העולם של ימינו מושתת על שרשראות אספקה. הן הרקמה המחברת שמאפשרת את הסחר העולמי והשגשוג של ימינו. אך הרשתות האלה, שמורכבות מחברות שמקושרות ביניהן וחופפות אחת לשנייה, הופכות למורכבות יותר ושקופות פחות. ברובן קיימים גם מרכיבים של אספקת תוכנות ושירותים דיגיטליים, או שהן מתבססות במידה מסוימת על תקשורת מקוונת. החשיפה לעולם התוכנה והתקשורת חושפים אותן להפרעה ולפגיעה.
במרבית המקרים, עסקים קטנים-בינוניים לא יעסקו בניהול האבטחה של שרשרת האספקה שלהם, או שפשוט אין להם את המשאבים הנדרשים לכך. אך הסתמכות בעיניים עצומות על אבטחת הסייבר של השותפים והספקים אינה אפשרית או מספיק בטוחה במצב הנוכחי. ואכן, הגיע הזמן (מזמן) להתייחס ברצינות לניהול הסיכונים בשרשרת האספקה.
מה זה סיכון בשרשרת האספקה?
בחברת אבטחת המידע ESET מסבירים כי סיכוני סייבר בשרשרת האספקה יכולים להופיע בצורות שונות, החל מנוזקות כופר וגניבת נתונים ועד למניעת שירות (DDoS) והונאות. הם יכולים לפגוע בספקים מסורתיים כמו פירמות לשירותים מקצועיים (כמו עורכי דין ורואי חשבון) או בספקי תוכנות עסקיות. תוקפים עשויים לכוון את מתקפתם גם לספקי שירותים מנוהלים (Managed Services Providers - MSPs), מכיוון שאם יצליחו לפרוץ לחברה אחת באופן הזה, הם יוכלו לקבל גישה למספר גדול של לקוחות שמשתמשים בשירותיה של אותה החברה. מחקר מהשנה האחרונה חשף ש-90% מספקי השירותים המנוהלים סבלו ממתקפת סייבר במהלך 18 החודשים האחרונים.
אלו חלק מסוגי מתקפות הסייבר העיקריות שמכוונות לשרשרת אספקה והאופן בו הן פועלות:
- תוכנה קניינית פרוצה: פושעי סייבר הופכים למתוחכמים יותר ויותר. במקרים מסוימים, הם הצליחו לפרוץ למפתחי תוכנות ולשתול נוזקה בקוד אשר יסופק לאחר מכן ללקוחות המשתמשים בתוכנה. זה מה שקרה בקמפיין הכופרה Kaseya. במקרה שהתרחש לאחרונה, תוכנת העברת הקבצים הפופולרית MOVEit נפרצה באמצעות חולשת יום-אפס ונגנבו נתונים ממאות לקוחות עסקיים, מה שהשפיע על מיליונים מלקוחותיהם. הפריצה של תוכנת התקשורת 3CX ידועה היסטורית כתקרית הראשונה שבה מתקפה על שרשרת אספקה הובילה לאחרת.
- מתקפות על שרשראות אספקה בקוד פתוח: מרבית המפתחים משתמשים ברכיבי קוד-פתוח כדי להאיץ את זמן האספקה של פרויקטים בתחום התוכנה. אך גורמים זדוניים מודעים לכך, והחלו לשתול נוזקות במרכיבים מסוימים ולשווק אותם במאגרי קוד פופולריים. באחד מהדוחות נטען שהייתה עלייה של 633% במתקפות מהסוג הזה לעומת השנה שעברה. גורמים זדוניים מזדרזים לנצל פרצות במרכיבי קוד-פתוח שחלק מהמשתמשים לא יתקינו את העדכון לתיקונן. זה מה שקרה כשהתגלה באג קריטי בכלי נפוץ במיוחד בשם Log4j.
- התחזות לספקים: מתקפות מתוחכמות שמוכרות גם בשם "פריצה לדוא"ל עסקי" (Business Email Compromise - BEC) כוללות פושעי סייבר שמתחזים לספקים כדי לגרום ללקוחות להעביר להם סכומי כסף. בדרך הכלל, התוקף יפרוץ לחשבון דוא"ל ששייך לאחד מהצדדים, יבחן את ההודעות העוברות מצד אחד לשני עד שיגיע הזמן להתערב ולשלוח חשבונית מזויפת עם פרטי חשבון בנק שונים.
- גניבת פרטי גישה (שמות משתמש וסיסמאות): תוקפים יכולים לגנוב את פרטי הגישה של ספקים כדי לפגוע בספק או בלקוחותיו (וייתכן שלספק יש גישה לרשתות של לקוחותיו). זה מה שקרה בפריצה האדירה ל-Target בשנת 2013, שכחלק ממנה האקרים גנבו את פרטי הגישה של אחד מספקי מיזוג האוויר של הקמעונאי.
