מיפוי הסיכונים: ההנחיות של NCSC בנושא אבטחת שרשרת אספקה- ISMS.online

מיפוי הסיכונים: ההנחיות של NCSC בנושא אבטחת שרשרת אספקה

מאת ג'ון ליידן • 11 יולי 2023

התקפות סייבר המשפיעות על שרשרת האספקה של ארגון – ולא ישירות על הארגון – הופכות ליותר ויותר נפוצות.

אם הספק שלך נפרץ, נכסי הארגון נמצאים בסיכון. בהתחשב בכך, התוקפים אימצו את הטקטיקה של פריסת התקפות דרך שרשרת אספקת התוכנה. כפי ש שדווח בעבר, צורת התקפה שהגיעה לידי ביטוי לראשונה עם מתקפת תוכנת הכופר של NotPetya של 2017 והפרת SolarWinds של 2020 הופכת למכת אבטחה תאגידית.

השמיים ניצול של פגיעות בתוכנת העברת הקבצים MOVEit גניבת נתונים וניסיון לסחוט תשלום ממשתמשי הטכנולוגיה ממחיש כיצד התקפות שרשרת האספקה משמשות כווקטור תקיפה על ידי פושעי סייבר כמו גם מדינות לאום.

חבילות תוכנה מסחריות, רכיבי קוד פתוח ואלמנטים של טכנולוגיית ענן נמצאים כולם בסיכון מהתקפות שרשרת האספקה.

המטרות של התקפות שרשרת האספקה יכולות לנוע בין חבלה להפצת תוכנות זדוניות, תוכנות כופר ואפילו ריגול סייבר. שרשרת היא רק חזקה כמו המרכיב החלש ביותר שלה, ובעיות יכולות להיווצר מספקי טכנולוגיה לספקים של ארגון, כמו מספקים שלמישהו יש קשר עסקי ישיר איתם, מה שמסבך עוד יותר את התמונה.

תלות בשרשרת האספקה

הסקירה השנתית של 2022 של מרכז אבטחת הסייבר הלאומי של בריטניה (NCSC) קבעה את אבטחת שרשרת האספקה כ"אתגר איומים עתידי" מרכזי. ה-NCSC עקב אחר האזהרה הזו מוקדם יותר השנה עם הדרכה כיצד ארגונים יכולים למפות את הסיכונים בשרשרת האספקה שלהם.

ההנחיה, המכוונת לארגונים בינוניים עד גדולים, מספקת צעדים מעשיים להערכת אבטחת סייבר בשרשרת האספקה בצורה טובה יותר. זוהי משימה מאתגרת, כפי שמודה ה-NCSC.

"שרשרות האספקה הן לרוב גדולות ומורכבות, ואבטחת שרשרת האספקה ביעילות יכולה להיות קשה מכיוון שפגיעויות יכולות להיות טבועות, להציג או לנצל בכל נקודה בה", מסבירה סוכנות הבטחת המידע של ממשלת בריטניה.

ניתן לטפל במשימה המפחידה של מיפוי התלות בשרשרת האספקה על ידי פירוקה לחלקים הניתנים לניהול, כולל:

איזה מוצר או שירות מסופק, על ידי מי והחשיבות של נכס זה לארגון
מלאי של ספקים וקבלני משנה שלהם, המראה כיצד הם מחוברים

מומחי אבטחה קיבלו בברכה את הנחיות המיפוי של ה-NCSC.

פירס ווילסון, מנהל המכון Chartered of Information Security (CIISec), אמר ל-ISMS.online: "הנחיות ה-NCSC מדגישות את הצורך לזהות ולהבין ספקים והסיכונים האישיים שלהם בכל רמות השרשרת. ספקים מסוימים אתה עשוי לשתף איתם נתונים, בעוד שאחרים לא יגעו בנתונים שלך תוך מתן תמיכה קריטית. בלי קשר, כל אלה מגדילים את משטח ההתקפה הפוטנציאלי".

וילסון המשיך: "אז ישנם סיכונים מערכתיים כמו ענן או ספקי שירותים מנוהלים שעשויים לעמוד בבסיס לא רק העסק שלך אלא ארגונים אחרים שאתה מסתמך עליהם."

חלק מהתהליך כולל מיפוי תלות, תהליך הדומה לביצוע מלאי של נכסים. ווילסון הסביר: "תהליכי ההערכה והביקורת המשמשים למיפוי שרשרת האספקה צריכים להיות מתאימים למטרה, ניתנים לשחזור ולהתמודד עם הצרכים העסקיים. הם גם צריכים לספק את המידע הדרוש על סיכונים, מצב היגיינת הסייבר ומשטח ההתקפה הרחב יותר. ההנחיה של NCSC היא צעד לקראת השגת זה."

סיכוני שרשרת האספקה הופיעו כאתגר קריטי ב דו"ח מצב אבטחת המידע האחרון של ISMS.online. בסקר שנערך בקרב 500 אנשי מקצוע בכירים באבטחת מידע, 30% מהנשאלים ציינו את ניהול הסיכון של ספקים וצד שלישי כ"אתגר אבטחת מידע מוביל". למעלה ממחצית (57%) מהארגונים שנשאלו חוו פריצה עקב פשרה בשרשרת האספקה.

