בשנים האחרונות אנחנו עדים לעלייה בהיקף ובתחכום של מתקפות סייבר בכלל, ומתקפות סייבר בשרשרת האספקה בפרט. כיצד נכון להגיב להתפתחות הזאת, האם ארגונים נוקטים באמצעים הנכונים ואילו טכנולוגיות כדאי לאמץ? כדי ליצור פתרון אפקטיבי יש לשלב את הטכנולוגיות הנכונות עם התהליכים המתאימים במטרה לתת את המענה המיטבי לאתגר.
שרשרת האספקה אוsupply chain, vendor management, Third party risk management (TPRM) - הם שמות ליכולת של ארגון לנהל את הסיכונים הנובעים מהחיבור שלו לארגונים חיצוניים. אנחנו משתמשים במונח TPRM מתוך הבנה שלארגונים יכולים להיות כל מיני סוגי חיבורים חיצוניים, שלא כולם נופלים תחת הקטגוריה של ספק. המבט על עולם שרשרת האספקה מתרחב, וכולל פרספקטיבות נוספות עם עוד בעלי עניין בתוך הארגון, שצריכים לקחת חלק בתהליך ולשאת באחריות.
מחקר שפרסם מכון גרטנר בתחילת 2023 סוקר את הכלים המרכזיים בשוק שנותנים פתרונות טכנולוגיים לעולמות שרשרת האספקה. המחקר מביא מגוון היבטים של ניהול סיכוני שרשרת האספקה, הן מהיבטים קלאסיים והן מהיבטים מתפתחים. לדוגמה, ההיבט הקלאסי של ניהול סיכוני סייבר בשרשרת האספקה אצל ספקים הוא זה שבו מעריכים את העמידה של ספקים בסטנדרט אבטחת המידע שהארגון הגדיר, או ניהול היבטי הפרטיות בקרב ספקים, שעוסק באחריות של ארגון על מידע פרטי ששייך לו אך לא נמצא בשליטתו. דוגמה נוספת ניתן להביא מעולם ה-ESG, שעוסק בהיבטים הסביבתיים והאתיים של הארגון, ובכלל זה בעמידה של הספקים בסטנדרטים שהארגון מחויב אליהם.
בהמשך מנתח המחקר של גרטנר את אחוז המימוש של תוכניות ורמת האפקטיביות שלהם בקרב ארגונים. המחקר מראה כי בעולמות הציות (Compliance) ובעולמות ההערכה הפיננסית של ספקים, רוב הארגונים הקימו תוכנית ומנהלים אותה בצורה רצינית. לעומת זאת, בעולמות ניטור האירועים אצל ספקים ובתחום שקיפות התהליכים הכוללים מול שרשראות האספקה, אחוז המימוש ורמת האפקטיביות נמוכים בהרבה. עולם ניהול סיכוני הסייבר נמצא איפשהו באמצע.
כלים טכנולוגיים לא נותנים מענה מספק
קיים מגוון רחב של כלים טכנולוגיים לניהול ההיבטים השונים של הסיכון, אולם כל אחד מהכלים האלה מאפשר ראייה צרה של הבעיה - כזו שרואה את הסיכון מזווית צרה בלבד.
האתגר רחב ויש בו אספקטים מגוונים, שחלקם מוכרים בשוק, וארגונים כבר נותנים להם מענה, וחלקם עדיין בוסריים. עם הדרישה בשוק התפתחו גם טכנולוגיות רבות שנותנות מענה למגוון עולמות הסיכון. למשל, כלי סריקה של נכסים אינטרנטיים, שתפקידם להראות את רמת החשיפה הכללית של ארגונים לסיכונים מרשת האינטרנט (משטח תקיפה חיצוני), או כלי הערכה המבוססים על שאלונים חכמים שמממשים פרקטיקה של הערכת עמידה בסטנדרט או רגולציה.
קיימים גם כלי ניהול מידע ותהליכים ייעודיים לשרשרת האספקה, שיכולים לשכלל את הניהול, ואפילו כלים המבוססים על מנועי אינטליגנציה מלאכותית (AI) שמאומנים ספציפית לעולמות אלה ומשמשים לייעול תהליכים ידניים. אבל האם כל הבעיות נפתרות על ידי טכנולוגיה?
התשובה כמובן היא שלילית. מודולים טכנולוגיים מקלים על העבודה והופכים אותה לפחות ידנית, אבל ארגונים שכבר החלו לעבוד עם מודול טכנולוגי יודעים שיש בעיות שהוא לא פותר - אלא רק מעביר את צוואר הבקבוק למקום אחר בתהליך.
הנה כמה דוגמאות לבעיות שארגונים ממשיכים להתמודד עמן, על אף שהקימו תוכנית ניהול סיכוני שרשרת אספקה והטמיעו טכנולוגיות ייעודיות לעניין:
- מיפוי וסיווג - האם הארגון יודע לאפיין היטב את שרשרת האספקה שלו? האם הוא מכיר את כל הארגונים מולם הוא עובד ויודע לסווג אילו מהם יש להכניס לתוכנית ניהול הסיכונים?
- ולידציה - מה עושים עם התשובות שהתקבלו מהערכת הספקים? כיצד נדע שאנחנו דורשים מספקים רק את מה שרלוונטי להתקשרות שלהם איתנו?
