בעולם העסקי המודרני, שרשרת האספקה מהווה עורק תפעולי מרכזי לארגון אבל גם נקודת תורפה קריטית בהגנת הסייבר. הנתונים מדברים בעד עצמם: למעלה מ-60% מפריצות הסייבר בארגונים גדולים בשנתיים האחרונות התרחשו דרך ספקים וצדדים שלישיים. ללא מערכת ניהול אפקטיבית, הארגון נותר חשוף למתקפות שרשרת אספקה מתוחכמות, שעלותן הממוצעת לארגון היא גבוהה מאוד - כספית, ארגונית ולא פחות חמור מכך, פגיעה קשה במוניטין.
חברת CyberIL, בהובלת המנכ"ל אבי אברהם, מציעה פתרון חדשני לאתגר המורכב הזה באמצעות פלטפורמה ייחודית לאוטומציה של ניהול סיכוני סייבר ותאימות לשרשרת אספקה והגנת הפרטיות. "מה שבעבר היה תהליך מפרך, שדרש חודשי עבודה, באמצעות גיליונות אלקטרוניים ידניים, הופך עכשיו למשימה מובנית שניתן להשלים תוך ימים ספורים", מסביר אברהם. "הפלטפורמה שפיתחנו מאפשרת לארגונים לשלוח שאלוני הערכה אוטומטיים לספקיהם, לנטר את רמת עמידתם ברגולציות, תקני סייבר והגנת פרטיות עדכניים, ולקבל תמונת מצב מפורטת על רמת הסיכון הכוללת. למעשה, המערכת מנתחת את כלל הממצאים על פי המענה לשאלונים ומייצרת דו"חות בזמן אמת, תוך זיהוי והצגה מהירה של סיכונים ונקודות תורפה".
מהי פונקציית המטרה של המערכת?
"לספק שירות מנוהל ומתקדם לניהול סיכוני סייבר ותאימות רגולטורית בשרשרת האספקה. המערכת כוללת מערכת מידע מתקדמת ודסק שירות מנוהל הכולל צוות של אנליסטים, והיא מאפשרת לנהל את כל תהליכי הקשר ספק-לקוח מהיבטים רבים: עריכת סקר, איסוף ראיות, ניתוח הממצאים והצגת תמונת מצב מקיפה על סיכוני הספק, בדגש על הפערים שמאפיינים את מערכות הסייבר וה- GRC שלו. הרעיון המסדר הוא להגביה את חומות אבטחת המידע כדי להקטין את רמת הסיכון ללקוח".
כיצד עובדת המערכת?
"ניקח לדוגמה גוף גדול מכל סוג שהוא שעובד עם כ-500 ספקים. רוב הארגונים שולחים כיום שאלון בצורת קובץ גיליון אלקטרוני. לדוגמא, שאלון יוב"ל ממערך הסייבר הלאומי (לבחינת רמת ההגנה בסייבר בעולם שרשרת האספקה - י.צ.). השאלון כולל מעל 100 שאלות ובוחן מגוון רחב של היבטים וורטיקליים שונים, כמו מדיניות אבטחה, נהלים, בקרות טכנולוגיות ועוד. הקושי המרכזי הוא שהספקים נדרשים למלא טבלאות אקסל ארוכות ומלאות פרטים, עתירות לשוניות ולינקים, והן מורכבות למילוי. כאן אנחנו נכנסים לתמונה עם המערכת האוטומטית שלנו.
"המערכת שולחת מייל לנציג הספק, הוא נכנס אליה עם שם משתמש וסיסמה ועונה על השאלות בצורה מהירה וקלה. השאלות מתייחסות למגוון רחב של נושאים, כולל יישום נהלים, אמצעי הגנה, מדיניות אבטחה, הדרכות עובדים וכדומה. המערכת מאוד ידידותית למשתמש, כאשר דסק השירות המנוהל מסייע לספק בכל שאלה עד שהוא מסיים למלא את השאלון. בשלב הבא אנו לומדים את הממצאים שהמערכת ניתחה והפיקה באופן אוטומטי, ומציגים תמונת מצב מלאה על מידת העמידה של הספק בתקן שקבע הלקוח. המערכת גמישה מאוד ומאפשרת להעלות כל תקן ומסגרת שהלקוח יגדיר".
מה עושים עם הממצאים?
"אלגוריתם המערכת מנתח ומציג את הממצאים העיקריים, במספר חתכים ובהתאמה לרצון הלקוח, תוך הצגת הסיכונים העיקריים, מהקריטיים לנמוכים, והצגת המלצות לטיפול. בתום ההליך, הספק מקבל ציון/הערכה ודו"ח מסודר על הממצאים הדורשים טיפול מצידו, על פי מידת החומרה שלהם והדחיפות בתיקונם. המערכת מנהלת את כלל תהליך הטיפול והבקרה על הספק.
