מאמרים:

ניהול אבטחת שרשרת האספקה – חיזוק החוליה החלשה בשרשרת

14 אוקטובר 2018

סיון דרור , מנהלת תחום אבטחת מידע וסייבר |
גלעד ירון , מנהל תחום פרטיות ואבטחת ענן |

פגיעה בשרשרת האספקה ​​הפכה שיטה מועדפת של ריגול וחבלה מאז תחילת תהליכי הייצור המורכבים.

החל משנת 2015 אנו רואים גידול של כ-70% בהתקפות ארגונים דרך שרשרת האספקה. מחקרים של חברת VERIZON ואחרים מעריכים כי בשלושת השנים הקרובות אנו נחווה "מגה פיגועי סייבר" דרך ערוץ זה.

טייוואן סמיקונדוקטור, החברה הגדולה בעולם לייצור צ'יפים, הוכתה לפני מספר ימים בהתקפת סייבר רחבה. הדבר עלול לגרום עיכוב בייצור מוצרים של חברות ענקיות כגון האייפון של אפל. זוהי רק דוגמה אחת בשורה ארוכה של דיווחים מטרידים מהתקופה האחרונה לגבי מפגעים באבטחת שרשרת האספקה ​​העולמית.

כפי שאומר הפתגם - השרשרת חזקה כחוזק החוליה החלשה שלה. ככל שהשרשרת ארוכה ומבוזרת יותר, כך היא פגיעה יותר. הארגונים פגיעים כמו הספק הקטן ביותר והפגיע ביותר שלהם.

ניהול אבטחת שרשרת האספקה הינו תחום חדש יחסית ששורשיו במספר תחומים כולל ניהול שרשרת האספקה, סחר בינלאומי, ניהול איכות, ניהול סיכונים, יבוא ויצוא, חוקים ותקנות בינלאומיות וכמובן אבטחת מידע והגנת הסייבר.

השחקנים הנוטלים חלק באבטחת שרשרת האספקה גם הם רבים. מעבר למפעילי השרשרת ובעליהן של כל תחנה בדרך חשובה מעורבותם של גורמים בכל אחת מהמדינות בשרשרת לרבות ממשלות, סוכנויות ביטוח, רגולטורים.

אבטחת שרשרת האספקה דורשת יישום אמצעי הגנה בממדים שונים תוך שיתוף גורמים רבים לרבות:

  • אבטחה פיזית - גדרות, מצלמות, בקרות גישה וכדומה;
  • משאבי אנוש - בחירה ובחינה של כל הגורמים האנושיים המעורבים בשרשרת;
  • אבטחת מערכות המידע - החל במערכות הקלאסיות כגון ERP לייצור, CRM למכירות ותפעול עד למערכות בקרה ותפעול כגון TMS לניהול תחבורה;
  • מעקב ובקרה – האם מה שהגיע הוא מה שהזמנו? כאן אנחנו מתחברים למסלול המחשוב למערכות ERP וכדומה. 
  • ציות – ודאו כי הספקים שלכם עומדים בסטנדרט מקובל.  

מה עלול לקרות לסחורה בדרך מן הספק (לספק המשנה) ליעד? תרחישים שונים, כמו, למשל:

  • פגיעה או החלפה של הסחורה לפני המשלוח;
  • שתילת מכשירי האזנה, תולעים וחולאים אחרים ברכיבי תכנה/חומרה;
  • פגיעה במערכות המידע המנווטות את נתיבי התחבורה - מטוסים, אניות, משאיות;
  • פגיעה, שינוי או גניבה של מידע הנמצא במערכות ניהול המידע בשרשרת כגון מערכות ERP;
  • השתלה של עובד המשתף פעולה עם גורם עוין באחת מחוליות השרשרת, למשל במחסנים;
  • יכולות אבטחת מידע לוקות בחסר מצד הספק גורמות לכך שהמוצר יהיה פגיע;
  • ניצול לרעה של יכולתו של הספק לגשת באופן פיזי אל אתרי העיבוד של המידע ולגנוב/לשנות/לפגוע במידע;
  • גישה לא מורשית למידע המאוחסן באופן זמני או קבוע בחצרות הספק.

לחלק גדול  מהארגונים אין יכולת לנהל את אבטחת שרשרת האספקה באופן עצמאי בשל מחסור בכסף, אנשים, זמן וידע.

