מערך הסייבר הלאומי פירסם מסמך שנועד להוות תשתית למסמך דרישות מלא עבור דרישות הגנת סייבר במכרזים ובהתקשרויות עם ספקי ענן

מערך הסייבר הלאומי במשרד ראש הממשלה אומר כי ארגונים, עסקים וחברות רבות במשק הישראלי מנהלים התקשרות עם ספקים לצורך אחסון וניהול מידע בענן.

“בהתקשרות עם ספקים לטובת אחסון, עיבוד וניהול מידע בענן, גלומים יתרונות רבים לארגון. לצד יתרונות אלו, טמונים סיכונים במרחב הסייבר אשר אופייניים לעבודה אל מול ספקים מסוג זה. סיכונים אלו עשויים לנבוע ממספר גורמים. ניתן לחלק גורמים אלו באופן הבא:

+ סיכונים שמקורם ברמת הגנה נמוכה אצל הספק  כגון הגדרות אבטחה לא טובות של שרתים וציוד תקשורת, שימוש במנגנון הזדהות חלש, אי מימוש הצפנה ועוד. לרוב, סיכונים אלו נובעים מחוסר מודעות או משאבים, ולרוב הם מתרחשים ללא כוונת זדון של הספק.

+ סיכונים שמקורם באיום הפנימי (כגון עובדים אצל הספק אשר מחליטים לבצע שימוש לא מורשה במידע של הלקוח).

+ סיכונים שמקורם בהתנהלות אצל הלקוח או רוכש השירות – כגון ניהול הרשאות לקוי, אי ביצוע ביקרת ובקרה ועוד.

+ סיכונים שמקורם בתיאום ציפיות לא מלא מול הספק.

+ סיכונים משפטיים הנובעים מאי עמידה בדרישות ההגנה למידע מוגן (דוגמת PHI/PII). פעמים רבות, הפער נובע מחוסר בהגדרה ברורה של חלוקת הסמכות והאחריות שבין הספק ללקוח בהיבט ההגנה על המערכת או השירות. שימוש במטריצת RACI מהווה כלי עזר יעיל ואפקטיבי להגדרת חלוקת האחריות בין הצדדים”.

לנוכח הסיכונים הללו פירסם לאחרונה מערך הסייבר מסמך שנועד להוות תשתית למסמך דרישות מלא עבור דרישות הגנת סייבר במכרזים ובהתקשרויות עם ספקי ענן ולרכז כלים ישימים לספקים מטעם מערך הסייבר בנושא.

“לטובת התקשרות עם ספק חיצוני, נדרש לוודא כי הוא מיישם רמת הגנה נאותה. מסמך הדרישות מפרט את הקריטריונים לרמת הגנה נאותה”.