מלחמת הסחר ואבטחת סייבר – מה חשוב לקחת בחשבון בשרשרת האספקה?
למרות ששום חברה לא הוזכרה בשמה, ברור לכולם שהכוונה הייתה נגד חברות טכנולוגיה סיניות, ובמיוחד וואיוואי (Huawei), חברת סינית מובילה, אשר גורמי ביטחון אמריקניים טוענים שקשריה ההדוקים עם הממשל הסיני נובעים בין היתר מכך שהיא מאפשרת למודיעין הסיני להשתמש בציוד שהיא מוכרת לצרכי ריגול. החשש האמריקאי הוא שאם וואיוואי תקים את תשתית הדור הבא הסלולארי G5, תהיה בעצם לממשל הסיני גישה חופשית לכל המידע שיועבר דרך תשתית זו. איום זה נתפס כל כך חמור, עד שמשרד החוץ האמריקאי מפעיל לחצים גם על בנות בריתה של ארה"ב להימנע מלהשתמש בציוד של וואיוואי מאותם סיבות, ואף טוען ששיתוף הפעולה המודיעיני ייפגע אם לא יעשו כן, שכן לא תוכל לבטוח שהמידע המועבר אכן יישאר חסוי.
בין אם מדובר בחשש אמיתי, ובין אם הנשיא טראמפ משתמש באצטלה ביטחונית על מנת לפגוע בכלכלה הסינית כחלק ממלחמת הסחר בין ארה"ב וסין, אין ספק שהאירוע משמש כזרקור אל חשיבות אבטחת המידע בשרשרת האספקה שהיא גלובאלית ומורכבת מאינספור סגמנטים ומדדים שמעידים על יעילות שרשרת האספקה – עלויות נמוכות, חדשנות בקצב מהיר, מיקום, מחיר, יעד מגוון של מוצרים ועוד. נקודות אלה מהוות גם את נקודת התורפה של השרשרת, שכן כל חוליה בשרשרת יכולה להיות חשופה לפגיעה על ידי גורמים עוינים, החל מהתשתית ובמיקור המוצרים (כמו בדוגמה של וואיוואי) וכלה בשלבי הרכש, ניהול המלאי, אריזה ושילוח המוצר או השירות לחברות ייצור או ללקוח הקצה.
שמירה על בטחון המידע בכל אחד מהשלבים הללו אינו הכרחי רק על מנת להגן על המוצר מפגיעה או מריגול תעשייתי. כפי שהדוגמא מראה, בימים אלו יש השלכות מרחיקות לכת לחברה אשר לא תוכל להפגין מעבר לכל ספק שהיא מאבטחת את המידע שלה ברמה הגבוהה ביותר, שכן אז היא תסתכן בכניסה ל"רשימה שחורה" של חברות שלא ניתן לעשות איתם עסקים.
כיוון שאבטחת מידע ברשת ובשרשרת האספקה בפרט מורכבת מאינספור שכבות מידע של תעבורה ברשת ומשתמשים, הצעד הראשוני והכי משמעותי בדרך לאבטחת שרשרת האספקה הוא הקצאה נכונה של בעלי גישה – ברמת הגישה לנתונים וברמת היכולת לבצע פעולות. כלומר, אם חברה עובדת עם מספר ספקי משנה דרך אותה מערכת ניהול דיגיטלית, צריך להקצות לכל ספק גישה אך ורק למידע שרלוונטי לו דרך הצפנת נתונים מקצה לקצה. כמו כן, יש להחליט אילו הרשאות יינתנו לספק המשנה – כתיבה, עדכון ועריכת מידע במערכת או צפייה בלבד. ככל שטווח הפעולות שלו יהיה מצומצם יותר, כך המערכת תהיה מאובטחת יותר.
עקרון זה המוכר כ-principle of least privilege (PoLP), גם מגדיר מי הם האנשים אשר יקבלו הרשאות לבצע פעולות בתוך המערכת – סמנכ"ל התפעול ועד מעובדי התפעול. או הנהג המוביל למשל.
ב-4 מילים? מינימום משתמשים, מקסימום אבטחה.