כיצד אירועי סייבר מתוקשרים מדגימים את ההשפעה העסקית האמיתית של פגיעויות בשרשרת האספקה

מאת ניקולס פירן • 27 נובמבר 2025

פרצות סייבר גורמות להרס בעסקים. הן עלולות לעצור את פעילותן של חברות, לרוקן את קופותיהן ולשחוק את אמון הלקוחות. לעתים קרובות, הן אינן נגרמות מפגיעויות IT במערכות ה-IT של הקורבנות עצמן, אלא מפגיעויות הקיימות בשרשראות האספקה הדיגיטליות שלהן.

דוגמה עדכנית לכך היא כאשר יגואר לנד רובר (JLR) חוותה מתקפת סייבר קטסטרופלית, כפי שמומחים במרכז ניטור הסייבר (CMC) מעריכים. עסק מכה של 1.9 מיליארד ליש"ט לכלכלת בריטניה הרחבה יותר. יצרנית הרכב נאלצה להפסיק את הייצור למשך מספר שבועות, מה שעצר את הצמיחה בתעשיית הרכב הבריטית. ההערכה היא שהאופי המקושר של מערך ה-IT הגלובלי של יגואר לנד רובר, שילובו עם טכנולוגיות תפעוליות המפעילות מפעלים וההסתמכות על מערכות שרשרת אספקה אפשרו להאקרים לעבוד במהירות תוך שהם מקשים על צוותי ה-IT שלה לבודד את המתקפה.

מתקפות סייבר יקרות אחרות בשרשרת האספקה השפיעו השנה על מרקס אנד ספנסר (M&S) וקואופ. M&S נקטה £ 300 מיליון דולר פגיעה ברווחים שלה, בעוד שקואופ צופה הפסד £ 120 מיליון דולר ברווחים שנתיים. שני האירועים הובילו לקמעונאים לחוות מחסור במלאי, מה שהדגיש את השיבוש התפעולי שפריצות יכולות לגרום לעסקים. והם נגרמו על ידי פגיעויות בספק צד שלישי - שנוצלו באמצעות טקטיקות הנדסה חברתית.

עם שילוב של פגיעויות בשרשרת האספקה ושיטות ניהול IT לקויות התורמות למתקפות הסייבר של JLR, M&S ו-Co-op, מה עסקים יכולים לעשות אחרת כדי לחזק את הגנות הסייבר ואת שרשראות האספקה הדיגיטליות שלהם?

אפקט דומינו

כיום, עסקים מודרניים מסתמכים במידה רבה על מערכת אקולוגית של פלטפורמות, תוכנות, יישומים וטכנולוגיות פיזיות שונות - כולן מסופקות על ידי ספקים שונים - כדי להישאר צפים. וכאשר פושעי סייבר פורצים לחלק אחד ממנה, ההשלכות הן בלתי נתפסות וקשה לבלום.

"תלות אחת שנפגעה לא גורמת רק להפסקה טכנית ליום אחד", אומר טום פינץ', מנהל הנדסה בספקית תוכנת אבטחת קונטיינרים Chainguard. "זה גורם לתגובת שרשרת של שיבושים תפעוליים, מחזורי תיקונים דחופים, חרדת לקוחות וביקורות רגולטוריות שלוקחות שבועות ולפעמים חודשים להתאושש מהן."

ברגע שתגובת שרשרת זו מתחילה, תחומים שונים בעסק - כולם מחוברים באמצעות תוכנה - מושפעים במהירות. פיט האנה, סגן נשיא מערב אירופה בספקית אחסון הגיבוי Object First, מסביר כי ספק יחיד שנפרץ יכול לגרום לאפקט אדווה ברחבי הארגון הנפגע, ולהשפיע לרעה על "הפעילות, האספקה, האינטראקציות עם הלקוחות והביצועים הפיננסיים שלו".

חנה מוסיפה שאפילו הפסקות שרשרת האספקה הקטנות ביותר עלולות לגרום ל"עיכובים בייצור, קנסות חוזיים ותזוזת לקוחות". ובעוד שהתאוששות ממצב זה יכולה לפגוע קשות במצב הפיננסי של החברה, הוא מאמין ש"שחיקת האמון יכולה להיות מתמשכת אף יותר".

שרשראות אספקה דיגיטליות חלשות

מתקפות בשרשרת האספקה הפכו למקור שכיח לשיבושים בנוף העסקי של ימינו. הסיבה לכך היא פגיעויות "מבניות" הקיימות בשרשראות אספקה דיגיטליות, לדברי פייר נואל, מנהל מערכות מידע שטח EMEA בספקית הזיהוי והתגובה המנוהלים Expel.

למרות שעסקים מסתמכים יותר ויותר על מערכות וטכנולוגיות תלויות זו בזו, נואל אומר שהם מוחלשים על ידי "תצורות אבטחה לא ידועות או שאומתו בצורה גרועה" הקיימות כיום בכל חלקי שרשרת האספקה הדיגיטלית. הוא מוסיף שהתוצאה היא חוסר נראות ואחריות, כלומר התקפות בשרשרת האספקה לרוב נעלמות מעינינו למשך פרקי זמן משמעותיים, ואף אחד לא בטוח כיצד להתמודד איתן או מי אשם.

תחושה זו מהדהדת על ידי פינץ' מ-Chainguard, המתאר שרשראות אספקה של תוכנה כ"שבירות מבחינה מבנית". הוא אומר ש"נקודה עיוורת ביטחונית" נוצרת על ידי "הקישוריות" של תוכנה מודרנית, המורכבת מרכיבים רבים ושונים ש"נבנים ומתוחזקים על ידי אלפי אנשים".

