מחשוב ענן במערכת הבנקאית – סיכון למידע הפינאנסי?

אילוסטרציה

This post is also available in: English (אנגלית)

אילוסטרציה
אילוסטרציה

הגופים הדשנים ביותר במדינה, הבנקים הישראלים וחברות האשראי, יחסכו הון וישמינו עוד יותר, אבל מה עם בטחון המידע הפינאנסי של אזרחי מדינת ישראל? מי יוכל לראות כמה כסף יש בכל חשבון ומה מצב האשראי של כל לקוח?

בנק ישראל הוציא לפני כשבוע (10/9)מסמך "טיוטה לדיון" לגופי הבנקאות והאשראי במדינה שכותרתו "ניהול סיכונים בסביבת מחשוב ענן" ובו הנחיות מקיפות לאופי השימוש המותר בשירותי מחשוב בענן. לטיוטת ההנחיה שפרסם המפקח על הבנקים בבנק ישראל, ניתנה אורכת התייחסות וערעור עד ה- 21/9 ולאחריה יהפוך המסמך להנחייה תקיפה, שלאורו, על המערכת הבנקאית בישראל לפעול.

המסמך פותח בתיאור כללי של מחשוב הענן על יתרונותיו וחסרונותיו ובהמשך ניתנות הנחיות כלליות, היתרים ואיסורים לשימוש במחשוב ענן והכוללות בין השאר, איסור על שימוש בפעילות ליבה, קיום בדיקות מקיפות הכוללות עמידה בתקני בנקאות אירופאיים, הצפנת המידע הבנקאי, העברת אמצעי ניטור טכנולוגיים לבנק, אפשרויות והרשאות ביקורת וכן קבלת אחריות תאגידית בדיון דירקטוריון בנושא טכנולוגיות מחשוב ענן הנמצאות בשירות הבנק.

המסמך אותו פרסם המפקח על הבנקים, נושא אופי כללי בלבד, איננו מפרט שיטות או תקנים טכנולוגיים, לא נותן הנחיות ברורות בנושא תכולת המידע המותר לשימוש בענן ומשאיר, למעשה את האחריות המלאה על בטחון המידע הבנקאי של כל לקוחות המערכת הבנקאית והאשראית – בידי הבנקים עצמם, בבחינת החתול ששומר על השמנת.

דסק הטכנולוגיה של ihls_logo50 no slogen  עושה סדר בנושא מחשוב הענן ומסביר לכם, הקוראים, מה ירוויחו (כרגיל) הבנקים מההסדר החדש ומה אתם יכולים להפסיד…

מחשוב ענן הינו שיטה חדשה יחסית (סימנים ראשונים הופיעו כבר לפני 20 שנים) לאיחוד תשתיות וצרכי המחשוב הכוללים של ארגון (בכל גודל, אפילו משתמש בודד) והוצאתם אל מחוצה לו, (בדומה למיקור חוץ) אל ספק תשתיות מחשוב, חומרה, תוכנה וגיבוי נתונים.

ספקי תשתיות המחשוב (הענן) הם חברות גדולות, שבמתחמיהן הפיזיים מרוכזים תשתיות מחשוב רבות וחזקות, הכוללות בין השאר:

– שרתים חזקים, בעלי כוח עיבוד רב ויכולת שרידות גבוהה

– נתבים המרכזים את תנועת המידע אל ומהצרכנים, דרך האינטרנט אל הספקים

– מערכות איזון עומסים, הדואגות לחלק באופן מתאים את תנועת המידע

– רכיבי בטחון ואבטחת מידע (חומות אש, אנטי וירוסים וכו')

– אמצעי ניטור, בקרה ומדידה

– רכיבי גיבוי מידע, המוצעים לחברות כשירות המשכיות עסקית

iHLS Israel Homeland Security

לרוב, מתקניהן של החברות העוסקות באספקת שירותי מחשוב ענן, מאובטחים היטב, מגובים באספקת אנרגיה, תקשורת, מבוקרים ומנוטרים.

היתרון הגדול בשירותי ענן הוא השימוש היעיל והניצול של משאבי מחשוב שונים, המחולקים לפי צורך, דרישה או הגדרה בין צרכנים שונים.

כך למשל, מערכת גיבוי קבצים אוטומטית אחת, הנמצאת בידי ספק שירותי מחשוב ענן, יכולה לתת שירות לעשרות ארגונים (או מאות), המגבים את המידע שלהם פעם ביום, בשעה או בשבוע ולחסוך מחברה את הצורך ברכישת מערכת גיבויים יקרה שלמעשה עובדת רק מעט זמן ביממה ומכאן ששיתוף המשאבים, מביא להורדה מאוד משמעותית בעלויות המחשוב של ארגון. (השיטה הזו ידועה בשמה המקצועי כ-SAAS:Software As  a Service  – תוכנה הנמכרת כשירות וחוסכת את הצורך לרכוש את התוכנה)

יתרון נוסף, אותו שמחים לאמץ רבים מבעלי הארגונים העוברים למחשוב ענן, הוא החיסכון בעלויות כוח אדם מקצועי ומיומן מעולם ה- IT אשר ידוע כיקר במיוחד.

בין היתרונות הנוספים למחשוב ענן, ניתן למנות, חסכון בשטח ריצפה, באנרגיה, ברכש חומרה ותוכנה ואי התלות, המהווה נקודת כשל בודדת לארגון, ביחידת המחשוב.

לצד היתרונות של מחשוב הענן, יש למפות ולזכור את החסרונות בשיטה ואת הסיכונים המגולמים בה וביניהם ניתן למנות את החשיפה הפוטנציאלית של מידע רגיש הנמצא מחוץ לארגון, לעיניים וידיים זרות, את התלות באינטרנט או בקווי התקשורת היעודיים אל ספק הענן וגם את חוסנו של זה, הכלכלי והטכנולוגי, על כל היבטיו.

 בשוק ספקי מחשוב הענן שחקניות רבות, בין הבולטות שבהן ניתן לציין את אמזון, אחת החלוצות בתחום ואשר אושרה, זה מכבר לספק שירותי מחשוב ענן אף לצבא ארצות הברית באמצעות AWS (Amazon Web Services), ואת חברת Sales Force המספקת (בעיקר) שירותי מערכת CRM (מערכת ניהול לקוחות) לחברות וארגונים על גבי תשתיות ענן מרוחקות.

והיתרונות למערכת הבנקאות הישראלית? די כדי להציץ מבחוץ בבנייני קריות המחשוב של כמה מהבנקים הגדולים הנמצאים בעיר לוד, כדי להבין את הון העתק אותו יכולים הבנקים בישראל לחסוך, אם יעברו, ואפילו בהדרגה למחשוב ענן וכיצד כיסיהם העמוקים בלאו הכי יתפחו עוד קצת.

כמה שאלות נשארות פתוחות בכל זאת וראוי שיישאלו בקול רם: כמה ספקי חומרה ותוכנה מקומיים יסבלו מהמהלך? כמה עובדים יפוטרו? מה רמת הביטחון של הנתונים הפינאנסיים של אזרחי המדינה כשהם מאוכסנים בענן, אולי אפילו מחוץ לגבולות מדינת ישראל?