יום שני 24 פברואר 2020
לוח הפלגות
חיפוש הפלגות כללי
יש לבחור נמל בארץ
יש לבחור נמל בחו"ל
יצוא מהארץ
יבוא לארץ
Facebook

"להיות שם לפני שזה קורה"

הבטחת החוסן והרציפות התפקודית של שרשרת האספקה - רקע
20.01.20 / 11:45
"להיות שם לפני שזה קורה"
20.01.20
"להיות שם לפני שזה קורה"

מאת: בועז גלעד (ניצב בדימוס), מייסד ומנכ"ל משותף בחברת BDiverse, המספקת פתרונות מגוונים, דינמיים וטכנולוגיים לשיפור התוצאות העסקיות בתחומי הרכש, שרשרת האספקה, הרציפות התפקודית והיזמות. 

 

ככל שהארגון מפוזר, פרוס, מבוזר, ונסמך על ספקי משנה וגורמי חוץ, כך הסיכוי להיפגעותו על ידי גורם חיצוני או פנימי גבוה יותר והסבירות להימצאות חוליה חלשה בשרשרת האספקה עולה.

בקרב הארגונים המהווים יעד לתקיפה והיפגעות ניתן לכלול מרכזים לוגיסטיים, חברות מסחריות, מרכזי מסחר וסחר, מתקני תשתית אסטרטגיים, משרדי ממשלה ועוד.

כל אלה ניצבים כבר כיום בפני אתגרים ואיומים מוחשיים שכן הם נסמכים יותר ויותר על תשתיות קריטיות ומערכות מידע ואוטומציה מורכבות הנתמכות ע"י גורמים חיצוניים, בין היתר באמצעות שליטה מרחוק.

הגנת שרשרת האספקה מורכבת ממספר תחומים ומגוון משמעותי ורחב של שחקנים נוטלים בה חלק.

מטבע הדברים, העולם מתקדם ומקדם בצעדי ענק תהליכי שיתוף פעולה עסקי בין חברות וארגונים, החלפת ידע ומידע מסחרי, קבלת שירותים שונים באמצעות מיקור חוץ ומעבר לשימוש במע' תשתית ובקרה אוטומטיות הנשלטות בין היתר מרחוק.
לצד היתרונות הרבים וההשפעה החיובית שיש לכך על שרשרת האספקה, הרי שהדברים יצרו גם לא מעט אתגרים , ליקויים ופגיעויות.

פגיעה בשרשרת האספקה ​​וברציפות התפקודית של ארגונים וחברות הפכה להיות שיטה מועדפת של שיבוש מסחר, גביית כופר, גניבה, ריגול וחבלה עסקית. מביאים לכך מספר גורמים ומניעים, אך בראש וראשונה הצורך הגובר והולך כאמור לעיל של החברות בקישוריות, שיתוף, שליטה ובקרה מרחוק ולא פחות מכך, הקלות הבלתי נסבלת כמעט אשר ביכולתו של הגורם התוקף "לפעול מנגד" תחת מעטה אנונימיות, טשטוש זהות והיעדר סיכון משמעותי להתגלות ולהיתפס.

החל משנת 2015 ניכר גידול של כ-70% "בתקיפת" ארגונים וחברות דרך שרשרת האספקה וההערכה היא כי בשנים הקרובות תימשך המגמה ואף יתרחשו אירועי תקיפה משמעותיים יותר ורחבי היקף דרך ערוץ זה, הן בשל היכולת הטכנולוגית המתפתחת בחברות ובגופים העסקיים, הן בשל יכולות הולכות מתפתחות בקרב הגורמים התוקפים אשר הינם פליליים בעיקרם והן בשל הקלות הבלתי נסבלת "לתקוף מנגד" במינימום חשש לגילוי ותוך סיכויי הצלחה גבוהים. 

לתוך כל זאת יש להוסיף גם כי לשיקולי התקיפה מצטרפים מחיר כשלון נמוך יחסית של התוקף ומחיר זול יחסית למעבר בין יעדי תקיפה, או לתקיפה של מספר יעדים בו זמנית באזורים, מדינות ותחומי פעילות שונים, דבר המקל גם לטשטש עקבות.

