נועם הנדרוקר
חלק גדול מהארגונים המודרניים הופכים ל"רזים" ולתלויים יותר ויותר בשרשרת האספקה; הייצור, הרכיבים או השירותים הניתנים לארגונים מתבססים על שירותים חיצוניים - שהופכים קריטיים לצורך הגשמת יעדי הארגון ולמוקדי תקיפה מועדפים עבור תוקפים. התלות בגורמי חוץ לניהול שרשרת אספקה, יוצרת מגוון רחב של איומים העלולים לפגוע בארגון ובפעילותו.
שרשרת אספקה - כך תוקפי סייבר פוגעים בחולייה החלשה של הארגון
פגיעה בשרשרת האספקה הפכה לשיטה מועדפת של תוקפים, כאשר המטרה היא למצוא את הדרך הקלה ביותר להיכנס לארגון. תוקף יעדיף לכוון את משאביו אל שרשרת אספקה, שלרוב אינה בעלת מערך הגנה מקצועי ורחב, מאשר אל הארגון לו היא מספקת שירותים.
כך, ככל שלארגון יש יותר ספקים, הסבירות לתקיפה שמגיעה משרשרת האספקה עולה משמעותית.
תרחישי סיכון - מה יכול לקרות?
ניצול החולשה בשרשרת האספקה יכול להביא להתפתחות של תרחישי סיכון שונים, ביניהם: פגיעה בזמינות של שירותי הארגון; פגיעה וחשיפה של מידע פרטי רגיש שנמצא אצל הספק וחשיפת הארגון לסיכוני ציות ורגולציה; פגיעה במוניטין הארגון, ועוד.
ניהול סיכונים ייעודי כתנאי הכרחי לעמידות הארגון
זיהוי מוקדם של האיומים שעשויים לנבוע מתוך שרשרת אספקה כזו או אחרת, הערכת הסיכונים הקונקרטיים של הארגון בעבודה מול ספקים, הערכת הבקרות הקיימות לסיכונים אלה וניהולם - כל אלה הופכים לתנאי הכרחי להגשמת יעדי הארגון ועמידותו בפני אירועי סייבר.
מרכז הגנת הסייבר של BDO פיתח שירות חדשני וייחודי לטיפול בסיכוני שרשרת אספקה. השירות נותן מענה מלא לארגון שנדרש לטפל בנושא, הן מסיבות רגולטוריות הן מסיבות פנים ארגוניות, ומותאם לשרשראות אספקה מסוגים ותחומים שונים.
פתרון מנוהל מקצה לקצה - כך תתמודדו עם הסיכון
שירותי הגנת סייבר ייעודיים לסיכוני שרשרת אספקה ניתנים במרכז הגנת הסייבר של BDO על ידי צוות יועצי סייבר מומחים. כמו כן, השירותים ניתנים באמצעות פלטפורמה טכנולוגית (IDRRA) ייעודית שמבטיחה את ניהול סיכוני הסייבר של שרשרת האספקה מקצה לקצה.
השירות כולל:
- מימוש תכנית ארגונית לניהול כלל מחזור החיים של תהליך סיכוני הספקים, באופן מרוכז ואינטגרטיבי;
- שימוש בסקרי סיכונים מוכנים מראש (Best Practice) או מותאמים באופן מלא ללקוח, בהתאם לסטנדרטים מקובלים בשוק;
- ניהול סוגי ספקים, סוגי שאלונים וקמפיינים בכל היקף של מאגר ספקים;
- ניהול הדיאלוג מול הספקים באופן מרוכז ומתועד;
- הפצה של סקרי סיכונים בכמות בלתי מוגבלת, ללא צורך לנהל את התהליך באמצעות משאבים פנימיים ו/או חיצוניים;
- ליווי שוטף וסיוע לספק בתהליך המענה על הסקר, תוך צמצום האינטראקציה הידנית;
- מדידה, איתור וניהול פערי אבטחה ורגולציה של ספקים;
- סיוע לספקים בקבלת החלטות והעדפת הטיפול מול הפערים שנתגלו;
- ביצוע סריקות חיצוניות של "משטח התקיפה" של הספקים, לאיתור פערי אבטחה על בסיס סריקות חד פעמיות;
- ביצוע עבודות מחקר ומודיעין סייבר על הספק;
- ביצוע סימולציות תקיפה על הספק לבחינת אפקטיביות הבקרות הקיימות אצלו, ועוד.