מערך הסייבר הקים מערכת להגנה על שרשרת האספקה במשק

מערך הסייבר הלאומי במשרד ראש הממשלה הקים באחרונה מערכת מידע לאומית שבאמצעותה יוכל כל ארגון במשק לבדוק את רמת ההגנה שלו בסייבר ואת כשירותו בתחומי אבטחת מידע והגנת הסייבר – ולפי הנתונים לקבל המלצות כיצד להיערך, לשנות ולשפר; כך נודע לאנשים ומחשבים.

המודול הראשון במערכת, ששמה יוב"ל (ר"ת יעדים ובקרות לארגון), נועד לטיפול בשרשרת האספקה למשק. הוא עלה באחרונה בהשקה שקטה לאוויר, ובעוד חודש הוא יושק פומבית. הפרויקט ארך שמונה חודשים. היקפו הכספי של הפרויקט לא נמסר לפרסום, אולם גורמים בשוק העריכפו אותו במיליוני שקלים בודדים. זאת, כיוון שהמערכת מתבססת על מוצר מדף, שעליה עמלו באופן פנימי אנשי ההגנה של מערך הסייבר – לפיתוח ולהתאמות. המערכת מבוססת על תורת ההגנה לארגונים במשק הישראלי, אותה פרסם המערך.

מתוך מערכת יוב"ל מסך של סיום שרשרת האספקה שמראה לארגון בצורה גרפית (פאי) את סטטוס הבקרות שלו

במקום לתקוף בנק – לפרוץ לספק צד ג' שלו

בראיון לאנשים ומחשבים אמר רפאל פרנקו, ראש מכלול עמידות במערך הסייבר הלאומי, כי "הרעיון המסדר של שרשרת האספקה, קובע שחלק ממתקפות מתקדמות מגיע ממנה. כלומר, במקום לתקוף בנק, קל יותר להגיע אליו דרך פריצה לחברה המספקת לבנק שירותים כלשהם, כגון שירותים סטטיסטיים, או יחסי ציבור, או שירותי IT. פריצה והשבתה של רשת מרכולים תהיה קלה יותר, על ידי פריצה לחברה המספקת לרשת שירותי מיזוג וקירור. בשרשרת האספקה מעורבים ספקים רבים שיש להן חומרה ותוכנה לא מאובטחות, ומפה נובע האיום: שרשרת האספקה הפכה להיות משטח תקיפה מועדף על ידי הרעים".

יובל שגב ממרכז תורה ברשות הלאומית להגנת סייבר. צילום: ניב קנטור

לדברי יובל שגב, רמ"ח תורה במערך, "שאלנו את עצמנו: איך לייצר מתודולוגיה להגנה על שרשרת האספקה במשק הישראלי. הבנו כי כל ארגון הוא ספק של מישהו אחר, כלומר המשק כולו מורכב משרשראות אספקה. רק מעטים, מאות, נמצאים בקצה השרשרת". שגב ציין כי "שאלנו עשרות אינטגרטורים של IT, והבנו את גודל הבעיה: כל אינטגרטור עורך בממוצע פעמיים בשבוע סקרי סיכונים, ויש לו מחלקה הנותנת מענה לרגולטורים. כלומר, כל היום הם עסוקים ב'לייצר' מה יש להם ברמת האבטחה. הלכנו ללקוחות הארגוניים ושאלנו אותם מה הם דורשים בהיבטי אבטחת מידע והגנת הסייבר".

על בסיס זה, אנשי המערך חילקו את הארגונים במשק לפי שלוש רמות אבטחת מידע שלהן הם נדרשים – מעשרות אלפי ארגוני SMB, ברמה הנמוכה – ועד הבנקים, חברות טלקום, בריאות, פיננסים, תשתיות קריטיות ותעשיה כבדה – ברמה הגבוהה.

פרנקו אמר כי גילינו שכל אחד מבין את האיומים בצורה אחרת. הבנו שטמונה פה הזדמנות כפולה: העלאת רמת האבטחה במשק, לצד התייעלות כלכלית. בעזרת המערכת שהקמנו, נבנה מערך אחיד ומסודר של שאלות ובקרות, ובמקביל, נייצר אמון במשק – בין ארגונים לספקים".

"אם האינטגרטור יעבור את מבדק הסייבר שהמדינה קבעה, הוא יקבל הסמכה שאותה הוא יוכל להראות ללקוחותיו. המערך עסוק באסדרת השוק, אבל המערכת לא עשתה זאת כרגולציה – אלא כמערכת אמון בין ארגונים וספקים, היוצרת 'על הדרך' חיסכון כלכלי. מאות ארגונים כבר הצטרפו להשקה הרכה", הסביר פרנקו.

מערכת יוב"ל: הצגה גרפית על פי משפחות (נושאים נבדקים) של סטטוס רמת ההגנה של הארגון.

מקצוע חדש נולד בסייבר

פרנקו ציין עוד כי "על מנת שרמת הבדיקה תהיה טובה ואחידה אנו ממליצים שהמבדק ייערך על ידי אנשי מקצוע חדש: בודק מוסמך לשרשרת האספקה בסייבר. התחלנו פיילוט עם מכון התקנים – ואנו מזמינים עוד חברות הנותנות הסמכות להצטרף למיזם. אנו מפרידים בין הבודק, שבודק ושולח את ממצאיו, ובין המאשר – מכון התקנים ומערך הסייבר, שינפקו את ההסמכה. כך, הארגון יעבור פעם אחת בלבד את הבדיקה, ויוכל להשתמש בתוצאותיה פעמים רבות".

עוד מודולים והכרה כתו תקן בינלאומי

בסוף הרבעון הראשון השנה יועלה למערכת יוב"ל מודול שני- לרמת האבטחה בארגון. בהמשך השנה יועלה מודול התעדה, במסגרתו ארגונים מאובטחים יקבלו חשיפה. מודול נוסף יעסוק בעזרים, דוגמת טופס ממוכן לקליטת עובד בארגון.

"אנו עובדים מול שני גופים לצורך הכרה כתו תקן בינלאומי, NIST, המכון הלאומי לתקנים וטכנולוגיה בארה"ב, וה-BSA, המשרד הפדרלי לטכנולוגית מידע בגרמניה. ישנן עוד מדינות המתעניינות בפרויקט", ציין פרנקו.

הוא סיכם ואמר כי "היינו הראשונים בעולם לטפל ברכיבי התהליך: ארגון-ספק-בודק-מסמיך. תקננו באופן התנדבותי את השירות. יצרנו אמון בין ארגונים לספקים, בנינו תשתית לחיסכון כלכלי. כולם יודעים איך לממש את הבקרות. מערך הסייבר מכויל למטרות ההגנה ברמה הלאומית. עד סוף 2019 יהיו במערכת יוב"ל כאלף ארגונים – או יותר".