"המתקפות על שרשרת האספקה נפוצות; הן החוליה החלשה בארגונים"

"ספקים וגורמים חיצוניים שהם חלק ממערך האספקה של הארגון מרחיבים את משטח התקיפה הפוטנציאלי שלו: פריצה מבוססת ניצול חולשה אצל ספק הופכת להיות חלק מבעיית האבטחה בארגון. היינו עדים למשבר באמון של לקוחות, בארגונים שחוו מתקפה על שרשרת האספקה שלהם. מתקפה שכזו היא נפוצה – כי היא החולייה החלשה יותר בארגונים", כך אמר קובי לכנר, מייסד-שותף וסמנכ"ל התפעול של ריסקנה.

לכנר דיבר בוובינר ראשון מסדרת וובינרים לעולם הגנת הסייבר שעורכת נס פרו (NessPRO), קבוצת פתרונות התוכנה של נס. הוובינר נערך אתמול (ג'), תחת הכותרת "האם קונספציית האבטחה של שרשרת האספקה נכונה?". נס פרו מייצגת בלעדית את ריסקנה בישראל.

לדבריו, "משטח תקיפה ארגוני הוא אוסף הדרכים שדרכן התוקף יכול לחדור לארגון, והספקים מהווים חלק ממנו. יש להכיר את משטח התקיפה, להבין את האיומים ולקבל יכולת לנהל אותו – ASM. הניהול כולל ארבעה שלבים: חיקור – זיהוי נכסים חשופים וחולשות; תיעדוף הסיכונים; ניטור שוטף ולא חד פעמי של הממצאים; ואז – בניית תוכנית הגנה ומניעה. זהו ניהול סיכונים מצד ג' – TPRM".

"יש להביא לשינוי המצב הנוכחי, שבו ארגונים מנהלים את עולם הספקים בנפרד ממשטח התקיפה שלהם", הוסיף לכנר. "פעמים רבות קל לתוקף לחדור לארגון היעד, דרך הספקים שלו: אם זה ארגון גדול, שפועל מול אלפי ספקים, ניתן לאתר את אלה שהשקיעו מעט באבטחה ולנצל אותם, כי הם החולייה החלשה בשרשרת. ניהול נכון של סיכוני שרשרת האספקה, ה-TPRM – מוריד דרסטית את היקף המתקפות".

מתקפות שממחישות את החשיבות של ניהול סיכוני צד ג'

לכנר ציין שתי מתקפות מפורסמות על שרשראות אספקה – על טארגט ואקוויפאקס. "המתקפה על טארגט, שאירעה ב-2013, הייתה אירוע סייבר משמעותי בעשור שעבר. מידע אישי ופיננסי של 40 מיליון לקוחות נקצר. וקטור התקיפה היה קבלן שנשלח אליו מייל פישינג. ההשלכות היו קטלניות, ולא רק כספית", אמר. "במתקפה מ-2017 על אקוויפאקס נקצר מידע אישי רגיש, כולל מספרי ביטוח לאומי של 147 מיליון אמריקנים, ונגרם נזק רב".

הוא הסביר ש-"האירועים הללו ממחישים את החשיבות של ניהול סיכוני צד ג'. יש לבצע עדכונים בזמן, לנטר את משטח התקיפה, כולל שרשרת האספקה, לבדוק את כלל הספקים, להבין את הסיכונים, לסווגם, לערוך ניטור מתמשך, לקבל תובנות ואז לתעדף את האיומים. כך תתקבל אבטחה פרו-אקטיבית עם ממצאים מדויקים ועם מערכת לומדת ומשתפרת, לצד הצורך לוודא המשכיות עסקית והלימה לרגולציות".

לכנר הוסיף כי "ה-AI מסייעת להפחתת הסיכונים ולניהולם בזמן אמת עם היערכות מוקדמת. זאת, עם ניטור וניתוח רציפים של פעילויות צד ג', תוך זיהוי חריגות וסיכונים בטרם הם קרו, או התרחשו והחמירו".

"נדרשים ימים רבים על מנת לזהות ולבלום מתקפת סייבר, והעלות הממוצעת שלה עומדת על מיליוני דולרים", סיכם לכנר. "חוסר בהירות והיעדר מיפוי נכון של הנתונים מגבילים את יכולתם של צוותי האבטחה לקבלת החלטות מושכלות ביחס לתהליכי האבטחה בשרשרת האספקה, ופוגעים בהגנת הסייבר. ריסקנה פיתחה מערכת תוכנה כשירות (SaaS) שמסייעת בניהול ומיגור סיכוני סייבר בשרשרת האספקה. היא מסייעת לארגונים לאסוף ולנתח נתונים לטובת הפקת תובנות על סיכוני תקיפה, ומאפשרת להם להקל על צווארי הבקבוק בעולם האבטחה ולהאיץ תהליכים קריטיים של הערכת סיכונים וזיהוי אירועי אבטחה".

גילי חזני, מנהל פעילות טכנולוגיות ניהול בנס פרו. צילום: יח"צ

גילי חזני, מנהל פעילות טכנולוגיות ניהול בנס פרו, פתח את הוובינר ואמר כי "בשבוע שעבר קבע מבקר המדינה שכ-30% ממשרדי הממשלה ומגופי התשתיות הקריטיות במדינה חוו בשנתיים האחרונות אירוע סייבר שמקורו בשרשרת האספקה. הביקורת העלתה שנשקף סיכון ממשי לגופי תשתיות קריטיות, למשרדי ממשלה ולמגזר הציבורי מצד שרשרת האספקה בתחום התקשוב. פגיעה בספקי התקשוב והסייבר שעובדים עם הממשלה עלולה להביא לפגיעה נרחבת ברציפות התפקודית שלה ושל המשק כולו".

"נס פרו", ציין, "היא הנציגה בארץ של יותר מ-35 חברות בינלאומיות וישראליות, שמפתחות פתרונות תוכנה לשוק ה-IT הארגוני. הקבוצה פעילה 40 שנים בשוק הישראלי ומשרתת מאות לקוחות".

חזני סיים באומרו כי "באחרונה זכתה ריסקנה באות הצטיינות, כמוצר המועדף על מנהלי האבטחה ל-2023, עקב ניצול נכון ויעיל של AI להעצמת הגנת הסייבר בארגונים".