בשנים האחרונות מספר תקיפות הסייבר על ארגונים עלה משמעותית. לשם השוואה בלבד – ניסיונות דיוג (Phishing) מאז מרץ 2020 עלו פי 7 עד היום... מחקרים שבוצעו הציגו כי המקור לחלק מהתקיפות הללו נמצא אצל אחד מהספקים בשרשרת האספקה עצמה של הגוף שהותקף.

לפי מתודות הגנת מידע, כל ארגון צריך לוודא שהוא מנהל את סיכוני הסייבר אליהם נחשף מצד נותני השירות. על כן, על הארגון להתייחס לכלל שרשרת האספקה במערך הסייבר ולהעריך את הסיכונים הפוטנציאלים שעשויים להתרחש מעצם התקשרות עם ספקים מסוימים וזאת על ידי הגדרת תהליכי עבודה מסודרים ובקרות שיאפשרו לארגון למזער את החשיפה לאיומי סייבר.

לשם כך, מערך הסייבר הלאומי פרסם מתודה לניהול ההגנה בסייבר על שרשרת האספקה.
ניהול שרשרת האספקה של מערך הסייבר מייצג את מחזור החיים של הארגון אל מול ספקי שירות ומוצרים.

 

במסגרת ההתמודדות עם האיומים השונים עולים אתגרים, דוגמת:

  • כיצד ניתן לקבל מידע אמין מהספקים?
  • איך משיגים שקיפות על הספקים עמם עובדים?
  • האם ניתן לזהות בעיות בשרשרת האספקה?
  • כיצד ניתן לבצע את הבקרה על מענה הספק אל מול הדרישות שהצבנו לו?

בשל אלו, פיתח מערך הסייבר מנגנון המאפשר התמודדות יעילה של החברות במשק, באמצעותו ניתן לאתר מראש ׳ספקים מאושרים׳ על ידי מערך הסייבר (ספקים אשר סיימו את התהליך המוגדר המלא).

על הספקים להירשם באופן מקוון למערכת על ידי שאלון קבוע ומקיף, הכולל הנגשת דוח ממצאים.
כאשר אחת לשנה או אחת לשנתיים יתבצע ייעול תהליך ביקורת הספקים בהתאם לצורך. מנגנון זה נועד לקבוע סטנדרט ברור לדרישות מספקים היוצר תהליך מקצועי שכולל הגדרה בדיקה ומשוב.

 

כיצד מבצעים אסדרה של שרשרת האספקה?

המתודה לפי מערך הסייבר בבסיסה היא שאלון ספקים לחיזוק שרשרת האספקה המונה רשימת בקרות שונות ומגוונות באופן המותאם לסיכון.

דוגמאות לבקרות מהשאלון: האם מתבצעות בדיקות/מבדקי חדירה ברמת התשתית/אפליקציה? האם עמדות קצה ניידות מוצפנות? האם קיים בארגונך תהליך ניהול ועדכון טלאי אבטחה? (ניהול פאצ'ים)

המענה לשאלון נעשה לפי אופי ההתקשרות של הספק ורמת ההוכחה, כלומר ההשוואה בין הערכה עצמית לבדיקה על ידי בודק ספקים כגורם אובייקטיבי. כך כל ספק עונה רק על הבקרות והשאלות הרלוונטיות אליו.

 

תהליך אישור עמידת הספקים במערך הסייבר

אישור עמידת ספקים במנגנון שרשרת האספקה מתבצע כיום על ידי אחד מגופי ההתעדה מכון התקנים הישראלי (מת״י) / המכון לבקרה ואיכות (IQC).

אלו הם האחראים על הנפקת תעודה המאשרת את עמידתו של הספק במתודולוגית שרשרת האספקה של מערך הסייבר ולאחר מכן הספק ייכלל ברשימת הספקים המאושרים מטעם מערך הסייבר. המאגר פתוח לשימוש הציבור.

 

לפי מערך הסייבר קיימות 3 רמות להסמכת ספקים

דרגת פלטינה (ספק A) הערכת צד שלישי/יועץ – מילוי השאלון באתר הספק ע״י בודק ספקים מוסמך.

דרגת זהב (ספק B) הערכה עצמית (SA) בצירוף ראיות – הצהרה של הספק בלבד על דרך של הערכה עצמית כולל צירוף ראיות נדרשות התומכות בהצהרתו.

דרגת כסף (ספק C) הערכה עצמית – הצהרה של הספק על דרך של הערכה עצמית, ללא צירוף ראיות.

(כל אחת מהדרגות נקבעת לפי פרמטרים של הארגון לפי הנחיות מערך הסייבר)

 

מתוך שלושת סוגי ההסמכות, ספקי דרגת פלטינה (A) בלבד זקוקים לבודק ספקים מוסמך

תהליך זה כולל בתוכו 2 שלבים:

  1. לצורך מילוי שאלון הבדיקה נדרש מבדק של בודק ספקים מוסמך מטעם מערך הסייבר הלאומי.
  2. להתקשר עם מכון התקנים הישראלי (מת״י) או עם המכון לבקרה ואיכות (IQC) לטובת מבדק שרשרת אספקה, מסגרתו תיסקר תקינות הדוח ותאימות הממצאים של הארגון לעומת דרישות מערך הסייבר. לאחר אישור וועדת ההסמכה תונפק תעודה המאשרת את עמידתו של הספק במתודולוגית שרשרת האספקה של מערך הסייבר.