סיכוני סייבר בשרשרת האספקה
סיכוני סייבר בשרשרת אספקה
אם בעבר ארגונים לא נתנו את הדעת לאיומי הסייבר, היום סיכון הסייבר הפך לאחד הסיכונים העיקריים שאיתם מתמודדת הנהלת הארגון. לכן כל ארגון, בלי קשר לגודלו ולפעילותו העסקית, חייב לנהל את סיכון הסייבר ולהשקיע משאבים בהפחתתו.
כמעט מדי יום מפורסמות תקיפות סייבר שהתממשו, והנושא רלוונטי לקשת ארגונים רחבה, כגון בנקים, רשתות קמעונאות, חברות היי-טק וטכנולוגיה, מוסדות רפואיים, חברות תעופה, חברות תעשייה, וכמובן תשתיות קריטיות מדינתיות.
טייוואן סמיקונדוקטור, החברה הגדולה בעולם לייצור צ'יפים, חוותה באוגוסט האחרון התקפת סייבר רחבה, והדבר עלול לעכב ייצור מוצרים של חברות ענקיות כגון האייפון של אפל. זוהי רק דוגמה אחת בשורה ארוכה של דיווחים מטרידים מהתקופה האחרונה לגבי מפגעים באבטחת שרשרת האספקה העולמית.
מרחב הסייבר הארגוני שעליו יש להגן השתנה מאוד בשנים האחרונות. בעבר, רשתות ארגוניות היו סגורות וניתן היה לתחום אותן בצורה ברורה. כיום ההגדרה של ה-Perimeter ("הגבול ההיקפי") הארגוני הולכת ומיטשטשת. חלק מהמערך התפעולי והעסקי נמצא בענן, חלק מהשירותים שהארגון צורך מתקבל במיקור חוץ, הארגון תלוי בספקי משנה שמספקים לו שירותים, והאפשרויות של עבודה מרחוק הולכות ומתרחבות.
נשאלת השאלה האם הקמת מערך סייבר ארגוני מסורתי מספיקה? כיצד מנהלים את הסיכונים באופן מושכל? על מה שמים את הדגש? כיצד נמנעים ממצב של בזבוז ועודף השקעה? איך מבקרים נכון כדי שביום הדין נמשיך לעמוד ולספק שירותים ברמה סבירה?
התשובה כמובן מורכבת ולכל ארגון יש את סדרי העדיפויות שלו, אך הבסיס הוא הבנת הסיכונים המהותיים להמשך הקיום העסקי של הארגון, ומשם יש לגזור את הערכת הסיכון והבקרות המפצות.
דוגמה טובה לכך היא שרשרת האספקה המשרתת את הארגון. סיכוני הסייבר הנובעים מתוך שרשרת האספקה הם רבים ומגוונים, ומערך ההגנה הארגוני חייב לקחת אותם בחשבון ולמצוא דרכים כדי לזהות, להעריך ולטפל בהם.
תקיפות דרך שרשרת האספקה
בעידן שבו התוקפים מחפשים דרכים לפגוע בארגון, פגיעה בשרשרת האספקה הפכה לשיטה מועדפת במטרה למצוא את הדרך הקלה ביותר להיכנס לארגון. תוקף יעדיף לכוון את משאביו לשרשרת האספקה, שלרוב אינה בעלת מערך הגנה מקצועי ורחב כמו הארגון שלו היא מספקת שירותים.
במהלך השנתיים האחרונות אנו עדים לעלייה במספר התקיפות שבוצעו דרך ניצול שרשרת האספקה בארגונים שונים. על פי נתוני חברת סימנטק, בשנת 2017 אחוז התקיפות משרשרת האספקה עלו בכ-200% (10 תקיפות גדולות שבוצעו דרך שרשרת האספקה לעומת 4 תקיפות בלבד שבוצעו בשנים 2016-2015).
ככל שלארגון יש יותר ספקים, הסבירות לתקיפה שמגיעה משרשרת האספקה עולה משמעותית.
ניהול סיכוני שרשרת האספקה הארגונית – הלכה למעשה
שלב מיפוי הספקים
לצורך הבנה של סיכוני הסייבר, ראשית עלינו למפות את כלל הספקים בארגון. נדרש להבין מיהם הספקים, אילו שירותים הם מספקים לארגון, מיהם אנשי הקשר בספק, מיהם האנשים בארגון שנמצאים בקשר עם הספק, והאם הספק חתום על הסכם סודיות והנחיות אבטחת מידע של הארגון (אם יש כאלה).
בשלב הבא יש למפות את רשימת הספקים לפי דרגות חשיבות. נדרש לבחון מיהם הספקים המהותיים לארגון ומי לא. ניתן לדרג את רשימת הספקים לפי רמת חשיבות גבוהה, בינונית, נמוכה, או במגוון פרמטרים אחרים כגון ספק קריטי, מהותי/לא מהותי, אסטרטגי וכו'.
