Recommended
Recommended
More Related Content
Similar to סייבר והגנת הפרטיות בהיבט דיני המכרזים
Similar to סייבר והגנת הפרטיות בהיבט דיני המכרזים (20)
סייבר והגנת הפרטיות בהיבט דיני המכרזים
- 1. סייבר איומי - המכרזי ההיבט סייבר איומי בפני התגוננות , מידע אבטחת המכרזי בהליך הפרטיות והגנת מרצה : עו " וולר רועי ד ( M.A, C.R.O, P.P.O LL.B, )
- 2. הארגוני הסייבר מרחב שינוי טשטוש הגדרת ה - Perimeter "( הגבול ההיקפי )" הארגוני מעבר לשירותים בענן היקף מערכות המידע התקנים מחוברים ( IoT ) שירותים מרחוק שירותים במיקור חוץ תלות גדלה בספקי משנה , שחלקם בחו " ל בעבר - רשתות ארגוניות סגורות ותחומות . כיום -
- 3. הארגוני הסייבר מרחב שינוי היקף תקיפות הסייבר - 83% מהחברות חוו יותר ממתקפת סייבר אחת במהלך חייהן . עליה בהיקף התקיפות של כ - 30% בכל שנה . יעדי התקיפה ו - וקטור תקיפה ( ממוקד בארגון , רמת מורכבות , מתמיד , ניצול מהיר של חולשות אבטחה ) . ב התקצר הכופר מתקפות משך - 94% שנים בשלוש הסייבר מתקפות נזקי עלויות – 6 טריליארד דולר )!( בשנת 2021 . עלות מתקפה של ממוצעת 4.35 דולר מיליון - של זינוק 13% בשנתיים . כיום -
- 5. הארגוני הסייבר מרחב שינוי ורגולציה שקיפות סייבר אירועי על דיווח חובת מידע מאגרי רישום GDPR ביטוח דרישות ( והתייקרויות ) גיאופוליטיות השפעות ועוד
- 7. זו תמונה במסגרת ברשיון ניתן ידוע לא מחבר מאת CC BY אספקה שרשרת תקיפת בעוד הארגון נוקט פעולות ומתודות במטרה להקטין פגיעויות ולצמצם פערי אבטחה , קיימות חולשות מבניות בשרשרת האספקה . כמות הספקים , רמת הגנת המידע של חלק מהספקים , יחסי האמון עם הספק , וההתקשרות הכרחיות / לא ניתנות לשינוי מסיבות שונות . מתקפות המכוונות ישירות אל אחד הספקים ( תוכנה או שירות ) של הארגון , במטרה לנצל את האמון , שארגון נותן בספק שלו כדי לחדור דרך הספק לארגון . נכון להיום , פגיעה בשרשרת האספקה הפכה לשיטה מועדפת בתקיפות הסייבר . תחקור של התקיפות מעלה כי הן מכוונות לשרשרת האספקה , שלרוב אינה בעלת מערך הגנה מקצועי ורחב כמו הארגון שלו היא מספקת
- 8. זו תמונה במסגרת ברשיון ניתן ידוע לא מחבר מאת CC BY בשנת 2021 , נרשמה עלייה של יותר מ - 650% במספר המתקפות , ביחס לשנת 2020 . 97% מהארגונים כבר הותקפו דרך שרשרת האספקה . ככל שלארגון יש יותר ספקים , הסבירות לתקיפה שמגיעה משרשרת האספקה עולה משמעותית . תקיפת שרשרת האספקה - אחד האיומים המשמעותיים כיום על חברות וארגונים . אספקה שרשרת תקיפת
- 9. המכרזים חובת לחוק כפופים הגדולים הגופים מרבית . חייבים שאינם גופים במכרז , מכרז של בדרך לרוב פועלים , רווחיהם את למקסם מנת על . אך היא המציאות - הדין להוראות ציות אי , גופים בקרב : אי בדרישות ועמידה מידע מאגרי רישום הפרטיות הגנת חוק , הפרטיות הגנת תקנות , והנחיות רמו " ט . בארגון המידע אבטחת בתחום נהלים או מדיניות היעדר . הטמעה אי , ולעומק רוחבי באופן , בארגון המידע אבטחת ומדיניות נושא של . המכרזים לעורכי מובן אינו המידע אבטחת נושא : כתוצאה , אינה היא בהוראות מתבטאת המכרזיות . המכרזים בדיני לבחירה משקל מהווה אינו מידע אבטחת . המכרזים דיני בראי סייבר
