ניהול סיכוני שרשרת אספקה במגזר הפיננסי: צמצום איומים בשרשרת האספקה - המכון למחקרי ביטחון לאומי
לך לחלק עליון לך לתוכן מרכזי לך לחלק תחתון לך לחיפוש
לוגו INSS המכון למחקרי ביטחון לאומי, מחקר אסטרטגי, חדשני ומכוון מדיניות- מעבר לדף הבית
המכון למחקרי ביטחון לאומי
לוגו אוניברסיטת תל אביב - מעבר לאתר חיצוני, נפתח בעמוד חדש
  • צור קשר
  • English
  • תמכו בנו
  • מחקר
    • נושאים
      • ישראל בזירה הגלובלית
        • יחסי ישראל-ארצות הברית
        • מרכז גלייזר למדיניות ישראל-סין
        • רוסיה
        • אירופה
      • איראן והציר השיעי
        • איראן
        • לבנון וחזבאללה
        • סוריה
        • תימן והחות'ים
        • עיראק והמיליציות השיעיות העיראקיות
      • מסכסוך להסדרים
        • יחסי ישראל-פלסטינים
        • רצועת עזה וחמאס
        • הסכמי שלום ונורמליזציה במזרח התיכון
        • סעודיה ומדינות המפרץ
        • טורקיה
        • מצרים
        • ירדן
      • מדיניות הביטחון הלאומי של ישראל
        • צבא ואסטרטגיה
        • חוסן חברתי והחברה הישראלית
        • יחסי יהודים-ערבים בישראל
        • אקלים, תשתיות ואנרגיה
        • טרור ולוחמה בעצימות נמוכה
      • המחקר העל-זירתי
        • המרכז לאיסוף וניתוח נתונים
        • משפט וביטחון לאומי
        • טכנולוגיות מתקדמות וביטחון לאומי
        • תודעה והשפעה זרה
        • כלכלה וביטחון לאומי
    • פרויקטים
      • מניעת הגלישה למציאות של מדינה אחת
      • אנטישמיות בת-זמננו בארצות הברית
      • תפיסות ביחס ליהודים ולישראל במרחב הערבי-מוסלמי והשפעותיהן על המערב
  • פרסומים
    • -
      • כל הפרסומים
      • מבט על
      • ניירות מדיניות
      • פרסום מיוחד
      • עדכן אסטרטגי
      • במה טכנולוגית
      • מזכרים
      • פוסטים
      • ספרים
      • ארכיון
  • נתונים
    • סקרים
    • זרקור
    • מפות
    • חרבות ברזל - תמונת מצב מתעדכנת
  • אירועים
  • צוות
  • אודות
    • חזון וייעוד
    • קורות המכון
    • המחקר
    • הדירקטוריון
    • הדרכה ולמידה
    • התמחות במכון
    • מלגות ופרסים
    • דיווח לרשות התאגידים
  • מדיה
    • תקשורת
    • וידאו
    • הודעות לעיתונות
  • פודקאסט
  • ניוזלטר
חדש
חיפוש באתר
  • מחקר
    • נושאים
    • ישראל בזירה הגלובלית
    • יחסי ישראל-ארצות הברית
    • מרכז גלייזר למדיניות ישראל-סין
    • רוסיה
    • אירופה
    • איראן והציר השיעי
    • איראן
    • לבנון וחזבאללה
    • סוריה
    • תימן והחות'ים
    • עיראק והמיליציות השיעיות העיראקיות
    • מסכסוך להסדרים
    • יחסי ישראל-פלסטינים
    • רצועת עזה וחמאס
    • הסכמי שלום ונורמליזציה במזרח התיכון
    • סעודיה ומדינות המפרץ
    • טורקיה
    • מצרים
    • ירדן
    • מדיניות הביטחון הלאומי של ישראל
    • צבא ואסטרטגיה
    • חוסן חברתי והחברה הישראלית
    • יחסי יהודים-ערבים בישראל
    • אקלים, תשתיות ואנרגיה
    • טרור ולוחמה בעצימות נמוכה
    • המחקר העל-זירתי
    • המרכז לאיסוף וניתוח נתונים
    • משפט וביטחון לאומי
    • טכנולוגיות מתקדמות וביטחון לאומי
    • תודעה והשפעה זרה
    • כלכלה וביטחון לאומי
    • פרויקטים
    • מניעת הגלישה למציאות של מדינה אחת
    • אנטישמיות בת-זמננו בארצות הברית
    • תפיסות ביחס ליהודים ולישראל במרחב הערבי-מוסלמי והשפעותיהן על המערב
  • פרסומים
    • כל הפרסומים
    • מבט על
    • ניירות מדיניות
    • פרסום מיוחד
    • עדכן אסטרטגי
    • במה טכנולוגית
    • מזכרים
    • פוסטים
    • ספרים
    • ארכיון
  • נתונים
    • סקרים
    • זרקור
    • מפות
    • חרבות ברזל - תמונת מצב מתעדכנת
  • אירועים
  • צוות
  • אודות
    • חזון וייעוד
    • קורות המכון
    • המחקר
    • הדירקטוריון
    • הדרכה ולמידה
    • התמחות במכון
    • מלגות ופרסים
    • דיווח לרשות התאגידים
  • מדיה
    • תקשורת
    • וידאו
    • הודעות לעיתונות
  • פודקאסט
  • ניוזלטר
  • צור קשר
  • English
  • תמכו בנו
bool(false)

