וובינר איומיי סייבר בשרשרת האספקה
מה זה אומר איומיי סייבר בשרשרת האספקה?
מספקים חיצונים.
למעשה, נוצרת תלות רצינית בין ארגון לספקיו והתלות הזאת יוצרת פתח לאיומיי סייבר.
האיומים נובעים בראש ובראשונה מחוסר השליטה.
לצוות האבטחה קל יותר לנהל איומים הקשורים בארגון עצמו וקשה יותר לנהל את האיומים הקשורים
בספקים חיצוניים. כאשר האיום הוא חיצוני קשה יותר לנהל אותו.
האיום גדל כאשר לספק החיצוני אין את המשאבים הדרושים להגנת סייבר כפי שיש לארגון המרכזי.
לרוע המזל, פריצה לספק או ניצול ההתקשרות ע"י פושעי סייבר יובילו לפרצת אבטחה בארגון.
יש לזכור כי צוות האבטחה אמור לאפשר את הפעילות העסקית ולא לעצור אותה, הסיכון קיים ויש לנהל
אותו, לכן יש למצוא את הדרכים לשתף פעולה עם הספקים השונים בהתאם לסיכון שהם יוצרים.
אופי הסיכון ו"התאבון" לסיכון נגזרים מאופי הפעילות העסקית של הספק. ככל שהספק יותר מהותי, בעל
גישה למשאבי החברה ומחזיק במידע רגיש כך הבקרות שיש ליישם אמורות להיות חזקות יותר.
כמה רציני האיום הזה?
וברגע שהספק נפגע הוא בדרך להדביק את הארגון.
תקופת הקורונה חיזקה את הבעיה כי עכשיו הרבה אנשים מתחברים מרחוק מהסביבה הביתית שלהם
שבאופן טבעי מאובטחת פחות.
ספק חיצוני יכול להחזיק מידע רגיש, לקבל הרשאות גבוהות למערכת הארגון, להתחבר מרחוק, לתחזק
ולפתח מערכות קריטיות בארגון, להיות ספק שירות ייחודי.
כנראה שאם הסנדוויצ'ים שהזמתם למשרד לא יגיעו תוכלו להסתדר אבל תארו לכם שהאינטרנט הפסיק
לעבוד, לכל הנראה שלא תספיקו לעשות יותר מדי כשזה קורה.
לצערנו התופעה רק גדלה וצפויות התקפות רבות בהמשך, חברות עמיטל, Solarwinds, הן רק דוגמאות
בודדות.
פושעי סייבר רוצים להקל על עצמם ותמיד יחפשו את הדרך הקלה לפרוץ לארגונים.
פריצה למחשב של עובד של ספק משנה כנראה תמיד תהיה קלה יותר מאשר למחשב בתוך הארגון.
אז איך בוחרים ספק? מה צריך לבדוק?
לכן, חשוב מאוד לתאם ציפיות ולערוך הדרכות מקדימות לכל הצדדים כדי להביא את כל הצדדים של
ההתקשרות בחשבון וליישם את הבקרות המתאימות מחינה חוזית ותפעולית.
יש להגדיר קריטריונים לקניינים, למחלקה המשפטית והצוות העסקי.
צוות האבטחה חייב להיות מעורב בכל התקשרות עם ספק חיצוני.
יש למפות את הספקים ולקבוע מיהו ספק מהותי. צוות האבטחה יקבע מענה רלבנטי להתקשרות שבוחן
הרשאות, דרך התחברות, שמירת מידע, מיפוי סיכונים, מיפוי משאבים, שעות עבודה, ניטור, בקרות
טכנולוגיות ועוד.
ספק מהותי חייב להבין כי הוא חייב לעמוד בקריטריונים הללו כדי להוות ספק מהותי לארגון.
כמובן ששני הצדדים רוצים בהתקשרות לכן התקשורת חייבת להיות חיובית ומאפשרת ומערבת את כל
הגורמים גם בצד של הספק.
הספק מצידו צריך להבין כי תהליך כזה משפר לו את העסק ויוצר לו הזדמנויות עסקיות נוספות והארגון
צריך לבצע התאמות כדי לאפשר את שיתוף הפעולה במקרה של פערים אבטחתיים. התאמות שלא
פוגעות ברמת האבטחה אך מאפשרות את המשכיות העסק.
רצוי שהארגון עצמו ידע לעמוד בהנחיות שהוא דורש מספקיו והדבר יהיה חלק מהתרבות הארגונית.
צריכה להיות הבנה שכל אחד יכול להיפרץ לכן אי אפשר באמת לסמוך על אף אחד והבקרות חייבות
להיות חזקות.
ההבאה.
אז מה באמת ניתן לבצע ברמה הטכנולוגית?
יש הרבה מה לעשות 😊
הזדהות חזקה באופן החיבור.
זיהוי המחשבים שמהם מתחברים.
לא לאפשר לכל מחשב להתחבר, שימוש ב CERTIFCATE.
הקלטות מסך וניטור סשיינים.
הגבלת חיבור לטרמינל מבודד.
שליטה על אופי החיבור והגבלת פעולות.
EDR איכותי.
שמירת לוגים.
הגבלת שעות גישה.
שימוש במערכות ענן שמנגישות קבצים ללא צורך בהתחברות מרחוק.
סיפוק מחשבים מהארגון.
מודעות עובדים!!!!!!!!!
ועוד ועוד...
אוקי נשמע הרבה דברים, מה הרגולציה דורשת?
ישנן הוראות בנק ישראל, נב"ת 363 שמגדירות ניהול בנקאי תקין בהקשר התקשרות עם ספקים.
ספקים מהותיים חייבים לעמוד בדרישות רבות אשר מוגדרת כניהול בנקאי תקין.
ישנן גם את תקנות הפרטיות שמבטאות את דרישות החוק.
בכלליות החוק הישראלי יותר מאפשר מחוקים אחרים כמו בבריטניה וארה"ב.
טוב, מה הכי חשוב לזכור?
דע את ספקייך!
ספק מאובטח יצליח יותר.
דוגמא אישות מנצחת, ZERO TRUST.
להכיר את האיום ולגבות אותו בבקרות חוזיות, עסקיות וטכנולוגיות.
לאפשר המשכיות עסקית ולמצוא פתרונות מאובטחים.
עבודה מאובטחת ונכונה היא WIN WIN לארגון ולספק!
יוגב נחום
הצטרפתי אל WIZER במרץ 2020 במטרה להנגיש את תחום המודעות לאיומי סייבר בישראל. כהורה לילדים, אני מבין שזאת מיומנות חיים בסיסית שכל אחד ואחת חייבים לאמץ כבר בשלב מוקדם מאוד. לכן כל התכנים שלנו מופצים בחינם לרווחת הקהילה. זה כיף גדול לראות את סרטוני ההדרכה והוובינרים הלימודיים שלנו מופצים ברחבי הרשת ועוזרים לעצב תרבות מודעת. שיתופי הפעולה שלנו עם חברות רבות בישראל מוכיחות את החשיבות של הקהילה. שאתה תורם אתה מקבל בחזרה.