כמה מילים על ביטול הדרישה מהבנקים לאחסון מידע ומערכות בארץ

בשבוע שעבר התבשרנו כי בנק ישראל החליט סוף סוף להשלים (חלקית) את הפער בין הנהלים של הבנק לבין המציאות בה בנקים מעוניינים לעבור סוף סוף לענן הציבורי, והוא אישר (תחת מגבלות שונות) אפשרות הקמת תשתית בעננים ציבוריים והעברת מידע פיננסי מישראל לענן הציבורי איתו הבנק יעבוד – גם אם המידע יאוחסן בחו"ל.

מטבע הדברים מספר אנשים כבר החלו להעלות חששות מסוימים וחלקם גם הפיץ מידע שגוי, ולכן החלטתי לכתוב את הפוסט הזה בהתבסס על היכרותי עם הגופים השונים.

נתחיל בהתחלה ובחלק החשוב שבו לבנקים לקח זמן להבין ולהכיר בכך שב"מלחמה" בין תשתיות On Prem לתשתיות ענן של ספקי ענן ציבורי רציניים (אהמ… לא ענני צעצוע) – ידם של ספקי העננים הציבוריים תהא על העליונה, גם אם נלך לפי מחירים ניתן לבנות אצל ספקי הענן הציבורי תשתית וירטואלית טובה שיכולה להתחרות ולנצח מחיר של תשתיות On Prem בכל אספקט של מחיר מול ביצועים, PPW ועוד.

כיום אפשר לאמר שכל הבנקים כבר החלו לעבוד ברצינות על קונטיינריזציה, על Scaling רוחבי ועל שימוש בתשתיות הענן הציבורי. כך לדוגמא, שרותי SAAS שבעבר לא הוכנסו ואילו עתה הם חלק אינטגרלי מתשתית הוירטואלית של הבנק בענן הציבורי. עתה הבנקים יוכלו בעצם לשכור שרותי PAAS/SAAS/IAAS מספק הענן לפי דרישות שונות וללא מגבלות ("אין כרגע שרתים נוספים, זה תקוע בחו'ל" – אמר לי יבואן גדול בארץ שניסיתי לסייע ביבוא 3 ספרות של שרתים אך לפני מספר חודשים) שקיימות פה בארץ.

מה לגבי אבטחת מידע? האם זה אומר שמחר בבוקר כל פרטי חשבון הבנק, היסטוריה פיננסית ושאר נתונים בנקאיים ישבו באיזה שהוא שרת של ספק ענן כלשהו בחו"ל? לעניות דעתי – דווקא לא.

מה שקורה, הוא שכל בנק צריך לפתח את המערכות שלו שירוצו בתשתיות בענן, וסביר להניח כקונטיינרים. ודברים אלו צריכים להיבחן בצורה נמרצת עם עומסים שונים, כולל מידע פיקטיבי, אך לפעמים גם צריך מידע אמיתי להריץ עם הבדיקות, ולכן לדעתי בנקים שונים יעבירו אולי Sample של מידע לשרתים בחו"ל, כך שבסופו של דבר מה שיהיה בשלב זה אצל ספקי הענן – זו תשתית בהקמה של הבנק, יחד עם מידע שנדגם מהמערכות האמיתיות (שסביר להניח שעבר איזה תהליך "סינתוז" לנקות ממנו פרטים קריטיים), וכך הבנק יקים לאט את התשתיות, הפלטפורמות והשרותים הנוספים שהבנק רוצה להריץ בהמשך הדרך.

