פירמת BDO בשיתוף חברת אידרא משיקים פלטפורמה לניהול סיכוני שרשרת אספקה
עמי רוחקס דומבה
| 27/11/2018
מימין: נועם הנדרוקר, קובי פרידמן, סיון דרור. צילום: עמי רוחקס דומבה
איומי שרשרת האספקה עלו לראש סדר העדיפויות של הרגולטור בתחום הסייבר והפיננסים כאשר ברור כי בעולם העסקי הגלובלי, תפיסת הגנת המעטפת כשלה. במציאות אין מעטפת מוגדרת לפעילות העסקית של ארגון עסקי, והגדולים שבהם בארץ מנהלים ממשקים עם מאות או אלפי ספקי צד ג'. למרות שהבעיה קיימת כבר מספר שנים, ולמרות שהרגולטורים התעוררו לאחרונה, אין פתרונות מעשיים לנהל איומי סייבר מצד ספקים בקנה מידה גדול.
"סקר סיכונים אצל ספק מייצר בממוצע כ-15 פערים שצריך לטפל בהם", מסביר קובי פרידמן, המייסד והמנכ"ל של חברת אידרא שפיתחה את הפלטפורמה. "סטטיסטיקה נוספת ביחס לישראל מראה כי כ-70 אחוזים מהפערים נמצאים שוב ושוב, שנה אחר שנה (כלומר, לא מטופלים). הסיבה לכך היא בעיקר הקנה מידה. אם יש לך 1000 ספקים, אלו 15000 פערים שצריך לנהל מולם. עבור ארגון, גם גדול, זו משימה כמעט בלתי אפשרית."
חברת אידרא זיהתה את הפער בשוק ופיתחה פלטפורמת ענן לניהול איומי שרשרת אספקה בסייבר מצד הספקים. בחברה לא רצו ללכת למודל של ברוקר מידע אודות ספקים, אלא העדיפו לחבור לפירמת רו"ח גדולה, וכך נוצר הקשר עם BDO שמחזיקה סניפים במעל 160 מדינות. היות ובBDO כבר מספקים שירותי ייעוץ בתחום הסייבר, הפיננסי ואחרים, כולל SOC, החיבור טבעי.
למה שספקים ישתפו פעולה?
"הגופים המונחים בתשתיות קריטיות וגופים שעובדים תחת רגולציה מחוייבים לטפל באיומי שרשרת האספקה", מסביר נועם הנדרוקר, דירקטור, מנהל מרכז הסייבר בBDO ישראל, בראיון לישראל דיפנס. נזכיר כי בנוסף לאלו, גם חברות עסקיות שאינן תחת רגולציה או פיקוח ממשלתי חייבות לקיים את ה"המלצות" של מערך הסייבר בנושא. זו אמנם לא חובה באופן רשמי, אבל אם חברה תמצא עצמה תחת תביעת צד ג' בגין שימוש במערכות שלה לתקיפת הלקוחות שלה, ישאלו אותה האם היא יישמה את המלצות המערך. (להלן - רגולציה רכה).
"כיום תחום ניהול סיכוני הסייבר מצד הספקים סובל ממספר סיבות עיקריות. ראשונה, כמות הספקים. בנקים וחברות ביטוח כדוגמא לא יכולים להגיע לכלל הספקים. הם עובדים עם סקרים וקבצי אקסל, כאשר שולחים צוותי יועצים בצורה מדגמית תחת המושג 'חצרות ספק'. אלו בדרך כלל נשלחים רק לספקים קריטיים. אין דרך לנהל בצורה מסודרת מאות או אלפי ספקים ולבחון את האפקטיביות של הבקרות", מסביר הנדרוקר.
