סיכוני הסייבר של חברות ישראליות ידורגו על ידי BitSight האמריקנית

החברה האמריקנית BitSight, המבצעת דירוג סיכוני סייבר לחברות ולארגונים, החלה לפעול בישראל, באמצעות NessPRO, קבוצת מוצרי התוכנה של נס. BitSight היא החלוצה בדירוג סיכוני הסייבר והחברה המובילה בתחום זה, עם נתח שוק של 70%. לחברה כ-1,000 לקוחות, ובהם 20% מהחברות ברשימת פורצ'ן 500 (Fortune 500), חברות ביטוח ובנקים. מאחר שהחברה מדרגת ספקים (כולל ספקי ספקים) וחברות המבוטחות בחברות ביטוח, מגיע מספר החברות המדורגות על ידי BitSight ליותר מ-100 אלף.

המערכת שפיתחה BitSight מאפשרת לזהות, למדוד ולהעריך את הסיכון של חברות וארגונים, וכן מציגה את נקודות התורפה של ספקי הארגון (צד ג') וספקי הספקים (צד ד') בשרשרת האספקה, על ידי ניקוד ודירוג שמקבלת כל חברה. הפתרון מיועד למנהלי סיכונים ומנהלי אבטחת מידע, וכן עבור חברות ביטוח, סוכני ביטוח ואקטוארים.

"מניתוח של כשלים ומתקפות שאירעו בשנים האחרונות עולה כי שרשרת האספקה מהווה גורם מהותי לחוסן המערכת הארגונית, ועל כן קיימת חשיבות גבוהה לחזק אותה", אמר גילי חזני, מנהל פעילות מוצרים פיננסיים ב-NessPRO. "המודעות לכך גוברת ובישראל, לדוגמה, הפיקוח על הבנקים הוציא במרץ האחרון הוראת ניהול בנקאי תקין בנושא ניהול סיכוני סייבר בשרשרת אספקה. על פי ההוראה, תאגיד בנקאי נדרש לקבוע עקרונות להתחייבויותיהם של ספקים חיצוניים מהותיים בנושא ניהול סיכוני סייבר, וכן לוודא עמידה בעקרונות אלה".

"מכאן עולה הצורך הקריטי בניתוח הסיכון של כל גוף גדול העובד מול שרשרת האספקה, כולל מדידה וניהול של הסיכון", הוסיף חזני. "כמו כן, פוליסות סיכוני סייבר החלו לתפוס תאוצה בשנים האחרונות, עקב אירועי הסייבר הרבים. על חברות הביטוח להעריך את סיכוני המבוטחים, לנהל את תיקי הלקוחות ולצמצם ככל הניתן את סיכון התביעות הפוטנציאליות".

אומדן והערכה נכונים ומדויקים של הסיכון

המערכת של BitSight מאפשרת אומדן והערכה נכונים ומדויקים של הסיכון, באופן שוטף וברמה יומית. היא עוקבת אחר דירוג ביצועי האבטחה של הספקים והמבוטחים, מצביעה על נקודות תורפה ומספקת תכנית לשיפור רמת האבטחה של כל ארגון.

עוד יצוין שהמערכת אוספת מידע מיותר מ-80 מיליארד אירועי רשת ביום, מיותר מ-120 מקורות מידע וממאגרי נתונים של למעלה מ-50 אלף חברות. נתונים אלה משוקללים ב-22 פרמטרים לניתוח הסיכון, ומעובדים באלגוריתם, שמנתח אותם על פי דרגת החומרה, התדירות, משך הזמן והביטחון. סיווג הסיכון ליצירת הדירוג מבוסס על בדיקת מערכות הנגועות בתוכנות זדוניות, אופן יישום בקרות האבטחה של המבוטח, פרצות אבטחה והתנהגות המשתמש. המבוטח או הספק מדורג בדירוג יומי ובקרת ביצועי האבטחה מדורגת 12 חודשים רטרואקטיבית. המערכת מזהה את נקודות התורפה של הספק או המבוטח וממליצה ליישם פעילויות מתקנות.

המערכת של BitSight "מתרגמת" בעיות אבטחה מורכבות לשפה עסקית פשוטה, מאפשרת לזהות סיכון לפני התממשותו, להעריך אותו, להפחית סיכון לתביעות ביטוח ולהשיג רווחיות חיתומית משמעותית. היא חוסכת זמן רב ועלויות באומדן סיכוני המבוטח וסיכוני הספקים וספקי הספקים, תוך ניהול סיכונים על סמך ראיות אמיתיות ולא על בסיס תגובות סובייקטיביות לשאלונים. הדבר מאפשר לתמחר את הביטוח בהתאם לדירוג המבוטח, וכן מאפשר להבטיח שכל ספק חדש לארגון יתאים לאסטרטגיית אבטחת המידע הארגונית.