מהרגע שספקי הענן הציבוריים הגדולים (אמזון, גוגל, אז'ור) יפעילו את חוות השרתים והתשתיות שהם מקימים בארץ, הבנקים יתחילו להעביר ולהקים את התשתית, כולל תשתית פרודקשן, על ה-Region הישראלי. יחד עם זאת, אין זה אומר שמחר הבנקים יעבירו את ה-Main Frame אל תשתיות הענן הציבורי (כדאי לזכור שכל הבנקים חתומים על חוזי שרות די קשוחים עם IBM שלמיטב ידיעתי – די אוסרים על העברת התשתית ל-AWS או לספקי ענן אחרים … זולת תשתיות IBM בענן, אבל גם אז – לא בטוח שהבנקים ירצו לעבור לזה), כך שבסופו של יום, תשתית ה-MF עדיין תהיה מוגנת כמו שהיא מוגנת היום בכל הבנקים, רק שמעתה הבנקים יצטרכו לעבוד קצת יותר קשה על אבטחת מידע.

תהיה נוספת שעולה במקומות שונים, היא החובה למסור מידע פיננסי לבתי משפט אמריקאיים, מכיוון שספקי הענן הציבורי הינם חברות אמריקאיות. למיטב ידיעתי, כל הבנקים קיבלו תשובות על כך ואני אזכיר רק אספקט טכני אחד: כל בנק יכול לעשות מה שהוא רוצה עם התשתית הוירטואליות שלו בענן, ואף אחד אינו מונע מהבנק להצפין כל ביט אפשרי גם מעל רמת ה-OS (כלומר – משהו יותר מאשר איזה ביט-לוקר), כך שמקרה הכי גרוע – לספק יש במקרה הטוב גישה ל-Block Device (ה-EBS) של ה-VM, לדוגמא, אך אין לו גישה לשמות משתמשים/סיסמאות או גישה למידע שמוצפן בתוך ה-VM מעבר לרמת ה-OS, כך שהוא מקבל בלוק ג'יבריש מבחינתו והוא אינו יכול להכריח את הלקוח לתת פרטי גישה. במילים אחרות: צו משפטי לא ממש יגרום למסירת נתונים שהבנק אינו חפץ למסור.

ולבסוף – עניין חסכון בכח אדם שהוזכר בכתבה. לי זה רק גורם לחייך: מעבר לענן כולל לימוד תשתיות ענן ציבוריות, לימוד Kubernetes/OpenShift ומערכות נוספות אחרות – מה שמצריך הגדלת כח האדם, ולא צמצום. במילים אחרות – סביר להניח שהבנקים לא יעברו מחר בבוקר בתשתיות ענן ל-Serverless, כך שאותם אנשי תשתיות בבנק – יצטרכו גם לתחזק את ה-VM שירוצו בענן הציבורי, בנוסף או במקום התשתיות שרצות On Prem, כך שאם החישוב שלי נכון – אין שום חסכון בכח אדם.

לסיכום: ברכותיי לבנקים שקיבלו את ההיתר ועתה יוכלו לעבור ולהקים את התשתיות בענן ציבורי. כולי תקווה שהבנקים ישכילו להקים תשתיות שהם Scalable רוחביות עם כמה ש-פחות תשתיות On Prem Legacy ישנות (תשתיות Active/Active או Active/Passive למיניהן??), ורק איחולי הצלחה לכל המשתתפים באותם פרויקטים.

על בנקים ישראליים, אבטחה וקידמה

כאן בישראל, כשזה מגיע למצב שרותי הבנקאות שלנו, אנחנו נמצאים במקום לא רע בהשוואה לשאר העולם (מבחינה מחשובית. מבחינה פקידותית – כבר יצא לי לשמוע רק לפני מספר שבועות בבנק כלשהו שהלכתי לישיבה שם – צעקות של פקידה אחת שצועקת ללקוחה אחת "תקווה, את חורגת ב-2000 שקל ובדיוק הגיע צ'ק שצריך להוריד לך 1000 שקל לבית ספר, אני מחזירה לך אותו!" – על פרטיות היא כנראה לא שמעה). פה בישראל אנחנו לא בקידמת הבמה. בחו"ל אתה יכול כבר ממזמן לשלם בסופר ובמקומות אחרים עם הטלפון והשעון החכם שלך, בישראל זה קיים בקושי. הפקדת צ'קים ע"י צילומם נכנסה לישראל רק לאחרונה בשעה שבחו"ל זה קיים כבר שנתיים ורק עכשיו בנקים שונים מתחילים להציע העברות כספים בין אנשים (לדוגמא, BitPay של בנק הפועלים ובנקים אחרים כבר עובדים על פתרונות מתחרים), הוצאת כספים מכספומט ללא צורך בכרטיס המגנטי ועוד ועוד.