"הארגונים הגדולים מגיעים ל5-10 אחוזים בממוצע משרשרת האספקה שלהם כל שנה. יכולים להיות עוד כמה אלפי ספקים רדומים שמופעלים בצורה ספורדית. יש בארגונים ספקים שהם תחת "ניהול צללים" שלא דרך הנהלת חשבונות. אלו ספקים שרוכשים דרכם ב'קופה קטנה' ישירות מהיחידה ולא דרך הליך הרכש המסודר (לרוב בSAP או מערכת ERP אחרת). מתוך כלל הספקים, כחמישית הם ספקים מהותיים לארגון. המשמעות היא שלקוחות מהותיים לא נבדקים כראוי בהיבטי אבטחת מידע.
"יש ספקים שמתחברים אליך מרחוק, יש כאלו שמחזיקים את מאגר העובדים כדי לתת לך שירותים ויש ספקים מהותיים לפעילות העסקית של הארגון. לא תמיד שלושת הפרמטרים הללו נמצאים אצל אותו גורם בארגון."
Bring Your Own Compliance
הפלטפורמה של אידרא נבנתה בענן בצורה מודלרית כך שתאפשר חיבור שירותי צד ג' בממשקים פשוטים. בין שמדובר בשירותים שמספקת BDO כמו ייעוץ, פיננסים וכו', או עבור כלי צד ג' לצרכי בחינת סיכון. בין היתר, כלי סריקת חולשות, PT, מודיעין, ביטוח ועוד. בשלב זה יש בלעדיות לBDO על פתרון השירות המנוהל כאשר יש כבר משא ומתן עם ארגונים פוטנציאלים באוסטרליה, ארה"ב והולנד.
"יש ספקים שנותנים סריקות כמו נסוס ואחרים. אבל הם לא נותנים תמונה שלמה, אלא נישה", מסביר פרידמן. "מצד שני יש את חברות הייעוץ שנותנות 'חצרות ספק'. אנחנו נותנים תמונת מצב מלאה ועדכנית של ניהול סיכוני שרשרת האספקה הכוללת של הארגון. בהיבט הסריקות נניח, אנחנו מאפשרים חיבור לספקים מובילים בעולם כמו Normshield או SecurityScorecard ואחרים. התוצאות שלהם משתלבות לתוך הפלטפורמה להשלים את התמונה על הספק."
[צילום מסך מתוך הפלטפורמה של אידרא]
השימוש בממשקי API מאפשר להכניס מגוון ספקים לפלטפורמה של אידרא כאשר כל אחד עושה אימות לבקרה אחרת. לדוגמא, אם ארגון טוען שהוא אימץ אימות דו שלבי בחשבון אמזון, אפשר לבדוק את זה באמצעות חיבור ספק שיודע לוודא זאת. "יש עשרות או מאות דוגמאות כאלו", אומר פרידמן. "אנחנו גם מסתכלים על התפר בין רגולציה לאבטחת מידע. תקנות שמגיעות מעולמות שונים, כמו הסייבר והפרטיות, יש ביניהן חפיפה. פיתחנו טכנולוגיה שמול כל ספק מאפיינים את הפרופיל הרגולטורי שלו, ואז מעמיקים את התשאול בעולמות הרלוונטים ומחלצים פערים רלוונטים. פיתחנו מערכת שמאפשרת עבודה מול 1000 ספקים, ועדיין מאפיינת כל ספק בצורה ייחודית.
"עסק שצריך לעבור מבקרה של עשרות ספקים, לאלפי ספקים ביום אחד זו משימה מורכבת. בשביל להצליח בכך, פיתחנו מגוון בקרות ומדדים ממוכנים. המערכת כוללת גם מנגנון קבלת החלטות לומד המייצר פרופילי ספקים בצורה אוטומטית. היתרון בכך שכאשר ארגון מתחבר למערכת, הוא מייד מאופיין באמצעות אחד הפרופילים הקיימים. עבור ספקים שעובדים מול מספר ארגונים מדובר בהקלה משמעותית. הספק עובר בקרה פעם אחת על ידי הפלטפורמה שיכולה לשרת אותו מול מספר ארגונים.