פרסומים

דף הבית פרסומים ניהול סיכוני שרשרת אספקה במגזר הפיננסי: צמצום איומים בשרשרת האספקה

ניהול סיכוני שרשרת אספקה במגזר הפיננסי: צמצום איומים בשרשרת האספקה

המכון למחקרי ביטחון לאומי, דצמבר 2018

גבי סיבוני
זיו סלומון
הדס קליין

התמודדות מיטבית עם אתגרי הסייבר בשרשרת האספקה מחייבת התייחסות קונקרטית לצרכים של המגזר הבנקאי בכלל ושל המגזר הבנקאי בישראל בפרט. בנקים בישראל כפופים להנחיות הפיקוח על הבנקים והגנתם מחייבת מגוון מרכיבים, בהם: שכבת הגנה טכנולוגית ונהלי עבודה הכוללים ובהם התייחסות לאיומי סייבר בשרשרת האספקה. ככל שתאגיד בנקאי יצליח לזהות את האיומים וינקוט את האמצעים הנדרשים למיגורם בשלב מוקדם, כך תגדל רמת ההגנה הכוללת שלו. מסמך זה הינו תוצר של עבודת המכון למחקרי ביטחון לאומי לגיבוש מתודולוגיה לניהול לאומי של סיכוני שרשרת האספקה במגזר הפיננסי.


עבודה זו עוסקת בסיכוני הסייבר בשרשרת האספקה במגזר הפיננסי ובהצעת דרכי התמודדות עימם. העבודה נכתבה במטרה להציג המלצות מתאימות וישימות בראי המגזר הבנקאי, וגובשה לאחר בחינת הנושא ולמידתו לעומקו, לרבות במסגרת דיונים ומפגשי עבודה עם גורמים רלוונטיים במגזר זה. במסגרת זו גם נערכה סקירה של התקנים הבין־לאומיים המתאימים, ממנה עולה כי קיימת תקינה ענפה העוסקת במגוון רחב של תחומים ובקרות, שנועדו לצמצם את החשיפה לסיכוני סייבר בשרשרת האספקה ולהיערך לקראתם. כן נסקרו תורות הגנה, החלטות ממשלה, הוראות, חוזרים ותקנות רלוונטיים בישראל. סקירתם מצביעה על כך שהרגולציה הישראלית מתייחסת להיבטים שונים של סיכונים בשרשרת האספקה, אך היא אינה מחייבת את כלל הארגונים. זוהי רגולציה הבנויה על בסיס מגזרי, כמו מגזר הביטוח ושוק ההון, או רגולציה נושאית, כמו בנושא הפרטיות.

