SolarWinds, Log4j, MOVEit – כולן פרצות שהחלו לא מהארגון עצמו, אלא ממי שסיפק לו תוכנה או שירות. ספק אחד עם אבטחה לקויה יכול לפגוע ב-אלפי לקוחות במקביל. זאת ה-supply chain attack – ואין ארגון שחסין ממנה.
נתון
לפי דוח Gartner, עד 2025 כ-45% מהארגונים בעולם יסבלו מפרצת אבטחה שמקורה בספק צד שלישי. הנתון ב-2020 היה 16% בלבד.
שלב 1: סיווג ספקים לפי רמת סיכון
לא כל ספק שווה אותה בדיקה. ספק שמחזיק גישה למסד נתונים עם PII של לקוחות שלכם שונה לחלוטין מספק ציוד משרדי. בנו מטריצה שמשלבת שני ממדים: כמות/רגישות המידע הנחשף, ורמת הגישה לתשתיות.
- Tier 1 (קריטי) – גישה למסדי נתונים, שירותי ענן, קוד מקור, ביקורות מלאות
- Tier 2 (גבוה) – שירותים עסקיים רגישים, שאלוני אבטחה ואישורי ציות
- Tier 3 (בינוני/נמוך) – כלים תפעוליים, ביקורת מינימלית, NDA בלבד
שאלות חובה בתהליך הבדיקה
- האם יש לספק תעודת ISO 27001, SOC 2 Type II, או שווה ערך?
- מה מדיניות Breach Notification שלהם? תוך כמה זמן יודיעו לכם?
- האם הם מבצעים בדיקות חדירה שנתיות? מי מבצע?
- כיצד מוגן המידע שלכם בשרתים שלהם? הצפנה at-rest ו-in-transit?
- מה תהליך off-boarding שלהם כשמפסיקים שירות?
- האם יש להם ספקי sub-processor? מה בדיקותיהם?
חוזה ה-DPA – חובה, לא אופציה
Data Processing Agreement הוא דרישה חוקית תחת GDPR וחוק הגנת הפרטיות הישראלי עבור כל ספק שמעבד מידע אישי מטעמכם. ה-DPA צריך להגדיר: מטרות העיבוד, אמצעי אבטחה, זכויות נשוא המידע, ומחיקת נתונים בסוף ההתקשרות.
ניהול סיכוני ספקים הוא תהליך חי – לא מסמך חד-פעמי. בצעו סקרים שנתיים, הגדירו נקודת קשר בכל ספק קריטי, ודאו שיש תהליך Off-boarding מסודר כולל שחזור והסרת גישות.