"השימוש במנגנוני בינה מלאכותית מאפשר גם התייעלות בקליטת חומרים הקשורים לאימות בקרות. במקום שיועץ יעבור על טפסי אקסל ויעשה אימות בחמש שעות, המערכת עוברת על הטפסים בשבריר שנייה. במקום שהיועץ ירשום שיש מצלמת אבטחה, הספק יכול להעלות תמונה למערכת. אלו דוגמאות קטנות שממחישות כיצד אנחנו חוסכים זמן וכסף לארגון ולספק."
מגדל בבל
נקודה נוספת בהיבט הספק היא השונות בשפה הארגונית בין ארגונים שונים עמם הוא עובד. שני בנקים יגדירו בקרות ומדדים בצורה שונה וידרשו מהספק לעבור שני מבדקים שונים, למרות שהשוני ביניהם נוצר רק בגלל שפה ארגונית אחרת של הארגונים. "במצב היום הספק נאלץ לעבור תהליך ניהול סיכונים פעמיים, פעם אחת מול כל בנק. במערכת שלנו פותח מנוע ממשקים שיודע לקחת שפה ארגונית של כל ארגון ולהמיר אותה לשפה של הפלטפורמה בשלושה ימים", אומר פרידמן. "אנחנו קוראים לזה Bring Your Own Compliance."
הצטרפות לפלטפורמה נעשית על ידי הספק, כאשר מיד בהתחלה מאופיין הפרופיל המתאים והוא יורש סט בקרות ומדדים לפיו. ההצטרפות בשלב זה אינה דורשת התקנות בצד לקוח. למרות זאת, באידרא חושבים על פיתוחים עתידיים שיאפשרו ניטור של האיום הפנימי אצל הלקוח. אם וכאשר, ייתכן ותידרש גם התקנת כלים אצל הלקוח. "אנחנו רוצים גם למכן את קבלת ההחלטות בתחום. אם יש ספק מהותי ברמת סיכון X, וספק פחות מהותי עם סיכון Y>X. במי תטפל קודם? הרב ממדיות של בעיית הסיכון מצד הספק מצריכה קבלת החלטות אוטומטית", אומר פרידמן.
באידרא מציינים כי הלקוח הכי גדול בפלטפורמה מנהל כ3500 ספקים. סה"כ רשומים למערכת עד כה כ-15000 ספקים בארץ ומהעולם. "פיתחנו יכולת נוספת למפות סיכונים במעגל שני של ספקים, כלומר - ספק של ספק. בשלב זה אין כוונות למפות רמת סיכונים של העובדים אצל הספקים כמעגל נוסף. הסיבה לכך היא בעיקר חוסר יציבות רגולטורית בתחום. שזה יפתר, זה בהחלט כיוון", מסכם פרידמן.
[צילום מסך מתוך הפלטפורמה של אידרא]
אין ספק כי הפלטפורמה של אידרא מעניקה לBDO יתרון יחסי בשוק הייעוץ בסייבר בשעה ששוק הסייבר נעדר פתרונות לניהול איומי ספקים צד ג'. עם זאת, ניתן להעריך כי פירמות ראיית החשבון מתחרות ירצו ללכת גם הן בכיוון, ובעתיד ספקים יצטרכו להירשם במספר פלטפורמות מתחרות אם ירצו לעבוד מול מספר ספקים. אתגר נוסף שעדיין נשאר על השולחן ויכול למצוא פתרון בפלטפורמה כמו של אידרא הוא ניהול שרשרת אספקה גלובלית על פני מספר מדינות עם שפות שונות, חוקים שונים ורגולציות שונות. "החזון שלנו כחברה גלובלית הוא לספק פתרון לניהול שרשרת אספקה כחלק משירותי הסייבר המנוהלים שלנו בBDO", מסכם הנדרוקר. "אנחנו כבר עובדים על חיבור הפלטפורמה לSOC שירות הסייבר כחלק מהמהלך."