בנוסף, נבחנו ונותחו במסגרת עבודה זו האיומים הרלוונטיים על שרשרת האספקה. מהניתוח עולה כי האיומים על הארגון, לרבות ארגון פיננסי, כתוצאה מתקיפת שרשרת האספקה יכולים להתממש באמצעות ערוצי תקיפה מגוונים ביותר, כגון חדירה למערכות של ספק בעל רמת הגנה נמוכה יחסית (אך בעל גישה למערכות הארגון), ודרכו חדירה למערכות הארגון; שימוש בעדכוני תוכנה לגיטימיים להפצת נוזקה, וכדומה. אין מדובר באיומים תיאורטיים, אלא בניתוח המסתמך על מספר רב של אירועים שהתרחשו בארץ ובעולם, שמהותם היא פגיעה בארגונים תוך ניצול שרשרת האספקה שלהם. מורכבות האיום, המגוון הרחב של התרחישים האפשריים והתעצמות יכולות התוקפים מחייבים את הארגונים, ובתוכם גם את הארגונים הפיננסיים, לנקוט צעדים הגנתיים משמעותיים כדי להתמודד עם האתגר ולצמצם את הסיכונים הגלומים בו.

בתהליך הבחינה נסקרו מתודולוגיות ומודלים לניהול ספקים בשרשרת האספקה, לרבות בחברות גדולות בעולם. נמצאו מתודולוגיות ומודלים לטיפול ולסיווג ספקים ברמה הארגונית, אך לא נמצאו מתודולוגיות ומודלים לטיפול בספקים ולסיווגם ברמה הלאומית והמגזרית, או לחילופין, לסיווג ספקים בהיבטי סייבר. כן נמצאו במספר תחומים במשק הישראלי גישות בעלות הקשר אפשרי לעבודה זו — קטגוריזציה המבוצעת ברמה הלאומית לספקים מענף משקי אחר (סיווג קבלני בניין) ותהליך תשתיתי המבוצע/מונחה על ידי גורם מרכזי אחד (היחידה הממלכתית לקביעת התאמה ביטחונית בשירות הביטחון הכללי) עבור מועסקים בגופים רבים.

מערך הסייבר הלאומי של ישראל החל לפעול בהיבט הסייבר לפיתוח מתודה ברמה הלאומית ולהנגשתה בפורטל. למרות שמתודה זו עדיין אינה ממומשת באופן נרחב (נכון למועד כתיבת דוח זה), היא עשויה להפוך בהמשך לפלטפורמה הולמת לשימוש נרחב על ידי גופים רבים. יחידה ייעודית במשרד האוצר, המטפלת בפעילותו של המגזר הפיננסי, נמצאת בשלבי יישום ראשוניים מול ספקי המערכת הפיננסית וגם היא רלוונטית לענייננו.

במסגרת עבודה זו נערך ניתוח כלכלי של שתי חלופות עיקריות לניהול הפעילות הנדרשת מול ספקי המערכת הפיננסית בהיבטים הנוגעים להתמודדות עם סיכוני סייבר בשרשרת האספקה: האחת, ניהול עצמי על ידי כל בנק; השנייה, ניהול מרכזי עבור כל/רוב הבנקים. בנוסף נערך ניתוח רגישות לתוצאות הניתוח הכלכלי. מהניתוחים עולה כי מבחינה כלכלית יש עדיפות מובהקת לניהול הנושא באופן ריכוזי עבור הבנקים המסחריים. לניהול מרכזי יש פוטנציאל לחיסכון של כ־ 12 סוקרים (אנשי מקצוע מתאימים. טווח ניתוח הרגישות מצביע על פוטנציאל חיסכון של 8– 18 סוקרים) בכלל המגזר הבנקאי. זאת ועוד, ניהול מרכזי יחזק את השפעתו ועוצמתו של הגוף הסוקר כלפי הספקים (בהיותו מייצג את כל/רוב הבנקים ולא רק בנק מסוים), יאפשר התמקצעות טובה של הצוות (גוף מתמחה ברמה המגזרית), יקטין תקורות (תקורות ניהול, תקורות פיזיות וכדומה) עבור כל בנק ויגרום גם לחיסכון משמעותי במשאבים אצל הספקים המהותיים עצמם (במקום שיתקיימו כחמישה מבדקים דומים בשנה אצל ספק מהותי, יתקיים מבדק אחד בלבד).

