מערך הסייבר פועל ליישום דירוג סיכון סייבר לעסקים בישראל. בכיר לשעבר בשב"כ מצטרף לשיח נגד מוצרים סינים

צילום עזרא לוי

בכנס סגור לעיתונות בו השתתפו כ-300 אנליסטים הציג המערך את התכנית שלו לביצוע דירוג סיכון לעסקים בישראל באמצעות כלי של חברת BitSight (זכתה בספק יחיד). היוזמה היא חלק נוסף בתהליך המערך להתמודד עם סיכוני שרשרת האספקה. 

"ברמה המדינתית אנחנו מודעים לכל הצרות של שרשרת האספקה, לקחנו לפני יותר משנה את כל הנושא הזה לטיפול אינטנסיבי" – כך אמר אלי פטל, ראש מרכז אסדרה במערך הסייבר הלאומי במפגש שולחן עגול של מנהלי אבטחת מידע בו הוצג התחום החם של דירוג (rating) ביצועי סייבר של ארגונים. הוא ציין כי מערך הסייבר מנחה ישירות את ארגוני התשתיות הקריטיות הממשלתיים, 26 גופים, לגבי אופן הטיפול בשרשרת אספקה. במקרה של גופים אזרחיים, ההנחיה אינה ישירה אלא דרך הרגולטורים שלהם, לפי הסקטורים השונים. עוד סיפר, כי החודש נפתח כבר קורס שני לבודקים מוסמכים לשרשרת אספקה בשיתוף עם מכון התקנים. 
 
דוברים נוספים במפגש, שאירחה NessPRO, קבוצת מוצרי התוכנה של נס, היו: סטיבן בוייר, מומחה עולמי ומייסד שותף של חברת BitSight, יוסי שביט יועץ סייבר למשרד להגנת הסביבה, אביבית קוטלר - מנהלת הגנת סייבר והמשכיות עסקית בכלל ביטוח, אילן עבאדי מנהל אבטחת המידע של טבע, עמית ארמוזה - סמנכ"ל ומנהל חטיבת Enterprise Management & Cyber ב-NessPRO וגילי חזני - מנהל פעילות מוצרים פיננסיים ב-NessPRO וד"ר הראל מנשרי, ראש תחום הסייבר במכון הטכנולוגי חולון HIT.
 
הדובר המרכזי היה סטיבן בוייר, מומחה עולמי ומייסד שותף של חברת BitSight, חלוצת תחום דירוגי הסייבר ומובילה גלובלית בתחום זה, שהולך וצובר תאוצה בעולם. בוייר חשף את תחום הדירוג ושימושיו השונים, כאשר הדגש הוא על מניעת איומים של שרשרת האספקה, אחד מסיכוני הסייבר המטרידים ביותר כיום. הוא הסביר למנהלי אבטחת המידע הישראלים, שלעומת דירוגים שהיו קיימים עד היום, בהם דירוג אשראי, דירוג פיננסי, דירוגים בעולם הצרכני, ועוד, הייחודיות בדירוגי סייבר הוא שיתוף הפעולה והשקיפות הנדרשים בין הארגונים השונים, ובין הארגון לספקיו. 
 
בין הדוגמאות שציין היתה בנק ברקלי'ס אירופה, שבזכות השימוש במערכת הדירוג הצליח לשתף פעולה עם 500 ספקים קריטיים של הבנק, ולהפחית משמעותית את האיום משרשרת האספקה. תוך 3 חודשים בלבד עלה דירוג ביצועי הסייבר של 56% מאותם ספקים. "ככל שהאקוסיסטם שלך כארגון משתפר, גם אתה משתפר. בלי לגייס צבא של לוחמי סייבר הם הצליחו לשפר ביצועים ולהיות יעילים יותר בהגנה". דוגמא אחרת היא בנק North American Bank, שבזכות הדירוג קיצרו את תהליך הערכת הסיכונים של ספק חדש מ- 85 ימים לתהליך של יום אחד בלבד.
 
סקאלת הדירוג נעה בין 250 נקודות ל-900, כאשר 900 הוא הדירוג הגבוה ביותר. לפי מחקר של ביטסייט, חברות עם דירוג סייבר של 500 או נמוך מזה, נמצאות בסיכון של כמעט פי 5 למתקפה מאשר אלה שיש להן דירוג של 700 ומעלה (הדירוג על סקאלה בין 250 עד 900). המחקר נבדק וקיבל תוקף על ידי AIR Worldwide. 
 