מימין: נועם הנדרוקר, קובי פרידמן, סיון דרור. צילום: עמי רוחקס דומבה
איומי שרשרת האספקה עלו לראש סדר העדיפויות של הרגולטור בתחום הסייבר והפיננסים כאשר ברור כי בעולם העסקי הגלובלי, תפיסת הגנת המעטפת כשלה. במציאות אין מעטפת מוגדרת לפעילות העסקית של ארגון עסקי, והגדולים שבהם בארץ מנהלים ממשקים עם מאות או אלפי ספקי צד ג'. למרות שהבעיה קיימת כבר מספר שנים, ולמרות שהרגולטורים התעוררו לאחרונה, אין פתרונות מעשיים לנהל איומי סייבר מצד ספקים בקנה מידה גדול.
"סקר סיכונים אצל ספק מייצר בממוצע כ-15 פערים שצריך לטפל בהם", מסביר קובי פרידמן, המייסד והמנכ"ל של חברת אידרא שפיתחה את הפלטפורמה. "סטטיסטיקה נוספת ביחס לישראל מראה כי כ-70 אחוזים מהפערים נמצאים שוב ושוב, שנה אחר שנה (כלומר, לא מטופלים). הסיבה לכך היא בעיקר הקנה מידה. אם יש לך 1000 ספקים, אלו 15000 פערים שצריך לנהל מולם. עבור ארגון, גם גדול, זו משימה כמעט בלתי אפשרית."
חברת אידרא זיהתה את הפער בשוק ופיתחה פלטפורמת ענן לניהול איומי שרשרת אספקה בסייבר מצד הספקים. בחברה לא רצו ללכת למודל של ברוקר מידע אודות ספקים, אלא העדיפו לחבור לפירמת רו"ח גדולה, וכך נוצר הקשר עם BDO שמחזיקה סניפים במעל 160 מדינות. היות ובBDO כבר מספקים שירותי ייעוץ בתחום הסייבר, הפיננסי ואחרים, כולל SOC, החיבור טבעי.
למה שספקים ישתפו פעולה?
"הגופים המונחים בתשתיות קריטיות וגופים שעובדים תחת רגולציה מחוייבים לטפל באיומי שרשרת האספקה", מסביר נועם הנדרוקר, דירקטור, מנהל מרכז הסייבר בBDO ישראל, בראיון לישראל דיפנס. נזכיר כי בנוסף לאלו, גם חברות עסקיות שאינן תחת רגולציה או פיקוח ממשלתי חייבות לקיים את ה"המלצות" של מערך הסייבר בנושא. זו אמנם לא חובה באופן רשמי, אבל אם חברה תמצא עצמה תחת תביעת צד ג' בגין שימוש במערכות שלה לתקיפת הלקוחות שלה, ישאלו אותה האם היא יישמה את המלצות המערך. (להלן - רגולציה רכה).
"כיום תחום ניהול סיכוני הסייבר מצד הספקים סובל ממספר סיבות עיקריות. ראשונה, כמות הספקים. בנקים וחברות ביטוח כדוגמא לא יכולים להגיע לכלל הספקים. הם עובדים עם סקרים וקבצי אקסל, כאשר שולחים צוותי יועצים בצורה מדגמית תחת המושג 'חצרות ספק'. אלו בדרך כלל נשלחים רק לספקים קריטיים. אין דרך לנהל בצורה מסודרת מאות או אלפי ספקים ולבחון את האפקטיביות של הבקרות", מסביר הנדרוקר.
