מתפרסם מאז שנת 1999
מערך הסייבר הלאומי הודיע שתוכנית חדשה שלו מאחדת את תקנות הגנת סייבר בקרב ספקי שירותים לגופי מימשל ותשתית
מערך הסייבר הלאומי הודיע (22.12.2019) שתוכנית חדשה שלו מאחדת את תקנות הגנת סייבר בקרב ספקי שירותים לגופי מימשל ותשתית. התוכנית תטמיע, לראשונה, סטנדרטים חדשים בהגנת סייבר לספקי שירותים מהותיים של גופים מימשל, תשתית ופיננסים ותקבע תקן ישראלי לנושא.
בהודעה לעיתונות שפירסם מערך הסייבר הלאומי (במשרד ראש הממשלה) נאמר כי “ספקי שרשרת אספקה הפכו בשנים האחרונות דרך מועדפת על האקרים לעקוף הגנות של ארגונים גדולים ולבצע דרכם מתקפות סייבר. דו”ח של OTA מצא כי ב- 2018 מספר המתקפות על חברות שעוסקות בשרשרת אספקה עלה בשיעור של 78%, ברובם ספקים גדולים במגזר הפיננסי, התעשייה והקמעונאות.
“ואולם, בדיקה של מערך הסייבר העלתה כי בישראל משתמשים ארגונים שונים בשיטות שונות ולא אחידות המקשות הן על הארגון והן על הספק.
“כחלק מהתוכנית החדשה, השלים מכלול עמידות במערך הסייבר הלאומי כתיבת מתודה מקיפה, ייחודית ומתקדמת לדרישות הגנת סייבר מספקים קריטיים בשרשרת האספקה, שניתנת להתאמה לאופי ולצרכי העבודה של גופים ומגזרים שונים. מדובר בספקים שאופי הממשק והשירות שאותו הם מעניקים לגופים אחרים מהווה סיכון גבוה לכך שהאקרים ינסו באמצעותם לחדור או לשבש פעילות משמעותית באותם גופים.
“דוגמאות לספקים מהותיים כאלו הן בתי דפוס שמדפיסים צ’קים עבור בנקים, חברות המעניקות שירות תפוצת דוא”ל, מפתחי אפליקציות ואתרים, שירותי אחסון מידע, יצרני רכיבים למערכות תעשייה ועוד. ההערכה היא כי קיימים בישראל אלפי בתי עסק שעונים להגדרה זו.
“באחרונה הוציאה היחידה להגנת סייבר בממשלה (יה”ב) הנחייה לגופי ממשל המחייבת ספקים של שרשרת אספקה להנפיק אישור על עמידתם בסטנדרטים אחידים שקבע מערך הסייבר הלאומי. במסגרת ההנחיה יבצע כל משרד ממשלתי מיפוי ספקים החיוניים לשירות לציבור ואשר תלויים במערכות מחשוב, שיידרשו לעמוד בסטנדרטים כדי שרציפות השירותים לאזרחים לא ייפגעו.
“כדי לבצע את בדיקות העמידה בתקן, הכשיר ואישר מערך הסייבר הלאומי באמצעות מכון התקנים בשנה האחרונה, כ- 50 בודקי תאימות לשרשרת אספקה ובשנים הקרובות יוסמכו עוד כ- 150 מוסמכים. הבודקים, מומחי סייבר עם ניסיון, שפרטיהם מופיע באתר מערך הסייבר הלאומי, הוסמכו לבדוק את עמידת הספק בסטנדרטים של שרשרת אספקה על פי המתודה של המערך. עומק והיקף הבדיקה משתנה בהתאם לדרגות וקטגוריות שונות בהם גישה מרחוק, דרישות רוחביות, אחסון בענן ופיתוח תוכנה מאובטח, בהתאם לאופי העבודה והשירות. בסיום הבדיקה יגיש הבודק/ת את הדו”ח לאישור רשמי של מכון התקנים ולאחר אשרור ותיקוף במכון, יקבל הספק תעודה כספק מוסמך. כוחה של התעודה תקף לכל הגופים שעימם עובד הספק.
“שיטת הבדיקה של גופי שרשרת אספקה פותחה במערך הסייבר הלאומי לאחר בחינת עומק של המצב במשק והמתודות והתקנים הקיימים בעולם ונחשבת חדשנית. הבדיקה מכילה סט של 20 עד 90 בקרות בעברית שבודקות את הגנות הסייבר שהוטמעו בגוף כספק. השאלון מחולק לפי קטגוריות וחלוקה לסוגי ספקים שונים ולאופי השירות ומידת הרגישות שלו. היתרון של המתודה על פני תקנים בין-לאומיים כגון ISO היא שהיא כתובה בעברית, מותאמת לצרכים הישראליים, ניתנת לחלוקה לקטגוריות בהתאם לאופי השירות.
לדברי שחר נבו ראש אגף אסדרה במערך הסייבר הלאומי, “במצב הקיים עד כה, כל גוף היה צריך לבדוק את ספקי שרשרת האספקה שלו בעצמו ולפתח מערך בדיקות משלו. כעת יהיה סטנדרט אחיד שיוביל את הגנת הסייבר של המשק. השיטה ממצבת את ישראל כמובילה וחדשנית גם בתחום זה וכן מקשיחה את רמת הגנת הסייבר של המשק כולו”.
בשלב הבא של התוכנית וכהכנה לבדיקה, יפרסם המערך באתר שלו “מחשבון סייבר” שיאפשר לכל גוף להכניס פרמטרים ולקבל תמונת מצב שחשופה רק לו, על עמידתו בסטנדרטים להגנת סייבר ופעולות נדרשות.