מערך הסייבר מתכנן לאחד תקנות הגנה

תוכנית חדשה של מערך הסייבר הלאומי תטמיע סטנדרטים חדשים בהגנת סייבר לספקי שירותים של גופי ממשל, תשתית ופיננסים, ותקבע תקן ישראלי לנושא.

באחרונה אף הוציא מערך הסייבר הלאומי, באמצעות היחידה להגנת סייבר בממשלה, הנחיות חדשות למשרדי הממשלה לעמידה של ספקי שרשרת אספקה – לסטנדרטים אחידים להגנת סייבר. על פי המערך, ספקי שרשרת אספקה הפכו בשנים האחרונות אמצעי מועדף על האקרים לעקוף הגנות של ארגונים גדולים ולבצע דרכם מתקפות סייבר. דו"ח של OTA מצא, כי ב-2018 מספר המתקפות על חברות שעוסקות בשרשרת אספקה עלה ב-78% – ברובם ספקים גדולים במגזרי הפיננסים, התעשייה והקמעונאות. בדיקה של מערך הסייבר העלתה, כי בישראל משתמשים ארגונים שונים בשיטות שונות ולא אחידות, המקשות הן על הארגון והן על הספקיות.

כחלק מהתוכנית החדשה, מכלול עמידות במערך הסייבר הלאומי השלים כתיבת מתודה מקיפה לדרישות הגנת סייבר מספקים קריטיים בשרשרת האספקה. זאת, תוך התאמה לאופי ולצורכי העבודה של גופים ומגזרים שונים. מדובר בספקים, שאופי הממשק והשירות שאותו הם מעניקים לגופים אחרים מהווה סיכון גבוה לכך שהאקרים – בסבירות גבוהה – ינסו באמצעותם לחדור או לשבש פעילות משמעותית באותם גופים. דוגמאות לספקים מהותיים שכאלה הן בתי דפוס שמדפיסים צ'קים עבור בנקים, חברות המעניקות שירות תפוצת דוא"ל, מפתחי אפליקציות ואתרים, שירותי אחסון מידע, יצרני רכיבים למערכות תעשייה ועוד. ההערכה היא, כי קיימים בישראל אלפי בתי עסק שעונים להגדרה זו.

באחרונה הוציאה יה"ב, יחידת הגנת הסייבר ברשות התקשוב הממשלתי, הנחיה לגופי ממשל, המחייבת ספקים של שרשרת אספקה להנפיק אישור על עמידתם בסטנדרטים אחידים שקבע מערך הסייבר הלאומי. במסגרת ההנחיה יבצע כל משרד ממשלתי מיפוי של ספקים החיוניים לשירות לציבור ואשר תלויים במערכות IT – שיידרשו לעמוד בסטנדרטים כדי שרציפות השירותים לאזרחים לא ייפגעו.

כדי לבצע את בדיקות העמידה בתקן, מערך הסייבר הלאומי הכשיר ואישר בשנה החולפת – באמצעות מכון התקנים – כ-50 בודקי תאימות לשרשרת אספקה. בשנים הקרובות יוסמכו עוד כ-150 מוסמכים. הבודקים, מומחי סייבר בעלי ניסיון, הוסמכו לבדוק את עמידת הספק בסטנדרטים של שרשרת אספקה – על פי המתודה של המערך. עומק והיקף הבדיקה ישתנו בהתאם לדרגות וקטגוריות שונות, בהן – גישה מרחוק, דרישות רוחביות, אחסון בענן ופיתוח תוכנה מאובטח. בסיום הבדיקה יגישו הבודקים את הדו"ח לאישור מכון התקנים, ולאחריו הספק יוכרז כספק מוסמך.

שיטת הבדיקה של גופי שרשרת אספקה שפותחה במערך הסייבר כוללת 20 עד 90 בקרות. על פי אנשי המערך, היתרון של המתודה שפיתחו על פני תקנים בינלאומיים, כגון ISO, היא שהיא כתובה בעברית, וככזו – היא מותאמת לצרכים הישראליים.

"במצב שהיה קיים עד כה, כל גוף היה צריך לבדוק את ספקי שרשרת האספקה שלו בעצמו ולפתח מערך בדיקות משלו", אמר שחר נבו, ראש אגף אסדרה במערך הסייבר הלאומי, "כעת יהיה תקן אחיד, שיוביל את הגנת הסייבר של המשק. השיטה מקשיחה את רמת הגנת הסייבר של המשק כולו".

בשלב הבא של התוכנית וכהכנה לבדיקה, יפרסם המערך באתר שלו "מחשבון סייבר", שיאפשר לכל גוף להכניס מדדים ולקבל תמונת מצב – שחשופה רק לו, על עמידתו בסטנדרטים להגנת סייבר ומה הפעולות הנדרשות.