מסקירה וסריקה מהירה של אירועי עבר ניתן להתרשם מרוחב היריעה ומגוון תחומי העיסוק של הארגונים והחברות שהותקפו כבר, דוגמת: ענקית האלומיניום המייצרת רכיבים - Norsk Hydro, תקיפה בעלת משמעויות כבדות משקל  בעיכוב של ייצור ואספקת מוצרים ללקוחות בשוק הגלובלי ולעליית מחירים עקב כך.

מוכרת תקיפת סייבר על מערכות מידע של 16 בתי חולים באנגליה בשנת 2017, דבר שהביא לקריסת תשתיות קריטיות, לפגיעה ברציפות התפקודית ובמתן מענה רפואי קריטי לחולים.

באוגוסט 2018 הפסיקה יצרנית השבבים הטייוואנית TSMC  את ייצור השבבים האלקטרוניים בחלק ממפעליה, על רקע תקיפת סייבר אשר שיתקה חלק מהמכונות בקווי הייצור.
בנובמבר 2018 פרסמה רשת מלונות מריוט כי במהלך תקיפת סייבר על רשת המלונות שבבעלותה (Starwood)  נגנבו פרטיהם של כ-500 מיליון לקוחות.

מוכרים מקרים בהם עובדי מרכז לוגיסטי העבירו מידע על אודות סיסמת רשת ה-WIFI המשמשת אותם לעבודתם היומית והדבר נוצל לטובת גניבה רחבת היקף של מוצרים וביצוע התאמות רישום במערכת המידע הארגונית במטרה "לטשטש עקבות".

באוגוסט 2019 דווח על עליה ניכרת במקרי תקיפה על מוצרי חומרה המהווים חלק מה- IOT בארגונים וחברות מסחריות, דוגמת: מצלמות רשתמדפסות רשת ועוד, זאת מכיוון שמוצרי חומרה אלו מאפשרים לתוקפים גישה נוחה יחסית אל תוך הרשת ואמצעי לעקוף את אמצעי האבטחה שנמצאים בדרך כלל על מוצרי החומרה המשמעותיים יותר, דוגמת: שרתי המידע.    

בהקשרים הללו מהווים המרכזים הלוגיסטיים (מרלו"ג) סוג של "בטן רכה" בשרשרת האספקה בהתייחס לאיומים חיצוניים ופנימיים, שכן חלק ניכר מתשתיותיהם מבוסס אוטומציה, אמצעי ליקוט - WIFI, RFID, מערכות תמך פריפריאליות הנשלטות מרחוק ובאמצעותן ניתן לחדור למערכות התשתית ולמערכת המידע הארגונית, בין אם לצורך גניבה, גביית דמי כופר, השבתה, פגיעה, או השגת מידע מסחרי רגיש.

הפער המרכזי אותו ניתן לסמן כיום בבירור איננו טכנולוגי, אלא דווקא תודעתי/פסיכולוגי, קרי: הנטייה לחשוב "שלי זה לא יקרה", "שלא יתקפו אותי", או לחילופין חוסר ההבנה והפנמה כי הגורם התוקף יחפש ויכוון עצמו דווקא לאזורים "החלשים" והנגישים יותר, משמע: לא לליבת מערכות המידע, אלא דווקא למערכות המחוברות ל"פריפריית" הליבה הטכנולוגית, ע"ע הפגיעה ברשת בתי הכלבו של חברת TARGET בשנת 2014 במהלכה נגנבו עשרות מיליוני פרטים של לקוחות. התקיפה בוצעה באמצעות חדירה למערכות התשתית המחוברות לרשת והנשלטות מרחוק ובאמצעות כך הצליחו התוקפים להגיע למערכת המידע והסליקה הארגונית.
מוכרים מקרים בהם חברות ייבאו מוצרים, רכיבים וחומרי גלם ובבדיקה שנערכה לאחר מכן נמצא כי אינם עומדים בתו התקן הנדרש או שהינם מזויפים. למותר לציין כי מעבר לסיכון החיים שטומן בחובו הדבר, הרי שקיים גם פוטנציאל לפגיעת אמינות קשה, עלויות כספיות גבוהות, אי עמידה באספקות חוזיות ופגיעה במוניטין. בדיקה מוקדמת באמצעות טכנולוגיית מידע ושימושי A.I הייתה מציפה מבעוד מועד את הפער ומונעת את הנזק והפגיעה.

