בחודש נובמבר 2018 פרסם בנק ישראל עותק עדכני להוראה בנושא שירותי ענן.
ההנחיה החדשה מציגה מספר הקלות (כפי שיצוין בהמשך) הנובעות בעיקר לאור שיפור בשלות כלי הגנה, קידום תחרות בין הבנקים, שיפור השירות ללקוח, ואולי הסיבה העיקרית להקלות – גופי פיקוח בעולם אינם דורשים היתר מראש, אלא מתבססים על ניהול סיכונים נאות מצד הבנקים.
השינוי המהותי בההוראה החדשה - בוטל הצורך בקבלת היתר של בנק ישראל במקרה של אחסון מידע על לקוחות הבנקים ובמקום זה, הההוראה החדשה מפרטת בנספח א' דוגמאות למחשוב ענן מהותי (אותם סוגי יישומי ענן אשר בהוראת ניהול בנקאי תקין מספר 362 בנושא מחשוב ענן משנת 2017 חייבו בקבלת היתר).
ההוראה החדשה, בדומה להנחיה משנת 2017, מתירה אחסון מידע רגיש (כגון נתוני לקוחות) מחוץ לגבולות מדינת ישראל, אך חבל שההוראה החדשה עדיין מתייחסת לדירקטיבה האירופית, אשר בוטלה במאי 2018 והוחלפה ע"י חוק הגנת הפרטיות האירופי (GDPR).
ההוראה החדשה מרחיבה את ההנחיות על-פיהם הבנקים נדרשים לפעול, בהתאם להנחיות בנושא ניהול שרשרת אספקה (הזדהות, חיבור מרחוק, תיעוד, סקרי אבטחה, ספקי משנה וכו') והנחיות בנושא מיקור חוץ (דגש על בדיקת נאותות הספק, איתנות פיננסית, בקרות פנימיות, שמירה על אבטחת מידע ופרטיות, וכו').
שינוי מהותי בין ההוראה משנת 2017 לבין ההוראה החדשה, מרחיב את סמכויות ואחריות הדירקטוריון לאשר כל יישום ענן מהותי (בהתאם לדוגמאות המפורטות בנספח א' בההוראה החדשה), בשונה מההוראה משנת 2017 אשר קובעת כי דיון בדירקטוריון בנושא יישום שירותי ענן המחייבים היתר בנק ישראל, יערך לפי העניין.
ביטול הצורך בהיתר בנק ישראל למיזמי ענן
ההוראה החדשה, בדומה להוראה משנת 2017 ממשיכה לבצע הבדלה בין יישום ענן מהותי (שבעבר חייב קבלת היתר) לבין יישום ענן אשר אינו מהותי.
עפ"י ההוראה החדשה, לא ידרשו הבנקים בקבלת היתר לפעול בתשתיות ענן ציבורי, אך נשאלת השאלה - האם לא נכון להגדיר בעדכון עתידי להוראה דרישה לביצוע בדיקת נאותות ספק מחשוב הענן, הערכת סיכונים, ניטור אירועי אבטחת מידע והסכם התקשרות המאפשר קבלת דוחות ביקורת מהספק והפסקת השימוש בשירותי הספק ביוזמת הבנקים, עבור כל יישום ענן?,
ניהול סיכונים נאות הוא כורח המציאות לכל ארגון (בכל מגזר), ללא קשר לרגישות הנתונים המאוחסנים בענן.
ההוראה החדשה מנחה את הבנקים להעביר לידי הפיקוח על הבנקים אחת לשנה רשימה של יישומי מחשוב ענן ומדגישה כי במקרה של מחשוב "ענן מהותי", נדרשים הבנקים לציין את המיקום הגאוגרפי של שרתי הענן (בדומה להנחיות בנושא מיקור חוץ). הדבר עשוי להצביע על חוסר בהבנת האופן בו פועלים ספקי הענן הציבורי ולהקשות על הבנקים בקיום ההוראה.
ספקי הענן המובילים פרושים על-פני מספר רב של אזורים גאוגרפיים (Regions) וכל אזור גאוגרפי בנוי ממספר מרכזי מחשוב המרוחקים אחד מהשני, אך מחוברים באמצעות קווי תקשורת מהירים (Availability zones). אצל מרבית ספקי הענן הציבורי, מיקום מרכזי המחשוב חסוי (מסיבות של אבטחה פיזית) ולכן, גם אם לקוח של "תשתית כשירות" (Infrastructure as a Service) בוחר ב-availability zone מסוים, הוא לעולם לא ידע באיזה מרכז מחשוב פיזי מאוחסן המידע שלו.
