מתקפת שרשרת האספקה על Signature-IT והשלכותיה על ארגונים

חברות ישראליות, וכאלו שנותנות שירותים למשק הישראלי, היו מאז ומעולם יעד מועדף למתקפות סייבר. בשנים האחרונות אנו רואים מגמה משמעותית של ניסיונות לפגוע בחברות על ידי פגיעה בשרשרת האספקה שלהן. מאז תחילת מלחמת ישראל-חמאס, צפינו בהסלמה ועלייה במספר אירועי הסייבר והרחבתם לקנה מידה עולמי. קבוצת האקטיביסטים אנטי ישראלים, ממומנות על ידי מדינות אויב, מנסות לפגוע בחברות בשוק הישראלי, בחלקן הגדול של המותקפות, "דלת הכניסה" הייתה שרשרת האספקה.

על מנת לצמצם את הסיכון לארגון כתוצאה מפגיעה בשרשרת האספקה שלו, אנו ממליצים לפעול בהתאם למודל ארבעת השלבים: מיפוי וסיווג, הערכה, ולידציה ומיטיגציה

ב-16 בנובמבר פורסמה בערוץ הטלגרם של קבוצת ההאקטיביסטים Cyber Toufanaksa הודעה לפיה קמפיין חדש וייעודי בשם OpcyberToufan# פגע במספר גופים בישראל. הקבוצה פרצה לחברת Signature-IT, המספקת שירותי יישום פתרונות למסחר אלקטרוני B2B ו-B2C, ניהול ידע ושירותי דיגיטל לעשרות חברות וארגונים מובילים במשק הישראלים. כתוצאה ממתקפה זו, נראה כי התוקפים הגיעו למידע של מספר רב מלקוחות החברה, ולפי הכרזתם – הם מתכוונים להדליפו במספר פעימות.

מתקפה זו היא מתקפת שרשרת אספקה קלאסית, המנצלת חולשה של ספק ודרכו מתבצעת התקפה על הארגון, כאשר בין מטרות ההתקפה ניתן למנות דליפת מידע רגיש, שיבוש מידע, פגיעה בתהליכים המוגדרים קריטיים בקרב הלקוחות, ואף שימוש בחיבור שאינו מוגדר כיאות כווקטור תקיפה לתוך רשתות הלקוח.

זיהוי נכון ובזמן יכול לצמצם את הפגיעה הפוטנציאלית

פריצת סייבר דרך חוליות פגיעות בה. שרשרת האספקה. אילוסטרציה: BigStock

אחד האתגרים המרכזיים בניהול סיכוני שרשרת האספקה הוא הבנת ההשפעה העסקית של הספק על הרציפות התפקודית של הארגון. זיהוי נכון ובזמן יכול לצמצם את הפגיעה הפוטנציאלית בארגון כתוצאה מפגיעה בספק, ובתגובת שרשרת אפילו לצמצם את הסיכון לפגיעה בספק עצמו.

במקרה של ספקים אשר מופו בתהליך מסודר, הארגון הבין את רמת הקריטיות שלהם וידע לומר מה תהיה ההשפעה העסקית במידה שהספק יפגע, וכמובן מה על הארגון לעשות כדי לצמצם פגיעה. הליך זה יכול לחסוך מיליוני דולרים, זמן וקשב עיסקי, בעיקר בימים של מלחמה וחוסר וודאות.

על מנת לצמצם את הסיכון לארגון כתוצאה מפגיעה בשרשרת האספקה שלו, אנו ממליצים לפעול בהתאם למודל ארבעת השלבים: מיפוי וסיווג, הערכה, ולידציה ומיטיגציה.

מיפוי וסיווג – עבודה פנימית בתוך הארגון, כדי לוודא שכל התהליכים המרכזיים שמערבים צדדים שלישיים נלקחים בחשבון, והעברתם במשפך קריטריונים שמטרתו לייצר תוכנית הערכה, הכוללת בתוכה רשימה מתועדפת של צדדי ג' שאותם יש לנהל במסגרת התהליך.

הערכה – הפעלת מודולי הערכה שונים על כלל הארגונים שנכנסו לתוכנית העבודה, בהם סריקת הנכסים האינטרנטיים שלהם, סקר סיכוני סייבר, פרטיות, מודיעין, שאלונים עסקיים ועוד. כל אלה על מנת לגבש תמונה מקיפה של הסיכון הנשקף מהספק.

ולידציה – היתוך המידע שנאסף מתוך הארגון בשלב המיפוי והסיווג, עם המידע מצד הספק משלב ההערכה, והגדרת סט דרישות מהספקים, הכולל מענה רק לבעיות הקשורות לאופי הספק ולאופן ההתקשרות שלו מול הארגון, ולא לכלל הסיכונים הכלליים ששוקפו בשלב ההערכה.

מיטיגציה – ליווי הספקים במימוש תוכנית הטיפול בממצאים, תוך סיוע בהבנה של מה נדרש מהם ברמה הטכנית והטכנולוגית, וכן ברמת ניהול הסיכון – כלומר להבין כיצד הכי נכון לצמצם את הסיכון על הלקוח ואלו בקרות מפצות ספציפיות אשר מותאמות לספק (ולא בקרות גנריות) אפשריות קיימות.

ניהול נכון של סיכוני שרשרת האספקה בהיבטי סייבר, פרטיות ובדיקות נאותות, הוא מרכיב קריטי לרציפות התפקודית של הארגון, בעיקר בתקופת לחימה ובתקופות של חוסר וודאות עסקית.

בעולם שבו מרבית הארגונים נעזרים בצורה משמעותית בחלקים גדולים מהפעילות העסקית שלהם בידי צדדים שלישיים, יש לוודא שניהול סיכון שרשרת האספקה מבוצע בראייה הוליסטית ובצורה אחראית, תוך איזון בין הבנת הסיכון לניהולו בצורה מושכלת. מדובר בתהליך מורכב, הכולל בתוכו מגוון אספקטים ובעלי תפקידים בתוך הארגון.

ניתן לנהל את האירוע בצורה אלגנטית ומקיפה, על ידי הגדרת התהליכים הנכונים, אימוץ טכנולוגיות רלוונטיות וחשיבה חדשנית ופרקטית. טכנולוגיה היא מרכיב חשוב בפתרון, אך לא נותנת מענה מלא לסגירת הסיכון אלא רק לשלב ההערכה שלו, ולכן יש להקצות משאבים כדי להגיע לצמצום נכון ויעיל.

הכותבים הם גדעון מרגולין, מנהל תחום סיכוני שרשרת האספקה, ונועם הנדרוקר, שותף ומנהל פעילות יעוץ הסייבר וחברות ישראליות, במרכז הסייבר של BDO