Эксплуатация доверия. Мировая практика управления риском кибератак на цепочку поставок.

Крылов Иван Сергеевич

ООО «СТРОЙПРОЕКТ»

Руководитель направления по информационной безопасности, MBA (Информационная безопасность, 2024 г., РАНХиГС)

Ключевые слова: кибербезопасность, цепочки поставок, аутсорсинг ИБ, Supply Chain Security.

Обозначения и сокращения:

РФ – Российская Федерация;
БС – банковская система;
ИБ – информационная безопасность;
СОИБ — Система обеспечения информационной безопасности;
ИТ – информационные технологии;
ПДн – персональные данные;
СВТ – средства вычислительной техники;
СВР – степень возможности реализации риска нарушения ИБ;
СТП – степень тяжести последствий от реализации риска нарушения ИБ;
SLA – соглашение об уровне услуг (Service Level Agreement);
НСД – несанкционированный доступ
РКАЦП — Риск кибер атак на цепочку поставок
УРАЦП — управление риском кибер атак на цепочку поставок

Мир в 21 веке стал глобальным, специализация деятельности компаний сильно возросла. Сейчас ни одна компания, ни одна страна не в состоянии полностью обеспечить весь спектр производства. Небольшая строительная компания ежедневно взаимодействует с десятками других организаций, в том числе не связанных со строительством. ИТ технологии проникают во все сферы деятельности, что с одной стороны резко ускоряет протекание процессов, а с другой, резко увеличивает длину цепочек поставок. Разработка современного программного обеспечения очень редко производится «с нуля», в основном, разработчики используют внешние библиотеки, сторонние микросервисы.

В данной статье будут рассмотрены ключевые моменты безопасности цепочек поставок — терминология, стандарты, возможные атаки, подходы к защите.

2024 год , растущая геополитическая напряженность и изменение климата создают новые
проблемы для цепочек поставок и тех, кто ими управляет.

Первый громкий случай Атаки на Цепочку Поставок случился в 2028 году - криптокошелек Copay, атака производилась путем подмены бибилиотеки (3 уровень), ошибку заметили и через 2 недели все исправили, однако злоумышленники похитили приватные ключи от кошельков, на которых хранилось более чем 100 BTC (5,8 млн. долл. США по курсу на 13.07.24). Точная сумма потерь не установлена.

2021 год – Атака на ПО для тестирования кода Codecov, атакующие воспользовались уязвимостью в процессе создания образов Docker и через нее смогли модифицировать скрипт Bash Uploader. В свою очередь, зараженный код был доставлен к потребителям. ВПО распространялось с серверов компании как минимум 2,5 месяца. Ключи доступа к облачным средствам разработки пострадавших клиентов с высокой вероятностью утекли. Последствия взлома пока трудно оценить: данный инцидент можно квалифицировать как атаку на цепочку поставок в квадрате, высок риск, что код клиентов компании также мог быть модифицирован.

Одним из самых громких случаев, пожалуй, является атака на библиотеку Apache Log4J, применение которой является одним из самых распространенных способов ведения журнала ошибок. Библиотека используется в ПО такхи компаний как Amazon, Apple, Cisco, Red Hat, Steam, Tesla и др. В пиковые моменты число атак исчислялось десятками в час. Уязвимость позволила злоумышленникам проводить удаленное выполнение кода. Вредоносные команды регистрировались как легитимные. Это позволяло делать практически что угодно: красть данные, распространять вредоносные URL, фактически контролировать целые серверы. При этом, команда Alibaba предупредила Apache о Log4jShell за 15 дней до того, как эти данные попали в публичный доступ.

Последствия атак требуют большой объем внутренней и внешней работы по восстановлению потерянных данных, что приводит к прерыванию сервисов в среднем на три рабочих дня. (от суток и до недели)

Согласно отчету «BCI Supply Chain Resilience Report 2023», кибератаки в 2022 году стали причиной 35,7% случаев прерывания цепочек поставок (5 место), при этом, в следующие 12 месяцев прогнозируется рост показателя до 53,2% (1 место) и до 55,6% в следующие 5 лет .

