El subsecretario adjunto interino de la Dirección de Protección Nacional y Programas del Departamento de Seguridad Nacional de los Estados Unidos , Greg Schaffer, declaró en una audiencia que tiene conocimiento de que hay casos en los que se ha encontrado malware en dispositivos electrónicos y de computadora importados y vendidos dentro de los Estados Unidos. [2]
Ejemplos de amenazas a la ciberseguridad de la cadena de suministro
Hardware de red o computadora que se entrega con malware ya instalado en él.
Malware que se inserta en el software o hardware (por diversos medios)
Estrategia internacional para el ciberespacio: la Casa Blanca expone por primera vez la visión de Estados Unidos para una Internet segura y abierta. La estrategia destaca tres temas principales: diplomacia, desarrollo y defensa.
Diplomacia : La estrategia se propone “promover una infraestructura de información y comunicación abierta, interoperable, segura y confiable” mediante el establecimiento de normas de comportamiento estatal aceptable construidas a través del consenso entre las naciones.
Desarrollo : Mediante esta estrategia, el gobierno busca “facilitar el desarrollo de capacidades en materia de ciberseguridad en el extranjero, de manera bilateral y a través de organizaciones multilaterales”. El objetivo es proteger la infraestructura informática global y establecer alianzas internacionales más estrechas para mantener redes abiertas y seguras.
Defensa : La estrategia exige que el gobierno “garantizará que los riesgos asociados con atacar o explotar nuestras redes superen ampliamente los beneficios potenciales” y pide a todas las naciones que investiguen, detengan y procesen a los criminales y actores no estatales que se entrometen y perturban los sistemas de red.
Esfuerzos gubernamentales relacionados en todo el mundo
Common Criteria ofrece con Evaluation Assurance Level (EAL) 4 la oportunidad de evaluar todos los aspectos relevantes de la seguridad de la cadena de suministro digital como el producto, el entorno de desarrollo, la seguridad de los sistemas de TI, los procesos en recursos humanos, la seguridad física y con el módulo ALC_FLR.3 (Systematic Flaw Remediation) también los procesos y métodos de actualización de seguridad incluso mediante visitas físicas al sitio. EAL 4 es mutuamente reconocido en los países que firmaron SOGIS -MRA y hasta ELA 2 en los países que firmaron CCRA pero que incluyen ALC_FRL.3.
Rusia: Rusia ha tenido requisitos de certificación de funcionalidad no divulgada durante varios años y recientemente ha iniciado la iniciativa de una Plataforma Nacional de Software basada en software de código abierto. Esto refleja el aparente deseo de autonomía nacional, reduciendo la dependencia de proveedores extranjeros.
India: Reconocimiento del riesgo de la cadena de suministro en su borrador de Estrategia Nacional de Ciberseguridad. En lugar de excluir productos específicos, está considerando políticas de innovación autóctona, dando preferencia a los proveedores nacionales de TIC para crear una presencia nacional sólida y competitiva a nivel mundial en el sector.
China: A partir de los objetivos del 11.º Plan Quinquenal (2006-2010), China introdujo y aplicó una combinación de políticas de innovación autóctona agresivas y centradas en la seguridad. China exige que se utilice un catálogo de productos de innovación autóctona para sus compras gubernamentales y está implementando un Sistema de Protección Multinivel (MLPS) que exige (entre otras cosas) que los desarrolladores y fabricantes de productos sean ciudadanos o personas jurídicas chinas, y que la tecnología básica y los componentes clave de los productos deben tener derechos de propiedad intelectual independientes chinos o autóctonos. [3]
Esfuerzos del sector privado
SLSA (Supply-chain Levels for Software Artifacts) es un marco de trabajo de extremo a extremo para garantizar la integridad de los artefactos de software a lo largo de la cadena de suministro de software. Los requisitos están inspirados en la "Autorización binaria para Borg" interna de Google que se ha utilizado durante los últimos 8 años y que es obligatoria para todas las cargas de trabajo de producción de Google. El objetivo de SLSA es mejorar el estado de la industria, en particular el código abierto, para defenderse de las amenazas de integridad más urgentes. Con SLSA, los consumidores pueden tomar decisiones informadas sobre la postura de seguridad del software que consumen. [4]
Otras referencias
Centro de análisis e intercambio de información del sector financiero
Estrategia internacional para el ciberespacio (desde la Casa Blanca)
NSTIC
Documento técnico de SafeCode Archivado el 21 de octubre de 2013 en Wayback Machine
Trusted Technology Forum y el Estándar Abierto de Proveedor de Tecnología Confiable (O-TTPS) Archivado el 3 de enero de 2012 en Wayback Machine
Solución de seguridad para la cadena de suministro cibernética
Implantes de malware en el firmware
La cadena de suministro en la era del software
GRUPO DE TRABAJO SOBRE GESTIÓN DE RIESGOS EN LA CADENA DE SUMINISTRO DE TECNOLOGÍA DE LA INFORMACIÓN Y LAS COMUNICACIONES: INFORME PROVISIONAL
^ Mayounga, Andre (mayo de 2017). Visibilidad de la cadena de suministro cibernética: una teoría fundamentada de la ciberseguridad con la gestión de la cadena de suministro - ProQuest.
^ "Seguridad nacional: dispositivos y componentes que contienen malware". InformationWeek . 11 de julio de 2011 . Consultado el 16 de septiembre de 2011 .
^ "Consultoría Bridewell".Jueves, 22 de abril de 2021
^ "Presentación de SLSA, un marco integral para la integridad de la cadena de suministro". Blog de seguridad en línea de Google . Consultado el 17 de junio de 2021 .