בשנים האחרונות, תקיפות סייבר דרך שרשרת האספקה הפכו לאחד מהאיומים המרכזיים על ארגונים. התוקפים הבינו שאפשר לעקוף את ההגנות החזקות של הבנקים וחברות האשראי באמצעות פריצה לספקים שלהם - אותם גופים חיצוניים שמספקים שירותים, טכנולוגיות ותשתיות למגזר. במקרה כזה, התוקפים לא צריכים לחדור ישירות לבנק; מספיק שהם ישתמשו בפרצת אבטחה אצל ספק שירות קטן, וממנו יוכלו להשתלט על רשתות קריטיות.
דמיינו משרד עורכי דין שמנהל חוזים פיננסיים רגישים עבור בנק. ההאקרים פורצים למשרד, משיגים גישה למידע הסודי ומנצלים אותו כדי להפעיל מתקפה על הבנק עצמו. זהו בדיוק סוג התרחישים שהופכים נפוצים יותר ויותר.
ההתמודדות עם איומים אלה מאתגרת במיוחד לאור קיומם של מאות, אם לא אלפי, ספקים שונים שמספקים שירותים ופתרונות עבור מגזרים שונים כמו הבנקאות והפיננסים. למעשה, כל ספק עלול להיות חוליה חלשה בשרשרת ההגנה, ולכן יש צורך במענה מאורגן, שמספק הגנה אחידה וכוללת על כלל הגורמים המעורבים.
הגנה מותאמת וממוקדת לכל צורך
המגזר הבנקאי בישראל, שמבין את חשיבות הנושא, החליט לפעול - ובגדול. לאחר שנים של בדיקות פרטניות לכל ספק, שאלונים אין-סופיים ובדיקות כפולות, נולד המהלך שמסדיר את ניהול סיכוני שרשרת האספקה, מספק ודאות לשוק, ומחזק את כלל האקו-סיסטם הפיננסי.
מהלך זה, שהובל על ידי מערך הסייבר הלאומי בשיתוף בנק ישראל, משרד האוצר, הבנקים וחברות כרטיסי האשראי, מתבסס על מתודה חדשה המאפשרת להעריך מהי רמת ההגנה של הספקים שלהם.
הרעיון הוא פשוט: ספקים יידרשו לעמוד בדרישות המתודה המבוססת על שאלון הספקים של מערך הסייבר הלאומי (גרסה 1.47), שמותאמת במיוחד למגזר הבנקאי, ומספקת הגנה מותאמת וממוקדת לכל צורך.
ההסמכה תתבצע על ידי גורמים חיצוניים, בלתי תלויים. בכך, הספקים יימנעו מהצורך להתמודד עם דרישות שונות מכל גוף והגופים יוכלו לייעל את תהליך ניהול הסיכונים שלהם.
המתודה החדשה מספקת כלי עבודה המאפשרים לבנקים והארגונים לקבוע רף אחיד וסטנדרטי של אבטחת מידע עבור כל ספק, תוך מתן גמישות המותאמת לגודל ולרמת הסיכון של כל ארגון.
הגדלה משמעותית של רמת ההגנה
איך זה עובד בפועל?
המתווה מורכב מכמה שלבים עיקרים:
הערכת רמת הסיכון - על כל ספק להבין מהי רמת הסיכון שבה הוא נדרש לעמוד, בהתאם לדרישות הבנק או חברת כרטיסי האשראי עימה הוא עובד. רמת הסיכון תקבע את הדרישות האבטחה ממנו.
בחירת מודולים רלוונטיים - לא כל ספק מספק את אותם שירותים. יש ספקי תשתית, ספקי ענן, מפתחי תוכנה ועוד. לכל תחום פעילות יש דרישות ייחודיות והספקים יידרשו לעמוד במודולים שמתאימים להם.
בדיקה על ידי בודק ספקים - לאחר שהתבצעו כל ההתאמות הפנימיות, על הספק לפנות לבודק ספקים מוסמך שיבדוק את עמידתו בשאלון האבטחה של מערך הסייבר. הבודק עוזר ליישם את הבקרות הנדרשות ומכין עבורו "תיק ספק".
אישור ההסמכה - לאחר שהספק עומד בכלל הדרישות, המידע מועבר למכוני ההסמכה הרשמיים, כמו מכון התקנים הישראלי והמכון לבקרה ואיכות IQC, המאשרים את התהליך ומנפיקים תעודה רשמית.
הצטרפות למאגר הספקים המאושרים - ספקים שעומדים בתקן ייכנסו לרשימת "היכל התהילה" של מערך הסייבר הלאומי. בנקים וארגונים פיננסיים יוכלו לבחור לעבוד רק עם ספקים מאושרים, מה שיגדיל משמעותית את רמת ההגנה על המערכת הפיננסית כולה.
השקעה שמניבה תועלת - יתרונות לספקים ולבנקים
ספקים שיקבלו את ההסמכה ייהנו מכמה יתרונות משמעותיים:
כניסה ל"היכל התהילה" - ספקים מאושרים ייהנו מהכרה רחבה, מה שיכול להעניק להם יתרון תחרותי.
חיסכון בזמן ובמשאבים - כיום, ספקים צריכים למלא שאלונים ולבצע מבדקים לכל גוף בנפרד. המתודה החדשה תצמצם משמעותית את התהליכים הללו, מה שיחסוך זמן וכסף.
שיפור רמת האבטחה - כל ספק יקבל תמונת מצב ברורה על רמת ההגנה שלו ויוכל לשפר את אבטחתו בהתאם לסטנדרטים המובילים בשוק.
מניעת סיכונים עתידיים - ארגונים שאינם משקיעים באבטחת מידע עלולים למצוא את עצמם נפגעים מתקיפות שיגרמו להם נזק בלתי הפיך. המתודה מסייעת להם לצמצם את החשיפה ולהגן על נכסיהם.
עלויות ההסמכה נמוכות באופן משמעותי ביחס לפגיעות אפשריות שהיו יכולות להתרחש ללא הגנה מספקת, במיוחד בתחום הסייבר שבו ההשפעה על ארגון יכולה להיות הרסנית.
העתיד שבדרך
המתודה החדשה לא רק תשפיע על המגזר הבנקאי, אלא גם עשויה להוות מודל מצוין עבור סקטורים נוספים במשק. ככל שהדרישות יתקבלו ויתפשטו בקרב ספקים נוספים, תתחזק ההגנה על המרחב הדיגיטלי של ישראל כולה. שיתוף הפעולה של הספקים בתהליך זה עשוי להוות דוגמה לחיזוק הביטחון הדיגיטלי בכל תחום.
המתווה נכנס לתוקף בינואר 2025, ושנת ההטמעה תוקדש להרחבת ההסמכות ולמעבר הדרגתי של ספקים רבים לשיטה החדשה. לאחר שהתוכנית תיושם היא תייעל את תהליכי העבודה, תחסוך משאבים ותעלה משמעותית את רמת האבטחה של הבנקים והספקים שלהם. זהו צעד משמעותי לקראת עתיד שבו המערכת הפיננסית תהיה עמידה הרבה יותר בפני מתקפות סייבר ואיומים עתידיים.
ירדן לוי היא מנהלת מדור שרשרת אספקה, אבטחת מידע בבנק הפועלים.
דלית כספי -שכנר היא מובילת אסטרטגיית הגנת הסייבר בבנק הפועלים.
בשיתוף בנק הפועלים
