כתבים מצייצים - לכל הציוצים >

הבנקים: מערכות המיחשוב שלנו מאובטחות

גופים פיננסיים נעזרים בהאקרים ובחברות אבטחה המנסים לפרוץ למערכות המידע. השירותים המקוונים מאובטחים יותר מהשירותים הניתנים בסניפים, כאשר עקב אכילס של האבטחה היא רשת התקשורת הפנימית, על פי הדיון שנערך אתמול בוועדת המדע של הכנסת

גל מורפורסם: 03.03.04 , 09:53

הבנקים בישראל משקיעים את כל המאמצים האפשריים כדי להגן על המידע של הלקוחות באמצעים שונים, בהם הפרדה בין הרשת החיצונית לרשת הפנימית, יישום קפדני של מנגנוני הרשאה מתקדמים שאמורים להבטיח כי רק אנשים המורשים לבצע פעולה מסוימת אכן יבצעו אותה, מערכות בקרה הבוחנות דפוסים חריגים בפעולות הבנקאיות וכן שימוש בחברות אבטחה ובהאקרים המנסים לפרוץ לאתרי הבנקים, כך טענו מנהלי המיחשוב של הבנקים הגדולים, שהשתתפו אתמול (ג') בדיון בוועדת המדע והטכנולוגיה של הכנסת בנושא אבטחת המידע בבנקים, בעקבות החשד לפריצה למחשבי בנק לאומי.

המשתתפים בדיון ציינו את ההבדל בין הגנה על שירותים בנקאיים המחוברים לאינטרנט לבין שירותים בנקאיים הניתנים בסניפים ובמקומות אחרים. דווקא השירותים המקוונים מאובטחים יותר, לטענתם. "אנחנו מעסיקים האקרים וחברות אבטחה שמנסים לפרוץ לאתר בנק הפועלים כדי לבחון את רמת האבטחה שלו", ציין בדיון דוד לוזון, משנה למנכ"ל ומנהל חטיבת התפעול והמיחשוב בבנק. לדברי לוזון, על אף תלונות של לקוחות החושדים כי חשבון הבנק המקוון שלהם נוצל לרעה, עד היום לא התגלה אף לא מקרה אחד של הונאת הבנק או לקוחותיו באינטרנט.

"תלות בפקידה בודדת לא קיימת עוד"

"אבטחת המידע של הלקוחות חשובה לבנקים לא רק בגלל האירועים האחרונים אלא גם החובה לפעול על פי חוק הגנת הפרטיות ושאלת אמון הלקוחות במערכת הבנקאית", אמר אריה אורלב, סמנכ"ל מערכות מידע ותקשוב בבנק המזרחי. אורלב ציין, כי הבנק מגן על המידע גם ברמה הפיזית וגם ברמה הלוגית, המבטיחה כי רק גורמים מורשים יבצעו פעולות אפילו אם מדובר בעובדי הבנק. למשל, המחשב המרכזי שלנו לא מחובר לרשת, ועובד סניף מסוים אינו מורשה לגשת לנתונים של לקוחות בסניף אחר", אמר אורלב.

"הפרשה של אתי אלון היא תולדה של תלות בפקידה אחת, שאינה קיימת עוד בבנקים הגדולים", הוא קבע, "כיום, הלקוחות יכולים לפקח על הפעולות בחשבונם באמצעות הטלפון, האינטרנט ועמדות שירות. למרבה האבסורד, מערכות האינטרנט הן המוגנות ביותר מאחר ואבטחת המידע שולבה מראש בארכיטקטורה שלהן". לדברי אורלב, גם בנק המזרחי, כמו בנקים אחרים, משתמשים בשירותים של חברות אבטחה המנסות לפרוץ למערכת. "עד היום הם לא הצליחו אך אף אחד אינו מבטיח שלא יצליחו בעתיד", אמר.

האיום: פריצה פיזית וניסיון להתחבר לרשת המקומית

"אנחנו מייחסים חשיבות עליונה לנושא אבטחת המידע בבנקים", אמרה רחל יעקובי מבנק ישראל, "בין השאר, פירסמנו קובץ נהלים בנושא אבטחת המידע המחייב את הבנקים, ואנחנו מקיימים ביקורות שוטפות. עם זאת, פיקוח על הבנקים אינו פוטר את הבנקים מאחריותם לדאוג לאבטחת המידע בעצמם". לדברי יעקובי, בכל ביקורת של בנק ישראל מתגלים ליקויים באבטחת המידע, וכל עוד הבנק לא מתקן את אחרון הליקויים, הדו"ח לא נסגר. כחלק מהחובות המוטלות עליהם, הבנקים נדרשים לבצע סקרי הערכת סיכוני אבטחה באופן שוטף ומתמשך.

בועז דולב, מנהל פרויקט "תהיל"ה", חוות השרתים הממשלתית, ציין כי על אף שלבנקים משקיעים מאמצים רבים בנושא אבטחת המידע והמודעות הגבוהה שלהם לעניין, האירועים האחרונים מבשרים על דפוס איום חדש – פריצה פיזית וניסיון להתחבר לרשת התקשורת המקומית. לדבריו, גופים רבים, כולל משרדי ממשלה, אינם מוכנים להתמודד עם בעיית אבטחה זו. "אם נחבר מחשב נייד לרשת התקשורת של הכנסת נוכל לגשת לנתונים ברשת המקומית", אמר דולב, "אחת הדרכים לפתרון הבעייה היא זיהוי ברור של האדם והמחשב המנסים להתחבר למערכת".

לדברי סנ"צ מאיר זוהר, מפקד מפלג עבירות מחשב במשטרה, הכשל העיקרי הוא הזמן הרב שעובר מרגע ניסיון הפריצה לבין הדיווח למשטרה. גופים פיננסיים לא ששים להתלונן במשטרה מחשש של פגיעה במוניטין שלהם, הוא ציין. "בעיה נוספת היא שילוב של גורמים זרים, חברות חקירה פרטיות, בחקירה. הגורמים האלה בודקים את מערכות המיחשוב ולמעשה גורמים לאיבוד ראיות", אמר זוהר.

מצאתם טעות בכתבה? כתבו לנו