כל מי שעובד בבנק או בחברה שעובדת עבור בנק יוכל לאמר לכם שבנקים הם דבר סופר-שמרן. כשבסטארטאפים מדברים ומשתמשים כיום ב-ServerLess Computing, בבנקים מסוימים תצטרכו להסביר (אם תדברו על כך) על מה אתם מדברים. יחד עם זאת, אציין כי יש בנק או שתיים שמתחילים "לשחק" עם טכנולוגיות כמו BlockChain ואחרים – שזה דבר מבורך.

בעבר היו לא מעט באבטחת המידע בענף הבנקאי אנשים שדי זלזלו בכל ענייני פריצה לבנק על מנת לגנוב כספים או לבצע פעולות שונות. אחרי הכל, לכל בנק יש מחלקת סייבר (או שהם משלמים לחברה חיצונית שתעשה זאת) ואם מישהו ינסה לעשות את הדברים מביתו, לבנק יהיו דרכים לזהות אותו (כך היתה המחשבה של לא מעט אנשים ששוחחתי איתם בעבר בנושא). כיום לשמחתי המצב שונה ובנקים מודעים לכך שבמדינות שונות (ויאטנם, הודו ומדינות אחרות) כבר נעשו פריצות ונגנבו מיליוני דולרים.

אבל עדיין – מחלקת סייבר בסופו של דבר היא מחלקה שעוזרת לך לשמור על הקיים. מחלקת הסייבר יכולה להמליץ לבנק או לחברת אשראי להתקין פתרון X כדי לבצע מיטיגציה לבעיה Y, וכך פתרון X שומר על המצב הקיים. הוא לא מקדם את הבנק מבחינה טכנולוגית לחשוב על מתודולוגיות אחרות וכלים אחרים על מנת לשפר יעילות. זה לא התפקיד של המחלקה הזו. אם מחר קובי ינסה לפרוץ לבנק ויצליח לעשות פעולות מסויימות, מחלקת הסייבר (יחד עם מחלקת אבטחת מידע) אחראית על למצוא את קובי ובשיתוף המשטרה – לעצור אותו על כך ולתקן נקודתית את הפירצה. זה התפקיד שלהם.

ועדיין – הבעיה המרכזית של בנקים מסויימים במדינה היא ה-Over שמרנות שיכולה במקרים רבים לחשוף את הבנק לכשלי אבטחה שנעוצים במדיניות עצמה. אני לא אציין שמות, אבל אתן דוגמא פשוטה: בנק גדול מאוד בישראל באתר שלו, לאחר כניסה למערכת, המשתמש מועבר דרך מערכת אחרת שרשמית כבר מתה שנתיים! או דוגמא נוספת שקשורה לכל הבנקים וחברות האשראי: כולם משתמשים ב-SMS כדי לבצע אותנטיקציה, אבל כמה מהבנקים מודעים לכך שמערכת Signal System Number 7 (או בקיצור: SS7) קיימת בה פירצה כבר מעל שנה והרבה חברות תקשורת עדיין לא ביצעו עדכונים לסתימת הפריצה? לא מדובר בפירצה זניחה, מדובר בפירצה שדרכה אפשר להאזין לשיחות טלפון, להאזין להודעות SMS ואף למצוא מיקום של משתמש, ובכל זאת – חברות טלקום רבות עדיין לא עדכנו את המערכות שלהם, והתוצאה: גנבים שהשתמשו בחור ב-SS7 כדי לעקוף Multi Factor Authentication של בנקים כדי לרוקן חשבונות בנק, ועדיין – הבנקים וחברות האשראי משתמשות בשיטה זו. יש תחליף לשיטה זו (שהוא בדרך גם יותר זול מ-SMS: פשוט משתמשים ב-Push Notification שאפל, גוגל וחברות אחרות מציעות שגם מועבר למשתמש בצורה מוצפנת).