- גניבת נתונים: ספקים רבים מחזיקים בנתונים רגישים על לקוחותיהם, ובמיוחד חברות כמו משרדי משפטים שבדרך כלל מחזיקים סודות עסקיים אינטימיים. המשרדים האלה הם מטרה אטרקטיבית במיוחד לגורמים זדוניים שמחפשים מידע אותו יוכלו להפוך לכסף באמצעות סחיטה או אמצעים אחרים.
כיצד אפשר להעריך ולצמצם סיכונים הנובעים מספקים?
בכל אחד מסוגי הסיכונים בשרשרת האספקה שצוינו כאן, התוצאה הסופית של פגיעה תהיה זהה: נזק כספי ופגיעה במוניטין, שעלולים להיות מלווים בתביעות, פגיעה בפעילות, ירידה במכירות ופגיעה בלקוחות. עם זאת, ניתן לנהל את הסיכונים האלה באמצעות שימוש בפרקטיקות ידועות בתעשייה.
חברת אבטחת המידע ESET מציעה שמונה רעיונות:
- 1. בצעו בדיקת מהימנות לכל ספק חדש. המשמעות של בדיקה כזאת היא וידוא שתוכנית האבטחה שלהם עומד בציפיות שלכם, ושיש להם אמצעים בסיסיים להגנה מפני איומים, זיהוי שלהם ותגובה אליהם. כשמדובר בספקי תוכנה, כדאי לבדוק גם אם יש להם תוכנית לניהול פרצות ומה המוניטין שלהם בנוגע לאיכות המוצרים שלהם.
- 2. נהלו סיכוני קוד פתוח. המשמעות במקרה הזה היא שימוש בכלים לניתוח מרכיבי תוכנה (Software Composition Analysis - SCA) כדי לראות את מרכיביה השונים של התוכנה, יחד עם סריקה קבועה לאיתור פרצות אבטחה ונוזקות, יחד עם תיקון מהיר של כל באג שמתגלה. ודאו שצוותי המפתחים מבינים את חשיבותו של קונספט 'Security by Design' בזמן פיתוח המוצרים.
- 3. בצעו סקירת סיכונים לכל הספקים. ראשית, יש להבין מיהם הספקים שלכם, ולאחר מכן להבין אם יש להם אמצעי אבטחה בסיסיים מתאימים. הנ"ל צריך לחול גם על שרשראות האספקה שלהם. בצעו ביקורות באופן קבוע ובדקו עמידה בתווי תקן מוכרים ובכללי רגולציות במידת האפשר.
- 4. החזיקו רשימה של הספקים המאושרים שלכם ועדכנו אותה באופן קבוע על פי תוצאות הביקורת שאתם מבצעים. ביקורת ועדכון רשימת הספקים באופן קבוע מאפשרת לארגונים לבצע הערכות סיכונים מעמיקות, לזהות פרצות אבטחה אפשריות ולהבטיח שהספקים שלהם עומדים בסטנדרטים מוכרים לאבטחת סייבר.
- 5. צרו מדיניות רשמית לקליטת ספקים. כחלק ממנה, יש להגדיר את הדרישות שלכם לצמצום סיכונים הנובעים מספקים, ביניהם הסכמי רמת שירות (Service Level Agreement - SLA) בהם הספק יצטרך לעמוד. הדרישות האלה ישמשו כמסמך עקרוני שמציין את הציפיות, הסטנדרטים והתהליכים אליהם ספקים חייבים להתאים את עצמם כדי להבטיח את אבטחתה של כלל שרשרת האספקה.
- 6. ניהול סיכונים הנובעים מגישת ספקים. אם ספקים מסוימים זקוקים לגישה לרשת שלכם, עמדו על כך שיינתנו להם הרשאות נמוכות ככל האפשר. ניתן לבצע זאת כחלק מגישת "אפס אמון" (Zero Trust), שכחלק ממנה כל המשתמשים והמכשירים אינם נחשבים לאמינים עד שזהותם מאומתת, יחד עם וידוא מתמשך של הזהות וניטור מתמשך של הרשת המשמשים כשכבה נוספת לצמצום סיכונים.
- 7. פתחו תוכנית לתגובה לתקריות. במקרה בו הגרוע מכל קורה, ודאו שיש לכם תוכנית מוגדרת ומנוסה אחריה תוכלו לעקוב כדי להכיל את האיום לפני שהוא יכול להשפיע על הארגון. תוכנית כזו צריכה להתייחס גם לאופן בו הצוותים שעובדים עבור הספקים יתווכו להם את התקרית.
- 8. שקלו הטמעה של סטנדרטים תעשייתיים. בתקני ISO 27001 ו-ISO 28000 יש דרכים שימושיות רבות המאפשרות להשיג את חלק מהצעדים שהוזכרו למעלה כדי לצמצם את הסיכונים הנובעים מספקים.
זמן לקחת שליטה
בשנה האחרונה, כמות המתקפות המכוונות לשרשרת האספקה הייתה גדולה ב-40% מכמות המתקפות המבוססות על נוזקות, כך לפי אחד מהדוחות בנושא. הן הובילו לפריצות שפגעו ביותר מ-10 מיליון אנשים. הגיע הזמן לקחת שליטה בחזרה באמצעות ניהול סיכוני ספקים אפקטיבי יותר.