לספקים נמאס שכל יום מגיע אליהם עוד סוקר חטטן או שאלון נוסף ששואלים שוב ושוב את אותן שאלות.

ניהול יעיל של אבטחת שרשרת האספקה, בסיוע גוף המתמחה בנושא, תבטיח שיפור ברמת אבטחת שרשרת האספקה תוך מינימום הפרעה להתנהלות השוטפת של העבודה.

BDO פיתחה מתודולוגיה ייחודית להתמודדות מערכתית עם אבטחת שרשרת האספקה, והיא מסייעת ללקוחותיה להתמודד עם תחום זה. המתודולוגיה כוללת, בין היתר, את השלבים הבאים:

הקמת מסגרת

  • קביעת מדיניות לטיפול באבטחת השרשרת בהתאמה עם יעדי הארגון והסיכונים הרלוונטיים;
  • הגדרה ברורה של תפקידים ואחריות בנושא;
  • תיעוד מפורט של כל אחד מתהליכי העבודה הרלוונטיים;
  • הדרכת העובדים והשגת מחויבות של מנהלי הארגון;
  • הגדרת דרך לבחינת יעילות המסגרת.

מיפוי

  • מיפוי הספקים בשרשרת;
  • אפיון מה עובר דרכם (חומר/מידע/כסף);
  • אפיון ההשפעה העסקית העלולה להיגרם כתוצאה מפגיעה בכל המישורים - איכות, זמינות, אמינות, סודיות וכדומה;
  • בניית מדד הקובע מי הספקים הקריטיים ביותר לארגון.  

ניהול סיכונים

  • ניהול הסיכונים אליו חשוף הארגון עקב התקשרות עם כל ספק;
  • הערכת הסיכונים שזוהו בהתאם למתודולוגיית ניהול הסיכונים הקיימת בארגונכם;
  • קביעת הבקרות הנדרשות לצמצום הסיכונים;
  • עיצוב תכנית להתמודדות עם הסיכונים שזוהו;
  • הגדרת דרישות מן הספקים שלכם לבקרות אבטחת המידע והסייבר אותם עליהם לממש על מנת לצמצם את הסיכונים;
  • עדכון חוזי ההתקשרויות שלכם עם הספקים, כך שיכללו את הדרישות שאופיינו;
  • יישום מנגנונים המאפשרים לספקים למלא שאלונים המאפיינים את רמת בשלות הבקרות הקיימת אצלם בארגון. ניתן ומומלץ לעשות שימוש במערכות מקוונות למילוי, הערכה ובקרה של שאלונים אלה;
  • ביצוע ביקורת בחצרות הספקים הקריטיים שלכם. בחינה של התהליכים והבקרות בהם הם נוקטים, והאם הם עומדים בדרישות שהצבתם;
  • דירוג רמת הסיכון של כל ספק בהתאם לממצאי השאלונים/הביקורות שיבוצעו;
  • הגדרת תכנית הפחתה לסיכונים שזוהו אצל הספק ולוחות זמנים ליישום;
  • ביצוע מעקב שוטף אחר יישום תכנית ההפחתה ווידוא עמידה בלוחות הזמנים.

ניהול התהליך  

  • מנו גורם מקצועי, המתמחה בעולם זה, אשר ינהל את התהליך ויהיה אחראי על ניהול סיכוני שרשרת האספקה בארגון (ניתן לרכוש זאת כשירות מנוהל מקצה לקצה);
  • שיקלו אסמכה לתקן 28001 ISO אשר מביא גישה שיטתית לניהול אבטחת שרשרת האספקה.
  • שיקלו הצטרפות לתכנית וולונטרית אותה אימץ המכס הישראלי המכונה "גורם כלכלי מאושר" אשר קובעת סטנדרט לאבטחת שרשרת האספקה. מי שמצטרף לתוכנית זוכה להקלות בבדיקות בהן נוקט המכס ובכך חוסך זמן וכסף.  גם ארה"ב מקנה זכויות לשותפים בתכנית. התכנית מיועדת לכל החוליות בשרשרת האספקה לרבות יצואנים/יבואנים, מסופי מטען, נמלי ים ואוויר ועוד.  

 

צרו קשר עם המומחים שלנו לסייבר