ניהול סיכוני סייבר מצד שרשרת האספקה בתחום התקשוב

שרשרת אספקה היא מונח המתייחס לכלל המשאבים והתהליכים הקשורים בספקים, בלקוחות ובקבלני ביצוע, אשר דרושים לצורך אספקת מוצר או שירות בארגון. מתקפות סייבר המתבצעות באמצעות שרשרת האספקה מכוונות לפגוע באחד מספקי הארגון, מנצלות את האמון שהארגון נותן בספק שלו כדי לחדור באמצעותו אל הארגון.

בשנים האחרונות חל גידול ניכר במספר מתקפות הסייבר על ארגונים ועוצמתן גברה, וכיום מתקפות סייבר המתבצעות באמצעות שרשרת האספקה שלהם הן אחד האיומים החמורים ביותר הנשקפים לכלל המשק. כמה דוגמאות למתקפות אלו בשנים 2022-2020: בנובמבר 2020 - דלף מידע רגיש בהיקף של טרה-בייט על לקוחות של חברת ביטוח גדולה ובכלל זה מידע מאלפי תיקים של עובדי מדינה, עקב ניצול חולשה במערכות חברת הביטוח; באוקטובר 2021 - דלף מידע רגיש של מיליון פרופילים באתר היכרויות של הקהילייה הגאה עקב פגיעה בספק שנתן לאתר ההיכרויות ולאתרים אחרים שהתארחו אצלו שירותי אירוח ואחסון של אתרים.

משרדי ממשלה וגופים שהם תשתיות מדינה קריטיות (גופי תמ"ק) נדרשים להתמודד עם הסיכון הנובע משרשרת האספקה באמצעות הכללת דרישות בתחום הגנת הסייבר במסגרת הליכי המכרז וההתקשרות.

הפגיעה בספקים שנותנים שירותים למשרדי ממשלה רבים או לגופי תמ"ק עלולה להיות חמורה במיוחד, זאת משום שפגיעה בהם עלולה לפגוע ברציפות התפקודית של המשק או לגרום לדלף מידע רגיש במיוחד. מהדוח עולה כי למשרדי הממשלה יש 18 ספקים עיקריים בתחום התקשוב והסייבר - מתוכם חמישה ספקים נותנים שירות ליותר מ-49 משרדים ושלושה ספקים נותנים שירות בהיקף כספי שנתי של יותר מ-327 מיליוני ש"ח.

התרשים בקובץ הדוח

מערך הסייבר הלאומי (להלן גם - מערך הסייבר או המערך) זיהה את האיום של תקיפת סייבר באמצעות שרשרת האספקה והשיק בשנת 2018 מתודולוגיה ייעודית למשק בנושא (מתודולוגיית שרשרת האספקה), שמפורסמת באתר של מערך הסייבר כהמלצה למשק. כמו כן מערך הסייבר פרסם לגופי התמ"ק הנחיה ייעודית המבוססת על מתודולוגיה זו. יחידת הסייבר בממשלה (יה"ב), האחראית להכוונה ולהנחיה המקצועית בתחום הגנת הסייבר עבור כלל משרדי הממשלה ויחידות הסמך, פרסמה אף היא בנובמבר 2019 הנחיה ייעודית בנושא שרשרת האספקה, המבוססת על המתודולוגיה של מערך הסייבר. מתודולוגיית שרשרת האספקה עודכנה בדצמבר 2022, וההנחיות לגופי התמ"ק ולמשרדי הממשלה עודכנו בהתאם לכך במהלך שנת 2023.

התרשים בקובץ הדוח

נתוני המפתח שלהלן מבוססים על נתונים שנאספו במסגרת מענה של 44 משרדי ממשלה וגופי תמ"ק על שאלון שהפיץ משרד מבקר המדינה. 

בחודשים פברואר 2022 עד מאי 2023 בדק משרד מבקר המדינה את נושא ניהול סיכוני הסייבר מצד שרשרת האספקה בתחום התקשוב. הביקורת נעשתה במשרד ראש הממשלה - במערך הסייבר הלאומי ובאגף ביטחון, חירום וסייבר; במערך הדיגיטל הלאומי - ביה"ב וביחידת ממשל זמין; במשרד האוצר - במינהל הרכש ובאגף ביטחון, חירום וסייבר. בדיקות השלמה נעשו בכמה משרדי ממשלה ובגופי תמ"ק. בכלל הארגונים נבדק הנושא בנוגע לרשת הבלתי מסווגת.

