פרסומים
המכון למחקרי ביטחון לאומי, דצמבר 2018

התמודדות מיטבית עם אתגרי הסייבר בשרשרת האספקה מחייבת התייחסות קונקרטית לצרכים של המגזר הבנקאי בכלל ושל המגזר הבנקאי בישראל בפרט. בנקים בישראל כפופים להנחיות הפיקוח על הבנקים והגנתם מחייבת מגוון מרכיבים, בהם: שכבת הגנה טכנולוגית ונהלי עבודה הכוללים ובהם התייחסות לאיומי סייבר בשרשרת האספקה. ככל שתאגיד בנקאי יצליח לזהות את האיומים וינקוט את האמצעים הנדרשים למיגורם בשלב מוקדם, כך תגדל רמת ההגנה הכוללת שלו. מסמך זה הינו תוצר של עבודת המכון למחקרי ביטחון לאומי לגיבוש מתודולוגיה לניהול לאומי של סיכוני שרשרת האספקה במגזר הפיננסי.
עבודה זו עוסקת בסיכוני הסייבר בשרשרת האספקה במגזר הפיננסי ובהצעת דרכי התמודדות עימם. העבודה נכתבה במטרה להציג המלצות מתאימות וישימות בראי המגזר הבנקאי, וגובשה לאחר בחינת הנושא ולמידתו לעומקו, לרבות במסגרת דיונים ומפגשי עבודה עם גורמים רלוונטיים במגזר זה. במסגרת זו גם נערכה סקירה של התקנים הבין־לאומיים המתאימים, ממנה עולה כי קיימת תקינה ענפה העוסקת במגוון רחב של תחומים ובקרות, שנועדו לצמצם את החשיפה לסיכוני סייבר בשרשרת האספקה ולהיערך לקראתם. כן נסקרו תורות הגנה, החלטות ממשלה, הוראות, חוזרים ותקנות רלוונטיים בישראל. סקירתם מצביעה על כך שהרגולציה הישראלית מתייחסת להיבטים שונים של סיכונים בשרשרת האספקה, אך היא אינה מחייבת את כלל הארגונים. זוהי רגולציה הבנויה על בסיס מגזרי, כמו מגזר הביטוח ושוק ההון, או רגולציה נושאית, כמו בנושא הפרטיות.
בנוסף, נבחנו ונותחו במסגרת עבודה זו האיומים הרלוונטיים על שרשרת האספקה. מהניתוח עולה כי האיומים על הארגון, לרבות ארגון פיננסי, כתוצאה מתקיפת שרשרת האספקה יכולים להתממש באמצעות ערוצי תקיפה מגוונים ביותר, כגון חדירה למערכות של ספק בעל רמת הגנה נמוכה יחסית (אך בעל גישה למערכות הארגון), ודרכו חדירה למערכות הארגון; שימוש בעדכוני תוכנה לגיטימיים להפצת נוזקה, וכדומה. אין מדובר באיומים תיאורטיים, אלא בניתוח המסתמך על מספר רב של אירועים שהתרחשו בארץ ובעולם, שמהותם היא פגיעה בארגונים תוך ניצול שרשרת האספקה שלהם. מורכבות האיום, המגוון הרחב של התרחישים האפשריים והתעצמות יכולות התוקפים מחייבים את הארגונים, ובתוכם גם את הארגונים הפיננסיים, לנקוט צעדים הגנתיים משמעותיים כדי להתמודד עם האתגר ולצמצם את הסיכונים הגלומים בו.
בתהליך הבחינה נסקרו מתודולוגיות ומודלים לניהול ספקים בשרשרת האספקה, לרבות בחברות גדולות בעולם. נמצאו מתודולוגיות ומודלים לטיפול ולסיווג ספקים ברמה הארגונית, אך לא נמצאו מתודולוגיות ומודלים לטיפול בספקים ולסיווגם ברמה הלאומית והמגזרית, או לחילופין, לסיווג ספקים בהיבטי סייבר. כן נמצאו במספר תחומים במשק הישראלי גישות בעלות הקשר אפשרי לעבודה זו — קטגוריזציה המבוצעת ברמה הלאומית לספקים מענף משקי אחר (סיווג קבלני בניין) ותהליך תשתיתי המבוצע/מונחה על ידי גורם מרכזי אחד (היחידה הממלכתית לקביעת התאמה ביטחונית בשירות הביטחון הכללי) עבור מועסקים בגופים רבים.