הבקרות היעילות לנושא המיקום בו מאוחסן המידע של הלקוחות הן התחייבות חוזית בין הלקוח (קרי, הבנק) לבין ספק הענן בנוגע לאי-שינוע מידע מחוץ לגבולות האיחוד האירופי (ידוע גם כ-Data processing agreement) וקבלת דוחות ביקורת מסוג SOC 2 Type 2 המאשרים כי הספק הטמיע בקרות להגנה על המידע ווידא (באמצעות גורם חיצוני בלתי תלוי) כי הבקרות אכן יעילות.
נושא נוסף שאינו מצוין בהוראה החדשה בנוגע לדיווח השנתי לפיקוח על הבנקים אודות יישומי הענן, הוא תהליך ניהול הסיכונים שבוצע ע"י הבנק קודם להתקשרות עם הספק ובמהלך תקופת ההתקשרות עמו. בתחום משתנה כגון שימוש בשירותי ענן, עם איומים המתגלים כל הזמן, מומלץ להקפיד על ביצוע תהליך ניהול סיכונים שנתי לכל יישום ענן.
ישומי ליבה בענן
הפיקוח לא הסיר עד כה את האיסור לעשות שימוש בשירותי מחשוב ענן עבור פעילויות ליבה ו/או מערכות ליבה. יש לזכור כי בעולם, למשל באיחוד האירופי, ניתן להשתמש בשירותי מחשוב ענן עבור מערכות ליבה בנקאיות, בכפוף לאישור הפיקוח על הבנקים המקומי של אותה המדינה, ותוך קבלת הנחיות נוספות לאבטחת המידע ואבטחת מערכות המידע התומכות את היישום הבנקאי. אישור זה מאפשר הטמעה קלה ומהירה יותר מחד, ומאובטחת כראוי מאידך.
בכל הקשור לשמירת נתוני לקוחות בענן, ללא יישום מערכת ליבה, הדרישה הרגולטורית באירופה בעיקר מתמקדת בקיום דרישות האסדרה הכללית להגנה על מידע (GDPR) וזאת בעיקר ע"י יישום חוזי של נספח עיבוד נתונים (Data Processing Addendum) בין היישות המוגדרת כזו השולטת בנתונים (Data Controller) לבין זו המוגדרת כמעבדת הנתונים (Data Processor).
לגבי הטמעת מערכת ליבה בנקאית בענן, כחלק מהאישור הרגולטורי האירופי הניתן לאותו בנק המבקש ליישם את מערכת הליבה הבנקאית הענן, ניתן למצוא לרוב תנאי המגדיר כי היישות המבקשת (הבנק) מחזיקה באחריות מלאה לאבטחת נתוני הלקוחות.
האנליסט ג'יימס אוניל צופה כי במהלך 2019, פעילויות ליבה בנקאיות מבוססות שירותי ענן ציבורי יגדילו את נפח השוק שלהן עד שיהוו חלק מתהליכי הרכש למערכות ושירותים חדשים בבנקים.
בנקים בחו"ל כבר החלו לבסס את מערכות הליבה שלהן על שירותי ענן (דוגמת Volt Bank באוסטרליה, Openbank מספרד, בנק Euro Pacific, בנק OakNorth באנגליה וכו').
סיכום ומגמה לעתיד
בשורה התחתונה, מדובר במהלך נכון ואמיץ מצד בנק ישראל, בכל הנוגע לשירותי מחשוב ענן. הדבר יאפשר לבנקים לייעל את מערכות המידע שלהם, להשתמש בטכנולוגיה העדכנית ביותר (אשר מצויה לרוב אצל ספקי הענן הציבורי ואצל חברות Fintech אשר פועלות כיום בעננים ציבוריים), לקדם את התחרות ביניהם ולהגדיל את היצע השירותים ללקוח.
המאמר נכתב ע"י אייל אסטרין, Cloud Architect במרכז החישובים הבינאוניברסיטאי, וניר צ'רבוני, VP Information Security בחברת Credorax, חברה המעניקה פתרונות סליקה גלובליים לחברות אינטרנט המוכרות מוצרים ושירותים אונליין.
