כנגד איומי הסייבר. ניהול סיכוני סייבר מהווה חלק מהמערך הכולל של ניהול סיכונים בתאגיד הבנקאי. הוראה זו נועדה להוסיף ולהרחיב על ההוראות המפורטות בסעיף 8 בהמשך, בכל הנוגע לניהול תקין של סיכוני הסייבר עקרונות יסוד ל של תאגיד בנקאי יתבסס על עקרונות היסוד המפורטים בהוראה זו. עקרונות אלו מהווים קווים מנחים, אשר מקנים את הגמישות הנדרשת לאור קצב השינויים המהיר בתחום הסייבר, ומתוך הכרה שלכל תאגיד פרופיל סיכונים ייחודי, הדורש התאמה של תכנית הגנת הסייבר למאפייני הפעילות ולצרכים העסקיים הפרטניים של כל תאגיד..7

2 א ב ג ד א ג ב עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) התאגיד הבנקאי ינהל את סיכוני הסייבר בראייה משולבת כלל תאגידית במסגרת ובהתאם לכללים לניהול ולבקרת סיכונים כאמור בהוראות ניהול בנקאי תקין, ובפרט בהוראות הבאות:.8 הוראה מספר "ניהול סיכונים"; הוראה מספר 350 "ניהול סיכונים תפעוליים"; הוראה מספר 355 "ניהול המשכיות עסקית"; הוראה מספר 357 "ניהול טכנולוגיית המידע". במסגרת תהליך ניהול הסיכונים התפעוליים, כאמור בהוראת ניהול בנקאי תקין מס' 350, תאגיד בנקאי יביא בחשבון, באופן מתועד, את סיכוני הסייבר הרלוונטיים. בכל הנוגע לניהול המשכיות עסקית, בהתאם להוראת ניהול בנקאי תקין מס' 355, יתייחס התאגיד הבנקאי גם לתרחישי אירועי סייבר שיש בהם כדי להשפיע על פעילות התאגיד, ספקים ונותני שירותים, זמינות תשתיות תומכות וכיו"ב, כל זאת בכדי לשפר את עמידותו של התאגיד בעת התרחשות שיבושים תפעוליים, הנגרמים מהתממשות סיכוני סייבר, וכן להקטין את ההשפעה ששיבושים מסוג זה עלולים לגרום לרציפות הפעילות העסקית בתאגיד ובמשק. ניהול נאות של סיכוני הסייבר מחייב הרחבה והתאמה של המסגרת הקיימת של ניהול סיכוני טכנולוגיית המידע בתאגיד הבנקאי בהיבטי תפיסת מרחב האיום ויכולות ההגנה הנדרשות, כמפורט בהוראה זו תחולה 12. הוראה זו תחול על: חוק להלן כהגדרתו בחוק הבנקאות רישוי), התשמ"א תאגיד בנקאי, הבנקאות רישוי)); 11 ב) לחוק הבנקאות רישוי), 11 א) 3 ב) ו- 11 א) 3 א), תאגיד כאמור בסעיפים שהינו בשליטה, במישרין או בעקיפין, של התאגיד הבנקאי, כאילו היה תאגיד בנקאי. המפקח רשאי לקבוע הוראות נוספות עלאלה המפורטות להלן, שיחולו על תאגידים בנקאיים מסוימים.

3 עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) הגדרות 13. בהוראה זו למונחים הבאים תהיה המשמעות כמפורט להלן: "איום סייבר" - "אירוע סייבר" "הערכת בקרות הגנה" "התרעהעל אירוע סייבר" - "יריב" adversary) איום להתרחשותאירועסייבר. אירוע סייבר הינו אירוע אשר במהלכו מתבצעת תקיפת מערכות מחשוב ו/או מערכות ותשתיות משובצות מחשב על ידי, או מטעם, יריבים חיצוניים או פנימיים לתאגיד הבנקאי) אשר עלולה לגרום להתממשות סיכון סייבר. יצוין, כי בהגדרה זו נכללים גם ניסיון לביצוע תקיפה כאמור גם אם לא נגרם נזק בפועל. פעולות שנועדו לבחון את תקינות יישומן בפועל של בקרות ההגנה ניהוליות, תפעוליות וטכניות), התפעול השוטף שלהן, ואת האפקטיביות שלהן אל מול דרישות ההגנה הרלבנטיות. ידיעה המתייחסת לאירוע סייבר מתוכנן, או אירוע שכבר התרחש, או עודו מתרחש, אך טרם זוהה על ידי הגורם המותקף. בהקשר הוראה זו: יחיד, קבוצה, ארגון, או גורמים מדינתיים שבכוונתם להסב נזק לתאגיד בנקאי.

