סטנדרטים חדשים בהגנת סייבר לספקי שירותים של גופי ממשל, תשתית ופיננסים
היחידה להגנת הסייבר בממשלה פרסמה הנחיה חדשה, לפיה ספקי שירות מהותיים של גופי ממשל, תשתית ופיננסים יחויבו להטמיע תקן מקובל ואחיד להגנת סייבר. מטרת ההנחיה – לשפר את אבטחת מערכות המחשוב והתשתיות החיוניות במדינה. הנחיה זו מרחיבה הוראות קודמות הקיימות אצל רגולטורים שונים כמו המפקח על הבנקים והממונה על שוק ההון לעניין התקשרות של גופים מפוקחים עם גורמים חיצוניים בנושאי אבטחת מידע.
ההנחיה מתייחסת לספקי שירותים המספקים לגורמי הממשל תמיכה ותחזוקה של מערכות המידע, אחסון נתונים רגישים מחוץ למשרד שירותי מיקור חוץ טכנולוגיים וכן ספק אשר פגיעה בו עלולה לגרום לנזק מהותי עבור הגוף הממשלתי. לאור אופי השירות שהם מעניקים, ספקים אלה הפכו למוקד משיכה להאקרים. להערכת מערך הסייבר, קיימים בישראל אלפי בתי עסק שעונים להגדרה הזו. דוגמאות לכך הן בתי דפוס המדפיסים צ'קים עבור בנקים, חברות המעניקות שירות הפצת דוא"ל, מפתחי אפליקציות ואתרים, שירותי אחסון מידע וכו'.
הנחיות יישום התקן
במטרה לייצר סטנדרט אחיד לביצוע בדיקת נאותות של ספק בהיבטי הגנת הסייבר, יחידת הסייבר הגדירה:
- ביצוע מיפוי של ספקים – זאת יתבצע באמצעות מתודולוגיה סדורה של שאלונים. השאלונים מונים כ-90 בקרות ומחולקים ל-4 תחומי בדיקה: גישה מרחוק, דרישות רוחביות, אחסון בענן ופיתוח תוכנה מאובטח;
- בודקים – על הבודקים לסיים בהצלחה הכשרה ייעודית ומבחן באופן בדיקת הספק ותהליך הסמכתו מול הגוף הייעודי;
- מערכת יוב"ל (מערכת לניהול סיכוני סייבר ואבטחת מידע) נועדה לתמוך בגופי הממשל בביצוע הבקרות בכדי להקל על המשרדים לבצע התקשרות נכונה עם ספקים מהותיים ואחרים;
יישום התקן בנוי משלבים. בשלב הראשון, יחויבו לעמוד בו ספקים של גופים קריטיים כמו בתי חולים וכן גופי ממשל. בהמשך יורחב גם לספקים של גופים פיננסיים, גופי תחבורה ועוד. בשלב האחרון, יושק מחשבון סייבר שיאפשר לספקים המעוניינים בכך לבצע בדיקה וולונטרית של הגנות הסייבר שלהם בהתאם לתקן. באמצעות בדיקה זו, יוכלו ספקים לקבל ממערך הסייבר אישור שהם עומדים בו.
על פי ההנחיה החדשה, לאחר 31.12.2020 לא תותר התקשרות של גוף ממשלתי עם ספק מהותי שאינו עומד בתקן. דרישות אלו מגולגלות בדרך כלל בהדרגה גם ספקיות המשנה שתידרשנה בתורן לעמוד בדרישות אלה.
בהקשר זה, יישום ההנחייה ישפיע לא רק על גופים המתקשרים ישירות עם משרדי ממשלה, אלא גם גופים במעגל השני ואף השלישי. השאלון המצורף להנחיה הוא לגופים עסקיים שונים על מנת לבדוק את עצמם ומידת היערכותם בנושאים של אבטחת מידע.
בעוד שאנו חיים בעידן בו אירוע סייבר הוא לא שאלה של האם אלא של מתי, שימוש בכלים אלה יכול לסייע לעסק להגן על עצמו.