ארגונים וחברות אשר מגלים מודעות, פועלים ועושים רבות במטרה להגן על עצמם ועל לקוחותיהם, אך נוטים לעסוק רבות רק באבטחה הפיזית, בהגבלת גישה, ב"מניעת אובדן" ובהגנה על מע' המידע המרכזית בלבד.

הגישה הנכונה היא "להיות שם לפני שזה קורה", לזהות נכונה את האיום, לטפל  בו עוד טרם התהוותו ולהבין כי ראשית הצירים מתחילה ברכש, קרי: עוד בטרם יצאתם לרכש והתקשרות מול ספק חיצוני.
 

אז מהם בעצם העקרונות והמהלכים המרכזיים אשר עלינו לממש ולהבטיח מבעוד מועד ובמהלך תקופת ההתקשרות העסקית:

הסתמכות על A.I ותוכנה לאבחון ומניעת כשלים - D.F.P.D

Diagnostic & Failure Prevention Desk))

הדינמיות בשוק אינה מאפשרת להמשיך ולהישען על קבלת דו"חות בסיסיים של ניתוח ספקים ומוצרים, אלא מחייבת מענה עצמאי, מהיר וממוקד לקבלת ניתוח ואיתור חולשות ובעיות מבעוד מועד ובזמן אמת. הדבר אפשרי כיום באמצעות שימוש בתוכנות מתקדמות, מודיעין עסקי ושימושי A.I המיועדים לכך.
ניתוח איומים מוקדם, מעקב ובקרה מתמשכים על כלל מרכיבי שרשרת האספקה,
הגדרת תהליכי הרכש הנדרשים ואבחון ייחודי של ספקים, גורמי ביניים
ובעלי עניין מבטיח רכש בטוח ומניעת פגיעה בארגון ובמוצריו.

בעשותנו זאת, אנו מבטיחים מספר דברים:

  • כי ההתקשרות העסקית תבוצע עם גורם עסקי מהימן (מודל Leakspotting), לרבות
    הגדרת מתווה ההתקשרות.
  • כי הספק הנבחר עומד בסטנדרטיזציה הנדרשת בתחומי העיסוק המחייבים.
  • כי לספק הנבחר ישנם הכלים והאמצעים להגן על המידע העסקי שלו ושלך.
  • כי העסקה המתוכננת מהווה "אחוז בטוח" מהיקף הפעילות של הספק.
  • כי לספק ועקב כך גם לך מובטחת רציפות תפקודית ומוכנות למצבי חירום/משבר.
  • כי יונף "דגל אדום" גם לאחר ההתקשרות במידה ויחול שינוי בתמונת המודיעין העסקי.

 

 הגנת סייבר והקשחת מערכות המידע 

המרלו"גים חשופים כאמור לאיומים מבית ומחוץ ל"אובדנים" וכן לפגיעה ברציפות התפקודית, זאת לאור העובדה כי פועלים בהם עפ"י רוב בתקשורת חשופה. ביצוע סקר סיכונים, בחינות חדירות ולאחריהם גיבוש מענה לאיומים רלוונטים, החל במערכות הקלאסיות, כגון: ERP לייצור,CRM  למכירות ותפעול, למערכות בקרה ותפעול, למערכות  BMS לניהול חכם של מבנים ותשתיות, מערכות  אוטומציה, אמצעי ליקוט - WIFI, RFID, מערכות תמך פריפריאליות הנשלטות מרחוק ועוד.    זאת מתוך הבנה שתוקף עשוי לעשות שימוש במערכות ותשתיות
אלה לטובת פגיעה בארגון ובתפקודו.
לצד מערכות הגנה ומניעה, משולבים גם כלים ואמצעים שייעודם לאתר, לזהות
ולתחקר (פורנזית) ניסיונות תקיפה או חדירה מחוץ לארגון ואף חריגות ואנומליות
הנובעות מפעילות אסורה/בלתי מורשית של גורם פנימי (Inside Threat)