שמרנות היא דבר טוב, כשלא צריך "להיסחף" לכל מיני טרנדים, אבל לפעמים חייבים להבין שטכנולוגיה במחשבים היא דבר שמתקדם. לא צריך לאמץ כל טכנולוגיה, אבל כדאי לפעמים לאמץ טכנולוגיות ומתודלוגיות חדשות שיכולות לעזור בתחזוקה ובפיתוח בבנק או בחברות האשראי. קחו לדוגמא עניין די מעצבן: אתה מגיע הביתה בלילה אחרי העבודה ואחרי שהרדמת את הילדים – לטפל בעניינים פיננסיים, אתה נכנס לאתר הבנק, רוצה לבצע Login ו… מופיעה לך הודעה ש"האתר בתחזוקה". חברות רבות בעבר היו עושות זאת (זוכרים את אפל שכל פעם שהיתה הכרזת מוצר, החנות האלקטרונית היתה מושבתת לתחזוקה ועדכון?) אבל כיום יש שיטות יותר טובות: לא צריך להשבית את כל האתר, אפשר לעבוד במתודולוגיית Blue Green Deployment ובשיטה זו קודם כל מצמצמים את ה-Downtime, מצמצמים מאוד סיכונים (אפשר לזוז קדימה ואחורה בהטמעה, בהתאם לדיווחים וללוגים) ובכך אפשר לשפר דברים בצורה הרבה יותר טובה ללא צורך בשינויים מאסיביים בתוכנית העבודה. לפחות ממה שאני שומע בנקים יותר ויותר מאמצים כיום את מתדולוגיות CI/CD שזה מעולה, אבל אני ממליץ לקחת את הדברים טיפה קדימה – ולהתחיל להשתתמש יותר ויותר בקונטיינרים. הרווח? הקמה מהירה יותר של סביבות פיתוח וטסטים, ובנוסף יש בונוס מעניין: לא צריך לחכות מספר חודשים להכניס עדכוני אבטחה (קריטיים ולא קריטיים) כשמשתמשים בקונטיינרים.

לסיכום: כפרילאנסר שנמצא בשוק הטכנולוגי מעל 20 שנה (זה לא קידום עצמי, בנקים לא ממש מתייחסים לפרילאנסרים, הם מתייחסים לחברות בלבד), ראיתי טכנולוגיות שונות שמאוד הלהיבו אבל הגיעו עם שק של בעיות. בשנים האחרונות דברים השתנו וישנם יותר ויותר פתרונות שגם מוסדות שמרניים יכולים להשתמש בהם (ובחלק לא קטן מהמקרים ללא תשלום גבוה על התוכנה) ובכך הם יכולים לא רק להתקדם טכנולוגית, אלא גם להתמודד עם סיכוני אבטחה שקיימים במערכות ותיקות/ישנות. פיתוח שרותים חדשים הוא דבר מעולה, אבל אפשר גם לפתח את ה-Backend ולחסוך זמן יקר, משאבים, וסיכונים שהיו קיימים בעבר וכיום ניתנים לפתרון מהיר ולעיתים מיידי ללא סיכון המערכת.

בהזדמנות זו אני שמח להודיע שפתחתי בפייסבוק קבוצה שמיועדת לפרסום לינקים לפרצות אבטחה מידע עם טלאי תיקון החורים. אתם מוזמנים בשמחה להצטרף.

Exit mobile version