איומי סייבר בשרשרת האספקה - הגילדה - הבית של מנהלי הביטחון

נועם הנדרוקר | שותף ומנהל תחום ייעוץ סייבר גלובלי | BDO ישראל

שותף ומנהל תחום ייעוץ סייבר גלובלי, BDO ישראל.
מומחה בתחום הסייבר, לרבות טכנולוגיות מתקדמות.
ניסיון רב שנים ביזמות, בתכנון ויישום אסטרטגיה, בניהול אנשים, תהליכים ותקציבים, בשיווק ובמכירות.
השכלה: תואר ראשון במדעי המחשב, תואר שני במנהל עסקים.

הקדמה

היום, ביחס לשנים קודמות, איומי הסייבר נתפסים יותר ויותר מוחשיים ומסוכנים, ובהתאם גם נכונות הארגונים השונים להקצות יותר ויותר משאבים לצורך ההתמודדות הנדרשת איתם.

מידי יום אנו נחשפים לדיווחים בתקשורת אודות תקיפות סייבר שונות ומגוונות אשר מאתגרות ומחבלות בקשת רחבה של אובייקטים, ביניהם חברות פרטיות, תשתיות מדינה, בנקים, בתי חולים, תחבורה ציבורית וכו' וכו'. רוב הארגונים, בלי הבדל סוג, גודל, מטרה וכד', חשופים בפני איומי סייבר ברמות סיכון שונות.

לצורך ההמחשה, טייוואן סמיקונדקטור (Taiwan Semiconductor, TSMC), החברה הגדולה והמובילה בתחום ייצור השבבים, חוותה תקיפת סייבר רחבה אשר פוטנציאל הנזקים בגינה היה גבוה וקריטי, לרבות נזקים לחברות גדולות נוספות אשר משתמשות ותלויות במוצריה כגון אפל. זוהי רק דוגמה אחת מיני רבות בה תקיפת סייבר חיבלה בשרשרת אספקה בקנה מידה גלובלי. הנתונים לגבי תקיפות סייבר כגון זו מלמדים אודות זינוק של מאות אחוזים בשנים האחרונות.

להבדיל מהימים בהם הרשתות הארגוניות היו תחומות וסגורות, היום הן השתנו וכך גם מרחב הסייבר לו נדרשת הגנה. ארגונים מודרניים רבים מאמצים מבנה רזה ומבוזר יותר, והתיחום של הגבול ההיקפי (Perimeter) נהיה מטושטש יותר – חברות פותחות אפשרויות של גישה מרחוק, חברות מאחסנות אינפורמציה ונתונים בשירות ענן, חברות מקבלות שירותים במיקור חוץ ואפילו דרך ספקי משנה. בהתאם, הגבול ההיקפי נהיה קשה להגדרה, להכלה ולשליטה.

לאור זאת, השאלות המתבקשות הן – יש להקים מערך סייבר ארגוני מסורתי או שנדרשים כלים מיוחדים? איך מנהלים את הסיכונים ומקצים את המשאבים בהתאם? איך מבטיחים את חוסן המערך במקרה הצורך?

התשובות כמובן תלויות בשיקולים הייחודיים של הארגון, אך הבסיס המשותף הוא – הבנה של הסיכונים המהותיים להמשך הרציפות התפקודית ולהמשך הקיום של הארגון.

מקרה בוחן – שרשרת האספקה

בראיית התוקף – הארגון הוא המטרה, אבל שרשרת האספקה של הארגון היא הדלת פנימה. גם במקרה בו הארגון מציב הגנה ברמה גבוהה, שרשרת האספקה של הארגון היא חיצונית והשליטה בה מוגבלת. לפיכך, חדירה אליה לצורך חדירה לארגון היא דרך קלה יותר ותרחיש מצוי. בנוסף, שרשרת מרובת חוליות, במקרה זה ספקים, מייצרת יותר פרצות פוטנציאליות לתוך הארגון.

מבחינת הארגון, החוליות החלשות ביותר בשרשרת האספקה הן הפרצות החושפות אותו לאיומים. מבחינת התוקף, הוא רק צריך לזהות את אחת מהן ולנצל אותה.

תוכנית הגנה נגד סיכוני סייבר

1. שלב מיפוי הספקים

נקודות מרכזיות: זהות הספקים, השירותים או המוצרים שהם מספקים, נציגי הספקים, נציגי הארגון בהתנהלות מולם, חוזה ההתקשורת לרבות התייחסות להיבטים של הנחיות אבטחה (הארגון מנחה את הספק) ושל סודיות, ספקי משנה וכו'.

