Seguridad de la cadena de suministro digital

La seguridad de la cadena de suministro digital se refiere a los esfuerzos para mejorar la seguridad cibernética dentro de la cadena de suministro . Es un subconjunto de la seguridad de la cadena de suministro y se centra en la gestión de los requisitos de seguridad cibernética para los sistemas de tecnología de la información , el software y las redes , que se ven impulsados ​​por amenazas como el ciberterrorismo , el malware , el robo de datos y la amenaza persistente avanzada (APT). Las actividades típicas de seguridad cibernética de la cadena de suministro para minimizar los riesgos incluyen comprar solo a proveedores confiables, ^[1] desconectar máquinas críticas de redes externas y educar a los usuarios sobre las amenazas y las medidas de protección que pueden tomar.

El subsecretario adjunto interino de la Dirección de Protección Nacional y Programas del Departamento de Seguridad Nacional de los Estados Unidos , Greg Schaffer, declaró en una audiencia que tiene conocimiento de que hay casos en los que se ha encontrado malware en dispositivos electrónicos y de computadora importados y vendidos dentro de los Estados Unidos. ^[2]

Ejemplos de amenazas a la ciberseguridad de la cadena de suministro

• Hardware de red o computadora que se entrega con malware ya instalado en él.
• Malware que se inserta en el software o hardware (por diversos medios)
• Vulnerabilidades en aplicaciones de software y redes dentro de la cadena de suministro que son descubiertas por piratas informáticos maliciosos
• Hardware informático falsificado

Esfuerzos relacionados del gobierno de EE.UU.

• Iniciativa cibernética nacional integral
• Reglamento de Adquisiciones de Defensa: Se menciona en la sección 806 de la Ley de Autorización de Defensa Nacional
• Estrategia internacional para el ciberespacio: la Casa Blanca expone por primera vez la visión de Estados Unidos para una Internet segura y abierta. La estrategia destaca tres temas principales: diplomacia, desarrollo y defensa.

• Diplomacia : La estrategia se propone “promover una infraestructura de información y comunicación abierta, interoperable, segura y confiable” mediante el establecimiento de normas de comportamiento estatal aceptable construidas a través del consenso entre las naciones.
• Desarrollo : Mediante esta estrategia, el gobierno busca “facilitar el desarrollo de capacidades en materia de ciberseguridad en el extranjero, de manera bilateral y a través de organizaciones multilaterales”. El objetivo es proteger la infraestructura informática global y establecer alianzas internacionales más estrechas para mantener redes abiertas y seguras.
• Defensa : La estrategia exige que el gobierno “garantizará que los riesgos asociados con atacar o explotar nuestras redes superen ampliamente los beneficios potenciales” y pide a todas las naciones que investiguen, detengan y procesen a los criminales y actores no estatales que se entrometen y perturban los sistemas de red.

Esfuerzos gubernamentales relacionados en todo el mundo

• Common Criteria ofrece con Evaluation Assurance Level (EAL) 4 la oportunidad de evaluar todos los aspectos relevantes de la seguridad de la cadena de suministro digital como el producto, el entorno de desarrollo, la seguridad de los sistemas de TI, los procesos en recursos humanos, la seguridad física y con el módulo ALC_FLR.3 (Systematic Flaw Remediation) también los procesos y métodos de actualización de seguridad incluso mediante visitas físicas al sitio. EAL 4 es mutuamente reconocido en los países que firmaron SOGIS -MRA y hasta ELA 2 en los países que firmaron CCRA pero que incluyen ALC_FRL.3.
• Rusia: Rusia ha tenido requisitos de certificación de funcionalidad no divulgada durante varios años y recientemente ha iniciado la iniciativa de una Plataforma Nacional de Software basada en software de código abierto. Esto refleja el aparente deseo de autonomía nacional, reduciendo la dependencia de proveedores extranjeros.
• India: Reconocimiento del riesgo de la cadena de suministro en su borrador de Estrategia Nacional de Ciberseguridad. En lugar de excluir productos específicos, está considerando políticas de innovación autóctona, dando preferencia a los proveedores nacionales de TIC para crear una presencia nacional sólida y competitiva a nivel mundial en el sector.
• China: A partir de los objetivos del 11.º Plan Quinquenal (2006-2010), China introdujo y aplicó una combinación de políticas de innovación autóctona agresivas y centradas en la seguridad. China exige que se utilice un catálogo de productos de innovación autóctona para sus compras gubernamentales y está implementando un Sistema de Protección Multinivel (MLPS) que exige (entre otras cosas) que los desarrolladores y fabricantes de productos sean ciudadanos o personas jurídicas chinas, y que la tecnología básica y los componentes clave de los productos deben tener derechos de propiedad intelectual independientes chinos o autóctonos. ^[3]

Esfuerzos del sector privado

• SLSA (Supply-chain Levels for Software Artifacts) es un marco de trabajo de extremo a extremo para garantizar la integridad de los artefactos de software a lo largo de la cadena de suministro de software. Los requisitos están inspirados en la "Autorización binaria para Borg" interna de Google que se ha utilizado durante los últimos 8 años y que es obligatoria para todas las cargas de trabajo de producción de Google. El objetivo de SLSA es mejorar el estado de la industria, en particular el código abierto, para defenderse de las amenazas de integridad más urgentes. Con SLSA, los consumidores pueden tomar decisiones informadas sobre la postura de seguridad del software que consumen. ^[4]

Otras referencias

• Centro de análisis e intercambio de información del sector financiero
• Estrategia internacional para el ciberespacio (desde la Casa Blanca)
• NSTIC
• Documento técnico de SafeCode Archivado el 21 de octubre de 2013 en Wayback Machine
• Foro de Tecnología de Confianza y el Estándar Abierto de Proveedor de Tecnología de Confianza (O-TTPS) Archivado el 3 de enero de 2012 en Wayback Machine
• Solución de seguridad para la cadena de suministro cibernética
• Implantes de malware en el firmware
• La cadena de suministro en la era del software
• GRUPO DE TRABAJO SOBRE GESTIÓN DE RIESGOS EN LA CADENA DE SUMINISTRO DE TECNOLOGÍA DE LA INFORMACIÓN Y LAS COMUNICACIONES: INFORME PROVISIONAL

Véase también

• Cadena de suministro
• Gestión de riesgos en la cadena de suministro
• Seguridad de la cadena de suministro
• ISO/PAS 28000
• Instituto Nacional de Estándares y Tecnología (NIST)
• Computación confiable

Referencias

1. Mayounga, Andre (mayo de 2017). Visibilidad de la cadena de suministro cibernética: una teoría fundamentada de la ciberseguridad con la gestión de la cadena de suministro - ProQuest.
2. "Seguridad nacional: dispositivos y componentes que contienen malware". InformationWeek . 11 de julio de 2011 . Consultado el 16 de septiembre de 2011 .
3. "Consultoría Bridewell".Jueves, 22 de abril de 2021
4. "Presentación de SLSA, un marco integral para la integridad de la cadena de suministro". Blog de seguridad en línea de Google . Consultado el 17 de junio de 2021 .