מה משותף למרקס אנד ספנסר וג'אגואר לנד רובר (JLR)? שתיהן סבלו מפריצות משמעותיות של תוכנות כופר השנה לאחר שגורמים שנפגעו מהתקפות כופר כיוונו לספקים. במקרה של M&S, ההערכה היא שמדובר במחשב נייד של קבלן של טאטא. JLR, זה היה גונב מידע שכוון נגד עובד של LG Electronics עם גישה לרשת של יצרנית הרכב.
שניהם מדגישים את האיום הגובר המצב על ארגונים עקב תלות בשרשרת האספקה, שלעתים קרובות היא אטומה ושבירה. ניתן לטעון שהאתגר רק יגבר ככל שמלחמת סחר עולמית חדשה תאלץ חברות לעצב מחדש במהירות את שרשראות האספקה, עם מעט זמן לבחינת שותפים חדשים. כפי שמגלה מחקר חדש, יש הרבה מה לתקן.
בעיה בשני חלקים
על פי הפורום הכלכלי העולמי (WEF), למעלה ממחצית (54%) מהארגונים הגלובליים מזהים אתגרי שרשרת האספקה כמחסום הגדול ביותר שלהם להשגת חוסן קיברנטי. "המורכבות הגוברת של שרשראות האספקה, יחד עם חוסר נראות ופיקוח על רמות האבטחה של הספקים, התגלתה כסיכון הסייבר המוביל עבור ארגונים", קבע הפורום. הערות דוח.
אתגר אבטחת שרשרת האספקה מתחלק לשני חלקים:
- תוכנה שמכניסה תוכנות זדוניות או פגיעויות לסביבות מהימנות. רכיבי קוד פתוח אשמים במיוחד בכך, מכיוון שלעתים קרובות הם אינם מתועדים כראוי, מה שמוביל לפגיעה באבטחה. אירועים כמו Log4Shellאבל הם לא הסיכון היחיד. תוכנה קניינית כמו תזיז את זה ו-GoAnywhere גם הייתה מטרה לניצול יום אפס בעבר, עבור גניבת נתונים וסחיטה בקנה מידה גדול, שפגעו במיליוני לקוחות במורד הזרם.
- שותף שרשרת אספקה שנפגע – כגון ספק שירותי ניהול שירותים (MSP), ספק SaaS או חברת שירותים מקצועיים – עלול ליצור סיכוני אבטחה משמעותיים. יריבים עשויים להיות מסוגלים לגשת ישירות לנתונים של ארגון, אם הם מאוחסנים על ידי השותף, או לקבל כניסות לחשבונות הרשת/ענן של הארגון דרך הספק. הם עלולים גם לפגוע בספקים באמצעות תוכנות כופר, דבר שיכול להיות בעל השפעה הרסנית על כל שרשרת האספקה, בהתאם ל- מתקפת שירותי הבריאות הלאומיים של סינוביס.
למרבה הצער, שני דוחות שפורסמו לאחרונה מדגישים את האתגרים המתמשכים של הפחתת סיכוני שרשרת האספקה. מחקר LevelBlue מגלה כי מבין הארגונים שטוענים שיש להם "נראות נמוכה מאוד" בשרשרת האספקה של התוכנה, 80% סבלו מפריצת אבטחה ב-12 החודשים האחרונים. זאת בהשוואה ל-6% בלבד שטוענים שיש להם "נראות גבוהה מאוד".
בנפרד, דוחות ספר סיכונים כמעט מחצית (46%) מהארגונים בבריטניה חוו לפחות שני אירועי סייבר בשרשרת האספקה שלהם במהלך השנה האחרונה. הדו"ח מגלה גם כי 90% מהנשאלים רואים באירועי סייבר בשרשרת האספקה דאגה מרכזית לשנת 2025, ורק שתי חמישיות (37%) מתארות את ניהול הסיכונים שלהם על ידי צד שלישי כ"יעיל מאוד".
הרגולטורים רוצים פעולה
לפי LevelBlue, מנכ"לים נוטים להיות מודאגים יותר מסיכון שרשרת האספקה מאשר עמיתיהם בסוויטת המנהלים, כאשר 40% מציינים אותו כסיכון האבטחה הגדול ביותר בארגון לעומת הרבה פחות מנהלי מערכות מידע (29%) ומנהלי טכנולוגיות ראשיות (27%). סביר להניח שזה יביא ללחץ נוסף מלמעלה על מנהלי מערכות מידע וצוותיהם. אבל האמת היא שהם כבר נמצאים תחת לחץ קיצוני לעמוד במגוון תקנות חדשות המכוונות לסיכון ספקים. אלה כוללים:
דורה: בין היתר, חוק DORA מחייב גופים פיננסיים לנהל את הסיכון של ספקי IT של צד שלישי כחלק משולב מניהול סיכוני ה-IT הכולל, בפיקוח הדירקטוריון. עליהם גם לתחזק רישום מפורט ומעודכן של מידע על כל החוזים עם ספקים אלה ולבצע בדיקת נאותות יסודית על ספקים חדשים.
