- אנשים ומחשבים – פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות - https://www.pc.co.il -

איך בוחנים את האבטחה בכל שרשרת האספקה?

"כולנו מבינים כבר שיש אירוע כזה שנקרא שרשרת אספקה והשאלה היא איך מנהלים את זה. אין לקוח בישראל שלא מבין מה זה אומר לדעתי. בצד שלנו מסתכלים על האירוע הזה בצורה קצת יותר רחבה, אבל גם אנחנו עוד לא במקום שאפשר לומר שהגענו ליד מיצוי. אז איך בוחנים את ההתייחסות של תחום האבטחה בהיבט של כל שרשרת האספקה? אני חושב שיש מבחן תוצאה והוא תקציבים", כך אמר נועם הנדרוקר, מנהל פעילות סייבר בישראל ב-BDO כשהסביר בכנס InfoSec19 על הצורך, הברור לדעתו, באבטחת שרשרת האספקה.

הכנס, שנערך באולם האירועים לאגו שבראשון לציון, הופק גם הפעם, בפעם ה-20 לקיומו, על ידי קבוצת אנשים ומחשבים ומשך אליו מאות אנשי מקצוע. הנדרוקר טען בפניהם כי עדיין רוב הארגונים והחברות לא הגדילו תקציבים ולא הפנו תקציבים נוספים להיבטי האבטחה של שרשרת האספקה.

"סייבר הוא סיכון מרכזי לארגון והוא אחד משלושת הסיכונים העיקריים לכל ארגון. כשאנחנו מפרטים ובוחנים לעומק את הסיכונים הללו, אנחנו ממיינים שחייבים להסתכל החוצה אל שרשרת האספקה ואנחנו מבינים שהיא הבטן הרכה שלנו, ולכן היא בפירוש מהווה את הסיכון העיקרי. אנחנו מזהים משנה לשנה עלייה משמעותית בתקיפות דרך שרשרת אספקה. זה אירוע שהולך, גדל ומתפתח ולטעמנו המענה עדיין לא שם", הוא טען.

[1]

אחת הסיבות העיקריות, לטענתו, למצב הנוכחי היא שלא מדובר עדיין בתחום שמוגדר בליבת העשייה. "יש גם הרבה שאלות איך צריך לנהל כל כך הרבה מערכות יחסים עם הרבה מאוד ספקים, וגם איך אתה מעריך את יכולת האבטחה של כל ספק בשרשרת, איך ממפים את התמונה נכון ומעריכים מהי רמת האיום שלהם על הארגון", הסביר הנדרוקר.

אריה וולמן, סמנכ"ל מכירות במולטיפוינט, דיבר על החשיבות של ביקורת הרשת תוך שהוא מציג את Netwrix פתרון שהחברה מגדירה כפתרון דגל שזוכה לפיתוח רב, ונותן מענה לדברים החשובים הקשורים למידע. "כל מנהל IT צריך לשאול את עצמו שלוש שאלות, והראשונה היא היכן כל דבר נמצא ונשמר. הדבר השני הוא לדעת מה המשתמשים עושים עם המידע, האם הם יודעים לשמור על המידע שלהם או לא, והדבר השלישי הוא האם יש למי שמשתמש הרשאות, והאם ומי שלא מודע לכך חושף את החברה שלו לסיכונים מיותרים", הוא סיפר.

לדבריו Netwrix היא פלטפורמת אבטחת מידע שיודעת שכל המידע חייב להיות שמור ומאובטח גם לאור רגולציות המידע החדשות שקובעות יש להקפיד שלא תהיה דליפת מידע משום מקום. "כמות המידע שיש כיום בארגון עצומה: שרתי קבצים, שרתי חלונות, שרתי דואר ו-Office 365. בכל מקום כזה חייבים לדעת היכן המידע נמצא ואיך הוא מטופל. מצד שני יש גידול מאוד משמעתי באיומים לשתול דברים בחברה או לנסות להוציא ממנה מידע, וכמובן כל הנושא של ציות שהולך ונהיה יותר משמעותי בכל מקום וחשוב מאוד לחברות. לדעת לנהל את המידע בצורה בטוח ויעילה זו משימה לא קלה, וכאן הפלטפורמה נכנסת לתמונה ומסייעת", אמר וולמן.

מרסלו פרינטק, סמנכ"ל פיתוח עסקי במולטיפוינט. :צילום: אלעד גוטמן

מרסלו פרינטק, סמנכ"ל פיתוח עסקי במולטיפוינט. :צילום: אלעד גוטמן

שקיפות מלאה מהענן לזיהוי וניהול כל הפגיעויות בארגון

מרסלו פרינטק, סמנכ"ל פיתוח עסקי במולטיפוינט, הציג כלי נוסף של החברה בשם Qualys שלפי החברה מספק שקיפות מלאה מהענן לזיהוי וניהול כל הפגיעויות בארגון.

"מדובר בפתרון המתקדם והרחב ביותר בתעשייה לזיהוי הפגיעויות ולניהול הסיכונים הנלווים והוא מספק הגנה רציפה דרך הענן לטובת ה-IT, לאבטחה וגם לצורכי הציות לרגולציות של הארגון, עם כלים שניתן להפעיל דרך הענן", סיפר.

הוא גם הציג את אחד הכלים החדשים של הפלטפורמה שנועד לספק אבטחה לכל צינור העבודה וזמן הריצה של קונטיינרים באופן מלא. "מקבלים נראות מלאה לכל סביבות הקונטיינר, עם יכולת לבצע מיכון של כל התכונות, ועם אפשרות שימוש ב-DevOps בזמן ריצה. יש גם חיישן טבעי להטמעה ושיבוץ. כלי חדש שכבר נוכחנו לדעת שהוא מאוד יעיל, אנחנו הולכים וגדלים, ולדעתי זה כלי שיהיה בסופו של דבר בגדר חובה בניהול המידע", הוא אמר.

יואב מלמד, סמנכ"ל טכנולוגיות בבולוורקס. צילום: אלעד גוטמן

יואב מלמד, סמנכ"ל טכנולוגיות בבולוורקס. צילום: אלעד גוטמן

יואב מלמד, סמנכ"ל טכנולוגיות בבולוורקס, סיפר על המהלך בו חברת הכספות הווירטואליות סייברארק, המאפשרת מערכת מנוהלת להעברת קבצים בין ארגונים ובין לקוחות במהירות ובאופן מאובטח, הודיעה על סוף החיים של מוצר התשתית שלה ברבעון הראשון של 2021, מה שהוביל את החברה שלו לחיפוש פתרון אחר.

"בנינו מדדים שונים, אבל עוד לפני כן הדבר הראשון היה להחליט מה אנחנו מחפשים, ואז הרכבנו את הטבלאות שיעזרו לנו לבחור. בחנו פתרונות MFT מהמובילים בארץ ובעולם, רצנו על המדדים השונים, והמסקנה שלנו הייתה ש-GoAnyWhere של מסג'נט הוא המוצר המתאים", הוא סיפר.

לדבריו, מדובר בתהליך החלפה ארוך, ואחת הסיבות לבחירה הזו הייתה שיש ממשק ל-סייברארק. "עוד דבר שהקפדנו עליו הוא יכולת העבודה עם כל הסטנדרטים הפופולריים בשוק. אנחנו רוצים לדבר עם כל הפרוטוקולים הגנריים ולא להתחייב למוצר מסוים וזהו. כן היה חשוב שיהיה ממשק פשוט מבוסס ווב, ולראות את כל המערך ואת כל התהליך של כל קובץ מהתחלה ועד הסוף" אמר מלמד.