נזק של מיליונים: גם כשהחולייה החלשה היא שרשרת האספקה

 

הכותב, נועם הנדרוקר, מנהל פעילות ישראל במרכז הגנת הסייבר של BDO , ישתתף בכנס Infosec 2019 >>

 

מתקפות סייבר על שרשרת האספקה

בשנים האחרונות אנו עדים ליותר ויותר התקפות סייבר על ארגונים דרך שרשרת האספקה שלהם. אחת ממתקפות הסייבר המדוברות ביותר לאחרונה הייתה על חברת טייוואן סמיקונדוקטור (TSMC), ספקית הצ'יפים המרכזית של אפל. ההשבתה בעקבות המתקפה גרמה נזק לייצור ולאספקת הצ'יפים לאפל, והסבה לחברה נזק המוערך בכ-250 מיליון דולר. המתקפה אמנם בוצעה על שרשרת האספקה של החברה, אך השפיעה גם על לקוחותיה - שכן החברה מהווה חולייה בתוך שרשרת אספקה רחבה יותר.

 

הפסד של מיליונים – גם אם האירוע מחוץ לארגון

חברות עסקיות רבות עובדות עם ספקים שונים על מנת לספק את המוצר/שירות שלהן ללקוח. למכלול ההתקשרויות האלה קוראים "שרשרת אספקה", כאשר כל ספק אמור לעמוד בתנאים המוגדרים מראש על מנת לוודא כי אינו מסכן או יוצר חשיפות לא-מנוהלות ללקוח. הסיכונים ללקוחות יכולים לנבוע מהעובדה כי הספק מספק שירות שנמצא בליבת העשייה של הלקוח (דוגמת TSMC עבור אפל), שירות שחושף את הלקוח בנושאי פרטיות וציות (כמו דליפת מידע פרטי המצוי אצל הספק) או סיכוני אבטחת מידע וסייבר אחרים.

כאשר מדובר באירוע אבטחה בשרשרת האספקה, ההפסד הממוצע מוערך בכ-15 מיליון דולר – בכל חולייה בו הוא מתרחש, גם אם היא חיצונית לארגון. עם זאת, פוטנציאל הנזק הוא לא רק כלכלי. הוא יכול להשפיע על מוניטין, על היכולת להמשיך לספק את השירות/מוצר בטווח הארוך, ולהוביל לנזקים עקיפים נוספים.

 

וזו רק ההתחלה

החל משנת 2015 אנחנו רואים גידול של כ-70% בהתקפות ארגונים דרך שרשרת האספקה, ומחקרים של חברת VERIZON ואחרים מעריכים כי בשלושת השנים הקרובות נחווה "מגה פיגועי סייבר" בשרשראות אספקה. לכן, על כל חברה להטמיע תהליכי ניהול סיכונים בשרשרת האספקה; להעריך את הסיכון הנובע משרשרת האספקה שלה ובהתאם לו לקבל החלטות מבוססות-סיכון על אסטרטגיית הטיפול ורמת האבטחה להן היא מצפה מהספקים שלה. נציין כי בדיקת רמת האבטחה מתבצעת על ידי סקר, שהפרמטרים שלו מוגדרים הן על ידי גופים רשמיים (מערך הסייבר, NIST, הרשות להגנת הפרטיות) והן על ידי הלקוח עצמו.

אירוע infosec – ההרשמה בעיצומה >>

 

האתגר בניהול סיכונים בשרשרת האספקה

ריבוי הספקים והשינויים התכופים בטכנולוגיה מקשים על ניהול אפקטיבי של הסיכונים בשרשרת האספקה. ארגונים פיננסיים לדוגמה, מבצעים סקר שנתי בכ-40% מהספקים המהותיים שלהם. ארגון המתקשר עם כ-100 ספקים מהותיים, בוחן כל שנה כ-40 ספקים, משמע שכל ספק נבחן בצורה יסודית אחת לשנתיים. בעולם שמשתנה תכופות, גילוי מאוחר או חוסר גילוי של ליקויים קריטיים (15 בממוצע לכל ספק) עלולים להוביל לפגיעה קשה בשרשרת האספקה, עד כדי השבתת פעילות ואיום קיומי על הארגון.

על כן, הרגולציה והאסדרה במשק צריכות לייצר שפה אחידה בנושא. הפרמטרים הקובעים מהו ספק מהותי ומה הכללים החלים עליו חייבים להיות אחידים בין כלל הגופים. מפרט הסקרים והמתודולוגיה לביצוע, כמו גם סט הכישורים הנדרש בכדי לבצע את הסקרים, ייצרו שקיפות ואמת מידה אחידה (Benchmark) – שיספקו לארגונים בטחון ביכולת לסמוך על בדיקות-ספק שכבר בוצעו. תוכנית הטיפול בפערים תוכל לתת ערך גם ללקוחות וגם לספקים, שסובלים מכפל בדיקות ובזבוז זמן ומשאבים. כך יוכל כלל המשק ליהנות ממערכת ציונים אחידה, ורמת סיכון כוללת וברורה לכל ספק.

 

מה בכל זאת ניתן לעשות?

מצידם של מנהלים בכירים בחברה, נדרש להפנות משאבים להגנה על הבטן הרכה, היא שרשרת האספקה, על מנת למנוע נזקים כלכליים, תודעתיים ותדמיתיים לחברה – על ידי ניהול סיכונים איכותי ומבוסס נתונים. כיום, רשויות שונות מפרסמות המלצות לניהול הסיכונים בשרשרת האספקה והחברות יכולות לבחור האם לקיים. להערכתי, ככל שמתחזקת ההבנה של הרגולטורים על מהות הסיכון תתהדק הרגולציה בתחום, ולכן רצוי והכרחי שחברות יאמצו כבר היום הן סטנדרטים מקומיים ובין לאומיים, והן כלים לניהול אפקטיבי ובטוח של שרשרת האספקה.

איך מתמודדים עם מחסור במשאבים וכוח אדם, איך מאפשרים שירותי סוק וסים אפקטיביים, ומה התפקיד האמיתי של האוטומציה?

אירוע infosec – הירשמו עכשיו >>