La seguridad cibernética de la cadena de suministro se refiere a los esfuerzos para mejorar la seguridad cibernética dentro de la cadena de suministro . Es un subconjunto de la seguridad de la cadena de suministro y se centra en la gestión de los requisitos de seguridad cibernética para sistemas , software y redes de tecnología de la información , que son impulsados por amenazas como el terrorismo cibernético , el malware , el robo de datos y la amenaza persistente avanzada (APT). . Las actividades típicas de ciberseguridad de la cadena de suministro para minimizar los riesgos incluyen comprar solo a proveedores de confianza, [1] desconectar las máquinas críticas de las redes externas y educar a los usuarios sobre las amenazas y las medidas de protección que pueden tomar.
El subsecretario adjunto interino de la Dirección de Programas y Protección Nacional del Departamento de Seguridad Nacional de los Estados Unidos , Greg Schaffer, declaró en una audiencia que es consciente de que hay casos en los que se ha encontrado malware en dispositivos electrónicos e informáticos importados vendidos dentro de los Estados Unidos. Estados. [2]
Ejemplos de amenazas a la seguridad cibernética de la cadena de suministro
- Hardware de red o computadora que ya se entrega con malware instalado.
- Malware que se inserta en software o hardware (por varios medios)
- Vulnerabilidades en aplicaciones de software y redes dentro de la cadena de suministro que son descubiertas por piratas informáticos malintencionados.
- Hardware informático falsificado
Esfuerzos relacionados con el gobierno de EE. UU.
- Iniciativa cibernética nacional integral
- Regulaciones de Adquisiciones de Defensa: Anotado en la sección 806 de la Ley de Autorización de Defensa Nacional
- Estrategia internacional para el ciberespacio : La Casa Blanca expone por primera vez la visión de Estados Unidos de una Internet segura y abierta. La estrategia describe tres temas principales: diplomacia, desarrollo y defensa.
- Diplomacia : La estrategia se propone “promover una infraestructura de información y comunicación abierta, interoperable, segura y confiable” mediante el establecimiento de normas de comportamiento estatal aceptable construidas a través del consenso entre las naciones.
- Desarrollo : A través de esta estrategia, el gobierno busca "facilitar la creación de capacidad en ciberseguridad en el extranjero, bilateralmente y a través de organizaciones multilaterales". El objetivo es proteger la infraestructura de TI global y construir asociaciones internacionales más estrechas para mantener redes abiertas y seguras.
- Defensa : La estrategia dice que el gobierno "se asegurará de que los riesgos asociados con atacar o explotar nuestras redes superen ampliamente los beneficios potenciales" y pide a todas las naciones que investiguen, aprehendan y procesen a los delincuentes y actores no estatales que se inmiscuyan y perturben la red. sistemas.
Esfuerzos gubernamentales relacionados en todo el mundo
- Rusia: Rusia ha tenido requisitos de certificación de funcionalidad no divulgados durante varios años y recientemente inició el esfuerzo de la Plataforma Nacional de Software basado en software de código abierto. Esto refleja el aparente deseo de autonomía nacional, reduciendo la dependencia de proveedores extranjeros.
- India: Reconocimiento del riesgo de la cadena de suministro en su borrador de Estrategia Nacional de Ciberseguridad. En lugar de apuntar a productos específicos para su exclusión, está considerando políticas de innovación indígena, dando preferencias a los proveedores nacionales de TIC para crear una presencia nacional sólida y competitiva a nivel mundial en el sector.
- China: A partir de los objetivos del XI Plan Quinquenal (2006-2010), China introdujo y aplicó una combinación de políticas de innovación indígena agresivas y centradas en la seguridad. China exige que se utilice un catálogo de productos de innovación autóctona para sus adquisiciones gubernamentales y que implemente un Esquema de protección multinivel (MLPS) que requiere (entre otras cosas) que los desarrolladores y fabricantes de productos sean ciudadanos chinos o personas jurídicas, y tecnología básica y clave del producto. los componentes deben tener derechos de propiedad intelectual chinos o indígenas independientes. [3]
Esfuerzos del sector privado
- SLSA (Niveles de cadena de suministro para artefactos de software) es un marco de trabajo integral para garantizar la integridad de los artefactos de software en toda la cadena de suministro de software. Los requisitos se inspiran en la " Autorización binaria para Borg " interna de Google que ha estado en uso durante los últimos 8 años o más y que es obligatoria para todas las cargas de trabajo de producción de Google. El objetivo de SLSA es mejorar el estado de la industria, particularmente el código abierto, para defenderse de las amenazas a la integridad más urgentes. Con SLSA, los consumidores pueden tomar decisiones informadas sobre la postura de seguridad del software que consumen. [4]
otras referencias
- Centro de análisis e intercambio de información del sector financiero
- Estrategia internacional para el ciberespacio (de la Casa Blanca)
- NSTIC
- Informe técnico de SafeCode
- Trusted Technology Forum y Open Trusted Technology Provider Standard (O-TTPS)
- Solución de seguridad de la cadena de suministro cibernética
- Implantes de malware en firmware
- Cadena de suministro en la era del software
- GRUPO DE TRABAJO DE GESTIÓN DE RIESGOS DE LA CADENA DE SUMINISTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES: INFORME INTERMEDIO
Ver también
Referencias
- ^ Mayounga, Andre (mayo de 2017). Visibilidad de la cadena de suministro cibernética: una teoría fundamentada de la seguridad cibernética con gestión de la cadena de suministro - ProQuest .
- ^ "Seguridad nacional: dispositivos, componentes que vienen con malware" . InformationWeek . 2011-07-11 . Consultado el 16 de septiembre de 2011 .
- ^ "Consultoría Bridewell" . Jueves, 22 de abril de 2021
- ^ "Presentamos SLSA, un marco integral para la integridad de la cadena de suministro" . Blog de seguridad en línea de Google . Consultado el 17 de junio de 2021 .