Можно ли спасти цепочки поставок в США от кибератак?

В феврале президент Джо Байден подписал Указ 14017, в котором содержится призыв к всестороннему анализу важнейших цепочек поставок в США. Акция была предпринята в ответ на нехватку медицинских принадлежностей, таких как средства индивидуальной защиты (СИЗ) для медицинских работников, находящихся на переднем крае, в разгар пандемии COVID-19. Другие потребности, определенные в заказе, включали полупроводниковые чипы для автомобильной промышленности и других высокотехнологичных приложений.

Эти проблемы ограничивают способность американцев получать продукты первой необходимости и создают нестабильность для рабочих в пострадавших отраслях. Цель нового порядка, по мнению Белого дома, состоит в том, чтобы проактивно решать такие проблемы до того, как они возникнут снова.

«Хотя мы не можем предсказать, какой кризис поразит нас, мы должны иметь возможность быстро реагировать на вызовы», - заявил Белый дом. «Соединенные Штаты должны гарантировать, что нехватка производства, сбои в торговле, стихийные бедствия и потенциальные действия иностранных конкурентов и противников никогда больше не сделают Соединенные Штаты уязвимыми».

Предвыборная кампания президента ясно показала, что его администрация привержена комплексному устранению рисков, связанных с цепочкой поставок. Но удастся ли инициатива?

С точки зрения безопасности есть ряд вопросов, которые следует учитывать администрации. Невыполнение этого требования приведет к дублированию времени и усилий, потере ресурсов и неспособности снизить киберриски, которые могут привести к еще одной атаке на цепочку поставок.

Первым шагом к обеспечению безопасности цепочек поставок в США является определение их уязвимостей и рисков. В указе Байдена основное внимание уделяется шести секторам:оборонно-промышленная база, общественное здравоохранение, информационные технологии и связь, электроэнергетика, транспорт и сельское хозяйство.

Зависимость цепочек поставок от цифровых продуктов и услуг создала серьезные уязвимости, что сделало кибербезопасность важной частью обзора. Опасения, что субъект национального государства может решить приостановить цепочку поставок с помощью киберпреступности, реальны. В разделе 4.4 указа разъясняется, что управление киберрисками является ключевой задачей и сферой внимания. В течение года должны быть представлены отчеты о текущем состоянии зависимости цепочек поставок от стран-конкурентов. То, как правительство привлекает для этой цели сообщество специалистов по информационной безопасности, будет способствовать или сорвать инициативу во всех секторах.

Обеспечение результатов за один год

Предприятие охватывает большую территорию сроком на один год. Очень важно, чтобы сообщество специалистов по информационной безопасности и технологиям, извлекая уроки из прошлого года, вносило вклад в стороны, которые продвигают эту инициативу. Усилия отраслевых групп, таких как центры обмена и анализа информации (ISAC) и Координационный совет ИТ-сектора (ITSCC), будут залогом успеха. Кроме того, большая четверка консалтинговых компаний выпускает огромное количество данных и аналитических материалов, которым следует уделять первоочередное внимание рискам при работе с третьими сторонами.

Министерство обороны США должно сыграть ключевую роль в обеспечении беспрепятственного развертывания инициативы. Аналогичное усилие, которое контролируется Министерством обороны США, - это Сертификация модели зрелости кибербезопасности (CMMC), требующая от поставщиков материалов по государственному контракту соблюдения определенных стандартов. Один из ключевых советов, основанный на реакции общественности и частных лиц на CMMC, заключается в том, чтобы как можно больше избегать смешивания процессов присуждения контрактов и рассмотрения. Лидеры отрасли и правительственные агентства должны работать вместе, чтобы выработать простой, но эффективный стандарт для кибернетической безопасности в различных цепочках поставок.

Важность стандартизации

Создание правильных партнерских отношений и получение информации от экспертов по информационной безопасности - это одно, а обеспечение более высокой зрелости кибербезопасности в цепочках поставок в США - совсем другое. Коммуникация - это единственный элемент, который может создать или разрушить новые требования при развертывании в такой большой экосистеме. Он основан на измерениях, а результаты стандартизированы для разных групп независимо от уровня их зрелости в области кибербезопасности. Такие стандарты, как подкатегория NIST CSF Supply Chain Risk Management или ранее упомянутая CMMC, являются отличными инструментами для уточнения требований и их эффективного внедрения во всех цепочках поставок. Методологии кибер-оценки в рамках NIST CSF особенно ценны в предоставлении контекста для поставщиков, мало знающих об информационной безопасности.

Когда дело доходит до измерения, исключить все потенциальные риски в цепочках поставок США невозможно, учитывая сложность глобальных экосистем цепочек поставок. Тем не менее полезно определить сценарии, в которых исследуются различные потенциальные точки отказа. Творческое использование существующих методологий количественной оценки рисков является ключом к достижению истинной устойчивости. Очень важно, чтобы компании понимали риск цепочки поставок как средство достижения надлежащего управления, опираясь на мнения групп безопасности, обмена данными и информацией, а также достижений в области программного обеспечения для управления рисками.

Можно только надеяться, что инициатива Байдена по цепочке поставок будет использовать существующие данные о прошлых событиях и прогнозный анализ будущего. Можно ли провести сравнительный анализ всей цепочки поставок и выявить все уязвимости за один год? И можем ли мы снизить серьезный киберриск в цепочках поставок США? Это еще предстоит выяснить.

Падраик О'Рейли - соучредитель и директор по продуктам CyberSaint.