ב-2024 דווחו בישראל כ-17,000 אירועי סייבר - עלייה של 24% לעומת השנה הקודמת. חלק ניכר מהתקיפות הגיעו דרך הדלת האחורית: ספקים וקבלני משנה. ארגונים רבים משקיעים מיליונים באבטחה פנימית, אבל שוכחים שהספק הקטן שמגיע למפעל פעם בשבוע הוא בדיוק נקודת הכניסה שתוקף מחפש.

הנה חמישה סימני אזהרה שכל מנהל ביטחון, רכש או פרויקט צריך לזהות - לפני שיהיה מאוחר מדי.

סימן 1: אין ממונה ביטחון מידע מוגדר

כשאתם שואלים את הספק "מי אחראי אצלכם על אבטחת מידע?" והתשובה היא "אה, איש ה-IT שלנו מטפל בזה" - זו נורה אדומה. ספק שלא מינה ממונה ביטחון מידע ייעודי (גם אם בחלקיות משרה) כנראה לא מנהל סיכונים באופן שיטתי. ב-44 הבקרות של מתודולוגיית "רב מגן", מינוי ממונה הוא אחת הדרישות הבסיסיות ביותר.

מה לעשות: בקשו לדעת מי הגורם האחראי על אבטחת מידע, מה ההסמכות שלו, ולמי הוא מדווח בארגון. אם אין תשובה ברורה - זו נקודת פתיחה לשיחה רצינית.

סימן 2: הספק לא מסוגל להציג מסמך מדיניות אבטחה

ארגון שלוקח אבטחת מידע ברצינות מתעד את זה. אם הספק לא יכול להציג מסמך מדיניות אבטחת מידע, תפיסת אבטחה, או לפחות נהלי עבודה בסיסיים - סביר להניח שהנושא מטופל "לפי הרגשה" ולא לפי תכנית.

מה לעשות: בקשו לראות את מסמך מדיניות אבטחת המידע. אם אין - זה לא סוף העולם, אבל זה אומר שצריך לבנות אחד. העלות והמאמץ נמוכים יחסית, אבל ההשפעה על רמת ההגנה משמעותית.

סימן 3: אין בקרת גישה פיזית או לוגית למידע רגיש

כשכל עובד בחברת הספק יכול לגשת לכל תיקייה, לכל שרת, ולכל מסמך - זו בעיה. תקיפת שרשרת אספקה קלאסית מתחילה בגניבת הרשאות של עובד זוטר אצל הספק ומשם מתקדמת למידע הרגיש של הלקוח.

מה לעשות: בדקו האם הספק מיישם עקרון "הרשאה מינימלית" (Least Privilege). שאלו איך מנוהלות הרשאות הגישה, האם יש הפרדת רשתות, והאם יש רישום גישה למערכות המכילות מידע של הלקוח.

סימן 4: לא בוצע סקר ביטחון או מבדק חדירה בשנתיים האחרונות

עולם האיומים משתנה כל הזמן. ספק שלא ביצע סקר ביטחון או מבדק חדירה לפחות פעם בשנתיים בעצם אומר: "אנחנו מקווים שהכל בסדר". בסביבה שבה ישראל נמנית עם שלוש המדינות המותקפות ביותר בעולם, תקווה אינה תחליף להערכה שיטתית של סיכונים.

מה לעשות: בקשו לראות ממצאים מסקר ביטחון אחרון או אישור על ביצוע מבדק חדירה. אם לא בוצע - זה הזדמנות לשיפור, לא רק ביקורת

  • שקלו ביצוע סקר ביטחון מקיף לספק - כולל סקר פיזי, הערכת פערים ותוכנית עבודה
  • הגדירו דרישות אבטחה מינימליות בחוזי ההתקשרות עם ספקים (נספח ביטחון, NDA, דרישות ציות)

    • ניהול ביטחון שרשרת האספקה הוא לא פרויקט חד-פעמי - זה תהליך מתמשך. אבל הצעד הראשון הוא תמיד הכי חשוב: לדעת איפה אתם עומדים.

    מקורות

    1. NIST SP 800-161 Rev. 1 - Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations, csrc.nist.gov
    2. Israel National Cyber Directorate - National Cyber Security Strategy 2025, gov.il
    3. ENISA - Threat Landscape for Supply Chain Attacks, enisa.europa.eu
    4. ISO/IEC 27036 - Information Security for Supplier Relationships, iso.org

    רוצים לבדוק את הספקים שלכם?

    אנו מבצעים סקרי ביטחון 360° לספקים בתעשייה הביטחונית - מסקר סיכונים מקדים ועד דו"ח ממצאים עם תוכנית עבודה.

    דברו איתנו