49,6% опрошенных не проверяют наличие планов непрерывности бизнеса у своих партнеров.

Документы и исследования

В западной практике основными документами, посвященными данной теме, являются:
- Стандарт NIST SP 800-161r1 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations – Практики управления киберриском цепочек поставок для систем и организаций.
- NIST Cyber Supply Chain Risk Management (C-SCRM) Framework - Система управления рисками атак на цепочки поставок в киберпространстве.
- Стандарт ISO/IEC 27036-4 - являющийся частью серии стандартов ISO/IEC 27036, которая посвящена информационной безопасности взаимоотношений с поставщиками.
- Supply Chain Security: Cloud Supply Chain Risk Management ("Безопасность цепочки поставок: управление рисками облачной цепочки поставок") от Cloud Security Alliance (CSA) в этом документе основное внимание уделяется безопасности цепочки поставок в контексте облачных инфраструктур и процессов.
- Cybersecurity Maturity Model Certification (CMMC - Сертификация модели зрелости кибербезопасности ) Министерство обороны США представило документ, который является единым стандартом для внедрения кибербезопасности на всей базе оборонно промышленного комплекса. CMMC включает требования, связанные с управлением рисками цепочки поставок, гарантируя, что организации, входящие в ОПК США, имеют надлежащие средства контроля для защиты конфиденциальной информации.

В России же эта тема не получила пока сильного внимания государства, однако, есть стандарт банка России от 01.07.2018 СТО БР ИББС 1.4-2018 - «Управление риском нарушения информационной безопасности при аутсорсинге»
Крупные компании — банки и интеграторы в сфере ИБ разработали собственные стандарты и методики управления этими рисками, однако, доступность этих документов носит фрагментарный, ограниченный характер.

В публичном пространстве тема защиты цепочек поставок только начинает обсуждаться, так в 2023 году было опубликовано исследование «Атаки на подрядчиков. Эксплуатация доверия» компании Джет. Основными результатами этого исследования стали следующие данные: 80% компаний используют защитные меры в отношении поставщиков услуг, аналогичные удаленным работникам и лишь 20% определяют набор мер, исходя из специфики взаимодействия и профиля риска поставщика. При этом менее 10% проводят мероприятия по оценке уровня ИБ поставщика услуг. Оценка проводится с помощью опросных листов и зачастую носит формальный характер — ее результаты не влияют на дальнейшее решение о выборе поставщика или архитектуры подключения к ресурсам компании

Итак, рассмотрим описанные документы и материалы подробнее

Российская практика и стандарты

Стандарт банка России направлен на управление рисками, связанными с передачей организаций банковской системы своих бизнес- функций сторонним организациям (в частности, обеспечивающим Информационную Безопасность). И хотя область применения в документе ограничена «кредитными организациями, некредитными финансовыми учреждениями …. субъектами национальной платежной системы», подходы и методы описанные в нем применимы и полезны для любой организации, решившей внедрить у себя СОИБ и управлять риском Эксплуатации доверия.
В частности, в документе приводятся следующие определения:

Аутсорсинг - «передача организацией БС РФ на основании договора на длительный срок сторонней (внешней) организации – поставщику услуг выполнения бизнес-функций организации БС РФ, которые являются необходимыми для ее деятельности и которые в обычных условиях (без привлечения поставщика услуг) осуществлялось бы организацией БС РФ самостоятельно»

Поставщик услуг - «обслуживающая организация, специализирующаяся на предоставлении услуг, которой организации БС РФ передают выполнение своих бизнес-функций на аутсорсинг»

Услуга - «деятельность поставщика услуг по выполнению бизнес-функций организаций БС РФ, переданных на аутсорсинг.»