- אופרציה יעילה - תהליך ניהול סיכוני שרשרת האספקה הוא אדמיניסטרטיבי מאוד, וכולל שליטה בפרטים של עשרות, אם לא מאות ארגונים. טיפול אפקטיבי בסיכונים מוסיף אפילו יותר פרטים שיש לשלוט בהם.
התהליכים המשמעותיים בתחום ניהול סיכוני שרשרת האספקה בשנה הקרובה
הנה כמה מהתהליכים שאנחנו מזהים כמשמעותיים בשנה הקרובה, ומתכוונים לשים עליהם דגש:
אוטומציה - תהליך ניהול סיכוני שרשרת האספקה יכול להיות מסורבל, אדמיניסטרטיבי, רפטטיבי ומתסכל. המטרה שלנו היא לצמצם עבודה ידנית בכל מקום שבו זה אפשרי, על ידי יצירת תהליכים אוטומטיים במערכת הניהול המרכזית שלנו ועל ידי אינטגרציה של טכנולוגיות אוטומציה נוספות.
שדרוג יכולת האנליזה - אנו רוצים לשפר את היכולת לבצע אנליזה והיתוך מידע בצורה חכמה. התפתחות מודולי שפה מבוססי NLP ו-LLM, שמאומנים ספציפית לעולמות שרשרת האספקה, מאפשרים לנו להגביר את היכולת לבצע אנליזות בהיקף רחב ולשבור חסמים שעד כה הגבילו את התהליך.
- - ארגונים שמנהלים את סיכוני שרשרת האספקה ממגוון היבטים, ולא רק מהיבט הסייבר, מייצרים חסינות גבוהה יותר לסיכון. אנו מתכוונים להמשיך לשלב עוד טכנולוגיות במטרה להגדיל את ההגנה ולספק ללקוחות שירות מקיף יותר.
מרכז שרשרת האספקה של BDO
הקמנו ב-BDO מרכז ייעודי לעולמות ניהול סיכוני סייבר בשרשרת האספקה של לקוחותינו, הכולל אנליסטים ומומחים לנושא. אנו עושים שימוש בטכנולוגיה מקיפה הכוללת מערכת ניהול מרכזית שמתפקדת גם כמערכת ניהול מידע ואופרציה וגם כמערכת ניהול סיכונים, שאליה מחוברים כל כלי ההערכה שאנחנו משתמשים בהם. לבסוף, כלל התהליך מושתת על מתודולוגיה סדורה של ניהול סיכונים, כולל הסתמכות על סטנדרטים מוכרים בתחום בכל מקום שאפשר.
הגישה שלנו במכרז הסייבר של BDO לטיפול בניהול סיכוני שרשרת האספקה, מורכבת מארבעה שלבים מרכזיים:
- מיפוי וסיווג - עבודה פנימית בתוך הארגון כדי לוודא שכל התהליכים המרכזיים שמערבים צדדים שלישיים נלקחים בחשבון. התוצר של עבודה זו הוא רשימה רחבה של יישויות צד שלישי שהארגון נמצא עמן בהתקשרות כזו או אחרת. לאחר מכן מתבצע סיווג ספקים, שבו אנו מעבירים את כל הצדדים השלישיים במשפך קריטריונים שמטרתו לייצר תוכנית הערכה, הכוללת בתוכה רשימה מתועדפת של יישויות שאותן יש לנהל במסגרת התהליך.
- הערכה - בשלב זה מופעלים על כלל הארגונים שנכנסו לתוכנית העבודה מודולי הערכה, בהם סריקת הנכסים האינטרנטיים שלהם, סקר סיכוני סייבר, פרטיות, שאלונים עסקיים ועוד. בסוף שלב זה תהיה ברשותנו תמונה כללית של הסיכון הנשקף מהספק.
- ולידציה - מטרת השלב הזה היא לייצר עבור הספקים סט דרישות שכולל מענה רק לבעיות הקשורות לאופי הספק ולאופן ההתקשרות שלו מול הארגון, ולא לכלל הסיכונים הכלליים ששוקפו בשלב ההערכה. הוולידציה מתבצעת על ידי היתוך המידע מתוך הארגון כפי שאספנו בשלב המיפוי והסיווג עם המידע מצד הספק משלב ההערכה. היתוך זה מאפשר לנו לייצר תמונת סיכון ייעודית ולדרוש מהספקים לטפל רק במה שבאמת מסכן את הארגון.
- מיטיגציה - השלב האחרון שבו אנו מלווים את הספקים במימוש תוכנית הטיפול בממצאים, ומסייעים להם בהבנה של מה נדרש מהם ברמה הטכנית והטכנולוגית, וכן ברמת ניהול הסיכון - כלומר להבין כיצד הכי נכון לצמצם את הסיכון ואילו בקרות מפצות אפשריות קיימות.
ניהול סיכוני סייבר בשרשרת האספקה הוא אירוע מורכב, הכולל בתוכו מגוון אספקטים ובעלי תפקידים בתוך הארגון. ניתן לנהל את האירוע בצורה אלגנטית ומקיפה, על ידי הגדרת התהליכים הנכונים, אימוץ טכנולוגיות רלוונטיות וחשיבה חדשנית ופרקטית.
לפרטים נוספים מוזמנים ליצור קשר עם:
גדעון מרגולין
gideonma@bdo.co.il
הירשם לניוזלטר
Please fill out the following form to access the download.