במסגרת הביקורת הפיץ משרד מבקר המדינה בקרב 58 משרדי ממשלה וגופי תמ"ק שאלון הבודק כיצד הם מתמודדים עם הסיכון לביצוע מתקפות סייבר על שרשרת האספקה. שאלון זה התבסס, בין היתר, על נושאים ופערים שעלו בפגישות שקיים צוות הביקורת עם משרדים ועם גופי תמ"ק, ומטרתו הייתה להציג תמונת רוחב על אופן הטיפול של משרדי הממשלה ושל גופי התמ"ק בנושא מהותי זה. 44 משרדי ממשלה וגופי תמ"ק ענו על השאלון (31 משרדי ממשלה ו-13 גופי תמ"ק). 

רשימת משרדי הממשלה וגופי התמ"ק שהופץ אליהם השאלון (משרדי הממשלה וגופי התמ"ק שענו על השאלון מסומנים בהדגשה): גוף 1, מינהל התכנון, גוף 2, משרד האנרגייה והתשתיות, השירות המטאורולוגי הישראלי, גוף 5, הרבנות הראשית לישראל, משרד הבינוי והשיכון, המשרד לנושאים אסטרטגיים והסברה, משרד הרווחה והביטחון החברתי, רשות המים, הנהלת בתי המשפט, מינהל המחקר החקלאי, הרשות להגנת הצרכן ולסחר הוגן, רשות התחרות, גוף 11, נציבות שירות המדינה, גוף 15, גוף 50, גוף 16, גוף 51, המשרד לשוויון חברתי, לשכת הפרסום הממשלתית, משרד החקלאות ופיתוח הכפר, משרד התיירות, גוף 52, גוף 19, גוף 20, נתיב (רה"ם), גוף 21, משרד ראש הממשלה, משרד החדשנות המדע והטכנולוגיה, רשות האכיפה והגבייה, המשרד לביטחון לאומי, המכון הגיאולוגי, משרד הכלכלה והתעשייה, הרשות הארצית לכבאות והצלה, המשרד לשירותי דת, משרד העלייה והקליטה, משרד התחבורה והבטיחות בדרכים, משרד התרבות והספורט, משרד התקשורת, גוף 38, משרד הבריאות, גוף 53, גוף 39, המינהל לחינוך התיישבותי ועליית הנוער, משרד העבודה, המשרד להגנת הסביבה, גוף 54, הנהלת בתי הדין הרבניים, רשות מקרקעי ישראל, משרד הפנים, גוף 43, גוף 45, משרד החוץ, גוף 55, משרד המשפטים. 

דוח זה מתמקד בניהול הסיכונים מצד שרשרת האספקה של משרדי ממשלה, ושל גופי תמ"ק המחויבים לעמוד בהנחיות של יה"ב ושל מערך הסייבר בהתאמה, אשר במועד כתיבת הדוח היו מבוססות על גרסה 1.3 של מתודולוגיית שרשרת האספקה. במהלך הביקורת, בדצמבר 2022, עודכנה המתודולוגיה לגרסה 1.4, בין היתר כדי לתת מענה על חלק מהפערים שהוזכרו בדוח זה.

איום הייחוס לתקיפת סייבר באמצעות שרשרת האספקה הוא אחד האיומים המשמעותיים על ארגונים במשק. 86% מ-43 הארגונים שהשיבו על השאלון ציינו כי תקיפה באמצעות שרשרת האספקה היא איום ייחוס שלהם וכ-30% מהארגונים שהשיבו על השאלון דיווחו שחוו אירוע סייבר בשנתיים האחרונות (בשנים 2022-2021) שמקורו בשרשרת האספקה. האתגר בהתמודדות עם איום זה נובע מהעובדה שההגנה הנדרשת על הספק היא לכאורה מחוץ לתחום סמכותו של הארגון.

מדוח זה עולה כי יש ספקים שנותנים שירות לעשרות משרדי ממשלה וגופי תמ"ק ולכן פגיעה בהם עשויה לפגוע פגיעה נרחבת ברציפות התפקודית של הממשלה והמשק.

מערך הסייבר כגוף אסדרתי שאחראי לקדם את רמת הגנת הסייבר במשק גיבש בשנת 2018 מתודולוגיה לניהול האיום הנשקף משרשרת האספקה. ממצאי דוח זה, אשר ביסודו עומדת בחינה של יישום המתודולוגיה של מערך הסייבר במשרדי ממשלה, ביחידות הסמך, בגופי תמ"ק וביחידות הסייבר המגזריות, מעידים על כמה פערים הנוגעים לנושא, כמפורט להלן:

1. 1. כשש שנים לאחר שמערך הסייבר גיבש את המתודולוגיה בנושא שרשרת האספקה היא לא מוטמעת במשק, ויש ארגונים שטוענים שאי אפשר ליישמה. נמצא כי 55% ממשרדי הממשלה וגופי תמ"ק שהשיבו על השאלון אינם עובדים לפי מתודולוגיית שרשרת האספקה, ונוכח זאת חלק גדול מהספקים של הארגונים אינם נבדקים בצורה אחודה ובהתאם לבקרות שהגדיר מערך הסייבר.
   