Соглашение об уровне услуг (SLA, Service Level Agreement) – соглашение между организацией БС РФ и поставщиком услуг, описывающее определенные полномочия и услугу, а также целевые показатели уровня услуги, зоны ответственности сторон – организации БС РФ и поставщика услуг

И, что особенно важно выделяется категория «существенных» функций:

Существенные функции в части ИБ; существенные функции: - бизнес-функции организации БС РФ:
1) при выполнении которых осуществляется обработка защищаемой информации, несанкционированный доступ к которой, раскрытие (распространение), несанкционированное (не авторизованное) изменение, уничтожение (потеря) и (или) хищение создают условия для возникновения убытков организации БС РФ, ее клиентов или контрагентов, в том числе условия для совершения финансовых операций от имени клиентов (далее – обработка защищаемой информации);
2) невыполнение или ненадлежащее выполнение которых поставщиком услуг создают условия для реализации или реализуют инциденты ИБ, связанные:
– с нарушением непрерывности предоставления организацией БС РФ финансовых услуг (далее – нарушение непрерывности предоставления финансовых услуг);
– с утечкой защищаемой информации; с совершением операций, имеющих финансовые последствия, в том числе переводов денежных средств, лицами, не обладающими соответствующими правами;
– с несоблюдением организациями БС РФ требований к обеспечению ИБ, установленных законодательством РФ

Аутсорсинг существенных функций в части ИБ; аутсорсинг существенных функций – аутсорсинг бизнес-функций, которые отнесены к существенным

В документе подробно описаны факторы риска нарушения ИБ при аутсорсинге существенных функций, приводятся виды операционных рисков и возможные последствия для организаций БС РФ от их реализации при аутсорсинге существенных функция.

Стандарт определяет также и требования к управлению риском нарушения ИБ при аутсорсинге существенных функций. Основными требованиями являются:
- «установить политику в отношении аутсорсинга существенных функций», «разработать, применять и обеспечить контроль программы аутсорсинга»
- «…. должна обеспечить выполнение своих обязательств перед клиентами и контрагентами, а также возможность проведения эффективного контроля выполнения требований в области защиты информации со стороны Банка России ...»
- «исполнительный орган организации БС РФ должен определить критерии … которые должны использоваться для оценки способности и потенциала поставщика услуг эффективно и качественно обеспечить ИБ при предоставлении услуги по аутсорсингу существенных функций, в том числе обеспечить защиту информации в соответствии с требованиями законодательства РФ. В случае несоответствия поставщика услуг соответствующим критериям ему не могут передаваться на выполнение существенные функции»;
- «Организации БС РФ следует привлекать поставщиков услуг для аутсорсинга существенных функций только после принятия поставщиком услуг всех необходимых мер по обеспечению ИБ...»
- «Организация БС РФ должна рассматривать бизнес-функции, передаваемые на аутсорсинг поставщику услуг, в качестве неотъемлемой части своей деятельности»
- «Организации БС РФ при принятии решения об аутсорсинге существенных функций, при котором предполагается трансграничная передача защищаемой информации, следует убедиться в соблюдении требований ...»

Далее, в документе детализируется подход к оценке риска нарушения ИБ при аутсорсинге существенных функций, мероприятия программы аутсорсинга организации. Предлагаются пути определения состава метрик, характеризующих «степень возможности реализации риска нарушения ИБ — СВР», степень тяжести последствий от реализации риска нарушения ИБ — СТП».
В качестве источников данных для показателей СВР предлагается использовать следующие оценки:
- собственная оценка организации (работниками, «обладающими необходимыми знаниями, опытом и компетенцией»);
- оценка, выполненная сторонней компанией (аудиторской или консалтинговой)
- оценка, « выполненная на основе результатов проведения поставщиком услуг внешнего независимого аудита на соответствие применимым документам в области стандартизации ...»
Выбор источников данных для оценки показателей СВР и СТП остается за организацией, при этом, особо подчеркивается важность данного выбора. В качестве основы для выработки подходов приводятся «Рекомендации по определению и использованию показателей риска нарушения ИБ при аутсорсинге существенных функций»

Ключевым фактором в создании СОИБ указывается деятельность руководства организации. Определяются основные задачи руководства (установление политики и программы по аутсорсингу, установление показателей уровня риска, определение лиц, обеспечение контроля и др.)

