בשנת 2019 נכנס לתוקפו חוק דירוג האשראי אשר מחייב איסוף מידע של לקוחות הבנקים ודירוג של כל הפעולות הפיננסיות שלהם. נתונים אלו יאספו על כל לקוח החל מגיל 18 ויהיו מבוססים על פעולות שוטפות בעובר ושב, יכולת פירעון צ'קים הלוואות, עמידה במסגרות האשראי השונות ועוד. נתונים אלו נאספים על ידי בנק ישראל ומועברים אל לשכות האשראי השונות, אשר אחראיות ליצירת מאגר של נתוני אשראי שונים. העברת מידע מסוג זה ואבטחה שלו הינם נושאים ביטחוניים חשובים, אשר אמורים לעשות תחת כיסוי אבטחה מלא על מנת למנוע דליפות מידע לאנשים לא מורשים וגם על מנת לשמור על פרטיות האזרחים.
איך זה עובד?
בנק ישראל הוא הגוף הממשלתי שאחראי על איסוף כל המידע הפיננסי אודותינו, אך את הדירוג עצמו מבצעות לשכות האשראי השונות (BDI, דן אנד ברדסטריט ועוד) ודירוג זה מתבסס על ידי אותם המדדים שציינו (הלוואות, צ'קים, מסגרות אשראי ועוד) כאשר לכל לשכה יש את צורת המדידה השונה משל עצמה. למשל דן אנד ברדסטריט מבצעים דירוגי אשראי הנע בין 150 נקודות ועד ל800. אך הדבר שאינו משתנה בין כל לשכות האשראי והדירוג שהן מבצעות, הוא אבטחת מאגר נתוני אשראי. כל אלו מאובטחים על ידי שורה של חוקים ותקנות אשר אמורים לשמור על נתוני דירוג האשראי שלנו ולמנוע זליגות לאנשים לא מורשים, פריצות סייבר, איכות ועוד.
נהלים לאבטחת מאגר נתוני אשראי
החוק מחייב שורה של נהלים שונים אשר ימנעו כל דליפה או סיכונים על שלמותם של מאגרי הנתונים. דגשים ונהלים אלו אמורים לכסות פרצות קיימות ועתידיות, והראשון שבהם מתייחס לבעלי התפקידים שאמורים לנהל את מאגר הנתונים. שכן חלק מקבלת אישור לפעול כחברה המבצעת דירוג נתוני אשראי ואוספת נתונים יש לעמוד בכמה תנאים מחייבים. הראשון מביניהם יהיה על החברה אשר תהיה חייבת למנות עובד בכיר מטעמה, על מנת לנהל את העברת המידע באופן שוטף, יהיה עליו גם להיות בעל כישורים באיסוף מידע ואבטחת מידע וכמובן שיהיה כפוף לגורמי אבטחה שונים וכמו כן על אחריותו תהיה גם שלמות המידע בעת העברה, רמת האמינות ועוד. יחד עם כל אלו על החברה להבטיח כי בזמן העברת מידע אליה, לא יעשה כל שימוש על ידי גורם שלישי לא מוסמך, המידע שיעבור יהיה זמין עבור הגורמים הרלוונטים ויועבר בצורה מוצפנת. בכל הקשור לנהלי אבטחה לשכות האשראי יהיו חייבות על יצירת אזור מאובטח אשר יהיה אזור נייטרלי, בעל מצלמות אבטחה, מבודד ועם מערכת ניטור. ועם כל אלו תבוצע בדיקת אבטחה אחת לשנה וחצי על מנת לאמוד את יכולת האבטחה של הלשכה. אל כל אלו מצטרפים עוד נהלים רבים אשר אמורים לשמור על המידע האישי שלנו, למנוע זליגות ולבצע דירוגי אשראי מדויקים ומעולים.