גדעון מרגולין
תלות ארגונית בשרשרת אספקה היא כבר נחלת מרבית הארגונים בעולם.
ארגונים רבים בעולם משתמשים בספקים כד לקיים פעילות עסקית מגוונת, ואף מבססים תהליכים קריטיים בליבת הפעילות הארגונית על גורמים מצד שלישי. מה שלא תמיד נלקח בחשבון הוא הסיכונים בחשיפת מידע ארגוני עם גורמי צד ג'. בהיעדר ניהול סיכונים ראוי, עשוי המידע הזה לדלוף, לגרום נזק כלכלי אדיר ופגיעה במוניטין.
ארגונים רבים שחוו פרצות סייבר שמקורן בשרשרת האספקה, חשפו את הארגון לסיכונים וחלקם אף נאלצו להשבית תהליכים בשל כך.
ישנן מתקפות המדגישות את החשיבות של תכנון מוקדם של מערך ההגנה והאבטחה על הארגון, תוך שקלול כל ההיבטים והגורמים המעורבים בו. מיפוי וסיווג נכון של שרשרת האספקה, כולל קריטריונים מוגדרים היטב לרמת השפעה עסקית וטכנית יכול למנוע או לצמצם משמעותית את ההשפעה על ארגונים שנפגעו.
מהם סיכוני הסייבר הנפוצים בשרשרת האספקה?
דליפת מידע - האקרים שמנסים לפגוע בארגון דרך פגיעה בשרשרת האספקה שלו, ומשיגים גישה לנתונים על לקוחות, מידע פיננסי וסודות מסחריים שונים. לפי סוכנות המחקר של האיחוד האירופי, יותר מ-60% מדליפות המידע מארגונים ברחבי העולם הם תוצאה של חשיפה לפרצות אצל גורמי צד שלישי המחזיקים את המידע.
כופרה - האקרים המשתילים תוכנות כופרה כדי להצפין מידע קריטי לארגון, ולדרוש כופר לאחר מכן. ארגונים משקיעים משאבים רבים כדי להימנע מ"שיתוק" הפעילות הארגונית, אך לא משקיעים מספיק במניעת פגיעה בפעילות ארגונית שתלויה בצד שלישי ואינה בשליטתם הישירה.
חדירה דרך גורמי צד ג' - במקרים רבים קיים חיבור ישיר משרשרת האספקה ישירות לרכיבי ליבה ברשת הארגון. מספיק שגורם חיצוני אחד לא יהיה מוגן כראוי מפני איומי סייבר - והאיום יוכל לחדור גם אל הארגון עצמו. לפי מכון המחקר גרטנר, יותר מ-80% מהארגונים לא מבצעים באופן סדור ניהול סיכוני סייבר בשרשרת האספקה שלהם.
כיצד לטפל באיומי סייבר בשרשרת האספקה?
מיפוי וסיווג – המיפוי הוא למעשה הבנת שרשרת האספקה. מרכיבים, מאפיינים ייחודיים, גורמים שלוקחים בה חלק ועוד. כפי שכל ארגון שונה ממשנהו, כך שרשרת האספקה שונה מארגון לארגון. לאחר המיפוי כלל הספקים עוברים במשפך קריטריונים אשר מסווג גורמי צד שלישי שבהם הכי חשוב לטפל.
הערכה – הפעלת טכנולוגיות שונות אצל הספקים בכדי לקבל תשובות בנוגע לאיכות הגנת הסייבר אצל הספק.
ולידציה – ניתוח התשובות של הספקים, היתוך מידע, ויצירת תוכניות עבודה ייעודיות לארגונים. זאת במטרה לטפל בסיכונים הספציפיים הנובעים מעבודה מול ספק מסוים, הן עבור הספק והן עבור הארגון.
הפחתת הסיכון – ליווי הספקים בטיפול באיומי הסייבר אליהם הם חשופים. התהליך חשוב במיוחד עבור ספקים שאינם בקיאים בעולמות הסייבר ואבטחת המידע באופן שוטף.
אפשר למנוע את המתקפה הבאה!
כדי למנוע את מתקפת הסייבר הבאה על הארגון שלכם, מרכז הסייבר של BDO מציע שירות מתקדם לניהול סיכונים בשרשרת האספקה, באמצעות תכנון מוקדם, ניתוח מעמיק של הסיכונים השונים ושימוש בטכנולוגיות המובילות והמתקדמות בעולם. צרו עכשיו קשר עם המומחים של BDO.
ליצירת קשר ניתן לפנות במייל הבא: גדעון מרגולין, gideonma@bdo.co.il