4 ה א ג ב ד עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) "ניהול אירוע סייבר" - תהליך מובנה, אשר מתייחס לשלבים הבאים: זיהוי Detection) - ביצוע בירור ראשוני בדבר קיומו של אירוע סייבר וגיבוש מהיר ככל האפשר של דפוס הפעילות הדרוש לשלב הבא אחריו. ניתוח Analysis) - ביצוע בירור מקיף ומעמיק ככל האפשר לגבי אירוע הסייבר, לצורך קבלת החלטות ברמה האופרטיבית, גיבוש רשימת חלופות של דפוסי פעולה אפשריים לבלימת התקיפה והחלטה על דרך הפעולה העיקרית לשלב ההכלה. הכלה Containment) - השגת שליטה ראשונית באירוע לצורך הכלתו ועצירת החמרתו והשגת יעדיו. ביצוע תהליך השתלטות על מערך התקיפה, בתוך התאגיד הבנקאי המותקף, ועצירה מלאה של ווקטור הנזק. הכרעה Eradication) - נטרול רכיבי התקיפה שמצויים במערכות התאגיד הבנקאי, תוך שאיפה לבטל או למזער, ככל שניתן, את הנזק שכבר נגרם. השבה Recovery) - חזרה לתקינות ופעילות מלאה של כל פעילות אצל התאגיד הבנקאי המותקף שהושבת, הוגבל או הופרע תפקודו. דיווח כולל שלב כל לגורמים הפנימיים והחיצוניים הרלוונטיים. "נזק" - תוצאה בלתי רצויה, לרבות שיבוש/הפרעה/השבתה של פעילות; גניבת נכס; איסוף מודיעין; פגיעה במוניטין/אמון הציבור.

5 א ב עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) "סיום אירוע סייבר" תהליך מובנה, אשר מתייחס לשלבים הבאים: תחקור והפקת לקחים - תהליך בחינה וניתוח מתודולוגי של ניהול אירוע הסייבר מראשיתו לסופו בהיבטי אנשים, תהליכים וטכנולוגיה. התהליך מבוצע בסמוך ככל שניתן למועד הטיפול האופרטיבי באירוע, במטרה לספק לקחים ותובנות אשר יאפשרו טיפול יעיל ומהיר יותר באירוע סייבר עתידי. -Post-Incident Activity) מעקב אחר יישום הלקחים ותובנות - תהליך בחינה הבא לוודא כי כל הלקחים והתובנות שעלו באירוע ימומשו בפועל. "סיכון סייבר" - פוטנציאל לנזק שנובע מהתרחשות אירוע בהתחשב ברמת סבירותו וחומרת השלכותיו. סייבר,

6 א ב ג ה ז ו ד ד א ב ג א ג ב עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) פרק ב': ממשל תאגידי דירקטוריון והנהלה בכירה התאגיד הבנקאי ינהל את סיכוני הסייבר בהתאם לעקרונות האמורים בהוראת ניהול בנקאי תקין מס' 350. הדירקטוריון וההנהלה הבכירה של תאגיד בנקאי ייצרו מסגרת אפקטיבית לניהול סיכוני הסייבר. הדירקטוריון של התאגיד הבנקאי יהיה אחראי על הנושאים הבאים: התווית אסטרטגיית הגנת סייבר כלל תאגידית ואישורה; אישור מסגרת לניהול סיכוני הסייבר ומדיניות הגנת הסייבר התאגידית; קביעת אופן המעקב והפיקוח על ההנהלה הבכירה, ביישום מסגרת ניהול סיכוני הסייבר; קבלת דיווח על אירועי סייבר משמעותיים. ההנהלה הבכירה של התאגיד הבנקאי תהיה אחראית על הנושאים הבאים: יצירת מסגרת כוללת לניהול סיכוני הסייבר וקיום פיקוח נאות עליה; גיבושמדיניות הגנת הסייבר התאגידית; יישום עקבי ותחזוקה של מסגרת העבודה לניהול סיכוני סייבר בכל חלקי התאגיד הבנקאי, לרבות הקצאת משאבים נאותים; מעקב אחר האפקטיביות של מערך הגנת הסייבר ותיאום פעילותו מול גורמי ניהול סיכון פנימיים וחיצוניים, כאמור בהוראה זו; קבלת דיווח על תמונת מצב עדכנית של איומי הסייבר ודרכי ההתמודדות מולם, בהתאם לתוצאות הערכת הסיכונים כאמור בהוראה זו; רלבנטיים פנימיים וחיצוניים) וניתוח סייבר קבלת דיווח תקופתי על אירועי המשמעויות הנגזרות מהם; דיון בהשלכות האופרטיביות, חוצות ארגון, של סיכוני סייבר והנחיה ובקרה על ביצוע שינויים או התאמות במערך ההגנה ו/או בפעילות העסקית, לפי הצורך מנהל הגנת הסייבר התאגיד הבנקאי ימנה עובד בכיר בעל ידע וניסיון מתאימים כמנהל הגנת הסייבר ויגדיר את תחומי אחריותו וסמכויותיו. מנהל הגנת הסייבר יהיה כפוף לחבר הנהלה של התאגיד הבנקאי, ויהיה בעל מעמד וסמכות להשפיע על החלטות המשליכות על החשיפה של התאגיד הבנקאי לסיכוני סייבר. מיקומו הארגוני של מנהל הגנת הסייבר יקבע באופן בו ימנעו, ככל הניתן, ניגודי עניינים. מנהל הגנת הסייבר לא יישא באחריות נוספת שיש בה כדי להפריע לתפקודו;.17

