ניהול סיכוני סייבר בשרשרת האספקה – מהם הסיכונים ודרכי הטיפול בהם


התלות הארגונית בשרשרת האספקה

תלות ארגונית בשרשרת אספקה היא כבר נחלת מרבית הארגונים בעולם. ארגונים משתמשים בספקים כדי לקיים פעילות עסקית מגוונת, ואף מבססים תהליכים קריטיים בליבת הפעילות הארגונית על גורמים מצד שלישי. מה שלא תמיד נלקח בחשבון הוא הסיכונים בחשיפת מידע ארגוני עם גורמי צד ג'. בהיעדר ניהול סיכונים ראוי, עשוי המידע הזה לדלוף, לגרום נזק כלכלי אדיר ופגיעה במוניטין.

 

החיבור בין Resilience ל-TPRM

כל ארגון שרוצה להגן על עצמו, צריך לשאול: איפה איומי סייבר פוגשים את הארגון? כשארגון מטפל כראוי בהגנה על שרשרת האספקה, הוא מונע בסבירות גבוהה את ההיתכנות למתקפות סייבר עליו. בכך הוא מחזק את החוסן (Resilience) של שרשרת האספקה בפני איומי סייבר שונים. 


מהם סיכוני הסייבר הנפוצים בשרשרת האספקה?

דליפת מידע - האקרים שמנסים לפגוע בארגון דרך פגיעה בשרשרת האספקה שלו, ומשיגים גישה לנתונים על לקוחות, מידע פיננסי וסודות מסחריים שונים. לפי סוכנות המחקר של האיחוד האירופי, יותר מ-60% מדליפות המידע מארגונים ברחבי העולם הם תוצאה של חשיפה לפרצות אצל גורמי צד שלישי המחזיקים את המידע.

כופרה - האקרים המשתילים תוכנות כופרה כדי להצפין מידע קריטי לארגון, ולדרוש כופר לאחר מכן. ארגונים משקיעים משאבים רבים כדי להימנע מ"שיתוק" הפעילות הארגונית, אך לא משקיעים מספיק במניעת פגיעה בפעילות ארגונית שתלויה בצד שלישי ואינה בשליטתם הישירה.

חדירה דרך גורמי צד ג' - במקרים רבים קיים חיבור ישיר משרשרת האספקה ישירות לרכיבי ליבה ברשת הארגון. מספיק שגורם חיצוני אחד לא יהיה מוגן כראוי מפני איומי סייבר בשרשרת האספקה - והאיום יוכל לחדור גם אל הארגון עצמו. לפי מכון המחקר גרטנר, יותר מ-80% מהארגונים לא מנהלים באופן סדור את סיכוני הסייבר בשרשרת האספקה שלהם.

מקרים רבים שעמם התמודדו ארגונים שחוו פרצות סייבר שמקורן בשרשרת האספקה, חשפו את הארגון לסיכונים, וחלקם אף נאלצו להשבית תהליכים קריטיים בשל כך. מקרה כזה, שאירע בסוף פברואר 2022 וזכה לתהודה עולמית, היה מתקפת הסייבר על קוג'ימה, ספקית רכיבים קריטיים לפעילות הייצור של טויוטה. המתקפה הביאה להשהיית הפעילות של 28 קווי ייצור ב-14 אתרים שונים - כשליש מכוח הייצור הגלובלי של טויוטה - וגרמה לטויוטה נזקים כלכליים ולוגיסטיים אדירים.

תחקיר שנעשה בעקבות האירוע העלה שמדובר בסבירות גבוהה במתקפת כופרה. להערכת רבים, סטנדרט גבוה יותר של אבטחת מידע בקוג'ימה יכול היה למנוע את המתקפה הזו. האירוע הזה מלמד אותנו על האחריות של הארגון או הלקוח להגדיר את רמת אבטחת המידע שהוא דורש מהספקים שלו - ולוודא באופן אקטיבי שהם עומדים בה.

מקרה נוסף, ואחד מאירועי הסייבר המשמעותיים והחמורים של השנים האחרונות, הוא הפריצה לחברת התוכנה SolarWinds, שהייתה רעידת אדמה בתחום, והשפיעה רבות על עולם האבטחה וטכנולוגיות המידע. מתקפת הסייבר הסתובבה בחשאי בתוך חברת SolarWinds במשך חודשים, עד שהתגלתה במארס 2020. לאחר החשיפה התברר שהאקרים מקצוענים פרצו לפירמת טכנולוגיות המידע ושתלו קוד זדוני בעדכוני התוכנה שנשלחו ללקוחות החברה. מכיוון שהמוצר של החברה מוטמע במערכות של מגוון חברות - בהן Microsoft, Deloitte, Intel - וכן במשרדים ממשלתיים בארה"ב ובמדינות נוספות, הפריצה השפיעה באופן בלתי נמנע גם על הארגונים השונים. מתקפת הסייבר גרמה לנזק אדיר ל- SolarWindsולארגונים שעשו בה שימוש כטכנולוגיית צד שלישי.

מתקפות מסוג זה מדגישות את החשיבות של תכנון מוקדם של מערך ההגנה והאבטחה על הארגון, תוך שקלול כל ההיבטים והגורמים המעורבים בו. במקרה זה, לקוחות רבים לא ראו את SolarWinds כחלק משרשרת האספקה שלהם, ולא הבינו בזמן שהיא למעשה ספקית שלהם. מיפוי וסיווג נכון של שרשרת האספקה, כולל קריטריונים מוגדרים היטב לרמת השפעה עסקית וטכנית יכול היה למנוע או לצמצם משמעותית את ההשפעה על החברות שנפגעו.

 

כיצד לטפל באיומי סייבר בשרשרת האספקה?

1) מיפוי וסיווג - המיפוי הוא למעשה הבנת שרשרת האספקה. מרכיבים, מאפיינים ייחודיים, גורמים שלוקחים בה חלק ועוד. כפי שכל ארגון שונה ממשנהו, כך שרשרת האספקה שונה מארגון לארגון. לאחר המיפוי כלל הספקים עוברים במשפך קריטריונים אשר מסווג גורמי צד שלישי שבהם הכי חשוב לטפל. 
2) הערכה - הפעלת טכנולוגיות שונות אצל הספקים בכדי לקבל תשובות בנוגע לאיכות הגנת הסייבר אצל הספק.
3) ולידציה - ניתוח התשובות של הספקים, היתוך מידע ויצירת תוכניות עבודה ייעודיות לארגונים במטרה לטפל בסיכונים הספציפיים הנובעים מעבודה מול ספק מסוים, הן עבור הספק והן עבור הארגון.
4) הפחתת הסיכון - ליווי הספקים בטיפול באיומי הסייבר אליהם הם חשופים. התהליך חשוב במיוחד עבור ספקים שאינם "חיים" את עולמות הסייבר ואבטחת המידע באופן שוטף.


אפשר למנוע את המתקפה הבאה!

כדי למנוע את מתקפת הסייבר הבאה על הארגון שלכם, מרכז הסייבר של BDO מציע שירות מתקדם לניהול סיכוני סייבר בשרשרת האספקה, באמצעות תכנון מוקדם, ניתוח מעמיק של הסיכונים השונים ושימוש בטכנולוגיות המובילות והמתקדמות בעולם. צרו עכשיו קשר עם המומחים של BDO.

 

לפרטים נוספים מוזמנים ליצור קשר עם:
גדעון מרגולין
gideonma@bdo.co.il