top of page

בנקאות

מערך הרגולציה על מערכות המידע והסייבר במערכת הבנקאית בישראל נחשב לאחד הקפדניים והמתקדמים בעולם. הוא מבוסס על תפיסת "ניהול סיכונים רב-שכבתי" ומטיל אחריות ישירה לא רק על מנהל מערכות המידע (CIO) או מנהל אבטחת המידע (CISO), אלא גם על הדירקטוריון והנהלת הבנק.



הוראת ניהול בנקאי תקין (נב"ת) 364 – "המצפן החדש"

זוהי הוראת הדגל המאחדת את כלל היבטי הטכנולוגיה תחת קורת גג אחת. עבור מבקר מערכות מידע, זוהי "רשימת התיוג" העיקרית:

  • ממשל תאגידי (IT Governance): הביקורת נדרשת לוודא שקיימת אסטרטגיית IT המיושרת עם היעדים העסקיים, ושקיימות ועדות היגוי פעילות.

  • ניהול סיכוני סייבר: דרישה ליישום בקרות הגנה אקטיביות, זיהוי איומים (Threat Intelligence) ויכולת תגובה. הביקורת בוחנת האם הבנק מבצע "מבדקי חדירות"(Penetration Tests) באופן סדיר ומתקן את הליקויים.

  • חוסן תפעולי (Operational Resilience): מעבר לאבטחה, הרגולציה דורשת לוודא שהמערכות הקריטיות מסוגלות להמשיך לתפקד גם תחת התקפה או תקלה טכנית קשה.


ניהול סיכוני צד שלישי ושרשרת האספקה (נב"ת 364 ו-359א')

בעידן של ענן ושירותים חיצוניים, הביקורת מתמקדת ב"חוליה החלשה" – הספקים.

  • בקרת ספקים: הבנק מחויב לבצע ביקורות על ספקי טכנולוגיה חיצוניים (SaaS, ענן, ספקי תשתיות). המבקר נדרש לבחון את חוזי ההתקשרות ואת זכות הבנק לבצע ביקורת (Right to Audit) אצל הספק.

  • סיכוני ריכוזיות: פיקוח על כך שהבנק לא נשען יתר על המידה על ספק ענן יחיד ללא תוכנית נסיגה (Exit Strategy).


אבטחת מידע ופרטיות (חוק הגנת הפרטיות ותקנותיו - חלקן בהתאמה לגופים בנקאיים)

הבנקים בישראל כפופים לרגולציה של הרשות להגנת הפרטיות (משרד המשפטים):

  • תקנות אבטחת מידע (2017): מחייבות בנקים (כבעלי מאגרים ברמת אבטחה גבוהה) לבצע ביקורת תקופתית אחת לשנתיים על ידי גורם חיצוני או פנימי מוסמך.

  • ניהול הרשאות: הביקורת בוחנת את מנגנון ה-IAM (Identity and Access Management) – האם גישת עובדים למידע רגיש מוגבלת לפי עקרון "הצורך לדעת" בלבד.


היערכות לסיכונים טכנולוגיים עתידיים

בנק ישראל מחייב את המבקרים לבחון את המוכנות של הבנקים לטכנולוגיות משבשות:

  • בינה מלאכותית (AI): הנחיות חדשות דורשות בקרה על אלגוריתמים (Explainability), מניעת הטיות (Bias) והגנה על מודלי AI מפני הרעלת נתונים.

  • מחשוב קוונטי: דרישה לבחון את עמידות ההצפנות הבנקאיות (Post-Quantum Cryptography) אל מול יכולות מחשוב עתידיות שעלולות לפצח הצפנות קיימות.


דיווח ושקיפות (נב"ת 366)

המבקר הפנימי בוחן האם מנגנוני הדיווח עובדים בזמן אמת. כל אירוע סייבר משמעותי חייב להיות מדווח לפיקוח בתוך פרקי זמן קצרים מאוד. אי-דיווח או דיווח חסר נחשבים לכשל רגולטורי חמור.

סטנדרטים בינלאומיים (Adoption)

למרות שהנחיות בנק ישראל הן המחייבות, הביקורת מתבססת לרוב על מתודולוגיות בינלאומיות המוכרות על ידי הרגולטור, כגון:

  • NIST: מסגרת      העבודה של המכון הלאומי לתקנים וטכנולוגיה של ארה"ב.

  • ISO/IEC 27001: תקן      ניהול אבטחת מידע.

  • COBIT: מסגרת      לממשל ובקרת IT.

הביקורת במערכת הבנקאית עברה מביקורת "מסורתית" (בדיקת דגימות ונהלים) לביקורת מבוססת סיכונים ובזמן אמת, המדגישה חוסן טכנולוגי והגנה על נתוני הלקוחות.

שמור על קשר

צור קשר

מגדל ב.ס.ר 3, בני ברק

טל' משרד: 03-7792080

אורן שני, מנכ"ל משותף
נייד: 054-7662225
oren@secaudit.co.il
אסף קורן, מנכ"ל משותף
נייד: 052-6006776
assaf@secaudit.co.il

bottom of page