 

 

משאבי אנוש 
 

 בחינה ומתן הכשר/סיווג תעסוקתי מתאים ומתמשך לכלל גורמי האנוש המעורבים
בשרשרת האספקה בהתאם לרמת הנזק והחשיפה הפוטנציאליים, בין אם שהינם עובדי הארגון ובין אם שהינם ספקי משנה וגורמי חוץ.

קיימים מגוון רחב מאוד של אמצעים, דרכים ושיטות להבטיח את מהימנות העובדים שאופן אשר מבטיח את פרטיותם מחד ואת בטחון החברה והארגון מאידך.

חברות העוסקות בתחום מהימנות עובדים מזה שנים, מזהות ומבינות כיום את פוטנציאל

הנזק מחד ואת הפוטנציאל העסקי מאידך ומשיאות כיום ערך רב לחברות השוכרות את שירותיהן.
בעצם ימים אלו אנו עוסקים בקידום טכנולוגיה המאפשרת לזהות כוונות זדון ואמירת שקר

באמצעות מעקב אישונים.

 

 אבטחה פיזית

שימוש באמצעים טכנולוגיים גלויים וסמויים, כמו גם תכנון נכון וקפדני של מרכיבי שינוע רכיבים וסחורה, יבטיחו "מניעת אובדן", מניעת גישה והתערבות ע"י גורם זדוני ויספקו אינדיקציה במקרה של ניסיון גישה/חדירה למתחמים רגישים, או ניסיון לפגיעה במערכות המידע והתשתיות הקריטיות של הארגון. 

יש להבטיח כי כלל האמצעים הטכנולוגים המותקנים מוגנים ועומדות בסטנדרט ההגנה

הנדרש בכדי שלא יהוו בעצמם נקודת תורפה כמופיע לעיל.

 

 

ציות

עמידה מוקדמת של  ספקי החוץ של החברה בסטנדרט הנדרש ובהגדרות הסכם ההתקשרות, תוך שמוודאים זאת באופן שוטף באמצעות ביקורות, מערכת לאכיפת הסכמים (Target) ובמתכונת אבחון הספקים אשר הוצגה לעיל (D.F.P.D)

 

לסיכום, הגם שצוינו בכתבה לא מעט אתגרים ואיומים מוחשיים הרי שאין מדובר בגזירות גורל שלא ניתן להתמודד מולן.

חברות וארגונים אשר הפנימו את פוטנציאל הנזק משכילות כבר להיערך ולהתמודד עם הדברים, תוך שהן ממנפות זאת גם ובעיקר לצרכיהן התפעוליים, המסחריים והשיווקיים, תוך השגת קרדיטציה על עמידה בתקני רגולציה, קיימות, אבטחה ומהימנות גבוהים יותר.

 

הכותב הוא בועז גלעד (ניצב בדימוס), מייסד ומנכ"ל משותף בחברת BDiverse , המספקת פתרונות מגוונים, דינמיים וטכנולוגיים לשיפור התוצאות העסקיות בתחומי הרכש, שרשרת האספקה, הרציפות התפקודית והיזמות. 

הינו בעל 25 שנות ניסיון ניהולי ופיקודי בשב"כ, במשטרת ישראל ובתפקידים מורכבים ורגישים בארץ ובחו"ל.

בתפקידיו האחרונים בארגונים הנ"ל שימש כראש אגף התמיכה הלוגיסטית ומכאן שמביא עמו הכרות מעמיקה עם תחומי האבטחה, הרכש, שרשרת האספקה, האיומים מחד ודרכי ההתמודדות מולם מאידך. לצד אלו, מביא גם ניסיון רב בהובלת תהליכי התייעלות וחיסכון רחבי היקף, תוך שילוב חדשנות בעשייה, ניהול רחב של ממשקים וקשת הכרויות רחבה עם גורמים שונים במשק.