האם השב"כ עומד לרגל אחרי חשבון הבנק שלכם?
הרשות לאבטחת מידע, גוף של השב"כ, ביקש אמש (א') להכניס את הבנקים תחת פיקוחו. למרות הטענות שהשב"כ מנסה ליצור מדינת אח גדול, מומחים אומרים: אין כאן נסיון לרגל אחרי אזרחים
הפיקוח הקיים
הבנקים בישראל נמצאים תחת לא מעט פיקוח: תקנות כמו באזל 2 (בישראל – תקנה 357); PCI, התקינה הבינלאומית לסליקת כרטיסי אשראי; זו תקינה רחבה, שחלק ממנה עוסק באבטחת מידע. לכל הבנקים יש גופי אבטחת מידע הנחשבים בעולם למעולים בתחומם.
קיימת הנחיה בתחום אבטחת המידע גם למספר גופים ממשלתיים ואזרחיים, אשר נחשבים על פי החלטת ממשלה ל”תשתית לאומית קריטית”. בין הגופים הללו נמנים חברת החשמל, מקורות, בזק ורכבת ישראל. רא"מ, שהוקם בשנות ה-90 תחת השב"כ, הוא הגוף המפקח, אך במסגרת ההנחיה שהוא מספק הוא אינו מתעסק בריגול, כי אם רק בהנחיה וביקורת.
רא"מ מפקח רק על גופים שנחשבים לתשתיות לאומיות קריטיות – כאלו שיגרמו נזק בטחוני וכלכלי גדול למדינה, אם יקרסו. האם הבנקים הם תשתית לאומית קריטית, כמו מערכת החשמל? דומה שכן. ב-2007 עמדה המדינה הסופר-מרושתת אסטוניה בפני התקפה בקנה מידה גדול של האקרים רוסיים. במשך שבועות שובשו החיים במדינה: התקשורת שותקה, ולאחריה גם התשתית הבנקאית. לאחר המתקפה הוגדרו הבנקים במדינה כתשתית קריטית.
המצב הפוליטי
הרגולציה על הבנקים מתבצעת על ידי המפקח על הבנקים, הכפוף למשרד האוצר. השב"כ כפוף לשכנים – משרד ראש הממשלה. גם פרויקט ממשל זמין, האחראי על כל התשלומים הממשלתיים (ומכאן, על תעבורה גדולה של כספים), שייך למשרד ראש הממשלה – אך גם ממשל זמין נמצא תחת הנחייתו של רא"מ.
בשב"כ ככל הנראה רואים צורך אקוטי בהגנה נוספת על הבנקים, למרות שהדעות לגבי נחיצותו של צעד כזה חלוקות.
כדי לנכס את הבנקים למטרייה ההגנתית שלה, רא"מ צריכה לעבור מספר חישוקים כדי להגדיר את הבנקים בישראל כתשתית לאומית: המועצה לביטחון לאומי צריכה לאשר את ההמלצה של רא"מ; השר הרגולוטרי הרלוונטי, הוא ראש הממשלה, צריך לחתום על ההצעה; ולבסוף הכנסת צריכה לאשר אותה. ההצעה יכולה ליפול בכל אחד מהשלבים האלו.
בנוסף, כבר לפני כשנה הוצאה הנחיה על ידי בנק ישראל שעל הבנקים להעביר לרא"מ מידע אודות אירועים חריגים ותקלות במערכות מידע, ומידע נוסף על מערכות מידע הפועלות אצלם. לפי ההנחיה, מידע זה אמור היה לעבור לרא"ם דרך המפקח על הבנקים ובהתאם לשיקול דעתו. בבנק ישראל הכריזו כבר אז שהמידע שיעבור לא יכלול פרטים שעלולים לזהות לקוחות או קבוצת לקוחות של בנק, ורא"מ התחייבה שהמידע לא יועבר לצד שלישי.
ההתנגדות העיקרית של הבנקים למהלך היא ככל הנראה כספית: עוד רגולציה משמעה עוד נהלים שיש להתמודד איתם, ומשמעות הדבר – עוד הוצאות.
הפיקוח החדש
האם השב"כ עומד לקבל דריסת רגל חסרת תקדים לתוך חשבונות הבנק שלכם? לא נראה כך. ראשית, משום שאין כאן תקדים. לשב"כ ולמשטרה יש זכות חוקית לקבל מידע בנקאי אודות כל אזרח, ובתנאי שהושג בצו בית משפט. אם אתם עוסקים כיום בהלבנת הון, לשב"כ אין צורך ברא"מ כדי לקבל את המידע אודותיכם – הבנקים יספקו את כל המסמכים מיד כשיוגש להם צו.
שנית, משום שאין כאן כוונה להתערב במידע השמור במחשבי הבנקים. השב"כ הוציא הודעה חריפה באופן מיוחד היום לעיתונות, שם נכתב בין השאר, "פעילותו של השב"כ בתחום זה מטרתו הגנה על תשתיות המחשב של הבנקים ולא פיקוח", נכתב שם. ל-ynet אמרו בשב"כ שאין שום כוונה לחדור למערכות המידע של הבנקים, אלא להנחות את הארגונים לגבי נהלי אבטחה.
מה כן יעשה רא"מ? ברגע שהבנקים יוגדרו כ"גוף מונחה" תחת הרשות, ימונה להם רגולטור, שיוודא ביצוע של נהלים כגון גיוס עובדים, טיפול בחומר מסווג, הגדרות אבטחה בארגון, תקנות אבטחת מחשבים וביקורות תקופתיות.
"אין הרבה שרא"מ יכולה לשפר במצב האבטחה בבנקים היום", אומר ל-ynet היום גורם שפעל בשנים האחרונות באבטחת המידע בבנקים. "לבנקים יש גופי אבטחת מידע ממוחשב טובים יותר מכמה מהתשתיות שנמצאות תחת המטריה של רא"מ, כמו למשל רכבת ישראל. אבל עם זאת חשוב להבהיר שתקינה נוספת יכולה רק לסייע לאבטחה".
בהכנת הכתבה השתתף גדי עברון, מומחה אבטחה, ולשעבר מנהל אבטחת המידע של תהיל"ה ומקים ה-CERT הממשלתי.
לפנייה לכתב/ת 
