Безопасность цифровой цепочки поставок

Безопасность цифровой цепочки поставок — это совокупность мероприятий, направленных на повышение уровня кибербезопасности в рамках цепочки поставок. Является частью широкой области безопасности цепочки поставок и сосредоточена на управлении требованиями к кибербезопасности для информационных технологий, программного обеспечения и сетей, обусловленными угрозами такими как кибертерроризм, вредоносное ПО, кража данных и продвинутая устойчивая угроза (APT). Типовые меры кибербезопасности цепочки поставок для минимизации рисков включают закупку только у доверенных поставщиков^[1], изоляцию критически важных машин от внешних сетей и обучение пользователей угрозам и защитным мерам, которые они могут принять.

Исполняющий обязанности заместителя министра по национальным программам и дирекциям Министерства внутренней безопасности США Грег Шаффер заявил на слушаниях, что ему известно о случаях, когда вредоносное ПО обнаруживалось на импортированных электронных устройствах и компьютерах, продаваемых в Соединённых Штатах^[2].

Сетевое или компьютерное оборудование, поставляемое уже с предустановленным вредоносным ПО.
Вредоносное ПО, встроенное в программное обеспечение или оборудование (различными способами).
Уязвимости в программных приложениях и сетях внутри цепочки поставок, обнаруживаемые злонамеренными хакерами.
Контрафактное компьютерное оборудование.

Комплексная национальная инициатива в области кибербезопасности
Регулирование оборонных закупок: отражено в разделе 806 Закона о национальной обороне США.
Международная стратегия в области киберпространства: Белый дом впервые описывает видение безопасного и открытого интернета в США. В стратегии выделены три основные темы: дипломатия, развитие и оборона.

Дипломатия: Стратегия направлена на «содействие формированию открытой, совместимой, безопасной и надёжной информационно-коммуникационной инфраструктуры» путём установления норм приемлемого поведения государств на основе консенсуса.
Развитие: С помощью данной стратегии правительство стремится «содействовать формированию потенциала кибербезопасности за рубежом, как на двусторонней, так и на многосторонней основе». Цель — защитить глобальную ИТ-инфраструктуру и выстроить международное партнёрство для обеспечения открытых и безопасных сетей.
Оборона: В стратегии подчеркивается, что «риски, связанные с атаками на наши сети либо их эксплуатацией, будут значительно превышать потенциальные выгоды», и призывается все государства расследовать, задерживать и привлекать к ответственности киберпреступников и негосударственных акторов, нарушающих работу сетей.

Common Criteria с уровнем EAL 4 предоставляет возможность оценивания всех аспектов безопасности цифровой цепочки поставок: продукта, среды разработки, ИТ-систем, процессов управления персоналом, физической безопасности, а с модулем ALC_FLR.3 (Систематическое устранение изъянов) — также процессов и методов обновления безопасности, включая возможность проведения проверок на местах. EAL 4 признаётся странами, подписавшими SOGIS-MRA, и до уровня EAL 2 странами, ратифицировавшими CCRA, включая ALC_FRL.3.
Россия: В России на протяжении нескольких лет действуют требования по сертификации, направленной на недопущение неразглашённого функционала, а также реализуется инициатива Национальной программной платформы на основе открытого ПО. Это отражает стремление к национальной автономии и снижению зависимости от иностранных поставщиков.
Индия: В проекте Национальной стратегии по кибербезопасности признан риск цепочек поставок. Вместо исключения отдельных продуктов предлагается политика поддержки внутрирынковых инноваций, предоставление приоритетов национальным производителям ИКТ для формирования устойчивого и конкурентоспособного сектора.
Китай: Следуя целям одиннадцатой пятилетки (2006–2010), КНР внедрила и реализует сочетание мер, направленных на безопасность и агрессивную поддержку собственных инноваций. Для государственных закупок обязателен каталог отечественных инновационных продуктов и вводится многоуровневая схема защиты (MLPS), требующая, в числе прочего, чтобы разработчики и производители продуктов были гражданами или юридическими лицами Китая, а базовые технологии и ключевые компоненты — обладали независимыми китайскими (отечественными) правами интеллектуальной собственности^[3].

SLSA (Supply-chain Levels for Software Artifacts) — фреймворк для обеспечения целостности программных артефактов на всём протяжении цепочки поставок ПО. Требования фреймворка вдохновлены внутренней системой «Google Binary Authorization for Borg», применяемой более восьми лет во всех рабочих нагрузках компании. Цель SLSA — повысить отраслевые стандарты, особенно в области открытого ПО, чтобы противостоять наиболее актуальным угрозам целостности. Благодаря SLSA, потребители могут принимать информированные решения о безопасности приобретаемого программного обеспечения^[4].

↑ Mayounga, Andre. Cyber-Supply Chain Visibility: A Grounded Theory of Cybersecurity with Supply Chain Management : [англ.]. — май 2017.
↑ Homeland Security: Devices, Components Coming In With Malware (англ.), InformationWeek (11 июля 2011). Архивировано 13 июля 2011 года. Дата обращения: 20 июня 2024.
↑ Bridewell Consulting (англ.) (22 апреля 2021). Дата обращения: 20 июня 2024.
↑ Introducing SLSA, an End-to-End Framework for Supply Chain Integrity (англ.). Google Online Security Blog. Дата обращения: 20 июня 2024. Архивировано 11 октября 2025 года.

Центр совместного обмена информацией и анализа для финансового сектора
Международная стратегия в области киберпространства (Белый дом)
Национальная стратегия по обеспечению доверия в цифровой идентификации (NSTIC)
Доклад SafeCode по контролю целостности программного обеспечения SafeCode_Software_Integrity_Controls0610.pdf (англ.). Internet Archive. Дата обращения: 20 июня 2024. Архивировано 21 октября 2013 года.
Trusted Technology Forum и стандарт Open Trusted Technology Provider (O-TTPS) Trusted Technology Forum (англ.). Internet Archive. Дата обращения: 20 июня 2024. Архивировано 3 января 2012 года.
Решения по безопасности цифровых цепочек поставок от TopHat Security
Вредоносные внедрения в прошивку
Цепочка поставок в эпоху программного обеспечения
Промежуточный отчёт рабочей группы по управлению рисками цепочки поставок ИКТ

[1] Mayounga, Andre. Cyber-Supply Chain Visibility: A Grounded Theory of Cybersecurity with Supply Chain Management : [англ.]. — май 2017.

[2] Homeland Security: Devices, Components Coming In With Malware (англ.), InformationWeek (11 июля 2011). Архивировано 13 июля 2011 года. Дата обращения: 20 июня 2024.

[3] Bridewell Consulting (англ.) (22 апреля 2021). Дата обращения: 20 июня 2024.

[4] Introducing SLSA, an End-to-End Framework for Supply Chain Integrity (англ.). Google Online Security Blog. Дата обращения: 20 июня 2024. Архивировано 11 октября 2025 года.

[1]

[2]

[3]

[4]

Безопасность цифровой цепочки поставок

Примеры киберугроз в цепочке поставок

Связанные инициативы правительства США

Связанные глобальные государственные инициативы

Инициативы частного сектора

Примечания

Ссылки

Категории