ריכזנו עבורכם תשובות מקצועיות לשאלות הנפוצות ביותר בתחום הביטחון הטכנולוגי ושרשרת האספקה. לחצו על שאלה כדי לקרוא את התשובה.
ביטחון שרשרת אספקה הוא מכלול התהליכים, הבקרות והמדיניות שנועדו להגן על ארגון מפני סיכוני אבטחה הנובעים מספקים וקבלני משנה. בעולם המקושר של היום, לא ניתן להסתפק בהגנה על גבולות הארגון בלבד — הספק הקטן שלכם עלול להפוך לדלת האחורית שדרכה תוקפים חודרים.
דוגמה בולטת: תקיפת SolarWinds ב-2020, שבה פריצה לספק תוכנה אחד הובילה לחדירה למערכות של אלפי ארגונים ברחבי העולם.
אבטחת מידע (Information Security) מתמקדת בהגנה על המידע עצמו — סיווג, הצפנה, בקרת גישה ושיתוף מאובטח. ביטחון טכנולוגי (Technology Security) רחב יותר וכולל את ההגנה על כל התשתית שמעבדת את המידע: חומרה, קושחה (firmware), תוכנה, רשתות ואבטחה פיזית.
לדוגמה: אבטחת מידע דואגת שהקובץ יהיה מוצפן; ביטחון טכנולוגי דואג שהשרת שמאחסן את הקובץ לא הגיע עם רכיב מזויף משרשרת האספקה.
לספקים קטנים יש בדרך כלל משאבי אבטחה מוגבלים — תקציב קטן, מעט אנשי מקצוע, ותוכניות אבטחה פחות מפותחות. הם לעיתים קטנים מדי כדי להיחשב ליעד, אבל ברגע שהם משרתים לקוח גדול, הם הופכים לנקודת כניסה אטרקטיבית.
מנקודת מבט של תוקף: הרבה יותר קל לפרוץ לשרת של ספק קטן מאשר לחדור ישירות למערכות הלקוח הגדול. משם נדרשים רק אישורי גישה תקפים של הספק כדי לעבור למערכות הלקוח.
לפי דוח IBM לשנת 2024, העלות הממוצעת של פריצת נתונים בעולם עומדת על כ-4.88 מיליון דולר. תקיפות שרשרת אספקה נוטות להיות יקרות אף יותר, משום שהן פוגעות במספר ארגונים בו-זמנית. העלויות כוללות: ירידה בהכנסות, חקירה פורנזית, הודעות לנפגעים, הליכים משפטיים ותהליכי שיקום ממושכים.
הסיכונים העיקריים מתחלקים למספר קטגוריות: (1) רכיבים מזויפים — רכיבי חומרה עם ביצועים ירודים או עם דלת אחורית מובנית, לרוב ממפיצים לא מורשים; (2) קושחה ותוכנה זדוניים — ספק שמטמיע קוד זדוני בעדכון תוכנה או קושחה; (3) פריצה לספק — הספק עצמו נפרץ והתוקף מנצל את ממשקי הגישה שלו כדי לחדור אליכם; (4) איומי פנים — עובד של הספק בעל גישה למידע רגיש שמדליף מידע לתוקפים; (5) מניפולציה על תהליכים — תוקפים שמשנים תהליכי רכש או שילוח כדי להחדיר רכיבים פגומים.
רב מגן הוא מתודולוגיית אבטחת מידע ישראלית הכוללת 44 בקרות אבטחה המאורגנות ב-14 תחומים. מדובר בתקן שנדרש על ידי גורמי הביטחון בישראל מספקים בתעשייה הביטחונית. רב מגן כולל דרישות כמו מינוי ממונה אבטחת מידע, ביצוע סקרי ביטחון תקופתיים, ניהול בקרת גישה ויישום פתרונות הגנת סייבר.
תהליך הסקר וההכנה לרב מגן נמשך בדרך כלל בין שבועיים לחודש, בהתאם לגודל הארגון, רמת הבשלות הביטחונית הנוכחית והיקף הדרישות. ארגון קטן עם בסיס אבטחתי טוב עשוי לסיים תוך שבועיים; ארגון גדול עם פעילויות מרובות או ספקי משנה רבים עשוי להזדקק לחודש או יותר.
בנוסף, שלבי הטיפול בממצאים מעבר לדוח עצמו עשויים להוסיף זמן נוסף.