Важное место в документе отводится всесторонней оценке «потенциала поставщика услуг выполнить свои обязательства в соответствии с требованиями по управлению риском нарушения ИБ, применяемыми организацией БС РФ». Подобную оценку предлагается выполнять перед заключением договора, а также на регулярной (периодической) основе.
Целями такой оценки определяется:
- оценка ресурсов, потенциала и возможностей поставщика услуг обеспечить необходимый уровень ИБ при выполнении своих обязательств в рамках заключенного соглашения;
– оценка опыта и репутации поставщика услуг;
– оценка показателей деятельности поставщика услуг на основе метрик СВР, принятых организацией БС РФ для контроля и мониторинга риска нарушения ИБ при аутсорсинге существенных функций;
– «оценка возможностей поставщика услуг обеспечивать выполнение обязательств организации БС РФ перед клиентами и контрагентами … и, как если бы бизнес-функции, переданные на аутсорсинг, выполнялись самостоятельно организацией БС РФ»

При оценке ресурсов возможностей и потенциала поставщика, среди прочих, рекомендуется учитывать «наличие у поставщика услуг системы обеспечения ИБ». Приводится перечень вопросов для проведения оценки политики поставщика услуг в части обеспечения ИБ.

В целом документ может служить основополагающим при создании СОИБ любой компании России, не только относящейся непосредственно к сфере его действия (БС РФ). При этом, однако, разработка конкретных методов, критериев оценки поставщиков, отдается на усмотрение руководства компании «обладающими необходимыми знаниями, опытом и компетенцией», что зачастую невозможно по объективным причинам, особенно вне банковской сферы. Поэтому компании вынуждены либо прибегать к оценкам, выполненным аудиторскими или консалтинговыми организациями, либо принимать решения на основании «опыта и репутации поставщика услуг». А это либо дорого и долго, либо не является объективным фактором.

В стандарте нет прямой отсылки на проведение оценки поставщиков с использованием информации из открытых источников, однако, мы можем отнести данный способ с одной стороны к «репутации поставщика услуг», и «наличие у поставщика услуг системы обеспечения ИБ», ведь наличие открытых уязвимостей на поверхности информационной системы поставщика, может являться свидетельством о зрелости его СОИБ

Зарубежные практики и нормативные документы

Рассмотрим теперь американский стандарт NIST SP 800-161r1 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations – Практики управления киберриском цепочек поставок для систем и организаций. Его разработал Национальный институт стандартов и технологий (NIST) США.

Данный документ значительно более объемный (326 страниц, включая приложения), представляет собой некую дорожную карту, руководство по выстраиванию процесса управления риском атак на цепочку поставок. Предполагается что компания (организация) самостоятельно будет выстраивать СОИБ, адаптируя практики и методы, приведенные в документе. Стандарт предназначен широкому кругу лиц и организаций, вовлеченных в процесс управления риском кибер атак на цепочку поставок (УРАЦП)

Управление рисками в цепочке поставок включает в себя выявление, оценку и смягчение рисков, связанных с цепочкой поставок. Уязвимости в цепочке поставок могут быть использованы злоумышленниками для компрометации безопасности систем и данных организаций. NIST SP 800-161 служит ценным ресурсом, помогающим организациям установить эффективные практики управления рисками в цепочке поставок.

Согласно документу, УРАЦП это систематический процесс управления подверженности киберриску по всей цепочки поставок, а также разработка стратегий, политик, процессов и процедур для адекватного ответа. Он включает в себя множество задач, охватывающих все стадии жизненного цикла информационных систем. Выделяются следующие направления процесса: культура и осведомленность, информационная безопасность, уместность, безопасность при использовании, надежность, применимость (usability), качество, эффективность, адаптивность, целостность, масштабирование, устойчивость.

