כמה מילים על ביטול הדרישה מהבנקים לאחסון מידע ומערכות בארץ

בשבוע שעבר התבשרנו כי בנק ישראל החליט סוף סוף להשלים (חלקית) את הפער בין הנהלים של הבנק לבין המציאות בה בנקים מעוניינים לעבור סוף סוף לענן הציבורי, והוא אישר (תחת מגבלות שונות) אפשרות הקמת תשתית בעננים ציבוריים והעברת מידע פיננסי מישראל לענן הציבורי איתו הבנק יעבוד – גם אם המידע יאוחסן בחו"ל.

מטבע הדברים מספר אנשים כבר החלו להעלות חששות מסוימים וחלקם גם הפיץ מידע שגוי, ולכן החלטתי לכתוב את הפוסט הזה בהתבסס על היכרותי עם הגופים השונים.

נתחיל בהתחלה ובחלק החשוב שבו לבנקים לקח זמן להבין ולהכיר בכך שב"מלחמה" בין תשתיות On Prem לתשתיות ענן של ספקי ענן ציבורי רציניים (אהמ… לא ענני צעצוע) – ידם של ספקי העננים הציבוריים תהא על העליונה, גם אם נלך לפי מחירים ניתן לבנות אצל ספקי הענן הציבורי תשתית וירטואלית טובה שיכולה להתחרות ולנצח מחיר של תשתיות On Prem בכל אספקט של מחיר מול ביצועים, PPW ועוד.

כיום אפשר לאמר שכל הבנקים כבר החלו לעבוד ברצינות על קונטיינריזציה, על Scaling רוחבי ועל שימוש בתשתיות הענן הציבורי. כך לדוגמא, שרותי SAAS שבעבר לא הוכנסו ואילו עתה הם חלק אינטגרלי מתשתית הוירטואלית של הבנק בענן הציבורי. עתה הבנקים יוכלו בעצם לשכור שרותי PAAS/SAAS/IAAS מספק הענן לפי דרישות שונות וללא מגבלות ("אין כרגע שרתים נוספים, זה תקוע בחו'ל" – אמר לי יבואן גדול בארץ שניסיתי לסייע ביבוא 3 ספרות של שרתים אך לפני מספר חודשים) שקיימות פה בארץ.

מה לגבי אבטחת מידע? האם זה אומר שמחר בבוקר כל פרטי חשבון הבנק, היסטוריה פיננסית ושאר נתונים בנקאיים ישבו באיזה שהוא שרת של ספק ענן כלשהו בחו"ל? לעניות דעתי – דווקא לא.

מה שקורה, הוא שכל בנק צריך לפתח את המערכות שלו שירוצו בתשתיות בענן, וסביר להניח כקונטיינרים. ודברים אלו צריכים להיבחן בצורה נמרצת עם עומסים שונים, כולל מידע פיקטיבי, אך לפעמים גם צריך מידע אמיתי להריץ עם הבדיקות, ולכן לדעתי בנקים שונים יעבירו אולי Sample של מידע לשרתים בחו"ל, כך שבסופו של דבר מה שיהיה בשלב זה אצל ספקי הענן – זו תשתית בהקמה של הבנק, יחד עם מידע שנדגם מהמערכות האמיתיות (שסביר להניח שעבר איזה תהליך "סינתוז" לנקות ממנו פרטים קריטיים), וכך הבנק יקים לאט את התשתיות, הפלטפורמות והשרותים הנוספים שהבנק רוצה להריץ בהמשך הדרך.

מהרגע שספקי הענן הציבוריים הגדולים (אמזון, גוגל, אז'ור) יפעילו את חוות השרתים והתשתיות שהם מקימים בארץ, הבנקים יתחילו להעביר ולהקים את התשתית, כולל תשתית פרודקשן, על ה-Region הישראלי. יחד עם זאת, אין זה אומר שמחר הבנקים יעבירו את ה-Main Frame אל תשתיות הענן הציבורי (כדאי לזכור שכל הבנקים חתומים על חוזי שרות די קשוחים עם IBM שלמיטב ידיעתי – די אוסרים על העברת התשתית ל-AWS או לספקי ענן אחרים … זולת תשתיות IBM בענן, אבל גם אז – לא בטוח שהבנקים ירצו לעבור לזה), כך שבסופו של יום, תשתית ה-MF עדיין תהיה מוגנת כמו שהיא מוגנת היום בכל הבנקים, רק שמעתה הבנקים יצטרכו לעבוד קצת יותר קשה על אבטחת מידע.

תהיה נוספת שעולה במקומות שונים, היא החובה למסור מידע פיננסי לבתי משפט אמריקאיים, מכיוון שספקי הענן הציבורי הינם חברות אמריקאיות. למיטב ידיעתי, כל הבנקים קיבלו תשובות על כך ואני אזכיר רק אספקט טכני אחד: כל בנק יכול לעשות מה שהוא רוצה עם התשתית הוירטואליות שלו בענן, ואף אחד אינו מונע מהבנק להצפין כל ביט אפשרי גם מעל רמת ה-OS (כלומר – משהו יותר מאשר איזה ביט-לוקר), כך שמקרה הכי גרוע – לספק יש במקרה הטוב גישה ל-Block Device (ה-EBS) של ה-VM, לדוגמא, אך אין לו גישה לשמות משתמשים/סיסמאות או גישה למידע שמוצפן בתוך ה-VM מעבר לרמת ה-OS, כך שהוא מקבל בלוק ג'יבריש מבחינתו והוא אינו יכול להכריח את הלקוח לתת פרטי גישה. במילים אחרות: צו משפטי לא ממש יגרום למסירת נתונים שהבנק אינו חפץ למסור.

ולבסוף – עניין חסכון בכח אדם שהוזכר בכתבה. לי זה רק גורם לחייך: מעבר לענן כולל לימוד תשתיות ענן ציבוריות, לימוד Kubernetes/OpenShift ומערכות נוספות אחרות – מה שמצריך הגדלת כח האדם, ולא צמצום. במילים אחרות – סביר להניח שהבנקים לא יעברו מחר בבוקר בתשתיות ענן ל-Serverless, כך שאותם אנשי תשתיות בבנק – יצטרכו גם לתחזק את ה-VM שירוצו בענן הציבורי, בנוסף או במקום התשתיות שרצות On Prem, כך שאם החישוב שלי נכון – אין שום חסכון בכח אדם.

לסיכום: ברכותיי לבנקים שקיבלו את ההיתר ועתה יוכלו לעבור ולהקים את התשתיות בענן ציבורי. כולי תקווה שהבנקים ישכילו להקים תשתיות שהם Scalable רוחביות עם כמה ש-פחות תשתיות On Prem Legacy ישנות (תשתיות Active/Active או Active/Passive למיניהן??), ורק איחולי הצלחה לכל המשתתפים באותם פרויקטים.