יש לבחון גם האם הספק נוטל חלק מהותי בשירות קריטי של הארגון. כלומר האם ללא השירות הניתן מהספק, הארגון אינו יכול לספק שירות מרכזי ללקוחותיו.
שלב הערכת הסיכונים
לאחר שלב המיפוי נדרש להבין מהם סיכוני הסייבר שאליהם חשוף הארגון מתוך שרשרת האספקה:
- האם הספק מחזיק במידע רגיש של הארגון?
- האם הספק חשוף למידע רגיש של הארגון?
- האם לספק יש גישה מרחוק לרשת הארגון?
כפי שצוין בתחילת המאמר, ספקים מהווים דלת כניסה לתוקפים לתוך הארגון, ולכן נדרש לבחון את רמת ההגנה של הספקים נותני שירות. בשלב הראשון יש לבחון את הספקים שהוגדרו כמהותיים. לאחר מכן ניתן להשלים את התהליך לכל שאר הספקים.
על מנת להבין את מערך הגנת הסייבר של ספקים, נדרש לבחון נושאים כגון בקרת גישה, אבטחה פיזית, הגנה על עמדות קצה ושרתים, רכיבי אבטחת מידע, תחזוקת והקשחות שרתים ומערכות, גישה מרחוק, ניהול וטיפול באירועי אבטחת מידע, גיבויים וכו'.
כל הפרמטרים האלה יעידו על חוזק מערך ההגנה של הספק מפני אירועי סייבר. ככל שהגנה של הספק מפני תקיפות חלשה יותר, כך הסבירות שתוקף יחדור לארגון באמצעות הספק היא גבוהה ויש לטפל בה בהקדם האפשרי.
ניהול סיכוני הסייבר של שרשרת האספקה
ארגון לא יכול להתמודד עם מה שהוא לא יודע, ולכן כדי להתמודד עם הסיכון אנחנו צריכים להבין את הסיכון. אם לא מתבצעת הערכת סיכונים לספקי הארגון, הארגון לא יוכל לדעת מהם הסיכונים שאליהם הוא חשוף ומה עליו לעשות כדי לצמצם את היקף החשיפה.
סקרי סיכונים ושאלונים הם מרכיב מהותי בשלב הערכת הסיכונים. בשלב זה על הארגון לבצע סקר סיכוני סייבר של הספק ולבחון את הנושאים לדוגמה שצוינו לעיל. ארגון יכול לבצע סריקות חיצוניות למשטח התקיפה של הספק ולבחון לאילו חולשות הספק חשוף. באמצעות סריקות אלה ניתן לבחון עד כמה הספק חשוף לתקיפות מבחוץ.
מתוך הסקרים השונים עולים ממצאים. מטרת הסקר היא להציף את הפערים השונים ולהציע דרכים ובקרות להפחתתם. הספק מקבל את הממצאים שעלו מתוך הסקר ומתחייב לתקנם תוך פרק זמן מסוים. הפקת תוכנית עבודה המכילה את הסיכונים, הממצאים וההמלצות הנדרשות היא מרכיב חיוני בתהליך ניהול הסיכונים ומאפשרת כלי מעקב נוח ליישום.
נושא ניהול הממצאים הוא מהותי לארגון. חשוב לעקוב אחר יישום ההמלצות ולוודא כי הספק אכן ביצע את מה שמוטל עליו מתוך תוכנית העבודה. אם הארגון מבצע סקר אצל ספק בשנה מסוימת ורק בסקר הבא (שמתקיים לרוב אחרי שנתיים) הוא בודק אם הממצאים תוקנו, מדובר בתהליך לא יעיל מפני שהרבה יכול להשתנות בשנתיים. המעקב אחר תוכניות העבודה לתיקון הליקויים צריך להיות עקבי ושוטף, אחרת הארגון נשאר חשוף לסיכונים מצד הספק ומסתכן בתקיפה שעלולה להגיע מתוך שרשרת האספקה הארגונית.
ראייה הוליסטית של ביקורות סייבר
לאור הסיכונים שהצגנו לעיל ולאור העובדה שהארגון לא מתנהל לבדו ויש שרשרת אספקה ענפה שמסייעת לו להגיע ליעדיו, תפיסת ביקורות הסייבר חייבת להשתנות.
ביצוע ביקורות סייבר לנושאים מקצועיים שונים היא חשובה מאוד ויש להמשיך בה. לדוגמה, ביצוע ביקורת דלף מידע, ביקורת על תהליך ניהול סיכוני הסייבר, ביקורת על תהליך ניהול ההרשאות והמשתמשים ועוד מגוון ביקורות אחרות.
