מתקפות סייבר הפכו בשנים האחרונות לעניין שבשגרה. לכל ארגון, ולבטח לנוכח זירת הסייבר של מלחמת חרבות ברזל, ברור כי מתקפה היא לא שאלה של אם אלא של מתי. למרבה ההפתעה, דווקא אחד מאיומי הסייבר המרכזיים והגדולים ביותר נותר מאחור: מתקפות צד שלישי דרך שרשרת האספקה.
מתקפות צד שלישי הן מתקפות שבהן האקרים להסב נזק גדול במיוחד לארגון על ידי תקיפה של גורמי צד שלישי הקשורים עסקית לארגון. "יש עלייה מובהקת במתקפות הללו מפני שתוקפים מבינים שכדי לחדור לארגונים מאובטחים היטב קל יותר לפגוע בשותפים פחות מאובטחים שלהם", אומר ליאור בן דוד, ממונה אבטחת מידע והמשכיות עסקיות בדן אנד ברדסטריט.
מנתונים עדכניים עולה כי למעלה מ-60% מהארגונים חשופים למתקפת סייבר דרך צד שלישי, אולם רק 20% מהארגונים ערוכים אליה. "אם עד כה היה מקובל להתייחס כ'צד שלישי' למערכות של ספקים בלבד, הרי שקיים כיום מגוון רחב של איומים", מסביר גדעון מרגולין, מנהל תחום שרשרת האספקה בחטיבת הסייבר של פירמת הייעוץ וראיית החשבון BDO. לדברי מרוגלין, בין האיומים הללו ניתן למנות סיכון מחברות שירות לקוחות אליהן מופרטים מערכי שירות של החברה, דרך ממשקי API כאלו ואחרים, תוכנות צד שלישי שמוטמעות במערכות, קבלן משנה של קבלן משנה ואפילו שירותי ענן חיצוניים - וזאת רק רשימה חלקית.
מי שדווקא מכיר את המתקפות האלו היטב הם ההאקרים ופושעי הסייבר. בשנה האחרונה בלבד חלה עלייה במספר המתקפות שאינן מכוונות ישירות אל המטרה הסופית, אלא עושות דרכן דרך שרשרת האספקה - שבה יש סיכוי גבוה יותר למצוא את החוליה החלשה. לעיתים מדובר בתקופה ממושכת של פריצה שקטה ועמוקה, שמובילה לאובדן פעילות ושיתוק הפעילות העסקית, ולעיתים מספיק בפריצה קטנה – וגם הארגון שלכם בסכנה לדליפת מידע רגיש.
"מה שמייחד את מתקפות שרשרת האספקה הוא שהן לרוב לא מופעלות ישירות נגד הקורבן הסופי ומאפשרות לתקוף ארגונים שמשקיעים רבות בהגנה בצורה עקיפה ויעילה", אומר בן-דוד. "התוקף למשל שותל נוזקה או דלת אחורית ברכיב שמוריד הארגון כחלק מהתפעול השוטף – כמו עדכון תוכנה לגיטימי – ולכן המתקפה נראית 'כשרה' ומתחמקת מבקרות רגילות. בנוסף, הן לרוב לא מזוהות בזמן אמת אלא רק לאחר נזק נרחב, מה שמחמיר את ההשלכות".
לדברי מרגולין, ההתמודדות עם האיום הזה מצריכה אימוץ גישה הוליסטית, יסודית ומקיפה. "כבר אי אפשר לפטור את הנושא ברשימת שאלות או הצהרה של ספקים, או בחוזה מחייב", הוא מסביר. "הסתכלות נכונה על האתגר מתחילה בהבנת שרשרת האספקה של הארגון: האם מדובר רק בספקים? האם הארגון מפעיל זכיינים הפועלים בשמו אך לא כפופים באופן מלא למדיניות אבטחת המידע? האם מתקיימת תקשורת עסקית עם צדדים שלישיים שלא כרוכה בהעברת תשלום בדרך המסורתית ולכן קשה לאתר אותה דרך הרכש? ועוד שאלות שמפילות את מסך ההכחשה או חוסר הידיעה. לאחר זיהוי הצדדים השלישיים יש להחליט כיצד לטפל בהם על פי קריטריוני השפעה עסקית".
עוד מסביר מרגולין כי "למרות חוסר הבשלות של השוק להתמודד עם האתגר, ישנם הרבה כלים ומספר גישות טכנולוגיות לניהול סיכוני צד שלישי, אשר ניתן לחלק לבדיקות טכנולוגיות ולבדיקות עמידה בסטנדרטי אבטחת מידע. גם העלייה ביכולות הבינה המלאכותית מייצרת אתגר לצד הזדמנות, כאשר מצד אחד הארגון צריך לאמץ וליישם מדיניות אבטחת מידע בנושא צדדים שלישיים מבוססי AI, ומצד שני יש כיום כלים המשתמשים בבינה מלאכותית כחלק מתוכנית ניהול שרשרת האספקה והופכים אותה לפחות ידנית ויותר יעילה. אין אמת אחת בבחירת הכלים, ויצירת חליפת הערכה נכונה עבור תכנית ניהול שרשרת האספקה של הארגון דורשת הבנת ההקשר העסקי, בין אם המוטיבציה היא רגולטורית ובין אם הבנה עמוקה של הסיכון".
מרגולין ובן-דוד ממליצים על כמה צעדים שאפשר לנקוט כדי להיערך לאיומי שרשרת אספקה ולספק הגנה נאותה:
- ביקורת ספקים מסודרת: לבצע סקרי סיכונים תקופתיים לספקים קריטיים, כולל דרישות אבטחה כתנאי בהסכם.
- לא לסמוך על רכיבים - חיצוני או פנימי – כל חיבור, עדכון או פעולה צריכים בשאיפה להיבדק, להיחתם דיגיטלית ולהיות מפוקחים.
- ליצור הפרדה מבחינת תקשורת, הרשאות ואזורי תפעול - להגביל את הגישה של רכיבי צד שלישי לרשתות ולמערכות קריטיות.
- תיעוד ומיפוי: לדעת אילו רכיבים חיצוניים נמצאים בשימוש, כולל גרסאות ועדכונים.
- הגברת ניטור ותגובה: להשתמש בכלים ייעודיים לזיהוי התנהגות חריגה, גם מצד רכיבים לכאורה לגיטימיים.
- מודעות והכשרה: להדריך את כלל הגורמים בארגון, על הסיכונים ולשלב את הנושא בתהליכי קבלת החלטות עסקיות.