זהירות: המוסדות הפיננסיים מחליפים מחשבים, ואיפה המידע?

הפקיד מולכם התחדש במחשב? לכו תדעו מי עלול להיחשף לנתוני הבנק או ההשקעות הקודמים שלכם • מסתבר שלרוב המוסדות הפיננסיים בישראל אין תכנית שעומדת ברגולציה להשמדת מידע רגיש במחשוב ישן • ומה הפתרון?

בנקים בישראל, | צילום: מערכת ביזנעס. למצולמים אין קשר לכתבה.

בנקים וחברות ביטוח בישראל כפופים כיום לרגולציה ענפה ומחמירה הנוגעת להגנת הפרטיות,  המחייבת אותם לנהל באופן שיטתי ומתועד את גריעת המידע הישן המצוי בחומרה שהם מתכוונים להשבית, כאשר הידועה שבהן היא הנחיית ה-GDPR של האיחוד האירופי. הרגולציה מתייחסת לכל סוג של מידע פרטי אשר מעובד ע”י הארגון ומצוי למעשה בכל סוגי החומרה: שרתים, התקני אחסון, ציוד תקשורת, מחשבים שולחניים, טבלטים וניידים, טלפונים סלולריים, מדפסות, מכונות צילום, סורקים, מכשירי פקס ועוד.

הרגולציה המחמירה נועדה בראש ובראשונה להבטיח כי לארגון יש תכנית סדורה בכל הקשור לטיפול בהשמדת המידע הרגיש שאוגרים ההתקנים השונים וכי נקטו בכל האמצעים הנדרשים, כדי ששום מידע לא יזלוג או חלילה יגיע לידי גורמי פשיעה וישמש לביצוע עבירות פיננסיות פליליות. אי עמידה ברגולציית ה-GDPR מהווה סיכון לקנסות משמעותיים ביותר, מלבד הפגיעה במוניטין של הארגון ופגיעה באמון מצד לקוחות ושותפים עסקיים.

250/200 סייד בר + קובייה בכתבה

האתגר הוא קשה ומורכב לא רק בישראל אלא גם בקרב מוסדות פיננסיים ברחבי העולם – ולא כולם מצליחים להתמודד עמו בהצלחה. על כך מעיד מחקר של IDG שמצא שרק ל-59% מהמוסדות הפיננסיים בארה”ב יש תכנית גריעת חומרה רשמית ומלאה, 44% מטפלים בתחום באופן עצמאי, 37% מאחסנים אצלם חומרה ישנה בלי למחוק את המידע ו-28% פשוט זורקים חומרה ישנה לאתרי פסולת.

ואם זהו המצב בארה”ב, ייתכן מאוד שזהו המצב ששורר בישראל. המוסדות הפיננסיים אמנם נוקטים בצעדים כאלה או אחרים אך לרובם המכריע אין תכנית גריעה סדורה והדוקה שאכן עומדת ברגולציה. כך, לדוגמה, אין בקרה פרטנית אחר כל התקן והתקן ורישום מסודר של כל שלב בתהליך עד לסיומו.

המוסדות הפיננסיים מסכנים בכך את עצמם, שכן עבריינים שמשתלטים על ציוד ישן שלא הושמד או מוחזר עלולים להשתמש במידע הרגיש כדי לפגוע פיננסית בבנק או בחברת ביטוח ובלקוחותיהם. מכאן קצרה הדרך לתביעות של הלקוחות ולפגיעה ביוקרת המוסד הפיננסי, כפי שקרה לא פעם במדינות שונות.

“פשיעת סייבר זהה לחלוטין בסיכוניה לפשיעה באמצעות השתלטות על חומרה ישנה ושאיבת המידע ממנה”, מציין וולקן, “אך בעוד שבאבטחת סייבר המוסדות הפיננסיים משקיעים מיליוני דולרים בשנה, הרי שבגריעת חומרה ישנה הם משקיעים פחות מהמינימום הנדרש. ההשקעה בגריעה מקצועית של המידע האגור בהתקנים השונים באמצעות חברה מתמחה מגיעה לשבריר מההשקעה באבטחת סייבר אך היא חוסמת את הבטן הרכה של הארגונים שקוראת לגנב”.

רוני וולקן, מנכ”ל ומייסד שורו | צילום: אסנת קרסננסקי

בנקים וחברות ביטוח לא מודעים לרווח הכלכלי שניתן להפיק ממיחזור הרכיבים האלקטרוניים וכן ממכירה מחודשת של ציוד מחשוב ישן. “המוסדות הפיננסיים יכולים להרוויח מדי שנה מאות אלפי שקלים ואף למעלה מכך מהרכיבים האלקטרוניים שמפורקים מהציוד הישן שניתן למכור אותם לשימוש חוזר, כמו כן ניתן למקסם את הערך הכלכלי של שרתים ומחשבים ישנים באמצעות תיקונם ושדרוגם ומכירתם לארגונים אחרים, כמובן אחרי מחיקת הנתונים או השמדת התקני האחסון והחלפתם בחדשים”.

“האתגר בגריעת חומרה ישנה של מוסדות פיננסיים בישראל הוא ענק בהתחשב בעובדה שמדי שנה הבנקים וחברות הביטוח ‘מוציאים לפנסיה’ מאות שרתים, אלפי מכשירי קצה של עובדים ועשרות אלפי מערכות קצה אחרות”, אומר רוני וולקן, מנכ”ל חברת שורו המתמחה בשירותים לגריעת מידע מחומרה במוסדות.

כתיבת תגובה