כל נושא המבוקר על ידנו חשוב בפני עצמו, אולם האם בחנו את כל חלקי הפאזל? האם בחנו את כל הגורמים המהווים דלת כניסה לארגון?
ביקורת על תהליכי הניהול של שרשרת אספקה הפכה למהותית יותר ויותר בשנים האחרונות. אנחנו מבינים שארגונים לא נמצאים לבד במערכה. ארגון לא יכול להתנהל ללא שרשרת אספקה, והגנה על שרשרת האספקה חיונית בדיוק כמו ההגנה על משאבי הארגון.
נושאים לבדיקה בביצוע ביקורות על שרשרת האספקה:
- תהליך מיפוי הספקים – האם כל הספקים הפעילים בארגון מופו וקוטלגו לפי רמת חשיבות?
- תהליך הערכת סיכונים – האם בוצע סקר סיכוני סייבר לספק? האם הארגון מבין את החשיפות של הספק ואת השפעתן הפוטנציאלית על הארגון?
- תהליך ניהול סקרי סיכוני סייבר – האם הארגון מנהל את הסקרים בכלי מרכזי אחד המאפשר קבלת תמונה של מגוון הסיכונים שאליהם הוא חשוף מתוך שרשרת האספקה? ניהול ידני באקסלים פחות יעיל ככל שלארגון מספר רב של ספקים.
- תהליך ניהול הממצאים – האם קיים מקום מרכזי לניהול כלל הממצאים שעלו מתוך הסקרים? האם מתקיים מעקב שוטף אחר תיקון הממצאים?
- יעילות ביצוע הסקרים – האם לספקים מהותיים בוצע סקר מעמיק? לעיתים מתבצעים סקרים במסגרת זמן של כמה שעות ספורות. לעיתים מסגרת הזמן הזאת אינה מספקת על מנת להבין את הסיכונים המהותיים של הספק. יש לוודא כי הסקר הוא מקצועי ומעמיק בהתאם לרמת הרגישות של הספק לארגון.
- ביצוע תרגיל תקיפה על הספק – בחינה עד כמה הספק חשוף לתקיפות סייבר. יש לעגן חוזית מול הספק את נושא ביצוע תרגילי תקיפה עליו.
לאחר בדיקת הנושאים שצוינו לעיל ניתן לבצע ביקורת מעמיקה יותר שתבחן את רמת ההגנה של הארגון מפני תקיפות דרך שרשרת האספקה.
בסופו של דבר, מבחן התוצאה הוא המבחן הטוב ביותר על מנת לבחון את יעילות ואפקטיביות מערך הגנת הסייבר הארגוני.
ביצוע סימולציית תקיפה או תרגיל Red Team כאשר וקטור החדירה לארגון הוא שרשרת האספקה, יהווה ביקורת מעמיקה ומקיפה יותר על מערך ההגנה הארגוני מפני תקיפות דרך שרשרת האספקה.
תרגיל Red Team מקיף ובוחן את שכבות ההגנה השונות ללא מידע מקדים על הארגון, כך שתמונת הביקורת שתוצג לארגון תהיה יעילה יותר ובעצם תראה הלכה למעשה האם ניתן לתקוף את הארגון דרך שרשרת האספקה.
באמצעות הממצאים שעולים מסימולציית התקיפה או מתרגיל ה-Red Team ויישום ההמלצות שיעלו מתוך הביקורת, הארגון יוכל לשפר את מערך ההגנה שלו בצורה ממוקדת יותר ובזמן קצר יותר, דבר שיוביל לחיסכון רב של משאבי הארגון.
סיכום
מערך ההגנה הארגוני שלנו אינו מסתיים רק ב-Perimeter ("הגבול ההיקפי") הארגוני אלא כולל גורמים נוספים שמהווים דלת לתוך הארגון.
שרשרת האספקה הפכה ליעד מרכזי של תוקפים כדי לקבל גישה לתוך הארגון בדרך קלה יחסית מאשר לפרוץ מערכי הגנה בשלים ומתקדמים.
הסיכונים הנובעים מתוך שרשרת האספקה עלולים להוביל לנזק פוטנציאלי משמעותי עבור הארגון ולעיתים אף לאיים על המשך קיומו . לכן תהליך ניהול שרשרת האספקה הארגונית הוא תהליך חשוב ומהותי על מנת לבחון את סיכוני הסייבר שאליהם עלול הארגון להיות חשוף.
ביצוע ביקורות על תהליך ניהול שרשרת האספקה ככלל, וניהול סיכוני הסייבר של שרשרת האספקה בפרט, הוא מהותי על מנת להבין את כל חלקי הפאזל של נושא מורכב כמו הסייבר.
