צרכנים רואים לעתים קרובות את רוב מתקפות הסייבר כמשהו שקורה לאנשים אחרים, עד שזה משפיע עליהם ישירות. גניבת כתובות דוא"ל ומידע אישי אחר הפכה לאירוע קבוע ושגרתי, אבל כאשר פושע לוחץ על כפתור באמצע העולם ומזון נעלם מהמדפים, הדברים פתאום הופכים למציאותיים.
זה מה שקרה ביוני, כאשר מתקפה על חברת סיטונאות המכולת יונייטד נטורל פודס (UNFI) הביאה לעצירה את פעילותה המקוונת. המתקפה פגעה ביכולתה של החברה לשרת את 30,000 סניפים שלה, והותירה את חנויות המכולת אזהרת לקוחות מפני מחסור במזון וגרימת שיבושים משמעותיים ב-Whole Foods שבבעלות אמזון, כולל סגירת תחנות כריכים.
מתקפות כאלה מדגישות את הנזק שיכול לגרום לאירוע סייבר לפעילות מעבר לחברה בודדת. שיבושים אלה יכולים להשפיע על אחרים המסתמכים עליהם כחלק משרשראות האספקה שלהם, וזה מעלה את השאלה: מה ארגונים יכולים לעשות כדי להגן על עצמם?
סיכון הסייבר בשרשרת האספקה מגיע לממדי משבר
זו לא ההתקפה הראשונה שראינו ששיבשה את שרשראות האספקה. חברת הביטוח קאובל פרסמה לדווח בסוף השנה שעברה, שהראו עלייה של 431% במספר התקפות בשרשרת האספקה מאז 2021.
התקפות כאלה הופכות נפוצות יותר ככל שפעולות עסקיות הופכות מקושרות יותר ויותר ושרשראות האספקה הופכות מורכבות יותר, על פי הדיווח, משום שהדבר מקשה על אבטחתן.
אחד האתגרים הגדולים ביותר שעומדים בפני ארגונים הוא בעיית נקודת הכשל היחידה; חברה אחת שעליה מסתמכים רבים אחרים למוצרים ושירותים היא מטרה בעלת ערך רב. הצלחת פריצה אליה מגבירה את ההשפעות של מתקפה בודדת.
שיבושים כתוצאה מהתקפות בשרשרת האספקה יכולים להיות דיגיטליים לחלוטין. הפגיעה בתוכנת SolarWinds בשנת 2020 הפכה מאות מערכות אצל לקוחות החברה לפגיעות לגניבת מידע. ניצול פגיעות בגרסה המקומית של מערכת שיתוף הקבצים MOVEit בשנת 2023 אפשר לתוקפים לגנוב קבצים ממאות לקוחותיה. לשניהם היה אותו מאפיין בסיסי: רעלים במוצר דיגיטלי (אחד הוכנס במכוון, אחד קודד בטעות) השפיעו על אלפי לקוחות במורד הזרם.
מתקפות סייבר אחרות, כמו פריצת UNFI, מובילות לבעיות פיזיות. הן מדגישות את השבריריות של שרשראות אספקה מודרניות המבוססות על אספקת מידע בזמן אמת, מה שהופך אותן לא רק לאיום על נתוני הלקוחות אלא גם לסיכון חברתי.
בין האירועים הבולטים בעבר שפגעו בשרשראות האספקה הפיזיות נמנים התקיפה על צינור קולוניאל בשנת 2021. בעוד שהתקיפה כוונה לפגוע ברשת המנהלית של החברה, היא סגרה את פעילות אספקת הדלק שלה מתוך זהירות, ויצרה מחסור שפגע במיליונים.
באותה שנה, מתקפת כופר על ספקית תוכנת ניהול מרחוק Kaseya פגעה בלקוחות שסיפקו שירותי IT מנוהלים. מתקפת כופר חלחלה גם ללקוחות, כולל רשת המכולת השוודית Coop, שנאלצה לסגור 800 חנויות. התקפות אלו עדיין היו דיגיטליות, אך התוצאות הסופיות היו קינטיות; במקום לחשוף את הנתונים שלהם, אנשים לא יכלו לנהוג או לאכול.
