מתקפת שרשרת אספקה על חברת Signature-IT והשלכותיה על לקוחות וארגונים

חברות ישראליות, ובמיוחד חברות שמספקות שירותים למשק הישראלי, הן יעד בולט למתקפות סייבר גם בשגרה. בשנים האחרונות אנו רואים גידול משמעותי בניסיונות לפגוע בחברות על ידי פגיעה בשרשרת האספקה שלהן. מתחילת מלחמת חרבות ברזל חלה עלייה חדה במספר אירועי הסייבר המבוצעים בידי קבוצות אקטיביסטים אנטי-ישראלים, ממומנות על ידי מדינות אויב, המנסות לפגוע בחברות במשק הישראלי. בחלקן הגדול של החברות המותקפות, "דלת הכניסה" הייתה באמצעות גורמים בשרשרת האספקה שלהן.

ב-16 בנובמבר פורסמה בערוץ הטלגרם של קבוצת האקטיביסטים Cyber Toufanaksa"" הודעה לפיה קמפיין חדש וייעודי בשם "#OpcyberToufan" פגע בכמה גופים בישראל. הקבוצה פרצה לחברת Signature-IT, המספקת שירותי יישום פתרונות למסחר אלקטרוני B2B ו-B2C, ניהול ידע ושירותי דיגיטל לעשרות חברות ואירגונים מובילים במשק הישראלי. כתוצאה ממתקפה זו, נראה כי התוקפים הגיעו למידע של רבים מלקוחות החברה, ולפי הכרזתם הם מתכוונים להדליפו בכמה פעימות.

מתקפה זו היא מתקפת שרשרת אספקה קלאסית, המנצלת חולשה של ספק - ודרכו מתבצעת התקפה על הארגון. בין מטרות ההתקפה ניתן למנות דליפת מידע רגיש, שיבוש מידע, פגיעה בתהליכים המוגדרים קריטיים בקרב הלקוחות, ואף שימוש בחיבור שאינו מוגדר כיאות כווקטור תקיפה לתוך רשתות הלקוח.

אחד האתגרים המרכזיים בניהול סיכוני שרשרת האספקה הוא הבנה של ההשפעה העסקית של הספק על הרציפות התפקודית של הארגון. זיהוי נכון ובזמן של הסיכונים הפוטנציאליים, יכול לצמצם את הפגיעה הפוטנציאלית בארגון כתוצאה מפגיעה בספק, ובתגובת שרשרת אפילו לצמצם את הסיכון לפגיעה בספק עצמו.

ארגונים שדאגו מראש למפות את הספקים בתהליך מסודר, הבינו את רמת הקריטיות שלהם וידעו לומר מה תהיה ההשפעה העסקית במידה שהספק ייפגע וכמובן מה על הארגון לעשות כדי לצמצם פגיעה – מצליחים לחסוך מיליוני דולרים, זמן וקשב עסקי, בעיקר בימים של מלחמה ואי-ודאות.

4 שלבים לצמצום הפגיעה בשרשרת האספקה

במטרה לצמצם את הסיכון לפגיעה בארגון כתוצאה מפגיעה בשרשרת האספקה, אנו ממליצים לפעול בהתאם למודל ארבעת השלבים:

1. מיפוי וסיווג - עבודה פנימית בתוך הארגון כדי לוודא שכל התהליכים המרכזיים שמערבים צדדים שלישיים מובאים בחשבון, והעברתם במשפך קריטריונים שמטרתו לייצר תוכנית הערכה, הכוללת בתוכה רשימה מתועדפת של ספקי צד ג', שאותה יש לנהל במסגרת התהליך.
2. הערכה – הפעלת מודולי הערכה שונים על כלל הארגונים שנכנסו לתוכנית העבודה, בהם סריקת הנכסים האינטרנטיים שלהם, סקר סיכוני סייבר, פרטיות, מודיעין, שאלונים עסקיים ועוד. צעדים אלה מיועדים לגבש תמונה מקיפה של הסיכון הנשקף מהספק.
3. ולידציה – היתוך המידע שנאסף מתוך הארגון בשלב המיפוי והסיווג עם המידע מצד הספק משלב ההערכה, והגדרת סט דרישות מהספקים, שכולל מענה רק לבעיות הקשורות לאופי הספק ולאופן ההתקשרות שלו מול הארגון - ולא לכלל הסיכונים הכלליים ששוקפו בשלב ההערכה.
4. מיטיגציה – ליווי הספקים במימוש תוכנית הטיפול בממצאים, תוך סיוע בהבנה של מה נדרש מהם ברמה הטכנית והטכנולוגית, וכן ברמת ניהול הסיכון - כלומר להבין כיצד הכי נכון לצמצם את הסיכון, ואילו בקרות מפצות אפשריות על מנת להגן על הקשר הספציפי בין הספק לארגון.

ניהול נכון של סיכוני שרשרת האספקה בהיבטי סייבר, פרטיות ובדיקות נאותות, הוא מרכיב קריטי לרציפות התפקודית של הארגון בעיקר בתקופת לחימה ובתקופות של אי-ודאות עסקית. בעולם שבו מרבית הארגונים נעזרים בצורה משמעותית בחלקים גדולים מהפעילות העסקית שלהם בידי גורמים וספקים מצד שלישי, יש לוודא שניהול סיכון שרשרת האספקה מבוצע בראייה הוליסטית ובצורה אחראית, תוך איזון בין הבנת הסיכון לניהולו בצורה מושכלת.

מדובר בתהליך מורכב, הכולל מגוון אספקטים ובעלי תפקידים בתוך הארגון. ניתן לנהל את האירוע בצורה אלגנטית ומקיפה, על ידי הגדרת התהליכים המדויקים, אימוץ טכנולוגיות רלוונטיות וחשיבה חדשנית ופרקטית. טכנולוגיה היא מרכיב חשוב בפתרון, אך היא אינה מספקת מענה מלא לסגירת הסיכון - אלא רק לשלב ההערכה שלו. לכן, יש להקצות משאבים כדי להגיע לצמצום נכון ויעיל של הסיכונים.

רוצים לדעת עוד? צרו קשר עם מומחי הסייבר של BDO