"הארגונים הגדולים מגיעים ל5-10 אחוזים בממוצע משרשרת האספקה שלהם כל שנה. יכולים להיות עוד כמה אלפי ספקים רדומים שמופעלים בצורה ספורדית. יש בארגונים ספקים שהם תחת "ניהול צללים" שלא דרך הנהלת חשבונות. אלו ספקים שרוכשים דרכם ב'קופה קטנה' ישירות מהיחידה ולא דרך הליך הרכש המסודר (לרוב בSAP או מערכת ERP אחרת). מתוך כלל הספקים, כחמישית הם ספקים מהותיים לארגון. המשמעות היא שלקוחות מהותיים לא נבדקים כראוי בהיבטי אבטחת מידע.
"יש ספקים שמתחברים אליך מרחוק, יש כאלו שמחזיקים את מאגר העובדים כדי לתת לך שירותים ויש ספקים מהותיים לפעילות העסקית של הארגון. לא תמיד שלושת הפרמטרים הללו נמצאים אצל אותו גורם בארגון."
Bring Your Own Compliance
הפלטפורמה של אידרא נבנתה בענן בצורה מודלרית כך שתאפשר חיבור שירותי צד ג' בממשקים פשוטים. בין שמדובר בשירותים שמספקת BDO כמו ייעוץ, פיננסים וכו', או עבור כלי צד ג' לצרכי בחינת סיכון. בין היתר, כלי סריקת חולשות, PT, מודיעין, ביטוח ועוד. בשלב זה יש בלעדיות לBDO על פתרון השירות המנוהל כאשר יש כבר משא ומתן עם ארגונים פוטנציאלים באוסטרליה, ארה"ב והולנד.
"יש ספקים שנותנים סריקות כמו נסוס ואחרים. אבל הם לא נותנים תמונה שלמה, אלא נישה", מסביר פרידמן. "מצד שני יש את חברות הייעוץ שנותנות 'חצרות ספק'. אנחנו נותנים תמונת מצב מלאה ועדכנית של ניהול סיכוני שרשרת האספקה הכוללת של הארגון. בהיבט הסריקות נניח, אנחנו מאפשרים חיבור לספקים מובילים בעולם כמו Normshield או SecurityScorecard ואחרים. התוצאות שלהם משתלבות לתוך הפלטפורמה להשלים את התמונה על הספק."
[צילום מסך מתוך הפלטפורמה של אידרא]
השימוש בממשקי API מאפשר להכניס מגוון ספקים לפלטפורמה של אידרא כאשר כל אחד עושה אימות לבקרה אחרת. לדוגמא, אם ארגון טוען שהוא אימץ אימות דו שלבי בחשבון אמזון, אפשר לבדוק את זה באמצעות חיבור ספק שיודע לוודא זאת. "יש עשרות או מאות דוגמאות כאלו", אומר פרידמן. "אנחנו גם מסתכלים על התפר בין רגולציה לאבטחת מידע. תקנות שמגיעות מעולמות שונים, כמו הסייבר והפרטיות, יש ביניהן חפיפה. פיתחנו טכנולוגיה שמול כל ספק מאפיינים את הפרופיל הרגולטורי שלו, ואז מעמיקים את התשאול בעולמות הרלוונטים ומחלצים פערים רלוונטים. פיתחנו מערכת שמאפשרת עבודה מול 1000 ספקים, ועדיין מאפיינת כל ספק בצורה ייחודית.
"עסק שצריך לעבור מבקרה של עשרות ספקים, לאלפי ספקים ביום אחד זו משימה מורכבת. בשביל להצליח בכך, פיתחנו מגוון בקרות ומדדים ממוכנים. המערכת כוללת גם מנגנון קבלת החלטות לומד המייצר פרופילי ספקים בצורה אוטומטית. היתרון בכך שכאשר ארגון מתחבר למערכת, הוא מייד מאופיין באמצעות אחד הפרופילים הקיימים. עבור ספקים שעובדים מול מספר ארגונים מדובר בהקלה משמעותית. הספק עובר בקרה פעם אחת על ידי הפלטפורמה שיכולה לשרת אותו מול מספר ארגונים.
