תקופת הקורונה רק חידדה לחברות (גם במגזר הפרטי וגם בציבורי) עד כמה ארוכות ומורכבות שרשראות האספקה שלהן. כעת מתברר ששרשראות האספקה הללו מאפשרות לתוקפי הסייבר לפעול בקלות יתרה, אז מה אפשר לעשות ואיך ניתן להתגונן? בכתבה שלפניכם:
בשנים האחרונות, ובטח בשנת 2020 נושא תקיפות הסייבר דרך שרשרת האספקה הפך לשיחת המטבחון (או הזום) בכל חברה שיש לה ספקים, שותפים ואחרים.
על פי נתוני מחקר של ,SecurityIntelligence בשנה האחרונה חלה עלייה של 11% בכמות אירועי הסייבר, ובמהלך שלוש השנים האחרונות ב-67%[1]. מחקר של Ponemon Institute מצביע על כך שהנזק הממוצע לחברה עומד על כ 3.86 מיליון דולר לאירוע, בעוד שעם העלייה החדה במעבר לעבודה מן הבית, בעקבות הפנדמיה, ממוצע זה עלה ליותר מ-4 מיליון[2]. הנזק המוערך אינו כולל בתוכו את הנזק העקיף כדוגמת מוניטין, נטישת לקוחות בעקבות השבתה ועוד.
על פי ההערכות של The Data Privacy Group, בשנים הקרובות אנחנו צפויים לראות עלייה משמעותית נוספת בתחום, הן בכמות התקיפות והן בנזק שהן גורמות לארגונים. הארגון חוזה כי השפעת התקפות סייבר על הכלכלה העולמית ב-2021 תעלה על 6 טריליון דולר.[3]
כל ארגון תלוי ברמה כזו או אחרת בשרשרת האספקה שלו, ובדרך כלל, שרשרת האספקה הרבה יותר רחבה ממה שהארגון מודע אליה. גם הסיכון שנגזר ממנה הרבה יותר משמעותי ממה שאנחנו מעריכים. על פי רוב האתגר נובע מחוסר מודעות, קושי במיפוי והערכה, חוסר במשאבים ומיעוט תקציבים שמופנה לניהול הסיכון.
השרשרת בנויה מכלל הספקים של הארגון, מערכות מידע, משאבי אנוש, תפעול, כספים, מחלקה משפטית רכש ועוד. גם השותפים שלנו הם חלק מהשרשרת. הלקוחות שלנו, גם הם מעורבים בתהליך וכמובן, הספקים של הספקים של הארגון ומכאן רמת הסיבוכיות רק עולה.
השרשרת מסתעפת
אז איך שולטים ומנהלים את השרשרת הרלוונטית? עד כמה השרשרת שלנו מסועפת? איך אורזים את כל המידע ומסוגלים לקבל החלטות קונקרטיות ופרקטיות? כיצד ניתן להעריך את הסיכון הכולל?
הנושא מתחבר לעולם רחב יותר שנקרא "משטח התקיפה".
משטח התקיפה של הארגון מוגדר כאזור חיצוני לארגון שדרכו ניתן לממש התקפות. חלק ממשטח התקיפה תלוי בארגון ומה הוא חושף החוצה כגון שרתים ש"מדברים" עם העולם, אפליקציות חיצוניות, שירותי ענן, אתרים מקוונים, דפים עסקיים ברשתות החברתיות וכדומה. חלק אחר ממנו מורכב מהעולם שלא נמצא בשליטה ישירה של הארגון כגון שרשרת האספקה, פרופילים אישיים של בכירים בארגון, אתרי דיוג (phishing), מודיעין על הארגון שנסחר בחוץ ועולמות אפלים נוספים.
שם המשחק, בעולם רווי מידע שכזה, הוא היכולת להיות יעיל ולעצור את האירוע בזמן, לחבר את כל הנקודות של המודיעין, כלי הסריקה, ספקי הארגון, חולשות ידועות, ומגמות תקיפה ולהגיב בזמן ובצורה לא בזבזנית, לזקק מכלל המידע שקיים את הידיעה החשובה והרלוונטית לארגון, לדעת איזה פעולות יש לנקוט כדי להפחית סיכון ולהבין מה מכל אגם המידע הזה רלוונטי לארגון שלי.
תרחישי סיכון - מה יכול לקרות?
כמובן שיש לקחת בחשבון את המגמות, קבוצות התקיפה ושיטות התקיפה שיכולות לפגוש את הארגון בנכסיו הקריטיים על פי מגזר, אזור גיאוגרפי, קבוצת עניין וכו' על בסיס זיהוי וניתוח מקדים ולשכלל לידי פעולות מנע לביצוע.
עברו הימים של דוחות מודיעין בהם הארגון מקבל שלל התראות כלליות ללא יכולת להתמודד עם המשמעות שלהם ומה צריך לעשות בפועל. אנחנו בפתחו של עידן חדש, בו המידע ייאסף באופן אוטומטי מעשרות סנסורים ומקורות, ייחקר ויזוקק, ואז יעבור ללקוח בצורת התראה ממוקדת, לצד אופי הסיכון והפעילויות הספציפיות בהן יש לנקוט כדי להפחית אותו.
צוותי התגובה יקבלו Action items ברורים כיצד למנוע פגיעה בארגון. הצוותים הטכניים יידעו מה לסגור ועל מה לשים דגש והארגון יישאר ללא פגע.
זהו שחר של יום חדש, ניתוח מתקדם של אגם המידע המביא פרואקטיביות ויעילות בהגנה מפני אירועי סייבר שעלולים לגרום נזק עצום לארגונים, מגזרים ואף מדינות שלמות.
אם ברצונכם לבדוק ללא עלות מהי רמת ההגנה של הארגון שלכם, ולקבל מ'מרכז הגנת הסייבר' של BDO דוח המלצות פרקטי בהתאם למתודולגיית ההגנה של מערך הסייבר הלאומי – אתם מוזמנים להשאיר פרטיכם ויישלח אליכם שאלון בדוא"ל:
* 30 החברות הראשונות שיסיימו את הבדיקה בהצלחה, ייקבלו גם את דוח ההמלצות ובנוסף גם שיחת ייעוץ עם מומחה סייבר של BDO ללא עלות.