העבודה מציעה שתי חלופות לניהול מרכזי מול ספקי המערכת הפיננסית: בחלופה הראשונה, הניהול המרכזי מבוצע על ידי גוף בבעלות הבנקים המסחריים; בחלופה השנייה הניהול המרכזי מבוצע על ידי גוף חיצוני שאינו בבעלות הבנקים המסחריים (שיכול להיות גוף ממשלתי), שיבצע את בדיקות הספקים בעצמו עבור הבנקים. שתי חלופות אלו נבחנו למול שלושה קריטריונים:

א. שיפור ביטחון הסייבר במערכת הפיננסית — הניתוח הראה שחלופה של ניהול מרכזי תשפר משמעותית את רמת ביטחון הסייבר של המערכת הפיננסית בהקשרי שרשרת האספקה.

ב. כדאיות כלכלית — ההשוואה בין שתי החלופות נערכה על בסיס משאבי ההקמה והתפעול השוטף; מידת השליטה במשאבים (גמישות, התאמות, קביעת סדר עדיפויות וכדומה); קיומה של אופציה למכירת השירותים לגופים נוספים; השפעת צפויה של פעילות היחידה המרכזית על הספקים; יכולת עמידה בדרישות בנק ישראל.

ג. מידת הציות לדרישות ההגבלים העיסקיים — מהניתוח שבוצע עולה שהקמת גוף סוקר מרכזי אינה מהווה פגיעה בדרישות ההגבלים העיסקיים, לאור העובדה שהקמת גוף כזה לא תהווה פגיעה בתחרות בין הבנקים, וכל עניינה הוא שיפור רמת הביטחון והיציבות של המערכת הפיננסית בכללותה.

זאת ועוד, כיום מתמודדים הבנקים עם תהליכים ארוכים הקשורים בהוספת ספקים חדשים למערכת. הפעלה של גוף מרכזי תוכל לאפשר קיצור התהליך ואף ליצור מצב שבו גופים פיננסיים יוכלו לבקש סקירה והסמכה מראש בהקשר להתאמה בהיבטי בטחון הסייבר למערכת הפיננסית. לאור האמור לעיל, ובהתאם לניתוח הנתונים הקיימים, להלן עיקרי ההמלצות:

  • על הבנקים למפות ולסווג את ספקיהם המהותיים, קרי, את הספקים המהותיים לפעילותם ו/או אלה החושפים אותם לסיכוני סייבר ואבטחת מידע פוטנציאליים גבוהים, שבהתממשותם ניתן יהיה לתקוף את התאגיד הבנקאי או לפגוע בפעילותו.
  • על הבנקים להגדיר מערכת דרישות עבור הספקים המהותיים בכל הנוגע להתמודדותם עם סיכוני הסייבר בשרשרת האספקה במגזר הפיננסי. על מערכת דרישות זו לעמוד בהלימה עם הוראות בנק ישראל והוראות כל דין ולהתבסס על הנושאים, התחומים והבקרות המכוסים על ידי התקינה הקיימת והניסיון המצטבר.
  • על הבנקים לוודא כי ספקיהם המהותיים מבצעים את מערכת הדרישות המוגדרת. זאת, באמצעות סוקרים מקצועיים שיפעלו מול הספקים ויבקרו את ביצוען השוטף של הדרישות.
  • מוצע לבנקים לבחון שימוש (לרבות שימוש משלים) במתודה המפותחת במערך הסייבר הלאומי בנושא הפעילות מול ספקים.
  • נוכח מסקנות הבדיקה כי יש כדאיות כלכלית מובהקת לנהל פעילות זו באופן מרכזי עבור כלל הבנקים, ולא על ידי כל בנק באופן עצמאי, מומלץ שניהול הפעילות יהיה מרכזי. כך גם תגדל השפעתה של הפעילות מול הספקים, שכן הגוף הסוקר ייצג בפניהם את דרישות כלל הבנקים ולא רק דרישות של בנק אחד. יודגש, עם זאת, כי בנק מסוים יוכל להוסיף לפי הצורך דרישות ספציפיות מסַפָק מסוים. מוצע שהגוף המרכזי שיוקם יהיה בהעלות הבנקים וכי מנגנון התמחור בין הבנקים לצורך הקמתו ותפעולו יבוצע באופן דיפרנציאלי, שיבטא את היקף הפעילות של כל בנק במיזם.

