בלעדי לכלכליסט
ספקים של משרדי ממשלה יחויבו בהגנת סייבר מחמירה
על מנת לשפר את בטיחות מערכות גופי הממשלה, גיבש מערך הסייבר תקנות מחייבות להגנת סייבר של ספקי השירותים שלהם. מדובר בספקים שאופי השירות שלהם הוא מוקד משיכה להאקרים, כמו בתי דפוס שמדפיסים צ'קים
תוכנית חדשה של מערך הסייבר תחייב ספקי שירות של גופי ממשל ותשתית חיונית לעמוד בתקנות הגנת סייבר, כך נודע ל"כלכליסט".
- אותרה פרצת אבטחה בתוכנת צ'ק פוינט, שאיפשרה להאקרים להרחיב מתקפות
- פרצת אבטחה חמורה בעשרות גופים במשק לא תוקנה למרות התרעת מערך הסייבר
- דוח מפת האיומים של פורטינט חושף: פושעי הסייבר משתמשים בטכניקות התחמקות ומניעת ניתוח פעולותיהם כדי להימנע מגילוי
התוכנית תיצור תקן אחיד להגנת סייבר בקרב נותני שירות, שמיועד לשימוש גם במגזר הפרטי, במטרה לשפר את אבטחת מערכות המחשוב לכל אורך שרשרת האספקה. עלות הבדיקה וההסמכה של ספקי שירותים חיוניים מוערכת באלפי שקלים.
אבטחת סייבר צילום: pixabay
כיום, גופים כמו משרדי ממשלה, חברות ממשלתיות ומפעילים של תשתיות חיוניות כפופים לתקנים ונהלים של מערך הסייבר בכל הנוגע לאבטחת מערכותיהם. ואולם, במציאות אין כמעט גוף שמפעיל את כל המערכות שלו בעצמו ורבים מהם מקבלים שירותים מגופים שונים שלא נמצאים תחת אחריות ישירה של מערך הסייבר הזה. כתוצאה, גם מערכות מאובטחות ביותר יכולות להיות חשופות לפרצות או לדליפות מידע.
"אנחנו רואים היום יותר ויותר יריבים שעושים שימוש בנותני שירותים כדי להגיע לנכסים הממשיים בארגונים", אמר ל"כלכליסט" ראש חטיבת העמידות במערך הסייבר רפאל פרנקו. "אם פעם הדרך היתה לתקוף ארגון באופן ישיר, רואים היום יותר מיקוד בנותני שירותים, כי קשה לתקוף באופן ישיר ארגונים".
התקן מיועד לספקים שאופי השירות שהם מעניקים הוא מוקד משיכה להאקרים, כמו בתי דפוס שמדפיסים צ'קים עבור בנקים, חברות שמעניקות שירות הפצת דוא"ל, מפתחי אפליקציות ואתרים, שירותי אחסון מידע או יצרני רכיבים למערכות תעשייה. להערכת מערך הסייבר, קיימים בישראל אלפי בתי עסק שעונים להגדרה הזו.
רפאל פרנקו, ראש חטיבת העמידות במערך הסייבר. "היום תוקפים נותני שירותים" צילום: עודד קרני
התקן גובש בשיתוף פעולה עם ספקי השירות שלהם הוא מיועד. "ישבנו עם נותני שירותים כי רצינו לראות מה המצב הקיים, האם יש כשל שוק", הסביר פרנקו. "הגענו לספקים שאמרו שכל הלקוחות שלהם מבקשים משהו שמטיל עליהם נטל כבד. למשל, ספק שאמר, 'אני עובד עם עשרות לקוחות גדולים, וכל אחד מבקש הצהרה או בדיקה של הסייבר בארגון. צוות שלם מטפל בדרישות הלקוחות וזה מטיל נטל כלכלי כבד".
על סמך שיחות אלו, גיבש מערך הסייבר תקן אחיד שמאפיין את כל דרישות הגנת הסייבר של ספקי שירותים. התקן ייושם בכמה שלבים. בשלב הראשון, יחויבו לעמוד בו ספקים של גופי ממשל וגופים קריטיים כמו בתי חולים שפעילותם חיונית להבטחת רציפות שירותים לאזרחים. בהמשך תורחב המחויבות גם לספקים של גופים פיננסיים, גופי תחבורה ועוד.
כחלק מהתוכנית, כל גוף יבצע בדיקה של שרשרת האספקה שלו במטרה לזהות את הספקים שנדרשים לעמוד בתקן. שיטת הבדיקה מאפשרת לאפיין ספקים לפי אופי השירות ומידת הרגישות. "עד כה, כל גוף היה צריך לבדוק את שרשרת האספקה שלו בעצמו", הסביר שחר נבו, ראש אגף אסדרה במערך הסייבר. "כעת יהיה סטנדרט אחיד שיוביל את הגנת הסייבר של המשק".
בשלב הבא, יושק מחשבון סייבר שיאפשר לספקים שמעוניינים בכך לבצע בדיקה וולונטרית של הגנות הסייבר שלהם בהתאם לתקן, ולקבל ממערך הסייבר אישור שהם עומדים בו. שמות הספקים גם יפורסמו באתר המערך. אישור זה, סבור פרנקו, ייתר את הצורך המכביד לבצע בדיקת סייבר ייחודית עבור כל לקוח חדש.
