Глобалният киберфизичен свят заприлича на колос на глинени крака. Наред с яснотата за състоянието на  робастността по отношение на сигурността на носещите интернет протоколи [5], [6] светът започва да осъзнава и това на сигурността по веригите за доставки [2]. Темата засяга еднакво институциите, индустрията и сектора на услугите, включително и компаниите от отрасъла ИКТ (Информационни и комуникационни системи) заедно с тези, които предлагат продукти за киберсигурност.

От години следя инцидентите по сигурността, проблемите на киберсигурността свързани с веригите за доставки. Докъде стигна проблематиката  През 2015 г. публикувах статията “Сигурност във веригите за доставки на ИКТ” в списание CIO и в следващите редове предлагам едно сравнение с това време.

Инцидентите от последните две години, които са красноречиви

SolarWinds [10], [14], [16],

Log4j [4], [8]

Вижда се, че сензорите на институциите най-накрая започнаха да усещат. CISA издаде

Cybersecurity and Infrastructure Security Agency’s Emergency Directive 22-02, “Mitigate Apache Log4j Vulnerability [3].

Подробности за експедитивността на зловредните актьори при ютилизирането на Log4j могат да се видят например на адрес

https://www.zdnet.com/article/log4j-rce-activity-began-on-december-1-as-botnets-start-using-vulnerability/

https://endpoint.tanium.com/biden-administration-orders-agencies-to-patch-hundreds-of-cyber-flaws

 

Проблемът е широк, а в следващите редова са засегнати следните  зони от него.

Веригите за доставки се усложняват. Връзките между компаниите се умножават, а управлението на риска от киберинциденти  в делегираните отношения намалява. Доверието ерозира поради нарастване на броя и тежестта на:

  • откритите слабости в продуктите на контрагентите;
  • и обхвата на инцидентите по сигурността;
  • отделните инциденти в аспектите (1) технологични мерки за отстраняване на слабостите и (2) организационни мерки за възстановяване по веригата за пласмент и други свързани организации (например застрахователни компании).

Научните изследвания по темите, които са свързани с инцеденти по киберсигурността обикновено се забявят. Това се дължи на факта, че те определено вървят след събитията. Рядко се срещат публикации, които изпреварват реалната обстановка в цифровия свят. Това направление се развива основно в лабораториите на отделни компании или от отделни изследователи, които изследват устройства и приложения за слабости в сигурността. Отделна е темата за публичността на резултатите им. Понякога добрите намерения на самостоятелните изследователи свършват неприятно за тях, тъй като биват обвинявани по различни начини.

Сечение в базата данни на Scopus с ключови думи “supply chain cybersecurity” дава следната картина за изследванията на учените от различните страни.

 

[1]         Telecommunications Industry Association. Securing the network : Cybersecurity recommendations for critical infrastructure and the global supply chain, 2012.

[2]         Steven Carnovale and Sengun Yeniyurt. Cyber Security and Supply Chain Management. WORLD SCIENTIFIC, jun 2021. doi: 10.1142/12140.

[3]         CISA. Emergency Directive 22-02  CISA, 12 2021. URL https://­www.cisa.gov/­emergency-directive-22-02. [Online; accessed 29. Dec. 2021].

[4]         Cybersecurity & Infrastructure Security Agency. FBI-CISA Joint Advisory on Exploitation of Fortinet FortiOS Vulnerabilities, 4 2021. URL https://­us-cert.cisa.gov/­ncas/­current-activity/­2021/­04/­02/­fbi-cisa-joint-advisory-exploitation-fortinet-fortios. [Online; accessed 29. May 2021].

[5]         Willian A. Dimitrov and Galina S. Panayotova. The impacts of dns protocol security weaknesses. ISSN 1796-2021 (Online); 2374-4367 (Print). doi: 10.12720/jcm.15.10.722-728. URL http://­www.jocm.us/­show-245-1596-1.html.

[6]         Michael Still & Eric C. McCreath. Ddos protections for smtp servers. International Journal of Computer Science and Security (IJCSS), Volume (4) : Issue (6).

[7]         Elizabeth McDaniel. Securing the information and communications technology global supply chain from exploitation: Developing a strategy for education, training, and awareness. In Eli Cohen and Elizabeth Boyd, editors, Proceedings of Proceedings of the Informing Science and Information Technology Education Conference 2013, pages 313–324. Informing Science Institute, July 2013. URL http://­www.editlib.org/­p/­114682.

[8]         NCSC. Log4j vulnerability – what everyone needs to know. 12 2021. URL https://­www.ncsc.gov.uk/­information/­log4j-vulnerability-what-everyone-needs-to-know.

[9]         European Network and Information Security Agency (ENISA). Supply chain integrity. an overview of the ict supply chain risks and challenges, and vision for the way forward. 2012.

[10]       New York State Department of Financial Services. Report on the solarwinds cyber espionage attack and institutions’ response. URL https://­www.dfs.ny.gov/­system/­files/­documents/­2021/­04/­solarwinds_report_2021.pdf.

[11]       Celia Paulsen Computer Security Division IT Laboratory NIST, US Department of Commerce. Ict supply chain risk management, June 2013. URL http://­csrc.nist.gov/­groups/­SMA/­forum/­documents/­june2013_presentations/­forum_june2013_cpaulsen.pdf.

[12]       Zlatko NEDELKO Faculty of Economics and Slovenia Business, University of Maribor. The role of information and communication technology in supply chain. Logistics & Sustainable Transport Volume:1, Issue:3, 2008.

[13]       James R. Clapper Director of National Intelligence. Unclassified statement for the record on the worldwide threat assessment of the us intelligence community for the senate select committee on intelligence, January 2012. URL https://­www.hsdl.org/­?view&did=699575.

[14]       Sean Peisert, Bruce Schneier, Hamed Okhravi, Fabio Massacci, Terry Benzel, Carl Landwehr, Mohammad Mannan, Jelena Mirkovic, Atul Prakash, and James Bret Michael. Perspectives on the SolarWinds incident. 19 (2): 7–13, mar 2021. doi: 10.1109/msec.2021.3051235.

[15]       Xiaobo Guo Xiaoyan Zhang Lingling Zhao Hongyu Yang Tianbo Lu, Puxin Yao. A systematic study for ict supply chain security. School of Software Engineering Beijing University of Posts and Telecommunications, Beijing, China. Information Technology Research Base of Civil Aviation Administration of China , Civil Aviation University of China, 2014.

[16]       Marcus Willett. Lessons of the SolarWinds hack. Survival, 63 (2): 7–26, mar 2021. doi: 10.1080/00396338.2021.1906001.