זה דורש תגובה ברמת הדירקטוריון
סיכוני שרשרת האספקה מציגים ציוויים חדשים של ממשל עבור דירקטוריונים, במיוחד כאשר הרגולטורים מתחילים לקדם את הנושא. לדוגמה, ה- חוק החוסן התפעולי הדיגיטלי של האיחוד האירופי (DORA) מטילה מספר דרישות מחברות שירותים פיננסיים. היא כופה דרישות מחמירות של בדיקת נאותות בעבודה עם ספקי טכנולוגיה ושירותים, לצד דרישות אבטחה מינימליות בחוזים. הסכמים עם ספקים חייבים לכלול גם התחייבויות הערכה מתמשכות המחייבות הערכות סייבר תקופתיות של ספקים.
הנחיית אבטחת רשתות ומידע 2 הנחיית (NIS2) מחייבת גם דרישות אבטחה מחמירות יותר עבור שרשראות אספקה.
אנשי מקצוע בתחום שרשרת האספקה יבחנו יותר ויותר את סיכון הסייבר כגורם מרכזי בעת שיתוף פעולה עם שותפים חיצוניים, על פי גרטנר. מצפה 60% מהם יעשו זאת השנה.
חששות אלה הופכים את ניהול הסיכונים של הספקים למרכיב חיוני בכל אסטרטגיית חוסן שרשרת אספקה. בדיקת נאותות יעילה פירושה בדיקה שלספקים יש אמצעי אבטחה. חברות שלא חייבו בדיקת נאותות יעשו טוב אם יבדקו את כל הספקים שלהן, באופן אידיאלי יבדקו הסמכה עם מסגרות או סטנדרטים רלוונטיים של אבטחת סייבר. אלה עשויים להיות ספציפיים לתעשייה.
אפילו אחרי כל זה, עדיין עלולות להתרחש התקפות. שמירה על ספקים שעוברים את מבחן הגיוס ברשימת ספקים מועדפים תסייע למזער את הסיכון ששרשרת האספקה שלכם תיפגע עקב פגיעה; עם זאת, זה לא ימנע לחלוטין את הסיכון הזה. לכן חשוב לתכנן שיבושים פוטנציאליים.
אל תסתגלו רק, אל תמנעו
בהתאם לסוג הפגיעה, מדריך להתמודדות עם מתקפות בשרשרת האספקה יכול להתמקד אך ורק בלוגיסטיקה ותפעול, או לכלול התאוששות דיגיטלית. אם ספק מכולת קורס בגלל פגיעה במערכת שלו, הבעיה הדיגיטלית שלו הופכת לבעיה הפיזית של הלקוחות שלו. לאחר מכן, המיקוד של ספקים במורד הזרם הוא על המשך זרימת הסחורות למדפים שלהם.
לעומת זאת, אם ספק ניהול הרשת שלך מוריד בטעות תוכנות זדוניות לאחד השרתים שלך, אז הבעיה הדיגיטלית שלו הופכת לבעיה הדיגיטלית שלך. זה דורש תגובה שונה.
תקני ISO מכסים את ההיערכות לתרחישים אלה. לדוגמה, ISO 22301 עוסק בהמשכיות עסקית לנוכח סיכוני שרשרת האספקה. ISO 27001 מכיל בקרות המסייעות בניהול סיכוני מידע שעלולים להשפיע עליך עקב פגיעה בשרשרת האספקה. תקן ISO 28000 עוסק בשיפור אבטחת שרשרת האספקה.
ניהול סיכון שרשרת האספקה המורכב והרב-גוני הזה פירושו לבצע כמה שיותר בדיקות מונעות כדי להגן על עצמכם על ידי בחירת ספקים חרוצים. אך פירוש הדבר גם הסתגלות לבעיות מתעוררות במקום להסתמך על מניעה שלהן.