"כלל הממצאים נשמרים במערכת ומתעדכנים לאחר ביצוע התיקונים והשיפורים. בסקר החוזר של הספק תתבצע השוואת ממצאים כדי לבחון התקדמות בעמידה במינימום הנדרש למעבר הסקר. מדובר בתהליך ניטור מתמשך, סדור, מהיר, מאורגן וללא צורך למלא טבלאות אקסל מסובכות. פשוט וקל לביצוע".
הרגולציה מחמירה ומחלחלת לישראל
חברת CyberIL הוקמה בשנת 2020 כ- Spin Off של חברת דור טכנולוגיות מידע. דור נוסדה ב-2004 על ידי אורן בחרי, ועוסקת בתכנון, ניהול, אינטגרציה והנדסת מערכת עבור פרויקטים טכנולוגיים מורכבים ורחבי היקף לארגונים גדולים. "במשך השנים התרחבה פעילות הסייבר והאינטגרציה בדור טכנולוגיות שבאופייה הינה חברת תכנון וניהול פרויקטים. לכן החלטנו לפצל ולהקים חברה נפרדת כישות משפטית עצמאית", מסביר אברהם את הרציונל שהביא להקמת חברת CYBERIL, שהיו"ר שלה הוא תא"ל (מיל') נתי כהן, לשעבר מנכ"ל משרד התקשורת וקצין קשר ותקשוב ראשי.
CyberIL מציעה פתרונות אבטחה והגנה בסייבר, תכנון ואינטגרציה במגוון תחומים, כולל מערכות תקשורת, הגנה על נתונים, אבטחת ענן, מערכות IT/OT/IOT, מערכות זיהוי מתקדמות, פרויקטים מורכבים להתקנות מערכות אבטחה, NAC ו- SIEM, ממיטב היצרנים המובילים בעולם כדוגמת Cisco, Splunk, Forescout ועוד. בחלק המשלים לצד הטכנולוגי, עוסקת החברה באספקת CISO, DPO,CIO כשירות לגופים שונים.
מה אנחנו לא מבינים על סיכוני סייבר בשרשרת האבטחה?
"את המורכבות של שרשרת האספקה הגלובלית ואת איומי הסייבר הנובעים ממנה. חולשה באבטחת המידע של ספק אחד עלולה להוביל לפגיעה בארגון כולו, ולכן ניהול סיכוני סייבר בשרשרת האספקה חיוני להבטחת המשכיות עסקית ולהגנה על מידע רגיש. לאחרונה פרסמה מחלקת ההגנה האמריקאית תקן מעודכן, CMMC2.0, שמחייב ספקים לעמוד ברמות שונות של דרישות אבטחה בהתאם לסוג המידע שהם מטפלים בו. זה מחלחל גם לישראל".
ביקור פיזי בחצר הספק
שירות נוסף שפותח בחברה הינו ביצוע סקר משלים של מומחי סייבר ו-GRC בחצרות הספקים, בהמשך לסקר שבוצע באמצעות המערכת. זאת על מנת לעמוד מקרוב על הנושאים הרגישים ביותר שעלולים לחשוף את הספק והלקוח לסיכונים. בתום השלמת ההליך נערך דו"ח מצב מסכם, שהופך גם לתוכנית עבודה עבור הספק על מנת לבצע את תיקון הליקויים הנדרשים.
שירות זה כולל גם בדיקה של עמידת הספק בתקני הגנת הפרטיות. אבי אברהם מזכיר ברקע הדברים את השינויים המשמעותיים שחלו בשנים האחרונות בתקנים אלה, הן בישראל והן בעולם. בישראל נחקק תיקון 13 לחוק הגנת הפרטיות, שמרחיב את הגדרת "מידע אישי" ו"מידע רגיש" ומעדכן את ההגדרות כך שיתאימו ל-GDPR האירופאי. הוא גם מעניק סמכויות אכיפה נרחבות יותר לרשות להגנת הפרטיות.
אילו שירותים אתם מציעים בהקשר זה?
"גם כאן, על פי רצון הלקוח, אנחנו מבצעים סקר ספקים ובודקים את מידת העמידה שלהם בתקנים והסעיפים המחייבים בחוק הגנת הפרטיות ומאגרי נתונים. בנוסף, נבדקת רמת ההגנה ואבטחת המידע כחלק מההגנה על הנתונים".
מה החזון? לאן אתם מכוונים?
"בשנתיים האחרונות פיתחנו שירותים מנוהלים ייחודיים בנוף המקומי ואף העולמי. המערכת והתפישה שפותחו מהווים חידוש בתחום ניהול סיכוני סייבר ותאימות לשרשרת אספקה. התוכניות שלנו הן להרחיב את השירותים המנוהלים בעולם הסייבר, לפתח מערכות נוספות ולהטמיע חדשנות טכנולוגית ואוטומציה מתקדמת. האתגר המרכזי הוא לאזן בין רמת החוסן הנדרשת, הרגולציה והגבהת החומות לבין המציאות התפעולית בארגון. בעתיד נרצה להרחיב את הפעילות גם לשווקים הבינ"ל. זו בהחלט מטרה ששמנו לעצמנו".
בשיתוף חברת CyberIL
לפרטים נוספים: assiao@cyberil.com