רב מגן הוא תקן ישראלי ייעודי שנדרש על ידי מערכת הביטחון מספקים בתעשייה הביטחונית. ISO 27001 הוא תקן בינלאומי לניהול אבטחת מידע, הנדרש במגזרים שונים ברחבי העולם. רב מגן מחמיר יותר ומתמקד בביטחון טכנולוגי ופיזי; ISO 27001 כללי וגמיש יותר בהתאמתו.
אם אתם עובדים עם מערכת הביטחון בישראל — רב מגן. אם אתם פועלים בזירה הבינלאומית — ISO 27001. בדרך כלל ניתן לעמוד בשניהם, כי קיימת חפיפה ניכרת ביניהם.
סקר ביטחון 360° הוא הערכה מקיפה של הספק מכל הזוויות: (1) סקר מקדים — בחינת מדיניות, תהליכים ותיעוד קיים; (2) סקר פיזי — בדיקה של אתר הפעילות, תנאי אחסון, בקרת כניסה ואבטחה פיזית; (3) סקר טכני — בדיקת תשתיות IT, רשתות והגנת סייבר; (4) ראיונות — שיחות עם בעלי תפקידים רלוונטיים כדי להבין תהליכים ונהלים; (5) דוח ממצאים — מסמך מפורט עם ממצאים, דירוג סיכונים ותוכנית עבודה מתועדפת.
זה תלוי ברמת הסיכון, אך הנוהג המקובל הוא לבצע סקר ביטחון לפחות פעם בשנה. אם הספק ביצע שינויים מהותיים (הרחבה משמעותית, שינוי תשתיות, תהליך חדש), מומלץ לבצע סקר ביניים. אם התרחש אירוע אבטחה או פריצה, יש לבצע סקר דחוף לאחר הטיפול באירוע.
בתעשייה הביטחונית, סקר שנתי הוא המינימום; בתעשיות רגישות יותר, כמו פיננסים או בריאות, נדרשת תדירות גבוהה יותר.
CMMC (Cybersecurity Maturity Model Certification) הוא תקן אבטחת מידע שמשרד ההגנה האמריקאי (DoD) מחייב את קבלני המשנה שלו לעמוד בו. אם אתם ספק ישראלי שמוכר לצבא ארה"ב או עובד במסגרת תוכניות FMS (מכירות צבאיות זרות), ייתכן שתידרשו לעמוד ב-CMMC.
בנוסף, אם אתם חלק משרשרת אספקה של קבלן ביטחוני אמריקאי שמחויב ב-CMMC, גם אתם עשויים להיות מושפעים. קראו עוד במאמר המלא שלנו על CMMC.
CMMC Level 1 כולל 17 בקרות בסיסיות בתחומים כמו בקרת גישה, הצפנה וניהול תצורה. מדובר ברמה בסיסית הכוללת מדיניות וביצוע ראשוניים. CMMC Level 2 כולל 110 בקרות מפורטות עם דרישות תיעוד מקיפות, בהתאמה ישירה לתקן NIST 800-171.
Level 2 מחייב אימות על ידי גוף הערכה מוסמך (C3PAO). ברוב המקרים, ספקים של ה-DoD נדרשים לפחות ל-Level 2; Level 1 אינו מספיק עבור רוב החוזים.
זה תלוי בשאלה האם אתם מוכרים ישירות ל-DoD של ארה"ב או פועלים כקבלן משנה בחוזה של ה-DoD. אם כן — סביר שתידרשו ל-CMMC, לפחות Level 2. גם אם אתם עובדים במסגרת תוכנית FMS שבה הלקוח האמריקאי מחייב עמידה ב-CMMC, תידרשו לעמוד בתקן.
אם אתם עובדים רק מול מערכת הביטחון הישראלית ולא מול ה-DoD, אינכם חייבים ב-CMMC — אלא ברב מגן ובתקנים ישראליים רלוונטיים.
NIST SP 800-171 הוא תקן אבטחת מידע פדרלי אמריקאי להגנה על מידע מסווג ברמה נמוכה (CUI) במערכות שאינן פדרליות. CMMC Level 2 ממפה ישירות את 110 הבקרות שלו לדרישות NIST 800-171 Rev 2.
למעשה, CMMC Level 2 הוא הדרך הרשמית של משרד ההגנה לוודא שספקים עומדים בדרישות NIST 800-171. משמעות הדבר היא שאם אתם מתכוננים ל-CMMC Level 2, תוכלו להיעזר ב-NIST 800-171 כמסגרת ההכנה.
