Агентство ЕС по сетевой и информационной безопасности опубликовало руководство по обеспечению безопасности цепочки поставок для интернета вещей

Агентство Европейского Союза по сетевой и информационной безопасности (ENISA) опубликовало руководство по обеспечению безопасности цепочки поставок для интернета вещей. Среди экспертов, принимающих участие в разработке руководства, были и специалисты Kaspersky ICS CERT.

Предлагаемая эталонная модель безопасности цепочки поставок учитывает особенности жизненного цикла систем и компонентов интернета вещей – от разработки концепции решения до его вывода из эксплуатации. Для каждого из этапов жизненного цикла выполнен анализ актуальных угроз. В документе приведены результаты анализа рисков, связанных с цепочкой поставок, с опорой на передовой опыт исследования современных угроз в отношении участников цепочки поставок, процессов и технологий. На основе проведённого анализа делается вывод о применимых методах защиты.

Мы считаем руководство полезным для всех категорий читателей, интересующихся вопросами безопасности интернета вещей.

«Безопасность решений IoT требует согласования множества аспектов архитектуры и реализации и должна учитываться сразу, начиная с этапа разработки концепции решения. Это особенно важно для разработчиков новых платформ и фреймворков – в процессе выбора стратегии развития такого решения разработчики наделяют его открытыми интерфейсами и расширенными возможностями, основываясь на различных предположениях о возникновении новых потребностей пользователей, требующих расширения функциональных возможностей, поддержания совместимости с новыми компонентами решения, взаимодействия c новыми внешними инфраструктурами быстро развивающейся экосистемы интернета вещей. Обычно это ведет к высокой сложности готового решения, а неявные и неверные предположения, упущенные детали и отложенные «на потом» задачи вызывают множество проблем безопасности», – говорит Екатерина Рудина, руководитель группы аналитиков информационной безопасности Kaspersky ICS CERT. — «Такие факторы как множество связей и зависимостей на этапе дистрибуции и логистики, отсутствие прозрачности логистических процедур, уязвимости сетевой инфраструктуры, поддерживающей обмен цифровыми активами, сделают обеспечение высоких гарантий безопасности практически невозможным, если не принимать во внимание все эти и многие другие факторы на более ранних этапах».

На основе проведённого анализа делается вывод о необходимости реализации следующих стратегий обеспечения безопасности:

• Укрепление отношений между участниками цепочки поставок.
• Постоянное и всеобъемлющее повышение экспертизы разработчиков и пользователей систем в области кибербезопасности.
• Обеспечение безопасности за счет правильного проектирования системы.
• Использование комплексного и «открытого» подхода к безопасности – все актуальные угрозы должны быть явным образом озвучены, и соответствующие меры явным образом приняты.
• Использование существующих стандартов и передового опыта в области безопасности.

«Наиболее важной практикой является разработка подходящей модели доверия, на основе которой уже можно реализовывать комплексный подход к организации безопасной цепочки поставок с применением современных методов обеспечения безопасности», — поясняет Вячеслав Золотников, руководитель отдела технологических ассоциаций, аналитики и стандартов. – «Модель доверия должна иметь метрики для отслеживания безопасности системы на протяжении жизненного цикла, а практика управления рисками должна требовать пересмотра параметров модели после изменения или переконфигурирования системы, например, в рамках обслуживания или улучшения системы. Предлагаемый ENISA подход к обеспечению безопасности должен стать основой для создания такой модели доверия. Конечно, необходимо гарантировать, что не только цепочки поставок защищены, но и вся система безопасна и отказоустойчива в силу ее архитектуры и реализации».

Полный текст рекомендаций ENISA по обеспечению безопасности цепочки поставок для интернета вещей доступен на веб-сайте ENISA.