==========================================================

תוכן עניינים:

תקציר

מבוא

פרק א': תקינה

משפחת תקני ISO

מכון התקנים האמריקאי

רגולציית ההגנה על המידע

המועצה לבחינת תאגידים פיננסיים פדרליים

סיכום

פרק ב': רגולציה בישראל

מערך הסייבר

הוראות בנק ישראל

משרד האוצר- אגף שוק ההון, ביטוח וחיסכון

הרשות להגנת הפרטיות

סיכום

פרק ג': מרחב האיומים הרלוונטיים

ניתוח האיומים

סיכום

פרק ד': מתודולוגיות ומודלים לניהול שרשרת אספקה

Deutsche Telekom

Information Technology Infrastructure Library

United Utilities

Amway

סיכום

פרק ה': דוגמאות לגישות רלוונטיות במשק הישראלי

רישום וסיווג קבלנים

רישום ספקי משרד הביטחון

בדיקת התאמה ביטחונית

פעולות בתחום הסייבר

סיכום

פרק ו': ניתוח לחלופות

חלופות

סיכום

פרק ז': בחינת חלופות לגוף מרכזי

חלופה א': גוף בבעלות הבנקים

חלופה ב': גוף בבעלות חיצונית

השוואה בין החלופות

פרק ח': סיכום והמלצות

המלצות

נספח: ניתוח רגישות כלכלית

הדעות המובעות בפרסומי המכון למחקרי ביטחון לאומי הן של המחברים בלבד.
נושאיםטכנולוגיות מתקדמות וביטחון לאומי

אירועים

לכל האירועים
השפעות גאו-אסטרטגיות על ביטחון המזון בישראל
5 ביוני, 2025
12:30 - 09:00

פרסומים נוספים בנושא

לכל הפרסומים
Ukraine's Southern Operational Command/Telegram
איום הטילים המשוטטים (כטב"מי נפץ)
מדינות העימות וארגוני המחבלים שעימם מתמודדת ישראל מצטיידים בכמויות אדירות של טילים משוטטים. מחירם הנמוך וקלות הפעלתם הופכים אותם לאיום משמעותי, ברור ומיידי, במיוחד אם יופעלו בנחילים. נדרשת השקעה משמעותית בשיפור יכולות הגילוי והניטרול של האיום. ניתוח האיום מסוכם בהמלצות לצעדים שיסייעו להתמודד עימו.
10/06/25
Shutterstock
ענני תחרות – עלייתה של סין בשוק הענן במזרח התיכון
הנוכחות הטכנולוגית של סין במזה"ת הולכת ומתרחבת – והשתלבותה בשוק הענן האזורי היא דוגמה אחת מני רבות. אילו אתגרים מציבים צעדים אלה בפני ישראל?
26/05/25
דוברות משרד הביטחון
לייזר רב עוצמה ליירוט רקטות וטילים בשדה הקרב העתידי – מצב הפיתוח בעולם ובישראל
המאמר סוקר את הפיתוחים השונים במדינות שונות באסיה, כולל ישראל, באירופה וכן בארצות הברית בנושא לייזרים רבי עוצמה ככלי נשק בשדה הקרב העתידי. מטרת המאמר היא העמקת הידע של הציבור ומקבלי החלטות בדבר ההתפתחויות החשובות בתחום אמצעי הלחימה בשדה הקרב העתידי. לקרן הלייזר יש תכונות ייחודיות המאפשרות יישום מגוון של יתרונותיה בשדה הקרב. השדרוג של מערכות הלייזר להספקים גבוהים – קילוואטים (אלפי ואטים) ומגה-וואטים (מיליוני ואטים) – מאפשר השמדת איומים אוויריים כגון רקטות, כטב"מים ורחפנים, ובתנאים מסוימים גם השמדת טילים בליסטיים. מרבית המדינות מפתחות נשק לייזר בהספקים של קילוואטים אחדים עד 100 קילוואט כנגד איומים רקטיים, ארטילריים או כטב"מים. מעצמות כגון ארצות הברית, רוסיה וסין מתכננות גם מערכות לייזר רב עוצמה לטווחים ארוכים, כדי לפגוע ולהשמיד מטרות בחלל. מדינת ישראל נמצאת בחזית פיתוח מערכות נשק לייזר מתקדמות עם פיתוחים ייחודיים, המאפשרים להביא את קרן הלייזר העוצמתית אל המטרה בדיוק מרבי תוך גרימת נזק למטרות עוינות. על מדינת ישראל להמשיך לשדרג את מערכת נשק הלייזר להספקים גבוהים ולפלטפורמות מוטסות כדי ליירט מגוון רחב של איומים, כולל אלה של טילים בליסטיים ארוכי טווח ממדינות 'המעגל השלישי', וזאת כחלק בלתי נפרד ממעטפת ההגנה של מדינת ישראל מפני איום רקטי או טילי.
25/05/25