7 ד א ב ג ד ה ו ז ח ט י עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) ממשקי העבודה והדיווח הנדרשים בין מנהל הגנת הסייבר לבין בעלי התפקידים הרלבנטיים בארגון ייקבעו ויאושרו על ידי ההנהלה. מנהל הגנת הסייבר יעמוד בראש מערך הגנת הסייבר ויהיה אחראי בין היתר על הנושאים הבאים: תכלול היבטי בתאגיד הבנקאי; ייעוץ להנהלה הבכירה בתחום ; סיוע להנהלה בגיבוש ויישוםמדיניות הגנת הסייבר; גיבוש מתודולוגיה תאגידית לניהול סיכוני סייבר; פיתוח, מעקב אחר יישום, וניטור של תכנית מקיפה ופרטנית להתמודדות התאגיד הבנקאי עם סיכוני הסייבר כאמור בהוראה זו; הגדרת מדיניות פרטנית ונוהלי עבודה למימוש בקרות הגנת סייבר; יצירת מודעות לאיומי הסייבר והדרכה לעניין דרכי ההתמודדות מולם, בקרב עובדים, ספקים, שותפים ולקוחות התאגיד הבנקאי; עבודה עם הגורמים הרלבנטיים בתאגיד הבנקאי טכנולוגיים ועסקיים) בכדי לנתח ולהעריך את רמות הסיכון המובנה בפעילות, את הבקרות הנדרשות ובהתאם, את רמות הסיכון השיורי והחשיפות לאיומי סייבר; קביעת מסגרת הדיווחים שיקבל מגורמים שונים בתאגיד הבנקאי; תיאום וקישור מול גורמים חיצוניים בנושאי הגנת סייבר; יא) פיתוח מדדים רלבנטיים, הכנת דוחות ומתן דיווחים שוטפים כאמור בהוראה זו; יב) תכלול ובקרה של ניהול אירועי סייבר בתאגיד הבנקאי; יג) ייזום וביצוע תרגולים; יד) הובלה ותיאום של תהליכים הנוגעים ל; טו) הערכת בקרות הגנת הסייבר; טז) ניתוח אירועי סייבר משמעותיים בישראל ובעולם, הפקת לקחים ויישום המסקנות הרלוונטיות לתאגיד הבנקאי. המפקח על הבנקים ראשי להתיר למנהל הגנת הסייבר בתאגיד הבנקאי לשמש מנהל הגנת הסייבר גם בתאגידים בנקאיים הנשלטים על ידי אותו תאגיד בנקאי או בתאגידים כמפורט בסעיפים 11 א) 3 א), 11 א) 3 ב) ו- 11 ב) לחוק הבנקאות רישוי) ביקורת פנימית 20. ואופן יישומה יבוקרו באופן תקופתי ע"י הביקורת הפנימית.

8 עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) מערכי ניהול, תיאום ובקרה משיקים כחלק מניהול סיכוני הסייבר בראייה משולבת כלל תאגידית, מערך הגנת הסייבר יפעל באופן מתואם עם מערכי ניהול, תיאום ובקרות משיקים בתוך התאגיד הבנקאי ומחוץ לו. יחסי הגומלין וזרימת המידע בין המערכים שבתוך התאגיד הבנקאי יוגדרו בכתב. מערכי ניהול, תיאום ובקרה משיקים בתאגיד הבנקאי כוללים, בין היתר: אבטחת מידע, אבטחה פיזית, ממשל מערכות מידע, תפעול מערכות מידע, ניהול סיכונים, הונאות, ניהול כח אדם, המשכיות עסקית, ניהול יחסי לקוחות, דוברות, וייעוץ משפטי. בפרט, מנהל הגנת הסייבר יקיים ממשקי עבודה מול מנהל הסיכונים הראשי והביקורת הפנימית תוך התאמה להוראות הרלבנטיות. יחסי הגומלין וזרימת המידע בין המערכים שבתוך התאגיד הבנקאי לבין מערכים חיצוניים לתאגיד יוגדרו בכתב. מערכים חיצוניים לתאגיד הבנקאי כוללים, בין היתר: גורמי רגולציה, גורמי חקירה ואכיפה, מטה הסייבר הלאומי, גורמי ניהול סיכוני סייבר מקבילים במגזר הפיננסי, גורמי ניהול סיכונים אצל ספקים ושותפים עסקיים ומערכי שיתוף מידע בנוגע לסייבר

9 א ג ה ו ד ז ב עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) פרק ג': אסטרטגיית הגנה ומסגרת לניהול סיכוניהסייבר תפיסת הגנת הסייבר התאגיד הבנקאי ירחיב ויעמיק את יכולות ההתמודדות הקיימות של אבטחת המידע דהיינו: מניעה -,Prevention גילוי -,Detection תגובה-,Response באופן אשר יאפשר לו להתמודד כנגד איומי הסייבר. בפרט, התאגיד הבנקאי יפתח וירחיב יכולותיו בתחומים הבאים: חיזוי,Prediction זיהוי והטעיה, ושרידות.Resilience התאגיד הבנקאי יקיים מערך הגנת סייבר אפקטיבי ויעיל, הפועל מתוך ראיה תהליכית ומביא לידי ביטוי, בין היתר, את העקרונות הבאים: תפיסה כוללת של מרחב הפעילות - מערך הגנת הסייבר יתחשב במקומושל התאגיד הבנקאי במכלול שרשרת האספקה של שירותי בנקאות, בשימוש בתשתיות ושירותים כלליים כגון רשתות חברתיות), ובסיכונים הנובעים מאופי הפעילות אל מול הגורמים השונים במרחב, לרבות בחו"ל, חברות בנות בישראל ובחו"ל), ספקים, נותני שירותים ולקוחות; מכלול שיתוף הגורמים הרלבנטיים בתאגיד הבנקאי בגיבוש ויישום אסטרטגיית ומדיניות הגנת הסייבר; פרואקטיביות יכולות מודיעין, ניטור ותגובה בזמן אמת של מערך ההגנה, אל מול האיומים ושיתוף מידע ומודיעין; העמקת יכולות ההתמודדות כנגד איום ממוקד, באמצעות יצירת מערכי הגנת סייבר המשלבים תשתיות ארגוניות ואנושיות, נהלים ותהליכי עבודה, וטכנולוגיות ) People, Defense in ) ופריסתם בשכבות בתצורת הגנה לעומק Processes, Technologies Depth בכדילמזער את החשיפה לאיום ולהשלכותיו; שילוב יכולות מתקדמות במערך ההגנה לרבות הונאת התוקף, פריסת מלכודות וזיהוי דפוסים חשודים ואנומאליות) גם ברמת תשתיות המחשוב והתקשורת וגם ברמת הפעילות העסקית למשל: זיהוי הונאות); מתן דגש למערכי הגילוי, החקירה והתגובה, מתוך הכרה במורכבות האיום ויכולות היריב, בהתבסס על ההנחה שמניעה מוחלטת של התממשות הסיכון היא בלתי אפשרית, ובהתייחס גם לאיומים שהסבירות להתממשותם היא נמוכה, אולם פוטנציאל הנזק שלהם הוא גבוה. עמידות מיפוי וחקר הסביבה, חיזוי וחקר איומים, מערך הגנה ממוקד משימה שיאפשר לתאגיד הבנקאי לספוג את השלכותיו של שיבוש תפעולי משמעותי ישיר או עקיף) עקב התקפת סייבר ולהמשיך לנהל תהליכים ולספק שירותים חיוניים.