מערך הסייבר הלאומי של ישראל החל לפעול בהיבט הסייבר לפיתוח מתודה ברמה הלאומית ולהנגשתה בפורטל. למרות שמתודה זו עדיין אינה ממומשת באופן נרחב (נכון למועד כתיבת דוח זה), היא עשויה להפוך בהמשך לפלטפורמה הולמת לשימוש נרחב על ידי גופים רבים. יחידה ייעודית במשרד האוצר, המטפלת בפעילותו של המגזר הפיננסי, נמצאת בשלבי יישום ראשוניים מול ספקי המערכת הפיננסית וגם היא רלוונטית לענייננו.
במסגרת עבודה זו נערך ניתוח כלכלי של שתי חלופות עיקריות לניהול הפעילות הנדרשת מול ספקי המערכת הפיננסית בהיבטים הנוגעים להתמודדות עם סיכוני סייבר בשרשרת האספקה: האחת, ניהול עצמי על ידי כל בנק; השנייה, ניהול מרכזי עבור כל/רוב הבנקים. בנוסף נערך ניתוח רגישות לתוצאות הניתוח הכלכלי. מהניתוחים עולה כי מבחינה כלכלית יש עדיפות מובהקת לניהול הנושא באופן ריכוזי עבור הבנקים המסחריים. לניהול מרכזי יש פוטנציאל לחיסכון של כ־ 12 סוקרים (אנשי מקצוע מתאימים. טווח ניתוח הרגישות מצביע על פוטנציאל חיסכון של 8– 18 סוקרים) בכלל המגזר הבנקאי. זאת ועוד, ניהול מרכזי יחזק את השפעתו ועוצמתו של הגוף הסוקר כלפי הספקים (בהיותו מייצג את כל/רוב הבנקים ולא רק בנק מסוים), יאפשר התמקצעות טובה של הצוות (גוף מתמחה ברמה המגזרית), יקטין תקורות (תקורות ניהול, תקורות פיזיות וכדומה) עבור כל בנק ויגרום גם לחיסכון משמעותי במשאבים אצל הספקים המהותיים עצמם (במקום שיתקיימו כחמישה מבדקים דומים בשנה אצל ספק מהותי, יתקיים מבדק אחד בלבד).
העבודה מציעה שתי חלופות לניהול מרכזי מול ספקי המערכת הפיננסית: בחלופה הראשונה, הניהול המרכזי מבוצע על ידי גוף בבעלות הבנקים המסחריים; בחלופה השנייה הניהול המרכזי מבוצע על ידי גוף חיצוני שאינו בבעלות הבנקים המסחריים (שיכול להיות גוף ממשלתי), שיבצע את בדיקות הספקים בעצמו עבור הבנקים. שתי חלופות אלו נבחנו למול שלושה קריטריונים:
א. שיפור ביטחון הסייבר במערכת הפיננסית — הניתוח הראה שחלופה של ניהול מרכזי תשפר משמעותית את רמת ביטחון הסייבר של המערכת הפיננסית בהקשרי שרשרת האספקה.
ב. כדאיות כלכלית — ההשוואה בין שתי החלופות נערכה על בסיס משאבי ההקמה והתפעול השוטף; מידת השליטה במשאבים (גמישות, התאמות, קביעת סדר עדיפויות וכדומה); קיומה של אופציה למכירת השירותים לגופים נוספים; השפעת צפויה של פעילות היחידה המרכזית על הספקים; יכולת עמידה בדרישות בנק ישראל.
ג. מידת הציות לדרישות ההגבלים העיסקיים — מהניתוח שבוצע עולה שהקמת גוף סוקר מרכזי אינה מהווה פגיעה בדרישות ההגבלים העיסקיים, לאור העובדה שהקמת גוף כזה לא תהווה פגיעה בתחרות בין הבנקים, וכל עניינה הוא שיפור רמת הביטחון והיציבות של המערכת הפיננסית בכללותה.