"השימוש במנגנוני בינה מלאכותית מאפשר גם התייעלות בקליטת חומרים הקשורים לאימות בקרות. במקום שיועץ יעבור על טפסי אקסל ויעשה אימות בחמש שעות, המערכת עוברת על הטפסים בשבריר שנייה. במקום שהיועץ ירשום שיש מצלמת אבטחה, הספק יכול להעלות תמונה למערכת. אלו דוגמאות קטנות שממחישות כיצד אנחנו חוסכים זמן וכסף לארגון ולספק."
מגדל בבל
נקודה נוספת בהיבט הספק היא השונות בשפה הארגונית בין ארגונים שונים עמם הוא עובד. שני בנקים יגדירו בקרות ומדדים בצורה שונה וידרשו מהספק לעבור שני מבדקים שונים, למרות שהשוני ביניהם נוצר רק בגלל שפה ארגונית אחרת של הארגונים. "במצב היום הספק נאלץ לעבור תהליך ניהול סיכונים פעמיים, פעם אחת מול כל בנק. במערכת שלנו פותח מנוע ממשקים שיודע לקחת שפה ארגונית של כל ארגון ולהמיר אותה לשפה של הפלטפורמה בשלושה ימים", אומר פרידמן. "אנחנו קוראים לזה Bring Your Own Compliance."
הצטרפות לפלטפורמה נעשית על ידי הספק, כאשר מיד בהתחלה מאופיין הפרופיל המתאים והוא יורש סט בקרות ומדדים לפיו. ההצטרפות בשלב זה אינה דורשת התקנות בצד לקוח. למרות זאת, באידרא חושבים על פיתוחים עתידיים שיאפשרו ניטור של האיום הפנימי אצל הלקוח. אם וכאשר, ייתכן ותידרש גם התקנת כלים אצל הלקוח. "אנחנו רוצים גם למכן את קבלת ההחלטות בתחום. אם יש ספק מהותי ברמת סיכון X, וספק פחות מהותי עם סיכון Y>X. במי תטפל קודם? הרב ממדיות של בעיית הסיכון מצד הספק מצריכה קבלת החלטות אוטומטית", אומר פרידמן.
באידרא מציינים כי הלקוח הכי גדול בפלטפורמה מנהל כ3500 ספקים. סה"כ רשומים למערכת עד כה כ-15000 ספקים בארץ ומהעולם. "פיתחנו יכולת נוספת למפות סיכונים במעגל שני של ספקים, כלומר - ספק של ספק. בשלב זה אין כוונות למפות רמת סיכונים של העובדים אצל הספקים כמעגל נוסף. הסיבה לכך היא בעיקר חוסר יציבות רגולטורית בתחום. שזה יפתר, זה בהחלט כיוון", מסכם פרידמן.
[צילום מסך מתוך הפלטפורמה של אידרא]
אין ספק כי הפלטפורמה של אידרא מעניקה לBDO יתרון יחסי בשוק הייעוץ בסייבר בשעה ששוק הסייבר נעדר פתרונות לניהול איומי ספקים צד ג'. עם זאת, ניתן להעריך כי פירמות ראיית החשבון מתחרות ירצו ללכת גם הן בכיוון, ובעתיד ספקים יצטרכו להירשם במספר פלטפורמות מתחרות אם ירצו לעבוד מול מספר ספקים. אתגר נוסף שעדיין נשאר על השולחן ויכול למצוא פתרון בפלטפורמה כמו של אידרא הוא ניהול שרשרת אספקה גלובלית על פני מספר מדינות עם שפות שונות, חוקים שונים ורגולציות שונות. "החזון שלנו כחברה גלובלית הוא לספק פתרון לניהול שרשרת אספקה כחלק משירותי הסייבר המנוהלים שלנו בBDO", מסכם הנדרוקר. "אנחנו כבר עובדים על חיבור הפלטפורמה לSOC שירות הסייבר כחלק מהמהלך."
