עקב אכילס של הסייבר בארגונים – שרשרת האספקה

ארגונים משקיעים תקציבי עתק בהקשחת מערכות המידע, בהטמעת רכיבי הגנה מתקדמים ובבניית מדיניות אבטחה מחמירה, אך גם מערכות ההגנה המשוכללות ביותר אינן שוות הרבה, אם נקודת הכניסה למתקפה עוברת דרך הספקים. המציאות מוכיחה פעם אחר פעם: גם כאשר ארגון "מגביה חומות" ומגן היטב על עצמו, אחד הסיכונים המשמעותיים ביותר נמצא דווקא מחוץ לגבולותיו. די בכך שספק מרכזי ייפרץ כדי לגרור את הארגון כולו למשבר.

התקפה על ספק שירותי ענן, חברת IT, קבלן משנה או שותף עסקי עלולה לגרום להשבתת שירותים חיוניים, לפגיעה בזמינות מערכות, או אף לדליפת מידע רגיש הם אירועים שפגיעתם ישירה במוניטין ובאמון הציבור. בעצם, אין עוד משמעות אמיתית להפרדה בין "המערכות שלנו" לבין "המערכות של הספקים". כל ספק שמחובר לארגון – טכנולוגית או עסקית – הופך לחלק בלתי נפרד ממערך ההגנה הכולל שלו.

"כאשר ספק מרכזי נפגע, המשבר הוא לא רק טכנולוגי, אלא גם עסקי, תפעולי ותדמיתי. במצב כזה, הארגון נדרש לנהל קבלת החלטות בזמן אמת, תוך שיתוף כל הדרגים הרלוונטיים: מנכ"ל, דוברות, ייעוץ משפטי, משאבי אנוש, CISO, מנמ"ר ועד אחרון מנהלי המ"ערכות"

מיפוי תהליכים וספקים – הבסיס לניהול סיכוני שרשרת האספקה

כדי להתמודד עם איום זה, ארגונים נדרשים לבצע מיפוי BIA (Business Impact Analysis) יסודי.

תהליך זה מאפשר לזהות מה הם התהליכים העסקיים הקריטיים ביותר, אילו ספקים משפיעים עליהם, ומהי רמת התלות בכל אחד מהם. כך ניתן לסווג את הספקים לפי רמת סיכון ולהחיל עליהם מנגנוני בקרה מותאמים ומבוססי עדיפות.

הבקרה על הספקים אינה יכולה להסתיים בחתימה על הסכם התקשרות או מילוי שאלון סייבר. נדרש לנהל אותם באופן מערכתי ומתמשך, לבצע ביקורות עומק תקופתיות, לדרוש עמידה בתקן אבטחת מידע מוכר, ואף לקיים בדיקות חדירות (PenTest) יזומות לסביבות הקריטיות. רק כך ניתן לוודא שההגנות לא נשארות על הנייר, אלא מיושמות בפועל.

בין אירוע סייבר למשבר סייבר

נקודה מהותית נוספת היא, שרוב הארגונים ערוכים לטיפול באירוע סייבר, אך לא במשבר סייבר.

אירוע סייבר הוא תקיפה נקודתית – חדירה, כופר, או תקלה טכנולוגית הניתנת לטיפול באמצעות צוותי IT ואבטחת מידע. לעומתו, משבר סייבר הוא מצב שבו האירוע חוצה את גבולות ה-IT ומשפיע על כלל הארגון: רציפות תפקודית, מוניטין, תקשורת עם לקוחות, רגולטורים ושרשרת הספקים כולה.

כאשר ספק מרכזי נפגע, המשבר הוא לא רק טכנולוגי, אלא גם עסקי, תפעולי ותדמיתי. במצב כזה, הארגון נדרש לנהל קבלת החלטות בזמן אמת, תוך שיתוף כל הדרגים הרלוונטיים: מנכ"ל, דוברות, ייעוץ משפטי, משאבי אנוש, CISO, מנמ"ר ועד אחרון מנהלי המערכות. שיתוף זה הוא שמבדיל בין מצב שבו אנחנו מנהלים את המשבר לבין מצב שבו הוא מנהל אותנו.

תרגול תרחישי סייבר על שרשרת האספקה

תרגול הוא הדרך הטובה ביותר לבדוק אם הארגון באמת מוכן למשבר סייבר.

אלא שבמקום להתמקד רק בתרחישים מוכרים כמו כשלים טכנולוגיים או הפסקות שירות, מומלץ לקיים תרגולי סייבר ייעודיים, המתמקדים בשרשרת האספקה. תרגולים אלה מדמים מצבים, שבהם ספק חיצוני נפרץ או מושבת, ובוחנים כיצד הארגון מגיב, כמה מהר הוא מזהה את ההשפעה, וכיצד הוא ממשיך לפעול למרות הפגיעה. הם מאפשרים לבחון את התיאום בין הגורמים השונים, את מהירות קבלת ההחלטות, ואת היכולת לשמור על רציפות עסקית בזמן אמת.

לסיכום, הגנה על שרשרת האספקה היא כבר לא בחירה, אלא תנאי לקיום עסקי יציב. ארגון שמנהל את סיכוני הספקים כחלק אינטגרלי מהאסטרטגיה שולט טוב יותר בגורלו בעולם סייבר רווי אי ודאות.

הכותב הוא מנהל חטיבת אבטחת המידע והסייבר (CISO) במשרד החינוך וממקימי מערך הסייבר הלאומי.