יוסי שביט, יועץ סייבר למשרד להגנת הסביבה, אמר כי המשרד יחיל השנה רגולציה חדשה להגנת סייבר על המפעלים שמקבלים היתר רעלים מהמשרד להגנת הסביבה, בין המפעלים המקבלים היתר ניתן לכלול מפעלי חומרים מסוכנים, תעשיית הפרמצבטיקה, כמו גם בריכות ויקבים. "כולם יודעים שהבטן הרכה של כל מדינה היא התעשייה, קיימים מפעלים המכילים חומרים מסוכנים גם בקרבת אוכלוסיה אזרחית המהווים סיכון רב. בהקשר זה ניתן לצטט את נסראללה אשר אמר כי הפצצות כבר קיימות בישראל והוא רק צריך להפעיל אותן... כל מה שצריך זה להשתלט על הבקר", אמר שביט. "מאותו רגע שהשתלטת על הבקר השתלטת על התהליך הממוחשב כולו ומכאן פריצת החומר המסוכן אפשרית". 
 
אביבית קוטלר, מנהלת הגנת סייבר והמשכיות עסקית בכלל ביטוח: "הסיכון העיקרי של חברות מהסוג שלנו הוא חשיפה של נתוני לקוחות. בשנים האחרונות, החברה עברה טרנפורמציה דיגיטלית מלאה ואנו מאפשרים ללקוחות לבצע פעולות בצורה עצמאית דיגיטלית ובשינוי הזה ניהלנו גם את הסיכון כי הרבה מהפתרונות שהוצעו הם פתרונות ענן באמצעות גורם נוסף ברור לנו כאבטחת מידע שכדי לתת שירות טוב יותר ללקוחות אנו חייבים לעבור את התהליך הנדרש, לנהל את הסיכונים ולתת פתרונות לכל אתגרי האבטחה שיש". 
 
קוטלר סיפרה שבשנה האחרונה כלל ביטוח בוחנת מערכות שיאפשרו לה לעבוד באופן שוטף עם ספקים, ויאפשרו לה למדוד את מצב הגנת הסייבר שלהם. מדובר במאות ספקים שעובדים אתנו והשימוש במערכות כמו BitSight יאפשר בדיקה שוטפת, ניטור שוטף, לבדוק את הספקים שלנו אונליין ולקבל התראות בזמן אמת כשמשהו משתנה בהיבטי אבטחת מידע". 
 
לדברי ד"ר הראל מנשרי, ראש תחום הסייבר במכון הטכנולוגי חולון HIT, ממקימי מערך הסייבר של השב"כ, (עד לפני 3 שנים), הדגיש את חלקם של המוצרים הסינים באיום על שרשרת האספקה. הוא ציין כי אחד הדברים שמתמחים בו בביה"ס לסייבר במכון הטכנולוגי הוא שרשרת אספקה, בעייתיות ברגולציה על מוצרים וחומרים מיובאים מסין בעיקר, לדוגמא במכשירים בטכנולוגיית IOT. כדוגמא נתן את תחום הבריאות הדיגיטלית – "מכשור בבתי חולים או כזה שמוטמע בגוף האדם כמו קוצב לב: המכשור מיוצר במעט רגולציה, כי יש במדינה רצון להוריד חסמים רגולטורים. מצד שני יש חוקים סינים שמאפשרים לאנשי הסייבר הסינים להגיע לרצפת הייצור ולהטמיע בה מוצרים. בגלל לחץ של הממשל האמריקאי סוף סוף ממשלת ישראל מתייחסת לנושא הסיני.
 
"כל הפורום הסכים שחייבים לקנות מוצרים מסין, זו מדינה שאי אפשר להתעלם ממנה, אבל חשוב לעשות את זה נכון ולהבין מה זו סין. השאלה איפה עובר הקו הדק בין סיכון מחושב לחישוב מסוכן. ההנחה היום בסייבר היא שכולנו מותקפים ועכשיו השאלה היא איך אנחנו מכילים את זה".

 

אולי יעניין אותך גם