Seguridad de la cadena de suministro digital

La seguridad de la cadena de suministro digital se refiere a los esfuerzos para mejorar la seguridad cibernética dentro de la cadena de suministro . Es un subconjunto de la seguridad de la cadena de suministro y se centra en la gestión de los requisitos de seguridad cibernética para sistemas , software y redes de tecnología de la información , que son impulsados ​​por amenazas como el ciberterrorismo , el malware , el robo de datos y la amenaza persistente avanzada (APT). . Las actividades típicas de seguridad cibernética de la cadena de suministro para minimizar los riesgos incluyen comprar solo a proveedores confiables, ^[1] desconectar máquinas críticas de redes externas y educar a los usuarios sobre las amenazas y las medidas de protección que pueden tomar.

El subsecretario adjunto interino de la Dirección de Programas y Protección Nacional del Departamento de Seguridad Nacional de Estados Unidos , Greg Schaffer, afirmó en una audiencia que tiene conocimiento de que hay casos en los que se ha encontrado malware en dispositivos electrónicos e informáticos importados vendidos dentro de Estados Unidos. Estados. ^[2]

Ejemplos de amenazas a la seguridad cibernética de la cadena de suministro

• Hardware de red o de computadora que ya se entrega con malware instalado.
• Malware que se inserta en software o hardware (por diversos medios)
• Vulnerabilidades en aplicaciones de software y redes dentro de la cadena de suministro descubiertas por piratas informáticos malintencionados.
• Hardware informático falsificado

Esfuerzos relacionados del gobierno de EE. UU.

• Iniciativa cibernética nacional integral
• Regulaciones de Adquisiciones de Defensa: Anotado en la sección 806 de la Ley de Autorización de Defensa Nacional
• Estrategia internacional para el ciberespacio: la Casa Blanca expone por primera vez la visión de Estados Unidos de una Internet segura y abierta. La estrategia describe tres temas principales: diplomacia, desarrollo y defensa.

• Diplomacia : La estrategia se propone “promover una infraestructura de información y comunicación abierta, interoperable, segura y confiable” mediante el establecimiento de normas de comportamiento estatal aceptable construidas a través del consenso entre las naciones.
• Desarrollo : A través de esta estrategia el gobierno busca “facilitar el desarrollo de capacidades en ciberseguridad en el exterior, de manera bilateral y a través de organizaciones multilaterales”. El objetivo es proteger la infraestructura global de TI y construir asociaciones internacionales más estrechas para sostener redes abiertas y seguras.
• Defensa : La estrategia señala que el gobierno “garantizará que los riesgos asociados con atacar o explotar nuestras redes superen ampliamente los beneficios potenciales” y pide a todas las naciones que investiguen, detengan y procesen a los criminales y actores no estatales que se entrometen y perturban la red. sistemas.

Esfuerzos gubernamentales relacionados en todo el mundo

• Common Criteria ofrece con el Nivel de Garantía de Evaluación (EAL) 4 una oportunidad de evaluar todos los aspectos relevantes de la seguridad de la cadena de suministro digital como el producto, el entorno de desarrollo, la seguridad de los sistemas de TI, los procesos de recursos humanos, la seguridad física y con el módulo ALC_FLR. 3 (Remediación sistemática de fallas) también procesos y métodos de actualización de seguridad incluso mediante visitas al sitio físico. EAL 4 se reconoce mutuamente en países que firmaron SOGIS-MRA y hasta ELA 2 en países que firmaron CCRA pero incluido ALC_FRL.3.
• Rusia: Rusia ha tenido requisitos de certificación de funcionalidad no divulgados durante varios años y recientemente ha iniciado el esfuerzo de la Plataforma Nacional de Software basada en software de código abierto. Esto refleja el aparente deseo de autonomía nacional, reduciendo la dependencia de proveedores extranjeros.
• India: Reconocimiento del riesgo de la cadena de suministro en su borrador de Estrategia Nacional de Ciberseguridad. En lugar de centrarse en productos específicos para su exclusión, está considerando políticas de innovación autóctona, dando preferencias a los proveedores nacionales de TIC para crear una presencia nacional sólida y globalmente competitiva en el sector.
• China: A partir de los objetivos del XI Plan Quinquenal (2006-2010), China introdujo y aplicó una combinación de políticas de innovación indígena agresivas y centradas en la seguridad. China exige que se utilice un catálogo de productos de innovación autóctona para sus adquisiciones gubernamentales y está implementando un Esquema de Protección de Niveles Múltiples (MLPS) que requiere (entre otras cosas) que los desarrolladores y fabricantes de productos sean ciudadanos o personas jurídicas chinas, y que la tecnología central y clave del producto Los componentes deben tener derechos de propiedad intelectual independientes chinos o indígenas. ^[3]

Esfuerzos del sector privado

• SLSA (Niveles de cadena de suministro para artefactos de software) es un marco de un extremo a otro para garantizar la integridad de los artefactos de software a lo largo de la cadena de suministro de software. Los requisitos están inspirados en la "Autorización binaria para Borg" interna de Google que se ha utilizado durante los últimos 8 años y que es obligatoria para todas las cargas de trabajo de producción de Google. El objetivo de SLSA es mejorar el estado de la industria, particularmente el código abierto, para defenderse de las amenazas a la integridad más apremiantes. Con SLSA, los consumidores pueden tomar decisiones informadas sobre la postura de seguridad del software que consumen. ^[4]

otras referencias

• Centro de análisis e intercambio de información del sector financiero
• Estrategia Internacional para el Ciberespacio (de la Casa Blanca)
• nstic
• Documento técnico de SafeCode archivado el 21 de octubre de 2013 en Wayback Machine.
• Foro de tecnología confiable y estándar abierto de proveedores de tecnología confiable (O-TTPS) Archivado el 3 de enero de 2012 en Wayback Machine.
• Solución de seguridad de la cadena de suministro cibernética
• Implantes de malware en el firmware
• Cadena de suministro en la era del software
• GRUPO DE TRABAJO SOBRE GESTIÓN DE RIESGOS DE LA CADENA DE SUMINISTRO DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES: INFORME PROVISIONAL

Ver también

• Cadena de suministro
• Gestión de riesgos de la cadena de suministro
• Seguridad de la cadena de suministro
• ISO/PAS 28000
• NIST
• Computación confiable

Referencias

1. Mayounga, Andre (mayo de 2017). Visibilidad de la cadena de suministro cibernético: una teoría fundamentada de la ciberseguridad con la gestión de la cadena de suministro - ProQuest.
2. "Seguridad nacional: dispositivos y componentes que contienen malware". Semana de la Información . 2011-07-11 . Consultado el 16 de septiembre de 2011 .
3. "Consultoría Bridewell".Jueves, 22 de abril de 2021
4. "Presentación de SLSA, un marco de extremo a extremo para la integridad de la cadena de suministro". Blog de seguridad en línea de Google . Consultado el 17 de junio de 2021 .