Задачи можно агрегировать в пять ключевых процессов:

1. Идентификация: процесс заключается в идентификации и документировании критических компонентов, систем и услуг в цепочке поставок. Он включает определение поставщиков, зависимостей и потенциальных рисков, связанных с каждым компонентом. Цель состоит в получении всестороннего понимания цепочки поставок и ее потенциальных уязвимостей.

2. Оценка: данный процесс фокусируется на оценке выявленных рисков в цепочке поставок. Это включает оценку потенциального воздействия и вероятности рисков, таких как несанкционированный доступ, подмена или нарушение работы критических компонентов. Для приоритизации рисков и определения соответствующих стратегий смягчения используются методы и методологии оценки рисков.

3. Контроль: Процесс контроля направлен на внедрение мер для смягчения выявленных рисков, включая установление требований безопасности для поставщиков, внедрение контрольных мер для защиты критических компонентов и обеспечение целостности и подлинности цепочки поставок. К контрольные мерам можно отнести следующие - безопасные методы разработки, шифрование (в том числе маскирование баз данных), контроль доступа (Privilege Access Management PAM) и безопасное управление конфигурацией.

4. Коммуникация: Эффективная коммуникация имеет важное значение в УРАЦП. Процесс коммуникации включает установление четких каналов связи с поставщиками, заинтересованными сторонами и другими соответствующими лицами. Это включает обмен информацией о рисках в цепочке поставок, требованиях безопасности и ожиданиях. Регулярная коммуникация помогает обеспечить, чтобы все стороны были осведомлены о своих ролях и обязанностях в управлении рисками в цепочке поставок.

5. Мониторинг: Последний процесс фокусируется на непрерывном мониторинге и оценке цепочки поставок. Это включает мониторинг работы поставщиков, оценку их соответствия требованиям безопасности и обнаружение любых изменений или появления рисков в цепочке поставок. Постоянный мониторинг помогает организациям выявлять и решать потенциальные риски вовремя.

Цепочка поставок предприятия описывается как сложная комбинация поставщиков, разработчиков и системных интеграторов, предлагающих услуги разработки ПО «на заказ», управления, поддержки информационных систем и ЛВС внутри и вне предприятий, услуги поддержки бизнес-процессов предприятий (как вне периметра так и внутри его). Услуги эти охватывают весь жизненный цикл информационных систем и могут оказываться как персоналом предприятия, так и разработчика, системного интегратора или внешней компанией. Физически ИС также может размещаться в ЦОД компании, разработчика, системного интегратора или другой компании. ИС может поддерживаться или включать среду разработки, доставки обновлений, компоненты других систем и коммуникационных интерфейсов.

Стандарт обращает также внимание на ограниченные возможности отдельного предприятия по выявлению кибер рисков атак на цепочку поставок. Так, предприятие может видеть и влиять лишь на первый, второй и, максимум третий уровень цепочки поставок. При этом уже на втором уровне возможность этих действий весьма ограничена.

Ключевым моментом выстраивания процесса УРАЦП документ определяет необходимость соблюдать равновесие между подверженностью киберрискам цепочки поставок и стоимостью (выгодам) внедрения УРАЦП.

Издание подчеркивает важность сотрудничества и координации между заинтересованными сторонами, участвующими в управлении рисками в цепочке поставок. Оно определяет роли и обязанности владельцев систем, менеджеров программ, команд управления рисками в цепочке поставок и другого соответствующего персонала. Четкое определение обязанностей обеспечивает эффективную реализацию практик управления рисками в цепочке поставок.

Основные тезисы Стандарта:

Цепочка поставок — Современный этап развития информационных, коммуникационных и производственных технологии предполагает опору на глобально распределенную взаимосвязанную экосистему состоящую из общественных и частных организаций.

Управление риском кибер атак на цепочку поставок — это систематический процесс предназначенный помочь предприятию управлять рисками кибер атак по всей цепочке поставок. Документ предоставляет практики, которые предприятия должны самостоятельно выбирать и адаптировать в зависимости от стратегических и оперативных задач, условий.

