מערך הסייבר הלאומי: מכרז עם שלב מיון מוקדם לשירותי ניתוח משטח תקיפה והערכת סיכונים

הגוף המפרסם: משרד ראש הממשלה/מערך הסייבר הלאומי

נושא המכרז: מכרז “תכלית” – מכרז עם שלב מיון מוקדם לשירותי ניתוח משטח תקיפה והערכת סיכונים

מס’ המכרז: 1-9.2022

תאריך פרסום: 19 בספטמבר 2022

מועד אחרון: 15 בנובמבר 2022

הערות: בראש המכרז מופיעה הכתובת: “מכרז תוכן זה מכיל חומר רגיש. אין להעביר את המכרז או מסמכיו או חלקים ממנו לגורמים אחרים ללא אישור מראש ובכתב מאת מערך הסייבר הלאומי“.

נוסח המכרז מציין כי מערך הסייבר הלאומי הוא גוף ממלכתי וטכנולוגי, האמון על הגנת מרחב הסייבר הלאומי של ישראל. המערך פועל ברמת המדינה לחיזוק תמידי של רמת ההגנה בסייבר של הארגונים והאזרחים, לטיפול בתקיפות סייבר ולסילוקן ולהיערכות לחירום.

מערך הסייבר הלאומי מעוניין לרכוש שירות בתצורת ענן (Software as a Service, SaaS) לטובת ניתוח משטח תקיפה והערכת סיכונים עבור נכסים החשופים לאינטרנט (Internet-facing assets) המוכר גם כשילוב של התחומים הבאים: External Attack Surface Management ו- Cybersecurity Risk Rating Platform.

השירות המנוהל יאפשר איסוף, ניתוח וניהול סיכוני סייבר בתחום הנ”ל בהתאם. השירות מבוסס על מערכת, שתשמש את מערך הסייבר הלאומי יחד עם מקורות נוספים של המערך במסגרת ביצוע משימותיו.

במסגרת משימותיו, יאפשר השירות למערך הסייבר הלאומי, לגבש ולשקף לארגונים תמונת מצב בסיסית לגבי סיכוני הסייבר שלהם, בהתבסס על נתוני משטח התקיפה החיצוני והערכת סיכונים המבוססת על מקורות ונתונים שונים כולל העשרת מידע, עיבוד והמלצות לפעולה. בנוסף, תשקף תמונת המצב את רמת החוסן של ארגון ביחס לארגונים אחרים באותו מגזר.

המערך מעוניין בשירות על בסיס יכולות סריקה חיצונית עם העשרה של נתונים ממגוון מקורות מידע פתוחים ומקורות נוספים. המערכת תעבד ותארגן את המידע שנאסף על ידה, תבצע הערכת סיכונים ע”ב מודלים מובילים בתעשייה ותספק המלצות לתיקון ושיפור ההגנה.

המערכת והמידע שיתקבל באמצעותה, ישמשו את מערך הסייבר הלאומי, יחד עם מקורות מידע נוספים של המערך, במענה לשיפור ההגנה בסייבר בתחומים שונים הכוללים בין השאר הגנת נכסים דיגיטליים (Digital Risk Protection), הגנה על נכסי המותג של ארגון (Brand Protection) ומודיעין משטח תקיפה (Attack Surface Intelligence). זאת, בהתאם לצרכי המערך ולצורך מילוי תפקידיו.

מסמכי המכרז מחולקים לשני שלבים, כאשר כל שלב מורכב ממספר פרקים.

השירות המוצע נדרש לתמוך בתהליכים הבאים (לכל הפחות):

+ בהיבטי איסוף וארגון מידע: סריקה חיצונית של נכסים דיגיטליים החשופים לרשת האינטרנט, המשוייכים לארגון מסויים; מיפוי הנכסים הדיגיטליים, דגמי המוצרים וגרסאות התוכנה (כולל טלאים) המותקנות עליהם; מיפוי של הפגיעויות/החולשות הידועות לאותם נכסים דיגיטליים ומוצרי תוכנה שנמצאו במסגרת מיפוי הנכסים הדיגיטליים; מיפוי של חולשות למקרי ניצול (exploits) ידועים ולמודיעין סייבר על כלים, קבוצות תקיפה וכו’ שנמצא כי עשו בו שימוש בעבר; ניתוח סיכון לארגון וניהול הערכה והמלצה לדרכי התמודדות עם פגיעויות/חולשות;

+ בהיבטי עיבוד והפצת מידע: יכולת לחשב דירוג/ רמת סיכון ברמות התייחסות ארגוניות (ארגון, מגזר,  מדינה) וטכנולוגיות שונות והמלצות להתמודדות; ייבוא מידע באמצעות קבצים ו- API; ייצוא כלל המידע באמצעות קבצים, דו”חות ו- API.

* תקופת ההתקשרות היא לשלוש שנים; למערך זכות ברירה להרחיב ו/או להאריך את תקופת ההתקשרות לתקופות נוספות שלא יעלו על שלוש שנים נוספות ובסך הכל – עד שש שנים מיום חתימת ההסכם.