שרשרת אספקה הינה מערכת של ארגונים, עובדים, מידע ומשאבים המעורבים בתהליך אספקת המוצר/השירות מהספק ועד ללקוח.
ניהול שרשרת אספקה בארגון אינו תהליך פשוט כלל. ראשית, קיים קושי רב לנהל את אבטחת שרשרת האספקה באופן אפקטיבי.
לחלק מהארגונים יש מאות ואף אלפי ספקים, דבר הגורם לחוסר שליטה, בקרה ואבטחה שוטפים בארגון.
האיום המרכזי הנובע מתוך שרשרת האספקה הינו התלות בגורמי חוץ.
כל חוליה בשרשרת האספקה יכולה להוות סיכון ואף לפגוע בארגון:
מיפוי ספקים:
על הארגון למפות את הספקים בארגון – אילו שירותים הספקים מספקים לארגון, הגדרת אנשי קשר, האם הספק חתום על הסכם סודיות?
לאחר מכן, הארגון ימפה את הספקים על פי דרגות חשיבות:
לאחר מיפוי הספקים, על הארגון לבחון אילו סיכוני סייבר הארגון עלול להיחשף.
על הארגון לבחון את הנושאים הבאים:
לאחר בחינת הנושאים, על הארגון לבחון כעת את הספקים אשר הוגדרו ברמת חשיבות גבוהה על ידי ביצוע סקרי סיכונים ושאלונים. מטרת הסקר לבחון את הסיכונים המהותיים של הספק ולהציע פתרונות להפחתתם. יש לבצע סקרי סיכונים מקצועיים ומעמיקים המותאמים לסוגים שונים של ספקים. על הספק לקבל את הממצאים וההמלצות ולתקנם בהקדם. על הארגון חלה החובה לוודא כי אכן הספק ביצע את התיקונים שהוטלו עליו.
לאחר ביצוע סקר סיכונים והערכת הסיכונים בארגון, על הארגון לבחון את רמת ההגנה של הארגון מפני תקיפות דרך שרשרת האספקה. על הארגון לבצע סימולציות תקיפה, ביצוע מבדקי Red-Team לבדיקת מוכנות להתמודדות מול פרצות אבטחה ללא העמדת הארגון בסיכון ממשי.
היחידה להגנת הסייבר בממשלה (יה"ב) פרסמה הנחיה חדשה לניהול ספקים מהותיים בשרשרת האספקה של משרדי הממשלה. ההנחיה מתייחסת לארגונים המספקים שירותים/תחזוקה של מערכות מידע, אחסון מידע רגיש, שירותי מיקור חוץ טכנולוגיים , לדוגמא: בתי דפוס המדפיסים צ'קים עבור בנקים, חברות פיתוח ואחסון אתרים ועוד.
כתוצאה מכך, מערכת הסייבר הלאומי פיתח שלושה תוצרים לבחינת עמידותם של הספקים:
עד 31.12.20 על המשרד לבצע מיפוי של כלל הספקים המהותיים איתם הוא מתקשר. לאחר ה-31.12.20, לא תותר התקשרות מול ספק שאינו עומד בתקן ISO 27001 בארגון.
חברת Nextep יכולה לספק עבורכם את כל הדרוש לארגון שלכם, בהתאם להיקף הנדרש ולתחום הפעילות.
נכתב על ידי עדי מיידלר, מנהל תחום אבטחת מידע בחברת נקסטפ.
מרדכי רוז'נסקי 18 כניסה ב',
א.ת חדש ראשון לציון
א' - ה'
08:00-17:00