העלויות משתנות בהתאם לגודל הארגון ומצב האבטחה הנוכחי. סקר פערים (gap assessment) לזיהוי הפערים עולה בדרך כלל בין $10K ל-$50K. טיפול בפערים (gap remediation) — בניית בקרות ושינוי תהליכים — עולה $50K עד $300K ומעלה, בהתאם להיקף.
הערכה רשמית על ידי C3PAO (גוף הערכה מוסמך) עולה בדרך כלל $50K עד $120K. ככלל אצבע: עבור ספק בינוני עם בשלות אבטחתית סבירה, יש לתכנן תקציב של $100K עד $200K לכל התהליך.
ישנן מספר שיטות לזיהוי רכיבים מזויפים: (1) בדיקה ויזואלית — חיפוש סימני זיוף כמו חותמות לא אחידות, סימנים שאינם תואמים את המפרט המקורי ופגמים בשכבת הציפוי; (2) בדיקת רנטגן — הדמיה פנימית לחיפוש הבדלים במבנה הרכיב; (3) בדיקה חשמלית — מדידת ביצועים חשמליים לוודא שהרכיב פועל בהתאם למפרט; (4) אימות מסלול אספקה — רכישה ממפיצים מורשים בלבד, עם תיעוד ואימות בכל שלב בשרשרת.
הטמנת חומרה היא שינוי זדוני או תוספת סמויה שמבוצעים ברכיב חומרה, בין אם בשלב הייצור, האחסון או ההובלה. דוגמאות: (1) שבב מוסתר בלוח אם שמאפשר קריאת נתונים מרחוק; (2) מסלול חשמלי שנוסף ללוח ומשדר מידע כלפי חוץ; (3) קוד זדוני בקושחה של מכשיר רשת שמאפשר גישה לא מורשית.
הטמנות חומרה קשות לזיהוי מכיוון שהן עשויות להיות מיקרוסקופיות או מוסתרות בתוך הרכיבים עצמם. קראו עוד במאמר שלנו על הטמנות בחומרה.
כשמוחקים קובץ, מערכת ההפעלה רק מסמנת את המקום כפנוי בטבלת הקבצים — הנתונים עצמם נשארים פיזית על גבי שבבי ה-Flash או הדיסק הקשיח עד שנכתבים עליהם נתונים חדשים.
בנוסף, מנגנון ה-Wear Leveling במערכות SSD מפזר כתיבות על פני אזורים שונים כדי להאריך את חיי הכונן, כך שנתונים ישנים עלולים להישמר באזורים שאינם נגישים למשתמש. חוקר עם כלים מתקדמים יכול לחלץ נתונים אלו. קראו עוד במאמר שלנו על מחיקה מאובטחת.
קיימים מספר תקנים מקובלים: (1) NIST SP 800-88 — הנחיות למחיקת מדיה בשיטות לוגיות ופיזיות, התקן המוביל כיום; (2) DoD 5220.22-M — שיטה אמריקאית ותיקה הדורשת מספר מעברי כתיבה על הנתונים, נחשבת מיושנת כיום אך עדיין מוכרת; (3) Secure Erase (ATA/NVMe) — פקודה מובנית שמוחקת את כל תאי האחסון ב-SSD.
בתעשייה הביטחונית, הדרישה המינימלית היא עמידה בהנחיות NIST. למידע רגיש במיוחד, השמדה פיזית (גריסה, שריפה או ניפוץ) היא הדרך הבטוחה ביותר.
ההגנה על קושחה מבוססת על מספר שכבות: (1) Secure Boot — אימות חתימה דיגיטלית של קוד האתחול לפני הרצתו, כדי לוודא שקוד זדוני לא יופעל; (2) Firmware Signing — חתימה דיגיטלית של הקושחה על ידי היצרן, כך שכל שינוי לאחר החתימה ניתן לזיהוי; (3) אימות שרשרת אספקה — תיעוד מסלול השילוח עם אימות בכל שלב, כדי לוודא שהקושחה הגיעה מהיצרן המקורי; (4) עדכוני קושחה מוצפנים — הצפנת העדכונים במהלך השידור כדי למנוע יירוט ושיבוש.
אלו צעדים שהיצרן או הספק צריכים ליישם, ולא משהו שהלקוח מבצע בדרך כלל בעצמו.
אם לא מצאתם את התשובה שחיפשתם, הצוות המקצועי שלנו ישמח לענות על כל שאלה — בין אם מדובר בסקרי ביטחון, ניהול סיכונים או דרישות ציות.
דברו איתנו