על רקע העלייה באירועי הסייבר בארגונים פיננסיים בישראל ובעולם, פרסם השבוע הפיקוח על הבנקים נוהל שמבהירה את האחריות של התאגיד הבנקאי בנוגע לקיום תצורת עבודה מאובטחת מול הספקים החיצוניים המהותיים, ואת חובותיו לניהול סיכוני סייבר הולמים בפעילות ספקים אלו בחצרותיהם ובחצרי התאגיד הבנקאי. על פי הטיוטה, במסגרת הסכם ההתקשרות של התאגיד הבנקאי עם הספק המהותי, התאגיד יקח בחשבון את הצורך בשילוב מספר היבטים בהסכם עם הספק, ובכלל זה יוכל לדרוש ממנו לאפשר לו לבצע בדיקות מהימנות לעובדיו כמו גם למנות נאמן אבטחת מידע וסייבר אצל הספק והגדרת סמכויותיו ותפקידיו. בנוסף נקבע כי על הספק לדווח לתאגיד על אירועי סייבר אשר יתרחשו אצלו או אצל ספקי משנה שלו.
רו"ח גיא מונרוב, מומחה לאבטחת מידע וסייבר שותף בפירמת הייעוץ אלקלעי מונרוב AlMo מסביר כי לראשונה יש פה דרישות ספציפיות מגופים מפוקחים לגבי דרך ההתנהלות שלהם למול הספקים. בחוזר הקודם שהוצא בשנת 2015, לא היתה התייחסות קונקרטית לפעולות שהתאגיד הבנקאי רשאי לבצע, אלא נכתב באופן כללי "כי התאגיד הבנקאי יקבע את הפעולות הנחוצות לוודא, ככל שניתן, שהגורמים הרלבנטיים, לרבות גורמים חיצוניים, נוקטים באמצעים הנדרשים להפחתת חשיפתו לסיכוני סייבר, לרבות ביצוע בדיקות נאותות וניטור באותם גורמים (או גופים) שזוהו כמהותיים לפעילות העסקית התקינה ולאספקת השירותים ברמה הנדרשת".
עוד נכתב בטיוטה שיצאה היום כי התאגיד הבנקאי נדרש לערוך אחת לתקופה מיפוי של הספקים המהותיים של התאגיד הבנקאי ובמקרה שגורמים רלוונטיים בתאגיד יגיעו למסקנה כי הספק חושף אותו לסיכוני סייבר משמעותיים (לדוגמה, כאשר הספק אינו עומד בהתחייבויות מסוימות או מקיים אותן אך במידה לא מספקת), עליהם לדווח להנהלת התאגיד. כמו כן, בכפוף להוראת הפיקוח על הבנקים, נדרש התאגיד הבנקאי להעריך את הסיכונים הקיימים, לקבוע עקרונות להתחייבות הספקים ולוודא כי כלל ספקי טכנולוגיית המידע כאמור, לרבות אלה שהסכם ההתקשרות נחתם עימם טרם מועד תחילת ההוראה, עומדים בתנאים ובעקרונות שנקבעו.
על פי הטיוטה, "ספקים מהותיים" הינם גורמי חוץ הנכללים בשרשרת האספקה של התאגיד הבנקאי (כדוגמת חברות התומכות במתן שירותי מסחר בשוק ההון), שמהותיים לפעילותו ו/או חושפים אותו לסיכוני סייבר ואבטחת מידע פוטנציאליים גבוהים אשר בהתממשותם ניתן לתקוף את התאגיד הבנקאי או לפגוע בפעילותו. הכוונה לגורמי חוץ הנותנים שירותים לתאגיד בתחומים הקשורים לטכנולוגיית המידע, כגון: תמיכה ו/או תחזוקת מערכת מידע, אחסון נתונים רגישים מחוץ לחצרי התאגיד, שירותי מיקור חוץ טכנולוגיים, וכד'. אין הכוונה לספקים כגון: בתחום ההסעדה, שירותי ניקיון, אספקת אנרגיה, וכד'.
לדברי רו"ח מונרוב בישראל זה בעצם המגזר הראשון שהרגולטור מסדיר אצלו את התגוננות מאיומי הסייבר בקרב שרשרת האספקה בצורה מסודרת כאשר הכוונה להסדיר הנושאים בתחומים מפוקחים נוספים כגון חברות הביטוח וגופים מוסדיים כאשר במסגרת עבודתה של הרשות הלאומית להגנת הסייבר במהלך החודשים האחרונים, מקודמת מתודה לאומית להגנה על שרשרת האספקה. מתודה זו נכתבת בשיתוף עשרות גורמים מהמשק הישראלי אשר מתמחים בתחום אבטחת המידע והסייבר. מתודה זו תצטרף למסכים קודמים אשר ייצאו ומסייעים לגורמים השונים במשק בהתמודדות עם איומי הסייבר.