זאת ועוד, כיום מתמודדים הבנקים עם תהליכים ארוכים הקשורים בהוספת ספקים חדשים למערכת. הפעלה של גוף מרכזי תוכל לאפשר קיצור התהליך ואף ליצור מצב שבו גופים פיננסיים יוכלו לבקש סקירה והסמכה מראש בהקשר להתאמה בהיבטי בטחון הסייבר למערכת הפיננסית. לאור האמור לעיל, ובהתאם לניתוח הנתונים הקיימים, להלן עיקרי ההמלצות:
- על הבנקים למפות ולסווג את ספקיהם המהותיים, קרי, את הספקים המהותיים לפעילותם ו/או אלה החושפים אותם לסיכוני סייבר ואבטחת מידע פוטנציאליים גבוהים, שבהתממשותם ניתן יהיה לתקוף את התאגיד הבנקאי או לפגוע בפעילותו.
- על הבנקים להגדיר מערכת דרישות עבור הספקים המהותיים בכל הנוגע להתמודדותם עם סיכוני הסייבר בשרשרת האספקה במגזר הפיננסי. על מערכת דרישות זו לעמוד בהלימה עם הוראות בנק ישראל והוראות כל דין ולהתבסס על הנושאים, התחומים והבקרות המכוסים על ידי התקינה הקיימת והניסיון המצטבר.
- על הבנקים לוודא כי ספקיהם המהותיים מבצעים את מערכת הדרישות המוגדרת. זאת, באמצעות סוקרים מקצועיים שיפעלו מול הספקים ויבקרו את ביצוען השוטף של הדרישות.
- מוצע לבנקים לבחון שימוש (לרבות שימוש משלים) במתודה המפותחת במערך הסייבר הלאומי בנושא הפעילות מול ספקים.
- נוכח מסקנות הבדיקה כי יש כדאיות כלכלית מובהקת לנהל פעילות זו באופן מרכזי עבור כלל הבנקים, ולא על ידי כל בנק באופן עצמאי, מומלץ שניהול הפעילות יהיה מרכזי. כך גם תגדל השפעתה של הפעילות מול הספקים, שכן הגוף הסוקר ייצג בפניהם את דרישות כלל הבנקים ולא רק דרישות של בנק אחד. יודגש, עם זאת, כי בנק מסוים יוכל להוסיף לפי הצורך דרישות ספציפיות מסַפָק מסוים. מוצע שהגוף המרכזי שיוקם יהיה בהעלות הבנקים וכי מנגנון התמחור בין הבנקים לצורך הקמתו ותפעולו יבוצע באופן דיפרנציאלי, שיבטא את היקף הפעילות של כל בנק במיזם.
==========================================================
תוכן עניינים:
תקציר
מבוא
פרק א': תקינה
משפחת תקני ISO
מכון התקנים האמריקאי
רגולציית ההגנה על המידע
המועצה לבחינת תאגידים פיננסיים פדרליים
סיכום
פרק ב': רגולציה בישראל
מערך הסייבר
הוראות בנק ישראל
משרד האוצר- אגף שוק ההון, ביטוח וחיסכון
הרשות להגנת הפרטיות
סיכום
פרק ג': מרחב האיומים הרלוונטיים
ניתוח האיומים
סיכום
פרק ד': מתודולוגיות ומודלים לניהול שרשרת אספקה
Deutsche Telekom
Information Technology Infrastructure Library
United Utilities
Amway
סיכום
פרק ה': דוגמאות לגישות רלוונטיות במשק הישראלי
רישום וסיווג קבלנים
רישום ספקי משרד הביטחון
בדיקת התאמה ביטחונית
פעולות בתחום הסייבר
סיכום
פרק ו': ניתוח לחלופות
חלופות
סיכום
פרק ז': בחינת חלופות לגוף מרכזי
חלופה א': גוף בבעלות הבנקים
חלופה ב': גוף בבעלות חיצונית
השוואה בין החלופות
פרק ח': סיכום והמלצות
המלצות
נספח: ניתוח רגישות כלכלית