10 א ח ב ג ד א ב ג עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) מתן דגש להגנה על פרטיות לקוחות התאגיד הבנקאי ונכסיהם, ושמירה על רמות אמינות, נאותות וזמינות גבוהות של השירותים המסופקים על ידי התאגידים הבנקאיים. אסטרטגיית הגנת סייבר אסטרטגיית סייבר הגנת כלל תאגידית תעוגן במסמך שיכלול, בין היתר, את הנושאים.27 הבאים: מקומה וחשיבותה של הגנה הסייבר בתאגיד הבנקאי; תפיסת איום הסייבר והאתגרים מולם עומד התאגיד הבנקאי; גישת התאגיד הבנקאי לניהול סיכוני סייבר, קביעה וניטור של רמת חשיפה לאיומי סייבר; עיקרי אסטרטגיית הגנת הסייבר: יעדים, עקרונות הפעלה ויישום. 28. האסטרטגיה תעודכן על פי הצורך ובכל מקרה לפחות פעם בשלוש שנים. מסגרת לניהול סיכוני הסייבר 29. המסגרת לניהול סיכוני הסייבר תעוגן במסמך שיכלול, בין היתר, את הנושאים הבאים: זיהוי מבני הממשל התאגידי המשמשים לניהול סיכוני הסייבר, לרבות תחומי אחריות וקווי דיווח; תיאור הכלים והמתודולוגיות להערכת הסיכונים ואופן השימוש בהם; תיאור תהליכי ואמצעי הגנה עיקריים ואופן בקרתם והערכתם. מדיניות הגנת סייבר התאגיד הבנקאי יגדיר מדיניות הגנת סייבר כלל תאגידית, אשר תתייחס למכלול הבקרות ודרכי הפעולה להשגת יעדי ההגנה בהתאם לאסטרטגיה. המדיניות תעבור הערכה מדי שנה ותעודכן במידת הצורך. המדיניות תתייחס, בין היתר, לנושאים הבאים: יעדי הגנת הסייבר; הגדרת תחומי אחריות, בעלי תפקיד וגורמים מעורבים לרבות ממשקי עבודה); מבנים ארגוניים; מבנה וממשל תהליך ניהול סיכוני הסייבר בתאגיד הבנקאי; המסגרת הנוהלית הפנימית של התאגיד הבנקאי; פירוט הבקרות הנדרשות והמסגרת ליישומן; מערכי ניטור ותגובה; קידום מודעות; איסוף, מחקר ושיתוף מידע; שימוש במדדי יישום, בשלות ואפקטיביות; הערכה, בקרה ודיווח. בהתאם למדיניות הגנת הסייבר, התאגיד הבנקאי ייקבע מדיניות פרטנית עבור בקרות ההגנה המיושמות. מסמכי המדיניות הפרטניים יעודכנו על פי הצורך

11 עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) תכניות עבודה על בסיס האסטרטגיה והמדיניות, וכנגזרת מניתוח הסיכונים וחשיפות הסייבר, יגבש התאגיד הבנקאי תכנית עבודה רב-שנתית, אשר תתווה ותתעדף את דרכי ישום הבקרות השונות לצמצום סיכוני הסייבר. התכנית תאושר בידי הנהלת התאגיד הבנקאי אשר תקצה משאבים הולמים להשגת יעדי התכנית..33

