סגור
באנר דסקטופ כלכליסט טק

דו"ח המבקר
יותר מחצי ממשרדי הממשלה לא ערוכים למתקפת סייבר על שרשרת האספקה

במסגרת מתקפת שרשרת אספקה, היעד הראשוני של התוקפים הוא חברה שמספקת שירותי מחשוב שונים לחברות אחרות. לפי דוח מבקר המדינה, 55% מבין 44 משרדי ממשלה וגופי תשתיות מדינה קריטיות לא עובדים לפי מתודולוגיית שרשרת האספקה של מערך הסייבר, שנועדה להפחית את הסיכון של מתקפות אלו

מרבית משרדי הממשלה והגופים שמנהלים תשתיות קריטיות לא ערוכים כראוי להתמודדות עם מתקפות סייבר על שרשרת האספקה שלהם – כך לפי דוח מבקר המדינה שמתפרסם היום (ב').
במסגרת מתקפת שרשרת אספקה, היעד הראשוני של התוקפים הוא חברה שמספקת שירותי מחשוב שונים לחברות אחרות, כך שמתקפה עליה יכולה להוביל לחשיפת מידע של לקוחותיה או לחדירה דרכה למערכות המחשוב שלהם. כמה ממתקפות הסייבר הבולטות של השנים האחרונות היו מתקפות מסוג זה. בישראל בולטות המתקפות נגד חברת הביטוח שירביט ב-2020 והדליפה של מידע על משתמשי אתר הדייטינג אטרף, שתיהן תוצאה של מתקפת שרשרת אספקה.
לפי דוח המבקר, 55% מבין מ-44 משרדי ממשלה וגופי תשתיות מדינה קריטיות (תמ"ק) שהשיבו לשאלון שהועבר להם לא עובדים לפי מתודולוגיית שרשרת האספקה של מערך הסייבר, שנועדה להפחית את הסיכון של מתקפות אלו. כתוצאה, חלק גדול מהספקים של גופים אלו לא נבדקים בצורה אחודה ובהתאם לבקרות שהגדיר המערך.
במקביל, המבקר מתריע שגם המתודולוגיה העדכנית של המערך, מדצמבר 2022, לא עונה על פערים מהותיים שזוהו כבר בינואר 2022, ובכלל כך קושי לחייב ספקים לעמוד באופן מלא בבקרות השונות. כן עולה שעל אף ש-57% מהרכש הממשלתי בתחום הסייבר (שהיקפו מוערך ב-1.4 מיליארד שקל בשנה) מבוצע דרך מכרזים מרכזיים, אין דרישה של מנהל הרכש מהספקים לפעול בהתאם למתודולוגיה של מערך הסייבר.
בעיה אחרת קשורה לדיווחים על מתקפות שרשרת אספקה. דוח המבקר מעלה ש-30% ממשרדי הממשלה וגופי התמ"ק דיווחו שסבלו ממתקפת שרשרת אספקה ב-2021 ו-2022, אבל 8 מבין 13 הגופים שהמותקפים קיבלו עדכון על מתקפה זו לא מהספק עצמו, אלא מגורמים אחרים דוגמת מערך הסייבר או אפילו כלי תקשורת. זאת, ייתכן מכיוון שספקים מחויבים לדווח על מתקפה למנהל הרכש בלבד (ולא למערך הסייבר), אך במנהל אין מוקד שתפקידו לקבל פניות על אירועי סייבר ולנתח את המידע שנמסר לו.