על בנקים ישראליים, אבטחה וקידמה

כאן בישראל, כשזה מגיע למצב שרותי הבנקאות שלנו, אנחנו נמצאים במקום לא רע בהשוואה לשאר העולם (מבחינה מחשובית. מבחינה פקידותית – כבר יצא לי לשמוע רק לפני מספר שבועות בבנק כלשהו שהלכתי לישיבה שם – צעקות של פקידה אחת שצועקת ללקוחה אחת "תקווה, את חורגת ב-2000 שקל ובדיוק הגיע צ'ק שצריך להוריד לך 1000 שקל לבית ספר, אני מחזירה לך אותו!" – על פרטיות היא כנראה לא שמעה). פה בישראל אנחנו לא בקידמת הבמה. בחו"ל אתה יכול כבר ממזמן לשלם בסופר ובמקומות אחרים עם הטלפון והשעון החכם שלך, בישראל זה קיים בקושי. הפקדת צ'קים ע"י צילומם נכנסה לישראל רק לאחרונה בשעה שבחו"ל זה קיים כבר שנתיים ורק עכשיו בנקים שונים מתחילים להציע העברות כספים בין אנשים (לדוגמא, BitPay של בנק הפועלים ובנקים אחרים כבר עובדים על פתרונות מתחרים), הוצאת כספים מכספומט ללא צורך בכרטיס המגנטי ועוד ועוד.

כל מי שעובד בבנק או בחברה שעובדת עבור בנק יוכל לאמר לכם שבנקים הם דבר סופר-שמרן. כשבסטארטאפים מדברים ומשתמשים כיום ב-ServerLess Computing, בבנקים מסוימים תצטרכו להסביר (אם תדברו על כך) על מה אתם מדברים. יחד עם זאת, אציין כי יש בנק או שתיים שמתחילים "לשחק" עם טכנולוגיות כמו BlockChain ואחרים – שזה דבר מבורך.

בעבר היו לא מעט באבטחת המידע בענף הבנקאי אנשים שדי זלזלו בכל ענייני פריצה לבנק על מנת לגנוב כספים או לבצע פעולות שונות. אחרי הכל, לכל בנק יש מחלקת סייבר (או שהם משלמים לחברה חיצונית שתעשה זאת) ואם מישהו ינסה לעשות את הדברים מביתו, לבנק יהיו דרכים לזהות אותו (כך היתה המחשבה של לא מעט אנשים ששוחחתי איתם בעבר בנושא). כיום לשמחתי המצב שונה ובנקים מודעים לכך שבמדינות שונות (ויאטנם, הודו ומדינות אחרות) כבר נעשו פריצות ונגנבו מיליוני דולרים.

אבל עדיין – מחלקת סייבר בסופו של דבר היא מחלקה שעוזרת לך לשמור על הקיים. מחלקת הסייבר יכולה להמליץ לבנק או לחברת אשראי להתקין פתרון X כדי לבצע מיטיגציה לבעיה Y, וכך פתרון X שומר על המצב הקיים. הוא לא מקדם את הבנק מבחינה טכנולוגית לחשוב על מתודולוגיות אחרות וכלים אחרים על מנת לשפר יעילות. זה לא התפקיד של המחלקה הזו. אם מחר קובי ינסה לפרוץ לבנק ויצליח לעשות פעולות מסויימות, מחלקת הסייבר (יחד עם מחלקת אבטחת מידע) אחראית על למצוא את קובי ובשיתוף המשטרה – לעצור אותו על כך ולתקן נקודתית את הפירצה. זה התפקיד שלהם.

ועדיין – הבעיה המרכזית של בנקים מסויימים במדינה היא ה-Over שמרנות שיכולה במקרים רבים לחשוף את הבנק לכשלי אבטחה שנעוצים במדיניות עצמה. אני לא אציין שמות, אבל אתן דוגמא פשוטה: בנק גדול מאוד בישראל באתר שלו, לאחר כניסה למערכת, המשתמש מועבר דרך מערכת אחרת שרשמית כבר מתה שנתיים! או דוגמא נוספת שקשורה לכל הבנקים וחברות האשראי: כולם משתמשים ב-SMS כדי לבצע אותנטיקציה, אבל כמה מהבנקים מודעים לכך שמערכת Signal System Number 7 (או בקיצור: SS7) קיימת בה פירצה כבר מעל שנה והרבה חברות תקשורת עדיין לא ביצעו עדכונים לסתימת הפריצה? לא מדובר בפירצה זניחה, מדובר בפירצה שדרכה אפשר להאזין לשיחות טלפון, להאזין להודעות SMS ואף למצוא מיקום של משתמש, ובכל זאת – חברות טלקום רבות עדיין לא עדכנו את המערכות שלהם, והתוצאה: גנבים שהשתמשו בחור ב-SS7 כדי לעקוף Multi Factor Authentication של בנקים כדי לרוקן חשבונות בנק, ועדיין – הבנקים וחברות האשראי משתמשות בשיטה זו. יש תחליף לשיטה זו (שהוא בדרך גם יותר זול מ-SMS: פשוט משתמשים ב-Push Notification שאפל, גוגל וחברות אחרות מציעות שגם מועבר למשתמש בצורה מוצפנת).