12 א ב ג ד ה ו ז ח עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) פרק ד': ניהול סיכוני הסייבר ניהול סיכוני הסייבר: זיהויסיכונים, הערכת סיכונים תהליך אפקטיבי לזיהוי והערכת סיכוני סייבר מתייחס, בנוסף לאמור בסעיף 26 להוראת ניהול בנקאי תקין מס' 350, לגורמי האיום השונים, לסביבות הפעילות השונות של התאגיד הפנימיות והחיצוניות) ולמגוון תרחישים, לרבות התייחסות לסיכונים הנובעים מפשיעת סייבר, תלות בתשתיות תומכות ועבודה עם ספקי שירות חיצוניים. התאגיד הבנקאי יבצע, אחת לשנה לכל הפחות, הערכה של סיכונים ובקרות סייבר, אשר מזהה את הסיכון המובנה, את האפקטיביות של סביבת הבקרה, ואת הסיכון השיורי. תהליך זיהוי והערכת סיכוני הסייבר צריך להיות מתמשך ולהתבצע בהתאם לשינויים פנימיים וחיצוניים, ובכללם שינויים עסקיים, ארגוניים וטכנולוגיים. התאגיד הבנקאי יוודא כי הערכת סיכוני הסייבר ותשתית הבקרות לניהולם מתעדכנות בהתאם לשינויים והמגמות במערך האיומים ובהתאם לקצב הגידול או השינויים במוצרים, פעילויות, תהליכים ומערכות. לצורך ניתוח והערכת איומי הסייבר יתחשב התאגיד הבנקאי בנתונים האמורים בסעיף 28 להוראת ניהול בנקאי תקין מס' 350, בדגשים ובשינויים כמפורט להלן: ממצאי ביקורות וסקרים וכל מידע שוטף אשר יש בהם כדי להצביע על חולשות בבקרות הרלבנטיות; איסוף וניתוח נתונים חיצוניים שביכולתם להצביע על נקודות תורפה אפשריות או להוביל לגילוי חשיפות לסיכונים שלא זוהו בעבר; איסוף וניתוח נתונים של אירועי סייבר בתאגיד; מיפוי תהליכים עסקיים, לצורך חשיפת סיכונים ספציפיים, קשרי תלות הדדית בין סיכונים, ותחומי חולשה בבקרות או בניהול הסיכונים; שימוש במדדים לצורך כימות החשיפה לסיכוני סייבר תוך שימוש במדדי הערכה איכותיים ו/או כמותיים, באופן אשר יאפשר מעקב אחרי שינויים בערכים אלו מעת לעת. שימוש במדדי בשלות תהליכים Maturity),Process אינדיקטורים עיקריים לסיכון KRI) ולביצוע KPI) וכיו"ב, בכדי לספק תובנות על סטטוס מנגנוני הבקרה ותכנית הגנת הסייבר; ניתוח תרחישים בשיתוף עם מנהלי קווי העסקים ומנהלי הסיכונים במטרה לזהות אירועים פוטנציאליים של התממשות הסיכון, להעריך את תוצאותיהם האפשריות, ולשפר את יכולת הזיהוי והתגובה לאותם אירועים; ניתוח השוואתי של תוצאות של כלי הערכה שונים, בכדי לספק מבט מקיף יותר על פרופיל סיכון הסייבר של התאגיד הבנקאי.

13 עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) מתודולוגיות זיהוי, מדידה והערכת סיכוני הסייבר בתאגיד הבנקאי תהיינה מתועדות.39 ומאושרות בידי ההנהלה הבכירה. הערכת בקרות הגנת הסייבר מנהל הגנת הסייבר יוודא קיום מנגנונים ניהוליים, תפעוליים וטכניים לביצוע הערכת בקרות הגנת הסייבר ויזום הפעלת מנגנוני הערכה ובקרה כאמור, לפי הצורך. תכנון מערך הערכת בקרות הגנת הסייבר ייגזר מתפיסת מכלול מערך איומי הסייבר על התאגיד הבנקאי, ובהתחשב בסוגי הסיכונים, תרחישי אירוע סייבר שונים, הסתברות התממשותם ובתוצאות סקרים קודמים. מנגנוני הערכת בקרות הגנת הסייבר יתואמו וישולבו במנגנוני הערכה קיימים בתאגיד, בין היתר, בסקרי פגיעויות Assessments) Vulnerability ובדיקות חוסן/מבדקי חדירה מבוקרים Tests) Penetration בהתאם להוראת ניהול בנקאי תקין מס' 357, תהליכי ביקורת פנימית על פי הוראת ניהול בנקאי תקין מס' 307, תהליכי ציות לחקיקה/תקנים וכיו"ב המדדים להערכת סיכוני הסייבר יעודכנו, מעת לעת, בהתאם לתוצאות הערכת בקרות.43 ההגנה. הערכת בקרות הגנת הסייבר תכלול ניתוח מצב הבקרות בהתייחס לאיומי הסייבר, לחולשות ולסיכונים הרלבנטיים, בחתכי הפעילות השונים לרבות: גישה פיזית; מנהל וארגון; ניהול מחזור חיי מערכות מידע Lifecycle) Information System בסביבות השונות; ניהול תשתיות תקשורת ומחשוב בסביבות השונות, לרבות מערכות תומכות קריטיות; פעילות מול לקוחות, לרבות התקנים שבשימוש הלקוחות; גישה מרחוק; שירותי העברת הודעות; ניהול הרשאות וזהויות; עבודה עם שותפים עסקיים וספקי שירותים, לרבות ערוצי העברת מידע ונתונים; תרבות ארגונית ומודעות עובדים; נוכחות מקוונת ) Online ושימוש ברשתות חברתיות, והמשכיות בנקאות ישירה/בתקשורת Presence לרבות עסקית. ממצאים מהותיים שנתגלו בעקבות או במהלך פעולות הערכת בקרות הגנת הסייבר ידווחו להנהלה והדירקטוריון, יחד עם הפקת הלקחים ותכנית לתיקון הממצאים, כאמור בהוראה זו דיווח על סיכונים הדוחות הסדירים המוגשים להנהלה והדירקטוריון בנושאי סיכונים תפעוליים בהוראת ניהול בנקאי תקין מס' 350, יכללו התייחסות פרטנית לסיכוני הסייבר. כאמור.46

14 א ב ג עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) דוחות סיכוני סייבר יכללו: מצב עדכני ומנומק של מדדי סיכוני הסייבר; פירוט של אירועי סיכון/נזק משמעותיים בתאגיד; אירועים ונתונים חיצוניים רלבנטיים שיש בהם הבנקאי. השפעה פוטנציאלית על התאגיד.47

15 ב א עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) כללי פרק ה': יעדי בקרה ובקרות הגנת סייבר כחלק מ, התאגיד הבנקאי יבסס מערך בקרות אפקטיבי להפחתת רמת סיכוני הסייבר. מערך הבקרות יהיה מושתת על שילוב חוצה ארגון של טכנולוגיות, תהליכים, נהלים, לרמה הסייבר ואנשים אשר יאפשרו לתאגיד הבנקאי לצמצם את החשיפה לאיומי הנדרשת התאגיד הבנקאי ינקוט בצעדים הנדרשים להשגת יעדי הבקרות ולמימוש הבקרות.50 כמפורט בפרק זה. אבטחת סביבת הפעילות התאגיד הבנקאי ימפה את סביבת הפעילות שבה הוא פועל, יזהה את סיכוני הסייבר הכרוכים בפעילותו, ויגדיר מדיניות להתמודדות עם סיכונים אלו, בהתאם לרמת הסיכון ואופי הקשר. במסגרת זו, התאגיד הבנקאי יבחן את מכלול השירותים העסקיים והתפעוליים, לרבות: ספקים, תאגידים קשורים, לקוחות, ספקי תשתית מחשוב ותקשורת, מיקור חוץ, ספקי שירותים למשל: עו"ד, רו"ח, משרדי פרסום, בתי דפוס וכיו"ב), וגורמי חו"ל. התאגיד הבנקאי יקבע מנגנונים נאותים להגנה על נוכחותו המקוונת Presence) Online ובפרט, למול הסיכונים הכרוכים בפעילותו ברשתות חברתיות. התאגיד הבנקאי יקבע את הפעולות הנחוצות לוודא, ככל שניתן, שהגורמים הרלבנטיים, לרבות גורמים חיצוניים, נוקטים באמצעים הנדרשים להפחתת חשיפתו לסיכוני סייבר, לרבות ביצוע בדיקות נאותות וניטור באותם גורמים או גופים) שזוהו כמהותיים לפעילות העסקית התקינה ולאספקת השירותים ברמה הנדרשת הגנתסייבר פרואקטיבית התאגיד הבנקאי יבסס מערך דינאמי של הגנת סייבר, בעל יכולות פרואקטיביות, בין.55 היתר, ע"י: מיפוי והכרת הסביבה ביצוע מיפוי וניתוח עדכניים של הסביבה התפעולית הפנימית והחיצונית בה הוא פועל, על מנת לזהות גורמים, מערכות ותהליכים קריטיים, לרבות נקודות תורפה, חולשות ו/או תלות הדדית ביניהם; חיזוי וחקר איומים איסוף מידע תוך זיהוי וניתוח שוטפים של שיטות ודרכי תקיפה, כוונות ופעילות של גורמי איום במרחב הסייבר, ושיתוף מידע עם גורמים רלוונטיים אחרים לצורך הפקת מידע אופרטיבי, ניתוח תרחישים ו"חשיבה מחוץ לקופסה", אשר יסייעו לחיזוק מערך הגנת הסייבר והסביבה התפעולית כנגד מתקפות פוטנציאליות;

16 ג ה ו ד ז עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) תמונת מצב עדכנית Awareness) Situational תפיסת מצב הגנת הסייבר של התאגיד, בפרק הזמן הנוכחי, אל מול האיומים, ביצוע ניטור מקיף של הסביבה הפנימית והחיצונית לתאגיד הבנקאי לצורך זיהוי חולשות ו/או איומים ו/או אירועי אבטחה ו/או סממנים לקיומם של אלה, תוך שימוש ביכולות זיהוי שונות - למשל: ניתוח דפוסים, זיהוי אנומאליות, כריית מידע Analysis) Big Data - ותעדוף של האירועים בהתחשב ברמת הסיכון ופוטנציאל הנזק הגלום בהם, כבסיס לקבלת החלטות אופרטיביות; תגובתיות פיתוח יכולת תגובה מהירה ואפקטיבית לאירוע סייבר וניהולו, על מכלול היבטיו ולאורך כל שלביו, זאת על מנת לצמצם באופן מרבי התרחשות הנזק לתאגיד הבנקאי; הטעיה, הסטה ועיכוב שימוש בטכניקות ובטכנולוגיות ייעודיות כדוגמת "מלכודות דבש",Honeypots) הסטת תקשורת וכיו"ב) במטרה להטעות ולעכב את התוקף בדרכו לייעד התקיפה ובכדי לאפשר זיהוי וניתוח של כלים ושיטות ) Tactics, Techniques and Procedures בהן עושה התוקף שימוש; עמידות סייבר והתאוששות יכולת לספוג את השלכותיו של שיבוש תפעולי משמעותי כתוצאה מאירוע סייבר, תוך המשך ניהול תהליכים ושירותים חיוניים, ושיקום הפעולות העסקיות לאחר שחל שיבוש כאמור עד לרמה מספקת לצורך מילוי התחייבויות העסקיות; חקירה, תחקיר ומיצוי הדין יכולת לבצע שימור ראיות וניתוח מעמיק של אירועים לצורך איסוף ראיות, הערכת הנזק שנגרם, זיהוי מקורות וגורמים תוקפים, ביצוע תחקיר, הפקת לקחים ושימור ידע. כל זאת, תוך שימוש במנגנונים חוקיים ושיתוף פעולה עם גורמי אכיפה, במידת הצורך, לצורך מיצוי הדין עם האחראים. צמצום מעטפת התקיפה Surface) Attack התאגיד הבנקאי יפעל באופן שוטף לצמצום החשיפה לאיומי סייבר. במסגרת זו, ינקוט התאגיד הבנקאי, בין היתר, בפעולות הבאות: הקשחת מערכות ותשתיות; פיתוח מאובטח; צמצום הרשאות של משתמשים על פי העקרונות של "הצורך לדעת" ) to Need Know והרשאות מינימליות Privileged) ;Least בקרה וחסימה של התקנים ניידים; סינון סוגי קבצים נכנסים למערכות התאגיד הבנקאי; חסימת מתחמי כתובות ו/או סוגי רשתות המשמשות כמקור להתקפות..56 הגנה לעומק Depth) Defense in הגנה לעומק מאופיינת על ידי שימוש בבקרות שונות בנקודות שונות בתהליך, כך שחולשה בבקרה אחת מפוצה על ידי חוזקה של בקרה אחרת. מימוש הגנה לעומק על ידי יישום אבטחה רב שכבתית Defense) Multi-Layer יכול לחזק באופן משמעותי את האבטחה הכוללת של תהליכים עסקיים, מערכות מידע, מוצרים ושירותים בנקאיים וכן להיות יעיל.57

