אחת התובנות המרכזיות שמנהלי חברות וארגונים הסיקו בעשור החולף הוא הצורך לנהל את ספקי הארגון. אין כיום ארגון, קטן כגדול, שלא נזקק לשורה של ספקים או קבלני משנה לביצוע משימותיו, וכמות הספקים המעורבים בשרשרת האספקה עלתה בשנים האחרונות בטור גיאומטרי. אם בארגון קטן מספר הספקים יכול לעמוד על עשרה, הרי בארגון בינוני-גדול הוא כבר עשוי להגיע למאות. עניין זה מרחיב מאוד את מוטת השליטה ומעורר קשיים בניהול הספקים, כאשר הצורך להבטיח ביצוע מדויק ואיכותי, ההולם את הדנ"א הארגוני ואת הרגולציה, מחייב מערך שליטה ובקרה נרחב ויעיל. בד בבד גדלה המודעות לסיכונים שהספקים מייצרים לארגון במהלך עבודתם והמגע שלהם עימו. סיכונים אלה, במיוחד בתחומי ה-IT והסייבר, התרחבו מאוד בשל העובדה שאותם ספקים חולשים על המקטעים הקריטיים ביותר בארגון וגם הרגישים ביותר - כמו מערכות תקשורת ומחשוב, מאגרי מידע - שכל פגיעה בהם יכולה להסב נזק עצום לארגון ולמוניטין שלו.
"אני חושב שבתקופת הקורונה האסימון נפל בארגונים רבים והם הבינו עד כמה ניהול הספקים הופך לאתגר בפני עצמו", אומר נועם הנדרוקר, שותף ומנהל מחלקת ייעוץ סייבר בפירמת רו"ח והייעוץ BDO. "אם בעבר כמות הספקים הייתה קטנה וסופית, ומעט מאוד מנהלים התייחסו לכך כאל אתגר ארגוני, הרי כיום מדובר ברשימה גדולה ואין-סופית של ספקים בעלי עניין והאיום הפך למוחשי וממשי, מה גם שאין כמעט גורם בארגון שמתכלל את העבודה עימם. מחלקות שונות עובדות עם ספקים שונים ולא תמיד בתיאום עם מערך ה-IT הארגוני. אותם ספקים מחזיקים במידע קריטי, שחלה עליו רגולציה, והנזקים בשל תקלות שעשויות להיגרם לאותו ספק הם גדולים. הדבר מחייב מיקוד פרטני בכל ספק וספק.
"בתקופת הקורונה מי שסבל במיוחד מתקלות בשרשרת האספקה היו ארגוני בתחום הייצור, שכן נוצרו בעיות תספוקת רבות. חומרים לא הגיעו בשל קשיי שינוע, נמלים לא עבדו וסחורות לא נטענו ולא פורקו. התברר שלא מדובר רק באירוע ייצורי-תעשייתי בלבד, אלא בשיבוש כל המהלך העסקי שמייצר סיכונים משמעותיים לארגון", הוא מוסיף. "אך היום ברור שזה לא נוגע רק לתחום התעשייתי. בעולם העסקי התחדדה ההכרה ששרשרת האספקה מגלמת בתוכה סיכונים רבים לארגון, כולל סיכונים טכנולוגיים, וזה עלה למודעות הדרג הניהולי הבכיר, שהחל לראות את מכלול הסיכונים בראייה של 360 מעלות".
מהם אותם סיכונים?
"אם נתייחס לסיכוני הסייבר וה-IT הרי הסכנה המרכזית היא לרציפות העסקית של הארגון במקרה של השבתה. סכנות נוספות הן בתחומי המוניטין והפיננסים. הדוגמה של חברת הביטוח שירביט מדברת בעד עצמה והתקלה, שלמעשה הביאה למכירת תיק הביטוח של החברה, נבעה מהתנהלות הספק שלה. אני מפנה אותך לדוח מבקר המדינה שהצביע על כך ש-30% מהמשרדים הממשלתיים חוו התקפות סייבר דרך שרשרת האספקה בשנתיים האחרונות. בשונה מסיכונים אחרים, סיכון הסייבר משרשרת האספקה הופך למרכזי ומאז הקורונה אין ארגון שמתכחש לכך שזהו אחד משלושת הסיכונים המרכזיים בפניהם ניצב הארגון. סכנה נוספת נשקפת מחברות אחסון אתרים שנפרצו והאקרים שאבו מהם מידע רגיש על לקוחות, שבחלקם גם נסחטו. מעל 80 אירועי סייבר נרשמו בשנים 2021-2022 אצל חברות אירוח אתרים.