- 10. התמודדות – המכרזי ההליך טרם הערכת סיכונים ( Supply Chain Risk Management ) - מיפוי ספקים וסיווגם סוגי שירותים , היחידות מקבלות השירות בארגון , והאם הספק חתום על הסכם סודיות והנחיות אבטחת מידע של הארגון ( ככל שקיימות ) ? מיפוי רשימת הספקים לפי דרגות חשיבות או פרמטרים אחרים ( ספק קריטי , מהותי / לא מהותי , אסטרטגי וכו ' ) . האם הספק נוטל חלק מהותי בשירות קריטי של הארגון ? האם הספק מחזיק במידע רגיש של הארגון ? האם הספק חשוף למידע רגיש ? האם לספק יש גישה מרחוק ? האם קיימים אירועים / דיווחים שליליים על הספק ? התמודדות – המכרזי ההליך טרם
- 11. התמודדות – המכרזי ההליך טרם אילו אמצעי הגנה דרושים לארגון ? האם הדרישות מנוסחות ? מה ממשק ההתקשרות המבוקשת , לארגון ? אילו נתונים יועברו בין הצדדים ? איך ניתן לצמצם את הממשקים , לממשקים הכרחיים ? האם הספק חתום על הסכם סודיות והנחיות אבטחת מידע של הארגון ? אם לא - העברת מסמך הנחיות אבטחת מידע עליו יחתום כחלק מחוזה ההתקשרות . המסמך יכלול הנחיות אבטחה לעבודת הספק מול הארגון , וגם התנהלות מאובטחת פנימית ( כגון אבטחת משאבי אנוש , פיתוח מאובטח וכו ’ ) . עדכון / המידע הגנת גורם אישור / בארגון הסייבר הגנת . התמודדות – המכרזי ההליך טרם
- 12. התמודדות – המכרזי ההליך טרם תנאי סף וניקוד במכרז : תנאי סף / העדפה . דרישה להוכחת עמידה בסף מינימאלי : .3rd party risk assessment או Vendor Risk Management ; ISO ; מכון התקנים ; שאלון שרשרת האספקה . ניסוח מנגנונים חוזיים ( מגבלות אחריות ומנגנונים משפטיים אחרים על מנת למזער את הסיכונים הנובעים מרכישת המערכת / השירות מהספק ) . חתימה על תצהירים , מדיניות , הסכמי סודיות . דרישה מספקי שירותים לציית לדרישות האבטחה הארגוניות , רגולציות , סטנדרטים או תקנים מקצועיים , והנחיות . המכרזי ההליך ניסוח
Editor's Notes
- מספר המכשירים המחוברים לרשת – IoT עבר את 18 מיליארד מכשירים.
- חברות רבות התנגדו לחשוף אירועי סייבר מחשש שגילוי כזה עלול להביא להתקפות נוספות ו/או לפגיעה במוניטין שלהן. בשל חובת הדיווח של אירועי סייבר אשר הולכת ומתרחבת במספר רב של מדינות, כאשר בישראל חובת הדיווח הינה חלקית בלבד. GDPR – האסדרה הכללית להגנה על מידע, אוסף של הוראות מחייבות שהוסדרו ע"י הפרלמנט האירופאי, מועצת האיחוד האירופאי והנציבות האירופאית, ע"מ להגן על נושאי המידע באיחוד בכל הקשור לעיבוד נתונים אישיים (של אדם). הוא חל גם על גורמים מחוץ לאיחוד האירופאי, כל זמן שהם פעילים באיחוד או מעבדים מידע בנוגע לאנשים הנמצאים באיחוד (לאו דווקא אזרחי האיחוד)
- חוזק אבטחת סייבר בארגון שווה לחוזקה של החולייה החלשה ביותר בשרשרת האבטחה. ארגונים רואים יותר ויותר בשרשרת האספקה נקודת תורפה פוטנציאלית. בשל כך, נראה יותר ויותר ארגונים שיעשו שימוש בבדיקות חוסן וחשיפה בתחום אבטחת סייבר כגורם מכריע בבחירת שותפים. משמעות הדבר היא שכל שותף שיש לו גישה פוטנציאלית לנתונים או למערכות של ארגון ייבדק בקפדנות ומי שלא יוכל לעמוד בקריטריונים של סדרי אבטחה ימצא עצמו בחוץ.
- תהליך זה יסייע לעסק/ארגון למקד את המאמצים המושקעים בבדיקת האבטחה של שרשרת האספקה בספקים הנכונים ולעשות זאת בצורה אפקטיבית שירות קריטי? כלומר האם ללא השירות הניתן מהספק, הארגון אינו יכול לספק שירות מרכזי ללקוחותיו.
- במקרים אלו, ניתן לנסות לייצר לחץ על הספק באפיקים אחרים, כגון באמצעות הפניה לרגולציה/התאגדות של מספר לקוחות מול אותו הספק. כמו"כ, ניתן לעיתים )בהיעדר יכולת אפקטיבית לוודא את רמת ההגנה של הספק(, להסתמך על הסמכה בינלאומית קיימת )כגון SOC2