17 עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) בהגנה על מידע רגיש ללקוח, מניעת גניבת זהות ומניעת הפסדים כתוצאה משימוש בלתי מורשה. בפריסת ההגנה לעומק התאגיד הבנקאי יתחשב בניתוח סיכוני והחשיפות למול האיומים. הסייבר, מצב הבקרות.58 ראיה תהליכית התאגיד הבנקאי ימפה את תהליכי הגנת הסייבר, יקבע מדדי ביצוע ואינדיקטורים, יעריך את רמת בשלות היישום של התהליכים בתאגיד הבנקאי, יזהה את הנקודות הטעונות שיפור, ויישם את השינויים הדרושים בהתאם לתכנית העבודה. תהליכי הגנת סייבר רלבנטיים גם לתהליכים חוצי ארגון, לרבות: ניהול סיכוני סייבר, ניהול מחזור חיים של מערכת, ניהול נכסים, תצורה וטלאים ) and Asset, Configuration ;Patch Management ניהול זהויות Management) ;Identity ניטור ובקרה; שיתוף מידע ודיווח; ניהול אירועים ותגובה; ניהול שרשרת אספקה ותלות בגורמי חוץ Chain) ;Supply הדרכה ומודעות; ניהול תכנית הגנת הסייבר. התאגיד הבנקאי יעדכן את הערכת בשלות התהליכים אחת לשנה, לכל הפחות הגורם האנושי מתוך הכרה במרכזיותו של הגורם האנושי במערך הגנת הסייבר, התאגיד הבנקאי יגדיר את הבקרות הנחוצות בהיבטי מיון, גיוס וקליטת כח אדם לרבות עובדים וספקים), ניהול זהויות, מתן הרשאות, הפרדת רשויות, ניוד, מעבר ועזיבה. התאגיד הבנקאי יגדיר ויישם תכנית הדרכה ומודעות מקיפה לנושאי הגנת הסייבר. התכנית תקיף את מכלול קהלי היעד, לרבות עובדים, מנהלים, מפתחים, מנהלי מערכות ותשתיות, גורמי חוץ, ספקים, לקוחות וכיו"ב. התכנית ותכניה יעודכנו מעת לעת בהתאם לתמונת האיומים ולהערכת הסיכון העדכנית שיתוף מידע ומודיעין התאגיד הבנקאי יאסוף וינתח מידע רלבנטי, ממקורות פנימיים וחיצוניים, לצורך יצירת תפיסה כוללת ועדכנית של תמונת איום הסייבר והחשיפה של התאגיד הבנקאי למולו, כבסיס לקבלת החלטות מושכלת, תעדוף של דרכי פעולה, וקיום הגנה אפקטיבית בזמן אמת. תמונת האיום וחשיפת הסייבר תיגזר, בין היתר, מהמידע הבא: מיפוי גורמי איום רלבנטיים, בחתך מוטיבציה ויכולות; טכניקות, טקטיקות, תרחישים ואמצעי תקיפה; חולשות, הגדרות מערכת, ו/או פגיעויות שעלולות לשמש כר להתקפות; פעולות שננקטו בעבר בתגובה להתקפה, התקפות שאירעו בעבר בתאגיד הבנקאי ו/או בסביבת הפעילות); דרכים ואינדיקטורים לגילוי וזיהוי התקפות; דרכי התמודדות עם התקפות