"כדאי לזכור בהקשר זה שארגונים גדולים ובשלים מבחינה טכנולוגית - כמו בנקים, חברות ביטוח ופיננסים, שגם כפופים לרגולציה קפדנית - משקיעים משאבי עתק בהגנת סייבר ולכן קשה לפרוץ אותם. נקודת התורפה היא של הספקים שלהם, שהם הרבה פחות מוגנים, בוודאי אם מדובר בספקים קנים".
הערכת הסיכונים בתהליך מובנה
בפירמת רו"ח והייעוץ BDO החלו לעסוק בסיכוני שרשרת האספקה כבר לפני חמש-שש שנים ולמעשה היו בין החלוצים בטיפול בהם. "יש היום מספר טכנולוגיות שעוסקות בתהליכי רכישה, הטמעה ותחזוקה בשרשרת האספקה, אך אין טכנולוגיה אחת, שפועלת מקצה לקצה, לרוחב כל הארגון, בחטיבות ובמחלקות השונות, ומסנכרנת את התהליך עם ה-IT הארגוני. אין גם מתודולוגיה מסודרת, אחודה וברורה, ולא תמיד הטיפול בכך זוכה לתעדוף. כשיש לארגון 1,000 ספקים זהו אתגר אנושי וטכנולוגי כאחת. מתברר גם שלא תמיד לארגון יש את המשאבים או היכולת לפקח על יישום חוזי האספקה. כאן אנחנו נכנסים לתמונה".
מה אתם עושים?
"פיתחנו שירות מנוהל, שעוסק קודם כל בהערכת הסיכונים, שכולל מספר שלבים בתהליך סדור ומובנה. זה מתחיל עם מערך של שאלונים שנשלח לספקים ונועד לבדוק האם הם יושבים על מידע רגיש ולהבין מהם הסיכונים הרלוונטיים. במקביל, אנו פועלים עם המחלקות המתאימות בארגון, במטרה למפות את כל שרשרת האספקה שלו, להבין מה היא כוללת ולנטר את אותם ספקים שהם קריטיים בוודאות גבוהה. אגב, לא כולם הם כאלה, בהיבטים של סייבר, אבטחת מידע והגנה על הפרטיות.
"לאחר שיש לה תמונה מקיפה, אנחנו בודקים בשלב השני איך אותם ספקים מנהלים את אבטחת המידע של עצמם - האם יש להם מדיניות בנושא ומהי? מהי האסטרטגיה שלהם? מהם הנהלים? באיזו טכנולוגיות הם עושים שימוש? האם יש לספק בעלי תפקידים שאבטחת מידע זה עיסוקם, או שהוא נעזר במיקור-חוץ? הכי חשוב זה להבין מה יקרה אם הספק יותקף - האם אני, כארגון, אוכל אז לנהל פעילות עסקית רצופה?
"אנחנו חותרים בסוף הבדיקה, להבין אילו פערים קיימים בין דרישות האבטחה של הלקוח לבין המימוש בפועל שלהן אצל אותם ספקים. האם הטכנולוגיה של הספק וההון האנושי שלו פוגשים את הצרכים של הלקוח שלנו. התוצאה היא רשימת פערים שבהם הספק צריך לטפל, עם תוכנית עבודה מפורטת מה עליו לעשות, כולל פתרונות ספציפיים כדי שיוכל לעמוד ברף הנדרש".
מה אמורה להיות התוצאה של אותה רשימה? מה המנהלים מקבלים בסוף?
"המטרה היא קודם כל להפחית את הסיכון שנשקף מאותו ספק ולוודא שהארגון לא יושפע מכך. צריך לזכור שאנחנו מבצעים זיהוי של כל משטחי התקיפה של הספק ובודקים את כל העולם החיצוני עימו הוא בא במגע דיגיטלי כדי להבין את החשיפות. אנחנו גם קובעים רף מסויים שמתחת אליו לא מומלץ לעבוד עם ספק. כתוצאה משני הדברים הללו ייתכנו מצבים שבהם נמליץ לא לעבוד עם ספק מסוים שפועל ברמת סיכון גבוהה. לא תמיד זה אפשרי והלקוח מכליל את זה בניהול הסיכונים שלו.
"הם מקבלים בדשבורד תצוגה גרפית של כל הספקים, תוך אבחנה מיהם הכי מסוכנים ומהן ההמלצות שלנו. אם יש לספק מסוים בעיות רוחביות ניתן לייצר בעבור מערכת אבטחת מידע שתוריד את הסיכון".
אתם ממליצים גם על פתרונות טכנולוגיים?
"הפלטפורמה שפיתחנו - שמנהלת את כל סיכוני שרשרת האספקה ואליה זורם המידע מכל רחבי הארגון וחוצה לו - היא אגנוסטית למערכת טכנולוגית זו או אחרת. אם ללקוח יש כבר מערכת לניהול סיכונים משלו, אנחנו יכולים להתלבש עליה ולבצע אינטגרציה מלאה עימה".
לאתר החברה>>>
בשיתוף BDO
