כמחצית ממתקפות הסייבר המתרחשות בעולם בשנים האחרונות מתחילות דרך שרשרת האספקה של הארגונים. מקור המתקפות יכול להיות רכיב פיזי שנרכש על ידי הקורבן, תוכנה נגועה שהותקנה על מערכותיו או תקיפה הנובעת מחיבור של ספקים למערכות הארגון. חולשה שבאה לידי ביטוי אצל הספק, מתגלגלת במעלה השרשרת ופוגעת בלקוחות שלו ולעיתים ממשיכה אל עבר הלקוחות של הלקוחות שלו וכך הלאה.

שורת מתקפות שאירעו לאחרונה בישראל ובארה"ב, בין היתר על עמיטל, FireEye ו-SolarWind, ממחישים את הסיכון האדיר הגלום בדרך תקיפה זו.

חברת עמיטל דאטה, שמספקת תכנה לחברות רבות בתחום הלוגיסטיקה בישראל, נפגעה מאירוע אשר שיבש את הפעילות התקינה של לקוחותיה. עדיין לא התפרסמו פרטים מלאים לגבי אופי האירוע  וגורמיו. יש בישראל אנשים שסבורים שהתקיפה על חברת עמיטל הייתה אסטרטגית ומטרתה הייתה לפגוע ולגנוב מידע בנושא לוגיסטיקה, אחסון ואולי אף נושאים שקשורים לחיסוני 19COVID.

ממש במקביל, מעבר לים, התרחשה דרמה גדולה יותר. אחת מחברות אבטחת המידע הגדולות ביותר בעולם, החברה האמריקאית FireEye, פרסמה כי האקרים פרצו לספק התוכנה SolarWinds והפיצו תוכנה נגועה ללקוחותיה. הפריצה התבצעה באמצעות הכנסת קוד זדוני לעדכוני התוכנה של מערכת Orion, פלטפורמה לניטור וניהול רשתות המאפשרת מעקב אחר משאבי המחשוב כגון שרתים, תחנות עבודה והתקני IOT.

התקפת שרשרת האספקה דרך SolarWind פגעה בארגונים רבים ברחבי העולם. ביניהם גופים ממשלתיים, חברות ייעוץ, ספקי טכנולוגיה, חברות טלקום וגופי הצלה בצפון אמריקה, אירופה, אסיה והמזרח התיכון. מרכז בקרת הסייבר האמריקאי, US-CERT, הורה לכל הגופים הממשלתיים במדינה לנתק באופן מוחלט כל שרת שמריץ את תוכנת SolarWind  בכל גרסה. מיד עם היוודע האירוע צלל ערך המניה שלSolarWind  בבורסה האמריקאית.

אחת הסברות בנושא היא שהאקרים, כנראה ברמה מדינתית, רצו לפרוץ לארגוני ממשל אמריקאים, זיהו את FireEye כדלת חיונית לפריצה, למדו את הארגון, אספו מודיעין וזיהו את החולשה של שרשרת האספקה דרך חברת SolarWind. בעצם תקפו את הספק של הספק של הארגון וכל זאת כדי לממש התקפת סייבר רחבה ומשמעותית יותר.

אין חולק כי רוב הארגונים כיום מבינים שסיכון הסייבר הינו סיכון מרכזי אשר יכול להשפיע על עתידה העסקי של החברה. מנהלים מבינים שיש להתייחס לנושא בכובד ראש, לנהל אותו ולהשקיע בו תקציבים. התממשות הסיכון היא לא בעיה רק של מנהל ה- IT או מנהל אבטחת המידע בארגון, אלא בעיה עסקית רחבה יותר, שהנהלת החברה מבינה שיש לתת עליה את הדין. תקיפה דרך שרשרת האספקה של הארגון כלומר ספקים, שותפים ולקוחות הינה דרך מועדפת על תוקפים ולכן, זיהוי מוקדם של איומים הנובעים משרשרת האספקה, הערכת הסיכונים וניהול שוטף של השרשרת, הינם תנאי הכרחי להמשך קיומו של ארגון ועמידותו בפני אירוע סייבר.

לארגונים עשרות ואף מאות של ספקים. קשה להנחות ולבקר בצורה יעילה כמות כזו של ספקים ובוודאי לשמור עם כל אותם הספקים על קשר שוטף, לוודא כי הם מנהלים את תוכנית הפערים שלהם בתחום אבטחת מידע ומשפרים את החוסן תוך כדי סגירת ממצאים. גם ארגונים המקפידים על ביצוע סקרי סיכונים אצל הספקים שלהם אחת לכמה שנים, אינם מסוגלים לנהל באופן יעיל את הטיפול השוטף בנושא, ועל אף תחושתם כי איום זה מטופל, הסכנה עודנה אורבת מעבר לפינה.

מרחב מלא באתגרים ונקודות תורפה
האתגר הגדול בניהול שרשרת האספקה הינו ההבנה של כמה ספקים יש לי בשרשרת? מי באמת מסכן אותי? עד כמה הסיכון משמעותי? מה קורה כשיש אירוע? למי הספק מדווח ואיך הארגון מקטין את הסיכון של זליגת האירוע?

ניתן וכדאי לטפל בנושא על ידי העברת הטיפול השוטף בניהול סיכוני שרשרת אספקה לשירות מנוהל. הדבר יעזור משמעותית להקטין את הסיכון ולצמצם את הסבירות להתרחשות אירועי זליגת מידע מספקים.

שירות שכזה כולל מרכז בקרה מסודר הנתמך על ידי מערכות לזיהוי, הערכה וניהול הספקים באופן שוטף, ניהול התקשורת והנחיית הספקים עד כדי סגירת פערי הגנת הסייבר שהתגלו, וכפועל יוצא מכך, התחסנות הספק ובסופו של דבר - הארגון.

הכותב הוא נועם הנדרוקר, שותף ומנהל פעילות ייעוץ סייבר במרכז הגנת הסייבר של BDO