שמרנות היא דבר טוב, כשלא צריך "להיסחף" לכל מיני טרנדים, אבל לפעמים חייבים להבין שטכנולוגיה במחשבים היא דבר שמתקדם. לא צריך לאמץ כל טכנולוגיה, אבל כדאי לפעמים לאמץ טכנולוגיות ומתודלוגיות חדשות שיכולות לעזור בתחזוקה ובפיתוח בבנק או בחברות האשראי. קחו לדוגמא עניין די מעצבן: אתה מגיע הביתה בלילה אחרי העבודה ואחרי שהרדמת את הילדים – לטפל בעניינים פיננסיים, אתה נכנס לאתר הבנק, רוצה לבצע Login ו… מופיעה לך הודעה ש"האתר בתחזוקה". חברות רבות בעבר היו עושות זאת (זוכרים את אפל שכל פעם שהיתה הכרזת מוצר, החנות האלקטרונית היתה מושבתת לתחזוקה ועדכון?) אבל כיום יש שיטות יותר טובות: לא צריך להשבית את כל האתר, אפשר לעבוד במתודולוגיית Blue Green Deployment ובשיטה זו קודם כל מצמצמים את ה-Downtime, מצמצמים מאוד סיכונים (אפשר לזוז קדימה ואחורה בהטמעה, בהתאם לדיווחים וללוגים) ובכך אפשר לשפר דברים בצורה הרבה יותר טובה ללא צורך בשינויים מאסיביים בתוכנית העבודה. לפחות ממה שאני שומע בנקים יותר ויותר מאמצים כיום את מתדולוגיות CI/CD שזה מעולה, אבל אני ממליץ לקחת את הדברים טיפה קדימה – ולהתחיל להשתתמש יותר ויותר בקונטיינרים. הרווח? הקמה מהירה יותר של סביבות פיתוח וטסטים, ובנוסף יש בונוס מעניין: לא צריך לחכות מספר חודשים להכניס עדכוני אבטחה (קריטיים ולא קריטיים) כשמשתמשים בקונטיינרים.

לסיכום: כפרילאנסר שנמצא בשוק הטכנולוגי מעל 20 שנה (זה לא קידום עצמי, בנקים לא ממש מתייחסים לפרילאנסרים, הם מתייחסים לחברות בלבד), ראיתי טכנולוגיות שונות שמאוד הלהיבו אבל הגיעו עם שק של בעיות. בשנים האחרונות דברים השתנו וישנם יותר ויותר פתרונות שגם מוסדות שמרניים יכולים להשתמש בהם (ובחלק לא קטן מהמקרים ללא תשלום גבוה על התוכנה) ובכך הם יכולים לא רק להתקדם טכנולוגית, אלא גם להתמודד עם סיכוני אבטחה שקיימים במערכות ותיקות/ישנות. פיתוח שרותים חדשים הוא דבר מעולה, אבל אפשר גם לפתח את ה-Backend ולחסוך זמן יקר, משאבים, וסיכונים שהיו קיימים בעבר וכיום ניתנים לפתרון מהיר ולעיתים מיידי ללא סיכון המערכת.

בהזדמנות זו אני שמח להודיע שפתחתי בפייסבוק קבוצה שמיועדת לפרסום לינקים לפרצות אבטחה מידע עם טלאי תיקון החורים. אתם מוזמנים בשמחה להצטרף.

Comments

comments

תגובה אחת בנושא “על בנקים ישראליים, אבטחה וקידמה”

  1. א. אני חושד ששורש הבעיה/פתרון הוא בפיקוח על הבנקים, בכל מדינה.

    ב. מה זה צ'ק? (לא כתבתי צ'ק מאז שעברתי לאוסטרליה לפני 12 שנים, וגם כשביקרתי ב-92 כבר היו תשלומים אלקטרונים (ממש כמו צ'ק אלקטרוני) בכל מקום).

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *