אפיק ההדבקה המסוכן והיעיל ביותר למתקפות סייבר – שרשראות אספקה

התלות של ארגון בגורמי חוץ יוצרת מגוון רחב של איומים העלולים לפגוע בארגון ולהוביל לנזק פוטנציאלי משמעותי ● ממשקים עם מערכות חיצוניות יכולים להיות הגורם המכריע במערכה שאסור להם להפסיד, שכן חוזקה של השרשרת הינו כחוזק החולייה החלשה ביותר בה

07/07/2020 11:24
ניקול שאינין, אנליסטית סייבר, אקספריס סייבר. צילום: רותם מטיב

בעידן שבו אנו חיים, הטכנולוגיה מתפתחת מדי יום, ויחד איתה גוברים האיומים והסיכונים השונים על הארגון בתחום הסייבר. ניהול סיכוני הסייבר והשקעת משאבים רבים הפכו הכרחיים לכל ארגון, בלי קשר לפעילותו העסקית ולגודלו.

בשנים האחרונות אנו רואים גידול ניכר בהתקפות על ארגונים דרך שרשראות האספקה. דו"ח של סימנטק (Symantec) משנת 2019 הצביע על גידול של 78% בהתקפות מסוג זה לעומת השנה הקודמת, בעוד שמתקפות רשת, המסתמכות על כניסה לכתובות אתרים זדוניות וכלי נשק מקוונים אחרים, גדלו ב- 56%. החוקרים מעריכים, שמחצית ממתקפות הסייבר שהתרחשו בעולם בשנת 2019 נעשו דרך נקודות תורפה בשרשרת האספקה של הארגונים.

אסטרטגיית מתקפות הסייבר מסוג זה מתפתחת במהירות, ומדובר באפיק ההדבקה המסוכן והיעיל ביותר. התלות של ארגון בגורמי חוץ יוצרת מגוון רחב של איומים העלולים לפגוע בארגון ולהוביל לנזק פוטנציאלי משמעותי. מתקפה מסוג זה מנצלת פרצות בשירותי צד ג' כדי לפגוע ביעד. הפגיעות מגיעה דרך חלקים או רכיבים פיזיים אשר נרכשו מספקי רשת, מספקי תוכנה ושירות חיצוניים, ולעיתים דרך מיזוגים ורכישות. תוקף מסמן לעצמו ארגון כמטרה ומחפש נקודות תורפה בשירותי צד ג', זאת על מנת להגיע לארגון ביתר קלות דרך גורם חיצוני ו"בטוח" בעיני הארגון. התקיפה מתבצעת על הספק לפני שהתוכנה, המוצר או השירות מגיעים לפתח הארגון

מתקפות סייבר מצד שרשרת האספקה הן כבר לא מקרה נדיר. בעשור האחרון ניכר גידול באירועים מסוג זה, נוסף על מודעות גוברת אליהם. חברות בינלאומיות גדולות ומדינות וארגונים ממשלתיים נאלצים להתמודד עם מתקפות דרך מערכות הספקים בשרשראות האספקה וגם כאן בארץ היו לא מעט מקרים שבהם חברות נאלצו להתמודד עם פגיעויות בשירותי צד ג'.

מקרה לדוגמה: PayBox 

דוגמה מהתקופה האחרונה הינה תקלת האבטחה באפליקציית התשלומים PayBox של בנק דיסקונט, אחת מאפליקציות התשלומים הפופולריות בישראל. בסוף חודש ינואר האחרון פורסם, כי התגלתה תקלה באפליקציה, שבעקבותיה דלף מידע חלקי של משתמשים לרשת. דלף המידע נבע בשל טעות בהתקנת שרת חדש. האירוע התגלה שעות ספורות לאחר שהתרחש, וטופל מיידית. בין הפרטים שדלפו היו כינויי משתמש, תאריכי לידה, מספרי טלפון, שמות של קבוצות, סכומים שהועברו, זהות הנמענים ובחלק מהמקרים אף ארבע ספרות אחרונות של כרטיס האשראי.

בניגוד לאפליקציות התשלומים האחרות בארץ, אשר פותחו על ידי הבנקים, אפליקציית PayBox פותחה על ידי סטודנטים של המכללה למינהל, שפיתחו אותה במסגרת חממת היזמות של ביה”ס למנהל עסקים, ולאחר מכן נרכשה על ידי דיסקונט. במקרה זה, אותו שרת לא היה קשור לבנק ולא היה לו ממשק עם חשבונות הלקוחות בבנק. אם זה היה המצב, התוצאות היו יכולות להיות חמורות בהרבה. אמנם, הבנק טען, כי המידע שפורסם לא יכול לגרום ללקוחות נזק כספי, אך בהחלט ניתן להסיק, כי נוצרה פגיעה מסוימת באמון הלקוחות, העלולה להשפיע על מוניטין החברה ובכך על השימוש באפליקציה.

הרוב המוחלט של הארגונים אינם מתנהלים לבד, ושרשרת אספקה מסועפת של ספקים שונים מסייעת להם להגיע ליעדם. ניהול סיכוני סייבר בארגונים חייב להסתמך על ראייה רחבה של הסיכונים הפוטנציאליים ופעולות שנדרש לבצע על מנת לצמצם את היקף הסיכון.

זיהוי מוקדם של איומים הנובעים משרשראות האספקה, הערכת סיכונים וביצוע בקרות, הינם תנאי הכרחי להמשך קיומו של ארגון ועמידותו בפני אירוע סייבר. לכן, גם ארגונים המשקיעים משאבים רבים בתהליכי ניהול סיכונים, מבדקי חדירה ובקרות פנים ארגוניות צריכים לזכור, שמערכות הארגון אינן אי בודד. ממשקים עם מערכות חיצוניות יכולים להיות הגורם המכריע במערכה שאסור להם להפסיד, שכן חוזקה של השרשרת הינו כחוזק החולייה החלשה ביותר בה.

 

הכותבת היא אנליסטית סייבר בחברת אקספריס סייבר (Experis Cyber)

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים