אלי פטל, ראש מרכז אסדרה במערך הסייבר הלאומי

הדוברים בשולחן העגול .צילום עזרא לוי

פטל דיבר במפגש מיוחד בנושא דירוגי סייבר והקשר שלהם לאיומים משרשרת האספקה, שאירחה NessPRO, קבוצת מוצרי התוכנה של נס. עוד השתתפו במפגש סטיבן בוייר, מייסד שותף ו-CTO של חברת דירוגי הסייבר האמריקאית BitSight, ומנהלי אבטחת מידע של ארגונים גדולים מסקטורים שונים במשק

"ברמה המדינתית אנחנו מודעים לכל הצרות של שרשרת האספקה, לקחנו לפני יותר משנה את כל הנושא הזה לטיפול אינטנסיבי" – כך אמר אלי פטל, ראש מרכז אסדרה במערך הסייבר הלאומי במפגש שולחן עגול של מנהלי אבטחת מידע בו הוצג התחום החם של דירוג (rating) ביצועי סייבר של ארגונים. הוא ציין כי מערך הסייבר מנחה ישירות את ארגוני התשתיות הקריטיות הממשלתיים, 26 גופים, לגבי אופן הטיפול בשרשרת אספקה. במקרה של גופים אזרחיים, ההנחיה אינה ישירה אלא דרך הרגולטורים שלהם, לפי הסקטורים השונים. עוד סיפר, כי החודש נפתח כבר קורס שני לבודקים מוסמכים לשרשרת אספקה בשיתוף עם מכון התקנים.

דוברים נוספים במפגש, שאירחה NessPRO, קבוצת מוצרי התוכנה של נס, היו: סטיבן בוייר, מומחה עולמי ומייסד שותף של חברת BitSight, יוסי שביט יועץ סייבר למשרד להגנת הסביבה, אביבית קוטלר - מנהלת הגנת סייבר והמשכיות עסקית בכלל ביטוח, אילן עבאדי מנהל אבטחת המידע של טבע, עמית ארמוזה - סמנכ"ל ומנהל חטיבת Enterprise Management & Cyber ב-NessPRO וגילי חזני - מנהל פעילות מוצרים פיננסיים ב-NessPRO וד"ר הראל מנשרי, ראש תחום הסייבר במכון הטכנולוגי חולון HIT.

עמית ארמוזה, סמנכ"ל ומנהל חטיבת Enterprise Management & Cyber ב-NessPRO, ציין כי הסיבה למפגש היא העובדה שהסיכונים הכרוכים בהתקפות שרשרת האספקה מעולם לא היו כה גבוהים. "הצורך העסקי הגובר בהגדלת מספר הספקים וסוגי התקפות חדשים, יצרו חשיפה מוגברת לאיום הסייבר. יש צורך להגברת המודעות הציבורית לאיומים והגברת הפיקוח מצד הרגולטורים", אמר ארמוזה. "במקביל, עולה צורך בשיתוף מידע של הארגונים עם הספקים שבשרשרת האספקה באופן רציף וללא הוספת משאבי כ"א על מנת לשפר את מערך האבטחה הכולל".

הדובר המרכזי היה סטיבן בוייר, מומחה עולמי ומייסד שותף של חברת BitSight, חלוצת תחום דירוגי הסייבר ומובילה גלובלית בתחום זה, שהולך וצובר תאוצה בעולם. בוייר חשף את תחום הדירוג ושימושיו השונים, כאשר הדגש הוא על מניעת איומים של שרשרת האספקה, אחד מסיכוני הסייבר המטרידים ביותר כיום. הוא הסביר למנהלי אבטחת המידע הישראלים, שלעומת דירוגים שהיו קיימים עד היום, בהם דירוג אשראי, דירוג פיננסי, דירוגים בעולם הצרכני, ועוד, הייחודיות בדירוגי סייבר הוא שיתוף הפעולה והשקיפות הנדרשים בין הארגונים השונים, ובין הארגון לספקיו.

בין הדוגמאות שציין היתה בנק ברקלי'ס אירופה, שבזכות השימוש במערכת הדירוג הצליח לשתף פעולה עם 500 ספקים קריטיים של הבנק, ולהפחית משמעותית את האיום משרשרת האספקה. תוך 3 חודשים בלבד עלה דירוג ביצועי הסייבר של 56% מאותם ספקים. "ככל שהאקוסיסטם שלך כארגון משתפר, גם אתה משתפר. בלי לגייס צבא של לוחמי סייבר הם הצליחו לשפר ביצועים ולהיות יעילים יותר בהגנה". דוגמא אחרת היא בנק North American Bank, שבזכות הדירוג קיצרו את תהליך הערכת הסיכונים של ספק חדש מ- 85 ימים לתהליך של יום אחד בלבד!

סקאלת הדירוג נעה בין 250 נקודות ל-900, כאשר 900 הוא הדירוג הגבוה ביותר. לפי מחקר של ביטסייט, חברות עם דירוג סייבר של 500 או נמוך מזה, נמצאות בסיכון של כמעט פי 5 למתקפה מאשר אלה שיש להן דירוג של 700 ומעלה (הדירוג על סקאלה בין 250 עד 900). המחקר נבדק וקיבל תוקף על ידי AIR Worldwide.

יוסי שביט, יועץ סייבר למשרד להגנת הסביבה, אמר כי המשרד יחיל השנה רגולציה חדשה להגנת סייבר על המפעלים שמקבלים היתר רעלים מהמשרד להגנת הסביבה, בין המפעלים המקבלים היתר ניתן לכלול מפעלי חומרים מסוכנים, תעשיית הפרמצבטיקה, כמו גם בריכות ויקבים. "כולם יודעים שהבטן הרכה של כל מדינה היא התעשייה, קיימים מפעלים המכילים חומרים מסוכנים גם בקרבת אוכלוסיה אזרחית המהווים סיכון רב. בהקשר זה ניתן לצטט את נסראללה אשר אמר כי הפצצות כבר קיימות בישראל והוא רק צריך להפעיל אותן... כל מה שצריך זה להשתלט על הבקר", אמר שביט. "מאותו רגע שהשתלטת על הבקר השתלטת על התהליך הממוחשב כולו ומכאן פריצת החומר המסוכן אפשרית".

"לפיכך, אנו נערכים לכמה אתגרים חשובים: האתגר הראשון שלנו הוא לחבר בין אנשי ה-IT למהנדסי הייצור, כיוון שבד"כ אין תקשורת בין מנהל אבטחת המידע לבין מנהל רצפת הייצור חיבור כזה מעלה את חוסן המפעל לתקיפת סייבר באופן משמעותי ביותר לאחרונה לאחר ביקוריי במפעלים שונים ולאחר שעשינו חיבורים בכמה מפעלים כאלה ראינו שיתוף פעולה יוצא מהכלל, הם מתחילים להבין את האתגר ואת המשמעות של שת"פ בין רצפת ייצור לרשת מנהלתית של המפעל.

האתגר השני הוא להשיג ולגייס אנשי סייבר בתוך התעשיה. אנשים כאלה צריכים להבין לא רק בסייבר, אלא גם במערכות ייצור, בקרה, וגם להבין בהשפעות של חומר מסוכן חסרים בשוק אנשים שמבינים גם ב-IT וגם ב-OT בהיבט של סייבר אתגר שלישי הוא שרשרת האספקה: יותר ויותר מערכות ייצור שמגיעות מחו"ל, מנהלות תהליכי ייצור שלמים המכילים מערכות HMI, בקרים ורכיבי שטח המטפלים בחומרים מסוכנים, ויצרני ספקי המערכות האלה כופים על המפעלים את שיטת התמיכה מרחוק לפי התנאים שלהם. ברוב המקרים אין הזדהות חכמה, אין בקרה או ניטור לוגים על הפעולות שמבוצעות, באותה מידה יכול להתחבר האקר ולבצע השתלטות על מערכת הייצור.

מדובר הן בסכנה לבריאות הציבור, הן לסביבה עקב שחרור חומ"ס ללא בקרה, והן להמשכיות העסקית של המפעל... אני רואה חשיבות בצורך של רכיב של שרשרת אספקה שיבוא ויבדוק שמי שמתחבר למערכות המפעל הוא בדירוג ביצועים מספיק גבוה".

אביבית קוטלר, מנהלת הגנת סייבר והמשכיות עסקית בכלל ביטוח: "הסיכון העיקרי של חברות מהסוג שלנו הוא חשיפה של נתוני לקוחות. בשנים האחרונות, החברה עברה טרנפורמציה דיגיטלית מלאה ואנו מאפשרים ללקוחות לבצע פעולות בצורה עצמאית דיגיטלית ובשינוי הזה ניהלנו גם את הסיכון כי הרבה מהפתרונות שהוצעו הם פתרונות ענן באמצעות גורם נוסף ברור לנו כאבטחת מידע שכדי לתת שירות טוב יותר ללקוחות אנו חייבים לעבור את התהליך הנדרש, לנהל את הסיכונים ולתת פתרונות לכל אתגרי האבטחה שיש".

קוטלר סיפרה שבשנה האחרונה כלל ביטוח בוחנת מערכות שיאפשרו לה לעבוד באופן שוטף עם ספקים, ויאפשרו לה למדוד את מצב הגנת הסייבר שלהם. מדובר במאות ספקים שעובדים אתנו והשימוש במערכות כמו BitSight יאפשר בדיקה שוטפת, ניטור שוטף, לבדוק את הספקים שלנו אונליין ולקבל התראות בזמן אמת כשמשהו משתנה בהיבטי אבטחת מידע".

אילן עבדי, סמנכ"ל אבטחת המידע של טבע, התייחס לסיכוני סייבר בחברה גדולה כמו טבע, העוסקת בתעשיית הפרמצבטיקה. לחברה יש מעל 40 אלף עובדים בארצות שונות, עשרות מפעלי ייצור תרופות, ועוד כ- 17 מרכזי מחקר ופיתוח. אנחנו ב- 100 ארצות, עם מפעלים בכ-60 ארצות. "רק לדוגמא, בשנה שעברה ייצרנו למעלה מ- 110 מיליארד טבליות של תרופות.

לכן זה אומר המון ספקים בלשון המעטה. ישנה רגולציה כבדה מאוד בתעשיית הפרמצבטיקה וזה אתגר גדול להגנת סייבר. כמעט הכול סביב הייצור, שהוא היעד העיקרי להגנה. יש לנו חיבורים לאינטרנט במערך גדול כמו כן חיבורים לספקים צד שלישי. אנחנו מזהים למשל הרבה מתקפות שמגיעות דרך הספקים ונערכים בהתאם. אנו מטפלים בסיכון ספקים צד שלישי באמצעות תהליך ניהול מובנה הכולל גם לפעמים בדיקות חוסן לספק, תלוי בתצורת החיבור. כחלק מניהול הסיכון יש לנו גם ביטוח סייבר למקרה של נזק שיגרם העקבות התקפה".

לדברי ד"ר הראל מנשרי, ראש תחום הסייבר במכון הטכנולוגי חולון HIT, ממקימי מערך הסייבר של השב"כ, (עד לפני 3 שנים), הדגיש את חלקם של המוצרים הסינים באיום על שרשרת האספקה. הוא ציין כי אחד הדברים שמתמחים בו בביה"ס לסייבר במכון הטכנולוגי הוא שרשרת אספקה, בעייתיות ברגולציה על מוצרים וחומרים מיובאים מסין בעיקר, לדוגמא במכשירים בטכנולוגיית IOT. כדוגמא נתן את תחום הבריאות הדיגיטלית – "מכשור בבתי חולים או כזה שמוטמע בגוף האדם כמו קוצב לב: המכשור מיוצר במעט רגולציה, כי יש במדינה רצון להוריד חסמים רגולטורים. מצד שני יש חוקים סינים שמאפשרים לאנשי הסייבר הסינים להגיע לרצפת הייצור ולהטמיע בה מוצרים. בגלל לחץ של הממשל האמריקאי סוף סוף ממשלת ישראל מתייחסת לנושא הסיני".

כל הפורום הסכים שחייבים לקנות מוצרים מסין, זו מדינה שאי אפשר להתעלם ממנה, אבל חשוב לעשות את זה נכון ולהבין מה זו סין. השאלה איפה עובר הקו הדק בין סיכון מחושב לחישוב מסוכן. ההנחה היום בסייבר היא שכולנו מותקפים ועכשיו השאלה היא איך אנחנו מכילים את זה".