ווקטור ההתקפה המוביל, על שירותים פיננסיים

מרץ 2026. שתים עשרה יום. חמש מתקפות שרשרת אספקה.

Trivy, Checkmarx, LiteLLM, Telnyx, Axios — חמישה כלים שארגונים סומכים עליהם מדי יום. כולם נפרצו בזה אחר זה.

ה-irony הכי מרה: Trivy הוא כלי לסריקת חולשות אבטחה. הוא עצמו הפך לנשק. הוא רץ עם הרשאות גבוהות — בדיוק אלה שצריך כדי לסרוק — ואותן הרשאות שימשו נגד הארגון.

זה לא באג. זה המודל החדש.

הכסף עוקב אחרי הכסף

ב-31 במרץ, שתי גרסאות זדוניות של Axios הופצו דרך מאגר הקוד הפתוח הגדול בעולם. הספרייה הזו מורדת 70 מיליון פעמים בשבוע. Microsoft ייחסה את המתקפה לשחקן מדינתי צפון קוריאני — ממוקדת ספציפית בקרנות הון סיכון, חברות פינטק ופלטפורמות קריפטו.

לא מתקפה אקראית. מתקפה על כסף.

ובאוקטובר 2025, פריצה לשרת Consulting של Red Hat חשפה 570GB של נתונים מ-28,000 מאגרי קוד — כולל דוחות תשתית, API keys ותצורות רשת של לקוחות כמו Bank of America, JPMorgan Chase וגופי ממשל אמריקאיים. לא פריצה ישירה לבנקים. פריצה ליועץ שעבד איתם. התוצאה זהה: פרטי הגנה פנימיים בידי גורם עוין.

ובאוגוסט 2025, מתקפת כופר על Marquis — חברת פינטק שמספקת שירותי תוכנה לגופים פיננסיים — חשפה נתונים רגישים של 74 בנקים וקואופרטיבים בבת אחת. 672,000 לקוחות. מספר ביטוח לאומי, פרטי חשבון, תאריכי לידה. הכל.

שבעים וארבעה מוסדות. מפריצה אחת. לספק אחד.

מה שמנהלים לא רואים

אפשר לחשוב שזו בעיה של ענקיות. של JPMorgan ו-Bank of America שיש להם תקציבי אבטחה של מאות מיליונים. אבל זה בדיוק מה שחברות קטנות ובינוניות חושבות — עד שזה קורה להן, ואז מתברר שהן לא היו פחות חשופות, רק פחות מדוברות.

זו תבנית שחוזרת על עצמה: ספקים חיצוניים עם גישה פעילה לסביבת ייצור — ללא ניטור, ללא הגבלת זמן, וללא ידיעת ה-CTO. החוזים חתומים. ה-access לא נסגר. אף אחד לא שאל מתי בפעם האחרונה נבדקה רשימת הגישות הפעילות.

זה לא חריג. זה הנורמה.

רוב הארגונים יודעים מי הספקים שלהם. מעטים יודעים מה הספקים האלה יכולים לעשות ברגע זה ממש בתוך הסביבה שלהם. ניהול סיכוני ספקים אמיתי — vendor risk management — זה לא טופס שנתי. זה ידע עדכני, חי, על מה פתוח ולמי.

Zero Trust לא מספיק — וצריך להגיד את זה

התעשייה מדברת על Zero Trust כאילו זו התשובה. היא לא. Zero Trust בלי מיפוי ספקים אמיתי הוא שלט יפה על דלת פתוחה. ראיתי חברות שהשקיעו מאות אלפי דולר בארכיטקטורת אפס-אמון — ולצד זה נתנו לספק חיצוני גישת SSH פתוחה לשרת הייצור שלהן מאז 2021.

אבטחת שרשרת אספקה היא לא שכבה נוספת על גבי מה שיש. היא דרך חשיבה אחרת לגמרי על מה בכלל שייך ל"תוך" הארגון.

הזווית שמשקיעים מתחילים לשאול

ב-2026, מתקפות שרשרת האספקה הפכו לווקטור ההתקפה המוביל על שירותים פיננסיים. המשמעות לכל מי שמחזיק פורטפוליו: הנזק מפריצה לא נשאר בתוך החברה. הוא מופיע בדוחות רגולטוריים, בביטחון הלקוחות, ובסופו של דבר במניה.

בדיקת נאותות סייבר — cyber due diligence — כבר לא מסתיימת בשאלה "האם יש לכם מדיניות סיסמאות." השאלה שחשובה יותר היא: מה חשיפת חברות הפורטפוליו שלכם דרך הצד העיוור — הספקים, היועצים, כלי הפיתוח?

חברה שנראית מוגנת מבפנים עשויה להיות פתוחה לחלוטין דרך הספקים שלה.

השאלה הפשוטה שכדאי לשאול: כמה ישויות חיצוניות יש להן גישה לנתוני הליבה של החברה — ומי אחראי על הרשימה הזו?

אם אין תשובה מיידית — זו לא בעיה טכנית. זו חשיפה עסקית.

הצעד הראשון הוא לא רכישת כלי. הוא לדעת מה קיים. מיפוי תלויות ספקים אמיתי — לא טופס שנתי, לא סקר חיצוני — אלא הבנה חיה של מה פתוח, למי, ומדוע.

רעות מנשה היא מייסדת ומנכ"לית Tetrisponse, חברת סייבר-כ-שירות המספקת מחלקת אבטחה חיצונית לסטארטאפים וחברות צמיחה, ומייסדת CyberPPL, רשת מומחי סייבר עצמאיים ומסוננים לצרכי אבטחה מדויקים.