יצירת קשר
Call
Call
Mail

בדיקת תאימות סייבר וביקורת אבטחת מידע לשרשרת אספקה ארגונית

ניהול הסיכונים של שרשרת האספקה הארגונית זוהה על ידי מערך הסייבר הלאומי כאחד הנושאים הקריטיים לחוסן הארגוני מפני תקיפות סייבר.  סקר הספקים לבחינת אבטחת שרשרת האספקה הארגונית, כוללת מפרט בקרות סדור, שמטרתו לבחון את חוסן שרשרת האספקה מפני תקיפות סייבר.

 

סיכוני סייבר בשרשרת האספקה

ארגונים משקיעים משאבים רבים בהגנה מפני מתקפות סייבר באמצעות מערכות אבטחת מידע שונות דוגמת EDR, FW, IPS, DLP ועוד מגוון רחב של כלי הגנה. בנוסף לכך, ארגונים רבים פועלים להעלאת מודעות עובדים לסיכוני סייבר כדי לצמצם סיכונים להתרחשות אירוע סייבר.

אך כאשר התוקף נכנס לרשת הארגון דרך נתיב חוקי שמאפשר גישה לרשת, מערכות הגנת הסייבר השונות עשויות להיכשל בהתמודדות עם תקיפת סייבר. לדוגמה, תוקף שירצה להיכנס לרשת של ארגון גדול ומוגן יעשה זאת באמצעות פריצה לאחד מספקי הארגון ודרכו יכנס בצורה “חוקית” לתוך הרשת – פריצה לספק שירותי תמיכת ה- IT של הארגון תאפשר לתוקף להיכנס באותה הדרך בה הספק נכנס לתוך הארגון, עם אותן ההרשאות.
לפיכך, ישנה חשיבות רבה להליכי ביקורת סדורים לרמת אבטחת המידע של ספקי הארגון ובפרט ספקים להם מאופשר חיבור ישיר לרשת הארגונית ולמערכות המידע.

מטבע הדברים, ארגון גדול המקבל שירותים ממספר רב של ספקים, מטייב את מערכות הגנת הסייבר באופן שוטף, מאידך הספקים של אותו ארגון עשויים להשתייך לסקטור העסקים הקטנים והבינוניים, בו רמת המודעות לסיכוני סייבר נמוכה יותר וכתוצאה מכך, עשוי להוות נקודת חולשה משמעותית בהגנת הסייבר הארגונית.

 

לייעוץ בודק מוסמך בנושא בדיקת תאימות
וביקורת אבטחת מידע לשרשרת האספקה הארגונית צרו קשר

 

ביקורת תאימות שרשרת האספקה

נושא תאימות שרשרת האספקה זוהה על ידי מערך הסייבר הלאומי כנושא קריטי לחוסן המשק, אשר דורש טיפול מקיף על ידי העלאת רמת אבטחת המידע בקרב ספקים וקבלני משנה בארגונים בכלל, ובפרט בקרב ספקים מהותיים.
ספק מהותי הינו ספק שפגיעה או חדירה למערכותיו יכולה להשבית, להפריע או לגרום נזק לארגון,  אם באופן ישיר, באמצעות ניצול חדירה לספק כנקודת הכניסה של התוקף לארגון, ואם על ידי פגיעה במערכות של הספק אשר יובילו לפגיעה בפעילות השוטפת או הפרעה לשירות שהוא מספק לארגון.

ספקים רבים אינם דואגים לרמת אבטחה העומדת בסטנדרטים, ובכך מסכנים את כלל החברות שמקבלות מהם שירותים. שרשרת האספקה של הארגון יכולה לשמש כחוליה החלשה בשרשרת אבטחת המידע של הארגון. פריצה לרשת של הספק תוביל לפריצה לארגון אשר מיישם אצלו מערכות להגנה מפני תקיפות סייבר אך אינו בודק את רמת האבטחה אצל ספקיו.

מערך הסייבר יצר תהליך מתודולוגי של סקר ספקים, המאפשר לארגונים לבדוק ולבקר את רמת אבטחת המידע של ספקיו. תהליך האסדרה כולל מתן תעודה לספק מהותי שעבר ביקורת אבטחת מידע, על סמך המתודולוגיה של המערך.

סקר הספקים כוללת סט בקרות סדור כאמצעי לאומי לבחינת אבטחת שרשרת האספקה בפני תקיפות סייבר. המתודה מכוונת ספקים לרמת אבטחה גבוהה. ספק אשר מעוניין לקבל תעודת הסמכה נדרש לעמוד בסטנדרט גבוה של אבטחת מידע.

סט הבקרות לבחינת אבטחת שרשרת האספקה מחולקת לנושאים הבאים:

  • ממשל תאגידי, מדיניות ונהלים
  • משאבי אנוש, אבטחה פיזית
  • הגנה על מידע בתנועה / במנוחה
  • מניעת דלף מידע, בקרת גישה
  • הגנה על עמדות קצה ושרתים, הגנה היקפית
  • ניטור ובקרה, גיבויים ושחזורים
  • ניהול אירועי סייבר
  • גישה מרוחקת ושירותי ענן
  • פיתוח מאובטח

 

אישור והתעדת ספק לעמידה במתודת שרשרת האספקה

לכל אחד מהנושאים סט בקרות שעל הספק לעמוד בהן ברמה מסוימת. עמידה בכל הבקרות תאפשר הגשה של ספק להתעדה. הגשה של ספק להתעדה יכולה להתבצע רק באמצעות בודק שעבר הכשרה בקורס לבדיקת ספקים על פי מתודת שרשרת האספקה של מערך הסייבר הלאומי וסיים בהצלחה את הקורס. מכון התקנים נבחר על ידי מערך הסייבר הלאומי לביצוע ההתעדה ואישור ספקים לעמידה בדרישות. לאחר ביצוע הביקורת על ידי הבודק המוסמך מטעמנו, מוגשים באמצעותנו הטפסים והמסמכים הנדרשים על ידי מכון התקנים ומערך הסייבר לצורך התנעת תהליך האישור.

 

בין לקוחותינו

רכבת ישראל
AIG LOGO
משרד התחבורה
3M
מחלקת חקירות ומודיעין ברשות ניירות ערך
סופר פארם
בזק בינלאומי
חישתיל
שופרסל
זרעים גדרה
מרכז השלטון המקומי
AON
attenti logo
E&Y
Hertz logo
Cannbit Ltd
איסכור
מנורה חברה לביטוח
סטימצקי
Migda מגדל חברה לביטוח
אפקון
אוניברסיטת תל אביב
sweetwood capital
polypid
KIMAIA
הרצוג פוקס נאמן
grant thornton
הרשות להגנת הפרטיות
Microsoft digital crimes unit
משרד המשפטים

יצירת קשר

כתובתנו: אפעל 6, פתח תקוה
טלפון: 03-6259898