BitSight - דירוג סיכוני ספקים לענף הביטוח והפיננסים
חברת BitSight היא חלוצה בתחום דירוג סיכוני סייבר, והיצרן המוביל על פי Gartner לפתרונות דירוג סיכוני אבטחה של ספקי הארגון ודירוג סיכוני אבטחה עבור פוליסות סייבר. מניתוח השירותים הפיננסים, כשלים ומתקפות שהתממשו בשנים האחרונות, עולה כי שרשרת האספקה מהווה גורם מהותי לרציפות וחוסן המערכת, ועל כן קיימת חשיבות גבוהה לחזקה.
החברה מציעה את הפתרון המוביל ביותר בשוק המאפשר לזהות, למדוד ולהעריך את הסיכון של ארגונים באבטחת סייבר למול התקשורת מול הספקים של הארגון. הפתרון גם מציג את נקודות התורפה של ספקי הארגון (צד ג') ,וספקי הספקים (צד ד') בשרשרת האספקה, ע"י ניקוד ודירוג הסיכון למול הארגון לכל ספק וספק. הפתרון מיועד למנהלי אבטחת מידע ומנהלי סיכונים וכן עבור חברות ביטוח, סוכנים ואקטוארים.
האתגרים
בשנים האחרונות אנו עדים להתקפות חוזרות ונשנות על מערכות מידע שונות. חולשה רבה נחשפה במערכות לניהול שרשרת האספקה כשהתקפות הראו באיזו קלות ניתן להשתמש בתוכנות חיצוניות כדי להשיג גישה לארגון. איום זה צפוי לצמוח בשנים הבאות מכיוון שהתוקפים זיהו שהארגונים אומנם מגנים על עצמם, אך נמצאים בקשר עם גורמים רבים שאינם מוגנים. לעיתים מדובר במאות גורמים לכל ארגון. אותם גורמים, כגון ספקי שירותים מחוברים לרשת של הארגון ומהווים מקור קל לגורמים עויינים להתקיף את מערכותיו. הקשר בין מערכות הארגון למערכות שאינן מוגנות הוא יום יומי ולעיתים מתרחש פעמים רבות ביום, לדוגמא מערכות לניהול תוכן ואחסון אתרים. כך נוצר מקור עצום וקל לפרצות אבטחה. לארגון נוצרת חשיפה להתקפות משרשרת האספקה שלו. הבקרה על שרשרת האספקה אינה מספקת. הבקרה מתבצעת רק באמצעות סקרים חד פעמיים שלא נותנים מענה לסיכון.
לארגונים בענף הפיננסי יש אתגר נוסף בכל הקשור לשרשרת האספקה, שכן רגולציה שנכנסה לתוקפה בסוף שנת 2017 מחייבת מוסדות פיננסיים לבקר סיכונים שמקורם בשרשרת האספקה, לנהל את מדיניות הספקים ולוודא כי הם אינם מהווים סיכון לארגון. מכאן עלה הצורך בניתוח הסיכון, מדידתו וניהולו.
פוליסות סיכוני סייבר החלו תופסות תאוצה בשנים האחרונות, עקב אירועי התקפות סייבר רבים. על חברות הביטוח להעריך את סיכוני המבוטחים, לנהל את תיקי הלקוחות ולצמצם ככל הניתן את סיכון התביעות הפוטנציאליות. יחד עם זאת ישנו קושי רב באומדן הסיכון, הערכת הסיכון על בסיס שאלונים וחברות ניהול סיכונים רלוונטית לפרק זמן מסוים, יקרה ודורשת משאבים רבים. נוצר צורך בפתרון המבצע הערכת סיכוני סייבר וסיכוני ספקים באופן שוטף.
דירוג ביצועי האבטחה של ספקים
BitSight עונה לאתגרים אלו באמצעות הצגת פתרון המבצע דירוג ביצועי האבטחה יומיים על פרוטפוליו של ארגונים וגורמים שונים הנמצאים במעקב (למשל ספקים). המערכת מצביעה על נקודות התורפה של הגורמים השונים ומספקת תכנית לשיפור רמת האבטחה של כל אחד מהם.
יכולות עיקריות של המערכת:
- איסוף מידע של למעלה מ- 80 מיליארד אירועי רשת ביום, מלמעלה מ- 120 מקורות מידע וממאגרי נתונים של למעלה מ -50,000 חברות המשוקללים ב- 22 פרמטרים לניתוח הסיכון
- עיבוד נתוני הסיכון שנאספו באמצעות אלגוריתם המנתח את הנתונים ומסווג אותם לפי דרגת חומרה, תדירות, משך זמן וביטחון
- סיווג הסיכון ליצירת הדירוג מבוסס על בדיקת מערכות הנגועות בתוכנות זדוניות, אופן יישום בקרות האבטחה של המבוטח, פרצות אבטחה, והתנהגות משתמש שהן פוטנציאל לחשיפה
- מעקב רציף אחר המבוטח או הספק שלו ודירוג יומי, בקרת ביצועי האבטחה של 12 חודשים רטרואקטיבית
- הצבעה על נקודות תורפה - זיהוי החוליה החלשה של הספק או המבוטח, והמלצה ליישום פעילויות מתקנות
תועלות המוצר:
- משרד האוצר מכיר בסמכותה של BitSight לאשר התקשרות מול ספקים על בסיס דו"ח BitSight
- זיהוי הסיכון לפני שהתרחש
- הערכת סיכונים, הפחתת הסיכון לתביעות, והשגת רווחיות חיתומית משמעותית
- חסכון בזמן ובעלויות אומדן סיכוני המבוטח וסיכוני הספקים וספקי הספקים
- ניהול סיכונים על סמך ראיות אמיתיות לא על בסיס תגובות סובייקטיביות לשאלונים
- תרגום בעיות אבטחה מורכבות לשפה עסקית פשוטה וביסוס התמחור בהתאם לדרוג המבוטח, מאפשר להבטיח שכל ספק חדש יתאים לארגון ולאסטרטגיית אבטחת המידע שלו
- פלטפורמת SaaS אוטומטית שאינה פולשנית לרשת הארגונית - לא דורשת את חשיפת המבוטח וסודותיו, כדי להעריך את מידת החוסן שלו ביחס לחדירה אופציונאלית
BitSight מהווה את הסטנדרט בארה"ב להערכה וניקוד של ביצועי אבטחה עם נתח שוק של 70% עם למעלה מ- 1000 לקוחות. רשות ההגנה לסייבר רכשו את המערכת ומשתמשים בה לצורך הערכת החברות הגדולות במשק האמריקני. ל- BitSight מאגר הנתונים הגדול ביותר בעולם ביחס למתחריהם המאפשר לאתר כל ארגון הפועל ברשת החיצונית ולדרג את הסיכון של הפעילות.