NIST SP 800-161 Cybersecurity Supply Chain Risk Management (SCRM) Practices for Systems and Organizations służy jako istotny zasób dla organizacji chcących ustanowić skuteczne praktyki zarządzania ryzykiem cyberbezpieczeństwa w łańcuchu dostaw.
NIST SP 800-161 zawiera wytyczne w zakresie oceny, zarządzania i ograniczania ryzyka związanego z łańcuchem dostaw.
Jest przydatnym zestawem dobrych praktyk cybersecurity dla łańcucha dostaw, szczególnie dla ochrony systemów IT w zakresie zarządzania podatnościami łańcucha, zagrożeniami oraz zabezpieczeniami.
Ramy zarządzania ryzykiem w łańcuchu dostaw. Wprowadza ustrukturyzowane ramy SCRM, obejmujące przygotowanie (ustanowienie celów, zarządzania i polityk SCRM) i identyfikację i ocenę ryzyka związanego z łańcuchem dostaw. Następnie poprzez wdrażanie strategii mających na celu zmniejszenie ryzyka i zarządzanie ryzykiem ustanawia procesy niezbędne do właściwego postepowania z ryzykiem. Budowanie odporności i praktyki niezbędne do odbudowy dotyczą w NIST przede wszystkim opracowania planów odporności i odbudowy po na wypadek wystąpienia zakłócenia łańcucha dostaw.
Ten standard opisuje również praktyki zarządzania ryzykiem w łańcuchu dostaw wraz ze szczegółowymi informacjami na temat konkretnych praktyk i zaleceń dla każdej fazy SCRM. Oferuje wskazówki dotyczące identyfikacji krytycznych elementów łańcucha dostaw, oceny ryzyka i wdrażania strategii redukcji ryzyka. Podkreśla również potrzebę widoczności łańcucha dostaw, wymiany informacji i współpracy między zainteresowanymi stronami.
W przypadku konieczności integracji z innymi elementami NIST lubi standardami znajdziemy w nim również, w jaki sposób praktyki SCRM są zgodne z innymi ramami cyberbezpieczeństwa NIST, takimi jak ramy cyberbezpieczeństwa NIST i specjalna publikacja NIST 800-53. Otrzymamy również zalecania pozwalające na integrację SCRM ze strategią cyberbezpieczeństwa wdrożoną w organizacji.
Zawsze w standardach ISO czy NIST przydatne są szczególnie case study i przykładowe rozwiązania, pozwalające na skorzystanie z dobrych praktyk podczas wdrażania w organizacji. NA szczęście w NIST SP 800-161 znajdziemy również przykłady ilustrujące koncepcje i praktyki SCRM.
Znaczenie cyberbezpieczeństwa w SCRM możemy zobaczyć szczególnie po kilku atakach na łańcuchy dostaw oprogramowania. Jednym z najbardziej znanych ataków na łańcuch dostaw oprogramowania jest cyberatak SolarWinds, który został wykryty w grudniu 2020 r. Atak ten, określany również jako „Sunburst” lub „Solorigate”, był wymierzony w SolarWinds, dostawcę oprogramowania do zarządzania siecią. Problem w tym, że oprogramowanie SolarWinds było wykorzystywane przez wiele firm, korporacji i jednostek administracji publicznej.
Warto popracować z tym i/lub innymi standardami dotyczącymi cyberbezpieczeństwa SCRM. W efekcie uzyskujemy większą odporność na zagrożenia poprzez identyfikowanie i minimalizację luk w zabezpieczeniach w łańcuchu dostaw. Jednocześnie ograniczamy ryzyko ataków na łańcuch dostaw, takich jak te dotyczące podrobionych komponentów lub oprogramowania.
NIST 800-161 jest opracowaniem kompleksowym zawierającym wskazówki i najlepsze praktyki w zakresie zarządzania ryzykiem w łańcuchu dostaw w kontekście cyberbezpieczeństwa. Jednak nie jest jedynym standardem dającym wskazówki do stosowania zasad cyberbezpieczeństwa w SCRM.
Poniżej kilka z nich.
- ISO/IEC 27001. Nie koncentruje się konkretnie na łańcuchu dostaw, obejmuje jednak wymagania i zasady, które można zastosować w celu zabezpieczenia łańcucha dostaw IT i zapewnienia bezpieczeństwa zasobów informacyjnych.
- NIST Cybersecurity Framework. Jednym z elementów tego obszernego opracowania są również wytyczne dla organizacji dotyczące zarządzania ryzykiem cyberbezpieczeństwa i ich ograniczania. Można go dostosować do problemów związanych z cyberbezpieczeństwem łańcucha dostaw.
- Cybersecurity Maturity Model Certification. Standard cyberbezpieczeństwa opracowany przez Departament Obrony USA. Zawiera szczegółowe wymogi dotyczące bezpieczeństwa łańcucha dostaw i ma na celu zapewnienie, aby wykonawcy i dostawcy spełniali określone poziomy dojrzałości w zakresie cyberbezpieczeństwa.
- CIS Controls, opracowane przez Center for Internet Security, to zestaw najlepszych praktyk mających na celu poprawę stanu cyberbezpieczeństwa organizacji. Niektóre z tych kontrolek są istotne dla bezpieczeństwa łańcucha dostaw, takie jak inwentaryzacja i kontrola zasobów sprzętowych oraz bezpieczna konfiguracja oprogramowania.
Autor: Artur Cieślik