В процесс УРАЦП вовлечен широкий круг лиц, включающий специалистов и управленцев в сферах информационной безопасности, разработки и эксплуатации ИС, снабжения и закупок, правовой и управления персоналом. Также процесс затрагивает весь жизненный цикл информационных систем, от дизайна до утилизации.

Процесс управления РАЦП должен быть интегрирован в общую систему управления рисками предприятия в целом, чтобы предприятие понимало общую подверженность его критических процессов разного рода рискам (финансовым, стратегическим и т. д.)

Практики в документе приводятся в виде структурированного фреймворк SCRM, состоящий из пяти основных процессов: Идентификация, Оценка, Контроль, Коммуникация и Мониторинг. Эти процессы обеспечивают систематический подход к управлению рисками в цепочке поставок на протяжении жизненного цикла системы. Следуя этому фреймворку, организации могут активно устранять уязвимости и смягчать потенциальные угрозы.

Подробное руководство по внедрению практик SCRM охватывает различные аспекты, включая оценку рисков в цепочке поставок, контроль рисков, коммуникацию рисков и мониторинг рисков. Освоение, интеграция практик во внутренние процессы помогают организациям выявлять и оценивать риски, внедрять контрольные меры, эффективно взаимодействовать с заинтересованными сторонами и непрерывно отслеживать цепочку поставок на предмет потенциальных угроз.
Практики состоят из конкретных инструментов и техник. Для иллюстрации практического применения фреймворка, в издании представлены конкретные примеры. Эти кейсы демонстрируют реальные примеры организаций, внедряющих практики SCRM и преодолевающих проблемы. Они предоставляют ценные практические знания и уроки, помогая организациям понять практические аспекты внедрения SCRM.

Теперь рассмотрим ISO/IEC 27036 (Российский аналог — ГОСТ исо/мэк 27036-1 -2021)

Стандарт фокусируется на нескольких ключевых аспектах информационной безопасности в отношении поставщиков.

Основные направления ISO/IEC 27036 в отношении информационной безопасности включают:
- Оценка и управление рисками: Стандарт подчеркивает важность проведения оценки рисков в отношениях с поставщиками. Он предоставляет руководство по выявлению и оценке рисков информационной безопасности, связанных с поставщиками, их системами и информацией, которой они оперируют.
- Требования безопасности для поставщиков: Стандарт предписывает организациям определить и передать свои требования по информационной безопасности поставщикам. Документ предоставляет руководство по установлению контрактных соглашений и соглашений об уровне обслуживания (SLA), которые включают конкретные требования безопасности. Это гарантирует, что поставщики понимают и соблюдают ожидания организации в области информационной безопасности.
- Оценка и выбор поставщиков: В документе важная роль отводится оценке и выбору поставщиков на основе их возможностей в области информационной безопасности. Описываются критерии для оценки практик безопасности, защитных мер и сертификаций поставщиков. Внедрение этих методов позволит организациям принимать обоснованные решения при выборе поставщиков, которые могут приводить к снижению кибер рисков атак на цепочку поставок.
- Управление инцидентами безопасности: Отдельным аспектом процесса является управление инцидентами безопасности в рамках отношений с поставщиками. В документе содержатся рекомендации по планированию реагирования на инциденты, установлению коммуникаций и координации между организациями и их поставщиками. Внедрение этих рекомендаций во внутренние процессы организаций помогает обеспечить согласованное и эффективное реагирование на инциденты безопасности, затрагивающие информационную безопасность организации.
- Непрерывный мониторинг и улучшение: Стандарт подчеркивает необходимость непрерывного мониторинга и улучшения информационной безопасности в рамках отношений с поставщиками. Он рекомендует установить механизмы для мониторинга соответствия поставщиков требованиям безопасности и проведения периодических оценок. Это помогает организациям выявлять изменения или появление новых рисков и принимать соответствующие меры по их смягчению.

Таким образом, основываясь на этом стандарте, организации могут внедрить у себя эффективные практики информационной безопасности в рамках отношений с поставщиками, что позволит им оценивать и управлять рисками информационной безопасности, определять требования безопасности, выбирать надежных поставщиков, реагировать на инциденты безопасности и непрерывно улучшать уровень безопасности в рамках их поставщиков.