הישארו מעודכנים

ההרשמה התקבלה בהצלחה! תודה.
  • מחקר

    • נושאים
      • ישראל בזירה הגלובלית
      • יחסי ישראל-ארה"ב
      • מרכז גלייזר למדיניות ישראל-סין
      • רוסיה
      • אירופה
      • איראן והציר השיעי
      • איראן
      • לבנון וחזבאללה
      • סוריה
      • תימן והחות'ים
      • עיראק והמיליציות השיעיות העיראקיות
      • מסכסוך להסדרים
      • יחסי ישראל-פלסטינים
      • רצועת עזה וחמאס
      • הסכמי שלום ונורמליזציה במזרח התיכון
      • סעודיה ומדינות המפרץ
      • טורקיה
      • מצרים
      • ירדן
      • מדיניות הביטחון הלאומי של ישראל
      • צבא ואסטרטגיה
      • חוסן חברתי והחברה הישראלית
      • יחסי יהודים-ערבים בישראל
      • אקלים, תשתיות ואנרגיה
      • טרור ולוחמה בעצימות נמוכה
      • המחקר העל-זירתי
      • המרכז לאיסוף וניתוח נתונים
      • משפט וביטחון לאומי
      • טכנולוגיות מתקדמות וביטחון לאומי
      • תודעה והשפעה זרה
      • כלכלה וביטחון לאומי
    • פרויקטים
      • מניעת הגלישה למציאות של מדינה אחת
      • אנטישמיות בת-זמננו בארצות הברית
      • תפיסות ביחס ליהודים ולישראל במרחב הערבי-מוסלמי והשפעותיהן על המערב
  • פרסומים

    • כל הפרסומים
    • מבט על
    • ניירות מדיניות
    • פרסום מיוחד
    • עדכן אסטרטגי
    • במה טכנולוגית
    • מזכרים
    • נתונים
    • פוסטים
    • ספרים
    • ארכיון
  • אודות

    • חזון וייעוד
    • קורות המכון
    • המחקר
    • הדירקטוריון
    • הדרכה ולמידה
    • התמחות במכון
    • מלגות ופרסים
    • דיווח לרשות התאגידים
  • מדיה

    • תקשורת
    • וידאו
    • פודקאסט
    • הודעות לעיתונות
  • דף הבית

  • אירועים

  • נתונים

  • צוות

  • צור קשר

  • ניוזלטר

  • English

לוגו INSS המכון למחקרי ביטחון לאומי, מחקר אסטרטגי, חדשני ומכוון מדיניות- מעבר לדף הבית
רחוב חיים לבנון 40 תל אביב 6997556 | טל 03-640-0400 | פקס 03-774-7590 | דוא"ל לפניות הציבור info@inss.org.il
פותח על ידי דעת מקבוצת רילקומרס.
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.