"המדינה מודעת לבעיות הנובעות מאיומי סייבר על שרשרת האספקה"

"ברמה המדינתית, אנו מודעים לכל הבעיות העלולות לנבוע בשל איומי סייבר על שרשרת האספקה, ומטפלים בו באופן אינטנסיבי", אמר אלי פטל, ראש מרכז אסדרה במערך הסייבר הלאומי שבמשרד ראש הממשלה.

פטל דיבר במפגש בנושא דירוגי סייבר והקשר שלהם לאיומים משרשרת האספקה, אותו אירחה NessPRO, קבוצת מוצרי התוכנה של נס. פטל ציין שהמערך מנחה ישירות את ארגוני התשתיות הקריטיות הממשלתיים, 26 גופים, לגבי אופן הטיפול בשרשרת אספקה. במקרה של גופים אזרחיים, הסביר, "ההנחיה אינה ישירה אלא דרך הרגולטורים שלהם, לפי המגזרים השונים". פטל סיים באומרו כי החודש נפתח כבר קורס שני לבודקים מוסמכים לשרשרת אספקה, בשיתוף מכון התקנים.

עמית ארמוזה, סמנכ"ל ומנהל חטיבת Enterprise Management & Cyber ב-NessPRO, ציין כי "הסיכונים הכרוכים בהתקפות שרשרת האספקה – גבוהים מאי פעם. הצורך העסקי הגובר בהגדלת מספר הספקים וסוגי התקפות חדשים, יצרו חשיפה מוגברת לאיום הסייבר. נדרש להגביר את המודעות הציבורית לאיומים ולהגביר את הפיקוח מצד הרגולטורים". במקביל, סיכם ארמוזה, "עולה צורך בשיתוף מידע של הארגונים עם הספקים שבשרשרת האספקה, באופן רציף ובלא הוספת משאבי כוח אדם – כדי לשפר את מערך האבטחה הכולל".

סטיבן בוייר, מייסד-שותף BitSight. צילום: עזרא לוי

סטיבן בוייר, מייסד-שותף BitSight, הפועלת בתחום דירוגי הסייבר, אמר כי "הדגש הוא על מניעת איומים של שרשרת האספקה, אחד מסיכוני הסייבר המטרידים ביותר כיום". לדבריו, "בסייבר, לעומת דירוגים שהיו קיימים עד היום, דירוג אשראי, פיננסי, ועוד – הייחודיות היא בשיתוף הפעולה והשקיפות הנדרשים בין הארגונים השונים, ובין הארגון לספקיו".

כך, ציין בוייר, "בזכות השימוש במערכת הדירוג, בנק ברקליס אירופה שיתף פעולה עם 500 ספקים קריטיים של הבנק, והפחית משמעותית את האיום משרשרת האספקה. ככל שסביבת הארגון משתפרת בסייבר – כך גם הארגון משתפר. בשל הדירוג, North American Bank, קיצר את תהליך הערכת הסיכונים של ספק חדש מ-85 ימים ליום אחד בלבד". הוא סיים באומרו כי "חברות בעלות דירוג סייבר נמוך – נמצאות בסיכון של כמעט פי 5 למתקפה מאלו בעלות דירוג גבוה".

יוסי שביט, יועץ סייבר למשרד להגנת הסביבה. צילום: עזרא לוי

יוסי שביט, יועץ סייבר למשרד להגנת הסביבה, אמר כי "נחיל השנה רגולציה חדשה להגנת סייבר על מפעלי חומרים מסוכנים, שמקבלים היתר רעלים מהמשרד להגנת הסביבה". לדבריו, "הבטן הרכה של כל מדינה היא התעשייה, קיימים מפעלים המכילים חומרים מסוכנים גם בקרבת אוכלוסיה אזרחית, המהווים סיכון רב". הוא ציטט את נסראללה שאמר כי "'הפצצות כבר קיימות בישראל – ורק צריך להפעיל אותן'. כל שנדרש זה להשתלט על הבקר – מהרגע שהשתלטת על הבקר, השתלטת על התהליך הממוחשב כולו, ואז מתאפשרת גניבת החומר המסוכן".

"האתגר הראשון שלנו", אמר, "הוא לחבר בין אנשי ה-IT למהנדסי הייצור, שיעלה את חוסן הסייבר למפעל. האתגר השני הוא להשיג ולגייס אנשי סייבר בתעשיה, ושיבינו בסייבר – וגם במערכות ייצור, בקרה, בהשפעות של חומר מסוכן ובסייבר ב-IT וגם ב-OT. האתגר השלישי הוא שרשרת האספקה: יש שם תמיכה מרחוק, לרוב אין הזדהות חכמה, אין בקרה או ניטור לוגים על הפעולות שמבוצעות, וההאקר עלול להתחבר האקר ולבצע השתלטות על מערכת הייצור. זו סכנה לבריאות הציבור, לסביבה ולהמשכיות העסקית של המפעל".

אביבית קוטלר, מנהלת הגנת סייבר והמשכיות עסקית בכלל ביטוח. צילום: עזרא לוי

אביבית קוטלר, מנהלת הגנת סייבר והמשכיות עסקית בכלל ביטוח: "הסיכון העיקרי של חברות מהסוג שלנו הוא חשיפה של נתוני לקוחות. בשל הטרנספורמציה הדיגיטלית שעברנו, אנו מאפשרים ללקוחות לבצע פעולות בצורה עצמאית דיגיטלית. בשינוי הזה ניהלנו גם את הסיכון כי הרבה מהפתרונות הם בענן. עלינו, כאבטחת מידע, לנהל את הסיכונים ולתת פתרונות לכל אתגרי האבטחה".

אילן עבדי, סמנכ"ל אבטחת המידע של טבע. צילום: עזרא לוי

אילן עבדי, סמנכ"ל אבטחת המידע של טבע, אמר כי לחברה יש יותר מ-40 אלף עובדים, עשרות מפעלי ייצור תרופות, 17 מרכזי מחקר ופיתוח – ב-100 ארצות, ומפעלים ב-60 ארצות. "בשנה שעברה ייצרנו יותר מ-110 מיליארד טבליות תרופות, והמשמעות היא המון ספקים. יש רגולציה כבדה מאוד בתעשיית הפרמצבטיקה וזה אתגר גדול להגנת סייבר. כמעט הכול סביב הייצור – הוא היעד העיקרי להגנה. הרבה מתקפות מגיעות דרך הספקים ואנו נערכים בהתאם. אנו מטפלים בסיכון ספקים צד ג' באמצעות תהליך ניהול מובנה, הכולל גם לפעמים בדיקות חוסן לספק. יש לנו גם ביטוח סייבר".

ד"ר הראל מנשרי, ראש תחום הסייבר במכון הטכנולוגי חולון HIT, היה ממקימי מערך הסייבר בשב"כ. הוא הדגיש את חלקם של המוצרים הסינים באיום על שרשרת האספקה. לדבריו, "אחד הדברים שמתמחים בו בבית הספר לסייבר במכון, הוא שרשרת אספקה, והבעייתיות ברגולציה על מוצרים וחומרים המיובאים מסין בעיקר, כגון רכיבי IoT. כך, אמר, "מכשור בבתי חולים או כזה שמוטמע בגוף האדם, כמו קוצב לב – מיוצר במעט רגולציה, כי המדינה רוצה להוריד חסמים רגולטורים. מנגד, חוקים סינים מאפשרים לאנשי הסייבר הסינים להגיע לרצפת הייצור ולהטמיע בה מוצרים. בגלל לחץ אמריקני, ממשלת ישראל מתייחסת, סוף סוף, לנושא הסיני".