home אבטחת סייבר OT & SCADA שרשראות אספקה קריטיות חשופות לאיום גובר

שרשראות אספקה קריטיות חשופות לאיום גובר

Mar 1, 2022

This post is also available in: English (אנגלית)

מסתבר כי שרשראות אספקה קריטיות לכלכלה ולביטחון הלאומי של ארה"ב חשופות לאיומי סייבר.

צו נשיאותי עליו חתם הנשיא ביידן בפברואר 2021 בנושא שרשראות האספקה של ארה"ב הורה לשבעה משרדי ממשלה לבצע תוך שנה הערכה של חולשות בשרשרת האספקה בשש תעשיות קריטיות, בפרט תוכנה. הדוחות שפרסמו לאחרונה מספר משרדי ממשל אכן חושפים מגוון רחב של חולשות.

מחלקת המסחר והמחלקה לביטחון המולדת (DHS) מצאו כי תוכנת קוד פתוח וקושחה בתעשיית ה-ICT – טכנולוגיות מידע ותקשורת – הן פגיעות לחדירה של יריבים זרים וקבוצות פשע.

"השימוש הנרחב בתוכנת קוד פתוח עלול לאיים אל האבטחוה של שרשראות האספקה של התוכנה לאור החולשות שבהן", כך לפי הדוח של מחלקת המסחר והמחלקה לביטחון המולדת. "יתרה מזאת, המורכבות של שרשראות האספקה בתעשיות המידע והתקשורת הובילה יצרנים רבים של ציוד מקורי למסור את פיתוח הקושחה לספקים שלישיים, דבר שמהווה סיכון מבחינת היעדר שקיפות בתכנות ובתקני אבטחת סייבר".

הדוח של המחלקה לאנרגיה בממשל מצא כי מפתחי תוכנה לא נמינים הם החולשה העיקרית בשרשרת האספקה בתחום האנרגיה הנקייה. מגיפת הקורונה הראתה כי הסתמכות יתר על מפתחי תוכנה עם שרשרשאות אספקה לא שקופות גורמת למפולת של השלכות במקרה שמוצריהן נפרצים.

מסיבה זו, מחלקת המסחר והמחלקה לביטחון המולדת ממליצות על הגדלת ההשקעה בפיתוח תוכנה מקומי, שכבר מהווה 40% מכוח העבודה האמריקאי אבל עדיין חווה מחסור בכוח אדם מיומן.

דוח מחלקת האנרגיה המליץ על פיתוח שרשראות אספקה חדשות לטכנולוגיות חדשות כגון למידת מכונה ובינה מלאכותית תוך לקיחה בחשבון של היבט אבטחת הסייבר, זאת לאור העובדה שבמגזר האנרגיה המערכות יותר ויותר מחוברות לרשת וביניהן ורמת האוטומציה גבוהה. הדוח מציע למחלקה לאנרגיה לחבור לסוכנויות אחרות ולהקים מאגר נתונים תעשייתי למגזר האנרגיה עם יכולות ניתוח ומודלי החלטה, תוך הגברת הפיקוח.

דוח מחלקת המחקר והמחלקה לביטחון המולדת מציע לקדם פרקטיקות של ניהול סיכונים באבטחת הסייבר של שרשראות האספקה, לאורך תהליכי הרכש והניטור, כולל הקמת תוכנית לעמידות שרשרת האספקה הקריטית במחלקת המסחר.

מחלקת ההגנה בממשל הדגישה כי יש למקד מאמצים בניהול סיכונים באבטחת הסייבר של שרשראות האספקה כדי להתמודד עם איומים מצד ספקים, מוצריהם ותת-רכיבים, והשרשרת עצמה. מחלקת ההגנה ממליצה על שיפור המודיעין לגבי איומי הסייבר עם הפקת דוחות יותר מפורטים ועדכוני מודיעין על איומי סייבר . המחלקה מציעה גם להגביר את השיתוף של מודיעין סייבר מסווג ובלתי מסווג על ידי הרחבת סביבת שיתוף המידע של המרכז לפשיעת סייבר והמרכז לשיתוף פעולה באבטחת סייבר של הסוכנות לביטחון לאומי, כך לפי fedscoop.com.