ניהול אבטחת שרשרת האספקה
מהי שרשרת אספקה?
שרשרת אספקה הינה מערכת של ארגונים, עובדים, מידע ומשאבים המעורבים בתהליך אספקת המוצר/השירות מהספק ועד ללקוח.
ניהול שרשרת אספקה בארגון אינו תהליך פשוט כלל. ראשית, קיים קושי רב לנהל את אבטחת שרשרת האספקה באופן אפקטיבי.
לחלק מהארגונים יש מאות ואף אלפי ספקים, דבר הגורם לחוסר שליטה, בקרה ואבטחה שוטפים בארגון.
האיום המרכזי הנובע מתוך שרשרת האספקה הינו התלות בגורמי חוץ.
כל חוליה בשרשרת האספקה יכולה להוות סיכון ואף לפגוע בארגון:
- סיכונים שמקורם ברמת הגנה נמוכה אצל הספק – סיכונים אלו נובעים בעקבות חוסר מודעות לאבטחת המידע בארגון: הגדרות אבטחה ירודות, שימוש בהגדרות הזדהות חלשות ועוד
- סיכונים שמקורם באיום פנימי – קבלת גישה למאגרי המידע של הלקוח ושימוש ללא אישור
- סיכונים הנובעים מהתנהלות לקויה אצל הלקוח/רוכש השירות – ניהול הרשאות לקוי, אי ביצוע בקרות שוטפות בארגון ועוד
- סיכונים הנובעים בעקבות חוסר תיאום ציפיות מול הספק
- קבלת גישה למידע או למערכות המידע ותקיפת מערכות הארגון
השלבים לניהול שרשרת אספקה בארגון:
מיפוי ספקים:
על הארגון למפות את הספקים בארגון – אילו שירותים הספקים מספקים לארגון, הגדרת אנשי קשר, האם הספק חתום על הסכם סודיות?
לאחר מכן, הארגון ימפה את הספקים על פי דרגות חשיבות:
- אילו מהספקים בעלי דרגת חשיבות גבוהה, בינונית ונמוכה?
- האם הספק מחזיק במידע רגיש של הארגון?
- האם לספק ישנה גישה לרשת הארגון?
- האם הספק חשוף למידע רגיש של הארגון?
- האם נתוני הארגון מאוחסנים אצל הספק?
הערכת סיכונים בארגון:
לאחר מיפוי הספקים, על הארגון לבחון אילו סיכוני סייבר הארגון עלול להיחשף.
על הארגון לבחון את הנושאים הבאים:
- בקרות גישה ואבטחה פיזית של המידע בארגון
- תחזוקת שרתים ומערכות מידע בארגון
- הגדרות ואבטחת גישה מרחוק, גיבויים שוטפים
- הגנת על עמדות קצה ושרתים ועוד
לאחר בחינת הנושאים, על הארגון לבחון כעת את הספקים אשר הוגדרו ברמת חשיבות גבוהה על ידי ביצוע סקרי סיכונים ושאלונים. מטרת הסקר לבחון את הסיכונים המהותיים של הספק ולהציע פתרונות להפחתתם. יש לבצע סקרי סיכונים מקצועיים ומעמיקים המותאמים לסוגים שונים של ספקים. על הספק לקבל את הממצאים וההמלצות ולתקנם בהקדם. על הארגון חלה החובה לוודא כי אכן הספק ביצע את התיקונים שהוטלו עליו.
ביקורות מעמיקות ושוטפות על שרשרת האספקה:
לאחר ביצוע סקר סיכונים והערכת הסיכונים בארגון, על הארגון לבחון את רמת ההגנה של הארגון מפני תקיפות דרך שרשרת האספקה. על הארגון לבצע סימולציות תקיפה, ביצוע מבדקי Red-Team לבדיקת מוכנות להתמודדות מול פרצות אבטחה ללא העמדת הארגון בסיכון ממשי.
לעבוד מול גופי ממשל, תשתית ופיננסים:
היחידה להגנת הסייבר בממשלה (יה"ב) פרסמה הנחיה חדשה לניהול ספקים מהותיים בשרשרת האספקה של משרדי הממשלה. ההנחיה מתייחסת לארגונים המספקים שירותים/תחזוקה של מערכות מידע, אחסון מידע רגיש, שירותי מיקור חוץ טכנולוגיים , לדוגמא: בתי דפוס המדפיסים צ'קים עבור בנקים, חברות פיתוח ואחסון אתרים ועוד.
כתוצאה מכך, מערכת הסייבר הלאומי פיתח שלושה תוצרים לבחינת עמידותם של הספקים:
- מענה על שאלון ספקים – השאלון מונה כ-90 בקרות המחולקות לארבעה תחומי בדיקה:
- גישה מרחוק
- דרישות רוחביות
- אחסון בענן
- פיתוח תוכנה מאובטח
- פיתוח מערכת יוב"ל (יעדים ובקרות לארגון) – מערכת זו נותנת מענה מקוון בכדי לבצע התקשרות מול ספקים מהותיים. המערכת מספקת מענה לניהול סיכוני סייבר ואבטחת המידע של שרשרת האספקה בארגון.
- בודקים מוסמכים
עד 31.12.20 על המשרד לבצע מיפוי של כלל הספקים המהותיים איתם הוא מתקשר. לאחר ה-31.12.20, לא תותר התקשרות מול ספק שאינו עומד בתקן ISO 27001 בארגון.
חברת Nextep יכולה לספק עבורכם את כל הדרוש לארגון שלכם, בהתאם להיקף הנדרש ולתחום הפעילות.
נכתב על ידי עדי מיידלר, מנהל תחום אבטחת מידע בחברת נקסטפ.