   
2. 2. נמצאו פערים משמעותיים ביישום המתודולוגיה שלא ניתן להם מענה על ידי מערך הסייבר, כמו חוסר יכולת ליישם את הדרישות מול ספקים בין-לאומיים, עלויות גבוהות של התעדה ותהליך התעדה ארוך שאינו בהלימה לצרכים העסקיים של הארגונים.
   
   
3. 3. מהדוח עולה כי למשרדי הממשלה יש 18 ספקים עיקריים בתחום התקשוב והסייבר שנותנים שירותים לארגונים רבים - מתוכם חמישה ספקים נותנים שירות ליותר מ-49 משרדים, ושלושה ספקים נותנים שירות בהיקף כספי שנתי של יותר מ-327 מיליוני ש"ח. ספקים אלו אינם מותעדים, ועל חלקם לא מתבצעות בקרות בתחום שרשרת האספקה - דבר שמסכן את הארגונים שהם נותנים להם שירות. כמו כן הגופים האסדרתיים בתחום הסייבר אינם פועלים למיפוי ספקים אלו ולקידום ההתעדה שלהם.
   
   
4. 4. מינהל הרכש אינו מונחה על ידי שום גוף אסדרתי בתחום הסייבר. כמו כן, במכרזים המרכזיים אין דרישה של מינהל הרכש מהספקים שעימם הוא מתקשר ליישם את מתודולוגיית שרשרת האספקה ודרישות אבטחה נוספות שגופי האסדרה דורשים מהמשרדים, אף שהיקף הכספי של התקשרויות אלו הוא בממוצע כ-57% מכלל ההתקשרויות של המשרדים בתחום התקשוב והסייבר. נוסף על כך, שום גורם אינו מבצע ביקורות על רמת הגנת הסייבר של הספקים שזכו במכרזים מרכזיים. 
   
   
5. 5. הממונה על הגנת הסייבר במשרדי הממשלה ובגופי התמ"ק אינו מעורב בתהליכי הרכש בתחום התקשוב והסייבר בארגון ובכלל זה אינו מעורב בתהליך סיום ההתקשרות עם הספק כדי לוודא שהספק ממלא את חובותיו בנושא סיום ההתקשרות (מחיקת המידע, החזרת האמצעים, ניתוק גישה מרחוק ועוד).
   
   
6. 6. משרדים וגופי תמ"ק דיווחו שחוו אירוע סייבר בשנתיים האחרונות (בשנים 2021 - 2022) שמקורו בשרשרת האספקה, ואולם הם לא קיבלו עדכון על כך מהספק עצמו אלא מגורמים אחרים (כגון מערך הסייבר או אמצעי תקשורת). כמו כן, מינהל הרכש אינו מחייב את הספקים שזכו במכרזים מרכזיים לדווח על אירועי סייבר גם למערך הסייבר.
   
   
7. 7. הגופים האסדרתיים בתחום הסייבר (מערך הסייבר, יה"ב, שב"כ, מלמ"ב, הרשות להגנת הפרטיות, יחידות הסייבר המגזריות) ומינהל הרכש מתווים מתודולוגיות שונות בתחום שרשרת האספקה ולא מתבצע תכלול של הדרישות, ועקב כך נוצר נטל רגולטורי על הארגונים והספקים.

מכלול הפערים האמורים מחייבים הערכת מצב לגבי המענה המתודולוגי הקיים ודרך מימושו, שכן ממצאיו מלמדים כי נשקף סיכון ממשי לגופי תמ"ק, למשרדי ממשלה ולמגזרים מצד שרשרת האספקה בתחום התקשוב. על מערך הסייבר והגופים האסדרתיים בתחום הסייבר ומינהל הרכש לפעול לקיום הערכת מצב זו. בד בבד על כלל משרדי הממשלה וגופי התמ"ק שנבדקו לפעול, כל אחד על פי תחום אחריותו, לתיקון הליקויים שהועלו בדוח זה על מנת להבטיח שיפור ברמת ההגנה של הספקים ושל המשק כולו.

במהלך הביקורת עדכנו מערך הסייבר הלאומי ויה"ב את הנחיותיהם למשרדים ולגופי התמ"ק, בין היתר כדי לתת מענה על פערים שהוצגו בדוח זה. מוצע אפוא כי מערך הסייבר ויה"ב יעקבו כבר במהלך השנה הקרובה אחר אופן הטמעת המתודולוגיה העדכנית ואחר ישימותה הלכה למעשה.

​