18 עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) התאגיד הבנקאי ישתף מידע שעשוי לסייע לתאגידים בנקאיים אחרים בהתמודדות מול איומי סייבר. איסוף ושיתוף המידע יתבצע בהתאם להנחיות המפקח ובכפוף לדין ניטור, בקרה וזיהוי אירוע סייבר התאגיד הבנקאי יקיים מערך ניטור ובקרה אפקטיבי, אשר יהיה מאויש באופן רציף,7X24X365) יקבל דיווחים בזמן אמת מהמערכות השונות, לרבות מערכות תפעוליות ועסקיות, יזהה אינדיקטורים להתרחשות אירוע סייבר, וייזום פעילויות דיווח ותגובה במידת הצורך. על אף האמור בסעיף 68 לעיל, המפקח על הבנקים רשאי להתיר, במקרים חריגים, איוש שאינו רציף כאמור, ובלבד שמערך הניטור והבקרה יעבוד בתצורת עבודה המספקת רציפות תפקודית. לצורך זיהוי אירועי סייבר יעשה התאגיד הבנקאי שימוש גם באמצעים לזיהוי חריגות אנומאליות) ברמה הטכנולוגית פעילות המערכות) וברמת הפעילות העסקית. התאגיד הבנקאי יקבע את פרק הזמן הנחוץ לשמירת המידע הדרוש לצורך זיהוי אירועים, לרבות אירועים בחתימה נמוכה, כדי לאפשר ביצוע תחקירי אירוע. מערכות הניטור ישולבו עם מערכות אחרות בתאגיד הבנקאי בכדי לאפשר תהליך אפקטיבי של זיהוי וטיפול באירועי סייבר, לרבות: זיהוי אינדיקטורים לפעילות חריגה, אחזור והעשרת מידע, חקירה ותיעוד, ניהול ידע וקבלת החלטות, יצירה וניהול התראות ודיווחים, תקשורת עם גורמים רלבנטיים וביצוע שינויים במערכות בזמן אמת התאגיד הבנקאי יבחן מעת לעת תרחישי לצורך הערכת סייבר אירוע יכולתו לזהותם,.73 ויעדכן בהתאם את מערך הניטור והזיהוי. תגובה וניהול אירוע סייבר בניהול אירוע סייבר יזהה התאגיד הבנקאי את השלב בו נמצא האירוע ראה סעיף 13 לעיל) וינהלו בהתאם למאפייניו. סיום אירוע סייבר יתקיים רק לאחר סיום הטיפול בכל שלביו. התאגיד הבנקאי יקבע נוהלי דיווח, ניהול, תגובה וסיום של אירוע סייבר ושל התרעה על אירוע סייבר, בהתאם לחומרתו ובהתאם לשלבי הטיפול באירוע. לצורך ניהול אירוע סייבר יקים התאגיד הבנקאי חדר מצב, ויגדיר בראיה משולבת כלל- תאגידית, את קבוצת העובדים אשר יאיישו אותו, את תפקידיהם, סמכויותיהם, גורמי דיווח פנימיים וחיצוניים, דרכי תקשורת, כלי עבודה וכן נוהלי עבודה פרטניים

19 עמ' המפקח על הבנקים: ניהול בנקאי תקין [1] 3/15) התאגיד יבצע רישום ומעקב מסודר של אירועים שטופלו והפעולות שננקטו בידי הגורמים הרלבנטיים. בפרט, התאגיד ינהל "יומן אירועים" בו יתועדו, בסמוך ככל הניתן למועד ההתרחשות, מכלול הידיעות, ההחלטות והפעולות שבוצעו בקשר לאירוע סייבר. התאגיד הבנקאי יגדיר מאגר של פעילויות תגובה כדוגמת שינויי קונפיגורציה, הגבלה ו/או הסטה של תקשורת, פריסה של תוכנות וכיו"ב) בהתאם לתרחישים השונים, ויגדיר את התנאים שבהם יינקטו פעילויות התגובה, את אופן יישומן הפרטני, את בעלי הסמכות להורות על הפעלתן, את ערוצי היידוע והאישורים הנדרשים, ואת אופן הערכת יעילות התגובה באירוע המסוים שבמסגרתו הופעלה. התאגיד הבנקאי יגדיר סולם של רמות כוננות ופעילויות נדרשות, בהתאם להתראות ולתרחישים השונים, כגון: צפי לביצוע התקפה מאורגנת; כמות וחומרת התקפות שזוהו בתאגיד הבנקאי, במגזר, או במדינה; גילוי חולשה מהותית או זיהוי כלי תקיפה המהווה איום ישיר על התאגיד הבנקאי תרגולים התאגיד הבנקאי יגדיר תכנית לביצוע תרגולים של מערכי התגובה השונים בתאגיד, תוך התחשבות בסוגי תרגול שונים דימוי התקפות, "משחקי מלחמה", תרגילים "מועמדים" וכיו"ב) ובהתייחס לגורמים המעורבים למשל: גורמים טכניים, צוותי ניהול משבר, דרגי מקבלי החלטות, דוברות וכיו"ב)..80 דיווח על אירוע סייבר התאגיד הבנקאי יקיים מערך דיווח פנימי נאות כחלק מניהול סיכונים ואירועי סייבר. במסגרת זו תוגדר מדיניות דיווח מפורטת, שתקבע בין היתר את הגורמים הפנימיים והחיצוניים אליהם יתבצעו הדיווחים, את מתכונתם ואת תדירותם. התאגיד הבנקאי ידווח לפיקוח על הבנקים על אירוע סייבר או התרעה על אירוע סייבר, בהתאם להוראת הדיווח לפיקוח על הבנקים עדכונים חוזר 06 מס' גרסה פרטים תאריך 16/3/15 1 הוראה מקורית 2457