מפגש בנושא דירוגי סיבר ואיומים בשרשרת האספקה

יום ד', 27 בפברואר 2019
"ברמה המדינתית אנחנו מודעים לכל הצרות של שרשרת האספקה, לקחנו לפני יותר משנה את כל הנושא הזה לטיפול אינטנסיבי" – כך אמר אלי פטל, ראש מרכז אסדרה במערך הסייבר הלאומי במפגש שולחן עגול של מנהלי אבטחת מידע בו הוצג התחום החם של דירוג (rating) ביצועי סייבר של ארגונים. הוא ציין כי מערך הסייבר מנחה ישירות את ארגוני התשתיות הקריטיות הממשלתיים, 26 גופים, לגבי אופן הטיפול בשרשרת אספקה. במקרה של גופים אזרחיים, ההנחיה אינה ישירה אלא דרך הרגולטורים שלהם, לפי הסקטורים השונים. עוד סיפר, כי החודש נפתח כבר קורס שני לבודקים מוסמכים לשרשרת אספקה בשיתוף עם מכון התקנים. 
 
דוברים נוספים במפגש, שאירחה NessPRO, קבוצת מוצרי התוכנה של נס, היו: סטיבן בוייר, מומחה עולמי ומייסד שותף של חברת BitSight, יוסי שביט יועץ סייבר למשרד להגנת הסביבה, אביבית קוטלר - מנהלת הגנת סייבר והמשכיות עסקית בכלל ביטוח, אילן עבאדי מנהל אבטחת המידע של טבע, עמית ארמוזה - סמנכ"ל ומנהל חטיבת Enterprise Management & Cyber ב-NessPRO וגילי חזני - מנהל פעילות מוצרים פיננסיים ב-NessPRO וד"ר הראל מנשרי, ראש תחום הסייבר במכון הטכנולוגי חולון HIT.
 
עמית ארמוזה, סמנכ"ל ומנהל חטיבת Enterprise Management & Cyber ב-NessPRO, ציין כי הסיבה למפגש היא העובדה שהסיכונים הכרוכים בהתקפות שרשרת האספקה מעולם לא היו כה גבוהים. "הצורך העסקי הגובר בהגדלת מספר הספקים וסוגי התקפות חדשים, יצרו חשיפה מוגברת לאיום הסייבר. יש צורך להגברת המודעות הציבורית לאיומים והגברת הפיקוח מצד הרגולטורים", אמר ארמוזה. "במקביל, עולה צורך בשיתוף מידע של הארגונים עם הספקים שבשרשרת האספקה באופן רציף וללא הוספת משאבי כ"א על מנת לשפר את מערך האבטחה הכולל".
 
הדובר המרכזי היה סטיבן בוייר, מומחה עולמי ומייסד שותף של חברת BitSight, חלוצת תחום דירוגי הסייבר ומובילה גלובלית בתחום זה, שהולך וצובר תאוצה בעולם. בוייר חשף את תחום הדירוג ושימושיו השונים, כאשר הדגש הוא על מניעת איומים של שרשרת האספקה, אחד מסיכוני הסייבר המטרידים ביותר כיום. הוא הסביר למנהלי אבטחת המידע הישראלים, שלעומת דירוגים שהיו קיימים עד היום, בהם דירוג אשראי, דירוג פיננסי, דירוגים בעולם הצרכני, ועוד, הייחודיות בדירוגי סייבר הוא שיתוף הפעולה והשקיפות הנדרשים בין הארגונים השונים, ובין הארגון לספקיו. 
 
בין הדוגמאות שציין היתה בנק ברקלי'ס אירופה, שבזכות השימוש במערכת הדירוג הצליח לשתף פעולה עם 500 ספקים קריטיים של הבנק, ולהפחית משמעותית את האיום משרשרת האספקה. תוך 3 חודשים בלבד עלה דירוג ביצועי הסייבר של 56% מאותם ספקים. "ככל שהאקוסיסטם שלך כארגון משתפר, גם אתה משתפר. בלי לגייס צבא של לוחמי סייבר הם הצליחו לשפר ביצועים ולהיות יעילים יותר בהגנה". דוגמא אחרת היא בנק North American Bank, שבזכות הדירוג קיצרו את תהליך הערכת הסיכונים של ספק חדש מ- 85 ימים לתהליך של יום אחד בלבד! 
 
סקאלת הדירוג נעה בין 250 נקודות ל-900, כאשר 900 הוא הדירוג הגבוה ביותר. לפי מחקר של ביטסייט, חברות עם דירוג סייבר של 500 או נמוך מזה, נמצאות בסיכון של כמעט פי 5 למתקפה מאשר אלה שיש להן דירוג של 700 ומעלה (הדירוג על סקאלה בין 250 עד 900). המחקר נבדק וקיבל תוקף על ידי AIR Worldwide. 
 
יוסי שביט, יועץ סייבר למשרד להגנת הסביבה, אמר כי המשרד יחיל השנה רגולציה חדשה להגנת סייבר על המפעלים שמקבלים היתר רעלים מהמשרד להגנת הסביבה, בין המפעלים המקבלים היתר ניתן לכלול מפעלי חומרים מסוכנים, תעשיית הפרמצבטיקה, כמו גם בריכות ויקבים. "כולם יודעים שהבטן הרכה של כל מדינה היא התעשייה, קיימים מפעלים המכילים חומרים מסוכנים גם בקרבת אוכלוסיה אזרחית המהווים סיכון רב. בהקשר זה ניתן לצטט את נסראללה אשר אמר כי הפצצות כבר קיימות בישראל והוא רק צריך להפעיל אותן... כל מה שצריך זה להשתלט על הבקר", אמר שביט. "מאותו רגע שהשתלטת על הבקר השתלטת על התהליך הממוחשב כולו ומכאן פריצת החומר המסוכן אפשרית".