При этом, необходимо отметить, что хотя в стандарте указана необходимость приобретающей стороне разработать систему критериев отбора поставщика, все рекомендованные критерии носят формальный и не объективный характер — наличие планов, описанных процедур и т. д. Наличие этих документов, безусловно свидетельствует об уровне ИБ в компании — поставщике, однако носит «бумажный» характер и требует времени на их анализ, проверку.

Документ "Supply Chain Security: Cloud Supply Chain Risk Management" , опубликованный Cloud Security Alliance (CSA), фокусируется на решении рисков цепочки поставок, специфичных для облачных вычислений. Вот более подробная информация о документе:

1. Цель: Документ направлен на предоставление руководства и лучших практик по управлению рисками цепочки поставок в облачных вычислениях. Он признает, что облачные сервисы часто зависят от сложных и взаимосвязанных цепочек поставок, что делает их уязвимыми для различных рисков безопасности.

2. Фреймворк управления рисками цепочки поставок (SCRM): Документ представляет всесторонний фреймворк SCRM, адаптированный к облачным цепочкам поставок. Он описывает ключевые компоненты SCRM, включая оценку рисков, смягчение рисков, мониторинг и реагирование на инциденты в контексте облачных вычислений.

3. Риски облачной цепочки поставок: Документ выделяет и обсуждает уникальные риски, связанные с облачными цепочками поставок. Эти риски включают компрометацию программного и аппаратного обеспечения, внутренние угрозы, утечки данных, зависимость от сторонних поставщиков и геополитические факторы. Понимание этих рисков является важным для эффективного управления рисками цепочки поставок в облачных средах.

4. Лучшие практики: Документ предлагает набор лучших практик по управлению рисками цепочки поставок в облачных вычислениях. Он охватывает различные области, включая управление поставщиками, документирование, оценку безопасности, планирование реагирования на инциденты и непрерывный мониторинг. Эти лучшие практики помогают организациям установить надежные меры безопасности цепочки поставок в облачной среде.

5. Уверенность в сторонних поставщиках: Документ подчеркивает важность уверенности в сторонних поставщиках в облачной цепочке поставок. Он обсуждает необходимость оценки практик и возможностей поставщиков облачных сервисов и других сторонних поставщиков, участвующих в облачной цепочке поставок. Это включает оценку их контрольных мер, сертификаций и соответствия соответствующим стандартам.

6. Соблюдение требований и юридические аспекты: Документ затрагивает вопросы соблюдения требований и юридические аспекты, связанные с безопасностью облачной цепочки поставок. Он подчеркивает важность понимания регуляторных требований, контрактных обязательств и законов о защите данных при управлении рисками цепочки поставок в облаке. Он также подчеркивает необходимость четких контрактных соглашений, которые учитывают ответственность за безопасность и управление рисками.

7. Непрерывное совершенствование: Документ подчеркивает необходимость непрерывного совершенствования безопасности облачной цепочки поставок. Он рекомендует организациям регулярно оценивать и обновлять свои практики безопасности цепочки поставок, адаптироваться к новым угрозам и быть в курсе тенденций и лучших практик в отрасли.

Следуя рекомендациям, представленным в документе, организации могут улучшить понимание рисков цепочки поставок в облачных вычислениях и реализовать эффективные меры для управления и смягчения этих рисков. Он служит ценным ресурсом для поставщиков облачных сервисов, клиентов и других заинтересованных сторон, участвующих в облачных цепочках поставок.

Модель сертификации кибербезопасности DoD Cybersecurity Maturity Model Certification (CMMC) имеет большое значение для улучшения управления рисками в цепочке поставок, особенно в оборонной отрасли. Вот основные причины ее значимости:

1. Укрепление требований кибербезопасности: CMMC устанавливает единый стандарт для кибербезопасности в рамках Defense Industrial Base (DIB). Она заменяет модель самооценки на обязательный процесс сертификации, обеспечивая соответствие организаций в цепочке поставок конкретным требованиям кибербезопасности. Это помогает улучшить общий уровень безопасности в цепочке поставок.