להעמיס יותר מדי

CIISec הזהיר כי מיפוי שרשרת האספקה ככל הנראה יטיל עומס מוגבר על צוותי אבטחה שכבר היו בלחץ קשה.

Wilson מ-CIISec הגיב: "ביצוע הנחיות NCSC ו-ISO יסייע לצוותי אבטחה לזהות את הדרך היעילה והיעילה ביותר למפות ולהגן על שרשרת האספקה שלהם. אבל בנוסף, התעשייה צריכה להמשיך ולהשקיע באימונים ולמשוך דם טרי, כך שהצוותים מקבלים את הכישורים והתמיכה שהם צריכים ולא יישרפו”.

Esהקמת מסגרת

ISO 27001 הוא תקן בינלאומי למערכות ניהול אבטחת מידע. המסגרת מציעה קווים מנחים לשמירה על סודיות הנתונים הארגוניים, שלמותם וזמינותם.

גישת השיטות הטובות ביותר של תקן אבטחת המידע מסייעת לארגונים לנהל את אבטחת המידע שלהם באמצעות המלצות המכסות אנשים, תהליכים וטכנולוגיה.

עצות המיפוי של ה-NCSC מצטטות את העצה שלה יסודות סייבר ואישורי ISO ומוצר ככלים המסייעים במיפוי שרשרת האספקה.

Luke Dash, המנכ"ל הראשי של ISMS.online, אמר שארגונים צריכים לעבוד עם הספקים שלהם במאמץ משותף למיפוי סיכוני שרשרת האספקה, תוך שימוש ב-ISO 27001 כמדריך. "ISO 27001, הידוע בגישה המקיפה שלו לניהול סיכוני אבטחת מידע, משלים בצורה מושלמת את ייעוץ מיפוי שרשרת האספקה של NCSC על ידי מתן מסגרת חזקה לארגונים המבקשים לשמור על הנכסים הדיגיטליים שלהם", הסביר דש. "שני הגופים נותנים עדיפות לשלב הערכת הסיכונים הקריטי, תוך שימת דגש על הצורך של ארגונים לזהות ולהעריך סיכונים הקשורים לנכסי המידע ושרשרות האספקה שלהם.

דאש הוסיף: "על ידי ביצוע מסע הערכת סיכונים משותף, ארגונים יכולים להבין באופן מקיף פגיעויות פוטנציאליות, ולהעצים אותם ליישם אמצעי אבטחה ממוקדים."

חלק מתהליך ניהול הסיכונים כולל מדידת בגרות האבטחה של הספקים לפני השימוש בנתונים אלה כדי להודיע על החלטות רכש. Dash של ISMS.online הסביר: "הייעוץ למיפוי שרשרת האספקה של ה-NCSC מדגיש את המשמעות של הערכת נוהלי האבטחה של הספקים, כולל הבנתם של איומים מתעוררים ויכולות תגובה לאירועים. הרמוניה של הקריטריונים הללו מאפשרת לארגונים לקבל החלטות מושכלות, לבחור ספקים בעלי תנוחות אבטחה חזקות המתאימות לסטנדרטים המחמירים שלהם".

גם להסכמים חוזיים תפקיד מהותי ביצירת מסגרת מגובשת. "ISO 27001 מדגיש את החשיבות של קביעת הסכמים ברורים המגדירים את אחריות אבטחת המידע וציפיות הספקים", אמר Dash של ISMS.online. "בהתאמה מושלמת, הייעוץ למיפוי שרשרת האספקה של ה-NCSC מעודד ארגונים לשלב דרישות אבטחה בתוך הסדרים חוזיים, תוך הבטחת עמידה בתקני אבטחה מחמירים בכל שרשרת האספקה".

ניטור וסקירה מתמשכים הם מרכיבים חיוניים הן בייעוץ למיפוי שרשרת האספקה של ה-NCSC והן ב-ISO 27001, המאפשרים ליישם את המסגרות המשלימות זו בזו."הדגש של ISO 27001 על שיפור מתמיד מתיישב בצורה חלקה עם ההמלצה של ה-NCSC להערכה מחודשת של סיכונים בשרשרת האספקה וביקורות תקופתיות של נוהלי אבטחת ספקים", סיכם Dash של ISMS.online.

"על ידי אימוץ הגישה המשותפת הזו, ארגונים נשארים זריזים, מטפלים באופן יזום באיומים המתעוררים ומבטיחים את האבטחה המתמשכת של שרשרות האספקה שלהם."

פשט את ניהול שרשרת האספקה שלך היום

גלה כיצד פתרון ה-ISMS שלנו מאפשר גישה פשוטה, מאובטחת ובת קיימא לניהול שרשרת אספקה וניהול מידע עם ISO 27001 ולמעלה מ-50 מסגרות נוספות.

גלה עוד

ג'ון ליידן

ג'ון ליידן כתב על רשתות מחשבים ואבטחת סייבר במשך יותר מ-20 שנה. לפני הופעת האינטרנט הוא עבד ככתב פשע בעיתון מקומי במנצ'סטר. ג'ון הוא בעל תואר בהנדסת אלקטרוניקה מסיטי, אוניברסיטת לונדון.