בהמשך, יש למפות את הספקים ולבסס דירוג חשיבות, בהתאם לשירותים או למוצרים אשר הם מספקים לארגון. החשיבות הגבוהה ביותר תהיה לספקים אשר לוקחים חלק מהותי ואף קריטי בשירות הארגון כלפי לקוחותיו.

2. שלב ניתוח וניהול הסיכונים

נקודות מרכזיות: נתונים רגישים של הארגון אותם הספק מחזיק או אליהם הספק חשוף, גישה מרחוק של הספק אל הרשת הארגונית, סקר סיכונים של הארגון אצל הספק, ממצאים אודות ליקויים ותוכנית תיקונים.

הארגון, בהיותו חשוף לחדירה דרך שרשרת האספקה, נדרש לקיים בחינה של רמת מערך ההגנה של הספקים.

בהתאם לדירוג החשיבות מהשלב הקודם, הארגון יקצה משאבים לבחינה זו, אשר תיפתח בסקר סיכונים מבוסס שאלונים מובנים. הגורמים במסגרת בחינה זו יהיו, בין היתר, אבטחה פיזית, בקרות גישה, תחזוקה והקשחה של שרתים ותוכנות, גיבויים וכו'.

תרחישי הסיכון גם הם רבים ומגוונים, ביניהם ניתוק זמינות שירותים, ניתוק תקשורת, גניבה או חשיפה של אינפורמציה רגישה (של הארגון או של לקוחותיו), שתילה של וירוסים, האזנות וכו'. במקרים הללו, הנזקים לארגון יהיו כבדים, הן כלכלית והן תדמיתית.

במקרים בהם סקר הסיכונים של הארגון אצל הספק יציג ממצאים אודות חולשות וליקויים אשר חושפים את הארגון לאיומים, יהיה צורך בגיבוש תוכנית של פתרונות אפשריים מומלצים. הספק יהיה מחויב ליישם את התוכנית ולסגור את הפרצות בתוך פרק זמן קצוב.

3. שלב הבקרה והביקורות

לאור ההבנה לפיה הארגון תלוי בשרשרת האספקה ולאור האיומים הרבים בהיבט זה, התפיסה לגבי הבקרה והביקורות בתחום הסייבר חייבת להיות מחמירה יותר – הארגון מחויב להתייחס לספקים בשרשרת האספקה, חרף היותם חיצוניים, כמרכיב אינטגרלי במערך ההגנה שלו.

ראשית, יישום תוכנית הטיפול הנדרש בחולשות ובליקויים הוא קריטי לארגון שהרי אחרת הוא יהיה חשוף לתקיפה דרך הספק. הבקרה אודות יישום התוכנית חייבת להיות שוטפת וקפדנית.

שנית, ביקורות בכלל נקודות החשיפה של הארגון לתקיפות חייבות להתקיים ברמה גבוהה ובתדירות גבוהה. ממוני הביטחון בארגונים מחויבים לגלות פתיחות מחשבתית, לאמץ את ראיית התוקף ולבחון את מערך ההגנה שוב ושוב, נגד איומים רבים ומגוונים.

ברמת הביקורות, המבחן הטוב ביותר הוא מבחן המציאות והתוצאה. לצורך כך, תרגיל 'צוות אדום' התוקף את הארגון דרך חדירה לשרשרת האספקה יהיה האינדיקציה המהימנה ביותר לגבי רמת מערך ההגנה של הארגון. תרגיל שכזה יציג תמונה מציאותית של המצב הנתון ויפיק ממצאים, מוכרים לצד חדשים.

סיכום

מערך ההגנה של הארגון תמיד יצטרך לחרוג מהגבול ההיקפי המסורתי וזאת בשל התלות בגורמים חיצוניים אשר מקיימים איתו ממשקים שוטפים. שרשרת אספקה היא דוגמה מובהקת לכך שהרי החוליות החלשות בה חושפות את הארגון לתקיפה ולנזקים, חלקם אפילו ברמות סיכון של המשך הרציפות התפקודית והמשך הקיום.

לפיכך, הארגון נדרש להתייחס גם למערך ההגנה של הספקים, לבחון אותו, לזהות חולשות וליקויים, לדרוש את הטיפול בהם ולקיים בקרה וביקורות כדי להבטיח את שימור יכולות ההגנה של הארגון.

קריאה נוספת אודות איומי סייבר בשרשרת האספקה