2. Снижение рисков в цепочке поставок: CMMC сосредоточена на снижении рисков в цепочке поставок, требуя от организаций внедрения соответствующих кибербезопасностных контролов. Она обеспечивает наличие у организаций надежных мер безопасности для защиты конфиденциальной информации и систем. Путем устранения уязвимостей и внедрения необходимых контролов CMMC помогает снизить риск киберугроз, исходящих из цепочки поставок.

3. Проверка третьей стороной: CMMC вводит проверку третьей стороной через независимые оценки, проводимые сертифицированными оценщиками. Эта проверка гарантирует, что организации в цепочке поставок соответствуют требуемым практикам кибербезопасности. Она обеспечивает более высокий уровень уверенности в безопасности организаций и снижает риск компрометации систем или данных в цепочке поставок.

4. Сдерживание и соблюдение: CMMC служит сдерживающим фактором в отношении киберугроз, устанавливая обязательный процесс сертификации. Организации, не соответствующие требованиям кибербезопасности, могут столкнуться с последствиями, такими как потеря контрактов или исключение из цепочки поставок. Это стимулирует организации придавать приоритет кибербезопасности и соблюдать установленные стандарты.

5. Согласованность и стандартизация: CMMC приносит согласованность и стандартизацию в практики кибербезопасности в рамках оборонной цепочки поставок. Она предоставляет четкий фреймворк и набор требований, которым должны соответствовать все организации, независимо от их размера или роли в цепочке поставок. Эта согласованность помогает обеспечить базовый уровень кибербезопасности во всей цепочке поставок.

6. Непрерывное совершенствование: CMMC разработана для развития и адаптации к новым киберугрозам. Она включает несколько уровней сертификации, каждый из которых представляет более высокий уровень зрелости кибербезопасности. Это побуждает организации непрерывно совершенствовать свои практики кибербезопасности и быть в курсе новых угроз и технологий.

В целом, CMMC играет важную роль в улучшении управления рисками в цепочке поставок, устанавливая обязательные требования кибербезопасности, проверяя их соответствие через оценки третьей стороной и поощряя культуру непрерывного совершенствования. Она помогает укрепить устойчивость оборонной цепочки поставок к киберугрозам и обеспечивает защиту конфиденциальной информации и систем.

Таким образом мы рассмотрели основные зарубежные и российские документы и методики призванные помочь компаниям организовать процесс управления риском кибер атак на цепочки поставок, при этом, однако они нацелены на управление процессами внутри самих компаний. Уровень информационной безопасности поставщиков, зрелость их процессов управления ИБ остается за рамками этих документов. Они либо отдают процесс оценки зрелости ИБ поставщиков на откуп сторонних аудиторских компаний, либо предлагают «добровольное» анектирование, то есть «формальные» критерии. При этом, отсутствуют объективные и оперативные методики отсева компаний поставщиков с заведомо низким, опасным уровнем зрелости ИБ.

Ссылки на источники:
https://securitymedia.org/info/uyazvimost-log4j-kak-ona-povliyala-na-202...
https://investfuture.ru/news/id/v-bitkoin-koshelek-copay-vnedren-zlovred...
https://www.kaspersky.ru/blog/log4shell-critical-vulnerability-in-apache...
https://www.kaspersky.ru/blog/copay-supply-chain-attack/21845/
https://www.anti-malware.ru/analytics/Threats_Analysis/Supply-Chain-Attack

- Стандарт ГОСТ ИСО/МЭК 27036 (ISO/IEC 27036)
- Стандарт NIST SP 800-161r1
- Стандарт СТО БР ИББС 1.4-2018

— Модель Cybersecurity Maturity Model Certification (CMMC)
- Отчет BCI Supply Chain Resilience Report 2023
- Исследование «Атаки на подрядчиков, эксплуатация доверия»