2 שקלים: דורש מכל הארגונים הנכללים במסגרת הפרויקט להיות בעלי מדיניות ניהול סיכונים בשרשרת האספקה ולהעריך "פגיעויות ספציפיות לכל ספק ישיר וספק שירותים". דירקטורים בכירים ומנהלים אחראים ישירות לפיקוח על כך.
הצעת חוק אבטחת סייבר וחוסן: עדכון בריטניה ל-NIS ידרוש מארגונים מפוקחים להעריך ולחזק את קשרי הספקים, ליישם ניהול סיכונים חזק עם צד שלישי ולכתוב ציפיות אבטחה בחוזים, בין היתר.
נקיטת פעולה
תרזה לנוביץ, המבשרת הראשית של LevelBlue, טוענת כי בכל הנוגע לשרשרת האספקה של תוכנה, הנראות חייבת להיות בעדיפות עליונה - "במיוחד ככל ששרשראות האספקה גדלות בגודלן ובמורכבותן, וארגונים מאמצים יותר פתרונות המונעים על ידי בינה מלאכותית".
היא אומרת ל-ISMS.online: "מנהלי מערכות מידע צריכים להתמקד בארבע פעולות מרכזיות: מינוף המודעות של המנהלים הראשיים כדי לאבטח משאבים, יישור קו פנימי לזיהוי נקודות תורפה מובילות, השקעה באמצעי אבטחה פרואקטיביים והערכת נהלי אבטחת הסייבר של הספקים באופן קבוע. גישה מאוזנת ופרואקטיבית זו תחזק את הנראות, המוכנות והאחריותיות לאורך שרשרת האספקה."
ג'סטין קורווילה, אסטרטג אבטחת הסייבר הראשי של Risk Ledger, אומר ל-ISMS.online כי ארגונים חייבים לאמץ גישה של "הנחת פריצה" ולעצב את תשתית האבטחה שלהם כך שתכיל ותגביל כל פעילות זדונית.
"לכן, השגת נראות למערכות יחסים עם צד שלישי, רביעי ואפילו צד-ת היא חיונית. נקודת מבט רחבה יותר זו מסייעת למנהיגי אבטחה לבנות הבנה מדויקת יותר של החשיפה שלהם ולתעדף מאמצי הפחתה היכן שהם חשובים ביותר", הוא מוסיף.
קורווילה טוען כי שרשראות אספקה של תוכנה דורשות בדיקה מיוחדת, לאור ההשפעה הפוטנציאלית של פגיעויות בקוד הנמצא בשימוש נרחב.
"ארגונים צריכים לצפות מספקים לאמץ שיטות פיתוח מאובטחות בהתאם למסגרות המוכרות בתעשייה", הוא מוסיף. "מידת בדיקת הנאותות עשויה להשתנות בהתאם לקריטיות של הספק ולתיאבון הסיכון של הארגון. אך היא צריכה לכלול אלמנטים של פיתוח תוכנה מאובטח כגון שיטות CI/CD, ניהול פגיעויות ואספקת רשימת חומרים של תוכנה (SBoM)".
כיצד ISO 27001 יכול לעזור
לנוביץ מ-LevelBlue טוען כי תקני שיטות עבודה מומלצות כמו ISO 27001 יכולים לספק בסיס שימושי עליו ניתן לבנות אבטחה טובה יותר בשרשרת האספקה.
"בעוד ארגונים מתמודדים עם נראות מקוטעת של סיכונים ושיטות עבודה לא עקביות, תקן ISO 27001 יכול לסייע באיחוד ופישוט מאמצי הציות בין אזורים ומגזרים. באמצעות מינוף התקן, מנהלי מערכות מידע יכולים לאמץ גישה מובנית לניהול סיכונים ולשיפור מתמיד", היא מוסיפה.
"עם תקנות רבות שחולקות את אותן שיטות עבודה מומלצות - כולל הערכת סיכונים, בקרת גישה, בדיקת ספקים ותכנון תגובה לאירועים - יישום ISO 27001 יכול גם להפחית את יתירות הציות."
קורווילה מריסק לדג'ר מסכים, אם כי הוא מזהיר מפני עמידה בדרישות "תיבת סימון".
במקום זאת, ארגונים שמעדיפים גישה חזקה ומבוססת סיכונים לניהול סיכוני סייבר בדרך כלל משיגים תאימות לתקנות כתוצאה טבעית, הוא מסכם.