בנוסף לשרשרת אספקה חלשה ומקוטעת של תוכנה, חנה מ-Object First מזהירה כי ארגונים רבים אינם בודקים באופן קבוע את אבטחת ספקי הצד השלישי שלהם. במקביל, הוא אומר שפושעי סייבר מנצלים באופן שגרתי "עדכוני תוכנה, גישה מועדפת, אישורי צד שלישי וסטיית תצורה" כשהם מחפשים כניסה לשרשראות אספקה וכמובן, לארגונים.

הוא אומר ל-IO: "אלא אם כן עסקים יעריכו ויבדקו באופן רציף את חוסן שרשרת האספקה שלהם, במקום להסתמך על בדיקות תאימות תקופתיות, אותם דפוסי שיבושים יימשכו."

ניהול ספקים טוב הוא חיוני

עם שרשראות אספקה דיגיטליות פגיעות יותר מתמיד, לעסקים נהיה עניין דחוף לשפר את שיטות ניהול הספקים והלקוחות שלהם. עבור חנה מ-Object First, משמעות הדבר היא ללכת מעבר לחוזי ספקים ולהתכונן להתקפות על שרשרת האספקה "בדרך מתואמת".

לשם כך, הוא אומר שארגונים חייבים לעבוד בשיתוף פעולה הדוק עם הספקים שלהם על יצירה ואכיפת תוכניות תגובה לאירועים. במקביל, תפקידים ואחריות חייבים להיות ברורים כך ש"ההתאוששות תהיה מהירה יותר והשיבושים יוגבלו".

מומחה נוסף הרואה את היתרון בתיאום הדוק בין עסקים לספקים בהפחתת סיכוני אבטחה בשרשרת האספקה הוא פינץ' מצ'יינגארד. הוא אומר שכאשר כל בעלי העניין בשרשרת האספקה משתפים פעולה ב"תפקידי תגובה לאירועים ונתיבי תקשורת", ארגונים יכולים להגיב להתקפות במהירות ובדיוק גדולים יותר. הוא מוסיף: "יחד, פרקטיקות אלו מפחיתות את היקף וחוסר הוודאות של אירועים הרבה לפני שהם הופכים לבעיות פיננסיות או תדמיתיות".

מאמצים למניעת נזקים באמצעות תיאום משופר בין ספקים אינם חשובים רק. חברות צריכות גם להתכונן לתוצאה הגרועה ביותר של מתקפות סייבר, שלעתים קרובות היא קריסת אמון הלקוחות. עבור נואל מאקספל, משמעות הדבר היא "אחריותיות ברורה, ביקורת חוזית עבור ספקים בסיכון גבוה יותר, תקשורת שקופה ותגובה מתואמת לאירועים". הוא מוסיף: "לקוחות לא מצפים לשלמות; הם מצפים למהירות, יושר ויכולת".

שינויים אחרים

מעבר לנהלים בריאים של ניהול ספקים ולקוחות, האם יש צורך בשינויים נוספים? עבור נואל מאקספל, התשובה היא כן חד משמעי - הוא אומר שארגונים לא צריכים עוד לראות באבטחת שרשרת האספקה תרגיל חד פעמי. משמעות הדבר היא החלפת "תיקונים תגובתיים" ב"ניהול סיכונים פרואקטיבי", כאשר מנהלי מערכות מידע (CISO) יעבדו בשיתוף פעולה הדוק עם ספקים על חיזוק שרשראות אספקה דיגיטליות.

פינץ' מצ'אנגארד מסכים עם נואל, שאומר שארגונים וספקי צד שלישי חייבים לראות באבטחת שרשרת האספקה "אחריות עסקית משותפת". זה דורש ממנהיגים עסקיים, אנשי ציות וטכנולוגים לפרק את המבודדים הקיימים ולעבוד יחד כדי שתוכנות העתיד יהיו "מהירות, חכמות ושיתופיות יותר מאי פעם".

בעוד שהתייחסות לאבטחת שרשרת האספקה כאחריות משותפת חיונית להפחתת ובלימת מתקפות, כריס ביני - יועץ אבטחה לענן מאדינבורו - קורא לספקים להבטיח שיש להם "נראות רבה יותר על שרשראות האספקה שלהם" לפני שהם מספקים מוצרים ללקוחות ארגוניים.

כדי למתן מתקפות שרשרת אספקה עתידיות, דיאן דאוני - אדריכלית תוכנה בכירה בחברת Black Duck, המתמחה באבטחת יישומים, אומרת שארגונים צריכים "לבסס, תמיד לפעול לפיהן ולשפר באופן מתמיד שיטות עבודה מומלצות". הפיכת השימוש בארכיטקטורת אפס-אמון לשיטה מומלצת מרכזית עשויה גם היא לסייע, מציעה חנה מ-Object First, על ידי הגבלת "המרחק שתוקף יכול לנוע בתוך סביבה מסוימת".

ניתן לומר באופן הוגן כי מתקפות בשרשרת האספקה הפכו לכאב ראש גדול הן עבור ארגונים והן עבור ספקיהם. אך אין צורך שיהיה קשה כל כך למתן, לזהות ולבלום אותן; עסקים וספקים פשוט צריכים לעשות מאמץ מרוכז כדי להתייחס לאבטחת שרשרת האספקה כאל אחריות משותפת מתמשכת. בפועל, משמעות הדבר היא תוכניות, תהליכים ואחריות ברורים כדי להרחיק תוקפים.

כמובן, אפילו עם אמצעי ההגנה הטובים ביותר, עדיין יהיו מקרים בהם תוקפים יצליחו לפרוץ לשרשראות אספקה. כאן תגובה מתואמת לאירועים היא חיונית. וכמובן, עסקים ושותפיהם צריכים להיות שקופים עם הלקוחות לגבי מה שקרה על מנת לשמור עליהם בצד.

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.