תיאום לקוי עם ספקים בנושאי אבטחה: מתכון לאסון

הגישה של ספקים וגורמי צד שלישי לרשת הארגונית שלהם נבחרה בסקר של חברת סקייבוקס סקיוריטי, על ידי 40 אחוזים ממקבלי ההחלטות באבטחת OT, כאחד משלושת איומי האבטחה המסוכנים ביותר לארגון - מה ניתן לעשות בנדון?

עמי בן-דרור, סמנכ"ל מערכות מידע ו-CISO בחברת סקייבטקס סקיוריטי.

מחקר של חברת סקייבוקס סקיוריטי (Skybox Security) הישראלית מצא כי 40% אחוז ממקבלי ההחלטות באבטחת OT דירגו את הגישה של ספקים וגורמי צד שלישי לרשת הארגונית שלהם כאחד משלושת איומי האבטחה המסוכנים ביותר לארגון. באופן מפתיע, פחות ממחצית המשיבים כך אמרו כי ארגונם מחיל על גורמי צד שלישי מדיניות מחייבת לניהול הגישה שלהם למערכות התפעוליות (OT) של הארגון.

ברוב המקרים, ארגונים לא מעריכים מספיק את חומרת האיומים הנשקפים להם מספקי צד ג'. בעיות אבטחה רבות הנגרמות על ידי צדדים שלישיים עלולות להיות הרסניות, והן מעמידות בסיכון גדול את נתוני העובדים והלקוחות וכן מידע פיננסי ותפעולי

מדובר בנתון מפתיע, אפילו מביך, אך הוא נובע מבעיה מהותית יותר: ארגונים פשוט לא יודעים כמה יעילה מדיניות הגישה הקיימת שלהם. יתרה מכך, לארגונים אין נראות ברורה של תעבורת הנתונים על פני התשתית שלהם, ולכן יישום עקרונות של פילוח-רשת שיאפשרו גישה מאובטחת ומנוהלת, הופך עבורם לאתגר משמעותי במיוחד.

בהיעדר יכולת לבצע פילוח רשת (סגמנטציה) ולקבל נראות מלאה, תת-מערכות בסביבת ה-OT של הארגון הופכות פגיעות יותר לתוכנות זדוניות המגיעות מגורמי צד שלישי. הסכנה הופכת קריטית במיוחד כאשר לשותפי הארגון יש רמת הגנה נמוכה יחסית, שהופכת אותם ל"חוליה החלשה" במערך האבטחה שלו. כך לדוגמה, גורמי צד שלישי עלולים לפגר בהתקנת עדכוני אבטחה, או שהעובדים שלהם עלולים ליפול בקלות רבה יותר למלכודות פישינג.

החוליה החלשה שמשמשת לעקוף את אבטחת הארגון

סיבה נוספת שהופכת ספקים וגורמי צד שלישי ל"חוליה חלשה" עבור הארגון, היא שתוקפים רבים מעדיפים לחדור או להדביק דווקא את הספקים, כדי להדביק דרכם את כל שרשרת האספקה ​​ולהגיע למספר גדול של לקוחות שעובדים עם אותו ספק – כפי שקרה במקרים של סולארווינדס (SolarWinds) ושל חברת עמיטל בישראל.

השאלה המתבקשת היא, מה מונע מחברות להדק את ההגנה כנגד איומי אבטחה המגיעים מכיוון גורמי צד שלישי?

ברוב המקרים, ארגונים לא מעריכים מספיק את חומרת האיומים הנשקפים להם מספקי צד ג'. בעיות אבטחה רבות הנגרמות על ידי צדדים שלישיים עלולות להיות הרסניות, והן מעמידות בסיכון גדול את נתוני העובדים והלקוחות וכן מידע פיננסי ותפעולי – כל מה שחשוף לשרשרת האספקה ​​של הארגון ולגורמים חיצוניים, המחזיקים בהרשאת גישה למערכות הארגון.

כיום, חברות עובדות לעתים עם מאות ספקים שונים, שלכל אחד מהם יש סוכנים וקבלני משנה משלו. סיכוני צד שלישי יכולים להיווצר בכל עת ברשת נרחבת שכזו.

הדו"ח החדש תומך בכך, ומראה כי 78% ממקבלי ההחלטות באבטחת טכנולוגיה תפעולית (OT) אמרו שהמורכבות הנגרמת מעבודה מול הרבה ספקים, מהווה אתגר להשגת נראות מלאה של משטח ההתקפה של הארגון.

זרע הפורענות: פער בציפיות האבטחה מול ספקי צד שלישי

חברות רבות אינן יכולות לעקוב אחר הסיכונים של ספקים ולהצליב אותם עם מדיניות האבטחה והאישורים הפנימיים שלהן, בין השאר עקב כשל בהעברת המדיניות הזו לצדדים שלישיים. במקרה זה, עלול להיווצר בין הצדדים פער בציפיות האבטחה, שיפגע ביכולתם של גורמי צד שלישי להבטיח ציות לתקני האבטחה של הלקוח. האתגר הגדול נובע מכך שספקים אינם נושאים באחריות מלאה לסיכונים הנובעים מהשירות שלהם. ואם לא די בכך, חברות רבות מעבירות את ניהול מערכות ה-OT שלהן לצדדים שלישיים, מה שמייצר שכבת סיכון נוספת. נוצר מצב בו חברת צד שלישי לניהול אבטחת OT מופקדת על ניהול ספקי ה-OT של הארגון שלך – ברור שזהו מתכון לאסון.

המסקנה היא שכיום כל ארגון חשוף לתקיפה דרך ספקים וגורמי צד שלישי אשר מהווים, במקרים רבים, את ה"חוליה החלשה" ביותר. כדי לנהל ולשלוט במפת האיומים, ולהבטיח נראות מרבית של הסיכונים הנשקפים לארגון מכיוון שרשרת האספקה, יש להשתמש בפלטפורמת אבטחה שמתייחסת גם למדיניות גורמי צד שלישי המתחברים לרשת הארגונית. חשוב לנהל ולהתנות את אישורי הגישה שלהם לרשת הארגונית בכפוף לכללי חומת האש ופילוח הרשת. פלטפורמה מודרנית תציע אופטימיזציה של מדיניות, הדמיות של תקיפה, נראות, ועמידה בתקני אבטחה – אשר יאפשרו לראות את כל נקודות הגישה ולבצע ניתוח נתיב וחשיפה לאיומים. מעבר לכך, תיאום ציפיות האבטחה של הארגון עם הספקים, יבטיח שכולם מחויבים למדיניות האבטחה הארגונית באופן מלא.

הכותב הוא סמנכ"ל מערכות מידע ו-CISO, בחברת סקייבטקס סקיוריטי (Skybox Security)

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים